Un'azienda vuole impedire che gli stack di AWS CloudFormation distribuiscano risorse IAM che includono una policy inline o un'istruzione con "*", e vuole proibire la distribuzione di istanze Amazon EC2 con indirizzi IP pubblici. L'azienda ha AWS Control Tower abilitato nella sua organizzazione AWS Organizations. Quale soluzione soddisfa questi requisiti?
Scegli una risposta
Tocca un'opzione per controllare la tua risposta.
Risposta corretta: Utilizzare i controlli proattivi di AWS Control Tower per bloccare la distribuzione di istanze EC2 con indirizzi IP pubblici e policy inline con accesso elevato o "*"..
Perché questa è la risposta
I controlli proattivi di AWS Control Tower utilizzano AWS CloudFormation Hooks per valutare le risorse prima che vengano create o aggiornate. Questo permette di prevenire la distribuzione di risorse non conformi, come istanze EC2 con IP pubblici o policy IAM con accessi eccessivamente permissivi (ad esempio, con ""). I controlli investigativi, invece, rilevano le non conformità dopo che le risorse sono state create. AWS Config può identificare le non conformità, ma l'eliminazione tramite Systems Manager Session Manager è una soluzione reattiva e meno efficiente rispetto alla prevenzione. Le Service Control Policies (SCP) sono efficaci per limitare le azioni a livello di account, ma non possono ispezionare il contenuto specifico di una policy IAM o le proprietà di un'istanza EC2 prima della creazione per bloccarne la distribuzione in base a tali dettagli.
Supera il tuo esame — senza l'infinita caccia alle risposte
Ottieni ogni domanda e spiegazione verificata per questo esame in un unico posto, e risparmia ore di preparazione. Oltre 1.000 certificazioni · Oltre 20 lingue · Inizia gratuitamente.
Supera il tuo esame più velocemente → Nessuna carta richiesta