Q6 — AWS SAP-C02 第1章

第 6/75 题 | ← 返回第1章

Q81. 一家公司拥有数百个 AWS 账户。该公司最近实施了一个集中的内部流程来购买新的预留实例和修改现有预留实例。此流程要求所有希望购买或修改预留实例的业务部门向专门的采购团队提交请求。此前,业务部门在各自的 AWS 账户中自主直接购买或修改预留实例。解决方案架构师需要以最安全的方式强制执行新流程。解决方案架构师应采取哪些步骤的组合来满足这些要求?(选择两项。)

正确答案: A. 确保所有 AWS 账户都是 AWS Organizations 中启用了所有功能的组织的一部分。, D. 创建一个拒绝 ec2:PurchaseReservedInstancesOffering 操作和 ec2:ModifyReservedInstances 操作的 SCP。将 SCP 附加到组织的每个 OU。

解析

为以最安全的方式强制执行新的预留实例购买流程,推荐的解决方案是: A. 确保所有 AWS 账户都是 AWS Organizations 中启用了所有功能的组织的一部分。 D. 创建一个拒绝 ec2:PurchaseReservedInstancesOffering 操作和 ec2:ModifyReservedInstances 操作的 SCP。将 SCP 附加到组织的每个 OU。 说明: 选项 A 和 D 结合使用 AWS Organizations 和服务控制策略(SCP)来强制执行新的预留实例购买流程: 1. AWS Organizations 启用所有功能:通过确保所有 AWS 账户都是启用了所有功能的 AWS Organizations 组织的一部分,可以使用 SCP 来控制和限制各账户中的操作。 2. SCP:通过创建拒绝 ec2:PurchaseReservedInstancesOffering 和 ec2:ModifyReservedInstances 操作的 SCP 并将其附加到每个 OU,可以防止业务部门直接购买或修改预留实例,从而强制它们通过集中的采购流程。 选项 B 不正确,因为 AWS Config 只能报告 IAM 策略的附加情况,但不能强制执行限制。 选项 C 不正确,因为在每个账户中创建 IAM 策略可以被具有足够权限的用户修改或删除,不如 SCP 安全。 选项 E 不正确,因为仅使用整合账单功能不支持 SCP,而 SCP 需要启用所有功能才能使用。 因此,正确答案是 A 和 D。