すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

AWS認定資格SCS-C02問題集&模擬試験、AWS Certified Security - Specialty|スポトウ

SPOTO'の包括的な試験資料でAWS Certified Security - Specialty (SCS-C02)認定資格を成功させましょう。弊社の「Pass Your SCS-C02 Certification Questions & Practice Tests"」は試験問題集と模擬試験、サンプル問題集を提供しております。弊社の試験問題集は精確に実際試験の範囲を絞ります。実際の試験環境をシミュレートしたSPOTOの試験教材と試験シミュレーターを使って、自信を持って準備をしましょう。SPOTOのオンライン試験問題と模擬試験で、受験スキルを磨き、合格への準備態勢を強化しましょう。SPOTO を利用すれば、試験の解答を練習してマスターし、AWS Certified Security - Specialty 認定資格を確実に取得できます。

他のオンライン試験を受ける
質問 #1
ある企業は、各アカウントの個々のトレイルを管理し、ログデータをログアーカイブアカウントに存在する集中管理されたAmazon S3バケットに転送することによって、複数のIAMアカウントからIAM CloudTrailログデータを収集している。CloudTrailがIAM Organizationsトレイルのサポートを導入した後、同社はすべてのIAMアカウントにわたってCloudTrailロギング機能の集中管理とデプロイの自動化をさらに進めることにしました。同社のセキュリティエンジニアは、マスターアカウントにIAM Organizationsトレイルを作成しました。
A. CMKキーポリシーは、CloudTrailがキーに対して暗号化および復号化APIコールを行うことを許可しない。
B. CMK 鍵ポリシーは、CloudTrail が鍵に対して GenerateDataKey API 呼び出しを行うことを許可しない。
C. CloudTrail トレイルで使用されている IAM ロールには、Organizations トレイル用に作成されたフォルダに対して PutObject API 呼び出しを行う権限がありません。
D. S3バケットポリシーは、CloudTrailがOrganizations Trailのために作成されたフォルダに対してPutObject APIコールを行うことを許可していません。
E. CMKキーポリシーは、CloudTrailトレイルで使用されるIAMロールがcrypto graphicaI操作にキーを使用することを許可していません。
回答を見る
正解: CD
質問 #2
ある会社がIAMにカスタムDNSサーバーをデプロイした。セキュリティエンジニアは、Amazon EC2インスタンスがAmazon提供のDNSを使用できないようにしたい。セキュリティエンジニアは、VPC内のAmazon提供のDNSへのアクセスをどのようにブロックできますか?
A. すべてのセキュリティグループ内でAmazon DNS IPへのアクセスを拒否する。
B. すべてのネットワークアクセス制御リストに、Amazon DNS IPへのアクセスを拒否するルールを追加する。
C. Amazon DNS IPへのトラフィックをブラックホール化するルートをすべてのルートテーブルに追加します。
D. VPC構成内でDNS解決を無効にする。
回答を見る
正解: D
質問 #3
IAMアカウント管理者がIAMグループを作成し、次の管理ポリシーを適用して、各ユーザーに多要素認証を使用した認証を要求した:ポリシーを実装した後、管理者は、ユーザーがIAM CLIを使用してAmazon EC2コマンドを実行できないというレポートを受け取った。管理者は、多要素認証を実施しながらこの問題を解決するために何をすべきか。
A. IAM MultiFactorAuthPresentの値をtrueに変更する。
B. IAM sts get-session-token CLI コマンドを実行し、多要素認証の -serial-number および -token-code パラメータを渡すようにユーザーに指示する。
C. これらの結果の値を使ってAPI/CLIコールを行う。
D. SAML 2
E. ロールを作成し、ロールの信頼ポリシーで多要素認証を実施する sts assume-role CLIコマンドを実行し、-serial-numberおよび-token-codeパラメータを渡すようにユーザーに指示する 結果の値を環境変数に格納する
F. ポリシーの NotAction に sts:AssumeRole を追加します。
回答を見る
正解: A
質問 #4
ある企業が、ITインフラの大半をIAMに移行することを計画している。IAMのIDプロバイダとして、既存のオンプレミスActive Directoryを活用したいと考えている。オンプレミスの Active Directory を使用して IAM サービスに認証するには、どの手順を実行する必要がありますか。(3つ選びなさい)。
A. 各Active Directoryグループに対応する権限を持つIAMロールを作成する。
B. 各Active Directoryグループに対応する権限を持つIAMグループを作成する。
