¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

2024 Preguntas y pruebas prácticas actualizadas del examen SCS-C02, AWS Certified Security - Specialty | SPOTO

El examen AWS Certified Security - Specialty (SCS-C02) es una prueba exhaustiva que evalúa su competencia en la creación e implementación de soluciones de seguridad en el entorno de la nube de AWS. Esta certificación significa su dominio de la clasificación profesional de datos, los mecanismos de protección de datos de AWS, los métodos de cifrado de datos y sus implementaciones en AWS. Además, valida su conocimiento de los protocolos seguros de Internet y su integración con los mecanismos de seguridad de AWS. Prepárese para el éxito con nuestras preguntas y pruebas prácticas actualizadas del examen SCS-C02 2024. Acceda a una serie de preguntas de examen, pruebas prácticas y preguntas de muestra para mejorar su comprensión y preparación. Nuestros recursos incluyen cuestionarios gratuitos, materiales de examen y respuestas de examen para ayudarle a practicar con eficacia. Utilice nuestro simulador de examen para una experiencia de examen realista y aumentar su confianza para la prueba real.

Realizar otros exámenes en línea
Cuestionar #1
Una empresa ejecuta cargas de trabajo en la región us-east-1. La empresa nunca ha implementado recursos en otras regiones de AWS y no dispone de recursos multirregión. La compañía necesita replicar sus cargas de trabajo e infraestructura en la región us-west-1. Un ingeniero de seguridad debe implementar una solución que utilice AWS Secrets Manager para almacenar secretos en ambas regiones. La solución debe utilizar AWS Key Management Service (AWS KMS) para cifrar los secretos. La solución debe minimizar la latencia y debe ser capaz de funcionar si solo una
A. Cifre los secretos en us-east-1 mediante una clave KMS administrada por AWS
B. Cifrar los secretos en nosotros-este-1 utilizando una clave KMS administrada por AWS
C. ifrar los secretos en us-este-1 utilizando una clave KMS gestionada por el cliente
D. Cifrar los secretos en us-este-1 utilizando una clave KMS gestionada por el cliente
Ver respuesta
Respuesta correcta: D
Cuestionar #2
El director de seguridad de la información de una empresa desea recibir un informe diario por correo electrónico de IAM que contenga recomendaciones para que cada cuenta de la empresa cumpla las prácticas recomendadas de seguridad de IAM. ¿Qué solución cumpliría estos requisitos?
A. en cada cuenta de IAM, configure IAM Lambda para que me consulte IAM Support API para comprobaciones de seguridad de IAM Trusted Advisor Envíe los resultados de Lambda a un tema de Amazon SNS para enviar informes
B. Configurar Amazon GuardDuty en una cuenta maestra e invitar a todas las demás cuentas a ser administradas por la cuenta maestra Utilizar la integración de GuardDuty con Amazon SNS para informar sobre los hallazgos
C. Utilizar Amazon Athena y Amazon QuickSight para crear informes a partir de IAM CloudTrail Crear un disparador diario de Amazon CloudWatch para ejecutar el informe y enviarlo por correo electrónico utilizando Amazon SNS
D. Utilizar los informes predefinidos de IAM Artifact y suscripciones Suscribir al Director de Seguridad de la Información a los informes añadiendo al Director como contacto alternativo de seguridad para cada cuenta
Ver respuesta
Respuesta correcta: BD
Cuestionar #3
Durante una auditoría de seguridad reciente, se descubrió que varios equipos de una gran organización han colocado datos restringidos en varios buckets de Amazon S3, y los datos pueden haber quedado expuestos. El auditor ha solicitado que la organización identifique todos los objetos posibles que contengan información de identificación personal (PII) y, a continuación, determine si se ha accedido a esta información. ¿Qué solución permitirá al equipo de seguridad completar esta solicitud?
A. Con Amazon Athena, consulte los buckets de S3 afectados mediante la función de identificador de consulta de PII
B. A continuación, cree una nueva métrica de Amazon CloudWatch para el acceso a objetos de Amazon S3 con el fin de alertar cuando se acceda a los objetos
C. Habilitar Amazon Macie en los buckets de S3 afectados y, a continuación, realizar la clasificación de los datos
D. Para los objetos identificados que contienen PII, utilice la función de investigación para auditar los registros de IAM CloudTrail y los registros de bucket de S3 para las operaciones GET
E. Habilitar Amazon GuardDuty y habilitar el conjunto de reglas PII en los buckets de S3 afectados y, a continuación, realizar la clasificación de los datos
F. Utilizando el informe de hallazgos de PII de GuardDuty, consulte los registros de buckets de S3 utilizando Athena para las operaciones GET
Ver respuesta
Respuesta correcta: A
Cuestionar #4
A un ingeniero de seguridad se le pide que actualice un prefijo de archivo de registro de AW3 CoudTrail para un rastro existente. Al intentar guardar el cambio en la consola de CloudTrail, el ingeniero de seguridad recibe el siguiente mensaje de error. "There is a problem with the bucket policy" ¿Qué permitirá al ingeniero de seguridad serrar el cambio?
