¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Preguntas del examen AWS SCS-C02 para una preparación eficaz | AWS Certified Security - Specialty

Las preguntas del examen AWS SCS-C02 de SPOTO te proporcionan una amplia colección de preguntas de prueba que simulan con precisión el entorno del examen real, lo que te permite familiarizarte con el formato del examen y los tipos de preguntas. Estos materiales del estudio son diseñados experto por los profesionales de la industria, asegurando su importancia y exactitud. Además, SPOTO ofrece los exámenes simulados que imitan de cerca el examen real de la certificación, permitiendo que usted calibre su preparación e identifique las áreas que requieren la atención adicional. Al aprovechar estos recursos de examen, puede prepararse eficazmente y aumentar sus posibilidades de aprobar el examen AWS Certified Security - Specialty con éxito en su primer intento, validando su experiencia en la creación e implementación de soluciones seguras en la nube de AWS.
Realizar otros exámenes en línea
Cuestionar #1
Un equipo de desarrollo está intentando encriptar y decodificar un parámetro de cadena seguro desde el Almacén de Parámetros del Administrador de Sistemas IAM utilizando una CMK del Servicio de Administración de Claves IAM (IAM KMS). Sin embargo, cada intento resulta en un mensaje de error enviado al equipo de desarrollo. ¿Qué problemas relacionados con CMK posiblemente explican el error? (Seleccione dos.)
A. in embargo, la empresa no quiere permitir que los usuarios de las otras cuentas accedan a otros archivos de la misma carpetA
B. Aplicar una política de usuario en las otras cuentas para permitir que IAM Glue y Athena accedan al archivo
C. se S3 Select para restringir el acceso a la mentira
D. Defina una política de recursos de catálogo de datos de IAM Glue en IAM Glue para conceder acceso a objetos S3 entre cuentas al archivo
E. onceder a IAM Glue acceso a Amazon S3 en una política basada en recursos que especifique la organización como principal
Ver respuesta
Respuesta correcta: AD
Cuestionar #2
Una empresa necesita cifrar todos sus datos almacenados en Amazon S3. La empresa desea utilizar IAM Key Management Service (IAM KMS) para crear y administrar sus claves de cifrado. Las políticas de seguridad de la empresa requieren la capacidad de Importar el material de claves propio de la empresa para las claves, establecer una fecha de caducidad para las claves y eliminarlas inmediatamente, si es necesario
A. onfigurar IAM KMS y utilizar un almacén de claves personalizado
B. onfigurar IAM KMS y utilizar el almacén de claves por defecto Crear una CMK gestionada por IAM sin material de claves Importar el material de claves de la empresa a la CMK
C. onfigurar IAM KMS y utilizar el almacén de claves por defecto Crear una CMK gestionada por el cliente sin material de claves Importar el material de claves de la empresa a la CMK
D. onfigurar IAM KMS y utilizar un almacén de claves personalizado
Ver respuesta
Respuesta correcta: A
Cuestionar #3
Una empresa necesita un ingeniero de seguridad para implantar una solución escalable de autenticación y autorización multicuenta. La solución no debe introducir componentes arquitectónicos adicionales gestionados por el usuario. El ingeniero de seguridad ha configurado Organizaciones IAM con todas las funciones activadas y IAM SSO habilitado. ¿Qué pasos adicionales debe seguir el ingeniero de seguridad para completar la tarea?
A. tiliza AD Connector para crear usuarios y grupos para todos los empleados que requieran acceso a cuentas IAM
B. tilizar un directorio por defecto IAM SSO para crear usuarios y grupos para todos los empleados que requieren acceso a cuentas IAM
C. tilizar un directorio por defecto IAM SSO para crear usuarios y grupos para todos los empleados que requieran acceso a cuentas IAM
D. tilizar IAM Directory Service en Microsoft Active Directory para crear usuarios y grupos para todos los empleados que requieran acceso a cuentas IAM Habilitar el acceso a IAM Management Console en el directorio creado y especificar IAM SSO como fuente de información para cuentas integradas y conjuntos de permisos
Ver respuesta
Respuesta correcta: B
Cuestionar #4
Una empresa tiene previsto utilizar Amazon Elastic File System (Amazon EFS) con sus servidores locales. La empresa dispone de una conexión IAM Direct Connect establecida entre su centro de datos local y una región de IAM. La política de seguridad establece que el firewall local de la empresa solo debe tener direcciones IP específicas añadidas a la lista de permitidas y no un rango CIDR. La empresa también desea restringir el acceso para que solo determinados servidores basados en el centro de datos tengan acceso a Amazon EF
A. ñada la URL file-system-id efs IAM-region amazonIAM com a la lista de permitidos del cortafuegos del centro de datos Instale la CLI de IAM en los servidores basados en el centro de datos para montar el sistema de archivos EFS en el grupo de seguridad EFS añada el rango IP del centro de datos a la lista de permitidos Monte el EFS utilizando el nombre del sistema de archivos EFS
B. signe una dirección IP elástica a Amazon EFS y añada la dirección IP elástica a la lista de permitidos del firewall del centro de datos Instale la CLI de IAM en los servidores basados en el centro de datos para montar el sistema de archivos EFS En el grupo de seguridad EFS, añada las direcciones IP de los servidores del centro de datos a la lista de permitidos Monte el EFS utilizando la dirección IP elásticA
C. ñada las direcciones IP de destino de montaje del sistema de archivos EFS a la lista de permitidos del cortafuegos del centro de datos En el grupo de seguridad EFS, añada las direcciones IP del servidor del centro de datos a la lista de permitidos Utilice el terminal Linux para montar el sistema de archivos EFS utilizando la dirección IP de uno de los destinos de montaje
D. signe un rango estático de direcciones IP para el sistema de archivos EFS contactando con el soporte de IAM En el grupo de seguridad EFS añada las direcciones IP del servidor del centro de datos a la lista de permitidos Utilice el terminal Linux para montar el sistema de archivos EFS utilizando una de las direcciones IP estáticas
Ver respuesta
Respuesta correcta: B
Cuestionar #5
Una empresa está creando una aplicación de procesamiento de datos que utiliza funciones de AWS Lambda Las funciones de Lambda de la aplicación necesitan comunicarse con una instancia de Amazon RDS OB que está implementada dentro de una VPC en la misma cuenta de AWS.Qué solución cumple estos requisitos de la manera MÁS segura?
A. onfigurar la instancia de base de datos para permitir el acceso público Actualizar el grupo de seguridad de la instancia de base de datos para permitir el acceso desde el espacio de direcciones público de Lambda para la región de AWS
B. mplementar las funciones de Lambda dentro de la VPC Adjuntar una ACL de red a la subred de Lambda Proporcionar acceso de reglas salientes únicamente al intervalo CIDR de la VPC Actualizar el grupo de seguridad de la instancia de base de datos para permitir el tráfico de 0 0 0
C. esplegar las funciones de Lambda dentro de la VPC Adjuntar un grupo de seguridad a las funciones de Lambda Proporcionar acceso de reglas salientes solo al rango CIDR de la VPC Actualizar el grupo de seguridad de la instancia de DB para permitir el tráfico del grupo de seguridad de LambdA
D. Emparejar la VPC predeterminada de Lambda con la VPC que aloja la instancia de base de datos para permitir el acceso directo a la red sin necesidad de grupos de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #6
Tienes un bucket S3 definido en IAM. Desea asegurarse de que cifra los datos antes de enviarlos por cable.
A. abilitar el cifrado del lado del servidor para el cubo de S3
B. Utilice la CLI de cifrado de IAM para cifrar los datos en primer lugar
C. tilizar una función Lambda para cifrar los datos antes de enviarlos al bucket de S3
D. Habilitar el cifrado de cliente para el cubo
Ver respuesta
Respuesta correcta: B
Cuestionar #7
Una corporación se está preparando para adquirir varias compañías. Un ingeniero de seguridad debe diseñar una solución para garantizar que las cuentas de IAM recién adquiridas sigan las prácticas recomendadas de seguridad de la empresa. La solución debe supervisar cada bucket de Amazon S3 para evitar el acceso de escritura público sin restricciones y utilizar los servicios administrados de IAM
A. onfigurar Amazon Macie para que compruebe continuamente la configuración de todos los buckets S3
B. abilitar IAM Config para comprobar la configuración de cada bucket S3
C. onfigurar IAM Systems Manager para supervisar las políticas de bucket S3 para el acceso de escritura públicA
D. onfigurar una instancia de Amazon EC2 para que tenga un rol IAM y una tarea cron que compruebe el estado de todos los buckets S3
Ver respuesta
Respuesta correcta: C
Cuestionar #8
Una empresa almacena imágenes para un sitio web en un bucket de Amazon S3. La empresa utiliza Amazon CloudFront para servir las imágenes a los usuarios finales. La empresa ha descubierto recientemente que se está accediendo a las imágenes desde países en los que la empresa no tiene licencia de distribución. ¿Qué medidas debe tomar la empresa para proteger las imágenes y limitar su distribución? (Seleccione DOS.)
A. Analizar un informe de uso de IAM Identity and Access Management (IAM) de IAM Trusted Advisor para ver cuándo se utilizó la clave de acceso por última vez
B. nalizar los registros de Amazon CloudWatch en busca de actividad mediante la búsqueda de la clave de acceso
C. nalizar los registros de flujo de la VPC en busca de actividad mediante la búsqueda de la clave de acceso
D. nalizar un informe de credenciales en IAM Identity and Access Management (IAM) para ver cuándo se utilizó por última vez la clave de acceso
Ver respuesta
Respuesta correcta: AC
Cuestionar #9
El equipo de aplicaciones de una empresa necesita alojar una base de datos MySQL en IAM. Según la política de seguridad de la empresa, todos los datos almacenados en IAM deben estar cifrados en reposo. Además, todo el material criptográfico debe cumplir con la validación FIPS 140-2 Nivel 3. El equipo de aplicaciones necesita una solución que satisfaga los requisitos de seguridad de la empresa y minimice la sobrecarga operativa
A. loje la base de datos en Amazon RDS
B. Alojar la base de datos en Amazon RDS
C. lojar la base de datos en una instancia de Amazon EC2
D. Alojar la base de datos en una instancia de Amazon EC2
Ver respuesta
Respuesta correcta: B
Cuestionar #10
El Equipo de Seguridad de una empresa recibió una notificación por correo electrónico del equipo de Abuso de Amazon EC2 de que una o más de las instancias de Amazon EC2 de la empresa pueden haber sido comprometidas.¿Qué combinación de acciones debe tomar el equipo de Seguridad para responder a (ser módem actual? (Seleccione DOS.)
A. tilizar la monitorización de Amazon CloudWatch para capturar métricas de Amazon EC2 y de red Visualizar las métricas mediante paneles de control de Amazon CloudWatch
B. jecute el agente de Amazon Kinesis para escribir los datos de estado en Amazon Kinesis Data Firehose Almacene los datos de streaming de Kinesis Data Firehose en Amazon Redshift
C. scribir los datos de estado directamente en un bucket público de Amazon S3 desde el componente de comprobación de estado Configurar eventos de S3 para invocar una función de IAM Lambda que analice los datos
D. Generar eventos desde el componente de comprobación de estado y enviarlos a Amazon CloudWatch Events
Ver respuesta
Respuesta correcta: DE
Cuestionar #11
Una auditoría determinó que el grupo de seguridad de una instancia de Amazon EC2 de una compañía violó la política de la compañía al permitir tráfico SSH entrante sin restricciones. Un ingeniero de seguridad debe implementar una solución de monitorización y alerta casi en tiempo real que notifique a los administradores dichas infracciones
A. ree una ejecución de evaluación recurrente de Amazon Inspector que se ejecute todos los días y utilice el paquete Network Reachability
B. tilizar la regla gestionada restricted-ssh IAM Config que se invoca por cambios de configuración del grupo de seguridad que no son conformes
C. onfigure VPC Flow Logs para el VP y especifique un grupo de Amazon CloudWatch Logs
D. ree una ejecución de evaluación recurrente de Amazon Inspector que se ejecute todos los días y utilice el paquete Security Best Practices
Ver respuesta
Respuesta correcta: B
Cuestionar #12
Una empresa aloja un sitio web estático en Amazon S3 La empresa ha configurado una distribución de Amazon CloudFront para servir el contenido del sitio web La empresa ha asociado una ACL web de IAM WAF con la distribución de CloudFront. La ACL web garantiza que las solicitudes se originan en los Estados Unidos para abordar las restricciones de cumplimiento normativo.A la empresa le preocupa que la URL de S3 pueda seguir siendo accesible directamente y que las solicitudes puedan eludir la distribución de CloudFront.Qué combinación de pasos debe seguir la empresa para rem
A. abilitar Amazon Macie para que Secunty H jb permita a Detective procesar los hallazgos de Macie
B. esactivar el cifrado IAM Key Management Service (IAM KMS) en los registros de CtoudTrail en cada cuenta de miembro de la organización
C. abilitar Amazon GuardDuty en todas las cuentas de miembros Intente habilitar Detective en 48 horas
D. Asegúrese de que la entidad de seguridad que ejecuta Detective tiene el permiso ListAccounts de la organización
Ver respuesta
Respuesta correcta: AD
Cuestionar #13
Una empresa está creando una aplicación de procesamiento de datos que utiliza funciones de AWS Lambda Las funciones de Lambda de la aplicación necesitan comunicarse con una instancia de Amazon RDS OB que está implementada dentro de una VPC en la misma cuenta de AWS.Qué solución cumple estos requisitos de la manera MÁS segura?
