Q46 — AWS SAP-C02 第3章
第 46/75 题 | ← 返回第3章
Q271. 一家公司需要从一个中央位置为多个部门创建和管理多个AWS账户。安全团队需要从其自己的AWS账户对所有账户进行只读访问。公司使用AWS Organizations并为安全团队创建了一个账户。 解决方案架构师应该如何满足这些要求?
- A. 使用OrganizationAccountAccessRole IAM角色在每个成员账户中创建具有只读访问权限的新IAM策略。在每个成员账户中的IAM策略和安全账户之间建立信任关系。要求安全团队使用IAM策略来获取访问权限。
- B. 使用OrganizationAccountAccessRole IAM角色在每个成员账户中创建具有只读访问权限的新IAM角色。在每个成员账户中的IAM角色和安全账户之间建立信任关系。要求安全团队使用IAM角色来获取访问权限。 ✓
- C. 要求安全团队使用AWS Security Token Service (AWS STS)从安全账户调用管理账户中OrganizationAccountAccessRole IAM角色的AssumeRole API。使用生成的临时凭证来获取访问权限。
- D. 要求安全团队使用AWS Security Token Service (AWS STS)从安全账户调用成员账户中OrganizationAccountAccessRole IAM角色的AssumeRole API。使用生成的临时凭证来获取访问权限。
正确答案: B. 使用OrganizationAccountAccessRole IAM角色在每个成员账户中创建具有只读访问权限的新IAM角色。在每个成员账户中的IAM角色和安全账户之间建立信任关系。要求安全团队使用IAM角色来获取访问权限。
解析
这种方法涉及在每个成员账户中创建具有AWS资源只读访问权限的新IAM角色。OrganizationAccountAccessRole IAM角色可用于在所有成员账户中自动创建这些角色。设置IAM角色后,可以在每个成员账户中的IAM角色和安全账户之间建立信任关系,以便安全团队可以代入IAM角色并从自己的AWS账户获得对所有成员账户的只读访问权限。 允许安全团队代入OrganizationAccountAccessRole意味着完全访问权限,而不是只读权限。OrganizationAccountAccessRole在成员账户中拥有完全管理权限。