すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

効果的な準備のためのAWS SCS-C02試験問題集|AWS Certified Security - Specialty

SPOTOのAWS SCS-C02問題集は精確に実際試験の範囲を絞ります。弊社のAWS SCS-C02問題集は専門家たちが設計した問題集で、お客様のニーズにお答えいたします。さらに、SPOTOは実際の認定試験を忠実に模倣した模擬試験を提供しており、自分の準備態勢を測り、さらに注意を払う必要のある分野を特定することができます。これらの試験リソースを活用することで、効果的な準備を行い、AWS Certified Security - Specialty試験に初回受験で合格する可能性を高めることができます。
他のオンライン試験を受ける
質問 #1
ある開発チームが、IAM Key Management Service(IAM KMS)のCMKを使用して、IAM Systems Manager Parameter Storeからセキュアな文字列パラメータを暗号化および復号化しようとしています。しかし、試行するたびにエラーメッセージが開発チームに送信されます。どのCMK関連の問題がエラーの原因である可能性がありますか?(2つ選択してください)。
A. しかし、会社は他のアカウントのユーザーが同じフォルダ内の他のファイルにアクセスすることを許可したくありません。これらの要件を満たすソリューションはどれですか?
B. 他のアカウントにユーザーポリシーを適用して、IAM GlueとAthenaが
C. S3 Selectを使用して、
D. IAM GlueでIAM Glue Data Catalogリソースポリシーを定義し、
E. 組織をプリンシパルとして指定したリソースベースのポリシーで、IAM GlueにAmazon S3へのアクセスを許可する。
回答を見る
正解: AD
質問 #2
ある企業は、Amazon S3に保存されているすべてのデータを暗号化する必要がある。同社は、IAM Key Management Service (IAM KMS)を使用して暗号鍵を作成・管理したいと考えている。会社のセキュリティポリシーは、鍵に会社独自の鍵素材をインポートする機能、鍵に有効期限を設定する機能、必要であれば鍵をすぐに削除する機能を必要としています。
A. IAM KMSを構成し、カスタムキーストアを使用する。顧客管理の CMK を作成し、キー・マテリアルを使用しない。 会社のキーとキー・マテリアルを CMK にインポートする。
B. IAM KMSを構成し、デフォルトの鍵ストアを使用する IAMが管理するCMKを作成し、鍵素材を使用しない 会社の鍵素材をCMKにインポートする
C. IAM KMSを構成し、デフォルトのキー・ストアを使用する 顧客が管理するCMKを作成し、キー・マテリアルを使用しない 会社のキー・マテリアルをCMKにインポートする
D. IAM KMSを構成し、カスタムキーストアを使用する。キー・マテリアルがない IAM 管理 CMK を作成する。会社のキー・マテリアルをCMKにインポートする。
回答を見る
正解: A
質問 #3
ある企業が、マルチアカウント認証と認可のためのスケーラブルなソリューショ ンを実装するために、セキュリティ・エンジニアを必要としている。このソリューションは、ユーザが管理するアーキテクチャコンポーネントを追加すべきでない。セキュリティエンジニアは、すべての機能が有効化され、IAM SSO が有効化された IAM 組織をセットアップした。
A. AD Connectorを使用して、IAMアカウントへのアクセスが必要なすべての従業員のユーザーとグループを作成する。AD ConnectorグループをIAMアカウントに割り当て、従業員の職務とアクセス要件に従ってIAMロールにリンクする。 IAM Directory Serviceユーザーポータルを使用してIAMアカウントにアクセスするように従業員に指示する。
B. IAM SSOデフォルトディレクトリを使用して、IAMアカウントへのアクセスが必要なすべての従業員のユーザーとグループを作成する。グループをIAMアカウントに割り当て、従業員の職務とアクセス要件に従って権限セットにリンクする。IAM SSOユーザーポータルを使用してIAMアカウントにアクセスするように従業員に指示する。
C. IAM SSOデフォルト・ディレクトリを使用して、IAMアカウントへのアクセスを必要とするすべての従業員のユーザーとグループを作成する。すべてのアカウントに存在するIAMユーザーにIAM SSOグループをリンクして、既存の権限を継承する。IAM SSOユーザーポータルを使用してIAMアカウントにアクセスするように従業員に指示する。
D. IAMディレクトリサービスtor Microsoft Active Directoryを使用して、IAMアカウントへのアクセスが必要な全従業員のユーザーとグループを作成する 作成したディレクトリでIAM管理コンソールアクセスを有効にし、統合アカウントと権限セットの情報源としてIAM SSOを指定する。IAM Directory Serviceのユーザーポータルを使用してIAMアカウントにアクセスするように従業員に指示する。
回答を見る
正解: B
質問 #4
ある企業が、オンプレミスのサーバーでAmazon Elastic File System(Amazon EFS)の使用を計画している。オンプレミスのデータセンターとIAMリージョンの間に既存のIAM Direct Connect接続が確立されている。オンプレミスのファイアウォールでは、許可リストに特定のIPアドレスのみを追加し、CIDR範囲は追加しないようにセキュリティポリシーが設定されている。また、特定のデータセンターベースのサーバーだけがAmazon EFSにアクセスできるように、アクセスを制限したいと考えています。
A. file-system-id efs IAM-region amazonIAM com URL をデータセンターのファイアウォールの許可リストに追加する EFS セキュリティグループに EFS ファイルシステムをマウントするために、データセンターベースのサーバーに IAM CLI をインストールする データセンターの IP 範囲を許可リストに追加する EFS ファイルシステム名を使用して EFS をマウントする。
B. Amazon EFSにElastic IPアドレスを割り当て、データセンターのファイアウォールの許可リストにElastic IPアドレスを追加する EFSファイルシステムをマウントするために、データセンターベースのサーバーにIAM CLIをインストールする EFSセキュリティグループで、許可リストにデータセンターサーバーのIPアドレスを追加する Elastic IPアドレスを使用してEFSをマウントします。
C. EFSファイルシステムのマウントターゲットのIPアドレスをデータセンターのファイアウォールの許可リストに追加する EFSセキュリティグループで、データセンターのサーバーのIPアドレスを許可リストに追加する Linux端末を使用して、マウントターゲットのいずれかのIPアドレスを使用してEFSファイルシステムをマウントします。
D. IAMサポートに連絡して、EFSファイルシステムに静的なIPアドレス範囲を割り当てる EFSセキュリティグループで、データセンター・サーバのIPアドレスを許可リストに追加する Linux端末を使用して、静的IPアドレスのいずれかを使用してEFSファイルシステムをマウントする。
回答を見る
正解: B
質問 #5
ある企業が、AWS Lambda関数を使用するデータ処理アプリケーションを構築しています。アプリケーションのLambda関数は、同じAWSアカウントのVPC内にデプロイされているAmazon RDS OBインスタンスと通信する必要があります。どのソリューションが、最も安全な方法でこれらの要件を満たすでしょうか?
A. DBインスタンスがパブリックアクセスを許可するように設定する DBインスタンスのセキュリティグループを更新し、AWSリージョンのLambdaパブリックアドレス空間からのアクセスを許可する。
B. VPC内にLambda機能を配置する LambdaサブネットにネットワークACLをアタッチする VPCのCIDR範囲のみにアウトバウンドルールアクセスを提供する DBインスタンスセキュリティグループを更新して、0 0 0からのトラフィックを許可する
C. Lambda関数をVPC内にデプロイする Lambda関数にセキュリティグループをアタッチする VPCのCIDR範囲のみにアウトバウンドルールのアクセスを提供する DBインスタンスのセキュリティグループを更新して、Lambdaセキュリティグループからのトラフィックを許可する。
D. DBインスタンスをホストするVPCとLambdaのデフォルトVPCをピアリングし、セキュリティグループを使用せずに直接ネットワークにアクセスできるようにします。
回答を見る
正解: C
質問 #6
IAMでS3バケットが定義されています。データを送信する前に暗号化する必要があります。
A. Enable server side encryption for the S3 bucket
B. IAM Encryption CLIを使用して、最初にデータを暗号化する。
C. S3バケットにデータを送信する前に、Lambda関数を使用してデータを暗号化する。
D. バケットのクライアント暗号化を有効にする。
回答を見る
正解: B
質問 #7
ある企業が複数の企業の買収を準備している。セキュリティエンジニアは、新しく取得したIAMアカウントが企業のセキュリティベストプラクティスに従うことを保証するソリューションを設計しなければなりません。このソリューションは、各Amazon S3バケットへの無制限のパブリック書き込みアクセスを監視し、IAMマネージドサービスを使用する必要があります。
A. すべてのS3バケットの設定を継続的にチェックするようにAmazon Macieを設定する。
B. IAM Configを有効にして、各S3バケットの設定を確認する。
C. IAM Systems Managerを設定して、公開書き込みアクセスのS3バケットポリシーを監視します。
D. Amazon EC2インスタンスにIAMロールを設定し、すべてのS3バケットのステータスをチェックするcronジョブを設定します。
回答を見る
正解: C
質問 #8
ある企業がウェブサイトの画像をAmazon S3バケットに保存している。同社はAmazon CloudFrontを使用してエンドユーザーに画像を提供しています。同社は最近、画像が同社が配布ライセンスを持たない国からアクセスされていることを発見しました。画像の配布を制限するために、画像を保護するために同社が取るべき行動はどれですか?(2つ選びなさい)
A. IAM Trusted AdvisorからIAM Identity and Access Management(IAM)使用レポートを分析し、アクセスキーが最後に使用された時期を確認する。
B. アクセスキーを検索して、Amazon CloudWatch Logsのアクティビティを分析する。
C. VPCのフローログを解析し、アクセスキーを検索してアクティビティを確認する。
D. IAMアイデンティティおよびアクセス管理(IAM)でクレデンシャルレポートを分析し、アクセスキーが最後に使用された時期を確認する。
回答を見る
正解: AC
質問 #9
ある会社のアプリケーションチームは、IAM上でMySQLデータベースをホストする必要がある。会社のセキュリティポリシーによると、IAM に保存されるすべてのデータは、静止時に暗号化されなければならない。アプリケーションチームは、会社のセキュリティ要件を満たし、運用上のオーバーヘッドを最小限に抑えるソリューションを必要としています。
A. Amazon RDSでデータベースをホストします。暗号化にはAmazon Elastic Block Store(Amazon EBS)を使用する。鍵管理にはIAM CloudHSMによってバックアップされたIAM Key Management Service(IAM KMS)カスタムキーストアを使用する。
B. Amazon RDSでデータベースをホストする。暗号化にはAmazon Elastic Block Store(Amazon EBS)を使用する。鍵管理にはIAM Key Management Service(IAM KMS)のIAM管理CMKを使用する。
C. データベースをAmazon EC2インスタンスにホストする。暗号化にはAmazon Elastic Block Store(Amazon EBS)を使用する。IAM Key Management Service(IAM KMS)の顧客管理CMKを鍵管理に使用する。
D. データベースをAmazon EC2インスタンスにホストする。暗号化と鍵管理にTransparent Data Encryption (TDE)を使用する。
回答を見る
正解: B
質問 #10
ある会社のセキュリティチームは、Amazon EC2 Abuseチームから、会社のAmazon EC2インスタンスの1つ以上が侵害された可能性があるという電子メール通知を受け取った。セキュリティチームは、(現在のモデムである)ことに対応するために、どのアクションの組み合わせを取るべきですか? 2つを選択してください)。
A. Amazon CloudWatchモニタリングを使って、Amazon EC2とネットワーキングのメトリクスを取得する Amazon CloudWatchダッシュボードを使ってメトリクスを可視化する。
B. Amazon Kinesis Agentを実行し、ステータスデータをAmazon Kinesis Data Firehoseに書き込む Kinesis Data FirehoseからのストリーミングデータをAmazon Redshiftに保存する。(その後、プールデータに対してスクリプトを実行し、Amazon Redshiftでデータを分析する。
C. ステータスデータをヘルスチェックコンポーネントからパブリックなAmazon S3バケットに直接書き込む S3イベントを構成して、データを分析するIAM Lambda関数を呼び出します。
D. ヘルスチェックコンポーネントからイベントを生成し、Amazon CloudWatch Eventsに送信する。ステータスデータをイベントペイロードとして含める。CloudWatch Eventsルールを使用して、データを分析するIAM Lambda関数を呼び出す。
回答を見る
正解: DE
質問 #11
ある会社のAmazon EC2インスタンスのセキュリティグループが、無制限のSSHトラフィックの着信を許可することによって、会社のポリシーに違反していることが監査で判明しました。セキュリティエンジニアは、このような違反を管理者に通知する、ほぼリアルタイムの監視およびアラートソリューションを実装する必要があります。
A. 毎日実行され、Network Reachabilityパッケージを使用する定期的なAmazon Inspector評価実行を作成します。評価実行が開始されるとIAM Lambda関数を呼び出すAmazon CloudWatchルールを作成します。アセスメント実行が完了したときに、アセスメント実行レポートを取得して評価するようにLambda関数を構成します。無制限の受信SSHトラフィックに違反がある場合、Amazon Simple Notification Service(Amazon SNS)通知を発行するようにLambda関数も構成する。
B. restricted-ssh IAM Config 管理ルールを使用します。このルールは、準拠しないセキュリティグループ構成の変更によって起動されます。IAM Config修復機能を使用して、Amazon Simple Notification Service (Amazon SNS)トピックにメッセージを発行する。
C. VPにVPC Flow Logsを設定し、Amazon CloudWatch Logsグループを指定する。CloudWatch Logsグループを、新しいログエントリーを解析し、ポート22で成功した接続を検出し、Amazon Simple Notification Service (Amazon SNS)を通じて通知を発行するIAM Lambda関数にサブスクライブする。
D. 毎日実行され、セキュリティベストプラクティスパッケージを使用する定期的なAmazon Inspector評価実行を作成する。評価実行の開始時にIAM Lambda関数を呼び出すAmazon CloudWatchルールを作成します。完了時に評価実行レポートを取得して評価するようにLambda関数を構成します。無制限の受信SSHトラフィックに違反がある場合、Amazon Simple Notification Service(Amazon SNS)通知を発行するようにLambda関数も構成する。
回答を見る
正解: B
質問 #12
ある会社は、静的なWebサイトをAmazon S3にホスティングしている。会社は、Webサイトのコンテンツを提供するためにAmazon CloudFrontディストリビューションを設定した。このWeb ACLは、コンプライアンス上の制限に対処するために、リクエストが米国から発信されることを保証している。
A. アマゾンのMacieを有効にして、Secunty H jbが探偵にMacieからの調査結果を処理できるようにする。
B. 組織のすべてのメンバーアカウントで、CtoudTrailログのIAM Key Management Service(IAM KMS)暗号化を無効にする。
C. すべてのメンバーアカウントでAmazon GuardDutyを有効にする 48時間以内にDetectiveを有効にしてみてください。
D. Detectiveを起動するプリンシパルが組織のListAccounts権限を持っていることを確認します。
回答を見る
正解: AD
質問 #13
ある企業が、AWS Lambda関数を使用するデータ処理アプリケーションを構築しています。アプリケーションのLambda関数は、同じAWSアカウントのVPC内にデプロイされているAmazon RDS OBインスタンスと通信する必要があります。どのソリューションが、最も安全な方法でこれらの要件を満たすでしょうか?
A. DBインスタンスがパブリックアクセスを許可するように設定する DBインスタンスのセキュリティグループを更新し、AWSリージョンのLambdaパブリックアドレス空間からのアクセスを許可する。
B. VPC内にLambda機能を配置する LambdaサブネットにネットワークACLをアタッチする VPCのCIDR範囲のみにアウトバウンドルールアクセスを提供する DBインスタンスセキュリティグループを更新して、0 0 0からのトラフィックを許可する
C. Lambda関数をVPC内にデプロイする Lambda関数にセキュリティグループをアタッチする VPCのCIDR範囲のみにアウトバウンドルールのアクセスを提供する DBインスタンスのセキュリティグループを更新して、Lambdaセキュリティグループからのトラフィックを許可する。
D. DBインスタンスをホストするVPCとLambdaのデフォルトVPCをピアリングし、セキュリティグループを使用せずに直接ネットワークにアクセスできるようにします。
回答を見る
正解: C
質問 #14
ある会社が、外部の ID プロバイダを使用して、異なる IAM アカウントへのフェデレーションを許可しています。この会社のセキュリティエンジニアは、1週間前に本番環境のAmazon EC2インスタンスを終了させたフェデレーションユーザを特定する必要があります。セキュリティエンジニアがフェデレーションユーザを特定する最も速い方法は何ですか。
A. Amazon S3バケット内のIAM CloudTrailイベント履歴ログを確認し、Terminatelnstancesイベントを探して、ロールセッション名から連携ユーザーを特定します。
B. TerminatelnstancesイベントのIAM CloudTrailイベント履歴をフィルタリングし、想定されるIAMロールを特定する。CloudTrailのAssumeRoleWithSAMLイベント呼び出しを確認し、対応するユーザー名を特定する。
C. IAMのCloudTrailログでTerminatelnstancesイベントを検索し、イベント時刻を記録する。すべての連携ロールの[IAM Access Advisor]タブを確認します。最終アクセス時刻は、インスタンスが終了した時刻と一致するはずです。
D. Amazon Athenaを使用して、Amazon S3バケットに保存されているIAM CloudTrailログでSQLクエリを実行し、Terminatelnstancesイベントでフィルタリングします。対応するロールを特定し、別のクエリを実行して、ユーザー名のAssumeRoleWithWebldentityイベントをフィルタリングする。
回答を見る
正解: B
質問 #15
ある会社がus-east-1リージョンにAmazon GuardDutyを導入しました。同社は、同社のAmazon EC2インスタンスに関連するすべてのDNSログを検査したいと考えています。EC2インスタンスがログに記録されていることを確認するために、セキュリティエンジニアは何をすべきでしょうか。
A. ホスト名用に設定されたIPv6アドレスを使用する。
B. 外部DNSリゾルバを、IAMのみに見える内部リゾルバとして構成する。
C. すべてのEC2インスタンスにIAM DNSリゾルバを使用する。
D. すべてのEC2インスタンスに対してロギングを行うサードパーティのDNSリゾルバを構成する。
回答を見る
正解: C
質問 #16
ある会社は、AWSアカウント内のファイルを暗号化するために、アプリケーションでAWS Key Management Service(AWS KMS)のAWS所有キーを使用しています。会社のセキュリティチームは、潜在的なキー侵害が発生するたびに、新しいファイル用の新しいキー材料に変更する機能を望んでいます。
A. 新しい顧客管理キーを作成する。 キーにキーローテーションスケジュールを追加する。 セキュリティチームがキー変更を要求するたびに、キーローテーションスケジュールを呼び出す。
B. 新しいAWS管理キーを作成する キーにキーローテーションスケジュールを追加する セキュリティチームがキー変更を要求するたびに、キーローテーションスケジュールを呼び出す。
C. 鍵の別名を作成する セキュリティチームが鍵の変更を要求するたびに、新しい顧客管理鍵を作成する。
D. 鍵のエイリアスを作成する セキュリティチームが鍵の変更を要求するたびに、新しいAWS管理鍵を作成する エイリアスを新しい鍵に関連付ける
回答を見る
正解: A
質問 #17
ある企業がアプリケーションにIAM WAFとAmazon CloudFrontを導入した。アプリケーションは、Auto Scalingグループの一部であるAmazon EC2インスタンスで実行される。IAM WAFのWeb ACLは、IAM Managed Rulesルールグループを使用し、CloudFrontディストリビューションに関連付けられている。CloudFront は IAM WAF からリクエストを受信し、ALB をディストリビューションのオリジンとして使用する。
A. Lambda@Edge機能を使用するようにCloudFrontディストリビューションを構成する。CloudFrontビューアリクエストにレート制限を課すIAM Lambda関数を作成する。レート制限を超えた場合、リクエストをブロックする。
B. すべてのIAM WAFルールをより速く処理するために、Web ACLがより多くの容量ユニットを持つようにIAM WAF Web ACLを構成します。
C. レート制限を課すレートベースルールでIAM WAFを構成し、レート制限を超えるとリクエストを自動的にブロックする。
D. ALBの代わりにIAM WAFをオリジンとして使用するようにCloudFrontディストリビューションを構成する。
回答を見る
正解: C
質問 #18
ある企業が新しいAmazon RDSデータベース・アプリケーションを開発しました。同社は、転送中の暗号化と静止時の暗号化のためにROSデータベースの認証情報を保護する必要があります。また、定期的に認証情報を自動的にローテーションする必要があります。これらの要件を満たすソリューションはどれですか?
A. IAM Systems Manager Parameter Store を使用して、データベース資格情報を保存する。クレデンシャルの自動ローテーションを構成する。
B. IAM Secrets Manager を使用してデータベース資格情報を保存する。認証情報の自動ローテーションを設定する。
C. S3管理暗号化キー(SSE-S3)によるサーバー側暗号化で構成されたAmazon S3バケットにデータベース認証情報を保存する。 IAMデータベース認証で認証情報をローテーションする。
D. データベースの認証情報をAmazon S3 Glacierに保存し、S3 Glacier Vault Lockを使用する。 IAM Lambda関数を構成し、スケジュールされたベースで認証情報をローテーションする。
回答を見る
正解: A
質問 #19
ある企業のセキュリティエンジニアは、Amazon GuardDuty、AWS Identity and Access Management Access Analyzer、または Amazon Made が重大性の高いセキュリティ問題を発見した場合に、電子メールアラートを受信したいと考えています。同社はすべてのアカウントを管理するためにAWS Control Towerを使用している。また、AWSのすべてのサービス統合をオンにして、AWS Security Hubを使用しています。どのソリューションが、運用上のオーバーヘッドを最小限に抑えながら、これらの要件を満たすことができますか?
A. GuardDuty、1AM Access Analyzer、Macie用に別々のAWS Lambda関数をセットアップし、各サービスのパブリックAPIを呼び出して、重大度の高い調査結果を取得する。Amazon Simple Notification Service (Amazon SNS)を使用して、電子メールアラートを送信します。Amazon EventBridgeルールを作成して、スケジュールで関数を呼び出します。
B. 重大度の高いSecurity Hubの調査結果イベントに一致するパターンを持つAmazon EventBridgeルールを作成します。対象のAmazon Simple Notification Service(Amazon SNS)トピックに調査結果を送信するようにルールを構成する。必要なメールアドレスをSNSトピックに登録する。
C. 重大度の高いAWS Control Towerイベントに一致するパターンを持つAmazon EventBridgeルールを作成します。対象の Amazon Simple Notification Service (Amazon SNS) トピックに調査結果を送信するようにルールを構成します。必要なメールアドレスをSNSトピックに登録します。
D. AmazonEC2上でアプリケーションをホストし、GuardDuty、1AM Access Analyzer、およびMacie APIを呼び出します。アプリケーション内でAmazon Simple Notification Service(Amazon SNS)APIを使用して、重大度の高い調査結果を取得し、調査結果をSNSトピックに送信します。必要なメールアドレスをSNSトピックに登録します。
回答を見る
正解: B
質問 #20
ある企業が、AWS Lambda関数を使用するデータ処理アプリケーションマットを構築しています。アプリケーションのLambda関数は、同じAWSアカウントのVPC内にデプロイされているAmazon RDS OBインスタンスと通信する必要があります。どのソリューションが最も安全な方法でこれらの要件を満たしていますか?
A. DBインスタンスがパブリックアクセスを許可するように設定する DBインスタンスのセキュリティグループを更新し、AWSリージョンのLambdaパブリックアドレス空間からのアクセスを許可する。
B. VPC内にLambda機能を配置する LambdaサブネットにネットワークACLをアタッチする VPCのCIDR範囲のみにアウトバウンドルールアクセスを提供する DBインスタンスセキュリティグループを更新して、0
C. Lambda関数をVPC内にデプロイする Lambda関数にセキュリティグループをアタッチする VPCのCIDR範囲のみにアウトバウンドルールのアクセスを提供する DBインスタンスのセキュリティグループを更新して、Lambdaセキュリティグループからのトラフィックを許可する。
D. DBインスタンスをホストするVPCとLambdaのデフォルトVPCをピアリングし、セキュリティグループを使用せずに直接ネットワークにアクセスできるようにします。
回答を見る
正解: C
質問 #21
ある企業が、IAM Key Management Service(IAM KMS)のCMKを使用してサーバーサイドで暗号化することで、Amazon S3に機密文書を保存しています。新しい要件では、これらの文書に使用されるCMKは、S3のアクションにのみ使用できることが義務付けられています。この要件を満たすために、会社はキーポリシーにどのステートメントを追加する必要がありますか?
A.
B.
回答を見る
正解: A
質問 #22
MMアカウントは複数の開発者チームで共有されるため、Amazon EC2インスタンスの停止と終了を制限し、チームが所有するインスタンスに対してのみこれらのアクションを実行できるようにしたい。
A. 各チームについて、フェローと同様のAMポリシーを作成する ec2:ResourceTag/Team条件キーに適切なチーム名を入力する 対応するIAMロールに結果のポリシーをアタッチする
B. 各チームについて、次のようなIAMポリシーを作成する。 IAM TagKeys/Team条件キーに適切なチーム名を入力する。再開ポリシーを対応するIAMロールにアタッチする。
C. 各IAMロールにチームラグキーをタグ付けし、タグ値にチーム名を使用する。次のような IAM ポリシーを作成し、開発者が使用するすべての IAM ロールに 4 をアタッチします。
D. Team キーで各 IAM ロールをタグ付けし、タグ値にチーム名を使用する。次のような IAM ポリシーを作成し、開発者が使用するすべての IAM ロールに適用します。
回答を見る
正解: A
質問 #23
あなたの会社は、IAMでサーバを管理するためにbastionホストを使うことを計画している。セキュリティの観点から見たbastionホストの説明として、最も適切なものはどれか。
A. Bastionホストはプライベートサブネットに置くべきで、セキュリティ上の問題からパブリックサブネットには決して置かないでください。
B. Bastionホストは内部ネットワークの外側にあり、プライベートネットワークへのゲートウェイとして使用され、ネットワークの重要なストロングポイントとみなされる。
C. Bastionホストは、ユーザーがRDPまたはSSHを使用してログインし、そのセッションを使用して内部ネットワークにS5Hし、プライベートサブネットリソースにアクセスできるようにします。
D. バスティオンのホストは、それが一般に利用可能である以上、極めて厳重なセキュリティと監視を維持すべきである。
回答を見る
正解: C
質問 #24
あなたの会社には、IAMで定義されたEC2インスタンスのセットがある。これらのEC2インスタンスには、厳密なセキュリティグループが設定されている。セキュリティグループの変更を確実に記録し、それに従って対処する必要がある。これを実現するにはどうすればよいか。
A. Cloudwatchのログを使ってSecurity Groupsのアクティビティを監視する。フィルタを使って変更を検索し、SNSを使って通知する。
B. Cloudwatchメトリクスを使用して、セキュリティグループのアクティビティを監視する。フィルタを使用して変更を検索し、SNSを使用して通知する。
C. IAM inspector を使用して、セキュリティグループのアクティビティを監視する。フィルタを使用して変更を検索し、SNS を使用して通知する。
D. Cloudwatchイベントを使用して、Security Groupsへの変更をトリガーする。Lambda関数をメール通知用に設定する。
回答を見る
正解: D
質問 #25
ある企業が IAM Organizations を使って複数の IAM アカウントを管理している。会社のセキュリティチームは、一部のメンバーアカウントがIAM CloudTrailログを集中管理されたAmazon S3ロギングバケットに送信していないことに気づきました。セキュリティチームは、少なくとも1つのトレイルが構成されていることを確認したいと考えています(または、既存のすべてのアカウントと将来作成されるすべてのアカウント)。
A. 新しいトレイルを作成し、CloudTrailのログをAmazon S3に送信するように設定する。Amazon EventBridge (Amazon CloudWatch Events)を使用して、証跡が削除されたり停止された場合に通知を送信する。
B. すべてのアカウントにIAM Lambda関数をデプロイして、既存の証跡があるかどうかをチェックし、必要に応じて新しい証跡を作成する。
C. 組織マスターアカウントの既存の証跡を編集し、組織に適用する。
D. cloudtrail:Deleteとcloudtrail:Stopのアクションを拒否するSCPを作成する。SCPをすべてのアカウントに適用する。
回答を見る
正解: C
質問 #26
ある企業は、コンプライアンス要件を満たすために、Webアプリケーションに接続する際にHTTPSを使用する必要がある。これらのWebアプリケーションは、アプリケーションロードバランサー(ALB)の背後にあるAmazon EC2インスタンス上のAmazon VPCで実行されます。セキュリティエンジニアは、ALBが誤ってHTTPリスナーで構成されている場合でも、ロードバランサーがポート443経由の接続のみを受け入れるようにしたいと考えています。セキュリティエンジニアがこのタスクを達成するために取るべき構成手順はどれですか?
