Q4 — AWS SAA-C03 第1章

第 4/65 题 | ← 返回第1章

Q4.安全团队想要限制对团队所有 AWS 账户中特定服务或操作的访问.所有账户都属于 AWS Organizations 中的一个大型组织.该解决方案必须是可扩展的,并且必须有一个可以维护权限的点.解决方案架构师应该怎么做才能实现这一目标?

正确答案: D. 在根组织单元中创建服务控制策略以拒绝访问服务或操作

解析

A:acl(访问控制列表)主要用于vpc(虚拟私有云)中,用于控制对子网内实例的访问。它们不适合用于控制对AWS服务的访问或跨多个帐户的操作。 在vpc中也使用安全组在实例级控制入站和出站流量。它们不适用于控制对AWS服务或操作的访问,也不能附加到用户组或跨多个帐户使用。 C.虽然跨帐户角色可用于允许或拒绝访问不同帐户中的资源,但在每个帐户中单独管理这些角色将无法满足具有单点权限管理的可扩展解决方案的要求。 D.最合适的方法是在AWS组织的根OU中创建SCP (service control policy)。scp允许管理员集中管理组织中所有帐户的权限,通过指定这些帐户中的IAM (Identity and Access Management)角色和用户允许或拒绝的操作。通过将SCP放置在根OU中,它可以应用于组织内的所有帐户,确保在所有帐户之间一致地执行权限,并且对这些权限有一个单一的管理点。 结论: 正确的做法是: D.在根组织单元中创建业务控制策略,拒绝对服务或操作的访问。