Q92 — AWS DOP-C02 第2章

第 92/100 题 | ← 返回第2章

DevOps工程师需要对现响的一组AWS帐户应难一组核心安全控相。帐户位于AWS组织的一个组织中。各个升队将使难 AdministratorAccess AWS托管策略范管理个人帐户。职响账户。客间在职响可难的AWS区域中打开AWS CloudTrail和AWS Con􀂬g。个人 帐户管理员不能编辑或删除任何基准资源。但是,个人帐户管理员客间能够编辑或删除他们自己的CloudTrail踪迹和AWS配置规则。 哪种解决方案能够以最高效的方式两足这些要求?

正确答案: C. 指定AWS配置管理帐户。使用AWS CloudFormation堆栈集在所有帐户中创建AWS配置记录器。使用AWS配置管理帐户将AWS配置 规则部署到组织。在组织的管理帐户中创建一个CloudTrail组织踪迹。使用SCP拒绝修改或删除AWS配置记录器。

解析

该题考查AWS多账户环境中集中管理安全控制的方法。AWS官方文档指出,通过AWS组织整合管理账户,利用CloudFormation堆栈集可跨账户部署资源,确保一致性。使用服务控制策略(SCP)限制成员账户操作权限。选项C通过配置AWS组织内的管理账户统一部署AWS Config记录器和规则,创建组织级CloudTrail踪迹,并应用SCP禁止修改关键资源,同时允许账户管理员管理自有CloudTrail和Config规则。其他选项未同时满足强制开启服务、禁止删除核心资源及允许管理自有资源的条件。