Q42 — AWS SCS-C02 第1章
第 42/100 题 | ← 返回第1章
一名安全工程师创建了一个Amazon S3存储桶策略,拒绝所有用户的访问。几天后,该安全工程师向该存储桶策略添加了另一条语句,允许一名其他员工只读访问。即使更新了策略,该员工仍收到“访问被拒绝”消息。 导致此访问拒绝的最可能原因是什么?
- A. 存储桶的ACL需要更新。
- B. IAM策略不允许该用户访问该存储桶。
- C. 存储桶策略生效需要几分钟时间。
- D. 允许权限被拒绝权限覆盖。 ✓
正确答案: D. 允许权限被拒绝权限覆盖。
解析
Amazon S3桶策略遵循显式拒绝优先原则。当策略中包含多个语句时,任何显式拒绝将覆盖允许权限。题目中初始策略明确拒绝所有用户访问,后续添加的允许特定员工访问的语句若未在条件、主体或资源上精确排除原拒绝范围,会导致拒绝优先生效。AWS文档指出策略生效是即时的,排除时间因素。选项D符合这一逻辑,允许声明未被正确限定导致被拒绝覆盖。选项A涉及ACL,与桶策略无关。选项B的IAM策略未提及限制。选项C的时间延迟与实际策略生效机制不符。