Q41 — AWS SAA-C03 第5章

第 41/65 题 | ← 返回第5章

Q341.一家公司有一个 AWS Lambda 函数,需要对位于同一 AWS 账户中的 Amazon S3 存储桶进行读取访问.哪种解决方案将以最安全的方式满足这些要求?

正确答案: B. 将 IAM 角色应用于 Lambda 函数.将 IAM 策略应用于角色以授予对 S3 存储桶的读取访问权限

解析

选项 B 是提供从 AWS Lambda 函数读取 S3 存储桶的最安全解决方案.选项 A:应用授予对 S3 存储桶读取访问权限的 S3 存储桶策略可以提供必要的权限,但它不如使用 IAM 角色安全,因为它不是特定于 Lambda 函数的.它也不遵循最小特权原则.选项 C:在 Lambda 函数的代码中嵌入访问密钥和秘密密钥不是最佳实践方法,因为它会损害您的 AWS 资源的安全性,因为任何有权访问代码的人都可以访问密钥.选项 D:将 IAM 角色应用于 Lambda 函数并授予对账户中所有 S3 存储桶的读取访问权限并不是最安全的选项,因为它涉及授予比 Lambda 函数所需的更广泛的权限.这可能会导致意外访问帐户中的其他 S3 存储桶.因此,选项 B 是最安全的解决方案,因为它涉及将 IAM 角色应用于 Lambda 函数,从而允许对权限进行精细控制. IAM 策略可以应用于该角色,以授予对 Lambda 函数需要访问的特定 S3 存储桶的读取访问权限.这种方法遵循最小特权原则,确保 Lambda 函数只能访问执行其预期操作所需的资源.