Een bedrijf gebruikt AWS Organizations. De security organizational unit (OU) moet goedgekeurde Amazon Machine Images (AMIs) delen met de development OU. De AMI's zijn gemaakt van met AWS KMS versleutelde snapshots. Welke oplossingen voldoen aan deze vereisten? (Kies er twee.)
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Voeg de Amazon Resource Name (ARN) van de development team OU toe aan de lijst met startmachtigingen voor de AMI's., Werk het AWS KMS-sleutelbeleid bij om de development team OU toe te staan de AWS KMS-sleutels te gebruiken die de snapshots ontsleutelen..
Waarom dit het antwoord is
De correcte antwoorden zijn: "Voeg de Amazon Resource Name (ARN) van de development team OU toe aan de lijst met startmachtigingen voor de AMI's" en "Werk het AWS KMS-sleutelbeleid bij om de development team OU toe te staan de AWS KMS-sleutels te gebruiken die de snapshots ontsleutelen." Om een AMI te delen binnen een AWS Organization, moet de launch permission worden ingesteld voor de target OU, niet voor de individuele accounts, om schaalbaarheid te garanderen. Aangezien de AMI's zijn gemaakt van KMS-versleutelde snapshots, moeten de accounts in de development OU ook toegang krijgen tot de KMS-sleutel die wordt gebruikt voor ontsleuteling. Dit wordt gedaan door het KMS-sleutelbeleid bij te werken. Het toevoegen van de Organizations root ARN aan de launch permissions zou te breed zijn en niet voldoen aan het principe van minimale privileges. Het toevoegen van individuele development team account ARN's aan de launch permissions is minder schaalbaar en efficiënt dan het gebruik van de OU. Het opnieuw aanmaken van de KMS-sleutel is onnodig, een update van het bestaande sleutelbeleid volstaat.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig