Q37 — AWS SCS-C02 第1章

第 37/100 题 | ← 返回第1章

一家公司需要防止Amazon S3对象被共享给AWS Organizations组织之外的IAM身份。一名安全工程师正在创建并部署SCP(服务控制策略)来实现此目标。该公司已在所有S3存储桶上启用了S3阻止公有访问功能。 该SCP应如何配置才能满足这些要求?

正确答案: A. 拒绝S3:*操作,条件(Condition)元素使用StringNotEquals运算符,键为aws:ResourceOrgID,值为${aws:PrincipalOrgID}。

解析

AWS SCP(Service Control Policy)用于限制成员账户的权限范围。根据AWS Organizations文档,aws:PrincipalOrgID和aws:ResourceOrgID是用于确保资源仅在同一AWS组织内共享的条件键。选项A通过Deny S3:*并在Condition中使用StringNotEquals比较ResourceOrgID与PrincipalOrgID,确保仅当请求者和资源在同一组织时才允许操作。其他选项要么限制不全面(B、D),要么语法错误(C),或无法覆盖所有场景。正确答案为A。