Q7 — AWS SAP-C02 第1章

第 7/75 题 | ← 返回第1章

Q82. 一家公司希望迁移到 AWS。公司希望使用多账户结构,集中管理对所有账户和应用程序的访问。公司还希望将流量保持在私有网络上。登录时需要多重身份验证 (MFA),并将特定角色分配给用户组。公司必须为开发、预发布、生产和共享网络创建单独的账户。生产账户和共享网络账户必须与所有账户具有连接性。开发账户和预发布账户只能相互访问。解决方案架构师应采取哪些步骤的组合来满足这些要求?(选择三项。)

正确答案: A. 使用 AWS Control Tower 部署着陆区环境。在生成的 AWS Organizations 组织中注册账户并邀请现有账户加入。, C. 在每个账户中创建中转网关和中转网关 VPC 附件。配置适当的路由表。, D. 设置并启用 AWS Single Sign-On。为现有账户创建具有所需 MFA 的适当权限集。

解析

为设计满足多账户结构和集中管理访问要求的解决方案,推荐的步骤组合是: A. 使用 AWS Control Tower 部署着陆区环境。在生成的 AWS Organizations 组织中注册账户并邀请现有账户加入。 C. 在每个账户中创建中转网关和中转网关 VPC 附件。配置适当的路由表。 D. 设置并启用 AWS Single Sign-On。为现有账户创建具有所需 MFA 的适当权限集。 说明: 选项 A 使用 AWS Control Tower 快速部署符合最佳实践的多账户环境。Control Tower 自动设置 AWS Organizations、身份管理和治理。 选项 C 使用中转网关实现账户间 VPC 的网络连接。通过配置路由表,可以控制哪些账户可以相互通信(生产和共享网络与所有账户连接,开发和预发布仅相互连接)。 选项 D 使用 AWS Single Sign-On (SSO) 提供集中身份验证和 MFA。权限集定义了用户在不同账户中可以执行的操作。 选项 B 不正确,AWS Security Hub 用于安全发现而非访问管理。 选项 E 不正确,AWS Control Tower 不用于管理账户间的路由。 选项 F 不正确,使用 IAM 用户和 Amazon Cognito 不是管理多 AWS 账户集中访问的最佳方式。 因此,正确答案是 A、C 和 D。