¿NO QUIERES PERDERTE NADA?

Consejos para aprobar el examen de certificación

Últimas noticias sobre exámenes e información sobre descuentos.

Curado y actualizado por nuestros expertos.

Sí, envíame el boletín.

Apruebe el examen AWS fácilmente con las preguntas prácticas SCS-C02 actualizadas

El acceso a nuestros recursos y materiales de estudio para la preparación de exámenes proporciona una comprensión profunda de la clasificación profesional de datos, los mecanismos de protección de datos de AWS, los métodos de cifrado de datos y los mecanismos de AWS que implementan estos métodos. Nuestros exámenes de prueba simulan el ambiente real del examen, permitiéndole practicar bajo las condiciones del examen y refinar sus estrategias para el éxito. La preparación para el examen AWS SCS-C02 de SPOTO ofrece ventajas significativas para las personas que buscan obtener la certificación AWS Certified Security - Specialty. Nuestras preguntas y respuestas completas del examen se diseñan meticuloso para cubrir asuntos dominantes, asegurándose de que los individuos certificados pueden crear e implementar confiadamente soluciones de la seguridad en la nube de AWS.
Realizar otros exámenes en línea

Cuestionar #1
Una empresa está utilizando IAM Organizations para desarrollar una estrategia de red segura multicuenta. La empresa planea utilizar cuentas separadas gestionadas centralmente para servicios compartidos, auditoría e inspección de seguridad. La empresa planea proporcionar docenas de cuentas adicionales a los propietarios de aplicaciones para entornos de producción y desarrollo.La política de seguridad de la empresa requiere que todo el tráfico de Internet se enrute a través de una capa de inspección de seguridad gestionada centralmente en la cuenta de inspección de seguridad. Un ingeniero de seguridad
A. ree una política de IAM que prohíba los cambios en la ruta específica de CloudTrail y aplique la política al usuario raíz de la cuenta de IAM
B. ree una política de bucket de S3 en la cuenta de destino especificada para la ruta de CloudTrail que prohíba los cambios de configuración del usuario raíz de la cuenta de IAM en la cuenta de origen
C. ree un SCP que prohíba los cambios en la ruta específica de CloudTrail y aplique el SCP a la unidad organizativa o cuenta apropiada en Organizaciones
D. ree una política de IAM que prohíba los cambios a la ruta específica de CloudTrail y aplique la política a un nuevo grupo de IAM
Ver respuesta
Respuesta correcta: C
Cuestionar #2
Se ha pedido a un Arquitecto de Seguridad que revise una arquitectura de seguridad existente e identifique por qué los servidores de aplicaciones no pueden iniciar con éxito una conexión a los servidores de bases de datos. El siguiente resumen describe la arquitectura:1 Un Application Load Balancer, una puerta de enlace a Internet y una puerta de enlace NAT están configurados en la subred pública 2. Los servidores de bases de datos, aplicaciones y web están configurados en tres subredes privadas diferentes. Los servidores de bases de datos, aplicaciones y web están configurados en tres subredes privadas diferentes.3 La VPC tiene dos tablas de rutas: una para la subred pública y otra para todas las subredes privadas
A. ñadir una regla de denegación al grupo de seguridad de la VPC pública para bloquear la IP maliciosa
B. ñadir la IP maliciosa a las IPs backhsted de IAM WAF
C. onfigurar iptables de Linux o Firewall de Windows para bloquear cualquier tráfico de la IP maliciosa
D. odificar la zona hospedada en Amazon Route 53 y crear un sumidero DNS para la IP maliciosa
Ver respuesta
Respuesta correcta: A
Cuestionar #3
Una empresa recibe una notificación del equipo de AWS Abuse sobre una cuenta de AWS La notificación indica que un recurso de la cuenta está comprometido La empresa determina que el recurso comprometido es una instancia de Amazon EC2 que aloja una aplicación web La instancia de EC2 comprometida forma parte de un grupo de EC2 Auto Scaling.La instancia de EC2 accede a los recursos de Amazon S3 y Amazon DynamoDB utilizando una clave de acceso 1AM y una clave secreta La clave de acceso 1AM y la clave secreta se almacenan dentro de la AMI que se especifica
A. otar la clave de acceso potencialmente comprometida que utiliza la instancia EC2 Crear un nuevo AM I sin las credenciales potencialmente comprometidas Realizar un refresco de instancia EC2 Auto Scaling
B. liminar o desactivar la clave de acceso potencialmente comprometida Crear un rol 1AM vinculado a EC2 Auto Scaling que incluya una política personalizada que coincida con el permiso de la clave de acceso potencialmente comprometida Asociar el nuevo rol 1AM con el grupo Auto Scaling Realizar una actualización de la instancia de EC2 Auto Scaling
C. liminar o desactivar la clave de acceso potencialmente comprometida Crear una nueva AMI sin las credenciales potencialmente comprometidas Crear un rol 1AM que incluya los permisos correctos Crear una plantilla de lanzamiento para el grupo Auto Scaling que haga referencia a la nueva AMI y al rol 1AM Realizar una actualización de la instancia de EC2 Auto Scaling
D. otar la clave de acceso potencialmente comprometida Crear una nueva AMI sin la clave de acceso potencialmente comprometida Utilizar un script de datos de usuario para suministrar la nueva clave de acceso como variables de entorno en la configuración de lanzamiento del grupo de Auto Scaling Realizar una actualización de instancia de EC2 Auto Scaling
Ver respuesta
Respuesta correcta: C
Cuestionar #4
Su director de tecnología está muy preocupado por la seguridad de su cuenta IAM. Cuál es la mejor manera de evitar que los hackers secuestren completamente su cuenta?
A. tiliza una contraseña corta pero compleja en la cuenta root y en cualquier administrador
B. tilice IAM IAM Geo-Lock y no permita el acceso a nadie excepto en su ciudad
C. tilizar MFA en todos los usuarios y cuentas, especialmente en la cuenta root
D. o anotes ni recuerdes la contraseña de la cuenta root después de crear la cuenta IAM
Ver respuesta
Respuesta correcta: C
Cuestionar #5
El equipo de operaciones en la nube de una empresa es responsable de crear una seguridad eficaz para el acceso entre cuentas de IAM. El equipo pide a un ingeniero de seguridad que le ayude a solucionar el problema de por qué algunos desarrolladores de la cuenta de desarrollador (123456789012) del grupo de desarrolladores no pueden asumir una función de cuenta cruzada (ReadS3) en una cuenta de producción (999999999999) para leer el contenido de un bucket de Amazon S3 (productionapp). Las dos políticas de cuenta son las siguientes:¿Qué recomendaciones debe hacer el ingeniero de seguridad para resolver
A. tilice la Torre de Control IAM
B. rear una VPC gestionada centralmente en la cuenta de inspección de seguridad
C. tilizar Torre de Control IAM
D. abilitar IAM Resource Access Manager (IAM RAM) para Organizaciones IAM
Ver respuesta
Respuesta correcta: AD
Cuestionar #6
Por motivos de cumplimiento, un ingeniero de seguridad debe elaborar un informe semanal en el que se enumere cualquier instancia que no tenga aplicados los últimos parches aprobados. El ingeniero también debe asegurarse de que ningún sistema pase más de 30 días sin que se apliquen las últimas actualizaciones aprobadas
A. tilizar el inspector de Amazon para determinar qué sistemas no tienen aplicados los últimos parches y, transcurridos 30 días, volver a implementar esas instancias con la última versión de la AMI
B. onfigure Amazon EC2 Systems Manager para que informe sobre la conformidad de los parches de las instancias y aplique las actualizaciones durante las ventanas de mantenimiento definidas
C. xamine los togs de IAM CloudTrail para determinar si alguna instancia no se ha reiniciado en los últimos 30 días, y redistribuya esas instancias
D. ctualizar los AMls con los últimos parches aprobados y volver a desplegar cada instancia durante la ventana de mantenimiento definidA
Ver respuesta
Respuesta correcta: B
Cuestionar #7
Durante una revisión manual de los logs del sistema de una instancia de Amazon Linux EC2, un ingeniero de seguridad se dio cuenta de que hay comandos sudo que nunca fueron alertados o reportados correctamente en el agente Amazon CloudWatch Logs.¿Por qué no hubo alertas en los comandos sudo?
A. ay un grupo de seguridad bloqueando el tráfico del puerto 80 de salida que está impidiendo que el agente envíe los logs
B. El perfil de instancia de IAM de la instancia EC2 no se ha configurado correctamente para permitir que el agente de CloudWatch Logs envíe los registros a CloudWatch
C. l estado de CloudWatch Logs está configurado en ON frente a SECURE, lo que impide que extraiga registros de eventos de seguridad del sistema operativo
D. a VPC requiere que todo el tráfico pase a través de un proxy, y el agente CloudWatch Logs no soporta una configuración de proxy
Ver respuesta
Respuesta correcta: B
Cuestionar #8
Una empresa utiliza Amazon API Gateway para presentar las API de REST a los usuarios. Un desarrollador de API desea analizar los patrones de acceso a las API sin necesidad de analizar los archivos de registro. ¿Qué combinación de pasos satisfará estos requisitos con el MENOR esfuerzo? (Seleccione DOS.)
A. onfigure la función S3 Block Public Access para la cuenta de AWS
B. onfigure la función de acceso público a bloques de S3 para todos los objetos que se encuentran en el bucket
C. esactivar ACLs para objetos que están en el bucket
D. Utilice AWS PrivateLink para Amazon S3 para acceder al bucket
Ver respuesta
Respuesta correcta: CD
Cuestionar #9
Un equipo de Desarrollo ha construido un entorno experimental para probar una simple aplicación web stale Ha construido una VPC aislada con una subred privada y otra pública. La subred pública contiene únicamente un Application Load Balancer, una puerta de enlace NAT y una puerta de enlace a Internet. La subred privada contiene todas las instancias de Amazon EC2. Hay 3 tipos diferentes de servidores Cada tipo de servidor tiene su propio Grupo de Seguridad que limita el acceso sólo a la conectividad requerida. Los grupos de seguridad tienen reglas de entrada y salida que se aplican a los servidores
A. tilizar volúmenes de Amazon EBS cifrados con claves predeterminadas de Amazon (IAM EBS)
B. tilizar el cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C)
C. tilizar el cifrado del lado del servidor con claves gestionadas por IAM KMS (SSE-KMS)
D. tilizar el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3)
Ver respuesta
Respuesta correcta: CEF
Cuestionar #10
Una empresa está ejecutando una aplicación en la región eu-west-1. La aplicación utiliza una CMK de IAM Key Management Service (IAM KMS) para cifrar datos confidenciales.
A. La compañía planea desplegar la aplicación en la región eu-north-1
B. ctualizar las políticas de claves en eu-west-1
C. signar una nueva CMK a eu-north-1 para ser utilizada por la aplicación que se despliegue en esa Región
D. signar una nueva CMK a eu-north-1
E. signa una nueva CMK a eu-north-1
Ver respuesta
Respuesta correcta: B
Cuestionar #11
Los auditores de una empresa de atención sanitaria han exigido que todos los volúmenes de datos estén cifrados en reposo La infraestructura se despliega principalmente a través de IAM CloudFormation, aunque se requieren marcos de terceros y despliegue manual en algunos sistemas heredados ¿Cuál es la MEJOR manera de supervisar, de forma recurrente, si todos los volúmenes de EBS están cifrados?
A. iltre el historial de eventos en la clave de acceso expuesta en la consola de CloudTrail Examine los datos de los últimos 11 días
B. se the IAM CLI lo generate an IAM credential report Extraiga todos los datos de los últimos 11 días
C. tilizar Amazon Athena para consultar los logs de CloudTrail de Amazon S3 Recuperar las filas de la clave de acceso expuesta en los últimos 11 días
D. tilice la pestaña Access Advisor en la consola IAM para ver toda la actividad de la clave de acceso de los últimos 11 días
Ver respuesta
Respuesta correcta: B
Cuestionar #12
Una empresa tiene tiendas minoristas La empresa está diseñando una solución para almacenar copias escaneadas de recibos de clientes en Amazon S3 Los archivos tendrán entre 100 KB y 5 MB en formato PDF Cada tienda minorista debe tener una clave de cifrado única Cada objeto debe cifrarse con una clave única.Qué solución cumplirá estos requisitos?
