すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

2024 更新 SCS-C02試験問題 & 練習問題, AWS Certified Security - Specialty | SPOTO

AWS認定セキュリティ - スペシャリティ(SCS-C02)試験は、AWSクラウド環境内でのセキュリティソリューションの作成と実装の習熟度を評価する包括的な試験です。この認定資格は、専門的なデータ分類、AWSデータ保護メカニズム、データ暗号化方法、およびAWSにおけるそれらの実装を習得していることを証明します。さらに、セキュアなインターネットプロトコルとAWSセキュリティメカニズムとの統合に関する知識も認定されます。弊社の更新された2024 SCS-C02試験問題集を使って成功の準備をしましょう。様々な試験問題、模擬試験、サンプル問題にアクセスして、あなたの理解と準備態勢を強化しましょう。弊社の資料には無料クイズ、試験問題集と効果的な練習をするための試験解答が含まれています。弊社の試験シミュレーターを利用して、現実的な試験体験をし、実際の試験への自信を高めましょう。

他のオンライン試験を受ける
質問 #1
ある企業がus-east-1リージョンでワークロードを実行している。同社は他のAWSリージョンにリソースをデプロイしたことがなく、マルチリージョンリソースを持っていない。同社は、ワークロードとインフラストラクチャをus-west-1リージョンにレプリケートする必要がある。セキュリティエンジニアは、AWS Secrets Manager を使用して両方のリージョンに秘密を保存するソリューションを実装する必要があります。ソリューションは、AWS Key Management Service (AWS KMS)を使用して秘密を暗号化しなければならない。ソリューションはレイテンシーを最小にし、1つしかない場合は動作できなければならない。
A. AWSが管理するKMSキーを使用して、us-east-1の秘密を暗号化する。us-west-1に秘密を複製する。us-west-1の新しいAWSマネージドKMSキーを使用して、us-west-1の秘密を暗号化する。
B. AWSが管理するKMSキーを使用して、us-east-1の秘密を暗号化する。us-west-1のリソースを構成して、us-east-1のSecrets Managerエンドポイントを呼び出します。
C. 顧客が管理するKMS鍵を使用して、us-east-1の秘密を暗号化します。us-west-1のリソースを構成して、us-east-1のSecrets Managerエンドポイントを呼び出します。
D. 顧客が管理するKMS鍵を使用して、us-east-1の秘密を暗号化する。秘密をus-west-1に複製します。us-east-1の顧客管理KMS鍵を使用して、us-west-1の秘密を暗号化する。
回答を見る
正解: D
質問 #2
ある会社の情報セキュリティ担当ディレクターは、IAMセキュリティのベストプラクティスを満たすために、各会社のアカウントに対する推奨事項を含むIAMからのEメールレポートを毎日受け取りたいと考えています。これらの要件を満たすソリューションはどれか。
A. すべての IAM アカウントで、IAM サポート API tor IAM Trusted Advisor セキュリティチェックをクエリするように IAM Lambda を構成する。 Lambda からの結果を Amazon SNS トピックに送信してレポートを送信する。
B. マスターアカウントにAmazon GuardDutyを設定し、マスターアカウントによって管理されるように他のすべてのアカウントを招待する。 GuardDutyのAmazon SNSとの統合を使用して、調査結果を報告する。
C. Amazon AthenaとAmazon QuickSightを使用して、IAM CloudTrailからレポートを作成する Amazon CloudWatchトリガーを毎日作成して、レポートを実行し、Amazon SNSを使用してメール送信する。
D. IAM Artifact の構築済みレポートとサブスクリプションを使用する 各アカウントのセキュリティ代替連絡先として情報セキュリティ部長を追加して、情報セ キュリティ部長をレポートに登録する。
回答を見る
正解: BD
質問 #3
最近のセキュリティ監査で、ある大組織の複数のチームが、制限されたデータを複数のAmazon S3バケットに置き、データが流出している可能性があることが判明しました。監査人は、個人を特定できる情報(PII)を含む可能性のあるオブジェクトをすべて特定し、この情報がアクセスされたかどうかを判断するよう組織に要求しました。どのようなソリューションがあれば、セキュリティチームはこの要求を完了できますか?
A. Amazon Athenaを使用して、PIIクエリ識別子機能を使用して、影響を受けたS3バケットをクエリする。
B. 次に、オブジェクトがアクセスされたときにアラートを出すために、Amazon S3オブジェクトアクセス用の新しいAmazon CloudWatchメトリックを作成する。
C. 影響を受けたS3バケットでAmazon Macieを有効にし、データ分類を実行する。
D. PIIを含む特定されたオブジェクトについては、IAM CloudTrailログとGET操作のS3バケットログを監査するための調査機能を使用する。
E. Amazon GuardDutyを有効にして、影響を受けたS3バケットでPIIルールセットを有効にし、データの分類を実行する。
F. F
回答を見る
正解: A
質問 #4
あるセキュリティエンジニアが、既存の証跡の AW3 CoudTrail ログファイルの接頭辞を更新するよう依頼されました。CloudTrail コンソールで変更を保存しようとすると、セキュリティエンジニアは以下のエラーメッセージを受け取ります。「バケットポリシーに問題があります。
A. 更新されたログファイル接頭辞で新しいトレイルを作成し、元のネイルを削除します。 Amazon S3コンソールで既存のバケットポリシーを新しいログ接頭辞で更新し、CloudTrailコンソールでログファイル接頭辞を更新します。
B. Amazon S3コンソールで既存のバケットポリシーを更新し、セキュリティエンジニアのプリンシパルがPutBucketPolicを実行できるようにする。
C. その後、CloudTrailコンソールでログファイルのプレフィックスを更新します。
D. Amazon S3コンソールで既存のバケットポリシーを新しいログファイル接頭辞で更新し、CloudTrailコンソールでログファイル接頭辞を更新します。
E. セキュリティエンジニアプリンシパルがGetBucketPolicyを実行できるように、Amazon S3コンソールで既存のバケットポリシーを更新し、CloudTrailコンソールでログファイルのプレフィックスを更新する。
回答を見る
正解: A
質問 #5
あるセキュリティエンジニアが、AWS Management Console へのサインイン試行が 5 分間に 3 回以上失敗した場合にアラートを送信する仕組みを構成しています。セキュリティエンジニアは、この作業を支援するためにAWS CloudTrailで証跡を作成します。これらの要件を満たすソリューションはどれか。正解はBです。CloudTrailがAmazon CloudWatch Logsにイベントを送信するように設定します。関連するロググループのメトリックフィルタを作成します。eventName が ConsoleLogin と errorMessage m に一致するフィルタパターンを作成します。
A. CloudTrailで、トレイルのインサイトイベントをオンにします。eventName が ConsoleLogin に一致し、errorMessage が ''Failed authentication'' に一致するインサイトのアラームを構成します。しきい値を3、期間を5分に設定します。
B. Amazon CloudWatch Logsにイベントを送信するようにCloudTrailを構成する。関連するロググループのメトリックフィルタを作成する。eventName が ConsoleLogin に一致し、errorMessage が ''Failed authentication'' に一致するフィルタパターンを作成する。しきい値を3、期間を5分としてCloudWatchアラームを作成する。
C. CloudTrailイベントからAmazon Athenaテーブルを作成します。eventName が ConsoleLogin に一致し、errorMessage が ''Failed authentication'' に一致するクエリを実行する。クエリから通知アクションを作成し、5分以内にカウントが3になったらAmazon Simple Notification Service (Amazon SNS)通知を送信する。
D. AWS Identity and Access Management Access Analyzerで、新しいアナライザーを作成します。5分以内に任意のIAMユーザーでサインイン失敗イベントが3回発生した場合、Amazon Simple Notification Service (Amazon SNS)通知を送信するようにアナライザーを構成します。
回答を見る
正解: B
質問 #6
あるセキュリティエンジニアが、Amazon S3 バケットの例のバケットで暗号化が有効になっているにもかかわらず、バケットにアクセスできる人なら誰でもファイルを取得できることを発見した。このエンジニアは、各IAMユーザーが割り当てられたフォルダにのみアクセスできるように、アクセスを制限したいと考えています。これを実現するために、セキュリティエンジニアは何をすべきでしょうか?
A. IAMが管理するCMK IAM/s3でエンベロープ暗号化を使用する。
B. 変数「${IAM:username}」に基づいて、「kms:Decrypt」を付与する鍵ポリシーで顧客管理CMKを作成する。
C. 用途ごとに顧客管理CMKを作成する。
D. 各ユーザを、対応するキーポリシーのキーユーザとして追加する。
E. 該当するIAMポリシーを変更して、"Resource "へのS3アクセスを許可する:"arn:IAM:s3:::examplebucket/${IAM:ユーザー名}/*""にS3アクセスを許可する。
回答を見る
正解: B
質問 #7
ある会社のセキュリティエンジニアは、すべての IAM アカウントのルートユーザー活動を監視し、報告するように求められました。次のうちどれが、セキュリティエンジニアがすべてのルートユーザーの活動を監視し、レポートすることを可能にしますか?(2つ選択)
A. IAM 組織を設定して、有料アカウントのルートユーザー API 呼び出しを監視する
B. ルートユーザーからのAPIコールが報告されたときにトリガーするAmazon CloudWatch Eventsルールを作成する。
C. Amazon Inspector を設定して、IAM アカウントの root ユーザのアクティビティをスキャンする
D. ルートユーザーがコンソールにログインしたときにセキュリティチームにメールを送信するように IAM Trusted Advisor を設定する
E. Amazon SNSを使ってターゲットグループに通知
回答を見る
正解: D
質問 #8
御社は、IAM KMSサービスに対するすべての通話を録音することを義務付けています。これはどのように実現できますか?選択してください:
A. KMSサービスのログを有効にする
B. Cloudtrailでトレイルを有効にする
C. Cloudwatchのログを有効にする
D. Cloudwatchメトリクスを使用する
回答を見る
正解: C
質問 #9
ある企業が特定のサブドメインにDNSセキュリティ拡張機能(DNSSEC)を実装する必要がある。そのサブドメインはすでにAmazon Route 53に登録されている。セキュリティエンジニアがDNSSEC署名を有効にし、キー署名キー(KSK)を作成しました。セキュリティエンジニアが設定をテストしようとすると、トラストチェーンが壊れているというエラーが表示されます。このエラーを解決するために、セキュリティエンジニアは何をすべきでしょうか?
A. KSKをゾーン署名鍵(ZSK)に置き換える。
B. KSKを一旦停止し、その後起動する。
C. 親ホストゾーンに委任署名者(DS)レコードを作成する。
D. サブドメインに委任署名者(DS)レコードを作成する。
回答を見る
正解: C
質問 #10
セキュリティイベント中に、一部のAmazon EC2インスタンスがAmazon CloudWatchログを送信していないことが判明しました。セキュリティエンジニアは、この問題をトラブルシューティングするためにどの手順を取ることができますか?(2つ選んでください。)
A. 適切なログを送信していないEC2インスタンスに接続し、CloudWatch Logsエージェントが実行されていることを確認する。
B. IAMアカウントにログインし、CloudWatch Logを選択する。
C. 監視対象のEC2インスタンスが「アラート」状態になっていないか確認し、EC2コンソールを使用して再起動する。
D. EC2インスタンスがパブリックIAM APIエンドポイントへのルートを持っていることを確認する。
E. ログを送信していないEC2インスタンスに接続する。
F. コマンドプロンプトを使用して、Amazon SNSトピックに適切なパーミッションが設定されていることを確認する。G
回答を見る
正解: B
質問 #11
あるソフトウェア・エンジニアが、Amazon EC2インスタンス上で実行される、カスタマイズされたレポート・サービスを書いた。会社のセキュリティポリシーでは、レポートサービスのアプリケーションログは一元的に収集されなければならないことになっています。これらの要件を満たす最も効率的な方法は何ですか?
A. EC2インスタンスにログインして、EC2インスタンスからアプリケーションログを取得し、Amazon S3バケットに永続化するIAM Lambda関数を記述する。
B. IAMアカウントのIAM CloudTrailロギングを有効にし、新しいAmazon S3バケットを作成し、CloudTrailからアプリケーションログを受信するようにAmazon CloudWatch Logsを構成する。
C. EC2インスタンスにシンプルなcronジョブを作成し、rsyncを使用してアプリケーションログをAmazon S3バケットに同期する。
D. EC2インスタンスにAmazon CloudWatch Logs Agentをインストールし、アプリケーションログをCloudWatch Logsに送信するように設定する。
回答を見る
正解: A
質問 #12
ある会社では、IAM 組織で管理された複数の IAM アカウントを使用している。セキュリティエンジニアは、これらすべてのアカウントのために、標準的なセキュリティグループのセットを作成した。セキュリティポリシーでは、これらのセキュ リティグループをすべてのアプリケーションに使用することを要求し、変更権限をセキュリティチームだけに委譲している。最近のセキュリティ監査で、セキュリティグループがアカウント間で矛盾して実装されており、セキュリティグループに不正な変更が加えられていることが判明した。セキュリティエンジニアは、次のことを推奨する必要がある。
A. IAM Resource Access Managerを使用して、必要なセキュリティグループごとに共有リソースを作成し、セキュリティグループのみに読み取り専用アクセスを許可するIAMポリシーを適用する。
B. 必要なセキュリティグループを作成する IAM CloudFormation テンプレートを作成する 新しいアカウント設定の一部としてテンプレートを実行する 変更が発生したときに Amazon Simple Notification Service (Amazon SNS) 通知を有効にする
C. IAM Firewall Manager を使用して、セキュリティグループポリシーを作成し、ローカル変更を特定して元に戻すポリシー機能を有効にし、自動修復を有効にする。
D. IAM Control Tower を使用してアカウントファクトリーテンプレートを編集し、スネアセキュリティグループオプションを有効にする。 OU または個々のアカウントに SCP を適用し、ローカルアカウントユーザーからのセキュリティグループの変更を禁止する。
回答を見る
正解: A
質問 #13
あるセキュリティ管理者が、IAMアカウントの侵害が疑われた結果、ログ分析を行っている。管理者は疑わしいIAM CloudTrailログファイルを分析したいが、生成される監査ログの量に圧倒されている。管理者が最も効率的にログを検索するには、どのような方法がありますか?
A. IAMアカウントリソースへの変更を検出するために、"書き込み専用 "CloudTrailイベントフィルタを実装する。
B. CloudTrail監査ログを含むAmazon S3バケット内の機密データを分類し、検出するようにAmazon Macieを設定します。
C. Amazon Athenaを構成して、CloudTrail S3バケットから読み取り、アカウントのアクティビティを調べるためにログをクエリする。
D. Amazon S3 のイベント通知を有効にして、CloudTrail API の新しいエントリがあったときに電子メールアラームを送信する IAM Lambda 関数をトリガーする。
回答を見る
正解: A
質問 #14
ある大学のセキュリティ管理者が、Amazon EC2インスタンスを構成している。EC2インスタンスは学生間で共有され、非rootのSSHアクセスが許可されている。管理者は、学生がEC2インスタンスのメタデータサービスを使用して他のIAMアカウントリソースを攻撃することを懸念しています。この潜在的な攻撃から保護するために、管理者は何ができるか。
A. EC2インスタンスのメタデータサービスを無効にする。
B. すべての生徒のSSHインタラクティブセッションのアクティビティを記録する。
C. インスタンスにipテーブルベースの制限を実装する。
D. インスタンスにAmazon Inspectorエージェントをインストールします。
回答を見る
正解: B
質問 #15
機密性の高い分析ワークロードの一部は、Amazon EC2ホストに移行される予定である。脅威モデリングにより、サブネットが悪意または偶発的にインターネットに公開されるリスクが存在することがわかりました。次のうち、推奨される緩和策はどれですか?
A. IAM Config を使用してインターネットゲートウェイが追加されているかどうかを検出し、IAM Lambda 関数を使用して自動修復を行う。
B. Amazon VPC設定内で、VPCをプライベートとしてマークし、Elastic IPアドレスを無効にします。
C. インターネットからのアクセスを防ぐため、EC2ホストのみにIPv6アドレスを使用する。
D. ワークロードを専用ホストに移動することで、ネットワークセキュリティの管理と監視がさらに強化されます。
回答を見る
正解: A
質問 #16
ある大企業のセキュリティ・エンジニアは、1,500社の子会社が使用するデータ処理アプリケーションを管理している。親会社も子会社もすべて IAM を使用している。アプリケーションはTCPポート443を使用し、ネットワークロードバランサー(NLB)の背後にあるAmazon EC2で実行される。コンプライアンス上の理由から、このアプリケーションは子会社のみがアクセスでき、一般のインターネットでは利用できないようにする必要がある。アクセス制限のコンプライアンス要件を満たすために、エンジニアはパブリックとプライベートのCIDR
A. 1;500の補助CIDRブロック範囲からTCPポート443でのアクセスを許可するNACLを作成する。NACLをNLBとEC2インスタンスの両方に関連付ける。
B. IAMセキュリティグループを作成し、1,500の子会社CIDRブロック範囲からのTCPポート443でのアクセスを許可する。
C. セキュリティグループをNLに関連付ける
D. NLBのセキュリティグループから、TCPポート443でアクセスするEC2インスタンス用の2つ目のセキュリティグループを作成する。
E. NLに接続されている親会社アカウントに、IAM PrivateLinkエンドポイントサービスを作成する。
F. IAM PrivateLinkエンドポイントからのTCPポート443でのアクセスを許可するために、インスタンスにIAMセキュリティグループを作成する G
回答を見る
正解: A
質問 #17
あるセキュリティエンジニアが、VPC内で通信するコンテナ間で相互に認証されたTLS接続を実装しなければなりません。最も安全で保守が容易なソリューションはどれか。
A. IAM Certificate Managerを使用して、パブリック認証局から証明書を生成し、すべてのコンテナに配備する。
B. 1つのコンテナで自己署名証明書を作成し、IAM Secrets Managerを使用して他のコンテナに証明書を配布し、信頼を確立する。
C. IAM Certificate Manager Private Certificate Authority(ACM PCA)を使用して下位認証局を作成し、ACM PCA API を使用してコンテナ内に秘密鍵を作成し、署名する。
D. IAM Certificate Manager プライベート認証局(ACM PCA)を使用して下位認証局を作成し、IAM Certificate Manager を使用してプライベート証明書を生成し、すべてのコンテナに配置する。
回答を見る
正解: ADF
質問 #18
ある企業には、複数の本番用IAMアカウントと中央のセキュリティIAMアカウントがある。セキュリティアカウントは集中監視に使用され、すべての企業アカウントのすべてのリソースに対するIAM権限を持っている。会社のすべてのAmazon S3バケットには、そのコンテンツのデータ分類を示す値がタグ付けされている。セキュリティエンジニアは、バケットポリシーの遵守を強制する監視ソリューションをセキュリティアカウントに導入しています。このシステムは、すべての本番アカウントのS3バケットを監視する必要があります。
A. すべてのS3イベントをセキュリティアカウントのイベントバスに送信するように、本番アカウントのAmazon CloudWatchイベントを設定する。
B. セキュリティアカウントでAmazon GuardDutyを有効にする
C. そして本番アカウントをメンバーとして参加させる。
D. S3バケットの作成または変更イベントを検出するために、セキュリティアカウントでAmazon CloudWatch Eventsルールを構成する。
E. IAM Trusted Advisor を有効にし、セキュリティ連絡先に割り当てられた電子メール アドレスの電子メール通知を有効にする。
F. セキュリティアカウントのIAM Lambda関数を呼び出して、S3イベントに応じてS3バケットの設定を分析し、セキュリティチームにコンプライアンス違反の通知を送信する。G
回答を見る
正解: BEF
質問 #19
ある企業は、カスタムAMIを使用して、単一のリージョンで複数のIAMアカウントにまたがるAmazon EC2インスタンスを起動し、セキュリティ監視と分析タスクを実行することを計画している。EC2インスタンスはEC2 Auto Scalingグループで起動される。ソリューションのセキュリティを高めるため、セキュリティ・エンジニアが集中管理アカウントでカスタムAMIのライフサイクルを管理し、集中管理されたIAM KMS CMKで暗号化する。セキュリティエンジニアは、KMS キーポリシーを設定し、アカウント間のアクセスを許可する。しかし
A. 集中管理アカウントに顧客管理CMKを作成する。
B. 鍵ポリシーの適切なクロスアカウント権限を適用することで、該当する他のアカウントがその鍵を暗号化操作に使用できるようにする。
C. 該当するすべてのアカウントに IAM ロールを作成し、そのアクセスポリシーを構成して、暗号化操作のために集中管理された CMK の使用を許可する。
D. 作成されたIAMロールを使用してEC2インスタンスを起動するように、該当する各アカウント内でEC2 Auto Scalingグループを構成する。
E. 集中管理アカウントに顧客管理CMKを作成する。
F. G
回答を見る
正解: A
質問 #20
ある企業が、IAMクラウド上で重要なWebアプリケーションをホストしている。このアプリケーションは、会社の収益を生み出す重要なアプリケーションです。ITセキュリティチームは、ウェブサイトに対する潜在的なDDos攻撃を心配しています。上級管理職は、潜在的なDDos攻撃が発生した場合、直ちに行動を起こす必要があることも指定しています。この点に関して何をすべきでしょうか?選択してください:
A. IAMシールドサービスの利用を検討する
B. VPC フローログを使用して DDos 攻撃のトラフィックを監視し、潜在的な攻撃のトリガーに対して迅速に対処することを検討してください。
C. IAM Shield Advancedサービスの利用を検討する
D. Cloudwatch ログを使用して DDos 攻撃のトラフィックを監視し、潜在的な攻撃のトリガーに迅速に対応することを検討してください。
回答を見る
正解: A
質問 #21
セキュリティ・エンジニアが、ある企業のために暗号化ツールを開発しなければならない。この企業は、鍵材料で保護されたすべてのリソースに対して、15分以内に暗号消去を実行できる暗号ソリューションを必要としています。 セキュリティエンジニアがこれらの要件を満たすことができるIAM Key Management Service(IAM KMS)鍵ソリューションはどれでしょうか。
A. CMKで輸入キー素材を使用する
B. IAM KMS CMKを使用する
C. IAM管理CMKを使用する。
D. IAM KMS カスタマーマネージド CMK を使用する
回答を見る
正解: A
質問 #22
ある企業では、Amazon EC2インスタンス間のイングレス、イグレス、および通信を管理する複雑な接続ルールがある。このルールは非常に複雑で、セキュリティグループとネットワークアクセス制御リスト(ネットワークACL)の最大数の制限内では実装できない。追加コストを発生させることなく、必要なネットワークルールをすべて実装するには、どのような仕組みが必要だろうか。
A. IAM WAFルールを設定して、必要なルールを実装する。
B. オペレーティングシステム内蔵のホストベースファイアウォールを使用して、必要なルールを実装する。
C. NATゲートウェイを使用して、要件に従って出入りを制御する。
D. IAM MarketplaceからEC2ベースのファイアウォール製品を起動し、その製品に必要なルールを実装する。
回答を見る
正解: D
質問 #23
ある企業は、社内環境とIAMの間のプライベート・ネットワークを暗号化したいと考えている。また、従業員に一貫したネットワーク体験を提供したいと考えています。これらの要件を満たすために、会社は何をすべきでしょうか。
A. IAMでIAM Direct Connect接続を確立し、Direct Connectゲートウェイを設定する。
B. Direct Connectゲートウェイ構成でIPsecとBGPを有効にし、可用性ゾーンとリージョン間でネイティブIAMネットワーク暗号化を活用する、
C. IAMとIAM Direct Connect接続を確立し、Direct Connectゲートウェイを設定する。
D. ダイレクトコネクトゲートウェイを使用して、プライベート仮想インターフェイスを作成し、カスタマーゲートウェイプライベートIPアドレスをアドバタイズします。
E. カスタマーゲートウェイとバーチャルプライベートゲートウェイを使用してVPN接続を作成する。
F. G
回答を見る
正解: B
質問 #24
ある企業には、IPv6アドレス範囲を持つVPCと、IPv6アドレスブロックを持つパブリックサブネットがあります。このVPCは現在、いくつかのパブリックなAmazon EC2インスタンスをホストしているが、セキュリティ・エンジニアは、IPv6接続も必要とする2つ目のアプリケーションをVPCに移行する必要がある。この新しいアプリケーションは、時折、インターネットにアクセス可能な外部のエンドポイントにAPIリクエストを行い、アップデートを受信する。しかし、セキュリティチームは、このアプリケーションのEC2インスタンスをインターネットに直接公開したくない。
A. パブリックサブネットでNATインスタンスを立ち上げる NATインスタンスへの新しいルートでカスタムルートテーブルを更新する
B. インターネットゲートウェイを削除し、IAM PrivateLinkをVPCに追加します。 その後、IAM PrivateLinkへの新しいルートでカスタムルートテーブルを更新します。
C. VPCにマネージドNATゲートウェイを追加する カスタムルートテーブルをゲートウェイへの新しいルートで更新する
D. VPにイグレス専用のインターネットゲートウェイを追加する。
