SAP-C02 第 510 题
题目
A company wants to create a single Amazon S3 bucket for its data scientists to store work-related documents. The company uses AWS IAM Identity Center to authenticate all users. A group for the data scientists was created. The company wants to give the data scientists access to only their own work. The company also wants to create monthly reports that show which documents each user accessed. Which combination of steps will meet these requirements? (Choose two.)
中文翻译:
一家公司希望为其数据科学家创建一个 Amazon S3 存储桶来存储与工作相关的文档。该公司使用 AWS IAM Identity Center 对所有用户进行身份验证。创建了一个数据科学家小组。该公司希望数据科学家只能访问他们自己的工作成果。该公司还希望创建月度报告,显示每个用户访问了哪些文档。哪种步骤组合可以满足这些要求? (选择两个。)
选项
A. Create a custom IAM Identity Center permission set to grant the data scientists access to an S3 bucket prefix that matches their username tag. Use a policy to limit access to paths with the ${aws:PrincipalTag/userName}/* condition.
中文翻译:
创建自定义 IAM Identity Center 权限集,以授予数据科学家访问与其用户名标签匹配的 S3 存储桶前缀的权限。使用策略限制对具有 ${aws:PrincipalTag/userName}/* 条件的路径的访问。
B. Create an IAM Identity Center role for the data scientists group that has Amazon S3 read access and write access. Add an S3 bucket policy that allows access to the IAM Identity Center role.
中文翻译:
为具有 Amazon S3 读取访问权限和写入访问权限的数据科学家组创建 IAM Identity Center 角色。添加允许访问 IAM Identity Center 角色的 S3 存储桶策略。
C. Configure AWS CloudTrail to log S3 data events and deliver the logs to an S3 bucket. Use Amazon Athena to run queries on the CloudTrail logs in Amazon S3 and generate reports.
中文翻译:
配置 AWS CloudTrail 以记录 S3 数据事件并将日志传送到 S3 存储桶。使用 Amazon Athena 对 Amazon S3 中的 CloudTrail 日志运行查询并生成报告。
D. Configure AWS CloudTrail to log S3 management events to CloudWatch. Use Amazon Athena’s CloudWatch connector to query the logs and generate reports.
中文翻译:
配置 AWS CloudTrail 以将 S3 管理事件记录到 CloudWatch。使用 Amazon Athena 的 CloudWatch 连接器查询日志并生成报告。
E. Enable S3 access logging to EMR File System (EMRFS). Use Amazon S3 Select to query logs and generate reports.
中文翻译:
启用对 EMR 文件系统 (EMRFS) 的 S3 访问日志记录。使用 Amazon S3 Select 查询日志并生成报告。
答案
AC
解析
正确答案:AC 解析: 本题应选择 AC。 正确选项: A. 创建自定义 IAM Identity Center 权限集,以授予数据科学家访问与其用户名标签匹配的 S3 存储桶前缀的权限。使用策略限制对具有 ${aws:PrincipalTag/userName}/* 条件的路径的访问。 C. 配置 AWS CloudTrail 以记录 S3 数据事件并将日志传送到 S3 存储桶。使用 Amazon Athena 对 Amazon S3...