考题解析 | 使用 CloudFormation 在多个 AWS 账户中批量部署 IAM 角色


  题目

公司使用 AWS Organizations 创建和管理多个 AWS 账户。该公司希望在每个账户中部署新的 IAM 角色。 要在组织的每个账户中部署新角色,SysOps 管理员应采取什么措施?

A. 在组织中创建服务控制策略 (SCP) 以将新的 IAM 角色添加到每个账户。
B. 使用模板将 AWS CloudFormation 更改集部署到组织以创建新的 IAM 角色。
C. 使用 AWS CloudFormation StackSets 将模板部署到每个账户以创建新的 IAM 角色。
D. 使用 AWS Config 创建组织规则,以将新的 IAM 角色添加到每个账户。

  参考答案

C

  参考解析

技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。

A. 不正确。AWS Organizations 服务控制策略 (SCPs),对组织账号中的 IAM 用户和角色权限进行限制,但是不进行进行任何权限授权。

B. 不正确。借助AWS CloudFormation更改集功能,您可以预览对堆栈提议的更改可能会对正在运行的资源产生的影响,已经对堆栈资源进行更改。

C. 正确。使用 AWS CloudFormation StackSets,可以通过单个操作,跨多个账户和 AWS 区域创建、更新或删除堆栈。使用 AWS CloudFormation StackSets 能够将集中式 IAM 角色部署到组织中的所有账户。

D. 不正确。AWS Config 创建组织规则,用来作为判断组织内资源是否合规的标准。