C. IAM で SAML プロバイダを作成する。
D. Amazon Cloud Directory で SAML プロバイダを作成する。
E. IAMをActive Directoryの信頼される依拠当事者として構成する
F. IAMをAmazon Cloud Directoryの信頼される依拠当事者として設定する。
回答を見る
正解: B
質問 #5
セキュリティチームは、特定されたアクセスキーを使用して、過去3か月間に元従業員がIAMリソースに不正アクセスした可能性があると考えています。セキュリティチームが、元従業員がIAM内で行った可能性のある行為を突き止めるには、どのようなアプローチが有効でしょうか。
A. IAM CloudTrail コンソールを使用して、ユーザーのアクティビティを検索します。
B. Amazon CloudWatch Logs コンソールを使用して、CloudTrail データをユーザ別にフィルタリングする。
C. IAM Config を使用して、ユーザーによって実行されたアクションを確認する。
D. Amazon Athenaを使用して、Amazon S3に保存されているCloudTrailログをクエリする。
回答を見る
正解: D
質問 #6
ある会社はサードパーティのセキュリティ監査人を雇いました。監査人は、すべてのIAMリソースと、IAMで発生したすべてのVPCレコードとイベントのログへの読み取り専用アクセスを必要としています。会社は、IAM環境のセキュリティを構成することなく、どのように監査人の要件を満たすことができますか?以下の選択肢から正しい答えを選んでください:
A. 監査人に必要な権限を持つロールを作成する。
B. CIoudTrailがログをS3に配信したときに、監査人のメールにCloudTrailのログファイルを送信するSNS通知を作成するが、監査人がIAM環境にアクセスすることは許可しない。
C. 会社は、責任共有モデルの一環としてIAMに連絡し、IAMは第三者監査人に必要なアクセス権を付与する。
D. CloudTrailログを有効にし、CloudTrailログを含むバケットを含む必要なIAMリソースへの読み取り専用パーミッションを持つIAMユーザーを作成する。
回答を見る
正解: D
質問 #7
外部監査人が、ある会社のユーザーパスワードに最小長さがないことを発見した。同社は現在、2つのIDプロバイダを使用している。会社が開発した IAM クラウドアプリケーションにアクセスするための Amazon Cognito ユーザープール この問題を解決するために、セキュリティエンジニアが取るべき行動はどれか。(2つ選択)
A. オンプレミスのActive Directory構成で、パスワードの長さポリシーを更新する。
B. IAM 構成で、パスワード長ポリシーを更新する。
C. Amazon CognitoとIAM IAMで、最小パスワード長を条件にIAMポリシーを強制する。
D. Amazon Cognito 構成のパスワード長ポリシーを更新します。
E. IAM IAMとAmazon Cognitoに最小パスワード長を強制するSCPをIAM Organizationsで作成する。
回答を見る
正解: AD
質問 #8
Lambda関数はS3オブジェクトからメタデータを読み込み、DynamoDBのテーブルに格納する。この関数は、S3バケットにオブジェクトが格納されるたびにトリガーされます。Lambda関数はどのようにDynamoDBテーブルにアクセスさせるべきですか?選択してください:
A. VP内にDynamoDBのVPCエンドポイントを作成する
B. VPC内のリソースにアクセスするようにLambda関数を設定します。
C. DynamoDBテーブルにポールをアタッチします。
D. DynamoDBタブへの書き込み権限を持つIAMユーザを作成する。
E. ラムダ環境変数にそのユーザーのアクセスキーを保存する。
F. F
回答を見る
正解: BD
質問 #9
IAMでホストされているアプリケーション、データベース、ウェブサーバのセットがある。ウェブサーバはELBの後ろに置かれている。アプリケーション、データベース、ウェブサーバには個別のセキュリティグループがあります。ネットワークセキュリティグループもそれに応じて定義されています。アプリケーションサーバーとデータベースサーバー間の通信に問題があります。アプリケーションサーバーとデータベースサーバーの間の問題をトラブルシューティングするために、あなたが取るべき最小限のステップの理想的なセットは何ですか?選択してください:
A. データベースセキュリティグループの受信セキュリティルールを確認する アプリケーションセキュリティグループの送信セキュリティルールを確認する
B. データベースセキュリティグループの送信セキュリティルールを確認する アプリケーションセキュリティグループの受信セキュリティルールを確認する
C. データベースセキュリティグループの受信セキュリティルールと送信セキュリティルールの両方を確認する アプリケーションセキュリティグループの受信セキュリティルールを確認する
D. データベースセキュリティグループのアウトバウンドセキュリティルールを確認するアプリケーションセキュリティグループのインバウンドセキュリティルールとアウトバウンドセキュリティルールの両方を確認する
回答を見る
正解: A
質問 #10