E. ゲートウェイへの新しいルートでカスタムルートテーブルを更新する。
回答を見る
正解: A
質問 #25
EC2 権限を満たす IAM ユーザーが、メンテナンスタスクのために停止した Amazon EC2 インスタンスをボットで起動できた。インスタンスを起動すると、インスタンスの状態は "保留中 "に変わるが、数秒後に "停止中 "に戻る。検証の結果、このインスタンスにはカスタマー・マスター・キー(CMK)を使用して暗号化されたAmazon EBSボリュームがアタッチされていることが判明しました。これらの暗号化されたボリュームを切り離すと、IAMユーザーはEC2インスタンスを起動できるようになった。IAMユーザーポリシーは以下のとおりである。
A. kms:GenerateDataKey
B. kms:復号化
C. kms:CreateGrant
D. "条件":{"Bool": {"kms:ViaService":"ec2
E. "条件":{"Bool": {"kms:GrantIsForIAMResource": true}}
回答を見る
正解: B
質問 #26
あなたの会社には、IAMアカウントで定義された1000台のEC2インスタンスがある。これらのインスタンス上のいくつかの管理タスクを効果的に自動化したいと考えています。これを実現する効果的な方法は、次のうちどれでしょうか。選択してください:
A. IAM Systems Manager パラメータストアを使用する
B. IAM Systems Manager Run コマンドを使用する
C. IAM Inspector を使用する
D. IAM 構成を使用する
回答を見る
正解: C
質問 #27
あるセキュリティエンジニアが、プロダクトチームと一緒に IAM 上でウェブアプリケーションを構築している。このアプリケーションは、静的コンテンツをホストするためにAmazon S3を、RESTfulサービスを提供するためにAmazon API Gatewayを、バックエンドデータストアとしてAmazon DynamoDBを使用する。ユーザは、SAMLアイデンティティプロバイダを通じて公開されるディレクトリにすでに存在しています。ユーザが Web アプリケーションで認証され、API を呼び出せるようにするために、エンジニアが取るべきアクションは次のうちどの組み合わせですか。(3つ選んでください)
A. IAM Lambdaを使用してカスタム認可サービスを作成する。
B. Amazon Cognito の SAML ID プロバイダを構成して、属性を Amazon Cognito ユーザープールの属性にマップします。
C. SAML ID プロバイダを構成して、Amazon Cognito ユーザプールを依拠当事者として追加します。
D. ソーシャルログインプロバイダと統合するために、Amazon Cognito IDプールを構成する。
E. DynamoDBを更新して、ユーザーのメールアドレスとパスワードを保存する。
F. COGNITO_USER_POOLS オーサライザを使用するように API Gateway を更新する。
回答を見る
正解: A
質問 #28
セキュリティ管理者が、会社のルートユーザーアカウントの機能を制限している。会社は IAM 組織を使用しており、連結請求を含むすべての機能セットで IAM 組織を有効にしている。最上位のアカウントは、IAMリソースの運用目的ではなく、請求と管理目的に使用されています。管理者は、組織全体でメンバーのルート・ユーザー・アカウントの使用をどのように制限できますか?
A. 組織ルールのrootユーザーアカウントの使用を無効にする。
B. 各組織メンバーアカウントのルートユーザーアカウントの多要素認証を有効にする。
C. IAMユーザーポリシーを構成して、各組織メンバーアカウントのルートアカウント機能を制限する。
D. ルート使用の使用を制御するサービス制御ポリシーを持つ組織内の組織単位(OU)を作成します。
E. すべての運用アカウントを新しいOUに追加する。
F. Amazon CloudWatch Logsと統合するようにIAM CloudTrailを設定し、RootAccountUsageのメトリックフィルタを作成する。
回答を見る
正解: DEF
質問 #29
ある企業は、Infrastructure as Code(IaC)を使ってAWSインフラを構築している。インフラストラクチャをデプロイするために、AWS CloudFormationテンプレートとしてコードを記述する。同社には、これらのテンプレートをデプロイするために使用できる既存のCI/CDパイプラインがある。最近のセキュリティ監査の後、同社はAWS上の会社のセキュリティ体制を改善するために、ポリシーアズコードアプローチを採用することを決定した。同社は、セキュリティポリシーに違反するようなインフラストラクチャのデプロイを防止しなければならない。
A. AWS Trusted Advisorをオンにする。CI/CD パイプラインの preferences セクションで、セキュリティ通知を webhooks として設定する。
B. AWS Configをオンにする。事前に組み込まれたルール、またはカスタマイズしたルールを使用する。CI/CD パイプラインを、AWS Config からの通知を受け取る Amazon Simple Notification Service (Amazon SNS) トピックにサブスクライブする。
C. AWS CloudFormation Guardでルールセットを作成する。CI/CDプロセスのフェーズとしてCloudFormationテンプレートの検証チェックを実行する。
D. ルールセットをSCPとして作成する。SCPをCI/CDプロセスのフェーズにおける検証制御の一部として統合する。
回答を見る
正解: C
質問 #30
ある開発者が、Amazon API Gatewayをフロントエンドとして使用するサーバーレスアプリケーションを構築している。このアプリケーションは一般には公開されない。Amazon EC2 上で稼働している他のレガシーアプリケーションが、アプリケーションを呼び出します。 セキュリティエンジニアは、アプリケーションの認証と認可のためのセキュリティ制御をレビューするよう依頼されました。(2つ選びなさい)
A. API Gatewayとの通信を許可するアクションが最も少ないIAMポリシーを設定する レガシーEC2インスタンスが使用するロールにポリシーをアタッチする
B. API GatewayのIAM WAFを有効にする レガシーEC2インスタンスからの接続を明示的に許可するルールを設定する
C. API Gateway用のVPCエンドポイントを作成する レガシーEC2インスタンスのロールが特定のAPIを呼び出せるようにするIAMリソースポリシーをアタッチする
D. 利用計画を作成する APIを呼び出す必要のあるアプリケーションごとに、APIキーのセットを生成する。
E. 各APIでCORS(Cross-Origin Resource Sharing)を設定する APIを呼び出すアプリケーションとCORS情報を共有する。
回答を見る
正解: AE
質問 #31
ある企業が、アプリケーション・ロード・バランサー(ALB)の背後にあるAmazon EC2インスタンス上で公開ウェブサイトをホストしている。このインスタンスは、複数のアベイラビリティゾーンにまたがるEC2オートスケーリンググループに属している。セキュリティエンジニアは、公開ウェブサイトの可用性に影響を与えることなく、この攻撃を緩和する必要がある。そのためにセキュリティエンジニアは何をすべきでしょうか?
