-
一家公司在 AWS Organizations 的一个组织中集中管理数百个 AWS 账户。该公司最近开始允许产品团队在他们的账户中创建和管理他们自己的 S3 访问点。 S3 接入点只能在 VPC 内访问,不能在 Internet 上访问。
执行此要求的最有效的操作方法是什么?A. 将 S3 接入点资源策略设置为拒绝 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 条件键评估为 VPC。
B. 在组织的根级别创建一个 SCP 以拒绝 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 条件键评估为 VPC。
C. 使用 AWS CloudFormation StackSets 在每个 AWS 账户中创建一个新的 IAM 策略,仅当 s3:AccessPointNetworkOrigin 条件键评估为 VPC 时才允许 s3:CreateA ce sPoint 操作。
D. 设置 S3 存储桶策略以拒绝 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 条件键评估为 VPC。
答案:B
-
一家跟踪医院医疗设备的公司希望将其现有的存储解决方案迁移到 AWS 云。该公司为其所有设备配备了传感器,用于收集位置和使用信息。该传感器数据以不可预测的模式发送,并且具有大的峰值。数据存储在每家医院内部运行的 MySQL 数据库中。公司希望云存储解决方案随使用情况扩展。公司的分析团队使用传感器数据按设备类型和医院计算使用情况。团队需要保持分析工具运行本地,同时从云端获取数据。团队还需要使用现有的 Java 应用程序和 SQL 查询,并尽可能减少更改。
解决方案架构师应如何在确保传感器数据安全的同时满足这些要求?A. 将数据存储在 Amazon Aurora Serverless 数据库中。通过网络负载均衡器 (NLB) 提供数据。使用存储在 AWS Secrets Manager 中的凭证使用 NLB 对用户进行身份验证。
B. 将数据存储在 Amazon S3 存储桶中。使用经 AWS Identity and Access Management (IAM) 授权的 IAM 用户通过 Amazon QuickSight 提供数据,并将 S3 存储桶作为数据源。
C. 将数据存储在 Amazon Aurora Serverless 数据库中。使用获得 AWS Identity and Access Management (IAM) 和 AWS Secrets Manager ARN 授权的 IAM 用户通过 Aurora Data API 提供数据。
D. 将数据存储在 Amazon S3 存储桶中。使用 AWS PrivateLink 通过 Amazon Athena 提供数据以保护传输中的数据。
答案:C
-
一家公司拥有多个 AWS 账户,作为使用 AWS Organizations 创建的组织的一部分。每个账户在 us-east-2 区域都有一个 VPC,用于生产或开发工作负载跨生产账户的 Amazon EC2 实例需要相互通信和EC2跨开发账户的实例需要相互通信,但生产和开发实例应该不能相互通信。为了方便连接,公司创建了一个公共网络账户。公司使用AWS Transit Gateway创建了一个中转网关在 us-east-2 区域中,网络账户并使用 AWS Resource Access Manager 网络管理员与整个组织共享中转网关,然后将每个账户中的 VPC 附加到中转网关,之后 EC2 实例能够跨账户进行通信。然而,生产和开发帐户也能够相互通信。
解决方案架构师应该采取哪些步骤来确保生产流量和开发流量完全隔离?A. 修改分配给开发 EC2 实例的安全组以阻止来自生产的流量。EC2 实例修改分配给生产的安全组。用于阻止来自开发 EC2 实例的流量的 EC2 实例
B. 根据要附加的账户类型,在每个 VPC 附件上创建一个值为生产或开发的标签。使用 AWS Transit Gateway 的网络管理器功能,根据此标签的值创建限制 VPC 之间流量的策略
C. 为生产和开发流量创建单独的路由表。删除每个账户的关联和路由传播到默认的 AWS Transit Gateway 路由表。将开发 VPC 附加到开发 AWS Transit Gateway 路由表,将生产 VPC 附加到生产路由表并启用自动每个附件上的路由传播
D. 根据要附加的账户类型,在每个 VPC 附件上创建一个值为生产或开发的标签。修改 AWS Transit Gateway 路由表以将生产标记的附件彼此路由,并将开发标记的附件路由到彼此
答案:C
-
解决方案架构师正在设计一个解决方案,该解决方案由 Auto Scaling 组中的一组 Amaz n EC2 预留实例 (Rls) 组成,随着使用量的增加,该组将随着时间的推移而增长。该解决方案需要保持 80% 的 Rl 覆盖率以保持成本控制当覆盖率低于 30% 时,使用电子邮件分发列表向 DevOps 团队发出警报。该解决方案还必须包括生成报告以轻松跟踪和管理覆盖率的能力。公司有一项政策,每个 AWS 账户只允许一个工作负载.