あなたの組織の開発チームは、IAMの開発環境でホストされている様々なアプリケーションのログファイルを保存するためにS3バケットを使用しています。開発者は、トラブルシューティングのためにログを1ヶ月間保存し、その後ログを消去したいと考えています。この要件を実現する機能は何ですか?選択してください:
A. S3バケットにバケットポリシーを追加する。
B. S3バケットにライフサイクル構成ルールを設定する。
C. S3バケットのIAMポリシーを作成する。
D. S3バケットでCORSを有効にする。
回答を見る
正解: B
質問 #11
VPC内のEC2インスタンス上で動作するアプリケーションは、TLS(ポート443)を介して外部のWebサービスを呼び出す必要がある。インスタンスはパブリックサブネットで動作している。アプリケーションを機能させ、インスタンスの露出を最小限に抑えるには、次のどの構成が有効ですか。以下の選択肢から答えを2つ選んでください:
A. ポート443の発信トラフィックを許可するルールを持つネットワークACL。
B. ポート443の発信トラフィックとエフェメラルポートの着信トラフィックを許可するルールを持つネットワークACL
C. ポート443上の送信トラフィックとポート443上の受信トラフィックを許可するルールを持つネットワークACL。
D. ポート443の発信トラフィックを許可するルールを持つセキュリティグループ
E. ポート443の送信トラフィックとエフェメラルポートの受信トラフィックを許可するルールを持つセキュリティグループ。
F. 443番ポートの送信トラフィックと443番ポートの受信トラフィックを許可するルールを持つセキュリティグループ。
回答を見る
正解: AB
質問 #12
ある会社が、オンプレミスの Linux サーバへのアクセスに使用しているオンプレミスの bastion ホストを IAM Systems Manager Session Manager に置き換えようとしている。セキュリティエンジニアが、Systems Manager エージェントをすべてのサーバにインストールした。セキュリティエンジニアはエージェントがすべてのサーバで稼動していることを確認しますが、Session Manager はサーバに接続できません。セキュリティエンジニアは、Session Managerがサーバ上で動作する前に、検証手順を実行する必要があります。セキュリティエンジニアが実行すべき手順の組み合わせはどれですか?
A. すべてのLinuxサーバーで、インバウンドポート22を0 0
B. Systems Managerでアドバンスト・インスタンス階層を有効にする。
C. オンプレミスサーバーのマネージドインスタンスアクティベーションを作成する。
D. アクティベーションコードとIDを使用してSystems Managerエージェントを再設定します。
E. すべてのオンプレミスサーバに IAM ロールを割り当てる。
F. オンプレミスサーバのSystems Managerでインベントリ収集を開始する
回答を見る
正解: B
質問 #13
ある企業がデータウェアハウスを保存するためにRedshiftクラスタを使用しています。社内ITセキュリティチームから、Redshiftデータベースのデータが暗号化されることを保証する要件があります。これはどのように実現できますか?選択してください:
A. 基盤となるEC2インスタンスのEBSボリュームを暗号化する。
B. IAM KMS Customer Default マスター・キーを使用する。
C. SSL/TLSを使用してデータを暗号化する。
D. S3暗号化を使用する
回答を見る
正解: C
質問 #14
以前、ある会社の Amazon S3 バケットに未承認の変更が加えられた。セキュリティエンジニアが、会社の S3 バケットに行われた設定変更を記録するように IAM Config を設定した。エンジニアは、S3 の構成変更が行われているにもかかわらず、Amazon SNS 通知が送信されていないことを発見しました。エンジニアはすでに SNS トピックの構成を確認し、構成が有効であることを確認しました。この問題を解決するために、セキュリティエンジニアが取るべき手順はどれですか?(2つ選択してください)
A. IAM Configがバケットへの変更を記録できるように、S3バケットACLを設定する。
B. IAM Configがバケットへの変更を記録できるように、S3バケットに接続されたポリシーを構成する。
C. IAMユーザーにAmazonS3ReadOnryAccessマネージドポリシーをアタッチします。
D. セキュリティエンジニアの IAM ユーザーに、IAM 構成のすべてのアクションを許可するポリシーがアタッチされていることを確認する。
E. IAMConfigRole 管理ポリシーを IAM Config ロールに割り当てる
回答を見る
正解: BE
質問 #15
Amazon CloudFrontでSSL証明書を使用するための有効な設定は、次のうちどれですか?(3つ選択)
A. デフォルトの IAM Certificate Manager 証明書
B. IAM KMSに保存されているカスタムSSL証明書
C. デフォルトのCloudFront証明書
D. IAM証明書マネージャに保存されているカスタムSSL証明書
E. IAM Secrets Managerに保存されているデフォルトのSSL証明書
