Q7 — AWS SAP-C02 第3章
第 7/75 题 | ← 返回第3章
Q232. 一家公司在AWS的多账户环境中运行应用程序。公司的销售团队和营销团队使用AWS Organizations中的不同AWS账户。销售团队在Amazon S3存储桶中存储了PB级数据。营销团队使用Amazon QuickSight进行数据可视化。营销团队需要访问销售团队存储在S3存储桶中的数据。公司已使用AWS Key Management Service (AWS KMS)密钥加密了S3存储桶。营销团队已经在营销AWS账户中为QuickSight创建了IAM服务角色以提供QuickSight访问权限。公司需要一个能够跨AWS账户安全访问S3存储桶中数据的解决方案。 哪种解决方案能以最少的运营开销满足这些要求?
- A. 在营销账户中创建一个新的S3存储桶。在销售账户中创建S3复制规则,将对象复制到营销账户中的新S3存储桶。更新营销账户中的QuickSight权限以授予对新S3存储桶的访问权限。
- B. 创建SCP以授予营销账户对S3存储桶的访问权限。使用AWS Resource Access Manager (AWS RAM)将KMS密钥从销售账户共享到营销账户。更新营销账户中的QuickSight权限以授予对S3存储桶的访问权限。
- C. 更新营销账户中的S3存储桶策略以授予QuickSight角色访问权限。为S3存储桶中使用的加密密钥创建KMS授权。将解密访问权限授予QuickSight角色。更新营销账户中的QuickSight权限以授予对S3存储桶的访问权限。
- D. 在销售账户中创建IAM角色并授予S3存储桶的访问权限。从营销账户中代入销售账户中的IAM角色以访问S3存储桶。更新QuickSight角色以与销售账户中的新IAM角色建立信任关系。 ✓
正确答案: D. 在销售账户中创建IAM角色并授予S3存储桶的访问权限。从营销账户中代入销售账户中的IAM角色以访问S3存储桶。更新QuickSight角色以与销售账户中的新IAM角色建立信任关系。
解析
正确答案是D。在销售账户中创建IAM角色并授予S3存储桶的访问权限。从营销账户中代入销售账户中的IAM角色以访问S3存储桶。更新QuickSight角色以与销售账户中的新IAM角色建立信任关系。 选项D在多账户环境中提供了运营开销最小的解决方案,可以跨AWS账户安全访问S3存储桶中的数据。 通过在销售账户中创建IAM角色并授予对S3存储桶的访问权限,可以控制和管理营销团队访问数据的权限。这种方法允许细粒度的访问控制和集中管理权限。 从营销账户使用IAM可以代入在销售账户中创建的IAM角色,使营销团队无需复制或传输数据即可访问S3存储桶。 更新QuickSight角色以建立信任关系确保QuickSight具有访问S3存储桶中数据所需的权限。 该解决方案提供了简单而安全的跨账户数据访问方式,无需额外的数据复制或共享加密密钥,还提供集中访问控制并减少运营开销。