A. IAM WAFのWeb ACLルールを構成して、loTデバイスのユーザーエージェントの文字列一致条件でリクエストをブロックする。
B. v/eb ACLをALBに関連付ける。
C. AmazonCloudFrontディストリビューションがALBをオリジンとして使用するように設定する。
D. loT デバイスのユーザーエージェントの文字列が一致する条件でリクエストをブロックするように、IAM WAF の Web ACL ルールを構成する。
E. Web ACL を ALB に関連付ける Web サイトのパブリック DNS エントリを変更し、CloudFront ディストリビューションを指すようにする。
F. F
回答を見る
正解: B
質問 #32
ある企業のオンプレミスのデータセンターは、DNSログをサードパーティのセキュリティ・インシデント・イベント管理(SIEM)ソリューションに転送し、不審な行動について警告を発している。同社は、自動修復を含む同様の機能をIAMアカウントに導入したいと考えている。同社は、今後数カ月以内に規模が倍増すると見込んでいる。同社の現在および将来のロギング要件を満たすソリューションはどれか。
A. すべてのリージョンとすべてのアカウントでAmazon GuardDutyとIAM Security Hubを有効にする
B. 子アカウントからのすべてのアラートを受信するマスターセキュリティアカウントを指定する。
C. Amazon Even;Bridge内で特定のルールを設定し、IAM Lambda関数をトリガーして修復ステップを実行する。
D. すべてのIAM CloudTrailログ、VPCフローログ、およびDNSログを、指定されたセキュリティアカウント内の単一のAmazon S3バケットに取り込みます。
E. 現在のオンプレミスの SIEM を使用してログを監視し、Amazon SNS トピックに通知を送信して、セキュリティチームに修復手順を警告する。
F. F
回答を見る
正解: B
質問 #33
あなたの会社には、IAMでホストされているEC2インスタンスがある。このEC2インスタンスはアプリケーションをホストしている。現在、このアプリケーションには多くの問題が発生しています。発生しているエラーのタイプを確認するために、ネットワークパケットを検査する必要がありますか。この問題に対処するために、次の手順のどれが有効ですか。選択してください:
A. VPCフローログを使用してください。
B. IAMパートナーが提供するネットワーク監視ツールを使用する。
C. 別のインスタンスを使う
D. ポートを「プロミスキャス・モード」に設定し、トラフィックをスニッフィングしてパケットを分析する。
E. Cloudwatchメトリックを使用する
回答を見る
正解: D
質問 #34
あるソフトウェアエンジニアが、Amazon EC2インスタンスへのネットワーク接続が正常に動作していないように見える原因を突き止めようとしている。そのセキュリティグループは、0.0.0.0/0からのインバウンドHTTPトラフィックを許可し、アウトバウンドルールはデフォルトから変更されていない。サブネットに関連付けられたカスタムネットワークACLは、0.0.0.0/0からのインバウンドHTTPトラフィックを許可し、アウトバウンドルールはありません。接続性の問題を解決するにはどうすればよいでしょうか?
A. セキュリティグループのアウトバウンドルールが、エフェメラルポート範囲のクライアントへのレスポンスの送信を許可していない。
B. セキュリティグループの送信ルールは、HTTPポート上のクライアントに応答を送信することを許可しません。
C. 応答がエフェメラルポート範囲のクライアントに送信されることを許可するために、ネットワークACLにアウトバウンドルールを追加する必要があります。
D. レスポンスがHTTPポート上のクライアントに送信されることを許可するために、ネットワークACLにアウトバウンドルールを追加する必要があります。
回答を見る
正解: C
質問 #35
EC2インスタンス上で動作するアプリケーションは、データベースにアクセスするためにユーザー名とパスワードを使用しなければならない。開発者は、デフォルトのKMS CMKを使用して、これらの秘密をSSMパラメータストアにSecureString型で格納している。どの構成ステップの組み合わせで、アプリケーションはAPI経由でシークレットにアクセスできますか。以下の選択肢から回答を 2 つ選択してください:
A. 信頼されたサービスとしてEC2インスタンスロールをSSMサービスロールに追加します。
B. SSMサービス・ロールに、KMS鍵を使用して復号化する権限を追加する。
C. EC2インスタンスのrolにSSMパラメータの読み取り権限を追加する。
D.
E. EC2インスタンスのロールに、KMSキーを使用して復号化する権限を追加する。
F. EC2インスタンス・ロールに、SSMサービス・ロールを信頼されたサービスとして追加する。
回答を見る
正解: B
質問 #36
ある組織はIAM上で3つのアプリケーションを実行し、それぞれがAmazon S3上の同じデータにアクセスしている。Amazon S3上のデータは、IAM KMSカスタマーマスターキー(CMK)を使用してサーバー側で暗号化されています。各アプリケーションがKMS CMK上で独自のプログラムアクセス制御権限を持つことを保証するために推奨される方法は何ですか?
A. 各アプリケーションがAmazon S3のデータにアクセスする必要がある場合、KMS CMKに関連付けられたキーポリシーのアクセス許可を変更します。
B. 各アプリケーションに、IAM 証明書マネージャ CMK の使用許可を提供する IAM ロールを想定させる。
C. 各アプリケーションに KMS CMK 上のグラントを使用させ、KMS CMK 上の特定のアクセス制御を追加または削除する。
D. 各アプリケーションがユーザーコンテキストで IAM ポリシーを使用し、KMS CMK に対して特定のアクセス許可を持つようにします。
回答を見る
正解: AD
質問 #37
ある組織が、ELB Classic Load Balancerの背後にあるEC2インスタンスが侵害されたことを示すアラートを受け取った。横の動きを制限し、証拠収集を可能にするテクニックは何か。
A. ロードバランサーからインスタンスを削除し、終了させる。
B. ロードバランサーからインスタンスを削除し、セキュリティグループを強化してインスタンスへのアクセスをシャットダウンする。
C. インスタンスを再起動し、Amazon CloudWatchのアラームを確認する。
D. インスタンスを停止し、ルートEBSボリュームのスナップショットを作成します。
回答を見る
正解: B
質問 #38
ある会社は暗号化された Amazon S3 バケットを持っている。アプリケーション開発者はS3バケットへのアクセスを許可するIAMポリシーを持っていますが、アプリケーション開発者はバケット内のオブジェクトにアクセスできません。この問題の原因として何が考えられますか?
A. S3バケットのS3 ACLは、アプリケーション開発者へのアクセスを明示的に許可していません。
B. S3 バケットの IAM KMS キーが、アプリケーション開発者を管理者としてリストアップできない。
C. S3バケットポリシーは、アプリケーション開発者へのアクセスを明示的に許可していません。
D. S3バケットポリシーは、Application Developerへのアクセスを明示的に拒否します。
回答を見る
正解: D
質問 #39
ある企業が、ITインフラの大半をIAMに移行する計画を立てている。IAMのIDプロバイダとして、既存のオンプレミスActive Directoryを活用したいと考えている。セキュリティエンジニアは、オンプレミスのActive DirectoryとIAMを連携させるために、どの手順を組み合わせればよいでしょうか?(2つ選んでください)
A. 各Active Directoryグループに対応する権限を持つIAMロールを作成する。
B. 各Active Directoryグループに対応する権限を持つIAMグループを作成する。
C. SAMLプロバイダをサポートするようにAmazon Cloud Directoryを構成する。
D. Active DirectoryとIAMの間に信頼当事者を追加するようにActive Directoryを構成する。
E. Amazon Cognitoを設定して、Active DirectoryとIAMの間に信頼当事者を追加する。
回答を見る
正解: ABF
質問 #40
最近の社内調査で、本番用アカウントですべてのAPIロギングが無効になっており、ルートユーザーが数回使用されたと思われる新しいAPIキーを作成していたことが判明しました。インシデントを検出し、自動的に修復するために何ができたでしょうか?
A. Amazon Inspectorを使用して、すべてのAPIコールを確認し、SNSトピックを活用してIAM CloudTrailへの変更をセキュリティに通知し、ルートユーザーの新しいAPIキーを取り消すように、inspectorエージェントを構成します。
B. IAM Configを使用して、IAM CloudTrailが無効になっているときと、ルートユーザーcreate-api-keへのすべての呼び出しを検出する設定ルールを作成する。
C. 次に、Lambda関数を使用してCloudTrailログを再有効化し、ルートAPIキーを非有効化する。
D. Amazon CloudWatchを使用して、IAM CloudTrailの無効化を検出するCloudWatchイベントと、ルートAPIキーの作成を自動的に検出するAmazon Trusted Advisorチェックを別途作成する。
E. 次に、Lambda関数を使用してIAM CloudTrailを有効にし、ルートAPIキーを無効にする。
F. Amazon CloudTrailを使用して、CloudTrailログの非アクティブ化を検出する新しいCloudTrailイベントと、ルートAPIキーGの作成を検出する別のCloudTrailイベントを作成する。
回答を見る
正解: A
質問 #41
IAM鍵管理サービス(KMS)の使用に関するどの選択肢が、将来起こり得る鍵の漏洩によって公開される可能性のあるデータの範囲を最小限に抑えることに重点を置いた鍵管理のベストプラクティスをサポートしているか。
A. KMSの自動キーローテーションを使用してマスターキーを交換し、この新しいマスターキーを今後の暗号化操作に使用する。
B. 新しいカスタマ・マスタ・キー(CMK)を生成し、新しいCMKで既存のすべてのデータを再暗号化し、今後のすべての暗号化操作に使用する。
C. CMKエイリアスを90日ごとに変更し、新しいキーエイリアスでキーコールアプリケーションを更新する。
D. CMK権限を変更し、鍵のプロビジョニングが可能な個人と鍵の使用が可能な個人が同一でないようにする。
回答を見る
正解: BE
質問 #42
あるセキュリティエンジニアが、本番システムを監査しているときに、90 日前の最終監査で文書化されていない、要求されていない追加の IAM ロールをいくつか発見した。エンジニアは、これらの IAM ロールを誰がいつ作成したかを調べようとしている。ソリューションは、運用上のオーバーヘッドを最小限に抑える必要があります。この要件を満たすソリューションはどれか。
A. Amazon S3からAmazon Elasticsearch ServiceクラスタにIAM CloudTrailログをインポートし、結合されたログからCreateRoleイベントを検索します。
B. Amazon AthenaにIAM CloudTrailイベント用のテーブルを作成する。
C. Amazon AthenaのテーブルにCreateRoleイベントを問い合わせる。
D. IAM Config を使用して、追加の IAM ロールの構成タイムラインを検索し、リンクされた IAM CloudTrail イベントを表示します。
E. IAM コンソールから資格情報レポートをダウンロードして、作成日を含む各 IAM エンティティの詳細を表示する。
回答を見る
正解: A
質問 #43
ある会社では、IAM 上で複数のワークロードが実行されている。従業員は、IAM管理コンソールにアクセスするために、オンプレミスのADFSとSSOを使用して認証する必要がある。開発者は、既存のレガシーWebアプリケーションをAmazon EC2インスタンスに移行した。従業員はインターネット上のどこからでもこのアプリケーションにアクセスする必要があるが、現在、アプリケーションには認証システムが組み込まれていない。セキュリティ・エンジニアは、アプリケーションを変更することなく、このシステムに従業員専用アクセスをどのように実装すべきか。
