A company uses AWS Organizations to manage multiple AWS accounts for different departments. The management account has an Amazon S3 bucket that contains project reports. The company wants to limit access to this S3 bucket to only users of accounts within the organization in AWS Organizations.
Which solution meets these requirements with the LEAST amount of operational overhead?
A. Add the aws PrincipalOrgID global condition key with a reference to the organization ID to the S3 bucket policy.
B. Create an organizational unit (OU) for each department. Add the aws:PrincipalOrgPaths global condition key to the S3 bucket policy.
C. Use AWS CloudTrail to monitor the CreateAccount, InviteAccountToOrganization, LeaveOrganization, and RemoveAccountFromOrganization events. Update the S3 bucket policy accordingly.
D. Tag each user that needs access to the S3 bucket. Add the aws:PrincipalTag global condition key to the S3 bucket policy.
A
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
某公司使用 AWS Organizations 管理属于多个部门的不同 AWS 账户,公司在管理账户中有一个 S3 存储桶。公司需要一个既能满足安全要求又尽量减少运营开销的解决方案,实现只有AWS Organizations 内的AWS 账户可以访问该定 S3 存储桶访问。
A. 正确。在S3存储桶策略中添加aws:PrincipalOrgID全局条件键,并引用组织ID。这个选项允许直接在S3存储桶策略中指定只有属于特定AWS Organizations组织ID的用户才能访问存储桶。这是一个直接且有效的方法来限制访问,因为它基于组织的全局唯一标识符。这种方法不需要额外的组织单位(OU)或标签管理,因此减少了运营开销。
B. 不正确。为每个部门创建一个组织单位(OU),并在S3存储桶策略中添加aws:PrincipalOrgPaths全局条件键。这个选项也允许你基于组织路径来限制访问,但它需要为每个部门创建OU,这增加了管理的复杂性。此外,如果组织结构发生变化(例如,部门合并或拆分),可能需要更新多个存储桶策略。
C. 不正确。使用AWS CloudTrail监控CreateAccount、InviteAccountToOrganization、LeaveOrganization和RemoveAccountFromOrganization事件,并相应地更新S3存储桶策略。这个选项涉及使用CloudTrail来监控账户变化,并根据这些变化手动更新存储桶策略。这种方法不仅增加了运营开销(需要监控和手动更新策略),而且可能不够及时,因为策略更新可能滞后于账户变化。
D. 不正确。为需要访问S3存储桶的每个用户添加标签,并在S3存储桶策略中添加aws:PrincipalTag全局条件键。标签提供了一种灵活的方式来管理资源访问,但在这个场景中,为每个用户添加标签并管理这些标签将是一项繁琐且容易出错的任务。此外,如果用户被移动到不同的部门或角色发生变化,你可能需要更新多个标签和存储桶策略。