一家公司有兩個 AWS 賬戶:一個賬戶用于生產工作負載,另一個賬戶用于開發工作負載。開發團隊和運營團隊負責創建和管理這些工作負載。公司需要滿足以下要求的安全策略:
開發人員需要創建和刪除開發應用程序基礎設施。
操作員需要創建和刪除開發和生產應用程序基礎設施。
開發人員不能擁有生產基礎設施的訪問權限。
所有用戶都必須擁有一組 AWS 憑證。
哪種策略將滿足這些要求?
A. 在生產賬戶中,創建可創建和刪除應用程序基礎設施的運營 IAM 組;為每個操作員創建一個 IAM 用戶,將這些用戶分配給運營組。
在開發賬戶中:創建一個可以創建和刪除應用程序基礎設施的開發 IAM 組;為每個操作員和開發人員創建一個 IAM 用戶,將這些用戶分配給開發組。
B. 在生產賬戶中:創建可創建和刪除應用程序基礎設施的運營 IAM 組。
在開發賬戶中:創建一個可以創建和刪除應用程序基礎設施的開發 IAM 組;為每個開發人員創建一個 IAM 用戶,將這些用戶分配給開發組;為每個操作員創建一個 IAM 用戶。將這些用戶分配給開發組和生產賬戶中的運營組。
C. 在開發賬戶中:
創建一個共享 IAM 角色,該角色可以在生產賬戶中創建和刪除應用程序基礎設施。
創建一個可以創建和刪除開發應用程序基礎設施的開發 IAM 組。
創建一個可代入共享角色的運營 IAM 組。
為每個開發人員創建一個 IAM 用戶,將這些用戶分配給開發組。
為每個操作員創建一個 IAM 用戶,將這些用戶分配給開發組和運營組。
D. 在生產賬戶中:
創建一個可創建和刪除生產應用程序基礎設施的共享 IAM 角色,將開發賬戶添加到共享角色的信任策略中。
在開發賬戶中:
創建一個可以創建和刪除開發應用程序基礎設施的開發 IAM 組。
創建一個可代入生產賬戶中共享角色的運營 IAM 組。
為每個開發人員創建一個 IAM 用戶,將這些用戶分配給開發組。
為每個操作員創建一個 IAM 用戶,將這些用戶分配給開發組和運營組。
D
A. 不正確。該方案要求操作員提供兩組 AWS 憑證。
B. 不正確。AWS 的身份認證不支持將 AWS 賬戶中的IAM 用戶添加到其他 AWS 賬戶中的 IAM 組。
C. 不正確。共享角色必須與共享角色管理的資源位于同一賬戶中。開發賬戶中角色無法授予對生產賬戶中資源的訪問權限。
D. 正確。項目使用兩個 AWS 賬戶,分別部署開發和生產環境;需要使用AWS跨賬號角色訪問。