Una empresa utiliza AWS Organizations (con todas las características habilitadas) y ejecuta cargas de trabajo de EC2 en ap-southeast-2. Un SCP impide la creación de recursos en otras Regiones. Una política de seguridad exige que todos los datos en reposo estén cifrados. Una auditoría encontró que los empleados crearon volúmenes de EBS sin cifrar. La empresa desea que cualquier nueva instancia de EC2 lanzada en ap-southeast-2 por cualquier usuario de IAM o root utilice volúmenes de EBS cifrados, con un impacto mínimo en los empleados que crean volúmenes. ¿Qué combinación de pasos cumple estos requisitos? (Elija dos.)
Elige una respuesta
Toca una opción para verificar tu respuesta.
Respuesta correcta: Cree un SCP. Adjunte el SCP a la unidad organizativa (OU) raíz. Defina el SCP para denegar la acción ec2:CreateVolume cuando la condición ec2:Encrypted sea igual a false., En la cuenta de administración de Organizations, especifique la configuración de cifrado de volumen de EBS predeterminada (Default EBS volume encryption)..
Por qué esta es la respuesta
La opción de crear un SCP y adjuntarlo a la OU raíz para denegar la acción ec2:CreateVolume cuando ec2:Encrypted es falso es correcta porque un SCP aplicado a la OU raíz afectará a todas las cuentas de la organización, impidiendo la creación de volúmenes EBS no cifrados a nivel de toda la organización, sin necesidad de modificar políticas individuales de IAM. La opción de especificar la configuración de cifrado de volumen de EBS predeterminada en la cuenta de administración de Organizations es correcta porque esto asegura que cualquier nuevo volumen EBS creado en la región especificada se cifre automáticamente, cumpliendo con el requisito de cifrado por defecto y minimizando el impacto en los usuarios. Las otras opciones son incorrectas: La opción de la consola de Amazon EC2 para el atributo de cuenta de cifrado de EBS solo aplica a la cuenta específica donde se configura, no a toda la organización. Crear un límite de permisos de IAM no es el mecanismo adecuado para aplicar políticas de denegación a nivel de organización; los SCPs son para esto. Actualizar las políticas de IAM para cada cuenta es ineficiente y no escalable para una organización grande.
Aprueba tu examen — sin la interminable búsqueda de respuestas
Obtén todas las preguntas y explicaciones verificadas para este examen en un solo lugar, y ahorra horas de preparación. Más de 1,000 certificaciones · Más de 20 idiomas · Empieza gratis.
Aprueba tu examen más rápido → No se requiere tarjeta