Q14 — AWS SAP-C02 第3章

第 14/75 题 | ← 返回第3章

Q239. 一家公司在AWS云中使用AWS Organizations进行多账户设置。公司的财务团队有一个使用AWS Lambda和Amazon DynamoDB的数据处理应用程序。公司的营销团队希望访问存储在DynamoDB表中的数据。DynamoDB表包含机密数据。营销团队只能访问DynamoDB表中的特定属性数据。财务团队和营销团队有不同的AWS账户。 解决方案架构师应该如何为营销团队提供对DynamoDB表的适当访问权限?

正确答案: B. 在财务团队的账户中使用IAM策略条件为特定DynamoDB属性(细粒度访问控制)创建IAM角色。与营销团队的账户建立信任关系。在营销团队的账户中创建具有代入财务团队账户中IAM角色权限的IAM角色。

解析

正确答案是B。 通过在财务团队的账户中使用IAM策略条件创建IAM角色,允许访问特定的DynamoDB属性,这种细粒度访问控制确保营销团队只能访问DynamoDB表中指定的属性。 在财务团队的账户和营销团队的账户之间建立信任关系以启用跨账户访问。 在营销团队的账户中创建具有代入财务团队账户中IAM角色权限的IAM角色,授予该角色访问财务团队账户中DynamoDB表的必要权限。 通过这些步骤,营销团队将获得对DynamoDB表的适当访问权限,仅限于基于IAM策略条件的特定属性,财务团队保持对数据的控制,数据的机密性得到保护。