Cloud Exam Pro

Bộ đề luyện thi AWS Certified CloudOps Engineer - Associate (SOA-C03) này được thiết kế để mô phỏng kỳ thi thực tế. Gồm 5 đề thi hoàn chỉnh, mỗi đề chứa 65 câu hỏi được biên soạn dựa trên exam guide chính thức từ AWS.

Đề được biên soạn từ đội ngũ Cloud Mentor Pro có hơn 3 năm đào tạo học viên thi chứng chỉ AWS

• Hơn 600 học viên theo học tại Cloud Mentor Pro

• Hơn 250 học viên đi thi và PASS chứng chỉ

• Tỷ lệ PASS chứng chỉ lần đầu đi thi trên 95%

Đặc điểm nổi bật của practice test:

• Xem đáp án ngay 👁️ hoặc sau khi hoàn thành

• ⏸️ Tạm dừng và tiếp tục bất cứ lúc nào

• Làm lại không giới hạn số lần

• ⏰ Có đếm ngược thời gian

• Đánh dấu câu cần xem lại bằng flag 🚩

• 💬 Thảo luận và giải đáp mọi thắc mắc qua kênh discord với Mentor

Câu hỏi ví dụ trong đề:

=======================

Question 1/65

A company has a multi-account environment. Account A has a production application that is hosted on an Amazon EC2 instance. The application needs to query data in an Amazon DynamoDB table that is hosted in Account B.

A SysOps administrator needs to provide the EC2 instance in Account A with access to the DynamoDB table in Account B.

What is the MOST secure solution that will meet these requirements?

A. Update the IAM policy that is attached to the EC2 instance's IAM role to allow the dynamodb:Query permission on the DynamoDB table in Account B. Add a policy in Account A to allow the DynamoDB service principal to use the PassRole action to pass the role to Account B.

B. In Account B, create an IAM role that has permission to query the DynamoDB table. Add the EC2 instance's IAM role to the trust policy on the newly created IAM role in Account B. Update the IAM policy that is attached to the EC2 instance's IAM role to allow the sts:AssumeRole permission on the newly created IAM role in Account B.

C. Update the IAM policy that is attached to the EC2 instance's IAM role to allow the dynamodb:Query permission on the DynamoDB table in Account B. Update the DynamoDB table's resource policy to allow the query action from the EC2 instance's IAM role.

D. In Account B, create a static IAM key that has the appropriate permissions to query the DynamoDB table. Embed these credentials into the credentials file on the EC2 instance. Reference the credentials every time the application needs to query the table.

Explanation

📝 Tóm tắt đề:

• Multi-account environment: Account A và Account B

• EC2 instance trong Account A chạy production application

• Application cần query DynamoDB table trong Account B

• Cần provide EC2 instance access to DynamoDB table

• Yêu cầu: MOST secure solution

✅ Đáp án đúng:

In Account B, create an IAM role that has permission to query the DynamoDB table. Add the EC2 instance's IAM role to the trust policy on the newly created IAM role in Account B. Update the IAM policy that is attached to the EC2 instance's IAM role to allow the sts:AssumeRole permission on the newly created IAM role in Account B.

• Standard cross-account access pattern với AssumeRole

• Account B creates IAM role với DynamoDB query permissions

• Trust policy trong Account B role allows Account A's EC2 role to assume it

• EC2 instance assumes Account B's role để temporary access DynamoDB

• Most secure: temporary credentials, no static keys, full audit trail với CloudTrail

• Principle of least privilege - chỉ grant specific permissions needed

Architectture:

Các đáp án sai:

❌ Update the IAM policy that is attached to the EC2 instance's IAM role to allow the dynamodb:Query permission on the DynamoDB table in Account B. Add a policy in Account A to allow the DynamoDB service principal to use the PassRole action to pass the role to Account B.

• KHÔNG thể directly grant permissions on resources trong another account chỉ bằng IAM policy

• PassRole action không dùng cho cross-account resource access pattern này

❌ Update the IAM policy that is attached to the EC2 instance's IAM role to allow the dynamodb:Query permission on the DynamoDB table in Account B. Update the DynamoDB table's resource policy to allow the query action from the EC2 instance's IAM role.

• DynamoDB KHÔNG có resource-based policies như S3 bucket policies

• DynamoDB chỉ support IAM identity-based policies

❌ In Account B, create a static IAM key that has the appropriate permissions to query the DynamoDB table. Embed these credentials into the credentials file on the EC2 instance. Reference the credentials every time the application needs to query the table.

• Static credentials = rủi ro security lớn

• Credentials có thể bị leaked hoặc compromised

• Vi phạm AWS security best practices - never nhúng credentials

🔑 Tips and tricks:

• "Cross-account access" + "most secure" → AssumeRole pattern

• Cross-account IAM role steps:

  1. Create role in destination account (Account B)

  2. Add trust policy allowing source account's principal

  3. Grant sts:AssumeRole permission in source account

• DynamoDB → KHÔNG có resource-based policies (khác S3, SNS, SQS)

• Static credentials → Never embed, always use temporary credentials

• PassRole → Used for passing roles to AWS services, không phải cross-account access

• Cross-account pattern → AssumeRole > Resource policies > Static credentials (worst)

📖 Reference:

• Tutorial: Delegate access across AWS accounts using IAM roles

• Providing access to an IAM user in another AWS account

=======================

✨ Chúc bạn có trãi nghiệm học tập thú vị và may mắn trong kỳ thi AWS Certified CloudOps Engineer - Associate!

• Cho những ai muốn chinh phục chứng chỉ AWS Certified CloudOps Engineer - Associate (SOA-C03)