解决方案架构师应该采取哪些步骤来创建报告并提醒 DevOps 团队?A. 创建 Amazon Simple Notification Service (Amazon SNS) 主题并订阅 DevOps 电子邮件分发列表。启用成本分配标签并确保实例在启动时填充客户管理的成本分配标签。使用 AWS 账单和成本管理控制台创建一个Rl 覆盖范围的预算,使用客户管理的成本分配标签进行适配并将阈值设置为 80% 并链接到在我的警报配置中创建的 SNS 主题
B. 创建 Amazon Simple Notification Service (Amazon SNS) 主题并订阅 DevOps 电子邮件分发列表。使用成本管理器控制台配置 Rl 利用率报告,将利用率目标设置为 30% 并链接到警报中创建的 SNS 主题配置
C. 使用 AWS Billing and Cost Management 控制台为 Rl 利用率创建预留预算,将利用率设置为 80% 并在警报配置中输入电子邮件分发列表
D. 启用成本分配标签并确保实例在启动时填充客户管理的成本分配标签。使用成本管理器控制台配置 Rl 覆盖范围的报告,使用客户管理的成本分配标签进行过滤并将阈值设置为 80% 并输入警报配置中的电子邮件分发列表。
答案:A
-
一家公司基于部署在 AWS Cloud Formation 堆栈中的 AWS Lambda 构建了一个应用程序。Web 应用程序的最后一个生产版本引入了一个问题,导致持续几分钟的中断。解决方案架构师必须调整部署过程以支持金丝雀版本 .
哪种解决方案将满足这些要求?A. 为每个新部署的 Lambda 函数版本创建一个别名。使用 AWS CLI update-alias 命令和 routing-config 参数来分配负载
B. 将应用程序部署到新的 Cloud Format 离子堆栈中。使用 Amazon Route 53 加权路由策略来分配负载
C. 创建一个版本(或每个新部署的 Lambda 函数。使用 AWS CLI update-function-configuration 命令和 routing-config 参数来分配负载
D. 配置 AWS CodeDeploy 并在 Deployment 配置中使用 Code Deploy Default OneAtATime 来分配负载
答案:A
-
一家公司在其主要办公室托管一个大型内部部署 MySQL 数据库,该数据库支持全球员工使用的问题跟踪系统。该公司已经将 AWS 用于某些工作负载,并为数据库端点创建了一个 Amazon Route 53 条目,指向本地数据库。管理层担心数据库是单点故障,并希望解决方案架构师将数据库迁移到 AWS,而不会造成任何数据丢失或停机。
解决方案架构师应该实施哪一组操作?A. 创建 Amazon Aurora 数据库集群。使用 AWS Database Migration Service (AWS DMS) 将本地数据库完全加载到 Aurora。更新数据库的 Route 53 条目以指向 Aurora 集群终端节点并关闭本地数据库
B. 在非工作时间关闭本地数据库并创建备份。将此备份还原到 Amazon Aurora 数据库集群。还原完成后,更新数据库的 Route 53 条目以指向 Aurora 集群终端节点并关闭本地数据库
C. 创建 Amazon Aurora 数据库集群 使用 AWS Database .Migration Service (AWS DMS) 执行完整加载,并从本地数据库到 Aurora 的持续复制。迁移完成后,将数据库的 Route 53 条目更新为指向到 Aurora 集群端点并关闭本地数据库
D. 创建数据库的备份并将其还原到 Amazon Aurora 多主集群。此 Aurora 集群将采用本地数据库的主-主复制配置。更新数据库的 Route 53 条目以指向Aurora 集群端点并关闭本地数据库
答案:C
-
一家公司在其本地数据中心运行着许多服务。该数据中心使用 AWS Direct Connect (DX) 和 iPSec VPN 连接到 AWS。 服务数据是敏感的,连接不能穿越互联网。该公司希望扩展到一个新的细分市场,并开始向使用 AWS 的其他公司提供其服务。
哪种解决方案将满足这些要求?A. 创建一个接受 TCP 流量的 VPC 端点服务,将其托管在网络负载均衡器之后,并使该服务通过 DX 可用
B. 创建一个接受 HTTP 或 HTTPS 流量的 VPC 端点服务 将它托管在应用程序负载均衡器之后,并使该服务通过 DX 可用
