Q22 — AWS SOA-C02 第1章
第 22/100 题 | ← 返回第1章
一家公司在 AWS Organizations 中管理多个 AWS 账户。该公司正在审查其 AWS 环境的内部安全性。该公司的安全管理员拥有自己的 AWS 账户,并希望审查开发人员 AWS 账户的 VPC 配置。 以下哪种方案能以最安全的方式满足这些要求?
- A. 在每个开发人员账户中创建一个 IAM 策略,授予与 VPC 资源相关的只读访问权限。将该策略分配给一个 IAM 用户,并将该用户凭据共享给安全管理员。
- B. 在每个开发人员账户中创建一个 IAM 策略,授予对所有 Amazon EC2 操作(包括 VPC 操作)的管理员访问权限。将该策略分配给一个 IAM 用户,并将该用户凭据共享给安全管理员。
- C. 在每个开发人员账户中创建一个 IAM 策略,授予与 VPC 资源相关的管理员访问权限。将该策略分配给一个跨账户 IAM 角色。请安全管理员从其账户承担该角色。
- D. 在每个开发人员账户中创建一个 IAM 策略,授予与 VPC 资源相关的只读访问权限。将该策略分配给一个跨账户 IAM 角色。请安全管理员从其账户承担该角色。 ✓
正确答案: D. 在每个开发人员账户中创建一个 IAM 策略,授予与 VPC 资源相关的只读访问权限。将该策略分配给一个跨账户 IAM 角色。请安全管理员从其账户承担该角色。
解析
AWS Organizations中管理多账户时,跨账户访问的最佳实践是通过IAM角色而非共享用户凭证。IAM角色无需长期凭证,通过临时安全令牌增强安全性。AWS文档强调最小权限原则,仅授予完成任务所需的最低权限。选项D使用跨账户IAM角色并分配只读VPC权限,确保安全管理员仅能查看配置,无法修改资源。选项A和B依赖用户凭证共享,存在泄露风险;选项C授予管理员权限超出审查需求。跨账户角色与最小权限结合符合安全最佳实践。