考題解析 | 在 AWS 多賬戶環境批量配置 IAM 角色
Sep 11th, 2024 by Anna
題目
一家公司在 AWS Organizations 內的某個組織中擁有多個 AWS 賬戶����。該公司已將其本地部署 ActiveDirectory 與 AWS Single Sign-On (AWS SSO) 集成在一起,以授予 Active Directory 用戶跨所有賬戶管理基礎設施的最低權限。
解決方案架構師必須集成需要對所有 AWS 賬戶擁有只讀訪問權限的第三方監控解決方案�����。監控解決方案將在其自己的 AWS 賬戶中運行。
解決方案架構師應該怎么做才能為監控解決方案提供所需的權限��?
A. 在 AWS SSO 目錄中創建一個用戶���。為該用戶分配只讀權限集����。為該用戶分配需要監控的所有 AWS賬戶。向第三方監控解決方案提供用戶名和密碼。
B. 在組織的管理賬戶中創建一個 IAM 角色���。允許第三方監控解決方案的 AWS 賬戶代入該角色。
C. 邀請第三方監控解決方案的 AWS 賬戶加入組織。啟用所有功能。
D. 創建一個為第三方監控解決方案定義新 IAM 角色的 AWS CloudFormation 模板����。在信任策略中指定第三方監控解決方案的 AWS 賬戶���。使用堆棧集跨所有關聯的 AWS 賬戶創建 IAM 角色�。
參考解析
A. 不正確�����。AWS Single Sign-On (AWS SSO) 提供的憑證是臨時的�,應用程序將失去權限�,必須重新登錄。
B. 不正確���。在該解決方案中���,僅僅可以實現授予第三方監控解決方案的 AWS 賬戶對管理賬戶的訪問權限。
C. 不正確����。第三方監控方案的 AWS 賬戶加入組織時���,該賬戶無法獲得訪問組織中其他賬戶的權限��。
D. 正確。AWS CloudFormation StackSets 只需一次操作即可跨多個賬戶部署 IAM 角色�����。通過使用 AWS CloudFormation StackSets����, 可以在單個操作中跨多個賬戶和 AWS 區域 創建、更新或刪除堆棧來擴展堆棧的功能。