아무것도 놓치고 싶지 않으신가요?

인증 시험 합격 팁

최신 시험 소식 및 할인 정보

전문가가 선별하고 최신 정보를 제공합니다.

예, 뉴스레터를 보내주세요

효과적인 준비를 위한 AWS SCS-C02 시험 문제 | AWS 인증 보안 - 전문 분야

SPOTO의 AWS SCS-C02시험 문제를 통해 실제 시험 환경을 정확하게 시뮬레이션하는 방대한 양의 시험 문제 모음을 제공하여, 시험 형식과 문제 유형에 익숙해질 수 있습니다. 이러한 학습 자료는 업계 전문가가 전문적으로 설계하여 관련성과 정확성을 보장합니다. 또한 SPOTO는 실제 인증 시험과 매우 유사한 모의고사를 제공하여 자신의 준비 상태를 측정하고 추가 학습이 필요한 영역을 파악할 수 있습니다. 이러한 시험 리소스를 활용하여 효과적으로 준비하고 첫 번째 시도에서 AWS Certified Security - Specialty 시험을 성공적으로 통과하여 안전한 AWS 클라우드 솔루션 생성 및 구현에 대한 전문성을 입증 할 수 있습니다.
다른 온라인 시험에 응시하세요
질문 #1
개발팀이 IAM KMS(IAM 키 관리 서비스) CMK를 사용하여 IAM 시스템 관리자 매개 변수 저장소에서 보안 문자열 매개 변수를 암호화 및 해독하려고 합니다. 그러나 시도할 때마다 오류 메시지가 개발 팀에 전송됩니다. 이 오류의 원인이 될 수 있는 CMK 관련 문제는 무엇입니까? (두 가지를 선택하세요.)
A. 지만 회사에서는 다른 계정의 사용자가 동일한 폴더의 다른 파일에 액세스하는 것을 허용하고 싶지 않습니다
B. 다른 계정에 사용자 정책을 적용하여 IAM Glue 및 Athena lo가
C. 3 Select를 사용하여
D.
E. 직을 주체로 지정하는 리소스 기반 정책에서 Amazon S3에 대한 액세스 권한을 IAM Glue에 부여합니다
답변 보기
정답: AD
질문 #2
한 회사가 Amazon S3에 저장된 모든 데이터를 암호화해야 합니다. 이 회사는 암호화 키를 만들고 관리하기 위해 IAM KMS(IAM 키 관리 서비스)를 사용하려고 합니다. 회사의 보안 정책에 따라 키에 대한 회사 자체 키 자료를 가져오고, 키에 만료일을 설정하고, 필요한 경우 키를 즉시 삭제할 수 있는 기능이 필요한데, 보안 엔지니어가 이러한 요구 사항을 충족하기 위해 IAM KMS를 어떻게 설정해야 하나요?
A. IAM KMS를 구성하고 사용자 지정 키 저장소를 사용합니다
B. AM KMS 구성 및 기본 키 저장소 사용 키 자료가 없는 IAM 관리형 CMK 만들기 회사의 키 자료를 CMK로 가져오기
C. AM KMS 구성 및 기본 키 저장소 사용 키 자료가 없는 고객 관리형 CMK 만들기 회사의 키 자료를 CMK로 가져옵니다
D. AM KMS를 구성하고 사용자 지정 키 저장소를 사용합니다
답변 보기
정답: A
질문 #3
기업에는 다중 계정 인증 및 권한 부여를 위한 확장 가능한 솔루션을 구현할 보안 엔지니어가 필요합니다. 솔루션에 사용자가 관리하는 아키텍처 구성 요소를 추가로 도입하지 않아야 합니다. 가능한 한 기본 IAM 기능을 사용해야 합니다. 보안 엔지니어가 모든 기능이 활성화되고 IAM SSO가 활성화된 상태에서 IAM 조직을 설정했습니다.이 작업을 완료하려면 보안 엔지니어가 어떤 추가 단계를 수행해야 하나요?
A. AD 커넥터를 사용하여 IAM 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 만듭니다
B. IAM SSO 기본 디렉터리를 사용하여 IAM 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 만듭니다
C. AM SSO 기본 디렉터리를 사용하여 IAM 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 만듭니다
D. icrosoft Active Directory의 IAM 디렉터리 서비스를 사용하여 IAM 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 만듭니다
답변 보기
정답: B
질문 #4
온프레미스 서버에 Amazon EFS(Amazon Elastic File System)를 사용할 계획입니다. 이 회사는 온프레미스 데이터 센터 간에 기존 IAM Direct Connect 연결이 설정되어 있으며, 회사의 온프레미스 방화벽이 허용 목록에 특정 IP 주소만 추가되어야 하고 CIDR 범위는 추가되지 않아야 한다는 IAM 지역 보안 정책이 명시되어 있습니다. 또한 이 회사는 특정 데이터 센터 기반 서버만 Amazon EFS에 액세스할 수 있도록 액세스를 제한하려고 합니다. 보안 엔진은 어떻게 해야 하나요?
A. 데이터 센터 방화벽의 허용 목록에 파일 시스템-ID efs IAM-지역 amazonIAM com URL을 추가합니다
B. Amazon EFS에 Elastic IP 주소를 할당하고 데이터 센터 방화벽의 허용 목록에 Elastic IP 주소를 추가합니다
C. 이터 센터 방화벽의 허용 목록에 EFS 파일 시스템 마운트 대상 IP 주소를 추가합니다
D. AM 지원팀에 문의하여 EFS 파일 시스템에 대한 정적 범위의 IP 주소를 할당합니다
답변 보기
정답: B
질문 #5
회사에서 AWS 람다 함수를 사용하는 데이터 처리 애플리케이션을 구축하고 있습니다. 애플리케이션의 람다 함수는 동일한 AWS 계정의 VPC 내에 배포된 Amazon RDS OB 인스턴스와 통신해야 합니다.가장 안전한 방법으로 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 블릭 액세스를 허용하도록 DB 인스턴스 구성하기 AWS 리전에 대한 Lambda 퍼블릭 주소 공간에서 액세스를 허용하도록 DB 인스턴스 보안 그룹을 업데이트합니다
B. PC 내부에 람다 기능 배포 람다 서브넷에 네트워크 ACL을 연결합니다 VPC CIDR 범위에만 아웃바운드 규칙 접근 권한을 제공합니다 0 0 0에서 트래픽을 허용하도록 DB 인스턴스 보안 그룹을 업데이트합니다
C. PC 내부에 람다 함수 배포 람다 함수에 보안 그룹 연결 VPC CIDR 범위에만 아웃바운드 규칙 접근 권한 제공 람다 보안 그룹에서 트래픽을 허용하도록 DB 인스턴스 보안 그룹 업데이트
보안 그룹 없이 직접 네트워크에 액세스할 수 있도록 Lambda 기본 VPC를 DB 인스턴스를 호스팅하는 VPC와 D. eer합니다
답변 보기
정답: C
질문 #6
IAM에 S3 버킷이 정의되어 있습니다. 유선으로 데이터를 전송하기 전에 데이터를 암호화하고 싶은데 이를 달성하는 가장 좋은 방법은 무엇인가요?
A. S3 버킷에 서버 측 암호화를 활성화합니다
B. IAM 암호화 CLI를 사용하여 먼저 데이터를 암호화합니다
C. 데이터를 S3 버킷으로 보내기 전에 람다 함수를 사용하여 데이터를 암호화합니다
D. 킷에 클라이언트 암호화를 사용 설정합니다
답변 보기
정답: B
질문 #7
한 기업이 여러 회사를 인수할 준비를 하고 있습니다. 보안 엔지니어는 새로 인수한 IAM 계정이 기업의 보안 모범 사례를 따르도록 솔루션을 설계해야 합니다. 이 솔루션은 각 Amazon S3 버킷에 대한 무제한 공개 쓰기 액세스를 모니터링하고 IAM 관리형 서비스를 사용해야 하는데, 보안 엔지니어가 이러한 요구 사항을 충족하려면 어떻게 해야 할까요?
A. 모든 S3 버킷의 구성을 지속적으로 확인하도록 Amazon Macie를 구성합니다
B. IAM Config를 활성화하여 각 S3 버킷의 구성을 확인합니다
C. 개 쓰기 액세스에 대한 S3 버킷 정책을 모니터링하도록 IAM 시스템 관리자를 설정합니다
D. 든 S3 버킷의 상태를 확인하는 IAM 역할과 크론 작업을 갖도록 Amazon EC2 인스턴스를 구성합니다
답변 보기
정답: C
질문 #8
한 회사에서 웹사이트용 이미지를 Amazon S3 버킷에 저장합니다. 이 회사는 최종 사용자에게 이미지를 제공하기 위해 Amazon CloudFront를 사용하고 있습니다. 최근에 회사가 배포 라이선스가 없는 국가에서 이미지에 액세스하는 것을 발견했습니다. 이미지 배포를 제한하기 위해 이미지 보안을 위해 회사가 취해야 할 조치는 무엇입니까? (2개를 선택하세요.)
A. IAM 트러스티드 어드바이저의 IAM(ID 및 액세스 관리) 사용 보고서를 분석하여 액세스 키가 마지막으로 사용된 시점을 확인합니다
B. 액세스 키를 검색하여 Amazon CloudWatch 로그에서 활동을 분석합니다
C. 세스 키를 검색하여 활동에 대한 VPC 플로우 로그를 분석합니다
D. AM ID 및 액세스 관리(IAM)에서 자격증명 보고서를 분석하여 액세스 키가 마지막으로 사용된 시점을 확인합니다
답변 보기
정답: AC
질문 #9
회사의 애플리케이션 팀은 IAM에서 MySQL 데이터베이스를 호스팅해야 합니다. 회사의 보안 정책에 따라 IAM에 저장되는 모든 데이터는 미사용 시 암호화되어야 합니다. 또한 모든 암호화 자료는 FIPS 140-2 레벨 3 검증을 준수해야 합니다.애플리케이션 팀은 회사의 보안 요구 사항을 충족하고 운영 오버헤드를 최소화하는 솔루션이 필요합니다.어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. Amazon RDS에서 데이터베이스를 호스팅합니다
B. Amazon RDS에서 데이터베이스를 호스팅합니다
C. Amazon EC2 인스턴스에서 데이터베이스를 호스팅합니다
D. mazon EC2 인스턴스에서 데이터베이스를 호스팅합니다
답변 보기
정답: B
질문 #10
회사의 보안 팀이 Amazon EC2 어뷰즈 팀으로부터 회사의 Amazon EC2 인스턴스 중 하나 이상이 손상되었을 수 있다는 이메일 알림을 받았습니다.보안 팀이 대응하기 위해 취해야 할 조치 조합은 무엇입니까(현재 모뎀? (두 개 선택))?
A. Amazon CloudWatch 모니터링을 사용하여 Amazon EC2 및 네트워킹 메트릭 캡처 Amazon CloudWatch 대시보드를 사용하여 메트릭을 시각화하세요
B. 아마존 키네시스 에이전트를 실행하여 상태 데이터를 아마존 키네시스 데이터 파이어호스에 기록합니다
C. 상태 확인 구성 요소에서 직접 상태 데이터를 공용 Amazon S3 버킷에 쓰기 데이터를 분석하는 IAM Lambda 함수를 호출하도록 S3 이벤트를 구성합니다
D. 태 확인 구성 요소에서 이벤트를 생성하여 Amazon CloudWatch 이벤트로 전송합니다
답변 보기
정답: DE
질문 #11
감사 결과 회사의 Amazon EC2 인스턴스 보안 그룹이 들어오는 SSH 트래픽을 제한 없이 허용하여 회사 정책을 위반한 것으로 확인되었습니다. 보안 엔지니어는 이러한 위반 사항을 관리자에게 알려주는 실시간에 가까운 모니터링 및 경고 솔루션을 구현해야 합니다. 이러한 요구 사항을 가장 효율적으로 충족하면서 운영 효율성을 극대화하는 솔루션은 무엇인가요?
A. 매일 실행되고 네트워크 도달 가능성 패키지를 사용하는 반복되는 Amazon Inspector 평가 실행을 만듭니다
B. 규정을 준수하지 않는 보안 그룹 구성 변경에 의해 호출되는 제한된-ssh IAM 구성 관리 규칙을 사용합니다
C. P에 대한 VPC 플로우 로그를 구성하고 Amazon CloudWatch Logs 그룹을 지정합니다
D. 매일 실행되고 보안 모범 사례 패키지를 사용하는 반복되는 Amazon Inspector 평가 실행을 만듭니다
답변 보기
정답: B
질문 #12
한 회사가 Amazon S3에서 정적 웹 사이트를 호스팅하고 있습니다. 이 회사는 웹 사이트 콘텐츠를 제공하기 위해 Amazon CloudFront 배포를 구성했습니다. 이 회사는 IAM WAF 웹 ACL을 CloudFront 배포와 연결했습니다. 웹 ACL은 규정 준수 제한을 해결하기 위해 요청이 미국에서 출발하도록 보장합니다.회사는 S3 URL에 직접 액세스할 수 있고 요청이 CloudFront 배포를 우회할 수 있다고 걱정하고 있습니다.회사는 어떤 단계를 조합하여 다시 시작해야 하나요?