C. 为 VPC 附加 Internet 网关,并确保网络访问控制和安全组规则允许相关的入站和出站流量
D. 为 VPC 附加 NAT 网关,并确保网络访问控制和安全组规则允许相关的入站和出站流量
答案:A
-
一家公司维护着一个餐厅评论网站。该网站是一个单页应用程序,其中文件存储在 Amazon S3 中并使用 Amazon CloudFront 交付。该公司每天都会收到几条人工删除的虚假帖子。安全团队已经确定大部分虚假帖子来自 IP 地址在同一全球区域内声誉不佳的点。团队需要创建一个解决方案来帮助限制机器人访问网站。
解决方案架构师应该使用哪种策略?A. 使用 AWS Firewall Manager 控制 CloudFront 分配安全设置。创建地理阻止规则并将其与 Firewall Manager 关联
B. 将 AWS WAF Web ACL 与 CloudFront 分配关联。使用拒绝操作为 Web ACL 选择托管 Amazon IP 信誉规则组
C. 使用 AWS Firewall Manager 控制 CloudFront 分配安全设置。选择托管 Amazon IP 信誉规则组并将其与 Firewall Manager 关联并执行拒绝操作
D. 将 AWS WAF Web ACL 与 CloudFront 分配关联。使用带有拒绝操作的地理匹配语句为 Web ACL 创建规则组
答案:B
-
一家公司的应用服务已被容器化并部署在具有公共 IP 的多个 Amazon EC2 实例上。一个 Apache Kafka 集群已部署到 EC2 实例。PostgreSQL 数据库已迁移到 Amazon RDS for PostgreSQL。该公司预计,当新版本的旗舰产品发布时,其平台上的订单将显着增加。
对当前架构的哪些更改将减少运营开销并支持产品发布?A. 在应用程序负载均衡器后面创建一个 EC2 Auto Scaling 组。为数据库实例创建额外的只读副本。创建 Amazon Kinesis 数据流并配置应用程序服务以使用数据流。直接从 Amazon S3 存储和提供静态内容。
B. 在应用程序负载均衡器后面创建一个 EC2 Auto Scaling 组。在多可用区模式下部署数据库实例并启用存储自动扩展。创建 Amazon Kinesis 数据流并配置应用程序服务以使用数据流。存储和提供静态内容直接来自 Amazon S3。
C. 在应用程序负载均衡器后面的 EC2 实例上创建的 Kubernetes 集群上部署应用程序。在多可用区模式下部署数据库实例并启用存储自动扩展。为 Apache Kafka 集群创建 Amazon Managed Streaming 并将应用程序服务配置为在 Amazon CloudFront 分配后面的 Amazon S3 中使用 cluster.Store 静态内容。
D. 使用 AWS Fargate 在 Amazon Elastic Kubernetes Service (Amazon EKS) 上部署应用程序并在应用程序负载均衡器后面启用自动扩展。为数据库实例创建额外的只读副本。为 Apache Kafka 集群创建 Amazon Managed Streaming 并配置应用程序服务使用集群。将静态内容存储在 Amazon CloudFront 分配后面的 Amazon S3 中。
答案:D
-
一家公司在 AWS 上运行业务线 (LOB) 应用程序以支持其用户。该应用程序在一个 VPC 中运行,在另一个 AWS 区域的第二个 VPC 中具有备份副本以进行灾难恢复。该公司有一个其本地网络与 AWS 之间的 AWS Direct Connect 连接。该连接终止于 Direct Connect 网关。对应用程序的所有访问都必须来自公司的内部部署网络,并且必须通过使用 IPsec 对传输中的流量进行加密。公司正在通过 Direct Connect 连接的 VPN 隧道路由流量,以提供所需的加密。业务连续性审计确定 Direct Connect 连接代表访问应用程序的潜在单点故障。公司需要尽快修复此问题。
哪种方法可以满足这些要求?A. 订购到不同 Direct Connect 位置的第二个 Direct Connect 连接。在同一 Direct Connect 网关终止第二个 Direct Connect 连接。
B. 通过 Internet 配置 AWS 站点到站点 VPN 连接。在次要区域的虚拟专用网关处终止 VPN 连接。
C. 创建一个中转网关。将 VPC 附加到中转网关,并将中转网关连接到 Direct Connect 网关。配置 AWS 站点到站点 VPN 连接,并在中转网关处终止它。
