Firma chce zapobiec wdrażaniu przez stosy AWS CloudFormation zasobów IAM, które zawierają politykę inline lub instrukcję z "*", oraz zakazać wdrażania instancji Amazon EC2 z publicznymi adresami IP. Firma ma włączone AWS Control Tower w swojej organizacji AWS Organizations. Które rozwiązanie spełnia te wymagania?
Wybierz odpowiedź
Dotknij opcji, aby sprawdzić swoją odpowiedź.
Poprawna odpowiedź: Użyj proaktywnych kontroli AWS Control Tower, aby zablokować wdrażanie instancji EC2 z publicznymi adresami IP i polityk inline z podwyższonym dostępem lub "*" w..
Dlaczego to jest odpowiedź
Proaktywne kontrole AWS Control Tower wykorzystują AWS CloudFormation Hooks do sprawdzania zgodności zasobów przed ich wdrożeniem. Pozwala to na blokowanie tworzenia zasobów niezgodnych z polityką, takich jak instancje EC2 z publicznymi adresami IP lub polityki IAM z nadmiernymi uprawnieniami (""). Kontrole detektywistyczne wykrywają niezgodność po wdrożeniu, co nie zapobiega tworzeniu zasobów. AWS Config monitoruje zgodność po wdrożeniu i nie blokuje tworzenia zasobów. Polityki kontroli usług (SCP) działają na poziomie konta i blokują działania, ale nie są tak granularne jak proaktywne kontrole w Control Tower w kontekście blokowania konkretnych konfiguracji zasobów CloudFormation.
Zdaj egzamin — bez niekończącego się szukania odpowiedzi
Uzyskaj wszystkie zweryfikowane pytania i wyjaśnienia do tego egzaminu w jednym miejscu i zaoszczędź godziny przygotowań. Ponad 1000 certyfikacji · Ponad 20 języków · Zacznij za darmo.
Zdaj egzamin szybciej → Karta nie jest wymagana