Q49 — AWS SCS-C02 第1章

第 49/100 题 | ← 返回第1章

一家公司拥有位于 AWS Organizations 组织中的多个 AWS 账户。其中一个账户中的 Amazon S3 存储桶当前为公开可访问状态。 安全工程师必须更改配置,使该 S3 存储桶不再公开可访问。同时,工程师还必须确保该 S3 存储桶在未来无法被设为公开可访问。 哪种解决方案能够满足这些要求?

正确答案: C. 在 S3 存储桶上启用 PublicAccessBlock 配置。为包含该 AWS 账户的组织单位(OU)配置 SCP,拒绝 s3:PutPublicAccessBlock 操作。

解析

Amazon S3 的 PublicAccessBlock 设置用于防止存储桶或对象的公共访问权限被修改。通过启用此配置并配合服务控制策略(SCP)限制 s3:PutPublicAccessBlock 操作,可以确保当前存储桶无法公开访问,并阻止未来可能的权限变更。选项 C 中的做法直接针对维护存储桶的公共访问权限控制,而其他选项要么未能有效限制权限修改,要么使用了不相关功能如加密或 Object Lock。参考 AWS 文档,PublicAccessBlock 和 SCP 结合使用是推荐的最佳实践,用于严格管理存储桶的公共访问状态。