D. 创建一个中转网关。将 VPC 连接到中转网关,并将中转网关连接到 Direct Connect 网关。订购第二个 Direct Connect 连接并在中转网关处终止它。
答案:C
-
一家在线零售公司将其基于 Web 的有状态应用程序和 MySQL 数据库托管在单个服务器上的本地数据中心。该公司希望通过开展更多营销活动和促销活动来增加其客户群。在准备过程中,该公司希望迁移将其应用程序和数据库迁移到 AWS o 提高其架构的可靠性。
哪种解决方案应提供最高级别的可靠性?A. 将数据库迁移到 Amazon RDS MySQL 多可用区数据库实例。在 Amazon Neptune 中的 Application Load Balancer.Store 会话后面的 Amaz n EC2 实例上的 Auto Scaling 组中部署应用程序。
B. 将数据库迁移到 Amazon Aurora MySQL。在 Amazon EC2 实例上的 Auto Scaling 组中部署应用程序,在应用程序负载均衡器后面。在 Amazon ElastiCache fo Redis 复制组中存储会话。
C. 将数据库迁移到 Amazon DocumentDB(与 MongoDB 兼容)。在网络负载均衡器后面的 Amazon EC2 实例上的 Auto Scaling 组中部署应用程序。在 Amazon Kinesis Data Firehose 中存储会话。
D. 将数据库迁移到 Amazon RDS MariaDB 多可用区数据库实例。在应用程序负载均衡器后面的 Amazon EC2 实例上的 Auto Scaling 组中部署应用程序。在 Amazon ElastiCache for Memcached 中存储会话。
答案:A
-
一家初创公司使用最新的 Amazon Linux 2 AMI 在私有子网中托管一组 Amazon EC2 实例。该公司的工程师严重依赖对实例的 SSH 访问来进行故障排除。该公司现有的架构包括以下内容:
- 具有私有和公有子网的 VPC 以及 NAT 网关
- 用于连接本地环境的站点到站点 VPN
- EC2 安全组,可从本地环境直接 SSH 访问
公司需要加强对 SSH 访问的安全控制,并对工程师执行的命令进行审计。解决方案架构师应该使用哪种策略?
A. 在 EC2 实例队列上安装和配置 EC2 Instance Connect。删除附加到 EC2 实例的所有允许端口 22 上的入站 TCP 的安全组规则。建议工程师使用 EC2 Instance Connect CLI 远程访问实例
B. 更新 EC2 安全组以仅允许端口 22 上的入站 TCP 到达工程师设备的 IP 地址。在所有 EC2 实例上安装 Amazon CloudWatch 代理并将操作系统审核日志发送到 CloudWatch Logs
C. 更新 EC2 安全组以仅允许端口 22 上的入站 TCP 到达工程师设备的 IP 地址。启用 AWS Config 以更改 EC2 安全组资源。启用 AWS 防火墙管理器并应用自动修复规则更改的安全组策略
D. 创建一个附加了 AmazonSSMManaged InstanceCore 托管策略的 IAM 角色。将 IAM 角色附加到所有 EC2 实例。删除附加到 C2 实例的所有安全组规则,这些规则允许端口 22 上的入站 TCP。让工程师安装 AWS Systems Manager会话管理器插件用于他们的设备并使用来自系统管理器的启动会话 API 调用远程访问实例
答案:C
-
一家公司正在构建一个传感器数据收集管道,其中数千个传感器每分钟将数据写入 Amazon Simple Queue Service (Amazon SQS) 队列。该队列由 AWS Lambda 函数处理,该函数从传感器数据中提取一组标准指标. 公司希望将数据发送到 Amazon CloudWatch。该解决方案应允许查看单个和聚合传感器指标,并使用 CloudWatch Logs Insights 交互式查询传感器日志数据。
满足这些要求的最具成本效益的解决方案是什么?A. 将处理后的数据以 CloudWatch 嵌入式指标格式写入 CloudWatch Logs
B. 将处理后的数据写入 CloudWatch Logs。然后使用 PutMetricData API 调用将数据写入 CloudWatch
C. 将处理后的数据以结构化格式写入 CloudWatch Logs。创建 CloudWatch 指标过滤器以解析日志并将指标发布到 CloudWatch,其中包含唯一标识传感器的维度
