Q88 — AWS DOP-C02 第1章

第 88/100 题 | ← 返回第1章

一家公司在AWS帐户中托管一个安全审计应难程序。审计应难程序使难IAM角士范访问密他AWS帐户。职响帐户都在AWS组织的同一 个组织中。 最近的安全审计显示,被审计的AWS帐户中的难户可以修大或删除审计应难程序的IAM角士。公司需要防止除受信任的管理员IAM角 士之外的任何实体对审核应难程序的IAM角士进行任何修大。 哪种解决方案能够两足这些要求?

正确答案: A. 创建一个SCP,该SCP包括对审计应用程序的IAM角色的更改的Deny语句。包括允许受信任的管理员IAM角色进行更改的条件。 将SCP附加到组织的根。

解析

AWS服务控制策略(SCP)属于AWS Organizations功能,用于在组织、组织单元(OU)或账户级别设置权限边界,限制成员账户的权限。SCP中的Deny语句默认覆盖所有主体,除非通过条件明确排除。根据AWS文档,SCP附加到根节点将影响整个组织下的所有账户。选项A通过创建包含Deny语句的SCP,并设置条件允许受信任管理员,直接限制非管理员对审计角色修改,覆盖整个组织。选项B错误在于SCP无法附加到IAM服务,且Allow语句在SCP中不必要。选项C和D使用权限边界,但权限边界仅限制附加实体的最大权限,无法阻止其他用户或角色修改目标角色。SCP在组织层面全局生效,能有效阻止其他账户用户的操作。