A. Cree un nuevo rastro con el prefijo de archivo de registro actualizado y, a continuación, elimine el clavo original Actualice la política de bucket existente en la consola de Amazon S3 con el nuevo prefijo de archivo de registro y, a continuación, actualice el prefijo de archivo de registro en la consola de CloudTrail
B. Actualizar la política de bucket existente en la consola de Amazon S3 para permitir que los ingenieros de seguridad principales realicen PutBucketPolic
C. y luego actualizar el prefijo del archivo de registro en la consola de CloudTrail
D. Actualice la política de bucket existente en la consola de Amazon S3 con el nuevo prefijo de archivo de registro y, a continuación, actualice el prefijo de archivo de registro en la consola de CloudTrail
E. Actualizar la política de bucket existente en la consola de Amazon S3 para permitir que los ingenieros de seguridad principales realicen GetBucketPolicy y, a continuación, actualizar el prefijo del archivo de registro en la consola de CloudTrail
Ver respuesta
Respuesta correcta: A
Cuestionar #5
Un ingeniero de seguridad está configurando un mecanismo para enviar una alerta cuando se produzcan tres o más intentos fallidos de inicio de sesión en la consola de administración de AWS durante un periodo de 5 minutos. El ingeniero de seguridad crea un rastro en AWS CloudTrail para ayudar en este trabajo. ¿Qué solución cumplirá estos requisitos? La respuesta correcta es B. Configure CloudTrail para enviar eventos a Amazon CloudWatch Logs. Cree un filtro de métricas para el grupo de logs correspondiente. Cree un patrón de filtro con eventName que coincida con ConsoleLogin y errorMessage m
A. n CloudTrail, active los eventos Insights en la rutA
B. onfigure CloudTrail para enviar eventos a Amazon CloudWatch Logs
C. ree una tabla de Amazon Athena a partir de los eventos de CloudTrail
D. En AWS Identity and Access Management Access Analyzer, cree un nuevo analizador
Ver respuesta
Respuesta correcta: B
Cuestionar #6
Un Ingeniero de Seguridad ha descubierto que, aunque el cifrado estaba habilitado en el ejemplo de bucket de Amazon S3, cualquiera que tenga acceso al bucket tiene la capacidad de recuperar los archivos. El Ingeniero quiere limitar el acceso a cada usuario IAM puede acceder a una carpeta asignada solamente. ¿Qué debe hacer el Ingeniero de Seguridad para lograr esto?
A. Utilice el cifrado de sobres con el CMK IAM/s3 gestionado por IAM
B. Crear una CMK gestionada por el cliente con una política de claves que conceda "kms:Decrypt" basada en la variable "${IAM:username}"
C. Crear una CMK gestionada por el cliente para cada uso
D. Añada cada usuario como usuario clave en su correspondiente política de claves
E. Cambie la política IAM aplicable para conceder acceso S3 al "Recurso": "arn:IAM:s3:::examplebucket/${IAM:username}/*"
Ver respuesta
Respuesta correcta: B
Cuestionar #7
Al Ingeniero de Seguridad de una compañía se le ha pedido que monitoree y reporte todas las actividades del usuario raíz de la cuenta IAM. ¿Cuál de las siguientes opciones permitiría al ingeniero de seguridad supervisar y notificar todas las actividades de los usuarios root? (Seleccione DOS)
A. Configuración de las organizaciones IAM para supervisar las llamadas a la API del usuario root en la cuenta de pago
B. Crear una regla de Amazon CloudWatch Events que se active cuando se informe de cualquier llamada a la API desde el usuario root
C. Configurar Amazon Inspector para que analice la cuenta de IAM en busca de cualquier actividad del usuario root
D. Configurar IAM Trusted Advisor para que envíe un correo electrónico al equipo de Seguridad cuando el usuario root inicie sesión en la consola
E. Utilizar Amazon SNS para notificar al grupo objetivo
Ver respuesta
Respuesta correcta: D
Cuestionar #8
Su empresa ha ordenado que se graben todas las llamadas al servicio KMS de IAM. ¿Cómo se puede conseguir esto? Por favor, seleccione:
A. Habilitar el registro en el servicio KMS
B. Habilitar una ruta en Cloudtrail
C. Habilitar los registros de Cloudwatch
D. Utilizar las métricas de Cloudwatch
Ver respuesta
Respuesta correcta: C
Cuestionar #9
Una empresa necesita implementar extensiones de seguridad DNS (DNSSEC) para un subdominio específico. El subdominio ya está registrado en Amazon Route 53. Un ingeniero de seguridad ha habilitado la firma DNSSEC y ha creado una clave de firma (KSK). Cuando el ingeniero de seguridad intenta probar la configuración, recibe un error por una cadena de confianza rota. ¿Qué debe hacer el ingeniero de seguridad para resolver este error?
A. ustituye la KSK por una clave de firma de zona (ZSK)
B. esactivar y luego activar el KSK
C. Cree un registro de Firmante de Delegación (DS) en la zona hospedada principal
D. Crear un registro de Delegación de Firmante (DS) en el subdominio
Ver respuesta
Respuesta correcta: C
Cuestionar #10
Durante un evento de seguridad, se descubre que algunas instancias de Amazon EC2 no han enviado logs de Amazon CloudWatch. ¿Qué pasos puede seguir el ingeniero de seguridad para solucionar este problema? (Seleccione dos.)
A. Conéctese a las instancias EC2 que no están enviando los registros correspondientes y compruebe que el agente CloudWatch Logs se está ejecutando
B. Inicie sesión en la cuenta de IAM y seleccione CloudWatch Log
C. Compruebe si hay alguna instancia EC2 monitorizada en estado "Alerta" y reiníciela mediante la consola EC2
D. Verifique que las instancias EC2 tienen una ruta a los puntos finales de la API publica de IAM
E. Conéctese a las instancias EC2 que no están enviando logs
F. Utilice el símbolo del sistema para verificar que se han establecido los permisos adecuados para el tema de Amazon SNS
Ver respuesta
Respuesta correcta: B
Cuestionar #11
Un ingeniero de software escribió un servicio de informes personalizado que se ejecutará en una flota de instancias de Amazon EC2. La política de seguridad de la empresa establece que los logs de la aplicación para el servicio de informes deben recopilarse de forma centralizada. Cuál es la forma MÁS eficaz de cumplir estos requisitos?
