Q22 — AWS SOA-C02 第1章

第 22/100 题 | ← 返回第1章

一家公司在 AWS Organizations 中管理多个 AWS 账户。该公司正在审查其 AWS 环境的内部安全性。该公司的安全管理员拥有自己的 AWS 账户,并希望审查开发人员 AWS 账户的 VPC 配置。 以下哪种方案能以最安全的方式满足这些要求?

正确答案: D. 在每个开发人员账户中创建一个 IAM 策略,授予与 VPC 资源相关的只读访问权限。将该策略分配给一个跨账户 IAM 角色。请安全管理员从其账户承担该角色。

解析

AWS Organizations中管理多账户时,跨账户访问的最佳实践是通过IAM角色而非共享用户凭证。IAM角色无需长期凭证,通过临时安全令牌增强安全性。AWS文档强调最小权限原则,仅授予完成任务所需的最低权限。选项D使用跨账户IAM角色并分配只读VPC权限,确保安全管理员仅能查看配置,无法修改资源。选项A和B依赖用户凭证共享,存在泄露风险;选项C授予管理员权限超出审查需求。跨账户角色与最小权限结合符合安全最佳实践。