Q87 — AWS SOA-C02 第1章

第 87/100 题 | ← 返回第1章

一家公司在账户A中拥有一个AWS Lambda函数。该Lambda函数需要读取账户B中的Amazon S3存储桶对象。 SysOps管理员必须在两个账户中创建相应的IAM角色。 以下哪种解决方案可满足这些要求?

正确答案: A. 在账户A中创建一个Lambda执行角色,用于承担账户B中的角色。在账户B中创建一个角色,供该函数承担以获得对S3存储桶的访问权限。

解析

AWS跨账户访问场景中,通常需要在请求方账户创建执行角色,在资源方账户创建可被委托的角色。Lambda位于账户A,需通过角色跨账户访问账户B的S3。正确配置为:在账户A创建Lambda执行角色,授予其权限以承担账户B中的角色;在账户B创建被委托角色,附加S3访问策略,并信任账户A的Lambda执行角色。选项A符合此模式,其他选项混淆了角色位置或权限配置方向。AWS安全文档指出,跨账户访问需建立信任关系并通过角色委托实现。