Q96 — AWS SCS-C02 第1章
第 96/100 题 | ← 返回第1章
一位安全工程师正在配置基于账户的访问控制(ABAC),以仅允许特定主体向Amazon S3存储桶放置对象。这些主体已具备Amazon S3访问权限。 安全工程师需要配置一个存储桶策略,仅当对象上的Team标签值与主体关联的Team标签值匹配时,才允许主体向S3存储桶放置对象。在测试过程中,安全工程师注意到即使标签值不匹配,主体仍可向S3存储桶放置对象。 以下哪两种因素共同导致在标签值不同时PutObject操作仍成功?(选择两项)
- A. 主体的身份策略授予了向S3存储桶放置对象的权限,且未设置任何条件。 ✓
- B. 主体的身份策略因包含显式允许而覆盖了条件。
- C. S3存储桶的资源策略未拒绝放置对象的访问权限。 ✓
- D. S3存储桶的资源策略无法向主体授予权限。
- E. 存储桶策略不适用于同一信任域内的主体。
正确答案: A. 主体的身份策略授予了向S3存储桶放置对象的权限,且未设置任何条件。, C. S3存储桶的资源策略未拒绝放置对象的访问权限。
解析
AWS策略评估逻辑中,身份策略和资源策略共同作用。身份策略若无条件允许PutObject(选项A),即使资源策略有条件限制,只要资源策略未明确拒绝(选项C),请求仍可能被允许。根据AWS文档,策略结果为允许需所有适用策略均允许。身份策略允许但资源策略未拒绝可能导致权限绕过。选项A和C正确,因身份策略的许可未被资源策略的拒绝覆盖,标签检查条件失效。