すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

試験問題&学習教材でSCS-C02をマスターしよう!AWS Certified Security - Specialty|SPOTO

SPOTO の包括的な学習教材と試験問題で AWS Certified Security - Specialty (SCS-C02) 試験をマスターできます。この認定資格は、AWSクラウド環境内で堅牢なセキュリティソリューションを設計および展開するスキルを証明します。また、専門的なデータ分類、AWSのデータ保護メカニズム、データ暗号化技術、セキュアなインターネットプロトコル、およびAWSへの実装に関する知識を検証します。当社の厳選された試験問題集、模擬試験、および試験ダンプにアクセスし、準備を強化してください。当社の学習教材は、重要なトピックをカバーし、複雑な概念を把握するための深い洞察を提供します。SPOTOの試験シミュレーターとオンライン試験問題を使って準備をすれば、SCS-C02試験で素晴らしい結果を出すことができます。SPOTOの信頼できるリソースで準備を強化し、合格を達成しましょう。
他のオンライン試験を受ける
質問 #1
ある会社が、機密データセットをAmazon S3に移行する計画をしている。セキュリティ・エンジニアは、データが静止状態で暗号化されていることを保証しなければならない。暗号化ソリューションは、鍵ストレージや暗号化プロセスを管理する必要なく、企業が独自の鍵を生成できるようにする必要があります。セキュリティ・エンジニアはこれを達成するために何を使用すべきでしょうか?
A. Amazon S3が管理する鍵によるサーバーサイドの暗号化(SSE-S3)
B. IAM KMS 管理鍵によるサーバー側暗号化(SSE-KMS)
C. 顧客提供鍵によるサーバー側暗号化(SSE-C)
D. IAM KMS が管理する CMK を使用したクライアント側の暗号化
回答を見る
正解: C
質問 #2
ある企業が、複数の IAM アカウントを管理するために IAM Organizations を使用している。しかし、ユーザが S3 バケット内のファイルにアクセスしようとすると、access denied エラーが発生する。このエラーをトラブルシューティングするために、セキュリティエンジニアは何をすべきですか?(3つを選択)
A. KMSポリシーが、AppUserロールにCMKの復号化権限を許可していることを確認します。
B. S3バケットポリシーがAppUserロールにS3バケットのオブジェクトを取得する権限を許可していることを確認します。
C. CMKがS3バケットの前に作成されていることを確認してください。
D. S3バケットでS3ブロックのパブリックアクセス機能が有効になっていることを確認します。
E. CMKの自動キーローテーションが無効になっていることを確認する。
F. 組織内のSCPがS3バケットへのアクセスを許可していることを確認します。
回答を見る
正解: B
質問 #3
ある会社には、既存のIAMアカウントがあり、そのアカウントでホストされている一連の重要なリソースがある。ルートアカウントを管理していた従業員が退職しました。アカウントを保護するために、今何をしなければなりませんか。以下の選択肢から答えを3つ選んでください。選択してください:
A. すべてのIAMユーザーのアクセスキーを変更する。
B. カスタム作成したIAMポリシーをすべて削除する
C. rootアカウントのアクセスキーを削除する
D. セキュアデバイスへのMFAの確認
E. rootアカウントのパスワードを変更する
F. すべてのIAMユーザーのパスワードを変更する
回答を見る
正解: A
質問 #4
ある製薬会社は、過去の処方箋をデジタル化したものを社内に保管している。同社はこれらの処方箋をIAMに移行し、その中のデータに対して分析を行いたいと考えている。このデータを操作する場合、転送中と静止時にデータを暗号化する必要があります。IAMのデータ保護要件を満たすアプリケーションフローはどれか。
A. デジタル化されたファイル -> Amazon Kinesis Data Analytics
B. デジタル化されたファイル -> Amazon Kinesis Data Firehose -> Amazon S3 -> Amazon Athena
C. デジタル化されたファイル -> Amazon Kinesis Data Streams -> Kinesis Client Library consumer -> Amazon S3 -> Athena
D. デジタル化されたファイル -> Amazon Kinesis Data Firehose -> Amazon Elasticsearch
回答を見る
正解: B
質問 #5
あなたの会社では、6か月間にわたって多数のEC2インスタンスを定義している。セキュリティグループのいずれかがリソースへの無制限のアクセスを許可しているかどうかを知りたい。この要件を達成するための最良のオプションは何ですか?選択してください:
A. IAM Inspector を使用して、すべてのセキュリティグループを検査する。
B. IAM Trusted Advisorを使用して、どのセキュリティグループが危険なアクセスをしているかを確認する。
C. IAM 構成を使用して、どのセキュリティグループがアクセス権を侵害しているかを確認する。
D. IAM CLIを使用してセキュリティグループを照会し、アクセス制限のないルールをフィルタリングする。
回答を見る
正解: C
質問 #6
IAMアカウントは2つのS3バケットを含む: bucket1とbucket2。バケット2にはポリシーが定義されていないが、バケット1には以下のバケットポリシーが定義されている:さらに、同じアカウントには "alice "という名前のIAMユーザーがいて、以下のIAMポリシーを持っています。ユーザ "alice" はどのバケットにアクセスできますか?
