Q84 — AWS DOP-C02 第3章

第 84/100 题 | ← 返回第3章

一个安全升队希望使难aws云跟踪范监控在aws组织中位于同一组织中的多个帐户中的职响操游和API调难。安全升队需要确保帐户难 户不能关闭帐户中的云迹。 哪种解决方案能两足这一要求?

正确答案: A. 对所有OU应用SCP来拒绝云迹:推泥行动和云迹:删除行动。

解析

AWS Organizations的服务控制策略(SCP)可用于在整个组织或特定组织单位(OU)中集中管理权限。根据AWS文档,SCP通过设置允许或拒绝的操作,为成员账户提供权限边界。题目要求阻止账户用户禁用CloudTrail,需限制`cloudtrail:StopLogging`和`cloudtrail:DeleteTrail`操作。选项A通过SCP直接拒绝这两个API操作,覆盖所有目标OU下的账户,确保统一控制。选项B依赖每个账户的IAM策略,存在管理复杂性和权限绕过风险。选项C和D属于被动响应机制,无法主动阻止禁用行为。AWS最佳实践中推荐使用SCP集中管理关键服务的防护。