A. ree una clave administrada por el cliente de AWS Key Management Service (AWS KMS) dedicada para cada tienda minorista Utilice la operación S3 Put para cargar los objetos en Amazon S3 Especifique el cifrado del lado del servidor con claves de AWS KMS (SSE-KMS) y el ID de la clave de la tiendA
B. rear una nueva clave administrada por el cliente de AWS Key Management Service (AWS KMS) cada día para cada tienda minorista Utilizar la operación KMS Encrypt para cifrar objetos A continuación, cargar los objetos en Amazon S3
C. jecutar la operación GenerateDataKey de AWS Key Management Service (AWS KMS) todos los días para cada tienda minorista Utilizar la clave de datos y el cifrado del lado del cliente para cifrar los objetos A continuación, cargar los objetos en Amazon S3
D. tilizar la operación ImportKeyMaterial de AWS Key Management Service (AWS KMS) para importar nuevo material de claves a AWS KMS cada día para cada tienda minorista Utilizar una clave administrada por el cliente y la operación Encrypt de KMS para cifrar los objetos A continuación, cargar los objetos en Amazon S3
Ver respuesta
Respuesta correcta: A
Cuestionar #13
Una empresa tiene una función de AWS Lambda que crea miniaturas de imágenes a partir de imágenes más grandes. La función Lambda necesita acceso de lectura y escritura a un bucket de Amazon S3 en la misma cuenta de AWS (Elija dos.)
A. rear un usuario IAM que sólo tenga acceso programático
B. enerar un par de claves de Amazon EC2
C. ree un rol de IAM para la función LambdA
D. Crear un rol IAM para la función LambdA
E. Crear un grupo de seguridad
Ver respuesta
Respuesta correcta: BE
Cuestionar #14
Una empresa está creando una aplicación de procesamiento de datos que utiliza funciones de AWS Lambda. Las funciones de Lambda de la aplicación deben comunicarse con una instancia de Amazon RDS OB implementada en una VPC en la misma cuenta de AWS
A. onfigurar la instancia de base de datos para permitir el acceso público Actualizar el grupo de seguridad de la instancia de base de datos para permitir el acceso desde el espacio de direcciones público de Lambda para la región de AWS
B. mplementar las funciones de Lambda dentro de la VPC Adjuntar una ACL de red a la subred de Lambda Proporcionar acceso de reglas salientes únicamente al intervalo CIDR de la VPC Actualizar el grupo de seguridad de la instancia de base de datos para permitir el tráfico de 0
C. esplegar las funciones de Lambda dentro de la VPC Adjuntar un grupo de seguridad a las funciones de Lambda Proporcionar acceso de reglas salientes solo al rango CIDR de la VPC Actualizar el grupo de seguridad de la instancia de DB para permitir el tráfico del grupo de seguridad de LambdA
D. Emparejar la VPC predeterminada de Lambda con la VPC que aloja la instancia de base de datos para permitir el acceso directo a la red sin necesidad de grupos de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #15
Un desarrollador inició sesión en una cuenta nueva dentro de una unidad organizativa (OU) de IAM Organization que contiene varias cuentas. El acceso al servicio Amazon $3 está restringido con el siguiente SCP. ¿Cómo puede el ingeniero de seguridad proporcionar al desarrollador acceso a Amazon $3 sin afectar a otras cuentas?
A. ueva el SCP a la OU raíz de la organización para eliminar la restricción de acceso a Amazon $3
B. ñadir una política IAM para el desarrollador, que conceda acceso de 3$
C. rear una nueva OU sin aplicar el SCP restringiendo el acceso de $3
D. ñadir una lista de permitidos para la cuenta de desarrollador para el servicio $3
Ver respuesta
Respuesta correcta: C
Cuestionar #16
Una empresa tiene un grupo de instancias de Amazon EC2 en una única subred privada de una VPC sin puerta de enlace a Internet conectada. Un ingeniero de seguridad ha instalado el agente de Amazon CloudWatch en todas las instancias de esa subred para capturar logs de una aplicación específica. Para garantizar que los logs fluyan de forma segura, el equipo de redes de la compañía ha creado puntos finales de VPC para la monitorización de CloudWatch y los logs de CloudWatch. El equipo de redes ha conectado los puntos finales a la VPC y la aplicación está generando registros. Sin embargo, cuando la se
A. segúrese de que el perfil de instancia EC2 que se adjunta a las instancias EC2 tiene permisos para crear flujos de registro y escribir registros
B. rear un filtro de métricas en los logs para poder visualizarlos en la consola de administración de AWS
C. ompruebe el archivo de configuración del agente de CloudWatch en cada instancia EC2 para asegurarse de que el agente de CloudWatch está recopilando los archivos de registro adecuados
D. ompruebe las políticas de punto final de la VPC de ambos puntos finales de la VPC para asegurarse de que las instancias EC2 tienen permisos para utilizarlos
E. rear una puerta de enlace NAT en la subred para que las instancias EC2 puedan comunicarse con CloudWatch
Ver respuesta
Respuesta correcta: ACD
Cuestionar #17
Amazon GuardDuty ha detectado comunicaciones a un endpoint de comando y control conocido desde una instancia de Amazon EC2 de una empresa. Se descubrió que la instancia ejecutaba una versión vulnerable de un marco web común. El equipo de operaciones de seguridad de la empresa desea identificar rápidamente otros recursos informáticos con la versión específica de ese framework instalada
A. nalice todas las instancias EC2 en busca de incumplimientos de IAM Config
B. nalizar todas las instancias EC2 con el paquete de reglas Amazon Inspector Network Reachability para identificar las instancias que ejecutan un servidor web con resultados RecognizedPortWithListener
C. scanear todas las instancias EC2 con IAM Systems Manager para identificar la versión vulnerable del framework web
D. Escanear las instancias EC2 con IAM Resource Access Manager para identificar la versión vulnerable del framework web
Ver respuesta
Respuesta correcta: C
Cuestionar #18
Tienes un bucket S3 definido en IAM. Desea asegurarse de que cifra los datos antes de enviarlos por cable.
A. abilitar el cifrado del lado del servidor para el cubo de S3
B. Utilice la CLI de cifrado de IAM para cifrar los datos en primer lugar
C. tilizar una función Lambda para cifrar los datos antes de enviarlos al bucket de S3
D. Habilitar el cifrado de cliente para el cubo
Ver respuesta
Respuesta correcta: B
Cuestionar #19
El ingeniero de seguridad de una empresa ha recibido el encargo de restringir el acceso de la cuenta IAM de un contratista a la consola de Amazon EC2 de la empresa sin proporcionar acceso a ningún otro servicio IAM La cuenta IAM del contratista no debe poder obtener acceso a ningún otro servicio IAM, incluso si la cuenta IAM tiene asignados permisos adicionales basados en la pertenencia a un grupo IAM ¿Qué debe hacer el ingeniero de seguridad para cumplir estos requisitos?
A. rear una política de usuario IAM mime que permita el acceso a Amazon EC2 para el usuario IAM del contratistA
B. rear una política de límites de permisos IAM que permita el acceso a Amazon EC2 Asociar la cuenta IAM del contratista con la política de límites de permisos IAM
C. rear un grupo IAM con una política adjunta que permita el acceso a Amazon EC2 Asociar la cuenta IAM del contratista con el grupo IAM
D. rear un rol IAM que permita EC2 y niegue explícitamente todos los demás servicios Instruir al contratista para que asuma siempre este rol
Ver respuesta
Respuesta correcta: B
Cuestionar #20
Su empresa utiliza IAM para alojar sus recursos. Ellos tienen los siguientes requisitos.1) Registrar todas las llamadas a la API y Transitions.2) Ayuda en la comprensión de lo que los recursos están ahí en la account.3) Facilidad para permitir la auditoría de credenciales e inicios de sesión ¿Qué servicios serían suficientes los requisitos anteriores.
A. nspector de IAM, CloudTrail, Informes de credenciales de IAM
B. loudTrail
C. loudTrail, IAM Config, Informes de credenciales de IAM
D. AM SQS, Informes de credenciales de IAM, CloudTrail
Ver respuesta
Respuesta correcta: C
Cuestionar #21
Las redes on-premise de una empresa están conectadas a VPC mediante un gateway IAM Direct Connect. La aplicación on-premise de la empresa necesita transmitir datos mediante una transmisión de entrega de Amazon Kinesis Data Firehose existente. La política de seguridad de la empresa exige que los datos se cifren en tránsito mediante una red privada
A. Cree un punto final de VPC para Kinesis Data Firehose
B. onfigurar una política de IAM para restringir el acceso a Kinesis Data Firehose utilizando una condición de IP de origen
C. ree un nuevo certificado TLS en IAM Certificate Manager (ACM)
D. Asociar la red local con la VPC de Kinesis Data Firehose mediante Direct Connect
Ver respuesta
Respuesta correcta: A
Cuestionar #22
Una empresa despliega una aplicación web distribuida en una flota de instancias de Amazon EC2. La flota está detrás de un Application Load Balancer (ALB) que se configurará para terminar la conexión TLS. Todo el tráfico TLS al ALB debe permanecer seguro, incluso si la clave privada del certificado se ve comprometida
A. Cree un receptor HTTPS que utilice un certificado gestionado por el Administrador de certificados de IAM (ACM)
B. Crear un receptor HTTPS que utilice una política de seguridad que utilice un conjunto de cifrado con secreto perfecto (PFS)
C. ree una escucha HTTPS que utilice la función de seguridad Server Order Preference
D. Crear una escucha TCP que utilice una política de seguridad personalizada que sólo permita suites de cifrado con secreto de reenvío perfecto (PFS)
Ver respuesta
Respuesta correcta: A
Cuestionar #23
Una empresa utiliza un bucket de Amazon S3 para almacenar informes La administración ha ordenado que todos los objetos nuevos almacenados en este bucket se cifren en reposo utilizando el cifrado del lado del servidor con una CMK de IAM Key Management Service (IAM KMS) especificada por el cliente que pertenezca a la misma cuenta que el bucket de S3. El número de cuenta IAM es 111122223333, y el nombre del bucket es report bucket. El especialista en seguridad de la empresa debe redactar la política del bucket de S3 para garantizar que se pueda implementar el mandato
A. rear un repositorio CodeCommit en la cuenta de seguridad utilizando IAM Key Management Service (IAM KMS) tor encriptación Exigir al equipo de desarrollo que migre el código fuente de Lambda a este repositorio
B. lmacenar la clave de API en un bucket de Amazon S3 en la cuenta de seguridad utilizando el cifrado del lado del servidor con claves de cifrado administradas de Amazon S3 (SSE-S3) para cifrar la clave Crear una URL resignada tor la clave de S3
C. rear un secreto en IAM Secrets Manager en la cuenta de seguridad para almacenar la clave de API utilizando IAM Key Management Service (IAM KMS) tor cifrado Conceder acceso al rol de IAM utilizado por la función Lambda para que la función pueda recuperar la clave de Secrets Manager y llamar a la API
D. rear una variable de entorno cifrada para que la función Lambda almacene la clave de API mediante el cifrado tor IAM Key Management Service (IAM KMS) Conceder acceso al rol de IAM utilizado por la función Lambda para que la función pueda descifrar la clave en tiempo de ejecución
Ver respuesta
Respuesta correcta: D
Cuestionar #24
Un equipo de aplicaciones desea utilizar IAM Certificate Manager (ACM) para solicitar certificados públicos con el fin de garantizar la seguridad de los datos en tránsito. Los dominios que se están utilizando no están alojados actualmente en Amazon Route 53El equipo de aplicaciones desea utilizar una solución de distribución y almacenamiento en caché administrada por IAM para optimizar las solicitudes a sus sistemas y proporcionar mejores puntos de presencia a los clientes La solución de distribución utilizará un nombre de dominio principal personalizado La solución de distribución también utilizará varios nombres de dominio alternativos
A.
B.
C.
Ver respuesta
Respuesta correcta: CDF
Cuestionar #25
Una empresa necesita conservar archivos de datos tog durante varios años para cumplir la normativa. Los datos ya no se utilizan, pero deben conservarse. ¿Cuál es la solución MÁS segura y rentable para cumplir estos requisitos?
A. rchivar los datos en Amazon S3 y aplicar una política de bucket restrictiva para denegar la API DeleteOotect de s3
B. Archivar los datos en Amazon S3 Glacier y aplicar una política de bloqueo de bóvedas
C. rchivar los datos en Amazon S3 y replicarlos en un segundo bucket en una segunda región de IAM Elegir la clase de almacenamiento S3 Standard-Infrequent Access (S3 Standard-1A) y aplicar una política de bucket restrictiva para denegar la API s3 DeleteObject
D. igrar los datos de registro a un volumen de 16 T8 de Amazon Elastic Block Store (Amazon EBS) Crear una instantánea del volumen EBS
Ver respuesta
Respuesta correcta: B
Cuestionar #26
Una empresa quiere asegurarse de que sus recursos IAM sólo pueden lanzarse en las regiones us-east-1 y us-west- 2. ¿Cuál es la solución MÁS eficiente desde el punto de vista operativo que impedirá a los desarrolladores lanzar instancias de Amazon EC2 en otras regiones?
A. ree un nuevo grupo de seguridad en la VPC de base de datos y cree una regla de entrada que permita todo el tráfico procedente del rango de direcciones IP de la VPC de aplicación
B. rear un nuevo grupo de seguridad en la VPC de aplicación con una regla de entrada que permita el rango de direcciones IP de la VPC de base de datos a través del puerto TCP 1521
C. rear un nuevo grupo de seguridad en la VPC de aplicación sin reglas de entradA
D. rear un nuevo grupo de seguridad en la VPC de aplicación con una regla de entrada que permita el rango de direcciones IP de la VPC de base de datos sobre el puerto TCP 1521
Ver respuesta
Respuesta correcta: C
Cuestionar #27
Una empresa está ejecutando una aplicación en la región eu-west-1. La aplicación utiliza una CMK de IAM Key Management Service (IAM KMS) para cifrar datos confidenciales.
A. La compañía planea desplegar la aplicación en la región eu-north-1
B. ctualizar las políticas de claves en eu-west-1
C. signar una nueva CMK a eu-north-1 para ser utilizada por la aplicación que se despliegue en esa Región
D. signar una nueva CMK a eu-north-1
E. signa una nueva CMK a eu-north-1
Ver respuesta
Respuesta correcta: B
Cuestionar #28
El Equipo de Seguridad de una empresa recibió una notificación por correo electrónico del equipo de Abuso de Amazon EC2 de que una o más de las instancias de Amazon EC2 de la empresa pueden haber sido comprometidas.¿Qué combinación de acciones debe tomar el equipo de Seguridad para responder a (ser módem actual? (Seleccione DOS.)
A. tilizar la monitorización de Amazon CloudWatch para capturar métricas de Amazon EC2 y de red Visualizar las métricas mediante paneles de control de Amazon CloudWatch
B. jecute el agente de Amazon Kinesis para escribir los datos de estado en Amazon Kinesis Data Firehose Almacene los datos de streaming de Kinesis Data Firehose en Amazon Redshift
C. scribir los datos de estado directamente en un bucket público de Amazon S3 desde el componente de comprobación de estado Configurar eventos de S3 para invocar una función de IAM Lambda que analice los datos
D. Generar eventos desde el componente de comprobación de estado y enviarlos a Amazon CloudWatch Events
Ver respuesta
Respuesta correcta: DE
Cuestionar #29
Una empresa recibe una notificación del equipo de AWS Abuse sobre una cuenta de AWS La notificación indica que un recurso de la cuenta está comprometido La empresa determina que el recurso comprometido es una instancia de Amazon EC2 que aloja una aplicación web La instancia de EC2 comprometida forma parte de un grupo de EC2 Auto Scaling.La instancia de EC2 accede a los recursos de Amazon S3 y Amazon DynamoDB utilizando una clave de acceso 1AM y una clave secreta La clave de acceso 1AM y la clave secreta se almacenan dentro de la AMI que se especifica
A. otar la clave de acceso potencialmente comprometida que utiliza la instancia EC2 Crear un nuevo AM I sin las credenciales potencialmente comprometidas Realizar un refresco de instancia EC2 Auto Scaling
B. liminar o desactivar la clave de acceso potencialmente comprometida Crear un rol 1AM vinculado a EC2 Auto Scaling que incluya una política personalizada que coincida con el permiso de la clave de acceso potencialmente comprometida Asociar el nuevo rol 1AM con el grupo Auto Scaling Realizar una actualización de la instancia de EC2 Auto Scaling
C. liminar o desactivar la clave de acceso potencialmente comprometida Crear una nueva AMI sin las credenciales potencialmente comprometidas Crear un rol 1AM que incluya los permisos correctos Crear una plantilla de lanzamiento para el grupo Auto Scaling que haga referencia a la nueva AMI y al rol 1AM Realizar una actualización de la instancia de EC2 Auto Scaling
D. otar la clave de acceso potencialmente comprometida Crear una nueva AMI sin la clave de acceso potencialmente comprometida Utilizar un script de datos de usuario para suministrar la nueva clave de acceso como variables de entorno en la configuración de lanzamiento del grupo de Auto Scaling Realizar una actualización de instancia de EC2 Auto Scaling
Ver respuesta
Respuesta correcta: C
Cuestionar #30
Una empresa utiliza Amazon Elastic Container Service (Amazon ECS) para implementar una aplicación que maneja datos confidenciales Durante una auditoría de seguridad reciente, la empresa identificó un problema de seguridad en el que las credenciales de Amazon RDS se almacenaban con el código de la aplicación En el repositorio de código fuente de la empresa.Un ingeniero de seguridad necesita desarrollar una solución para garantizar que las credenciales de la base de datos se almacenan de forma segura y se rotan periódicamente. Las credenciales sólo deben ser accesibles para la aplicación
A. tilizar el Almacén de Parámetros del Administrador de Sistemas IAM para generar credenciales de base de datos
B. tilizar IAM Secrets Manager para almacenar las credenciales de la base de datos
C. tilizar el Almacén de Parámetros del Administrador de Sistemas IAM para almacenar las credenciales de la base de datos
D. tilizar IAM Secrets Manager para almacenar las credenciales de la base de datos
Ver respuesta
Respuesta correcta: D
Cuestionar #31
El Director de Seguridad de una empresa ha solicitado que un Analista de Seguridad revise y mejore la postura de seguridad de cada cuenta IAM de la empresa El Analista de Seguridad decide hacer esto Mejorando la seguridad del usuario raíz de la cuenta IAM.¿Qué acciones debe tomar el Analista de Seguridad para cumplir con estos requisitos? (Seleccione TRES.)
A. onfiguración de SG de salida en servidores de bases de datos Configuración de SG de entrada en servidores de aplicaciones Configuración de ACL de red de entrada y salida en la subred de bases de datos Configuración de ACL de red de entrada y salida en la subred de servidores de aplicaciones
B. onfiguración de SG de entrada en los servidores de bases de datos
C. onfiguración de SG de entrada y salida en los servidores de bases de datos Configuración de SG de entrada y salida en los servidores de aplicaciones Configuración de ACL de red de entrada en la subred de la base de datos Configuración de ACL de red de salida en la subred del servidor de aplicaciones
D. onfiguración de SG de entrada en los servidores de base de datos Configuración de SG de salida en los servidores de aplicaciones Configuración de ACL de red de entrada en la subred de base de datos Configuración de ACL de red de salida en la subred del servidor de aplicaciones
Ver respuesta
Respuesta correcta: ADE
Cuestionar #32
Una empresa implementa un conjunto de roles IAM estándar en las cuentas de AWS. Los roles de IAM se basan en funciones laborales dentro de la empresa. Para equilibrar la eficacia operativa y la seguridad, un ingeniero de seguridad implementó SCP de organizaciones de AWS para restringir el acceso a servicios de seguridad críticos en todas las cuentas de la compañía. El ingeniero de seguridad debe asegurarse de que nadie pueda desactivar Amazon GuardDuty y AWS Security Hu
A. Opción
B. pción B
C. pción C
D. Opción D
Ver respuesta
Respuesta correcta: A
Cuestionar #33
Su empresa acaba de instalar un nuevo servidor central en una VPC. Hay un requisito para otros equipos que tienen sus servidores ubicados en diferentes VPC en la misma región para conectarse al servidor central.¿Cuál de las siguientes opciones es la más adecuada para lograr este requisito.
A. onfigurar VPC peering entre la VPC del servidor central y cada una de las VPC de los equipos
B. onfigurar IAM DirectConnect entre la VPC del servidor central y cada una de las VPC de los equipos
C. onfigurar un túnel IPSec entre la VPC del servidor central y cada una de las VPC de los equipos
D. inguna de las opciones anteriores funcionará
Ver respuesta
Respuesta correcta: A
Cuestionar #34
Una empresa desea establecer claves de IAM Key Management Service (IAM KMS) independientes para utilizarlas en diferentes servicios de IAM. El ingeniero de seguridad de la empresa creó la siguiente política de claves para permitir al equipo de despliegue de infraestructura crear volúmenes cifrados de Amazon Elastic Block Store (Amazon EBS) asumiendo el rol de IAM InfrastructureDeployment:El ingeniero de seguridad descubrió recientemente que los roles de IAM distintos del rol InfrastructureDeployment utilizaban esta clave (u otros servicios)
A. n el bloque de sentencia que contiene el Sid "Permitir el uso de la clave", en el bloque "Condición", cambie StringEquals por StringLike
B. n el documento de política, elimine la declaración Dlock que contiene el Sid "Enable IAM User Permissions"
C. n el bloque de sentencia que contiene el Sid "Permitir el uso de la clave", en el bloque "Condición", cambie el valor Kms:ViaService a ec2
D. n el documento de política, añada un nuevo bloque de declaración que conceda el permiso "kms:Disable" al rol IAM del ingeniero de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #35
Una empresa está alojando múltiples aplicaciones dentro de una única VPC en su cuenta IAM. Las aplicaciones están corriendo detrás de un Application Load Balancer que está asociado con un IAM WAF web ACL. El equipo de seguridad de la empresa ha identificado que varios escaneos de puertos se originan en un rango específico de direcciones IP en Internet. Un ingeniero de seguridad necesita denegar el acceso desde las direcciones IP infractoras
A. odifique la ACL web de IAM WAF con una declaración de regla de coincidencia de conjunto de IP para denegar las solicitudes entrantes procedentes del intervalo de direcciones IP
B. ñadir una regla a todos los grupos de seguridad para denegar las peticiones entrantes desde el rango de direcciones IP
C. Modifique la ACL web de IAM WAF con una regla basada en tasa para denegar las peticiones entrantes desde el rango de direcciones IP
D. Configure la ACL web IAM WAF con condiciones de coincidencia regex
Ver respuesta
Respuesta correcta: A
Cuestionar #36
Amazon GuardDuty ha detectado comunicaciones a un endpoint de comando y control conocido desde una instancia de Amazon EC2 de una empresa. Se descubrió que la instancia ejecutaba una versión vulnerable de un marco web común. El equipo de operaciones de seguridad de la empresa desea identificar rápidamente otros recursos informáticos con la versión específica de ese framework instalada
A. nalice todas las instancias EC2 en busca de incumplimientos de IAM Config
B. nalizar todas las instancias EC2 con el paquete de reglas Amazon Inspector Network Reachability para identificar las instancias que ejecutan un servidor web con resultados RecognizedPortWithListener
C. scanear todas las instancias EC2 con IAM Systems Manager para identificar la versión vulnerable del framework web
D. Escanear las instancias EC2 con IAM Resource Access Manager para identificar la versión vulnerable del framework web
Ver respuesta
Respuesta correcta: C
Cuestionar #37
Una empresa está alojando múltiples aplicaciones dentro de una única VPC en su cuenta IAM. Las aplicaciones están corriendo detrás de un Application Load Balancer que está asociado con un IAM WAF web ACL. El equipo de seguridad de la empresa ha identificado que varios escaneos de puertos se originan en un rango específico de direcciones IP en Internet. Un ingeniero de seguridad necesita denegar el acceso desde las direcciones IP infractoras
A. odifique la ACL web de IAM WAF con una declaración de regla de coincidencia de conjunto de IP para denegar las solicitudes entrantes procedentes del intervalo de direcciones IP
B. ñadir una regla a todos los grupos de seguridad para denegar las peticiones entrantes desde el rango de direcciones IP
C. Modifique la ACL web de IAM WAF con una regla basada en tasa para denegar las peticiones entrantes desde el rango de direcciones IP
D. Configure la ACL web IAM WAF con condiciones de coincidencia regex
Ver respuesta
Respuesta correcta: A
Cuestionar #38
Una empresa tiene una clave administrada por el cliente del servicio de administración de claves de AWS (AWS KMS) con material de clave importado La política de la empresa exige que todas las claves de cifrado se roten cada año ¿Qué debe hacer un ingeniero de seguridad para cumplir este requisito para esta clave administrada por el cliente?
A. ctivar la rotación automática de claves anualmente para la clave existente gestionada por el cliente
B. tilice la CLI de AWS para crear una función de AWS Lambda para rotar anualmente la clave administrada por el cliente existente
C. mportar nuevo material de clave a la clave existente gestionada por el cliente Rotar manualmente la clave
D. rear una nueva clave gestionada por el cliente Importar nuevo material de clave a la nueva clave Apuntar el alias de clave a la nueva clave
Ver respuesta
Respuesta correcta: A
Cuestionar #39
Su equipo de desarrollo está utilizando claves de acceso para desarrollar una aplicación que tiene acceso a S3 y DynamoDB. Una nueva política de seguridad ha establecido que las credenciales no deben tener más de 2 meses y deben rotarse. ¿Cómo puede conseguirlo?
A. tilice la aplicación para rotar las llaves cada 2 meses a través del SDK
B. tilizar un script para consultar la fecha de creación de las claves
C. orrar el usuario asociado a las claves cada 2 meses
D. orrar el Rol IAM asociado a las claves cada 2 meses
Ver respuesta
Respuesta correcta: B
Cuestionar #40
Un desarrollador de una empresa utiliza una clave SSH para acceder a varias instancias de Amazon EC2. La empresa descubre que la clave SSH se ha publicado en un repositorio público de GitHub. Un ingeniero de seguridad verifica que la clave no se ha utilizado recientemente. ¿Cómo debe evitar el ingeniero de seguridad el acceso no autorizado a las instancias EC2?
