第003题 - sap

冥王星之夜

sap003-202411260011937

题目翻译 (Question Translation)

English: A company uses AWS Organizations with a single OU named Production to manage multiple accounts. All accounts are members of the Production OU. Administrators use deny list SCPs at the root of the organization to manage access to restricted services. The company recently acquired a new business unit and invited the new unit’s existing AWS account to the organization. Once onboarded, the administrators of the new business unit discovered that they are not able to update existing AWS Config rules to meet the company’s policies.

Which option will allow administrators to make changes and continue to enforce the current policies without introducing additional long-term maintenance?

中文翻译: 某公司使用AWS Organizations并创建了一个名为Production的组织单位(OU),用于管理多个账户。所有账户都是Production OU的成员。管理员在组织根(root)中使用拒绝列表(deny list)SCP(服务控制策略)来限制对特定服务的访问。 公司最近收购了一个新的业务部门,并将其现有AWS账户邀请到组织中。在加入后,新业务部门的管理员发现他们无法更新现有的AWS Config规则以符合公司的政策。

以下哪种解决方案既能让管理员完成所需更改,又能在不增加长期运维负担的情况下继续执行当前策略?

答案分析和选项对照

A. 删除组织根的限制AWS Config的SCP。创建AWS Service Catalog产品来部署公司的标准AWS Config规则,并在整个组织中部署这些规则,包括新账户。

B. 为新账户创建一个名为Onboarding的临时OU。在该OU上应用一个允许AWS Config操作的SCP。当完成AWS Config调整后,将新账户移动到Production OU。

C. 将组织根的SCP从拒绝列表(deny list)转换为允许列表(allow list),仅允许所需服务的访问。临时向组织根添加一个SCP,仅允许新账户中的主体进行AWS Config操作。

D. 为新账户创建一个名为Onboarding的临时OU。在该OU上应用一个允许AWS Config操作的SCP。将组织根的SCP移动到Production OU。当完成AWS Config调整后,将新账户移动到Production OU。

答案:B

解析 (Explanation)

选项B 是最佳答案,因为它允许新账户的管理员在不影响其他账户或现有SCP策略的情况下完成必要的更改,同时不会引入长期维护复杂性。以下是详细分析:

主要问题分析

  1. 拒绝列表SCP(Deny List SCP)的限制
    • 当前的SCP策略在组织根中应用,使用拒绝列表控制对AWS Config的访问。虽然限制了某些操作的权限,但会影响新加入账户的功能,尤其是需要更新AWS Config规则的能力。
  2. 新账户的临时调整需求
    • 新业务部门需要修改AWS Config规则,以符合公司政策,但这种调整只是临时的,完成后无需长期特例。
  3. 减少长期维护复杂性
    • 必须避免对现有组织和SCP策略的根本性改变,例如转换拒绝列表到允许列表(复杂且影响范围广),或在整个组织中引入更多永久性策略。

为什么选B

  1. 临时OU解决方案
    • 为新账户创建一个临时OU (Onboarding),并在该OU中应用一个专门允许AWS Config操作的SCP。这种方法仅影响新账户,不会对现有账户和Production OU造成任何影响。
  2. 简单的SCP管理
    • 当前的组织根策略保持不变,只需为Onboarding OU创建一个例外SCP,管理负担较轻。
  3. 迁移到Production OU
    • 当新账户完成AWS Config规则调整后,可以将其移动回Production OU,取消临时SCP,从而恢复到标准的访问控制状态。

其他选项的缺点

  1. A. 删除限制AWS Config的SCP
    • 缺点: 删除根SCP会对整个组织的访问控制策略造成影响,增加不必要的风险。同时,Service Catalog产品的引入增加了实现和维护复杂性。
  2. C. 转换为允许列表SCP并临时添加策略
    • 缺点: 将拒绝列表SCP转换为允许列表涉及全面重新设计组织的SCP策略,影响范围广,且容易引入潜在漏洞。同时,临时策略管理较为复杂。
  3. D. 将根SCP移动到Production OU
    • 缺点: 将组织根SCP移动到特定OU会改变整个组织的访问控制结构,可能导致其他OU出现访问权限问题。这种改变增加了长期运维的复杂性。

总结 (Summary)

选项B 是最佳选择,因为它通过临时OU和专用SCP为新账户提供了必要权限,同时保持了现有组织根策略的不变性,并最大程度减少了长期维护复杂性。

你觉得有收获吗?❤️
发布日期:2024/12/16
下一题 | 上一题 | 去首页 | Twitter