Q51 — AWS SCS-C02 第1章

第 51/100 题 | ← 返回第1章

一家公司使用 AWS Organizations 管理少量 AWS 账户。但该公司计划很快新增 1,000 个账户。公司仅允许集中式安全团队为所有 AWS 账户和团队创建 IAM 角色。应用团队需向安全团队提交 IAM 角色申请。目前安全团队积压大量 IAM 角色请求,无法快速审核与部署。安全团队必须建立一种流程,使应用团队能自行部署其 IAM 角色,同时限制角色作用域并防止权限提升。

正确答案: D. 创建 SCP 和 IAM 角色的权限边界(Permissions Boundary)。将 SCP 添加至根 OU,从而仅允许附加了该权限边界的 IAM 角色创建任何新的 IAM 角色。

解析

AWS Organizations 结合 Service Control Policies (SCP) 和权限边界(Permissions Boundary)可实现集中管理 IAM 角色创建权限的同时限制权限范围。SCP 作用于整个 OU 层级,可强制要求所有 IAM 角色必须附带特定权限边界,确保创建的角色不会超出预设的最大权限(权限边界定义了角色能授予的最大权限)。此方案无需为每个团队单独配置策略,仅在根 OU 应用统一的 SCP,所有子账户继承策略,符合最小操作开销。选项 D 通过 SCP 全局限制,权限边界约束具体角色权限,既允许自助创建,又防止权限升级。其他选项或依赖人工管理(A、B),或需维护大量 OU 策略(C),运维成本更高。