Q45 — AWS SCS-C02 第1章
第 45/100 题 | ← 返回第1章
对于一个新创建的AWS账户,保护其AWS账户根用户最安全的方式有哪些?(请选择两项)
- A. 使用AWS账户根用户的访问密钥,而非AWS管理控制台。
- B. 为附加了AdministratorAccess托管策略的AWS IAM用户启用多因素认证(MFA)。
- C. 使用AWS KMS加密所有AWS账户根用户和AWS IAM访问密钥,并设置30天自动轮换。
- D. 不要为AWS账户根用户创建访问密钥;而是创建AWS IAM用户。 ✓
- E. 为AWS账户根用户启用多因素认证(MFA)。 ✓
- F.
正确答案: D. 不要为AWS账户根用户创建访问密钥;而是创建AWS IAM用户。, E. 为AWS账户根用户启用多因素认证(MFA)。
解析
AWS安全最佳实践中,根用户权限最高,需严格保护。AWS官方文档强调根用户应避免使用访问密钥(Access Keys),因其权限过大,存在高风险。D选项遵循此原则,建议通过IAM用户执行日常操作,减少根用户暴露。E选项建议为根用户启用MFA,增加登录验证层次,符合AWS身份验证增强要求。A选项错误,因使用根用户访问密钥违反最小权限原则;B选项针对IAM用户,非根用户;C选项提及加密和轮换,但根用户不应创建访问密钥,故此策略不适用。AWS安全白皮书和IAM最佳实践明确强调根用户MFA和避免访问密钥的必要性。