A security engineer is using AWS Organizations and wants to optimize SCPs. The security engineer needs to ensure that the SCPs conform to best practices.
Which approach should the security engineer take to meet this requirement?
A. Use AWS IAM Access Analyzer to analyze the polices. View the findings from policy validation checks.
B. Review AWS Trusted Advisor checks for all accounts in the organization.
C. Set up AWS Audit Manager. Run an assessment for all AWS Regions for all accounts.
D. Ensure that Amazon Inspector agents are installed on all Amazon EC2 instances in all accounts.
A
一位安全工程师正在使用 AWS Organizations,并希望优化服务控制策略(SCPs)。该安全工程师需要确保 SCPs 符合最佳实践。
如何确保 AWS Organizations 中的服务控制策略(SCPs)符合最佳实践。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。使用 AWS IAM Access Analyzer 分析策略。查看策略验证检查的结果。此选项直接针对 SCPs 进行验证,能够提供关于策略是否符合最佳实践的反馈,是符合需求的正确方法。
B. 不正确。审查组织中所有账户的 AWS Trusted Advisor 检查。AWS Trusted Advisor 主要提供关于成本、性能、安全性和容错能力的建议,并不专门针对 SCPs 的最佳实践验证。
C. 不正确。设置 AWS Audit Manager。对所有账户的所有 AWS 区域运行评估。AWS Audit Manager 用于自动化审计过程,但并非专门用于 SCPs 的最佳实践验证。
D. 不正确。确保所有账户中的所有 Amazon EC2实例上都安装了 Amazon Inspector 代理。Amazon Inspector 用于评估 AWS 资源的安全性,与 SCPs 的最佳实践验证不直接相关。
AWS Organizations 与 SCPs:
AWS Organizations 允许集中管理多个 AWS 账户,并通过服务控制策略(SCPs)来限制账户中可用的 AWS 服务和操作
AWS IAM Access Analyzer:用于分析 IAM 策略和服务控制策略(SCPs),提供关于策略是否过于宽松或不符合最佳实践的反馈。
AWS Trusted Advisor:提供关于 AWS 账户的优化建议,但主要关注成本、性能、安全性和容错能力,而非专门针对 SCPs。
AWS Audit Manager:用于自动化审计过程,确保 AWS 环境符合各种标准和法规,但并非专门用于 SCPs 的最佳实践验证。
Amazon Inspector:用于自动评估 AWS 资源的安全性,发现潜在的安全漏洞,但与 SCPs 的最佳实践验证不直接相关。