SAP-C02 第 185 题
题目
一家公司使用 AWS Organizations 在 AWS 云中进行多账户设置。该公司的财务团队拥有一个使用 AWS Lambda 和 Amazon DynamoDB 的数据处理应用程序。该公司的营销团队想要访问存储在 DynamoDB 表中的数据。 DynamoDB 表包含机密数据。营销团队只能访问 DynamoDB 表中数据的特定属性。财务团队和营销团队拥有独立的 AWS 账户。解决方案架构师应该如何为营销团队提供对 DynamoDB 表的适当访问权限?
选项
A. 创建 SCP 以授予营销团队的 AWS 账户对 DynamoDB 表的特定属性的访问权限。将 SCP 附加到财务团队的 OU。
B. 通过使用特定 DynamoDB 属性的 IAM 策略条件(细粒度访问控制),在财务团队的账户中创建 IAM 角色。与营销团队的帐户建立信任。在营销团队的账户中,创建一个 IAM 角色,该角色有权代入财务团队账户中的 IAM 角色。
C. 创建基于资源的 IAM 策略,其中包括特定 DynamoDB 属性的条件(细粒度访问控制)。将策略附加到 DynamoDB 表。在营销团队的账户中,创建一个 IAM 角色,该角色有权访问财务团队账户中的 DynamoDB 表。
D. 在财务团队的账户中创建 IAM 角色以访问 DynamoDB 表。使用 IAM 权限边界来限制对特定属性的访问。在营销团队的账户中,创建一个 IAM 角色,该角色有权代入财务团队账户中的 IAM 角色。
答案
B
解析
正确答案:B 解析: 题干关键点:AWS Organizations 组织治理、核心服务:Lambda, DynamoDB, IAM, Organizations。 正确选项: B. 通过使用特定 DynamoDB 属性的 IAM 策略条件(细粒度访问控制),在财务团队的账户中创建 IAM 角色。与营销团队的帐户建立信任。在营销团队的账户中,创建一个 IAM 角色,该角色有权代入财务团队账户中的 IAM 角色。 选择理由: 选项 B 的...