F. IAM IAMに保存されているカスタムSSL証明書
回答を見る
正解: ACD
質問 #16
Amazon EC2インスタンスは、アプリケーションロードバランサー(ALB)の背後にあるEC2 Auto Scalingグループの一部です。EC2インスタンスが侵害された疑いがあります。侵害の疑いを調査するには、どの手順を実行する必要がありますか?(3つ選びなさい。)
A. EC2インスタンスからエラスティック・ネットワーク・インターフェースを切り離す。
B. EC2インスタンス上のすべてのボリュームのAmazon Elastic Block Storeボリュームスナップショットを開始する。
C. EC2インスタンスに関連するAmazon Route 53ヘルスチェックを無効にする。
D. EC2インスタンスをALBから登録解除し、Auto Scalingグループから切り離す。
E. EC2インスタンスに、イングレスとイグレスの制限ルールを持つセキュリティグループをアタッチする。
F. EC2インスタンスへのアクセスをブロックするルールをIAM WAFに追加する。
回答を見る
正解: B
質問 #17
御社はゲーム領域に注目しており、ゲームサーバーとして複数の Ec2 インスタンスをホストしています。これらのサーバーは、それぞれ数千のユーザー負荷を経験している。EC2インスタンスへのDDos攻撃が懸念され、会社に莫大な収益損失をもたらす可能性があります。このセキュリティ上の懸念を軽減し、サーバーのダウンタイムを最小限に抑えるには、次のうちどれが有効でしょうか。選択してください:
A. VPCフロー・ログを使用してVPCを監視し、NACLを実装して攻撃を緩和する。
B. IAM Shield Advancedを使用してEC2インスタンスを保護する。
C. IAM Inspectorを使用してEC2インスタンスを保護する
D. IAM Trusted Advisorを使用してEC2インスタンスを保護する。
回答を見る
正解: A
質問 #18
ある企業が、IAM Identity and Access Management(IAM)と SAML フェデレーションを使用して、社内ユーザに IAM アカウントの SSO を提供している。この企業の ID プロバイダ証明書は、通常のライフサイクルの一環としてローテーションされた。その直後、ユーザーがログインしようとすると、次のようなエラーが表示されるようになった:「エラー:応答署名が無効です(Service:エラー:レスポンス署名が無効です(Service: IAMSecuntyTokenService; Status Code:400; エラーコード:エラー:レスポンス署名が無効です。)セキュリティ・エンジニアは、緊急の問題に対処し、その問題を確実に解決する必要があります。
A. ID プロバイダから SAML メタデータ・ファイルの新しいコピーをダウンロードする。
B. 新しいメタデータファイルを新しい IAM ID プロバイダエンティティにアップロードする。
C. 次の証明書ローテーション期間中で、現在の証明書の有効期限が切れる前に、セカンダリ として新しい証明書を ID に追加する。
D. 新しいメタデータファイルを生成し、IAM ID プロバイダのエントリにアップロードする。
E. 必要に応じて、証明書の自動ローテーションまたは手動ローテーションを行う。
F. 新しいメタデータを、当該 SAML 統合用に構成された IAM ID プロバイダ・エ ンティティにアップロードする。G
回答を見る
正解: A
質問 #19
セキュリティ・エンジニアは、機密性の高い個人情報を処理するウェブ・アプリケーションを管理している。EC2上で実行される。このアプリケーションには厳格なコンプライアンス要件があり、アプリケーションへのすべての受信トラフィックを一般的なWebエクスプロイトから保護し、EC2インスタンスからのすべての送信トラフィックを特定のホワイトリストに登録されたURLに制限することが指示されている。
A. IAM Shieldを使用して、Webエクスプロイトの受信トラフィックをスキャンする。
B. VPCフローログとIAMラムダを使用して、特定のホワイトリストURLへのイグジットトラフィックを制限します。
C. IAM Shieldを使用して、Webエクスプロイトの受信トラフィックをスキャンする。
D. サードパーティの IAM Marketplace ソリューションを使用して、特定のホワイトリスト URL へのイグレストラフィックを制限する。
E. IAM WAFを使用して、インバウンドトラフィックをスキャンし、Webエクスプロイトを検出する。
F. VPC フローログと IAM Lambda を使用して、特定のホワイトリスト URL へのイグジットトラフィックを制限する。G
回答を見る
正解: C
質問 #20
セキュリティエンジニアが、IAM アカウントのすべてのリージョンに対して IAM CloudTrail トレイルをセットアップしている。セキュリティを強化するために、ログは IAM KMS 管理キー(SSE-KMS)を使用したサーバサイドの暗号化を使用して保存され、ログの完全性検証が有効になっている。ソリューションをテストしている間、セキュリティエンジニアは、ダイジェストファイルは読めるが、ログファイルは読めないことを発見しました。最も可能性の高い原因は何でしょうか?
