Q35 — AWS DOP-C02 第1章
第 35/100 题 | ← 返回第1章
一家公司已经开始在吧个升队中使难AWS。每个升队都响多个帐户和独特的安全配置。该公司管理一个组织的账户在从国所业安全 协名组织。每个帐户都响自己的配置和安全控相。 该公司的开发人员升队希望利难预防和侦查控相范管理职响的账宫。随授公司在组织中创建新的账户,旧福普斯升队需要确保现在和 将范账户的安全性。 哪种解决方案能两足这些要求?
- A. 使用组织创建的OS有适当的SCPS为每个团队附加。将团队账户放在适当的操作系统中进行安全控制.在适当的OS中创建任何新 的团队帐户。
- B. 创建一个美国航空航天系统控制塔着陆区。为现有的团队配置OU和aws控制塔中的适当控件。为aws控制塔配置可信任的访 问。将现有帐户注册到与每个团队的适当安全策略相匹配的适当OU中。使用aws控制塔提供任何新的帐户。 ✓
- C. 在组织的管理帐户中创建aws云盘集。配置堆栈集,该堆栈集将配置规则和所有控件的补救操作部署到组织中的每个帐户。在创 建帐户时更新堆栈集以部署到新帐户。
- D. 发展 配置aws配置以管理组织中所有aws账户中的aws配置规则。部署一致性包,它在整个组织中提供Aws配置规则和补救操作。
正确答案: B. 创建一个美国航空航天系统控制塔着陆区。为现有的团队配置OU和aws控制塔中的适当控件。为aws控制塔配置可信任的访 问。将现有帐户注册到与每个团队的适当安全策略相匹配的适当OU中。使用aws控制塔提供任何新的帐户。
解析
AWS Control Tower 是用于管理多账户环境的服务,提供预设的 landing zone(着陆区),简化账户结构和安全策略配置。通过组织单元(OU)和 guardrails(防护策略),自动应用合规性控制。将账户分配到对应 OU 即可继承预定义的安全基线,新账户通过 Control Tower 创建时自动应用策略。官方文档指出,Control Tower 整合了 Organizations、SCP、Config 等服务,实现集中化、标准化的账户治理,满足持续安全管理的需求。选项 B 正确描述了利用 Control Tower 自动化管理现有及未来账户的合规性控制过程。其他选项缺乏对多账户统一编排和新账户自动化的支持。