Une entreprise souhaite empêcher les piles AWS CloudFormation de déployer des ressources IAM qui incluent une politique en ligne (inline policy) ou une instruction avec « * », et interdire le déploiement d'instances Amazon EC2 avec des adresses IP publiques. L'entreprise a activé AWS Control Tower dans son organisation AWS Organizations. Quelle solution répond à ces exigences ?
Choisissez une réponse
Appuyez sur une option pour vérifier votre réponse.
Bonne réponse : Utiliser les contrôles proactifs d'AWS Control Tower pour bloquer le déploiement d'instances EC2 avec des adresses IP publiques et des politiques en ligne avec un accès élevé ou « * »..
Pourquoi c'est la réponse
Les contrôles proactifs d'AWS Control Tower, basés sur AWS CloudFormation Hooks, sont conçus pour empêcher le déploiement de ressources non conformes AVANT qu'elles ne soient provisionnées. Cela correspond parfaitement à l'exigence de bloquer le déploiement de piles CloudFormation contenant des ressources IAM non conformes ou des instances EC2 avec des adresses IP publiques. Les contrôles détectives (option 2) identifient les ressources non conformes APRÈS leur déploiement, ce qui ne répond pas à l'exigence de prévention. AWS Config (option 3) est également un outil de détection et ne peut pas empêcher le déploiement. Les SCP (option 4) peuvent restreindre les actions de l'API AWS, mais ne peuvent pas inspecter le contenu d'un modèle CloudFormation pour bloquer un déploiement spécifique basé sur des propriétés de ressources comme une politique en ligne ou une adresse IP publique.
Réussissez votre examen — sans la chasse aux réponses interminable
Obtenez toutes les questions et explications vérifiées pour cet examen en un seul endroit, et économisez des heures de préparation. Plus de 1 000 certifications · Plus de 20 langues · Gratuit pour commencer.
Réussissez votre examen plus rapidement → Pas de carte requise