Q96 — AWS SCS-C02 第1章

第 96/100 题 | ← 返回第1章

一位安全工程师正在配置基于账户的访问控制(ABAC),以仅允许特定主体向Amazon S3存储桶放置对象。这些主体已具备Amazon S3访问权限。 安全工程师需要配置一个存储桶策略,仅当对象上的Team标签值与主体关联的Team标签值匹配时,才允许主体向S3存储桶放置对象。在测试过程中,安全工程师注意到即使标签值不匹配,主体仍可向S3存储桶放置对象。 以下哪两种因素共同导致在标签值不同时PutObject操作仍成功?(选择两项)

正确答案: A. 主体的身份策略授予了向S3存储桶放置对象的权限,且未设置任何条件。, C. S3存储桶的资源策略未拒绝放置对象的访问权限。

解析

AWS策略评估逻辑中,身份策略和资源策略共同作用。身份策略若无条件允许PutObject(选项A),即使资源策略有条件限制,只要资源策略未明确拒绝(选项C),请求仍可能被允许。根据AWS文档,策略结果为允许需所有适用策略均允许。身份策略允许但资源策略未拒绝可能导致权限绕过。选项A和C正确,因身份策略的许可未被资源策略的拒绝覆盖,标签检查条件失效。