一家公司正在AmazonEC2上运行多个应用程序.每个应用程序均由多个业务部门部署和管理.所有应用程序均部署在单个AWS账户上,但部署在不同的虚拟私有云(VPC)上.该公司在同一帐户中使用单独的VPC进行测试和开发.当用户意外终止和修改属于另一个业务部门的资源时,生产应用程序将遭受多次中断.已要求解决方案架构师提高公司应用程序的可用性,同时允许开发人员访问所需的资源.哪个选项符合最小中断要求()
A.为每个业务部门创建一个AWS账户.将每个业务部门的实例移至其自己的帐户并设置联盟以允许用户访问其业务部门的帐户
B.设置联盟以允许用户使用他们的公司凭据,并将用户锁定在自己的VPC上.使用网络ACL阻止每个VPC访问其他VPC
C.实施基于业务部门的标记策略.创建IAM策略,以便每个用户只能终止属于其自己的业务部门的实例
D.为每个用户设置基于角色的访问,并根据每个用户负责的单个角色和服务提供有限的权限
C、实施基于业务部门的标记策略.创建IAM策略,以便每个用户只能终止属于其自己的业务部门的实例
解析:委托人-根据附加到该人的IAM用户或角色的标签,控制允许该请求的人(委托人)做什么.为此,请使用aws:PrincipalTag/key-name条件键指定在允许请求之前必须将哪些标签附加到IAM用户或角色.https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.htmlA.这会破坏性很大,应该改用组织.B:问题没有说prod \ dev \test是否在单独的VPC中.可以使用业务部门来分隔它.因此,这是不可行的.D:这是太多的努力和破坏.标记策略意味着您可以指示允许您终止或启动的环境.例如,实例的当前环境标记是Development,它将仅分配给Developer组.当您尝试终止标记为生产环境的生产实例时,开发人员团队将获得拒绝终止的访问权限.可以说,最初的答案是D(如下所述),经过大量研究后变成了C:设置角色和策略不会对用户造成干扰.使用最小特权显然是没有设置的,实际上是必须设置的.C不正确,因为它没有涵盖该场景.问题是人们正在终止和修改他人的资源.A.跨帐户移动实例会导致中断B.将停止服务间通信C.Develop和测试实例将不适合