Q34 — AWS DOP-C02 第1章

第 34/100 题 | ← 返回第1章

一个公司分为吧个升队。每个升队都响一个AWS帐户,职响帐户都在AWS组织中的一个组织中。每个升队客间保亮对密AWS帐户的南 全管理肯限。每个升队黑客间被允许只访问公司义准使难的AWS服务。AWS服务客间通活请求和义准呢程获果义准。 DevOps工程师应该如何配置帐户以两足这些要求?

正确答案: D. 创建仅允许访问经批准的AWS服务的SCP。将SCP附加到组织的根OU。从组织的根OU中删除FullAWSAccess SCP。

解析

该题核心考察AWS Organizations服务控制策略(SCP)的应用逻辑。SCP作为组织层级的权限边界,通过附加到根组织单元(OU)可覆盖所有子账户,且不影响账户内IAM管理权限。当创建仅允许批准服务的SCP并附加到根OU后,默认FullAWSAccess策略必须移除,否则白名单规则将被默认允许策略覆盖,此时所有子账户仅能访问限定服务,同时保留账户级完全管理权限,完美满足题目中"集中管控服务范围+保留账户自主权"的双重要求。