아무것도 놓치고 싶지 않으신가요?

인증 시험 합격 팁

최신 시험 소식 및 할인 정보

전문가가 선별하고 최신 정보를 제공합니다.

예, 뉴스레터를 보내주세요

업데이트 된 SCS-C02 연습 문제로 쉽게 AWS 시험에 합격하십시오

시험 준비 리소스와 학습 자료를 통해 전문적인 데이터 분류, AWS 데이터 보호 메커니즘, 데이터 암호화 방법, 이러한 방법을 구현하는 AWS 메커니즘에 대해 깊이 있게 이해할 수 있습니다. 모의 시험은 실제 시험 환경을 시뮬레이션하여 시험 조건에서 연습하고 합격 전략을 구체화할 수 있습니다. SPOTO AWS SCS-C02 시험 준비는 AWS Certified Security - Specialty 자격증을 취득하려는 개인에게 상당한 이점을 제공합니다. 포괄적인 시험 문제와 답변은 핵심 주제를 다루도록 세심하게 설계되어 인증된 개인이 AWS 클라우드에서 보안 솔루션을 자신 있게 만들고 구현할 수 있도록 보장합니다.
다른 온라인 시험에 응시하세요
질문 #1
한 회사에서 다중 계정 보안 네트워킹 전략을 개발하기 위해 IAM 조직을 사용하고 있습니다. 이 회사는 공유 서비스, 감사 및 보안 검사를 위해 중앙에서 관리하는 별도의 계정을 사용할 계획입니다. 이 회사는 프로덕션 및 개발 환경을 위해 애플리케이션 소유자에게 수십 개의 추가 계정을 제공할 계획이며, 회사 보안 정책에 따라 모든 인터넷 트래픽은 보안 검사 계정의 중앙에서 관리되는 보안 검사 계층을 통해 라우팅되어야 합니다. 보안 엔지니어
A. 특정 CloudTrail 트레일의 변경을 금지하는 IAM 정책을 생성하고 IAM 계정 루트 사용자에게 정책을 적용합니다
B. 소스 계정의 IAM 계정 루트 사용자의 구성 변경을 금지하는 CloudTrail 트레일에 대해 지정된 대상 계정에 S3 버킷 정책을 생성합니다
C. 정 CloudTrail 트레일의 변경을 금지하는 SCP를 만들고 조직의 해당 조직 단위 또는 계정에 SCP를 적용합니다
D. 특정 CloudTrail 트레일의 변경을 금지하는 IAM 정책을 생성하고 새 IAM 그룹에 정책을 적용합니다
답변 보기
정답: C
질문 #2
보안 설계자가 기존 보안 아키텍처를 검토하고 애플리케이션 서버가 데이터베이스 서버에 대한 연결을 성공적으로 시작할 수 없는 이유를 파악해 달라는 요청을 받았습니다. 다음 요약은 아키텍처를 설명합니다.1 애플리케이션 로드 밸런서, 인터넷 게이트웨이, NAT 게이트웨이가 공용 서브넷에 구성되어 있습니다.2. 데이터베이스, 애플리케이션 및 웹 서버는 3개의 서로 다른 사설 서브넷에 구성되어 있습니다.3 VPC에는 공용 서브넷용과 모든 사설 서브넷용의 두 개의 라우트 테이블이 있습니다
A. 용 VPC 보안 그룹에 거부 규칙을 추가하여 악성 IP를 차단합니다
B. 성 IP를 IAM WAF 백스트 IP에 추가합니다
C. 성 IP의 트래픽을 차단하도록 Linux iptables 또는 Windows 방화벽을 구성합니다
D. 마존 루트 53에서 호스트 영역을 수정하고 악성 IP에 대한 DNS 싱크홀을 생성합니다
답변 보기
정답: A
질문 #3
회사가 AWS 어뷰즈 팀으로부터 AWS 계정에 대한 알림을 받음 알림은 계정의 리소스가 손상되었음을 나타냅니다. 회사는 손상된 리소스가 웹 애플리케이션을 호스팅하는 Amazon EC2 인스턴스임을 확인합니다. 손상된 EC2 인스턴스는 EC2 자동 확장 그룹의 일부입니다.EC2 인스턴스는 1AM 액세스 키와 비밀 키를 사용하여 Amazon S3 및 Amazon DynamoDB 리소스에 액세스합니다. 1AM 액세스 키와 비밀 키는 지정된 AMI 내에 저장되어 있습니다
A. EC2 인스턴스가 사용하는 잠재적으로 손상된 액세스 키를 교체합니다
B. 손상될 가능성이 있는 액세스 키 삭제 또는 비활성화 손상될 가능성이 있는 액세스 키 권한과 일치하는 사용자 지정 정책을 포함하는 EC2 자동 확장 연결 1AM 역할 생성 새 1AM 역할을 자동 확장 그룹과 연결 EC2 자동 확장 인스턴스 새로 고침을 수행합니다
C. 출 가능성이 있는 액세스 키 삭제 또는 비활성화 유출 가능성이 있는 자격 증명 없이 새 AMI 생성 올바른 권한이 포함된 1AM 역할 생성 새 AMI 및 1AM 역할을 참조할 자동 확장 그룹용 시작 템플릿 생성 EC2 자동 확장 인스턴스 새로 고침 수행
D. 상될 가능성이 있는 액세스 키 교체 손상될 가능성이 있는 액세스 키 없이 새 AMI 생성 사용자 데이터 스크립트를 사용하여 자동 확장 그룹의 시작 구성에서 새 액세스 키를 환경 변수로 제공 EC2 자동 확장 인스턴스 새로 고침을 수행합니다
답변 보기
정답: C
질문 #4
CTO가 IAM 계정의 보안에 대해 매우 걱정하고 있습니다. 해커가 계정을 완전히 탈취하지 못하게 하려면 어떻게 해야 할까요?
A. 루트 계정과 모든 관리자는 짧지만 복잡한 비밀번호를 사용하세요
B. AM IAM 지오락을 사용하여 해당 도시를 제외하고는 누구도 로그인할 수 없도록 합니다
C. 모든 사용자 및 계정, 특히 루트 계정에서 MFA를 사용합니다
D. AM 계정을 만든 후에는 루트 계정 비밀번호를 적어 두거나 기억하지 마세요
답변 보기
정답: C
질문 #5
회사의 클라우드 운영팀은 IAM 교차 계정 액세스에 대한 효과적인 보안을 구축할 책임이 있습니다. 이 팀은 보안 엔지니어에게 개발자 그룹의 개발자 계정(123456789012)에 있는 일부 개발자가 프로덕션 계정(999999999999)으로 교차 계정 역할(ReadS3)을 수행하여 Amazon S3 버킷(productionapp)의 콘텐츠를 읽을 수 없는 이유를 해결하는 데 도움을 요청합니다. 두 계정 정책은 다음과 같습니다. 보안 엔지니어가 해결해야 하는 권장 사항은 다음과 같습니다
A. IAM 컨트롤 타워를 사용합니다
B. 보안 검사 계정에서 중앙에서 관리되는 VPC를 만듭니다
C. AM 컨트롤 타워 사용
D. AM 조직에 대해 IAM 리소스 액세스 관리자(IAM RAM)를 사용 설정합니다
답변 보기
정답: AD
질문 #6
규정 준수를 위해 보안 엔지니어는 승인된 최신 패치가 적용되지 않은 모든 인스턴스를 나열하는 주간 보고서를 작성해야 합니다. 또한 엔지니어는 승인된 최신 업데이트가 적용되지 않은 시스템이 30일을 초과하지 않도록 해야 합니다. 이러한 목표를 달성하는 가장 효율적인 방법은 무엇인가요?
