Q57 — AWS DOP-C02 第2章

第 57/100 题 | ← 返回第2章

一个公司响一个组织在从国所业福利协名的组织,许多油包释许多从国所业福利协名帐户。该组织响一个专门的着肯管理员Aws账 户。 该公司需要在一个OU中的帐户,以便对职响亚马逊弹性块存储(亚马逊EBS)卷和亚马逊简单队列服务(亚马逊QUS)队列进行服务器端加 其,这些队列是在aws云盘中创建或更新的。 在云组堆栈操游之前,哪个解决方案名强相执行此策略?

正确答案: A. 启动对云集的可信访问。创建一个云组形钩子,对EBS卷和sqs队列强制执行服务器端加密。通过使用堆栈集在UU中的帐户上部 署挂钩。

解析

题目涉及在AWS组织中跨账户统一应用资源策略的场景,要求通过AWS CloudFormation的机制在资源部署阶段强制实施加密策略。AWS官方文档指出,CloudFormation Hooks功能允许在模板部署前触发策略检查,确保资源符合安全要求。结合启用可信访问的AWS CloudFormation Stack Sets,可将挂钩配置批量部署到目标组织单元(OU)下的所有账户。选项B依赖事后监控的Config规则,选项C的SCP可能过于宽泛且无法针对特定资源类型精细化控制,选项D的自定义方案缺乏原生集成。选项A的挂钩机制直接在资源创建阶段拦截违规操作,符合题干的“在云组堆栈操作之前”这一前置条件。