Q86 — AWS SCS-C02 第1章

第 86/100 题 | ← 返回第1章

公司A拥有一个名为账户A的AWS账户。公司A最近收购了公司B,后者拥有一个名为账户B的AWS账户。公司B将其文件存储在Amazon S3存储桶中。管理员需要授予账户A中的一名用户对账户B中S3存储桶的完全访问权限。 在管理员调整账户A中该用户的IAM权限以访问账户B的S3存储桶后,该用户仍无法访问S3存储桶中的任何文件。

正确答案: C. 在账户B中,创建存储桶策略,允许账户A的用户访问账户B中的S3存储桶。

解析

AWS跨账户访问S3桶需通过资源策略授权。IAM策略仅在请求方账户生效,而S3资源策略(桶策略)必须附加到目标资源所属账户。AWS文档明确说明,跨账户访问S3时,资源方需配置桶策略,明确允许外部账户的实体访问。选项A和B的ACL仅提供有限权限且需与策略结合,无法独立解决跨账户问题。选项D的用户策略无法应用于其他账户的用户。只有选项C的桶策略能在Account B中直接授权Account A用户访问权限。答案C符合AWS跨账户访问最佳实践。