A. Escriba una función IAM Lambda que inicie sesión en la instancia EC2 para extraer los logs de la aplicación de la instancia EC2 y los persista en un bucket de Amazon S3
B. Habilite el registro de IAM CloudTrail para la cuenta de IAM, cree un nuevo bucket de Amazon S3 y, a continuación, configure Amazon CloudWatch Logs para que reciba los logs de la aplicación desde CloudTrail
C. Cree una tarea cron sencilla en las instancias EC2 que sincronice los logs de la aplicación con un bucket de Amazon S3 mediante rsync
D. Instale el agente de Amazon CloudWatch Logs en las instancias EC2 y configúrelo para que envíe los logs de la aplicación a CloudWatch Logs
Ver respuesta
Respuesta correcta: A
Cuestionar #12
Una empresa utiliza varias cuentas IAM gestionadas con Organizaciones IAM Los ingenieros de seguridad han creado un conjunto estándar de grupos de seguridad para todas estas cuentas. La política de seguridad requiere que estos grupos de seguridad se utilicen para todas las aplicaciones y delega la autoridad de modificación únicamente al equipo de seguridad. Una auditoría de seguridad reciente descubrió que los grupos de seguridad están implementados de forma inconsistente en todas las cuentas y que se han realizado cambios no autorizados en los grupos de seguridad. Un ingeniero de seguridad necesita recomendar
A. Utilice IAM Resource Access Manager para crear recursos compartidos para cada grupo de seguridad requerido y aplique una política IAM que permita el acceso de sólo lectura únicamente a los grupos de seguridad
B. Crear una plantilla de IAM CloudFormation que cree los grupos de seguridad necesarios Ejecutar la plantilla como parte de la configuración de nuevas cuentas Habilitar las notificaciones de Amazon Simple Notification Service (Amazon SNS) cuando se produzcan cambios
C. Utilice IAM Firewall Manager para crear una política de grupo de seguridad, habilite la función de política para identificar y revertir cambios locales y habilite la corrección automática
D. Use la Torre de Control IAM para editar la plantilla de la fabrica de cuentas para habilitar la opcion de snare security groups Aplique un SCP a la OU o cuentas individuales que prohiba modificaciones de grupos de seguridad de usuarios de cuentas locales
Ver respuesta
Respuesta correcta: A
Cuestionar #13
Un administrador de seguridad está realizando un análisis de registros como resultado de un presunto compromiso de una cuenta de IAM. El administrador desea analizar los archivos de registro sospechosos de IAM CloudTrail, pero se siente abrumado por el volumen de registros de auditoría que se generan. ¿Qué enfoque permite al administrador buscar en los registros de la manera MÁS eficiente?
A. Implemente un filtro de eventos CloudTrail de "solo escritura" para detectar cualquier modificación en los recursos de la cuenta de IAM
B. Configurar Amazon Macie para clasificar y descubrir datos confidenciales en el bucket de Amazon S3 que contiene los logs de auditoría de CloudTrail
C. Configure Amazon Athena para que lea desde el bucket S3 de CloudTrail y consulte los logs para examinar las actividades de la cuentA
D. Habilite las notificaciones de eventos de Amazon S3 para activar una función de IAM Lambda que envíe una alarma por correo electrónico cuando haya nuevas entradas de API de CloudTrail
Ver respuesta
Respuesta correcta: A
Cuestionar #14
Un administrador de seguridad de una universidad está configurando una flota de instancias de Amazon EC2. Las instancias EC2 se comparten entre estudiantes y se permite el acceso SSH no root. Al administrador le preocupa que los estudiantes ataquen otros recursos de cuentas IAM utilizando el servicio de metadatos de instancias EC2. ¿Qué puede hacer el administrador para protegerse de este posible ataque?
A. Desactive el servicio de metadatos de instancia EC2
B. Registre toda la actividad de la sesión interactiva SSH de los estudiantes
C. Implementar restricciones basadas en tablas ip en las instancias
D. Instale el agente Amazon Inspector en las instancias
Ver respuesta
Respuesta correcta: B
Cuestionar #15
Algunas cargas de trabajo de análisis altamente sensibles se van a trasladar a hosts Amazon EC2. El modelado de amenazas ha descubierto que existe un riesgo en el que una subred podría quedar expuesta a Internet de forma maliciosa o accidental. ¿Cuál de las siguientes medidas de mitigación debería recomendarse?
A. Utilice IAM Config para detectar si se ha añadido una puerta de enlace a Internet y utilice una función IAM Lambda para proporcionar una reparación automáticA
B. Dentro de la configuración de Amazon VPC, marque la VPC como privada y deshabilite las direcciones IP elásticas
C. Utilizar el direccionamiento IPv6 exclusivamente en los hosts EC2, ya que esto impide que se acceda a los hosts desde Internet
D. Trasladar la carga de trabajo a un Host Dedicado, ya que esto proporciona controles de seguridad de red adicionales y monitorización de la carga de trabajo
Ver respuesta
Respuesta correcta: A
Cuestionar #16
Un ingeniero de seguridad de una gran empresa gestiona una aplicación de procesamiento de datos utilizada por 1.500 empresas subsidiarias. Tanto la empresa matriz como las filiales utilizan IAM. La aplicación utiliza el puerto TCP 443 y se ejecuta en Amazon EC2 detrás de un Network Load Balancer (NLB). Por motivos de conformidad, la aplicación solo debe ser accesible para las filiales y no debe estar disponible en la Internet pública. Para cumplir los requisitos de conformidad para el acceso restringido, el ingeniero ha recibido el CIDR público y privado
A. Cree una NACL para permitir el acceso en el puerto TCP 443 desde los rangos de bloques CIDR subsidiarios 1;500
B. Crear un grupo de seguridad IAM para permitir el acceso en el puerto TCP 443 desde el rango de bloques CIDR de la filial 1
C. Asociar el grupo de seguridad al NL
D. Cree un segundo grupo de seguridad para instancias EC2 con acceso en el puerto TCP 443 desde el grupo de seguridad NLB
E. Crear un servicio de punto final IAM PrivateLink en la cuenta de la empresa matriz adjunta al NL
F. Cree un grupo de seguridad IAM para las instancias para permitir el acceso en el puerto TCP 443 desde el endpoin IAM PrivateLink G
Ver respuesta
Respuesta correcta: A
Cuestionar #17
Un ingeniero de seguridad debe implementar conexiones TLS autenticadas mutuamente entre contenedores que se comunican dentro de una VPC. Qué solución sería la MÁS segura y fácil de mantener?