A. ポート00の0
B. ポート80の0 0
C. ポート443のみでVPC IP範囲へのアウトバウンド接続を許可するネットワークACLを作成します。ネットワークACLをVPCのインターネットゲートウェイに関連付けます。
D. ポート443上の0
回答を見る
正解: D
質問 #27
最近のセキュリティ監査で、IAM CloudTrail のログが改ざんや不正アクセスから十分に保護されていないことが判明した。 この監査結果に対処するために、セキュリティエンジニアが取るべき行動はどれか。(3つを選択)
A. 影響を受けるアカウントのIAM WAFルールを更新し、IAM Firewall Managerを使用して、更新されたIAM WAFルールを他のすべてのアカウントにプッシュします。
B. GuardDuty集中ログとAmazon SNSを使用してアラートを設定し、すべてのアプリケーションチームにセキュリティインシデントを通知する。
C. GuardDutyアラートを使用して、既知の悪意のあるIPアドレスをブロックするために、Amazon EC2インスタンス上に追加のNACLを追加してすべてのアカウントを更新するIAM Lambda関数を記述します。
D. IAM Shield Advancedを使用して個々のアカウントの脅威を特定し、Organizationsを介して他のすべてのアカウントにアカウントベースの保護を適用する。
回答を見る
正解: ADE
質問 #28
セキュリティエンジニアは、IAM CloudTrailがオフになった場合に備えて、複数のIAMリージョンでIAM CloudTrailをオンに戻すソリューションを構築する必要がある。このソリューションを実装する最も効率的な方法は何か。
A. IAM-EnableCloudTrail修復をトリガーするために、管理されたルールでIAM Configを使用します。
B. Cloudtrail
C. Cloudtrail
D. IAM Trusted Advisorを監視して、CloudTrailロギングが有効になっていることを確認する。
回答を見る
正解: B
質問 #29
ある企業は、AWS Key Management Service(AWS KMS)を使用して、静止状態のデータを保護する暗号化戦略を実施する予定である。同社は、会社のプロジェクトでクライアント側の暗号化を必要としている。同社は現在、AWS KMSの使用をテストするために複数のプロジェクトを実施している。これらのテストにより、同社のAWSリソース消費量が急激に増加している。テストプロジェクトには、暗号化活動のためにKMSエンドポイントに毎秒複数のリクエストを発行するアプリケーションが含まれている。
A. AWS Encryption SDKでキーリングを使用します。各キーリングを個別に使用するか、キーリングを組み合わせてマルチキーリングにする。マルチキーリング内の主キーを持つキーリングを使用してデータを復号化する。
B. データキーキャッシングを使用する。AWS Encryption SDKがキャッシュ暗号化マテリアルマネージャーと共に提供するローカルキャッシュを使用する。
C. KMSキーローテーションを使用する。AWS Encryption SDK のローカルキャッシュを、キャッシュ暗号化マテリアルマネージャーとともに使用する。
D. AWS Encryption SDKでキーリングを使用する。各キーリングを個別に使用するか、キーリングを組み合わせてマルチキーリングにする。データを復号化するために、マルチキーリング内のラップキーのいずれかを使用する。
回答を見る
正解: B
質問 #30
ある企業は、AWSアカウントに標準的なIAMロールのセットをデプロイする。IAM ロールは、社内の職能に基づいている。運用効率とセキュリティのバランスを取るために、セキュリティエンジニアは、AWS Organizations SCPを実装して、すべての会社のアカウントで重要なセキュリティサービスへのアクセスを制限しました。AWS Organizations内の会社のすべてのアカウントとOUには、デフォルトのFullAWSAccess SCPがアタッチされています。セキュリティエンジニアは、誰も Amazon GuardDuty と AWS Security Hu を無効にできないようにする必要があります。
A. オプション
B. オプション
C. オプション
D. オプションD
回答を見る
正解: A
質問 #31
ある企業が、IAM Organizations を使用して、マルチアカウントによるセキュアなネットワーキング戦略を策定している。同社は、共有サービス、監査、およびセキュリティ検査に個別の集中管理アカウントを使用する予定である。会社のセキュリティポリシーでは、すべてのインターネットトラフィックを、セキュリティ検査アカウントで一元管理されたセキュリティ検査レイヤーを経由させる必要がある。セキュリティエンジニア
A. 特定のCloudTrailトレイルへの変更を禁止するIAMポリシーを作成し、IAMアカウントのルートユーザーにポリシーを適用します。
B. CloudTrailトレイルの指定された宛先アカウントに、ソースアカウントのIAMアカウントルートユーザーからの設定変更を禁止するS3バケットポリシーを作成する。
C. 特定のCloudTrail証跡への変更を禁止するSCPを作成し、Organizationsの適切な組織単位またはアカウントにSCPを適用する。
D. 特定のCloudTrailトレイルへの変更を禁止するIAMポリシーを作成し、そのポリシーを新しいIAMグループに適用する。チームメンバーに、新しいIAMグループのメンバーである個々のIAMアカウントを使用させる。
回答を見る
正解: C
質問 #32
ある会社のIAMアカウントは約300人のIAMユーザーで構成されています。システム管理者として、個々のユーザーレベルでポリシーを適用する必要がないように、これを効果的に実装するにはどうすればよいでしょうか。
A. 新しいロールを作成し、各ユーザーをIAMロールに追加します。
B. IAMグループを使用し、役割に応じてユーザーを異なるグループに追加し、グループにポリシーを適用する。
C. ポリシーを作成し、JSONスクリプトを使用して複数のユーザーに適用します。
D. 各ユーザーのIAMアカウントIDを含む、アクセス無制限のS3バケットポリシーを作成する。
回答を見る
正解: B
質問 #33
ある企業が IAM Organizations を使って複数の IAM アカウントを管理している。会社のセキュリティチームは、一部のメンバーアカウントがIAM CloudTrailログを集中管理されたAmazon S3ロギングバケットに送信していないことに気づきました。セキュリティチームは、少なくとも1つのトレイルが構成されていることを確認したいと考えています(または、既存のすべてのアカウントと将来作成されるすべてのアカウント)。
A. 新しいトレイルを作成し、CloudTrailのログをAmazon S3に送信するように設定する。Amazon EventBridge (Amazon CloudWatch Events)を使用して、証跡が削除されたり停止された場合に通知を送信する。
B. すべてのアカウントにIAM Lambda関数をデプロイして、既存の証跡があるかどうかをチェックし、必要に応じて新しい証跡を作成する。
C. 組織マスターアカウントの既存の証跡を編集し、組織に適用する。
D. cloudtrail:Deleteとcloudtrail:Stopのアクションを拒否するSCPを作成する。SCPをすべてのアカウントに適用する。
回答を見る
正解: C
質問 #34
セキュリティエンジニアは、IAM Security Hubを有効にして、単一のIAMアカウントでAmazon EC2インスタンスのfix CVEを監視するように命じられました。エンジニアはすでにIAM Management ConsoleでIAM Security HubとAmazon Inspectorを有効にしており、監視が必要なEC2インスタンスにAmazon Inspectorエージェントをインストールしています。
A. CVEルールパッケージを使用するようにAmazon inspectorエージェントを設定します。
B. CVEルールパッケージを使用するようにAmazon Inspectorエージェントを設定する カスタムリソースポリシーを記述して、IAM inspectorからインジェストするようにSecurity Hubを設定する
C. CVEルールパッケージを使用するようにSecurity Hubエージェントを設定する カスタムリソースポリシーを記述して、Security HubからIAM Inspector loを取り込むように設定する
D. CVEルールパッケージを使用するようにAmazon Inspectorエージェントを設定する Integrationライブラリを追加インストールする Amazon InspectorエージェントがSecurity Hubと通信できるようにする
回答を見る
正解: D
質問 #35
あなたのCTOはIAMアカウントのセキュリティを非常に心配しています。ハッカーにアカウントを完全に乗っ取られないようにするには、どうすればよいでしょうか?
A. rootアカウントと管理者には、短いが複雑なパスワードを使用する。
B. IAM IAM Geo-Lockを使用し、あなたの都市以外からのログインを禁止する。
C. すべてのユーザーとアカウント、特にルートアカウントでMFAを使用する。
D. IAMアカウントを作成した後、rootアカウントのパスワードをメモしたり記憶したりしないでください。
回答を見る
正解: C
質問 #36
セキュリティエンジニアは、IAM Security Hubを有効にして、単一のIAMアカウントでAmazon EC2インスタンスのfix CVEを監視するように命じられました。エンジニアはすでにIAM Management ConsoleでIAM Security HubとAmazon Inspectorを有効にしており、監視が必要なEC2インスタンスにAmazon Inspectorエージェントをインストールしています。
A. CVEルールパッケージを使用するようにAmazon inspectorエージェントを設定します。
B. CVEルールパッケージを使用するようにAmazon Inspectorエージェントを設定する カスタムリソースポリシーを記述して、IAM inspectorからインジェストするようにSecurity Hubを設定する
C. CVEルールパッケージを使用するようにSecurity Hubエージェントを設定する カスタムリソースポリシーを記述して、Security HubからIAM Inspector loを取り込むように設定する
D. CVEルールパッケージを使用するようにAmazon Inspectorエージェントを設定する Integrationライブラリを追加インストールする Amazon InspectorエージェントがSecurity Hubと通信できるようにする
回答を見る
正解: D
質問 #37
セキュリティ管理者が、新しいAWSアカウントを設定している。セキュリティ管理者は、企業がAmazon S3バケットに保存するデータを保護したいと考えています。セキュリティ管理者はまた、意図しないデータ露出の可能性と、S3バケット内のオブジェクトの誤設定の可能性を低減したいと考えています。どのソリューションが、運用上のオーバーヘッドを最小限に抑えながら、これらの要件を満たすことができますか?
A. S3サーバー側の暗号化を設定する。s3:DeleteObjectとs3:PutObjectのAPIコールに対して、すべてのユーザーに対して明示的な拒否ルールを持つS3バケットポリシーを作成します。S3オブジェクトロックを設定し、7年間の保持期間を持つガバナンスモードを使用します。
B. S3サーバー側の暗号化を設定する。S3バケットにS3バージョニングを構成する。S3オブジェクトロックを構成し、7年の保持期間でコンプライアンスモードを使用します。
C. S3バージョニングを構成する。S3バケットにS3 Intelligent-Tieringを設定し、ドキュメントをS3 Glacier Deep Archiveストレージに移動する。すぐにS3サーバーサイド暗号化を使用する。7年後にオブジェクトを失効させる。
D. S3イベント通知を設定し、S3サーバー側暗号化を使用する。S3バケットへのあらゆるS3 APIコールを確認し、s3:DeleteObjectとs3:PutObject APIコールを拒否するAWS Lambda関数をターゲットにS3イベント通知を設定する。7年後にS3イベント通知を削除する。
回答を見る
正解: D
質問 #38
あるセキュリティエンジニアが、AWS CloudFormation テンプレートの脆弱性をチェックしています。セキュリティエンジニアは、アプリケーションの API キーを平文で公開するデフォルト値を持つパラメータを発見しました。このパラメータは、テンプレートの中で何度も参照されています。セキュリティエンジニアは、テンプレート内で値を参照する機能を維持しながら、パラメータを置き換える必要があります。最も安全な方法でこれらの要件を満たすソリューションはどれでしょうか?
A. APIキーの値をSecureStringパラメータとしてAWS Systems Manager Parameter Storeに格納する。テンプレート内で、値への参照をすべて{{resolve
B. APIキーの値をAWS Secrets Managerに保存する。テンプレート内で、値への参照をすべて{ {resolve
C. APIキーの値をAmazon DynamoDBに保存します。テンプレート内で、値への参照をすべて{{resolve
D. APIキーの値を新しいAmazon S3バケットに保存します。テンプレート内で、値への参照をすべて { に置き換える。
{resolve. 3
回答を見る
正解: B
質問 #39
組織は、IAM KMSのカスタマーマスターキー(CMK)を24時間以内に削除し、暗号化または復号化操作に使用されないようにする機能を確立する必要があります。
A. KMS内でキーを手動で回転させ、すぐに新しいCMKを作成する。
B. KMSの鍵インポート機能を使用して、鍵の削除操作を実行する。
C. KMSのキー削除スケジュール機能を使用して、削除の最小待機期間を指定する。
D. KMSのCMKエイリアスを変更し、どのサービスも直ちにCMKを使用できないようにします。
回答を見る
正解: C
質問 #40
アプリケーションチームは、IAM Certificate Manager (ACM)を使用して公開証明書を要求し、転送中のデータの安全性を確保したいと考えている。使用されているドメインは、現在Amazon Route 53でホストされていない。アプリケーションチームは、IAMが管理するディストリビューションとキャッシングソリューションを使用して、システムへのリクエストを最適化し、顧客により良いプレゼンスを提供したいと考えている。
A.
B.
C.