A. onfigurar la instancia de base de datos para permitir el acceso público Actualizar el grupo de seguridad de la instancia de base de datos para permitir el acceso desde el espacio de direcciones público de Lambda para la región de AWS
B. mplementar las funciones de Lambda dentro de la VPC Adjuntar una ACL de red a la subred de Lambda Proporcionar acceso de reglas salientes únicamente al intervalo CIDR de la VPC Actualizar el grupo de seguridad de la instancia de base de datos para permitir el tráfico de 0 0 0
C. esplegar las funciones de Lambda dentro de la VPC Adjuntar un grupo de seguridad a las funciones de Lambda Proporcionar acceso de reglas salientes solo al rango CIDR de la VPC Actualizar el grupo de seguridad de la instancia de DB para permitir el tráfico del grupo de seguridad de LambdA
D. Emparejar la VPC predeterminada de Lambda con la VPC que aloja la instancia de base de datos para permitir el acceso directo a la red sin necesidad de grupos de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #14
Una empresa utiliza un proveedor de identidades externo para permitir la federación en diferentes cuentas IAM. Un ingeniero de seguridad de la empresa necesita identificar al usuario federado que dio de baja una instancia de Amazon EC2 de producción hace una semana
A. evise los registros del historial de eventos de IAM CloudTrail en un bucket de Amazon S3 y busque el evento Terminatelnstances para identificar al usuario federado a partir del nombre de sesión del rol
B. iltre el historial de eventos de IAM CloudTrail para el evento Terminatelnstances e identifique el rol de IAM asumido
C. usque en los registros de IAM CloudTrail el evento Terminatelnstances y anote la hora del evento
D. Utilice Amazon Athena para ejecutar una consulta SQL en los logs de IAM CloudTrail almacenados en un bucket de Amazon S3 y filtre el evento Terminatelnstances
Ver respuesta
Respuesta correcta: B
Cuestionar #15
Una empresa ha desplegado Amazon GuardDuty en la región us-east-1. La empresa desea que se inspeccionen todos los logs de DNS relacionados con las instancias de Amazon EC2 de la empresa. La empresa desea que se inspeccionen todos los logs de DNS relacionados con las instancias de Amazon EC2 de la empresa
A. tilizar direcciones IPv6 configuradas para nombres de host
B. Configurar los resolvedores DNS externos como resolvedores internos visibles sólo para IAM
C. tilizar resolvedores DNS IAM para todas las instancias EC2
D. Configurar un resolver DNS de terceros con registro para todas las instancias EC2
Ver respuesta
Respuesta correcta: C
Cuestionar #16
Una empresa utiliza una clave propiedad de AWS Key Management Service (AWS KMS) en su aplicación para cifrar archivos en una cuenta de AWS El equipo de seguridad de la empresa desea tener la capacidad de cambiar a un nuevo material de clave para nuevos archivos siempre que se produzca una posible violación de la clave Un ingeniero de seguridad debe implementar una solución que ofrezca al equipo de seguridad la capacidad de cambiar la clave siempre que el equipo lo desee.¿Qué solución cumplirá estos requisitos?
A. rear una nueva clave gestionada por el cliente Añadir un programa de rotación de claves a la clave Invocar el programa de rotación de claves cada vez que el equipo de seguridad solicite un cambio de clave
B. rear una nueva clave administrada por AWS Añadir un programa de rotación de claves a la clave Invocar el programa de rotación de claves cada vez que el equipo de seguridad solicite un cambio de clave
C. rear un alias de clave Crear una nueva clave gestionada por el cliente cada vez que el equipo de seguridad solicite un cambio de clave Asociar el alias con la nueva clave
D. rear un alias de clave Crear una nueva clave administrada por AWS cada vez que el equipo de seguridad solicite un cambio de clave Asociar el alias con la nueva clave
Ver respuesta
Respuesta correcta: A
Cuestionar #17
Una empresa ha implementado IAM WAF y Amazon CloudFront para una aplicación. La aplicación se ejecuta en instancias de Amazon EC2 que forman parte de un grupo de Auto Scaling. El grupo de Auto Scaling está detrás de un Application Load Balancer (ALB). La ACL web de IAM WAF utiliza un grupo de reglas de IAM Managed Rules y está asociada con la distribución de CloudFront. CloudFront recibe la solicitud de IAM WAF y, a continuación, utiliza el ALB como origen de la distribución
A. onfigure la distribución de CloudFront para utilizar la función Lambda@Edge
B. onfigurar la ACL web de IAM WAF para que la ACL web tenga más unidades de capacidad para procesar todas las reglas de IAM WAF más rápidamente
C. onfigurar IAM WAF con una regla basada en la velocidad que impone un límite de velocidad que bloquea automáticamente las solicitudes cuando se supera el límite de velocidad
D. onfigure la distribución de CloudFront para utilizar IAM WAF como origen en lugar del ALB
Ver respuesta
Respuesta correcta: C
Cuestionar #18
Una empresa ha desarrollado una nueva aplicación de base de datos de Amazon RDS. La empresa debe proteger las credenciales de la base de datos ROS para el cifrado en tránsito y el cifrado en reposo. La empresa también debe rotar las credenciales automáticamente de forma periódica
A. tilice el Almacén de Parámetros del Administrador de Sistemas IAM para almacenar las credenciales de la base de datos
B. tilizar IAM Secrets Manager para almacenar las credenciales de la base de datos
C. lmacenar las credenciales de la base de datos en un bucket de Amazon S3 configurado con cifrado del lado del servidor con claves de cifrado administradas por S3 (SSE-S3) Rotar las credenciales con autenticación de base de datos de IAM
D. lmacenar las credenciales de la base de datos m Amazon S3 Glacier, y utilizar S3 Glacier Vault Lock Configurar una función IAM Lambda para rotar las credenciales en un basts programado
Ver respuesta
Respuesta correcta: A
Cuestionar #19
El ingeniero de seguridad de una empresa desea recibir una alerta por correo electrónico cada vez que Amazon GuardDuty, AWS Identity and Access Management Access Analyzer o Amazon Made generen un hallazgo de seguridad de alta gravedad. La compañía utiliza AWS Control Tower para controlar todas sus cuentas. La compañía también utiliza AWS Security Hub con todas las integraciones de servicios de AWS activadas. ¿Qué solución cumplirá estos requisitos con la MENOR sobrecarga operativa?
A. onfigure funciones de AWS Lambda independientes para GuardDuty, 1AM Access Analyzer y Macie con el fin de llamar a la API pública de cada servicio para recuperar hallazgos de alta gravedad
B. ree una regla de Amazon EventBridge con un patrón que coincida con los eventos de hallazgos de Security Hub con gravedad altA
C. ree una regla de Amazon EventBridge con un patrón que coincida con los eventos de la torre de control de AWS de gravedad altA
D. Hospedar una aplicación en Amazon EC2 para llamar a las API de GuardDuty, 1AM Access Analyzer y Macie
Ver respuesta
Respuesta correcta: B
Cuestionar #20
Una empresa está creando una aplicación de procesamiento de datos que utiliza funciones de AWS Lambda. Las funciones de Lambda de la aplicación deben comunicarse con una instancia de Amazon RDS OB implementada en una VPC en la misma cuenta de AWS
A. onfigurar la instancia de base de datos para permitir el acceso público Actualizar el grupo de seguridad de la instancia de base de datos para permitir el acceso desde el espacio de direcciones público de Lambda para la región de AWS
B. mplementar las funciones de Lambda dentro de la VPC Adjuntar una ACL de red a la subred de Lambda Proporcionar acceso de reglas salientes únicamente al intervalo CIDR de la VPC Actualizar el grupo de seguridad de la instancia de base de datos para permitir el tráfico de 0
C. esplegar las funciones de Lambda dentro de la VPC Adjuntar un grupo de seguridad a las funciones de Lambda Proporcionar acceso de reglas salientes solo al rango CIDR de la VPC Actualizar el grupo de seguridad de la instancia de DB para permitir el tráfico del grupo de seguridad de LambdA
D. Emparejar la VPC predeterminada de Lambda con la VPC que aloja la instancia de base de datos para permitir el acceso directo a la red sin necesidad de grupos de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #21
Una empresa almacena documentos confidenciales en Amazon S3 mediante el cifrado del lado del servidor con una CMK de IAM Key Management Service (IAM KMS). Un nuevo requisito exige que la CMK que se utiliza para estos documentos solo se pueda utilizar para acciones de S3
A.
B.
Ver respuesta
Respuesta correcta: A
Cuestionar #22
Una empresa ha creado una cuenta IAM para que sus desarrolladores la utilicen con fines de prueba y aprendizaje Dado que la cuenta MM se compartirá entre varios equipos de desarrolladores, la empresa desea restringir la capacidad de detener y finalizar instancias de Amazon EC2 para que un equipo solo pueda realizar estas acciones en las instancias de su propiedad.Los desarrolladores recibieron instrucciones de etiquetar todas sus instancias con una clave de etiqueta de equipo y utilizar el nombre del equipo en el valor de la etiqueta Uno de los primeros equipos en utilizar esta cuenta es el de Inteligencia Empresarial Un en
A. ara cada equipo, cree una política AM similar a la de los compañeros Rellene la clave de condición ec2:ResourceTag/Team con un nombre de equipo adecuado Adjunte las políticas resultantes a los roles IAM correspondientes
B. ara cada equipo cree una política IAM similar a la siguiente Rellene la clave de condición IAM TagKeys/Team con un nombre de equipo apropiado
C. tiquete cada rol IAM con una clave Team lag
D. tiquetar cada rol IAM con la clave Equipo, y utilizar el nombre del equipo en el valor de la etiquetA
Ver respuesta
Respuesta correcta: A
Cuestionar #23
Su empresa está planeando utilizar hosts bastión para administrar los servidores en IAM. ¿Cuál de las siguientes es la mejor descripción de un host bastión desde el punto de vista de la seguridad?
A.
B. n host Bastion se sitúa en el exterior de una red interna y se utiliza como puerta de entrada a la red privada y se considera el punto fuerte crítico de la red
C. os hosts Bastion permiten a los usuarios iniciar sesión utilizando RDP o SSH y utilizar esa sesión para S5H en la red interna para acceder a los recursos de subred privadA
D. El anfitrión de un Bastión debe mantener una seguridad y supervisión extremadamente estrictas, ya que está a disposición del público
Ver respuesta
Respuesta correcta: C
Cuestionar #24
Su empresa tiene un conjunto de Instancias EC2 definidas en IAM. Estas Instancias Ec2 tienen grupos de seguridad estrictos adjuntos. Necesita asegurarse de que los cambios en los grupos de seguridad se anotan y se actúa en consecuencia. ¿Cómo puede conseguirlo?
A. se Cloudwatch logs para monitorizar la actividad en los Grupos de Seguridad
B. tilizar métricas Cloudwatch para monitorizar la actividad en los Grupos de Seguridad
C. tiliza el inspector de IAM para monitorizar la actividad de los Grupos de Seguridad
D. Utilice eventos Cloudwatch para que se activen ante cualquier cambio en los grupos de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #25
Una empresa gestiona varias cuentas de IAM mediante organizaciones de IAM. El equipo de seguridad de la empresa se da cuenta de que algunas cuentas miembro no están enviando registros de IAM CloudTrail a un bucket de registro centralizado de Amazon S3. El equipo de seguridad quiere asegurarse de que hay al menos un rastro configurado (o todas las cuentas existentes y para cualquier cuenta que se cree en el futuro.¿Qué conjunto de acciones debe implementar el equipo de seguridad para lograr esto?
