すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

更新されたSCS-C02練習問題でAWS試験に簡単に合格できます

弊社の試験準備リソースと学習資料にアクセスすることで、専門的なデータ分類、AWSデータ保護メカニズム、データ暗号化方式、およびこれらの方式を実装するAWSメカニズムについて深く理解することができます。当社の模擬試験は、実際の試験環境をシミュレートしており、試験条件下で練習し、合格への戦略を練ることができます。SPOTO AWS SCS-C02認定試験の準備をすることはAWS Certified Security - Specialty認定資格を目指す人にとって重要な利点です。弊社の包括的な試験問題集は主要なトピックをカバーしており、認定者は自信を持ってAWSクラウドでセキュリティソリューションを作成および実装することができます。
他のオンライン試験を受ける
質問 #1
ある企業が、IAM Organizations を使用して、マルチアカウントによるセキュアなネットワーキング戦略を策定している。同社は、共有サービス、監査、およびセキュリティ検査に個別の集中管理アカウントを使用する予定である。会社のセキュリティポリシーでは、すべてのインターネットトラフィックを、セキュリティ検査アカウントで一元管理されたセキュリティ検査レイヤーを経由させる必要がある。セキュリティエンジニア
A. 特定のCloudTrailトレイルへの変更を禁止するIAMポリシーを作成し、IAMアカウントのルートユーザーにポリシーを適用します。
B. CloudTrailトレイルの指定された宛先アカウントに、ソースアカウントのIAMアカウントルートユーザーからの設定変更を禁止するS3バケットポリシーを作成する。
C. 特定のCloudTrail証跡への変更を禁止するSCPを作成し、Organizationsの適切な組織単位またはアカウントにSCPを適用する。
D. 特定のCloudTrailトレイルへの変更を禁止するIAMポリシーを作成し、そのポリシーを新しいIAMグループに適用する。チームメンバーに、新しいIAMグループのメンバーである個々のIAMアカウントを使用させる。
回答を見る
正解: C
質問 #2
セキュリティアーキテクトは、既存のセキュリティアーキテクチャをレビューし、アプリケーションサーバーがデータベースサーバーへの接続を正常に開始できない理由を特定するよう依頼された。1 アプリケーションロードバランサー、インターネットゲートウェイ、および NAT ゲートウェイが、パブリックサブネットに構成されている。データベースサーバー、アプリケーションサーバー、およびウェブサーバーは、3つの異なるプライベートサブネットに構成されています。
A. 悪意のあるIPをブロックするために、パブリックVPCのセキュリティグループに拒否ルールを追加します。
B. 悪意のあるIPをIAM WAFのバックスタックIPに追加する。
C. LinuxのiptablesまたはWindowsのファイアウォールを設定し、悪意のあるIPからのトラフィックをブロックする。
D. Amazon Route 53でホストされているゾーンを変更し、悪意のあるIPのDNSシンクホールを作成する。
回答を見る
正解: A
質問 #3
ある企業が、AWS AbuseチームからAWSアカウントに関する通知を受け取った。この通知は、アカウント内のリソースが侵害されていることを示している。
A. EC2インスタンスが使用する、漏洩した可能性のあるアクセスキーをローテーションする。 漏洩した可能性のある認証情報なしで、新しいAM Iを作成する。
B. 漏洩した可能性のあるアクセスキーを削除するか、無効化する。 漏洩した可能性のあるアクセスキー権限に一致するカスタムポリシーを含む、EC2 Auto Scalingにリンクされた1AMロールを作成する。 新しい1AMロールをAuto Scalingグループに関連付ける。 EC2 Auto Scalingインスタンスのリフレッシュを実行する。
C. 漏洩した可能性のあるアクセスキーを削除または無効化する。 漏洩した可能性のある認証情報を含まない新しいAMIを作成する。 正しい権限を含む1AMロールを作成する。 新しいAMIと1AMロールを参照するAuto Scalingグループの起動テンプレートを作成する。
D. 漏洩した可能性のあるアクセスキーをローテーションする。 漏洩した可能性のあるアクセスキーを含まない新しいAMIを作成する。 ユーザーデータスクリプトを使用して、新しいアクセスキーをAuto Scalingグループの起動構成の環境変数として供給する。
回答を見る
正解: C
質問 #4
あなたのCTOはIAMアカウントのセキュリティを非常に心配しています。ハッカーにアカウントを完全に乗っ取られないようにするには、どうすればよいでしょうか?
A. rootアカウントと管理者には、短いが複雑なパスワードを使用する。
B. IAM IAM Geo-Lockを使用し、あなたの都市以外からのログインを禁止する。
C. すべてのユーザーとアカウント、特にルートアカウントでMFAを使用する。
D. IAMアカウントを作成した後、rootアカウントのパスワードをメモしたり記憶したりしないでください。
回答を見る
正解: C
質問 #5
ある会社のクラウド運用チームは、IAM のクロスアカウントアクセスに対する効果的なセキュリ ティを構築する責任を負っている。チームはセキュリティエンジニアに、開発者グループの開発者アカウント(123456789012)の一部の開発者が、Amazon S3バケット(productionapp)の内容を読み取るために、本番アカウント(999999999999)にクロスアカウントの役割(ReadS3)を引き受けることができない理由のトラブルシューティングを支援するよう依頼します。2つのアカウントポリシーは次のとおりです。
A. IAM Control Tower を使用します。デフォルトのアカウントファクトリーネットワーキングテンプレートを変更し、新しいアカウントを VPC ピアリング接続を介して中央管理 VPC に自動的に関連付け、デフォルトのルートテーブルに VPC ピアへのデフォルトルートを作成します。CreatelnternetGateway アクションを拒否する SCP を作成します。セキュリティ検査アカウント以外のすべてのアカウントに SCP をアタッチします。
B. セキュリティ検査アカウントで集中管理VPCを作成する。セキュリティ検査アカウントと他のアカウント間でVPCピアリング接続を確立する。アカウントのルートテーブルに、VPCピアを指すデフォルトルートを作成するよう、アカウントの所有者に指示します。Attach InternetGatewayアクションを拒否するSCPを作成します。セキュリティ検査アカウント以外のすべてのアカウントに SCP をアタッチします。
C. IAMコントロールタワーを使用します。デフォルトのアカウントファクトリーネットワーキングテンプレートを変更し、新しいアカウントを中央で管理されるトランジットゲートウェイに自動的に関連付け、デフォルトルートテーブルにトランジットゲートウェイへのデフォルトルートを作成します。AttachlnternetGateway アクションを拒否する SCP を作成します。セキュリティ検査アカウント以外のすべてのアカウントにSCPをアタッチします。
D. IAM組織のIAM Resource Access Manager(IAM RAM)を有効にする。共有トランジット・ゲートウェイを作成し、IAM RAMリソース共有を使用して利用可能にします。CreatelnternetGatewayアクションを拒否するSCPを作成します。すべてのアカウントのルートテーブルに、共有トランジットゲートウェイを指すルートを作成します。
回答を見る
正解: AD
質問 #6
コンプライアンス上の理由から、セキュリティエンジニアは、承認された最新のパッチが適用されていないインスタンスをリストアップした週次レポートを作成しなければなりません。エンジニアはまた、承認された最新のアップデートが適用されないまま30日以上経過するシステムがないようにしなければならない。これらの目標を達成する最も効率的な方法は何だろうか。
A. Amazonインスペクターを使用して、最新のパッチが適用されていないシステムを特定し、30日後にそれらのインスタンスを最新のAMIバージョンで再デプロイする。
B. Amazon EC2 Systems Managerを構成して、インスタンスのパッチコンプライアンスをレポートし、定義されたメンテナンスウィンドウ中にアップデートを実施する。
C. IAMのCloudTrailトグを調べて、過去30日間に再起動されていないインスタンスがあるかどうかを判断し、それらのインスタンスを再デプロイする。
D. 承認された最新のパッチでAMlsを更新し、定義されたメンテナンスウィンドウの間に各インスタンスを再デプロイする。
回答を見る
正解: B
質問 #7
Amazon Linux EC2インスタンスのシステムログを手動でレビューしているときに、セキュリティエンジニアが、Amazon CloudWatch Logsエージェントで適切にアラートまたはレポートされなかったsudoコマンドがあることに気づいた。
A. ポート80のアウトバウンドトラフィックをブロックするセキュリティグループがあり、エージェントがログを送信するのを妨げています。
B. EC2インスタンスのIAMインスタンスプロファイルが、CloudWatch LogsエージェントがログをCloudWatchにプッシュできるように適切に設定されていない。
C. CloudWatchのログステータスがON対SECUREに設定されているため、OSのセキュリティイベントログを取り込むことができない。
D. VPCはすべてのトラフィックがプロキシを経由することを必要とし、CloudWatch Logsエージェントはプロキシ設定をサポートしていない。
回答を見る
正解: B
質問 #8
ある企業がAmazon API Gatewayを使ってREST APIをユーザーに提供しています。API開発者は、ログファイルを解析することなくAPIアクセスパターンを分析したいと考えています。これらの要件を最も少ない労力で満たす手順の組み合わせはどれですか?(2つ選択)
A. AWSアカウントのS3ブロックパブリックアクセス機能を設定します。
B. バケット内のすべてのオブジェクトに対して、S3ブロックのパブリックアクセス機能を設定する。
C. バケツ内のオブジェクトのACLを無効にする。
D. AWS PrivateLink for Amazon S3を使用してバケットにアクセスします。
回答を見る
正解: CD
質問 #9
ある開発チームが、単純な陳腐化したウェブアプリケーションをテストするために実験的な環境を構築しました。プライベートサブネットとパブリックサブネットで隔離されたVPCを構築しました。パブリックサブネットにはアプリケーションロードバランサーとNATゲートウェイとインターネットゲートウェイしかない。プライベートサブネットには、Amazon EC2インスタンスのすべてを収容している。3つの異なるタイプのサーバーがあり、それぞれのサーバータイプには、必要な接続性だけにアクセスを制限する独自のセキュリティグループがある。セキュリティ・グループには、インバウンドとアウトバウンドの両方のルールがある。
A. Amazonデフォルトキーで暗号化されたAmazon EBSボリュームを使用する(IAM EBS)
B. 顧客提供鍵によるサーバー側暗号化(SSE-C)を使用する。
C. IAM KMS管理鍵(SSE-KMS)によるサーバー側暗号化を使用する。
D. Amazon S3マネージドキー(SSE-S3)によるサーバーサイド暗号化を使用する。
回答を見る
正解: CEF
質問 #10
ある企業が eu-west-1 リージョンでアプリケーションを実行している。このアプリケーションは、IAM Key Management Service (IAM KMS) CMK を使用して機密データを暗号化している。
A. 会社はアプリケーションを eu-north-1 地域に配備する予定である。セキュリティエンジニアは、新しい地域にアプリケーションを配備するために、鍵管理ソリューションを実装する必要がある。セキュリティエンジニアは、アプリケーションコードへの変更を最小限に抑える必要があります。これらの要件を満たすために、セキュリティエンジニアは IAM KMS 構成にどの変更を加えるべきですか。
B. eu-west-1のキーポリシーを更新する。eu-north-1のアプリケーションに、eu-west-1のアプリケーションと同じCMKを使用するように指示する。
C. eu-north-1に新しいCMKを割り当て、そのリージョンに配置されるアプリケーションで使用する。
D. 新しいCMKをeu-north-1に割り当てる。両方の鍵に同じエイリアス名を作成する。キーエイリアスを使用するようにアプリケーションデプロイメントを構成する。
E. eu-north-1に新しいCMKを割り当てる。eu-'-1のエイリアスを作成する。eu-'-1のエイリアスを指すようにアプリケーションコードを変更する。
回答を見る
正解: B
質問 #11
ヘルスケア企業の監査役は、すべてのデータボリュームを静止時に暗号化することを義務付けています。インフラストラクチャは主にIAM CloudFormationを介して導入されていますが、一部のレガシーシステムではサードパーティのフレームワークと手動での導入が必要です。すべてのEBSボリュームが暗号化されているかどうかを定期的に監視する最善の方法は何でしょうか?
A. CloudTrailコンソールで公開されたアクセスキーのイベント履歴にフィルタをかける 過去11日間のデータを調べる。
B. Use IAM CLI lo generate an IAM credential report 過去11日間のすべてのデータを抽出する。
C. Amazon Athenaを使用して、Amazon S3からCloudTrailログをクエリする 過去11日間に公開されたアクセスキーの行を取り出す
D. IAMコンソールのAccess Advisorタブを使用して、過去11日間のすべてのアクセスキーのアクティビティを表示します。
回答を見る
正解: B
質問 #12
ある会社には小売店があります。その会社は、顧客の領収書をスキャンしたコピーを Amazon S3 に保存するソリューションを設計しています。ファイルは PDF 形式で 100 KB から 5 MB の間です。
A. 各小売店専用のAWS Key Management Service(AWS KMS)顧客管理キーを作成する。 S3 Putオペレーションを使用して、Amazon S3にオブジェクトをアップロードする。 AWS KMSキー(SSE-KMS)を使用したサーバー側暗号化と、店舗のキーのキーIDを指定する。
B. AWS Key Management Service (AWS KMS)の顧客管理キーを小売店ごとに毎日新規作成する KMS Encryptオペレーションを使用してオブジェクトを暗号化し、Amazon S3にオブジェクトをアップロードする
C. AWS Key Management Service(AWS KMS)のGenerateDataKeyオペレーションを小売店ごとに毎日実行する データキーとクライアント側暗号化を使用してオブジェクトを暗号化し、Amazon S3にオブジェクトをアップロードする
D. AWS鍵管理サービス(AWS KMS)のImportKeyMaterialオペレーションを使用して、小売店ごとに毎日新しい鍵素材をAWS KMSにインポートする 顧客が管理する鍵とKMS Encryptオペレーションを使用してオブジェクトを暗号化し、Amazon S3にオブジェクトをアップロードする
回答を見る
正解: A
質問 #13
ある会社には、大きな画像から画像のサムネイルを作成するAWS Lambda関数があります。Lambda関数は、同じAWSアカウント内のAmazon S3バケットへの読み取りと書き込みのアクセスが必要です。どのソリューションがLambda関数にこのアクセスを提供しますか?(2つ選んでください)
A. プログラムアクセスのみを持つIAMユーザーを作成する。新しいアクセスキーのペアを作成する。アクセスキーIDとシークレットアクセスキーをLambda関数に環境変数を追加します。Amazon S3との通信時に、実行時に環境変数を使用するようにLambda関数を修正する。
B. Amazon EC2キーペアを生成する。秘密鍵をAWS Secrets Managerに保存する。Secrets Managerから秘密鍵を取得し、Amazon S3との通信時に秘密鍵を使用するようにLambda関数を修正する。
C. Lambda関数のIAMロールを作成します。S3バケットへのアクセスを許可するIAMポリシーをアタッチします。
D. Lambda関数のIAMロールを作成する。S3バケットにバケットポリシーをアタッチし、アクセスを許可する。関数のIAMロールをプリンシパルに指定する。
E. セキュリティグループを作成する。セキュリティグループをLambda関数にアタッチする。セキュリティグループIDを通してS3バケットへのアクセスを許可するバケットポリシーをアタッチする。
回答を見る
正解: BE
質問 #14
ある企業が、AWS Lambda関数を使用するデータ処理アプリケーションマットを構築しています。アプリケーションのLambda関数は、同じAWSアカウントのVPC内にデプロイされているAmazon RDS OBインスタンスと通信する必要があります。どのソリューションが最も安全な方法でこれらの要件を満たしていますか?
A. DBインスタンスがパブリックアクセスを許可するように設定する DBインスタンスのセキュリティグループを更新し、AWSリージョンのLambdaパブリックアドレス空間からのアクセスを許可する。
B. VPC内にLambda機能を配置する LambdaサブネットにネットワークACLをアタッチする VPCのCIDR範囲のみにアウトバウンドルールアクセスを提供する DBインスタンスセキュリティグループを更新して、0
C. Lambda関数をVPC内にデプロイする Lambda関数にセキュリティグループをアタッチする VPCのCIDR範囲のみにアウトバウンドルールのアクセスを提供する DBインスタンスのセキュリティグループを更新して、Lambdaセキュリティグループからのトラフィックを許可する。
D. DBインスタンスをホストするVPCとLambdaのデフォルトVPCをピアリングし、セキュリティグループを使用せずに直接ネットワークにアクセスできるようにします。
回答を見る
正解: C
質問 #15
開発者が、複数のアカウントを含むIAM組織の組織単位(OU)内の新しいアカウントにサインインしました。セキュリティエンジニアは、他のアカウントに影響を与えることなく、開発者にAmazon $3へのアクセスをどのように提供できますか?
A. SCPを組織のルートOUに移動し、Amazon $3へのアクセス制限を解除します。
B. 開発者用の IAM ポリシーを追加し、$3 アクセスを許可する。
C. 3ドルのアクセスを制限するSCPを適用せずに、新しいOUを作成する。開発者アカウントをこの新しいOUに移動する。
D. 開発者アカウントに$3サービスの許可リストを追加する。
回答を見る
正解: C
質問 #16
ある企業では、インターネットゲートウェイが接続されていないVPCの単一のプライベートサブネットに、Amazon EC2インスタンスのグループがある。あるセキュリティエンジニアが、特定のアプリケーションからのログをキャプチャするために、そのサブネット内のすべてのインスタンスにAmazon CloudWatchエージェントをインストールした。ログが安全に流れるように、会社のネットワーキング・チームはCloudWatchモニタリングとCloudWatchログ用のVPCエンドポイントを作成した。アプリケーションはログを生成している。アプリケーションはログを生成している。
A. EC2インスタンスにアタッチされているEC2インスタンスプロファイルに、ログストリームの作成とログの書き込みの権限があることを確認します。
B. AWSマネジメントコンソールで表示できるように、ログにメトリックフィルタを作成する。
C. 各EC2インスタンスのCloudWatchエージェント設定ファイルをチェックし、CloudWatchエージェントが適切なログファイルを収集していることを確認する。
D. 両方のVPCエンドポイントのVPCエンドポイントポリシーを確認し、EC2インスタンスに使用権限があることを確認する。
E. EC2インスタンスがCloudWatchと通信できるように、サブネットにNATゲートウェイを作成する。
回答を見る
正解: ACD
質問 #17
Amazon GuardDutyは、ある企業のAmazon EC2インスタンスから既知のコマンド&コントロール・エンドポイントへの通信を検出しました。このインスタンスは、一般的なWebフレームワークの脆弱なバージョンを実行していることが判明しました。この企業のセキュリティ運用チームは、そのフレームワークの特定のバージョンがインストールされている他のコンピュートリソースを迅速に特定したいと考えています。
A. IAM Configに準拠していないか、すべてのEC2インスタンスをスキャンする。Amazon Athenaを使用して、フレームワークのインストールに関するIAM CloudTrailログを照会する。
B. すべてのEC2インスタンスをAmazon Inspector Network Reachabilityルールパッケージでスキャンし、RecognizedPortWithListenerが検出されたWebサーバーを実行しているインスタンスを特定する。
C. すべてのEC2インスタンスをIAM Systems Managerでスキャンし、Webフレームワークの脆弱なバージョンを特定する。
D. IAM Resource Access Managerを使用してEC2インスタンスをスキャンし、Webフレームワークの脆弱なバージョンを特定する。
回答を見る
正解: C
質問 #18
IAMでS3バケットが定義されています。データを送信する前に暗号化する必要があります。
A. Enable server side encryption for the S3 bucket
B. IAM Encryption CLIを使用して、最初にデータを暗号化する。
C. S3バケットにデータを送信する前に、Lambda関数を使用してデータを暗号化する。
D. バケットのクライアント暗号化を有効にする。
回答を見る
正解: B
質問 #19
ある会社のセキュリティエンジニアは、請負業者のIAMアカウントに、他のIAMサービスへのアクセスを提供することなく、会社のAmazon EC2コンソールへのアクセスを制限するよう命じられました。請負業者のIAMアカウントは、IAMアカウントにIAMグループメンバーシップに基づく追加権限が割り当てられている場合でも、他のIAMサービスにアクセスすることはできません。
A. 契約者のIAMユーザーがAmazon EC2にアクセスできるように、mime IAMユーザーポリシーを作成する。
B. AmazonEC2へのアクセスを許可するIAM権限バウンダリポリシーを作成する IAM権限バウンダリポリシーを使用して、契約者のIAMアカウントをアソシエートする。
C. AmazonEC2へのアクセスを許可するポリシーが添付されたIAMグループを作成する 契約者のIAMアカウントとIAMグループを関連付ける。
D. EC2を許可し、他のすべてのサービスを明示的に拒否するIAMロールを作成する 請負業者が常にこのロールを引き受けるように指示する。
回答を見る
正解: B
質問 #20
あなたの会社はIAMを使用してリソースをホストしている。1) すべてのAPIコールとトランジションを記録する。2) アカウントにどのようなリソースがあるかを理解するのに役立つ。3) 認証情報とログインを監査できるようにする機能 上記の要件を満たすサービスはどれか。
A. IAM Inspector、CloudTrail、IAM Credential Reports。
B. CloudTrail。IAMクレデンシャルレポート、IAM SNS
C. CloudTrail、IAM Config、IAM Credential Reports。
D. IAM SQS、IAM クレデンシャルレポート、CloudTrail。
回答を見る
正解: C
質問 #21
ある企業のオンプレミスネットワークは、IAM Direct Connectゲートウェイを使用してVPCに接続されている。会社のオンプレミスアプリケーションは、既存のAmazon Kinesis Data Firehose配信ストリームを使用してデータをストリーミングする必要があります。会社のセキュリティポリシーでは、プライベートネットワークを使用してデータを暗号化して転送する必要があります。
A. VPCエンドポイントtor Kinesis Data Firehoseを作成します。アプリケーションをVPCエンドポイントに接続するように設定します。
B. IAMポリシーを構成して、ソースIP条件を使用してKinesis Data Firehoseへのアクセスを制限する。 B
C. IAM Certificate Manager(ACM)で新しいTLS証明書を作成する。パブリック向けのネットワークロードバランサー(NLB)を作成し、新しく作成したTLS証明書を選択します。すべてのトラフィックをKinesis Data Firehoseに転送するようにNLBを構成する。アプリケーションがNLBに接続するように構成する。
D. Direct Connectを使用してオンプレミスネットワークとKinesis Data Firehose VPCをピアリングする。既存のFirehose配信ストリームに接続するようにアプリケーションを構成する。
回答を見る
正解: A
質問 #22
ある企業が、Amazon EC2インスタンス群に分散Webアプリケーションをデプロイする。ALBはTLS接続を終了するように設定される。ALBへのすべてのTLSトラフィックは、証明書の秘密鍵が漏洩しても安全でなければなりません。
A. IAM証明書マネージャ(ACM)によって管理される証明書を使用するHTTPSリスナーを作成します。
B. 完全秘匿(PFS)の暗号スイートを使用するセキュリティポリシーを使用するHTTPSリスナーを作成します。
C. Server Order Preferenceセキュリティ機能を使用するHTTPSリスナーを作成します。
D. 完全な前方秘匿性(PFS)を持つ暗号スイートのみを許可するカスタムセキュリティポリシーを使用するTCPリスナーを作成します。
回答を見る
正解: A
質問 #23
ある会社は、レポートを保存するためにAmazon S3バケットを使用しています。管理者は、このバケットに保存されたすべての新しいオブジェクトは、S3バケットと同じアカウントが所有するクライアント指定のIAMキー管理サービス(IAM KMS)CMKを使用して、サーバー側暗号化を使用して静止時に暗号化する必要があります。IAMアカウント番号は111122223333であり、バケット名はReport bucketである。この会社のセキュリティスペシャリストは、S3バケットポリシーを作成し、この命令を確実に実行できるようにしなければなりません。
A. IAM Key Management Service (IAM KMS) tor encryptionを使用して、セキュリティアカウントにCodeCommitリポジトリを作成する。 このリポジトリにLambdaのソースコードを移行するよう、開発チームに要求する。
B. Amazon S3管理暗号化キー(SSE-S3)を使用したサーバー側暗号化を使用してキーを暗号化し、セキュリティアカウント内のAmazon S3バケットにAPIキーを保存する。 S3キーのリザインのURLを作成し、IAM CloudFormationテンプレートのLambda環境変数にURLを指定する。 URLを使用してキーを取得し、APIを呼び出すようにLambda関数のコードを更新する。
C. セキュリティアカウントのIAM Secrets Managerにシークレットを作成し、IAM Key Management Service(IAM KMS)を使用してAPIキーを保存する tor encryption Lambda関数が使用するIAMロールにアクセス権を付与し、関数がSecrets Managerからキーを取得してAPIを呼び出せるようにする。
D. IAM Key Management Service (IAM KMS) tor encryptionを使用してAPIキーを保存するために、Lambda関数用に暗号化された環境変数を作成する。 Lambda関数が使用するIAMロールにアクセス権を付与し、関数が実行時にキーを復号化できるようにする。
回答を見る
正解: D
質問 #24
アプリケーションチームは、IAM Certificate Manager (ACM)を使用して公開証明書を要求し、転送中のデータの安全性を確保したいと考えている。使用されているドメインは、現在Amazon Route 53でホストされていない。アプリケーションチームは、IAMが管理するディストリビューションとキャッシングソリューションを使用して、システムへのリクエストを最適化し、顧客により良いプレゼンスを提供したいと考えている。
A.
B.
C.
回答を見る
正解: CDF
質問 #25
ある企業は、規制を遵守するために、togデータのアーカイブを数年間保持する必要があります。このような要件を満たすために、最も安全で費用対効果の高いソリューションは何でしょうか。
A. データをAmazon S3にアーカイブし、制限付きバケットポリシーを適用してs3 DeleteOotect APIを拒否する。
B. データをAmazon S3 Glacierにアーカイブし、Vault Lockポリシーを適用する。
C. データをAmazon S3にアーカイブし、2番目のIAMリージョンの2番目のバケットにレプリケートする S3 Standard-Infrequent Access (S3 Standard-1A)ストレージクラスを選択し、s3 DeleteObject APIを拒否する制限付きバケットポリシーを適用する。
D. ログデータを16 T8 Amazon Elastic Block Store(Amazon EBS)ボリュームに移行する EBSボリュームのスナップショットを作成します。
回答を見る
正解: B
質問 #26
ある企業は、IAMリソースがus-east-1リージョンとus-west-2リージョンでのみ起動できるようにしたいと考えています。開発者が他のリージョンでAmazon EC2インスタンスを起動できないようにする、運用上最も効率的なソリューションは何ですか。
A. データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可するインバウンドルールを作成します。データベースのサブネットに新しいネットワークACLルールを追加します。アプリケーション VPC の IP アドレス範囲からの TCP ポート 1521 にルールを設定します。アプリケーションインスタンスがアクセスする必要があるデータベースインスタンスに、新しいセキュリティグループをアタッチします。
B. アプリケーションVPCに新しいセキュリティグループを作成し、TCPポート1521経由でデータベースVPCのIPアドレス範囲を許可するインバウンドルールを設定します。データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲にポート1521を許可するインバウンドルールを設定します。新しいセキュリティグループを、データベースインスタンスとデータベースへのアクセスが必要なアプリケーションインスタンスにアタッチします。
C. アプリケーションVPCに、インバウンドルールを設定しない新しいセキュリティグループを作成します。アプリケーションVPCの新しいアプリケーションセキュリティグループからTCPポート1521を許可するインバウンドルールを使用して、データベースVPCに新しいセキュリティグループを作成する。 データベースアクセスが必要なアプリケーションインスタンスにアプリケーションセキュリティグループをアタッチし、データベースインスタンスにデータベースセキュリティグループをアタッチする。
D. アプリケーションVPCに新しいセキュリティグループを作成し、TCPポート1521経由でデータベースVPCのIPアドレス範囲を許可するインバウンドルールを設定します。データベースのサブネットに新しいネットワークACLルールを追加します。アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可するようにルールを構成する。
回答を見る
正解: C
質問 #27
ある企業が eu-west-1 リージョンでアプリケーションを実行している。このアプリケーションは、IAM Key Management Service (IAM KMS) CMK を使用して機密データを暗号化している。
A. 会社はアプリケーションを eu-north-1 地域に配備する予定である。セキュリティエンジニアは、新しい地域にアプリケーションを配備するために、鍵管理ソリューションを実装する必要がある。セキュリティエンジニアは、アプリケーションコードへの変更を最小限に抑える必要があります。これらの要件を満たすために、セキュリティエンジニアは IAM KMS 構成にどの変更を加えるべきですか。
B. eu-west-1のキーポリシーを更新する。eu-north-1のアプリケーションに、eu-west-1のアプリケーションと同じCMKを使用するように指示する。
C. eu-north-1に新しいCMKを割り当て、そのリージョンに配置されるアプリケーションで使用する。
D. 新しいCMKをeu-north-1に割り当てる。両方の鍵に同じエイリアス名を作成する。キーエイリアスを使用するようにアプリケーションデプロイメントを構成する。
E. eu-north-1に新しいCMKを割り当てる。eu-'-1のエイリアスを作成する。eu-'-1のエイリアスを指すようにアプリケーションコードを変更する。
回答を見る
正解: B
質問 #28
ある会社のセキュリティチームは、Amazon EC2 Abuseチームから、会社のAmazon EC2インスタンスの1つ以上が侵害された可能性があるという電子メール通知を受け取った。セキュリティチームは、(現在のモデムである)ことに対応するために、どのアクションの組み合わせを取るべきですか? 2つを選択してください)。
A. Amazon CloudWatchモニタリングを使って、Amazon EC2とネットワーキングのメトリクスを取得する Amazon CloudWatchダッシュボードを使ってメトリクスを可視化する。
B. Amazon Kinesis Agentを実行し、ステータスデータをAmazon Kinesis Data Firehoseに書き込む Kinesis Data FirehoseからのストリーミングデータをAmazon Redshiftに保存する。(その後、プールデータに対してスクリプトを実行し、Amazon Redshiftでデータを分析する。
C. ステータスデータをヘルスチェックコンポーネントからパブリックなAmazon S3バケットに直接書き込む S3イベントを構成して、データを分析するIAM Lambda関数を呼び出します。
D. ヘルスチェックコンポーネントからイベントを生成し、Amazon CloudWatch Eventsに送信する。ステータスデータをイベントペイロードとして含める。CloudWatch Eventsルールを使用して、データを分析するIAM Lambda関数を呼び出す。
回答を見る
正解: DE
質問 #29
ある企業が、AWS AbuseチームからAWSアカウントに関する通知を受け取った。この通知は、アカウント内のリソースが侵害されていることを示している。
A. EC2インスタンスが使用する、漏洩した可能性のあるアクセスキーをローテーションする。 漏洩した可能性のある認証情報なしで、新しいAM Iを作成する。
B. 漏洩した可能性のあるアクセスキーを削除するか、無効化する。 漏洩した可能性のあるアクセスキー権限に一致するカスタムポリシーを含む、EC2 Auto Scalingにリンクされた1AMロールを作成する。 新しい1AMロールをAuto Scalingグループに関連付ける。 EC2 Auto Scalingインスタンスのリフレッシュを実行する。
C. 漏洩した可能性のあるアクセスキーを削除または無効化する。 漏洩した可能性のある認証情報を含まない新しいAMIを作成する。 正しい権限を含む1AMロールを作成する。 新しいAMIと1AMロールを参照するAuto Scalingグループの起動テンプレートを作成する。
D. 漏洩した可能性のあるアクセスキーをローテーションする。 漏洩した可能性のあるアクセスキーを含まない新しいAMIを作成する。 ユーザーデータスクリプトを使用して、新しいアクセスキーをAuto Scalingグループの起動構成の環境変数として供給する。
回答を見る
正解: C
質問 #30
ある会社は、Amazon Elastic Container Service(Amazon ECS)を使用して、機密データを扱うアプリケーションをデプロイしています。最近のセキュリティ監査で、会社は、Amazon RDS の認証情報が会社のソースコードリポジトリにアプリケーションコードと一緒に保存されているというセキュリティ上の問題を特定しました。セキュリティエンジニアは、データベースの認証情報が安全に保存され、定期的にローテーションされることを保証するソリューションを開発する必要があります。セキュリティエンジニアは、データベースの認証情報が安全に保存され、定期的にローテーションされることを保証するソリューションを開発する必要があります。
A. IAM Systems Manager Parameter Storeを使用して、データベース資格情報を生成する。ECSタスク用のIAMプロファイルを使用して、データベース資格情報へのアクセスを特定のコンテナのみに制限する。
B. IAM Secrets Managerを使用して、データベース資格情報を保存する。ECSタスクのIAMインラインポリシーを使用して、データベース資格情報へのアクセスを特定のコンテナのみに制限する。
C. IAM Systems Manager Parameter Storeを使用して、データベース資格情報を保存する。ECSタスクにIAMロールを使用して、データベース資格情報へのアクセスを特定のコンテナのみに制限する。
D. データベース資格情報を保存するには、IAM Secrets Managerを使用する。ECSタスクにIAMロールを使用して、データベース資格情報へのアクセスを特定のコンテナのみに制限する。
回答を見る
正解: D
質問 #31
ある会社の最高セキュリティ責任者が、セキュリティアナリストに各企業の IAM アカウントのセキュリ ティ体制をレビューして改善するよう要求した。セキュリティアナリストは、IAM アカウントのルートユーザのセキュリ ティを改善することでこれを実行することに決めた。(3つ選択する)
A. データベースサーバー上のアウトバウンドSG構成 アプリケーションサーバー上のインバウンドSG構成 データベースサブネット上のインバウンドおよびアウトバウンドネットワークACL構成 アプリケーションサーバーサブネット上のインバウンドおよびアウトバウンドネットワークACL構成
B. データベースサーバー上のインバウンドSG構成アプリケーションサーバー上のアウトバウンドSG構成データベースサブネット上のインバウンドおよびアウトバウンドネットワークACL構成アプリケーションサーバーサブネット上のインバウンドおよびアウトバウンドネットワークACL構成
C. Inbound and Outbound SG configuration on database servers Inbound and Outbound SG configuration on application servers Inbound network ACL configuration on database subnet Outbound network ACL configuration on application server subnet
D. Inbound SG configuration on database servers Outbound SG configuration on application servers Inbound network ACL configuration on database subnet Outbound network ACL configuration on application server subnet
回答を見る
正解: ADE
質問 #32
ある企業は、AWSアカウントに標準的なIAMロールのセットをデプロイする。IAM ロールは、社内の職能に基づいている。運用効率とセキュリティのバランスを取るために、セキュリティエンジニアは、AWS Organizations SCPを実装して、すべての会社のアカウントで重要なセキュリティサービスへのアクセスを制限しました。AWS Organizations内の会社のすべてのアカウントとOUには、デフォルトのFullAWSAccess SCPがアタッチされています。セキュリティエンジニアは、誰も Amazon GuardDuty と AWS Security Hu を無効にできないようにする必要があります。
A. オプション
B. オプション
C. オプション
D. オプションD
回答を見る
正解: A
質問 #33
あなたの会社は VPC 内に新しい中央サーバーを設置したばかりです。同じ地域の異なるVPCにサーバーを置く他のチームが中央サーバーに接続するための要件があります。この要件を達成するために、以下のオプションのうちどれが最も適していますか。
A. 中央サーバーVPCと各チームVPCの間にVPCピアリングを設定します。
B. セントラルサーバーVPCと各チームVPCの間にIAM DirectConnectを設定します。
C. 中央サーバーVPCと各チームVPCの間にIPSecトンネルを設定します。
D. 上記の選択肢はどれも機能しない。
回答を見る
正解: A
質問 #34
ある会社は、異なる IAM サービスで使用するために、別々の IAM KMS(IAM Key Management Service)キーを確立したいと考えています。この会社のセキュリティエンジニアは、インフラストラクチャ展開チームがInfrastructureDeployment IAMロールを想定して暗号化されたAmazon Elastic Block Store(Amazon EBS)ボリュームを作成できるようにするために、次のキーポリシーを作成しました。
A. シド「キーの使用を許可する」を含むステートメント・ブロックの「条件」ブロックで、StringEqualsをStringLikeに変更する。
B. ポリシー文書で、シド「IAMユーザー権限を有効にする」を含むステートメントDlockを削除する。KMSポリシーに鍵管理ポリシーを追加します。
C. Sid「Allow use of the Key」を含むステートメントブロックの「Condition」ブロックで、Kms:ViaServiceの値をec2
D. ポリシードキュメントに、セキュリティエンジニアの IAM ロールに「kms:Disable」権限を付与する新しいステートメントブロックを追加します。
回答を見る
正解: C
質問 #35
ある企業が IAM アカウントの単一 VPC 内で複数のアプリケーションをホストしている。アプリケーションは、IAM WAF の Web ACL に関連付けられた Application Load Balancer の背後で実行されている。セキュリティエンジニアは、問題のあるIPアドレスからのアクセスを拒否する必要があります。
A. IPアドレス範囲からの着信要求を拒否するために、IPセットマッチルールステートメントでIAM WAF Web ACLを修正します。
B. すべてのセキュリティグループに、IPアドレス範囲からの着信要求を拒否するルールを追加する。
C. IPアドレス範囲からの着信要求を拒否するために、レートベースのルールステートメントでIAM WAF Web ACLを修正します。
D. IAM WAFのWeb ACLを正規表現マッチ条件で構成する。マッチ条件に基づいて受信要求を拒否するパターンセットを指定します。
回答を見る
正解: A
質問 #36
Amazon GuardDutyは、ある企業のAmazon EC2インスタンスから既知のコマンド&コントロール・エンドポイントへの通信を検出しました。このインスタンスは、一般的なWebフレームワークの脆弱なバージョンを実行していることが判明しました。この企業のセキュリティ運用チームは、そのフレームワークの特定のバージョンがインストールされている他のコンピュートリソースを迅速に特定したいと考えています。
A. IAM Configに準拠していないか、すべてのEC2インスタンスをスキャンする。Amazon Athenaを使用して、フレームワークのインストールに関するIAM CloudTrailログを照会する。
B. すべてのEC2インスタンスをAmazon Inspector Network Reachabilityルールパッケージでスキャンし、RecognizedPortWithListenerが検出されたWebサーバーを実行しているインスタンスを特定する。
C. すべてのEC2インスタンスをIAM Systems Managerでスキャンし、Webフレームワークの脆弱なバージョンを特定する。
D. IAM Resource Access Managerを使用してEC2インスタンスをスキャンし、Webフレームワークの脆弱なバージョンを特定する。
回答を見る
正解: C
質問 #37
ある企業が IAM アカウントの単一 VPC 内で複数のアプリケーションをホストしている。アプリケーションは、IAM WAF の Web ACL に関連付けられた Application Load Balancer の背後で実行されている。セキュリティエンジニアは、問題のあるIPアドレスからのアクセスを拒否する必要があります。
A. IPアドレス範囲からの着信要求を拒否するために、IPセットマッチルールステートメントでIAM WAF Web ACLを修正します。
B. すべてのセキュリティグループに、IPアドレス範囲からの着信要求を拒否するルールを追加する。
C. IPアドレス範囲からの着信要求を拒否するために、レートベースのルールステートメントでIAM WAF Web ACLを修正します。
D. IAM WAFのWeb ACLを正規表現マッチ条件で構成する。マッチ条件に基づいて受信要求を拒否するパターンセットを指定します。
回答を見る
正解: A
質問 #38
ある会社は、AWS Key Management Service (AWS KMS)の顧客管理鍵を持っており、インポートされた鍵材料を持っています。会社のポリシーでは、すべての暗号化鍵は1年ごとにローテーションされることになっています。この顧客管理鍵の要件を満たすために、セキュリティエンジニアは何をすべきでしょうか。
A. 既存のカスタマーマネージドキーの自動ローテーションを毎年有効にする。
B. AWS CLIを使用してAWS Lambda関数を作成し、既存の顧客管理キーを毎年ローテーションする。
C. 既存の顧客管理鍵に新しい鍵素材をインポートする。
D. 新しい顧客管理鍵を作成する。 新しい鍵に新しい鍵資料をインポートする。 新しい鍵に鍵エイリアスを指定する。
回答を見る
正解: A
質問 #39
あなたの開発チームは、S3とDynamoDBにアクセスできるアプリケーションを開発するためにアクセスキーを使用しています。新しいセキュリティポリシーでは、認証情報は2ヶ月以上前のものであってはならず、ローテーションされるべきであるという概要が示されています。どのようにこれを達成できますか?