D. 为 AWS Lambda 配置 CloudWatch Logs 代理 以 statsd 格式输出每个传感器的指标,并带有标签以唯一标识传感器。将处理后的数据写入 CloudWatch Logs
答案:C
-
一家公司正在创建 REST API 以与其位于美国的六个合作伙伴共享信息。该公司创建了一个 Amazon API 网关区域端点。六个合作伙伴中的每一个每天都会访问该 API 一次以发布每日销售数据。初始部署后,该公司观察到每秒 1,000 个请求来自全球 500 个不同的 IP 地址。该公司认为该流量来自僵尸网络,终端希望在保护其 API 的同时最大限度地降低成本。
公司应该采取哪种方法来保护其 API?A. 创建一个以 API 为源的 Amazon CloudFront 分配。创建一个 AWS WAF Web ACL,其中包含阻止每天提交超过 5 个请求的客户端的规则。将 Web ACL 与 CloudFront 分配相关联。使用源访问配置 CloudFront身份 (OAI) 并将其与分发关联。配置 API 网关以确保只有 OAI 可以执行 POST 方法
B. 创建一个以 API 为源的 Amazon CloudFront 分配。创建一个 AWS WAF Web ACL,其中包含阻止每天提交超过五个请求的客户端的规则。将 Web ACL 与 CloudFront 分配相关联。将自定义标头添加到使用 API 密钥填充的 CloudFront 分配。将 API 配置为在 POST 方法上需要 API 密钥
C. 使用规则创建 AWS WAF Web ACL 以允许访问六个合作伙伴使用的 IP 地址。将 Web ACL 与 API 关联。创建具有请求限制的资源策略并将其与 API 关联。配置 API在 POST 方法上需要 API 密钥
D. 使用规则创建 AWS WAF Web ACL 以允许访问六个合作伙伴使用的 IP 地址。将 Web ACL 与 API 关联。创建具有请求限制的使用计划并将其与 API 关联。创建 API键并将其添加到使用计划中。
答案:D
-
一家教育公司正在运行一个供世界各地大学生使用的 Web 应用程序。该应用程序在应用程序负载均衡器 (ALB) 后面的 Auto Scaling 组中的 Amazon Elastic Container Service (Amazon ECS) 集群中运行。系统管理员每周检测一次使应用程序的身份验证服务不堪重负的失败登录尝试次数激增。所有尾随登录尝试来自大约 500 个每周更改的不同 IP 地址。解决方案架构师必须防止尾随登录尝试使身份验证服务不堪重负。
哪种解决方案以最高的运营效率满足这些要求?A. 使用 AWS Firewall Manager 创建安全组和安全组策略以拒绝来自 IP 地址的访问
B. 使用基于速率的规则创建 AWS WAF Web ACL 并将规则操作设置为 Block 将 Web ACL 连接到 ALB
C. 使用 AWS Firewall Manager 创建安全组和安全组策略以仅允许访问特定 CIDR 范围
D. 使用 IP 集匹配规则创建 AWS WAF Web ACL,并将规则操作设置为阻止将 Web ACL 连接到 ALB
答案:B
-
一家公司的站点可靠性工程师正在对公司收购的账户内的 Amazon FSx for Windows 文件服务器部署进行审查。公司政策规定,所有 Amazon FSx 文件系统必须配置为跨可用区高度可用。在审查期间,站点可靠性工程师发现其中一个 Amazon FSx 文件系统使用了单可用区 2 的部署类型。解决方案架构师需要最大限度地减少停机时间,同时使此 Amazon FSx 文件系统与公司政策保持一致。
解决方案架构师应该怎么做才能满足这些要求?A. 将此 Amazon FSx 文件系统的部署类型重新配置为多可用区。
B. 创建部署类型为多可用区的新 Amazon FSx 文件系统。使用 AWS DataSync 将数据传输到新的 Amazon FSx 文件系统。将用户指向新位置。
C. 创建第二个 Amazon FSx 文件系统,部署类型为 Single-AZ 2.使用 AWS DataSync 保持数据同步。发生故障时将用户切换到第二个 Amazon FSx 文件系统。
D. 使用 AWS 管理控制台备份 Amazon FSx 文件系统。创建一个部署类型为多可用区的新 Amazon FSx 文件系统。将备份恢复到新的 Amazon FSx 文件系统。将用户指向新的地点。
