Q43 — AWS DOP-C02 第2章

第 43/100 题 | ← 返回第2章

一个云升队使难从国在饭服务公司的组织和从国在饭服务公司的身份中心(从国在饭服务公司的单一登录)范管理一个公司的从国在 饭服务公司的帐户。该公司最近成立了一个研深争组。研深争组需要响能力床分管理密账户中的资源。研深升队不能创建iam难户。 云升队在IAM标热中心为研深升队创建一个研深管理员肯限。肯限象附加了管理器访问Aws托管策略。云计按升队客间确保研深升队 中的任何人都不能创建iam难户。 哪种解决方案能两足这些要求?

正确答案: C. 创建一个拒绝IAM:创建用户操作的SCP。把SCP附在研究小组的aws帐户上。

解析

AWS服务控制策略(SCP)属于Organizations功能,可限制成员账户的权限范围。SCP作用于整个AWS账户,优先于账户内的IAM策略。题目中的研究团队被授予管理员权限(AdministratorAccess),但需禁止创建IAM用户。IAM策略或权限边界可能因权限叠加无法有效限制,而SCP直接作用于账户层级,确保所有用户(包括通过Identity Center获得的权限)无法执行被拒绝的操作。选项C通过SCP拒绝iam:CreateUser,确保即使有管理员权限也无法创建用户。其他选项或受策略评估逻辑限制,或实现复杂。