すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

AWSのSCS-C02試験問題2024 -模擬試験と回答で実際のAWS試験準備

試験名AWS認定セキュリティ - スペシャリティ(セキュリティ・スペシャリティ)
試験コードSCS-C02
質問数65の質問
合格点750 / 1000
受験料300米ドル
期間170分

 

SCS-C02AWS認定試験の準備をするには、質の高い試験問題集を検討する必要があります。実際のSCS-C02試験の問題と回答を研究したり、模擬試験やテストを受けたりすることによって、自分の弱い知識分野を明確にし、理解を深めることができます。高品質のSCS-C02模擬試験で、君は自分の実力を試しつつ、実際の試験形式を体験することができます。模擬試験問題集のほかに、SCS-C02試験に関する各領域の知識や必要な知識を明確にした試験問題集や受験参考書などをよく勉強してください。単一の情報源に頼るのではなく、様々な試験準備資料を使用することは、あなたが最初の受験でAWS認定資格に合格するための最善の準備になります。時間を計って模擬試験を受けたり、詳しい説明を確認したり、苦手な分野に集中したり、90%以上の得点をコンスタントに取れるようになるまでAWS SCS-C02試験問題の練習を続けたりすることができます。

 

他のオンライン試験を受ける
質問 #1
あるセキュリティエンジニアが AW Organizations を使用しており、SCP を最適化したいと考えています。 セキュリティエンジニアは、SCP がベストプラクティスに準拠していることを確認する必要があります。この要件を満たすために、セキュリティエンジニアが取るべきアプローチはどれか。
A. AWS IAM Access Analyzer を使用してポリシーを分析します。ポリシーの検証チェックの結果を表示する
B. 組織内のすべてのアカウントのAWS Trusted Advisorチェックを確認する。
C. AWS Audit Managerをセットアップする。すべてのアカウントのすべてのAWSリージョンのアセスメントを実行します。
D. すべてのアカウントのすべてのAmazon EC2インスタンスにAmazon Inspectorエージェントがインストールされていることを確認します。
回答を見る
正解: A
質問 #2
A社はアカウントAという名前のAWSアカウントを持っている。A社は最近、アカウントBという名前のAWSアカウントを持っているB社を買収した。管理者は、アカウントAのユーザーにアカウントBのS3バケットへのフルアクセスを与える必要があります。管理者がアカウントBのS3バケットにアクセスするためにアカウントAのユーザーのIAM権限を調整した後、ユーザーはまだs3バケット内のファイルにアクセスできません。この問題を解決するソリューションはどれですか。
A. アカウントBで、アカウントAのユーザにアカウントBのS3バケットへのアクセスを許可するバケットACLを作成する。
B. アカウントBで、アカウントAのユーザがアカウントBのS3バケット内のすべてのオブジェクトにアクセスできるように、オブジェクトACLを作成する。
C. アカウントBで、アカウントAのユーザにアカウントBのS3バケットへのアクセスを許可するバケットポリシーを作成する。
D. アカウントBで、アカウントAのユーザにアカウントBのS3バケットへのアクセスを許可するユーザポリシーを作成します。
回答を見る
正解: C
質問 #3
ある会社は、Amazon S3、Amazon EC2、およびAWS Key Management Service(AWS KMS)を使用するバッチ処理システムを持っています。このシステムは、2つのAWSアカウントを使用しています:アカウントAは、処理されるオブジェクトを格納するS3バケットをホストしている。S3バケットには、処理結果も格納される。すべてのS3バケットオブジェクトは、Accountで管理されるKMSキーによって暗号化される。
A. アカウントBは、EC2インスタンスのフリートを持つVPCをホストし、バケットポリシーのステートメントを使用してアカウントAのS3バケットにアクセスする。このVPCは、DNSホスト名を有効にし、DNS解決を有効にして作成されている。セキュリティエンジニアは、システムのコードを変更することなく、システムの設計を更新する必要がある。バッチ処理のEC2インスタンスからのAWS APIコールは、インターネットを経由できない。これらの要件を満たす手順の組み合わせはどれか。(2つ選びなさい)。A