A. Utilice el Administrador de Certificados de IAM para generar certificados de una autoridad de certificación pública y desplegarlos en todos los contenedores
B. Crear un certificado autofirmado en un contenedor y utilizar IAM Secrets Manager para distribuir el certificado a los otros contenedores para establecer la confianzA
C. Utilice IAM Certificate Manager Private Certificate Authority (ACM PCA) para crear una autoridad de certificación subordinada y, a continuación, cree las claves privadas en los contenedores y fírmelas mediante la API ACM PCA
D. Use el Administrador de Certificados IAM Autoridad de Certificados Privados (ACM PCA) para crear una autoridad de certificados subordinada, luego use el Administrador de Certificados IAM para generar los certificados privados y desplegarlos a todos los contenedores
Ver respuesta
Respuesta correcta: ADF
Cuestionar #18
Una empresa tiene varias cuentas IAM de producción y una cuenta IAM de seguridad central. La cuenta de seguridad se utiliza para la monitorización centralizada y tiene privilegios de IAM para todos los recursos de cada cuenta corporativa. Todos los buckets de Amazon S3 de la empresa están etiquetados con un valor que indica la clasificación de datos de su contenido. Un ingeniero de seguridad está implementando una solución de monitorización en la cuenta de seguridad que impondrá el cumplimiento de la política de buckets. El sistema debe monitorizar los buckets de S3 en todas las cuentas de producción y co
A. Configure Amazon CloudWatch Events en las cuentas de producción para enviar todos los eventos de S3 al bus de eventos de la cuenta de seguridad
B. Habilitar Amazon GuardDuty en la cuenta de seguridad
C. y unirse a las cuentas de producción como miembros
D. Configure una regla de Amazon CloudWatch Events en la cuenta de seguridad para detectar eventos de creación o modificación de buckets de S3
E. Habilite IAM Trusted Advisor y active las notificaciones por correo electrónico para una dirección de correo electrónico asignada al contacto de seguridad
F. Invocar una función Lambda de IAM en la cuenta de seguridad para analizar la configuración de los buckets de S3 en respuesta a eventos de S3 y enviar notificaciones de incumplimiento al equipo de seguridad
Ver respuesta
Respuesta correcta: BEF
Cuestionar #19
Una empresa planea utilizar AMI personalizadas para lanzar instancias de Amazon EC2 a través de varias cuentas de IAM en una única región para realizar tareas de análisis y monitorización de la seguridad. Las instancias EC2 se lanzan en grupos EC2 Auto Scaling. Para aumentar la seguridad de la solución, un ingeniero de seguridad administrará el ciclo de vida de las AMI personalizadas en una cuenta centralizada y las cifrará con un CMK KMS de IAM administrado centralmente. El ingeniero de seguridad configuró la política de claves KMS para permitir el acceso entre cuentas. Sin embargo, la
A. Crear una CMK gestionada por el cliente en la cuenta centralizada
B. Permitir que otras cuentas aplicables utilicen esa clave para operaciones criptográficas aplicando los permisos adecuados entre cuentas en la política de claves
C. Crear un rol IAM en todas las cuentas aplicables y configurar su política de acceso para permitir el uso de la CMK gestionada centralmente para operaciones criptográficas
D. Configure grupos EC2 Auto Scaling dentro de cada cuenta aplicable para usar el rol IAM creado para lanzar instancias EC2
E. Crear una CMK gestionada por el cliente en la cuenta centralizada
F. G
Ver respuesta
Respuesta correcta: A
Cuestionar #20
Una empresa aloja una aplicación web crítica en IAM Cloud. Se trata de una aplicación clave que genera ingresos para la empresa. El equipo de seguridad de TI está preocupado por los posibles ataques DDos contra el sitio web. La alta dirección también ha especificado que es necesario tomar medidas inmediatas en caso de un potencial ataque DDos. ¿Qué se debe hacer al respecto? Seleccione una opción:
A. Considere la posibilidad de utilizar el servicio IAM Shield
B. Considere la posibilidad de utilizar los registros de flujo de la VPC para supervisar el tráfico en busca de ataques DDoS y tomar medidas rápidamente cuando se detecte un posible ataque
C. Considere la posibilidad de utilizar el Servicio Avanzado IAM Shield
D. Considere usar los logs de Cloudwatch para monitorear trafico para ataques DDos y rapidamente tomar acciones en un disparador de un ataque potencial
Ver respuesta
Respuesta correcta: A
Cuestionar #21
Un ingeniero de seguridad debe desarrollar una herramienta de cifrado para una empresa. La empresa requiere una solución criptográfica que admita la capacidad de realizar el borrado criptográfico de todos los recursos protegidos por el material de claves en 15 minutos o menos ¿Qué solución de claves IAM Key Management Service (IAM KMS) permitirá al ingeniero de seguridad cumplir estos requisitos?
A. Utilizar material clave importado con CMK
B. Utilizar un IAM KMS CMK
C. Utilizar una CMK gestionada por IAM
D. Utilizar un KMS IAM CMK gestionado por el cliente
Ver respuesta
Respuesta correcta: A
Cuestionar #22
Una empresa tiene reglas de conectividad complejas que rigen la entrada, la salida y las comunicaciones entre instancias de Amazon EC2. Las reglas son tan complejas que no se pueden implementar dentro de los límites del número máximo de grupos de seguridad y listas de control de acceso a la red (ACL de red). ¿Qué mecanismo permitirá a la empresa implementar todas las reglas de red necesarias sin incurrir en costos adicionales?
A. Configure las reglas de IAM WAF para implementar las reglas requeridas
B. Utilizar el cortafuegos basado en host integrado en el sistema operativo para implementar las reglas necesarias
C. Utilizar una pasarela NAT para controlar la entrada y la salida de acuerdo con los requisitos
D. Lance un producto de firewall basado en EC2 desde IAM Marketplace, e implemente las reglas requeridas en ese producto
Ver respuesta
Respuesta correcta: D
Cuestionar #23
Una empresa desea cifrar la red privada entre su entorno local e IAM. La compañía también quiere una experiencia de red consistente para sus empleados. Qué debería hacer la empresa para cumplir estos requisitos?