A. アプリケーションを使用して、SDK経由で2ヶ月ごとにキーを回転させる。
B. スクリプトを使用して、キーの作成日を照会する。2カ月より古い場合は、新しいアクセスキーを作成し、それを使用するようにすべてのアプリケーションを更新する。
C. 2カ月ごとに、鍵に関連付けられたユーザーを削除する。その後、ユーザーを再作成する。
D. 2カ月ごとに、キーに関連付けられたIAM Roleを削除する。その後、IAM Roleを再作成する。
回答を見る
正解: B
質問 #40
ある会社の開発者が、SSHキーを使って複数のAmazon EC2インスタンスにアクセスしている。同社は、そのSSHキーがGitHubの公開リポジトリに投稿されていることを発見した。セキュリティエンジニアは、その鍵が最近使用されていないことを確認する。セキュリティエンジニアは、EC2インスタンスへの不正アクセスをどのように防ぐべきか。
A. EC2コンソールからキーペアを削除する。新しいキーペアを作成する。
B. ModifylnstanceAttribute APIオペレーションを使用して、キーを使用しているEC2インスタンスのキーを変更する。
C. セキュリティグループ内のSSHアクセスを、既知の企業IPアドレスのみに制限する。
D. EC2インスタンスの起動に使用するAMIのキーペアを更新する。EC2インスタンスを再起動する。
回答を見る
正解: C
質問 #41
ある企業がAmazon EC2上でアプリケーションをホストしている。ある規則では、ワークロードへのトラフィックとワークロードからのトラフィックを、ネットワークレベルの攻撃について検査しなければならないとしている。この規制ルールに準拠するために、セキュリティエンジニアは侵入検知ソフトウェアをc5n.4xlarge EC2インスタンスにインストールしなければならない。この規制規則に準拠するには、セキュリティエンジニアが侵入検知ソフトウェアをc5n.4xのEC2インスタンスにインストールし、アプリケーションインスタンスへのトラフィックとアプリケーションインスタンスからのトラフィックを監視するようにソフトウェアを構成しなければならない。
A. ネットワークインタフェースをプロミスキャスモードにして、トラフィックをキャプチャします。
B. ネットワークロードバランサーを使用して、監視EC2インスタンスにトラフィックを送信するようにVPC Flow Logsを構成する。
C. ネットワークロードバランサーを使用して、監視EC2インスタンスにトラフィックを送信するようにVPCトラフィックミラーリングを構成する。
D. Amazon Inspectorを使用してネットワークレベルの攻撃を検出し、IAM Lambda関数をトリガーして疑わしいパケットをEC2インスタンスに送信する。
回答を見る
正解: D
質問 #42
あなたはIAMリソースを利用する会社に勤めている。主要なセキュリティポリシーの1つは、すべてのデータが、静止時と転送時の両方で暗号化されることを保証することです。
A. S3 SSEを使用し、転送中のデータにはSSLを使用する。
B. ELBでのSSL終端
C. プロキシプロトコルを有効にする
D. ロードバランサーでスティッキーセッションを有効にする。
回答を見る
正解: A
質問 #43
ある企業が、us-east-1リージョンにAmazon Elastic Block Store(Amazon EBS)ボリュームを持つAmazon EC2インスタンスを立ち上げました。ボリュームは、企業のセキュリティチームが作成したAWS Key Management Service(AWS KMS)顧客管理キーで暗号化されています。
A. 組織でAWS System Managerの信頼されたアクセスを構成する 管理アカウントからBastionホストを構成する 管理アカウントからSystems Manager Session Managerを使用してSSHとRDPを置き換える Amazon CloudWatch LogsにSession Managerのログを構成する。
B. SSHとRDPをAWS Systems Manager Session Managerに置き換える インスタンスにSystems Manager Agent (SSM Agent)をインストールする。
C. AmazonSSMManagedlnstanceCore ロールをインスタンスに設定する Amazon CloudWatch Logs へのセッションデータストリーミングを設定する ログデータを監査するために、適切なクロスアカウント権限を持つ別のログアカウントを作成する。
D. 管理アカウントにBastionホストをインストールする すべてのSSHとRDPを再設定して、Bastionホストからのみアクセスできるようにする AWS Systems Manager Agent (SSM Agent)をBastionホストにインストールする AmazonSSMManagedlnstanceCoreロールをBastionホストにアタッチする Amazon CloudWatch Logsへのセッションデータストリーミングを別のロギングアカウントで設定し、ログデータを監査する。
回答を見る
正解: CD
質問 #44
あなたの会社はIAMを使用してリソースをホストしている。1) すべてのAPIコールとトランジションを記録する。2) アカウントにどのようなリソースがあるかを理解するのに役立つ。3) 認証情報とログインを監査できるようにする機能 上記の要件を満たすサービスはどれか。
A. IAM Inspector、CloudTrail、IAM Credential Reports。
B. CloudTrail。IAMクレデンシャルレポート、IAM SNS
C. CloudTrail、IAM Config、IAM Credential Reports。
D. IAM SQS、IAM クレデンシャルレポート、CloudTrail。
回答を見る
正解: C
質問 #45
アプリケーションチームは、Amazon S3で使用するための新しいIAM KMSマスターキーを要求しましたが、組織のセキュリティポリシーは、爆発半径を制限するために、異なるIAMサービスに別々のマスターキーを要求しています。
A. CMKキーポリシーを設定し、Amazon S3サービスのみがkms Encryptアクションを使用できるようにします。
B. kmsのViaService条件がAmazon S3のサービス名と一致する場合にのみ、IAM KMSアクションを許可するようにCMKキーポリシーを設定する。
C. Configure IAM user's policy lo allow KMS to pass a rote lo Amazon S3
D. CMKと組み合わせてAmazon S3の操作のみを許可するように、IAMユーザーのポリシーを設定する。
回答を見る
正解: B
質問 #46
ある企業が、マルチアカウント認証と認可のためのスケーラブルなソリューショ ンを実装するために、セキュリティ・エンジニアを必要としている。このソリューションは、ユーザが管理するアーキテクチャコンポーネントを追加すべきでない。セキュリティエンジニアは、すべての機能が有効化され、IAM SSO が有効化された IAM 組織をセットアップした。
A. AD Connectorを使用して、IAMアカウントへのアクセスが必要なすべての従業員のユーザーとグループを作成する。AD ConnectorグループをIAMアカウントに割り当て、従業員の職務とアクセス要件に従ってIAMロールにリンクする。 IAM Directory Serviceユーザーポータルを使用してIAMアカウントにアクセスするように従業員に指示する。
B. IAM SSOデフォルトディレクトリを使用して、IAMアカウントへのアクセスが必要なすべての従業員のユーザーとグループを作成する。グループをIAMアカウントに割り当て、従業員の職務とアクセス要件に従って権限セットにリンクする。IAM SSOユーザーポータルを使用してIAMアカウントにアクセスするように従業員に指示する。
C. IAM SSOデフォルト・ディレクトリを使用して、IAMアカウントへのアクセスを必要とするすべての従業員のユーザーとグループを作成する。すべてのアカウントに存在するIAMユーザーにIAM SSOグループをリンクして、既存の権限を継承する。IAM SSOユーザーポータルを使用してIAMアカウントにアクセスするように従業員に指示する。
D. IAMディレクトリサービスtor Microsoft Active Directoryを使用して、IAMアカウントへのアクセスが必要な全従業員のユーザーとグループを作成する 作成したディレクトリでIAM管理コンソールアクセスを有効にし、統合アカウントと権限セットの情報源としてIAM SSOを指定する。IAM Directory Serviceのユーザーポータルを使用してIAMアカウントにアクセスするように従業員に指示する。
回答を見る
正解: B
質問 #47
ヘルスケア企業の監査役は、すべてのデータボリュームを静止時に暗号化することを義務付けています。インフラストラクチャは主にIAM CloudFormationを介して導入されていますが、一部のレガシーシステムではサードパーティのフレームワークと手動での導入が必要です。すべてのEBSボリュームが暗号化されているかどうかを定期的に監視する最善の方法は何でしょうか?
A. CloudTrailコンソールで公開されたアクセスキーのイベント履歴にフィルタをかける 過去11日間のデータを調べる。
B. Use IAM CLI lo generate an IAM credential report 過去11日間のすべてのデータを抽出する。
C. Amazon Athenaを使用して、Amazon S3からCloudTrailログをクエリする 過去11日間に公開されたアクセスキーの行を取り出す
D. IAMコンソールのAccess Advisorタブを使用して、過去11日間のすべてのアクセスキーのアクティビティを表示します。
回答を見る
正解: B
質問 #48
ある大企業がマルチアカウント戦略を策定しており、従業員がIAMインフラストラクチャにアクセスする方法を決定する必要がある。
A. 各IAMアカウント内に専用のIAMユーザーを作成し、既存のIDプロバイダーのグループメンバーシップに基づいて、従業員がフェデレーションを通じて想定できるようにする。
B. 既存の ID プロバイダとのフェデレーションによって従業員が引き受けることができる IAM ロールを持つ集中型アカウントを使用する。 クロスアカウントロールを使用して、フェデレーションされたユーザがリソースアカウントで目的のロールを引き受けることができるようにする。
C. ユーザーが既存の企業ユーザー名とパスワードを使用してIAMリソースに直接アクセスできるように、Kerberosトークンを使用するようにIAM Security Token Serviceを構成する。
D. 各アカウントのロール内の IAM 信頼ポリシーを構成して、企業の既存の ID プロバイダへのトラストを設定し、ユーザが SAML トークンに基づいてロールを引き受けることができるようにする。
回答を見る
正解: B
質問 #49
ある会社には2つのチームがあり、各チームはそれぞれのAmazon S3バケットにアクセスする必要があります。会社がこれらのチームを追加すると、チームメンバーは複数のチームに割り当てられる機能が必要になります。チームメンバーはまた、チームを変更する能力も必要になる。IAM管理者は、これらの目標を達成するためのソリューションを設計しなければならない。IAM管理者は、これらの目標を達成するためのソリューションを設計しなければならない。
A. チームを代表するグループにユーザーを追加します。各チームにそれぞれのS3バケットにのみアクセスできるポリシーを作成する。ポリシーを対応するグループにアタッチする。
B. チームごとにIAMロールを作成します。各チームに、それぞれのS3バケットにのみアクセスできるポリシーを作成する。ポリシーを対応するロールにアタッチする。
C. チームのアクセスタグ値でラベル付けされたIAMロールを作成します。同じタグを持つS3バケットへの動的アクセスを許可するポリシーを1つ作成する。ポリシーをIAMロールにアタッチする。それに応じてS3バケットにタグを付けます。
D. 役割ベースのアクセス制御(RBAC)認可モデルを実装する。対応するポリシーを作成し、IAMユーザーにアタッチする。
回答を見る
正解: A
質問 #50
ある組織では、数ペタバイトのワークロードをAmazon S3に移行しているが、CISOは暗号の磨耗と鍵が漏洩した場合の爆発半径を懸念している。CISOは、IAM KMSとAmazon S3が懸念に対処していることをどのように確認できますか?(2つ選択)
A. Amazon Certification Managerによって管理される証明書を使用するHTTPSリスナー。
B. 完全な前方秘匿暗号スイートのみを許可するカスタムセキュリティポリシーを使用するHTTPSリスナー。
C. 最新のIAM定義済みELBSecuntyPolicy-TLS-1 -2-2017-01セキュリティポリシーを使用するHTTPSリスナー。
D. 完全な前方秘匿暗号スイートのみを許可するカスタムセキュリティポリシーを使用するTCPリスナー。
回答を見る
正解: CE
質問 #51
ある会社には、AWS OrganizationsにSCPを持つ組織がある。この会社の開発者は、ses.* アクションを許可することで Amazon Simple Email Service (Amazon SES) へのアクセスを許可する IAM ポリシーを持つグループのメンバーです。このアカウントは、Amazon SESを許可するSCPを持つOUの子です。開発者がAWSマネジメントコンソールからAmazon SESにアクセスしようとすると、not-authorizedエラーが表示されます。
A. グループの各メンバーがAmazon SESにアクセスできるようにするリソースポリシーを追加します。
B. 「Principal」を許可するリソースポリシーを追加します。{'AWS'
C. AmazonSESへのアクセスを制限しているAWSコントロールタワーのコントロール(ガードレール)を外します。
D. ルートSCPからAmazon SESを削除します。
回答を見る
正解: D
質問 #52
あるインシデント対応チームが、Amazon EC2インスタンスが起動される原因となったIAMアクセスキーの漏えいを調査している。情報セキュリティ部長は、今後同じようなインシデントが発生したときに警告を発する新しい管理策を導入したいと考えている。{2つ選びなさい)。
A. S3バケットポリシーは、セキュリティエンジニアがバケット内のオブジェクトにアクセスすることを明示的に許可していません。
B. 集中管理アカウント内のユーザーがオブジェクトにアクセスできるように、オブジェクトACLが更新されていない。
C. セキュリティエンジニアのIAMポリシーは、S3バケット内のオブジェクトの読み取り権限を付与していません。
D. s3:PutObjectとs3:PutObjectAclパーミッションは、S3バケットレベルで適用されるべきです。
回答を見る
正解: AE
質問 #53
セキュリティエンジニアが、ある会社のカスタムロギングアプリケーションの問題をトラブルシューティングしています。アプリケーションのログは、Amazon S3 バケットに書き込まれ、Amazon SNS トピックにイベントを送信するためのイベント通知が有効になっています。すべてのログは、IAM KMS CMK を使用して暗号化されています。SNSトピックは暗号化されたAmazon SQSキューにサブスクライブされる。ロギングアプリケーションは、S3オブジェクトに関するメタデータを含む新しいメッセージについてキューをポーリングする。次に、アプリケーションは、S3バケットからオブジェクトのコンテンツを読み取ります。
A. IAM管理CMKに以下の記述を追加します:
B. CMKキーポリシーに以下の記述を追加する:
C. CMKキーポリシーに以下の記述を追加する:
D. CMKキーポリシーに以下の記述を追加する:
回答を見る
正解: D
質問 #54
ある会社では、Amazon EC2インスタンスとAmazon EMRクラスタ上の単一のIAMアカウントでワークロードを実行している。最近のセキュリティ監査で、複数のAmazon Elastic Block Store(Amazon EBS)ボリュームとスナップショットが暗号化されていないことが明らかになった。この会社のセキュリティエンジニアは、すべての新しいEBSボリュームとEBSスナップショットが静止時に暗号化されることを保証しながら、ユーザーがEC2インスタンスとEMRクラスタをデプロイできるようにするソリューションに取り組んでいる。このソリューションは、運用上のオーバーヘッドも最小限に抑える必要があります。
