Q5 — AWS SCS-C02 第1章

第 5/100 题 | ← 返回第1章

一家公司在AWS Organizations中为其AWS账户配置了一个组织。所有AWS区域均已启用AWS CloudTrail。一名安全工程师必须实施一项解决方案,以防止CloudTrail被禁用。 以下哪项解决方案可满足此要求?

正确答案: C. 创建一个服务控制策略(SCP),其中包含针对StopLogging操作和DeleteTrail操作的显式Deny规则。将该SCP附加到根组织单位(OU)。

解析

AWS Organizations使用服务控制策略(SCP)可在组织层级限制成员账户的权限。AWS文档指出,SCP通过显式拒绝特定API操作(如`cloudtrail:StopLogging`和`cloudtrail:DeleteTrail`),可有效阻止禁用或删除CloudTrail。选项C正确应用了SCP的Deny规则策略,附加到根OU则覆盖所有成员账户。选项A仅涉及日志完整性验证,选项B处理加密而非操作限制,选项D的IAM策略不影响管理账户或未授权的API调用。