A. 아마존 인스펙터를 사용하여 최신 패치가 적용되지 않은 시스템을 확인하고 30일 후에 해당 인스턴스를 최신 AMI 버전으로 다시 배포합니다
B. 인스턴스 패치 준수에 대해 보고하고 정의된 유지 관리 기간 동안 업데이트를 적용하도록 Amazon EC2 시스템 관리자를 구성합니다
C. 난 30일 동안 다시 시작되지 않은 인스턴스가 있는지 확인하기 위해 IAM CloudTrail 토그를 검사하고 해당 인스턴스를 다시 배포합니다
D. 인된 최신 패치로 AMls를 업데이트하고 정의된 유지 관리 기간 동안 각 인스턴스를 다시 배포합니다
답변 보기
정답: B
질문 #7
보안 엔지니어가 Amazon Linux EC2 인스턴스의 시스템 로그를 수동으로 검토하는 동안, Amazon CloudWatch Logs 에이전트에서 제대로 경고되거나 보고되지 않은 sudo 명령이 있다는 것을 발견했습니다. 왜 sudo 명령에 대한 경고가 없었을까요?
A. 아웃바운드 포트 80 트래픽을 차단하는 보안 그룹이 있어 에이전트가 로그를 보내지 못합니다
B. EC2 인스턴스의 IAM 인스턴스 프로필이 CloudWatch 로그 에이전트가 로그를 CloudWatch로 푸시할 수 있도록 제대로 구성되지 않았습니다
C. loudWatch 로그 상태가 보안이 아닌 켜짐으로 설정되어 있어 OS 보안 이벤트 로그를 가져오지 못합니다
D. PC는 모든 트래픽이 프록시를 통과해야 하며, CloudWatch Logs 에이전트는 프록시 구성을 지원하지 않습니다
답변 보기
정답: B
질문 #8
한 회사에서 Amazon API Gateway를 사용하여 사용자에게 REST API를 제공합니다. API 개발자는 로그 파일을 구문 분석할 필요 없이 API 액세스 패턴을 분석하고자 합니다. 다음 중 가장 적은 노력으로 이러한 요구 사항을 충족하는 단계 조합은 무엇인가요? (2개를 선택하세요.)
A. AWS 계정에 대한 S3 블록 공개 액세스 기능을 구성합니다
B. 버킷에 있는 모든 개체에 대해 S3 블록 공개 액세스 기능을 구성합니다
C. 버킷에 있는 개체에 대한 ACL을 비활성화합니다
D. mazon S3용 AWS PrivateLink를 사용하여 버킷에 액세스합니다
답변 보기
정답: CD
질문 #9
개발팀은 간단한 오래된 웹 애플리케이션을 테스트하기 위해 실험 환경을 구축했습니다. 프라이빗 서브넷과 퍼블릭 서브넷이 있는 격리된 VPC를 구축했습니다. 공용 서브넷에는 애플리케이션 로드 밸런서, NAT 게이트웨이, 인터넷 게이트웨이만 있습니다. 사설 서브넷에는 Amazon EC2 인스턴스가 있으며, 3가지 유형의 서버가 있습니다. 각 서버 유형에는 필요한 연결로만 액세스를 제한하는 자체 보안 그룹이 있습니다. 보안 그룹에는 인바운드 및 아웃바운드 규칙이 모두 적용됩니다
A. Amazon 기본 키(IAM EBS)로 암호화된 Amazon EBS 볼륨 사용
B. 객 제공 키로 서버 측 암호화 사용(SSE-C)
C. 버 측 암호화에 IAM KMS 관리 키(SSE-KMS) 사용
D. mazon S3 관리형 키(SSE-S3)로 서버 측 암호화 사용
답변 보기
정답: CEF
질문 #10
한 회사가 eu-west-1 지역에서 애플리케이션을 실행하고 있습니다. 이 애플리케이션은 IAM 키 관리 서비스(IAM KMS) CMK를 사용하여 중요한 데이터를 암호화합니다.
A. 사는 eu-north-1 지역에 애플리케이션을 배포할 계획이며, 보안 엔지니어는 새 지역에 애플리케이션 배포를 위한 키 관리 솔루션을 구현해야 합니다
B. eu-west-1의 주요 정책을 업데이트합니다
C. 당 리전에 배포된 애플리케이션에서 사용할 새 CMK를 eu-north-1에 할당합니다
D. CMK를 eu-north-1에 할당합니다
Eu-north-1에 새 CMK를 할당합니다. Eu-'-1에 대한 별칭을 생성합니다
답변 보기
정답: B
질문 #11
의료 회사의 감사관이 모든 데이터 볼륨을 미사용 시 암호화할 것을 요구함 인프라는 주로 IAM CloudFormation을 통해 배포되지만 일부 레거시 시스템에는 타사 프레임워크와 수동 배포가 필요함 모든 EBS 볼륨이 암호화되었는지 여부를 반복적으로 모니터링하는 가장 좋은 방법은 무엇인가요?
A. loudTrail 콘솔에서 노출된 액세스 키의 이벤트 기록 필터링 지난 11일 동안의 데이터를 살펴봅니다
B. IAM CLI를 사용하여 IAM 자격증명 보고서 생성하기 지난 11일 동안의 모든 데이터를 추출합니다
C. mazon Athena를 사용하여 Amazon S3에서 CloudTrail 로그를 쿼리하여 지난 11일 동안 노출된 액세스 키 토르에 대한 행을 검색합니다
D. AM 콘솔의 Access Advisor 탭을 사용하여 지난 11일 동안의 모든 액세스 키 활동을 확인합니다
답변 보기
정답: B
질문 #12
한 회사에 소매점이 있습니다 이 회사는 고객 영수증의 스캔 사본을 Amazon S3에 저장하는 솔루션을 설계 중입니다 파일은 PDF 형식의 100KB에서 5MB 사이입니다 각 소매점에는 고유한 암호화 키가 있어야 합니다 각 개체는 고유 키로 암호화되어야 합니다 어떤 솔루션이 이러한 요구 사항을 충족하나요?