A. ree una nueva ruta y configúrela para que envíe los logs de CloudTrail a Amazon S3
B. mplementar una función IAM Lambda en cada cuenta para comprobar si existe una ruta y crear una nueva, si es necesario
C. ditar la ruta existente en la cuenta maestra Organizaciones y aplicarla a la organización
D. rear un SCP para denegar las acciones cloudtrail:Delete" y cloudtrail:Stop\'
Ver respuesta
Respuesta correcta: C
Cuestionar #26
Una empresa necesita utilizar HTTPS al conectarse a sus aplicaciones web para cumplir los requisitos de conformidad. Estas aplicaciones web se ejecutan en Amazon VPC en instancias de Amazon EC2 detrás de un Application Load Balancer (ALB). Un ingeniero de seguridad desea asegurarse de que el balanceador de carga solo acepte conexiones a través del puerto 443, incluso si el ALB se configura por error con un oyente HTTP
A. Cree un grupo de seguridad con una regla que deniegue las conexiones entrantes desde 0
B. Cree una ACL de red que deniegue las conexiones entrantes desde 0 0
C. ree una ACL de red que permita conexiones salientes al rango IP de la VPC sólo en el puerto 443
D. rear un grupo de seguridad con una sola regla de entrada que permita conexiones desde 0
Ver respuesta
Respuesta correcta: D
Cuestionar #27
Una auditoría de seguridad reciente descubrió que los registros de IAM CloudTrail no están lo suficientemente protegidos contra la manipulación y el acceso no autorizado ¿Qué medidas debe tomar el ingeniero de seguridad para abordar estos hallazgos de auditoría? (Seleccione TRES)
A. Actualice las reglas de IAM WAF en la cuenta afectada y utilice IAM Firewall Manager para transferir las reglas de IAM WAF actualizadas a todas las demás cuentas
B. Utilizar el registro centralizado de GuardDuty y Amazon SNS para configurar alertas que notifiquen a todos los equipos de aplicaciones los incidentes de seguridad
C. tiliza las alertas de GuardDuty para escribir una función IAM Lambda que actualice todas las cuentas añadiendo NACL adicionales en las instancias de Amazon EC2 para bloquear direcciones IP maliciosas conocidas
D. Utilizar IAM Shield Advanced para identificar amenazas en cada cuenta individual y luego aplicar las protecciones basadas en la cuenta a todas las demás cuentas a través de Organizaciones
Ver respuesta
Respuesta correcta: ADE
Cuestionar #28
Un ingeniero de seguridad necesita crear una solución para volver a activar IAM CloudTrail en varias regiones de IAM en caso de que se desactive
A. Utilice IAM Config con una regla gestionada para activar la corrección IAM-EnableCloudTrail
B. ree un evento de Amazon EventBridge (Amazon CloudWatch Events) con un origen de evento cloudtrail
C. ree una alarma de Amazon CloudWatch con un origen de evento cloudtrail
D. Monitorizar IAM Trusted Advisor para asegurar que el registro de CloudTrail está habilitado
Ver respuesta
Respuesta correcta: B
Cuestionar #29
Una empresa planea utilizar AWS Key Management Service (AWS KMS) para implementar una estrategia de cifrado con el fin de proteger los datos en reposo. La compañía requiere cifrado del lado del cliente para los proyectos de la compañía. Actualmente, la compañía está llevando a cabo varios proyectos para probar el uso de AWS KMS por parte de la compañía. Estas pruebas han provocado un aumento repentino del consumo de recursos de AWS de la compañía. Los proyectos de prueba incluyen aplicaciones que emiten varias solicitudes por segundo a los puntos de enlace de KMS para actividades de cifrado
A. tilice llaveros con el SDK de cifrado de AWS
B. tilice el almacenamiento en caché de claves de datos
C. tilice la rotación de claves KMS
D. tilice llaveros con el SDK de AWS Encryption
Ver respuesta
Respuesta correcta: B
Cuestionar #30
Una empresa implementa un conjunto de roles IAM estándar en las cuentas de AWS. Los roles de IAM se basan en funciones laborales dentro de la empresa. Para equilibrar la eficacia operativa y la seguridad, un ingeniero de seguridad implementó SCP de organizaciones de AWS para restringir el acceso a servicios de seguridad críticos en todas las cuentas de la compañía. El ingeniero de seguridad debe asegurarse de que nadie pueda desactivar Amazon GuardDuty y AWS Security Hu
A. Opción
B. pción B
C. pción C
D. Opción D
Ver respuesta
Respuesta correcta: A
Cuestionar #31
Una empresa está utilizando IAM Organizations para desarrollar una estrategia de red segura multicuenta. La empresa planea utilizar cuentas separadas gestionadas centralmente para servicios compartidos, auditoría e inspección de seguridad. La empresa planea proporcionar docenas de cuentas adicionales a los propietarios de aplicaciones para entornos de producción y desarrollo.La política de seguridad de la empresa requiere que todo el tráfico de Internet se enrute a través de una capa de inspección de seguridad gestionada centralmente en la cuenta de inspección de seguridad. Un ingeniero de seguridad
A. ree una política de IAM que prohíba los cambios en la ruta específica de CloudTrail y aplique la política al usuario raíz de la cuenta de IAM
B. ree una política de bucket de S3 en la cuenta de destino especificada para la ruta de CloudTrail que prohíba los cambios de configuración del usuario raíz de la cuenta de IAM en la cuenta de origen
C. ree un SCP que prohíba los cambios en la ruta específica de CloudTrail y aplique el SCP a la unidad organizativa o cuenta apropiada en Organizaciones
D. ree una política de IAM que prohíba los cambios a la ruta específica de CloudTrail y aplique la política a un nuevo grupo de IAM
Ver respuesta
Respuesta correcta: C
Cuestionar #32
La cuenta IAM de una empresa consta de aproximadamente 300 usuarios IAM. Ahora hay un mandato que requiere un cambio de acceso para 100 usuarios IAM para tener privilegios ilimitados a S3.Como administrador del sistema, ¿cómo puede implementar esto de manera efectiva para que no haya necesidad de aplicar la política a nivel de usuario individual?
A. rear un nuevo rol y añadir cada usuario al rol IAM
B. Utilizar los grupos IAM y añadir usuarios, basándose en su rol, a diferentes grupos y aplicar la política al grupo
C. rear una política y aplicarla a múltiples usuarios utilizando un script JSON
D. rear una política de bucket S3 con acceso ilimitado que incluya el ID de cuenta IAM de cada usuario
Ver respuesta
Respuesta correcta: B
Cuestionar #33
Una empresa gestiona varias cuentas de IAM mediante organizaciones de IAM. El equipo de seguridad de la empresa se da cuenta de que algunas cuentas miembro no están enviando registros de IAM CloudTrail a un bucket de registro centralizado de Amazon S3. El equipo de seguridad quiere asegurarse de que hay al menos un rastro configurado (o todas las cuentas existentes y para cualquier cuenta que se cree en el futuro.¿Qué conjunto de acciones debe implementar el equipo de seguridad para lograr esto?
A. ree una nueva ruta y configúrela para que envíe los logs de CloudTrail a Amazon S3
B. mplementar una función IAM Lambda en cada cuenta para comprobar si existe una ruta y crear una nueva, si es necesario
C. ditar la ruta existente en la cuenta maestra Organizaciones y aplicarla a la organización
D. rear un SCP para denegar las acciones cloudtrail:Delete" y cloudtrail:Stop\'
Ver respuesta
Respuesta correcta: C
Cuestionar #34
Un ingeniero de seguridad ha recibido el encargo de habilitar IAM Security Hub para monitorizar las instancias de Amazon EC2 que fijan CVE en una única cuenta de IAM. El ingeniero ya ha habilitado IAM Security Hub y Amazon Inspector en la consola de administración de IAM y ha instalado el agente de Amazon Inspector en las instancias de EC2 que deben monitorizarse
A. onfigurar el agente inspector de Amazon para utilizar el paquete de reglas CVE
B. onfigure el agente de Amazon Inspector para utilizar el paquete de reglas CVE Configure Security Hub para ingerir desde IAM inspector escribiendo una política de recursos personalizadA
C. onfigure el agente de Security Hub para utilizar el paquete de reglas CVE Configure IAM Inspector lo ingest from Security Hub escribiendo una política de recursos personalizadA
D. onfigurar el agente Amazon Inspector para que utilice el paquete de reglas CVE Instalar una biblioteca de integración adicional Permitir que el agente Amazon Inspector se comunique con Security Hub
Ver respuesta
Respuesta correcta: D
Cuestionar #35
Su director de tecnología está muy preocupado por la seguridad de su cuenta IAM. Cuál es la mejor manera de evitar que los hackers secuestren completamente su cuenta?
A. tiliza una contraseña corta pero compleja en la cuenta root y en cualquier administrador
B. tilice IAM IAM Geo-Lock y no permita el acceso a nadie excepto en su ciudad
C. tilizar MFA en todos los usuarios y cuentas, especialmente en la cuenta root
D. o anotes ni recuerdes la contraseña de la cuenta root después de crear la cuenta IAM
Ver respuesta
Respuesta correcta: C
Cuestionar #36
Un ingeniero de seguridad ha recibido el encargo de habilitar IAM Security Hub para monitorizar las instancias de Amazon EC2 que fijan CVE en una única cuenta de IAM. El ingeniero ya ha habilitado IAM Security Hub y Amazon Inspector en la consola de administración de IAM y ha instalado el agente de Amazon Inspector en las instancias de EC2 que deben monitorizarse
A. onfigurar el agente inspector de Amazon para utilizar el paquete de reglas CVE
B. onfigure el agente de Amazon Inspector para utilizar el paquete de reglas CVE Configure Security Hub para ingerir desde IAM inspector escribiendo una política de recursos personalizadA
C. onfigure el agente de Security Hub para utilizar el paquete de reglas CVE Configure IAM Inspector lo ingest from Security Hub escribiendo una política de recursos personalizadA
D. onfigurar el agente Amazon Inspector para que utilice el paquete de reglas CVE Instalar una biblioteca de integración adicional Permitir que el agente Amazon Inspector se comunique con Security Hub
Ver respuesta
Respuesta correcta: D
Cuestionar #37
Un administrador de seguridad está configurando una nueva cuenta de AWS. El administrador de seguridad desea proteger los datos que una empresa almacena en un bucket de Amazon S3. El administrador de seguridad también desea reducir la posibilidad de exposición involuntaria de datos y la posibilidad de configuración incorrecta de los objetos que se encuentran en el bucket de S3
A. onfigure el cifrado del lado del servidor de S3
B. Configurar el cifrado del lado del servidor de S3
C. onfigurar S3 Versioning
D. onfigure S3 Event Notifications y utilice el cifrado del lado del servidor de S3
Ver respuesta
Respuesta correcta: D
Cuestionar #38
Un ingeniero de seguridad está comprobando una plantilla de AWS CloudFormation en busca de vulnerabilidades. El ingeniero de seguridad encuentra un parámetro que tiene un valor predeterminado que expone la clave API de una aplicación en texto sin formato. Se hace referencia al parámetro varias veces en la plantilla. El ingeniero de seguridad debe reemplazar el parámetro manteniendo la capacidad de hacer referencia al valor en la plantilla. ¿Qué solución cumplirá estos requisitos de la forma MÁS segura?
A. lmacene el valor de la clave de API como un parámetro SecureString en el almacén de parámetros de AWS Systems Manager
B. lmacenar el valor de la clave API en AWS Secrets Manager
C. lmacene el valor de la clave de API en Amazon DynamoDB
D. lmacenar el valor de la clave API en un nuevo bucket de Amazon S3
E. resolve
Ver respuesta
Respuesta correcta: B
Cuestionar #39
Una organización debe establecer la capacidad de eliminar una clave maestra de cliente (CMK) de IAM KMS en un plazo de 24 horas para evitar que se utilice para operaciones de cifrado o descifrado ¿Cuál de las siguientes acciones abordará este requisito?
A. irar manualmente una clave dentro de KMS para crear una nueva CMK inmediatamente
B. Utilice la función de importación de claves de KMS para ejecutar una operación de eliminación de claves
C. Utilice la función de programación de eliminación de claves de KMS para especificar el período mínimo de espera para la eliminación
D. Cambiar el alias de CMK de KMS para impedir inmediatamente que cualquier servicio utilice la CMK
Ver respuesta
Respuesta correcta: C
Cuestionar #40
Un equipo de aplicaciones desea utilizar IAM Certificate Manager (ACM) para solicitar certificados públicos con el fin de garantizar la seguridad de los datos en tránsito. Los dominios que se están utilizando no están alojados actualmente en Amazon Route 53El equipo de aplicaciones desea utilizar una solución de distribución y almacenamiento en caché administrada por IAM para optimizar las solicitudes a sus sistemas y proporcionar mejores puntos de presencia a los clientes La solución de distribución utilizará un nombre de dominio principal personalizado La solución de distribución también utilizará varios nombres de dominio alternativos
A.
B.
C.
