Una empresa está diseñando una nueva arquitectura de aplicación móvil en la Nube de AWS. La empresa utiliza unidades organizativas (OU) en AWS Organizations para administrar las cuentas. La empresa quiere que las instancias EC2 se etiqueten con la sensibilidad de los datos utilizando los valores sensitive y nonsensitive. Las identidades de IAM no deben poder eliminar la etiqueta ni crear instancias sin una etiqueta. ¿Qué combinación de pasos cumplirá estos requisitos? (Elija dos)
Elige una respuesta
Toca una opción para verificar tu respuesta.
Respuesta correcta: En Organizations, cree una nueva política de etiquetas que especifique la clave de etiqueta de sensibilidad de los datos y los valores requeridos. Aplique los valores de etiqueta para las instancias EC2. Adjunte la política de etiquetas a la OU apropiada., Cree una política de control de servicios (SCP) para denegar la creación de instancias cuando no se especifique una clave de etiqueta. Cree otra SCP que impida a las identidades eliminar etiquetas. Adjunte las SCP a la OU apropiada..
Por qué esta es la respuesta
La primera opción correcta es crear una política de etiquetas en AWS Organizations. Las políticas de etiquetas permiten estandarizar el etiquetado de recursos, asegurando que se apliquen etiquetas específicas con valores predefinidos. Al adjuntarla a la OU, se aplica a todas las cuentas dentro de esa OU, forzando el uso de la etiqueta "sensibilidad de los datos" con valores "sensitive" o "nonsensitive" en las instancias EC2. La segunda opción correcta es usar Políticas de Control de Servicios (SCP) en AWS Organizations. Una SCP puede denegar explícitamente la acción ec2:RunInstances si la solicitud no incluye la etiqueta requerida, y denegar ec2:DeleteTags o ec2:UntagResources para evitar la eliminación de etiquetas. Las SCPs son poderosas porque aplican estas restricciones a nivel de cuenta, afectando a todas las identidades de IAM dentro de las cuentas de la OU. Las opciones incorrectas no cumplen todos los requisitos. Usar solo políticas de etiquetas no impide que las identidades de IAM eliminen etiquetas. Las reglas de AWS Config solo detectan la no conformidad y pueden remediarla, pero no previenen la creación de recursos sin etiquetas o la eliminación de etiquetas en tiempo real, como lo hacen las SCPs.
Aprueba tu examen — sin la interminable búsqueda de respuestas
Obtén todas las preguntas y explicaciones verificadas para este examen en un solo lugar, y ahorra horas de preparación. Más de 1,000 certificaciones · Más de 20 idiomas · Empieza gratis.
Aprueba tu examen más rápido → No se requiere tarjeta