SAP-C02 第 3 题
题目
A company uses AWS Organizations with a single OU named Production to manage multiple accounts. All accounts are members of the Production OU. Administrators use deny list SCPs in the root of the organization to manage access to restricted services. The company recently acquired a new business unit and invited the new unit’s existing AWS account to the organization. Once onboarded, the administrators of the new business unit discovered that they are not able to update existing AWS Config rules to meet the company’s policies. Which option will allow administrators to make changes and continue to enforce the current policies without introducing additional long-term maintenance?
中文翻译:
一家公司使用 AWS Organizations 和名为 Production 的单个 OU 来管理多个账户。所有帐户都是生产 OU 的成员。管理员使用组织根目录中的拒绝列表 SCP 来管理对受限服务的访问。该公司最近收购了一个新的业务部门,并邀请该新部门现有的 AWS 账户加入该组织。入职后,新业务部门的管理员发现他们无法更新现有的 AWS Config 规则以满足公司的政策。哪个选项将允许管理员进行更改并继续执行当前策略,而无需引入额外的长期维护?
选项
A. Remove the organization’s root SCPs that limit access to AWS Config. Create AWS Service Catalog products for the company’s standard AWS Config rules and deploy them throughout the organization, including the new account.
中文翻译:
删除组织限制对 AWS Config 访问的根 SCP。为公司的标准 AWS Config 规则创建 AWS Service Catalog 产品,并将其部署到整个组织(包括新账户)。
B. Create a temporary OU named Onboarding for the new account. Apply an SCP to the Onboarding OU to allow AWS Config actions. Move the new account to the Production OU when adjustments to AWS Config are complete.
中文翻译:
为新帐户创建一个名为 Onboarding 的临时 OU。将 SCP 应用到 Onboarding OU 以允许 AWS Config 操作。对 AWS Config 的调整完成后,将新账户移至生产 OU。
C. Convert the organization’s root SCPs from deny list SCPs to allow list SCPs to allow the required services only. Temporarily apply an SCP to the organization’s root that allows AWS Config actions for principals only in the new account.
中文翻译:
将组织的根 SCP 从拒绝列表 SCP 转换为允许列表 SCP,以仅允许所需的服务。临时将 SCP 应用于组织的根,仅允许新账户中的委托人执行 AWS Config 操作。
D. Create a temporary OU named Onboarding for the new account. Apply an SCP to the Onboarding OU to allow AWS Config actions. Move the organization’s root SCP to the Production OU. Move the new account to the Production OU when adjustments to AWS Config are complete.
中文翻译:
为新帐户创建一个名为 Onboarding 的临时 OU。将 SCP 应用到 Onboarding OU 以允许 AWS Config 操作。将组织的根 SCP 移至生产 OU。对 AWS Config 的调整完成后,将新账户移至生产 OU。
答案
D
解析
正确答案:D 解析: 本题应选择 D。 正确选项: D. 为新帐户创建一个名为 Onboarding 的临时 OU。将 SCP 应用到 Onboarding OU 以允许 AWS Config 操作。将组织的根 SCP 移至生产 OU。对 AWS Config 的调整完成后,将新账户移至生产 OU。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效...