Architekt rozwiązań projektuje mechanizmy kontroli bezpieczeństwa dla kont deweloperów utworzonych w ramach AWS Organizations. Deweloperzy będą mieli dostęp na poziomie użytkownika root do swoich własnych kont, ale architekt musi zapewnić, że obowiązkowa konfiguracja AWS CloudTrail zastosowana do nowych kont deweloperów nie może zostać zmodyfikowana. Które działanie spełnia ten wymóg?
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Utwórz politykę kontroli usług (SCP), która zabrania zmian w CloudTrail i dołącz ją do kont deweloperów..
Dlaczego to jest odpowiedź
Prawidłowa odpowiedź to utworzenie polityki kontroli usług (SCP), która zabrania zmian w CloudTrail i dołączenie jej do kont deweloperów. SCP są stosowane na poziomie AWS Organizations i nadpisują uprawnienia IAM, co oznacza, że nawet użytkownik root na koncie deweloperskim nie będzie mógł modyfikować konfiguracji CloudTrail, jeśli SCP to zabrania. Pozostałe opcje są nieprawidłowe: Polityka IAM dołączona do użytkownika root nie jest możliwa, ponieważ użytkownik root ma pełne uprawnienia i nie można ich ograniczyć politykami IAM. Utworzenie nowego śladu z włączoną opcją śladów organizacji nie zapobiega modyfikacjom istniejącego obowiązkowego śladu. Rola powiązana z usługą dla CloudTrail z warunkiem polityki nie jest odpowiednim mechanizmem do egzekwowania niezmienności konfiguracji CloudTrail na poziomie kont deweloperskich, ponieważ nie nadpisuje uprawnień użytkownika root.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana