Q68 — AWS SAP-C02 第3章
第 68/75 题 | ← 返回第3章
Q293. 一家公司使用AWS Control Tower在AWS上协调多账户结构。公司使用AWS Organizations、AWS Config和AWS Trusted Advisor。公司为开发账户设置了特定的OU,开发人员使用这些账户在AWS上进行实验。公司有数百名开发人员,每个开发人员有一个独立的开发账户。公司希望在这些开发账户中优化成本。 这些账户中的Amazon EC2实例和Amazon RDS实例必须是可突发的。公司希望禁止使用不相关的其他服务。 解决方案架构师应该推荐什么来满足这些要求?
- A. 在AWS Organizations中创建自定义SCP以仅允许部署可突发实例并禁止不相关的服务。将SCP应用于开发OU。 ✓
- B. 在AWS Control Tower中创建自定义检测护栏。配置护栏仅允许部署可突发实例并禁止不相关的服务。将护栏应用于开发OU。
- C. 在AWS Control Tower中创建自定义预防护栏。配置护栏仅允许部署可突发实例并禁止不相关的服务。将护栏应用于开发OU。
- D. 在AWS Control Tower账户中创建AWS Config规则。配置AWS Config规则仅允许部署可突发实例并禁止不相关的服务。使用AWS CloudFormation StackSets将AWS Config规则部署到开发OU。
正确答案: A. 在AWS Organizations中创建自定义SCP以仅允许部署可突发实例并禁止不相关的服务。将SCP应用于开发OU。
解析
选项A是最合适的建议。创建自定义SCP可以配置为仅允许部署可突发实例,帮助通过在需要时利用可突发性能来优化成本。此外,SCP可以配置为禁止不相关的服务,确保开发人员仅限于使用必要的服务。 将SCP应用于开发OU确保其专门针对该OU内的开发者账户执行。 选项B的检测护栏不是主动控制资源部署的最佳解决方案。选项C的预防护栏可能不提供所需的细粒度控制。选项D的AWS Config规则不是主动控制资源部署或限制服务的最佳解决方案。