Q93 — AWS SCS-C02 第1章
第 93/100 题 | ← 返回第1章
一家公司使用AWS Organizations管理其人力资源、财务、软件开发和生产部门的多个AWS账户。公司所有开发人员均属于软件开发AWS账户。 公司发现开发人员启动了预装有公司未批准软件的Amazon EC2实例。公司希望实施一项解决方案,确保开发人员只能在软件开发AWS账户中启动包含已批准软件应用程序的EC2实例。 哪种解决方案可满足这些要求?
- A. 在软件开发账户中,创建仅包含已批准软件的预配置实例的AMI。在AWS CloudFormation模板的条件部分中包含这些AMI ID,以便根据AWS区域启动适当的AMI。向开发人员提供该CloudFormation模板,供其在软件开发账户中启动EC2实例。
- B. 创建一个Amazon EventBridge规则,在软件开发账户中发生任何EC2 RunInstances API事件时触发。将AWS Systems Manager Run Command指定为该规则的目标。配置Run Command运行脚本,在开发人员启动的实例上安装所有已批准的软件。
- C. 使用AWS Service Catalog产品组合,其中包含具有适当AMI(仅含已批准软件)的EC2产品。授予开发人员仅访问该Service Catalog产品组合的权限,以在软件开发账户中启动产品。 ✓
- D. 在管理账户中,创建仅包含已批准软件的预配置实例的AMI。使用AWS CloudFormation StackSets跨组织内任何AWS账户启动这些AMI。授予开发人员在管理账户内启动堆栈集的权限。
正确答案: C. 使用AWS Service Catalog产品组合,其中包含具有适当AMI(仅含已批准软件)的EC2产品。授予开发人员仅访问该Service Catalog产品组合的权限,以在软件开发账户中启动产品。
解析
AWS Organizations用于集中管理多个账户,需确保开发者仅能在指定账户中使用批准的软件。根据AWS最佳实践,限制资源创建可通过预定义模板和权限控制实现。AWS Service Catalog允许管理员创建标准化产品(如包含合规AMI的EC2配置),并授予用户访问权限。选项C通过Service Catalog组合强制使用合规AMI,并限制开发者仅能在指定账户启动实例。选项A依赖开发者主动使用特定模板,缺乏强制约束;选项B在实例创建后安装软件,存在中间态风险;选项D跨账户部署不符合仅在开发账户使用的要求。正确方法为选项C。