一家大公司开始使用具有合并计费功能的AWS组织来管理其单独的部门.AWS运营团队刚刚创建了3个OU(组织单位),每个拥有2个AWS账户.为了符合公司范围的安全策略,所有已设置的AWS账户都需要CloudTrail.但是,一段时间后,某些OU中的用户会关闭其帐户的CloudTrail.AWS运营团队防止这种情况再次发生的最佳方法是什么()
A.将AWSOrganizations功能集更新为功能,然后创建服务控制策略(SCP)以防止用户禁用AWSCloudTrail.这可以通过使用cloudtrail:StopLogging被拒绝的拒绝策略来实现
B.这可以通过功能集中的服务控制策略(SCP)来实现.团队需要删除并重新创建启用了功能的AWSOrganizations,然后使用适当的控制策略来限制cloudtrail:StopLogging的操作
C.在该组织中的每个AWS账户中,创建一个IAM策略以拒绝包括管理员在内的所有用户的cloudtrail:StopLogging
D.使用服务控制策略(SCP)防止用户禁用AWSCloudTrail.这可以通过允许策略拒绝cloudtrail:StopLogging来完成
A、将AWSOrganizations功能集更新为功能,然后创建服务控制策略(SCP)以防止用户禁用AWSCloudTrail.这可以通过使用cloudtrail:StopLogging被拒绝的拒绝策略来实现
解析:无需重新创建组织即可启用所有功能集.https://docs.aws.amazon.com/Organizations / latest / userguide /orgs_manage_org_support-all-features.html