Q66 — AWS SAP-C02 第3章
第 66/75 题 | ← 返回第3章
Q291. 一家公司正在将其开发和生产工作负载迁移到AWS Organizations中的新组织。公司为开发创建了单独的成员账户,为生产创建了单独的成员账户。合并计费链接到管理账户。在管理账户中,解决方案架构师需要创建一个可以停止或终止两个成员账户中资源的IAM用户。 哪种解决方案将满足此要求?
- A. 在管理账户中创建IAM用户和跨账户角色。将跨账户角色配置为对成员账户具有最小权限访问。
- B. 在每个成员账户中创建IAM用户。在管理账户中创建具有最小权限访问的跨账户角色。通过信任策略授予IAM用户访问跨账户角色的权限。
- C. 在管理账户中创建IAM用户。在成员账户中创建具有最小权限访问的IAM组。将管理账户中的IAM用户添加到每个成员账户中的IAM组。
- D. 在管理账户中创建IAM用户。在成员账户中创建具有最小权限访问的跨账户角色。通过信任策略授予IAM用户访问这些角色的权限。 ✓
正确答案: D. 在管理账户中创建IAM用户。在成员账户中创建具有最小权限访问的跨账户角色。通过信任策略授予IAM用户访问这些角色的权限。
解析
步骤D在管理账户中创建IAM用户,然后在每个成员账户中创建具有停止或终止资源所需权限的跨账户角色。解决方案架构师通过信任策略将每个成员账户中的跨账户角色的访问权限授予管理账户中的IAM用户。 选项A在管理账户中配置跨账户角色不会授予成员账户中IAM用户的访问权限。选项B为每个成员账户创建单独的IAM用户会导致额外的开销和潜在的安全风险。选项C在成员账户中创建IAM组不会提供管理账户中IAM用户的访问权限。