回答を見る
正解: CDF
質問 #41
ある企業には、同じAWSリージョンと同じAWSアカウントに2つのVPCがあります。各VPCは、もう一方のVPCのCIDRブロックと重複しないCIDRブロックを使用しています。一方のVPCには、NATゲートウェイを介してインターネットにアクセスするサブネット内で実行されるAWS Lambda関数が含まれています。この Lambda 関数は、もう一方の VPC で実行されている、一般にアクセス可能な Amazon Aurora MySQL データベースへのアクセスを必要とします。
A. Auroraデータベースを現在のVPCのインターネットアクセス経路のないプライベートサブネットに移動する。 LambdaファンクションがAuroraデータベースの新しいプライベートIPアドレスを使用してデータベースにアクセスするように設定する。 LambdaファンクションのプライベートIPアドレスからのアクセスを許可するようにAuroraデータベースのセキュリティグループを設定する。
B. AuroraデータベースのVPCで、2つのVPC間のVPCエンドポイントを確立する Amazon RDSのサービスVPCエンドポイントを設定する LambdaファンクションのVPCで、AuroraデータベースのVPCのサービスエンドポイントを使用するインターフェイスVPCエンドポイントを設定する Lambdaファンクションからの接続を許可するように、サービスエンドポイントを設定します。
C. VPC間でAWS Direct Connectインタフェースを確立する。 Direct Connectインタフェースを介してAuroraデータベースにアクセスする新しいルートテーブルを使用するようにLambda関数を設定する。 Direct ConnectインタフェースのIPアドレスからのアクセスを許可するようにAuroraデータベースのセキュリティグループを設定する。
D. Lambda ファンクションを VPC 内のパブリックサブネットに移動する Aurora データベースを VPC 内のプライベートサブネットに移動する Lambda ファンクションが Aurora データベースの新しいプライベート IP アドレスを使用してデータベースにアクセスするように設定する Lambda ファンクションのパブリック IP アドレスからのアクセスを許可するように Aurora データベースを設定する。
回答を見る
正解: B
質問 #42
システム管理者が、IAMロールを使用してeu-west-1リージョンでAmazon EC2インスタンスを起動できません。同じシステム管理者が、eu-west-2およびeu-west-3リージョンでEC2インスタンスを起動できます。システム管理者のIAMロールにアタッチされたIAMSystemAdministratorアクセスポリシーは、アカウント内のすべてのIAMサービスとリソースへの無条件アクセスを許可しています。
A. SCPは、以下の許可ステートメントを持つアカウントにアタッチされます:
B. システム管理者の役割には、次のような権限境界ポリシーが設定されています:
C. システム管理者ロールに、次のような権限境界が設定されています:
D. アカウントにSCPが添付され、次のように記述されています:
回答を見る
正解: B
質問 #43
ある会社が、増え続ける IAM アカウントを管理するために、IAM Organizations を導入した。セキュリティエンジニアは、組織構造内のプリンシパルのみが特定のAmazon S3バケットにアクセスできるようにしたいと考えています。また、運用上のオーバーヘッドを最小限に抑える必要があります。これらの要件を満たすソリューションはどれでしょうか。
A. 1 すべてのユーザーを、Jバケットへのアクセスを許可するアクセスポリシーを持つIAMグループに入れる。
B. アカウント作成がバケットポリシーを管理するIAM Lambda関数をトリガーするようにし、ポリシーに記載されているアカウントのみにアクセスを許可する。
C. 組織マスターアカウントにSCPを追加し、すべてのプリンシパルにバケットへのアクセスを許可する。
D. バケットポリシーのグローバルキー条件要素に組織IDを指定し、すべてのプリンシパルにアクセスを許可する。
回答を見る
正解: D
質問 #44
ある企業がウェブサイトの画像をAmazon S3バケットに保存している。同社はAmazon CloudFrontを使用してエンドユーザーに画像を提供しています。同社は最近、画像が同社が配布ライセンスを持たない国からアクセスされていることを発見しました。画像の配布を制限するために、画像を保護するために同社が取るべき行動はどれですか?(2つ選びなさい)
A. IAM Trusted AdvisorからIAM Identity and Access Management(IAM)使用レポートを分析し、アクセスキーが最後に使用された時期を確認する。
B. アクセスキーを検索して、Amazon CloudWatch Logsのアクティビティを分析する。
C. VPCのフローログを解析し、アクセスキーを検索してアクティビティを確認する。
D. IAMアイデンティティおよびアクセス管理(IAM)でクレデンシャルレポートを分析し、アクセスキーが最後に使用された時期を確認する。
回答を見る
正解: AC
質問 #45
CTOは、IAMアカウントがハッキングされたと考えています。ハッカーが非常に洗練されたIAMエンジニアで、痕跡を消すために全力を尽くしていると仮定して、不正アクセスがあったかどうか、彼らが何をしたかを確実に知る唯一の方法は何でしょうか?
A. CloudTrailログファイルの整合性検証を使用します。
B. IAM構成SNSサブスクリプションを使用し、リアルタイムでイベントを処理する。
C. IAMのS3とGlacierにバックアップされたCloudTrailを使用する。
D. IAM Config Timelineフォレンジックを使用する。
回答を見る
正解: A
質問 #46
ある会社は、AWSアカウント内のファイルを暗号化するために、アプリケーションでAWS Key Management Service(AWS KMS)のAWS所有キーを使用しています。会社のセキュリティチームは、潜在的なキー侵害が発生するたびに、新しいファイル用の新しいキー材料に変更する機能を望んでいます。
A. 新しい顧客管理キーを作成する。 キーにキーローテーションスケジュールを追加する。 セキュリティチームがキー変更を要求するたびに、キーローテーションスケジュールを呼び出す。
B. 新しいAWS管理キーを作成する キーにキーローテーションスケジュールを追加する セキュリティチームがキー変更を要求するたびに、キーローテーションスケジュールを呼び出す。
C. 鍵の別名を作成する セキュリティチームが鍵の変更を要求するたびに、新しい顧客管理鍵を作成する。
D. 鍵のエイリアスを作成する セキュリティチームが鍵の変更を要求するたびに、新しいAWS管理鍵を作成する エイリアスを新しい鍵に関連付ける
回答を見る
正解: A
質問 #47
セキュリティエンジニアが IAM アカウントで IAM Security Hub を有効にし、Center for Internet Security (CIS) IAM Foundations コンプライアンス標準を有効にした。数時間経っても、Security Hubコンソールにコンプライアンスの評価結果が表示されない。このエンジニアは、Security HubがリソースのCIS IAM Foundations準拠を評価できるようにしたいと考えています。これらの要件を満たすために、セキュリティエンジニアが取るべき手順はどれですか?
A. セキュリティハブのサービスロールにAmazon Inspector IAMの完全な権限を追加し、CISコンプライアンス評価を実行できるようにする。
B. アカウントでIAM Trusted Advisorが有効になっており、Security HubサービスロールにTrusted Advisorのセキュリティ関連の推奨アクションを取得する権限があることを確認する。
C. アカウントでIAM Configが有効になっていること、およびCISコンプライアンス評価に必要なIAM Configルールが作成されていることを確認する。
D. IAMのCloudTrailの正しい証跡がSecurity Hubによる監視のために構成され、Security HubのサービスロールがCloudTrailのAmazon S3バケットでGetObject操作を実行する権限を持っていることを確認します。
回答を見る
正解: C
質問 #48
ある企業が、同じ1AMインスタンスプロファイルを使用しているAmazon Linux 2 Amazon EC2インスタンスの特定のサブセットから、すべてのSSHキーを恒久的に削除したいと考えています。しかし、IAMユーザーアカウントを持つ3人の個人が、重要な職務を遂行するためにSSHセッションを使用してこれらのインスタンスにアクセスする必要があります。
A. インスタンスプロファイルに1AMポリシーを割り当て、EC2インスタンスをAWS Systems Managerで管理できるようにする。 1AMユーザーアカウントにSystems Managerの使用権限を与える。
B. 1AMユーザーアカウントに1AMポリシーを割り当て、AWS Systems Managerの使用許可を与える Run Command EC2インスタンスからSSHキーを削除 Run Commandを使用して、EC2インスタンスへのSSH接続を開く。
C. インスタンスプロファイルに1AMポリシーを割り当て、EC2インスタンスをAWS Systems Managerで管理できるようにする 1AMユーザーアカウントにSystems Managerの使用権限を付与する EC2インスタンスからSSHキーを削除する Systems Manager Session Managerを使用して、EC2インスタンスを選択して接続する。
D. 1AMユーザーアカウントに1AMポリシーを割り当て、AWS管理コンソールでEC2サービスの使用許可を与える EC2インスタンスからSSHキーを削除する AWS管理コンソールのEC2 SSHクライアントメソッドから、ec2-userとしてEC2インスタンスに接続する。
回答を見る
正解: C
質問 #49
アプリケーションチームは、Amazon S3で使用するための新しいIAM KMSマスターキーを要求しましたが、組織のセキュリティポリシーは、爆発半径を制限するために、異なるIAMサービスに別々のマスターキーを要求しています。
A. CMKキーポリシーを設定し、Amazon S3サービスのみがkms Encryptアクションを使用できるようにします。
B. kmsのViaService条件がAmazon S3のサービス名と一致する場合にのみ、IAM KMSアクションを許可するようにCMKキーポリシーを設定する。
C. Configure IAM user's policy lo allow KMS to pass a rote lo Amazon S3
D. CMKと組み合わせてAmazon S3の操作のみを許可するように、IAMユーザーのポリシーを設定する。
回答を見る
正解: B
質問 #50
ある会社では、Amazon EC2インスタンスとAmazon EMRクラスタ上の単一のIAMアカウントでワークロードを実行している。最近のセキュリティ監査で、複数のAmazon Elastic Block Store(Amazon EBS)ボリュームとスナップショットが暗号化されていないことが明らかになった。この会社のセキュリティエンジニアは、すべての新しいEBSボリュームとEBSスナップショットが静止時に暗号化されることを保証しながら、ユーザーがEC2インスタンスとEMRクラスタをデプロイできるようにするソリューションに取り組んでいる。このソリューションは、運用上のオーバーヘッドも最小限に抑える必要があります。
A. Amazon Event Bridge (Amazon Cloud watch Events)イベントを、EC2インスタンスをソースとして、create volumeをイベントトリガーとして作成します。イベントがトリガーされると、IAM Lambda関数を呼び出して、作成されたEBSボリュームが暗号化されていない場合に評価し、セキュリティエンジニアに通知します。
B. 顧客が管理するIAMポリシーを使用して、Createvolumeコンテキストの暗号化フラグがtrueに設定されていることを確認します。このルールをすべてのユーザーに適用する。
C. IAM Configルールを作成し、作成または変更時に各EC2インスタンスの構成を評価する。IAM ConfigルールがIAM Lambdafunctionをトリガーして、セキュリティチームに警告を発し、EBSボリュームが暗号化されていない場合はインスタンスを終了させる。5
D. IAM管理コンソールまたはIAM CLiを使用して、企業が事業展開している各IAMリージョンで、EBSボリュームの暗号化をデフォルトで有効にします。
回答を見る
正解: D
質問 #51
ある会社には2つのチームがあり、各チームはそれぞれのAmazon S3バケットにアクセスする必要があります。会社がこれらのチームを追加すると、チームメンバーは複数のチームに割り当てられる機能が必要になります。チームメンバーはまた、チームを変更する能力も必要になる。IAM管理者は、これらの目標を達成するためのソリューションを設計しなければならない。IAM管理者は、これらの目標を達成するためのソリューションを設計しなければならない。
A. チームを代表するグループにユーザーを追加します。各チームにそれぞれのS3バケットにのみアクセスできるポリシーを作成する。ポリシーを対応するグループにアタッチする。
B. チームごとにIAMロールを作成します。各チームに、それぞれのS3バケットにのみアクセスできるポリシーを作成する。ポリシーを対応するロールにアタッチする。
C. チームのアクセスタグ値でラベル付けされたIAMロールを作成します。同じタグを持つS3バケットへの動的アクセスを許可するポリシーを1つ作成する。ポリシーをIAMロールにアタッチする。それに応じてS3バケットにタグを付けます。
D. 役割ベースのアクセス制御(RBAC)認可モデルを実装する。対応するポリシーを作成し、IAMユーザーにアタッチする。
回答を見る
正解: A
質問 #52
ある開発チームが、IAM Key Management Service(IAM KMS)のCMKを使用して、IAM Systems Manager Parameter Storeからセキュアな文字列パラメータの暗号化と復号化を試みています。しかし、開発チームは試行するたびにエラーメッセージを受け取ります。CMKに関連するどの問題がエラーの原因として考えられますか?(2つ選択してください)。
A. すべてのリージョンでAmazon GuardDutyを有効にする。us-east-1とus-west-2以外での不正なアクティビティを検出するアラートを作成します。
B. IAM Organizationsで組織を使用する。IAM:要求地域条件キーがus-east-1またはus-west-2の場合に、すべてのアクションを許可するSCPをアタッチする。FullIAMAccessポリシーを削除する。
C. IAM CodePipelineを使用してIAM Cloud Formationテンプレートを使用してEC2リソースをプロビジョニングする。IAM CloudFormationテンプレートのパラメータでus-east-1とus-west-2の値のみを許可する。
D. us-east-1とus-west-2以外での不正なアクティビティを防止するIAM構成ルールを作成します。
回答を見る
正解: AD
質問 #53
ある会社のIAMアカウントは約300人のIAMユーザーで構成されています。システム管理者として、個々のユーザーレベルでポリシーを適用する必要がないように、これを効果的に実装するにはどうすればよいでしょうか。
A. 新しいロールを作成し、各ユーザーをIAMロールに追加します。
B. IAMグループを使用し、役割に応じてユーザーを異なるグループに追加し、グループにポリシーを適用する。
C. ポリシーを作成し、JSONスクリプトを使用して複数のユーザーに適用します。
D. 各ユーザーのIAMアカウントIDを含む、アクセス無制限のS3バケットポリシーを作成する。
回答を見る
正解: B
質問 #54
ある会社のセキュリティエンジニアは、請負業者のIAMアカウントに、他のIAMサービスへのアクセスを提供することなく、会社のAmazon EC2コンソールへのアクセスを制限するよう命じられました。請負業者のIAMアカウントは、IAMアカウントにIAMグループメンバーシップに基づく追加権限が割り当てられている場合でも、他のIAMサービスにアクセスすることはできません。
A. 契約者のIAMユーザーがAmazon EC2にアクセスできるように、mime IAMユーザーポリシーを作成する。
B. AmazonEC2へのアクセスを許可するIAM権限バウンダリポリシーを作成する IAM権限バウンダリポリシーを使用して、契約者のIAMアカウントをアソシエートする。
C. AmazonEC2へのアクセスを許可するポリシーが添付されたIAMグループを作成する 契約者のIAMアカウントとIAMグループを関連付ける。
D. EC2を許可し、他のすべてのサービスを明示的に拒否するIAMロールを作成する 請負業者が常にこのロールを引き受けるように指示する。
回答を見る
正解: B
質問 #55
セキュリティ管理者が、新しいAWSアカウントを設定している。セキュリティ管理者は、企業がAmazon S3バケットに保存するデータを保護したいと考えています。セキュリティ管理者はまた、意図しないデータ露出の可能性と、S3バケット内のオブジェクトの誤設定の可能性を低減したいと考えています。どのソリューションが、運用上のオーバーヘッドを最小限に抑えながら、これらの要件を満たすことができますか?
