一家公司有两个 AWS 账户:一个账户用于生产工作负载,另一个账户用于开发工作负载。开发团队和运营团队负责创建和管理这些工作负载。公司需要满足以下要求的安全策略:
开发人员需要创建和删除开发应用程序基础设施。
操作员需要创建和删除开发和生产应用程序基础设施。
开发人员不能拥有生产基础设施的访问权限。
所有用户都必须拥有一组 AWS 凭证。
哪种策略将满足这些要求?
A. 在生产账户中,创建可创建和删除应用程序基础设施的运营 IAM 组;为每个操作员创建一个 IAM 用户,将这些用户分配给运营组。
在开发账户中:创建一个可以创建和删除应用程序基础设施的开发 IAM 组;为每个操作员和开发人员创建一个 IAM 用户,将这些用户分配给开发组。
B. 在生产账户中:创建可创建和删除应用程序基础设施的运营 IAM 组。
在开发账户中:创建一个可以创建和删除应用程序基础设施的开发 IAM 组;为每个开发人员创建一个 IAM 用户,将这些用户分配给开发组;为每个操作员创建一个 IAM 用户。将这些用户分配给开发组和生产账户中的运营组。
C. 在开发账户中:
创建一个共享 IAM 角色,该角色可以在生产账户中创建和删除应用程序基础设施。
创建一个可以创建和删除开发应用程序基础设施的开发 IAM 组。
创建一个可代入共享角色的运营 IAM 组。
为每个开发人员创建一个 IAM 用户,将这些用户分配给开发组。
为每个操作员创建一个 IAM 用户,将这些用户分配给开发组和运营组。
D. 在生产账户中:
创建一个可创建和删除生产应用程序基础设施的共享 IAM 角色,将开发账户添加到共享角色的信任策略中。
在开发账户中:
创建一个可以创建和删除开发应用程序基础设施的开发 IAM 组。
创建一个可代入生产账户中共享角色的运营 IAM 组。
为每个开发人员创建一个 IAM 用户,将这些用户分配给开发组。
为每个操作员创建一个 IAM 用户,将这些用户分配给开发组和运营组。
D
A. 不正确。该方案要求操作员提供两组 AWS 凭证。
B. 不正确。AWS 的身份认证不支持将 AWS 账户中的IAM 用户添加到其他 AWS 账户中的 IAM 组。
C. 不正确。共享角色必须与共享角色管理的资源位于同一账户中。开发账户中角色无法授予对生产账户中资源的访问权限。
D. 正确。项目使用两个 AWS 账户,分别部署开发和生产环境;需要使用AWS跨账号角色访问。