A. ログファイルが整合性検証に失敗し、自動的に利用不可とマークされる。
B. KMSキーポリシーは、セキュリティエンジニアのIAMユーザーまたはロールに、それを使って復号化する権限を与えていない。
C. このバケットは、Amazon S3が管理する鍵(SSE-S3)によるサーバサイド暗号化をデフォルトで使用するように設定されており、SSE-KMSで暗号化されたファイルは許可されません。
D. セキュリティエンジニアのIAMユーザーまたはロールに適用されるIAMポリシーは、Amazon S3バケット内の "CloudTrail/"プレフィックスへのアクセスを拒否します。
回答を見る
正解: B
質問 #21
あなたの会社には、IAM クラウドで定義された一連のリソースがあります。IT監査部門は、アカウント全体で定義されたリソースのリストを取得するよう要求しています。最も簡単な方法は何ですか?選択してください:
A. IAM CLを使用してpowershellスクリプトを作成する。
B. productionタグを持つすべてのリソースを問い合わせる。
C. IAM CLでbashシェルスクリプトを作成する。
D. すべての地域のすべてのリソースを問い合わせる
E. 結果をS3バケットに保存する。
F. G
回答を見る
正解: BD
質問 #22
公認管理者が、インターネット経由でSSHを使用してAmazon EC2 Linux bastionホストに接続できません。接続が応答しないか、次のエラーメッセージが表示されます:ネットワークエラー:接続がタイムアウトしました。接続失敗の原因は何ですか?(3つを選択)
A. EC2インスタンスがデプロイされているサブネットのNATゲートウェイが誤って設定されている。
B. VPCのインターネットゲートウェイが再設定されました。
C. セキュリティグループは、エフェメラルポートのアウトバウンドトラフィックを拒否します。
D. ルートテーブルにインターネットゲートウェイへのルートがありません。
E. NACLはエフェメラルポートのアウトバウンドトラフィックを拒否する
F. ホストベースのファイアウォールがSSHトラフィックを拒否している
回答を見る
正解: D
質問 #23
あるセキュリティエンジニアが、開発チームと協力して、機密性の高い在庫データを Amazon S3 バケットに保存するサプライチェーンアプリケーションを設計しています。このアプリケーションは、Amazon S3上のデータを暗号化するために、IAM KMSカスタマーマスターキー(CMK)を使用します。Amazon S3 上の在庫データはベンダー間で共有される。すべてのベンダーは、各自の IAM アカウントから IAM プリンシパルを使用して Amazon S3 上のデータにアクセスする。ベンダーリストは毎週変更される可能性があり、ソリューションはクロスアカウントアクセスをサポートする必要があります。最も重要なことは何ですか?
