公司拥有一个AWS主计费账户,这是AWSOrganizations层次结构的根.该公司在此层次结构中具有多个AWS账户,所有账户均组织为组织单位(OU).随着业务的其他部分将应用程序迁移到AWS,将继续创建更多OUS和AWS帐户.这些业务部门可能需要使用不同的AWS服务.安全团队正在为当前和将来的所有AWS账户实施以下要求.-必须在所有帐户中应用控制策略,以禁止使用AWS服务器.-根据有效的用例,允许控制策略例外.哪种解决方案将以最小的可选开销满足这些要求()
A.在组织中使用SCP来实施AWS服务器的拒绝列表.在等级上应用此SCP.对于OU的任何特定例外,请为该OU创建一个新SCP,然后将所需的AWS服务添加到允许列表
B.使用SCPIn组织来实施AWS服务的拒绝列表.在根级别和每个OU上应用此SCP.从根级别和所有OU级别删除默认的AWS托管SCP.对于任何特定的例外,请修改附加到该OU的SCP,然后将所需的AWS必需服务添加到允许列表
C.在组织中使用SCP实施AWS服务的拒绝列表.在每个OU级别应用此SCP.将默认的AWS受管SCP留在根级别.对于某个OU的任何特定执行,请为该OU创建一个新的SCP
D.在组织中使用SCP来实施AWS服务的允许列表.在根级别应用此SCP.从根级别和所有OU级别删除默认的AWS托管SCP.对于某个OU的任何特定例外,请修改该OU附带的SCP,然后将所需的AWS服务添加到允许列表
C、在组织中使用SCP实施AWS服务的拒绝列表.在每个OU级别应用此SCP.将默认的AWS受管SCP留在根级别.对于某个OU的任何特定执行,请为该OU创建一个新的SCP
解析:拒绝对root用户和OU的访问-使用allow添加所需的服务