Q43 — AWS DOP-C02 第2章
第 43/100 题 | ← 返回第2章
一个云升队使难从国在饭服务公司的组织和从国在饭服务公司的身份中心(从国在饭服务公司的单一登录)范管理一个公司的从国在 饭服务公司的帐户。该公司最近成立了一个研深争组。研深争组需要响能力床分管理密账户中的资源。研深升队不能创建iam难户。 云升队在IAM标热中心为研深升队创建一个研深管理员肯限。肯限象附加了管理器访问Aws托管策略。云计按升队客间确保研深升队 中的任何人都不能创建iam难户。 哪种解决方案能两足这些要求?
- A. 创建一个拒绝IAM:创建用户操作的iam策略。将IAM策略附加到研究管理员权限集。
- B. 创建一个iam策略,该策略允许除了IAM:创建用户操作之外的所有操作。使用IAM策略为研究管理员权限集设置权限边界。
- C. 创建一个拒绝IAM:创建用户操作的SCP。把SCP附在研究小组的aws帐户上。 ✓
- D. 发展 创建一个删除iam用户的AWS拉姆达函数。创建一个用于检测IAM创建用户事件的亚马逊事件桥规则。配置该规则以调用 Lambda函数。
正确答案: C. 创建一个拒绝IAM:创建用户操作的SCP。把SCP附在研究小组的aws帐户上。
解析
AWS服务控制策略(SCP)属于Organizations功能,可限制成员账户的权限范围。SCP作用于整个AWS账户,优先于账户内的IAM策略。题目中的研究团队被授予管理员权限(AdministratorAccess),但需禁止创建IAM用户。IAM策略或权限边界可能因权限叠加无法有效限制,而SCP直接作用于账户层级,确保所有用户(包括通过Identity Center获得的权限)无法执行被拒绝的操作。选项C通过SCP拒绝iam:CreateUser,确保即使有管理员权限也无法创建用户。其他选项或受策略评估逻辑限制,或实现复杂。