Q27 — AWS SOA-C02 第1章
第 27/100 题 | ← 返回第1章
某公司拥有多个位于 AWS Organizations 组织中的成员账户。该公司最近发现管理员一直在使用账户根用户凭证。该公司必须防止管理员使用根用户凭证对 Amazon EC2 实例执行任何操作。 系统运维管理员应采取什么措施来满足此要求?
- A. 在每个成员账户中创建基于身份的 IAM 策略,拒绝根用户对 EC2 实例执行的操作。
- B. 在组织的管理账户中创建服务控制策略(SCP),拒绝所有成员账户中根用户对 EC2 实例执行的操作。 ✓
- C. 使用 AWS Config 阻止根用户对 EC2 实例执行任何操作。
- D. 在每个成员账户中使用 Amazon Inspector 扫描根用户登录并阻止根用户对 EC2 实例执行任何操作。
正确答案: B. 在组织的管理账户中创建服务控制策略(SCP),拒绝所有成员账户中根用户对 EC2 实例执行的操作。
解析
AWS Organizations 中的服务控制策略(SCP)允许在管理账户中定义权限边界,影响所有成员账户。IAM 策略基于身份但无法覆盖根用户权限,SCP 作为组织级策略可全局限制根用户操作。选项 B 通过 SCP 统一限制所有成员账户的根用户 EC2 操作,符合需求。选项 A 需每个账户单独配置,不符合题干中“several member accounts”的高效管理要求。选项 C 的 AWS Config 用于合规评估而非实时阻止,选项 D 的 Amazon Inspector 用于安全评估而非访问控制。正确答案为 B。(来源:AWS SCP 文档)