A. アプリケーションをアプリケーションロードバランサー(ALB)の背後に配置する。ALB の認証に Amazon Cognito を使用する。
B. SAML ベースの Amazon Cognito ユーザープールを定義し、それを ADFS に接続する。
C. マスターアカウントにIAM SSOを実装し、ID提供としてADFSにリンクする。
D. EC2インスタンスを管理対象リソースとして定義し、リソースにIAMポリシーを適用する。
E. Amazon Cognito IDプールを定義し、Active Directoryサーバーにコネクタをインストールします。
F. アプリケーションインスタンスでAmazon Cognito SDKを使用して、Active Directoryのユーザー名とパスワードを使用して従業員を認証する。G
回答を見る
正解: D
質問 #44
ある企業のVPCとオンプレミスのデータセンター間の接続を保護しているとき、セキュリティエンジニアがオンプレミスのホスト(IPアドレス203.0.113.12)からAmazon EC2インスタンス(IPアドレス172.31.16.139)にpingコマンドを送信した。pingコマンドは応答を返しませんでした。VPCのフローログには以下のように表示されました:2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 1 4 336 1432917027 1432917142 ACCEPT OK 2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 1 4 336 1432917094 1432917142 RE
A. EC2インスタンスのセキュリティグループで、インバウンドICMPトラフィックを許可する。
B. EC2インスタンスのセキュリティグループで、アウトバウンドICMPトラフィックを許可する。
C. VPCのNACLで、インバウンドICMPトラフィックを許可します。
D. VPCのNACLで、アウトバウンドICMPトラフィックを許可します。
回答を見る
正解: B
質問 #45
ある組織が、アプリケーションサーバーがAmazon EC2インスタンス上で動作する3層のWebアプリケーションをデプロイしたいと考えている。これらのEC2インスタンスは、Amazon RDS DBインスタンスへのSQL接続を認証するために使用する認証情報にアクセスする必要がある。また、IAM Lambda関数は、同じデータベース認証情報を使用してRDSデータベースにクエリを発行する必要がある。EC2インスタンスとLambda関数がアクセスできるように、認証情報を保存する必要がある。それ以外のアクセスは許可されない。アクセスログは
A. データベースの認証情報をIAM Key Management Service(IAM KMS)に保存する。ロールの信頼ポリシーのEC2とLambdaサービスのプリンシパルを使用して、IAM KMSにアクセスできるIAMロールを作成する。
B. EC2インスタンスプロファイルにロールを追加する
C. EC2インスタンスにインスタンスプロファイルをアタッチする
D. 新しいロールを実行に使用するようにLambdaを設定します。
E. IAM KM にデータベース認証情報を保存する
F. ロールの信頼ポリシーのEC2とLambdaサービスのプリンシパルを使用して、KMSにアクセスできるIAMロールを作成する G
回答を見る
正解: ABF
質問 #46
企業のセキュリティ情報イベント管理(SIEM)ツールは、すべてのオブジェクトが作成されたイベント通知をAmazon SNSトピックに送信するように構成されたAmazon S3バケットから新しいIAM CloudTrailログを受信します。同社のSEMツールは、IAMロールを使用して新しいメッセージのためにこのSQSキューをポーティングし、SQSメッセージに基づいてS3バケットから新しいログイベントをフェッチする。最近のセキュリティ・レビューの結果、パーミッションが制限されたため、SEMツールは以下の機能を停止した。
A. SOS キューは、SNS トピックからの SQS SendMessage アクションを許可しません。
B. SNSトピックは、Amazon S3からのSNS Publishアクションを許可していません。
C. SNSトピックが生のメッセージをSQSキューに配信していない。
D. S3バケットポリシーは、CloudTrailがPutObjectアクションを実行することを許可していません。
E. 5EMツールで使用されているIAMロールには、SNSトピックを購読する権限がありません。
F. SEMツールで使用されているIAMロールは、SQS DeleteMessageアクションを許可していません。
回答を見る
正解: BDF
質問 #47
あなたはメディア業界で働いており、ユーザーが作成した写真をウェブサイトにアップロードできるウェブアプリケーションを作成しました。このウェブアプリケーションが機能するためには、S3 APIを呼び出す必要があります。最大レベルのセキュリティを維持しながら、API認証情報をどこに保存する必要がありますか?選択してください:
A. API 認証情報を PHP ファイルに保存します。
B. API認証情報を保存せず、代わりにIAMでロールを作成し、最初にEC2インスタンスを作成するときにこのロールをEC2インスタンスに割り当てる。
C. API認証情報を公開Githubリポジトリに保存する。
D. インスタンス userdata を使用して API 認証情報をインスタンスに渡します。
回答を見る
正解: ACE
質問 #48
あるモバイルゲームのセキュリティエンジニアは、ユーザを認証する方法を実装しなければならない。ほとんどのユーザが同じ OpenID-Connect 互換のソーシャル・メディア・ウェブサイトに参加しているため、セキュリティ・エンジニアはそれを ID プロバイダとして使用したいと考えています。ソーシャル・メディアの ID を使ってユーザの認証を可能にする最も単純な方法はどれですか?
A. アマゾン・コグニート
B. AssumeRoleWithWebIdentity API
C. アマゾンクラウドディレクトリ
D. Active Directory (AD) コネクタ
回答を見る
正解: DEF
質問 #49
ある会社には複数のカスタマーマスターキー(CMK)があり、そのうちのいくつかはインポートされたキーマテリアルを使用している。各CMKは毎年ローテーションする必要があります。セキュリティチームは、各鍵のローテーションにどのような2つの方法を使用できますか。以下の選択肢から答えを2つ選んでください:
A. CMKの自動キーローテーションを有効にする
B. 既存のCMKに新しいキーマテリアルをインポートする
C. CLIまたはコンソールを使用して、既存のCMKを明示的に回転させる。
D. 新しいCMKに新しいキーマテリアルをインポートする。
E. 既存のCMKを削除すると、新しいデフォルトCMKが作成されます。
回答を見る
正解: B

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.