Un'azienda utilizza AWS Organizations (con tutte le funzionalità abilitate) ed esegue carichi di lavoro EC2 in ap-southeast-2. Un SCP impedisce la creazione di risorse in altre Regioni. Una policy di sicurezza richiede che tutti i dati a riposo siano crittografati. Un audit ha rilevato che i dipendenti hanno creato volumi EBS non crittografati. L'azienda desidera che tutte le nuove istanze EC2 avviate in ap-southeast-2 da qualsiasi utente IAM o root utilizzino volumi EBS crittografati, con un impatto minimo sui dipendenti che creano volumi. Quale combinazione di passaggi soddisfa questi requisiti? (Scegliere due.)
Scegli una risposta
Tocca un'opzione per controllare la tua risposta.
Risposta corretta: Creare un SCP. Allegare l'SCP all'unità organizzativa (OU) root. Definire l'SCP per negare l'azione ec2:CreateVolume quando la condizione ec2:Encrypted è uguale a false., Nell'account di gestione di Organizations, specificare l'impostazione di crittografia predefinita del volume EBS..
Perché questa è la risposta
La prima opzione corretta è creare un SCP che neghi la creazione di volumi EBS non crittografati. Allegare questo SCP all'OU root garantisce che la policy venga applicata a tutti gli account e a tutti gli utenti all'interno dell'organizzazione, impedendo la creazione di volumi non crittografati. Questo è un metodo efficace per imporre la conformità a livello organizzativo. La seconda opzione corretta è specificare l'impostazione di crittografia predefinita del volume EBS nell'account di gestione di Organizations. Questo fa sì che tutti i nuovi volumi EBS creati siano crittografati per impostazione predefinita, riducendo l'impatto sui dipendenti poiché non dovranno specificare manualmente la crittografia. Le opzioni errate sono: L'impostazione dell'attributo dell'account di crittografia EBS nella console EC2 è specifica per un singolo account e non si propaga a tutti gli account dell'organizzazione. Un permission boundary IAM non può essere allegato a un'OU root; i permission boundary sono allegati a utenti o ruoli IAM specifici. Aggiornare le policy IAM per ogni account è laborioso e non scalabile per un'organizzazione con molti account.
Supera il tuo esame — senza l'infinita caccia alle risposte
Ottieni ogni domanda e spiegazione verificata per questo esame in un unico posto, e risparmia ore di preparazione. Oltre 1.000 certificazioni · Oltre 20 lingue · Inizia gratuitamente.
Supera il tuo esame più velocemente → Nessuna carta richiesta