Q27 — AWS SCS-C02 第1章
第 27/100 题 | ← 返回第1章
某公司拥有一个启用了服务控制策略(SCP)的AWS Organizations组织。该组织根级SCP如下所示: 该公司开发人员属于一个IAM组,该组的IAM策略允许通过授予ses:*权限访问Amazon Simple Email Service(Amazon SES)。该账户是某个组织单元(OU)的子账户,该OU的SCP允许Amazon SES。但开发人员尝试通过AWS管理控制台访问Amazon SES时,收到“未授权”错误。 安全工程师必须实施哪项更改,才能使开发人员能够访问Amazon SES?
- A. 添加一个资源策略,允许该组每个成员访问Amazon SES。
- B. 添加一个资源策略,允许"Principal": {"AWS": "arn:aws:iam::account-number:group/Dev"}。
- C. 移除限制访问Amazon SES的AWS Control Tower控制(防护栏)。
- D. 从根级SCP中移除Amazon SES。 ✓
正确答案: D. 从根级SCP中移除Amazon SES。
解析
根据题目描述,组织的根SCP中有一个拒绝(Deny)访问Amazon SES的规则。尽管开发者的IAM策略允许访问SES,但由于根SCP中的拒绝规则,他们仍然无法访问。要解决这个问题,需要从根SCP中移除对Amazon SES的拒绝规则,这样开发者就可以访问SES了。其他选项要么不符合题意,要么不是解决问题的有效方法。