Q35 — AWS DOP-C02 第1章

第 35/100 题 | ← 返回第1章

一家公司已经开始在吧个升队中使难AWS。每个升队都响多个帐户和独特的安全配置。该公司管理一个组织的账户在从国所业安全 协名组织。每个帐户都响自己的配置和安全控相。 该公司的开发人员升队希望利难预防和侦查控相范管理职响的账宫。随授公司在组织中创建新的账户,旧福普斯升队需要确保现在和 将范账户的安全性。 哪种解决方案能两足这些要求?

正确答案: B. 创建一个美国航空航天系统控制塔着陆区。为现有的团队配置OU和aws控制塔中的适当控件。为aws控制塔配置可信任的访 问。将现有帐户注册到与每个团队的适当安全策略相匹配的适当OU中。使用aws控制塔提供任何新的帐户。

解析

AWS Control Tower 是用于管理多账户环境的服务,提供预设的 landing zone(着陆区),简化账户结构和安全策略配置。通过组织单元(OU)和 guardrails(防护策略),自动应用合规性控制。将账户分配到对应 OU 即可继承预定义的安全基线,新账户通过 Control Tower 创建时自动应用策略。官方文档指出,Control Tower 整合了 Organizations、SCP、Config 等服务,实现集中化、标准化的账户治理,满足持续安全管理的需求。选项 B 正确描述了利用 Control Tower 自动化管理现有及未来账户的合规性控制过程。其他选项缺乏对多账户统一编排和新账户自动化的支持。