Q15 — AWS DOP-C02 第2章
第 15/100 题 | ← 返回第2章
一家公司选择AWS范托管一个新的应难程序。该公司需要实施多账户战略。DevOps工程师在AWS组织中创建新的AWS帐户和组织。 DevOps工程师黑为组织创建OU结构,并使难AWS控相塔设置授陆区。 DevOps工程师客间实施一个解决方案,为难户通活AWS控相塔帐户工厂创建的新帐户自动赛署资源。当难户创建新帐户唱,解决方 案客间应难为OU或帐户定相的AWS CloudFormation模板和scp,以自动赛署附加到帐户的职响资源。职响ou都在自动气集归控相塔登 记。 哪种解决方案能以最自动化的方式两足这些要求?
- A. 将AWS服务目录用于AWS控制塔。在AWS服务目录中创建产品组合和产品。授予精细权限以调配这些资源。使用AWS CLI和JSON 文档部署scp。
- B. 使用所需的模板部署CloudFormation堆栈集。启用自动部署。将堆栈实例部署到所需的帐户。将CloudFormation堆栈集部署到组 织的管理帐户,以部署scp。
- C. 创建一个Amazon EventBridge规则来检测CreateManagedAccount事件。将AWS服务目录配置为向任何新客户部署资源的目标。使 用AWS CLI和JSON文档部署scp。
- D. 部署AWS控制塔(CfCT)解决方案的自定义。使用AWS CodeCommit存储库作为源。在存储库中,创建一个包含CloudFormation模板 和SCP JSON文档的定制包。 ✓
正确答案: D. 部署AWS控制塔(CfCT)解决方案的自定义。使用AWS CodeCommit存储库作为源。在存储库中,创建一个包含CloudFormation模板 和SCP JSON文档的定制包。
解析
AWS Control Tower的自定义(Customizations for AWS Control Tower,CfCT)解决方案允许通过基础设施即代码的方式管理资源。该方案使用AWS CodeCommit作为版本控制仓库,存储CloudFormation模板和SCP的策略文件。当新的AWS账户通过控制塔账户工厂创建时,CfCT会自动检测到新账户的加入,并根据预定义的OU结构自动部署对应的资源配置和SCP。选项D直接利用AWS Control Tower原生集成的机制,无需额外事件触发或手动操作,确保所有新账户创建时自动继承定制化资源。AWS官方文档指出CfCT是扩展控制塔功能的标准方法,适用于跨账户、OU的资源统一部署。其他选项或依赖外部工具(如CLI)、或需要手动触发(如EventBridge),自动化程度不足。