单项选择题

一家企业正在制定账户策略以开始使用AWS，安全团队将为每个团队提供遵守最低特权访问概念所需的权限。团队希望将他们的资源与其他团队的资源区分开来，而财务团队希望对每个团队的资源利用率单独收费。哪种帐户创建方法满足这些标准并允许修改（）

A.创建一个新的AWS Organizations账户。在Active Directory中创建组并将它们分配给AWS中的角色以授予联合访问权限。要求每个团队标记他们的资源，并根据标签分开账单。通过授予最低要求权限的IAM控制对资源的访问
B.为每个团队创建个人帐户。将安全账户分配为主账户，并为所有其他账户启用合并计费。为安全创建跨账户角色来管理账户，并将日志发送到安全账户中的存储桶
C.创建一个新的AWS账户，并使用AWS Service Catalog为团队提供所需的资源。实施第三方计费解决方案，为财务团队提供基于标记的每个团队的资源使用情况。使用IAM隔离资源以避免账户蔓延。安全将控制和监控日志和权限
D.使用组织创建一个用于计费的主帐户，并从该主帐户创建每个团队的帐户。为日志和跨账户访问创建安全账户。对每个账户应用服务控制策略，并授予安全团队对所有账户的跨账户访问权限。安全性将为每个账户创建IAM策略以维持最低权限访问

<上一题目录下一题>

热门试题

单项选择题您正在为拥有数千名员工的跨国公司开发个人文档归档系统，每个员工的数据可能有数GB大小，必须使用此归档系统进行备份。员工将能够通过应用程序访问该解决方案，这将允许他们简单地将文件拖放到归档系统中。员工可以使用基于网络的界面访问他们的档案。公司网络通过高带宽AWS Direct Connect 连接连接到AWS。法律要求您在将所有数据上传到云端之前对其进行加密。如何以一种易于访问且具有成本效益的方式实现这一目标（）

A.在加密的关系数据库中管理本地加密密钥。设置具有足够存储空间的本地服务器来临时存储文件，然后将它们上传到Amazon S3，提供客户端主密钥
B.在本地硬件安全模块设备中管理加密密钥，该设备具有足够的存储空间来临时存储、加密文件并将文件直接上传到Amazon Glacier
C.管理Amazon Key Management Service中的加密密钥，使用KMS客户主密钥ID通过客户端加密上传到Amazon Simple Storage Service ，并配置Amazon S3生命周期策略以使用Amazon Glacier存储层存储每个对象
D.管理AWS CloudHSM设备中的加密密钥，在上传到员工桌面之前加密文件，然后直接上传到Amazon Glacier

单项选择题某企业希望其营销部门能够对客户信息运行SQL查询，以发现细分市场。数百个文件包含数据。需要对传输中和静态的记录进行加密。虽然团队经理必须能够管理用户和组，但任何团队成员都不应有权访问运行SQL查询所不需要的服务或资源。此外管理员必须审核查询并在查询违反安全团队的既定准则时收到警告。AWS Organizations被用来建立一个新的团队经理账户和一个具有管理员访问权限的AWS IAM用户。哪种设计满足这些标准（）

A.应用允许访问IAM、Amazon RDS和AWS CloudTrail的服务控制策略（SCP）。在Amazon RDS MySQL 中加载客户记录并训练用户使用AWS CLI执行查询。将查询日志从RDS数据库实例流式传输到Amazon CloudWatch Logs。将订阅过滤器与AWS Lambda函数结合使用，对针对个人数据的查询进行审计并发出警报
B.应用拒绝访问除IAM、Amazon Athena、Amazon S3和AWS CloudTrail之外的所有服务的服务控制策略（SCP）。将客户记录文件存储在Amazon S3中，并训练用户通过Athena 使用CLI执行查询。分析CloudTrail 事件以对针对个人数据的查询进行审计和警报
C.应用拒绝访问除IAM、Amazon DynamoDB和AWS CloudTrail之外的所有服务的服务控制策略（SCP）。将客户记录存储在DynamoDB 中并训练用户使用AWS CLI执行查询。启用DynamoDB流以跟踪发出的查询并使用AWS Lambda 函数进行实时监控和警报
D.应用允许访问IAM、Amazon Athena、Amazon S3和AWS CloudTrail的服务控制策略（SCP）。将客户记录作为文件存储在Amazon S3中，并培训用户利用Amazon S3Select功能并使用AWS CLI执行查询。启用S3对象级日志记录并分析CloudTrail事件，以对针对个人数据的查询进行审计和警报