Q40 — AWS SAA-C03 第5章

第 40/65 题 | ← 返回第5章

Q340.一家公司正在托管来自 Amazon S3 存储桶的 Web 应用程序.该应用程序使用 Amazon Cognito 作为身份提供商来对用户进行身份验证并返回一个 JSON Web 令牌 (JWT),该令牌提供对存储在另一个 S3 存储桶中的受保护资源的访问.部署应用程序后,用户报告错误并且无法访问受保护的内容.解决方案架构师必须通过提供适当的权限来解决此问题,以便用户可以访问受保护的内容.哪个解决方案满足这些要求?

正确答案: A. 更新 Amazon Cognito 身份池以承担适当的 IAM 角色以访问受保护的内容.

解析

这里的问题是由于权限不足,用户无法访问受保护的内容.当 Amazon Cognito 对用户进行身份验证并返回 JWT 时,它可以配置为担任 IAM 角色,授予对受保护资源的访问权限.因此,要解决此问题,解决方案架构师应更新 Amazon Cognito 身份池配置以承担适当的 IAM 角色以访问受保护的内容.这将授予经过身份验证的用户访问存储在 S3 存储桶中的受保护资源的必要权限.选项 B 不正确,因为更新 S3 ACL 只会影响 S3 存储桶本身的权限,而不会影响 Amazon Cognito 管理的身份验证和授权过程.选项 C 也不正确,因为将应用程序重新部署到 S3 不会更改授予经过身份验证的用户的权限.此外,如果用户具有适当的权限,最终一致性读取不应影响用户访问受保护内容的能力.选项 D 不正确,因为身份池中的自定义属性映射不会直接影响访问受保护内容的权限.相反,这些映射使 Amazon Cognito 能够填充 JWT 中的用户属性,从而向下游服务提供有关用户的额外信息.