A. バケット1のみ
B. バケット2のみ
C. バケツ1とバケツ2の両方
D. バケツ1でもバケツ2でもない
回答を見る
正解: B
質問 #7
ある企業のWebアプリケーションは、Auto Scalingグループ内のApplication Load Balancer(ALB)の背後で動作するAmazon EC2インスタンス上でホストされている。IAM WAFのWeb ACLはALBに関連付けられている。IAM CloudTrailは有効で、Amazon S3とAmazon CloudWatch Logsにログを保存する。運用チームは、いくつかのEC2インスタンスがランダムに再起動するのを観察した。再起動後、インスタンス上のすべてのアクセスログが削除された。調査中、運用チームは、PHPエラーが発生した直後に再起動が発生していることを発見した。
A. ALBがあるサブネットでVPC Flow Logsを構成し、データをCloudWatchにストリーミングする。CloudWatchでnew-user-creation
B. ALB上のCloudWatchエージェントを構成する アプリケーションログをCloudWatchに送信するようにエージェントを構成する CloudWatch Logsのアクセスを許可するようにインスタンスロールを更新する
C. CloudWatchにログをエクスポートする CloudWatchでnew-user-creation
D. アクセスログをAmazon Elasticsearch ServiceクラスタにエクスポートするようにALBを構成し、そのサービスを使用してnew-user-creation
E. ログをS3バケットに配信するAmazon Kinesis Data Firehoseにログを送信するようにWeb ACLを構成する Amazon Athenaを使用してログをクエリし、新規ユーザー作成phpの発生を見つけます。
回答を見る
正解: B
質問 #8
ある企業が、Auto ScalingグループのAmazon EC2インスタンス上でアプリケーションを実行している。このアプリケーションはログをローカルに保存する。セキュリティエンジニアが、スケールインイベントの後にログが消失していることに気づいた。セキュリティエンジニアは、ログデータの耐久性と可用性を確保するためのソリューションを推奨する必要があります。 セキュリティエンジニアは何を推奨すべきでしょうか?
A. Auto Scalingライフサイクル内に、EC2インスタンスが作成されるたびにAmazon Elastic Block Store(Amazon EBS)ログボリュームを作成してアタッチするフックを追加する。
B. インスタンスが終了すると、EBSボリュームを別のインスタンスに再アタッチしてログを確認できます。
C. Amazon Elastic File System(Amazon EFS)ファイルシステムを作成し、Auto Scaling起動テンプレートのユーザーデータセクションに、EC2インスタンス作成時にEFSファイルシステムをマウントするコマンドを追加する インスタンス上のプロセスで、インスタンスのAmazon Elastic Block Store(Amazon EBS)ボリュームからEFSファイルシステム内のディレクトリに、1日1回ログをコピーするように設定する。
D. Amazon CloudWatchエージェントをAuto Scalingグループで使用するAMIにビルドする。
E. Amazon CloudWatch Logsにログを送信してレビューするようにCloudWatchエージェントを構成する。
F. 自動スケーリングライフサイクル内で、終了する状態遷移でライフサイクルフックを追加し、Amazon Simple Notification Service (Amazon SNS)へのライフサイクル通知を使用してエンジニアリングチームにアラートする。インスタンス終了前にセキュリティログを手動で確認できるように、フックが1時間Terminating:Wait状態のままになるように構成する。
回答を見る
正解: A
質問 #9
ある会社には5つのIAMアカウントがあり、IAM CloudTrailを使用してAPIコールをログに記録したいと考えている。ログファイルは、各トレイルに一意のトップレベル接頭辞を持つ、集中型サービス専用に構築された新しいアカウントに存在するAmazon S3バケットに保存されなければならない。構成はまた、ログへのあらゆる変更の検出を有効にする必要があります。これらの要件を実装する次の手順はどれですか?(3つ選んでください)。
A. CloudTrailのログを一元的に保存するために、別のIAMアカウントで新しいS3バケットを作成し、すべてのトレイルで「ログファイルの検証」を有効にします。
