Q7 — AWS SAP-C02 第1章
第 7/75 题 | ← 返回第1章
Q82. 一家公司希望迁移到 AWS。公司希望使用多账户结构,集中管理对所有账户和应用程序的访问。公司还希望将流量保持在私有网络上。登录时需要多重身份验证 (MFA),并将特定角色分配给用户组。公司必须为开发、预发布、生产和共享网络创建单独的账户。生产账户和共享网络账户必须与所有账户具有连接性。开发账户和预发布账户只能相互访问。解决方案架构师应采取哪些步骤的组合来满足这些要求?(选择三项。)
- A. 使用 AWS Control Tower 部署着陆区环境。在生成的 AWS Organizations 组织中注册账户并邀请现有账户加入。 ✓
- B. 在所有账户中启用 AWS Security Hub 以管理跨账户访问。通过 AWS CloudTrail 收集发现结果以强制 MFA 登录。
- C. 在每个账户中创建中转网关和中转网关 VPC 附件。配置适当的路由表。 ✓
- D. 设置并启用 AWS Single Sign-On。为现有账户创建具有所需 MFA 的适当权限集。 ✓
- E. 在所有账户中启用 AWS Control Tower 以管理账户间的路由。通过 AWS CloudTrail 收集发现结果以强制 MFA 登录。
- F. 创建 IAM 用户和组。为所有用户配置 MFA。设置 Amazon Cognito 用户池和身份池以管理对账户的访问和账户间的访问。
正确答案: A. 使用 AWS Control Tower 部署着陆区环境。在生成的 AWS Organizations 组织中注册账户并邀请现有账户加入。, C. 在每个账户中创建中转网关和中转网关 VPC 附件。配置适当的路由表。, D. 设置并启用 AWS Single Sign-On。为现有账户创建具有所需 MFA 的适当权限集。
解析
为设计满足多账户结构和集中管理访问要求的解决方案,推荐的步骤组合是: A. 使用 AWS Control Tower 部署着陆区环境。在生成的 AWS Organizations 组织中注册账户并邀请现有账户加入。 C. 在每个账户中创建中转网关和中转网关 VPC 附件。配置适当的路由表。 D. 设置并启用 AWS Single Sign-On。为现有账户创建具有所需 MFA 的适当权限集。 说明: 选项 A 使用 AWS Control Tower 快速部署符合最佳实践的多账户环境。Control Tower 自动设置 AWS Organizations、身份管理和治理。 选项 C 使用中转网关实现账户间 VPC 的网络连接。通过配置路由表,可以控制哪些账户可以相互通信(生产和共享网络与所有账户连接,开发和预发布仅相互连接)。 选项 D 使用 AWS Single Sign-On (SSO) 提供集中身份验证和 MFA。权限集定义了用户在不同账户中可以执行的操作。 选项 B 不正确,AWS Security Hub 用于安全发现而非访问管理。 选项 E 不正确,AWS Control Tower 不用于管理账户间的路由。 选项 F 不正确,使用 IAM 用户和 Amazon Cognito 不是管理多 AWS 账户集中访问的最佳方式。 因此,正确答案是 A、C 和 D。