A. Amazon Event Bridge (Amazon Cloud watch Events)イベントを、EC2インスタンスをソースとして、create volumeをイベントトリガーとして作成します。イベントがトリガーされると、IAM Lambda関数を呼び出して、作成されたEBSボリュームが暗号化されていない場合に評価し、セキュリティエンジニアに通知します。
B. 顧客が管理するIAMポリシーを使用して、Createvolumeコンテキストの暗号化フラグがtrueに設定されていることを確認します。このルールをすべてのユーザーに適用する。
C. IAM Configルールを作成し、作成または変更時に各EC2インスタンスの構成を評価する。IAM ConfigルールがIAM Lambdafunctionをトリガーして、セキュリティチームに警告を発し、EBSボリュームが暗号化されていない場合はインスタンスを終了させる。5
D. IAM管理コンソールまたはIAM CLiを使用して、企業が事業展開している各IAMリージョンで、EBSボリュームの暗号化をデフォルトで有効にします。
回答を見る
正解: D
質問 #55
ある企業のオンプレミスネットワークは、IAM Direct Connectゲートウェイを使用してVPCに接続されている。会社のオンプレミスアプリケーションは、既存のAmazon Kinesis Data Firehose配信ストリームを使用してデータをストリーミングする必要があります。会社のセキュリティポリシーでは、プライベートネットワークを使用してデータを暗号化して転送する必要があります。
A. VPCエンドポイントtor Kinesis Data Firehoseを作成します。アプリケーションをVPCエンドポイントに接続するように設定します。
B. IAMポリシーを構成して、ソースIP条件を使用してKinesis Data Firehoseへのアクセスを制限する。 B
C. IAM Certificate Manager(ACM)で新しいTLS証明書を作成する。パブリック向けのネットワークロードバランサー(NLB)を作成し、新しく作成したTLS証明書を選択します。すべてのトラフィックをKinesis Data Firehoseに転送するようにNLBを構成する。アプリケーションがNLBに接続するように構成する。
D. Direct Connectを使用してオンプレミスネットワークとKinesis Data Firehose VPCをピアリングする。既存のFirehose配信ストリームに接続するようにアプリケーションを構成する。
回答を見る
正解: A
質問 #56
ある会社は、顧客が管理するCMKで暗号化された複数のAmazon S3バケットを持っています。会社のセキュリティエンジニアは、CMKの自動キーローテーションを有効にしていますが、会社はローテーションが行われたことを確認したいと考えています。
A. IAM CloudTrailログをKeyRotatonイベント用にフィルタする。
B. Amazon CloudWatcn EventsでIAM KMS CMKローテーションイベントを監視する。
C. IAM CLI を使用して、--key-id パラメータを指定して IAM kms gel-key-relation-status 操作を実行し、CMK 回転日を確認します。
D. Amazon Athenaを使用して、S3バケットに保存されたIAM CloudTrailログをクエリし、Generate New Keyイベントをフィルタリングする。
回答を見る
正解: C
質問 #57
ある会社は、本番環境、開発環境、テスト環境のために、3つの別々のIAMアカウントを管理しています。各開発者には、開発アカウントの下に、固有のIAMユーザーが割り当てられています。開発者アカウントのAmazon EC2インスタンスでホストされている新しいアプリケーションは、本番用アカウントのAmazon S3バケットに保存されているアーカイブされたドキュメントへの読み取りアクセスを必要とします。
A. 本番用アカウントにIAMロールを作成し、開発用アカウントのEC2インスタンスが信頼ポリシーを使用してそのロールを引き受けることを許可する。このロールに、必要なS3バケットの読み取りアクセスを提供する。
B. カスタムIDブローカーを使用して、開発者IAMユーザーがS3バケットに一時的にアクセスできるようにする。
C. 本番アカウントで使用するアプリケーション用の一時的なIAMユーザを作成する。
D. 本番用アカウントで一時的なIAMユーザーを作成し、Amazon S3への読み取りアクセスを提供する。一時的なIAMユーザーのアクセスキーとシークレットキーを生成し、開発用アカウントでアプリケーションが使用するEC2インスタンスに保存する。
回答を見る
正解: A
質問 #58
ある会社は、本番環境、開発環境、テスト環境のために、3つの別々のIAMアカウントを管理しています。各開発者には、開発アカウントの下に、固有のIAMユーザーが割り当てられています。開発者アカウントのAmazon EC2インスタンスでホストされている新しいアプリケーションは、本番用アカウントのAmazon S3バケットに保存されているアーカイブされたドキュメントへの読み取りアクセスを必要とします。
A. 本番用アカウントにIAMロールを作成し、開発用アカウントのEC2インスタンスが信頼ポリシーを使用してそのロールを引き受けることを許可する。このロールに、必要なS3バケットの読み取りアクセスを提供する。
B. カスタムIDブローカーを使用して、開発者IAMユーザーがS3バケットに一時的にアクセスできるようにする。
C. 本番アカウントで使用するアプリケーション用の一時的なIAMユーザを作成する。
D. 本番用アカウントで一時的なIAMユーザーを作成し、Amazon S3への読み取りアクセスを提供する。一時的なIAMユーザーのアクセスキーとシークレットキーを生成し、開発用アカウントでアプリケーションが使用するEC2インスタンスに保存する。
回答を見る
正解: A
質問 #59
Example.comは、アプリケーション・ロード・バランサー(ALB)の背後にあるAmazon EC2インスタンスでホストされている。EC2インスタンスのトラフィックをキャプチャするサードパーティのホスト侵入検知システム(HIDS)エージェントは、各ホスト上で実行されている。同社は、サードパーティのソリューションが提供する保証を失うことなく、ユーザーのプライバシーを強化する技術を確実に使用しなければならない。
A. ALBでTLSパススルーを有効にし、サーバーで楕円曲線ディフィー・ヘルマン(ECDHE)暗号スイートを使って復号化を処理する。
B. 楕円曲線ディフィー・ヘルマン(ECDHE)暗号スイートで暗号化された接続を使用するリスナーをALB上に作成し、サーバーに平文でトラフィックを渡す。
C. 楕円曲線ディフィー・ヘルマン(ECDHE)暗号スイートによる暗号化接続を使用するリスナーをALB上に作成し、完全前方秘匿(PFS)を有効にしないサーバーへの暗号化接続を使用する。
D. PFS(Perfect Forward Secrecy)暗号スイートを有効にしないリスナーをALB上に作成し、ECDHE(Elliptic Curve Diffie-Hellman)暗号スイートを使用してサーバーへの暗号化接続を使用する。
回答を見る
正解: D
質問 #60
ある会社が、複数のAmazon EC2インスタンスでホストされる、耐障害性の高いアプリケーションを開発している。このアプリケーションは、Amazon RDSのテーブルに非常に機密性の高いユーザーデータを保存する。アプリケーションの災害復旧計画に、別のIAMリージョンへの移行を含める。
A. CloudHSMによって生成される鍵管理イベント・ロギングは、IAM KMSよりもかなり広範囲に及ぶ。
B. CloudHSMは、会社のサポート担当者だけが暗号鍵を管理できるようにするのに対し、IAM KMSはIAM担当者が鍵を管理できるようにする。
C. CloudHSMによって生成された暗号文は、IAM KMSによって生成された暗号文よりもブルートフォース復号攻撃に対してより強固な保護を提供する。
D. CloudHSMは異なるリージョンに鍵をコピーする機能を提供するが、IAM KMSにはない。
回答を見る
正解: B
質問 #61
セキュリティエンジニアは、IAM CloudTrail と Amazon CloudWatch の統合を構成しました。この要件を満たすために、セキュリティエンジニアは次に何をすべきですか?
A. インバウンドルール100を使用して、TCPポート443のトラフィックを許可する インバウンドルール200を使用して、TCPポート3306のトラフィックを拒否する アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可する
B. 受信ルール100を使用して、TCPポート3306のトラフィックを拒否します。インバウンドルール200を使用して、TCPポート範囲1024~65535のトラフィックを許可します。アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可する。
C. インバウンドルール100を使用して、TCPポート範囲1024~65535のトラフィックを許可する インバウンドルール200を使用して、TCPポート3306のトラフィックを拒否する アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可する
D. インバウンドルール100を使用して、TCPポート3306のトラフィックを拒否する インバウンドルール200を使用して、TCPポート443のトラフィックを許可する アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可する
回答を見る
正解: A
質問 #62
ある企業がAmazon API Gatewayを使ってREST APIをユーザーに提供しています。API開発者は、ログファイルを解析することなくAPIアクセスパターンを分析したいと考えています。これらの要件を最も少ない労力で満たす手順の組み合わせはどれですか?(2つ選択)
A. AWSアカウントのS3ブロックパブリックアクセス機能を設定します。
B. バケット内のすべてのオブジェクトに対して、S3ブロックのパブリックアクセス機能を設定する。
C. バケツ内のオブジェクトのACLを無効にする。
D. AWS PrivateLink for Amazon S3を使用してバケットにアクセスします。
回答を見る
正解: CD
質問 #63
ある企業が、us-east-1リージョンにAmazon Elastic Block Store(Amazon EBS)ボリュームを持つAmazon EC2インスタンスを立ち上げました。ボリュームは、企業のセキュリティチームが作成したAWS Key Management Service(AWS KMS)顧客管理キーで暗号化されています。
A. 組織でAWS System Managerの信頼されたアクセスを構成する 管理アカウントからBastionホストを構成する 管理アカウントからSystems Manager Session Managerを使用してSSHとRDPを置き換える Amazon CloudWatch LogsにSession Managerのログを構成する。
B. SSHとRDPをAWS Systems Manager Session Managerに置き換える インスタンスにSystems Manager Agent (SSM Agent)をインストールする。
C. AmazonSSMManagedlnstanceCore ロールをインスタンスに設定する Amazon CloudWatch Logs へのセッションデータストリーミングを設定する ログデータを監査するために、適切なクロスアカウント権限を持つ別のログアカウントを作成する。
D. 管理アカウントにBastionホストをインストールする すべてのSSHとRDPを再設定して、Bastionホストからのみアクセスできるようにする AWS Systems Manager Agent (SSM Agent)をBastionホストにインストールする AmazonSSMManagedlnstanceCoreロールをBastionホストにアタッチする Amazon CloudWatch Logsへのセッションデータストリーミングを別のロギングアカウントで設定し、ログデータを監査する。
回答を見る
正解: CD
質問 #64
あなたはIAMリソースを利用する会社に勤めている。主要なセキュリティポリシーの1つは、すべてのデータが、静止時と転送時の両方で暗号化されることを保証することです。
A. S3 SSEを使用し、転送中のデータにはSSLを使用する。
B. ELBでのSSL終端
C. プロキシプロトコルを有効にする
D. ロードバランサーでスティッキーセッションを有効にする。
回答を見る
正解: A
質問 #65
ある組織では、数ペタバイトのワークロードをAmazon S3に移行しているが、CISOは暗号の磨耗と鍵が漏洩した場合の爆発半径を懸念している。CISOは、IAM KMSとAmazon S3が懸念に対処していることをどのように確認できますか?(2つ選択)
A. Amazon Certification Managerによって管理される証明書を使用するHTTPSリスナー。
B. 完全な前方秘匿暗号スイートのみを許可するカスタムセキュリティポリシーを使用するHTTPSリスナー。
C. 最新のIAM定義済みELBSecuntyPolicy-TLS-1 -2-2017-01セキュリティポリシーを使用するHTTPSリスナー。
D. 完全な前方秘匿暗号スイートのみを許可するカスタムセキュリティポリシーを使用するTCPリスナー。
回答を見る
正解: CE
質問 #66
ある会社のクラウド運用チームは、IAM のクロスアカウントアクセスに関する効果的なセキュリ ティを構築する責任を負っている。チームはセキュリティエンジニアに、開発者グループの開発者アカウント(123456789012)の一部の開発者が、Amazon S3バケット(productionapp)の内容を読み取るために、本番アカウント(999999999999)にクロスアカウントの役割(ReadS3)を引き受けることができない理由のトラブルシューティングを支援するよう依頼します。2つのアカウントポリシーは次のとおりです。
A. IAM Control Tower を使用します。デフォルトのアカウントファクトリーネットワーキングテンプレートを変更し、新しいアカウントを VPC ピアリング接続を介して中央管理 VPC に自動的に関連付け、デフォルトのルートテーブルに VPC ピアへのデフォルトルートを作成します。CreatelnternetGateway アクションを拒否する SCP を作成します。セキュリティ検査アカウント以外のすべてのアカウントに SCP をアタッチします。
B. セキュリティ検査アカウントで集中管理VPCを作成する。セキュリティ検査アカウントと他のアカウント間でVPCピアリング接続を確立する。アカウントのルートテーブルに、VPCピアを指すデフォルトルートを作成するよう、アカウントの所有者に指示します。Attach InternetGatewayアクションを拒否するSCPを作成します。セキュリティ検査アカウント以外のすべてのアカウントに SCP をアタッチします。
C. IAMコントロールタワーを使用します。デフォルトのアカウントファクトリーネットワーキングテンプレートを変更し、新しいアカウ ントを集中管理されたトランジットゲートウェイに自動的に関連付け、トランジットゲートウェイ へのデフォルトルートをデフォルトルートテーブルに作成します。AttachlnternetGateway アクションを拒否する SCP を作成します。セキュリティ検査アカウント以外のすべてのアカウントにSCPをアタッチします。
D. IAM組織のIAM Resource Access Manager(IAM RAM)を有効にする。共有トランジット・ゲートウェイを作成し、IAM RAMリソース共有を使用して利用可能にします。CreatelnternetGatewayアクションを拒否するSCPを作成します。すべてのアカウントのルートテーブルに、共有トランジットゲートウェイを指すルートを作成します。
回答を見る
正解: AD
質問 #67
CTOは、IAMアカウントがハッキングされたと考えています。ハッカーが非常に洗練されたIAMエンジニアで、痕跡を消すために全力を尽くしていると仮定して、不正アクセスがあったかどうか、彼らが何をしたかを確実に知る唯一の方法は何でしょうか?
