Una empresa desea evitar que las pilas de AWS CloudFormation implementen recursos de IAM que incluyan una política en línea o una declaración con "*", y prohibir la implementación de instancias de Amazon EC2 con direcciones IP públicas. La empresa tiene AWS Control Tower habilitado en su organización de AWS Organizations. ¿Qué solución cumple con estos requisitos?
Elige una respuesta
Toca una opción para verificar tu respuesta.
Respuesta correcta: Utilice los controles proactivos de AWS Control Tower para bloquear la implementación de instancias EC2 con direcciones IP públicas y políticas en línea con acceso elevado o "*"..
Por qué esta es la respuesta
La opción correcta es utilizar los controles proactivos de AWS Control Tower. Estos controles se basan en AWS CloudFormation Hooks y AWS Organizations Service Control Policies (SCPs), lo que les permite prevenir la implementación de recursos que no cumplen con las políticas antes de que se aprovisionen. Esto asegura que no se creen instancias EC2 con IPs públicas ni políticas de IAM con acceso excesivo. Los controles de detección de AWS Control Tower solo alertan sobre el incumplimiento después de que los recursos ya han sido implementados, lo cual no cumple con el requisito de "evitar" la implementación. AWS Config puede detectar el incumplimiento, pero la eliminación de recursos a través de Systems Manager Session Manager es una solución reactiva y no preventiva. Una SCP por sí sola podría bloquear acciones, pero los controles proactivos de Control Tower ofrecen una solución más integrada y específica para la prevención de implementaciones no conformes en el contexto de CloudFormation.
Aprueba tu examen — sin la interminable búsqueda de respuestas
Obtén todas las preguntas y explicaciones verificadas para este examen en un solo lugar, y ahorra horas de preparación. Más de 1,000 certificaciones · Más de 20 idiomas · Empieza gratis.
Aprueba tu examen más rápido → No se requiere tarjeta