一家公司拥有多个AWS账户,并通过AWSOrganizations管理这些账户.为开发人员提供了IAM用户凭证,以访问AWS资源.开发人员应该对该帐户中的所有AmazonS3存储桶具有只读访问权限.然而,当开发人员尝试从控制台访问S3存储桶时,他们会收到拒绝访问错误消息,其中未列出存储桶.解决方案架构师查看了权限,发现开发人员的IAM用户被列为对帐户中的allS3存储桶具有只读访问权限.解决方案架构师应采取哪些其他步骤来解决问题(选择两个.)()
A.检查所有S3存储桶的存储桶策略
B.检查所有S3存储桶的ACL
C.检查在组织单位(OU)设置的SCP
D.检查为IAM用户设置的权限边界
E.检查适当的IAM角色是否已附加到IAM用户
CD
解析:即使存储桶策略是基于资源的策略,A也不正确,并且将在组织SCP之后进行评估,如果策略中设置了DENY,则将在列表中列出该策略.您将在"访问"列中看到单词"ERROR".B是错误的,因为即使ACL是基于资源的策略,您也可以使用ACL授予存储桶中对象的基本读取/写入权限.如果存储桶中有ACL,您仍然可以使用ListBuckets.C是正确的,因为在拒绝评估之后,对一个组织的SCP进行评估并对其进行影响/合并.(请参阅下面的链接)D是正确的,因为权限边界上的DENY不允许开发人员将ListBuckets列出E是不正确的,因为这是IAM许可,并在基于DENY,ORGSCP和基于资源的策略评估之后应用.此外,解决方案架构师还检查了开发人员的IAM用户,并将其列为只读.https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallowFM2008290160