SAP-C02 第 32 题
题目
A company is in the process of implementing AWS Organizations to constrain its developers to use only Amazon EC2, Amazon S3, and Amazon DynamoDB. The developers account resides in a dedicated organizational unit (OU). The solutions architect has implemented the following SCP on the developers account: When this policy is deployed, IAM users in the developers account are still able to use AWS services that are not listed in the policy. What should the solutions architect do to eliminate the developers’ ability to use services outside the scope of this policy?
中文翻译:
一家公司正在实施 AWS Organizations,以限制其开发人员仅使用 Amazon EC2、Amazon S3 和 Amazon DynamoDB。开发人员帐户驻留在专用的组织单位 (OU) 中。解决方案架构师已在开发人员账户上实施以下 SCP:部署此策略后,开发人员账户中的 IAM 用户仍然能够使用策略中未列出的 AWS 服务。解决方案架构师应该采取什么措施来消除开发人员使用本政策范围之外的服务的能力?
选项
A. Create an explicit deny statement for each AWS service that should be constrained.
中文翻译:
为应受到约束的每个 AWS 服务创建显式拒绝语句。
B. Remove the FullAWSAccess SCP from the developers account’s OU.
中文翻译:
从开发人员帐户的 OU 中删除 FullAWSAccess SCP。
C. Modify the FullAWSAccess SCP to explicitly deny all services.
中文翻译:
修改 FullAWSAccess SCP 以明确拒绝所有服务。
D. Add an explicit deny statement using a wildcard to the end of the SCP.
中文翻译:
使用通配符将显式拒绝语句添加到 SCP 末尾。
答案
B
解析
正确答案:B 解析: 本题应选择 B。 正确选项: B. 从开发人员帐户的 OU 中删除 FullAWSAccess SCP。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主要包括:DynamoDB、S3、EC2、IAM、Organizations。 排除思路: A、C、D ...