SAP-C02 第 286 题
题目
A company manages hundreds of AWS accounts centrally in an organization in AWS Organizations. The company recently started to allow product teams to create and manage their own S3 access points in their accounts. The S3 access points can be accessed only within VPCs, not on the internet. What is the MOST operationally efficient way to enforce this requirement?
中文翻译:
一家公司在 AWS Organizations 的组织中集中管理数百个 AWS 账户。该公司最近开始允许产品团队在其帐户中创建和管理自己的 S3 访问点。 S3 接入点只能在 VPC 内访问,不能在 Internet 上访问。执行此要求最有效的操作方法是什么?
选项
A. Set the S3 access point resource policy to deny the s3:CreateAccessPoint action unless the s3:AccessPointNetworkOrigin condition key evaluates to VPC.
中文翻译:
将 S3 访问点资源策略设置为拒绝 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 条件键的计算结果为 VPC。
B. Create an SCP at the root level in the organization to deny the s3:CreateAccessPoint action unless the s3:AccessPointNetworkOrigin condition key evaluates to VPC.
中文翻译:
在组织中的根级别创建 SCP 以拒绝 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 条件键的计算结果为 VPC。
C. Use AWS CloudFormation StackSets to create a new IAM policy in each AWS account that allows the s3:CreateAccessPoint action only if the s3:AccessPointNetworkOrigin condition key evaluates to VPC.
中文翻译:
使用 AWS CloudFormation StackSets 在每个 AWS 账户中创建新的 IAM 策略,仅当 s3:AccessPointNetworkOrigin 条件键计算结果为 VPC 时才允许 s3:CreateAccessPoint 操作。
D. Set the S3 bucket policy to deny the s3:CreateAccessPoint action unless the s3:AccessPointNetworkOrigin condition key evaluates to VPC.
中文翻译:
将 S3 存储桶策略设置为拒绝 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 条件键的计算结果为 VPC。
答案
B
解析
正确答案:B 解析: 本题应选择 B。 正确选项: B. 在组织中的根级别创建 SCP 以拒绝 s3:CreateAccessPoint 操作,除非 s3:AccessPointNetworkOrigin 条件键的计算结果为 VPC。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关...