A. S3サーバー側の暗号化を設定する。s3:DeleteObjectとs3:PutObjectのAPIコールに対して、すべてのユーザーに対して明示的な拒否ルールを持つS3バケットポリシーを作成します。S3オブジェクトロックを設定し、7年間の保持期間を持つガバナンスモードを使用します。
B. S3サーバー側の暗号化を設定する。S3バケットにS3バージョニングを構成する。S3オブジェクトロックを構成し、7年の保持期間でコンプライアンスモードを使用します。
C. S3バージョニングを構成する。S3バケットにS3 Intelligent-Tieringを設定し、ドキュメントをS3 Glacier Deep Archiveストレージに移動する。すぐにS3サーバーサイド暗号化を使用する。7年後にオブジェクトを失効させる。
D. S3イベント通知を設定し、S3サーバー側暗号化を使用する。S3バケットへのあらゆるS3 APIコールを確認し、s3:DeleteObjectとs3:PutObject APIコールを拒否するAWS Lambda関数をターゲットにS3イベント通知を設定する。7年後にS3イベント通知を削除する。
回答を見る
正解: D
質問 #56
ポリシーを作成し、個々のユーザーだけに適用する必要があります。これを正しい方法で実現するにはどうすればよいでしょうか。
A. ユーザーにIAM管理ポリシーを追加します。
B. ユーザーのサービスポリシーを追加します。
C. ユーザーにIAMロールを追加する。
D. ユーザーにインラインポリシーを追加します。
回答を見る
正解: D
質問 #57
ある企業がAWS上でエンドユーザーアプリケーションをホストしている。現在、この企業はElastic Load Balancerの背後にあるAmazon EC2インスタンス上にアプリケーションを展開している。この企業は、Elastic Load BalancerとEC2インスタンス間でエンドツーエンドの暗号化を構成したいと考えている。この要件を最も少ない運用労力で満たすソリューションはどれか。
A. EC2インスタンスとElastic Load Balancer上でAmazonが発行したAWS Certificate Manager(ACM)証明書を使用して、エンドツーエンドの暗号化を設定する。
B. サードパーティのSSL証明書をAWS Certificate Manager(ACM)にインポートする EC2インスタンスにサードパーティの証明書をインストールする ACMにインポートしたサードパーティの証明書をElastic Load Balancerに関連付ける
C. Deploy AWS CloudHSM Import a third-party certificate インポートしたCloudHSM証明書を使用するようにEC2インスタンスとElastic Load Balancerを設定する。
D. サードパーティ証明書のバンドルをAWS Certificate Manager(ACM)にインポートする EC2インスタンスにサードパーティ証明書をインストールする ACMにインポートしたサードパーティ証明書をElastic Load Balancerに関連付ける
回答を見る
正解: A
質問 #58
あなたの開発チームは、S3とDynamoDBにアクセスできるアプリケーションを開発するためにアクセスキーを使用しています。新しいセキュリティポリシーでは、認証情報は2ヶ月以上前のものであってはならず、ローテーションされるべきであるという概要が示されています。どのようにこれを達成できますか?
A. アプリケーションを使用して、SDK経由で2ヶ月ごとにキーを回転させる。
B. スクリプトを使用して、キーの作成日を照会する。2カ月より古い場合は、新しいアクセスキーを作成し、それを使用するようにすべてのアプリケーションを更新する。
C. 2カ月ごとに、鍵に関連付けられたユーザーを削除する。その後、ユーザーを再作成する。
D. 2カ月ごとに、キーに関連付けられたIAM Roleを削除する。その後、IAM Roleを再作成する。
回答を見る
正解: B
質問 #59
ある企業が、IAM Key Management Service(IAM KMS)のCMKを使用してサーバーサイドで暗号化することで、Amazon S3に機密文書を保存しています。新しい要件では、これらの文書に使用されるCMKは、S3のアクションにのみ使用できることが義務付けられています。この要件を満たすために、会社はキーポリシーにどのステートメントを追加する必要がありますか?
A.
B.
回答を見る
正解: A
質問 #60
ある企業が、Amazon EC2インスタンス群に分散Webアプリケーションをデプロイする。ALBはTLS接続を終了するように設定される。ALBへのすべてのTLSトラフィックは、証明書の秘密鍵が漏洩しても安全でなければなりません。
A. IAM証明書マネージャ(ACM)によって管理される証明書を使用するHTTPSリスナーを作成します。
B. 完全秘匿(PFS)の暗号スイートを使用するセキュリティポリシーを使用するHTTPSリスナーを作成します。
C. Server Order Preferenceセキュリティ機能を使用するHTTPSリスナーを作成します。
D. 完全な前方秘匿性(PFS)を持つ暗号スイートのみを許可するカスタムセキュリティポリシーを使用するTCPリスナーを作成します。
回答を見る
正解: A
質問 #61
ある企業は、IAMでホストされているEC2インスタンスのセットを持っている。EC2インスタンスには、重要な情報を保存するためのEBSボリュームがある。EBSボリュームの高可用性を確保する事業継続要件がある。これを実現するにはどうすればよいですか。
A. EBSボリュームのライフサイクルポリシーを使用します。
B. EBSスナップショットを使用する。
C. EBSボリュームレプリケーションを使用する。
D. EBSボリューム暗号化を使用します。
回答を見る
正解: B
質問 #62
ある会社が、外部の ID プロバイダを使用して、異なる IAM アカウントへのフェデレーションを許可しています。この会社のセキュリティエンジニアは、1週間前に本番環境のAmazon EC2インスタンスを終了させたフェデレーションユーザを特定する必要があります。セキュリティエンジニアがフェデレーションユーザを特定する最も速い方法は何ですか。
A. Amazon S3バケット内のIAM CloudTrailイベント履歴ログを確認し、Terminatelnstancesイベントを探して、ロールセッション名から連携ユーザーを特定します。
B. TerminatelnstancesイベントのIAM CloudTrailイベント履歴をフィルタリングし、想定されるIAMロールを特定する。CloudTrailのAssumeRoleWithSAMLイベント呼び出しを確認し、対応するユーザー名を特定する。
C. IAMのCloudTrailログでTerminatelnstancesイベントを検索し、イベント時刻を記録する。すべての連携ロールの[IAM Access Advisor]タブを確認します。最終アクセス時刻は、インスタンスが終了した時刻と一致するはずです。
D. Amazon Athenaを使用して、Amazon S3バケットに保存されているIAM CloudTrailログでSQLクエリを実行し、Terminatelnstancesイベントでフィルタリングします。対応するロールを特定し、別のクエリを実行して、ユーザー名のAssumeRoleWithWebldentityイベントをフィルタリングする。
回答を見る
正解: B
質問 #63
ある企業がAWS Organizationsに組織を持っている。同社は、AWS CloudFormation StackSetsを組織で使用して、様々なAWSデザインパターンを環境にデプロイしたいと考えている。これらのパターンは、Amazon EC2インスタンス、Elastic Load Balancing(ELB)ロードバランサー、Amazon RDSデータベース、Amazon Elastic Kubernetes Service(Amazon EKS)クラスタまたはAmazon Elastic Container Service(Amazon ECS)クラスタで構成されている。
A. Amazon Simple Notification Service (Amazon SNS)トピックを作成する。セキュリティチームのメールアドレスをSNSトピックに登録する。CI/CD パイプラインのビルドステージの前に、すべての CloudFormation テンプレートに対して aws cloudformation validate-template AWS CLI コマンドを実行するカスタム AWS Lambda 関数を作成する。問題が見つかった場合にSNSトピックに通知を発行するようにCI/CDパイプラインを構成する。
B. Amazon Simple Notification Service(AmazonSNS)トピックを作成する。セキュリティチームのメールアドレスをSNSトピックに登録する。CloudFormation Guardで各リソース構成用のカスタムルールを作成する。CI/CDパイプラインで、ビルドステージの前に、CloudFormationテンプレート上でcfn-guardコマンドを実行するDockerイメージを構成する。問題が見つかった場合にSNSトピックに通知を発行するようにCI/CDパイプラインを構成する。
C. Amazon Simple Notification Service(Amazon SNS)トピックとAmazon Simple Queue Service(Amazon SQS)キューを作成します。セキュリティチームのメールアドレスをSNSトピックに登録する。共有サービスのAWSアカウントにAmazon S3バケットを作成します。S3 バケットに新しいオブジェクトが追加されたときに、SQS キューに発行するイベント通知を含める。開発者がCloudFormationテンプレートをS3バケットに置くことを要求する。SQSキューの深さに基づいて自動的にスケールするEC2インスタンスを起動する。CloudFormation Guardを使用してテンプレートをスキャンし、問題がなければテンプレートをデプロイするようにEC2インスタンスを構成する。問題が見つかった場合にSNSトピックに通知を発行するようにCI/CDパイプラインを構成する。
D. 開発者が各AWSアカウントにデプロイできるリソースの標準セットを含む、一元化されたCloudFormationスタックセットを作成する。セキュリティ要件を満たすように各CloudFormationテンプレートを構成する。新しいリソースまたは構成については、CloudFormation テンプレートを更新し、レビューのためにテンプレートをセキュリティチームに送信する。レビューが完了したら、開発者が使用できるように新しいCloudFormationスタックをリポジトリに追加する。
回答を見る
正解: A
質問 #64
ある会社は、顧客が管理するCMKで暗号化された複数のAmazon S3バケットを持っています。会社のセキュリティエンジニアは、CMKの自動キーローテーションを有効にしていますが、会社はローテーションが行われたことを確認したいと考えています。
A. IAM CloudTrailログをKeyRotatonイベント用にフィルタする。
B. Amazon CloudWatcn EventsでIAM KMS CMKローテーションイベントを監視する。
C. IAM CLI を使用して、--key-id パラメータを指定して IAM kms gel-key-relation-status 操作を実行し、CMK 回転日を確認します。
D. Amazon Athenaを使用して、S3バケットに保存されたIAM CloudTrailログをクエリし、Generate New Keyイベントをフィルタリングする。
回答を見る
正解: C
質問 #65
企業がIAMとオンプレミスの間で大量のデータを転送する要件がある。さらに、IAMへの低レイテンシーで一貫性の高いトラフィックという要件もあります。これらの要件がある場合、どのようにハイブリッドアーキテクチャを設計しますか?以下の選択肢から正しいものを選んでください。
A. Direct Connectパートナーを使用して、IAMリージョンへのDirect Connect接続をプロビジョニングする。
B. プライベート接続用にVPNトンネルを作成し、ネットワークの一貫性を高め、待ち時間を短縮する。
C. プライベート接続のためにiPSecトンネルを作成し、ネットワークの一貫性を高め、待ち時間を短縮します。
D. IAMとカスタマーゲートウェイ間にVPCピアリング接続を作成します。
回答を見る
正解: A
質問 #66
ある企業がアプリケーションにIAM WAFとAmazon CloudFrontを導入した。アプリケーションは、Auto Scalingグループの一部であるAmazon EC2インスタンスで実行される。IAM WAFのWeb ACLは、IAM Managed Rulesルールグループを使用し、CloudFrontディストリビューションに関連付けられている。CloudFront は IAM WAF からリクエストを受信し、ALB をディストリビューションのオリジンとして使用する。
A. Lambda@Edge機能を使用するようにCloudFrontディストリビューションを構成する。CloudFrontビューアリクエストにレート制限を課すIAM Lambda関数を作成する。レート制限を超えた場合、リクエストをブロックする。
B. すべてのIAM WAFルールをより速く処理するために、Web ACLがより多くの容量ユニットを持つようにIAM WAF Web ACLを構成します。
C. レート制限を課すレートベースルールでIAM WAFを構成し、レート制限を超えるとリクエストを自動的にブロックする。
D. ALBの代わりにIAM WAFをオリジンとして使用するようにCloudFrontディストリビューションを構成する。
回答を見る
正解: C
質問 #67
ある企業には、同じAWSリージョンと同じAWSアカウントに2つのVPCがあります。各VPCは、もう一方のVPCのCIDRブロックと重複しないCIDRブロックを使用しています。一方のVPCには、NATゲートウェイを介してインターネットにアクセスするサブネット内で実行されるAWS Lambda関数が含まれています。この Lambda 関数は、もう一方の VPC で実行されている、一般にアクセス可能な Amazon Aurora MySQL データベースへのアクセスを必要とします。
A. Auroraデータベースを現在のVPCのインターネットアクセス経路のないプライベートサブネットに移動する。 LambdaファンクションがAuroraデータベースの新しいプライベートIPアドレスを使用してデータベースにアクセスするように設定する。 LambdaファンクションのプライベートIPアドレスからのアクセスを許可するようにAuroraデータベースのセキュリティグループを設定する。
B. AuroraデータベースのVPCで、2つのVPC間のVPCエンドポイントを確立する Amazon RDSのサービスVPCエンドポイントを設定する LambdaファンクションのVPCで、AuroraデータベースのVPCのサービスエンドポイントを使用するインターフェイスVPCエンドポイントを設定する Lambdaファンクションからの接続を許可するように、サービスエンドポイントを設定します。
C. VPC間でAWS Direct Connectインタフェースを確立する。 Direct Connectインタフェースを介してAuroraデータベースにアクセスする新しいルートテーブルを使用するようにLambda関数を設定する。 Direct ConnectインタフェースのIPアドレスからのアクセスを許可するようにAuroraデータベースのセキュリティグループを設定する。
D. Lambda ファンクションを VPC 内のパブリックサブネットに移動する Aurora データベースを VPC 内のプライベートサブネットに移動する Lambda ファンクションが Aurora データベースの新しいプライベート IP アドレスを使用してデータベースにアクセスするように設定する Lambda ファンクションのパブリック IP アドレスからのアクセスを許可するように Aurora データベースを設定する。
回答を見る
正解: B
質問 #68
組織は、IAM KMSのカスタマーマスターキー(CMK)を24時間以内に削除し、暗号化または復号化操作に使用されないようにする機能を確立する必要があります。
A. KMS内でキーを手動で回転させ、すぐに新しいCMKを作成する。
B. KMSの鍵インポート機能を使用して、鍵の削除操作を実行する。
C. KMSのキー削除スケジュール機能を使用して、削除の最小待機期間を指定する。
D. KMSのCMKエイリアスを変更し、どのサービスも直ちにCMKを使用できないようにします。
回答を見る
正解: C
質問 #69
セキュリティエンジニアは、us-west-1リージョンにある企業のAmazon S3バケットに保存されているすべてのデータを暗号化するために使用されるIAM Key Management Service キーを作成する必要がある。この鍵はサーバーサイドで暗号化される。キーの使用は、会社のアカウント内のAmazon S3からのリクエストに限定する必要があります。KMSキーポリシーのどのステートメントがこれらの要件を満たすでしょうか?
