Q38 — AWS DOP-C02 第3章
第 38/100 题 | ← 返回第3章
一家公司在AWS账户中托管安全审计应难程序。审计应难程序使难IAM角士访问密他AWS账户。职响账户都在 AWS Organizations 中的同一组织中。 最近的一次安全审计显示,被审计的AWS账户中的难户可以修大或删除审计应难程序的IAM角士。公司需要防止受信任的管理员 IAM角士以外的任何实体对审计应难程序的IAM角士进行任何修大。 哪种解决方案可以两足这些要求?
- A. 创建一个SCP,其中包含针对审计应用程序的IAM角色更改的拒绝语句。包括允许受信任的管理员IAM角色进行更改的条件。将SCP附加到组织的根。 ✓
- B. 创建一个SCP,其中包含一个Allow语句,用于由受信任的管理员IAM角色更改审计应用程序的IAM角色。包括针对所有其他IAM主体的更改的拒绝语句。将SCP附加到审计应用程序具有IAM角色的每个AWS账户中的IAM服务。
- C. 创建一个IAM权限边界,其中包括对审计应用程序的IAM角色更改的拒绝语句。包括允许受信任的管理员IAM角色进行更改的条件。将权限边界附加到已审计的AWS账户。
- D. 创建一个IAM权限边界,其中包括针对审计应用程序的IAM角色更改的拒绝语句。包括允许受信任的管理员IAM角色进行更改的条件。将权限边界附加到AWS账户中审计应用程序的IAM角色。
正确答案: A. 创建一个SCP,其中包含针对审计应用程序的IAM角色更改的拒绝语句。包括允许受信任的管理员IAM角色进行更改的条件。将SCP附加到组织的根。
解析
SCP(服务控制策略)是在组织级别限制权限的最佳方式,在这种情况下,它将用于限制对审计应用程序使用的IAM角色的修改,同时仍然允许受信任的管理员对其进行更改。选项C和D效果不佳,因为IAM权限边界应用于IAM实体(用户、组和角色),而不是账户本身,并且必须应用于账户中的所有IAM实体。