SAP-C02 第 131 题
题目
一家公司使用 AWS Organizations 在 AWS 云中进行多账户设置。该公司使用 AWS Control Tower 进行治理,并使用 AWS Transit Gateway 实现跨账户的 VPC 连接。在 AWS 应用程序账户中,该公司的应用程序团队部署了一个使用 AWS Lambda 和 Amazon RDS 的 Web 应用程序。公司的数据库管理员拥有独立的DBA帐户,并使用该帐户集中管理整个组织内的所有数据库。数据库管理员使用部署在 DBA 账户中的 Amazon EC2 实例来访问部署在应用程序账户中的 RDS 数据库。应用程序团队已将数据库凭证作为机密存储在应用程序账户的 AWS Secrets Manager 中。应用程序团队正在与数据库管理员手动共享机密。这些密钥由应用程序账户中 Secrets Manager 的默认 AWS 托管密钥进行加密。解决方案架构师需要实现一个解决方案,使数据库管理员能够访问数据库,并且无需手动共享机密。哪种解决方案可以满足这些要求?
选项
A. 使用 AWS Resource Access Manager (AWS RAM) 与 DBA 账户共享应用程序账户中的密钥。在 DBA 账户中,创建名为 DBA-Admin 的 IAM 角色。授予角色访问共享机密所需的权限。将 DBA 管理员角色附加到 EC2 实例以访问跨账户机密。
B. 在应用程序账户中,创建一个名为 DBA-Secret 的 IAM 角色。授予角色访问机密所需的权限。在 DBA 账户中,创建名为 DBA-Admin 的 IAM 角色。授予 DBA-Admin 角色所需的权限,以在应用程序帐户中担任 DBA-Secret 角色。将 DBA 管理员角色附加到 EC2 实例以访问跨账户机密
C. 在 DBA 账户中创建一个名为 DBA-Admin 的 IAM 角色。授予角色访问应用程序账户中的密钥和默认 AWS 托管密钥所需的权限。在应用程序帐户中,将基于资源的策略附加到密钥以允许从 DBA 帐户进行访问。将 DBA 管理员角色附加到 EC2 实例以访问跨账户机密。
D. 在 DBA 账户中,创建名为 DBA-Admin 的 IAM 角色。授予角色访问应用程序帐户中的机密所需的权限。将 SCP 附加到应用程序帐户以允许从 DBA 帐户访问机密。将 DBA 管理员角色附加到 EC2 实例以访问跨账户机密。
答案
B
解析
正确答案:B 解析: 题干关键点:AWS Organizations 组织治理、核心服务:Transit Gateway, VPC, Lambda, EC2, RDS。 正确选项: B. 在应用程序账户中,创建一个名为 DBA-Secret 的 IAM 角色。授予角色访问机密所需的权限。在 DBA 账户中,创建名为 DBA-Admin 的 IAM 角色。授予 DBA-Admin 角色所需的权限,以在应用程序帐户中担任 DBA-Secre...