A company is expanding its group of stores. On the day that each new store opens, the company wants to launch a customized web application for that store. Each store's application will have a non-production environment and a production environment. Each environment will be deployed in a separate AWS account. The company uses AWS Organizations and has an OU that is used only for these accounts. The company distributes most of the development work to third-party development teams. A security engineer needs to ensure that each team follows the company's deployment plan for AWS resources. The security engineer also must limit access to the deployment plan to only the developers who need access. The security engineer already has created an AWS CloudFormation template that implements the deployment plan.
What should the security engineer do next to meet the requirements in the MOST secure way?
A. Create an AWS Service Catalog portfolio in the organization's management account. Upload the CloudFormation template. Add the template to the portfolio's product list. Share the portfolio with the OU.
B. Use the CloudFormation CLI to create a module from the CloudFormation template. Register the module as a private extension in the CloudFormation registry. Publish the extension. In the OU, create an SCP that allows access to the extension.
C. Create an AWS Service Catalog portfolio in the organization's management account. Upload the CloudFormation template. Add the template to the portfolio's product list. Create an IAM role that has a trust policy that allows crossaccount access to the portfolio for users in the OU accounts. Attach the AWSServiceCatalogEndUserFullAccess managed policy to the role.
D. Use the CloudFormation CLI to create a module from the CloudFormation template. Register the module as a private extension in the CloudFormation registry. Publish the extension. Share the extension with the OU.
A
一家公司正在擴展其門店群。在每家新店開業當天,公司希望為該店推出一款定制的 Web 應用程序。每家門店的應用程序都將有一個非生產環境和一個生產環境。每個環境都將部署在單獨的 AWS 賬戶中。該公司使用 AWS Organizations,并有一個僅用于這些賬戶的組織單元(OU)。公司將大部分開發工作分發給第三方開發團隊。安全工程師需要確保每個團隊都遵循公司的 AWS 資源部署計劃。安全工程師還必須限制對部署計劃的訪問權限,僅允許需要訪問的開發者訪問。安全工程師已創建一個實現部署計劃的 AWS CloudFormation 模板。安全工程師接下來應采取什么措施才能以最安全的方式滿足要求?
公司擴展門店時需為每家門店的 Web 應用配置非生產與生產環境,且各環境部署在獨立 AWS 賬戶中,使用 AWS Organization 的 OU 管理這些賬戶,開發工作多由第三方團隊承擔。安全工程師要確保團隊遵循 AWS 資源部署計劃,并限制對部署計劃的訪問,已創建好 CloudFormation 模板,需確定下一步最安全的操作。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 正確。在組織的管理賬戶中創建 AWS Service Catalog 產品組合。上傳 CloudFormation 模板。將模板添加到產品組合的產品列表中。與 OU 共享該產品組合。此選項利用 AWS Service Catalog 集中管理模板,通過與 OU 共享產品組合,使 OU 中的賬戶能訪問模板,可確保資源按模板部署,且能限制訪問范圍,符合要求。
B. 不正確。使用 CloudFormation CLI 從 CloudFormation 模板創建模塊。將模塊注冊為 CloudFormation 注冊表中的私有擴展。發布該擴展。在 OU 中創建允許訪問該擴展的 SCP。創建私有擴展并發布后,通過 SCP 控制訪問,但 SCP 主要用于限制賬戶可用的服務與操作,對于控制對特定擴展的訪問,這種方式不如直接共享產品組合直觀與有效,且操作相對復雜。
C. 不正確。在組織的管理賬戶中創建 AWS Service Catalog 產品組合。上傳 CloudFormation 模板。將模板添加到產品組合的產品列表中。創建一個 IAM 角色,該角色具有允許 OU 賬戶中的用戶跨賬戶訪問產品組合的信任策略。將 AWSServiceCatalogEndUserFullAcce 托管策略附加到該角色。雖然創建了產品組合,但通過 IAM 角色與信任策略實現跨賬戶訪問,增加了復雜性與安全風險,不如直接與 OU 共享產品組合簡單安全,且 AWSServiceCatalogEndUserFullAcce 策略可能給予過多權限。
D. 不正確。使用 CloudFormation CLI 從 CloudFormation 模板創建模塊。將模塊注冊為 CloudFormation 注冊表中的私有擴展。發布該擴展。與 OU 共享該擴展。創建并共享私有擴展,但與選項 A 相比,AWS Service Catalog 提供了更完善的資源分發與管理機制,能更好地控制用戶對產品的訪問與使用,此選項在管理與控制方面不如選項 A。
AWS Service Catalog:可集中管理并分發經批準的產品,如 CloudFormation 模板,能控制用戶對產品的訪問與使用,確保資源按標準部署。
AWS Organizations:用于集中管理多個 AWS 賬戶,通過組織單元(OU)對賬戶進行分組,便于統一管理與設置策略。
AWS CloudFormation:可對 AWS 資源進行基礎設施即代碼(IaC)管理,通過模板定義與部署資源,確保資源的一致性與可重復性。
Service Control Policies (SCPs):是 AWS Organization 中的一種策略類型,用于限制組織中賬戶可用的 AWS 服務與操作,可控制對特定資源的訪問。
IAM 角色與信任策略:IAM 角色可定義一組權限,信任策略可指定哪些主體(如用戶或賬戶)可承擔該角色,實現跨賬戶訪問資源。
CloudFormation CLI 與私有擴展:CloudFormation CLI 可創建模塊,模塊可注冊為私有擴展,私有擴展可在組織內共享,實現資源的定制化與標準化部署。