A. Amazon Macie를 활성화하여 Secunty H jb가 Detective가 Macie에서 찾은 결과를 처리할 수 있도록 합니다
B. 조직의 모든 구성원 계정에 로그인하는 CtoudTrail에서 IAM 키 관리 서비스(IAM KMS) 암호화를 비활성화합니다
C. 모든 회원 계정에서 Amazon GuardDuty 활성화 48시간 내에 Detective를 활성화하세요
D. Detective를 실행하는 팀장에게 조직의 ListAccounts 권한이 있는지 확인합니다
답변 보기
정답: AD
질문 #13
회사에서 AWS 람다 함수를 사용하는 데이터 처리 애플리케이션을 구축하고 있습니다. 애플리케이션의 람다 함수는 동일한 AWS 계정의 VPC 내에 배포된 Amazon RDS OB 인스턴스와 통신해야 합니다.가장 안전한 방법으로 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 블릭 액세스를 허용하도록 DB 인스턴스 구성하기 AWS 리전에 대한 Lambda 퍼블릭 주소 공간에서 액세스를 허용하도록 DB 인스턴스 보안 그룹을 업데이트합니다
B. PC 내부에 람다 기능 배포 람다 서브넷에 네트워크 ACL을 연결합니다 VPC CIDR 범위에만 아웃바운드 규칙 접근 권한을 제공합니다 0 0 0에서 트래픽을 허용하도록 DB 인스턴스 보안 그룹을 업데이트합니다
C. PC 내부에 람다 함수 배포 람다 함수에 보안 그룹 연결 VPC CIDR 범위에만 아웃바운드 규칙 접근 권한 제공 람다 보안 그룹에서 트래픽을 허용하도록 DB 인스턴스 보안 그룹 업데이트
보안 그룹 없이 직접 네트워크에 액세스할 수 있도록 Lambda 기본 VPC를 DB 인스턴스를 호스팅하는 VPC와 D. eer합니다
답변 보기
정답: C
질문 #14
한 회사에서 외부 ID 공급자를 사용하여 다른 IAM 계정으로의 페더레이션을 허용합니다. 회사의 보안 엔지니어가 일주일 전에 프로덕션 Amazon EC2 인스턴스를 종료한 페더레이션 사용자를 식별해야 하는데, 보안 엔지니어가 페더레이션 사용자를 식별할 수 있는 가장 빠른 방법은 무엇인가요?
A. Amazon S3 버킷에서 IAM CloudTrail 이벤트 기록 로그를 검토하고 역할 세션 이름에서 페더레이션 사용자를 식별하기 위해 Terminatelnstances 이벤트를 찾습니다
B. Terminatelnstances 이벤트에 대한 IAM CloudTrail 이벤트 기록을 필터링하고 가정된 IAM 역할을 식별합니다
C. erminatelnstances 이벤트에 대한 IAM CloudTrail 로그를 검색하고 이벤트 시간을 기록합니다
D. Amazon Athena를 사용하여 Amazon S3 버킷에 저장된 IAM CloudTrail 로그에서 SQL 쿼리를 실행하고 Terminatelnstances 이벤트를 필터링합니다
답변 보기
정답: B
질문 #15
한 회사가 미국 동부 1 리전에 Amazon GuardDuty를 배포했습니다. 회사는 회사의 Amazon EC2 인스턴스와 관련된 모든 DNS 로그를 검사하기를 원합니다. 보안 엔지니어가 EC2 인스턴스가 기록되도록 하려면 어떻게 해야 하나요?
A. 호스트 이름에 대해 구성된 IPv6 주소를 사용합니다
B. 외부 DNS 확인자를 IAM에만 표시되는 내부 확인자로 구성합니다
C. 든 EC2 인스턴스에 IAM DNS 확인자를 사용합니다
D. 든 EC2 인스턴스에 대해 로깅을 사용하는 타사 DNS 확인자를 구성합니다
답변 보기
정답: C
질문 #16
한 회사가 AWS 계정에서 파일을 암호화하기 위해 애플리케이션에 AWS 소유 키(AWS KMS)를 사용하고 있습니다. 회사의 보안팀은 잠재적인 키 유출이 발생할 때마다 새 파일에 대해 새로운 키 자료로 변경할 수 있는 기능을 원합니다. 보안 엔지니어는 보안팀이 원할 때마다 키를 변경할 수 있는 솔루션을 구현해야 합니다.어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. 고객 관리 키 만들기 키에 키 순환 일정 추가 보안팀에서 키 변경을 요청할 때마다 키 순환 일정을 호출합니다
B. AWS 관리형 키 만들기 키에 키 순환 일정 추가 보안팀이 키 변경을 요청할 때마다 키 순환 일정을 호출합니다
C. 별칭 만들기 보안팀에서 키 변경을 요청할 때마다 새 고객 관리 키를 만듭니다
D. 별칭 만들기 보안 팀이 키 변경을 요청할 때마다 새 AWS 관리 키를 만듭니다
답변 보기
정답: A
질문 #17
한 회사에서 애플리케이션을 위해 IAM WAF와 Amazon CloudFront를 구현했습니다. 이 애플리케이션은 자동 확장 그룹의 일부인 Amazon EC2 인스턴스에서 실행됩니다. 자동 확장 그룹은 애플리케이션 로드 밸런서(ALB) 뒤에 있으며, IAM WAF 웹 ACL은 IAM 관리 규칙 규칙 그룹을 사용하며 CloudFront 배포와 연결되어 있습니다. CloudFront는 IAM WAF로부터 요청을 수신한 다음 배포의 오리진으로 ALB를 사용합니다.보안 검토 중에 보안 엔지니어는 인프라가 다음과 같은 것을 발견합니다
A. Lambda@Edge 기능을 사용하도록 CloudFront 배포를 구성합니다
B. 웹 ACL이 모든 IAM WAF 규칙을 더 빠르게 처리할 수 있도록 더 많은 용량 단위를 갖도록 IAM WAF 웹 ACL을 구성합니다
C. 율 한도를 초과하면 요청을 자동으로 차단하는 비율 제한을 적용하는 비율 기반 규칙으로 IAM WAF를 구성합니다
D. ALB 대신 IAM WAF를 오리진으로 사용하도록 CloudFront 배포를 구성합니다
답변 보기
정답: C
질문 #18
한 회사에서 새로운 Amazon RDS 데이터베이스 애플리케이션을 개발했습니다. 이 회사는 전송 중 암호화 및 미사용 시 암호화를 위해 ROS 데이터베이스 자격 증명을 보호해야 합니다. 또한 자격 증명을 정기적으로 자동으로 교체해야 하는데, 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. IAM 시스템 관리자 파라미터 저장소를 사용하여 데이터베이스 자격 증명을 저장합니다
B. IAM Secrets Manager를 사용하여 데이터베이스 자격 증명을 저장합니다
C. 3 관리 암호화 키(SSE-S3)를 사용하여 서버 측 암호화로 구성된 Amazon S3 버킷에 데이터베이스 자격 증명을 저장합니다
D. 이터베이스 자격 증명을 Amazon S3 Glacier에 저장하고 S3 Glacier 볼트 잠금 기능을 사용하여 예약된 베이스에서 자격 증명을 회전하도록 IAM Lambda 기능을 구성합니다
답변 보기
정답: A
질문 #19
회사의 보안 엔지니어는 Amazon GuardDuty, AWS ID 및 액세스 관리 액세스 분석기 또는 Amazon Made에서 심각도가 높은 보안 발견을 생성할 때마다 이메일 알림을 받기를 원합니다. 이 회사는 모든 계정을 관리하기 위해 AWS Control Tower를 사용합니다. 또한 모든 AWS 서비스 통합이 켜진 상태에서 AWS Security Hub를 사용하고 있는데, 운영 오버헤드가 가장 적으면서 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 각 서비스의 공개 API를 호출하여 심각도가 높은 결과를 검색할 수 있도록 GuardDuty, 1AM Access Analyzer, Macie에 대해 별도의 AWS Lambda 함수를 설정합니다
B. 심각도가 높은 보안 허브 발견 이벤트와 일치하는 패턴으로 Amazon EventBridge 규칙을 만듭니다
C. 각도가 높은 AWS 컨트롤 타워 이벤트와 일치하는 패턴으로 Amazon EventBridge 규칙을 생성합니다
D. mazon EC2에서 애플리케이션을 호스팅하여 GuardDuty, 1AM 액세스 분석기 및 Macie API를 호출하고, 애플리케이션 내에서 Amazon 단순 알림 서비스(Amazon SNS) API를 사용하여 심각도가 높은 결과를 검색하고 결과를 SNS 토픽으로 전송합니다
답변 보기
정답: B
질문 #20
한 회사에서 AWS 람다 함수를 사용하는 데이터 처리 애플리케이션 매트를 구축하고 있습니다. 애플리케이션의 람다 함수는 동일한 AWS 계정의 VPC 내에 배포된 Amazon RDS OB 인스턴스와 통신해야 하는데, 가장 안전한 방법으로 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 블릭 액세스를 허용하도록 DB 인스턴스 구성하기 AWS 리전에 대한 Lambda 퍼블릭 주소 공간에서 액세스를 허용하도록 DB 인스턴스 보안 그룹을 업데이트합니다
B. PC 내부에 람다 기능 배포 람다 서브넷에 네트워크 ACL을 연결합니다 VPC CIDR 범위에만 아웃바운드 규칙 접근 권한을 제공합니다 0
C. PC 내부에 람다 함수 배포 람다 함수에 보안 그룹 연결 VPC CIDR 범위에만 아웃바운드 규칙 접근 권한 제공 람다 보안 그룹에서 트래픽을 허용하도록 DB 인스턴스 보안 그룹 업데이트
보안 그룹 없이 직접 네트워크에 액세스할 수 있도록 Lambda 기본 VPC를 DB 인스턴스를 호스팅하는 VPC와 D. eer합니다
답변 보기
정답: C
질문 #21
한 회사에서 IAM KMS(키 관리 서비스) CMK로 서버 측 암호화를 사용하여 민감한 문서를 Amazon S3에 저장합니다. 새로운 요구 사항에 따라 이러한 문서에 사용되는 CMK는 S3 작업에만 사용할 수 있는데, 이 요구 사항을 충족하기 위해 회사가 키 정책에 추가해야 하는 문장은 무엇인가요?
A.
B.
답변 보기
정답: A
질문 #22
한 회사에서 개발자가 테스트 및 학습 목적으로 사용할 수 있도록 개발자를 위한 IAM 계정을 만들었습니다. MM 계정은 여러 개발자 팀이 공유할 것이므로, 회사는 팀이 소유한 인스턴스에 대해서만 이러한 작업을 수행할 수 있도록 Amazon EC2 인스턴스를 중지 및 종료하는 기능을 제한하려고 합니다.개발자에게 모든 인스턴스에 팀 태그 키를 태그하고 태그 값에 팀 이름을 사용하도록 지시했습니다.이 계정을 처음 사용하는 팀 중 하나는 비즈니스 정보 보안 en
A. 각 팀에 대해 동료와 유사한 AM 정책을 생성합니다
B. 각 팀에 대해 다음과 유사한 IAM 정책을 만듭니다
C. 각 IAM 역할에 팀 지연 키로 태그를 지정하고 태그 값에 팀 이름을 사용합니다
D. IAM 역할에 팀 키를 태그하고 태그 값에 팀 이름을 사용합니다
답변 보기
정답: A
질문 #23
회사에서 IAM에서 서버를 관리하기 위해 배스티온 호스트를 사용할 계획인데, 다음 중 보안 관점에서 배스티온 호스트를 가장 잘 설명하는 것은 무엇인가요?
A. 스티온 호스트는 보안 문제로 인해 공용 서브넷이 아닌 사설 서브넷에 있어야 합니다
B. 바스티온 호스트는 내부 네트워크 외부에 위치하며 프라이빗 네트워크의 게이트웨이로 사용되며 네트워크의 핵심 거점으로 간주됩니다
C. astion 호스트는 사용자가 RDP 또는 SSH를 사용하여 로그인하고 해당 세션을 사용하여 내부 네트워크에 S5H로 연결하여 비공개 서브넷 리소스에 액세스할 수 있도록 합니다
D. 바스티온 호스트는 대중에게 공개되는 만큼 매우 엄격한 보안과 모니터링을 유지해야 합니다
답변 보기
정답: C
질문 #24
회사에는 IAM에 정의된 EC2 인스턴스 집합이 있습니다. 이러한 EC2 인스턴스에는 엄격한 보안 그룹이 연결되어 있습니다. 보안 그룹에 대한 변경 사항을 기록하고 그에 따라 조치를 취해야 합니다. 이를 어떻게 달성할 수 있을까요?
A. Cloudwatch 로그를 사용하여 보안 그룹의 활동을 모니터링하세요
B. Cloudwatch 메트릭을 사용하여 보안 그룹의 활동을 모니터링합니다
C. AM 검사기를 사용하여 보안 그룹의 활동을 모니터링합니다
D. 보안 그룹에 대한 변경 사항이 있을 때 Cloudwatch 이벤트를 사용하여 트리거합니다
답변 보기
정답: D
질문 #25
한 회사에서 IAM 조직을 사용하여 여러 IAM 계정을 관리합니다. 회사의 보안팀은 일부 구성원 계정이 중앙 집중식 Amazon S3 로깅 버킷으로 IAM CloudTrail 로그를 보내지 않는 것을 발견했습니다. 보안 팀은 적어도 하나의 트레일이 구성되어 있는지(또는 기존 계정 및 향후 생성되는 모든 계정에 대해) 확인하려고 하는데, 이를 위해 보안 팀이 구현해야 하는 일련의 작업은 무엇인가요?
A. 새 트레일을 생성하고 CloudTrail 로그를 Amazon S3로 전송하도록 구성합니다
B. 모든 계정에 IAM 람다 함수를 배포하여 기존 트레일이 있는지 확인하고 필요한 경우 새 트레일을 생성합니다
C. 직 마스터 계정에서 기존 트레일을 편집하여 조직에 적용합니다
클라우드 트레일:삭제\' 및 클라우드 트레일:중지\' 동작을 거부하는 SCP를 생성합니다. 모든 계정에 SCP를 적용합니다
답변 보기
정답: C
질문 #26
기업은 규정 준수 요건을 충족하기 위해 웹 애플리케이션에 연결할 때 HTTPS를 사용해야 합니다. 이러한 웹 애플리케이션은 애플리케이션 로드 밸런서(ALB) 뒤에 있는 Amazon EC2 인스턴스의 Amazon VPC에서 실행됩니다. 보안 엔지니어는 로드 밸런서가 포트 443을 통한 연결만 허용하도록 하려고 합니다. ALB가 HTTP 수신기로 잘못 구성된 경우에도요.이 작업을 수행하려면 보안 엔지니어가 수행해야 하는 구성 단계는 무엇인가요?