A. Establezca una conexión de IAM Direct Connect con IAM y configure una puerta de enlace de Direct Connect
B. En la configuración de la puerta de enlace de Direct Connect, active IPsec y BGP y, a continuación, aproveche el cifrado de red IAM nativo entre las zonas de disponibilidad y las regiones,
C. Establezca una conexión de IAM Direct Connect con IAM y configure una puerta de enlace de Direct Connect
D. Usando la puerta de enlace de Direct Connect, cree una interfaz virtual privada y anuncie la direccion IP privada de la puerta de enlace del cliente
E. Crear una conexión VPN utilizando la puerta de enlace del cliente y la puerta de enlace privada virtual
F. Establezca una conexión VPN con la nube privada virtual de IAM a través de Internet G
Ver respuesta
Respuesta correcta: B
Cuestionar #24
Una empresa tiene una VPC con un rango de direcciones IPv6 y una subred pública con un bloque de direcciones IPv6. La VPC aloja actualmente algunas instancias públicas de Amazon EC2, pero un ingeniero de seguridad necesita migrar una segunda aplicación a la VPC que también requiere conectividad IPv6. Esta nueva aplicación realizará ocasionalmente solicitudes de API a un punto final externo accesible desde Internet para recibir actualizaciones. Sin embargo, el equipo de seguridad no desea que la instancia EC2 de la aplicación esté expuesta directamente a Internet
A. Lanzar una instancia NAT en la subred pública Actualizar la tabla de rutas personalizada con una nueva ruta a la instancia NAT
B. Elimine la puerta de enlace de Internet y añada IAM PrivateLink a la VPC
C. Añadir una pasarela NAT gestionada a la VPC Actualizar la tabla de rutas personalizada con una nueva ruta a la pasarela
D. Agregue un gateway de internet de solo salida al VP
E. Actualizar la tabla de rutas personalizadas con una nueva ruta algateway
Ver respuesta
Respuesta correcta: A
Cuestionar #25
Un usuario de IAM con permisos de llenado de EC2 no podía iniciar una instancia de Amazon EC2 después de que se detuviera para realizar una tarea de mantenimiento. Al iniciar la instancia, el estado de la instancia cambiaba a "Pendiente", pero después de unos segundos, volvía a "Detenido". Una inspección reveló que la instancia tenía volúmenes de Amazon EBS adjuntos que estaban cifrados mediante una clave maestra de cliente (CMK). Cuando se desconectaron estos volúmenes cifrados, el usuario de IAM pudo iniciar las instancias EC2. La política del usuario IAM es la siguiente
A. kms:GenerarClaveDatos
B. kms:Descifrar
C. kms:CrearSubvención
D. "Condition": {"Bool": {"kms:ViaService": "ec2
E. "Condition": {"Bool": {"kms:GrantIsForIAMResource": true}}
Ver respuesta
Respuesta correcta: B
Cuestionar #26
Su empresa tiene un conjunto de 1000 instancias EC2 definidas en una cuenta IAM. Quieren automatizar eficazmente varias tareas administrativas en estas instancias. ¿Cuál de las siguientes opciones sería una forma eficaz de conseguirlo? Seleccione una opción:
A. Utilizar el Almacén de Parámetros del Administrador de Sistemas IAM
B. Utilice el comando de ejecución de IAM Systems Manager
C. Utilizar el Inspector IAM
D. Usar IAM Config
Ver respuesta
Respuesta correcta: C
Cuestionar #27
Un ingeniero de seguridad está trabajando con un equipo de productos en la creación de una aplicación web en IAM. La aplicación utiliza Amazon S3 para hospedar el contenido estático, Amazon API Gateway para proporcionar servicios RESTful y Amazon DynamoDB como almacén de datos backend. Los usuarios ya existen en un directorio que se expone a través de un proveedor de identidad SAML. ¿Qué combinación de las siguientes acciones debe realizar el ingeniero para permitir que los usuarios se autentiquen en la aplicación web y llamen a las API? (Elija tres.)
A. Cree un servicio de autorización personalizado utilizando IAM LambdA
B. Configurar un proveedor de identidad SAML en Amazon Cognito para asignar atributos a los atributos del grupo de usuarios de Amazon Cognito
C. Configure el proveedor de identidades SAML para añadir el grupo de usuarios de Amazon Cognito como parte de confianzA
D. Configurar un grupo de identidades de Amazon Cognito para integrarlo con proveedores de inicio de sesión social
E. Actualizar DynamoDB para almacenar las direcciones de correo electrónico y las contraseñas de los usuarios
F. Actualizar API Gateway para utilizar un autorizador COGNITO_USER_POOLS
Ver respuesta
Respuesta correcta: A
Cuestionar #28
Un administrador de seguridad está restringiendo las capacidades de las cuentas de usuario raíz de la empresa. La empresa utiliza IAM Organizations y lo ha habilitado para todos los conjuntos de funciones, incluida la facturación consolidada. La cuenta de nivel superior se utiliza para fines administrativos y de facturación, no para fines operativos de recursos de IAM. ¿Cómo puede el administrador restringir el uso de las cuentas de usuario raíz de los miembros en toda la organización?
A. Deshabilitar el uso de la cuenta de usuario root en el roo organizativo
B. Habilitar la autenticación multifactor de la cuenta de usuario raíz para cada cuenta de miembro de la organización
C. Configure las políticas de usuario de IAM para restringir las capacidades de la cuenta raíz para cada cuenta de miembro de Organizaciones
D. Cree una unidad organizacional (OU) en Organizations con una politica de control de servicio que controle el uso de la raiz de uso
E. Añada todas las cuentas operativas a la nueva OU
F. Configure IAM CloudTrail para que se integre con Amazon CloudWatch Logs y, a continuación, cree un filtro métrico para RootAccountUsage
Ver respuesta
Respuesta correcta: DEF
Cuestionar #29
Una empresa utiliza infraestructura como código (IaC) para crear infraestructura de AWS. La empresa escribe el código como plantillas de AWS CloudFormation para implementar la infraestructura. La empresa dispone de una canalización de CI/CD que puede utilizar para implementar estas plantillas. Tras una auditoría de seguridad reciente, la empresa decide adoptar un enfoque de política como código para mejorar la postura de seguridad de la empresa en AWS. La empresa debe evitar la implementación de cualquier infraestructura que infrinja una política de seguridad, como una política de seguridad no crítica
A. ctive AWS Trusted Advisor
B. ctivar AWS Config
C. rear conjuntos de reglas en AWS CloudFormation Guard
D. rear conjuntos de reglas como SCPs
Ver respuesta
Respuesta correcta: C
Cuestionar #30
Un desarrollador está creando una aplicación sin servidor que utiliza Amazon API Gateway como front-end. La aplicación no será accesible públicamente. Otras aplicaciones heredadas que se ejecutan en Amazon EC2 realizarán llamadas a la aplicación Se ha pedido a un ingeniero de seguridad que revise los controles de seguridad para la autenticación y autorización de la aplicación ¿Qué combinación de acciones proporcionaría la solución MÁS segura? (Seleccione DOS )
A. Configurar una política de IAM que permita las acciones menos permisivas para comunicarse con el API Gateway Adjuntar la política al rol utilizado por las instancias EC2 heredadas
B. Habilitar IAM WAF para API Gateway Configurar reglas para permitir explícitamente conexiones desde las instancias EC2 heredadas
C. Crear un punto final de VPC para API Gateway Adjuntar una política de recursos de IAM que permita que la función de las instancias EC2 heredadas llame a API específicas
D. Crear un plan de uso Generar un conjunto de claves API para cada aplicación que necesite llamar a la API
E. Configurar la compartición de recursos entre orígenes (CORS) en cada API Compartir la información CORS con las aplicaciones que llaman a la API
Ver respuesta
Respuesta correcta: AE
Cuestionar #31
Una empresa aloja su sitio web público en instancias de Amazon EC2 detrás de un Application Load Balancer (ALB). Las instancias están en un grupo EC2 Auto Scaling a través de múltiples Zonas de Disponibilidad. Un ingeniero de seguridad necesita mitigar el ataque sin afectar la disponibilidad del sitio web público. ¿Qué debería hacer el ingeniero de seguridad para lograr esto?
