A company is designing a multi-account structure for its development teams. The company is using AWS Organizations and AWS IAM Identity Center (AWS Single Sign-On). The company must implement a solution so that the development teams can use only specific AWS Regions and so that each AWS account allows access to only specific AWS services.
Which solution will meet these requirements with the LEAST operational overhead?
A. Use IAM Identity Center to set up service-linked roles with IAM policy statements that include the Condition, Resource, and NotAction elements to allow access to only the Regions and services that are needed.
B. Deactivate AWS Security Token Service (AWS STS) in Regions that the developers are not allowed to use.
C. Create SCPs that include the Condition, Resource, and NotAction elements to allow access to only the Regions and services that are needed.
D. For each AWS account, create tailored identity-based policies for IAM Identity Center. Use statements that include the Condition, Resource, and NotAction elements to allow access to only the Regions and services that are needed.
C
一家公司正在为其开发团队设计多账户结构。该公司正在使用 AWS Organizations 和 AWS IAM Identity Center(AWS 单点登录)。公司必须实施一个解决方案,以便开发团队只能使用特定的 AWS 区域,并且每个 AWS 账户只允许访问特定的 AWS 服务。
哪种解决方案能够以最少的运营开销满足这些要求?
公司设计多账户结构,使用 AWS Organizations 和 IAM Identity Center,要求开发团队只能用特定 AWS 区域,每个账户只允许访问特定 AWS 服务,需找出运营开销最少的解决方案。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。使用 IAM Identity Center 设置带有 IAM 策略语句的服务关联角色,这些策略语句包含 Condition、Resource 和 NotAction 元素,以仅允许访问所需的区域和服务。虽然 IAM Identity Center 可结合 IAM 策略管理权限,但服务关联角色主要用于 AWS 服务与 AWS 资源之间的交互,并非专门用于控制用户对区域和服务的访问,且这种方式需要为每个服务关联角色配置策略,运营开销相对较大。
B. 不正确。在开发人员不允许使用的区域中停用 AWS Security Token Service (AWS STS)。停用 AWS STS 只能阻止在该区域获取临时安全凭证,但不能精确控制开发人员对特定区域和服务的访问,无法满足题目中只允许访问特定区域和服务的要求,且停用服务可能会影响其他正常业务。
C. 正确。创建包含 Condition、Resource 和 NotAction 元素的服务控制策略(SCPs),以仅允许访问所需的区域和服务。服务控制策略(SCPs)可在 AWS Organizations 级别应用,能够集中管理成员账户的权限,通过包含 Condition、Resource 和 NotAction 元素,可以精确控制每个账户对特定区域和服务的访问,且无需在每个账户中单独配置,运营开销最少,符合要求。
D. 不正确。对于每个 AWS 账户,为 IAM Identity Center 创建定制的身份基础策略。使用包含 Condition、Resource 和 NotAction 元素的语句,以仅允许访问所需的区域和服务。为每个 AWS 账户创建定制的身份基础策略虽然可以实现精确的权限控制,但需要在每个账户中进行配置和管理,随着账户数量的增加,运营开销会显著增大,不符合以最少运营开销满足要求。
AWS Organizations:用于集中管理多个 AWS 账户,可实施组织级别的策略,如服务控制策略(SCPs),对成员账户的权限进行限制。
AWS IAM Identity Center(AWS 单点登录):提供单点登录功能,方便用户访问多个 AWS 账户和应用程序,可与 IAM 策略结合来管理用户权限。
IAM 策略元素:
Condition:用于指定策略生效的条件,如基于时间、源 IP 等条件来控制访问。
Resource:定义策略适用的资源,可精确控制用户对特定资源的访问。
NotAction:与 Action 元素相对,指定不允许用户执行的操作,用于限制用户权限。
AWS Security Token Service (AWS STS):用于获取临时安全凭证,若在特定区域停用,会影响该区域的临时凭证获取,但这种方式不能精确控制区域和服务的访问。
服务控制策略(SCPs):是 AWS Organizations 中的一种策略类型,可在组织级别应用,限制成员账户可使用的 AWS 服务和区域,无需在每个账户中单独配置。
身份基础策略:附加到 IAM 用户或角色的策略,用于定义用户的权限,但为每个账户创建定制的身份基础策略会增加运营开销。