A. 각 리테일 스토어에 대한 전용 AWS 키 관리 서비스(AWS KMS) 고객 관리 키를 생성합니다
B. 리테일 스토어에 대해 매일 새로운 AWS 키 관리 서비스(AWS KMS) 고객 관리 키를 생성합니다
C. 리테일 스토어에 대해 매일 AWS 키 관리 서비스(AWS KMS) GenerateDataKey 작업을 실행합니다
D. 리테일 스토어에 대해 매일 새로운 키 자료를 AWS KMS(AWS 키 관리 서비스)로 가져오기 위해 ImportKeyMaterial 작업을 사용하여 고객 관리 키와 KMS 암호화 작업을 사용하여 개체를 암호화한 다음 개체를 Amazon S3에 업로드합니다
답변 보기
정답: A
질문 #13
회사에는 큰 이미지에서 이미지 썸네일을 생성하는 AWS Lambda 함수가 있습니다. 람다 함수는 동일한 AWS 계정의 Amazon S3 버킷에 대한 읽기 및 쓰기 액세스 권한이 필요한데, 람다 함수에 이러한 액세스 권한을 제공하는 솔루션은 무엇인가요? (두 개 선택)
A. 프로그래밍 액세스 권한만 있는 IAM 사용자를 만듭니다
B. Amazon EC2 키 쌍을 생성합니다
C. 다 함수에 대한 IAM 역할을 생성합니다
D. 다 함수에 대한 IAM 역할을 생성합니다
E. 안 그룹을 생성합니다
답변 보기
정답: BE
질문 #14
한 회사에서 AWS 람다 함수를 사용하는 데이터 처리 애플리케이션 매트를 구축하고 있습니다. 애플리케이션의 람다 함수는 동일한 AWS 계정의 VPC 내에 배포된 Amazon RDS OB 인스턴스와 통신해야 하는데, 가장 안전한 방법으로 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 블릭 액세스를 허용하도록 DB 인스턴스 구성하기 AWS 리전에 대한 Lambda 퍼블릭 주소 공간에서 액세스를 허용하도록 DB 인스턴스 보안 그룹을 업데이트합니다
B. PC 내부에 람다 기능 배포 람다 서브넷에 네트워크 ACL을 연결합니다 VPC CIDR 범위에만 아웃바운드 규칙 접근 권한을 제공합니다 0
C. PC 내부에 람다 함수 배포 람다 함수에 보안 그룹 연결 VPC CIDR 범위에만 아웃바운드 규칙 접근 권한 제공 람다 보안 그룹에서 트래픽을 허용하도록 DB 인스턴스 보안 그룹 업데이트
보안 그룹 없이 직접 네트워크에 액세스할 수 있도록 Lambda 기본 VPC를 DB 인스턴스를 호스팅하는 VPC와 D. eer합니다
답변 보기
정답: C
질문 #15
개발자가 여러 계정이 포함된 IAM 조직 OU(조직 구성 단위) 내의 새 계정에 로그인했습니다. Amazon $3 서비스에 대한 액세스가 다음 SCP.보안 엔지니어가 다른 계정에 영향을 주지 않고 개발자에게 Amazon $3 액세스를 제공하려면 어떻게 해야 하나요?
A. SCP를 조직의 루트 OU로 이동하여 Amazon 3에 대한 액세스 제한을 제거합니다
B. 개발자에게 $3 액세스 권한을 부여하는 IAM 정책을 추가합니다
C. 액세스를 제한하는 SCP를 적용하지 않고 새 OU를 만듭니다
D. 3 서비스에 대한 개발자 계정의 허용 목록을 추가합니다
답변 보기
정답: C
질문 #16
한 회사에는 인터넷 게이트웨이가 연결되지 않은 VPC의 단일 사설 서브넷에 Amazon EC2 인스턴스 그룹이 있습니다. 보안 엔지니어가 특정 애플리케이션의 로그를 캡처하기 위해 해당 서브넷의 모든 인스턴스에 Amazon CloudWatch 에이전트를 설치했습니다. 로그의 안전한 흐름을 보장하기 위해, 회사의 네트워킹 팀은 CloudWatch 모니터링 및 CloudWatch 로그를 위한 VPC 엔드포인트를 만들었습니다. 네트워킹 팀은 엔드포인트를 VPC에 연결했고 애플리케이션이 로그를 생성하고 있습니다. 그러나
A. EC2 인스턴스에 연결된 EC2 인스턴스 프로파일에 로그 스트림 생성 및 로그 쓰기 권한이 있는지 확인합니다
B. AWS 관리 콘솔에서 볼 수 있도록 로그에 메트릭 필터를 생성합니다
C. EC2 인스턴스의 CloudWatch 에이전트 구성 파일을 확인하여 CloudWatch 에이전트가 적절한 로그 파일을 수집하고 있는지 확인합니다
D. VPC 엔드포인트의 VPC 엔드포인트 정책을 확인하여 EC2 인스턴스에 사용 권한이 있는지 확인합니다
E. 서브넷에 NAT 게이트웨이를 생성하여 EC2 인스턴스가 CloudWatch와 통신할 수 있도록 합니다
답변 보기
정답: ACD
질문 #17
Amazon GuardDuty가 회사의 Amazon EC2 인스턴스에서 알려진 명령 및 제어 엔드포인트와의 통신을 탐지했습니다. 이 인스턴스는 일반적인 웹 프레임워크의 취약한 버전을 실행 중인 것으로 밝혀졌습니다. 회사의 보안 운영팀은 해당 프레임워크의 특정 버전이 설치된 다른 컴퓨팅 리소스를 신속하게 식별하려고 하는데, 이 작업을 수행하려면 어떤 접근 방식을 취해야 하나요?
A. 모든 EC2 인스턴스가 IAM 구성을 준수하지 않는지 스캔합니다
B. Amazon Inspector Network Reachability 규칙 패키지로 모든 EC2 인스턴스를 스캔하여 RecognizedPortWithListener 결과가 있는 웹 서버를 실행 중인 인스턴스를 식별합니다
C. AM 시스템 관리자로 모든 EC2 인스턴스를 스캔하여 취약한 버전의 웹 프레임워크를 식별합니다
D. 약한 버전의 웹 프레임워크를 식별하기 위해 IAM 리소스 액세스 관리자로 EC2 인스턴스를 스캔합니다
답변 보기
정답: C
질문 #18
IAM에 S3 버킷이 정의되어 있습니다. 유선으로 데이터를 전송하기 전에 데이터를 암호화하고 싶은데 이를 달성하는 가장 좋은 방법은 무엇인가요?
A. S3 버킷에 서버 측 암호화를 활성화합니다
B. IAM 암호화 CLI를 사용하여 먼저 데이터를 암호화합니다
C. 데이터를 S3 버킷으로 보내기 전에 람다 함수를 사용하여 데이터를 암호화합니다
D. 킷에 클라이언트 암호화를 사용 설정합니다
답변 보기
정답: B
질문 #19
회사의 보안 엔지니어는 다른 IAM 서비스에 대한 액세스를 제공하지 않고 계약자의 IAM 계정이 회사의 Amazon EC2 콘솔에 액세스하도록 제한하는 작업을 수행해야 합니다. 계약자 IAM 계정은 IAM 그룹 멤버십에 따라 추가 권한이 할당된 경우에도 다른 IAM 서비스에 액세스할 수 없어야 합니다.보안 엔지니어가 이러한 요구 사항을 충족하려면 어떻게 해야 하나요?''
