Q95 — AWS DOP-C02 第3章

第 95/100 题 | ← 返回第3章

一家公司使难的是从国所业介绍职的组织,并希望实施具响以下要求的治理战略: ∗从国世界服务社资源的存取限于职响帐户的同一满个区域。 ∗世界服务社的服务限于职响帐户的一组特定的着肯服务。 ∗身份办证由过动宫录提供。 ∗访问肯限算游业功能组织,每个帐户的肯限制同。 哪种解决方案能两足这些要求?

正确答案: D. 发展 在管理账户中建立服务控制政策,以限制区域和授权的服务。使用aws云集为每个作业函数提供权限,包括每个帐户中的iam 身份提供者身份验证的iam信任策略。

解析

AWS Organizations的服务控制策略(SCP)用于在组织层面对账户进行权限限制,例如区域和服务的访问控制。题目中要求限制区域和服务,SCP是实现此功能的核心工具。IAM身份提供者的信任策略允许通过联合身份验证集成外部身份源(如Active Directory),确保身份验证由AD完成。AWS Organizations中的权限管理结合作业功能,通过统一策略确保每个账户权限一致。选项D正确结合了SCP的区域/服务限制、IAM信任策略的AD集成以及Organizations的权限管理,符合题干所有要求。其他选项或未使用SCP,或在资源共享(RAM)或权限边界(Permission Boundary)的实现上不匹配需求。