SAP-C02 第 379 题
题目
A large company is migrating its entire IT portfolio to AWS. Each business unit in the company has a standalone AWS account that supports both development and test environments. New accounts to support production workloads will be needed soon. The finance department requires a centralized method for payment but must maintain visibility into each group's spending to allocate costs. The security team requires a centralized mechanism to control IAM usage in all the company’s accounts. What combination of the following options meets the company’s needs with the LEAST effort? (Choose two.)
中文翻译:
一家大公司正在将其整个 IT 产品组合迁移到 AWS。公司的每个业务部门都有一个独立的AWS账户,支持开发和测试环境。很快将需要新帐户来支持生产工作负载。财务部门需要一种集中的付款方式,但必须保持对每个组的支出的可见性以分配成本。安全团队需要一个集中机制来控制公司所有账户中 IAM 的使用情况。以下选项的哪种组合能够以最少的努力满足公司的需求? (选择两个。)
选项
A. Use a collection of parameterized AWS CloudFormation templates defining common IAM permissions that are launched into each account. Require all new and existing accounts to launch the appropriate stacks to enforce the least privilege model.
中文翻译:
使用一组参数化的 AWS CloudFormation 模板来定义在每个账户中启动的常见 IAM 权限。要求所有新帐户和现有帐户启动适当的堆栈以强制执行最小权限模型。
B. Use AWS Organizations to create a new organization from a chosen payer account and define an organizational unit hierarchy. Invite the existing accounts to join the organization and create new accounts using Organizations.
中文翻译:
使用 AWS Organizations 从所选付款人账户创建新组织并定义组织单位层次结构。邀请现有帐户加入组织并使用组织创建新帐户。
C. Require each business unit to use its own AWS accounts. Tag each AWS account appropriately and enable Cost Explorer to administer chargebacks.
中文翻译:
要求每个业务部门使用自己的 AWS 账户。适当标记每个 AWS 账户并启用 Cost Explorer 管理退款。
D. Enable all features of AWS Organizations and establish appropriate service control policies that filter IAM permissions for sub-accounts.
中文翻译:
启用 AWS Organizations 的所有功能并建立适当的服务控制策略来筛选子账户的 IAM 权限。
E. Consolidate all of the company's AWS accounts into a single AWS account. Use tags for billing purposes and the IAM’s Access Advisor feature to enforce the least privilege model.
中文翻译:
将公司的所有 AWS 账户整合到一个 AWS 账户中。使用标签进行计费,并使用 IAM 的访问顾问功能来强制执行最小权限模型。
答案
BD
解析
正确答案:BD 解析: 本题应选择 BD。 正确选项: B. 使用 AWS Organizations 从所选付款人账户创建新组织并定义组织单位层次结构。邀请现有帐户加入组织并使用组织创建新帐户。 D. 启用 AWS Organizations 的所有功能并建立适当的服务控制策略来筛选子账户的 IAM 权限。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开...