Q42 — AWS SCS-C02 第1章

第 42/100 题 | ← 返回第1章

一名安全工程师创建了一个Amazon S3存储桶策略,拒绝所有用户的访问。几天后,该安全工程师向该存储桶策略添加了另一条语句,允许一名其他员工只读访问。即使更新了策略,该员工仍收到“访问被拒绝”消息。 导致此访问拒绝的最可能原因是什么?

正确答案: D. 允许权限被拒绝权限覆盖。

解析

Amazon S3桶策略遵循显式拒绝优先原则。当策略中包含多个语句时,任何显式拒绝将覆盖允许权限。题目中初始策略明确拒绝所有用户访问,后续添加的允许特定员工访问的语句若未在条件、主体或资源上精确排除原拒绝范围,会导致拒绝优先生效。AWS文档指出策略生效是即时的,排除时间因素。选项D符合这一逻辑,允许声明未被正确限定导致被拒绝覆盖。选项A涉及ACL,与桶策略无关。选项B的IAM策略未提及限制。选项C的时间延迟与实际策略生效机制不符。