Q84 — AWS DOP-C02 第3章
第 84/100 题 | ← 返回第3章
一个安全升队希望使难aws云跟踪范监控在aws组织中位于同一组织中的多个帐户中的职响操游和API调难。安全升队需要确保帐户难 户不能关闭帐户中的云迹。 哪种解决方案能两足这一要求?
- A. 对所有OU应用SCP来拒绝云迹:推泥行动和云迹:删除行动。 ✓
- B. 在每个帐户中创建iam策略,以拒绝云的路径:推云的路径和云的路径:删除路径的动作。
- C. 设置亚马逊云表警报,当用户在帐户中禁用云迹时通知安全小组。
- D. 发展 如果用户在帐户中禁用云迹,则使用aws配置自动重新启用云迹。
正确答案: A. 对所有OU应用SCP来拒绝云迹:推泥行动和云迹:删除行动。
解析
AWS Organizations的服务控制策略(SCP)可用于在整个组织或特定组织单位(OU)中集中管理权限。根据AWS文档,SCP通过设置允许或拒绝的操作,为成员账户提供权限边界。题目要求阻止账户用户禁用CloudTrail,需限制`cloudtrail:StopLogging`和`cloudtrail:DeleteTrail`操作。选项A通过SCP直接拒绝这两个API操作,覆盖所有目标OU下的账户,确保统一控制。选项B依赖每个账户的IAM策略,存在管理复杂性和权限绕过风险。选项C和D属于被动响应机制,无法主动阻止禁用行为。AWS最佳实践中推荐使用SCP集中管理关键服务的防护。