Q5 — AWS SCS-C02 第1章
第 5/100 题 | ← 返回第1章
一家公司在AWS Organizations中为其AWS账户配置了一个组织。所有AWS区域均已启用AWS CloudTrail。一名安全工程师必须实施一项解决方案,以防止CloudTrail被禁用。 以下哪项解决方案可满足此要求?
- A. 从组织的管理账户启用CloudTrail日志文件完整性验证。
- B. 为CloudTrail日志启用使用AWS KMS密钥(SSE-KMS)的服务器端加密。创建一个KMS密钥,并为该密钥附加策略以防止解密日志。
- C. 创建一个服务控制策略(SCP),其中包含针对StopLogging操作和DeleteTrail操作的显式Deny规则。将该SCP附加到根组织单位(OU)。 ✓
- D. 为公司所有用户创建IAM策略,以防止用户执行DescribeTrails操作和GetTrailStatus操作。
正确答案: C. 创建一个服务控制策略(SCP),其中包含针对StopLogging操作和DeleteTrail操作的显式Deny规则。将该SCP附加到根组织单位(OU)。
解析
AWS Organizations使用服务控制策略(SCP)可在组织层级限制成员账户的权限。AWS文档指出,SCP通过显式拒绝特定API操作(如`cloudtrail:StopLogging`和`cloudtrail:DeleteTrail`),可有效阻止禁用或删除CloudTrail。选项C正确应用了SCP的Deny规则策略,附加到根OU则覆盖所有成员账户。选项A仅涉及日志完整性验证,选项B处理加密而非操作限制,选项D的IAM策略不影响管理账户或未授权的API调用。