Q21 — AWS SCS-C02 第1章

第 21/100 题 | ← 返回第1章

一家公司正在开发一款新的无服务器应用程序,该程序使用 AWS Lambda 函数。该公司使用 AWS CloudFormation 部署 Lambda 函数。该公司的开发人员正尝试调试一个已部署的 Lambda 函数。由于该 Lambda 函数未将其输出日志记录到 Amazon CloudWatch Logs,因此开发人员无法调试该函数。 安全工程师应采取哪一组步骤来解决此问题?(请选择两项)

正确答案: A. 检查 CloudFormation 模板中定义并传递给 Lambda 函数的角色。确保该角色具有允许服务主体 lambda.amazonaws.com 执行 sts:AssumeRole 操作的信任策略。, B. 检查 CloudFormation 模板中为 Lambda 函数配置的执行角色。确保该执行角色具有向 CloudWatch Logs 写入日志所需的必要权限。

解析

AWS Lambda函数需要具有适当权限的执行角色才能将日志写入Amazon CloudWatch Logs。AWS文档指出,Lambda执行角色必须包含对logs:CreateLogGroup、logs:CreateLogStream和logs:PutLogEvents的权限。此外,角色的信任策略必须允许Lambda服务(lambda.amazonaws.com)担任该角色。选项A涉及的信任策略确保Lambda服务可以担任执行角色,选项B确保执行角色具备写入CloudWatch Logs的必要权限。其他选项中,X-Ray配置(C)和资源策略(D)与日志写入权限无关,开发者的角色权限(E)不影响Lambda本身的执行权限。