A. Configure una regla ACL web para IAM WAF para bloquear solicitudes con una condición de coincidencia de cadena para el agente de usuario del dispositivo loT
B. Asociar la ACL v/eb con el ALB
C. Configurar una distribución de Amazon CloudFront para que utilice el ALB como origi
D. Configure una regla ACL web para IAM WAF para bloquear peticiones con una condicion de coincidencia de cadena para el agente de usuario del dispositivo loT
E. Asocie la ACL web con el ALB Cambie la entrada DNS pública del sitio web para que apunte a la distribución de CloudFront
F. Configure una distribución de Amazon CloudFront para utilizar un nuevo ALB como origen G
Ver respuesta
Respuesta correcta: B
Cuestionar #32
El centro de datos local de una empresa reenvía los registros DNS a una solución de gestión de incidentes de seguridad (SIEM) de terceros que alerta sobre comportamientos sospechosos. La empresa quiere introducir una capacidad similar en sus cuentas IAM que incluya la corrección automática. La empresa espera duplicar su tamaño en los próximos meses. ¿Qué solución cumple los requisitos de registro actuales y futuros de la empresa?
A. Habilite Amazon GuardDuty y el concentrador de seguridad de IAM en todas las regiones y todas las cuentas
B. Designar una cuenta de seguridad principal para recibir todas las alertas de la cuenta secundaria
C. Configure reglas específicas en Amazon Even;Bridge para activar una función IAM Lambda para los pasos de corrección
D. Ingerir todos los logs de IAM CloudTrail, los logs de flujo de VPC y los logs de DNS en un único bucket de Amazon S3 en una cuenta de seguridad designada
E. Utilizar el SIEM local actual para monitorizar los logs y enviar una notificación a un tema de Amazon SNS para alertar al equipo de seguridad de los pasos de corrección
F. Ingest all IAM CloudTrail logs, VPC Flow Logs, and DNS logs into a single Amazon S3 bucket in a designated security accoun G
Ver respuesta
Respuesta correcta: B
Cuestionar #33
Su empresa tiene una instancia EC2 alojada en IAM. Esta instancia EC2 aloja una aplicación. Actualmente esta aplicación está experimentando una serie de problemas. ¿Necesita inspeccionar los paquetes de red para ver qué tipo de error se está produciendo? ¿Cuál de los siguientes pasos puede ayudar a resolver este problema? Por favor, seleccione:
A. Utilice los registros de flujo de la VPC
B. Utilizar una herramienta de supervisión de red proporcionada por un socio de IAM
C. Utilizar otra instancia
D. Configure un puerto en "modo promiscuo" y olfatee el trafico para analizar el paquete
E. Utilizar la métrica Cloudwatch
Ver respuesta
Respuesta correcta: D
Cuestionar #34
Un ingeniero de software está intentando averiguar por qué la conectividad de red a una instancia de Amazon EC2 no parece funcionar correctamente. Su grupo de seguridad permite el tráfico HTTP entrante desde 0.0.0.0/0, y las reglas salientes no se han modificado respecto a las predeterminadas. Una ACL de red personalizada asociada a su subred permite el tráfico HTTP entrante desde 0.0.0.0/0 y no tiene reglas salientes. ¿Qué resolvería el problema de conectividad?
A. Las reglas de salida en el grupo de seguridad no permiten que la respuesta sea enviada al cliente en el rango de puertos efímeros
B. Las reglas de salida en el grupo de seguridad no permiten que la respuesta sea enviada al cliente en el puerto HTTP
C. Debe añadirse una regla de salida a la ACL de red para permitir que la respuesta se envíe al cliente en el intervalo de puertos efímero
D. Una regla de salida debe ser agregada a la ACL de red para permitir que la respuesta sea enviada al cliente en el puerto HTTP
Ver respuesta
Respuesta correcta: C
Cuestionar #35
Una aplicación que se ejecuta en instancias EC2 debe utilizar un nombre de usuario y una contraseña para acceder a una base de datos. El desarrollador ha almacenado esos secretos en el almacén de parámetros SSM con el tipo SecureString utilizando la CMK KMS predeterminada. ¿Qué combinación de pasos de configuración permitirá a la aplicación acceder a los secretos a través de la API? Seleccione 2 respuestas de las siguientes opciones Seleccione:
A. Añada el rol de instancia EC2 como servicio de confianza al rol de servicio SSM
B. Añada permiso para utilizar la clave KMS para descifrar al rol de servicio SSM
C. Añadir permiso para leer el parámetro SSM al rol de instancia EC2
D.
E. Añadir permiso para utilizar la clave KMS para descifrar al rol de instancia EC2
F. Añada el rol de servicio SSM como servicio de confianza al rol de instancia EC2
Ver respuesta
Respuesta correcta: B
Cuestionar #36
Una organización tiene tres aplicaciones que se ejecutan en IAM, cada una de las cuales accede a los mismos datos en Amazon S3. Los datos de Amazon S3 están cifrados en el servidor mediante una clave maestra de cliente (CMK) de KMS de IAM. ¿Cuál es el método recomendado para garantizar que cada aplicación tenga sus propios permisos de control de acceso programático en la CMK de KMS?