A. CloudTrailログファイルの整合性検証を使用します。
B. IAM構成SNSサブスクリプションを使用し、リアルタイムでイベントを処理する。
C. IAMのS3とGlacierにバックアップされたCloudTrailを使用する。
D. IAM Config Timelineフォレンジックを使用する。
回答を見る
正解: A
質問 #68
ある企業は、Amazon EC2上のDockerで実行されている数百のアプリケーションのためのフォレンジックロギングソリューションを必要としています。このソリューションは、メッセージの再生をサポートし、ログを永続化する必要があり、トグのリアルタイム分析を実行する必要があります。(2つ選択)
A. 定期的に、EC2インスタンスが暗号化されたボリュームで作成されることを要求するように、IAMユーザーポリシーを更新します。
B. 定期的に実行するIAM構成ルールを設定します。
C. Amazon Inspectorのルールを設定し、定期的なスケジュールでボリュームの暗号化を実行します。
D. CloudWatchログを使用して、インスタンスが暗号化されたボリュームで作成されたかどうかを判断します。
回答を見る
正解: BD
質問 #69
あるセキュリティエンジニアが、example.com という名前の新しい Web サイトを構成しています。セキュリティエンジニアは、ユーザーがHTTPSを介してexample.comに接続することを要求することによって、Webサイトとの通信を保護したいと考えています。SSL/TLS証明書を格納するための有効なオプションは次のうちどれですか?
A. AWS鍵管理サービス(AWS KMS)に格納されているカスタムSSL証明書
B. AmazonCloudFrontに保存されているデフォルトのSSL証明書
C. AWS証明書マネージャ(ACM)に格納されているカスタムSSL証明書
D. アマゾンS3に保存されているデフォルトのSSL証明書
回答を見る
正解: C
質問 #70
ポリシーを作成し、個々のユーザーだけに適用する必要があります。これを正しい方法で実現するにはどうすればよいでしょうか。
A. ユーザーにIAM管理ポリシーを追加します。
B. ユーザーのサービスポリシーを追加します。
C. ユーザーにIAMロールを追加する。
D. ユーザーにインラインポリシーを追加します。
回答を見る
正解: D
質問 #71
セキュリティエンジニアは、IAM CloudTrail と Amazon CloudWatch の統合を構成しました。この要件を満たすために、セキュリティエンジニアは次に何をすべきですか?
A. インバウンドルール100を使用して、TCPポート443のトラフィックを許可する インバウンドルール200を使用して、TCPポート3306のトラフィックを拒否する アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可する
B. 受信ルール100を使用して、TCPポート3306のトラフィックを拒否します。インバウンドルール200を使用して、TCPポート範囲1024~65535のトラフィックを許可します。アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可する。
C. インバウンドルール100を使用して、TCPポート範囲1024~65535のトラフィックを許可する インバウンドルール200を使用して、TCPポート3306のトラフィックを拒否する アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可する
D. インバウンドルール100を使用して、TCPポート3306のトラフィックを拒否する インバウンドルール200を使用して、TCPポート443のトラフィックを許可する アウトバウンドルール100を使用して、TCPポート443のトラフィックを許可する
回答を見る
正解: A
質問 #72
あるセキュリティエンジニアは、企業のAmazon EC2インスタンスで発生する可能性のあるセキュリティイベントを調査し、対応するプロセスを開発する必要がある。EC2インスタンスはすべて、Amazon Elastic Block Store(Amazon EBS)でバックアップされている。セキュリティエンジニアが開発するプロセスは、AWSセキュリティのベストプラクティスに準拠し、次の要件を満たす必要があります。
A. 侵害されたEC2インスタンスの関連するメタデータを収集する。終了保護を有効にする。インスタンスのセキュリティグループを更新してアクセスを制限することで、インスタンスを隔離する。インスタンスがメンバーであるAuto Scalingグループからインスタンスを切り離す。インスタンスをElastic Load Balancing (ELB)リソースから登録解除する。
B. 侵害されたEC2インスタンスの関連するメタデータを収集する。終端保護を有効にする。すべての送信元と宛先のトラフィックを拒否する隔離サブネットにインスタンスを移動する。インスタンスをサブネットに関連付け、アクセスを制限する。インスタンスがメンバーであるAuto Scalingグループからインスタンスを切り離す。インスタンスをElastic Load Balancing (ELB)リソースから登録解除します。
C. システムマネージャの実行コマンドを使用して、揮発性データを収集するスクリプトを呼び出します。
D. 侵害されたEC2インスタンスにLinux SSHまたはWindowsリモートデスクトッププロトコル(RDP)セッションを確立し、揮発性データを収集するスクリプトを起動する。
E. 追跡調査のために、侵害されたEC2インスタンスのEBSボリュームのスナップショットを作成する。関連するメタデータとインシデントチケット情報をインスタンスにタグ付けする。
F. 侵害されたEC2インスタンスのEBSボリュームスナップショットを生成するために、Systems Manager State Managerアソシエーションを作成する。関連するメタデータとインシデントチケット情報をインスタンスにタグ付けする。
回答を見る
正解: BCE
質問 #73
ある開発チームが、単純な陳腐化したウェブアプリケーションをテストするために実験的な環境を構築しました。プライベートサブネットとパブリックサブネットで隔離されたVPCを構築しました。パブリックサブネットにはアプリケーションロードバランサーとNATゲートウェイとインターネットゲートウェイしかない。プライベートサブネットには、Amazon EC2インスタンスのすべてを収容している。3つの異なるタイプのサーバーがあり、それぞれのサーバータイプには、必要な接続性だけにアクセスを制限する独自のセキュリティグループがある。セキュリティ・グループには、インバウンドとアウトバウンドの両方のルールがある。
A. Amazonデフォルトキーで暗号化されたAmazon EBSボリュームを使用する(IAM EBS)
B. 顧客提供鍵によるサーバー側暗号化(SSE-C)を使用する。
C. IAM KMS管理鍵(SSE-KMS)によるサーバー側暗号化を使用する。
D. Amazon S3マネージドキー(SSE-S3)によるサーバーサイド暗号化を使用する。
回答を見る
正解: CEF
質問 #74
ある企業が複数の企業の買収を準備している。セキュリティエンジニアは、新しく取得したIAMアカウントが企業のセキュリティベストプラクティスに従うことを保証するソリューションを設計しなければなりません。このソリューションは、各Amazon S3バケットへの無制限のパブリック書き込みアクセスを監視し、IAMマネージドサービスを使用する必要があります。
A. すべてのS3バケットの設定を継続的にチェックするようにAmazon Macieを設定する。
B. IAM Configを有効にして、各S3バケットの設定を確認する。
C. IAM Systems Managerを設定して、公開書き込みアクセスのS3バケットポリシーを監視します。
D. Amazon EC2インスタンスにIAMロールを設定し、すべてのS3バケットのステータスをチェックするcronジョブを設定します。
回答を見る
正解: C
質問 #75
ある企業がAmazon CloudForntを使ってウェブサイトを運営している。CloudFrontは一部のコンテンツをAmazon S3から、その他のコンテンツをアプリケーションの後ろでEC2インスタンスを実行しているウェブサーバからサーバする。ロードバランサー(ALB)。Amazon DynamoDBがデータストアとして使用されている。同社はすでにIAM Certificate Manager (ACM)を使用して、ウェブサイトのユーザーとCloudFront間の接続をオプションでセキュアにできるパブリックTLS証明書を保存している。この会社には、トランジットでエンドツーエンドの暗号化を強制する新しい要件があります。
A. オリジンカスタムヘッダを追加する ビューアプロトコルポリシーをHTTPとHTTPSに設定する オリジンプロトコルのポッキーをHTTPSのみに設定する CloudFrontカスタムヘッダを検証するためにアプリケーションを更新する。
B. Add an origin custom header Set the viewer protocol policy to HTTPS only Set the origin protocol policy to match viewer CloudFrontカスタムヘッダを検証するためにアプリケーションを更新する。
C. オリジンカスタムヘッダを追加する HTTPをHTTPSにリダイレクトするようにビューアプロトコルポリシーを設定する HTTPのみにオリジンプロトコルポリシーを設定する CloudFrontカスタムヘッダを検証するようにアプリケーションを更新する。
D. Add an origin custom header HTTPをHTTPSにリダイレクトするようにビューアプロトコルポリシーを設定する。オリジンのプロトコルポリシーをHTTPSのみに設定する CloudFrontカスタムヘッダを検証するアプリケーションを更新する。
回答を見る
正解: BCE
質問 #76
ある企業が複数年分の財務記録を保存する必要がある。同社は、これらの文書のコピーを保存するためにAmazon S3を使用したいと考えています。同社は、ドキュメントがAmazon S3に保存されてから7年間、ドキュメントが編集、置換、または削除されないようにするソリューションを実装する必要があります。セキュリティエンジニアは、これらの要件を満たすために、次に何をすべきですか?
A. 同社はマイクロサービスにサーバーレスアプローチを採用している。同社はすべてのデータをAmazon S3またはAmazon DynamoDBに保存する。同社は、AWSラムダ関数または同社がAWS Fargate上のAmazon Elastic Kubernetes Service(Amazon EKS)上でホストするコンテナベースのサービスのいずれかを使用してデータを読み取ります。同社は、静止時にすべてのデータを暗号化し、最小権限のデータアクセス制御を実施するためのソリューションを実装する必要があります。同社は、AWS Key Management Service(AWS KMS)の顧客管理キーを作成します。これらの要件を満たすために、同社は次に何をすべきですか?
B. AmazonS3とDynamoDに対してのみkms:Decryptアクションを許可するキーポリシーを作成するキーで暗号化されていないS3バケットとDynamoDBテーブルの作成を拒否するSCPを作成する。
C. 鍵のkms:Decryptアクションを拒否する1AMポリシーを作成します。新しいロールにポリシーをアタッチするために、スケジュールで実行するLambda関数を作成する。キーで暗号化されていないリソースに対してアラートを送信するAWS Configルールを作成する。
D. AmazonS3、DynamoDB、Lambda、およびAmazon EKSに対してのみkms:Decryptアクションを許可するキーポリシーを作成します。キーで暗号化されていないS3バケットとDynamoDBテーブルの作成を拒否するSCPを作成する。
E. Amazon S3、DynamoDB、Lambda、およびAmazon EKSに対してのみkms:Decryptアクションを許可するキーポリシーを作成します。キーで暗号化されていないリソースに対してアラートを送信するAWS Configルールを作成する。
回答を見る
正解: B
質問 #77
現在、VPCでホストされている複数のアプリケーションがあります。監視中に、特定のIPアドレスブロックから複数のポートスキャンが来ていることに気づきました。社内のセキュリティチームは、問題のあるすべてのIPアドレスを今後24時間拒否するよう要求しています。指定されたIPアドレスからのアクセスを迅速かつ一時的に拒否する最善の方法は、次のうちどれでしょうか。
A. ADポリシーを作成して、VPC内のすべてのホストのWindowsファイアウォール設定を変更し、IPアドレスブロックからのアクセスを拒否します。
B. IPアドレスブロックからのアクセスを拒否するように、VPC内のすべてのパブリックサブネットに関連付けられたネットワークACLを変更します。
C. すべてのVPCセキュリティグループに、IPアドレスブロックからのアクセスを拒否するルールを追加します。
D. そのVPCで使用しているすべてのAMIのWindowsファイアウォール設定を変更し、IPアドレスブロックからのアクセスを拒否します。
回答を見る
正解: B
質問 #78
セキュリティエンジニアが IAM アカウントで IAM Security Hub を有効にし、Center for Internet Security (CIS) IAM Foundations コンプライアンス標準を有効にした。数時間経っても、Security Hubコンソールにコンプライアンスの評価結果が表示されない。このエンジニアは、Security HubがリソースのCIS IAM Foundations準拠を評価できるようにしたいと考えています。これらの要件を満たすために、セキュリティエンジニアが取るべき手順はどれですか?
