Компания использует AWS Organizations для управления несколькими аккаунтами AWS для разных отделов. Управляющий аккаунт владеет бакетом Amazon S3, который содержит отчеты по проектам. Компания хочет ограничить доступ к этому бакету S3 только для пользователей аккаунтов в рамках AWS Organization. Какое решение соответствует этому требованию с наименьшими операционными издержками?
Выберите ответ
Нажмите на вариант, чтобы проверить свой ответ.
Правильный ответ: Добавить глобальный ключ условия aws:PrincipalOrgID со ссылкой на ID организации в политику бакета S3..
Почему это правильный ответ
Добавление глобального ключа условия aws:PrincipalOrgID в политику бакета S3 позволяет ограничить доступ к бакету только для сущностей (пользователей, ролей) из аккаунтов, принадлежащих к указанной AWS Organization. Это решение является наиболее простым и эффективным с точки зрения операционных издержек, так как не требует постоянного управления списками аккаунтов или пользователей. Создание OU и использование aws:PrincipalOrgPaths сложнее, так как требует поддержания структуры OU и может быть избыточным, если достаточно простого членства в организации. Мониторинг событий CloudTrail и обновление политики S3 вручную или скриптами — это высокооперационное решение, требующее постоянного управления. Тегирование пользователей и использование aws:PrincipalTag не подходит, так как теги применяются к пользователям, а не к аккаунтам организации, и не обеспечивает ограничения на уровне организации.
Сдайте экзамен — без бесконечного поиска ответов
Получите все проверенные вопросы и объяснения для этого экзамена в одном месте и сэкономьте часы подготовки. 1000+ сертификаций · 20+ языков · начните бесплатно.
Сдайте экзамен быстрее → Карта не требуется