Uma empresa deseja evitar que as stacks do AWS CloudFormation implantem recursos do IAM que incluam uma política em linha (inline policy) ou uma declaração com "*", e proibir a implantação de instâncias do Amazon EC2 com endereços IP públicos. A empresa tem o AWS Control Tower habilitado em sua organização do AWS Organizations. Qual solução atende a esses requisitos?
Escolha uma resposta
Toque em uma opção para verificar sua resposta.
Resposta correta: Use controles proativos do AWS Control Tower para bloquear a implantação de instâncias EC2 com endereços IP públicos e políticas em linha com acesso elevado ou "*" (wildcard)..
Por que esta é a resposta
Os controles proativos do AWS Control Tower usam o AWS CloudFormation Hooks para inspecionar e bloquear a implantação de recursos que não estão em conformidade com as políticas definidas, antes que sejam provisionados. Isso atende diretamente aos requisitos de evitar a implantação de instâncias EC2 com IPs públicos e políticas IAM com curingas ou acesso elevado. Controles detetives apenas alertam sobre não conformidade após a implantação, não bloqueiam. O AWS Config é uma ferramenta de auditoria e conformidade que avalia recursos existentes, não previne a criação. As Service Control Policies (SCPs) em AWS Organizations restringem as permissões máximas para contas, mas não inspecionam o conteúdo de modelos do CloudFormation para bloquear a criação de recursos específicos com base em suas configurações internas, como uma política inline ou a atribuição de um IP público.
Passe no seu exame — sem a busca interminável por respostas
Obtenha todas as perguntas e explicações verificadas para este exame em um só lugar e economize horas de preparação. Mais de 1.000 certificações · Mais de 20 idiomas · Grátis para começar.
Passe no seu exame mais rápido → Não é necessário cartão