Q27 — AWS SCS-C02 第1章

第 27/100 题 | ← 返回第1章

某公司拥有一个启用了服务控制策略(SCP)的AWS Organizations组织。该组织根级SCP如下所示: 该公司开发人员属于一个IAM组,该组的IAM策略允许通过授予ses:*权限访问Amazon Simple Email Service(Amazon SES)。该账户是某个组织单元(OU)的子账户,该OU的SCP允许Amazon SES。但开发人员尝试通过AWS管理控制台访问Amazon SES时,收到“未授权”错误。 安全工程师必须实施哪项更改,才能使开发人员能够访问Amazon SES?

正确答案: D. 从根级SCP中移除Amazon SES。

解析

根据题目描述,组织的根SCP中有一个拒绝(Deny)访问Amazon SES的规则。尽管开发者的IAM策略允许访问SES,但由于根SCP中的拒绝规则,他们仍然无法访问。要解决这个问题,需要从根SCP中移除对Amazon SES的拒绝规则,这样开发者就可以访问SES了。其他选项要么不符合题意,要么不是解决问题的有效方法。