SAP-C02 第 126 题
题目
An AWS partner company is building a service in AWS Organizations using its organization named org1. This service requires the partner company to have access to AWS resources in a customer account, which is in a separate organization named org2. The company must establish least privilege security access using an API or command line tool to the customer account. What is the MOST secure way to allow org1 to access resources in org2?
中文翻译:
一家 AWS 合作伙伴公司正在使用其名为 org1 的组织在 AWS Organizations 中构建服务。此服务要求合作伙伴公司能够访问客户账户中的 AWS 资源,该账户位于名为 org2 的单独组织中。公司必须使用 API 或命令行工具对客户帐户建立最低权限安全访问。允许 org1 访问 org2 中的资源的最安全方法是什么?
选项
A. The customer should provide the partner company with their AWS account access keys to log in and perform the required tasks.
中文翻译:
客户应向合作伙伴公司提供其 AWS 账户访问密钥以登录并执行所需的任务。
B. The customer should create an IAM user and assign the required permissions to the IAM user. The customer should then provide the credentials to the partner company to log in and perform the required tasks.
中文翻译:
客户应创建 IAM 用户并向 IAM 用户分配所需的权限。然后,客户应向合作伙伴公司提供凭据以登录并执行所需的任务。
C. The customer should create an IAM role and assign the required permissions to the IAM role. The partner company should then use the IAM role’s Amazon Resource Name (ARN) when requesting access to perform the required tasks.
中文翻译:
客户应创建 IAM 角色并将所需的权限分配给 IAM 角色。然后,合作伙伴公司在请求访问权限以执行所需任务时应使用 IAM 角色的 Amazon 资源名称 (ARN)。
D. The customer should create an IAM role and assign the required permissions to the IAM role. The partner company should then use the IAM role’s Amazon Resource Name (ARN), including the external ID in the IAM role’s trust policy, when requesting access to perform the required tasks.
中文翻译:
客户应创建 IAM 角色并将所需的权限分配给 IAM 角色。然后,在请求访问权限以执行所需任务时,合作伙伴公司应使用 IAM 角色的 Amazon 资源名称 (ARN),包括 IAM 角色信任策略中的外部 ID。
答案
D
解析
正确答案:D 解析: 本题应选择 D。 正确选项: D. 客户应创建 IAM 角色并将所需的权限分配给 IAM 角色。然后,在请求访问权限以执行所需任务时,合作伙伴公司应使用 IAM 角色的 Amazon 资源名称 (ARN),包括 IAM 角色信任策略中的外部 ID。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、...