A. 계약자의 IAM 사용자에 대한 Amazon EC2 액세스를 허용하는 mime IAM 사용자 정책을 만듭니다
B. Amazon EC2 액세스를 허용하는 IAM 권한 경계 정책 만들기 계약자의 IAM 계정을 IAM 권한 경계 정책과 연결합니다
C. mazon EC2 액세스를 허용하는 정책이 첨부된 IAM 그룹 만들기 계약자의 IAM 계정을 IAM 그룹과 연결합니다
D. EC2를 허용하고 다른 모든 서비스를 명시적으로 거부하는 IAM 역할을 생성하여 계약자에게 항상 이 역할을 맡도록 지시합니다
답변 보기
정답: B
질문 #20
회사에서 IAM을 사용하여 리소스를 호스팅합니다. 1) 모든 API 호출 및 전환 기록 2) 계정에 어떤 리소스가 있는지 파악하는 데 도움 3) 자격 증명 및 로그인 감사를 허용하는 기능 어떤 서비스가 위의 요구 사항을 충족할 수 있을까요?
A. AM Inspector, CloudTrail, IAM 자격 증명 보고서
B. loudTrail
C. loudTrail, IAM 구성, IAM 자격 증명 보고서
D. AM SQS, IAM 자격 증명 보고서, CloudTrail
답변 보기
정답: C
질문 #21
회사의 온프레미스 네트워크는 IAM Direct Connect 게이트웨이를 사용하여 VPC에 연결됩니다. 회사의 온프레미스 애플리케이션은 기존 Amazon Kinesis Data Firehose 전송 스트림을 사용하여 데이터를 스트리밍해야 합니다. 회사의 보안 정책에 따라 사설 네트워크를 사용하여 전송 중인 데이터를 암호화해야 하는데, 이러한 요구 사항을 어떻게 충족해야 하나요?
A. 네시스 데이터 파이어호스의 VPC 엔드포인트를 생성합니다
B. 스 IP 조건을 사용하여 Kinesis 데이터 파이어호스에 대한 액세스를 제한하는 IAM 정책을 구성하고, 애플리케이션이 기존 파이어호스 전송 스트림에 연결하도록 구성합니다
C. IAM 인증서 관리자(ACM)에서 새 TLS 인증서를 만듭니다
다이렉트 커넥트를 사용하여 온프레미스 네트워크를 Kinesis 데이터 파이어호스 VPC와 피어링합니다. 기존 Firehose 전송 스트림에 연결하도록 애플리케이션을 구성합니다
답변 보기
정답: A
질문 #22
한 회사가 여러 개의 Amazon EC2 인스턴스에 분산 웹 애플리케이션을 배포합니다. 이 애플리케이션은 TLS 연결을 종료하도록 구성될 애플리케이션 부하 분산 장치(ALB) 뒤에 있습니다. 인증서 개인 키가 손상된 경우에도 ALB에 대한 모든 TLS 트래픽은 안전하게 유지되어야 하는데 보안 엔지니어가 이 요구 사항을 어떻게 충족할 수 있을까요?
A. IAM 인증서 관리자(ACM)에서 관리하는 인증서를 사용하는 HTTPS 리스너를 만듭니다
B. 완벽한 비밀 유지(PFS)를 사용하는 암호 집합을 사용하는 보안 정책을 사용하는 HTTPS 리스너를 만듭니다
C. 버 순서 기본 설정 보안 기능을 사용하는 HTTPS 리스너를 만듭니다
D. 완전 순방향 비밀성(PFS)이 있는 암호 모음만 허용하는 사용자 지정 보안 정책을 사용하는 TCP 수신기를 만듭니다
답변 보기
정답: A
질문 #23
회사에서 Amazon S3 버킷을 사용하여 보고서를 저장합니다. 경영진은 이 버킷에 저장된 모든 새 개체를 S3 버킷과 동일한 계정으로 소유한 클라이언트 지정 IAM KMS(IAM 키 관리 서비스) CMK로 서버 측 암호화를 사용하여 미사용 시 암호화해야 한다고 규정하고 있습니다. IAM 계정 번호는 111122223333, 버킷 이름은 신고 버킷입니다. 회사의 보안 전문가는 위임 사항을 구현할 수 있도록 S3 버킷 정책을 작성해야 하는데, 보안 전문가는 다음 중 어느 문장을 작성해야 하나요?
A. 보안 계정에 CodeCommit 리포지토리 만들기 IAM 키 관리 서비스(IAM KMS) 토르 암호화를 사용하여 개발팀이 이 리포지토리로 Lambda 소스 코드를 마이그레이션해야 합니다
나. Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하여 보안 계정의 Amazon S3 버킷에 API 키를 저장하여 키를 암호화합니다
C. 안 계정의 IAM 비밀 관리자에서 비밀을 생성하여 IAM 키 관리 서비스(IAM KMS) 토르 암호화를 사용하여 API 키를 저장합니다
라. Lambda 함수가 IAM 키 관리 서비스(IAM KMS) 토르 암호화를 사용하여 API 키를 저장할 수 있도록 암호화된 환경 변수 생성 Lambda 함수가 런타임에 키를 복호화할 수 있도록 함수가 사용하는 IAM 역할에 대한 액세스 권한을 부여합니다
답변 보기
정답: D
질문 #24
애플리케이션 팀이 전송 중 데이터의 보안을 보장하기 위해 IAM 인증서 관리자(ACM)를 사용하여 공개 인증서를 요청하려고 합니다. 사용 중인 도메인이 현재 Amazon Route 53에서 호스팅되지 않음 애플리케이션 팀은 IAM 관리형 배포 및 캐싱 솔루션을 사용하여 시스템에 대한 요청을 최적화하고 고객에게 더 나은 PoP를 제공하고자 함 배포 솔루션은 사용자 지정한 기본 도메인 이름을 사용함 배포 솔루션은 또한 여러 대체 도메인 이름을 사용함
A.
B.
C.
답변 보기
정답: CDF
질문 #25
회사는 규정을 준수하기 위해 몇 년 동안 토그 데이터 아카이브를 보관해야 합니다. 토그 데이터는 더 이상 사용되지 않지만 반드시 보관해야 합니다. 이러한 요구 사항을 충족하는 가장 안전하고 비용 효율적인 솔루션은 무엇일까요?
