SAP-C02 第 185 题
题目
A company uses AWS Organizations for a multi-account setup in the AWS Cloud. The company's finance team has a data processing application that uses AWS Lambda and Amazon DynamoDB. The company's marketing team wants to access the data that is stored in the DynamoDB table. The DynamoDB table contains confidential data. The marketing team can have access to only specific attributes of data in the DynamoDB table. The finance team and the marketing team have separate AWS accounts. What should a solutions architect do to provide the marketing team with the appropriate access to the DynamoDB table?
中文翻译:
一家公司使用 AWS Organizations 在 AWS 云中进行多账户设置。该公司的财务团队拥有一个使用 AWS Lambda 和 Amazon DynamoDB 的数据处理应用程序。该公司的营销团队想要访问存储在 DynamoDB 表中的数据。 DynamoDB 表包含机密数据。营销团队只能访问 DynamoDB 表中数据的特定属性。财务团队和营销团队拥有独立的 AWS 账户。解决方案架构师应该如何为营销团队提供对 DynamoDB 表的适当访问权限?
选项
A. Create an SCP to grant the marketing team's AWS account access to the specific attributes of the DynamoDB table. Attach the SCP to the OU of the finance team.
中文翻译:
创建 SCP 以授予营销团队的 AWS 账户对 DynamoDB 表的特定属性的访问权限。将 SCP 附加到财务团队的 OU。
B. Create an IAM role in the finance team's account by using IAM policy conditions for specific DynamoDB attributes (fine- grained access control). Establish trust with the marketing team's account. In the marketing team's account, create an IAM role that has permissions to assume the IAM role in the finance team's account.
中文翻译:
通过使用特定 DynamoDB 属性的 IAM 策略条件(细粒度访问控制),在财务团队的账户中创建 IAM 角色。与营销团队的帐户建立信任。在营销团队的账户中,创建一个 IAM 角色,该角色有权代入财务团队账户中的 IAM 角色。
C. Create a resource-based IAM policy that includes conditions for specific DynamoDB attributes (fine-grained access control). Attach the policy to the DynamoDB table. In the marketing team's account, create an IAM role that has permissions to access the DynamoDB table in the finance team's account.
中文翻译:
创建基于资源的 IAM 策略,其中包括特定 DynamoDB 属性的条件(细粒度访问控制)。将策略附加到 DynamoDB 表。在营销团队的账户中,创建一个 IAM 角色,该角色有权访问财务团队账户中的 DynamoDB 表。
D. Create an IAM role in the finance team's account to access the DynamoDB table. Use an IAM permissions boundary to limit the access to the specific attributes. In the marketing team's account, create an IAM role that has permissions to assume the IAM role in the finance team's account.
中文翻译:
在财务团队的账户中创建 IAM 角色以访问 DynamoDB 表。使用 IAM 权限边界来限制对特定属性的访问。在营销团队的账户中,创建一个 IAM 角色,该角色有权代入财务团队账户中的 IAM 角色。
答案
B
解析
正确答案:B 解析: 本题应选择 B。 正确选项: B. 通过使用特定 DynamoDB 属性的 IAM 策略条件(细粒度访问控制),在财务团队的账户中创建 IAM 角色。与营销团队的帐户建立信任。在营销团队的账户中,创建一个 IAM 角色,该角色有权代入财务团队账户中的 IAM 角色。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、...