Ein Lösungsarchitekt entwirft Sicherheitskontrollen für Entwicklerkonten, die unter AWS Organizations erstellt wurden. Entwickler erhalten Root-Benutzerzugriff auf ihre eigenen Konten, aber der Architekt muss sicherstellen, dass die obligatorische AWS CloudTrail-Konfiguration, die auf neue Entwicklerkonten angewendet wird, nicht geändert werden kann. Welche Maßnahme erfüllt diese Anforderung?
Wählen Sie eine Antwort
Tippen Sie auf eine Option, um Ihre Antwort zu überprüfen.
Richtige Antwort: Erstellen Sie eine Service Control Policy (SCP), die Änderungen an CloudTrail verbietet, und hängen Sie diese an die Entwicklerkonten an..
Warum dies die Antwort ist
Service Control Policies (SCPs) sind die effektivste Methode, um Berechtigungen in AWS Organizations zu verwalten und sicherzustellen, dass bestimmte Aktionen nicht ausgeführt werden können, selbst vom Root-Benutzer. Durch das Anwenden einer SCP, die Änderungen an CloudTrail verbietet, auf die Entwicklerkonten wird verhindert, dass Entwickler die obligatorische CloudTrail-Konfiguration deaktivieren oder ändern. Eine IAM-Richtlinie, die an den Root-Benutzer angehängt wird, ist nicht möglich, da der Root-Benutzer standardmäßig alle Berechtigungen besitzt und IAM-Richtlinien nicht direkt auf den Root-Benutzer angewendet werden können, um dessen Berechtigungen einzuschränken. Das Erstellen eines neuen Trails mit der Option „organization trails“ stellt zwar sicher, dass der Trail in allen Konten vorhanden ist, verhindert aber nicht, dass ein Root-Benutzer ihn löscht oder ändert. Eine serviceverknüpfte Rolle für CloudTrail ist primär für die Berechtigungen von CloudTrail selbst gedacht und bietet keine Möglichkeit, Root-Benutzeraktionen zu beschränken.
Bestehen Sie Ihre Prüfung – ohne endlose Antwortsuche
Erhalten Sie jede verifizierte Frage und Erklärung für diese Prüfung an einem Ort und sparen Sie Stunden der Vorbereitung. Über 1.000 Zertifizierungen · Über 20 Sprachen · Kostenloser Start.
Bestehen Sie Ihre Prüfung schneller → Keine Karte erforderlich