Q9 — AWS SCS-C02 第1章

第 9/100 题 | ← 返回第1章

一家公司正在为其开发团队设计多账户架构。该公司使用AWS Organizations和AWS IAM Identity Center(AWS单点登录)。该公司必须实施一种解决方案,使开发团队只能使用特定的AWS区域,并且每个AWS账户仅允许访问特定的AWS服务。 哪种解决方案能以最少的运维开销满足这些要求?

正确答案: C. 创建包含Condition、Resource和NotAction元素的服务控制策略(SCP),以仅允许访问所需的区域和服务。

解析

在AWS多账户架构设计中,限制开发团队访问特定AWS区域和服务需使用服务控制策略(SCP)。根据AWS Organizations文档,SCP可在组织单元(OU)或整个组织层级集中管理权限,无需针对每个账户单独配置。选项C通过SCP的Condition、Resource和NotAction元素全局生效,一次性设置即可影响多个账户。选项D需为每个账户定制身份策略,操作复杂。选项A中的服务关联角色通常用于AWS服务间交互,不适用于用户权限管理。选项B的STS停用按区域不可行,STS为全局服务。正确答案参考AWS SCP最佳实践。