A. 既存のNATゲートウェイを削除する。アプリケーションサーバーのサブネットだけが使用できる新しいNATゲートウェイを作成する。
B. NATゲートウェイのセキュリティグループIDからのトラフィックを拒否するように、DBインスタンスTMのインバウンドネットワークACLを設定します。
C. DBインスタンスサブネットのルートテーブルを修正し、NATゲートウェイへのデフォルトルートを削除する。
D. DBインスタンスのサブネットへの接続を拒否するように、NATゲートウェイのルートテーブルを設定する。
回答を見る
正解: A
質問 #70
ある企業は、コンプライアンス要件を満たすために、Webアプリケーションに接続する際にHTTPSを使用する必要がある。これらのWebアプリケーションは、アプリケーションロードバランサー(ALB)の背後にあるAmazon EC2インスタンス上のAmazon VPCで実行されます。セキュリティエンジニアは、ALBが誤ってHTTPリスナーで構成されている場合でも、ロードバランサーがポート443経由の接続のみを受け入れるようにしたいと考えています。セキュリティエンジニアがこのタスクを達成するために取るべき構成手順はどれですか?
A. ポート00の0
B. ポート80の0 0
C. ポート443のみでVPC IP範囲へのアウトバウンド接続を許可するネットワークACLを作成します。ネットワークACLをVPCのインターネットゲートウェイに関連付けます。
D. ポート443上の0
回答を見る
正解: D
質問 #71
ある会社が、複数のAmazon EC2インスタンスでホストされる、耐障害性の高いアプリケーションを開発している。このアプリケーションは、Amazon RDSのテーブルに非常に機密性の高いユーザーデータを保存する。アプリケーションの災害復旧計画に、別のIAMリージョンへの移行を含める。
A. CloudHSMによって生成される鍵管理イベント・ロギングは、IAM KMSよりもかなり広範囲に及ぶ。
B. CloudHSMは、会社のサポート担当者だけが暗号鍵を管理できるようにするのに対し、IAM KMSはIAM担当者が鍵を管理できるようにする。
C. CloudHSMによって生成された暗号文は、IAM KMSによって生成された暗号文よりもブルートフォース復号攻撃に対してより強固な保護を提供する。
D. CloudHSMは異なるリージョンに鍵をコピーする機能を提供するが、IAM KMSにはない。
回答を見る
正解: B
質問 #72
ある会社には小売店があります。その会社は、顧客の領収書をスキャンしたコピーを Amazon S3 に保存するソリューションを設計しています。ファイルは PDF 形式で 100 KB から 5 MB の間です。
A. 各小売店専用のAWS Key Management Service(AWS KMS)顧客管理キーを作成する。 S3 Putオペレーションを使用して、Amazon S3にオブジェクトをアップロードする。 AWS KMSキー(SSE-KMS)を使用したサーバー側暗号化と、店舗のキーのキーIDを指定する。
B. AWS Key Management Service (AWS KMS)の顧客管理キーを小売店ごとに毎日新規作成する KMS Encryptオペレーションを使用してオブジェクトを暗号化し、Amazon S3にオブジェクトをアップロードする
C. AWS Key Management Service(AWS KMS)のGenerateDataKeyオペレーションを小売店ごとに毎日実行する データキーとクライアント側暗号化を使用してオブジェクトを暗号化し、Amazon S3にオブジェクトをアップロードする
D. AWS鍵管理サービス(AWS KMS)のImportKeyMaterialオペレーションを使用して、小売店ごとに毎日新しい鍵素材をAWS KMSにインポートする 顧客が管理する鍵とKMS Encryptオペレーションを使用してオブジェクトを暗号化し、Amazon S3にオブジェクトをアップロードする
回答を見る
正解: A
質問 #73
ある会社が、増え続ける IAM アカウントを管理するために、IAM Organizations を導入した。セキュリティエンジニアは、組織構造内のプリンシパルのみが特定のAmazon S3バケットにアクセスできるようにしたいと考えています。また、運用上のオーバーヘッドを最小限に抑える必要があります。これらの要件を満たすソリューションはどれでしょうか。
A. 1 すべてのユーザーを、Jバケットへのアクセスを許可するアクセスポリシーを持つIAMグループに入れる。
B. アカウント作成がバケットポリシーを管理するIAM Lambda関数をトリガーするようにし、ポリシーに記載されているアカウントのみにアクセスを許可する。
C. 組織マスターアカウントにSCPを追加し、すべてのプリンシパルにバケットへのアクセスを許可する。
D. バケットポリシーのグローバルキー条件要素に組織IDを指定し、すべてのプリンシパルにアクセスを許可する。
回答を見る
正解: D
質問 #74
セキュリティエンジニアが、ある会社のカスタムロギングアプリケーションの問題をトラブルシューティングしています。アプリケーションのログは、Amazon S3 バケットに書き込まれ、Amazon SNS トピックにイベントを送信するためのイベント通知が有効になっています。すべてのログは、IAM KMS CMK を使用して暗号化されています。SNSトピックは暗号化されたAmazon SQSキューにサブスクライブされる。ロギングアプリケーションは、S3オブジェクトに関するメタデータを含む新しいメッセージについてキューをポーリングする。次に、アプリケーションは、S3バケットからオブジェクトのコンテンツを読み取ります。
A. IAM管理CMKに以下の記述を追加します:
B. CMKキーポリシーに以下の記述を追加する:
C. CMKキーポリシーに以下の記述を追加する:
D. CMKキーポリシーに以下の記述を追加する:
回答を見る
正解: D
質問 #75
ある企業は、Amazon Elastic Container Service(Amazon ECS)を使用して、AWS上でコンテナベースのアプリケーションを実行している。同社は、コンテナイメージに深刻な脆弱性が含まれていないことを保証する必要があります。同社はまた、特定のIAMロールと特定のAWSアカウントのみがコンテナイメージにアクセスできることを保証する必要があります。
A. パブリックコンテナレジストリからイメージをプルする。集中管理されたAWSアカウントでscan on pushを設定して、Amazon Elastic Container Registry(Amazon ECR)リポジトリにイメージをパブリッシュする。CI/CDパイプラインを使用して、異なるAWSアカウントにイメージをデプロイする。IDベースのポリシーを使用して、どのIAMプリンシパルがイメージにアクセスできるかを制限する。
B. パブリックコンテナレジストリからイメージをプルする。集中管理されたAWSアカウント内のAmazon EC2インスタンスでホストされているプライベートコンテナレジストリにイメージを公開する。Amazon ECSを実行するEC2インスタンスに、ホストベースのコンテナスキャンツールをデプロイする。HTTPS 経由のベーシック認証を使用して、コンテナイメージへのアクセスを制限する。
C. パブリックコンテナレジストリからイメージをプルする。集中管理されたAWSアカウントでscan on pushを設定して、Amazon Elastic Container Registry(Amazon ECR)リポジトリにイメージをパブリッシュする。CI/CDパイプラインを使用して、異なるAWSアカウントにイメージをデプロイする。リポジトリポリシーとIDベースのポリシーを使用して、どのIAMプリンシパルとアカウントがイメージにアクセスできるかを制限する。
D. パブリックコンテナレジストリからイメージをプルする。集中管理されたAWSアカウントのAWS CodeArtifactリポジトリにイメージを公開する。CI/CD パイプラインを使用して、異なる AWS アカウントにイメージをデプロイする。リポジトリポリシーとアイデンティティベースポリシーを使用して、どの IAM プリンシパルとアカウントがイメージにアクセスできるかを制限する。
回答を見る
正解: C
質問 #76
最近のセキュリティ監査で、IAM CloudTrail のログが改ざんや不正アクセスから十分に保護されていないことが判明した。 この監査結果に対処するために、セキュリティエンジニアが取るべき行動はどれか。(3つを選択)
A. 影響を受けるアカウントのIAM WAFルールを更新し、IAM Firewall Managerを使用して、更新されたIAM WAFルールを他のすべてのアカウントにプッシュします。
B. GuardDuty集中ログとAmazon SNSを使用してアラートを設定し、すべてのアプリケーションチームにセキュリティインシデントを通知する。
C. GuardDutyアラートを使用して、既知の悪意のあるIPアドレスをブロックするために、Amazon EC2インスタンス上に追加のNACLを追加してすべてのアカウントを更新するIAM Lambda関数を記述します。
D. IAM Shield Advancedを使用して個々のアカウントの脅威を特定し、Organizationsを介して他のすべてのアカウントにアカウントベースの保護を適用する。
回答を見る
正解: ADE
質問 #77
ある会社は、Amazon Elastic Container Service(Amazon ECS)を使用して、機密データを扱うアプリケーションをデプロイしています。最近のセキュリティ監査で、会社は、Amazon RDS の認証情報が会社のソースコードリポジトリにアプリケーションコードと一緒に保存されているというセキュリティ上の問題を特定しました。セキュリティエンジニアは、データベースの認証情報が安全に保存され、定期的にローテーションされることを保証するソリューションを開発する必要があります。セキュリティエンジニアは、データベースの認証情報が安全に保存され、定期的にローテーションされることを保証するソリューションを開発する必要があります。
A. IAM Systems Manager Parameter Storeを使用して、データベース資格情報を生成する。ECSタスク用のIAMプロファイルを使用して、データベース資格情報へのアクセスを特定のコンテナのみに制限する。
B. IAM Secrets Managerを使用して、データベース資格情報を保存する。ECSタスクのIAMインラインポリシーを使用して、データベース資格情報へのアクセスを特定のコンテナのみに制限する。
C. IAM Systems Manager Parameter Storeを使用して、データベース資格情報を保存する。ECSタスクにIAMロールを使用して、データベース資格情報へのアクセスを特定のコンテナのみに制限する。
D. データベース資格情報を保存するには、IAM Secrets Managerを使用する。ECSタスクにIAMロールを使用して、データベース資格情報へのアクセスを特定のコンテナのみに制限する。
回答を見る
正解: D
質問 #78
コンプライアンス上の理由から、セキュリティエンジニアは、承認された最新のパッチが適用されていないインスタンスをリストアップした週次レポートを作成しなければなりません。エンジニアはまた、承認された最新のアップデートが適用されないまま30日以上経過するシステムがないようにしなければならない。これらの目標を達成する最も効率的な方法は何だろうか。
A. Amazonインスペクターを使用して、最新のパッチが適用されていないシステムを特定し、30日後にそれらのインスタンスを最新のAMIバージョンで再デプロイする。
B. Amazon EC2 Systems Managerを構成して、インスタンスのパッチコンプライアンスをレポートし、定義されたメンテナンスウィンドウ中にアップデートを実施する。
C. IAMのCloudTrailトグを調べて、過去30日間に再起動されていないインスタンスがあるかどうかを判断し、それらのインスタンスを再デプロイする。
D. 承認された最新のパッチでAMlsを更新し、定義されたメンテナンスウィンドウの間に各インスタンスを再デプロイする。
回答を見る
正解: B
質問 #79
ある企業は、規制を遵守するために、togデータのアーカイブを数年間保持する必要があります。このような要件を満たすために、最も安全で費用対効果の高いソリューションは何でしょうか。
A. データをAmazon S3にアーカイブし、制限付きバケットポリシーを適用してs3 DeleteOotect APIを拒否する。
B. データをAmazon S3 Glacierにアーカイブし、Vault Lockポリシーを適用する。
C. データをAmazon S3にアーカイブし、2番目のIAMリージョンの2番目のバケットにレプリケートする S3 Standard-Infrequent Access (S3 Standard-1A)ストレージクラスを選択し、s3 DeleteObject APIを拒否する制限付きバケットポリシーを適用する。
D. ログデータを16 T8 Amazon Elastic Block Store(Amazon EBS)ボリュームに移行する EBSボリュームのスナップショットを作成します。
回答を見る
正解: B
質問 #80
ある会社が、機密情報を保存するアプリケーションを IAM で構築している。この会社には、データベースを含む IT インフラストラクチャにアクセスできるサポートチームがある。会社のセキュリティエンジニアは、管理オーバーヘッドを最小限に抑えつつ、機密データをデータ侵害から保護するための対策を導入しなければならない。認証情報は定期的にローテーションされなければならない。セキュリティ・エンジニアは何を推奨すべきか?