A. 데이터를 Amazon S3에 보관하고 제한적인 버킷 정책을 적용하여 s3 DeleteOotect API를 거부합니다
B. 데이터를 Amazon S3 Glacier에 보관하고 Vault Lock 정책을 적용합니다
C. 데이터를 Amazon S3에 보관하고 두 번째 IAM 리전의 두 번째 버킷에 복제 S3 표준-빈번하지 않은 액세스(S3 Standard-1A) 스토리지 클래스를 선택하고 제한적인 버킷 정책을 적용하여 s3 DeleteObject API를 거부합니다
D. 그 데이터를 16 T8 Amazon EBS(Amazon Elastic Block Store) 볼륨으로 마이그레이션 EBS 볼륨의 스냅샷을 생성합니다
답변 보기
정답: B
질문 #26
개발자가 다른 리전에서 Amazon EC2 인스턴스를 시작하지 못하도록 하는 가장 운영적으로 효율적인 솔루션은 무엇인가요?
A. 데이터베이스 VPC에 새 보안 그룹을 생성하고 애플리케이션 VPC의 IP 주소 범위의 모든 트래픽을 허용하는 인바운드 규칙을 생성합니다
B. 데이터베이스 VPC의 IP 주소 범위를 TCP 포트 1521로 허용하는 인바운드 규칙을 사용하여 애플리케이션 VPC에 새 보안 그룹을 생성합니다
C. 바운드 규칙이 없는 애플리케이션 VPC에 새 보안 그룹을 생성합니다
D. 데이터베이스 VPC의 IP 주소 범위를 TCP 포트 1521로 허용하는 인바운드 규칙을 사용하여 애플리케이션 VPC에 새 보안 그룹을 생성합니다
답변 보기
정답: C
질문 #27
한 회사가 eu-west-1 지역에서 애플리케이션을 실행하고 있습니다. 이 애플리케이션은 IAM 키 관리 서비스(IAM KMS) CMK를 사용하여 중요한 데이터를 암호화합니다.
A. 사는 eu-north-1 지역에 애플리케이션을 배포할 계획이며, 보안 엔지니어는 새 지역에 애플리케이션 배포를 위한 키 관리 솔루션을 구현해야 합니다
B. eu-west-1의 주요 정책을 업데이트합니다
C. 당 리전에 배포된 애플리케이션에서 사용할 새 CMK를 eu-north-1에 할당합니다
D. CMK를 eu-north-1에 할당합니다
Eu-north-1에 새 CMK를 할당합니다. Eu-'-1에 대한 별칭을 생성합니다
답변 보기
정답: B
질문 #28
회사의 보안 팀이 Amazon EC2 어뷰즈 팀으로부터 회사의 Amazon EC2 인스턴스 중 하나 이상이 손상되었을 수 있다는 이메일 알림을 받았습니다.보안 팀이 대응하기 위해 취해야 할 조치 조합은 무엇입니까(현재 모뎀? (두 개 선택))?
A. Amazon CloudWatch 모니터링을 사용하여 Amazon EC2 및 네트워킹 메트릭 캡처 Amazon CloudWatch 대시보드를 사용하여 메트릭을 시각화하세요
B. 아마존 키네시스 에이전트를 실행하여 상태 데이터를 아마존 키네시스 데이터 파이어호스에 기록합니다
C. 상태 확인 구성 요소에서 직접 상태 데이터를 공용 Amazon S3 버킷에 쓰기 데이터를 분석하는 IAM Lambda 함수를 호출하도록 S3 이벤트를 구성합니다
D. 태 확인 구성 요소에서 이벤트를 생성하여 Amazon CloudWatch 이벤트로 전송합니다
답변 보기
정답: DE
질문 #29
회사가 AWS 어뷰즈 팀으로부터 AWS 계정에 대한 알림을 받음 알림은 계정의 리소스가 손상되었음을 나타냅니다. 회사는 손상된 리소스가 웹 애플리케이션을 호스팅하는 Amazon EC2 인스턴스임을 확인합니다. 손상된 EC2 인스턴스는 EC2 자동 확장 그룹의 일부입니다.EC2 인스턴스는 1AM 액세스 키와 비밀 키를 사용하여 Amazon S3 및 Amazon DynamoDB 리소스에 액세스합니다. 1AM 액세스 키와 비밀 키는 지정된 AMI 내에 저장되어 있습니다
A. EC2 인스턴스가 사용하는 잠재적으로 손상된 액세스 키를 교체합니다
B. 손상될 가능성이 있는 액세스 키 삭제 또는 비활성화 손상될 가능성이 있는 액세스 키 권한과 일치하는 사용자 지정 정책을 포함하는 EC2 자동 확장 연결 1AM 역할 생성 새 1AM 역할을 자동 확장 그룹과 연결 EC2 자동 확장 인스턴스 새로 고침을 수행합니다
C. 출 가능성이 있는 액세스 키 삭제 또는 비활성화 유출 가능성이 있는 자격 증명 없이 새 AMI 생성 올바른 권한이 포함된 1AM 역할 생성 새 AMI 및 1AM 역할을 참조할 자동 확장 그룹용 시작 템플릿 생성 EC2 자동 확장 인스턴스 새로 고침 수행
D. 상될 가능성이 있는 액세스 키 교체 손상될 가능성이 있는 액세스 키 없이 새 AMI 생성 사용자 데이터 스크립트를 사용하여 자동 확장 그룹의 시작 구성에서 새 액세스 키를 환경 변수로 제공 EC2 자동 확장 인스턴스 새로 고침을 수행합니다
답변 보기
정답: C
질문 #30
한 회사에서 민감한 데이터를 다루는 애플리케이션을 배포하기 위해 Amazon Elastic 컨테이너 서비스(Amazon ECS)를 사용하고 있습니다. 최근 보안 감사 중에 회사의 소스 코드 리포지토리에서 Amazon RDS 자격 증명이 애플리케이션 코드와 함께 저장되는 보안 문제를 발견했습니다.보안 엔지니어는 데이터베이스 자격 증명이 안전하게 저장되고 주기적으로 순환되도록 보장하는 솔루션을 개발해야 합니다. 자격 증명은 애플리케이션에서만 액세스할 수 있어야 합니다. 또한 엔지니어는 다음을 수행해야 합니다
A. IAM 시스템 관리자 파라미터 저장소를 사용하여 데이터베이스 자격 증명을 생성합니다
B. 데이터베이스 자격 증명을 저장하려면 IAM Secrets Manager를 사용합니다
C. AM 시스템 관리자 매개변수 저장소를 사용하여 데이터베이스 자격 증명을 저장합니다
D. 데이터베이스 자격 증명을 저장하려면 IAM 시크릿 매니저를 사용합니다
답변 보기
정답: D
질문 #31
회사의 최고 보안 책임자가 보안 분석가에게 각 회사 IAM 계정의 보안 상태를 검토하고 개선할 것을 요청했습니다. 보안 분석가는 이를 위해 IAM 계정 루트 사용자 보안을 개선하기로 결정했습니다.이러한 요구 사항을 충족하기 위해 보안 분석가가 취해야 할 조치는 무엇입니까? (세 가지를 선택하세요.)
