Zespół bezpieczeństwa chce ograniczyć dostęp do określonych usług lub działań we wszystkich kontach AWS w dużej organizacji AWS Organizations. Rozwiązanie musi być skalowalne i zapewniać jedno miejsce do zarządzania uprawnieniami. Co powinien zrobić architekt rozwiązań?
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Utworzyć politykę kontroli usług (service control policy) w głównej jednostce organizacyjnej, aby odmówić dostępu do usług lub działań..
Dlaczego to jest odpowiedź
Prawidłowa odpowiedź to utworzenie polityki kontroli usług (SCP) w głównej jednostce organizacyjnej, aby odmówić dostępu do usług lub działań. SCPs to potężne narzędzie w AWS Organizations, które pozwala centralnie zarządzać uprawnieniami we wszystkich kontach członkowskich. Działają one jako "strażnicy" uprawnień, określając maksymalne dostępne uprawnienia dla kont. Jeśli SCP odmawia dostępu do usługi, żaden użytkownik ani rola na koncie członkowskim nie będzie mógł uzyskać do niej dostępu, nawet jeśli ich polityki IAM na to zezwalają. To zapewnia skalowalne i scentralizowane zarządzanie bezpieczeństwem. Tworzenie ACL nie jest odpowiednie, ponieważ ACLs są używane głównie do kontroli dostępu do zasobów, takich jak S3, a nie do zarządzania uprawnieniami na poziomie konta. Grupy bezpieczeństwa kontrolują ruch sieciowy do instancji EC2, a nie uprawnienia usług. Tworzenie ról międzykontowych w każdym koncie byłoby pracochłonne i nie zapewnia jednego miejsca do zarządzania uprawnieniami w całej organizacji.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana