A company uses AWS Organizations to manage multiple AWS accounts for different departments. The management account has an Amazon S3 bucket that contains project reports. The company wants to limit access to this S3 bucket to only users of accounts within the organization in AWS Organizations.
Which solution meets these requirements with the LEAST amount of operational overhead?
A. Add the aws PrincipalOrgID global condition key with a reference to the organization ID to the S3 bucket policy.
B. Create an organizational unit (OU) for each department. Add the aws:PrincipalOrgPaths global condition key to the S3 bucket policy.
C. Use AWS CloudTrail to monitor the CreateAccount, InviteAccountToOrganization, LeaveOrganization, and RemoveAccountFromOrganization events. Update the S3 bucket policy accordingly.
D. Tag each user that needs access to the S3 bucket. Add the aws:PrincipalTag global condition key to the S3 bucket policy.
A
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
某公司使用 AWS Organizations 管理屬于多個部門的不同 AWS 賬戶,公司在管理賬戶中有一個 S3 存儲桶。公司需要一個既能滿足安全要求又盡量減少運營開銷的解決方案,實現(xiàn)只有AWS Organizations 內(nèi)的AWS 賬戶可以訪問該定 S3 存儲桶訪問。
A. 正確。在S3存儲桶策略中添加aws:PrincipalOrgID全局條件鍵,并引用組織ID。這個選項允許直接在S3存儲桶策略中指定只有屬于特定AWS Organizations組織ID的用戶才能訪問存儲桶。這是一個直接且有效的方法來限制訪問,因為它基于組織的全局唯一標識符。這種方法不需要額外的組織單位(OU)或標簽管理,因此減少了運營開銷。
B. 不正確。為每個部門創(chuàng)建一個組織單位(OU),并在S3存儲桶策略中添加aws:PrincipalOrgPaths全局條件鍵。這個選項也允許你基于組織路徑來限制訪問,但它需要為每個部門創(chuàng)建OU,這增加了管理的復雜性。此外,如果組織結(jié)構(gòu)發(fā)生變化(例如,部門合并或拆分),可能需要更新多個存儲桶策略。
C. 不正確。使用AWS CloudTrail監(jiān)控CreateAccount、InviteAccountToOrganization、LeaveOrganization和RemoveAccountFromOrganization事件,并相應地更新S3存儲桶策略。這個選項涉及使用CloudTrail來監(jiān)控賬戶變化,并根據(jù)這些變化手動更新存儲桶策略。這種方法不僅增加了運營開銷(需要監(jiān)控和手動更新策略),而且可能不夠及時,因為策略更新可能滯后于賬戶變化。
D. 不正確。為需要訪問S3存儲桶的每個用戶添加標簽,并在S3存儲桶策略中添加aws:PrincipalTag全局條件鍵。標簽提供了一種靈活的方式來管理資源訪問,但在這個場景中,為每個用戶添加標簽并管理這些標簽將是一項繁瑣且容易出錯的任務。此外,如果用戶被移動到不同的部門或角色發(fā)生變化,你可能需要更新多個標簽和存儲桶策略。