SAP-C02 第 464 题
题目
A company uses AWS Organizations to manage its AWS accounts. A solutions architect must design a solution in which only administrator roles are allowed to use IAM actions. However, the solutions architect does not have access to all the AWS accounts throughout the company. Which solution meets these requirements with the LEAST operational overhead?
中文翻译:
一家公司使用 AWS Organizations 来管理其 AWS 账户。解决方案架构师必须设计一个仅允许管理员角色使用 IAM 操作的解决方案。但是,解决方案架构师无权访问整个公司的所有 AWS 账户。哪种解决方案能够以最少的运营开销满足这些要求?
选项
A. Create an SCP that applies to all the AWS accounts to allow IAM actions only for administrator roles. Apply the SCP to the root OU.
中文翻译:
创建适用于所有 AWS 账户的 SCP,以仅允许管理员角色执行 IAM 操作。将 SCP 应用到根 OU。
B. Configure AWS CloudTrail to invoke an AWS Lambda function for each event that is related to IAM actions. Configure the function to deny the action if the user who invoked the action is not an administrator.
中文翻译:
配置 AWS CloudTrail 以针对与 IAM 操作相关的每个事件调用 AWS Lambda 函数。配置该功能以在调用操作的用户不是管理员的情况下拒绝该操作。
C. Create an SCP that applies to all the AWS accounts to deny IAM actions for all users except for those with administrator roles. Apply the SCP to the root OU.
中文翻译:
创建适用于所有 AWS 账户的 SCP,以拒绝除具有管理员角色的用户之外的所有用户的 IAM 操作。将 SCP 应用到根 OU。
D. Set an IAM permissions boundary that allows IAM actions. Attach the permissions boundary to every administrator role across all the AWS accounts.
中文翻译:
设置允许 IAM 操作的 IAM 权限边界。将权限边界附加到所有 AWS 账户中的每个管理员角色。
答案
C
解析
正确答案:C 解析: 本题应选择 C。 正确选项: C. 创建适用于所有 AWS 账户的 SCP,以拒绝除具有管理员角色的用户之外的所有用户的 IAM 操作。将 SCP 应用到根 OU。 选择理由: 该选项最直接地满足题干中的关键约束。做 SAP-C02 题目时,需要同时对照题干里的限定词,例如最高性能、最低运维开销、成本效益、可靠性、可扩展性、安全性、RTO/RPO、合规要求等。本题相关考点主要包括:Lambda、IAM、Organi...