B. アカウントの1つに既存のS3バケットを使用し、CloudTrailサービスが "s3
C. CloudTrailサービスが "s3 PutObject "アクションと "s3 GelBucketACL "アクションを使用することを許可する新しい集中型S3バケットにバケットポリシーを適用し、CloudTrailトレイル用に適切なリソースARNを指定する。
D. 各 IAM アカウントのトレイルに一意のログファイル接頭辞を使用する。
E. 集中管理されたアカウントでCloudTrailを設定し、新しい集中管理されたS3バケットにすべてのアカウントをログに記録する。
F. IAM Key Management Serviceを使用して、ログファイルの暗号化を有効にする。
回答を見る
正解: B
質問 #10
ある企業のポートフォリオに含まれるすべてのアプリケーションには、開発用と本番用の別々の IAM アカウントがある。セキュリティチームは、root ユーザーと本番用アカウントのすべての IAM ユーザーが、特定の不要なサービスにアクセスできないようにしたい。どのようにこの機能を制御できますか?選択してください:
A. サービスへのアクセスを拒否するサービスコントロールポリシーを作成する。
B. すべての生産勘定を組織単位にまとめる
C. その組織単位にポリシーを適用する。
D. サービスへのアクセスを拒否するサービスコントロールポリシーを作成する
E. rootアカウントにポリシーを適用する。
F. G
回答を見る
正解: C
質問 #11
ある会社は、運用サポートを外部の会社に委託している。この会社のセキュリティ担当者は、運用サポートを委託する際に、オーバーヘッドを最小限に抑えるアクセスソリューションを導入しなければならない。これらの要件を満たすために、セキュリティ担当者が取るべきアプローチはどれか。
A. Amazon Cognito API管理に関連するアクションを拒否するポリシーを使用するロールを使用して、Amazon Cognito IDプールを実装する 外部企業がIDプロバイダーを通じてフェデレーションできるようにする
B. IAM アイデンティティとアクセス管理(IAM)を外部企業のアイデンティティ・プロバイダとフェデレートする IAM ロールを作成し、必要な権限を持つポリシーを添付する
C. IAM の変更を拒否するポリシーをグループに追加する。
D. 外部企業の ID で IAM SSO を使用する。
E. ID プロバイダのユーザグループにマッピングする IAM グループを作成し、必要な権限を持つポリシーを添付します。
回答を見る
正解: AE
質問 #12
あなたの会社のEC2インスタンスの1つが侵害された。そのインスタンスにデジタルフォレンジックを適用できるようにするために、どのような手順を取りますか。以下の選択肢から答えを2つ選んでください:
A. Ec2インスタンスに適用されているロールを削除します。
B. 別のフォレンジック・インスタンスを作成する
C. セキュリティグループがこのフォレンジック・インスタンスへの通信のみを許可するようにする。
D. インスタンスを終了する
回答を見る
正解: B
質問 #13
最近のセキュリティ監査で、ある会社のアプリケーションチームが、データベースの資格情報を IAM Fargate タスクの環境変数に注入していることが判明した。この会社のセキュリティポリシーは、すべての機密データを静止時と転送時に暗号化することを義務付けている。アプリケーションをセキュリティポリシーに準拠させるために、セキュリ ティチームはどのようなアクションを取るべきか?(3つ選択)
A. アプリケーションチームのIAMロールへのアクセスを制限したAmazon S3バケット内のファイルに認証情報を安全に保存する。 アプリケーションチームに、代わりにS3オブジェクトから認証情報を読み取るように依頼する。
B. IAM Secrets Managerのシークレットを作成し、このシークレットに格納するキーと値のペアを指定する。
C. 環境変数ではなく、IAM Secrets Manager のシークレットからクレデンシャルを取得するようにアプリケーションを変更する。
D. コンテナインスタンスのIAMロールポリシーに以下のステートメントを追加する。
E. 実行ロールポリシーに次のステートメントを追加します。
F. IAM Fargate インスタンスにログインし、IAM Secret Manager から秘密値を読み取るスクリプトを作成し、環境変数を注入する。
回答を見る
正解: B
質問 #14
会社のIAMアカウントでCloudtrailのログを有効にしました。さらに、ITセキュリティ部門はログを暗号化する必要があると言っています。これはどのように実現できますか?選択してください:
A. CloudtrailログのSSL証明書を有効にする
B. ログはすでに暗号化されているので、何もする必要はありません。
C. 証跡のサーバー側暗号化を有効にする。
D. 宛先S3バケットのサーバー側暗号化を有効にする
回答を見る
正解: CE
質問 #15
ある企業は最近、スナップショットからAmazon EC2インスタンスを復元する必要があるセキュリティインシデントから復旧した。ディザスタリカバリ手順とバックアップ戦略のギャップ分析を行った結果、同社は、IAMアカウントが侵害され、Amazon EBSスナップショットが削除された場合、次回EC2インスタンスを復元できないことを懸念している。すべてのEBSスナップショットは、IAM KMS CMKを使用して暗号化されている。どのソリューションがこの問題を解決できるでしょうか。
A. 新しいAmazon S3バケットを作成する EBSライフサイクルポリシーを使用して、EBSスナップショットを新しいS3バケットに移動する
B. ライフサイクルポリシーを使用してスナップショットをAmazon S3 Glacierに移動し、Glacier Vault Lockポリシーを適用して削除を防止する。
C. IAM Systems Managerを使用して、すべての接続ディスクのローカルバックアップをAmazon S3に実行する構成を配布します。
D. 権限を制限した新しいIAMアカウントを作成する
E. 新しいアカウントが、EBSスナップショットの暗号化に使用したIAM KMSキーにアクセスできるようにし、暗号化されたスナップショットを新しいアカウントに定期的にコピーする。
F. IAM Backupを使用して、EBSスナップショットをAmazon S3にコピーします。
回答を見る
正解: B
質問 #16
セキュリティ・エンジニアが、あるウェブ・サーバーへのインバウンド接続のトラブルシューティングを依頼されました。この 1 台の Web サーバーはインターネットからのインバウンド接続を受信しません。アーキテクチャには、ネットワーク ACL、セキュリティグループ、仮想セキュリティアプライアンスが含まれる。さらに、開発チームはアプリケーション・ロード・バランサー(ALB)を導入し、すべてのウェブサーバーに負荷を分散している。ウェブサーバーとiOSサーバーの間のトラフィックは、ALBによって分散されることが必須条件である。
A. Webサーバーのサブネットのルートテーブルの0
B. 特定のWebサーバーのエラスティック・ネットワーク・インターフェイス(ENI)にどのセキュリティ・グループが適用されているかを確認する。
C. Web サーバーサブネットのルートテーブルで、0
D. ALBに登録されているターゲットを確認してください。
E. パブリックサブネットの0
回答を見る
正解: CD
質問 #17
ある会社はIAM組織を使用して50のIAMアカウントを管理している。財務スタッフは、FinanceDept IAMアカウントのIAM IAMユーザーとしてログインする。スタッフは、MasterPayer IAM アカウントの連結請求情報を読む必要がある。彼らは、MasterPayer IAM アカウントの他のリソースを見ることはできません。MasterPayerアカウントで請求へのIAMアクセスが有効になっています。次のアプローチのどれが、不要な権限を付与することなく、財務スタッフに必要な権限を付与します。
A. FinanceDeptアカウントの財務ユーザー用のIAMグループを作成し、IAM管理ReadOnlyAccess IAMポリシーをグループにアタッチする。
B. MasterPayerアカウントの財務ユーザー用にIAMグループを作成し、IAM管理ReadOnlyAccess IAMポリシーをグループにアタッチする。
C. FinanceDeptアカウントにViewBilling権限を持つIAM IAMロールを作成し、MasterPayerアカウントの財務ユーザにそのロールを引き受ける権限を付与する。
D. MasterPayerアカウントにViewBilling権限を持つIAM IAMロールを作成し、FinanceDeptアカウントの財務ユーザーにそのロールを引き受ける権限を付与する。
回答を見る
正解: AD
質問 #18
ある企業が、Amazon EC2インスタンスに接続されたAmazon EBSボリュームにデータを保存している。データはAmazon S3バケットに非同期にレプリケートされる。EBSボリュームとS3バケットは、同じIAM KMSカスタマーマスターキー(CMK)で暗号化されている。元従業員が退職前にそのCMKの削除をスケジュールした。会社のデベロッパーオペレーション部門は、CMKが削除された後に初めてこのことを知ります。この状況に対処するには、どの手順を実行する必要がありますか?