A. Cambie los permisos de política de claves asociados a la CMK de KMS para cada aplicación cuando deba acceder a los datos de Amazon S3
B. Haga que cada aplicación asuma un rol IAM que proporcione permisos para utilizar la CMK del Administrador de Certificados IAM
C. Haga que cada aplicación utilice una concesión en el CMK de KMS para añadir o eliminar controles de acceso específicos en el CMK de KMS
D. Haga que cada aplicación utilice una política IAM en un contexto de usuario para tener permisos de acceso específicos en la CMK de KMS
Ver respuesta
Respuesta correcta: AD
Cuestionar #37
Una organización recibe una alerta que indica que una instancia EC2 detrás de un ELB Classic Load Balancer ha sido comprometida. Qué técnicas limitarán el movimiento lateral y permitirán la recopilación de pruebas?
A. Retire la instancia del equilibrador de carga y termínelA
B. Retire la instancia del equilibrador de carga y cierre el acceso a la instancia reforzando el grupo de seguridad
C. Reinicie la instancia y compruebe si hay alarmas de Amazon CloudWatch
D. Detenga la instancia y haga un snapshot del volumen EBS raiz
Ver respuesta
Respuesta correcta: B
Cuestionar #38
Una empresa tiene un bucket cifrado de Amazon S3. Un desarrollador de aplicaciones tiene una política de IAM que permite el acceso al bucket de S3, pero el desarrollador de aplicaciones no puede acceder a los objetos del bucket. ¿Cuál es la posible causa del problema?
A. La ACL de S3 para el bucket de S3 no concede explícitamente acceso al desarrollador de aplicaciones
B. La clave KMS de IAM para el bucket S3 no incluye al desarrollador de aplicaciones como administrador
C. La política del bucket S3 no concede explícitamente acceso al desarrollador de aplicaciones
D. La politica del bucket S3 explicitamente niega acceso al Desarrollador de Aplicaciones
Ver respuesta
Respuesta correcta: D
Cuestionar #39
Una empresa planea trasladar la mayor parte de su infraestructura de TI a IAM. Quieren aprovechar su Active Directory local existente como proveedor de identidad para IAM. ¿Qué combinación de pasos debería seguir un ingeniero de seguridad para federar el Active Directory local de la empresa con IAM? (Elija dos.)
A. Crear roles IAM con permisos correspondientes a cada grupo de Active Directory
B. Crear grupos IAM con los permisos correspondientes a cada grupo de Active Directory
C. Configurar Amazon Cloud Directory para que admita un proveedor SAML
D. Configure Active Directory para agregar confianza de parte confiable entre Active Directory e IAM
E. Configurar Amazon Cognito para añadir confianza de parte fiduciaria entre Active Directory e IAM
Ver respuesta
Respuesta correcta: ABF
Cuestionar #40
Durante una reciente investigación interna, se descubrió que todos los registros de API estaban desactivados en una cuenta de producción, y que el usuario raíz había creado nuevas claves de API que, al parecer, se habían utilizado varias veces. Qué se podría haber hecho para detectar y remediar automáticamente el incidente?
A. Utilizando Amazon Inspector, revise todas las llamadas API y configure el agente inspector para aprovechar los temas SNS para notificar a seguridad el cambio en IAM CloudTrail, y revoque las nuevas claves API para el usuario raíz
B. Usando IAM Config, crea una regla de configuración que detecte cuando IAM CloudTrail está deshabilitado, así como cualquier llamada al usuario root create-api-ke
C. A continuación, utilice una función Lambda para volver a habilitar los registros de CloudTrail y desactivar las claves API raíz
D. Mediante Amazon CloudWatch, crear un evento de CloudWatch que detecte la desactivación de IAM CloudTrail y una comprobación independiente de Amazon Trusted Advisor para detectar automáticamente la creación de la clave API raíz
E. A continuación, utilice una función Lambda para habilitar IAM CloudTrail y desactivar las claves API raíz
F. Mediante Amazon CloudTrail, cree un nuevo evento de CloudTrail que detecte la desactivación de los registros de CloudTrail y otro evento de CloudTrail que detecte la creación de la clave de API raíz G
Ver respuesta
Respuesta correcta: A
Cuestionar #41
¿Qué opción para el uso del Servicio de Gestión de Claves (KMS) de IAM es compatible con las mejores prácticas de gestión de claves que se centran en minimizar el alcance potencial de los datos expuestos por un posible compromiso futuro de las claves?
A. Utilice la rotación automática de claves de KMS para sustituir la clave maestra y utilice esta nueva clave maestra para futuras operaciones de cifrado sin volver a cifrar los datos cifrados anteriormente
B. Generar una nueva Clave Maestra de Cliente (CMK), volver a cifrar todos los datos existentes con la nueva CMK y utilizarla para todas las operaciones de cifrado futuras
C. Cambie el alias CMK cada 90 días y actualice las aplicaciones de llamada de clave con el nuevo alias de clave
D. Cambie los permisos CMK para asegurar que los individuos que pueden proveer claves no son los mismos individuos que pueden usar las claves
Ver respuesta
Respuesta correcta: BE
Cuestionar #42
Un ingeniero de seguridad está auditando un sistema de producción y descubre varios roles IAM adicionales que no son requeridos y que no fueron documentados previamente durante la última auditoría hace 90 días. El ingeniero está tratando de averiguar quién creó estos roles IAM y cuándo fueron creados. La solución debe tener la menor sobrecarga operativa. ¿Qué solución cumplirá este requisito?
A. Importe los logs de IAM CloudTrail de Amazon S3 a un clúster de Amazon Elasticsearch Service y busque eventos de CreateRole en los logs combinados
B. Crear una tabla en Amazon Athena para el evento IAM CloudTrail
C. Consulta la tabla en Amazon Athena para los eventos CreateRole
D. Utilice IAM Config para buscar la línea de tiempo de configuración para los roles de IAM adicionales y ver el evento de IAM CloudTrail vinculado
E. Descargue el informe de credenciales de la consola de IAM para ver los detalles de cada entidad de IAM, incluidas las fechas de creación
Ver respuesta
Respuesta correcta: A
Cuestionar #43
Una empresa tiene varias cargas de trabajo que se ejecutan en IAM. Los empleados deben autenticarse mediante ADFS local y SSO para acceder a la consola de administración de IAM. Los desarrolladores migraron una aplicación web heredada existente a una instancia de Amazon EC2. Los empleados necesitan acceder a esta aplicación desde cualquier lugar de Internet, pero actualmente no hay ningún sistema de autenticación integrado en la aplicación. ¿Cómo debería el ingeniero de seguridad implementar el acceso exclusivo para empleados a este sistema sin cambiar la aplicación?
