Q3 — AWS SAP-C02 第1章

第 3/75 题 | ← 返回第1章

Q78. 一家公司的无服务器应用程序的外部审计揭示了授予过多权限的 IAM 策略。这些策略附加到公司的 AWS Lambda 执行角色上。该公司数百个 Lambda 函数具有广泛的访问权限,例如对 Amazon S3 存储桶和 Amazon DynamoDB 表的完全访问权限。公司希望每个函数仅拥有完成其任务所需的最小权限。解决方案架构师必须确定每个 Lambda 函数需要哪些权限。解决方案架构师应该如何以最少的工作量满足此要求?

正确答案: B. 开启 AWS 账户的 AWS CloudTrail 日志记录。使用 AWS Identity and Access Management Access Analyzer 根据 CloudTrail 日志中记录的活动生成 IAM 访问策略。审查生成的策略以确保它们满足公司的业务需求。

解析

为以最少的工作量确定每个 Lambda 函数所需的最小权限,推荐的解决方案是: B. 开启 AWS 账户的 AWS CloudTrail 日志记录。使用 AWS Identity and Access Management (IAM) Access Analyzer 根据 CloudTrail 日志中记录的活动生成 IAM 访问策略。审查生成的策略以确保它们满足公司的业务需求。 说明: 选项 B 利用 AWS CloudTrail 和 IAM Access Analyzer 根据 CloudTrail 日志中记录的活动自动生成 IAM 访问策略: 1. AWS CloudTrail 日志记录:通过开启 AWS 账户的 AWS CloudTrail 日志记录,可以捕获 Lambda 函数进行的 API 调用和访问的资源的详细信息。 2. IAM Access Analyzer:AWS IAM Access Analyzer 可以分析 CloudTrail 日志,并根据观察到的活动自动生成 IAM 访问策略。Access Analyzer 使用机器学习算法来识别 Lambda 函数使用的操作和资源。 3. 审查生成的策略:生成 IAM 访问策略后,解决方案架构师可以审查策略以确保它们满足公司的业务需求。这包括验证授予的权限是每个 Lambda 函数执行其任务所需的最小权限。 此方法通过分析 CloudTrail 日志自动化了确定每个 Lambda 函数所需权限的过程。它减少了手动工作,并确保生成的 IAM 策略基于实际使用情况,提供了一种更准确、更高效的权限管理方式。 选项 A 不正确,因为使用 Amazon CodeGuru 分析 Lambda 函数并为每个函数手动创建新的 IAM 访问策略需要大量的工作和手动干预。 选项 C 不正确,因为解析 CloudTrail 日志并创建摘要报告仍然需要手动工作来分析并根据报告创建新的 IAM 访问策略。 选项 D 不正确,因为使用 Amazon EMR 处理 CloudTrail 日志并根据处理后的日志手动创建 IAM 访问策略需要大量的工作和手动干预。 因此,选项 B 是推荐的解决方案,因为它利用 CloudTrail 日志和 IAM Access Analyzer 根据观察到的活动自动生成 IAM 访问策略,最大限度地减少工作量并确保每个 Lambda 函数拥有最小必要权限。 IAM Access Analyzer 帮助您识别组织和账户中与外部实体共享的资源,例如 Amazon S3 存储桶或 IAM 角色。这使您能够识别对资源和数据的意外访问,这是一种安全风险。IAM Access Analyzer 使用基于逻辑的推理来分析 AWS 环境中基于资源的策略,从而识别与外部主体共享的资源。