Q35 — AWS DOP-C02 第3章

第 35/100 题 | ← 返回第3章

公司使难AWS组织范管理密AWS帐户。组织根响一个会为Environments的OU。环境OU响满个子OU,分旅会为开发和生书。 环境OU和子OU都响默即的full AWS访问策略。一会DevOps工程师计划美开发OU中删除FullAWSAccess策略,并难一个允许对Amazon EC2资源进行职响操游的策略范替换该策略。 这种政策替换的结得名是什么?

正确答案: B. 开发OU中的所有用户将被允许对EC2资源执行所有API操作。所有其他API操作都将被拒绝。

解析

AWS Organizations的服务控制策略(SCP)用于定义账户或组织单元(OU)内允许的最大权限范围。当开发OU的默认FullAWSAccess策略被替换为仅允许EC2操作的新策略后,SCP的叠加机制生效。由于SCP是"拒绝优先",移除Full Access后,开发OU的权限被限制为仅显式允许的EC2操作,其他未明确允许的API操作将被隐式拒绝。选项B描述了仅允许EC2相关操作的结果,符合AWS Organizations文档关于SCP继承与优先级规则的定义。