A. 데이터베이스 서버의 아웃바운드 SG 구성 애플리케이션 서버의 인바운드 SG 구성 데이터베이스 서브넷의 인바운드 및 아웃바운드 네트워크 ACL 구성 애플리케이션 서버 서브넷의 인바운드 및 아웃바운드 네트워크 ACL 구성
B. 이터베이스 서버의 인바운드 SG 구성
C. 이터베이스 서버의 인바운드 및 아웃바운드 SG 구성 애플리케이션 서버의 인바운드 및 아웃바운드 SG 구성 데이터베이스 서브넷의 인바운드 네트워크 ACL 구성 애플리케이션 서버 서브넷의 아웃바운드 네트워크 ACL 구성
D. 이터베이스 서버의 인바운드 SG 구성 애플리케이션 서버의 아웃바운드 SG 구성 데이터베이스 서브넷의 인바운드 네트워크 ACL 구성 애플리케이션 서버 서브넷의 아웃바운드 네트워크 ACL 구성
답변 보기
정답: ADE
질문 #32
회사는 AWS 계정에 일련의 표준 IAM 역할을 배포합니다. IAM 역할은 회사 내 직무를 기반으로 합니다. 운영 효율성과 보안의 균형을 맞추기 위해 보안 엔지니어는 모든 회사 계정에서 중요한 보안 서비스에 대한 액세스를 제한하기 위해 AWS 조직 SCP를 구현했습니다.AWS 조직 내의 모든 회사 계정과 OU에는 기본 FullAWSAccess SCP가 첨부되어 있습니다. 보안 엔지니어는 누구도 Amazon GuardDuty 및 AWS Security Hu를 비활성화할 수 없도록 해야 합니다
A. ption
B. ption
C. ption
D. 션 D
답변 보기
정답: A
질문 #33
회사에서 방금 VPC에 새 중앙 서버를 설정했습니다. 같은 지역의 다른 VPC에 서버가 있는 다른 팀들이 중앙 서버에 연결해야 하는데, 다음 중 이 요구 사항을 충족하는 데 가장 적합한 옵션은 무엇인가요?
A. 중앙 서버 VPC와 각 팀 VPC 간에 VPC 피어링을 설정합니다
B. 앙 서버 VPC와 각 팀 VPC 간에 IAM DirectConnect를 설정합니다
C. 앙 서버 VPC와 각 팀 VPC 사이에 IPSec 터널을 설정합니다
D. 위의 옵션 중 어느 것도 작동하지 않습니다
답변 보기
정답: A
질문 #34
회사에서 서로 다른 IAM 서비스에 사용하기 위해 별도의 IAM KMS(IAM 키 관리 서비스) 키를 설정하려고 합니다. 회사의 보안 엔지니어가 다음과 같은 키 정책을 생성하여 인프라 배포 팀이 InfrastructureDeployment IAM 역할을 가정하여 암호화된 Amazon EBS(Amazon Elastic Block Store) 볼륨을 생성할 수 있도록 했습니다. 보안 엔지니어는 최근에 InfrastructureDeployment 역할 이외의 IAM 역할이 이 키(또는 다른 서비스)를 사용하는 것을 발견했습니다.어떤 정책을 변경해야 하나요?
A. "키 사용 허용" Sid가 포함된 문 블록의 "조건" 블록에서 StringEquals를 StringLike로 변경합니다
B. 정책 문서에서 "IAM 사용자 권한 사용" Sid가 포함된 Dlock 문구를 제거합니다
C. "키 사용 허용" Sid가 포함된 문 블록의 "조건" 블록 아래에서 Kms:ViaService 값을 ec2
D. 정책 문서에서 보안 엔지니어의 IAM 역할에 'kms:Disable' 권한을 부여하는 새 명령문 블록을 추가합니다
답변 보기
정답: C
질문 #35
한 회사에서 IAM 계정의 단일 VPC 내에서 여러 애플리케이션을 호스팅하고 있습니다. 이 애플리케이션은 IAM WAF 웹 ACL과 연결된 애플리케이션 부하 분산 장치 뒤에서 실행되고 있습니다. 회사의 보안팀은 인터넷의 특정 범위의 IP 주소에서 여러 포트 스캔이 발생하고 있음을 확인했습니다.보안 엔지니어는 문제가 되는 IP 주소의 액세스를 거부해야 합니다.어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. IP 주소 범위에서 들어오는 요청을 거부하도록 IP 세트 일치 규칙 문으로 IAM WAF 웹 ACL을 수정합니다
B. 모든 보안 그룹에 규칙을 추가하여 IP 주소 범위에서 들어오는 요청을 거부합니다
C. P 주소 범위에서 들어오는 요청을 거부하도록 비율 기반 규칙 문으로 IAM WAF 웹 ACL을 수정합니다
D. 정규식 일치 조건으로 IAM WAF 웹 ACL을 구성합니다
답변 보기
정답: A
질문 #36
Amazon GuardDuty가 회사의 Amazon EC2 인스턴스에서 알려진 명령 및 제어 엔드포인트와의 통신을 탐지했습니다. 이 인스턴스는 일반적인 웹 프레임워크의 취약한 버전을 실행 중인 것으로 밝혀졌습니다. 회사의 보안 운영팀은 해당 프레임워크의 특정 버전이 설치된 다른 컴퓨팅 리소스를 신속하게 식별하려고 하는데, 이 작업을 수행하려면 어떤 접근 방식을 취해야 하나요?
A. 모든 EC2 인스턴스가 IAM 구성을 준수하지 않는지 스캔합니다
B. Amazon Inspector Network Reachability 규칙 패키지로 모든 EC2 인스턴스를 스캔하여 RecognizedPortWithListener 결과가 있는 웹 서버를 실행 중인 인스턴스를 식별합니다
C. AM 시스템 관리자로 모든 EC2 인스턴스를 스캔하여 취약한 버전의 웹 프레임워크를 식별합니다
D. 약한 버전의 웹 프레임워크를 식별하기 위해 IAM 리소스 액세스 관리자로 EC2 인스턴스를 스캔합니다
답변 보기
정답: C
질문 #37
한 회사에서 IAM 계정의 단일 VPC 내에서 여러 애플리케이션을 호스팅하고 있습니다. 이 애플리케이션은 IAM WAF 웹 ACL과 연결된 애플리케이션 부하 분산 장치 뒤에서 실행되고 있습니다. 회사의 보안팀은 인터넷의 특정 범위의 IP 주소에서 여러 포트 스캔이 발생하고 있음을 확인했습니다.보안 엔지니어는 문제가 되는 IP 주소의 액세스를 거부해야 합니다.어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. IP 주소 범위에서 들어오는 요청을 거부하도록 IP 세트 일치 규칙 문으로 IAM WAF 웹 ACL을 수정합니다
B. 모든 보안 그룹에 규칙을 추가하여 IP 주소 범위에서 들어오는 요청을 거부합니다
C. P 주소 범위에서 들어오는 요청을 거부하도록 비율 기반 규칙 문으로 IAM WAF 웹 ACL을 수정합니다
D. 정규식 일치 조건으로 IAM WAF 웹 ACL을 구성합니다
답변 보기
정답: A
질문 #38
회사 정책상 모든 암호화 키를 매년 교체해야 하는 AWS 키 관리 서비스(AWS KMS) 고객 관리 키가 있는데, 이 고객 관리 키에 대한 이 요구 사항을 충족하려면 보안 엔지니어가 어떻게 해야 하나요?