A. limine el par de claves de la consola EC2
B. tilice la operación de la API ModifylnstanceAttribute para cambiar la clave en cualquier instancia EC2 que esté utilizando la clave
C. estringir el acceso SSH en el grupo de seguridad sólo a direcciones IP corporativas conocidas
D. ctualizar el par de claves en cualquier AMI que se utilice para lanzar las instancias EC2
Ver respuesta
Respuesta correcta: C
Cuestionar #41
Una empresa aloja una aplicación en Amazon EC2 que está sujeta a reglas específicas para el cumplimiento normativo. Una de ellas establece que el tráfico hacia y desde la carga de trabajo debe inspeccionarse para detectar ataques a nivel de red. Para cumplir esta norma, un ingeniero de seguridad debe instalar un software de detección de intrusiones en una instancia EC2 c5n.4xlarge. A continuación, el ingeniero debe configurar el software para supervisar el tráfico hacia y desde las instancias de aplicación.¿Qué debe hacer el motor de seguridad
A. oloque la interfaz de red en modo promiscuo para capturar el tráfico
B. onfigurar VPC Flow Logs para enviar tráfico a la instancia EC2 de monitorización utilizando un Network Load Balancer
C. Configure la duplicación de tráfico de la VPC para enviar tráfico a la instancia EC2 de supervisión mediante un equilibrador de carga de red
D. tilizar Amazon Inspector para detectar ataques a nivel de red y activar una función IAM Lambda para enviar los paquetes sospechosos a la instancia EC2
Ver respuesta
Respuesta correcta: D
Cuestionar #42
Usted trabaja en una empresa que utiliza recursos IAM. Una de las principales políticas de seguridad es garantizar que todos los datos estén cifrados tanto en reposo como en tránsito.
A. tilizar S3 SSE y utilizar SSL para los datos en tránsito
B. erminación SSL en el ELB
C. Activación del protocolo proxy
D. abilitar sesiones pegajosas en su balanceador de cargA
Ver respuesta
Respuesta correcta: A
Cuestionar #43
Una empresa ha lanzado una instancia de Amazon EC2 con un volumen de Amazon Elastic Block Store (Amazon EBS) en la región us-east-1 El volumen está cifrado con una clave administrada por el cliente de AWS Key Management Service (AWS KMS) que ha creado el equipo de seguridad de la empresa El equipo de seguridad ha creado una política de clave 1AM y ha asignado la política a la clave El equipo de seguridad también ha creado un perfil de instancia 1AM y ha asignado el perfil a la instancia.La instancia EC2 no se iniciará y las transiciones de la pendiente
A. onfigurar el acceso de confianza para AWS System Manager en Organizaciones Configurar un host bastión desde la cuenta de administración Sustituir SSH y RDP mediante Systems Manager Session Manager desde la cuenta de administración Configurar el registro de Session Manager en Amazon CloudWatch Logs
B. ustituir SSH y RDP por AWS Systems Manager Session Manager Instalar el Agente Systems Manager (Agente SSM) en las instancias Adjuntar el
C. mazonSSMManagedlnstanceCore a las instancias Configurar el streaming de datos de sesión a Amazon CloudWatch Logs Crear una cuenta de registro independiente que tenga los permisos de cuenta cruzada adecuados para auditar los datos de registro
D. nstalar un host bastión en la cuenta de administración Reconfigurar todos los SSH y RDP para permitir el acceso solo desde el host bastión Instalar el agente de AWS Systems Manager (agente SSM) en el host bastión Adjuntar la función AmazonSSMManagedlnstanceCore al host bastión Configurar la transmisión de datos de sesión a Amazon CloudWatch Logs en una cuenta de registro independiente para auditar los datos de registro
E. ustituir SSH y RDP por AWS Systems Manager State Manager Instalar Systems Manager Agent (SSM Agent) en las instancias Adjuntar el rol
Ver respuesta
Respuesta correcta: CD
Cuestionar #44
Su empresa utiliza IAM para alojar sus recursos. Ellos tienen los siguientes requisitos.1) Registrar todas las llamadas a la API y Transitions.2) Ayuda en la comprensión de lo que los recursos están ahí en la account.3) Facilidad para permitir la auditoría de credenciales e inicios de sesión ¿Qué servicios serían suficientes los requisitos anteriores.
A. nspector de IAM, CloudTrail, Informes de credenciales de IAM
B. loudTrail
C. loudTrail, IAM Config, Informes de credenciales de IAM
D. AM SQS, Informes de credenciales de IAM, CloudTrail
Ver respuesta
Respuesta correcta: C
Cuestionar #45
Un equipo de aplicaciones ha solicitado una nueva clave maestra de IAM KMS para utilizarla con Amazon S3, pero la política de seguridad de la organización requiere claves maestras independientes para diferentes servicios de IAM a fin de limitar el radio de explosión.¿Cómo se puede limitar una clave maestra de cliente (CMK) de IAM KMS para que funcione únicamente con Amazon S3?
A. onfigurar la política de claves CMK para permitir que sólo el servicio Amazon S3 utilice la acción kms Encrypt
B. onfigure la política de claves CMK para permitir acciones IAM KMS sólo cuando la condición kms ViaService coincida con el nombre de servicio de Amazon S3
C. Configurar la política del usuario IAM para permitir que KMS pase una ruta a Amazon S3
D. onfigurar la política del usuario IAM para permitir sólo las operaciones de Amazon S3 cuando se combinan con la CMK
Ver respuesta
Respuesta correcta: B
Cuestionar #46
Una empresa necesita un ingeniero de seguridad para implantar una solución escalable de autenticación y autorización multicuenta. La solución no debe introducir componentes arquitectónicos adicionales gestionados por el usuario. El ingeniero de seguridad ha configurado Organizaciones IAM con todas las funciones activadas y IAM SSO habilitado. ¿Qué pasos adicionales debe seguir el ingeniero de seguridad para completar la tarea?
A. tiliza AD Connector para crear usuarios y grupos para todos los empleados que requieran acceso a cuentas IAM
B. tilizar un directorio por defecto IAM SSO para crear usuarios y grupos para todos los empleados que requieren acceso a cuentas IAM
C. tilizar un directorio por defecto IAM SSO para crear usuarios y grupos para todos los empleados que requieran acceso a cuentas IAM
D. tilizar IAM Directory Service en Microsoft Active Directory para crear usuarios y grupos para todos los empleados que requieran acceso a cuentas IAM Habilitar el acceso a IAM Management Console en el directorio creado y especificar IAM SSO como fuente de información para cuentas integradas y conjuntos de permisos
Ver respuesta
Respuesta correcta: B
Cuestionar #47
Los auditores de una empresa de atención sanitaria han exigido que todos los volúmenes de datos estén cifrados en reposo La infraestructura se despliega principalmente a través de IAM CloudFormation, aunque se requieren marcos de terceros y despliegue manual en algunos sistemas heredados ¿Cuál es la MEJOR manera de supervisar, de forma recurrente, si todos los volúmenes de EBS están cifrados?
A. iltre el historial de eventos en la clave de acceso expuesta en la consola de CloudTrail Examine los datos de los últimos 11 días
B. se the IAM CLI lo generate an IAM credential report Extraiga todos los datos de los últimos 11 días
C. tilizar Amazon Athena para consultar los logs de CloudTrail de Amazon S3 Recuperar las filas de la clave de acceso expuesta en los últimos 11 días
D. tilice la pestaña Access Advisor en la consola IAM para ver toda la actividad de la clave de acceso de los últimos 11 días
Ver respuesta
Respuesta correcta: B
Cuestionar #48
Una gran empresa está creando una estrategia multicuenta y necesita determinar cómo deben acceder sus empleados a la infraestructura IAM. ¿Cuál de las siguientes soluciones proporcionaría la solución MÁS escalable?
A. rear usuarios IAM dedicados dentro de cada cuenta IAM que los empleados puedan asumir a través de la federación basada en la pertenencia a grupos en su proveedor de identidad existente
B. tilizar una cuenta centralizada con roles de IAM que los empleados puedan asumir a través de la federación con su proveedor de identidad existente Utilizar roles de cuentas cruzadas para permitir que los usuarios federados asuman su rol de destino en las cuentas de recursos
C. onfigurar el Servicio de Token de Seguridad IAM para utilizar tokens Kerberos para que los usuarios puedan utilizar sus nombres de usuario y contraseñas corporativas existentes para acceder directamente a los recursos IAM
D. Configurar las políticas de confianza IAM dentro del rol de cada cuenta para establecer una confianza de vuelta al proveedor de identidad existente de la corporación permitiendo a los usuarios asumir el rol basado en su token SAML
Ver respuesta
Respuesta correcta: B
Cuestionar #49
Una empresa tiene dos equipos y cada uno de ellos necesita tener acceso a sus respectivos buckets de Amazon S3. La empresa prevé añadir más equipos que también tendrán sus propios buckets de S3. Cuando la empresa añada estos equipos, los miembros del equipo necesitarán la capacidad de ser asignados a varios equipos. Los miembros del equipo también necesitarán la capacidad de cambiar de equipo. Un administrador de IAM debe diseñar una solución para lograr estos objetivos. La solución también debe ser escalable y debe requerir el leas
A. ñada usuarios a los grupos que representan a los equipos
B. Crear un rol IAM para cada equipo
C. ree roles IAM que estén etiquetados con un valor de etiqueta de acceso de un equipo
D. mplementar un modelo de autorización de control de acceso basado en roles (RBAC)
Ver respuesta
Respuesta correcta: A
Cuestionar #50
Una organización tiene una carga de trabajo de varios petabytes que está trasladando a Amazon S3, pero al CISO le preocupa el desgaste criptográfico y el radio de explosión si una clave se ve comprometida. ¿Cómo puede el CISO estar seguro de que IAM KMS y Amazon S3 están abordando las preocupaciones? (Seleccione DOS )
A. na escucha HTTPS que utiliza un certificado administrado por Amazon Certification Manager
B. Un receptor HTTPS que utiliza una política de seguridad personalizada que sólo permite suites de cifrado de secreto perfecto
C. n receptor HTTPS que utiliza la última política de seguridad predefinida ELBSecuntyPolicy-TLS-1 -2-2017-01 de IAM
D. Un receptor TCP que utiliza una política de seguridad personalizada que sólo permite suites de cifrado de secreto perfecto
Ver respuesta
Respuesta correcta: CE
Cuestionar #51
Una empresa tiene una organización con SCPs en AWS Organizations. El SCP raíz de la organización es el siguiente.Los desarrolladores de la empresa son miembros de un grupo que tiene una política de IAM que permite el acceso a Amazon Simple Email Service (Amazon SES) permitiendo acciones ses.*. La cuenta es hija de una OU que tiene un SCP que permite Amazon SES. Los desarrolladores reciben un error de no autorizado cuando intentan acceder a Amazon SES a través de la consola de administración de AWS
A. ñade una política de recursos que permita a cada miembro del grupo acceder a Amazon SES
B. ñadir una política de recursos que permita 'Principal'
C. limine el control de la torre de control de AWS (barandilla) que restringe el acceso a Amazon SES
D. liminar Amazon SES del SCP raíz
Ver respuesta
Respuesta correcta: D
Cuestionar #52
Un equipo de Respuesta a Incidentes está investigando una fuga de claves de acceso IAM que resultó en el lanzamiento de instancias Amazon EC2. La empresa no descubrió el incidente hasta muchos meses después El Director de Seguridad de la Información quiere implementar nuevos controles que alerten cuando ocurran incidentes similares en el futuro.¿Qué controles debería implementar la empresa para lograrlo? {Seleccione DOS.)
A. a política del bucket de S3 no permite explícitamente al ingeniero de seguridad acceder a los objetos del bucket
B. as ACL de los objetos no se están actualizando para permitir que los usuarios de la cuenta centralizada accedan a los objetos
C. a política IAM de Security Engineers no concede permisos para leer objetos en el bucket S3
D. Los permisos s3:PutObject y s3:PutObjectAcl deben aplicarse a nivel de bucket de S3
Ver respuesta
Respuesta correcta: AE
Cuestionar #53
Un ingeniero de seguridad está solucionando un problema con la aplicación de registro personalizada de una empresa. Los logs de la aplicación se escriben en un bucket de Amazon S3 con notificaciones de eventos habilitadas para enviar eventos a un tema de Amazon SNS. Todos los logs se cifran en reposo utilizando una CMK de IAM KMS. El tema SNS está suscrito a una cola cifrada de Amazon SQS. La aplicación de registro sondea la cola en busca de nuevos mensajes que contengan metadatos sobre el objeto S3. A continuación, la aplicación lee el contenido del objeto del bucket de S3 para
A. ñada la siguiente declaración a las CMK gestionadas por IAM:
B. Añada la siguiente declaración a la política de claves CMK:
C. Añada la siguiente declaración a la política de claves CMK:
D. Añada la siguiente declaración a la política de claves CMK:
Ver respuesta
Respuesta correcta: D
Cuestionar #54
Una empresa ejecuta cargas de trabajo en una única cuenta de IAM en instancias de Amazon EC2 y clústeres de Amazon EMR. Una auditoría de seguridad reciente reveló que varios volúmenes e instantáneas de Amazon Elastic Block Store (Amazon EBS) no están cifrados. El ingeniero de seguridad de la empresa está trabajando en una solución que permita a los usuarios implementar instancias de EC2 y clústeres de EMR al tiempo que garantiza que todos los nuevos volúmenes de EBS e instantáneas de EBS estén cifrados en reposo. La solución también debe minimizar la sobrecarga operativa
A. ree un evento de Amazon Event Bridge (Amazon Cloud watch Events) con una instancia EC2 como origen y crear volumen como activador del evento
B. tilice una política IAM gestionada por el cliente que verificará que el indicador de cifrado del contexto Createvolume está establecido en true
C. rear una regla IAM Config para evaluar la configuración de cada instancia EC2 en la creación o modificación
D. tilizar la Consola de Administración de IAM o IAM CLi para habilitar el cifrado por defecto para volúmenes EBS en cada Región IAM donde opera la empresA
Ver respuesta
Respuesta correcta: D
Cuestionar #55
Las redes on-premise de una empresa están conectadas a VPC mediante un gateway IAM Direct Connect. La aplicación on-premise de la empresa necesita transmitir datos mediante una transmisión de entrega de Amazon Kinesis Data Firehose existente. La política de seguridad de la empresa exige que los datos se cifren en tránsito mediante una red privada
A. Cree un punto final de VPC para Kinesis Data Firehose
B. onfigurar una política de IAM para restringir el acceso a Kinesis Data Firehose utilizando una condición de IP de origen
C. ree un nuevo certificado TLS en IAM Certificate Manager (ACM)
D. Asociar la red local con la VPC de Kinesis Data Firehose mediante Direct Connect
Ver respuesta
Respuesta correcta: A
Cuestionar #56
Una empresa tiene varios buckets de Amazon S3 cifrados con CMK gestionadas por el cliente Debido a los requisitos normativos, las claves deben rotarse cada año. El ingeniero de seguridad de la empresa ha habilitado la rotación automática de claves para las CMK; sin embargo, la empresa desea comprobar que se ha producido la rotación
A. iltrar los registros de IAM CloudTrail para eventos KeyRotaton
B. Supervisar los eventos de Amazon CloudWatcn en busca de eventos de rotación de IAM KMS CMK
C. tilizando la CLI de IAM
D. Utilice Amazon Athena para consultar los logs de IAM CloudTrail guardados en un bucket de S3 para filtrar los eventos de Generate New Key
Ver respuesta
Respuesta correcta: C
Cuestionar #57
Una empresa administra tres cuentas de IAM independientes para sus entornos de producción, desarrollo y prueba. A cada desarrollador se le asigna un usuario de IAM único en la cuenta de desarrollo. Una nueva aplicación alojada en una instancia de Amazon EC2 en la cuenta de desarrollador requiere acceso de lectura a los documentos archivados almacenados en un bucket de Amazon S3 en la cuenta de producción
A. rear un rol IAM en la cuenta de producción y permitir que las instancias EC2 en la cuenta de desarrollo asuman ese rol utilizando la política de confianzA
B. Utilizar un agente de identidades personalizado para permitir que los usuarios de IAM de desarrollador accedan temporalmente al bucket de S3
C. rear un usuario IAM temporal para la aplicación a utilizar en la cuenta de producción
D. rear un usuario IAM temporal en la cuenta de producción y proporcionar acceso de lectura a Amazon S3
Ver respuesta
Respuesta correcta: A
Cuestionar #58
Una empresa administra tres cuentas de IAM independientes para sus entornos de producción, desarrollo y prueba. A cada desarrollador se le asigna un usuario de IAM único en la cuenta de desarrollo. Una nueva aplicación alojada en una instancia de Amazon EC2 en la cuenta de desarrollador requiere acceso de lectura a los documentos archivados almacenados en un bucket de Amazon S3 en la cuenta de producción
A. rear un rol IAM en la cuenta de producción y permitir que las instancias EC2 en la cuenta de desarrollo asuman ese rol utilizando la política de confianzA
B. Utilizar un agente de identidades personalizado para permitir que los usuarios de IAM de desarrollador accedan temporalmente al bucket de S3
C. rear un usuario IAM temporal para la aplicación a utilizar en la cuenta de producción
D. rear un usuario IAM temporal en la cuenta de producción y proporcionar acceso de lectura a Amazon S3
Ver respuesta
Respuesta correcta: A
Cuestionar #59
Example.com está alojado en instancias de Amazon EC2 detrás de un Application Load Balancer (ALB). En cada host se ejecutan agentes de sistemas de detección de intrusiones en host (HIDS) de terceros que capturan el tráfico de la instancia EC2. La empresa debe asegurarse de que está utilizando tecnologías que mejoran la privacidad de los usuarios, sin perder la garantía que ofrece la solución de terceros.¿Cuál es la forma MÁS segura de cumplir estos requisitos?
A. Habilitar el paso de TLS en el ALB y gestionar el descifrado en el servidor utilizando suites de cifrado de curva elíptica Diffie-Hellman (ECDHE)
B. rear un listener en el ALB que utilice conexiones cifradas con suites de cifrado Elliptic Curve Diffie-Hellman (ECDHE), y pasar el tráfico en claro al servidor
C. rear un listener en el ALB que utilice conexiones cifradas con suites de cifrado Elliptic Curve Diffie-Hellman (ECDHE), y utilizar conexiones cifradas a los servidores que no habiliten Perfect Forward Secrecy (PFS)
D. Crear un listener en el ALB que no habilite Perfect Forward Secrecy (PFS) cipher suites, y usar conexiones encriptadas a los servidores usando Elliptic Curve Diffie-Hellman (ECDHE) cipher suites
Ver respuesta
Respuesta correcta: D
Cuestionar #60
Una empresa está desarrollando una aplicación de alta resiliencia que se alojará en varias instancias de Amazon EC2 . La aplicación almacenará datos de usuario altamente confidenciales en tablas de Amazon RDS.La aplicación debe.- Incluir la migración a una región de IAM diferente en el plan de recuperación de desastres de la aplicación.- Proporcionar una pista de auditoría completa de los eventos de administración de claves de cifrado.- Permitir que solo los administradores de la empresa administren claves.- Proteger los datos en reposo mediante el cifrado de la capa de aplicación.Un ingeniero de seguridad está evaluando opciones f
A. l registro de eventos de administración de claves generado por CloudHSM es significativamente más extenso que IAM KMS
B. loudHSM garantiza que sólo el personal de soporte de la empresa pueda administrar las claves de cifrado, mientras que IAM KMS permite al personal de IAM administrar las claves
C. El texto cifrado producido por CloudHSM proporciona una protección más sólida contra los ataques de descifrado por fuerza bruta que el texto cifrado producido por IAM KMS
D. loudHSM ofrece la posibilidad de copiar claves a una Región diferente, mientras que IAM KMS no
Ver respuesta
Respuesta correcta: B
Cuestionar #61
Una empresa desea monitorizar la eliminación de CMK administradas por clientes Un ingeniero de seguridad debe crear una alarma que notifique a la empresa antes de que se elimine una CMK El ingeniero de seguridad ha configurado la integración de IAM CloudTrail con Amazon CloudWatch.Qué debe hacer a continuación el ingeniero de seguridad para cumplir este requisito?
A. tilice la regla de entrada 100 para permitir el tráfico en el puerto TCP 443 Utilice la regla de entrada 200 para denegar el tráfico en el puerto TCP 3306 Utilice la regla de salida 100 para permitir el tráfico en el puerto TCP 443
B. Utilice la regla de entrada 100 para denegar el tráfico en el puerto TCP 3306
C. tilice la regla de entrada 100 para permitir el tráfico en el rango de puertos TCP 1024-65535 Utilice la regla de entrada 200 para denegar el tráfico en el puerto TCP 3306 Utilice la regla de salida 100 para permitir el tráfico en el puerto TCP 443
D. tilice la regla de entrada 100 para denegar el tráfico en el puerto TCP 3306 Utilice la regla de entrada 200 para permitir el tráfico en el puerto TCP 443 Utilice la regla de salida 100 para permitir el tráfico en el puerto TCP 443
Ver respuesta
Respuesta correcta: A
Cuestionar #62
Una empresa utiliza Amazon API Gateway para presentar las API de REST a los usuarios. Un desarrollador de API desea analizar los patrones de acceso a las API sin necesidad de analizar los archivos de registro. ¿Qué combinación de pasos satisfará estos requisitos con el MENOR esfuerzo? (Seleccione DOS.)
A. onfigure la función S3 Block Public Access para la cuenta de AWS
B. onfigure la función de acceso público a bloques de S3 para todos los objetos que se encuentran en el bucket
C. esactivar ACLs para objetos que están en el bucket
D. Utilice AWS PrivateLink para Amazon S3 para acceder al bucket
Ver respuesta
Respuesta correcta: CD
Cuestionar #63
Una empresa ha lanzado una instancia de Amazon EC2 con un volumen de Amazon Elastic Block Store (Amazon EBS) en la región us-east-1 El volumen está cifrado con una clave administrada por el cliente de AWS Key Management Service (AWS KMS) que ha creado el equipo de seguridad de la empresa El equipo de seguridad ha creado una política de clave 1AM y ha asignado la política a la clave El equipo de seguridad también ha creado un perfil de instancia 1AM y ha asignado el perfil a la instancia.La instancia EC2 no se iniciará y las transiciones de la pendiente
A. onfigurar el acceso de confianza para AWS System Manager en Organizaciones Configurar un host bastión desde la cuenta de administración Sustituir SSH y RDP mediante Systems Manager Session Manager desde la cuenta de administración Configurar el registro de Session Manager en Amazon CloudWatch Logs
B. ustituir SSH y RDP por AWS Systems Manager Session Manager Instalar el Agente Systems Manager (Agente SSM) en las instancias Adjuntar el
C. mazonSSMManagedlnstanceCore a las instancias Configurar el streaming de datos de sesión a Amazon CloudWatch Logs Crear una cuenta de registro independiente que tenga los permisos de cuenta cruzada adecuados para auditar los datos de registro
D. nstalar un host bastión en la cuenta de administración Reconfigurar todos los SSH y RDP para permitir el acceso solo desde el host bastión Instalar el agente de AWS Systems Manager (agente SSM) en el host bastión Adjuntar la función AmazonSSMManagedlnstanceCore al host bastión Configurar la transmisión de datos de sesión a Amazon CloudWatch Logs en una cuenta de registro independiente para auditar los datos de registro
E. ustituir SSH y RDP por AWS Systems Manager State Manager Instalar Systems Manager Agent (SSM Agent) en las instancias Adjuntar el rol
Ver respuesta
Respuesta correcta: CD
Cuestionar #64
Usted trabaja en una empresa que utiliza recursos IAM. Una de las principales políticas de seguridad es garantizar que todos los datos estén cifrados tanto en reposo como en tránsito.
A. tilizar S3 SSE y utilizar SSL para los datos en tránsito
B. erminación SSL en el ELB
C. Activación del protocolo proxy
D. abilitar sesiones pegajosas en su balanceador de cargA
Ver respuesta
Respuesta correcta: A
Cuestionar #65
Una organización tiene una carga de trabajo de varios petabytes que está trasladando a Amazon S3, pero al CISO le preocupa el desgaste criptográfico y el radio de explosión si una clave se ve comprometida. ¿Cómo puede el CISO estar seguro de que IAM KMS y Amazon S3 están abordando las preocupaciones? (Seleccione DOS )
A. na escucha HTTPS que utiliza un certificado administrado por Amazon Certification Manager
B. Un receptor HTTPS que utiliza una política de seguridad personalizada que sólo permite suites de cifrado de secreto perfecto
C. n receptor HTTPS que utiliza la última política de seguridad predefinida ELBSecuntyPolicy-TLS-1 -2-2017-01 de IAM
D. Un receptor TCP que utiliza una política de seguridad personalizada que sólo permite suites de cifrado de secreto perfecto
Ver respuesta
Respuesta correcta: CE
Cuestionar #66
El equipo de operaciones en la nube de una empresa es responsable de crear una seguridad eficaz para el acceso entre cuentas de IAM. El equipo pide a un ingeniero de seguridad que le ayude a solucionar el problema de por qué algunos desarrolladores de la cuenta de desarrollador (123456789012) del grupo de desarrolladores no pueden asumir una función de cuenta cruzada (ReadS3) en una cuenta de producción (999999999999) para leer el contenido de un bucket de Amazon S3 (productionapp). Las dos políticas de cuenta son las siguientes:¿Qué recomendaciones debe hacer el ingeniero de seguridad para resolver
A. tilice la Torre de Control IAM
B. rear una VPC gestionada centralmente en la cuenta de inspección de seguridad
C. tilizar Torre de Control IAM
D. abilitar IAM Resource Access Manager (IAM RAM) para Organizaciones IAM
Ver respuesta
Respuesta correcta: AD
Cuestionar #67
Su director de tecnología cree que su cuenta de IAM ha sido pirateada. ¿Cuál es la única forma de saber con certeza si se ha producido un acceso no autorizado y qué han hecho, suponiendo que los piratas informáticos sean ingenieros de IAM muy sofisticados y hagan todo lo posible por cubrir sus huellas?
