Q44 — AWS SAP-C02 第3章

第 44/75 题 | ← 返回第3章

Q269. 一家公司在AWS Organizations的组织中集中管理数百个AWS账户。公司最近开始允许产品团队在其账户中创建和管理自己的S3访问点。S3访问点只能在VPC内访问,不能在互联网上访问。 什么是强制执行此要求的最高运营效率的方式?

正确答案: B. 在组织的根级别创建SCP以拒绝s3:CreateAccessPoint操作,除非s3:AccessPointNetworkOrigin条件键评估为VPC。

解析

在组织根级别创建服务控制策略(SCP)以拒绝s3:CreateAccessPoint操作(除非s3:AccessPointNetworkOrigin条件键评估为VPC)是强制执行此要求的最高运营效率方式。此解决方案提供了对策略的集中控制,可以在所有AWS账户中强制执行。 选项A仅适用于单个访问点,当有许多账户和访问点时难以管理。选项C使用CloudFormation StackSets为每个AWS账户创建IAM策略会增加不必要的复杂性。选项D设置S3存储桶策略不提供粒度和灵活性。 "您可以设置AWS SCP以要求组织中的任何新访问点限制为仅VPC类型。这确保在组织中创建的任何访问点仅从VPC内提供访问。"