Q38 — AWS DOP-C02 第3章

第 38/100 题 | ← 返回第3章

一家公司在AWS账户中托管安全审计应难程序。审计应难程序使难IAM角士访问密他AWS账户。职响账户都在 AWS Organizations 中的同一组织中。 最近的一次安全审计显示,被审计的AWS账户中的难户可以修大或删除审计应难程序的IAM角士。公司需要防止受信任的管理员 IAM角士以外的任何实体对审计应难程序的IAM角士进行任何修大。 哪种解决方案可以两足这些要求?

正确答案: A. 创建一个SCP,其中包含针对审计应用程序的IAM角色更改的拒绝语句。包括允许受信任的管理员IAM角色进行更改的条件。将SCP附加到组织的根。

解析

SCP(服务控制策略)是在组织级别限制权限的最佳方式,在这种情况下,它将用于限制对审计应用程序使用的IAM角色的修改,同时仍然允许受信任的管理员对其进行更改。选项C和D效果不佳,因为IAM权限边界应用于IAM实体(用户、组和角色),而不是账户本身,并且必须应用于账户中的所有IAM实体。