A. 포트 00의 0
B. 포트 80의 0 0
C. 포트 443의 VPC IP 범위로만 아웃바운드 연결을 허용하는 네트워크 ACL을 생성하고, 네트워크 ACL을 VPC의 인터넷 게이트웨이와 연결합니다
D. 포트 443의 0
답변 보기
정답: D
질문 #27
최근 보안 감사에서 IAM CloudTrail 로그가 변조 및 무단 액세스로부터 충분히 보호되지 않는 것으로 나타났습니다. 이러한 감사 결과를 해결하기 위해 보안 엔지니어가 취해야 할 조치는 무엇인가요? (3개 선택 )
A. 영향을 받는 계정에서 IAM WAF 규칙을 업데이트하고 IAM 방화벽 관리자를 사용하여 다른 모든 계정에 업데이트된 IAM WAF 규칙을 푸시합니다
B. GuardDuty 중앙 집중식 로깅 및 Amazon SNS를 사용하여 모든 애플리케이션 팀에 보안 사고를 알리는 알림을 설정합니다
C. uardDuty 알림을 사용하여 알려진 악성 IP 주소를 차단하기 위해 Amazon EC2 인스턴스에 추가 NACL을 추가하여 모든 계정을 업데이트하는 IAM Lambda 함수를 작성합니다
D. AM Shield Advanced를 사용하여 각 개별 계정의 위협을 식별한 다음 조직을 통해 다른 모든 계정에 계정 기반 보호 기능을 적용합니다
답변 보기
정답: ADE
질문 #28
보안 엔지니어는 여러 IAM 리전에서 IAM CloudTrail이 꺼진 경우 다시 켜는 솔루션을 구축해야 하는데, 이 솔루션을 구현하는 가장 효율적인 방법은 무엇인가요?
A. 관리되는 규칙과 함께 IAM 구성을 사용하여 IAM-EnableCloudTrail 수정을 트리거합니다
B. loudtrail
C. loudtrail
D. onitor IAM 트러스티드 어드바이저를 사용하여 CloudTrail 로깅이 활성화되어 있는지 확인하세요
답변 보기
정답: B
질문 #29
한 회사에서 AWS 키 관리 서비스(AWS KMS)를 사용하여 미사용 데이터를 보호하기 위한 암호화 전략을 구현할 계획입니다. 이 회사는 회사 프로젝트에 클라이언트 측 암호화를 요구합니다. 이 회사는 현재 여러 프로젝트를 진행하며 AWS KMS 사용을 테스트하고 있습니다. 이러한 테스트로 인해 회사의 AWS 리소스 소비가 갑자기 증가했습니다. 테스트 프로젝트에는 암호화 활동을 위해 매초마다 여러 요청을 KMS 엔드포인트에 발행하는 애플리케이션이 포함되어 있습니다
A. AWS 암호화 SDK와 함께 키링을 사용하세요
B. 데이터 키 캐싱 사용
C. MS 키 로테이션 사용
D. WS 암호화 SDK와 함께 키링을 사용합니다
답변 보기
정답: B
질문 #30
회사는 AWS 계정에 일련의 표준 IAM 역할을 배포합니다. IAM 역할은 회사 내 직무를 기반으로 합니다. 운영 효율성과 보안의 균형을 맞추기 위해 보안 엔지니어는 모든 회사 계정에서 중요한 보안 서비스에 대한 액세스를 제한하기 위해 AWS 조직 SCP를 구현했습니다.AWS 조직 내의 모든 회사 계정과 OU에는 기본 FullAWSAccess SCP가 첨부되어 있습니다. 보안 엔지니어는 누구도 Amazon GuardDuty 및 AWS Security Hu를 비활성화할 수 없도록 해야 합니다
A. ption
B. ption
C. ption
D. 션 D
답변 보기
정답: A
질문 #31
한 회사에서 다중 계정 보안 네트워킹 전략을 개발하기 위해 IAM 조직을 사용하고 있습니다. 이 회사는 공유 서비스, 감사 및 보안 검사를 위해 중앙에서 관리하는 별도의 계정을 사용할 계획입니다. 이 회사는 프로덕션 및 개발 환경을 위해 애플리케이션 소유자에게 수십 개의 추가 계정을 제공할 계획이며, 회사 보안 정책에 따라 모든 인터넷 트래픽은 보안 검사 계정의 중앙에서 관리되는 보안 검사 계층을 통해 라우팅되어야 합니다. 보안 엔지니어
A. 특정 CloudTrail 트레일의 변경을 금지하는 IAM 정책을 생성하고 IAM 계정 루트 사용자에게 정책을 적용합니다
B. 소스 계정의 IAM 계정 루트 사용자의 구성 변경을 금지하는 CloudTrail 트레일에 대해 지정된 대상 계정에 S3 버킷 정책을 생성합니다
C. 정 CloudTrail 트레일의 변경을 금지하는 SCP를 만들고 조직의 해당 조직 단위 또는 계정에 SCP를 적용합니다
D. 특정 CloudTrail 트레일의 변경을 금지하는 IAM 정책을 생성하고 새 IAM 그룹에 정책을 적용합니다
답변 보기
정답: C
질문 #32
회사의 IAM 계정은 약 300명의 IAM 사용자로 구성되어 있습니다. 이제 100명의 IAM 사용자가 S3에 대한 무제한 권한을 갖기 위해서는 액세스 변경이 필요합니다. 시스템 관리자로서 개별 사용자 수준에서 정책을 적용할 필요가 없도록 어떻게 하면 이를 효과적으로 구현할 수 있을까요?
A. 새 역할을 만들고 각 사용자를 IAM 역할에 추가합니다
B. AM 그룹을 사용하여 역할에 따라 사용자를 다른 그룹에 추가하고 그룹에 정책을 적용합니다
C. 책을 만들고 JSON 스크립트를 사용하여 여러 사용자에게 적용합니다
D. 사용자의 IAM 계정 ID를 포함하는 무제한 액세스가 가능한 S3 버킷 정책을 만듭니다
답변 보기
정답: B
질문 #33
한 회사에서 IAM 조직을 사용하여 여러 IAM 계정을 관리합니다. 회사의 보안팀은 일부 구성원 계정이 중앙 집중식 Amazon S3 로깅 버킷으로 IAM CloudTrail 로그를 보내지 않는 것을 발견했습니다. 보안 팀은 적어도 하나의 트레일이 구성되어 있는지(또는 기존 계정 및 향후 생성되는 모든 계정에 대해) 확인하려고 하는데, 이를 위해 보안 팀이 구현해야 하는 일련의 작업은 무엇인가요?
A. 새 트레일을 생성하고 CloudTrail 로그를 Amazon S3로 전송하도록 구성합니다
B. 모든 계정에 IAM 람다 함수를 배포하여 기존 트레일이 있는지 확인하고 필요한 경우 새 트레일을 생성합니다
C. 직 마스터 계정에서 기존 트레일을 편집하여 조직에 적용합니다
클라우드 트레일:삭제\' 및 클라우드 트레일:중지\' 동작을 거부하는 SCP를 생성합니다. 모든 계정에 SCP를 적용합니다
답변 보기
정답: C
질문 #34
보안 엔지니어가 IAM Security Hub를 활성화하여 Amazon EC2 인스턴스를 모니터링하는 임무를 받았습니다. 단일 IAM 계정에서 CVE 수정 엔지니어는 이미 IAM 관리 콘솔에서 IAM Security Hub 및 Amazon Inspector를 활성화했으며 모니터링이 필요한 EC2 인스턴스에 Amazon Inspector 에이전트를 설치했습니다.보안 엔지니어 호수 10이 이 요구 사항을 충족하려면 어떤 추가 단계를 수행해야 하나요?
A. 아마존 인스펙터 에이전트가 CVE 규칙 패키지를 사용하도록 구성합니다
B. 사용자 지정 리소스 정책을 작성하여 보안 허브를 구성하여 IAM 검사기에서 수집하도록 CVE 규칙 패키지를 사용하도록 Amazon Inspector 에이전트를 구성합니다
C. 사용자 지정 리소스 정책을 작성하여 보안 허브 에이전트가 CVE 규칙 패키지를 사용하도록 구성 보안 허브에서 IAM Inspector를 수집하도록 구성합니다
D. VE 규칙 패키지를 사용하도록 Amazon Inspector 에이전트 구성 추가 통합 라이브러리 설치 Amazon Inspector 에이전트가 Security Hub와 통신할 수 있도록 허용하기
답변 보기
정답: D
질문 #35
CTO가 IAM 계정의 보안에 대해 매우 걱정하고 있습니다. 해커가 계정을 완전히 탈취하지 못하게 하려면 어떻게 해야 할까요?
A. 루트 계정과 모든 관리자는 짧지만 복잡한 비밀번호를 사용하세요
B. AM IAM 지오락을 사용하여 해당 도시를 제외하고는 누구도 로그인할 수 없도록 합니다
C. 모든 사용자 및 계정, 특히 루트 계정에서 MFA를 사용합니다
D. AM 계정을 만든 후에는 루트 계정 비밀번호를 적어 두거나 기억하지 마세요
답변 보기
정답: C
질문 #36
보안 엔지니어가 IAM Security Hub를 활성화하여 Amazon EC2 인스턴스를 모니터링하는 임무를 받았습니다. 단일 IAM 계정에서 CVE 수정 엔지니어는 이미 IAM 관리 콘솔에서 IAM Security Hub 및 Amazon Inspector를 활성화했으며 모니터링이 필요한 EC2 인스턴스에 Amazon Inspector 에이전트를 설치했습니다.보안 엔지니어 호수 10이 이 요구 사항을 충족하려면 어떤 추가 단계를 수행해야 하나요?
A. 아마존 인스펙터 에이전트가 CVE 규칙 패키지를 사용하도록 구성합니다
B. 사용자 지정 리소스 정책을 작성하여 보안 허브를 구성하여 IAM 검사기에서 수집하도록 CVE 규칙 패키지를 사용하도록 Amazon Inspector 에이전트를 구성합니다
C. 사용자 지정 리소스 정책을 작성하여 보안 허브 에이전트가 CVE 규칙 패키지를 사용하도록 구성 보안 허브에서 IAM Inspector를 수집하도록 구성합니다
D. VE 규칙 패키지를 사용하도록 Amazon Inspector 에이전트 구성 추가 통합 라이브러리 설치 Amazon Inspector 에이전트가 Security Hub와 통신할 수 있도록 허용하기
답변 보기
정답: D
질문 #37
보안 관리자가 새 AWS 계정을 설정하고 있습니다. 보안 관리자는 회사가 Amazon S3 버킷에 저장하는 데이터를 보호하고자 합니다. 또한 보안 관리자는 의도하지 않은 데이터 노출 가능성과 S3 버킷에 있는 개체의 잘못된 구성 가능성을 줄이고자 하는데, 운영 오버헤드가 가장 적으면서 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. S3 서버 측 암호화를 구성합니다
B. 3 서버 측 암호화를 구성합니다
C. 3 버전 관리 구성
D. 3 이벤트 알림을 설정하고 S3 서버 측 암호화를 사용합니다
답변 보기
정답: D
질문 #38
보안 엔지니어가 AWS CloudFormation 템플릿에서 취약점을 검사하고 있습니다. 보안 엔지니어가 애플리케이션의 API 키를 일반 텍스트로 노출하는 기본값이 있는 매개변수를 찾습니다. 이 매개변수는 템플릿 전체에서 여러 번 참조됩니다. 보안 엔지니어는 템플릿에서 값을 참조할 수 있는 기능을 유지하면서 매개변수를 교체해야 합니다. 가장 안전한 방법으로 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. API 키 값을 AWS 시스템 관리자 매개변수 스토어에 SecureString 매개변수로 저장합니다
B. API 키 값을 AWS Secrets Manager에 저장합니다
C. API 키 값을 Amazon DynamoDB에 저장합니다
D. API 키 값을 새 Amazon S3 버킷에 저장합니다
{resolve. 3
답변 보기
정답: B
질문 #39
조직은 암호화 또는 암호 해독 작업에 사용되지 않도록 24시간 이내에 IAM KMS 고객 마스터 키(CMK)를 삭제할 수 있는 기능을 설정해야 합니다. 다음 중 이 요구 사항을 해결할 수 있는 조치는 무엇인가요?
A. KMS 내에서 키를 수동으로 회전하여 즉시 새 CMK를 생성합니다
B. KMS 가져오기 키 기능을 사용하여 키 삭제 작업을 실행합니다
C. MS 내 키 삭제 예약 기능을 사용하여 최소 삭제 대기 기간을 지정합니다
D. 든 서비스가 CMK를 사용하지 못하도록 KMS CMK 별칭을 즉시 변경합니다
답변 보기
정답: C
질문 #40
애플리케이션 팀이 전송 중 데이터의 보안을 보장하기 위해 IAM 인증서 관리자(ACM)를 사용하여 공개 인증서를 요청하려고 합니다. 사용 중인 도메인이 현재 Amazon Route 53에서 호스팅되지 않음 애플리케이션 팀은 IAM 관리형 배포 및 캐싱 솔루션을 사용하여 시스템에 대한 요청을 최적화하고 고객에게 더 나은 PoP를 제공하고자 함 배포 솔루션은 사용자 지정한 기본 도메인 이름을 사용함 배포 솔루션은 또한 여러 대체 도메인 이름을 사용함
A.