A. ボリュームがEC2インスタンスから切り離される前に、EBS暗号化ボリュームからデータを直接コピーする。
B. 以前のバージョンのKMSバッキングキーを使用して、EBS暗号化ボリュームからデータを復元します。
C. IAMサポートにS3暗号化データの復旧を依頼する。
D. 削除されたCMKの復元をIAMサポートに依頼し、そのCMKを使用してデータを復元する。
回答を見る
正解: B
質問 #19
従業員が本番環境のEC2インスタンスを停止し続けている。このようなことが起こらないようにする最善の方法は、インスタンスの終了に対する防御レイヤーを追加することです。従業員が本番環境のインスタンスを終了しないようにする最善の方法は何ですか。以下の選択肢から正しい答えを2つ選んでください:
A. 本番環境を識別するタグでインスタンスをタグ付けし、本番環境のタグを持つインスタンスへの終了 API 呼び出しを明示的に拒否して、従業員ユーザーにリソースレベルのパーミッションを追加します。
B. <
C. インスタンスに本番環境を識別するタグを付け、従業員グループを変更して、インスタンスの終了呼び出しではなく、開始、停止、およびリブート API 呼び出しのみを許可するようにします。
D. EC2インスタンスを削除する前にMFAを要求するようにユーザーのIAMポリシーを変更し、従業員へのMFAアクセスを無効にする。
E. EC2インスタンスを削除する前にMFAを要求するように、ユーザーのIAMポリシーを修正する。
回答を見る
正解: B
質問 #20
IAMキーマネジメントサービス(IAM KMS)のキーポリシーをレビューしていたセキュリティエンジニアが、会社のIAMアカウントの各キーポリシーに次のような記述があるのを見つけた。この記述は何を許可しているのでしょうか?
A. すべての IAM アカウントのすべてのプリンシパルがキーを使用する。
B. アカウント111122223333のrootユーザーのみが鍵を使用できる。
C. アカウント111122223333からのすべてのプリンシパルが、Amazon S3上でのみキーを使用する。
D. この鍵へのアクセスを許可する IAM ポリシーが適用されているアカウント 111122223333 のプリンシパルのみが、この鍵を使用できます。
回答を見る
正解: C
質問 #21
分散Webアプリケーションは、2つのアベイラビリティゾーンに存在するパブリックサブネットの複数のEC2インスタンスにまたがってインストールされている。Apacheのログには、過去6か月間にレイヤー7レベルで数百のIPアドレスから断続的にブルートフォース攻撃が数回あったことが示されている。今後、これらの攻撃の潜在的な影響を減らす最善の方法は何でしょうか。
A. カスタムルートテーブルを使用して、悪意のあるトラフィックがインスタンスにルーティングされないようにします。
B. セキュリティグループを更新して、発信元IPアドレスからのトラフィックを拒否する。
C. ネットワークACLを使用する。
D. 各インスタンスに侵入防御ソフトウェア(IPS)をインストールする。
回答を見る
正解: C
質問 #22
ある企業が、鍵の枯渇に関する規制要件を満たしながら、ローカルでデータを暗号化したい。暗号化キーは10日以上経過していないか、2" 16以上のオブジェクトを暗号化することができない。同社はコスト重視であり、5つのデータ・プロダクションにまたがる持続的な運用のために、毎秒平均100のオブジェクトをAmazon S3にアップロードする計画である。 どのアプローチが最も効率的に同社のニーズを満たすか?
A. IAM Encryption SDK を使用し、最大年齢を 10 日、暗号化メッセージの最小数を 3 に設定する。IAM Key Management Service (IAM KMS)を使用してマスター・キーとデータ・キーを生成する。 暗号化処理中に、Encryption SDk でデータ・キーのキャッシングを使用する。
B. IAMキーマネジメントサービス(IAM KMS)を使用して、IAM管理CMを生成する。
C. 次に、すべてのオブジェクトで自動的にローテーションするように設定されたAmazon S3クライアント側暗号化を使用します。
D. IAM CloudHSM を使用してマスターキーとデータキーを生成する。
E. その後、Boto 3とPythonを使用して、オブジェクトをアップロードする前にローカルでデータを暗号化します。 10日ごと、または2" 16のオブジェクトがAmazonにアップロードされた後に、データキーをローテーションします。
F. Amazon S3のマネージド暗号化キー(SSE-S3)を使ってサーバーサイドで暗号化し、マスターキーを自動的にローテートするように設定する。
回答を見る
正解: D
質問 #23
次のバケットポリシーの結果は?正しい答えを選んでください:
A. mybucketバケットへのすべてのアクセスを許可します。
B. IAM アカウント番号 111111111 のユーザはバケットへのすべてのアクセスを許可しますが、それ以外のユーザはバケットへのすべてのアクセスを拒否します。
C. バケット mybucket へのすべてのアクセスを拒否します。
D. どれでもない
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.