A. Utilice la validación de integridad de archivos de registro de CloudTrail
B. tilizar IAM Config SNS Subscriptions y procesar eventos en tiempo real
C. tilizar CloudTrail con copia de seguridad en IAM S3 y Glacier
D. sar IAM Config Timeline forensics
Ver respuesta
Respuesta correcta: A
Cuestionar #68
Una empresa necesita una solución de registro forense para cientos de aplicaciones que se ejecutan en Docker en Amazon EC2 La solución debe realizar análisis en tiempo real en los togs debe soportar la repetición de mensajes y debe persistir los logs.¿Qué servicios IAM se deben utilizar para cumplir con estos requisitos? (Seleccione DOS)
A. e manera recurrente, actualice las políticas de un usuario IAM para requerir que las instancias EC2 sean creadas con un volumen encriptado
B. onfigurar una regla IAM Config lo ejecutar de forma recurrente 'o cifrado de volumen
C. Configure las reglas de Amazon Inspector para que el cifrado de volúmenes se ejecute en una programación periódicA
D. tilice CloudWatch Logs para determinar si las instancias se crearon con un volumen cifrado
Ver respuesta
Respuesta correcta: BD
Cuestionar #69
Un ingeniero de seguridad está configurando un nuevo sitio web llamado ejemplo.com. El ingeniero de seguridad desea proteger las comunicaciones con el sitio web exigiendo a los usuarios que se conecten a ejemplo.com a través de HTTPS
A. ertificado SSL personalizado que se almacena en AWS Key Management Service (AWS KMS)
B. ertificado SSL predeterminado que se almacena en Amazon CloudFront
C. ertificado SSL personalizado que se almacena en AWS Certificate Manager (ACM)
D. Certificado SSL predeterminado que se almacena en Amazon S3
Ver respuesta
Respuesta correcta: C
Cuestionar #70
Necesita crear una política y aplicarla sólo para un usuario individual. ¿Cómo se puede lograr esto de la manera correcta?
A. ñadir una política gestionada de IAM para el usuario
B. ñadir una política de servicio para el usuario
C. ñadir un rol IAM para el usuario
D. Añadir una política en línea para el usuario
Ver respuesta
Respuesta correcta: D
Cuestionar #71
Una empresa desea monitorizar la eliminación de CMK administradas por clientes Un ingeniero de seguridad debe crear una alarma que notifique a la empresa antes de que se elimine una CMK El ingeniero de seguridad ha configurado la integración de IAM CloudTrail con Amazon CloudWatch.Qué debe hacer a continuación el ingeniero de seguridad para cumplir este requisito?
A. tilice la regla de entrada 100 para permitir el tráfico en el puerto TCP 443 Utilice la regla de entrada 200 para denegar el tráfico en el puerto TCP 3306 Utilice la regla de salida 100 para permitir el tráfico en el puerto TCP 443
B. Utilice la regla de entrada 100 para denegar el tráfico en el puerto TCP 3306
C. tilice la regla de entrada 100 para permitir el tráfico en el rango de puertos TCP 1024-65535 Utilice la regla de entrada 200 para denegar el tráfico en el puerto TCP 3306 Utilice la regla de salida 100 para permitir el tráfico en el puerto TCP 443
D. tilice la regla de entrada 100 para denegar el tráfico en el puerto TCP 3306 Utilice la regla de entrada 200 para permitir el tráfico en el puerto TCP 443 Utilice la regla de salida 100 para permitir el tráfico en el puerto TCP 443
Ver respuesta
Respuesta correcta: A
Cuestionar #72
Un ingeniero de seguridad necesita desarrollar un proceso para investigar y responder a posibles eventos de seguridad en las instancias de Amazon EC2 de una empresa. Todas las instancias EC2 están respaldadas por Amazon Elastic Block Store (Amazon EBS). La compañía utiliza AWS Systems Manager para administrar todas las instancias EC2 y ha instalado Systems Manager Agent (SSM Agent) en todas las instancias EC2.El proceso que el ingeniero de seguridad está desarrollando debe cumplir con las prácticas recomendadas de seguridad de AWS y debe cumplir con los siguientes requisitos:Un evento de compromi
A. ecopilar cualquier metadato relevante para la instancia EC2 comprometidA
B. ecopilar cualquier metadato relevante para la instancia EC2 comprometidA
C. tilice el comando de ejecución del administrador de sistemas para invocar scripts que recopilen datos volátiles
D. Establecer una sesión Linux SSH o Windows Remote Desktop Protocol (RDP) en la instancia EC2 comprometida para invocar scripts que recopilen datos volátiles
E. ree una instantánea del volumen EBS de la instancia EC2 comprometida para investigaciones de seguimiento
F. ree una asociación Systems Manager State Manager para generar una instantánea de volumen EBS de la instancia EC2 comprometidA
Ver respuesta
Respuesta correcta: BCE
Cuestionar #73
Un equipo de Desarrollo ha construido un entorno experimental para probar una simple aplicación web stale Ha construido una VPC aislada con una subred privada y otra pública. La subred pública contiene únicamente un Application Load Balancer, una puerta de enlace NAT y una puerta de enlace a Internet. La subred privada contiene todas las instancias de Amazon EC2. Hay 3 tipos diferentes de servidores Cada tipo de servidor tiene su propio Grupo de Seguridad que limita el acceso sólo a la conectividad requerida. Los grupos de seguridad tienen reglas de entrada y salida que se aplican a los servidores
A. tilizar volúmenes de Amazon EBS cifrados con claves predeterminadas de Amazon (IAM EBS)
B. tilizar el cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C)
C. tilizar el cifrado del lado del servidor con claves gestionadas por IAM KMS (SSE-KMS)
D. tilizar el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3)
Ver respuesta
Respuesta correcta: CEF
Cuestionar #74
Una corporación se está preparando para adquirir varias compañías. Un ingeniero de seguridad debe diseñar una solución para garantizar que las cuentas de IAM recién adquiridas sigan las prácticas recomendadas de seguridad de la empresa. La solución debe supervisar cada bucket de Amazon S3 para evitar el acceso de escritura público sin restricciones y utilizar los servicios administrados de IAM
A. onfigurar Amazon Macie para que compruebe continuamente la configuración de todos los buckets S3
B. abilitar IAM Config para comprobar la configuración de cada bucket S3
C. onfigurar IAM Systems Manager para supervisar las políticas de bucket S3 para el acceso de escritura públicA
D. onfigurar una instancia de Amazon EC2 para que tenga un rol IAM y una tarea cron que compruebe el estado de todos los buckets S3
Ver respuesta
Respuesta correcta: C
Cuestionar #75
Una empresa está operando un sitio web utilizando Amazon CloudFront. CloudFront sirve algunos contenidos de Amazon S3 y otros de servidores web que ejecutan instancias EC2 detrás de un Application Load Balancer (ALB). Amazon DynamoDB se utiliza como almacén de datos. La empresa ya utiliza IAM Certificate Manager (ACM) para almacenar un certificado TLS público que puede proteger opcionalmente las conexiones entre los usuarios del sitio web y CloudFront. La empresa tiene un nuevo requisito para aplicar el cifrado de extremo a extremo en tránsito
A. gregue un encabezado personalizado de origen Establezca la política de protocolo del espectador en HTTP y HTTPS Establezca la pokey de protocolo de origen en HTTPS solamente Actualice la aplicación para validar el encabezado personalizado de CloudFront
B. gregue un encabezado personalizado de origen Establezca la política de protocolo del visor en Solo HTTPS Establezca la política de protocolo de origen para que coincida con el visor Actualice la aplicación para validar el encabezado personalizado de CloudFront
C. gregar un encabezado personalizado de origen Establecer la política de protocolo de espectador para redirigir HTTP a HTTPS Establecer la política de protocolo de origen en HTTP solamente Actualizar la aplicación para validar el encabezado personalizado de CloudFront
D. gregar un encabezado personalizado de origen Establezca la política de protocolo de espectador para redirigir HTTP a HTTPS
Ver respuesta
Respuesta correcta: BCE
Cuestionar #76
Una empresa necesita almacenar varios años de registros financieros. La empresa desea utilizar Amazon S3 para almacenar copias de estos documentos. La empresa debe implementar una solución para evitar que los documentos se editen, sustituyan o eliminen durante 7 años después de que se almacenen en Amazon S3. La solución también debe cifrar los documentos en reposo.Un ingeniero de seguridad crea un nuevo bucket de S3 para almacenar los documentos.¿Qué debe hacer a continuación el ingeniero de seguridad para cumplir estos requisitos?
A.
B. rear una política de claves que permita la acción kms:Decrypt solo para Amazon S3 y DynamoD Crear un SCP que deniegue la creación de buckets de S3 y tablas de DynamoDB que no estén cifrados con la clave
C. Cree una política 1AM que deniegue la acción kms:Decrypt para la clave
D. ree una política de claves que permita la acción kms:Decrypt solo para Amazon S3, DynamoDB, Lambda y Amazon EKS
E. ree una política de claves que permita la acción kms:Decrypt solo para Amazon S3, DynamoDB, Lambda y Amazon EKS
Ver respuesta
Respuesta correcta: B
Cuestionar #77
Actualmente hay múltiples aplicaciones alojadas en una VPC. Durante el monitoreo se ha notado que múltiples escaneos de puertos están entrando desde un bloque específico de direcciones IP. El equipo de seguridad interna ha solicitado que se denieguen todas las direcciones IP infractoras durante las próximas 24 horas. ¿Cuál de los siguientes es el mejor método para denegar rápida y temporalmente el acceso desde las direcciones IP especificadas?
A. ree una política de AD para modificar la configuración del Firewall de Windows en todos los hosts de la VPC para denegar el acceso desde el bloque de direcciones IP
B. odifique las ACL de red asociadas a todas las subredes públicas de la VPC para denegar el acceso desde el bloque de direcciones IP
C. ñada una regla a todos los grupos de seguridad de la VPC para denegar el acceso desde el bloque de direcciones IP
D. odificar la configuración del Firewall de Windows en todas las AMI'S que su organización utiliza en esa VPC para denegar el acceso desde el bloque de direcciones IP
Ver respuesta
Respuesta correcta: B
Cuestionar #78
Un ingeniero de seguridad ha habilitado IAM Security Hub en su cuenta IAM, y ha habilitado el estándar de cumplimiento IAM Foundations del Center for internet Security (CIS). No se devuelven resultados de evaluación sobre el cumplimiento en la consola de Security Hub después de varias horas. El ingeniero quiere asegurarse de que Security Hub pueda evaluar sus recursos para el cumplimiento de CIS IAM Foundations.¿Qué pasos debe tomar el ingeniero de seguridad para cumplir con estos requisitos?
A. ñade permisos IAM completos de Amazon Inspector al rol de servicio Security Hub para permitirle realizar la evaluación de conformidad CIS
B. segúrese de que IAM Trusted Advisor está habilitado en la cuenta y que el rol de servicio Security Hub tiene permisos para recuperar las acciones recomendadas relacionadas con la seguridad de Trusted Advisor
C. Asegúrese de que IAM Config
D. segúrese de que se ha configurado la ruta correcta en IAM CloudTrail para que Security Hub la supervise y de que el rol de servicio de Security Hub tiene permisos para realizar la operación GetObject en el bucket de Amazon S3 de CloudTrails
Ver respuesta
Respuesta correcta: C
Cuestionar #79
Un departamento de TI tiene actualmente una aplicación web Java desplegada en Apache Tomcat que se ejecuta en instancias de Amazon EC2. Todo el tráfico a las instancias EC2 se envía a través de un Application Load Balancer (ALB) orientado a Internet. El equipo de seguridad ha observado durante los últimos dos días miles de solicitudes de lectura inusuales procedentes de cientos de direcciones IP. Esto está causando que el servidor Tomcat se quede sin hilos y rechace nuevas conexiones.¿Cuál es el cambio MÁS SENCILLO que solucionaría este problema del servidor?
