Resolviendo Dudas sobre AWS: ¿Es Posible Eliminar Registros de Flujo de VPC en Dev_OU?

Pregunta

Una organización de AWS tiene debajo de la jerarquía de unidades organizativas (OU): Raíz -> Proyecto_OU -> Dev_OU La raíz se adjunta a la política de control de servicios (SCP) predeterminada. Project_OU se adjunta a una SCP que evita que los usuarios eliminen registros de flujo de VPC. Dev_OU tiene un SCP que permite la acción de "ec2: DeleteFlowLogs". ¿Pueden los usuarios/roles de IAM en las cuentas Dev_OU AWS eliminar los registros de flujo de VPC?

Respuestas

R. Está permitido porque el SCP en Dev_OU lo permite.

B. Está permitido porque la raíz tiene el SCP predeterminado que permite todas las acciones.

C. No está permitido ya que el SCP en Project_OU restringe la acción.

D. No está permitido ya que el SCP predeterminado en Root niega la acción.

Respuesta Correcta

A.BCD

Respuesta correcta - C.

Consulte la documentación de AWS https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html para saber cómo funcionan los SCP en una organización de AWS.

La opción A es incorrecta: porque si alguna unidad organizativa principal tiene un SCP para denegar la acción, el resultado final es Denegar.

La opción B es incorrecta: aunque el SCP predeterminado permite la acción, la OU principal (Project_OU) la niega.

La opción C es CORRECTA: porque una declaración Denegar explícita en Project_OU anula cualquier Permitir.

La opción D es incorrecta: porque el SCP predeterminado es FullAWSAccess, que permite todas las acciones y todos los servicios.