A. セキュリティハブのサービスロールにAmazon Inspector IAMの完全な権限を追加し、CISコンプライアンス評価を実行できるようにする。
B. アカウントでIAM Trusted Advisorが有効になっており、Security HubサービスロールにTrusted Advisorのセキュリティ関連の推奨アクションを取得する権限があることを確認する。
C. アカウントでIAM Configが有効になっていること、およびCISコンプライアンス評価に必要なIAM Configルールが作成されていることを確認する。
D. IAMのCloudTrailの正しい証跡がSecurity Hubによる監視のために構成され、Security HubのサービスロールがCloudTrailのAmazon S3バケットでGetObject操作を実行する権限を持っていることを確認します。
回答を見る
正解: C
質問 #79
あるIT部門は現在、Amazon EC2インスタンス上で動作するApache TomcatにJava Webアプリケーションをデプロイしている。EC2インスタンスへのすべてのトラフィックは、インターネットに面したアプリケーション・ロード・バランサ(ALB)を経由して送信される。セキュリティ・チームは、過去2日間に、何百ものIPアドレスから何千もの異常な読み取り要求が来ていることに気づいた。このため、Tomcatサーバーがスレッドを使い果たし、新しい接続を拒否しています。このサーバーの問題に対処する最も簡単な変更はどれでしょうか?
A. AmazonCloudFrontディストリビューションを作成し、ALBをオリジンとして設定します。
B. ネットワークアクセスリスト(NACL)で悪意のあるIPをブロックする。
C. IAMウェブアプリケーションファイアウォール(WAF)を作成し、ALBにアタッチする。
D. アプリケーションドメイン名をRoute 53にマッピングする
回答を見る
正解: A
質問 #80
ある開発チームが、IAM Key Management Service(IAM KMS)のCMKを使用して、IAM Systems Manager Parameter Storeからセキュアな文字列パラメータを暗号化および復号化しようとしています。しかし、試行するたびにエラーメッセージが開発チームに送信されます。どのCMK関連の問題がエラーの原因である可能性がありますか?(2つ選択してください)。
A. しかし、会社は他のアカウントのユーザーが同じフォルダ内の他のファイルにアクセスすることを許可したくありません。これらの要件を満たすソリューションはどれですか?
B. 他のアカウントにユーザーポリシーを適用して、IAM GlueとAthenaが
C. S3 Selectを使用して、
D. IAM GlueでIAM Glue Data Catalogリソースポリシーを定義し、
E. 組織をプリンシパルとして指定したリソースベースのポリシーで、IAM GlueにAmazon S3へのアクセスを許可する。
回答を見る
正解: AD
質問 #81
開発者が、複数のアカウントを含むIAM組織の組織単位(OU)内の新しいアカウントにサインインしました。セキュリティエンジニアは、他のアカウントに影響を与えることなく、開発者にAmazon $3へのアクセスをどのように提供できますか?
A. SCPを組織のルートOUに移動し、Amazon $3へのアクセス制限を解除します。
B. 開発者用の IAM ポリシーを追加し、$3 アクセスを許可する。
C. 3ドルのアクセスを制限するSCPを適用せずに、新しいOUを作成する。開発者アカウントをこの新しいOUに移動する。
D. 開発者アカウントに$3サービスの許可リストを追加する。
回答を見る
正解: C
質問 #82
Amazon Linux EC2インスタンスのシステムログを手動でレビューしているときに、セキュリティエンジニアが、Amazon CloudWatch Logsエージェントで適切にアラートまたはレポートされなかったsudoコマンドがあることに気づいた。
A. ポート80のアウトバウンドトラフィックをブロックするセキュリティグループがあり、エージェントがログを送信するのを妨げています。
B. EC2インスタンスのIAMインスタンスプロファイルが、CloudWatch LogsエージェントがログをCloudWatchにプッシュできるように適切に設定されていない。
C. CloudWatchのログステータスがON対SECUREに設定されているため、OSのセキュリティイベントログを取り込むことができない。
D. VPCはすべてのトラフィックがプロキシを経由することを必要とし、CloudWatch Logsエージェントはプロキシ設定をサポートしていない。
回答を見る
正解: B
質問 #83
ある会社のAmazon EC2インスタンスのセキュリティグループが、無制限のSSHトラフィックの着信を許可することによって、会社のポリシーに違反していることが監査で判明しました。セキュリティエンジニアは、このような違反を管理者に通知する、ほぼリアルタイムの監視およびアラートソリューションを実装する必要があります。
A. 毎日実行され、Network Reachabilityパッケージを使用する定期的なAmazon Inspector評価実行を作成します。評価実行が開始されるとIAM Lambda関数を呼び出すAmazon CloudWatchルールを作成します。アセスメント実行が完了したときに、アセスメント実行レポートを取得して評価するようにLambda関数を構成します。無制限の受信SSHトラフィックに違反がある場合、Amazon Simple Notification Service(Amazon SNS)通知を発行するようにLambda関数も構成する。
B. restricted-ssh IAM Config 管理ルールを使用します。このルールは、準拠しないセキュリティグループ構成の変更によって起動されます。IAM Config修復機能を使用して、Amazon Simple Notification Service (Amazon SNS)トピックにメッセージを発行する。
C. VPにVPC Flow Logsを設定し、Amazon CloudWatch Logsグループを指定する。CloudWatch Logsグループを、新しいログエントリーを解析し、ポート22で成功した接続を検出し、Amazon Simple Notification Service (Amazon SNS)を通じて通知を発行するIAM Lambda関数にサブスクライブする。
D. 毎日実行され、セキュリティベストプラクティスパッケージを使用する定期的なAmazon Inspector評価実行を作成する。評価実行の開始時にIAM Lambda関数を呼び出すAmazon CloudWatchルールを作成します。完了時に評価実行レポートを取得して評価するようにLambda関数を構成します。無制限の受信SSHトラフィックに違反がある場合、Amazon Simple Notification Service(Amazon SNS)通知を発行するようにLambda関数も構成する。
回答を見る
正解: B
質問 #84
MMアカウントは複数の開発者チームで共有されるため、Amazon EC2インスタンスの停止と終了を制限し、チームが所有するインスタンスに対してのみこれらのアクションを実行できるようにしたい。
A. 各チームについて、フェローと同様のAMポリシーを作成する ec2:ResourceTag/Team条件キーに適切なチーム名を入力する 対応するIAMロールに結果のポリシーをアタッチする
B. 各チームについて、次のようなIAMポリシーを作成する。 IAM TagKeys/Team条件キーに適切なチーム名を入力する。再開ポリシーを対応するIAMロールにアタッチする。
C. 各IAMロールにチームラグキーをタグ付けし、タグ値にチーム名を使用する。次のような IAM ポリシーを作成し、開発者が使用するすべての IAM ロールに 4 をアタッチします。
D. Team キーで各 IAM ロールをタグ付けし、タグ値にチーム名を使用する。次のような IAM ポリシーを作成し、開発者が使用するすべての IAM ロールに適用します。
回答を見る
正解: A
質問 #85
あなたの会社には、IAMで定義されたEC2インスタンスのセットがある。これらのEC2インスタンスには、厳密なセキュリティグループが設定されている。セキュリティグループの変更を確実に記録し、それに従って対処する必要がある。これを実現するにはどうすればよいか。
A. Cloudwatchのログを使ってSecurity Groupsのアクティビティを監視する。フィルタを使って変更を検索し、SNSを使って通知する。
B. Cloudwatchメトリクスを使用して、セキュリティグループのアクティビティを監視する。フィルタを使用して変更を検索し、SNSを使用して通知する。
C. IAM inspector を使用して、セキュリティグループのアクティビティを監視する。フィルタを使用して変更を検索し、SNS を使用して通知する。
D. Cloudwatchイベントを使用して、Security Groupsへの変更をトリガーする。Lambda関数をメール通知用に設定する。
回答を見る
正解: D
質問 #86
ある会社のエンジニアリングチームが、IAM Key Management Service (IAM KMS) CMK グラントを作成する新しいアプリケーションを開発している。CMK グラントを作成した直後、ユーザーは CMK を使用して 512 バイトのペイロードを暗号化できなければならない。負荷テスト中に、ユーザが最初に CMK を使用して暗号化しようとすると、AccessDeniedException が発生するバグが断続的に発生します。
A. 通話が成功するまで、2分ごとにリトライの仕組みを導入するようユーザーに指示する。
B. エンジニアリングチームに、ユーザーからランダムなグラントトークンを取得し、グラントトークンを渡してCreateGrantオペレーションを呼び出すように指示する。そのグラントトークンを暗号化の呼び出しで使用するように指示する。
C. CreateGrantオペレーションを呼び出す際に、グラントにランダムな名前を作成するようエンジニアリングチームに指示する。その名前をユーザに返し、暗号化の呼び出しでその名前をグラントトークンとして提供するよう指示する。
D. CreateGrantレスポンスで返されたグラントトークンをユーザーに渡すよう、エンジニアリングチームに指示する。そのグラント・トークンを暗号化の呼び出しで使用するようユーザーに指示する。
回答を見る
正解: D
質問 #87
ある企業は、Amazon S3に保存されているすべてのデータを暗号化する必要がある。同社は、IAM Key Management Service (IAM KMS)を使用して暗号鍵を作成・管理したいと考えている。会社のセキュリティポリシーは、鍵に会社独自の鍵素材をインポートする機能、鍵に有効期限を設定する機能、必要であれば鍵をすぐに削除する機能を必要としています。
A. IAM KMSを構成し、カスタムキーストアを使用する。顧客管理の CMK を作成し、キー・マテリアルを使用しない。 会社のキーとキー・マテリアルを CMK にインポートする。
B. IAM KMSを構成し、デフォルトの鍵ストアを使用する IAMが管理するCMKを作成し、鍵素材を使用しない 会社の鍵素材をCMKにインポートする
C. IAM KMSを構成し、デフォルトのキー・ストアを使用する 顧客が管理するCMKを作成し、キー・マテリアルを使用しない 会社のキー・マテリアルをCMKにインポートする
D. IAM KMSを構成し、カスタムキーストアを使用する。キー・マテリアルがない IAM 管理 CMK を作成する。会社のキー・マテリアルをCMKにインポートする。
回答を見る
正解: A
質問 #88
システムエンジニアは、アプリケーションチームがQAワークフローを通じて提供した複数のカスタムビルドイメージからコンテナをデプロイした。システムエンジニアは、ターゲットプラットフォームとしてFargate起動タイプでAmazon Elastic Container Service(Amazon ECS)を使用した。
A. LogConfigurationプロパティでawslogs-groupとawslogs-regionのパラメータを指定して、awslogsログドライバをオンにする。
B. コンテナインスタンスにCloudWatchエージェントをダウンロードして構成する。
C. Amazon CloudWatch Logsにログを送信するために、Fluent BitとFluentOをDaemonSetとして設定します。
D. トグCreateLogGroupアクションを含む1AMポリシーを構成する。 コンテナインスタンスにポリシーを割り当てる。
回答を見る
正解: A
質問 #89
システムエンジニアは、アプリケーションチームがQAワークフローを通じて提供した複数のカスタムビルドイメージからコンテナをデプロイした。システムエンジニアは、ターゲットプラットフォームとしてFargate起動タイプでAmazon Elastic Container Service(Amazon ECS)を使用した。
A. LogConfigurationプロパティでawslogs-groupとawslogs-regionのパラメータを指定して、awslogsログドライバをオンにする。
B. コンテナインスタンスにCloudWatchエージェントをダウンロードして構成する。
C. Amazon CloudWatch Logsにログを送信するために、Fluent BitとFluentOをDaemonSetとして設定します。
D. トグCreateLogGroupアクションを含む1AMポリシーを構成する。 コンテナインスタンスにポリシーを割り当てる。
回答を見る
正解: A
質問 #90
企業がIAMとオンプレミスの間で大量のデータを転送する要件がある。さらに、IAMへの低レイテンシーで一貫性の高いトラフィックという要件もあります。これらの要件がある場合、どのようにハイブリッドアーキテクチャを設計しますか?以下の選択肢から正しいものを選んでください。
A. Direct Connectパートナーを使用して、IAMリージョンへのDirect Connect接続をプロビジョニングする。
B. プライベート接続用にVPNトンネルを作成し、ネットワークの一貫性を高め、待ち時間を短縮する。
C. プライベート接続のためにiPSecトンネルを作成し、ネットワークの一貫性を高め、待ち時間を短縮します。
D. IAMとカスタマーゲートウェイ間にVPCピアリング接続を作成します。
回答を見る
正解: A
質問 #91
ある企業が、同じ1AMインスタンスプロファイルを使用しているAmazon Linux 2 Amazon EC2インスタンスの特定のサブセットから、すべてのSSHキーを恒久的に削除したいと考えています。しかし、IAMユーザーアカウントを持つ3人の個人が、重要な職務を遂行するためにSSHセッションを使用してこれらのインスタンスにアクセスする必要があります。
A. インスタンスプロファイルに1AMポリシーを割り当て、EC2インスタンスをAWS Systems Managerで管理できるようにする。 1AMユーザーアカウントにSystems Managerの使用権限を与える。
B. 1AMユーザーアカウントに1AMポリシーを割り当て、AWS Systems Managerの使用許可を与える Run Command EC2インスタンスからSSHキーを削除 Run Commandを使用して、EC2インスタンスへのSSH接続を開く。
C. インスタンスプロファイルに1AMポリシーを割り当て、EC2インスタンスをAWS Systems Managerで管理できるようにする 1AMユーザーアカウントにSystems Managerの使用権限を付与する EC2インスタンスからSSHキーを削除する Systems Manager Session Managerを使用して、EC2インスタンスを選択して接続する。