B.
C.
답변 보기
정답: CDF
질문 #41
한 회사가 동일한 AWS 리전 및 동일한 AWS 계정에 두 개의 VPC를 보유하고 있습니다. 각 VPC는 다른 VPC의 CIDR 블록과 겹치지 않는 CIDR 블록을 사용합니다. 한 VPC에는 NAT 게이트웨이를 통해 인터넷에 액세스하는 서브넷 내에서 실행되는 AWS Lambda 함수가 포함되어 있습니다. 람다 함수를 사용하려면 다른 VPC에서 실행 중인 공개적으로 액세스할 수 있는 Amazon Aurora MySQL 데이터베이스에 액세스해야 합니다. 보안 엔지니어가 Aurora 데이터베이스가 N에서 연결을 허용하는 보안 그룹 규칙을 사용하는지 확인합니다
A. Aurora 데이터베이스를 데이터베이스의 현재 VPC에 인터넷 액세스 경로가 없는 사설 서브넷으로 이동합니다
B. Aurora 데이터베이스의 VPC에서 두 VPC 사이에 VPC 엔드포인트 설정 Amazon RDS용 서비스 VPC 엔드포인트 구성 Lambda 함수의 VPC에서 서비스 엔드포인트를 사용하는 인터페이스 VPC 엔드포인트 구성 Aurora 데이터베이스의 VPC에서 Lambda 함수의 연결을 허용하도록 서비스 엔드포인트를 구성합니다
C. PC 간 AWS Direct Connect 인터페이스 설정 Direct Connect 인터페이스를 통해 Aurora 데이터베이스에 액세스하는 새 경로 테이블을 사용하도록 Lambda 함수를 구성합니다
D. 다 함수를 해당 VPC의 공용 서브넷으로 이동하기 Aurora 데이터베이스를 해당 VPC의 사설 서브넷으로 이동하기 Aurora 데이터베이스의 새 사설 IP 주소를 사용하여 데이터베이스에 액세스하도록 람다 함수 구성하기 람다 함수의 공용 IP 주소에서 액세스를 허용하도록 Aurora 데이터베이스 구성하기
답변 보기
정답: B
질문 #42
시스템 관리자가 IAM 역할을 사용하여 eu-west-1 리전에서 Amazon EC2 인스턴스를 시작할 수 없습니다. 동일한 시스템 관리자가 eu-west-2 및 eu- west-3 리전에서 EC2 인스턴스를 시작할 수 있습니다. 시스템 관리자 IAM 역할에 연결된 IAMSystemAdministrator 액세스 정책은 계정 내의 모든 IAM 서비스 및 리소스에 대한 무조건 액세스를 허용합니다.이 문제의 원인은 어떤 구성인가요?
A. 정에 다음 권한 설명과 함께 SCP가 첨부됩니다:
B. 한 경계 정책은 시스템 관리자 역할에 다음 권한 설명과 함께 첨부됩니다:
C. 한 경계가 시스템 관리자 역할에 다음과 같은 권한 설명과 함께 첨부됩니다:
D. 정에 다음 문구와 함께 SCP가 첨부되어 있습니다:
답변 보기
정답: B
질문 #43
한 회사에서 증가하는 IAM 계정을 관리하기 위해 IAM 조직을 배포했습니다. 보안 엔지니어는 조직 구조의 담당자만 특정 Amazon S3 버킷에 액세스할 수 있도록 하려고 합니다. 또한 솔루션은 운영 오버헤드를 최소화해야 하는데, 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 모든 사용자를 J 버킷에 대한 액세스 권한을 부여하는 액세스 정책으로 IAM 그룹에 넣습니다
B. 계정 생성 시 버킷 정책을 관리하는 IAM 람다 함수를 트리거하여 정책에 나열된 계정에만 액세스를 허용하도록 합니다
C. 직 마스터 계정에 SCP를 추가하여 모든 팀장이 버킷에 액세스할 수 있도록 합니다
D. 킷 정책의 전역 키 조건 요소에 조직 ID를 지정하여 모든 주체가 액세스할 수 있도록 합니다
답변 보기
정답: D
질문 #44
한 회사에서 웹사이트용 이미지를 Amazon S3 버킷에 저장합니다. 이 회사는 최종 사용자에게 이미지를 제공하기 위해 Amazon CloudFront를 사용하고 있습니다. 최근에 회사가 배포 라이선스가 없는 국가에서 이미지에 액세스하는 것을 발견했습니다. 이미지 배포를 제한하기 위해 이미지 보안을 위해 회사가 취해야 할 조치는 무엇입니까? (2개를 선택하세요.)
A. IAM 트러스티드 어드바이저의 IAM(ID 및 액세스 관리) 사용 보고서를 분석하여 액세스 키가 마지막으로 사용된 시점을 확인합니다
B. 액세스 키를 검색하여 Amazon CloudWatch 로그에서 활동을 분석합니다
C. 세스 키를 검색하여 활동에 대한 VPC 플로우 로그를 분석합니다
D. AM ID 및 액세스 관리(IAM)에서 자격증명 보고서를 분석하여 액세스 키가 마지막으로 사용된 시점을 확인합니다
답변 보기
정답: AC
질문 #45
해커가 매우 정교한 IAM 엔지니어이고 흔적을 감추기 위해 최선을 다하고 있다고 가정할 때, 무단 액세스가 있었는지 여부와 그들이 무엇을 했는지 확실히 알 수 있는 유일한 방법은 무엇인가요?
A. CloudTrail 로그 파일 무결성 검증을 사용합니다
B. AM 구성 SNS 구독을 사용하여 실시간으로 이벤트를 처리합니다
C. AM S3 및 Glacier에 백업된 CloudTrail을 사용합니다
D. AM 구성 타임라인 포렌식을 사용합니다
답변 보기
정답: A
질문 #46
한 회사가 AWS 계정에서 파일을 암호화하기 위해 애플리케이션에 AWS 소유 키(AWS KMS)를 사용하고 있습니다. 회사의 보안팀은 잠재적인 키 유출이 발생할 때마다 새 파일에 대해 새로운 키 자료로 변경할 수 있는 기능을 원합니다. 보안 엔지니어는 보안팀이 원할 때마다 키를 변경할 수 있는 솔루션을 구현해야 합니다.어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. 고객 관리 키 만들기 키에 키 순환 일정 추가 보안팀에서 키 변경을 요청할 때마다 키 순환 일정을 호출합니다
B. AWS 관리형 키 만들기 키에 키 순환 일정 추가 보안팀이 키 변경을 요청할 때마다 키 순환 일정을 호출합니다
C. 별칭 만들기 보안팀에서 키 변경을 요청할 때마다 새 고객 관리 키를 만듭니다
D. 별칭 만들기 보안 팀이 키 변경을 요청할 때마다 새 AWS 관리 키를 만듭니다
답변 보기
정답: A
질문 #47
보안 엔지니어가 IAM 계정에서 IAM 보안 허브를 사용하도록 설정하고 CIS(인터넷 보안 센터) IAM 파운데이션 준수 표준을 사용하도록 설정했습니다. 몇 시간이 지나도 보안 허브 콘솔에 규정 준수에 대한 평가 결과가 반환되지 않습니다. 엔지니어는 보안 허브가 리소스의 CIS IAM 기초 규정 준수 여부를 평가할 수 있는지 확인하려고 합니다. 이러한 요구 사항을 충족하려면 보안 엔지니어가 어떤 단계를 수행해야 하나요?
A. 보안 허브 서비스 역할에 전체 Amazon Inspector IAM 권한을 추가하여 CIS 규정 준수 평가를 수행할 수 있도록 합니다
B. 계정에서 IAM 신뢰할 수 있는 어드바이저가 사용 설정되어 있고 보안 허브 서비스 역할에 신뢰할 수 있는 어드바이저 보안 관련 권장 조치를 검색할 수 있는 권한이 있는지 확인합니다
C. 계정에서 IAM 구성이 사용 설정되어 있는지, 그리고 CIS 규정 준수 평가에 필요한 IAM 구성 규칙이 생성되었는지 확인합니다
D. 보안 허브에서 모니터링할 수 있도록 IAM CloudTrail의 올바른 트레일이 구성되었는지, 그리고 보안 허브 서비스 역할에 CloudTrails Amazon S3 버킷에서 GetObject 작업을 수행할 수 있는 권한이 있는지 확인합니다
답변 보기
정답: C
질문 #48
회사에서 동일한 1AM 인스턴스 프로필을 사용하는 Amazon Linux 2 Amazon EC2 인스턴스의 특정 하위 집합에서 모든 SSH 키를 영구적으로 제거하려고 합니다. 그러나 IAM 사용자 계정을 가진 세 명의 개인이 중요한 작업을 수행하려면 SSH 세션을 사용하여 이러한 인스턴스에 액세스해야 합니다. 보안 엔지니어가 이러한 요구 사항을 충족하기 위해 어떻게 액세스 권한을 제공할 수 있나요'?
A. 인스턴스 프로필에 1AM 정책을 할당하여 EC2 인스턴스를 AWS 시스템 관리자가 관리할 수 있도록 허용합니다
B. 1AM 사용자 계정에 1AM 정책을 할당하여 AWS 시스템 관리자 사용 권한을 제공합니다
C. 인스턴스 프로파일에 1AM 정책을 할당하여 AWS 시스템 관리자가 EC2 인스턴스를 관리할 수 있도록 허용합니다
D. AM 사용자 계정에 1AM 정책을 할당하여 AWS 관리 콘솔에서 EC2 서비스를 사용할 수 있는 권한을 제공합니다
답변 보기
정답: C
질문 #49
애플리케이션 팀에서 Amazon S3에 사용하기 위해 새로운 IAM KMS 마스터 키를 요청했지만 조직 보안 정책에 따라 폭발 반경을 제한하기 위해 다른 IAM 서비스에 대해 별도의 마스터 키가 필요합니다.IAM KMS 고객 마스터 키(CMK)가 Amazon S3에서만 작동하도록 제한하려면 어떻게 해야 하나요?
A. Amazon S3 서비스만 kms 암호화 작업을 사용할 수 있도록 CMK 키 정책을 구성합니다
B. kms ViaService 조건이 Amazon S3 서비스 이름과 일치하는 경우에만 IAM KMS 작업을 허용하도록 CMK 키 정책을 구성합니다
C. AM 사용자의 정책을 구성하여 KMS가 로테를 전달하도록 허용합니다
D. MK와 결합할 때 Amazon S3 작업만 허용하도록 IAM 사용자의 정책을 구성합니다
답변 보기
정답: B
질문 #50
한 회사가 Amazon EC2 인스턴스와 Amazon EMR 클러스터에서 단일 IAM 계정으로 워크로드를 실행하고 있는데 최근 보안 감사 결과 여러 개의 Amazon EBS(Amazon Elastic Block Store) 볼륨과 스냅샷이 암호화되지 않은 것으로 나타났습니다.이 회사의 보안 엔지니어는 사용자가 EC2 인스턴스와 EMR 클러스터를 배포하면서 모든 새 EBS 볼륨과 EBS 스냅샷이 유휴 상태에서 암호화되도록 하는 솔루션을 개발 중입니다. 이 솔루션은 운영 오버헤드도 최소화해야 하는데, 어떤 단계를 거쳐야 하나요?
A. C2 인스턴스를 소스로 아마존 이벤트 브리지(아마존 클라우드 시계 이벤트) 이벤트를 생성하고 이벤트 트리거로 볼륨을 생성하고, 이벤트가 트리거되면 IAM 람다 함수를 호출하여 생성한 EBS 볼륨이 암호화되지 않은지 평가하고 보안 엔지니어에게 알립니다
B. Createvolume 컨텍스트의 암호화 플래그가 true로 설정되어 있는지 확인하는 고객 관리형 IAM 정책을 사용합니다
C. 성 또는 수정 시 각 EC2 인스턴스의 구성을 평가하는 IAM Config 규칙을 생성합니다
D. 사가 운영 중인 각 IAM 리전의 EBS 볼륨에 대해 기본적으로 암호화를 사용하도록 설정하려면 IAM 관리 콘솔 또는 IAM CLi를 사용합니다
답변 보기
정답: D
질문 #51
한 회사에 두 개의 팀이 있고 각 팀은 각각의 Amazon S3 버킷에 액세스해야 합니다. 회사는 자체 S3 버킷이 있는 팀을 더 추가할 예정이며, 이러한 팀이 추가되면 팀원들이 여러 팀에 배정될 수 있는 기능이 필요합니다. 또한 팀원들은 팀을 변경할 수 있는 기능도 필요합니다. 추가 S3 버킷을 만들거나 삭제할 수 있으며, IAM 관리자는 이러한 목표를 달성할 수 있는 솔루션을 설계해야 합니다. 또한 솔루션은 확장 가능해야 하며 다음과 같은 임대 계약이 필요합니다
A. 팀을 대표하는 그룹에 사용자를 추가합니다
B. 각 팀에 대한 IAM 역할을 만듭니다
C. 의 액세스 태그 값으로 레이블이 지정된 IAM 역할을 만듭니다
D. 할 기반 액세스 제어(RBAC) 권한 부여 모델을 구현합니다
답변 보기
정답: A
질문 #52
개발팀이 IAM KMS(IAM 키 관리 서비스) CMK를 사용하여 IAM 시스템 관리자 매개 변수 저장소에서 보안 문자열 매개 변수의 암호화 및 암호 해독을 시도하고 있습니다. 그러나 개발팀은 시도할 때마다 오류 메시지를 받습니다. 이 오류의 원인이 될 수 있는 CMK와 관련된 문제에는 어떤 것이 있나요? (2개를 선택하세요.)