Ver respuesta
Respuesta correcta: CDF
Cuestionar #41
Una empresa tiene dos VPC en la misma región de AWS y en la misma cuenta de AWS Cada VPC utiliza un bloque CIDR que no se solapa con el bloque CIDR de la otra VPC Una VPC contiene funciones de AWS Lambda que se ejecutan dentro de una subred que accede a Internet a través de una puerta de enlace NAT. Las funciones Lambda requieren acceso a una base de datos MySQL de Amazon Aurora de acceso público que se ejecuta en la otra VPC El ingeniero de seguridad de la VPC determina que la base de datos Aurora utiliza una regla de grupo de seguridad que permite conexiones desde la VPC N
A. ueva la base de datos Aurora a una subred privada que no tenga rutas de acceso a Internet en la VPC actual de la base de datos Configure las funciones Lambda para que utilicen la nueva dirección IP privada de la base de datos Aurora para acceder a la base de datos Configure el grupo de seguridad de las bases de datos Aurora para permitir el acceso desde las direcciones IP privadas de las funciones LambdA
B. stablezca un punto final de VPC entre las dos VPC en la VPC de la base de datos Aurora configure un punto final de VPC de servicio para Amazon RDS En la VPC de las funciones LambdA
C. stablecer una interfaz AWS Direct Connect entre las VPC Configurar las funciones Lambda para utilizar una nueva tabla de rutas que acceda a la base de datos Aurora a través de la interfaz Direct Connect Configurar el grupo de seguridad de la base de datos Aurora para permitir el acceso desde la dirección IP de la interfaz Direct Connect
D. over las funciones Lambda a una subred pública en su VPC Mover la base de datos Aurora a una subred privada en su VPC Configurar las funciones Lambda para que utilicen la nueva dirección IP privada de la base de datos Aurora para acceder a la base de datos Configurar la base de datos Aurora para permitir el acceso desde las direcciones IP públicas de las funciones LambdA
Ver respuesta
Respuesta correcta: B
Cuestionar #42
Un administrador de sistemas no puede iniciar una instancia de Amazon EC2 en la región eu-west-1 mediante un rol de IAM. El mismo administrador de sistemas puede iniciar una instancia de EC2 en las regiones eu-west-2 y eu-west-3. La política de acceso IAMSystemAdministrator adjunta al rol de IAM de administrador de sistemas permite el acceso incondicional a todos los servicios y recursos de IAM dentro de la cuenta. La política de acceso IAMSystemAdministrator adjunta al rol IAM de administrador del sistema permite el acceso incondicional a todos los servicios y recursos IAM dentro de la cuenta
A. e adjunta un SCP a la cuenta con la siguiente declaración de permisos:
B. e adjunta una política de límite de permiso al rol de Administrador del Sistema con la siguiente declaración de permiso:
C. e adjunta un límite de permiso al rol de Administrador del Sistema con la siguiente declaración de permiso:
D. e adjunta un SCP a la cuenta con la siguiente declaración:
Ver respuesta
Respuesta correcta: B
Cuestionar #43
Una empresa implementó organizaciones de IAM para ayudar a administrar su creciente número de cuentas de IAM. Un ingeniero de seguridad desea garantizar que solo los directores de la estructura de la organización puedan acceder a un bucket específico de Amazon S3. La solución también debe minimizar la sobrecarga operativa. ¿Qué solución cumplirá estos requisitos?
A. Ponga a todos los usuarios en un grupo IAM con una política de acceso que conceda acceso al J bucket
B. acer que la creación de la cuenta active una función IAM Lambda que gestione la política de bucket, permitiendo el acceso únicamente a las cuentas enumeradas en la políticA
C. ñadir un SCP a la cuenta principal de Organizaciones, permitiendo a todos los principales el acceso al bucket
D. Especificar el ID de la organización en el elemento de condición de clave global de una política de bucket, permitiendo el acceso a todos los principales
Ver respuesta
Respuesta correcta: D
Cuestionar #44
Una empresa almacena imágenes para un sitio web en un bucket de Amazon S3. La empresa utiliza Amazon CloudFront para servir las imágenes a los usuarios finales. La empresa ha descubierto recientemente que se está accediendo a las imágenes desde países en los que la empresa no tiene licencia de distribución. ¿Qué medidas debe tomar la empresa para proteger las imágenes y limitar su distribución? (Seleccione DOS.)
A. Analizar un informe de uso de IAM Identity and Access Management (IAM) de IAM Trusted Advisor para ver cuándo se utilizó la clave de acceso por última vez
B. nalizar los registros de Amazon CloudWatch en busca de actividad mediante la búsqueda de la clave de acceso
C. nalizar los registros de flujo de la VPC en busca de actividad mediante la búsqueda de la clave de acceso
D. nalizar un informe de credenciales en IAM Identity and Access Management (IAM) para ver cuándo se utilizó por última vez la clave de acceso
Ver respuesta
Respuesta correcta: AC
Cuestionar #45
Su director de tecnología cree que su cuenta de IAM ha sido pirateada. ¿Cuál es la única forma de saber con certeza si se ha producido un acceso no autorizado y qué han hecho, suponiendo que los piratas informáticos sean ingenieros de IAM muy sofisticados y hagan todo lo posible por cubrir sus huellas?
A. Utilice la validación de integridad de archivos de registro de CloudTrail
B. tilizar IAM Config SNS Subscriptions y procesar eventos en tiempo real
C. tilizar CloudTrail con copia de seguridad en IAM S3 y Glacier
D. sar IAM Config Timeline forensics
Ver respuesta
Respuesta correcta: A
Cuestionar #46
Una empresa utiliza una clave propiedad de AWS Key Management Service (AWS KMS) en su aplicación para cifrar archivos en una cuenta de AWS El equipo de seguridad de la empresa desea tener la capacidad de cambiar a un nuevo material de clave para nuevos archivos siempre que se produzca una posible violación de la clave Un ingeniero de seguridad debe implementar una solución que ofrezca al equipo de seguridad la capacidad de cambiar la clave siempre que el equipo lo desee.¿Qué solución cumplirá estos requisitos?
A. rear una nueva clave gestionada por el cliente Añadir un programa de rotación de claves a la clave Invocar el programa de rotación de claves cada vez que el equipo de seguridad solicite un cambio de clave
B. rear una nueva clave administrada por AWS Añadir un programa de rotación de claves a la clave Invocar el programa de rotación de claves cada vez que el equipo de seguridad solicite un cambio de clave
C. rear un alias de clave Crear una nueva clave gestionada por el cliente cada vez que el equipo de seguridad solicite un cambio de clave Asociar el alias con la nueva clave
D. rear un alias de clave Crear una nueva clave administrada por AWS cada vez que el equipo de seguridad solicite un cambio de clave Asociar el alias con la nueva clave
Ver respuesta
Respuesta correcta: A
Cuestionar #47
Un ingeniero de seguridad ha habilitado IAM Security Hub en su cuenta IAM, y ha habilitado el estándar de cumplimiento IAM Foundations del Center for internet Security (CIS). No se devuelven resultados de evaluación sobre el cumplimiento en la consola de Security Hub después de varias horas. El ingeniero quiere asegurarse de que Security Hub pueda evaluar sus recursos para el cumplimiento de CIS IAM Foundations.¿Qué pasos debe tomar el ingeniero de seguridad para cumplir con estos requisitos?
A. ñade permisos IAM completos de Amazon Inspector al rol de servicio Security Hub para permitirle realizar la evaluación de conformidad CIS
B. segúrese de que IAM Trusted Advisor está habilitado en la cuenta y que el rol de servicio Security Hub tiene permisos para recuperar las acciones recomendadas relacionadas con la seguridad de Trusted Advisor
C. Asegúrese de que IAM Config
D. segúrese de que se ha configurado la ruta correcta en IAM CloudTrail para que Security Hub la supervise y de que el rol de servicio de Security Hub tiene permisos para realizar la operación GetObject en el bucket de Amazon S3 de CloudTrails
Ver respuesta
Respuesta correcta: C
Cuestionar #48
Una empresa quiere eliminar todas las claves SSH de forma permanente de un subconjunto específico de sus instancias Amazon Linux 2 Amazon EC2 que están utilizando el mismo perfil de instancia 1AM Sin embargo, tres individuos que tienen cuentas de usuario IAM necesitarán acceder a estas instancias utilizando una sesión SSH para realizar tareas críticas ¿Cómo puede un ingeniero de seguridad proporcionar el acceso para cumplir con estos requisitos?
A. signe una política 1AM al perfil de instancia para permitir que las instancias EC2 sean administradas por AWS Systems Manager Proporcione a las cuentas de usuario 1AM permiso para utilizar Systems Manager Elimine las claves SSH de las instancias EC2 Utilice Systems Manager Inventory para seleccionar la instancia EC2 y conectarse
B. signar una política 1AM a las cuentas de usuario 1AM para proporcionar permiso para utilizar AWS Systems Manager Ejecutar comando Eliminar las claves SSH de las instancias EC2 Utilice Ejecutar comando para abrir una conexión SSH a la instancia EC2
C. signar una política 1AM al perfil de instancia para permitir que las instancias EC2 sean administradas por AWS Systems Manager Proporcionar las cuentas de usuario 1AM con permiso para utilizar Systems Manager Eliminar las claves SSH de las instancias EC2 Utilizar Systems Manager Session Manager para seleccionar la instancia EC2 y conectarse
D. signar una política 1AM a las cuentas de usuario 1AM para proporcionar permiso para utilizar el servicio EC2 en la consola de administración de AWS Eliminar las claves SSH de las instancias EC2 Conectarse a la instancia EC2 como ec2-user a través del método de cliente EC2 SSH de la consola de administración de AWS
Ver respuesta
Respuesta correcta: C
Cuestionar #49
Un equipo de aplicaciones ha solicitado una nueva clave maestra de IAM KMS para utilizarla con Amazon S3, pero la política de seguridad de la organización requiere claves maestras independientes para diferentes servicios de IAM a fin de limitar el radio de explosión.¿Cómo se puede limitar una clave maestra de cliente (CMK) de IAM KMS para que funcione únicamente con Amazon S3?
A. onfigurar la política de claves CMK para permitir que sólo el servicio Amazon S3 utilice la acción kms Encrypt
B. onfigure la política de claves CMK para permitir acciones IAM KMS sólo cuando la condición kms ViaService coincida con el nombre de servicio de Amazon S3
C. Configurar la política del usuario IAM para permitir que KMS pase una ruta a Amazon S3
D. onfigurar la política del usuario IAM para permitir sólo las operaciones de Amazon S3 cuando se combinan con la CMK
Ver respuesta
Respuesta correcta: B
Cuestionar #50
Una empresa ejecuta cargas de trabajo en una única cuenta de IAM en instancias de Amazon EC2 y clústeres de Amazon EMR. Una auditoría de seguridad reciente reveló que varios volúmenes e instantáneas de Amazon Elastic Block Store (Amazon EBS) no están cifrados. El ingeniero de seguridad de la empresa está trabajando en una solución que permita a los usuarios implementar instancias de EC2 y clústeres de EMR al tiempo que garantiza que todos los nuevos volúmenes de EBS e instantáneas de EBS estén cifrados en reposo. La solución también debe minimizar la sobrecarga operativa
A. ree un evento de Amazon Event Bridge (Amazon Cloud watch Events) con una instancia EC2 como origen y crear volumen como activador del evento
B. tilice una política IAM gestionada por el cliente que verificará que el indicador de cifrado del contexto Createvolume está establecido en true
C. rear una regla IAM Config para evaluar la configuración de cada instancia EC2 en la creación o modificación
D. tilizar la Consola de Administración de IAM o IAM CLi para habilitar el cifrado por defecto para volúmenes EBS en cada Región IAM donde opera la empresA
Ver respuesta
Respuesta correcta: D
Cuestionar #51
Una empresa tiene dos equipos y cada uno de ellos necesita tener acceso a sus respectivos buckets de Amazon S3. La empresa prevé añadir más equipos que también tendrán sus propios buckets de S3. Cuando la empresa añada estos equipos, los miembros del equipo necesitarán la capacidad de ser asignados a varios equipos. Los miembros del equipo también necesitarán la capacidad de cambiar de equipo. Un administrador de IAM debe diseñar una solución para lograr estos objetivos. La solución también debe ser escalable y debe requerir el leas
A. ñada usuarios a los grupos que representan a los equipos
B. Crear un rol IAM para cada equipo
C. ree roles IAM que estén etiquetados con un valor de etiqueta de acceso de un equipo
D. mplementar un modelo de autorización de control de acceso basado en roles (RBAC)
Ver respuesta
Respuesta correcta: A
Cuestionar #52
Un equipo de desarrollo está utilizando una CMK de IAM Key Management Service (IAM KMS) para intentar cifrar y descifrar un parámetro de cadena segura del almacén de parámetros de IAM Systems Manager. Sin embargo, el equipo de desarrollo recibe un mensaje de error en cada intento. ¿Qué problemas relacionados con la CMK podrían ser la causa del error? (Seleccione DOS.)