D. 1AMユーザーアカウントに1AMポリシーを割り当て、AWS管理コンソールでEC2サービスの使用許可を与える EC2インスタンスからSSHキーを削除する AWS管理コンソールのEC2 SSHクライアントメソッドから、ec2-userとしてEC2インスタンスに接続する。
回答を見る
正解: C
質問 #92
ある企業がAmazon EC2上でアプリケーションをホストしている。ある規則では、ワークロードへのトラフィックとワークロードからのトラフィックを、ネットワークレベルの攻撃について検査しなければならないとしている。この規制ルールに準拠するために、セキュリティエンジニアは侵入検知ソフトウェアをc5n.4xlarge EC2インスタンスにインストールしなければならない。この規制規則に準拠するには、セキュリティエンジニアが侵入検知ソフトウェアをc5n.4xのEC2インスタンスにインストールし、アプリケーションインスタンスへのトラフィックとアプリケーションインスタンスからのトラフィックを監視するようにソフトウェアを構成しなければならない。
A. ネットワークインタフェースをプロミスキャスモードにして、トラフィックをキャプチャします。
B. ネットワークロードバランサーを使用して、監視EC2インスタンスにトラフィックを送信するようにVPC Flow Logsを構成する。
C. ネットワークロードバランサーを使用して、監視EC2インスタンスにトラフィックを送信するようにVPCトラフィックミラーリングを構成する。
D. Amazon Inspectorを使用してネットワークレベルの攻撃を検出し、IAM Lambda関数をトリガーして疑わしいパケットをEC2インスタンスに送信する。
回答を見る
正解: D
質問 #93
セキュリティエンジニアは、IAM CloudTrailがオフになった場合に備えて、複数のIAMリージョンでIAM CloudTrailをオンに戻すソリューションを構築する必要がある。このソリューションを実装する最も効率的な方法は何か。
A. IAM-EnableCloudTrail修復をトリガーするために、管理されたルールでIAM Configを使用します。
B. Cloudtrail
C. Cloudtrail
D. IAM Trusted Advisorを監視して、CloudTrailロギングが有効になっていることを確認する。
回答を見る
正解: B
質問 #94
ある会社は、AWS Key Management Service (AWS KMS)の顧客管理鍵を持っており、インポートされた鍵材料を持っています。会社のポリシーでは、すべての暗号化鍵は1年ごとにローテーションされることになっています。この顧客管理鍵の要件を満たすために、セキュリティエンジニアは何をすべきでしょうか。
A. 既存のカスタマーマネージドキーの自動ローテーションを毎年有効にする。
B. AWS CLIを使用してAWS Lambda関数を作成し、既存の顧客管理キーを毎年ローテーションする。
C. 既存の顧客管理鍵に新しい鍵素材をインポートする。
D. 新しい顧客管理鍵を作成する。 新しい鍵に新しい鍵資料をインポートする。 新しい鍵に鍵エイリアスを指定する。
回答を見る
正解: A
質問 #95
あるインシデント対応チームが、Amazon EC2インスタンスが起動される原因となったIAMアクセスキーの漏えいを調査している。情報セキュリティ部長は、今後同じようなインシデントが発生したときに警告を発する新しい管理策を導入したいと考えている。{2つ選びなさい)。
A. S3バケットポリシーは、セキュリティエンジニアがバケット内のオブジェクトにアクセスすることを明示的に許可していません。
B. 集中管理アカウント内のユーザーがオブジェクトにアクセスできるように、オブジェクトACLが更新されていない。
C. セキュリティエンジニアのIAMポリシーは、S3バケット内のオブジェクトの読み取り権限を付与していません。
D. s3:PutObjectとs3:PutObjectAclパーミッションは、S3バケットレベルで適用されるべきです。
回答を見る
正解: AE
質問 #96
あなたの会社は、IAMでサーバを管理するためにbastionホストを使うことを計画している。セキュリティの観点から見たbastionホストの説明として、最も適切なものはどれか。
A. Bastionホストはプライベートサブネットに置くべきで、セキュリティ上の問題からパブリックサブネットには決して置かないでください。
B. Bastionホストは内部ネットワークの外側にあり、プライベートネットワークへのゲートウェイとして使用され、ネットワークの重要なストロングポイントとみなされる。
C. Bastionホストは、ユーザーがRDPまたはSSHを使用してログインし、そのセッションを使用して内部ネットワークにS5Hし、プライベートサブネットリソースにアクセスできるようにします。
D. バスティオンのホストは、それが一般に利用可能である以上、極めて厳重なセキュリティと監視を維持すべきである。
回答を見る
正解: C
質問 #97
あるIT部門は現在、Amazon EC2インスタンス上で動作するApache TomcatにJava Webアプリケーションをデプロイしている。EC2インスタンスへのすべてのトラフィックは、インターネットに面したアプリケーション・ロード・バランサ(ALB)を経由して送信される。セキュリティ・チームは、過去2日間に、何百ものIPアドレスから何千もの異常な読み取り要求が来ていることに気づいた。このため、Tomcatサーバーがスレッドを使い果たし、新しい接続を拒否しています。このサーバーの問題に対処する最も簡単な変更はどれでしょうか?
A. AmazonCloudFrontディストリビューションを作成し、ALBをオリジンとして設定します。
B. ネットワークアクセスリスト(NACL)で悪意のあるIPをブロックする。
C. IAMウェブアプリケーションファイアウォール(WAF)を作成し、ALBにアタッチする。
D. アプリケーションドメイン名をRoute 53にマッピングする
回答を見る
正解: A
質問 #98
ある会社は、静的なWebサイトをAmazon S3にホスティングしている。会社は、Webサイトのコンテンツを提供するためにAmazon CloudFrontディストリビューションを設定した。このWeb ACLは、コンプライアンス上の制限に対処するために、リクエストが米国から発信されることを保証している。
A. アマゾンのMacieを有効にして、Secunty H jbが探偵にMacieからの調査結果を処理できるようにする。
B. 組織のすべてのメンバーアカウントで、CtoudTrailログのIAM Key Management Service(IAM KMS)暗号化を無効にする。
C. すべてのメンバーアカウントでAmazon GuardDutyを有効にする 48時間以内にDetectiveを有効にしてみてください。
D. Detectiveを起動するプリンシパルが組織のListAccounts権限を持っていることを確認します。
回答を見る
正解: AD
質問 #99
ある会社のエンジニアリングチームが、IAM Key Management Service (IAM KMS) CMK グラントを作成する新しいアプリケーションを開発している。CMK グラントを作成した直後、ユーザーは CMK を使用して 512 バイトのペイロードを暗号化できなければならない。負荷テスト中に、ユーザが最初に CMK を使用して暗号化しようとすると、AccessDeniedException が発生するバグが断続的に発生します。
A. 通話が成功するまで、2分ごとにリトライの仕組みを導入するようユーザーに指示する。
B. エンジニアリングチームに、ユーザーからランダムなグラントトークンを取得し、グラントトークンを渡してCreateGrantオペレーションを呼び出すように指示する。そのグラントトークンを暗号化の呼び出しで使用するように指示する。
C. CreateGrantオペレーションを呼び出す際に、グラントにランダムな名前を作成するようエンジニアリングチームに指示する。その名前をユーザに返し、暗号化の呼び出しでその名前をグラントトークンとして提供するよう指示する。
D. CreateGrantレスポンスで返されたグラントトークンをユーザーに渡すよう、エンジニアリングチームに指示する。そのグラント・トークンを暗号化の呼び出しで使用するようユーザーに指示する。
回答を見る
正解: D
質問 #100
ある企業は、Amazon EC2上のDockerで実行されている数百のアプリケーションのためのフォレンジックロギングソリューションを必要としています。このソリューションは、メッセージの再生をサポートし、ログを永続化する必要があり、トグのリアルタイム分析を実行する必要があります。(2つ選択)
A. 定期的に、EC2インスタンスが暗号化されたボリュームで作成されることを要求するように、IAMユーザーポリシーを更新します。
B. 定期的に実行するIAM構成ルールを設定します。
C. Amazon Inspectorのルールを設定し、定期的なスケジュールでボリュームの暗号化を実行します。
D. CloudWatchログを使用して、インスタンスが暗号化されたボリュームで作成されたかどうかを判断します。
回答を見る
正解: BD
質問 #101
ある会社は、異なる IAM サービスで使用するために、別々の IAM KMS(IAM Key Management Service)キーを確立したいと考えています。この会社のセキュリティエンジニアは、インフラストラクチャ展開チームがInfrastructureDeployment IAMロールを想定して暗号化されたAmazon Elastic Block Store(Amazon EBS)ボリュームを作成できるようにするために、次のキーポリシーを作成しました。
A. シド「キーの使用を許可する」を含むステートメント・ブロックの「条件」ブロックで、StringEqualsをStringLikeに変更する。
B. ポリシー文書で、シド「IAMユーザー権限を有効にする」を含むステートメントDlockを削除する。KMSポリシーに鍵管理ポリシーを追加します。
C. Sid「Allow use of the Key」を含むステートメントブロックの「Condition」ブロックで、Kms:ViaServiceの値をec2
D. ポリシードキュメントに、セキュリティエンジニアの IAM ロールに「kms:Disable」権限を付与する新しいステートメントブロックを追加します。
回答を見る
正解: C
質問 #102
ある会社の最高セキュリティ責任者が、セキュリティアナリストに各社の IAM アカウントのセキュリ ティ体制をレビューして改善するよう要求した。セキュリティアナリストは、IAM アカウントのルートユーザのセキュリ ティを改善することでこれを実行することに決めた。(3つ選択する)
A. データベースサーバー上のアウトバウンドSG構成 アプリケーションサーバー上のインバウンドSG構成 データベースサブネット上のインバウンドおよびアウトバウンドネットワークACL構成 アプリケーションサーバーサブネット上のインバウンドおよびアウトバウンドネットワークACL構成
B. データベースサーバー上のインバウンドSG構成アプリケーションサーバー上のアウトバウンドSG構成データベースサブネット上のインバウンドおよびアウトバウンドネットワークACL構成アプリケーションサーバーサブネット上のインバウンドおよびアウトバウンドネットワークACL構成
C. Inbound and Outbound SG configuration on database servers Inbound and Outbound SG configuration on application servers Inbound network ACL configuration on database subnet Outbound network ACL configuration on application server subnet
D. Inbound SG configuration on database servers Outbound SG configuration on application servers Inbound network ACL configuration on database subnet Outbound network ACL configuration on application server subnet
回答を見る
正解: ADE
質問 #103
ある会社の開発者が、SSHキーを使って複数のAmazon EC2インスタンスにアクセスしている。同社は、そのSSHキーがGitHubの公開リポジトリに投稿されていることを発見した。セキュリティエンジニアは、その鍵が最近使用されていないことを確認する。セキュリティエンジニアは、EC2インスタンスへの不正アクセスをどのように防ぐべきか。
A. EC2コンソールからキーペアを削除する。新しいキーペアを作成する。
B. ModifylnstanceAttribute APIオペレーションを使用して、キーを使用しているEC2インスタンスのキーを変更する。
C. セキュリティグループ内のSSHアクセスを、既知の企業IPアドレスのみに制限する。
D. EC2インスタンスの起動に使用するAMIのキーペアを更新する。EC2インスタンスを再起動する。
回答を見る
正解: C
質問 #104
セキュリティエンジニアは、us-west-1リージョンにある企業のAmazon S3バケットに保存されているすべてのデータを暗号化するために使用されるIAM Key Management Service キーを作成する必要がある。この鍵はサーバーサイドで暗号化される。キーの使用は、会社のアカウント内のAmazon S3からのリクエストに限定する必要があります。KMSキーポリシーのどのステートメントがこれらの要件を満たすでしょうか?
A. 既存のNATゲートウェイを削除する。アプリケーションサーバーのサブネットだけが使用できる新しいNATゲートウェイを作成する。
B. NATゲートウェイのセキュリティグループIDからのトラフィックを拒否するように、DBインスタンスTMのインバウンドネットワークACLを設定します。
C. DBインスタンスサブネットのルートテーブルを修正し、NATゲートウェイへのデフォルトルートを削除する。
D. DBインスタンスのサブネットへの接続を拒否するように、NATゲートウェイのルートテーブルを設定する。
回答を見る
正解: A
質問 #105
ある企業がAWS上でエンドユーザーアプリケーションをホストしている。現在、この企業はElastic Load Balancerの背後にあるAmazon EC2インスタンス上にアプリケーションを展開している。この企業は、Elastic Load BalancerとEC2インスタンス間でエンドツーエンドの暗号化を構成したいと考えている。この要件を最も少ない運用労力で満たすソリューションはどれか。
A. EC2インスタンスとElastic Load Balancer上でAmazonが発行したAWS Certificate Manager(ACM)証明書を使用して、エンドツーエンドの暗号化を設定する。
B. サードパーティのSSL証明書をAWS Certificate Manager(ACM)にインポートする EC2インスタンスにサードパーティの証明書をインストールする ACMにインポートしたサードパーティの証明書をElastic Load Balancerに関連付ける
C. Deploy AWS CloudHSM Import a third-party certificate インポートしたCloudHSM証明書を使用するようにEC2インスタンスとElastic Load Balancerを設定する。
D. サードパーティ証明書のバンドルをAWS Certificate Manager(ACM)にインポートする EC2インスタンスにサードパーティ証明書をインストールする ACMにインポートしたサードパーティ証明書をElastic Load Balancerに関連付ける
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.