A. KMSグラントを使ってキーアクセスを管理する。
B. ベンダーのアクセスを管理するために、プログラムでグラントを作成し、失効させる。
C. IAM ロールを使用してキーアクセスを管理する。
D. ベンダーのアクセスを管理するために、IAMロールポリシーをプログラムで更新する。
E. KMSキー・ポリシーを使用してキー・アクセスを管理する。
F. KMS 鍵ポリシーをプログラム的に更新し、ベンダーアクセスを管理する。G
回答を見る
正解: B
質問 #24
セキュリティチームは、社内にある数千のEC2インスタンスとオンプレミスサーバーのうち、最新のセキュリティパッチが適用されていないのはどれかというレポートを含むブリーフィングを、CISOに毎日提出しなければならない。すべてのインスタンス/サーバを24時間以内にコンプライアンスに適合させ、翌日のレポートに表示されないようにしなければならない。セキュリティチームは、どのようにしてこれらの要件を満たすことができますか?選択してください:
A. Amazon QuickSightとCloud Trailを使用して、コンプライアンス違反のインスタンス/サーバーのレポートを作成します。最新のパッチを適用したAMIを使用して、コンプライアンス違反のインスタンス/サーバーをすべて再デプロイします。
B. Systems Manger Patch Manger を使用して、コンプライアンス違反のインスタンス/サーバのレポートを作成する。
C. Systems Manager Patch Mangerを使用して、不足しているパッチをインストールする。
D. Systems Manger Patch Mangerを使用して、コンプライアンス違反のインスタンス/サーバーのレポートを作成する。最新のパッチを適用したAMIを使用して、コンプライアンス違反のインスタンス/サーバーをすべて再デプロイする。
E. Trusted Advisorを使用して、コンプライアンス違反のインスタンス/サーバーのレポートを生成する。
F. Systems Manger Patch Mangerを使用して、不足しているパッチをインストールする。
回答を見る
正解: DEF
質問 #25
あなたは、自動的に管理され、ローテーションされるキーを持つS3バケットにオブジェクトを格納する要件が必要です。この目的に使用できるのは次のうちどれですか?選択してください:
A. IAM KMS
B. IAM S3サーバー側の暗号化
C. IAM 顧客キー
D. IAM クラウド HSM
回答を見る
正解: C
質問 #26
あるセキュリティ・エンジニアは、本番環境と開発環境にまたがる数千台のAmazon EC2インスタンスを持っている。各インスタンスには環境のタグが付けられている。エンジニアは、すべての開発用EC2インスタンスを分析し、パッチを適用して、それらが現在、一般的な脆弱性や暴露(CVEs)にさらされていないことを確認する必要があります。(2つ選択)
A. 各EC2インスタンスにログオンし、インストールされているさまざまなソフトウェアのバージョンをチェックしてエクスポートし、現在のCVEのリストと照合して検証する。
B. すべての開発インスタンスにAmazon Inspectorエージェントをインストールする カスタムルールパッケージを構築し、開発環境としてタグ付けされたすべてのインスタンスで、このカスタムルールを使用してスキャンを実行するようにInspectorを構成する。
C. すべての開発インスタンスにAmazon Inspectorエージェントをインストールする 開発環境としてタグ付けされたすべてのインスタンスで、CVEルールパッケージを使用してスキャンを実行するようにInspectorを設定します。
D. すべての開発用インスタンスにAmazon EC2 System Managerエージェントをインストールする。 EC2 System ManagerにRunコマンドを発行し、すべてのインスタンスを更新する。
E. IAM Trusted Advisorを使用して、すべてのEC2インスタンスがオペレーティングシステムとインストールされているソフトウェアの最新バージョンにパッチされていることを確認する。
回答を見る
正解: CD
質問 #27
Amazon SQSからメッセージを取得するAmazon EC2インスタンスでアプリケーションを構築した。最近、IAMが変更され、インスタンスがメッセージを取得できなくなりました。最小権限を維持しながら問題をトラブルシューティングするために、どのようなアクションを取るべきか。(2つ選択)
A. インスタンスが使用するロールにMFAデバイスを設定し、割り当てる。
B. SQSリソース・ポリシーが、インスタンスが使用するロールへのアクセスを明示的に拒否していないことを確認してください。
C. インスタンスで使用されているロールにアタッチされているアクセスキーがアクティブであることを確認する。
D. インスタンスが使用するロールにAmazonSQSFullAccess管理ポリシーをアタッチします。
E. インスタンスにアタッチされたロールに、キューへのアクセスを許可するポリシーが含まれていることを確認してください。
回答を見る
正解: B
質問 #28
