Q58 — AWS SAP-C02 第3章
第 58/75 题 | ← 返回第3章
Q283. 一家公司希望迁移到AWS。公司希望使用多账户结构,集中管理对所有账户和应用程序的访问。公司还希望保持流量在私有网络上。登录时需要多因素认证(MFA),并将特定角色分配给用户组。 公司必须为开发、预发布、生产和共享网络创建单独的账户。生产账户和共享网络账户必须与所有账户具有连接性。开发账户和预发布账户必须仅彼此之间有访问权限。 解决方案架构师应采取哪些步骤组合来满足这些要求?(选择三项。)
- A. 使用AWS Control Tower部署着陆区环境。注册账户并邀请现有账户加入AWS Organizations中的结果组织。 ✓
- B. 在所有账户中启用AWS Security Hub来管理跨账户访问。通过AWS CloudTrail收集发现以强制MFA登录。
- C. 在每个账户中创建Transit Gateway和Transit Gateway VPC附加。配置适当的路由表。 ✓
- D. 设置并启用AWS Single Sign-On。为现有账户创建具有所需MFA的适当权限集。 ✓
- E. 在所有账户中启用AWS Control Tower来管理账户之间的路由。通过AWS CloudTrail收集发现以强制MFA登录。
- F. 创建IAM用户和组。为所有用户配置MFA。设置Amazon Cognito用户池和身份池来管理对账户和账户之间的访问。
正确答案: A. 使用AWS Control Tower部署着陆区环境。注册账户并邀请现有账户加入AWS Organizations中的结果组织。, C. 在每个账户中创建Transit Gateway和Transit Gateway VPC附加。配置适当的路由表。, D. 设置并启用AWS Single Sign-On。为现有账户创建具有所需MFA的适当权限集。
解析
正确的三个步骤是A、C和D。 A. 使用AWS Control Tower部署着陆区环境,提供集中管理和治理的多账户结构。 C. 在每个账户中创建Transit Gateway和VPC附加并配置路由表,使生产账户和共享网络账户与所有账户连接,而开发和预发布账户仅彼此访问。 D. 设置AWS Single Sign-On,简化用户访问管理并强制MFA登录。 选项B的Security Hub不管理跨账户访问。选项E的Control Tower不管理账户之间的路由。选项F的IAM用户和组不适合管理跨账户访问。