Q96 — AWS ANS-C01 第1章

第 96/100 题 | ← 返回第1章

一家公司在AWS Organizations中拥有多个AWS账户。该公司已在网络专用AWS账户中部署了Amazon VPC IP Address Manager(IPAM)。该公司正使用AWS Resource Access Manager(AWS RAM)将IPAM池共享给其他AWS账户。该公司创建了一个顶级池,CIDR块为10.0.0.0/8。针对每个AWS账户,该公司在顶级池内创建了一个IPAM池。一名网络工程师需要实施一种解决方案,确保各AWS账户中的用户无法创建新VPC。该解决方案还必须防止用户将CIDR块关联至现有VPC,除非该CIDR块来自该账户的IPAM池。

正确答案: B. 在Organizations中创建一个新的服务控制策略(SCP)。添加一个条件,当Ipv4IpamPoolId上下文键值不等于IPAM池ID时,拒绝CreateVpc和AssociateVpcCidrBlock Amazon EC2操作。

解析

AWS服务控制策略(SCP)用于在组织层级集中管理权限,允许或禁止成员账户中的特定操作。题目中的需求涉及限制账户用户创建VPC或关联非指定IPAM池的CIDR块。选项B使用SCP通过条件`Ipv4IpamPoolId`限制操作,直接拒绝未经授权的EC2 API调用。其他选项依赖事后检测(如AWS Config、Lambda删除)或事件响应(EventBridge+Lambda),无法实时阻止操作。参考AWS SCP文档中关于使用全局条件上下文键控制资源创建的说明。