A. 기존 고객 관리 키에 대해 매년 자동 키 로테이션을 사용하도록 설정합니다
B. AWS CLI를 사용하여 기존 고객 관리 키를 매년 순환하는 AWS Lambda 함수를 생성합니다
C. 존 고객 관리 키에 새 키 자료 가져오기 키를 수동으로 회전합니다
D. 고객 관리 키 만들기 새 키 자료를 새 키로 가져오기 키 별칭을 새 키로 지정합니다
답변 보기
정답: A
질문 #39
개발팀에서 액세스 키를 사용하여 S3 및 DynamoDB에 액세스할 수 있는 애플리케이션을 개발하고 있습니다. 새로운 보안 정책에 따라 자격 증명은 2개월이 넘지 않아야 하며, 교체해야 합니다. 이를 어떻게 달성할 수 있을까요?
A. DK를 통해 2개월마다 키를 회전하는 애플리케이션을 사용합니다
B. 스크립트를 사용하여 키의 생성 날짜를 조회합니다
C. 2개월마다 키와 연결된 사용자를 삭제합니다
D. 2개월마다 키와 연결된 IAM 역할을 삭제합니다
답변 보기
정답: B
질문 #40
한 회사의 개발자가 SSH 키를 사용하여 여러 Amazon EC2 인스턴스에 액세스합니다. 회사에서 SSH 키가 공개 GitHub 리포지토리에 게시된 것을 발견했습니다. 보안 엔지니어가 해당 키가 최근에 사용되지 않았음을 확인합니다. 보안 엔지니어는 EC2 인스턴스에 대한 무단 액세스를 어떻게 방지해야 하나요?
A. EC2 콘솔에서 키 쌍을 삭제합니다
B. 키를 사용 중인 EC2 인스턴스에서 키를 변경하려면 ModifylnstanceAttribute API 작업을 사용합니다
C. 안 그룹에서 SSH 액세스를 알려진 회사 IP 주소로만 제한합니다
D. C2 인스턴스를 시작하는 데 사용되는 모든 AMI에서 키 쌍을 업데이트합니다
답변 보기
정답: C
질문 #41
한 회사가 규정 준수를 위한 특정 규칙의 적용을 받는 애플리케이션을 Amazon EC2에서 호스팅하고 있습니다. 한 가지 규칙은 워크로드와 주고받는 트래픽에 네트워크 수준 공격이 있는지 검사해야 한다는 것입니다. 여기에는 전체 패킷 검사가 포함되며, 이 규정 규칙을 준수하기 위해 보안 엔지니어는 c5n.4xlarge EC2 인스턴스에 침입 탐지 소프트웨어를 설치해야 합니다. 그런 다음 엔지니어는 애플리케이션 인스턴스와 주고받는 트래픽을 모니터링하도록 소프트웨어를 구성해야 합니다.보안 엔진은 무엇을 해야 하나요?
A. 네트워크 인터페이스를 무차별 모드로 설정하여 트래픽을 캡처합니다
B. 트워크 로드 밸런서를 사용하여 모니터링 EC2 인스턴스로 트래픽을 전송하도록 VPC 플로우 로그를 구성합니다
C. 트워크 로드 밸런서를 사용하여 모니터링 EC2 인스턴스로 트래픽을 전송하도록 VPC 트래픽 미러링을 구성합니다
D. mazon Inspector를 사용하여 네트워크 수준 공격을 탐지하고 의심스러운 패킷을 EC2 인스턴스로 전송하는 IAM Lambda 함수를 트리거합니다
답변 보기
정답: D
질문 #42
IAM 리소스를 사용하는 회사에서 근무하고 있습니다. 주요 보안 정책 중 하나는 미사용 데이터와 전송 중인 모든 데이터를 암호화하는 것입니다. 다음 중 이를 구현하는 올바른 방법 중 하나는 무엇인가요?
A. 전송 중인 데이터에는 S3 SSE를 사용하고 SSL을 사용합니다
B. LB의 SSL 종료
C. 록시 프로토콜 활성화
D. 드 밸런서에서 스티키 세션 활성화
답변 보기
정답: A
질문 #43
회사가 us-east-1 리전에서 Amazon EBS(Amazon Elastic Block Store) 볼륨을 사용하여 Amazon EC2 인스턴스를 시작했습니다. 볼륨은 회사의 보안 팀이 생성한 AWS KMS(AWS 키 관리 서비스) 고객 관리 키로 암호화되었습니다. 보안 팀은 1AM 키 정책을 생성하고 해당 키에 정책을 할당했습니다. 보안 팀은 또한 1AM 인스턴스 프로필을 생성하고 해당 프로필을 인스턴스에 할당했습니다.EC2 인스턴스는 시작되지 않고 보류 중 상태에서 전환됩니다
A. 조직에서 AWS 시스템 관리자에 대한 신뢰할 수 있는 액세스 구성 관리 계정에서 바스티온 호스트 구성 관리 계정에서 시스템 관리자 세션 관리자를 사용하여 SSH 및 RDP 대체하기 세션 관리자 로깅을 Amazon CloudWatch 로그에 구성하기
B. SSH 및 RDP를 AWS 시스템 관리자 세션 관리자로 교체하기 인스턴스에 시스템 관리자 에이전트(SSM 에이전트)를 설치합니다
C. mazonSSMManagedlnstanceCore 역할을 인스턴스에 추가합니다
D. 리 계정에 배스티온 호스트 설치 배스티온 호스트에서만 액세스할 수 있도록 모든 SSH 및 RDP를 재구성합니다
E. SSH 및 RDP를 AWS 시스템 관리자 상태 관리자로 교체 인스턴스에 시스템 관리자 에이전트(SSM 에이전트)를 설치합니다
답변 보기
정답: CD
질문 #44
회사에서 IAM을 사용하여 리소스를 호스팅합니다. 1) 모든 API 호출 및 전환 기록 2) 계정에 어떤 리소스가 있는지 파악하는 데 도움 3) 자격 증명 및 로그인 감사를 허용하는 기능 어떤 서비스가 위의 요구 사항을 충족할 수 있을까요?
