Q95 — AWS DOP-C02 第3章
第 95/100 题 | ← 返回第3章
一家公司使难的是从国所业介绍职的组织,并希望实施具响以下要求的治理战略: ∗从国世界服务社资源的存取限于职响帐户的同一满个区域。 ∗世界服务社的服务限于职响帐户的一组特定的着肯服务。 ∗身份办证由过动宫录提供。 ∗访问肯限算游业功能组织,每个帐户的肯限制同。 哪种解决方案能两足这些要求?
- A. 在管理账户中设立一个具有集团政策的组织单位,以限制区域和授权的服务。使用aws云集为每个作业函数提供权限,包括每个 帐户中的iam身份提供者身份验证的iam信任策略。
- B. 在管理账户中设置许可边界,以限制区域和授权服务。使用aws云集为每个作业函数提供权限,包括每个帐户中的iam身份提供者 身份验证的iam信任策略。
- C. 在管理账户中建立服务控制政策,以限制区域和授权的服务。使用aws资源访问管理器(awsRAM)共享管理帐户角色,并为每个作 业功能授予权限,包括在每个帐户中用于身份验证的awsiam身份中心。
- D. 发展 在管理账户中建立服务控制政策,以限制区域和授权的服务。使用aws云集为每个作业函数提供权限,包括每个帐户中的iam 身份提供者身份验证的iam信任策略。 ✓
正确答案: D. 发展 在管理账户中建立服务控制政策,以限制区域和授权的服务。使用aws云集为每个作业函数提供权限,包括每个帐户中的iam 身份提供者身份验证的iam信任策略。
解析
AWS Organizations的服务控制策略(SCP)用于在组织层面对账户进行权限限制,例如区域和服务的访问控制。题目中要求限制区域和服务,SCP是实现此功能的核心工具。IAM身份提供者的信任策略允许通过联合身份验证集成外部身份源(如Active Directory),确保身份验证由AD完成。AWS Organizations中的权限管理结合作业功能,通过统一策略确保每个账户权限一致。选项D正确结合了SCP的区域/服务限制、IAM信任策略的AD集成以及Organizations的权限管理,符合题干所有要求。其他选项或未使用SCP,或在资源共享(RAM)或权限边界(Permission Boundary)的实现上不匹配需求。