Een bedrijf wil voorkomen dat AWS CloudFormation stacks IAM-resources deployen die een inline policy of een statement met "*" bevatten, en wil de deployment van Amazon EC2-instances met publieke IP-adressen verbieden. Het bedrijf heeft AWS Control Tower ingeschakeld in zijn AWS Organizations-organisatie. Welke oplossing voldoet aan deze vereisten?
Kies een antwoord
Tik op een optie om je antwoord te controleren.
Correct antwoord: Gebruik AWS Control Tower proactieve controls om de deployment van EC2-instances met publieke IP-adressen en inline policies met verhoogde toegang of "*" te blokkeren..
Waarom dit het antwoord is
Proactieve controls van AWS Control Tower zijn ontworpen om te voorkomen dat niet-compatibele resources worden geïmplementeerd, wat overeenkomt met de vereiste om de deployment van specifieke EC2-instances en IAM-resources te blokkeren. Deze controls evalueren CloudFormation-templates voordat resources worden gemaakt, waardoor ze effectief zijn in het voorkomen van non-compliance. Detective controls detecteren non-compliant resources nadat ze zijn geïmplementeerd, wat niet voldoet aan de vereiste om de deployment te voorkomen. AWS Config kan non-compliant resources detecteren en herstellen, maar het voorkomt de initiële deployment niet en vereist extra configuratie voor automatische verwijdering. SCP's kunnen acties op organisatieniveau beperken, maar ze bieden niet de granulaire controle om specifieke configuraties binnen een resource (zoals een publiek IP-adres op een EC2-instance of een "" in een IAM-policy) te blokkeren tijdens de deployment via CloudFormation.
Slaag voor je examen — zonder eindeloos zoeken naar antwoorden
Krijg elke geverifieerde vraag en uitleg voor dit examen op één plek, en bespaar uren voorbereiding. Meer dan 1.000 certificeringen · Meer dan 20 talen · gratis om te beginnen.
Slaag sneller voor je examen → Geen kaart nodig