A company is designing a multi-account structure for its development teams. The company is using AWS Organizations and AWS IAM Identity Center (AWS Single Sign-On). The company must implement a solution so that the development teams can use only specific AWS Regions and so that each AWS account allows access to only specific AWS services.
Which solution will meet these requirements with the LEAST operational overhead?
A. Use IAM Identity Center to set up service-linked roles with IAM policy statements that include the Condition, Resource, and NotAction elements to allow access to only the Regions and services that are needed.
B. Deactivate AWS Security Token Service (AWS STS) in Regions that the developers are not allowed to use.
C. Create SCPs that include the Condition, Resource, and NotAction elements to allow access to only the Regions and services that are needed.
D. For each AWS account, create tailored identity-based policies for IAM Identity Center. Use statements that include the Condition, Resource, and NotAction elements to allow access to only the Regions and services that are needed.
C
一家公司正在為其開發團隊設計多賬戶結構。該公司正在使用 AWS Organizations 和 AWS IAM Identity Center(AWS 單點登錄)。公司必須實施一個解決方案,以便開發團隊只能使用特定的 AWS 區域,并且每個 AWS 賬戶只允許訪問特定的 AWS 服務。
哪種解決方案能夠以最少的運營開銷滿足這些要求?
公司設計多賬戶結構,使用 AWS Organizations 和 IAM Identity Center,要求開發團隊只能用特定 AWS 區域,每個賬戶只允許訪問特定 AWS 服務,需找出運營開銷最少的解決方案。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。使用 IAM Identity Center 設置帶有 IAM 策略語句的服務關聯角色,這些策略語句包含 Condition、Resource 和 NotAction 元素,以僅允許訪問所需的區域和服務。雖然 IAM Identity Center 可結合 IAM 策略管理權限,但服務關聯角色主要用于 AWS 服務與 AWS 資源之間的交互,并非專門用于控制用戶對區域和服務的訪問,且這種方式需要為每個服務關聯角色配置策略,運營開銷相對較大。
B. 不正確。在開發人員不允許使用的區域中停用 AWS Security Token Service (AWS STS)。停用 AWS STS 只能阻止在該區域獲取臨時安全憑證,但不能精確控制開發人員對特定區域和服務的訪問,無法滿足題目中只允許訪問特定區域和服務的要求,且停用服務可能會影響其他正常業務。
C. 正確。創建包含 Condition、Resource 和 NotAction 元素的服務控制策略(SCPs),以僅允許訪問所需的區域和服務。服務控制策略(SCPs)可在 AWS Organizations 級別應用,能夠集中管理成員賬戶的權限,通過包含 Condition、Resource 和 NotAction 元素,可以精確控制每個賬戶對特定區域和服務的訪問,且無需在每個賬戶中單獨配置,運營開銷最少,符合要求。
D. 不正確。對于每個 AWS 賬戶,為 IAM Identity Center 創建定制的身份基礎策略。使用包含 Condition、Resource 和 NotAction 元素的語句,以僅允許訪問所需的區域和服務。為每個 AWS 賬戶創建定制的身份基礎策略雖然可以實現精確的權限控制,但需要在每個賬戶中進行配置和管理,隨著賬戶數量的增加,運營開銷會顯著增大,不符合以最少運營開銷滿足要求。
AWS Organizations:用于集中管理多個 AWS 賬戶,可實施組織級別的策略,如服務控制策略(SCPs),對成員賬戶的權限進行限制。
AWS IAM Identity Center(AWS 單點登錄):提供單點登錄功能,方便用戶訪問多個 AWS 賬戶和應用程序,可與 IAM 策略結合來管理用戶權限。
IAM 策略元素:
Condition:用于指定策略生效的條件,如基于時間、源 IP 等條件來控制訪問。
Resource:定義策略適用的資源,可精確控制用戶對特定資源的訪問。
NotAction:與 Action 元素相對,指定不允許用戶執行的操作,用于限制用戶權限。
AWS Security Token Service (AWS STS):用于獲取臨時安全憑證,若在特定區域停用,會影響該區域的臨時憑證獲取,但這種方式不能精確控制區域和服務的訪問。
服務控制策略(SCPs):是 AWS Organizations 中的一種策略類型,可在組織級別應用,限制成員賬戶可使用的 AWS 服務和區域,無需在每個賬戶中單獨配置。
身份基礎策略:附加到 IAM 用戶或角色的策略,用于定義用戶的權限,但為每個賬戶創建定制的身份基礎策略會增加運營開銷。