考题解析 | 在 AWS 多账户环境批量配置 IAM 角色


  题目

一家公司在 AWS Organizations 内的某个组织中拥有多个 AWS 账户。该公司已将其本地部署 ActiveDirectory 与 AWS Single Sign-On (AWS SSO) 集成在一起,以授予 Active Directory 用户跨所有账户管理基础设施的最低权限。
解决方案架构师必须集成需要对所有 AWS 账户拥有只读访问权限的第三方监控解决方案。监控解决方案将在其自己的 AWS 账户中运行。
解决方案架构师应该怎么做才能为监控解决方案提供所需的权限?

A. 在 AWS SSO 目录中创建一个用户。为该用户分配只读权限集。为该用户分配需要监控的所有 AWS账户。向第三方监控解决方案提供用户名和密码。
B. 在组织的管理账户中创建一个 IAM 角色。允许第三方监控解决方案的 AWS 账户代入该角色。
C. 邀请第三方监控解决方案的 AWS 账户加入组织。启用所有功能。
D. 创建一个为第三方监控解决方案定义新 IAM 角色的 AWS CloudFormation 模板。在信任策略中指定第三方监控解决方案的 AWS 账户。使用堆栈集跨所有关联的 AWS 账户创建 IAM 角色。

  参考答案

D

  参考解析

A. 不正确。AWS Single Sign-On (AWS SSO) 提供的凭证是临时的,应用程序将失去权限,必须重新登录。
B. 不正确。在该解决方案中,仅仅可以实现授予第三方监控解决方案的 AWS 账户对管理账户的访问权限。
C. 不正确。第三方监控方案的 AWS 账户加入组织时,该账户无法获得访问组织中其他账户的权限。
D. 正确。AWS CloudFormation StackSets 只需一次操作即可跨多个账户部署 IAM 角色。通过使用 AWS CloudFormation StackSets, 可以在单个操作中跨多个账户和 AWS 区域 创建、更新或删除堆栈来扩展堆栈的功能。