SAP-C02 第 309 题

题目

A company is using AWS Organizations with a multi-account architecture. The company's current security configuration for the account architecture includes SCPs, resource-based policies, identity-based policies, trust policies, and session policies. A solutions architect needs to allow an IAM user in Account A to assume a role in Account B. Which combination of steps must the solutions architect take to meet this requirement? (Choose three.)

中文翻译：
一家公司正在使用具有多账户架构的 AWS Organizations。公司当前账户架构的安全配置包括SCP、基于资源的策略、基于身份的策略、信任策略和会话策略。解决方案架构师需要允许账户 A 中的 IAM 用户承担账户 B 中的角色。解决方案架构师必须采取哪些步骤组合才能满足此要求？ （选择三项。）

选项

A. Configure the SCP for Account A to allow the action.

中文翻译：
配置帐户 A 的 SCP 以允许该操作。

B. Configure the resource-based policies to allow the action.

中文翻译：
配置基于资源的策略以允许该操作。

C. Configure the identity-based policy on the user in Account A to allow the action.

中文翻译：
在账户 A 中的用户上配置基于身份的策略以允许该操作。

D. Configure the identity-based policy on the user in Account B to allow the action.

中文翻译：
在账户 B 中的用户上配置基于身份的策略以允许该操作。

E. Configure the trust policy on the target role in Account B to allow the action.

中文翻译：
在账户 B 中的目标角色上配置信任策略以允许该操作。

F. Configure the session policy to allow the action and to be passed programmatically by the GetSessionToken API operation.

中文翻译：
配置会话策略以允许该操作并由 GetSessionToken API 操作以编程方式传递。

答案

ACE

解析

正确答案：ACE 解析： 本题应选择 ACE。 正确选项： A. 配置帐户 A 的 SCP 以允许该操作。 C. 在账户 A 中的用户上配置基于身份的策略以允许该操作。 E. 在账户 B 中的目标角色上配置信任策略以允许该操作。 选择理由： 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时，需要同时对照题干里的限定词，例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主...

登录后查看完整解析