Resolviendo Dudas sobre AWS: ¿Es Posible Eliminar Registros de Flujo de VPC en Dev_OU?
Pregunta
Una organización de AWS tiene debajo de la jerarquía de unidades organizativas (OU): Raíz -> Proyecto_OU -> Dev_OU La raíz se adjunta a la política de control de servicios (SCP) predeterminada. Project_OU se adjunta a una SCP que evita que los usuarios eliminen registros de flujo de VPC. Dev_OU tiene un SCP que permite la acción de "ec2: DeleteFlowLogs". ¿Pueden los usuarios/roles de IAM en las cuentas Dev_OU AWS eliminar los registros de flujo de VPC?
Respuestas
R. Está permitido porque el SCP en Dev_OU lo permite.
B. Está permitido porque la raíz tiene el SCP predeterminado que permite todas las acciones.
C. No está permitido ya que el SCP en Project_OU restringe la acción.
D. No está permitido ya que el SCP predeterminado en Root niega la acción.
Respuesta Correcta
A.BCD
Respuesta correcta - C.
Consulte la documentación de AWS https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html para saber cómo funcionan los SCP en una organización de AWS.
La opción A es incorrecta: porque si alguna unidad organizativa principal tiene un SCP para denegar la acción, el resultado final es Denegar.
La opción B es incorrecta: aunque el SCP predeterminado permite la acción, la OU principal (Project_OU) la niega.
La opción C es CORRECTA: porque una declaración Denegar explícita en Project_OU anula cualquier Permitir.
La opción D es incorrecta: porque el SCP predeterminado es FullAWSAccess, que permite todas las acciones y todos los servicios.
¡Ahora puedes descargar los tests!
Poco a poco vamos agregando más.