IAM IAM(Identity and Access Management)をオンプレミスのLDAP(Lightweight Directory Access Protocol)ディレクトリサービスと統合するには、どのテクニックを使用できますか?選択してください:
A. LDAPアカウント識別子とIAM資格情報を参照するIAMポリシーを使用する。
B. SAML(Security Assertion Markup Language)を使用して、IAM と LDAP 間のシングルサインオンを有効にする。
C. ID ブローカーの IAM Security Token Service を使用して、短命の IAM クレデンシャルを発行する。
D. IAM ロールを使用して、LDAP 資格情報が更新されたときに IAM 資格情報を自動的にローテートする。
回答を見る
正解: C
質問 #29
ある企業は、オンプレミス・リソースのアクセス管理にMicrosoft Active Directoryを使っており、IAMアカウントへのアクセスにも同じ仕組みを使いたいと考えている。さらに、開発チームは、別の認証ソリューションが必要な公開アプリケーションを立ち上げる予定である。これらの要件を満たすのは、次のうちいつですか?(2つ選択)
A. Amazon EC2上にドメインコントローラーをセットアップし、オンプレミスのディレクトリをIAMに拡張する。
B. オンプレミスとユーザーのVPC間のネットワーク接続を確立する
C. アプリケーション認証にAmazon Cognitoユーザープールを使用する。
D. AD Connector tor アプリケーション認証を使用する。
E. ADFS と SAML を使用して IAM への連携サインインを設定する。
回答を見る
正解: A
質問 #30
セキュリティエンジニアは、Amazon EC2 上で実行され、EC2 Auto Scaling グループで IAM CloudFormation テンプレートを使用して管理されるアプリケーションについて、以下の要件を与えられる。 -データベースの認証情報が安全に処理されるようにする。 -データベース認証情報の取得がログに記録されるようにする。これらの要件を満たす最も効率的な方法はどれですか。
A. プロパティをtruに設定したCloudFormationスタックパラメータを使用して、データベースの認証情報をEC2に渡す。
B. インスタンスがAmazon CloudWatch Logsにログを記録するように構成されていることを確認してください。
C. EC2インスタンスプロファイルのIAMロールを設定し、パラメータへのアクセスを許可する。
D. データベースのパスワードを取り込み、サーバー側で暗号化してAmazon S3に永続化するIAMラムダを作成する。
E. EC2インスタンスが起動時にS3オブジェクトを取得し、すべてのスクリプトの起動をsyslogにログ記録する。
F. EC2インスタンスの起動時に実行されるように、UserDataとして渡されるスクリプトを記述する。インスタンスがAmazon CloudWatch Logsにログを記録するように構成されていることを確認する。
回答を見る
正解: A
質問 #31
あなたの会社には、IAMで定義されたEC2インスタンスのセットがある。すべてのトラフィックパケットを監視し、セキュリティ上の脅威がないか検査する必要があります。これはどのように実現できますか?以下の選択肢から答えを2つ選んでください:
A. ホストベースの侵入検知システムを使う
B. 中央のEC2インスタンスにインストールされたサードパーティのファイアウォールを使用する。
C. VPCフローのログを使用する
D. ネットワークアクセス制御リストを使用する
回答を見る
正解: BDE
質問 #32
ある会社が、セキュアなアーキテクチャを設計している。セキュリティエンジニアは、可用性が高く安全な 2 層アーキテクチャを構成する必要がある。セキュリティ設計には、DDoS、クロスサイトスクリプティング、SQLインジェクションなどの一般的な攻撃を防止するためのコントロールが含まれていなければなりません。これらの要件を満たすソリューションはどれか。
A. 1つのRegio内の複数のAvailability Zoneでパブリックサブネットを使用するアプリケーションロードバランサー(ALB)を作成します。
B. ALBを、同じRegio内の複数のAvailability ZoneにまたがるプライベートサブネットのAmazon EC2インスタンスを持つAuto Scalingグループに向ける。
C. ALBをオリジンとして使用するAmazonCloudFrontディストリビューションを作成する。
D. 適切なIAM WAF ACLを作成し、CloudFrontディストリビューションで有効にする。
E. 1つのRegio内の複数のAvailability Zoneでプライベートサブネットを使用するアプリケーションロードバランサー(ALB)を作成する。
F. ALBを、同じRegio内の複数のAvailability ZoneにまたがるプライベートサブネットのAmazon EC2インスタンスを持つAuto Scalingグループに向ける。適切なIAM WAF ACLを作成し、CloudFrontディストリビューションで有効にする。I
回答を見る
正解: CEF

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.