Q74 — AWS DOP-C02 第3章
第 74/100 题 | ← 返回第3章
一家公司在从国所业介绍职的组织中,在从国所业介绍职的账户中执行敏感的工游量。该公司使难一个IP地址来围范为亚马逊 VPCCIDR块和职响非云硬件分配IP地址。 该公司需要一个解决方案,以防止不在公司IP地址来围内的委托人在组织的帐户中执行AWS操游。 哪种解决方案能两足这些要求?
- A. 为组织配置AWS防火墙管理器。创建aws网络防火墙策略,只允许来自公司IP地址范围的源流量。为组织内的所有账户设定政策 范围。
- B. 在组织中,创建一个SCP,拒绝在公司IP地址范围之外的源IP地址。将SCP连接到组织的根源上。 ✓
- C. 为组织配置亚马逊防御系统。为公司的IP范围创建一个安全任务信任IP地址列表。为组织激活受信任的IP列表。
- D. 发展 在组织中,创建一个SCP,允许在公司IP地址范围内的源IP地址。将SCP连接到组织的根源上。
正确答案: B. 在组织中,创建一个SCP,拒绝在公司IP地址范围之外的源IP地址。将SCP连接到组织的根源上。
解析
AWS服务控制策略(SCP)用于在组织的根或组织单位(OU)级别集中管理权限边界。根据AWS Organizations文档,SCP可以基于条件(如源IP地址)允许或拒绝对AWS账户的API操作。当SCP附加到组织根时,它会对所有成员账户生效。题目要求阻止不在公司IP范围内的源执行操作,通过SCP设置明确的拒绝规则可直接限制此类访问。选项A涉及网络流量过滤而非API操作控制;选项C的信任列表属于Amazon GuardDuty,用于威胁检测而非访问控制;选项D使用允许策略但未限制默认拒绝其他来源的功能。而选项B的拒绝策略符合最小权限原则,直接阻止非授权IP的请求。