A. abilitar Amazon GuardDuty en todas las Regiones
B. tilizar una organización en IAM Organizations
C. provisionar recursos EC2 utilizando plantillas IAM Cloud Formation a través de IAM CodePipeline
D. rear una regla IAM Config para prevenir actividad no autorizada fuera de us-east-1 y us-west-2
Ver respuesta
Respuesta correcta: AD
Cuestionar #53
La cuenta IAM de una empresa consta de aproximadamente 300 usuarios IAM. Ahora hay un mandato que requiere un cambio de acceso para 100 usuarios IAM para tener privilegios ilimitados a S3.Como administrador del sistema, ¿cómo puede implementar esto de manera efectiva para que no haya necesidad de aplicar la política a nivel de usuario individual?
A. rear un nuevo rol y añadir cada usuario al rol IAM
B. Utilizar los grupos IAM y añadir usuarios, basándose en su rol, a diferentes grupos y aplicar la política al grupo
C. rear una política y aplicarla a múltiples usuarios utilizando un script JSON
D. rear una política de bucket S3 con acceso ilimitado que incluya el ID de cuenta IAM de cada usuario
Ver respuesta
Respuesta correcta: B
Cuestionar #54
El ingeniero de seguridad de una empresa ha recibido el encargo de restringir el acceso de la cuenta IAM de un contratista a la consola de Amazon EC2 de la empresa sin proporcionar acceso a ningún otro servicio IAM La cuenta IAM del contratista no debe poder obtener acceso a ningún otro servicio IAM, incluso si la cuenta IAM tiene asignados permisos adicionales basados en la pertenencia a un grupo IAM ¿Qué debe hacer el ingeniero de seguridad para cumplir estos requisitos?
A. rear una política de usuario IAM mime que permita el acceso a Amazon EC2 para el usuario IAM del contratistA
B. rear una política de límites de permisos IAM que permita el acceso a Amazon EC2 Asociar la cuenta IAM del contratista con la política de límites de permisos IAM
C. rear un grupo IAM con una política adjunta que permita el acceso a Amazon EC2 Asociar la cuenta IAM del contratista con el grupo IAM
D. rear un rol IAM que permita EC2 y niegue explícitamente todos los demás servicios Instruir al contratista para que asuma siempre este rol
Ver respuesta
Respuesta correcta: B
Cuestionar #55
Un administrador de seguridad está configurando una nueva cuenta de AWS. El administrador de seguridad desea proteger los datos que una empresa almacena en un bucket de Amazon S3. El administrador de seguridad también desea reducir la posibilidad de exposición involuntaria de datos y la posibilidad de configuración incorrecta de los objetos que se encuentran en el bucket de S3
A. onfigure el cifrado del lado del servidor de S3
B. Configurar el cifrado del lado del servidor de S3
C. onfigurar S3 Versioning
D. onfigure S3 Event Notifications y utilice el cifrado del lado del servidor de S3
Ver respuesta
Respuesta correcta: D
Cuestionar #56
Necesita crear una política y aplicarla sólo para un usuario individual. ¿Cómo se puede lograr esto de la manera correcta?
A. ñadir una política gestionada de IAM para el usuario
B. ñadir una política de servicio para el usuario
C. ñadir un rol IAM para el usuario
D. Añadir una política en línea para el usuario
Ver respuesta
Respuesta correcta: D
Cuestionar #57
Una empresa aloja una aplicación de usuario final en AWS Actualmente la empresa despliega la aplicación en instancias Amazon EC2 detrás de un Elastic Load Balancer La empresa quiere configurar el cifrado de extremo a extremo entre el Elastic Load Balancer y las instancias EC2.¿Qué solución cumplirá este requisito con el MENOR esfuerzo operativo?
A. tilice certificados AWS Certificate Manager (ACM) emitidos por Amazon en las instancias EC2 y el Elastic Load Balancer para configurar el cifrado de extremo a extremo
B. mportar un certificado SSL de terceros a AWS Certificate Manager (ACM) Instalar el certificado de terceros en las instancias EC2 Asociar el certificado de terceros importado de ACM con el Elastic Load Balancer
C. mplementar AWS CloudHSM Importar un certificado de terceros Configure las instancias EC2 y el Elastic Load Balancer para utilizar el certificado importado de CloudHSM
D. mportar un paquete de certificados de terceros a AWS Certificate Manager (ACM) Instalar el certificado de terceros en las instancias EC2 Asociar el certificado de terceros importado de ACM con el Elastic Load Balancer
Ver respuesta
Respuesta correcta: A
Cuestionar #58
Su equipo de desarrollo está utilizando claves de acceso para desarrollar una aplicación que tiene acceso a S3 y DynamoDB. Una nueva política de seguridad ha establecido que las credenciales no deben tener más de 2 meses y deben rotarse. ¿Cómo puede conseguirlo?
A. tilice la aplicación para rotar las llaves cada 2 meses a través del SDK
B. tilizar un script para consultar la fecha de creación de las claves
C. orrar el usuario asociado a las claves cada 2 meses
D. orrar el Rol IAM asociado a las claves cada 2 meses
Ver respuesta
Respuesta correcta: B
Cuestionar #59
Una empresa almacena documentos confidenciales en Amazon S3 mediante el cifrado del lado del servidor con una CMK de IAM Key Management Service (IAM KMS). Un nuevo requisito exige que la CMK que se utiliza para estos documentos solo se pueda utilizar para acciones de S3
A.
B.
Ver respuesta
Respuesta correcta: A
Cuestionar #60
Una empresa despliega una aplicación web distribuida en una flota de instancias de Amazon EC2. La flota está detrás de un Application Load Balancer (ALB) que se configurará para terminar la conexión TLS. Todo el tráfico TLS al ALB debe permanecer seguro, incluso si la clave privada del certificado se ve comprometida
A. Cree un receptor HTTPS que utilice un certificado gestionado por el Administrador de certificados de IAM (ACM)
B. Crear un receptor HTTPS que utilice una política de seguridad que utilice un conjunto de cifrado con secreto perfecto (PFS)
C. ree una escucha HTTPS que utilice la función de seguridad Server Order Preference
D. Crear una escucha TCP que utilice una política de seguridad personalizada que sólo permita suites de cifrado con secreto de reenvío perfecto (PFS)
Ver respuesta
Respuesta correcta: A
Cuestionar #61
Una empresa tiene un conjunto de Instancias EC2 alojadas en IAM. Las instancias EC2 tienen volúmenes EBS que se utilizan para almacenar información crítica. Existe un requisito de continuidad de negocio para garantizar la alta disponibilidad de los volúmenes EBS. ¿Cómo se puede conseguir esto?
A. tilizar políticas de ciclo de vida para los volúmenes EBS
B. tilizar instantáneas EBS
C. tilizar la replicación de volúmenes EBS
D. tilizar el cifrado de volúmenes EBS
Ver respuesta
Respuesta correcta: B
Cuestionar #62
Una empresa utiliza un proveedor de identidades externo para permitir la federación en diferentes cuentas IAM. Un ingeniero de seguridad de la empresa necesita identificar al usuario federado que dio de baja una instancia de Amazon EC2 de producción hace una semana
A. evise los registros del historial de eventos de IAM CloudTrail en un bucket de Amazon S3 y busque el evento Terminatelnstances para identificar al usuario federado a partir del nombre de sesión del rol
B. iltre el historial de eventos de IAM CloudTrail para el evento Terminatelnstances e identifique el rol de IAM asumido
C. usque en los registros de IAM CloudTrail el evento Terminatelnstances y anote la hora del evento
D. Utilice Amazon Athena para ejecutar una consulta SQL en los logs de IAM CloudTrail almacenados en un bucket de Amazon S3 y filtre el evento Terminatelnstances
Ver respuesta
Respuesta correcta: B
Cuestionar #63
Una empresa tiene una organización en AWS Organizations. La empresa desea utilizar AWS CloudFormation StackSets en la organización para implementar varios patrones de diseño de AWS en entornos. Estos patrones consisten en instancias de Amazon EC2, balanceadores de carga de Elastic Load Balancing (ELB), bases de datos de Amazon RDS y clústeres de Amazon Elastic Kubernetes Service (Amazon EKS) o Amazon Elastic Container Service (Amazon ECS).Actualmente, los desarrolladores de la empresa pueden crear sus propias pilas de CloudFormation para aumentar la o
A. ree un tema de Amazon Simple Notification Service (Amazon SNS)
B. Cree un tema de Amazon Simple Notification Service (Amazon SNS)
C. ree un tema de Amazon Simple Notification Service (Amazon SNS) y una cola de Amazon Simple Queue Service (Amazon SQS)
D. ree un conjunto de pilas de CloudFormation centralizado que incluya un conjunto estándar de recursos que los desarrolladores puedan implementar en cada cuenta de AWS
Ver respuesta
Respuesta correcta: A
Cuestionar #64
Una empresa tiene varios buckets de Amazon S3 cifrados con CMK gestionadas por el cliente Debido a los requisitos normativos, las claves deben rotarse cada año. El ingeniero de seguridad de la empresa ha habilitado la rotación automática de claves para las CMK; sin embargo, la empresa desea comprobar que se ha producido la rotación
A. iltrar los registros de IAM CloudTrail para eventos KeyRotaton
B. Supervisar los eventos de Amazon CloudWatcn en busca de eventos de rotación de IAM KMS CMK
C. tilizando la CLI de IAM
D. Utilice Amazon Athena para consultar los logs de IAM CloudTrail guardados en un bucket de S3 para filtrar los eventos de Generate New Key
Ver respuesta
Respuesta correcta: C
Cuestionar #65
Una empresa necesita transferir grandes cantidades de datos entre IAM y una ubicación local. Además, es necesario que el tráfico hacia IAM sea de baja latencia y alta coherencia. Teniendo en cuenta estos requisitos, ¿cómo diseñaría una arquitectura híbrida? Elija la respuesta correcta entre las siguientes opciones.
A. Aprovisionar una conexión de Direct Connect a una región IAM utilizando un socio de Direct Connect
B. rear un túnel VPN para la conectividad privada, lo que aumenta la coherencia de la red y reduce la latenciA
C. rear un túnel iPSec para la conectividad privada, lo que aumenta la coherencia de la red y reduce la latenciA
D. rear una conexión VPC peering entre IAM y el gateway del Cliente
Ver respuesta
Respuesta correcta: A
Cuestionar #66
Una empresa ha implementado IAM WAF y Amazon CloudFront para una aplicación. La aplicación se ejecuta en instancias de Amazon EC2 que forman parte de un grupo de Auto Scaling. El grupo de Auto Scaling está detrás de un Application Load Balancer (ALB). La ACL web de IAM WAF utiliza un grupo de reglas de IAM Managed Rules y está asociada con la distribución de CloudFront. CloudFront recibe la solicitud de IAM WAF y, a continuación, utiliza el ALB como origen de la distribución
A. onfigure la distribución de CloudFront para utilizar la función Lambda@Edge
B. onfigurar la ACL web de IAM WAF para que la ACL web tenga más unidades de capacidad para procesar todas las reglas de IAM WAF más rápidamente
C. onfigurar IAM WAF con una regla basada en la velocidad que impone un límite de velocidad que bloquea automáticamente las solicitudes cuando se supera el límite de velocidad
D. onfigure la distribución de CloudFront para utilizar IAM WAF como origen en lugar del ALB
Ver respuesta
Respuesta correcta: C
Cuestionar #67
Una empresa tiene dos VPC en la misma región de AWS y en la misma cuenta de AWS Cada VPC utiliza un bloque CIDR que no se solapa con el bloque CIDR de la otra VPC Una VPC contiene funciones de AWS Lambda que se ejecutan dentro de una subred que accede a Internet a través de una puerta de enlace NAT. Las funciones Lambda requieren acceso a una base de datos MySQL de Amazon Aurora de acceso público que se ejecuta en la otra VPC El ingeniero de seguridad de la VPC determina que la base de datos Aurora utiliza una regla de grupo de seguridad que permite conexiones desde la VPC N
A. ueva la base de datos Aurora a una subred privada que no tenga rutas de acceso a Internet en la VPC actual de la base de datos Configure las funciones Lambda para que utilicen la nueva dirección IP privada de la base de datos Aurora para acceder a la base de datos Configure el grupo de seguridad de las bases de datos Aurora para permitir el acceso desde las direcciones IP privadas de las funciones LambdA
B. stablezca un punto final de VPC entre las dos VPC en la VPC de la base de datos Aurora configure un punto final de VPC de servicio para Amazon RDS En la VPC de las funciones LambdA
C. stablecer una interfaz AWS Direct Connect entre las VPC Configurar las funciones Lambda para utilizar una nueva tabla de rutas que acceda a la base de datos Aurora a través de la interfaz Direct Connect Configurar el grupo de seguridad de la base de datos Aurora para permitir el acceso desde la dirección IP de la interfaz Direct Connect
D. over las funciones Lambda a una subred pública en su VPC Mover la base de datos Aurora a una subred privada en su VPC Configurar las funciones Lambda para que utilicen la nueva dirección IP privada de la base de datos Aurora para acceder a la base de datos Configurar la base de datos Aurora para permitir el acceso desde las direcciones IP públicas de las funciones LambdA
Ver respuesta
Respuesta correcta: B
Cuestionar #68
Una organización debe establecer la capacidad de eliminar una clave maestra de cliente (CMK) de IAM KMS en un plazo de 24 horas para evitar que se utilice para operaciones de cifrado o descifrado ¿Cuál de las siguientes acciones abordará este requisito?
A. irar manualmente una clave dentro de KMS para crear una nueva CMK inmediatamente
B. Utilice la función de importación de claves de KMS para ejecutar una operación de eliminación de claves
C. Utilice la función de programación de eliminación de claves de KMS para especificar el período mínimo de espera para la eliminación
D. Cambiar el alias de CMK de KMS para impedir inmediatamente que cualquier servicio utilice la CMK
Ver respuesta
Respuesta correcta: C
Cuestionar #69
Un ingeniero de seguridad necesita crear una clave de IAM Key Management Service
A. Elimine la puerta de enlace NAT existente
B. onfigure la ACL de red entrante de la instancia de DB TMs para denegar el tráfico desde el ID de grupo de seguridad de la pasarela NAT
C. odificar las tablas de rutas de las subredes de la instancia DB para eliminar la ruta por defecto a la pasarela NAT
D. onfigurar la tabla de rutas de la pasarela NAT para denegar conexiones a las subredes de la instancia DB
Ver respuesta
Respuesta correcta: A
Cuestionar #70
Una empresa necesita utilizar HTTPS al conectarse a sus aplicaciones web para cumplir los requisitos de conformidad. Estas aplicaciones web se ejecutan en Amazon VPC en instancias de Amazon EC2 detrás de un Application Load Balancer (ALB). Un ingeniero de seguridad desea asegurarse de que el balanceador de carga solo acepte conexiones a través del puerto 443, incluso si el ALB se configura por error con un oyente HTTP
A. Cree un grupo de seguridad con una regla que deniegue las conexiones entrantes desde 0
B. Cree una ACL de red que deniegue las conexiones entrantes desde 0 0
C. ree una ACL de red que permita conexiones salientes al rango IP de la VPC sólo en el puerto 443
D. rear un grupo de seguridad con una sola regla de entrada que permita conexiones desde 0
Ver respuesta
Respuesta correcta: D
Cuestionar #71
Una empresa está desarrollando una aplicación de alta resiliencia que se alojará en varias instancias de Amazon EC2 . La aplicación almacenará datos de usuario altamente confidenciales en tablas de Amazon RDS.La aplicación debe.- Incluir la migración a una región de IAM diferente en el plan de recuperación de desastres de la aplicación.- Proporcionar una pista de auditoría completa de los eventos de administración de claves de cifrado.- Permitir que solo los administradores de la empresa administren claves.- Proteger los datos en reposo mediante el cifrado de la capa de aplicación.Un ingeniero de seguridad está evaluando opciones f
A. l registro de eventos de administración de claves generado por CloudHSM es significativamente más extenso que IAM KMS
B. loudHSM garantiza que sólo el personal de soporte de la empresa pueda administrar las claves de cifrado, mientras que IAM KMS permite al personal de IAM administrar las claves
C. El texto cifrado producido por CloudHSM proporciona una protección más sólida contra los ataques de descifrado por fuerza bruta que el texto cifrado producido por IAM KMS
D. loudHSM ofrece la posibilidad de copiar claves a una Región diferente, mientras que IAM KMS no
Ver respuesta
Respuesta correcta: B
Cuestionar #72
Una empresa tiene tiendas minoristas La empresa está diseñando una solución para almacenar copias escaneadas de recibos de clientes en Amazon S3 Los archivos tendrán entre 100 KB y 5 MB en formato PDF Cada tienda minorista debe tener una clave de cifrado única Cada objeto debe cifrarse con una clave única.Qué solución cumplirá estos requisitos?
A. ree una clave administrada por el cliente de AWS Key Management Service (AWS KMS) dedicada para cada tienda minorista Utilice la operación S3 Put para cargar los objetos en Amazon S3 Especifique el cifrado del lado del servidor con claves de AWS KMS (SSE-KMS) y el ID de la clave de la tiendA
B. rear una nueva clave administrada por el cliente de AWS Key Management Service (AWS KMS) cada día para cada tienda minorista Utilizar la operación KMS Encrypt para cifrar objetos A continuación, cargar los objetos en Amazon S3
C. jecutar la operación GenerateDataKey de AWS Key Management Service (AWS KMS) todos los días para cada tienda minorista Utilizar la clave de datos y el cifrado del lado del cliente para cifrar los objetos A continuación, cargar los objetos en Amazon S3
D. tilizar la operación ImportKeyMaterial de AWS Key Management Service (AWS KMS) para importar nuevo material de claves a AWS KMS cada día para cada tienda minorista Utilizar una clave administrada por el cliente y la operación Encrypt de KMS para cifrar los objetos A continuación, cargar los objetos en Amazon S3
Ver respuesta
Respuesta correcta: A
Cuestionar #73
Una empresa implementó organizaciones de IAM para ayudar a administrar su creciente número de cuentas de IAM. Un ingeniero de seguridad desea garantizar que solo los directores de la estructura de la organización puedan acceder a un bucket específico de Amazon S3. La solución también debe minimizar la sobrecarga operativa. ¿Qué solución cumplirá estos requisitos?
A. Ponga a todos los usuarios en un grupo IAM con una política de acceso que conceda acceso al J bucket
B. acer que la creación de la cuenta active una función IAM Lambda que gestione la política de bucket, permitiendo el acceso únicamente a las cuentas enumeradas en la políticA
C. ñadir un SCP a la cuenta principal de Organizaciones, permitiendo a todos los principales el acceso al bucket
D. Especificar el ID de la organización en el elemento de condición de clave global de una política de bucket, permitiendo el acceso a todos los principales
Ver respuesta
Respuesta correcta: D
Cuestionar #74
Un ingeniero de seguridad está solucionando un problema con la aplicación de registro personalizada de una empresa. Los logs de la aplicación se escriben en un bucket de Amazon S3 con notificaciones de eventos habilitadas para enviar eventos a un tema de Amazon SNS. Todos los logs se cifran en reposo utilizando una CMK de IAM KMS. El tema SNS está suscrito a una cola cifrada de Amazon SQS. La aplicación de registro sondea la cola en busca de nuevos mensajes que contengan metadatos sobre el objeto S3. A continuación, la aplicación lee el contenido del objeto del bucket de S3 para
A. ñada la siguiente declaración a las CMK gestionadas por IAM:
B. Añada la siguiente declaración a la política de claves CMK:
C. Añada la siguiente declaración a la política de claves CMK:
D. Añada la siguiente declaración a la política de claves CMK:
Ver respuesta
Respuesta correcta: D
Cuestionar #75
Una empresa utiliza Amazon Elastic Container Service (Amazon ECS) para ejecutar su aplicación basada en contenedores en AWS. La empresa necesita asegurarse de que las imágenes de contenedor no contienen vulnerabilidades graves. La empresa también debe garantizar que solo determinadas funciones de IAM y determinadas cuentas de AWS puedan acceder a las imágenes de contenedor
A. Extraer imágenes del registro público de contenedores
B. Extraer imágenes del registro de contenedores público
C. xtraer imágenes del registro público de contenedores
D. Extraer imágenes del registro público de contenedores
Ver respuesta
Respuesta correcta: C
Cuestionar #76
Una auditoría de seguridad reciente descubrió que los registros de IAM CloudTrail no están lo suficientemente protegidos contra la manipulación y el acceso no autorizado ¿Qué medidas debe tomar el ingeniero de seguridad para abordar estos hallazgos de auditoría? (Seleccione TRES)
A. Actualice las reglas de IAM WAF en la cuenta afectada y utilice IAM Firewall Manager para transferir las reglas de IAM WAF actualizadas a todas las demás cuentas
B. Utilizar el registro centralizado de GuardDuty y Amazon SNS para configurar alertas que notifiquen a todos los equipos de aplicaciones los incidentes de seguridad
C. tiliza las alertas de GuardDuty para escribir una función IAM Lambda que actualice todas las cuentas añadiendo NACL adicionales en las instancias de Amazon EC2 para bloquear direcciones IP maliciosas conocidas
D. Utilizar IAM Shield Advanced para identificar amenazas en cada cuenta individual y luego aplicar las protecciones basadas en la cuenta a todas las demás cuentas a través de Organizaciones
Ver respuesta
Respuesta correcta: ADE
Cuestionar #77
Una empresa utiliza Amazon Elastic Container Service (Amazon ECS) para implementar una aplicación que maneja datos confidenciales Durante una auditoría de seguridad reciente, la empresa identificó un problema de seguridad en el que las credenciales de Amazon RDS se almacenaban con el código de la aplicación En el repositorio de código fuente de la empresa.Un ingeniero de seguridad necesita desarrollar una solución para garantizar que las credenciales de la base de datos se almacenan de forma segura y se rotan periódicamente. Las credenciales sólo deben ser accesibles para la aplicación
A. tilizar el Almacén de Parámetros del Administrador de Sistemas IAM para generar credenciales de base de datos
B. tilizar IAM Secrets Manager para almacenar las credenciales de la base de datos
C. tilizar el Almacén de Parámetros del Administrador de Sistemas IAM para almacenar las credenciales de la base de datos
D. tilizar IAM Secrets Manager para almacenar las credenciales de la base de datos
Ver respuesta
Respuesta correcta: D
Cuestionar #78
Por motivos de cumplimiento, un ingeniero de seguridad debe elaborar un informe semanal en el que se enumere cualquier instancia que no tenga aplicados los últimos parches aprobados. El ingeniero también debe asegurarse de que ningún sistema pase más de 30 días sin que se apliquen las últimas actualizaciones aprobadas
A. tilizar el inspector de Amazon para determinar qué sistemas no tienen aplicados los últimos parches y, transcurridos 30 días, volver a implementar esas instancias con la última versión de la AMI
B. onfigure Amazon EC2 Systems Manager para que informe sobre la conformidad de los parches de las instancias y aplique las actualizaciones durante las ventanas de mantenimiento definidas
C. xamine los togs de IAM CloudTrail para determinar si alguna instancia no se ha reiniciado en los últimos 30 días, y redistribuya esas instancias
D. ctualizar los AMls con los últimos parches aprobados y volver a desplegar cada instancia durante la ventana de mantenimiento definidA
Ver respuesta
Respuesta correcta: B
Cuestionar #79
Una empresa necesita conservar archivos de datos tog durante varios años para cumplir la normativa. Los datos ya no se utilizan, pero deben conservarse. ¿Cuál es la solución MÁS segura y rentable para cumplir estos requisitos?
A. rchivar los datos en Amazon S3 y aplicar una política de bucket restrictiva para denegar la API DeleteOotect de s3
B. Archivar los datos en Amazon S3 Glacier y aplicar una política de bloqueo de bóvedas
C. rchivar los datos en Amazon S3 y replicarlos en un segundo bucket en una segunda región de IAM Elegir la clase de almacenamiento S3 Standard-Infrequent Access (S3 Standard-1A) y aplicar una política de bucket restrictiva para denegar la API s3 DeleteObject
D. igrar los datos de registro a un volumen de 16 T8 de Amazon Elastic Block Store (Amazon EBS) Crear una instantánea del volumen EBS
Ver respuesta
Respuesta correcta: B
Cuestionar #80
Una empresa está creando una aplicación sobre IAM que almacenará información sensible. La empresa tiene un equipo de soporte con acceso a la infraestructura de TI, incluidas las bases de datos. El ingeniero de seguridad de la empresa debe introducir medidas para proteger los datos confidenciales contra cualquier violación de datos, minimizando al mismo tiempo los gastos generales de gestión. Las credenciales deben rotarse periódicamente. ¿Qué debe recomendar el ingeniero de seguridad?
A. abilite el cifrado de Amazon RDS para cifrar la base de datos y las snapshots
B. nstale una base de datos en una instancia de Amazon EC2
C. abilite el cifrado de Amazon RDS para cifrar la base de datos y las snapshots
D. onfigurar un clúster IAM CloudHSM con IAM Key Management Service (IAM KMS) para almacenar claves KMS
Ver respuesta
Respuesta correcta: C
Cuestionar #81
Un desarrollador está creando una aplicación sin servidor alojada en AWS que utiliza Amazon Redshift como almacén de datos La aplicación tiene módulos separados para funcionalidad de lectura y escritura Los módulos necesitan sus propios usuarios de base de datos por motivos de conformidad.Qué combinación de pasos debería implementar un ingeniero de seguridad para conceder el acceso adecuado? (Seleccione DOS.)
