Een bedrijf heeft een oplossing nodig om data-encryptie at rest af te dwingen op Amazon EC2-instances. De oplossing moet niet-compatibele resources automatisch identificeren en compliancebeleid afdwingen op bevindingen. Welke oplossing voldoet aan deze vereisten met de MINSTE administratieve overhead?
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Gebruik een IAM policy die gebruikers alleen toestaat om versleutelde Amazon Elastic Block Store (Amazon EBS)-volumes te maken. Gebruik AWS Config en AWS Systems Manager om de detectie en herstel van onversleutelde EBS-volumes te automatiseren..
Waarom dit het antwoord is
De correcte optie combineert preventieve controle met automatische detectie en herstel. Een IAM-beleid dat alleen versleutelde EBS-volumes toestaat, voorkomt dat onversleutelde volumes worden gemaakt, wat de administratieve overhead vermindert. AWS Config kan vervolgens worden gebruikt om te controleren op niet-compatibele resources (bestaande of nieuwe volumes die het IAM-beleid omzeilen), en AWS Systems Manager kan worden geconfigureerd om automatisch herstelacties uit te voeren. De andere opties zijn minder optimaal: AWS KMS beheert sleutels, maar biedt geen directe detectie of herstel van onversleutelde volumes. Lambda en EventBridge kunnen dit wel, maar vereisen meer aangepaste ontwikkeling dan AWS Config en Systems Manager. Amazon Macie is gericht op gevoelige data in S3 en RDS, niet op EBS-volume-encryptie. Amazon Inspector is een kwetsbaarheidsscanner voor EC2-instances en container-images, niet voor het detecteren van onversleutelde EBS-volumes.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig