아무것도 놓치고 싶지 않으신가요?

인증 시험 합격 팁

최신 시험 소식 및 할인 정보

전문가가 선별하고 최신 정보를 제공합니다.

예, 뉴스레터를 보내주세요

2024 년 업데이트 된 SCS-C02 시험 문제 및 연습 문제, AWS 인증 보안 - 전문 | SPOTO

AWS 인증 보안 - 스페셜티(SCS-C02) 시험은 AWS 클라우드 환경 내에서 보안 솔루션을 생성하고 구현하는 능력을 평가하는 종합적인 시험입니다. 이 자격증은 전문적인 데이터 분류, AWS 데이터 보호 메커니즘, 데이터 암호화 방법 및 AWS에서의 구현에 대한 숙달을 의미합니다. 또한, 보안 인터넷 프로토콜에 대한 지식과 AWS 보안 메커니즘과의 통합을 검증합니다. 업데이트된 2024 SCS-C02 시험 문제 및 모의고사로 합격에 대비하세요. 다양한 시험 문제, 모의고사, 샘플 문제를 통해 이해도와 준비도를 높일 수 있습니다. 무료 퀴즈, 시험 자료, 시험 답안 등이 포함된 리소스를 통해 효과적으로 연습할 수 있습니다. 시험 시뮬레이터를 활용하여 실제와 같은 시험 환경을 경험하고 실제 시험에 대한 자신감을 높이세요.

다른 온라인 시험에 응시하세요
질문 #1
한 회사가 미국 동부-1 리전에서 워크로드를 실행합니다. 이 회사는 다른 AWS 리전에 리소스를 배포한 적이 없으며 다중 리전 리소스를 보유하고 있지 않습니다. 이 회사는 워크로드와 인프라를 us-west-1 리전으로 복제해야 합니다. 보안 엔지니어는 AWS Secrets Manager를 사용하여 두 리전 모두에 비밀을 저장하는 솔루션을 구현해야 합니다. 솔루션은 AWS 키 관리 서비스(AWS KMS)를 사용하여 비밀을 암호화해야 합니다. 솔루션은 지연 시간을 최소화해야 하며 다음 중 하나만 작동할 수 있어야 합니다
A. AWS 관리형 KMS 키를 사용하여 us-east-1의 비밀을 암호화합니다
B. AWS 관리형 KMS 키를 사용하여 us-east-1의 시크릿을 암호화합니다
C. 고객이 관리하는 KMS 키를 사용하여 us-east-1의 비밀을 암호화합니다
D. 고객이 관리하는 KMS 키를 사용하여 us-east-1의 비밀을 암호화합니다
답변 보기
정답: D
질문 #2
회사의 정보 보안 책임자가 IAM 보안 모범 사례를 충족하기 위해 각 회사 계정에 대한 권장 사항이 포함된 IAM의 일일 이메일 보고서를 받고 싶어합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 모든 IAM 계정에서 IAM Lambda를 구성하여 IAM Support API 또는 IAM Trusted Advisor 보안 검사를 쿼리하도록 설정합니다
B. 마스터 계정에서 Amazon GuardDuty를 구성하고 다른 모든 계정을 마스터 계정에서 관리하도록 초대합니다
C. Amazon Athena 및 Amazon QuickSight를 사용하여 IAM CloudTrail에서 보고서를 작성하기 위해 매일 Amazon CloudWatch 트리거를 생성하여 보고서 달리를 실행하고 Amazon SNS를 사용하여 이메일로 보냅니다
D. IAM 아티팩트의 사전 구축된 보고서 및 구독 사용 정보 보안 책임자를 각 계정의 보안 대체 연락처로 추가하여 보고서를 구독합니다
답변 보기
정답: BD
질문 #3
최근 보안 감사 중에 대규모 조직의 여러 팀에서 여러 Amazon S3 버킷에 제한된 데이터를 배치하여 데이터가 노출되었을 수 있다는 사실을 발견했습니다. 감사관은 조직에 개인 식별 정보(PII)가 포함된 모든 가능한 개체를 식별한 다음 이 정보에 액세스했는지 여부를 확인하도록 요청했습니다. 보안팀이 이 요청을 완료할 수 있는 솔루션은 무엇인가요?
A. Amazon Athena를 사용하여 PII 쿼리 식별자 함수를 사용하여 영향을 받는 S3 버킷을 쿼리합니다
B. 그런 다음 Amazon S3 개체 액세스에 대한 새 Amazon CloudWatch 메트릭을 만들어 개체에 액세스할 때 알림을 받습니다
C. 영향을 받은 S3 버킷에서 Amazon Macie를 활성화한 다음 데이터 분류를 수행합니다
D. PII가 포함된 식별된 개체의 경우, GET 작업에 대한 IAM CloudTrail 로그 및 S3 버킷 로그 감사를 위해 조사 기능을 사용하세요
E. 영향을 받은 S3 버킷에서 Amazon GuardDuty를 활성화하고 PII 규칙 세트를 활성화한 다음 데이터 분류를 수행합니다
F. GuardDuty의 PII 결과 보고서를 사용하여, GET 작업용 Athena를 사용하여 S3 버킷 로그를 쿼리합니다
답변 보기
정답: A
질문 #4
보안 엔지니어가 기존 트레일에 대한 AW3 CloudTrail 로그 파일 접두사를 업데이트하라는 요청을 받습니다. 보안 엔지니어가 CloudTrail 콘솔에서 변경 사항을 저장하려고 할 때 다음과 같은 오류 메시지가 표시됩니다. "버킷 정책에 문제가 있습니다." 보안 엔지니어가 변경 사항을 확인할 수 있는 방법은 무엇인가요?
A. 업데이트된 로그 파일 접두사로 새 트레일을 생성한 다음 원래 네일을 삭제합니다
B. 보안 엔지니어 책임자가 PutBucketPolic을 수행할 수 있도록 Amazon S3 콘솔에서 기존 버킷 정책을 업데이트합니다
C. 서 로그 파일 접두사를 업데이트한 다음 CloudTrail 콘솔에서 로그 파일 접두사를 업데이트합니다
D. Amazon S3 콘솔에서 기존 버킷 정책을 새 로그 파일 접두사로 업데이트한 다음, CloudTrail 콘솔에서 로그 파일 접두사를 업데이트합니다
E. 보안 엔지니어 책임자가 GetBucketPolicy를 수행할 수 있도록 Amazon S3 콘솔에서 기존 버킷 정책을 업데이트한 다음, CloudTrail 콘솔에서 로그 파일 접두사를 업데이트합니다
답변 보기
정답: A
질문 #5
보안 엔지니어가 5분 동안 AWS 관리 콘솔에 로그인 시도가 세 번 이상 실패하면 경고를 전송하는 메커니즘을 구성하고 있습니다. 보안 엔지니어는 이 작업을 지원하기 위해 AWS CloudTrail에서 흔적을 생성합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇인가요? 정답은 B. 이벤트를 Amazon CloudWatch Logs로 전송하도록 CloudTrail을 구성합니다. 관련 로그 그룹에 대한 메트릭 필터를 만듭니다. EventName이 ConsoleLogin 및 errorMessage m과 일치하는 필터 패턴을 만듭니다
A. CloudTrail에서 트레일에서 인사이트 이벤트를 켭니다
B. 이벤트를 Amazon CloudWatch Logs로 전송하도록 CloudTrail을 구성합니다
C. loudTrail 이벤트에서 Amazon Athena 테이블을 생성합니다
D. WS ID 및 액세스 관리 액세스 분석기에서 새 분석기를 만듭니다
답변 보기
정답: B
질문 #6
보안 엔지니어가 Amazon S3 버킷 예제 버킷에서 암호화가 사용 설정되어 있지만 버킷에 액세스할 수 있는 사람은 누구나 파일을 검색할 수 있다는 사실을 발견했습니다. 엔지니어는 각 IAM 사용자가 할당된 폴더에만 액세스할 수 있도록 액세스를 제한하려고 합니다. 이를 위해 보안 엔지니어는 무엇을 해야 하나요?
A. IAM이 관리하는 CMK IAM/s3에서 봉투 암호화를 사용합니다
B. "${IAM:사용자 이름}" 변수를 기반으로 "kms:암호 해독"을 허용하는 키 정책을 사용하여 고객 관리형 CMK를 만듭니다
C. 각 용도에 대해 고객이 관리하는 CMK 만들기
D. 각 사용자를 해당 키 정책에서 키 사용자로 추가합니다
E. "리소스"에 대한 S3 액세스 권한을 부여하도록 해당 IAM 정책을 변경합니다: "arn:IAM:s3:::예제버킷/${IAM:사용자 이름}/*"
답변 보기
정답: B
질문 #7
회사의 보안 엔지니어가 모든 IAM 계정 루트 사용자 활동을 모니터링하고 보고해 달라는 요청을 받았습니다. 다음 중 보안 엔지니어가 모든 루트 사용자 활동을 모니터링하고 보고할 수 있는 것은 무엇인가요? (2가지 선택)
A. 유료 계정에서 루트 사용자 API 호출을 모니터링하도록 IAM 조직 구성하기
B. 루트 사용자의 API 호출이 보고될 때 트리거되는 Amazon CloudWatch 이벤트 규칙 만들기
C. 모든 루트 사용자 활동에 대해 IAM 계정을 검사하도록 Amazon Inspector 구성하기
D. 루트 사용자가 콘솔에 로그인할 때 보안 팀에 이메일을 보내도록 IAM Trusted Advisor 구성하기
E. 아마존 SNS를 사용하여 대상 그룹에 알리기
답변 보기
정답: D
질문 #8
회사에서 IAM KMS 서비스에 대한 모든 통화를 녹음하도록 의무화했습니다. 이를 어떻게 달성할 수 있나요? 선택해 주세요:
A. KMS 서비스에서 로깅 사용 설정
B. Cloudtrail에서 트레일 활성화
C. Cloudwatch 로그 활성화
D. Cloudwatch 메트릭 사용
답변 보기
정답: C
질문 #9
회사에서 특정 하위 도메인에 대해 DNSSEC(DNS 보안 확장)를 구현해야 합니다. 하위 도메인은 이미 Amazon 루트 53에 등록되어 있습니다. 보안 엔지니어가 DNSSEC 서명을 사용하도록 설정하고 KSK(키 서명 키)를 만들었습니다. 보안 엔지니어가 구성을 테스트하려고 할 때 신뢰 체인이 끊어졌다는 오류를 받습니다. 보안 엔지니어가 이 오류를 해결하려면 어떻게 해야 하나요?
A. KSK를 영역 서명 키(ZSK)로 교체합니다
B. KSK를 비활성화했다가 다시 활성화합니다
C. 모 호스트 영역에 위임 서명자(DS) 레코드를 만듭니다
D. 위 도메인에 위임 서명자(DS) 레코드를 만듭니다
답변 보기
정답: C
질문 #10
보안 이벤트 중에 일부 Amazon EC2 인스턴스가 Amazon CloudWatch 로그를 전송하지 않는 것이 발견되었습니다. 보안 엔지니어가 이 문제를 해결하기 위해 취할 수 있는 단계는 무엇인가요? (두 가지를 선택하세요.)
A. 적절한 로그를 전송하지 않는 EC2 인스턴스에 연결하고 CloudWatch Logs 에이전트가 실행 중인지 확인합니다
B. IAM 계정에 로그인하고 CloudWatch 로그를 선택합니다
C. 모니터링 중인 EC2 인스턴스가 "경고" 상태인지 확인하고 EC2 콘솔을 사용하여 다시 시작합니다
D. EC2 인스턴스에 공용 IAM API 엔드포인트에 대한 경로가 있는지 확인합니다
E. 로그를 전송하지 않는 EC2 인스턴스에 연결합니다
F. 명령 프롬프트를 사용하여 Amazon SNS 항목에 대한 올바른 권한이 설정되었는지 확인합니다
답변 보기
정답: B
질문 #11
한 소프트웨어 엔지니어가 여러 Amazon EC2 인스턴스에서 실행될 맞춤형 보고 서비스를 작성했습니다. 회사 보안 정책에 따르면 보고 서비스에 대한 애플리케이션 로그를 중앙에서 수집해야 합니다. 이러한 요구 사항을 충족하는 가장 효율적인 방법은 무엇인가요?
A. EC2 인스턴스에 로그인하여 EC2 인스턴스에서 애플리케이션 로그를 가져와 Amazon S3 버킷에 지속시키는 IAM Lambda 함수를 작성합니다
B. IAM 계정에 대해 IAM CloudTrail 로깅을 사용 설정하고, 새 Amazon S3 버킷을 만든 다음, CloudTrail에서 애플리케이션 로그를 수신하도록 Amazon CloudWatch 로그를 구성합니다
C. Rsync를 사용하여 애플리케이션 로그를 Amazon S3 버킷에 동기화하는 간단한 크론 작업을 EC2 인스턴스에서 생성합니다
D. EC2 인스턴스에 Amazon CloudWatch Logs 에이전트를 설치하고, 애플리케이션 로그를 CloudWatch Logs로 전송하도록 구성합니다
답변 보기
정답: A
질문 #12
회사에서 IAM 조직으로 관리되는 여러 IAM 계정을 사용하는 경우 보안 엔지니어가 이러한 모든 계정에 대한 표준 보안 그룹 집합을 만들었습니다. 보안 정책에 따라 모든 애플리케이션에 이러한 보안 그룹을 사용해야 하며 수정 권한은 보안 팀에만 위임합니다. 최근 보안 감사에서 보안 그룹이 계정 간에 일관성 없이 구현되어 있고 보안 그룹에 무단 변경이 이루어진 것으로 확인되었습니다. 보안 엔지니어는 다음과 같이 권장해야 합니다
A. IAM 리소스 액세스 관리자를 사용하여 필요한 각 보안 그룹에 대한 공유 리소스를 만들고 보안 그룹에 읽기 전용 액세스만 허용하는 IAM 정책을 적용합니다
B. 필요한 보안 그룹을 만드는 IAM CloudFormation 템플릿을 만듭니다
C. IAM 방화벽 관리자를 사용하여 보안 그룹 정책을 만들고, 정책 기능을 활성화하여 로컬 변경 사항을 식별 및 되돌리고, 자동 해결을 사용하도록 설정합니다
D. IAM 컨트롤 타워를 사용하여 계정 팩토리 템플릿을 편집하여 스네어 보안 그룹 옵션을 사용하도록 설정합니다
답변 보기
정답: A
질문 #13
보안 관리자가 의심스러운 IAM 계정 침해로 인해 로그 분석을 수행 중입니다. 관리자는 의심스러운 IAM CloudTrail 로그 파일을 분석하고 싶지만 생성되는 감사 로그의 양에 압도당하고 있습니다. 관리자가 로그를 가장 효율적으로 검색할 수 있는 접근 방식은 무엇인가요?
A. "쓰기 전용" CloudTrail 이벤트 필터를 구현하여 IAM 계정 리소스에 대한 모든 수정 사항을 감지합니다
B. CloudTrail 감사 로그가 포함된 Amazon S3 버킷에서 민감한 데이터를 분류하고 검색하도록 Amazon Macie를 구성합니다
C. CloudTrail S3 버킷에서 읽고 로그를 쿼리하여 계정 활동을 조사하도록 Amazon Athena를 구성합니다
D. Amazon S3 이벤트 알림을 사용 설정하여 새로운 CloudTrail API 항목이 있을 때 이메일 알람을 보내는 IAM Lambda 기능을 트리거합니다
답변 보기
정답: A
질문 #14
한 대학교의 보안 관리자가 여러 개의 Amazon EC2 인스턴스를 구성하고 있습니다. EC2 인스턴스는 학생들 간에 공유되며 루트 이외의 SSH 액세스가 허용됩니다. 관리자는 학생들이 EC2 인스턴스 메타데이터 서비스를 사용하여 다른 IAM 계정 리소스를 공격하는 것이 걱정됩니다. 관리자는 이러한 잠재적인 공격으로부터 보호하기 위해 무엇을 할 수 있나요?
A. EC2 인스턴스 메타데이터 서비스를 비활성화합니다
B. 모든 학생의 SSH 대화형 세션 활동을 기록합니다
C. 인스턴스에 IP 테이블 기반 제한을 구현합니다
D. 인스턴스에 Amazon Inspector 에이전트를 설치합니다
답변 보기
정답: B
질문 #15
일부 매우 민감한 분석 워크로드는 Amazon EC2 호스트로 이전해야 합니다. 위협 모델링 결과, 서브넷이 악의적으로 또는 실수로 인터넷에 노출될 수 있는 위험이 존재한다는 것을 발견했습니다. 다음 중 어떤 완화 조치를 권장해야 하나요?
A. IAM Config를 사용하여 인터넷 게이트웨이가 추가되었는지 여부를 감지하고 IAM Lambda 기능을 사용하여 자동 수정 기능을 제공합니다
B. Amazon VPC 구성 내에서 VPC를 비공개로 표시하고 Elastic IP 주소를 비활성화합니다
C. 인터넷에서 호스트에 액세스할 수 없으므로 EC2 호스트에서만 IPv6 주소 지정을 사용하세요
D. 워크로드를 전용 호스트로 이동하면 추가적인 네트워크 보안 제어 및 모니터링이 제공되므로 다음을 수행합니다
답변 보기
정답: A
질문 #16
한 대기업의 보안 엔지니어가 1,500개의 자회사가 사용하는 데이터 처리 애플리케이션을 관리하고 있습니다. 모회사와 자회사는 모두 IAM을 사용합니다. 이 애플리케이션은 TCP 포트 443을 사용하며 네트워크 부하 분산 장치(NLB) 뒤의 Amazon EC2에서 실행됩니다. 규정 준수를 위해 애플리케이션은 자회사에서만 액세스할 수 있어야 하며 공용 인터넷에서 사용할 수 없어야 합니다. 제한된 액세스에 대한 규정 준수 요구 사항을 충족하기 위해 엔지니어는 공개 및 비공개 CIDR을 받았습니다
A. 1;500 하위 CIDR 블록 범위에서 TCP 포트 443에 대한 액세스를 허용하는 NACL을 생성합니다
B. 1,500개의 하위 CIDR 블록 범위에서 TCP 포트 443에 대한 액세스를 허용하는 IAM 보안 그룹을 만듭니다
C. 보안 그룹을 NL에 연결
D. NLB 보안 그룹에서 TCP 포트 443에 액세스할 수 있는 EC2 인스턴스에 대한 두 번째 보안 그룹을 생성합니다
E. NL에 연결된 모회사 계정에서 IAM PrivateLink 엔드포인트 서비스를 만듭니다
F. 인스턴스에 대한 IAM 보안 그룹을 생성하여 IAM PrivateLink 엔드포인트에서 TCP 포트 443에 대한 액세스를 허용합니다
답변 보기
정답: A
질문 #17
보안 엔지니어는 VPC 내부에서 통신하는 컨테이너 간에 상호 인증된 TLS 연결을 구현해야 합니다. 어떤 솔루션이 가장 안전하고 유지 관리가 쉬울까요?
A. IAM 인증서 관리자를 사용하여 공인 인증 기관에서 인증서를 생성하고 모든 컨테이너에 배포합니다
B. 한 컨테이너에 자체 서명된 인증서를 만들고 IAM Secrets Manager를 사용하여 다른 컨테이너에 인증서를 배포하여 신뢰를 구축합니다
C. IAM 인증서 관리자 비공개 인증 기관(ACM PCA)을 사용하여 하위 인증 기관을 만든 다음 컨테이너에 개인 키를 만들고 ACM PCA API를 사용하여 서명합니다
D. IAM 인증서 관리자 개인 인증 기관(ACM PCA)을 사용하여 하위 인증 기관을 만든 다음, IAM 인증서 관리자를 사용하여 개인 인증서를 생성하고 모든 컨테이너에 배포합니다
답변 보기
정답: ADF
질문 #18
회사에는 여러 개의 프로덕션 IAM 계정과 중앙 보안 IAM 계정이 있습니다. 보안 계정은 중앙 집중식 모니터링에 사용되며 모든 기업 계정의 모든 리소스에 대한 IAM 권한을 가집니다. 회사의 모든 Amazon S3 버킷에는 콘텐츠의 데이터 분류를 나타내는 값으로 태그가 지정되어 있습니다. 보안 엔지니어가 보안 계정에 버킷 정책 준수를 시행할 모니터링 솔루션을 배포하고 있습니다. 이 시스템은 모든 프로덕션 계정에서 S3 버킷을 모니터링해야 하며, 모든 버킷을 모니터링해야 합니다
A. 프로덕션 계정에서 모든 S3 이벤트를 보안 계정 이벤트 버스로 보내도록 Amazon CloudWatch 이벤트를 구성합니다
B. 보안 계정에서 Amazon GuardDuty 활성화
C. 클릭하고 프로덕션 계정에 회원으로 가입합니다
D. S3 버킷 생성 또는 수정 이벤트를 감지하도록 보안 계정에서 Amazon CloudWatch 이벤트 규칙을 구성합니다
E. 보안 연락처에 할당된 이메일 주소에 대한 이메일 알림을 활성화하고 IAM 신뢰할 수 있는 어드바이저를 사용 설정합니다
F. 보안 계정에서 IAM Lambda 기능을 호출하여 S3 이벤트에 대한 응답으로 S3 버킷 설정을 분석하고 규정 위반 알림을 보안 팀에 보냅니다
답변 보기
정답: BEF
질문 #19
한 회사가 보안 모니터링 및 분석 작업을 수행하기 위해 사용자 지정 AMI를 사용하여 단일 리전의 여러 IAM 계정에서 Amazon EC2 인스턴스를 시작할 계획입니다. EC2 인스턴스는 EC2 자동 확장 그룹에서 시작됩니다. 솔루션의 보안을 강화하기 위해 보안 엔지니어는 중앙 집중식 계정에서 사용자 지정 AMI의 수명 주기를 관리하고 중앙에서 관리되는 IAM KMS CMK로 암호화합니다. 보안 엔지니어는 계정 간 액세스를 허용하도록 KMS 키 정책을 구성했습니다. 그러나
A. 중앙 집중식 계정에서 고객이 관리하는 CMK를 만듭니다
B. 키 정책에서 적절한 교차 계정 권한을 적용하여 다른 해당 계정에서 암호화 작업에 해당 키를 사용할 수 있도록 허용합니다
C. 해당되는 모든 계정에 IAM 역할을 만들고 암호화 작업을 위해 중앙에서 관리되는 CMK를 사용할 수 있도록 액세스 정책을 구성합니다
D. 생성된 IAM 역할을 사용하여 EC2 인스턴스를 시작하도록 각 해당 계정 내에서 EC2 자동 확장 그룹을 구성합니다
E. 중앙 집중식 계정에서 고객 관리형 CMK 만들기
F. 키 정책에서 적절한 계정 간 권한을 적용하여 다른 해당 계정이 암호화 작업에 해당 키를 사용하도록 허용합니다
답변 보기
정답: A
질문 #20
한 회사가 IAM Cloud에서 중요한 웹 애플리케이션을 호스팅합니다. 이 애플리케이션은 회사의 주요 수익 창출 애플리케이션입니다. IT 보안팀은 웹 사이트에 대한 잠재적인 DDos 공격에 대해 걱정하고 있습니다. 또한 고위 경영진은 잠재적인 DDos 공격이 발생할 경우 즉각적인 조치를 취해야 한다고 명시했습니다. 이와 관련하여 어떤 조치를 취해야 하나요? 선택해 주세요:
A. IAM 쉴드 서비스 사용을 고려하세요
B. VPC 플로우 로그를 사용하여 DDos 공격 트래픽을 모니터링하고 잠재적인 공격 트리거에 대해 신속하게 조치를 취하는 것이 좋습니다
C. IAM Shield 고급 서비스 사용을 고려하세요
D. Cloudwatch 로그를 사용하여 DDos 공격 트래픽을 모니터링하고 잠재적인 공격 트리거에 대해 신속하게 조치를 취하는 것을 고려하세요
답변 보기
정답: A
질문 #21
보안 엔지니어가 회사를 위한 암호화 도구를 개발해야 합니다. 회사는 15분 이내에 키 자료로 보호되는 모든 리소스에 대해 암호화 삭제를 수행할 수 있는 기능을 지원하는 암호화 솔루션이 필요합니다. 보안 엔지니어가 이러한 요구 사항을 충족할 수 있는 IAM 키 관리 서비스(IAM KMS) 키 솔루션은 무엇인가요?
A. CMK로 가져온 키 자료 사용
B. IAM KMS CMK 사용
C. IAM 관리형 CMK를 사용합니다
D. IAM KMS 고객 관리형 CMK 사용
답변 보기
정답: A
질문 #22
회사에는 Amazon EC2 인스턴스 간의 수신, 송신 및 통신을 관리하는 복잡한 연결 규칙이 있습니다. 규칙이 너무 복잡해서 최대 보안 그룹 및 네트워크 액세스 제어 목록(네트워크 ACL)의 제한 내에서 구현할 수 없습니다. 추가 비용을 들이지 않고 필요한 모든 네트워크 규칙을 구현할 수 있는 메커니즘은 무엇인가요?
A. 필요한 규칙을 구현하도록 IAM WAF 규칙을 구성합니다
B. 운영 체제에 내장된 호스트 기반 방화벽을 사용하여 필요한 규칙을 구현합니다
C. 요구 사항에 따라 NAT 게이트웨이를 사용하여 수신 및 발신을 제어합니다
D. IAM 마켓플레이스에서 EC2 기반 방화벽 제품을 시작하고 해당 제품에서 필요한 규칙을 구현합니다
답변 보기
정답: D
질문 #23
한 회사에서 온프레미스 환경과 IAM 간의 프라이빗 네트워크를 암호화하려고 합니다. 또한 직원들에게 일관된 네트워크 환경을 제공하고자 합니다. 이러한 요구 사항을 충족하기 위해 회사는 무엇을 해야 할까요?
A. IAM과 직접 연결 연결을 설정하고 직접 연결 게이트웨이를 설정합니다
B. Direct Connect 게이트웨이 구성에서 IPsec 및 BGP를 사용 설정한 다음 가용 영역과 리전 간에 기본 IAM 네트워크 암호화를 활용합니다,
C. IAM과 직접 연결 연결을 설정하고 직접 연결 게이트웨이를 설정합니다
D. 다이렉트 커넥트 게이트웨이를 사용하여 비공개 가상 인터페이스를 생성하고 고객 게이트웨이 비공개 IP 주소를 광고합니다
E. 고객 게이트웨이와 가상 사설 게이트웨이를 사용하여 VPN 연결 만들기
F. 인터넷을 통해 IAM 가상 사설 클라우드와 VPN 연결을 설정합니다
답변 보기
정답: B
질문 #24
한 회사에는 IPv6 주소 범위가 있는 VPC와 IPv6 주소 블록이 있는 공용 서브넷이 있습니다. 이 VPC는 현재 일부 공용 Amazon EC2 인스턴스를 호스팅하고 있지만 보안 엔지니어가 IPv6 연결이 필요한 두 번째 애플리케이션을 VPC로 마이그레이션해야 합니다. 이 새 애플리케이션은 업데이트를 받기 위해 때때로 인터넷에 액세스할 수 있는 외부 엔드포인트에 API 요청을 하지만 보안팀은 애플리케이션의 EC2 인스턴스가 인터넷에 직접 노출되는 것을 원하지 않습니다
A. 공용 서브넷에서 NAT 인스턴스 시작 NAT 인스턴스에 대한 새 경로로 사용자 지정 경로 테이블을 업데이트합니다
B. 인터넷 게이트웨이를 제거하고, VPC에 IAM PrivateLink를 추가합니다
C. VPC에 관리형 NAT 게이트웨이 추가 게이트웨이에 대한 새 경로로 사용자 지정 경로 테이블을 업데이트합니다
D. VP에 송신 전용 인터넷 게이트웨이 추가하기
E. 게이트웨이에 대한 새 경로로 사용자 지정 경로 테이블을 업데이트합니다
답변 보기
정답: A
질문 #25
EC2 채우기 권한이 있는 IAM 사용자는 유지 관리 작업을 위해 중지된 Amazon EC2 인스턴스를 봇으로 시작할 수 있습니다. 인스턴스를 시작하면 인스턴스 상태가 "보류 중"으로 변경되지만 몇 초 후에 다시 "중지됨"으로 전환됩니다. 검사 결과, 인스턴스에 고객 마스터 키(CMK)를 사용하여 암호화된 Amazon EBS 볼륨이 첨부되어 있는 것으로 확인되었습니다. 이러한 암호화된 볼륨이 분리되자, IAM 사용자는 EC2 인스턴스를 시작할 수 있었습니다. IAM 사용자 정책은 다음과 같습니다
A. kms:GenerateDataKey
B. kms:해독
C. kms:CreateGrant
D. "Condition": {"Bool": {"kms:ViaService": "ec2
E. "조건": {"Bool": {"kms:GrantIsForIAMResource": true}}
답변 보기
정답: B
질문 #26
회사에는 IAM 계정에 정의된 1,000개의 EC2 인스턴스 집합이 있습니다. 이러한 인스턴스에 대한 여러 관리 작업을 효과적으로 자동화하려고 합니다. 다음 중 이를 달성하는 효과적인 방법은 무엇인가요? 선택해 주세요:
A. IAM 시스템 관리자 매개변수 저장소 사용
B. IAM 시스템 관리자 실행 명령 사용
C. IAM 검사기 사용
D. IAM 구성 사용
답변 보기
정답: C
질문 #27
보안 엔지니어가 제품 팀과 협력하여 IAM에서 웹 애플리케이션을 구축하고 있습니다. 이 애플리케이션은 정적 콘텐츠를 호스팅하기 위해 Amazon S3를 사용하고, RESTful 서비스를 제공하기 위해 Amazon API Gateway를 사용하며, 백엔드 데이터 저장소로 Amazon DynamoDB를 사용합니다. 사용자는 이미 SAML ID 공급자를 통해 노출된 디렉터리에 존재합니다. 사용자가 웹 애플리케이션에 인증되어 API를 호출할 수 있도록 하기 위해 엔지니어가 수행해야 하는 다음 작업의 조합은 무엇인가요? (세 가지를 선택하세요.)
A. IAM Lambda를 사용하여 사용자 지정 권한 부여 서비스를 만듭니다
B. Amazon Cognito에서 SAML ID 공급자를 구성하여 Amazon Cognito 사용자 풀 속성에 속성을 매핑합니다
C. 아마존 코그니토 사용자 풀을 신뢰 당사자로 추가하도록 SAML ID 공급자를 구성합니다
D. 소셜 로그인 공급업체와 통합하도록 Amazon Cognito ID 풀을 구성합니다
E. 사용자 이메일 주소와 비밀번호를 저장하도록 DynamoDB를 업데이트합니다
F. 코그니토_사용자_풀스 권한 부여자를 사용하도록 API 게이트웨이를 업데이트합니다
답변 보기
정답: A
질문 #28
보안 관리자가 회사 루트 사용자 계정의 기능을 제한하고 있습니다. 회사에서 IAM 조직을 사용하며 통합 청구를 포함한 모든 기능 집합에 대해 이를 사용 설정했습니다. 최상위 수준 계정은 청구 및 관리 목적으로 사용되며, IAM 리소스 운영 목적으로는 사용되지 않습니다. 관리자는 조직 전체에서 구성원 루트 사용자 계정의 사용을 어떻게 제한할 수 있나요?
A. 조직 루에서 루트 사용자 계정 사용을 비활성화합니다
B. 각 조직 구성원 계정에 대해 루트 사용자 계정의 다단계 인증을 사용 설정합니다
C. 각 조직 구성원 계정에 대한 루트 계정 기능을 제한하도록 IAM 사용자 정책을 구성합니다
D. 루트 사용의 사용을 제어하는 서비스 제어 정책이 있는 조직에서 조직 단위(OU)를 만듭니다
E. 모든 운영 계정을 새 OU에 추가합니다
F. Amazon CloudWatch Logs와 통합하도록 IAM CloudTrail을 구성한 다음 RootAccountUsage에 대한 메트릭 필터를 만드세요
답변 보기
정답: DEF
질문 #29
한 회사에서 코드형 인프라(IaC)를 사용하여 AWS 인프라를 생성합니다. 회사는 인프라를 배포하기 위해 코드를 AWS CloudFormation 템플릿으로 작성합니다. 회사에는 이러한 템플릿을 배포하는 데 사용할 수 있는 기존 CI/CD 파이프라인이 있습니다. 최근 보안 감사를 받은 후, 회사는 AWS에서 회사의 보안 태세를 개선하기 위해 코드형 정책 접근 방식을 채택하기로 결정합니다. 이 회사는 보안 정책을 위반할 수 있는 인프라(예: 암호화되지 않은 인프라)의 배포를 방지해야 합니다
A. AWS 트러스티드 어드바이저를 켭니다
B. WS 구성을 켭니다
C. WS CloudFormation Guard에서 규칙 세트를 생성합니다
D. 규칙 세트를 SCP로 만듭니다
답변 보기
정답: C
질문 #30
개발자가 Amazon API 게이트웨이를 프런트엔드로 사용하는 서버리스 애플리케이션을 구축하고 있습니다. 이 애플리케이션은 공개적으로 액세스할 수 없습니다. Amazon EC2에서 실행 중인 다른 레거시 애플리케이션이 애플리케이션을 호출합니다. 보안 엔지니어가 애플리케이션의 인증 및 권한 부여를 위한 보안 제어를 검토해 달라는 요청을 받았습니다. 가장 안전한 솔루션을 제공하는 작업 조합은 다음 중 어느 것입니까? (두 개 선택 )
A. API 게이트웨이와의 통신을 위해 최소한의 허용 작업을 허용하는 IAM 정책 구성 레거시 EC2 인스턴스에서 사용하는 역할에 정책을 연결합니다
B. API 게이트웨이용 IAM WAF 사용 레거시 EC2 인스턴스에서 연결을 명시적으로 허용하도록 규칙을 구성합니다
C. API 게이트웨이용 VPC 엔드포인트 생성 레거시 EC2 인스턴스의 역할이 특정 API를 호출할 수 있도록 허용하는 IAM 리소스 정책을 첨부합니다
D. 사용 계획 만들기 API를 호출해야 하는 각 애플리케이션에 대한 API 키 세트를 생성합니다
E. 각 API에서 CORS(교차 출처 리소스 공유) 구성하기 API를 호출하는 애플리케이션과 CORS 정보를 공유하세요
답변 보기
정답: AE
질문 #31
한 회사가 애플리케이션 로드 밸런서(ALB) 뒤에 있는 Amazon EC2 인스턴스에서 공용 웹사이트를 호스팅합니다. 인스턴스는 여러 가용 영역에 걸친 EC2 자동 확장 그룹에 있습니다. 웹 사이트가 사용자 에이전트에 표시되는 특정 loT 기기 브랜드에 의해 DDoS 공격을 받고 있습니다. 보안 엔지니어는 공용 웹사이트의 가용성에 영향을 주지 않으면서 공격을 완화해야 합니다. 이를 위해 보안 엔지니어는 무엇을 해야 하나요?
A. LoT 디바이스의 사용자 에이전트에 대한 문자열 일치 조건으로 요청을 차단하도록 IAM WAF에 대한 웹 ACL 규칙을 구성합니다
B. V/eb ACL을 ALB에 연결합니다
C. ALB를 원본으로 사용하도록 Amazon CloudFront 배포를 구성합니다
D. LoT 디바이스의 사용자 에이전트에 대한 문자열 일치 조건으로 요청을 차단하도록 IAM WAF에 대한 웹 ACL 규칙을 구성합니다
E. 웹 ACL을 ALB와 연결하기 웹사이트의 공용 DNS 항목을 CloudFront 배포를 가리키도록 변경합니다
F. 새 ALB를 오리진으로 사용하도록 Amazon CloudFront 배포를 구성합니다
답변 보기
정답: B
질문 #32
한 회사의 온프레미스 데이터 센터는 DNS 로그를 타사 보안 인시던트 이벤트 관리(SIEM) 솔루션으로 전달하여 의심스러운 동작에 대한 경고를 보냅니다. 이 회사는 자동 수정 기능을 포함하는 유사한 기능을 IAM 계정에 도입하려고 합니다. 이 회사는 향후 몇 개월 내에 규모가 두 배로 늘어날 것으로 예상하고 있습니다. 회사의 현재 및 향후 로깅 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 모든 지역 및 모든 계정에서 Amazon GuardDuty 및 IAM 보안 허브를 사용 설정합니다
B. 하위 계정의 모든 알림을 수신할 마스터 보안 계정을 지정합니다
C. 해결 단계에 대한 IAM 람다 함수를 트리거하도록 Amazon Even;Bridge 내에서 특정 규칙을 설정합니다
D. 지정된 보안 계정의 단일 Amazon S3 버킷에 모든 IAM CloudTrail 로그, VPC 플로우 로그, DNS 로그를 수집합니다
E. 현재 온프레미스 SIEM을 사용하여 로그를 모니터링하고 Amazon SNS 토픽에 알림을 보내 보안 팀에 문제 해결 단계를 알립니다
F. 지정된 보안 계정의 단일 Amazon S3 버킷에 모든 IAM CloudTrail 로그, VPC 플로우 로그, DNS 로그를 수집합니다
답변 보기
정답: B
질문 #33
회사에는 IAM에서 호스팅되는 EC2 인스턴스가 있습니다. 이 EC2 인스턴스는 애플리케이션을 호스팅합니다. 현재 이 애플리케이션에 여러 가지 문제가 발생하고 있습니다. 네트워크 패킷을 검사하여 어떤 유형의 오류가 발생했는지 확인해야 하나요? 다음 중 이 문제를 해결하는 데 도움이 될 수 있는 단계는 무엇인가요? 선택해 주세요:
A. VPC 플로우 로그를 사용합니다
B. IAM 파트너가 제공하는 네트워크 모니터링 도구를 사용합니다
C. 다른 인스턴스 사용
D. 포트를 "무차별 모드"로 설정하고 트래픽을 스니핑하여 패킷을 분석합니다
E. Cloudwatch 메트릭 사용
답변 보기
정답: D
질문 #34
소프트웨어 엔지니어가 Amazon EC2 인스턴스에 대한 네트워크 연결이 제대로 작동하지 않는 이유를 알아내려고 합니다. 해당 보안 그룹은 0.0.0.0/0에서 인바운드 HTTP 트래픽을 허용하며, 아웃바운드 규칙은 기본값에서 수정되지 않았습니다. 해당 서브넷과 연결된 사용자 지정 네트워크 ACL은 0.0.0.0/0에서 인바운드 HTTP 트래픽을 허용하고 아웃바운드 규칙이 없습니다. 연결 문제를 해결하려면 어떻게 해야 하나요?
A. 보안 그룹의 아웃바운드 규칙에 따라 임시 포트 범위에서 클라이언트로 응답을 보내는 것을 허용하지 않습니다
B. 보안 그룹의 아웃바운드 규칙에 따라 HTTP 포트에서 클라이언트로 응답을 보내는 것을 허용하지 않습니다
C. 임시 포트 범위에서 클라이언트에 응답을 보낼 수 있도록 네트워크 ACL에 아웃바운드 규칙을 추가해야 합니다
D. 네트워크 ACL에 아웃바운드 규칙을 추가하여 HTTP 포트에서 클라이언트로 응답을 전송할 수 있도록 해야 합니다
답변 보기
정답: C
질문 #35
EC2 인스턴스에서 실행되는 애플리케이션은 데이터베이스에 액세스하려면 사용자 이름과 비밀번호를 사용해야 합니다. 개발자는 기본 KMS CMK를 사용하여 이러한 비밀을 SecureString 유형으로 SSM 파라미터 스토어에 저장했습니다. 애플리케이션이 API를 통해 비밀번호에 액세스할 수 있도록 허용하는 구성 단계의 조합은 무엇인가요? 아래 옵션에서 2개의 답을 선택하세요:
A. EC2 인스턴스 역할을 SSM 서비스 역할에 신뢰할 수 있는 서비스로 추가합니다
B. KMS 키를 사용하여 암호를 해독할 수 있는 권한을 SSM 서비스 역할에 추가합니다
C. EC2 인스턴스 롤에 SSM 매개변수를 읽을 수 있는 권한 추가
D.
E. EC2 인스턴스 역할에 암호 해독을 위해 KMS 키를 사용할 수 있는 권한 추가
F. SSM 서비스 역할을 EC2 인스턴스 역할에 신뢰할 수 있는 서비스로 추가합니다
답변 보기
정답: B
질문 #36
한 조직에는 IAM에서 실행 중인 3개의 애플리케이션이 있으며, 각각 Amazon S3의 동일한 데이터에 액세스합니다. Amazon S3의 데이터는 IAM KMS CMK(고객 마스터 키)를 사용하여 서버 측에서 암호화됩니다. 각 애플리케이션이 KMS CMK에 대한 고유한 프로그래밍 방식의 액세스 제어 권한을 갖도록 하려면 어떤 방법이 권장되나요?
A. Amazon S3의 데이터에 액세스해야 하는 경우 각 애플리케이션에 대해 KMS CMK와 관련된 키 정책 권한을 변경합니다
B. 각 애플리케이션이 IAM 인증서 관리자 CMK를 사용할 수 있는 권한을 제공하는 IAM 역할을 맡도록 합니다
C. 각 애플리케이션이 KMS CMK에서 특정 액세스 제어를 추가하거나 제거하기 위해 KMS CMK의 권한을 사용하도록 합니다
D. 각 애플리케이션이 사용자 컨텍스트에서 IAM 정책을 사용하여 KMS CMK에 대한 특정 액세스 권한을 갖도록 합니다
답변 보기
정답: AD
질문 #37
조직이 ELB 클래식 로드 밸런서 뒤에 있는 EC2 인스턴스가 손상되었다는 알림을 받습니다. 측면 이동을 제한하고 증거 수집을 허용하는 기술은 무엇인가요?
A. 로드 밸런서에서 인스턴스를 제거하고 종료합니다
B. 로드 밸런서에서 인스턴스를 제거하고 보안 그룹을 강화하여 인스턴스에 대한 액세스를 차단합니다
C. 인스턴스를 재부팅하고 Amazon CloudWatch 알람이 있는지 확인합니다
D. 인스턴스를 중지하고 루트 EBS 볼륨의 스냅샷을 생성합니다
답변 보기
정답: B
질문 #38
회사에 암호화된 Amazon S3 버킷이 있습니다. 애플리케이션 개발자에게 S3 버킷에 대한 액세스를 허용하는 IAM 정책이 있지만 애플리케이션 개발자가 버킷 내의 개체에 액세스할 수 없습니다. 이 문제의 원인은 무엇인가요?
A. S3 버킷에 대한 S3 ACL이 애플리케이션 개발자에게 명시적으로 액세스 권한을 부여하지 못합니다
B. S3 버킷의 IAM KMS 키가 애플리케이션 개발자를 관리자로 나열하지 못합니다
C. S3 버킷 정책이 애플리케이션 개발자에게 명시적으로 액세스 권한을 부여하지 않습니다
D. S3 버킷 정책은 애플리케이션 개발자에 대한 액세스를 명시적으로 거부합니다
답변 보기
정답: D
질문 #39
한 회사가 대부분의 IT 인프라를 IAM으로 이전할 계획입니다. 기존 온-프레미스 Active Directory를 IAM을 위한 ID 공급자로 활용하려고 합니다. 보안 엔지니어가 회사의 온-프레미스 Active Directory를 IAM과 페더레이션하려면 어떤 단계를 조합하여 수행해야 하나요? (두 가지를 선택하세요.)
A. 각 Active Directory 그룹에 해당하는 권한으로 IAM 역할을 만듭니다
B. 각 Active Directory 그룹에 해당하는 권한으로 IAM 그룹을 만듭니다
C. SAML 공급자를 지원하도록 Amazon Cloud Directory를 구성합니다
D. Active Directory와 IAM 간에 신뢰 당사자 신뢰를 추가하도록 Active Directory를 구성합니다
E. Active Directory와 IAM 간에 신뢰 당사자 신뢰를 추가하도록 Amazon Cognito를 구성합니다
답변 보기
정답: ABF
질문 #40
최근 내부 조사 중에 프로덕션 계정에서 모든 API 로깅이 비활성화되어 있고 루트 사용자가 여러 번 사용한 것으로 보이는 새 API 키를 생성한 것이 발견되었습니다. 이 사고를 감지하고 자동으로 해결하기 위해 무엇을 할 수 있었을까요?
A. Amazon Inspector를 사용하여 모든 API 호출을 검토하고 SNS 토픽을 활용하여 보안팀에 IAM CloudTrail 변경 사항을 알리고 루트 사용자의 새 API 키를 해지하도록 Inspector 에이전트를 구성합니다
B. IAM Config를 사용하여 루트 사용자 create-api-ke에 대한 모든 호출뿐만 아니라 IAM CloudTrail이 비활성화되는 시기를 감지하는 구성 규칙을 만듭니다
C. 그런 다음 Lambda 함수를 사용하여 CloudTrail 로그를 다시 활성화하고 루트 API 키를 비활성화합니다
D. Amazon CloudWatch를 사용하여 IAM CloudTrail 비활성화를 감지하는 CloudWatch 이벤트와 루트 API 키 생성을 자동으로 감지하는 별도의 Amazon Trusted Advisor 확인을 생성합니다
E. 그런 다음 람다 함수를 사용하여 IAM CloudTrail을 사용하도록 설정하고 루트 API 키를 비활성화합니다
F. Amazon CloudTrail을 사용하여 CloudTrail 로그의 비활성화를 감지하는 새 CloudTrail 이벤트와 루트 API 키의 생성을 감지하는 별도의 CloudTrail 이벤트를 생성합니다
답변 보기
정답: A
질문 #41
향후 키 손상으로 인해 노출될 수 있는 데이터의 잠재적 범위를 최소화하는 데 중점을 둔 키 관리 모범 사례를 지원하는 IAM 키 관리 서비스(KMS)의 사용 옵션은 무엇인가요?
A. KMS 자동 키 로테이션을 사용하여 마스터 키를 교체하고, 이전에 암호화된 데이터를 다시 암호화하지 않고 이 새 마스터 키를 향후 암호화 작업에 사용합니다
B. 새 고객 마스터 키(CMK)를 생성하고, 새 CMK로 기존 데이터를 모두 다시 암호화한 다음, 향후 모든 암호화 작업에 사용합니다
C. 90일마다 CMK 별칭을 변경하고 키를 호출하는 애플리케이션을 새 키 별칭으로 업데이트합니다
D. 키를 프로비저닝할 수 있는 개인이 키를 사용할 수 있는 개인과 동일하지 않도록 CMK 권한을 변경합니다
답변 보기
정답: BE
질문 #42
보안 엔지니어가 프로덕션 시스템을 감사하던 중 필요하지도 않고 90일 전 마지막 감사에서 이전에 문서화되지 않은 몇 가지 추가 IAM 역할을 발견합니다. 엔지니어는 이러한 IAM 역할을 누가 언제 만들었는지 알아내려고 합니다. 솔루션은 운영 오버헤드가 가장 낮아야 합니다. 어떤 솔루션이 이 요구 사항을 충족하나요?
A. Amazon S3에서 Amazon Elasticsearch Service 클러스터로 IAM CloudTrail 로그를 가져와서 결합된 로그에서 CreateRole 이벤트를 검색합니다
B. Amazon Athena에서 IAM CloudTrail 이벤트용 테이블 만들기
C. 아마존 아테나에서 CreateRole 이벤트에 대한 테이블을 쿼리합니다
D. IAM Config를 사용하여 추가 IAM 역할에 대한 구성 타임라인을 조회하고 연결된 IAM CloudTrail 이벤트를 확인합니다
E. IAM 콘솔에서 자격증명 보고서를 다운로드하여 생성 날짜를 포함하여 각 IAM 엔터티에 대한 세부 정보를 확인합니다
답변 보기
정답: A
질문 #43
회사에는 IAM에서 실행 중인 여러 워크로드가 있습니다. 직원들은 IAM 관리 콘솔에 액세스하기 위해 온-프레미스 ADFS 및 SSO를 사용하여 인증해야 합니다. 개발자가 기존 레거시 웹 애플리케이션을 Amazon EC2 인스턴스로 마이그레이션했습니다. 직원들은 인터넷의 어느 곳에서나 이 애플리케이션에 액세스해야 하지만 현재 애플리케이션에 내장된 인증 시스템이 없습니다. 보안 엔지니어가 애플리케이션을 변경하지 않고 이 시스템에 대한 직원 전용 액세스를 구현하려면 어떻게 해야 할까요?
A. 애플리케이션을 애플리케이션 로드 밸런서(ALB) 뒤에 배치합니다
B. SAML 기반 Amazon Cognito 사용자 풀을 정의하고 ADFS에 연결합니다
C. 마스터 계정에 IAM SSO를 구현하고 ADFS에 ID 제공으로 연결합니다
D. EC2 인스턴스를 관리되는 리소스로 정의한 다음 리소스에 IAM 정책을 적용합니다
E. Amazon Cognito ID 풀을 정의한 다음 Active Directory 서버에 커넥터를 설치합니다
F. 애플리케이션 인스턴스에서 Amazon Cognito SDK를 사용하여 Active Directory 사용자 이름과 비밀번호를 사용하여 직원을 인증합니다
답변 보기
정답: D
질문 #44
회사의 VPC와 온프레미스 데이터 센터 간의 연결을 보호하는 동안 보안 엔지니어가 온프레미스 호스트(IP 주소 203.0.113.12)에서 Amazon EC2 인스턴스(IP 주소 172.31.16.139)로 ping 명령을 보냈습니다. Ping 명령이 응답을 반환하지 않았습니다. VPC의 플로우 로그에 다음과 같이 표시됩니다: 2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 0 1 4 336 1432917027 1432917142 ACCEPT OK 2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 RE
A. EC2 인스턴스의 보안 그룹에서 인바운드 ICMP 트래픽을 허용합니다
B. EC2 인스턴스의 보안 그룹에서 아웃바운드 ICMP 트래픽을 허용합니다
C. VPC의 NACL에서 인바운드 ICMP 트래픽을 허용합니다
D. VPC의 NACL에서 아웃바운드 ICMP 트래픽을 허용합니다
답변 보기
정답: B
질문 #45
한 조직에서 애플리케이션 서버가 Amazon EC2 인스턴스에서 실행되는 3계층 웹 애플리케이션을 배포하려고 합니다. 이러한 EC2 인스턴스는 Amazon RDS DB 인스턴스에 대한 SQL 연결을 인증하는 데 사용할 자격 증명에 액세스할 수 있어야 합니다. 또한, IAM Lambda 함수는 동일한 데이터베이스 자격 증명을 사용하여 RDS 데이터베이스에 쿼리를 발급해야 합니다. 자격 증명은 EC2 인스턴스와 Lambda 함수가 액세스할 수 있도록 저장되어야 합니다. 다른 액세스는 허용되지 않습니다. 액세스 로그는 다음과 같아야 합니다
A. 데이터베이스 자격 증명을 IAM KMS(IAM 키 관리 서비스)에 저장합니다
B. EC2 인스턴스 프로파일에 역할 추가하기
C. 인스턴스 프로파일을 EC2 인스턴스에 연결합니다
D. 새 역할을 실행에 사용하도록 Lambda를 설정합니다
E. 데이터베이스 자격 증명을 IAM KM에 저장합니다
F. 역할의 트러스트 정책에서 EC2 및 Lambda 서비스 주체를 사용하여 KMS에 대한 액세스 권한이 있는 IAM 역할 만들기 G
답변 보기
정답: ABF
질문 #46
회사의 보안 정보 이벤트 관리(SIEM) 도구가 모든 개체 생성 이벤트 알림을 Amazon SNS 항목으로 보내도록 구성된 Amazon S3 버킷에서 새 IAM CloudTrail 로그를 수신합니다. 이 SNS 항목에 Amazon SQS 큐가 가입되어 있습니다. 그런 다음 회사의 SEM 도구는 IAM 역할을 사용하여 새 메시지에 대해 이 SQS 대기열을 포팅하고 SQS 메시지를 기반으로 S3 버킷에서 새 로그 이벤트를 가져옵니다. 최근 보안 검토 결과 권한이 제한되어 SEM 도구가 중지되었습니다
A. SOS 대기열은 SNS 주제에서 SQS SendMessage 작업을 허용하지 않습니다
B. SNS 주제는 Amazon S3에서 SNS 게시 작업을 허용하지 않습니다
C. SNS 토픽이 SQS 대기열에 원시 메시지를 전달하지 않습니다
D. S3 버킷 정책으로 인해 CloudTrail이 PutObject 작업을 수행할 수 없습니다
E. 5EM 도구에서 사용하는 IAM 역할에 SNS 주제에 대한 구독 권한이 없습니다
F. SEM 도구에서 사용하는 IAM 역할이 SQS 삭제 메시지 작업을 허용하지 않습니다
답변 보기
정답: BDF
질문 #47
미디어 업계에서 일하고 있으며 사용자가 자신이 만든 사진을 웹사이트에 업로드할 수 있는 웹 애플리케이션을 만들었습니다. 이 웹 애플리케이션이 작동하려면 S3 API를 호출할 수 있어야 합니다. 최대한의 보안 수준을 유지하면서 API 자격 증명을 어디에 저장해야 하나요? 선택해 주세요:
A. API 자격 증명을 PHP 파일에 저장합니다
B. API 자격 증명을 저장하지 말고 IAM에서 역할을 생성하고 처음 생성할 때 이 역할을 EC2 인스턴스에 할당하세요
C. API 자격 증명을 공개 Github 리포지토리에 저장합니다
D. 인스턴스 사용자 데이터를 사용하여 인스턴스에 API 자격 증명을 전달합니다
답변 보기
정답: ACE
질문 #48
모바일 게임의 보안 엔지니어는 사용자가 진행 상황을 저장할 수 있도록 사용자를 인증하는 방법을 구현해야 합니다. 대부분의 사용자가 동일한 OpenID-Connect 호환 소셜 미디어 웹사이트에 속해 있기 때문에 보안 엔지니어는 해당 소셜 미디어를 ID 공급자로 사용하고 싶습니다. 소셜 미디어 ID를 사용하여 사용자를 인증할 수 있는 가장 간단한 방법은 무엇인가요?
A. 아마존 코그니토
B. 웹아이덴티티로 역할 설정 API
C. 아마존 클라우드 디렉토리
D. 액티브 디렉터리(AD) 커넥터
답변 보기
정답: DEF
질문 #49
회사에는 여러 개의 고객 마스터 키(CMK)가 있으며, 그 중 일부는 키 자료를 가져온 것입니다. 각 CMK는 매년 교체해야 합니다. 보안팀이 각 키를 교체하는 데 사용할 수 있는 두 가지 방법은 무엇인가요? 아래 주어진 옵션 중에서 2가지 답을 선택하세요:
A. CMK에 대한 자동 키 회전 활성화
B. 새 키 자료를 기존 CMK로 가져오기
C. CLI 또는 콘솔을 사용하여 기존 CMK를 명시적으로 회전합니다
D. 새 키 자료를 새 CMK로 가져오기: 키 별칭을 새 CMK로 지정합니다
E. 기존 CMK를 삭제하면 새 기본 CMK가 생성됩니다
답변 보기
정답: B

제출 후 답변 보기

질문에 대한 답변을 얻으려면 이메일과 WhatsApp을 제출하세요.

참고: 올바른 시험 결과를 얻을 수 있도록 이메일 ID와 Whatsapp이 유효한지 확인하십시오.

이메일:
WhatsApp/전화번호:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.