Q55 — AWS DOP-C02 第3章

第 55/100 题 | ← 返回第3章

公司使难 AWS Organizations 中的组织,该组织启难了管理密 AWS 账户的职响功能。 Amazon EQ 实暗在 AWS 账户中运行。 该公司要求职响当前 EC2 实暗客间使难实暗元数据服务版本 2 (IMDSv2)。该公司需要阻止源自不使难 IMDSv2 的 EC2 实暗的 AWS API 调难。 哪种解决方案可以两足这些要求?

正确答案: D. 创建一个新的 SCP 语句,当 ec2:MetadataHttpTokens 条件键值不等于所需值时,该语句将被拒绝。将 SCP 连接到组织的根目 录。

解析

题干涉及AWS Organizations服务控制策略(SCP)的应用,确保EC2实例强制使用IMDSv2。根据AWS官方文档,IMDSv2通过`ec2:MetadataHttpTokens`条件键控制,该键值为`required`时启用v2。正确策略需拒绝不符合此条件的API调用。选项A明确限制`ec2:RunInstances`操作,但未覆盖其他可能修改实例配置的API(如`ModifyInstanceMetadataOptions`)。选项D未明确操作范围,但基于AWS最佳实践,SCP通常需阻止所有可能绕过IMDSv2的API操作,包括创建或修改实例。选项B和C的条件键与IMDSv2无关。正确答案D更符合AWS推荐,通过`ec2:MetadataHttpTokens`条件匹配,阻止所有相关API调用,确保全局一致性。