Q49 — AWS DOP-C02 第2章
第 49/100 题 | ← 返回第2章
一个公司的组织在从国所业安全协名的组织响一个单一的OU。该公司在OU账户中运行亚马逊EC2实暗。公司需要将每个EC2实暗的凭 证的使难限相在证产被分配到的特定EC2实暗上。设计人员客间为EC2实暗配置安全性。 哪种解决方案能两足这些要求?
- A. 创建指定VPCCIDR块的SCP。配置SCP,以检查Aws:Vpc31-slp条件键是否在指定的块中。在同一个SCP检查中,检查Aws:EC2--------------- -----------------------------------------------------------------如果两个条件都是错误的,则拒绝访问。将SCP应用到UU上。
- B. 创建一个SCP,以检查Aws:EC2即决-cevpc和aws:Surcevpc条件键的值是否相同。如果值不相同,则拒绝访问。在同一SCP检查中,检 查Aws:EC2快捷来源的值和AW:Vpc31-ceip条件键是否相同。如果值不相同,则拒绝访问。将SCP应用到UU上。 ✓
- C. 创建一个SCP,其中包括一个可接受的VPC值列表,并检查是否在列表中包含了aws:Surcevpc条件键的值。在同一个SCP检查中,定义 一个可接受的IP地址值列表,并检查aws:Vpc31-ceip条件键是否在列表中。如果两个条件都是错误的,则拒绝访问。将SCP应用于组 织中的每个帐户。
- D. 发展 创建一个SCP,该SCP将检查Aws:EC2即时程序和Aws:Vpc31-ceip条件键是否相同。如果值不相同,则拒绝访问。在同一SCP检查 中,检查Aws:EC2的值是否相同。如果值不相同,则拒绝访问。将SCP应用于组织中的每个帐户。
正确答案: B. 创建一个SCP,以检查Aws:EC2即决-cevpc和aws:Surcevpc条件键的值是否相同。如果值不相同,则拒绝访问。在同一SCP检查中,检 查Aws:EC2快捷来源的值和AW:Vpc31-ceip条件键是否相同。如果值不相同,则拒绝访问。将SCP应用到UU上。
解析
AWS服务控制策略(SCP)用于在组织级别管理权限边界。根据AWS文档,SCP中的条件键如aws:SourceVpc和aws:VpcSourceIp可限制资源访问的VPC上下文。选项B通过比较aws:EC2即决-cevpc与aws:SourceVpc,以及aws:EC2快捷来源与aws:Vpc31-ceip,确保请求来源VPC与目标资源一致。这一机制符合限制凭证仅在特定EC2实例使用的需求,其他选项未精确关联实例与VPC的绑定关系,或涉及不相关条件键。