Ein Unternehmen möchte verhindern, dass AWS CloudFormation-Stacks IAM-Ressourcen bereitstellen, die eine Inline-Richtlinie oder eine Anweisung mit „*“ enthalten, und die Bereitstellung von Amazon EC2-Instances mit öffentlichen IP-Adressen untersagen. Das Unternehmen hat AWS Control Tower in seiner AWS Organizations-Organisation aktiviert. Welche Lösung erfüllt diese Anforderungen?
Wählen Sie eine Antwort
Tippen Sie auf eine Option, um Ihre Antwort zu überprüfen.
Richtige Antwort: Verwenden Sie proaktive AWS Control Tower-Kontrollen, um die Bereitstellung von EC2-Instances mit öffentlichen IP-Adressen und Inline-Richtlinien mit erweiterten Zugriffsrechten oder „*“ zu blockieren..
Warum dies die Antwort ist
Proaktive AWS Control Tower-Kontrollen (Guardrails) verwenden AWS CloudFormation Hooks, um die Bereitstellung von nicht konformen Ressourcen zu verhindern, bevor sie erstellt werden. Dies entspricht der Anforderung, die Bereitstellung von EC2-Instances mit öffentlichen IPs und IAM-Ressourcen mit unsicheren Inline-Richtlinien zu untersagen. Detektive Kontrollen würden die Bereitstellung nicht verhindern, sondern nur melden, nachdem die Ressource erstellt wurde. AWS Config kann die Konformität überwachen und nicht konforme Ressourcen melden oder sogar korrigieren, aber es verhindert die Bereitstellung nicht proaktiv im Sinne der Frage. Service Control Policies (SCPs) sind zwar mächtig, aber sie können nicht detailliert genug auf den Inhalt von Inline-Richtlinien oder die Zuweisung öffentlicher IPs zu EC2-Instances eingehen, um diese spezifischen Bedingungen zu blockieren.
Bestehen Sie Ihre Prüfung – ohne endlose Antwortsuche
Erhalten Sie jede verifizierte Frage und Erklärung für diese Prüfung an einem Ort und sparen Sie Stunden der Vorbereitung. Über 1.000 Zertifizierungen · Über 20 Sprachen · Kostenloser Start.
Bestehen Sie Ihre Prüfung schneller → Keine Karte erforderlich