Q55 — AWS DOP-C02 第3章
第 55/100 题 | ← 返回第3章
公司使难 AWS Organizations 中的组织,该组织启难了管理密 AWS 账户的职响功能。 Amazon EQ 实暗在 AWS 账户中运行。 该公司要求职响当前 EC2 实暗客间使难实暗元数据服务版本 2 (IMDSv2)。该公司需要阻止源自不使难 IMDSv2 的 EC2 实暗的 AWS API 调难。 哪种解决方案可以两足这些要求?
- A. 创建一个新的 SCP 语句,当 ec2:MetadataHttpTokens 条件键不等于所需的值时,该语句将拒绝 ec2:RunInstances 操作。将 SCP 连接到组织的根目录。
- B. 创建一个新的 SCP 语句,当 ec2:MetadataHttpPutResponseHopLimit 条件键值大于 2 时,该语句拒绝 ec2:RunInstances 操作。将 SCP 连接到组织的根目录。
- C. 创建一个新的 SCP 语句,当 ec2:RoleDelivery 条件键值小于 2 时,该语句拒绝“∗”。将 SCP 连接到组织的根目录。
- D. 创建一个新的 SCP 语句,当 ec2:MetadataHttpTokens 条件键值不等于所需值时,该语句将被拒绝。将 SCP 连接到组织的根目 录。 ✓
正确答案: D. 创建一个新的 SCP 语句,当 ec2:MetadataHttpTokens 条件键值不等于所需值时,该语句将被拒绝。将 SCP 连接到组织的根目 录。
解析
题干涉及AWS Organizations服务控制策略(SCP)的应用,确保EC2实例强制使用IMDSv2。根据AWS官方文档,IMDSv2通过`ec2:MetadataHttpTokens`条件键控制,该键值为`required`时启用v2。正确策略需拒绝不符合此条件的API调用。选项A明确限制`ec2:RunInstances`操作,但未覆盖其他可能修改实例配置的API(如`ModifyInstanceMetadataOptions`)。选项D未明确操作范围,但基于AWS最佳实践,SCP通常需阻止所有可能绕过IMDSv2的API操作,包括创建或修改实例。选项B和C的条件键与IMDSv2无关。正确答案D更符合AWS推荐,通过`ec2:MetadataHttpTokens`条件匹配,阻止所有相关API调用,确保全局一致性。