Q7 — AWS SAA-C03 第5章

第 7/65 题 | ← 返回第5章

Q307.一家公司使用启用了所有功能的 AWS Organizations,并在 ap-southeast-2 区域运行多个 Amazon EC2 工作负载.该公司有一个服务控制策略 (SCP),可以防止在任何其他区域创建任何资源.安全策略要求公司加密所有静态数据.审计发现员工在没有加密卷的情况下为 EC2 实例创建了 Amazon Elastic Block Store (Amazon EBS) 卷.该公司希望任何 IAM 用户或根用户在 ap-southeast-2 中启动的任何新 EC2 实例都使用加密的 EBS 卷.公司需要一种对创建 EBS 卷的员工影响最小的解决方案.哪种步骤组合可以满足这些要求?(选择两项.)

正确答案: C. 创建 SCP 将 SCP 附加到根组织单元 (OU).定义 SCP 以在 ec2:Encrypted 条件等于 false 时拒绝 ec2:CreateVolume 操作, E. 在组织管理账户中,指定默认 EBS 卷加密设置

解析

选项 C:创建一个 SCP 并将其附加到根组织单元 (OU),以在 ec2:Encrypted 条件等于 false 时拒绝 ec2:CreateVolume 操作,这将强制执行为 ap- 中启动的新 EC2 实例加密所有 EBS 卷的安全策略东南-2.这不会影响创建 EBS 卷的员工,因为它仅适用于新实例.选项 E:在组织管理账户中指定默认 EBS 卷加密设置将确保在 ap-southeast-2 中启动的任何新 EC2 实例默认使用加密的 EBS 卷.这将满足公司对创建 EBS 卷的员工影响最小的要求.选项 A:选择 EBS 加密帐户属性并在 Amazon EC2 控制台中定义默认加密密钥不会强制执行为 ap-southeast-2 中启动的新 EC2 实例加密所有 EBS 卷的安全策略.此选项仅为在 AWS 账户中创建的所有 EBS 卷定义默认加密密钥,这可能会影响现有的工作流程或脚本.选项 B 和 D 涉及创建 IAM 权限边界或更新每个帐户的 IAM 策略以在 ec2:Encrypted 条件等于 false 时拒绝 ec2:CreateVolume 操作.虽然这些选项将强制执行加密 EBS 卷的安全策略,但它们可能会对创建 EBS 卷的员工产生影响,因为这可能需要他们修改现有的工作流程或脚本.