Q57 — AWS DOP-C02 第2章
第 57/100 题 | ← 返回第2章
一个公司响一个组织在从国所业福利协名的组织,许多油包释许多从国所业福利协名帐户。该组织响一个专门的着肯管理员Aws账 户。 该公司需要在一个OU中的帐户,以便对职响亚马逊弹性块存储(亚马逊EBS)卷和亚马逊简单队列服务(亚马逊QUS)队列进行服务器端加 其,这些队列是在aws云盘中创建或更新的。 在云组堆栈操游之前,哪个解决方案名强相执行此策略?
- A. 启动对云集的可信访问。创建一个云组形钩子,对EBS卷和sqs队列强制执行服务器端加密。通过使用堆栈集在UU中的帐户上部 署挂钩。 ✓
- B. 在所有的账户中设置一个工作站。使用aws系统管理器来部署aws配置规则,这些规则对EBS卷和UU中的帐户中的qss队列强制执 行服务器端加密。
- C. 编写SCP,拒绝创建EBS卷和USS队列,除非EBS卷和USS队列具有服务器端加密。将SCP连接到UU上。
- D. 发展 在授权的管理员帐户中创建一个AWS拉姆达函数,该帐户检查EBS卷和sbs队列是否强制执行服务器端加密。创建一个IAM角 色,提供访问UU中帐户的LMAB功能。
正确答案: A. 启动对云集的可信访问。创建一个云组形钩子,对EBS卷和sqs队列强制执行服务器端加密。通过使用堆栈集在UU中的帐户上部 署挂钩。
解析
题目涉及在AWS组织中跨账户统一应用资源策略的场景,要求通过AWS CloudFormation的机制在资源部署阶段强制实施加密策略。AWS官方文档指出,CloudFormation Hooks功能允许在模板部署前触发策略检查,确保资源符合安全要求。结合启用可信访问的AWS CloudFormation Stack Sets,可将挂钩配置批量部署到目标组织单元(OU)下的所有账户。选项B依赖事后监控的Config规则,选项C的SCP可能过于宽泛且无法针对特定资源类型精细化控制,选项D的自定义方案缺乏原生集成。选项A的挂钩机制直接在资源创建阶段拦截违规操作,符合题干的“在云组堆栈操作之前”这一前置条件。