SAP-C02 第 270 题
题目
A company is expanding. The company plans to separate its resources into hundreds of different AWS accounts in multiple AWS Regions. A solutions architect must recommend a solution that denies access to any operations outside of specifically designated Regions. Which solution will meet these requirements?
中文翻译:
一家公司正在扩张。该公司计划将其资源划分到多个 AWS 区域的数百个不同的 AWS 账户中。解决方案架构师必须推荐一种拒绝访问特定指定区域之外的任何操作的解决方案。哪种解决方案可以满足这些要求?
选项
A. Create IAM roles for each account. Create IAM policies with conditional allow permissions that include only approved Regions for the accounts.
中文翻译:
为每个账户创建 IAM 角色。创建具有条件允许权限的 IAM 策略,其中仅包含账户的批准区域。
B. Create an organization in AWS Organizations. Create IAM users for each account. Attach a policy to each user to block access to Regions where an account cannot deploy infrastructure.
中文翻译:
在 AWS Organizations 中创建组织。为每个账户创建 IAM 用户。为每个用户附加一个策略,以阻止访问帐户无法部署基础设施的区域。
C. Launch an AWS Control Tower landing zone. Create OUs and attach SCPs that deny access to run services outside of the approved Regions.
中文翻译:
启动 AWS Control Tower 登陆区。创建 OU 并附加 SCP,拒绝访问批准区域之外的运行服务。
D. Enable AWS Security Hub in each account. Create controls to specify the Regions where an account can deploy infrastructure.
中文翻译:
在每个账户中启用 AWS Security Hub。创建控件以指定帐户可以部署基础设施的区域。
答案
C
解析
正确答案:C 解析: 本题应选择 C。 正确选项: C. 启动 AWS Control Tower 登陆区。创建 OU 并附加 SCP,拒绝访问批准区域之外的运行服务。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主要包括:IAM、Organizations、Control ...