考题解析 | AWS 多账户账单独立告警


  题目

一家公司有多个 AWS 账户,这些账户由各个业务部门拥有。其中一个账户最近受到攻击。攻击者启动了大量实例,导致该账户产生很高的账单金额。该公司解决了安全漏洞,但解决方案架构师需要开发一款解决方案,以防止所有账户过度支出。每个业务部门都希望保留对其 AWS 账户的完全控制权。解决方案架构师应建议采取哪种解决方案来满足这些要求?

A. 使用 AWS Organizations。将每个 AWS 账户添加到管理账户。创建一个使用 ec2:instanceType条件键的 SCP,以防止在每个账户中启动高成本实例类型。

B. 将客户托管的新 IAM 策略附加到每个账户中的 IAM 组。将策略配置为使用 ec2:instanceType条件键来防止启动高成本实例类型。 将所有现有 IAM 用户置于每个组中。

C. 为每个 AWS 账户开启账单提醒。创建 Amazon CloudWatch 告警,以便在账户超过指定支出阈值时随时向账户管理员发送 Amazon Simple Notification Service (Amazon SNS) 通知。

D. 在每个账户中打开 AWS Cost Explorer。定期查看每个账户的 Cost Explorer 报告,以确保支出不超过预期金额。

  参考答案

C

  参考解析

A. 不正确。使用AWS Organizations 的 SCP 策略,可以阻止用户启动某些类型的 EC2 实例,但是无法阻止用户启动大量的其它类型的实例。

B. 不正确。通过使用恰当的 IAM 策略可以阻止用户启动某些类型的 EC2 实例,但是无法阻止用户启动大量的其它类型的实例。

C. 正确。AWS 账单告警将向公司提供有关超支的提醒,而不会剥夺任何业务部门的控制权。

D. 不正确。AWS Cost Explorer AWS Cost Explorer 是一款允许您查看和分析成本和使用情况的工具,可以查看最多 13 个月的数据,预测未来 12 个月可能花费的金额,并获得有关购买哪些预留实例的建议;但是不会直接提供有关过度支出的提醒。