Q20 — AWS SCS-C02 第1章
第 20/100 题 | ← 返回第1章
一名安全工程师正尝试使用 Amazon EC2 Image Builder 创建 EC2 实例的镜像。该安全工程师已将管道配置为将日志发送到 Amazon S3 存储桶。当安全工程师运行该管道时,构建失败并出现以下错误:“AccessDenied: Access Denied status code: 403”。 安全工程师必须通过实施一种符合最小权限访问最佳实践的解决方案来解决该错误。 哪一组步骤组合可满足这些要求?(请选择两项)
- A. 确保以下策略附加到安全工程师正在使用的 IAM 角色:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds 和 AmazonSSMManagedInstanceCore。
- B. 确保以下策略附加到 EC2 实例的实例配置文件:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds 和 AmazonSSMManagedInstanceCore。 ✓
- C. 确保 AWSImageBuilderFullAccess 策略附加到 EC2 实例的实例配置文件。
- D. 确保安全工程师的 IAM 角色对 S3 存储桶具有 s3:PutObject 权限。
- E. 确保 EC2 实例的实例配置文件对 S3 存储桶具有 s3:PutObject 权限。 ✓
正确答案: B. 确保以下策略附加到 EC2 实例的实例配置文件:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds 和 AmazonSSMManagedInstanceCore。, E. 确保 EC2 实例的实例配置文件对 S3 存储桶具有 s3:PutObject 权限。
解析
题目涉及Amazon EC2 Image Builder服务在构建镜像时因权限不足导致的失败问题。错误类型为S3访问拒绝,需遵循最小权限原则修复。根据AWS文档,Image Builder构建镜像的EC2实例需要关联包含必要权限的实例角色。选项B中的策略组合EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds和AmazonSSMManagedInstanceCore为官方推荐的实例配置文件策略,确保基础服务访问。选项E明确指出实例角色需具备s3:PutObject权限,直接解决日志上传S3的权限问题。其余选项或针对用户角色而非实例角色,或授予过大权限,不符合最小权限要求。