A. Amazon RDSの暗号化を有効にして、データベースとスナップショットを暗号化する。Amazon EC2インスタンスでAmazon Elastic Block Store(Amazon EBS)の暗号化を有効にする。EC2ユーザーデータフィールドにデータベースクレデンシャルを含める。IAM Lambda関数を使用して、データベースのクレデンシャルをローテーションする。データベースへの接続にTLSを設定する。
B. Amazon EC2インスタンスにデータベースをインストールします。サードパーティのディスク暗号化を有効にして、Amazon Elastic Block Store (Amazon EBS)ボリュームを暗号化する。データベースの認証情報をIAM CloudHSMに自動ローテーションで保存する。データベースへの接続にTLSを設定する。
C. Amazon RDSの暗号化を有効にして、データベースとスナップショットを暗号化する。Amazon EC2インスタンスでAmazon Elastic Block Store (Amazon EBS)の暗号化を有効にする。IAM Secrets Managerにデータベースの認証情報を自動ローテーションで保存する。RDSホストデータベースへの接続にTLSを設定する。
D. KMSキーを保存するために、IAM Key Management Service (IAM KMS)でIAM CloudHSMクラスタをセットアップする。データベースを暗号化するために、IAM KMSを使用してAmazon RDS暗号化をセットアップする。データベースの認証情報を IAM Systems Manager Parameter Store に自動ローテーションで保存する。RDSホストされたデータベースへの接続にTLSを設定します。
回答を見る
正解: C
質問 #81
ある開発者が、データストアとして Amazon Redshift を使用する、AWS 上でホストされるサーバレスアプリケーションを構築しています。アプリケーションには、読み書きと読み取り専用機能のための別々のモジュールがあります。(2つ選択)
A. アプリケーションモジュールごとにクラスタセキュリティグループを構成し、読み取り専用および読み取り書き込みが必要なデータベースユーザーへのアクセスを制御します。
B. AmazonRedshift用のVPCエンドポイントを構成する データベースユーザーを各アプリケーションモジュールにマッピングし、読み取り専用および読み取り/書き込みが必要なテーブルへのアクセスを許可するエンドポイントポリシーを構成します。
C. Configure 1AM policy for each module GetClusterCredentials APIコールを許可するAmazon RedshiftデータベースユーザーのARNを指定します。
D. モジュールごとにローカルデータベースユーザーを作成します。
E. モジュールごとに 1AM ポリシーを構成する GetClusterCredentials API 呼び出しを許可する 1AM ユーザーの ARN を指定します。
回答を見る
正解: A
質問 #82
ある企業のセキュリティエンジニアは、Amazon GuardDuty、AWS Identity and Access Management Access Analyzer、または Amazon Made が重大性の高いセキュリティ問題を発見した場合に、電子メールアラートを受信したいと考えています。同社はすべてのアカウントを管理するためにAWS Control Towerを使用している。また、AWSのすべてのサービス統合をオンにして、AWS Security Hubを使用しています。どのソリューションが、運用上のオーバーヘッドを最小限に抑えながら、これらの要件を満たすことができますか?
A. GuardDuty、1AM Access Analyzer、Macie用に別々のAWS Lambda関数をセットアップし、各サービスのパブリックAPIを呼び出して、重大度の高い調査結果を取得する。Amazon Simple Notification Service (Amazon SNS)を使用して、電子メールアラートを送信します。Amazon EventBridgeルールを作成して、スケジュールで関数を呼び出します。
B. 重大度の高いSecurity Hubの調査結果イベントに一致するパターンを持つAmazon EventBridgeルールを作成します。対象のAmazon Simple Notification Service(Amazon SNS)トピックに調査結果を送信するようにルールを構成する。必要なメールアドレスをSNSトピックに登録する。
C. 重大度の高いAWS Control Towerイベントに一致するパターンを持つAmazon EventBridgeルールを作成します。対象の Amazon Simple Notification Service (Amazon SNS) トピックに調査結果を送信するようにルールを構成します。必要なメールアドレスをSNSトピックに登録します。
D. AmazonEC2上でアプリケーションをホストし、GuardDuty、1AM Access Analyzer、およびMacie APIを呼び出します。アプリケーション内でAmazon Simple Notification Service(Amazon SNS)APIを使用して、重大度の高い調査結果を取得し、調査結果をSNSトピックに送信します。必要なメールアドレスをSNSトピックに登録します。
回答を見る
正解: B
質問 #83
ある企業が、オンプレミスのサーバーでAmazon Elastic File System(Amazon EFS)の使用を計画している。オンプレミスのデータセンターとIAMリージョンの間に既存のIAM Direct Connect接続が確立されている。オンプレミスのファイアウォールでは、許可リストに特定のIPアドレスのみを追加し、CIDR範囲は追加しないようにセキュリティポリシーが設定されている。また、特定のデータセンターベースのサーバーだけがAmazon EFSにアクセスできるように、アクセスを制限したいと考えています。
A. file-system-id efs IAM-region amazonIAM com URL をデータセンターのファイアウォールの許可リストに追加する EFS セキュリティグループに EFS ファイルシステムをマウントするために、データセンターベースのサーバーに IAM CLI をインストールする データセンターの IP 範囲を許可リストに追加する EFS ファイルシステム名を使用して EFS をマウントする。
B. Amazon EFSにElastic IPアドレスを割り当て、データセンターのファイアウォールの許可リストにElastic IPアドレスを追加する EFSファイルシステムをマウントするために、データセンターベースのサーバーにIAM CLIをインストールする EFSセキュリティグループで、許可リストにデータセンターサーバーのIPアドレスを追加する Elastic IPアドレスを使用してEFSをマウントします。
C. EFSファイルシステムのマウントターゲットのIPアドレスをデータセンターのファイアウォールの許可リストに追加する EFSセキュリティグループで、データセンターのサーバーのIPアドレスを許可リストに追加する Linux端末を使用して、マウントターゲットのいずれかのIPアドレスを使用してEFSファイルシステムをマウントします。
D. IAMサポートに連絡して、EFSファイルシステムに静的なIPアドレス範囲を割り当てる EFSセキュリティグループで、データセンター・サーバのIPアドレスを許可リストに追加する Linux端末を使用して、静的IPアドレスのいずれかを使用してEFSファイルシステムをマウントする。
回答を見る
正解: B
質問 #84
ある企業が複数年分の財務記録を保存する必要がある。同社は、これらの文書のコピーを保存するためにAmazon S3を使用したいと考えています。同社は、ドキュメントがAmazon S3に保存されてから7年間、ドキュメントが編集、置換、または削除されないようにするソリューションを実装する必要があります。セキュリティエンジニアは、これらの要件を満たすために、次に何をすべきですか?
A. 同社はマイクロサービスにサーバーレスアプローチを採用している。同社はすべてのデータをAmazon S3またはAmazon DynamoDBに保存する。同社は、AWSラムダ関数または同社がAWS Fargate上のAmazon Elastic Kubernetes Service(Amazon EKS)上でホストするコンテナベースのサービスのいずれかを使用してデータを読み取ります。同社は、静止時にすべてのデータを暗号化し、最小権限のデータアクセス制御を実施するためのソリューションを実装する必要があります。同社は、AWS Key Management Service(AWS KMS)の顧客管理キーを作成します。これらの要件を満たすために、同社は次に何をすべきですか?
B. AmazonS3とDynamoDに対してのみkms:Decryptアクションを許可するキーポリシーを作成するキーで暗号化されていないS3バケットとDynamoDBテーブルの作成を拒否するSCPを作成する。
C. 鍵のkms:Decryptアクションを拒否する1AMポリシーを作成します。新しいロールにポリシーをアタッチするために、スケジュールで実行するLambda関数を作成する。キーで暗号化されていないリソースに対してアラートを送信するAWS Configルールを作成する。
D. AmazonS3、DynamoDB、Lambda、およびAmazon EKSに対してのみkms:Decryptアクションを許可するキーポリシーを作成します。キーで暗号化されていないS3バケットとDynamoDBテーブルの作成を拒否するSCPを作成する。
E. Amazon S3、DynamoDB、Lambda、およびAmazon EKSに対してのみkms:Decryptアクションを許可するキーポリシーを作成します。キーで暗号化されていないリソースに対してアラートを送信するAWS Configルールを作成する。
回答を見る
正解: B
質問 #85
ある企業が新しいAmazon RDSデータベース・アプリケーションを開発しました。同社は、転送中の暗号化と静止時の暗号化のためにROSデータベースの認証情報を保護する必要があります。また、定期的に認証情報を自動的にローテーションする必要があります。これらの要件を満たすソリューションはどれですか?
A. IAM Systems Manager Parameter Store を使用して、データベース資格情報を保存する。クレデンシャルの自動ローテーションを構成する。
B. IAM Secrets Manager を使用してデータベース資格情報を保存する。認証情報の自動ローテーションを設定する。
C. S3管理暗号化キー(SSE-S3)によるサーバー側暗号化で構成されたAmazon S3バケットにデータベース認証情報を保存する。 IAMデータベース認証で認証情報をローテーションする。
D. データベースの認証情報をAmazon S3 Glacierに保存し、S3 Glacier Vault Lockを使用する。 IAM Lambda関数を構成し、スケジュールされたベースで認証情報をローテーションする。
回答を見る
正解: A
質問 #86
ある企業は、IAMリソースがus-east-1リージョンとus-west-2リージョンでのみ起動できるようにしたいと考えています。開発者が他のリージョンでAmazon EC2インスタンスを起動できないようにする、運用上最も効率的なソリューションは何ですか。
A. データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可するインバウンドルールを作成します。データベースのサブネットに新しいネットワークACLルールを追加します。アプリケーション VPC の IP アドレス範囲からの TCP ポート 1521 にルールを設定します。アプリケーションインスタンスがアクセスする必要があるデータベースインスタンスに、新しいセキュリティグループをアタッチします。
B. アプリケーションVPCに新しいセキュリティグループを作成し、TCPポート1521経由でデータベースVPCのIPアドレス範囲を許可するインバウンドルールを設定します。データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲にポート1521を許可するインバウンドルールを設定します。新しいセキュリティグループを、データベースインスタンスとデータベースへのアクセスが必要なアプリケーションインスタンスにアタッチします。
C. アプリケーションVPCに、インバウンドルールを設定しない新しいセキュリティグループを作成します。アプリケーションVPCの新しいアプリケーションセキュリティグループからTCPポート1521を許可するインバウンドルールを使用して、データベースVPCに新しいセキュリティグループを作成する。 データベースアクセスが必要なアプリケーションインスタンスにアプリケーションセキュリティグループをアタッチし、データベースインスタンスにデータベースセキュリティグループをアタッチする。
D. アプリケーションVPCに新しいセキュリティグループを作成し、TCPポート1521経由でデータベースVPCのIPアドレス範囲を許可するインバウンドルールを設定します。データベースのサブネットに新しいネットワークACLルールを追加します。アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可するようにルールを構成する。
回答を見る
正解: C
質問 #87
ある会社のアプリケーションチームは、IAM上でMySQLデータベースをホストする必要がある。会社のセキュリティポリシーによると、IAM に保存されるすべてのデータは、静止時に暗号化されなければならない。アプリケーションチームは、会社のセキュリティ要件を満たし、運用上のオーバーヘッドを最小限に抑えるソリューションを必要としています。
A. Amazon RDSでデータベースをホストします。暗号化にはAmazon Elastic Block Store(Amazon EBS)を使用する。鍵管理にはIAM CloudHSMによってバックアップされたIAM Key Management Service(IAM KMS)カスタムキーストアを使用する。
B. Amazon RDSでデータベースをホストする。暗号化にはAmazon Elastic Block Store(Amazon EBS)を使用する。鍵管理にはIAM Key Management Service(IAM KMS)のIAM管理CMKを使用する。
C. データベースをAmazon EC2インスタンスにホストする。暗号化にはAmazon Elastic Block Store(Amazon EBS)を使用する。IAM Key Management Service(IAM KMS)の顧客管理CMKを鍵管理に使用する。
D. データベースをAmazon EC2インスタンスにホストする。暗号化と鍵管理にTransparent Data Encryption (TDE)を使用する。
回答を見る
正解: B
質問 #88
システム管理者が、IAMロールを使用してeu-west-1リージョンでAmazon EC2インスタンスを起動できません。同じシステム管理者が、eu-west-2およびeu-west-3リージョンでEC2インスタンスを起動できます。システム管理者のIAMロールにアタッチされたIAMSystemAdministratorアクセスポリシーは、アカウント内のすべてのIAMサービスとリソースへの無条件アクセスを許可しています。
A. SCPは、以下の許可ステートメントを持つアカウントにアタッチされます:
B. システム管理者の役割には、次のような権限境界ポリシーが設定されています:
C. システム管理者ロールに、次のような権限境界が設定されています:
D. アカウントにSCPが添付され、次のように記述されています:
回答を見る
正解: B
質問 #89
ある企業がAmazon CloudForntを使ってウェブサイトを運営している。CloudFrontは一部のコンテンツをAmazon S3から、その他のコンテンツをアプリケーションの後ろでEC2インスタンスを実行しているウェブサーバからサーバする。ロードバランサー(ALB)。Amazon DynamoDBがデータストアとして使用されている。同社はすでにIAM Certificate Manager (ACM)を使用して、ウェブサイトのユーザーとCloudFront間の接続をオプションでセキュアにできるパブリックTLS証明書を保存している。この会社には、トランジットでエンドツーエンドの暗号化を強制する新しい要件があります。
A. オリジンカスタムヘッダを追加する ビューアプロトコルポリシーをHTTPとHTTPSに設定する オリジンプロトコルのポッキーをHTTPSのみに設定する CloudFrontカスタムヘッダを検証するためにアプリケーションを更新する。
B. Add an origin custom header Set the viewer protocol policy to HTTPS only Set the origin protocol policy to match viewer CloudFrontカスタムヘッダを検証するためにアプリケーションを更新する。
C. オリジンカスタムヘッダを追加する HTTPをHTTPSにリダイレクトするようにビューアプロトコルポリシーを設定する HTTPのみにオリジンプロトコルポリシーを設定する CloudFrontカスタムヘッダを検証するようにアプリケーションを更新する。