A. ree una distribución de Amazon CloudFront y configure el ALB como origen
B. loquear las IPs maliciosas con una lista de acceso a la red (NACL)
C. Crear un cortafuegos de aplicaciones web (WAF) de IAM y adjuntarlo al ALB
D. Asignar el nombre de dominio de la aplicación para utilizar Route 53
Ver respuesta
Respuesta correcta: A
Cuestionar #80
Un equipo de desarrollo está intentando encriptar y decodificar un parámetro de cadena seguro desde el Almacén de Parámetros del Administrador de Sistemas IAM utilizando una CMK del Servicio de Administración de Claves IAM (IAM KMS). Sin embargo, cada intento resulta en un mensaje de error enviado al equipo de desarrollo. ¿Qué problemas relacionados con CMK posiblemente explican el error? (Seleccione dos.)
A. in embargo, la empresa no quiere permitir que los usuarios de las otras cuentas accedan a otros archivos de la misma carpetA
B. Aplicar una política de usuario en las otras cuentas para permitir que IAM Glue y Athena accedan al archivo
C. se S3 Select para restringir el acceso a la mentira
D. Defina una política de recursos de catálogo de datos de IAM Glue en IAM Glue para conceder acceso a objetos S3 entre cuentas al archivo
E. onceder a IAM Glue acceso a Amazon S3 en una política basada en recursos que especifique la organización como principal
Ver respuesta
Respuesta correcta: AD
Cuestionar #81
Un desarrollador inició sesión en una cuenta nueva dentro de una unidad organizativa (OU) de IAM Organization que contiene varias cuentas. El acceso al servicio Amazon $3 está restringido con el siguiente SCP. ¿Cómo puede el ingeniero de seguridad proporcionar al desarrollador acceso a Amazon $3 sin afectar a otras cuentas?
A. ueva el SCP a la OU raíz de la organización para eliminar la restricción de acceso a Amazon $3
B. ñadir una política IAM para el desarrollador, que conceda acceso de 3$
C. rear una nueva OU sin aplicar el SCP restringiendo el acceso de $3
D. ñadir una lista de permitidos para la cuenta de desarrollador para el servicio $3
Ver respuesta
Respuesta correcta: C
Cuestionar #82
Durante una revisión manual de los logs del sistema de una instancia de Amazon Linux EC2, un ingeniero de seguridad se dio cuenta de que hay comandos sudo que nunca fueron alertados o reportados correctamente en el agente Amazon CloudWatch Logs.¿Por qué no hubo alertas en los comandos sudo?
A. ay un grupo de seguridad bloqueando el tráfico del puerto 80 de salida que está impidiendo que el agente envíe los logs
B. El perfil de instancia de IAM de la instancia EC2 no se ha configurado correctamente para permitir que el agente de CloudWatch Logs envíe los registros a CloudWatch
C. l estado de CloudWatch Logs está configurado en ON frente a SECURE, lo que impide que extraiga registros de eventos de seguridad del sistema operativo
D. a VPC requiere que todo el tráfico pase a través de un proxy, y el agente CloudWatch Logs no soporta una configuración de proxy
Ver respuesta
Respuesta correcta: B
Cuestionar #83
Una auditoría determinó que el grupo de seguridad de una instancia de Amazon EC2 de una compañía violó la política de la compañía al permitir tráfico SSH entrante sin restricciones. Un ingeniero de seguridad debe implementar una solución de monitorización y alerta casi en tiempo real que notifique a los administradores dichas infracciones
A. ree una ejecución de evaluación recurrente de Amazon Inspector que se ejecute todos los días y utilice el paquete Network Reachability
B. tilizar la regla gestionada restricted-ssh IAM Config que se invoca por cambios de configuración del grupo de seguridad que no son conformes
C. onfigure VPC Flow Logs para el VP y especifique un grupo de Amazon CloudWatch Logs
D. ree una ejecución de evaluación recurrente de Amazon Inspector que se ejecute todos los días y utilice el paquete Security Best Practices
Ver respuesta
Respuesta correcta: B
Cuestionar #84
Una empresa ha creado una cuenta IAM para que sus desarrolladores la utilicen con fines de prueba y aprendizaje Dado que la cuenta MM se compartirá entre varios equipos de desarrolladores, la empresa desea restringir la capacidad de detener y finalizar instancias de Amazon EC2 para que un equipo solo pueda realizar estas acciones en las instancias de su propiedad.Los desarrolladores recibieron instrucciones de etiquetar todas sus instancias con una clave de etiqueta de equipo y utilizar el nombre del equipo en el valor de la etiqueta Uno de los primeros equipos en utilizar esta cuenta es el de Inteligencia Empresarial Un en
A. ara cada equipo, cree una política AM similar a la de los compañeros Rellene la clave de condición ec2:ResourceTag/Team con un nombre de equipo adecuado Adjunte las políticas resultantes a los roles IAM correspondientes
B. ara cada equipo cree una política IAM similar a la siguiente Rellene la clave de condición IAM TagKeys/Team con un nombre de equipo apropiado
C. tiquete cada rol IAM con una clave Team lag
D. tiquetar cada rol IAM con la clave Equipo, y utilizar el nombre del equipo en el valor de la etiquetA
Ver respuesta
Respuesta correcta: A
Cuestionar #85
Su empresa tiene un conjunto de Instancias EC2 definidas en IAM. Estas Instancias Ec2 tienen grupos de seguridad estrictos adjuntos. Necesita asegurarse de que los cambios en los grupos de seguridad se anotan y se actúa en consecuencia. ¿Cómo puede conseguirlo?
A. se Cloudwatch logs para monitorizar la actividad en los Grupos de Seguridad
B. tilizar métricas Cloudwatch para monitorizar la actividad en los Grupos de Seguridad
C. tiliza el inspector de IAM para monitorizar la actividad de los Grupos de Seguridad
D. Utilice eventos Cloudwatch para que se activen ante cualquier cambio en los grupos de seguridad
Ver respuesta
Respuesta correcta: D
Cuestionar #86
El equipo de ingeniería de una empresa está desarrollando una nueva aplicación que crea concesiones CMK de IAM Key Management Service (IAM KMS) para usuarios inmediatamente después de que se crea una concesión, los usuarios deben poder utilizar la CMK para cifrar una carga útil de 512 bytes. Durante las pruebas de carga, aparece un error de forma intermitente en el que se activan ocasionalmente AccessDeniedExceptions cuando un usuario intenta cifrar por primera vez utilizando la CMK¿Qué solución debería recomendar el especialista en seguridad de la empresa?
A. nstruir a los usuarios para que implementen un mecanismo de reintento cada 2 minutos hasta que la llamada tenga éxito
B. Instruir al equipo de ingeniería para consumir un token de subvención aleatorio de los usuarios, y llamar a la operación CreateGrant, pasándole el token de subvención
C. Indique al equipo de ingeniería que cree un nombre aleatorio para la concesión al llamar a la operación CreateGrant
D. Indique al equipo de ingeniería que pase el token de subvención devuelto en la respuesta CreateGrant a los usuarios
Ver respuesta
Respuesta correcta: D
Cuestionar #87
Una empresa necesita cifrar todos sus datos almacenados en Amazon S3. La empresa desea utilizar IAM Key Management Service (IAM KMS) para crear y administrar sus claves de cifrado. Las políticas de seguridad de la empresa requieren la capacidad de Importar el material de claves propio de la empresa para las claves, establecer una fecha de caducidad para las claves y eliminarlas inmediatamente, si es necesario
A. onfigurar IAM KMS y utilizar un almacén de claves personalizado
B. onfigurar IAM KMS y utilizar el almacén de claves por defecto Crear una CMK gestionada por IAM sin material de claves Importar el material de claves de la empresa a la CMK
C. onfigurar IAM KMS y utilizar el almacén de claves por defecto Crear una CMK gestionada por el cliente sin material de claves Importar el material de claves de la empresa a la CMK
D. onfigurar IAM KMS y utilizar un almacén de claves personalizado
Ver respuesta
Respuesta correcta: A
Cuestionar #88
Un ingeniero de sistemas desplegó contenedores a partir de varias imágenes personalizadas que un equipo de aplicaciones proporcionó a través de un flujo de trabajo de control de calidad El ingeniero de sistemas utilizó Amazon Elastic Container Service (Amazon ECS) con el tipo de lanzamiento Fargate como plataforma de destino El ingeniero de sistemas ahora necesita recopilar logs de todos los contenedores en un grupo de logs de Amazon CloudWatch existente.¿Qué solución cumplirá este requisito?
A. ctive el controlador de registro awslogs especificando los parámetros para awslogs-group y awslogs-region m la propiedad LogConfiguration
B. escargar y configurar el agente CloudWatch en las instancias contenedoras
C. onfigure Fluent Bit y FluentO como DaemonSet para enviar logs a Amazon CloudWatch Logs
D. onfigurar una política 1AM que incluya la acción togs CreateLogGroup Asignar la política a las instancias contenedoras
Ver respuesta
Respuesta correcta: A
Cuestionar #89
Un ingeniero de sistemas desplegó contenedores a partir de varias imágenes personalizadas que un equipo de aplicaciones proporcionó a través de un flujo de trabajo de control de calidad El ingeniero de sistemas utilizó Amazon Elastic Container Service (Amazon ECS) con el tipo de lanzamiento Fargate como plataforma de destino El ingeniero de sistemas ahora necesita recopilar logs de todos los contenedores en un grupo de logs de Amazon CloudWatch existente.¿Qué solución cumplirá este requisito?
A. ctive el controlador de registro awslogs especificando los parámetros para awslogs-group y awslogs-region m la propiedad LogConfiguration
B. escargar y configurar el agente CloudWatch en las instancias contenedoras
C. onfigure Fluent Bit y FluentO como DaemonSet para enviar logs a Amazon CloudWatch Logs
D. onfigurar una política 1AM que incluya la acción togs CreateLogGroup Asignar la política a las instancias contenedoras
Ver respuesta
Respuesta correcta: A
Cuestionar #90
Una empresa necesita transferir grandes cantidades de datos entre IAM y una ubicación local. Además, es necesario que el tráfico hacia IAM sea de baja latencia y alta coherencia. Teniendo en cuenta estos requisitos, ¿cómo diseñaría una arquitectura híbrida? Elija la respuesta correcta entre las siguientes opciones.
A. Aprovisionar una conexión de Direct Connect a una región IAM utilizando un socio de Direct Connect
B. rear un túnel VPN para la conectividad privada, lo que aumenta la coherencia de la red y reduce la latenciA
C. rear un túnel iPSec para la conectividad privada, lo que aumenta la coherencia de la red y reduce la latenciA
D. rear una conexión VPC peering entre IAM y el gateway del Cliente
Ver respuesta
Respuesta correcta: A
Cuestionar #91
Una empresa quiere eliminar todas las claves SSH de forma permanente de un subconjunto específico de sus instancias Amazon Linux 2 Amazon EC2 que están utilizando el mismo perfil de instancia 1AM Sin embargo, tres individuos que tienen cuentas de usuario IAM necesitarán acceder a estas instancias utilizando una sesión SSH para realizar tareas críticas ¿Cómo puede un ingeniero de seguridad proporcionar el acceso para cumplir con estos requisitos?
A. signe una política 1AM al perfil de instancia para permitir que las instancias EC2 sean administradas por AWS Systems Manager Proporcione a las cuentas de usuario 1AM permiso para utilizar Systems Manager Elimine las claves SSH de las instancias EC2 Utilice Systems Manager Inventory para seleccionar la instancia EC2 y conectarse
B. signar una política 1AM a las cuentas de usuario 1AM para proporcionar permiso para utilizar AWS Systems Manager Ejecutar comando Eliminar las claves SSH de las instancias EC2 Utilice Ejecutar comando para abrir una conexión SSH a la instancia EC2
C. signar una política 1AM al perfil de instancia para permitir que las instancias EC2 sean administradas por AWS Systems Manager Proporcionar las cuentas de usuario 1AM con permiso para utilizar Systems Manager Eliminar las claves SSH de las instancias EC2 Utilizar Systems Manager Session Manager para seleccionar la instancia EC2 y conectarse
D. signar una política 1AM a las cuentas de usuario 1AM para proporcionar permiso para utilizar el servicio EC2 en la consola de administración de AWS Eliminar las claves SSH de las instancias EC2 Conectarse a la instancia EC2 como ec2-user a través del método de cliente EC2 SSH de la consola de administración de AWS
Ver respuesta
Respuesta correcta: C
Cuestionar #92
Una empresa aloja una aplicación en Amazon EC2 que está sujeta a reglas específicas para el cumplimiento normativo. Una de ellas establece que el tráfico hacia y desde la carga de trabajo debe inspeccionarse para detectar ataques a nivel de red. Para cumplir esta norma, un ingeniero de seguridad debe instalar un software de detección de intrusiones en una instancia EC2 c5n.4xlarge. A continuación, el ingeniero debe configurar el software para supervisar el tráfico hacia y desde las instancias de aplicación.¿Qué debe hacer el motor de seguridad
A. oloque la interfaz de red en modo promiscuo para capturar el tráfico
B. onfigurar VPC Flow Logs para enviar tráfico a la instancia EC2 de monitorización utilizando un Network Load Balancer
C. Configure la duplicación de tráfico de la VPC para enviar tráfico a la instancia EC2 de supervisión mediante un equilibrador de carga de red
D. tilizar Amazon Inspector para detectar ataques a nivel de red y activar una función IAM Lambda para enviar los paquetes sospechosos a la instancia EC2
Ver respuesta
Respuesta correcta: D
Cuestionar #93
Un ingeniero de seguridad necesita crear una solución para volver a activar IAM CloudTrail en varias regiones de IAM en caso de que se desactive
A. Utilice IAM Config con una regla gestionada para activar la corrección IAM-EnableCloudTrail
B. ree un evento de Amazon EventBridge (Amazon CloudWatch Events) con un origen de evento cloudtrail
C. ree una alarma de Amazon CloudWatch con un origen de evento cloudtrail
D. Monitorizar IAM Trusted Advisor para asegurar que el registro de CloudTrail está habilitado
Ver respuesta
Respuesta correcta: B
Cuestionar #94
Una empresa tiene una clave administrada por el cliente del servicio de administración de claves de AWS (AWS KMS) con material de clave importado La política de la empresa exige que todas las claves de cifrado se roten cada año ¿Qué debe hacer un ingeniero de seguridad para cumplir este requisito para esta clave administrada por el cliente?