A. Coloque la aplicación detrás de un Application Load Balancer (ALB)
B. Defina un grupo de usuarios de Amazon Cognito basado en SAML y conéctelo a ADFS
C. Implantar IAM SSO en la cuenta maestra y vincularla a ADFS como proveedor de identidades
D. Defina la instancia EC2 como un recurso administrado, luego aplique una política IAM en el recurso
E. Defina un grupo de identidades de Amazon Cognito e instale el conector en el servicio de Active Directory
F. Utilice el SDK de Amazon Cognito en la instancia de la aplicación para autenticar a los empleados mediante sus nombres de usuario y contraseñas de Active Directory
Ver respuesta
Respuesta correcta: D
Cuestionar #44
Mientras protegía la conexión entre la VPC de una empresa y su centro de datos local, un ingeniero de seguridad envió un comando ping desde un host local (dirección IP 203.0.113.12) a una instancia de Amazon EC2 (dirección IP 172.31.16.139). El comando ping no devolvió ninguna respuesta. El registro de flujo en la VPC mostró lo siguiente: 2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK 2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 0 1 4 336 1432917094 1432917142 RE
A. En el grupo de seguridad de la instancia EC2, permita el tráfico ICMP entrante
B. En el grupo de seguridad de la instancia EC2, permita el tráfico ICMP saliente
C. En la NACL de la VPC, permita el tráfico ICMP entrante
D. En el NACL de la VPC, permita trafico ICMP saliente
Ver respuesta
Respuesta correcta: B
Cuestionar #45
Una organización desea implementar una aplicación web de tres niveles en la que los servidores de aplicaciones se ejecutan en instancias de Amazon EC2. Estas instancias EC2 necesitan acceso a las credenciales que utilizarán para autenticar sus conexiones SQL a una instancia de base de datos de Amazon RDS. Además, las funciones IAM Lambda deben emitir consultas a la base de datos RDS utilizando las mismas credenciales de base de datos. Las credenciales deben almacenarse de forma que las instancias EC2 y las funciones Lambda puedan acceder a ellas. No se permite ningún otro acceso. Los registros de acceso deben re
A. Almacene las credenciales de la base de datos en IAM Key Management Service (IAM KMS)
B. Añadir el rol a un perfil de instancia EC2
C. Adjuntar el perfil de instancia a la instancia EC2
D. Configurar Lambda para utilizar el nuevo rol para la ejecución
E. Almacenar las credenciales de la base de datos en IAM KM
F. G
Ver respuesta
Respuesta correcta: ABF
Cuestionar #46
La herramienta de administración de eventos de información de seguridad (SIEM) de una empresa recibe nuevos logs de IAM CloudTrail de un bucket de Amazon S3 que está configurado para enviar notificaciones de eventos de todos los objetos creados a un tema de Amazon SNS Se suscribe una cola de Amazon SQS a este tema de SNS. A continuación, la herramienta SEM de la empresa busca en esta cola SQS nuevos mensajes mediante una función de IAM y obtiene nuevos eventos de registro del bucket de S3 basándose en los mensajes SQS. Después de una reciente revisión de seguridad que dio como resultado permisos restringidos, la herramienta SEM ha dejado de funcionar
A. La cola SOS no permite la acción SQS SendMessage desde el tema SNS
B. El tema SNS no permite la acción SNS Publish desde Amazon S3
C. El tema SNS no está entregando mensajes sin procesar a la cola SQS
D. La política del bucket de S3 no permite que CloudTrail realice la acción PutObject
E. El rol IAM utilizado por la herramienta 5EM no tiene permiso para suscribirse al tema SNS
F. El rol IAM utilizado por la herramienta SEM no permite la acción SQS DeleteMessage
Ver respuesta
Respuesta correcta: BDF
Cuestionar #47
Trabajas en el sector de los medios de comunicación y has creado una aplicación web en la que los usuarios podrán subir las fotos que creen a tu sitio web. Esta aplicación web debe poder llamar a la API de S3 para poder funcionar. ¿Dónde debería almacenar las credenciales de la API manteniendo el máximo nivel de seguridad? Por favor, seleccione:
A. Guarde las credenciales de la API en sus archivos PHP
B. No guarde sus credenciales de API, en su lugar cree un rol en IAM y asigne este rol a una instancia EC2 cuando la cree por primera vez
C. Guarda tus credenciales de la API en un repositorio público de Github
D. Pasar credenciales API a la instancia usando userdata de instanciA
Ver respuesta
Respuesta correcta: ACE
Cuestionar #48
El ingeniero de seguridad de un juego para móviles tiene que implementar un método para autenticar a los usuarios para que puedan guardar su progreso. Dado que la mayoría de los usuarios forman parte del mismo sitio web de redes sociales compatible con OpenID-Connect, el ingeniero de seguridad desea utilizarlo como proveedor de identidad. ¿Qué solución es la más sencilla para permitir la autenticación de los usuarios utilizando sus identidades de medios sociales?
A. Amazon Cognito
B. API AssumeRoleWithWebIdentity
C. Directorio de Amazon Cloud
D. Conector Active Directory (AD)
Ver respuesta
Respuesta correcta: DEF
Cuestionar #49
Una empresa tiene varias llaves maestras de clientes (CMK), algunas de las cuales tienen material de llave importado. Cada CMK debe rotarse anualmente. ¿Qué dos métodos puede utilizar el equipo de seguridad para rotar cada llave? Seleccione 2 respuestas de las opciones que se ofrecen a continuación:
A. Activar la rotación automática de claves para una CMK
B. Importar nuevo material clave a una CMK existente
C. Utilice la CLI o la consola para girar explícitamente una CMK existente
D. Importar nuevo material clave a una nueva CMK; apuntar el alias clave a la nueva CMK
E. Borre una CMK existente y se creará una nueva CMK por defecto
Ver respuesta
Respuesta correcta: B

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.