D. Add an origin custom header HTTPをHTTPSにリダイレクトするようにビューアプロトコルポリシーを設定する。オリジンのプロトコルポリシーをHTTPSのみに設定する CloudFrontカスタムヘッダを検証するアプリケーションを更新する。
回答を見る
正解: BCE
質問 #90
あなたの会社は VPC 内に新しい中央サーバーを設置したばかりです。同じ地域の異なるVPCにサーバーを置く他のチームが中央サーバーに接続するための要件があります。この要件を達成するために、以下のオプションのうちどれが最も適していますか。
A. 中央サーバーVPCと各チームVPCの間にVPCピアリングを設定します。
B. セントラルサーバーVPCと各チームVPCの間にIAM DirectConnectを設定します。
C. 中央サーバーVPCと各チームVPCの間にIPSecトンネルを設定します。
D. 上記の選択肢はどれも機能しない。
回答を見る
正解: A
質問 #91
Example.comは、アプリケーション・ロード・バランサー(ALB)の背後にあるAmazon EC2インスタンスでホストされている。EC2インスタンスのトラフィックをキャプチャするサードパーティのホスト侵入検知システム(HIDS)エージェントは、各ホスト上で実行されている。同社は、サードパーティのソリューションが提供する保証を失うことなく、ユーザーのプライバシーを強化する技術を確実に使用しなければならない。
A. ALBでTLSパススルーを有効にし、サーバーで楕円曲線ディフィー・ヘルマン(ECDHE)暗号スイートを使って復号化を処理する。
B. 楕円曲線ディフィー・ヘルマン(ECDHE)暗号スイートで暗号化された接続を使用するリスナーをALB上に作成し、サーバーに平文でトラフィックを渡す。
C. 楕円曲線ディフィー・ヘルマン(ECDHE)暗号スイートによる暗号化接続を使用するリスナーをALB上に作成し、完全前方秘匿(PFS)を有効にしないサーバーへの暗号化接続を使用する。
D. PFS(Perfect Forward Secrecy)暗号スイートを有効にしないリスナーをALB上に作成し、ECDHE(Elliptic Curve Diffie-Hellman)暗号スイートを使用してサーバーへの暗号化接続を使用する。
回答を見る
正解: D
質問 #92
セキュリティアーキテクトは、既存のセキュリティアーキテクチャをレビューし、アプリケーションサーバーがデータベースサーバーへの接続を正常に開始できない理由を特定するよう依頼された。1 アプリケーションロードバランサー、インターネットゲートウェイ、および NAT ゲートウェイが、パブリックサブネットに構成されている。データベースサーバー、アプリケーションサーバー、およびウェブサーバーは、3つの異なるプライベートサブネットに構成されています。
A. 悪意のあるIPをブロックするために、パブリックVPCのセキュリティグループに拒否ルールを追加します。
B. 悪意のあるIPをIAM WAFのバックスタックIPに追加する。
C. LinuxのiptablesまたはWindowsのファイアウォールを設定し、悪意のあるIPからのトラフィックをブロックする。
D. Amazon Route 53でホストされているゾーンを変更し、悪意のあるIPのDNSシンクホールを作成する。
回答を見る
正解: A
質問 #93
ある会社は、レポートを保存するためにAmazon S3バケットを使用しています。管理者は、このバケットに保存されたすべての新しいオブジェクトは、S3バケットと同じアカウントが所有するクライアント指定のIAMキー管理サービス(IAM KMS)CMKを使用して、サーバー側暗号化を使用して静止時に暗号化する必要があります。IAMアカウント番号は111122223333であり、バケット名はReport bucketである。この会社のセキュリティスペシャリストは、S3バケットポリシーを作成し、この命令を確実に実行できるようにしなければなりません。
A. IAM Key Management Service (IAM KMS) tor encryptionを使用して、セキュリティアカウントにCodeCommitリポジトリを作成する。 このリポジトリにLambdaのソースコードを移行するよう、開発チームに要求する。
B. Amazon S3管理暗号化キー(SSE-S3)を使用したサーバー側暗号化を使用してキーを暗号化し、セキュリティアカウント内のAmazon S3バケットにAPIキーを保存する。 S3キーのリザインのURLを作成し、IAM CloudFormationテンプレートのLambda環境変数にURLを指定する。 URLを使用してキーを取得し、APIを呼び出すようにLambda関数のコードを更新する。
C. セキュリティアカウントのIAM Secrets Managerにシークレットを作成し、IAM Key Management Service(IAM KMS)を使用してAPIキーを保存する tor encryption Lambda関数が使用するIAMロールにアクセス権を付与し、関数がSecrets Managerからキーを取得してAPIを呼び出せるようにする。
D. IAM Key Management Service (IAM KMS) tor encryptionを使用してAPIキーを保存するために、Lambda関数用に暗号化された環境変数を作成する。 Lambda関数が使用するIAMロールにアクセス権を付与し、関数が実行時にキーを復号化できるようにする。
回答を見る
正解: D
質問 #94
ある開発チームが、IAM Key Management Service(IAM KMS)のCMKを使用して、IAM Systems Manager Parameter Storeからセキュアな文字列パラメータの暗号化と復号化を試みています。しかし、開発チームは試行するたびにエラーメッセージを受け取ります。CMKに関連するどの問題がエラーの原因として考えられますか?(2つ選択してください)。
A. すべてのリージョンでAmazon GuardDutyを有効にする。us-east-1とus-west-2以外での不正なアクティビティを検出するアラートを作成します。
B. IAM Organizationsで組織を使用する。IAM:要求地域条件キーがus-east-1またはus-west-2の場合に、すべてのアクションを許可するSCPをアタッチする。FullIAMAccessポリシーを削除する。
C. IAM CodePipelineを使用してIAM Cloud Formationテンプレートを使用してEC2リソースをプロビジョニングする。IAM CloudFormationテンプレートのパラメータでus-east-1とus-west-2の値のみを許可する。
D. us-east-1とus-west-2以外での不正なアクティビティを防止するIAM構成ルールを作成します。
回答を見る
正解: AD
質問 #95
ある企業は、IAMでホストされているEC2インスタンスのセットを持っている。EC2インスタンスには、重要な情報を保存するためのEBSボリュームがある。EBSボリュームの高可用性を確保する事業継続要件がある。これを実現するにはどうすればよいですか。
A. EBSボリュームのライフサイクルポリシーを使用します。
B. EBSスナップショットを使用する。
C. EBSボリュームレプリケーションを使用する。
D. EBSボリューム暗号化を使用します。
回答を見る
正解: B
質問 #96
現在、VPCでホストされている複数のアプリケーションがあります。監視中に、特定のIPアドレスブロックから複数のポートスキャンが来ていることに気づきました。社内のセキュリティチームは、問題のあるすべてのIPアドレスを今後24時間拒否するよう要求しています。指定されたIPアドレスからのアクセスを迅速かつ一時的に拒否する最善の方法は、次のうちどれでしょうか。
A. ADポリシーを作成して、VPC内のすべてのホストのWindowsファイアウォール設定を変更し、IPアドレスブロックからのアクセスを拒否します。
B. IPアドレスブロックからのアクセスを拒否するように、VPC内のすべてのパブリックサブネットに関連付けられたネットワークACLを変更します。
C. すべてのVPCセキュリティグループに、IPアドレスブロックからのアクセスを拒否するルールを追加します。
D. そのVPCで使用しているすべてのAMIのWindowsファイアウォール設定を変更し、IPアドレスブロックからのアクセスを拒否します。
回答を見る
正解: B
質問 #97
ある会社がus-east-1リージョンにAmazon GuardDutyを導入しました。同社は、同社のAmazon EC2インスタンスに関連するすべてのDNSログを検査したいと考えています。EC2インスタンスがログに記録されていることを確認するために、セキュリティエンジニアは何をすべきでしょうか。
A. ホスト名用に設定されたIPv6アドレスを使用する。
B. 外部DNSリゾルバを、IAMのみに見える内部リゾルバとして構成する。
C. すべてのEC2インスタンスにIAM DNSリゾルバを使用する。
D. すべてのEC2インスタンスに対してロギングを行うサードパーティのDNSリゾルバを構成する。
回答を見る
正解: C
質問 #98
ある開発者が、データストアとして Amazon Redshift を使用する、AWS 上でホストされるサーバレスアプリケーションを構築しています。アプリケーションには、読み書きと読み取り専用機能のための別々のモジュールがあります。(2つ選択)
A. アプリケーションモジュールごとにクラスタセキュリティグループを構成し、読み取り専用および読み取り書き込みが必要なデータベースユーザーへのアクセスを制御します。
B. AmazonRedshift用のVPCエンドポイントを構成する データベースユーザーを各アプリケーションモジュールにマッピングし、読み取り専用および読み取り/書き込みが必要なテーブルへのアクセスを許可するエンドポイントポリシーを構成します。
C. Configure 1AM policy for each module GetClusterCredentials APIコールを許可するAmazon RedshiftデータベースユーザーのARNを指定します。
D. モジュールごとにローカルデータベースユーザーを作成します。
E. モジュールごとに 1AM ポリシーを構成する GetClusterCredentials API 呼び出しを許可する 1AM ユーザーの ARN を指定します。
回答を見る
正解: A
質問 #99
セキュリティエンジニアが、AWS Abuseチームから、Amazon Elastic Block Store(Amazon EBS)ベースのストレージを使用するLinuxベースのAmazon EC2インスタンスからの不審なアクティビティに関する通知を受け取った。
A. 疑わしいインスタンスにログインし、netstatコマンドを使用してリモート接続を特定する。 これらのリモート接続からのIPアドレスを使用して、インスタンスのセキュリティグループに拒否ルールを作成する。 調査のためにインスタンスに診断ツールをインストールする。 インスタンスの調査中、最初のルールとしてすべての接続を明示的に拒否するように、us-east-lbのサブネットの送信ネットワークACLを更新する。
B. us-east-1bサブネットのアウトバウンドネットワークACLを更新して、最初のルールとしてすべての接続を明示的に拒否する。 セキュリティグループを、診断セキュリティグループからの接続のみを許可する新しいセキュリティグループに置き換える。 us-east-1bサブネットのアウトバウンドネットワークACLを更新して、deny allルールを削除する。
C. 疑わしいEC2インスタンスにアタッチされているAmazon Elastic Block Store(Amazon EBS)ボリュームが、終了時に削除されないことを確認する インスタンスを終了する 診断ツールを持つus-east-1aで新しいEC2インスタンスを起動する 調査のために、終了したインスタンスからEBSボリュームをマウントする。
D. 疑わしいインスタンスへのトラフィックおよび疑わしいインスタンスからのトラフィックを拒否するAWS WAF Web ACLを作成する AWS WAF Web ACLをインスタンスにアタッチして攻撃を軽減する インスタンスにログインし、診断ツールをインストールしてインスタンスを調査する
回答を見る
正解: B
質問 #100
セキュリティエンジニアが、AWS Abuseチームから、Amazon Elastic Block Store(Amazon EBS)ベースのストレージを使用するLinuxベースのAmazon EC2インスタンスからの不審なアクティビティに関する通知を受け取った。
A. 疑わしいインスタンスにログインし、netstatコマンドを使用してリモート接続を特定する。 これらのリモート接続からのIPアドレスを使用して、インスタンスのセキュリティグループに拒否ルールを作成する。 調査のためにインスタンスに診断ツールをインストールする。 インスタンスの調査中、最初のルールとしてすべての接続を明示的に拒否するように、us-east-lbのサブネットの送信ネットワークACLを更新する。
B. us-east-1bサブネットのアウトバウンドネットワークACLを更新して、最初のルールとしてすべての接続を明示的に拒否する。 セキュリティグループを、診断セキュリティグループからの接続のみを許可する新しいセキュリティグループに置き換える。 us-east-1bサブネットのアウトバウンドネットワークACLを更新して、deny allルールを削除する。
C. 疑わしいEC2インスタンスにアタッチされているAmazon Elastic Block Store(Amazon EBS)ボリュームが、終了時に削除されないことを確認する インスタンスを終了する 診断ツールを持つus-east-1aで新しいEC2インスタンスを起動する 調査のために、終了したインスタンスからEBSボリュームをマウントする。
D. 疑わしいインスタンスへのトラフィックおよび疑わしいインスタンスからのトラフィックを拒否するAWS WAF Web ACLを作成する AWS WAF Web ACLをインスタンスにアタッチして攻撃を軽減する インスタンスにログインし、診断ツールをインストールしてインスタンスを調査する
回答を見る
正解: B
質問 #101
ある大企業がマルチアカウント戦略を策定しており、従業員がIAMインフラストラクチャにアクセスする方法を決定する必要がある。
A. 各IAMアカウント内に専用のIAMユーザーを作成し、既存のIDプロバイダーのグループメンバーシップに基づいて、従業員がフェデレーションを通じて想定できるようにする。
B. 既存の ID プロバイダとのフェデレーションによって従業員が引き受けることができる IAM ロールを持つ集中型アカウントを使用する。 クロスアカウントロールを使用して、フェデレーションされたユーザがリソースアカウントで目的のロールを引き受けることができるようにする。
C. ユーザーが既存の企業ユーザー名とパスワードを使用してIAMリソースに直接アクセスできるように、Kerberosトークンを使用するようにIAM Security Token Serviceを構成する。
D. 各アカウントのロール内の IAM 信頼ポリシーを構成して、企業の既存の ID プロバイダへのトラストを設定し、ユーザが SAML トークンに基づいてロールを引き受けることができるようにする。
回答を見る
正解: B
質問 #102
ある会社が、機密情報を保存するアプリケーションを IAM で構築している。この会社には、データベースを含む IT インフラストラクチャにアクセスできるサポートチームがある。会社のセキュリティエンジニアは、管理オーバーヘッドを最小限に抑えつつ、機密データをデータ侵害から保護するための対策を導入しなければならない。認証情報は定期的にローテーションされなければならない。セキュリティ・エンジニアは何を推奨すべきか?
A. Amazon RDSの暗号化を有効にして、データベースとスナップショットを暗号化する。Amazon EC2インスタンスでAmazon Elastic Block Store(Amazon EBS)の暗号化を有効にする。EC2ユーザーデータフィールドにデータベースクレデンシャルを含める。IAM Lambda関数を使用して、データベースのクレデンシャルをローテーションする。データベースへの接続にTLSを設定する。
B. Amazon EC2インスタンスにデータベースをインストールします。サードパーティのディスク暗号化を有効にして、Amazon Elastic Block Store (Amazon EBS)ボリュームを暗号化する。データベースの認証情報をIAM CloudHSMに自動ローテーションで保存する。データベースへの接続にTLSを設定する。
C. Amazon RDSの暗号化を有効にして、データベースとスナップショットを暗号化する。Amazon EC2インスタンスでAmazon Elastic Block Store (Amazon EBS)の暗号化を有効にする。IAM Secrets Managerにデータベースの認証情報を自動ローテーションで保存する。RDSホストデータベースへの接続にTLSを設定する。
D. KMSキーを保存するために、IAM Key Management Service (IAM KMS)でIAM CloudHSMクラスタをセットアップする。データベースを暗号化するために、IAM KMSを使用してAmazon RDS暗号化をセットアップする。データベースの認証情報を IAM Systems Manager Parameter Store に自動ローテーションで保存する。RDSホストされたデータベースへの接続にTLSを設定します。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.