A. ctivar la rotación automática de claves anualmente para la clave existente gestionada por el cliente
B. tilice la CLI de AWS para crear una función de AWS Lambda para rotar anualmente la clave administrada por el cliente existente
C. mportar nuevo material de clave a la clave existente gestionada por el cliente Rotar manualmente la clave
D. rear una nueva clave gestionada por el cliente Importar nuevo material de clave a la nueva clave Apuntar el alias de clave a la nueva clave
Ver respuesta
Respuesta correcta: A
Cuestionar #95
Un equipo de Respuesta a Incidentes está investigando una fuga de claves de acceso IAM que resultó en el lanzamiento de instancias Amazon EC2. La empresa no descubrió el incidente hasta muchos meses después El Director de Seguridad de la Información quiere implementar nuevos controles que alerten cuando ocurran incidentes similares en el futuro.¿Qué controles debería implementar la empresa para lograrlo? {Seleccione DOS.)
A. a política del bucket de S3 no permite explícitamente al ingeniero de seguridad acceder a los objetos del bucket
B. as ACL de los objetos no se están actualizando para permitir que los usuarios de la cuenta centralizada accedan a los objetos
C. a política IAM de Security Engineers no concede permisos para leer objetos en el bucket S3
D. Los permisos s3:PutObject y s3:PutObjectAcl deben aplicarse a nivel de bucket de S3
Ver respuesta
Respuesta correcta: AE
Cuestionar #96
Su empresa está planeando utilizar hosts bastión para administrar los servidores en IAM. ¿Cuál de las siguientes es la mejor descripción de un host bastión desde el punto de vista de la seguridad?
A.
B. n host Bastion se sitúa en el exterior de una red interna y se utiliza como puerta de entrada a la red privada y se considera el punto fuerte crítico de la red
C. os hosts Bastion permiten a los usuarios iniciar sesión utilizando RDP o SSH y utilizar esa sesión para S5H en la red interna para acceder a los recursos de subred privadA
D. El anfitrión de un Bastión debe mantener una seguridad y supervisión extremadamente estrictas, ya que está a disposición del público
Ver respuesta
Respuesta correcta: C
Cuestionar #97
Un departamento de TI tiene actualmente una aplicación web Java desplegada en Apache Tomcat que se ejecuta en instancias de Amazon EC2. Todo el tráfico a las instancias EC2 se envía a través de un Application Load Balancer (ALB) orientado a Internet. El equipo de seguridad ha observado durante los últimos dos días miles de solicitudes de lectura inusuales procedentes de cientos de direcciones IP. Esto está causando que el servidor Tomcat se quede sin hilos y rechace nuevas conexiones.¿Cuál es el cambio MÁS SENCILLO que solucionaría este problema del servidor?
A. ree una distribución de Amazon CloudFront y configure el ALB como origen
B. loquear las IPs maliciosas con una lista de acceso a la red (NACL)
C. Crear un cortafuegos de aplicaciones web (WAF) de IAM y adjuntarlo al ALB
D. Asignar el nombre de dominio de la aplicación para utilizar Route 53
Ver respuesta
Respuesta correcta: A
Cuestionar #98
Una empresa aloja un sitio web estático en Amazon S3 La empresa ha configurado una distribución de Amazon CloudFront para servir el contenido del sitio web La empresa ha asociado una ACL web de IAM WAF con la distribución de CloudFront. La ACL web garantiza que las solicitudes se originan en los Estados Unidos para abordar las restricciones de cumplimiento normativo.A la empresa le preocupa que la URL de S3 pueda seguir siendo accesible directamente y que las solicitudes puedan eludir la distribución de CloudFront.Qué combinación de pasos debe seguir la empresa para rem
A. abilitar Amazon Macie para que Secunty H jb permita a Detective procesar los hallazgos de Macie
B. esactivar el cifrado IAM Key Management Service (IAM KMS) en los registros de CtoudTrail en cada cuenta de miembro de la organización
C. abilitar Amazon GuardDuty en todas las cuentas de miembros Intente habilitar Detective en 48 horas
D. Asegúrese de que la entidad de seguridad que ejecuta Detective tiene el permiso ListAccounts de la organización
Ver respuesta
Respuesta correcta: AD
Cuestionar #99
El equipo de ingeniería de una empresa está desarrollando una nueva aplicación que crea concesiones CMK de IAM Key Management Service (IAM KMS) para usuarios inmediatamente después de que se crea una concesión, los usuarios deben poder utilizar la CMK para cifrar una carga útil de 512 bytes. Durante las pruebas de carga, aparece un error de forma intermitente en el que se activan ocasionalmente AccessDeniedExceptions cuando un usuario intenta cifrar por primera vez utilizando la CMK¿Qué solución debería recomendar el especialista en seguridad de la empresa?
A. nstruir a los usuarios para que implementen un mecanismo de reintento cada 2 minutos hasta que la llamada tenga éxito
B. Instruir al equipo de ingeniería para consumir un token de subvención aleatorio de los usuarios, y llamar a la operación CreateGrant, pasándole el token de subvención
C. Indique al equipo de ingeniería que cree un nombre aleatorio para la concesión al llamar a la operación CreateGrant
D. Indique al equipo de ingeniería que pase el token de subvención devuelto en la respuesta CreateGrant a los usuarios
Ver respuesta
Respuesta correcta: D
Cuestionar #100
Una empresa necesita una solución de registro forense para cientos de aplicaciones que se ejecutan en Docker en Amazon EC2 La solución debe realizar análisis en tiempo real en los togs debe soportar la repetición de mensajes y debe persistir los logs.¿Qué servicios IAM se deben utilizar para cumplir con estos requisitos? (Seleccione DOS)
A. e manera recurrente, actualice las políticas de un usuario IAM para requerir que las instancias EC2 sean creadas con un volumen encriptado
B. onfigurar una regla IAM Config lo ejecutar de forma recurrente 'o cifrado de volumen
C. Configure las reglas de Amazon Inspector para que el cifrado de volúmenes se ejecute en una programación periódicA
D. tilice CloudWatch Logs para determinar si las instancias se crearon con un volumen cifrado
Ver respuesta
Respuesta correcta: BD
Cuestionar #101
Una empresa desea establecer claves de IAM Key Management Service (IAM KMS) independientes para utilizarlas en diferentes servicios de IAM. El ingeniero de seguridad de la empresa creó la siguiente política de claves para permitir al equipo de despliegue de infraestructura crear volúmenes cifrados de Amazon Elastic Block Store (Amazon EBS) asumiendo el rol de IAM InfrastructureDeployment:El ingeniero de seguridad descubrió recientemente que los roles de IAM distintos del rol InfrastructureDeployment utilizaban esta clave (u otros servicios)
A. n el bloque de sentencia que contiene el Sid "Permitir el uso de la clave", en el bloque "Condición", cambie StringEquals por StringLike
B. n el documento de política, elimine la declaración Dlock que contiene el Sid "Enable IAM User Permissions"
C. n el bloque de sentencia que contiene el Sid "Permitir el uso de la clave", en el bloque "Condición", cambie el valor Kms:ViaService a ec2
D. n el documento de política, añada un nuevo bloque de declaración que conceda el permiso "kms:Disable" al rol IAM del ingeniero de seguridad
Ver respuesta
Respuesta correcta: C
Cuestionar #102
El Director de Seguridad de una empresa ha solicitado que un Analista de Seguridad revise y mejore la postura de seguridad de cada cuenta IAM de la empresa El Analista de Seguridad decide hacer esto Mejorando la seguridad del usuario raíz de la cuenta IAM.¿Qué acciones debe tomar el Analista de Seguridad para cumplir con estos requisitos? (Seleccione TRES.)
A. onfiguración de SG de salida en servidores de bases de datos Configuración de SG de entrada en servidores de aplicaciones Configuración de ACL de red de entrada y salida en la subred de bases de datos Configuración de ACL de red de entrada y salida en la subred de servidores de aplicaciones
B. onfiguración de SG de entrada en los servidores de bases de datos
C. onfiguración de SG de entrada y salida en los servidores de bases de datos Configuración de SG de entrada y salida en los servidores de aplicaciones Configuración de ACL de red de entrada en la subred de la base de datos Configuración de ACL de red de salida en la subred del servidor de aplicaciones
D. onfiguración de SG de entrada en los servidores de base de datos Configuración de SG de salida en los servidores de aplicaciones Configuración de ACL de red de entrada en la subred de base de datos Configuración de ACL de red de salida en la subred del servidor de aplicaciones
Ver respuesta
Respuesta correcta: ADE
Cuestionar #103
Un desarrollador de una empresa utiliza una clave SSH para acceder a varias instancias de Amazon EC2. La empresa descubre que la clave SSH se ha publicado en un repositorio público de GitHub. Un ingeniero de seguridad verifica que la clave no se ha utilizado recientemente. ¿Cómo debe evitar el ingeniero de seguridad el acceso no autorizado a las instancias EC2?
A. limine el par de claves de la consola EC2
B. tilice la operación de la API ModifylnstanceAttribute para cambiar la clave en cualquier instancia EC2 que esté utilizando la clave
C. estringir el acceso SSH en el grupo de seguridad sólo a direcciones IP corporativas conocidas
D. ctualizar el par de claves en cualquier AMI que se utilice para lanzar las instancias EC2
Ver respuesta
Respuesta correcta: C
Cuestionar #104
Un ingeniero de seguridad necesita crear una clave de IAM Key Management Service
A. Elimine la puerta de enlace NAT existente
B. onfigure la ACL de red entrante de la instancia de DB TMs para denegar el tráfico desde el ID de grupo de seguridad de la pasarela NAT
C. odificar las tablas de rutas de las subredes de la instancia DB para eliminar la ruta por defecto a la pasarela NAT
D. onfigurar la tabla de rutas de la pasarela NAT para denegar conexiones a las subredes de la instancia DB
Ver respuesta
Respuesta correcta: A
Cuestionar #105
Una empresa aloja una aplicación de usuario final en AWS Actualmente la empresa despliega la aplicación en instancias Amazon EC2 detrás de un Elastic Load Balancer La empresa quiere configurar el cifrado de extremo a extremo entre el Elastic Load Balancer y las instancias EC2.¿Qué solución cumplirá este requisito con el MENOR esfuerzo operativo?
A. tilice certificados AWS Certificate Manager (ACM) emitidos por Amazon en las instancias EC2 y el Elastic Load Balancer para configurar el cifrado de extremo a extremo
B. mportar un certificado SSL de terceros a AWS Certificate Manager (ACM) Instalar el certificado de terceros en las instancias EC2 Asociar el certificado de terceros importado de ACM con el Elastic Load Balancer
C. mplementar AWS CloudHSM Importar un certificado de terceros Configure las instancias EC2 y el Elastic Load Balancer para utilizar el certificado importado de CloudHSM
D. mportar un paquete de certificados de terceros a AWS Certificate Manager (ACM) Instalar el certificado de terceros en las instancias EC2 Asociar el certificado de terceros importado de ACM con el Elastic Load Balancer
Ver respuesta
Respuesta correcta: A

Ver respuestas después del envío

Envíe su correo electrónico y WhatsApp para obtener las respuestas a sus preguntas.

Nota: asegúrese de que su ID de correo electrónico y Whatsapp sean válidos para que pueda obtener los resultados correctos del examen.

Correo electrónico:
WhatsApp/número de teléfono: