Q19 — AWS DOP-C02 第1章
第 19/100 题 | ← 返回第1章
一家改公司最近收购了一家争公司。改公司邀请争公司加笔改公司现响的组织,游为一个新的组织。 一会开发人员工程师确定,争型公司需要启动T3.争型亚马逊EC2实暗类型,难于公司的应难程序工游负载。争公司只需要在从国的从国 世界服务组织区域内赛署这些实暗。 旧福普斯工程师需要在争公司的新OU中使难SCP,以确保争公司只能启动职需的实暗类型。 哪种解决方案能两足这些要求?
- A. 配置一个语句来拒绝EC2:所有EC2实例资源的运行实例,当EC2:实例类型条件不等于T3小时。 配置另一个语句来拒绝EC2:所有EC2实例资源的运行实例,当Aws:需求区域条件不等于美国∗时。 ✓
- B. 当EC2:实例类型条件不等于T3小时,配置语句以允许EC2:所有EC2实例资源的运行。 配置另一个语句,以允许在aws:需求区域条件不等于美国∗时,对所有EC2实例资源进行EC2:运行实例操作。
- C. 配置一个语句来拒绝EC2:所有EC2实例资源的运行实例,当EC2:实例类型条件等于T3小时。 配置另一个语句来拒绝EC2:所有EC2实例资源的运行实例,当Aws:需求区域条件等于美国∗时。
- D. 发展 配置语句以允许EC2:所有EC2实例资源的运行,当EC2:实例类型条件等于T3小时。 配置另一个语句,以允许在aws:需求区域条件等于美国∗时,对所有EC2实例资源进行EC2:运行实例操作。
正确答案: A. 配置一个语句来拒绝EC2:所有EC2实例资源的运行实例,当EC2:实例类型条件不等于T3小时。 配置另一个语句来拒绝EC2:所有EC2实例资源的运行实例,当Aws:需求区域条件不等于美国∗时。
解析
AWS服务控制策略(SCP)通过限制组织单元(OU)内的权限,控制成员账户的操作范围。根据AWS文档,SCP使用拒绝型策略时,需明确排除不符合条件的请求。题目要求仅允许启动T3实例类型且在美国区域部署,选项A的第一条策略拒绝非T3实例类型,第二条策略拒绝非美国区域。结合SCP默认允许的特点,拒绝非指定条件的请求能够确保仅符合要求的操作被允许。其他选项或错误使用允许型策略(无法覆盖其他权限),或条件逻辑相反(如选项C),或未能正确限制区域(选项D)。选项A符合"显式拒绝"的最佳实践。来源:AWS SCP官方文档。