B. アカウントBのVPCで、Amazon S3のインターフェイスVPCエンドポイントを作成します。インターフェイスVPCエンドポイントに、S3バケットのs3:GetObject、s3:
C. アカウントBのVPCに、AWS KMS用のインターフェースVPCエンドポイントを作成します。インターフェース VPC エンドポイントに、KMS キーの kms Encrypt、kms:Decrypt、および kms:GenerateDataKey アクションを許可するリソースポリシーを作成します。エンドポイントでプライベート DNS が有効になっていることを確認します。
D. アカウント B の VPC で、AWS KMS 用のインターフェイス VPC エンドポイントを作成します。インターフェース VPC エンドポイントに、KMS キーの kms:Encrypt、kms:Decrypt、kms:GenerateDataKey アクションを許可するリソースポリシーを作成します。エンドポイントのプライベート DNS がオフになっていることを確認します。
E. アカウントB VPCで、S3バケットポリシーがクロスアカウント使用のためにs3:PutObjectAclアクションを許可することを確認します。ゲートウェイVPCエンドポイントに対して、S3バケットのs3:GetObject、s3:ListBucket、およびs3:PutObjectアクションを許可するリソースポリシーを作成します。
回答を見る
正解: BC
質問 #4
あるチームが AWS Secrets Manager を使ってアプリケーションデータベースのパスワードを保存している。アカウント内の限られた IAM プリンシパルのみがシークレットにアクセスできる。シークレットへのアクセスを必要とするプリンシパルは頻繁に変更される。セキュリティエンジニアは、柔軟性と拡張性を最大化するソリューションを作成する必要があります。これらの要件を満たすソリューションはどれか。
A. シークレットへのアクセスを許可するインライン許可ポリシーでIAMロールを作成し、ロールベースのアプローチを使用する。必要に応じて、ロール信頼ポリシーのIAMプリンシパルを更新する。
B. シークレットマネージャ用のVPCエンドポイントをデプロイします。シークレットへのアクセスを許可するIAMプリンシパルを指定するエンドポイントポリシーを作成し、アタッチします。必要に応じてIAMプリンシパルのリストを更新します。
C. リソースポリシーをシークレットに添付して、タグベースのアプローチを使用する。シークレットとIAMプリンシパルにタグを適用する。aws:PrincipalTagとaws:ResourceTagのIAM条件キーを使用してアクセスを制御する。
D. IAMポリシーを使用して明示的に秘密へのアクセスを拒否することにより、デフォルトで拒否するアプローチを使用する。ポリシーを IAM グループにアタッチします。すべての IAM プリンシパルを IAM グループに追加します。アクセスが必要になったら、プリンシパルをグループから削除する。アクセスが許可されなくなったら、プリンシパルを再度グループに追加する。
回答を見る
正解: C
質問 #5
最近開設したAWSアカウントのルートユーザーを保護する最も安全な方法は何ですか。
A. AWSマネジメントコンソールの代わりに、AWSアカウントのrootユーザーアクセスキーを使用します。
B. AdministratorAccess管理ポリシーが設定されているAWS IAMユーザーの多要素認証を有効にする
C. AWSアカウントのルートユーザーで多要素認証を有効にする
D. AWS KMSを使用して、AWSアカウントのルートユーザーとAWS IAMアクセスキーを暗号化し、自動ローテーションを30日に設定する。
E. AWSアカウントのルートユーザー用のアクセスキーを作成せず、代わりにAWS IAMユーザーを作成する。
回答を見る
正解: CE
質問 #6
ある企業がeコマースアプリケーションを開発している。このアプリケーションはAmazon EC2インスタンスとAmazon RDS MySQLデータベースを使用している。コンプライアンス上の理由から、データは転送時および静止時に保護されなければならない。同社は、運用上のオーバーヘッドを最小限に抑え、コストを最小限に抑えるソリューションを必要としている。これらの要件を満たすソリューションはどれか。
A. アプリケーションロードバランサーでAWS Certificate Manager(ACM)のTLS証明書を使用する。EC2インスタンスに自己署名証明書をデプロイする。データベースクライアントソフトウェアがAmazon RDSへのTLS接続を使用することを確認する。RDS DBインスタンスの暗号化を有効にする。EC2インスタンスをサポートするAmazon Elastic Block Store(Amazon EBS)ボリュームの暗号化を有効にする。
B. サードパーティベンダーのTLS証明書をアプリケーションロードバランサーで使用する。EC2インスタンスに同じ証明書をインストールする。データベースクライアントソフトウェアがAmazon RDSへのTLS接続を使用することを確認する。AWS Secrets Managerを使用して、アプリケーションデータをクライアント側で暗号化する。
C. AWS CloudHSMを使用して、EC2インスタンス用のTLS証明書を生成する。EC2インスタンスにTLS証明書をインストールする。データベースクライアントソフトウェアがAmazon RDSへのTLS接続を使用することを確認する。CloudHSMの暗号化キーを使用して、アプリケーションデータをクライアント側で暗号化する。
D. AWS WAFでAmazon CloudFrontを使用する。オリジンのEC2インスタンスにHTTPコネクションを送信する。データベースクライアントソフトウェアがAmazon RDSへのTLS接続を使用することを確認する。データがRDSデータベースに保存される前に、AWS Key Management Service(AWS KMS)を使用してアプリケーションデータをクライアント側で暗号化する。
回答を見る
正解: A
質問 #7
ある会社のセキュリティエンジニアが、インシデント対応計画の一環として、Amazon EC2インスタンスの隔離手順を設計している。セキュリティエンジニアは、会社のフォレンジックチームからのトラフィックを除き、ターゲットインスタンスを隔離して、ターゲットインスタンスへのトラフィックとターゲットインスタンスからのトラフィックをブロックする必要がある。EC2インスタンスにはそれぞれ専用のセキュリティ・グループがある。EC2インスタンスはVPCのサブネットにデプロイされており、サブネットには複数のインスタンスを含めることができる。セキュリティエンジニアはEC2分離の手順をテストしており、ターゲットインスタンスへのSSHセッションを開く。攻撃者によるターゲットインスタンスへのアクセスをシミュレートするために手順を開始する。セキュリティ・エンジニアは既存のセキュリティ・グループ・ルールを削除し、フォレンジック・チームがポート22でターゲット・インスタンスにアクセスできるようにセキュリティ・グループ・ルールを追加する。これらの変更後、セキュリティエンジニアは SSH 接続がまだ有効で使用可能であることに気づきます。セキュリティエンジニアがターゲットインスタンスのパブリックIPアドレスにpingコマンドを実行すると、pingコマンドはブロックされます。セキュリティ・エンジニアはターゲット・インスタンスを分離するために何をすべきでしょうか?
A. セキュリティグループにインバウンドルールを追加し、すべてのポートで0
B. ポート22のセキュリティグループルールを削除する。フォレンジックチームがターゲットインスタンスにアクセスできるように、AWS Systems Manager Session Manager接続を許可するインスタンスロールポリシーをアタッチする。
C. ターゲットインスタンスのサブネットに関連付けられたネットワークACLを作成します。インバウンドルールセットの最上位に、0
D. すべてのインバウンドトラフィックとアウトバウンドトラフィックをブロックするホストレベルのファイアウォールルールを追加するAWS Systems Managerドキュメントを作成します。ターゲットインスタンス上でドキュメントを実行します。
回答を見る
正解: B
質問 #8
あるセキュリティエンジニアが、Amazon Simple Notification Service(Amazon SNS)を使用して、重大度レベルが「高」である Amazon GuardDuty の発見について、企業のセキュリティチームに電子メールアラートを送信したいと考えています。また、セキュリティエンジニアは、これらの発見を視覚化ツールに配信して、さらに詳しく調べたいと考えています。これらの要件を満たすソリューションはどれでしょうか。
A. CloudWatchで2つのターゲットを持つAmazon CloudWatchアラームに通知を送信するようにGuardDutyをセットアップする。CloudWatchから、Amazon Kinesis Data Streamsを通して、Amazon OpenSearch Serviceドメインに調査結果を最初の配信対象としてストリームする。Amazon QuickSightを使用して調査結果を視覚化する。OpenSearchクエリを使用してさらに分析する。CloudWatch アラームの 2 番目のターゲットとして SNS トピックを構成することで、セキュリティチームに電子メールアラートを配信する。Amazon EventBridgeイベントルールでイベントパターンマッチングを使用して、アラートでHigh severityの調査結果のみを送信する。
B. CloudTrailの2つのターゲットでAWS CloudTrailに通知を送信するようにGuardDutyをセットアップする。CloudTrailから、Amazon Kinesis Data Firehoseを経由して、Amazon OpenSearch Serviceドメインに調査結果を配信する。OpenSearchダッシュボードを使用して調査結果を視覚化する。OpenSearchクエリを使用してさらに分析する。CloudTrailの2番目のターゲットとしてSNSトピックを設定することで、セキュリティチームに電子メールアラートを配信する。CloudTrailイベントルールでイベントパターンマッチングを使用し、アラートでHigh severityの調査結果のみを送信する。
C. 2つのターゲットでAmazon EventBridgeに通知を送信するようにGuardDutyを設定します。EventBridgeから、Amazon Kinesis Data Firehoseを経由して、Amazon OpenSearch Serviceドメインに調査結果をストリーミングする。OpenSearchダッシュボードを使用して調査結果を視覚化する。OpenSearchクエリを使用して、さらに分析する。EventBridgeの2番目のターゲットとしてSNSトピックを構成して、セキュリティ・チームに電子メール・アラートを配信する。EventBridgeイベント・ルールでイベント・パターン・マッチングを使用して、アラートで重大度の高い発見事項のみを送信します。
D. 2つのターゲットでAmazon EventBridgeに通知を送信するようにGuardDutyを設定します。EventBridgeから、Amazon Kinesis Data Streamsを経由して、Amazon OpenSearch Serviceドメインに調査結果をストリーム配信する。Amazon QuickSightを使用して調査結果を可視化する。OpenSearchクエリを使用してさらに分析する。EventBridgeの2番目のターゲットとしてSNSトピックを構成することで、セキュリティ・チームに電子メール・アラートを配信する。EventBridgeイベント・ルールのイベント・パターン・マッチングを使用して、アラートで重大度の高い発見事項のみを送信します。
回答を見る
正解: A
質問 #9
あるセキュリティエンジニアがAmazon S3のバケットポリシーを作成し、すべてのユーザーへのアクセスを拒否しました。数日後、セキュリティエンジニアは、バケットポリシーに追加ステートメントを追加し、他の1人の従業員に読み取り専用アクセスを許可しました。ポリシーを更新しても、その従業員はまだアクセス拒否のメッセージを受け取ります。このアクセス拒否の原因は何でしょうか。
A. バケットのACLを更新する必要があります。
B. IAMポリシーがバケットへのアクセスを許可していない。
C. バケットポリシーが有効になるまで数分かかります。
D. allowパーミッションがdenyに上書きされている。
回答を見る
正解: D
質問 #10
ある企業が、レガシーシステムの1つをオンプレミスのデータセンターからAWSに移行しようとしている。アプリケーションサーバーはAWS上で稼働するが、データベースはコンプライアンス上の理由からオンプレミスのデータセンターに残さなければならない。データベースはネットワーク遅延の影響を受けやすい。さらに、オンプレミスのデータセンターとAWSの間を移動するデータは、IPsecで暗号化されている必要がある。これらの要件を満たすAWSソリューションの組み合わせはどれか。(2つ選択)
A. AWS サイト間 VPN
B. AWS Direct Connect
C. AWS VPN CloudHub
D. VPCピアリング
E. NATゲートウェイ
回答を見る
正解: AB

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.