A. onfigurar grupos de seguridad de cluster para cada módulo de aplicación para controlar el acceso a los usuarios de base de datos que se requieren para sólo lectura y lectura-escriturA
B. onfigurar un endpoint VPC para Amazon Redshift Configurar una política de endpoint que asigne usuarios de base de datos a cada módulo de aplicación, y permitir el acceso a las tablas que se requieren para sólo lectura y lectura/escriturA
C. onfigure una política 1AM para cada módulo Especifique el ARN de un usuario de base de datos de Amazon Redshift que permita la llamada a la API GetClusterCredentials
D. rear usuarios locales de base de datos para cada módulo
E. onfigure una política 1AM para cada módulo Especifique el ARN de un usuario 1AM que permita la llamada a la API GetClusterCredentials
Ver respuesta
Respuesta correcta: A
Cuestionar #82
El ingeniero de seguridad de una empresa desea recibir una alerta por correo electrónico cada vez que Amazon GuardDuty, AWS Identity and Access Management Access Analyzer o Amazon Made generen un hallazgo de seguridad de alta gravedad. La compañía utiliza AWS Control Tower para controlar todas sus cuentas. La compañía también utiliza AWS Security Hub con todas las integraciones de servicios de AWS activadas. ¿Qué solución cumplirá estos requisitos con la MENOR sobrecarga operativa?
A. onfigure funciones de AWS Lambda independientes para GuardDuty, 1AM Access Analyzer y Macie con el fin de llamar a la API pública de cada servicio para recuperar hallazgos de alta gravedad
B. ree una regla de Amazon EventBridge con un patrón que coincida con los eventos de hallazgos de Security Hub con gravedad altA
C. ree una regla de Amazon EventBridge con un patrón que coincida con los eventos de la torre de control de AWS de gravedad altA
D. Hospedar una aplicación en Amazon EC2 para llamar a las API de GuardDuty, 1AM Access Analyzer y Macie
Ver respuesta
Respuesta correcta: B
Cuestionar #83
Una empresa tiene previsto utilizar Amazon Elastic File System (Amazon EFS) con sus servidores locales. La empresa dispone de una conexión IAM Direct Connect establecida entre su centro de datos local y una región de IAM. La política de seguridad establece que el firewall local de la empresa solo debe tener direcciones IP específicas añadidas a la lista de permitidas y no un rango CIDR. La empresa también desea restringir el acceso para que solo determinados servidores basados en el centro de datos tengan acceso a Amazon EF
A. ñada la URL file-system-id efs IAM-region amazonIAM com a la lista de permitidos del cortafuegos del centro de datos Instale la CLI de IAM en los servidores basados en el centro de datos para montar el sistema de archivos EFS en el grupo de seguridad EFS añada el rango IP del centro de datos a la lista de permitidos Monte el EFS utilizando el nombre del sistema de archivos EFS
B. signe una dirección IP elástica a Amazon EFS y añada la dirección IP elástica a la lista de permitidos del firewall del centro de datos Instale la CLI de IAM en los servidores basados en el centro de datos para montar el sistema de archivos EFS En el grupo de seguridad EFS, añada las direcciones IP de los servidores del centro de datos a la lista de permitidos Monte el EFS utilizando la dirección IP elásticA
C. ñada las direcciones IP de destino de montaje del sistema de archivos EFS a la lista de permitidos del cortafuegos del centro de datos En el grupo de seguridad EFS, añada las direcciones IP del servidor del centro de datos a la lista de permitidos Utilice el terminal Linux para montar el sistema de archivos EFS utilizando la dirección IP de uno de los destinos de montaje
D. signe un rango estático de direcciones IP para el sistema de archivos EFS contactando con el soporte de IAM En el grupo de seguridad EFS añada las direcciones IP del servidor del centro de datos a la lista de permitidos Utilice el terminal Linux para montar el sistema de archivos EFS utilizando una de las direcciones IP estáticas
Ver respuesta
Respuesta correcta: B
Cuestionar #84
Una empresa necesita almacenar varios años de registros financieros. La empresa desea utilizar Amazon S3 para almacenar copias de estos documentos. La empresa debe implementar una solución para evitar que los documentos se editen, sustituyan o eliminen durante 7 años después de que se almacenen en Amazon S3. La solución también debe cifrar los documentos en reposo.Un ingeniero de seguridad crea un nuevo bucket de S3 para almacenar los documentos.¿Qué debe hacer a continuación el ingeniero de seguridad para cumplir estos requisitos?
A.
B. rear una política de claves que permita la acción kms:Decrypt solo para Amazon S3 y DynamoD Crear un SCP que deniegue la creación de buckets de S3 y tablas de DynamoDB que no estén cifrados con la clave
C. Cree una política 1AM que deniegue la acción kms:Decrypt para la clave
D. ree una política de claves que permita la acción kms:Decrypt solo para Amazon S3, DynamoDB, Lambda y Amazon EKS
E. ree una política de claves que permita la acción kms:Decrypt solo para Amazon S3, DynamoDB, Lambda y Amazon EKS
Ver respuesta
Respuesta correcta: B
Cuestionar #85
Una empresa ha desarrollado una nueva aplicación de base de datos de Amazon RDS. La empresa debe proteger las credenciales de la base de datos ROS para el cifrado en tránsito y el cifrado en reposo. La empresa también debe rotar las credenciales automáticamente de forma periódica
A. tilice el Almacén de Parámetros del Administrador de Sistemas IAM para almacenar las credenciales de la base de datos
B. tilizar IAM Secrets Manager para almacenar las credenciales de la base de datos
C. lmacenar las credenciales de la base de datos en un bucket de Amazon S3 configurado con cifrado del lado del servidor con claves de cifrado administradas por S3 (SSE-S3) Rotar las credenciales con autenticación de base de datos de IAM
D. lmacenar las credenciales de la base de datos m Amazon S3 Glacier, y utilizar S3 Glacier Vault Lock Configurar una función IAM Lambda para rotar las credenciales en un basts programado
Ver respuesta
Respuesta correcta: A
Cuestionar #86
Una empresa quiere asegurarse de que sus recursos IAM sólo pueden lanzarse en las regiones us-east-1 y us-west- 2. ¿Cuál es la solución MÁS eficiente desde el punto de vista operativo que impedirá a los desarrolladores lanzar instancias de Amazon EC2 en otras regiones?
A. ree un nuevo grupo de seguridad en la VPC de base de datos y cree una regla de entrada que permita todo el tráfico procedente del rango de direcciones IP de la VPC de aplicación
B. rear un nuevo grupo de seguridad en la VPC de aplicación con una regla de entrada que permita el rango de direcciones IP de la VPC de base de datos a través del puerto TCP 1521
C. rear un nuevo grupo de seguridad en la VPC de aplicación sin reglas de entradA
D. rear un nuevo grupo de seguridad en la VPC de aplicación con una regla de entrada que permita el rango de direcciones IP de la VPC de base de datos sobre el puerto TCP 1521
Ver respuesta
Respuesta correcta: C
Cuestionar #87
El equipo de aplicaciones de una empresa necesita alojar una base de datos MySQL en IAM. Según la política de seguridad de la empresa, todos los datos almacenados en IAM deben estar cifrados en reposo. Además, todo el material criptográfico debe cumplir con la validación FIPS 140-2 Nivel 3. El equipo de aplicaciones necesita una solución que satisfaga los requisitos de seguridad de la empresa y minimice la sobrecarga operativa
A. loje la base de datos en Amazon RDS
B. Alojar la base de datos en Amazon RDS
C. lojar la base de datos en una instancia de Amazon EC2
D. Alojar la base de datos en una instancia de Amazon EC2
Ver respuesta
Respuesta correcta: B
Cuestionar #88
Un administrador de sistemas no puede iniciar una instancia de Amazon EC2 en la región eu-west-1 mediante un rol de IAM. El mismo administrador de sistemas puede iniciar una instancia de EC2 en las regiones eu-west-2 y eu-west-3. La política de acceso IAMSystemAdministrator adjunta al rol de IAM de administrador de sistemas permite el acceso incondicional a todos los servicios y recursos de IAM dentro de la cuenta. La política de acceso IAMSystemAdministrator adjunta al rol IAM de administrador del sistema permite el acceso incondicional a todos los servicios y recursos IAM dentro de la cuenta
A. e adjunta un SCP a la cuenta con la siguiente declaración de permisos:
B. e adjunta una política de límite de permiso al rol de Administrador del Sistema con la siguiente declaración de permiso:
C. e adjunta un límite de permiso al rol de Administrador del Sistema con la siguiente declaración de permiso:
D. e adjunta un SCP a la cuenta con la siguiente declaración:
Ver respuesta
Respuesta correcta: B
Cuestionar #89
Una empresa está operando un sitio web utilizando Amazon CloudFront. CloudFront sirve algunos contenidos de Amazon S3 y otros de servidores web que ejecutan instancias EC2 detrás de un Application Load Balancer (ALB). Amazon DynamoDB se utiliza como almacén de datos. La empresa ya utiliza IAM Certificate Manager (ACM) para almacenar un certificado TLS público que puede proteger opcionalmente las conexiones entre los usuarios del sitio web y CloudFront. La empresa tiene un nuevo requisito para aplicar el cifrado de extremo a extremo en tránsito
A. gregue un encabezado personalizado de origen Establezca la política de protocolo del espectador en HTTP y HTTPS Establezca la pokey de protocolo de origen en HTTPS solamente Actualice la aplicación para validar el encabezado personalizado de CloudFront
B. gregue un encabezado personalizado de origen Establezca la política de protocolo del visor en Solo HTTPS Establezca la política de protocolo de origen para que coincida con el visor Actualice la aplicación para validar el encabezado personalizado de CloudFront
C. gregar un encabezado personalizado de origen Establecer la política de protocolo de espectador para redirigir HTTP a HTTPS Establecer la política de protocolo de origen en HTTP solamente Actualizar la aplicación para validar el encabezado personalizado de CloudFront
D. gregar un encabezado personalizado de origen Establezca la política de protocolo de espectador para redirigir HTTP a HTTPS
Ver respuesta
Respuesta correcta: BCE
Cuestionar #90
Su empresa acaba de instalar un nuevo servidor central en una VPC. Hay un requisito para otros equipos que tienen sus servidores ubicados en diferentes VPC en la misma región para conectarse al servidor central.¿Cuál de las siguientes opciones es la más adecuada para lograr este requisito.
A. onfigurar VPC peering entre la VPC del servidor central y cada una de las VPC de los equipos
B. onfigurar IAM DirectConnect entre la VPC del servidor central y cada una de las VPC de los equipos
C. onfigurar un túnel IPSec entre la VPC del servidor central y cada una de las VPC de los equipos
D. inguna de las opciones anteriores funcionará
Ver respuesta
Respuesta correcta: A
Cuestionar #91
Example.com está alojado en instancias de Amazon EC2 detrás de un Application Load Balancer (ALB). En cada host se ejecutan agentes de sistemas de detección de intrusiones en host (HIDS) de terceros que capturan el tráfico de la instancia EC2. La empresa debe asegurarse de que está utilizando tecnologías que mejoran la privacidad de los usuarios, sin perder la garantía que ofrece la solución de terceros.¿Cuál es la forma MÁS segura de cumplir estos requisitos?
