Q88 — AWS DOP-C02 第1章
第 88/100 题 | ← 返回第1章
一家公司在AWS帐户中托管一个安全审计应难程序。审计应难程序使难IAM角士范访问密他AWS帐户。职响帐户都在AWS组织的同一 个组织中。 最近的安全审计显示,被审计的AWS帐户中的难户可以修大或删除审计应难程序的IAM角士。公司需要防止除受信任的管理员IAM角 士之外的任何实体对审核应难程序的IAM角士进行任何修大。 哪种解决方案能够两足这些要求?
- A. 创建一个SCP,该SCP包括对审计应用程序的IAM角色的更改的Deny语句。包括允许受信任的管理员IAM角色进行更改的条件。 将SCP附加到组织的根。 ✓
- B. 创建一个SCP,该SCP包含一个Allow语句,允许受信任的管理员IAM角色对审核应用程序的IAM角色进行更改。包括所有其他IAM 主体所做更改的Deny语句。将SCP附加到审计应用程序具有IAM角色的每个AWS帐户中的IAM服务。
- C. 创建一个IAM权限边界,其中包括一个针对审计应用程序IAM角色更改的Deny语句。包括允许受信任的管理员IAM角色进行更改 的条件。将权限边界附加到审核的AWS帐户。
- D. 创建一个IAM权限边界,其中包括一个针对审计应用程序IAM角色更改的Deny语句。包括允许受信任的管理员IAM角色进行更改 的条件。将权限边界附加到AWS帐户中审计应用程序的IAM角色。
正确答案: A. 创建一个SCP,该SCP包括对审计应用程序的IAM角色的更改的Deny语句。包括允许受信任的管理员IAM角色进行更改的条件。 将SCP附加到组织的根。
解析
AWS服务控制策略(SCP)属于AWS Organizations功能,用于在组织、组织单元(OU)或账户级别设置权限边界,限制成员账户的权限。SCP中的Deny语句默认覆盖所有主体,除非通过条件明确排除。根据AWS文档,SCP附加到根节点将影响整个组织下的所有账户。选项A通过创建包含Deny语句的SCP,并设置条件允许受信任管理员,直接限制非管理员对审计角色修改,覆盖整个组织。选项B错误在于SCP无法附加到IAM服务,且Allow语句在SCP中不必要。选项C和D使用权限边界,但权限边界仅限制附加实体的最大权限,无法阻止其他用户或角色修改目标角色。SCP在组织层面全局生效,能有效阻止其他账户用户的操作。