Q49 — AWS DOP-C02 第2章

第 49/100 题 | ← 返回第2章

一个公司的组织在从国所业安全协名的组织响一个单一的OU。该公司在OU账户中运行亚马逊EC2实暗。公司需要将每个EC2实暗的凭 证的使难限相在证产被分配到的特定EC2实暗上。设计人员客间为EC2实暗配置安全性。 哪种解决方案能两足这些要求?

正确答案: B. 创建一个SCP,以检查Aws:EC2即决-cevpc和aws:Surcevpc条件键的值是否相同。如果值不相同,则拒绝访问。在同一SCP检查中,检 查Aws:EC2快捷来源的值和AW:Vpc31-ceip条件键是否相同。如果值不相同,则拒绝访问。将SCP应用到UU上。

解析

AWS服务控制策略(SCP)用于在组织级别管理权限边界。根据AWS文档,SCP中的条件键如aws:SourceVpc和aws:VpcSourceIp可限制资源访问的VPC上下文。选项B通过比较aws:EC2即决-cevpc与aws:SourceVpc,以及aws:EC2快捷来源与aws:Vpc31-ceip,确保请求来源VPC与目标资源一致。这一机制符合限制凭证仅在特定EC2实例使用的需求,其他选项未精确关联实例与VPC的绑定关系,或涉及不相关条件键。