Q67 — AWS SCS-C02 第1章

第 67/100 题 | ← 返回第1章

一家公司使用AWS Organizations实施多账户策略。该公司没有本地基础设施,所有工作负载均运行在AWS上。目前该公司拥有八个成员账户,并预计任何时候AWS账户总数不会超过20个。 该公司发布了一项新的安全策略,包含以下要求: • 任何AWS账户均不得在其自身AWS账户内的VPC中运行工作负载。 • 公司应使用一个集中管理的VPC,所有AWS账户均可访问该VPC并在其子网中启动工作负载。 • 任何AWS账户均不得修改其他AWS账户在集中管理VPC中的应用程序资源。 • 集中管理的VPC应位于组织中一个名为Account-A的现有AWS账户内。 该公司使用AWS CloudFormation模板在Account-A中创建了一个包含多个子网的VPC。该模板通过CloudFormation Outputs部分导出子网ID。 以下哪种解决方案可完成安全设置以满足这些要求?

正确答案: C. 使用AWS Resource Access Manager(AWS RAM)将Account-A的VPC子网共享给其余成员账户。配置成员账户使用共享子网启动工作负载。

解析

AWS Resource Access Manager (AWS RAM)允许跨账户共享资源。根据题干要求,必须通过Account-A的中心VPC提供子网,且各账户无法修改其他账户的资源。AWS RAM支持共享子网到整个组织,成员账户可将资源部署到共享子网,不同账户的资源默认隔离,无法相互修改。选项A的Fn::ImportValue仅限于同一账户内跨堆栈引用;选项B的Transit Gateway用于网络连接,不直接共享子网;选项D的VPC对等连接需手动配置路由且不限制修改权限。AWS官方文档指出,使用AWS RAM共享子网是此类场景的标准做法。