Q70 — AWS SAP-C02 第2章
第 70/75 题 | ← 返回第2章
Q220. 一家公司有五个开发团队,每个团队创建了五个 AWS 账户来开发和托管应用程序。为了跟踪支出,开发团队每月登录每个账户,从 AWS Billing and Cost Management 控制台记录当前成本,并将信息提供给公司的财务团队。 该公司有严格的合规要求,需要确保只在美国的 AWS 区域中创建资源。但是,一些资源已在其他区域中创建。解决方案架构师需要实施一个解决方案,使财务团队能够跟踪和合并所有账户的支出。该解决方案还必须确保公司只能在美国的区域中创建资源。 哪种步骤组合能以最高运营效率的方式满足这些要求?(选择三项。)
- A. 创建一个新账户作为管理账户。为财务团队创建一个 Amazon S3 存储桶。使用 AWS Cost and Usage Reports 创建月度报告并将数据存储在财务团队的 S3 存储桶中
- B. 创建一个新账户作为管理账户。在 AWS Organizations 中部署启用所有功能的组织。邀请所有现有账户加入组织。确保每个账户接受邀请 ✓
- C. 创建一个包含所有开发团队的 OU。创建一个仅允许在美国区域中创建资源的 SCP。将 SCP 应用到 OU
- D. 创建一个包含所有开发团队的 OU。创建一个拒绝在美国以外区域创建资源的 SCP。将 SCP 应用到 OU ✓
- E. 在管理账户中创建一个 IAM 角色。附加一个包含查看 Billing and Cost Management 控制台权限的策略。允许财务团队用户代入该角色。使用 AWS Cost Explorer 和 Billing and Cost Management 控制台分析成本 ✓
- F. 在每个 AWS 账户中创建一个 IAM 角色。附加一个包含查看 Billing and Cost Management 控制台权限的策略。允许财务团队用户代入该角色
正确答案: B. 创建一个新账户作为管理账户。在 AWS Organizations 中部署启用所有功能的组织。邀请所有现有账户加入组织。确保每个账户接受邀请, D. 创建一个包含所有开发团队的 OU。创建一个拒绝在美国以外区域创建资源的 SCP。将 SCP 应用到 OU, E. 在管理账户中创建一个 IAM 角色。附加一个包含查看 Billing and Cost Management 控制台权限的策略。允许财务团队用户代入该角色。使用 AWS Cost Explorer 和 Billing and Cost Management 控制台分析成本
解析
选项 A 建议创建新账户作为管理账户并创建 S3 存储桶存储月度报告。此方法不是最高运营效率的方式,也不解决确保仅在美国区域创建资源的需求。 选项 C 建议创建允许仅在美国区域创建资源的 SCP。但此方法不如创建拒绝在美国以外区域创建资源的 SCP 安全。 选项 F 建议在每个 AWS 账户中创建具有查看账单权限的 IAM 角色。但此方法不如在管理账户中创建 IAM 角色并允许财务团队用户代入角色来查看所有 AWS 账户的账单信息集中且高效。 因此,选项 B、D 和 E 提供了最合适的解决方案,创建新账户作为管理账户,部署启用所有功能的组织,邀请所有现有账户加入组织,创建包含所有开发团队的 OU 并应用拒绝在美国以外区域创建资源的 SCP,以及在管理账户中创建具有查看账单权限的 IAM 角色。