A. Habilitar el paso de TLS en el ALB y gestionar el descifrado en el servidor utilizando suites de cifrado de curva elíptica Diffie-Hellman (ECDHE)
B. rear un listener en el ALB que utilice conexiones cifradas con suites de cifrado Elliptic Curve Diffie-Hellman (ECDHE), y pasar el tráfico en claro al servidor
C. rear un listener en el ALB que utilice conexiones cifradas con suites de cifrado Elliptic Curve Diffie-Hellman (ECDHE), y utilizar conexiones cifradas a los servidores que no habiliten Perfect Forward Secrecy (PFS)
D. Crear un listener en el ALB que no habilite Perfect Forward Secrecy (PFS) cipher suites, y usar conexiones encriptadas a los servidores usando Elliptic Curve Diffie-Hellman (ECDHE) cipher suites
Ver respuesta
Respuesta correcta: D
Cuestionar #92
Se ha pedido a un Arquitecto de Seguridad que revise una arquitectura de seguridad existente e identifique por qué los servidores de aplicaciones no pueden iniciar con éxito una conexión a los servidores de bases de datos. El siguiente resumen describe la arquitectura:1 Un Application Load Balancer, una puerta de enlace a Internet y una puerta de enlace NAT están configurados en la subred pública 2. Los servidores de bases de datos, aplicaciones y web están configurados en tres subredes privadas diferentes. Los servidores de bases de datos, aplicaciones y web están configurados en tres subredes privadas diferentes.3 La VPC tiene dos tablas de rutas: una para la subred pública y otra para todas las subredes privadas
A. ñadir una regla de denegación al grupo de seguridad de la VPC pública para bloquear la IP maliciosa
B. ñadir la IP maliciosa a las IPs backhsted de IAM WAF
C. onfigurar iptables de Linux o Firewall de Windows para bloquear cualquier tráfico de la IP maliciosa
D. odificar la zona hospedada en Amazon Route 53 y crear un sumidero DNS para la IP maliciosa
Ver respuesta
Respuesta correcta: A
Cuestionar #93
Una empresa utiliza un bucket de Amazon S3 para almacenar informes La administración ha ordenado que todos los objetos nuevos almacenados en este bucket se cifren en reposo utilizando el cifrado del lado del servidor con una CMK de IAM Key Management Service (IAM KMS) especificada por el cliente que pertenezca a la misma cuenta que el bucket de S3. El número de cuenta IAM es 111122223333, y el nombre del bucket es report bucket. El especialista en seguridad de la empresa debe redactar la política del bucket de S3 para garantizar que se pueda implementar el mandato
A. rear un repositorio CodeCommit en la cuenta de seguridad utilizando IAM Key Management Service (IAM KMS) tor encriptación Exigir al equipo de desarrollo que migre el código fuente de Lambda a este repositorio
B. lmacenar la clave de API en un bucket de Amazon S3 en la cuenta de seguridad utilizando el cifrado del lado del servidor con claves de cifrado administradas de Amazon S3 (SSE-S3) para cifrar la clave Crear una URL resignada tor la clave de S3
C. rear un secreto en IAM Secrets Manager en la cuenta de seguridad para almacenar la clave de API utilizando IAM Key Management Service (IAM KMS) tor cifrado Conceder acceso al rol de IAM utilizado por la función Lambda para que la función pueda recuperar la clave de Secrets Manager y llamar a la API
D. rear una variable de entorno cifrada para que la función Lambda almacene la clave de API mediante el cifrado tor IAM Key Management Service (IAM KMS) Conceder acceso al rol de IAM utilizado por la función Lambda para que la función pueda descifrar la clave en tiempo de ejecución
Ver respuesta
Respuesta correcta: D
Cuestionar #94
Un equipo de desarrollo está utilizando una CMK de IAM Key Management Service (IAM KMS) para intentar cifrar y descifrar un parámetro de cadena segura del almacén de parámetros de IAM Systems Manager. Sin embargo, el equipo de desarrollo recibe un mensaje de error en cada intento. ¿Qué problemas relacionados con la CMK podrían ser la causa del error? (Seleccione DOS.)
A. abilitar Amazon GuardDuty en todas las Regiones
B. tilizar una organización en IAM Organizations
C. provisionar recursos EC2 utilizando plantillas IAM Cloud Formation a través de IAM CodePipeline
D. rear una regla IAM Config para prevenir actividad no autorizada fuera de us-east-1 y us-west-2
Ver respuesta
Respuesta correcta: AD
Cuestionar #95
Una empresa tiene un conjunto de Instancias EC2 alojadas en IAM. Las instancias EC2 tienen volúmenes EBS que se utilizan para almacenar información crítica. Existe un requisito de continuidad de negocio para garantizar la alta disponibilidad de los volúmenes EBS. ¿Cómo se puede conseguir esto?
A. tilizar políticas de ciclo de vida para los volúmenes EBS
B. tilizar instantáneas EBS
C. tilizar la replicación de volúmenes EBS
D. tilizar el cifrado de volúmenes EBS
Ver respuesta
Respuesta correcta: B
Cuestionar #96
Actualmente hay múltiples aplicaciones alojadas en una VPC. Durante el monitoreo se ha notado que múltiples escaneos de puertos están entrando desde un bloque específico de direcciones IP. El equipo de seguridad interna ha solicitado que se denieguen todas las direcciones IP infractoras durante las próximas 24 horas. ¿Cuál de los siguientes es el mejor método para denegar rápida y temporalmente el acceso desde las direcciones IP especificadas?
A. ree una política de AD para modificar la configuración del Firewall de Windows en todos los hosts de la VPC para denegar el acceso desde el bloque de direcciones IP
B. odifique las ACL de red asociadas a todas las subredes públicas de la VPC para denegar el acceso desde el bloque de direcciones IP
C. ñada una regla a todos los grupos de seguridad de la VPC para denegar el acceso desde el bloque de direcciones IP
D. odificar la configuración del Firewall de Windows en todas las AMI'S que su organización utiliza en esa VPC para denegar el acceso desde el bloque de direcciones IP
Ver respuesta
Respuesta correcta: B
Cuestionar #97
Una empresa ha desplegado Amazon GuardDuty en la región us-east-1. La empresa desea que se inspeccionen todos los logs de DNS relacionados con las instancias de Amazon EC2 de la empresa. La empresa desea que se inspeccionen todos los logs de DNS relacionados con las instancias de Amazon EC2 de la empresa
A. tilizar direcciones IPv6 configuradas para nombres de host
B. Configurar los resolvedores DNS externos como resolvedores internos visibles sólo para IAM
C. tilizar resolvedores DNS IAM para todas las instancias EC2
D. Configurar un resolver DNS de terceros con registro para todas las instancias EC2
Ver respuesta
Respuesta correcta: C
Cuestionar #98
Un desarrollador está creando una aplicación sin servidor alojada en AWS que utiliza Amazon Redshift como almacén de datos La aplicación tiene módulos separados para funcionalidad de lectura y escritura Los módulos necesitan sus propios usuarios de base de datos por motivos de conformidad.Qué combinación de pasos debería implementar un ingeniero de seguridad para conceder el acceso adecuado? (Seleccione DOS.)
A. onfigurar grupos de seguridad de cluster para cada módulo de aplicación para controlar el acceso a los usuarios de base de datos que se requieren para sólo lectura y lectura-escriturA
B. onfigurar un endpoint VPC para Amazon Redshift Configurar una política de endpoint que asigne usuarios de base de datos a cada módulo de aplicación, y permitir el acceso a las tablas que se requieren para sólo lectura y lectura/escriturA
C. onfigure una política 1AM para cada módulo Especifique el ARN de un usuario de base de datos de Amazon Redshift que permita la llamada a la API GetClusterCredentials
D. rear usuarios locales de base de datos para cada módulo
E. onfigure una política 1AM para cada módulo Especifique el ARN de un usuario 1AM que permita la llamada a la API GetClusterCredentials
Ver respuesta
Respuesta correcta: A
Cuestionar #99
Un ingeniero de seguridad recibe un aviso del equipo de AWS Abuse sobre actividad sospechosa de una instancia de Amazon EC2 basada en Linux que utiliza almacenamiento basado en Amazon Elastic Block Store (Amazon EBS> La instancia está realizando conexiones a direcciones maliciosas conocidas.La instancia está en una cuenta de desarrollo dentro de una VPC que está en la Región us-east-1 La VPC contiene una puerta de enlace a internet y tiene una subred en us-east-1a y us-easMb Cada subred está asociada con una tabla de rutas que utiliza la puerta de enlace a internet como ro por defecto
A. nicie sesión en la instancia sospechosa y utilice el comando netstat para identificar conexiones remotas Utilice las direcciones IP de estas conexiones remotas para crear reglas de denegación en el grupo de seguridad de la instancia Instale herramientas de diagnóstico en la instancia para la investigación Actualice la ACL de red saliente para la subred en us-east- lb para denegar explícitamente todas las conexiones como primera regla durante la investigación de la instanciA
B. ctualice la ACL de red saliente para la subred en us-east-1b para denegar explícitamente todas las conexiones como primera regla Sustituya el grupo de seguridad por un nuevo grupo de seguridad que solo permita conexiones desde un grupo de seguridad de diagnóstico Actualice la ACL de red saliente para la subred us-east-1b para eliminar la regla denegar todo Lance una nueva instancia EC2 que tenga herramientas de diagnóstico Asigne el nuevo grupo de seguridad a la nueva instancia EC2 Utilice la nueva instancia EC2 para investigar la instancia sospechosA
C. segurarse de que los volúmenes de Amazon Elastic Block Store (Amazon EBS) que están adjuntos a la instancia EC2 sospechosa no se eliminarán al terminar la instancia Lanzar una nueva instancia EC2 en us-east-1a que tenga herramientas de diagnóstico Montar los volúmenes EBS de la instancia terminada para su investigación
D. ree una ACL web de AWS WAF que deniegue el tráfico hacia y desde la instancia sospechosa Adjunte la ACL web de AWS WAF a la instancia para mitigar el ataque Inicie sesión en la instancia e instale herramientas de diagnóstico para investigar la instanciA
Ver respuesta
Respuesta correcta: B
Cuestionar #100
Un ingeniero de seguridad recibe un aviso del equipo de AWS Abuse sobre actividad sospechosa de una instancia de Amazon EC2 basada en Linux que utiliza almacenamiento basado en Amazon Elastic Block Store (Amazon EBS> La instancia está realizando conexiones a direcciones maliciosas conocidas.La instancia está en una cuenta de desarrollo dentro de una VPC que está en la Región us-east-1 La VPC contiene una puerta de enlace a internet y tiene una subred en us-east-1a y us-easMb Cada subred está asociada con una tabla de rutas que utiliza la puerta de enlace a internet como ro por defecto
A. nicie sesión en la instancia sospechosa y utilice el comando netstat para identificar conexiones remotas Utilice las direcciones IP de estas conexiones remotas para crear reglas de denegación en el grupo de seguridad de la instancia Instale herramientas de diagnóstico en la instancia para la investigación Actualice la ACL de red saliente para la subred en us-east- lb para denegar explícitamente todas las conexiones como primera regla durante la investigación de la instanciA
B. ctualice la ACL de red saliente para la subred en us-east-1b para denegar explícitamente todas las conexiones como primera regla Sustituya el grupo de seguridad por un nuevo grupo de seguridad que solo permita conexiones desde un grupo de seguridad de diagnóstico Actualice la ACL de red saliente para la subred us-east-1b para eliminar la regla denegar todo Lance una nueva instancia EC2 que tenga herramientas de diagnóstico Asigne el nuevo grupo de seguridad a la nueva instancia EC2 Utilice la nueva instancia EC2 para investigar la instancia sospechosA
C. segurarse de que los volúmenes de Amazon Elastic Block Store (Amazon EBS) que están adjuntos a la instancia EC2 sospechosa no se eliminarán al terminar la instancia Lanzar una nueva instancia EC2 en us-east-1a que tenga herramientas de diagnóstico Montar los volúmenes EBS de la instancia terminada para su investigación
D. ree una ACL web de AWS WAF que deniegue el tráfico hacia y desde la instancia sospechosa Adjunte la ACL web de AWS WAF a la instancia para mitigar el ataque Inicie sesión en la instancia e instale herramientas de diagnóstico para investigar la instanciA
Ver respuesta
Respuesta correcta: B
Cuestionar #101
Una gran empresa está creando una estrategia multicuenta y necesita determinar cómo deben acceder sus empleados a la infraestructura IAM. ¿Cuál de las siguientes soluciones proporcionaría la solución MÁS escalable?
A. rear usuarios IAM dedicados dentro de cada cuenta IAM que los empleados puedan asumir a través de la federación basada en la pertenencia a grupos en su proveedor de identidad existente
B. tilizar una cuenta centralizada con roles de IAM que los empleados puedan asumir a través de la federación con su proveedor de identidad existente Utilizar roles de cuentas cruzadas para permitir que los usuarios federados asuman su rol de destino en las cuentas de recursos
C. onfigurar el Servicio de Token de Seguridad IAM para utilizar tokens Kerberos para que los usuarios puedan utilizar sus nombres de usuario y contraseñas corporativas existentes para acceder directamente a los recursos IAM
D. Configurar las políticas de confianza IAM dentro del rol de cada cuenta para establecer una confianza de vuelta al proveedor de identidad existente de la corporación permitiendo a los usuarios asumir el rol basado en su token SAML
Ver respuesta
Respuesta correcta: B
Cuestionar #102
Una empresa está creando una aplicación sobre IAM que almacenará información sensible. La empresa tiene un equipo de soporte con acceso a la infraestructura de TI, incluidas las bases de datos. El ingeniero de seguridad de la empresa debe introducir medidas para proteger los datos confidenciales contra cualquier violación de datos, minimizando al mismo tiempo los gastos generales de gestión. Las credenciales deben rotarse periódicamente. ¿Qué debe recomendar el ingeniero de seguridad?
A. abilite el cifrado de Amazon RDS para cifrar la base de datos y las snapshots
B. nstale una base de datos en una instancia de Amazon EC2
C. abilite el cifrado de Amazon RDS para cifrar la base de datos y las snapshots
D. onfigurar un clúster IAM CloudHSM con IAM Key Management Service (IAM KMS) para almacenar claves KMS
Ver respuesta
Respuesta correcta: C

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.