A. 모든 지역에서 Amazon GuardDuty를 활성화합니다
B. IAM 조직에서 조직을 사용합니다
C. AM 코드파이프라인을 통해 IAM CloudFormation 템플릿을 사용하여 EC2 리소스를 프로비저닝합니다
D. s-east-1 및 us-west-2 외부의 무단 활동을 방지하기 위해 IAM 구성 규칙을 만듭니다
답변 보기
정답: AD
질문 #53
회사의 IAM 계정은 약 300명의 IAM 사용자로 구성되어 있습니다. 이제 100명의 IAM 사용자가 S3에 대한 무제한 권한을 갖기 위해서는 액세스 변경이 필요합니다. 시스템 관리자로서 개별 사용자 수준에서 정책을 적용할 필요가 없도록 어떻게 하면 이를 효과적으로 구현할 수 있을까요?
A. 새 역할을 만들고 각 사용자를 IAM 역할에 추가합니다
B. AM 그룹을 사용하여 역할에 따라 사용자를 다른 그룹에 추가하고 그룹에 정책을 적용합니다
C. 책을 만들고 JSON 스크립트를 사용하여 여러 사용자에게 적용합니다
D. 사용자의 IAM 계정 ID를 포함하는 무제한 액세스가 가능한 S3 버킷 정책을 만듭니다
답변 보기
정답: B
질문 #54
회사의 보안 엔지니어는 다른 IAM 서비스에 대한 액세스를 제공하지 않고 계약자의 IAM 계정이 회사의 Amazon EC2 콘솔에 액세스하도록 제한하는 작업을 수행해야 합니다. 계약자 IAM 계정은 IAM 그룹 멤버십에 따라 추가 권한이 할당된 경우에도 다른 IAM 서비스에 액세스할 수 없어야 합니다.보안 엔지니어가 이러한 요구 사항을 충족하려면 어떻게 해야 하나요?''
A. 계약자의 IAM 사용자에 대한 Amazon EC2 액세스를 허용하는 mime IAM 사용자 정책을 만듭니다
B. Amazon EC2 액세스를 허용하는 IAM 권한 경계 정책 만들기 계약자의 IAM 계정을 IAM 권한 경계 정책과 연결합니다
C. mazon EC2 액세스를 허용하는 정책이 첨부된 IAM 그룹 만들기 계약자의 IAM 계정을 IAM 그룹과 연결합니다
D. EC2를 허용하고 다른 모든 서비스를 명시적으로 거부하는 IAM 역할을 생성하여 계약자에게 항상 이 역할을 맡도록 지시합니다
답변 보기
정답: B
질문 #55
보안 관리자가 새 AWS 계정을 설정하고 있습니다. 보안 관리자는 회사가 Amazon S3 버킷에 저장하는 데이터를 보호하고자 합니다. 또한 보안 관리자는 의도하지 않은 데이터 노출 가능성과 S3 버킷에 있는 개체의 잘못된 구성 가능성을 줄이고자 하는데, 운영 오버헤드가 가장 적으면서 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. S3 서버 측 암호화를 구성합니다
B. 3 서버 측 암호화를 구성합니다
C. 3 버전 관리 구성
D. 3 이벤트 알림을 설정하고 S3 서버 측 암호화를 사용합니다
답변 보기
정답: D
질문 #56
정책을 만들어 개별 사용자에 대해서만 적용해야 합니다. 올바른 방법으로 이 작업을 수행하려면 어떻게 해야 할까요?
A. 사용자에 대한 IAM 관리 정책을 추가합니다
B. 용자에 대한 서비스 정책을 추가합니다
C. 용자에 대한 IAM 역할을 추가합니다
D. 사용자에 대한 인라인 정책을 추가합니다
답변 보기
정답: D
질문 #57
AWS에서 최종 사용자 애플리케이션을 호스팅하는 회사 현재 이 회사는 Elastic Load Balancer 뒤에 있는 Amazon EC2 인스턴스에 애플리케이션을 배포하고 있습니다. 이 회사는 Elastic Load Balancer와 EC2 인스턴스 간에 엔드투엔드 암호화를 구성하려고 합니다. 어떤 솔루션이 가장 적은 운영 노력으로 이 요구 사항을 충족할 수 있나요?
A. EC2 인스턴스와 Elastic Load Balancer에서 Amazon이 발급한 AWS 인증서 관리자(ACM) 인증서를 사용하여 엔드투엔드 암호화를 구성합니다
B. 타사 SSL 인증서를 AWS 인증서 관리자(ACM)로 가져오기 EC2 인스턴스에 타사 인증서 설치 ACM에서 가져온 타사 인증서를 Elastic Load Balancer와 연결합니다
C. WS CloudHSM 배포 타사 인증서 가져오기 EC2 인스턴스와 Elastic Load Balancer가 CloudHSM에서 가져온 인증서를 사용하도록 구성합니다
D. 사 인증서 번들을 AWS 인증서 관리자(ACM)로 가져오기 EC2 인스턴스에 타사 인증서 설치 ACM에서 가져온 타사 인증서를 Elastic Load Balancer와 연결합니다
답변 보기
정답: A
질문 #58
개발팀에서 액세스 키를 사용하여 S3 및 DynamoDB에 액세스할 수 있는 애플리케이션을 개발하고 있습니다. 새로운 보안 정책에 따라 자격 증명은 2개월이 넘지 않아야 하며, 교체해야 합니다. 이를 어떻게 달성할 수 있을까요?
A. DK를 통해 2개월마다 키를 회전하는 애플리케이션을 사용합니다
B. 스크립트를 사용하여 키의 생성 날짜를 조회합니다
C. 2개월마다 키와 연결된 사용자를 삭제합니다
D. 2개월마다 키와 연결된 IAM 역할을 삭제합니다
답변 보기
정답: B
질문 #59
한 회사에서 IAM KMS(키 관리 서비스) CMK로 서버 측 암호화를 사용하여 민감한 문서를 Amazon S3에 저장합니다. 새로운 요구 사항에 따라 이러한 문서에 사용되는 CMK는 S3 작업에만 사용할 수 있는데, 이 요구 사항을 충족하기 위해 회사가 키 정책에 추가해야 하는 문장은 무엇인가요?
A.
B.
답변 보기
정답: A
질문 #60
한 회사가 여러 개의 Amazon EC2 인스턴스에 분산 웹 애플리케이션을 배포합니다. 이 애플리케이션은 TLS 연결을 종료하도록 구성될 애플리케이션 부하 분산 장치(ALB) 뒤에 있습니다. 인증서 개인 키가 손상된 경우에도 ALB에 대한 모든 TLS 트래픽은 안전하게 유지되어야 하는데 보안 엔지니어가 이 요구 사항을 어떻게 충족할 수 있을까요?
A. IAM 인증서 관리자(ACM)에서 관리하는 인증서를 사용하는 HTTPS 리스너를 만듭니다
B. 완벽한 비밀 유지(PFS)를 사용하는 암호 집합을 사용하는 보안 정책을 사용하는 HTTPS 리스너를 만듭니다
C. 버 순서 기본 설정 보안 기능을 사용하는 HTTPS 리스너를 만듭니다
D. 완전 순방향 비밀성(PFS)이 있는 암호 모음만 허용하는 사용자 지정 보안 정책을 사용하는 TCP 수신기를 만듭니다
답변 보기
정답: A
질문 #61
회사에는 IAM에서 호스팅되는 EC2 인스턴스 세트가 있습니다. EC2 인스턴스에는 중요한 정보를 저장하는 데 사용되는 EBS 볼륨이 있습니다. EBS 볼륨에 대한 고가용성을 보장하기 위한 비즈니스 연속성 요구 사항이 있습니다. 이를 어떻게 달성할 수 있을까요?
A. EBS 볼륨에 대한 수명 주기 정책을 사용합니다
B. BS 스냅샷 사용
C. BS 볼륨 복제를 사용합니다
D. BS 볼륨 암호화를 사용합니다
답변 보기
정답: B
질문 #62
한 회사에서 외부 ID 공급자를 사용하여 다른 IAM 계정으로의 페더레이션을 허용합니다. 회사의 보안 엔지니어가 일주일 전에 프로덕션 Amazon EC2 인스턴스를 종료한 페더레이션 사용자를 식별해야 하는데, 보안 엔지니어가 페더레이션 사용자를 식별할 수 있는 가장 빠른 방법은 무엇인가요?
A. Amazon S3 버킷에서 IAM CloudTrail 이벤트 기록 로그를 검토하고 역할 세션 이름에서 페더레이션 사용자를 식별하기 위해 Terminatelnstances 이벤트를 찾습니다
B. Terminatelnstances 이벤트에 대한 IAM CloudTrail 이벤트 기록을 필터링하고 가정된 IAM 역할을 식별합니다
C. erminatelnstances 이벤트에 대한 IAM CloudTrail 로그를 검색하고 이벤트 시간을 기록합니다
D. Amazon Athena를 사용하여 Amazon S3 버킷에 저장된 IAM CloudTrail 로그에서 SQL 쿼리를 실행하고 Terminatelnstances 이벤트를 필터링합니다
답변 보기
정답: B
질문 #63
한 회사에 AWS 조직이 있습니다. 이 회사는 조직에서 AWS CloudFormation StackSets를 사용하여 다양한 AWS 디자인 패턴을 환경에 배포하려고 합니다. 이러한 패턴은 Amazon EC2 인스턴스, Elastic Load Balancing(ELB) 로드 밸런서, Amazon RDS 데이터베이스, Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터 또는 Amazon Elastic Container Service(Amazon ECS) 클러스터로 구성되며, 현재 회사의 개발자는 자체 CloudFormation 스택을 생성하여 o
A. 아마존 단순 알림 서비스(Amazon SNS) 토픽을 만듭니다
B. 마존 단순 알림 서비스(Amazon SNS) 토픽을 만듭니다
C. mazon 단순 알림 서비스(Amazon SNS) 주제와 Amazon 단순 대기열 서비스(Amazon SQS) 대기열을 만듭니다
D. 개발자가 각 AWS 계정에 배포할 수 있는 표준 리소스 집합을 포함하는 중앙 집중식 CloudFormation 스택 세트를 생성합니다
답변 보기
정답: A
질문 #64
회사는 고객이 관리하는 CMK로 암호화된 여러 개의 Amazon S3 버킷을 보유하고 있습니다. 규정 요건으로 인해 매년 키를 교체해야 합니다. 회사의 보안 엔지니어가 CMK에 대해 자동 키 로테이션을 사용하도록 설정했지만 회사는 로테이션이 이루어졌는지 확인하려고 하는데, 이를 위해 보안 엔지니어는 어떻게 해야 하나요?
A. 로톤 이벤트에 대한 IAM CloudTrail 로그를 필터링합니다
B. 든 IAM KMS CMK 로테이션 이벤트에 대해 Amazon CloudWatcn 이벤트를 모니터링합니다
C. AM CLI 사용
D. mazon Athena를 사용하여 S3 버킷에 저장된 IAM CloudTrail 로그를 쿼리하여 새 키 생성 이벤트를 필터링합니다
답변 보기
정답: C
질문 #65
기업에서는 IAM과 온프레미스 위치 간에 대량의 데이터를 전송해야 하는 요구 사항이 있습니다. IAM에 대한 짧은 지연 시간과 높은 일관성 트래픽에 대한 추가 요구 사항이 있습니다. 이러한 요구 사항이 주어졌을 때 하이브리드 아키텍처를 어떻게 설계하시겠습니까? 아래 옵션 중에서 정답을 선택하세요.
A. 다이렉트 커넥트 파트너를 사용하여 IAM 리전에 대한 다이렉트 커넥트 연결을 프로비저닝합니다
B. 비공개 연결을 위한 VPN 터널을 생성하여 네트워크 일관성을 높이고 지연 시간을 줄입니다
C. 트워크 일관성을 높이고 지연 시간을 줄이는 비공개 연결을 위한 iPSec 터널을 생성합니다
D. AM과 고객 게이트웨이 사이에 VPC 피어링 연결을 만듭니다
답변 보기
정답: A
질문 #66
한 회사에서 애플리케이션을 위해 IAM WAF와 Amazon CloudFront를 구현했습니다. 이 애플리케이션은 자동 확장 그룹의 일부인 Amazon EC2 인스턴스에서 실행됩니다. 자동 확장 그룹은 애플리케이션 로드 밸런서(ALB) 뒤에 있으며, IAM WAF 웹 ACL은 IAM 관리 규칙 규칙 그룹을 사용하며 CloudFront 배포와 연결되어 있습니다. CloudFront는 IAM WAF로부터 요청을 수신한 다음 배포의 오리진으로 ALB를 사용합니다.보안 검토 중에 보안 엔지니어는 인프라가 다음과 같은 것을 발견합니다
A. Lambda@Edge 기능을 사용하도록 CloudFront 배포를 구성합니다
B. 웹 ACL이 모든 IAM WAF 규칙을 더 빠르게 처리할 수 있도록 더 많은 용량 단위를 갖도록 IAM WAF 웹 ACL을 구성합니다
C. 율 한도를 초과하면 요청을 자동으로 차단하는 비율 제한을 적용하는 비율 기반 규칙으로 IAM WAF를 구성합니다
D. ALB 대신 IAM WAF를 오리진으로 사용하도록 CloudFront 배포를 구성합니다
답변 보기
정답: C
질문 #67
한 회사가 동일한 AWS 리전 및 동일한 AWS 계정에 두 개의 VPC를 보유하고 있습니다. 각 VPC는 다른 VPC의 CIDR 블록과 겹치지 않는 CIDR 블록을 사용합니다. 한 VPC에는 NAT 게이트웨이를 통해 인터넷에 액세스하는 서브넷 내에서 실행되는 AWS Lambda 함수가 포함되어 있습니다. 람다 함수를 사용하려면 다른 VPC에서 실행 중인 공개적으로 액세스할 수 있는 Amazon Aurora MySQL 데이터베이스에 액세스해야 합니다. 보안 엔지니어가 Aurora 데이터베이스가 N에서 연결을 허용하는 보안 그룹 규칙을 사용하는지 확인합니다
A. Aurora 데이터베이스를 데이터베이스의 현재 VPC에 인터넷 액세스 경로가 없는 사설 서브넷으로 이동합니다
B. Aurora 데이터베이스의 VPC에서 두 VPC 사이에 VPC 엔드포인트 설정 Amazon RDS용 서비스 VPC 엔드포인트 구성 Lambda 함수의 VPC에서 서비스 엔드포인트를 사용하는 인터페이스 VPC 엔드포인트 구성 Aurora 데이터베이스의 VPC에서 Lambda 함수의 연결을 허용하도록 서비스 엔드포인트를 구성합니다
C. PC 간 AWS Direct Connect 인터페이스 설정 Direct Connect 인터페이스를 통해 Aurora 데이터베이스에 액세스하는 새 경로 테이블을 사용하도록 Lambda 함수를 구성합니다
D. 다 함수를 해당 VPC의 공용 서브넷으로 이동하기 Aurora 데이터베이스를 해당 VPC의 사설 서브넷으로 이동하기 Aurora 데이터베이스의 새 사설 IP 주소를 사용하여 데이터베이스에 액세스하도록 람다 함수 구성하기 람다 함수의 공용 IP 주소에서 액세스를 허용하도록 Aurora 데이터베이스 구성하기
답변 보기
정답: B
질문 #68
조직은 암호화 또는 암호 해독 작업에 사용되지 않도록 24시간 이내에 IAM KMS 고객 마스터 키(CMK)를 삭제할 수 있는 기능을 설정해야 합니다. 다음 중 이 요구 사항을 해결할 수 있는 조치는 무엇인가요?
A. KMS 내에서 키를 수동으로 회전하여 즉시 새 CMK를 생성합니다
B. KMS 가져오기 키 기능을 사용하여 키 삭제 작업을 실행합니다
C. MS 내 키 삭제 예약 기능을 사용하여 최소 삭제 대기 기간을 지정합니다
D. 든 서비스가 CMK를 사용하지 못하도록 KMS CMK 별칭을 즉시 변경합니다
답변 보기
정답: C
질문 #69
보안 엔지니어는 us-west-1 리전에 있는 회사의 Amazon S3 버킷에 저장된 모든 데이터를 암호화하는 데 사용할 IAM 키 관리 서비스(IAM KMS) 키를 만들어야 합니다. 이 키는 서버 측 암호화를 사용합니다. 키의 사용은 회사 계정 내에서 Amazon S3에서 오는 요청으로 제한되어야 합니다. 다음 중 KMS 키 정책에서 이러한 요구 사항을 충족하는 문장은 무엇인가요?
A. 기존 NAT 게이트웨이를 제거합니다
B. AT 게이트웨이의 보안 그룹 ID로부터의 트래픽을 거부하도록 DB 인스턴스 TM의 인바운드 네트워크 ACL을 구성합니다
C. B 인스턴스 서브넷의 경로 테이블을 수정하여 NAT 게이트웨이에 대한 기본 경로를 제거합니다
D. B 인스턴스 서브넷에 대한 연결을 거부하도록 NAT 게이트웨이의 경로 테이블을 구성합니다
답변 보기
정답: A
질문 #70
기업은 규정 준수 요건을 충족하기 위해 웹 애플리케이션에 연결할 때 HTTPS를 사용해야 합니다. 이러한 웹 애플리케이션은 애플리케이션 로드 밸런서(ALB) 뒤에 있는 Amazon EC2 인스턴스의 Amazon VPC에서 실행됩니다. 보안 엔지니어는 로드 밸런서가 포트 443을 통한 연결만 허용하도록 하려고 합니다. ALB가 HTTP 수신기로 잘못 구성된 경우에도요.이 작업을 수행하려면 보안 엔지니어가 수행해야 하는 구성 단계는 무엇인가요?
A. 포트 00의 0
B. 포트 80의 0 0
C. 포트 443의 VPC IP 범위로만 아웃바운드 연결을 허용하는 네트워크 ACL을 생성하고, 네트워크 ACL을 VPC의 인터넷 게이트웨이와 연결합니다
D. 포트 443의 0
답변 보기
정답: D
질문 #71
한 회사에서 복원력이 뛰어난 애플리케이션을 개발하여 여러 Amazon EC2 인스턴스에서 호스팅하려고 합니다. 이 애플리케이션은 매우 민감한 사용자 데이터를 Amazon RDS 테이블에 저장합니다.- 애플리케이션 재해 복구 계획에 다른 IAM 리전으로의 마이그레이션 포함.- 암호화 키 관리 이벤트의 전체 감사 추적 제공.- 회사 관리자만 키를 관리하도록 허용.- 애플리케이션 계층 암호화를 사용하여 미사용 데이터를 보호.보안 엔지니어가 옵션을 평가하고 있습니다
A. loudHSM에서 생성되는 주요 관리 이벤트 로깅은 IAM KMS보다 훨씬 더 광범위합니다
B. loudHSM은 회사 지원 담당자만 암호화 키를 관리할 수 있는 반면, IAM KMS는 IAM 담당자가 키를 관리할 수 있습니다
C. loudHSM에서 생성한 암호문은 IAM KMS에서 생성한 암호문보다 무차별 암호 해독 공격에 대해 더 강력한 보호 기능을 제공합니다
D. loudHSM은 키를 다른 리전으로 복사할 수 있는 기능을 제공하는 반면, IAM KMS는 그렇지 않습니다
답변 보기
정답: B
질문 #72
한 회사에 소매점이 있습니다 이 회사는 고객 영수증의 스캔 사본을 Amazon S3에 저장하는 솔루션을 설계 중입니다 파일은 PDF 형식의 100KB에서 5MB 사이입니다 각 소매점에는 고유한 암호화 키가 있어야 합니다 각 개체는 고유 키로 암호화되어야 합니다 어떤 솔루션이 이러한 요구 사항을 충족하나요?
A. 각 리테일 스토어에 대한 전용 AWS 키 관리 서비스(AWS KMS) 고객 관리 키를 생성합니다
B. 리테일 스토어에 대해 매일 새로운 AWS 키 관리 서비스(AWS KMS) 고객 관리 키를 생성합니다
C. 리테일 스토어에 대해 매일 AWS 키 관리 서비스(AWS KMS) GenerateDataKey 작업을 실행합니다
D. 리테일 스토어에 대해 매일 새로운 키 자료를 AWS KMS(AWS 키 관리 서비스)로 가져오기 위해 ImportKeyMaterial 작업을 사용하여 고객 관리 키와 KMS 암호화 작업을 사용하여 개체를 암호화한 다음 개체를 Amazon S3에 업로드합니다
답변 보기
정답: A
질문 #73
한 회사에서 증가하는 IAM 계정을 관리하기 위해 IAM 조직을 배포했습니다. 보안 엔지니어는 조직 구조의 담당자만 특정 Amazon S3 버킷에 액세스할 수 있도록 하려고 합니다. 또한 솔루션은 운영 오버헤드를 최소화해야 하는데, 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 모든 사용자를 J 버킷에 대한 액세스 권한을 부여하는 액세스 정책으로 IAM 그룹에 넣습니다
B. 계정 생성 시 버킷 정책을 관리하는 IAM 람다 함수를 트리거하여 정책에 나열된 계정에만 액세스를 허용하도록 합니다
C. 직 마스터 계정에 SCP를 추가하여 모든 팀장이 버킷에 액세스할 수 있도록 합니다
D. 킷 정책의 전역 키 조건 요소에 조직 ID를 지정하여 모든 주체가 액세스할 수 있도록 합니다
답변 보기
정답: D
질문 #74
한 보안 엔지니어가 회사의 사용자 지정 로깅 애플리케이션의 문제를 해결하고 있습니다. 애플리케이션 로그는 이벤트 알림이 활성화된 Amazon S3 버킷에 기록되어 Amazon SNS 토픽으로 이벤트를 전송합니다. 모든 로그는 IAM KMS CMK를 사용하여 미사용 시 암호화됩니다. SNS 토픽은 암호화된 Amazon SQS 대기열에 가입됩니다. 로깅 애플리케이션은 대기열에서 S3 개체에 대한 메타데이터가 포함된 새 메시지가 있는지 폴링합니다. 그런 다음 애플리케이션은 다음을 위해 S3 버킷에서 개체의 콘텐츠를 읽습니다
A. AM 관리형 CMK에 다음 문구를 추가합니다:
B. CMK 키 정책에 다음 문구를 추가합니다:
C. MK 키 정책에 다음 문구를 추가합니다:
D. MK 키 정책에 다음 문구를 추가합니다:
답변 보기
정답: D
질문 #75
한 회사에서 AWS에서 컨테이너 기반 애플리케이션을 실행하기 위해 Amazon Elastic Container Service(Amazon ECS)를 사용하고 있습니다. 이 회사는 컨테이너 이미지에 심각한 취약점이 없는지 확인해야 합니다. 또한 특정 IAM 역할과 특정 AWS 계정만 컨테이너 이미지에 액세스할 수 있도록 해야 하는데, 관리 오버헤드가 가장 적으면서 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 공용 컨테이너 레지스트리에서 이미지를 가져옵니다
B. 공용 컨테이너 레지스트리에서 이미지를 가져옵니다
C. 용 컨테이너 레지스트리에서 이미지를 가져옵니다
D. 용 컨테이너 레지스트리에서 이미지를 가져옵니다
답변 보기
정답: C
질문 #76
최근 보안 감사에서 IAM CloudTrail 로그가 변조 및 무단 액세스로부터 충분히 보호되지 않는 것으로 나타났습니다. 이러한 감사 결과를 해결하기 위해 보안 엔지니어가 취해야 할 조치는 무엇인가요? (3개 선택 )
A. 영향을 받는 계정에서 IAM WAF 규칙을 업데이트하고 IAM 방화벽 관리자를 사용하여 다른 모든 계정에 업데이트된 IAM WAF 규칙을 푸시합니다
B. GuardDuty 중앙 집중식 로깅 및 Amazon SNS를 사용하여 모든 애플리케이션 팀에 보안 사고를 알리는 알림을 설정합니다
C. uardDuty 알림을 사용하여 알려진 악성 IP 주소를 차단하기 위해 Amazon EC2 인스턴스에 추가 NACL을 추가하여 모든 계정을 업데이트하는 IAM Lambda 함수를 작성합니다
D. AM Shield Advanced를 사용하여 각 개별 계정의 위협을 식별한 다음 조직을 통해 다른 모든 계정에 계정 기반 보호 기능을 적용합니다
답변 보기
정답: ADE
질문 #77
한 회사에서 민감한 데이터를 다루는 애플리케이션을 배포하기 위해 Amazon Elastic 컨테이너 서비스(Amazon ECS)를 사용하고 있습니다. 최근 보안 감사 중에 회사의 소스 코드 리포지토리에서 Amazon RDS 자격 증명이 애플리케이션 코드와 함께 저장되는 보안 문제를 발견했습니다.보안 엔지니어는 데이터베이스 자격 증명이 안전하게 저장되고 주기적으로 순환되도록 보장하는 솔루션을 개발해야 합니다. 자격 증명은 애플리케이션에서만 액세스할 수 있어야 합니다. 또한 엔지니어는 다음을 수행해야 합니다
A. IAM 시스템 관리자 파라미터 저장소를 사용하여 데이터베이스 자격 증명을 생성합니다
B. 데이터베이스 자격 증명을 저장하려면 IAM Secrets Manager를 사용합니다
C. AM 시스템 관리자 매개변수 저장소를 사용하여 데이터베이스 자격 증명을 저장합니다
D. 데이터베이스 자격 증명을 저장하려면 IAM 시크릿 매니저를 사용합니다
답변 보기
정답: D
질문 #78
규정 준수를 위해 보안 엔지니어는 승인된 최신 패치가 적용되지 않은 모든 인스턴스를 나열하는 주간 보고서를 작성해야 합니다. 또한 엔지니어는 승인된 최신 업데이트가 적용되지 않은 시스템이 30일을 초과하지 않도록 해야 합니다. 이러한 목표를 달성하는 가장 효율적인 방법은 무엇인가요?
A. 아마존 인스펙터를 사용하여 최신 패치가 적용되지 않은 시스템을 확인하고 30일 후에 해당 인스턴스를 최신 AMI 버전으로 다시 배포합니다
B. 인스턴스 패치 준수에 대해 보고하고 정의된 유지 관리 기간 동안 업데이트를 적용하도록 Amazon EC2 시스템 관리자를 구성합니다
C. 난 30일 동안 다시 시작되지 않은 인스턴스가 있는지 확인하기 위해 IAM CloudTrail 토그를 검사하고 해당 인스턴스를 다시 배포합니다
D. 인된 최신 패치로 AMls를 업데이트하고 정의된 유지 관리 기간 동안 각 인스턴스를 다시 배포합니다
답변 보기
정답: B
질문 #79
회사는 규정을 준수하기 위해 몇 년 동안 토그 데이터 아카이브를 보관해야 합니다. 토그 데이터는 더 이상 사용되지 않지만 반드시 보관해야 합니다. 이러한 요구 사항을 충족하는 가장 안전하고 비용 효율적인 솔루션은 무엇일까요?
A. 데이터를 Amazon S3에 보관하고 제한적인 버킷 정책을 적용하여 s3 DeleteOotect API를 거부합니다
B. 데이터를 Amazon S3 Glacier에 보관하고 Vault Lock 정책을 적용합니다
C. 데이터를 Amazon S3에 보관하고 두 번째 IAM 리전의 두 번째 버킷에 복제 S3 표준-빈번하지 않은 액세스(S3 Standard-1A) 스토리지 클래스를 선택하고 제한적인 버킷 정책을 적용하여 s3 DeleteObject API를 거부합니다
D. 그 데이터를 16 T8 Amazon EBS(Amazon Elastic Block Store) 볼륨으로 마이그레이션 EBS 볼륨의 스냅샷을 생성합니다
답변 보기
정답: B
질문 #80
한 회사에서 민감한 정보를 저장할 애플리케이션을 IAM에 구축하고 있습니다. 이 회사에는 데이터베이스를 포함한 IT 인프라에 액세스할 수 있는 지원 팀이 있습니다. 회사의 보안 엔지니어는 관리 오버헤드를 최소화하면서 데이터 유출로부터 민감한 데이터를 보호할 수 있는 조치를 도입해야 합니다. 자격 증명을 정기적으로 교체해야 하는데 보안 엔지니어가 권장하는 방법은 무엇인가요?
A. 데이터베이스와 스냅샷을 암호화하려면 Amazon RDS 암호화를 사용하도록 설정합니다
B. Amazon EC2 인스턴스에 데이터베이스를 설치합니다
C. 데이터베이스와 스냅샷을 암호화하기 위해 Amazon RDS 암호화를 활성화합니다
D. IAM KMS(IAM 키 관리 서비스)로 IAM CloudHSM 클러스터를 설정하여 KMS 키를 저장하고, IAM KMS를 사용하여 Amazon RDS 암호화를 설정하여 데이터베이스를 암호화합니다
답변 보기
정답: C
질문 #81
개발자가 AWS에서 호스팅되는 서버리스 애플리케이션을 구축하고 있으며 데이터 저장소로 Amazon Redshift를 사용합니다. 애플리케이션에는 읽기 쓰기 및 읽기 전용 기능을 위한 별도의 모듈이 있습니다. 모듈에는 규정 준수를 위해 자체 데이터베이스 사용자가 필요합니다.보안 엔지니어가 적절한 액세스 권한을 부여하기 위해 구현해야 하는 단계의 조합은 다음 중 어느 것입니까? (2가지 선택)
A. 각 애플리케이션 모듈에 대해 클러스터 보안 그룹을 구성하여 읽기 전용 및 읽기 쓰기에 필요한 데이터베이스 사용자에 대한 액세스를 제어합니다
B. mazon Redshift용 VPC 엔드포인트 구성 데이터베이스 사용자를 각 애플리케이션 모듈에 매핑하는 엔드포인트 정책을 구성하고, 읽기 전용 및 읽기/쓰기에 필요한 테이블에 대한 액세스를 허용합니다
C. 모듈에 대해 1AM 정책 구성하기 GetClusterCredentials API 호출을 허용하는 Amazon Redshift 데이터베이스 사용자의 ARN을 지정합니다
D. 모듈에 대한 로컬 데이터베이스 사용자를 만듭니다
E. 모듈에 대한 1AM 정책 구성하기 GetClusterCredentials API 호출을 허용하는 1AM 사용자의 ARN을 지정합니다
답변 보기
정답: A
질문 #82
회사의 보안 엔지니어는 Amazon GuardDuty, AWS ID 및 액세스 관리 액세스 분석기 또는 Amazon Made에서 심각도가 높은 보안 발견을 생성할 때마다 이메일 알림을 받기를 원합니다. 이 회사는 모든 계정을 관리하기 위해 AWS Control Tower를 사용합니다. 또한 모든 AWS 서비스 통합이 켜진 상태에서 AWS Security Hub를 사용하고 있는데, 운영 오버헤드가 가장 적으면서 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 각 서비스의 공개 API를 호출하여 심각도가 높은 결과를 검색할 수 있도록 GuardDuty, 1AM Access Analyzer, Macie에 대해 별도의 AWS Lambda 함수를 설정합니다
B. 심각도가 높은 보안 허브 발견 이벤트와 일치하는 패턴으로 Amazon EventBridge 규칙을 만듭니다
C. 각도가 높은 AWS 컨트롤 타워 이벤트와 일치하는 패턴으로 Amazon EventBridge 규칙을 생성합니다
D. mazon EC2에서 애플리케이션을 호스팅하여 GuardDuty, 1AM 액세스 분석기 및 Macie API를 호출하고, 애플리케이션 내에서 Amazon 단순 알림 서비스(Amazon SNS) API를 사용하여 심각도가 높은 결과를 검색하고 결과를 SNS 토픽으로 전송합니다
답변 보기
정답: B
질문 #83
온프레미스 서버에 Amazon EFS(Amazon Elastic File System)를 사용할 계획입니다. 이 회사는 온프레미스 데이터 센터 간에 기존 IAM Direct Connect 연결이 설정되어 있으며, 회사의 온프레미스 방화벽이 허용 목록에 특정 IP 주소만 추가되어야 하고 CIDR 범위는 추가되지 않아야 한다는 IAM 지역 보안 정책이 명시되어 있습니다. 또한 이 회사는 특정 데이터 센터 기반 서버만 Amazon EFS에 액세스할 수 있도록 액세스를 제한하려고 합니다. 보안 엔진은 어떻게 해야 하나요?
A. 데이터 센터 방화벽의 허용 목록에 파일 시스템-ID efs IAM-지역 amazonIAM com URL을 추가합니다
B. Amazon EFS에 Elastic IP 주소를 할당하고 데이터 센터 방화벽의 허용 목록에 Elastic IP 주소를 추가합니다
C. 이터 센터 방화벽의 허용 목록에 EFS 파일 시스템 마운트 대상 IP 주소를 추가합니다
D. AM 지원팀에 문의하여 EFS 파일 시스템에 대한 정적 범위의 IP 주소를 할당합니다
답변 보기
정답: B
질문 #84
한 회사에서 여러 해 동안의 재무 기록을 저장해야 합니다. 회사는 이러한 문서의 사본을 저장하기 위해 Amazon S3를 사용하려고 합니다. 이 회사는 문서가 Amazon S3에 저장된 후 7년간 문서를 편집, 교체 또는 삭제할 수 없도록 하는 솔루션을 구현해야 합니다. 이 솔루션은 또한 미사용 문서를 암호화해야 합니다. 보안 엔지니어가 문서를 저장하기 위해 새 S3 버킷을 만듭니다. 이러한 요구 사항을 충족하려면 보안 엔지니어가 다음에 무엇을 해야 하나요?
A. 회사는 마이크로서비스에 서버리스 접근 방식을 사용합니다
B. Amazon S3 및 DynamoD에 대해서만 kms:Decrypt 작업을 허용하는 키 정책 만들기 키로 암호화되지 않은 S3 버킷 및 DynamoDB 테이블의 생성을 거부하는 SCP를 만듭니다
C. 키에 대한 kms:암호 해독 작업을 거부하는 1AM 정책을 만듭니다
D. Amazon S3, DynamoDB, Lambda 및 Amazon EKS에 대해서만 kms:Decrypt 작업을 허용하는 키 정책을 생성합니다
E. Amazon S3, DynamoDB, Lambda 및 Amazon EKS에 대해서만 kms:Decrypt 작업을 허용하는 키 정책을 생성합니다
답변 보기
정답: B
질문 #85
한 회사에서 새로운 Amazon RDS 데이터베이스 애플리케이션을 개발했습니다. 이 회사는 전송 중 암호화 및 미사용 시 암호화를 위해 ROS 데이터베이스 자격 증명을 보호해야 합니다. 또한 자격 증명을 정기적으로 자동으로 교체해야 하는데, 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. IAM 시스템 관리자 파라미터 저장소를 사용하여 데이터베이스 자격 증명을 저장합니다
B. IAM Secrets Manager를 사용하여 데이터베이스 자격 증명을 저장합니다
C. 3 관리 암호화 키(SSE-S3)를 사용하여 서버 측 암호화로 구성된 Amazon S3 버킷에 데이터베이스 자격 증명을 저장합니다
D. 이터베이스 자격 증명을 Amazon S3 Glacier에 저장하고 S3 Glacier 볼트 잠금 기능을 사용하여 예약된 베이스에서 자격 증명을 회전하도록 IAM Lambda 기능을 구성합니다
답변 보기
정답: A
질문 #86
개발자가 다른 리전에서 Amazon EC2 인스턴스를 시작하지 못하도록 하는 가장 운영적으로 효율적인 솔루션은 무엇인가요?
A. 데이터베이스 VPC에 새 보안 그룹을 생성하고 애플리케이션 VPC의 IP 주소 범위의 모든 트래픽을 허용하는 인바운드 규칙을 생성합니다
B. 데이터베이스 VPC의 IP 주소 범위를 TCP 포트 1521로 허용하는 인바운드 규칙을 사용하여 애플리케이션 VPC에 새 보안 그룹을 생성합니다
C. 바운드 규칙이 없는 애플리케이션 VPC에 새 보안 그룹을 생성합니다
D. 데이터베이스 VPC의 IP 주소 범위를 TCP 포트 1521로 허용하는 인바운드 규칙을 사용하여 애플리케이션 VPC에 새 보안 그룹을 생성합니다
답변 보기
정답: C
질문 #87
회사의 애플리케이션 팀은 IAM에서 MySQL 데이터베이스를 호스팅해야 합니다. 회사의 보안 정책에 따라 IAM에 저장되는 모든 데이터는 미사용 시 암호화되어야 합니다. 또한 모든 암호화 자료는 FIPS 140-2 레벨 3 검증을 준수해야 합니다.애플리케이션 팀은 회사의 보안 요구 사항을 충족하고 운영 오버헤드를 최소화하는 솔루션이 필요합니다.어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. Amazon RDS에서 데이터베이스를 호스팅합니다
B. Amazon RDS에서 데이터베이스를 호스팅합니다
C. Amazon EC2 인스턴스에서 데이터베이스를 호스팅합니다
D. mazon EC2 인스턴스에서 데이터베이스를 호스팅합니다
답변 보기
정답: B
질문 #88
시스템 관리자가 IAM 역할을 사용하여 eu-west-1 리전에서 Amazon EC2 인스턴스를 시작할 수 없습니다. 동일한 시스템 관리자가 eu-west-2 및 eu- west-3 리전에서 EC2 인스턴스를 시작할 수 있습니다. 시스템 관리자 IAM 역할에 연결된 IAMSystemAdministrator 액세스 정책은 계정 내의 모든 IAM 서비스 및 리소스에 대한 무조건 액세스를 허용합니다.이 문제의 원인은 어떤 구성인가요?
A. 정에 다음 권한 설명과 함께 SCP가 첨부됩니다:
B. 한 경계 정책은 시스템 관리자 역할에 다음 권한 설명과 함께 첨부됩니다:
C. 한 경계가 시스템 관리자 역할에 다음과 같은 권한 설명과 함께 첨부됩니다:
D. 정에 다음 문구와 함께 SCP가 첨부되어 있습니다:
답변 보기
정답: B
질문 #89
한 회사가 Amazon CloudFornt를 사용하여 웹사이트를 운영하고 있습니다. CloudFront는 애플리케이션 뒤에서 EC2 인스턴스를 실행하는 웹 서버에서 일부 콘텐츠는 Amazon S3에서, 다른 콘텐츠는 웹 서버에서 서버링합니다. 로드 밸런서(ALB). Amazon DynamoDB가 데이터 저장소로 사용됩니다. 이 회사는 이미 IAM 인증서 관리자(ACM)를 사용하여 웹사이트 사용자와 CloudFront 간의 연결을 선택적으로 보호할 수 있는 공개 TLS 인증서를 저장하고 있습니다. 이 회사는 전송 시 엔드투엔드 암호화를 적용해야 하는 새로운 요구 사항이 있습니다
A. 오리진 사용자 지정 헤더 추가 뷰어 프로토콜 정책을 HTTP 및 HTTPS로 설정하고 오리진 프로토콜 포키를 HTTPS로만 설정합니다
B. 본 사용자 지정 헤더 추가 뷰어 프로토콜 정책을 HTTPS 전용으로 설정 뷰어와 일치하도록 원본 프로토콜 정책 설정 CloudFront 사용자 지정 헤더의 유효성을 검사하도록 애플리케이션 업데이트
C. 본 사용자 지정 헤더 추가 HTTP를 HTTPS로 리디렉션하도록 뷰어 프로토콜 정책을 설정합니다
D. 리진 사용자 지정 헤더 추가 뷰어 프로토콜 정책을 HTTP를 HTTPS로 리디렉션하도록 설정합니다
답변 보기
정답: BCE
질문 #90
회사에서 방금 VPC에 새 중앙 서버를 설정했습니다. 같은 지역의 다른 VPC에 서버가 있는 다른 팀들이 중앙 서버에 연결해야 하는데, 다음 중 이 요구 사항을 충족하는 데 가장 적합한 옵션은 무엇인가요?
A. 중앙 서버 VPC와 각 팀 VPC 간에 VPC 피어링을 설정합니다
B. 앙 서버 VPC와 각 팀 VPC 간에 IAM DirectConnect를 설정합니다
C. 앙 서버 VPC와 각 팀 VPC 사이에 IPSec 터널을 설정합니다
D. 위의 옵션 중 어느 것도 작동하지 않습니다
답변 보기
정답: A
질문 #91
예시닷컴은 애플리케이션 로드 밸런서(ALB) 뒤에 있는 Amazon EC2 인스턴스에서 호스팅됩니다. EC2 인스턴스의 트래픽을 캡처하는 타사 호스트 침입 탐지 시스템(HIDS) 에이전트가 각 호스트에서 실행되고 있습니다. 기업은 타사 솔루션이 제공하는 보증을 잃지 않으면서도 사용자를 위해 개인정보 보호 강화 기술을 사용하고 있는지 확인해야 합니다. 이러한 요구 사항을 충족하는 가장 안전한 방법은 무엇일까요?
A. ALB에서 TLS 통과를 활성화하고 서버에서 타원 곡선 디피-헬만(ECDHE) 암호 제품군을 사용하여 암호 해독을 처리합니다
B. 타원 곡선 디피-헬만(ECDHE) 암호 제품군으로 암호화된 연결을 사용하는 리스너를 ALB에 생성하고 트래픽을 서버로 전달합니다
C. 타원 곡선 디피-헬만(ECDHE) 암호 제품군으로 암호화된 연결을 사용하는 수신기를 ALB에 만들고, 완전 순방향 비밀성(PFS)을 사용하지 않는 서버에 암호화된 연결을 사용합니다
D. 벽한 순방향 비밀(PFS) 암호 제품군을 사용하지 않는 수신기를 ALB에 생성하고 타원 곡선 디피-헬만(ECDHE) 암호 제품군을 사용하여 서버에 암호화된 연결을 사용합니다
답변 보기
정답: D
질문 #92
보안 설계자가 기존 보안 아키텍처를 검토하고 애플리케이션 서버가 데이터베이스 서버에 대한 연결을 성공적으로 시작할 수 없는 이유를 파악해 달라는 요청을 받았습니다. 다음 요약은 아키텍처를 설명합니다.1 애플리케이션 로드 밸런서, 인터넷 게이트웨이, NAT 게이트웨이가 공용 서브넷에 구성되어 있습니다.2. 데이터베이스, 애플리케이션 및 웹 서버는 3개의 서로 다른 사설 서브넷에 구성되어 있습니다.3 VPC에는 공용 서브넷용과 모든 사설 서브넷용의 두 개의 라우트 테이블이 있습니다
A. 용 VPC 보안 그룹에 거부 규칙을 추가하여 악성 IP를 차단합니다
B. 성 IP를 IAM WAF 백스트 IP에 추가합니다
C. 성 IP의 트래픽을 차단하도록 Linux iptables 또는 Windows 방화벽을 구성합니다
D. 마존 루트 53에서 호스트 영역을 수정하고 악성 IP에 대한 DNS 싱크홀을 생성합니다
답변 보기
정답: A
질문 #93
회사에서 Amazon S3 버킷을 사용하여 보고서를 저장합니다. 경영진은 이 버킷에 저장된 모든 새 개체를 S3 버킷과 동일한 계정으로 소유한 클라이언트 지정 IAM KMS(IAM 키 관리 서비스) CMK로 서버 측 암호화를 사용하여 미사용 시 암호화해야 한다고 규정하고 있습니다. IAM 계정 번호는 111122223333, 버킷 이름은 신고 버킷입니다. 회사의 보안 전문가는 위임 사항을 구현할 수 있도록 S3 버킷 정책을 작성해야 하는데, 보안 전문가는 다음 중 어느 문장을 작성해야 하나요?
A. 보안 계정에 CodeCommit 리포지토리 만들기 IAM 키 관리 서비스(IAM KMS) 토르 암호화를 사용하여 개발팀이 이 리포지토리로 Lambda 소스 코드를 마이그레이션해야 합니다
나. Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하여 보안 계정의 Amazon S3 버킷에 API 키를 저장하여 키를 암호화합니다
C. 안 계정의 IAM 비밀 관리자에서 비밀을 생성하여 IAM 키 관리 서비스(IAM KMS) 토르 암호화를 사용하여 API 키를 저장합니다
라. Lambda 함수가 IAM 키 관리 서비스(IAM KMS) 토르 암호화를 사용하여 API 키를 저장할 수 있도록 암호화된 환경 변수 생성 Lambda 함수가 런타임에 키를 복호화할 수 있도록 함수가 사용하는 IAM 역할에 대한 액세스 권한을 부여합니다
답변 보기
정답: D
질문 #94
개발팀이 IAM KMS(IAM 키 관리 서비스) CMK를 사용하여 IAM 시스템 관리자 매개 변수 저장소에서 보안 문자열 매개 변수의 암호화 및 암호 해독을 시도하고 있습니다. 그러나 개발팀은 시도할 때마다 오류 메시지를 받습니다. 이 오류의 원인이 될 수 있는 CMK와 관련된 문제에는 어떤 것이 있나요? (2개를 선택하세요.)
A. 모든 지역에서 Amazon GuardDuty를 활성화합니다
B. IAM 조직에서 조직을 사용합니다
C. AM 코드파이프라인을 통해 IAM CloudFormation 템플릿을 사용하여 EC2 리소스를 프로비저닝합니다
D. s-east-1 및 us-west-2 외부의 무단 활동을 방지하기 위해 IAM 구성 규칙을 만듭니다
답변 보기
정답: AD
질문 #95
회사에는 IAM에서 호스팅되는 EC2 인스턴스 세트가 있습니다. EC2 인스턴스에는 중요한 정보를 저장하는 데 사용되는 EBS 볼륨이 있습니다. EBS 볼륨에 대한 고가용성을 보장하기 위한 비즈니스 연속성 요구 사항이 있습니다. 이를 어떻게 달성할 수 있을까요?
A. EBS 볼륨에 대한 수명 주기 정책을 사용합니다
B. BS 스냅샷 사용
C. BS 볼륨 복제를 사용합니다
D. BS 볼륨 암호화를 사용합니다
답변 보기
정답: B
질문 #96
현재 VPC에 여러 애플리케이션이 호스팅되고 있습니다. 모니터링 중에 특정 IP 주소 블록에서 여러 포트 스캔이 들어오는 것을 발견했습니다. 내부 보안 팀에서 향후 24시간 동안 문제가 되는 모든 IP 주소를 거부하도록 요청했습니다. 다음 중 특정 IP 주소의 액세스를 신속하고 일시적으로 거부하는 가장 좋은 방법은 무엇인가요?
A. PC의 모든 호스트에서 Windows 방화벽 설정을 수정하여 IP 주소 블록에서 액세스를 거부하는 AD 정책을 만듭니다
B. VPC의 모든 공용 서브넷과 연결된 네트워크 ACL을 수정하여 IP 주소 블록에서 액세스를 거부합니다
C. 든 VPC 보안 그룹에 규칙을 추가하여 IP 주소 블록에서 액세스를 거부합니다
D. 직에서 해당 VPC에서 사용하는 모든 AMI의 Windows 방화벽 설정을 수정하여 IP 주소 블록에서 액세스를 거부합니다
답변 보기
정답: B
질문 #97
한 회사가 미국 동부 1 리전에 Amazon GuardDuty를 배포했습니다. 회사는 회사의 Amazon EC2 인스턴스와 관련된 모든 DNS 로그를 검사하기를 원합니다. 보안 엔지니어가 EC2 인스턴스가 기록되도록 하려면 어떻게 해야 하나요?
A. 호스트 이름에 대해 구성된 IPv6 주소를 사용합니다
B. 외부 DNS 확인자를 IAM에만 표시되는 내부 확인자로 구성합니다
C. 든 EC2 인스턴스에 IAM DNS 확인자를 사용합니다
D. 든 EC2 인스턴스에 대해 로깅을 사용하는 타사 DNS 확인자를 구성합니다
답변 보기
정답: C
질문 #98
개발자가 AWS에서 호스팅되는 서버리스 애플리케이션을 구축하고 있으며 데이터 저장소로 Amazon Redshift를 사용합니다. 애플리케이션에는 읽기 쓰기 및 읽기 전용 기능을 위한 별도의 모듈이 있습니다. 모듈에는 규정 준수를 위해 자체 데이터베이스 사용자가 필요합니다.보안 엔지니어가 적절한 액세스 권한을 부여하기 위해 구현해야 하는 단계의 조합은 다음 중 어느 것입니까? (2가지 선택)
A. 각 애플리케이션 모듈에 대해 클러스터 보안 그룹을 구성하여 읽기 전용 및 읽기 쓰기에 필요한 데이터베이스 사용자에 대한 액세스를 제어합니다
B. mazon Redshift용 VPC 엔드포인트 구성 데이터베이스 사용자를 각 애플리케이션 모듈에 매핑하는 엔드포인트 정책을 구성하고, 읽기 전용 및 읽기/쓰기에 필요한 테이블에 대한 액세스를 허용합니다
C. 모듈에 대해 1AM 정책 구성하기 GetClusterCredentials API 호출을 허용하는 Amazon Redshift 데이터베이스 사용자의 ARN을 지정합니다
D. 모듈에 대한 로컬 데이터베이스 사용자를 만듭니다
E. 모듈에 대한 1AM 정책 구성하기 GetClusterCredentials API 호출을 허용하는 1AM 사용자의 ARN을 지정합니다
답변 보기
정답: A
질문 #99
보안 엔지니어가 AWS 어뷰즈 팀으로부터 아마존 엘라스틱 블록 스토어(Amazon EBS) 기반 스토리지를 사용하는 리눅스 기반 아마존 EC2 인스턴스의 의심스러운 활동에 대한 알림을 받았습니다. 인스턴스가 알려진 악성 주소에 연결하고 있습니다.이 인스턴스는 us-east-1 지역에 있는 VPC 내의 개발 계정에 있습니다. VPC에는 인터넷 게이트웨이가 있고 us-east-1a 및 us-easMb에 서브넷이 있습니다. 각 서브넷은 인터넷 게이트웨이를 기본 경로로 사용하는 경로 테이블과 연관되어 있습니다
A. 의심스러운 인스턴스에 로그인하고 netstat 명령을 사용하여 원격 연결을 식별합니다
B. 모든 연결을 첫 번째 규칙으로 명시적으로 거부하도록 us-east-1b 서브넷의 아웃바운드 네트워크 ACL을 업데이트합니다
C. 심스러운 EC2 인스턴스에 연결된 Amazon EBS(Amazon Elastic Block Store) 볼륨이 종료 시 삭제되지 않는지 확인합니다
D. 심스러운 인스턴스와의 트래픽을 거부하는 AWS WAF 웹 ACL 생성 공격 완화를 위해 AWS WAF 웹 ACL을 인스턴스에 연결합니다
답변 보기
정답: B
질문 #100
보안 엔지니어가 AWS 어뷰즈 팀으로부터 아마존 엘라스틱 블록 스토어(Amazon EBS) 기반 스토리지를 사용하는 리눅스 기반 아마존 EC2 인스턴스의 의심스러운 활동에 대한 알림을 받았습니다. 인스턴스가 알려진 악성 주소에 연결하고 있습니다.이 인스턴스는 us-east-1 지역에 있는 VPC 내의 개발 계정에 있습니다. VPC에는 인터넷 게이트웨이가 있고 us-east-1a 및 us-easMb에 서브넷이 있습니다. 각 서브넷은 인터넷 게이트웨이를 기본 경로로 사용하는 경로 테이블과 연관되어 있습니다
A. 의심스러운 인스턴스에 로그인하고 netstat 명령을 사용하여 원격 연결을 식별합니다
B. 모든 연결을 첫 번째 규칙으로 명시적으로 거부하도록 us-east-1b 서브넷의 아웃바운드 네트워크 ACL을 업데이트합니다
C. 심스러운 EC2 인스턴스에 연결된 Amazon EBS(Amazon Elastic Block Store) 볼륨이 종료 시 삭제되지 않는지 확인합니다
D. 심스러운 인스턴스와의 트래픽을 거부하는 AWS WAF 웹 ACL 생성 공격 완화를 위해 AWS WAF 웹 ACL을 인스턴스에 연결합니다
답변 보기
정답: B
질문 #101
한 대기업에서 다중 계정 전략을 수립 중이며 직원들이 IAM 인프라에 액세스하는 방법을 결정해야 하는데, 다음 중 가장 확장성이 뛰어난 솔루션은 무엇인가요?
A. 기존 ID 공급자의 그룹 멤버십을 기반으로 페더레이션을 통해 직원들이 맡을 수 있는 전용 IAM 사용자를 각 IAM 계정 내에 생성합니다
B. 직원이 기존 ID 공급자와의 페더레이션을 통해 맡을 수 있는 IAM 역할이 있는 중앙 집중식 계정을 사용합니다
C. 용자가 기존 회사 사용자 이름과 비밀번호를 사용하여 IAM 리소스에 직접 액세스할 수 있도록 Kerberos 토큰을 사용하도록 IAM 보안 토큰 서비스를 구성합니다
D. 각 계정의 역할 내에서 IAM 신뢰 정책을 구성하여 기업의 기존 ID 공급자에 대한 신뢰를 다시 설정하여 사용자가 SAML 토큰을 기반으로 역할을 맡을 수 있도록 합니다
답변 보기
정답: B
질문 #102
한 회사에서 민감한 정보를 저장할 애플리케이션을 IAM에 구축하고 있습니다. 이 회사에는 데이터베이스를 포함한 IT 인프라에 액세스할 수 있는 지원 팀이 있습니다. 회사의 보안 엔지니어는 관리 오버헤드를 최소화하면서 데이터 유출로부터 민감한 데이터를 보호할 수 있는 조치를 도입해야 합니다. 자격 증명을 정기적으로 교체해야 하는데 보안 엔지니어가 권장하는 방법은 무엇인가요?
A. 데이터베이스와 스냅샷을 암호화하려면 Amazon RDS 암호화를 사용하도록 설정합니다
B. Amazon EC2 인스턴스에 데이터베이스를 설치합니다
C. 데이터베이스와 스냅샷을 암호화하기 위해 Amazon RDS 암호화를 활성화합니다
D. IAM KMS(IAM 키 관리 서비스)로 IAM CloudHSM 클러스터를 설정하여 KMS 키를 저장하고, IAM KMS를 사용하여 Amazon RDS 암호화를 설정하여 데이터베이스를 암호화합니다
답변 보기
정답: C

제출 후 답변 보기

질문에 대한 답변을 얻으려면 이메일과 WhatsApp을 제출하세요.

참고: 올바른 시험 결과를 얻을 수 있도록 이메일 ID와 Whatsapp이 유효한지 확인하십시오.

이메일:
WhatsApp/전화번호:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.