答案:D
-
一家公司有多个应用程序在本地数据中心运行。该数据中心运行由 VMware vCenter 管理的混合 Windows 和 Linux 虚拟机。解决方案架构师需要制定将应用程序迁移到 AWS 的计划。但是,解决方案架构师发现应用程序的文档不是最新的,并且没有完整的基础架构图。公司的开发人员没有时间与解决方案架构师讨论他们的应用程序和当前的使用情况。
解决方案架构师应该做什么来收集所需的信息?A. 使用 VMware 集群上的 OVA 映像部署 AWS 服务器迁移服务 (AWS SMS) 连接器,以从 VM 收集配置数据。
B. 使用 AWS Migration Portfolio Assessment (MPA) 工具连接到每个 VM 以收集配置和利用率数据。
C. 在每个 VM 上安装 AWS Application Discovery Service 以收集配置和利用率数据。
D. 向 AWS Migration Hub 注册本地 VM 以收集配置和利用率数据。
答案:C
-
一家公司希望将 Amazon WorkSpaces 与客户端设备结合使用来替换老化的桌面。员工使用桌面访问处理临床试验数据的应用程序。公司安全策略规定,对应用程序的访问必须仅限于公司分支机构位置.该公司正在考虑在未来 6 个月内增设一家分公司。
哪种解决方案以最高的运营效率满足这些要求?A. 使用来自分支机构的公共地址列表创建 IP 访问控制组规则。将 IP 访问控制组与 WorkSpaces 目录相关联。
B. 使用 AWS Firewall Manager 使用来自分支机构位置的公共地址列表的 IPSET 创建 Web ACL 规则。将 Web ACL 与 WorkSpaces 目录相关联。
C. 使用 AWS Certificate Manager (ACM) 向部署在分支机构位置的机器颁发可信设备证书。在 WorkSpaces 目录上启用受限访问。
D. 创建一个自定义的 WorkSpaces 映像,并将 Windows 防火墙配置为限制对分支机构公共地址的配置访问。使用该映像部署 Workspace。
答案:A
-
一家公司有多个业务部门。每个业务部门都有自己的 AWS 账户,并在该账户内运行一个网站。该公司还有一个日志账户每个业务部门网站的日志都聚合到日志账户中的一个 Amazon 53 存储桶中。S3 存储桶策略提供每个业务部门有权将数据写入存储桶并要求对数据进行加密。公司需要使用单个 AWS 密钥管理服务 (AWS KMS) CMK 对上传到存储桶的 tog 进行加密。保护数据的 CMK 必须轮换一次每 365 天。
公司使用哪种策略来满足这些要求在运营上最有效?A. 在日志账户中创建客户管理的 CMK 更新 CMK 密钥策略以仅提供对日志账户的访问。每 355 天手动轮换一次 CMK
B. 在日志账户中创建客户管理的 CMK 更新 CMK 密钥策略以提供对日志账户和业务部门账户的访问。启用 CMK 的自动轮换
C. 在日志账户中使用 AWS 托管 CMK 更新 CMK 密钥策略以提供对日志账户和业务部门账户的访问。每 365 天手动轮换 CMK
D. 在日志账户中使用 AWS 托管的 CMK。更新 CMK 密钥策略以仅提供对日志账户的访问 启用 CMK 的自动轮换。
答案:D
-
以下 AWS Identity and Access Management (IAM) 客户托管策略已 附加到 IAM 用户:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": [ "arn:aws:s3:::prod-data", "arn:aws:s3:::prod-data/*", ] }, { "Effect": "Deny", "Action": "s3:*", "Resource": [ "arn:aws:s3:::prod-data", "arn:aws:s3:::prod-data/*", ] } ] }哪个语句描述了此策略为用户提供的访问权限?
A. 此策略授予对所有 Amazon S3 操作的访问权限,包括 prod-data S3 存储桶中的所有操作。
B. 此策略拒绝访问所有 Amazon S3 操作,不包括 prod-data S3 存储桶中的所有操作。
C. 此策略拒绝访问 Amazon S3 存储桶和存储桶名称中没有 prod-data 的对象。
答案:A
AWS SAP-C01 (421-440)
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章