Q31 — AWS DOP-C02 第2章
第 31/100 题 | ← 返回第2章
一个公司被划分成升队。每个升队都响一个AWS账户,职响账户都在AWS Organizations中的一个组织中。每个 升队都客间保亮对密AWS账户的南全管理肯限。黑客间允许每个升队仅访问公司义准使难的AWS服务。AWS服务客间通活请求和 义准呢程获果义准。 DevOps 工程师应该如何配置帐户以两足这些要求?
- A. 使用AWS CloudFormation StackSets在每个账户中配置IAM策略以拒绝访问受限的AWS服务。在每个账户中,配置AWS Config规则以确保将策略附加到账户中的IAM委托人。
- B. 使用AWS Control Tower将账户预置到组织内的OU。配置AWS Control Tower以启用AWSIAM身份中心(AWS单点登录)。配置IAM Identity Center 以提供管理访问权限。包括针对受限AWS服务的用户角色的拒绝策略。
- C. 将所有帐户置于组织内新的顶级OU下。创建拒绝访问受限AWS服务的SCP。将SCP附加到OU。 ✓
- D. 创建一个只允许访问批准的AWS服务的SCP。将SCP附加到组织的根OU。从组织的根OU中删除FullAWSAccess SCP。
正确答案: C. 将所有帐户置于组织内新的顶级OU下。创建拒绝访问受限AWS服务的SCP。将SCP附加到OU。
解析
xmexam.taobao.com