SAP-C02 第 132 题
题目
一家公司使用 AWS Organizations 管理多个 AWS 账户。在根 OU 下,公司有两个 OU:Research 和 DataOps。由于法规要求,公司在组织中部署的所有资源都必须驻留在 ap-northeast-1 区域。此外,公司在 DataOps OU 中部署的 EC2 实例必须使用预定义的实例类型列表。解决方案架构师必须实施应用这些限制的解决方案。该解决方案必须最大限度地提高运营效率,并最大限度地减少持续维护。哪种步骤组合可以满足这些要求? (选择两个。)
选项
A. 在 DataOps OU 下的一个账户中创建 IAM 角色。在角色的内联策略中使用 ec2:InstanceType 条件键来限制对特定实例类型的访问。
B. 在根 OU 下的所有账户中创建 IAM 用户。在每个用户的内联策略中使用 aws:RequestedRegion 条件键来限制对除 ap-northeast-1 之外的所有 AWS 区域的访问。
C. 创建一个 SCP。使用 aws:RequestedRegion 条件键限制对除 ap-northeast-1 之外的所有 AWS 区域的访问。将 SCP 应用到根 OU。
D. 创建一个 SCP。使用 ec2:Region 条件键限制对除 ap-northeast-1 之外的所有 AWS 区域的访问。将 SCP 应用到根 OU、DataOps OU 和 Research OU。
E. 创建一个 SCP。使用 ec2:InstanceType 条件键限制对特定实例类型的访问。将 SCP 应用到 DataOps OU。
答案
CE
解析
正确答案:CE 解析: 题干关键点:AWS Organizations 组织治理、核心服务:EC2, IAM, Organizations。 正确选项: C. 创建一个 SCP。使用 aws:RequestedRegion 条件键限制对除 ap-northeast-1 之外的所有 AWS 区域的访问。将 SCP 应用到根 OU。 E. 创建一个 SCP。使用 ec2:InstanceType 条件键限制对特定实例类型的访问。将 SCP ...