Q27 — AWS SAP-C02 第1章
第 27/75 题 | ← 返回第1章
Q102. 一家出版公司的设计团队更新电子商务 Web 应用程序使用的图标和其他静态资源。公司从托管在生产账户中的 Amazon S3 存储桶提供图标和资源。公司还有一个设计团队成员可以访问的开发账户。设计团队在开发账户中测试静态资源后,需要将资源加载到生产账户中的 S3 存储桶中。解决方案架构师必须在不将 Web 应用程序的其他部分暴露于意外更改风险的情况下,为设计团队提供生产账户的访问权限。哪些步骤的组合将满足这些要求?(选择三项。)
- A. 在生产账户中,创建一个允许对 S3 存储桶进行读写访问的新 IAM 策略。 ✓
- B. 在开发账户中,创建一个允许对 S3 存储桶进行读写访问的新 IAM 策略。
- C. 在生产账户中,创建一个角色。将新策略附加到该角色。将开发账户定义为受信任实体。 ✓
- D. 在开发账户中,创建一个角色。将新策略附加到该角色。将生产账户定义为受信任实体。
- E. 在开发账户中,创建一个包含设计团队所有 IAM 用户的组。将另一个 IAM 策略附加到该组,以允许对生产账户中的角色执行 sts:AssumeRole 操作。 ✓
- F. 在开发账户中,创建一个包含设计团队所有 IAM 用户的组。将另一个 IAM 策略附加到该组,以允许对开发账户中的角色执行 sts:AssumeRole 操作。
正确答案: A. 在生产账户中,创建一个允许对 S3 存储桶进行读写访问的新 IAM 策略。, C. 在生产账户中,创建一个角色。将新策略附加到该角色。将开发账户定义为受信任实体。, E. 在开发账户中,创建一个包含设计团队所有 IAM 用户的组。将另一个 IAM 策略附加到该组,以允许对生产账户中的角色执行 sts:AssumeRole 操作。
解析
为安全地为设计团队提供跨账户访问生产 S3 存储桶的权限,推荐的步骤组合是: A. 在生产账户中,创建一个允许对 S3 存储桶进行读写访问的新 IAM 策略。 C. 在生产账户中,创建一个角色。将新策略附加到该角色。将开发账户定义为受信任实体。 E. 在开发账户中,创建一个包含设计团队所有 IAM 用户的组。将另一个 IAM 策略附加到该组,以允许对生产账户中的角色执行 sts:AssumeRole 操作。 说明: 这是标准的 AWS 跨账户访问模式: 1. 在目标账户(生产)中创建 IAM 策略定义权限范围。 2. 在目标账户创建角色并信任源账户(开发)。 3. 在源账户中授权用户代入目标账户中的角色。