A. AM Inspector, CloudTrail, IAM 자격 증명 보고서
B. loudTrail
C. loudTrail, IAM 구성, IAM 자격 증명 보고서
D. AM SQS, IAM 자격 증명 보고서, CloudTrail
답변 보기
정답: C
질문 #45
애플리케이션 팀에서 Amazon S3에 사용하기 위해 새로운 IAM KMS 마스터 키를 요청했지만 조직 보안 정책에 따라 폭발 반경을 제한하기 위해 다른 IAM 서비스에 대해 별도의 마스터 키가 필요합니다.IAM KMS 고객 마스터 키(CMK)가 Amazon S3에서만 작동하도록 제한하려면 어떻게 해야 하나요?
A. Amazon S3 서비스만 kms 암호화 작업을 사용할 수 있도록 CMK 키 정책을 구성합니다
B. kms ViaService 조건이 Amazon S3 서비스 이름과 일치하는 경우에만 IAM KMS 작업을 허용하도록 CMK 키 정책을 구성합니다
C. AM 사용자의 정책을 구성하여 KMS가 로테를 전달하도록 허용합니다
D. MK와 결합할 때 Amazon S3 작업만 허용하도록 IAM 사용자의 정책을 구성합니다
답변 보기
정답: B
질문 #46
기업에는 다중 계정 인증 및 권한 부여를 위한 확장 가능한 솔루션을 구현할 보안 엔지니어가 필요합니다. 솔루션에 사용자가 관리하는 아키텍처 구성 요소를 추가로 도입하지 않아야 합니다. 가능한 한 기본 IAM 기능을 사용해야 합니다. 보안 엔지니어가 모든 기능이 활성화되고 IAM SSO가 활성화된 상태에서 IAM 조직을 설정했습니다.이 작업을 완료하려면 보안 엔지니어가 어떤 추가 단계를 수행해야 하나요?
A. AD 커넥터를 사용하여 IAM 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 만듭니다
B. IAM SSO 기본 디렉터리를 사용하여 IAM 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 만듭니다
C. AM SSO 기본 디렉터리를 사용하여 IAM 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 만듭니다
D. icrosoft Active Directory의 IAM 디렉터리 서비스를 사용하여 IAM 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 만듭니다
답변 보기
정답: B
질문 #47
의료 회사의 감사관이 모든 데이터 볼륨을 미사용 시 암호화할 것을 요구함 인프라는 주로 IAM CloudFormation을 통해 배포되지만 일부 레거시 시스템에는 타사 프레임워크와 수동 배포가 필요함 모든 EBS 볼륨이 암호화되었는지 여부를 반복적으로 모니터링하는 가장 좋은 방법은 무엇인가요?
A. loudTrail 콘솔에서 노출된 액세스 키의 이벤트 기록 필터링 지난 11일 동안의 데이터를 살펴봅니다
B. IAM CLI를 사용하여 IAM 자격증명 보고서 생성하기 지난 11일 동안의 모든 데이터를 추출합니다
C. mazon Athena를 사용하여 Amazon S3에서 CloudTrail 로그를 쿼리하여 지난 11일 동안 노출된 액세스 키 토르에 대한 행을 검색합니다
D. AM 콘솔의 Access Advisor 탭을 사용하여 지난 11일 동안의 모든 액세스 키 활동을 확인합니다
답변 보기
정답: B
질문 #48
한 대기업에서 다중 계정 전략을 수립 중이며 직원들이 IAM 인프라에 액세스하는 방법을 결정해야 하는데, 다음 중 가장 확장성이 뛰어난 솔루션은 무엇인가요?
A. 기존 ID 공급자의 그룹 멤버십을 기반으로 페더레이션을 통해 직원들이 맡을 수 있는 전용 IAM 사용자를 각 IAM 계정 내에 생성합니다
B. 직원이 기존 ID 공급자와의 페더레이션을 통해 맡을 수 있는 IAM 역할이 있는 중앙 집중식 계정을 사용합니다
C. 용자가 기존 회사 사용자 이름과 비밀번호를 사용하여 IAM 리소스에 직접 액세스할 수 있도록 Kerberos 토큰을 사용하도록 IAM 보안 토큰 서비스를 구성합니다
D. 각 계정의 역할 내에서 IAM 신뢰 정책을 구성하여 기업의 기존 ID 공급자에 대한 신뢰를 다시 설정하여 사용자가 SAML 토큰을 기반으로 역할을 맡을 수 있도록 합니다
답변 보기
정답: B
질문 #49
한 회사에 두 개의 팀이 있고 각 팀은 각각의 Amazon S3 버킷에 액세스해야 합니다. 회사는 자체 S3 버킷이 있는 팀을 더 추가할 예정이며, 이러한 팀이 추가되면 팀원들이 여러 팀에 배정될 수 있는 기능이 필요합니다. 또한 팀원들은 팀을 변경할 수 있는 기능도 필요합니다. 추가 S3 버킷을 만들거나 삭제할 수 있으며, IAM 관리자는 이러한 목표를 달성할 수 있는 솔루션을 설계해야 합니다. 또한 솔루션은 확장 가능해야 하며 다음과 같은 임대 계약이 필요합니다
A. 팀을 대표하는 그룹에 사용자를 추가합니다
B. 각 팀에 대한 IAM 역할을 만듭니다
C. 의 액세스 태그 값으로 레이블이 지정된 IAM 역할을 만듭니다
D. 할 기반 액세스 제어(RBAC) 권한 부여 모델을 구현합니다
답변 보기
정답: A
질문 #50
조직에 멀티 페타바이트 워크로드가 있어 Amazon S3로 이전하려는데, CISO는 키가 손상될 경우 암호화 마모와 폭발 반경에 대해 우려하고 있습니다. CISO는 IAM KMS와 Amazon S3가 이러한 우려를 해결하고 있다고 어떻게 확신할 수 있나요? (두 개 선택 )
A. Amazon Certification Manager에서 관리하는 인증서를 사용하는 HTTPS 리스너입니다
B. 벽한 순방향 비밀 암호화 제품군만 허용하는 사용자 지정 보안 정책을 사용하는 HTTPS 수신기입니다
C. 신 IAM 사전 정의된 ELBSecuntyPolicy-TLS-1 -2-2017-01 보안 정책을 사용하는 HTTPS 수신기입니다
완벽한 순방향 비밀 암호 제품군만 허용하는 사용자 지정 보안 정책을 사용하는 D. TCP 수신기입니다
답변 보기
정답: CE
질문 #51
회사에 AWS 조직에 SCP가 있는 조직이 있습니다. 조직의 루트 SCP는 다음과 같습니다. 회사의 개발자는 ses.* 작업을 허용하여 Amazon SES(Amazon Simple Email Service)에 액세스할 수 있도록 허용하는 IAM 정책이 있는 그룹의 구성원입니다. 계정은 Amazon SES를 허용하는 SCP가 있는 OU의 하위 계정입니다. 개발자가 AWS 관리 콘솔을 통해 Amazon SES에 액세스하려고 할 때 권한이 없는 오류가 발생하는데 보안 엔지니어가 구현해야 하는 변경 사항은 무엇인가요?
A. 그룹의 각 구성원이 Amazon SES에 액세스할 수 있도록 리소스 정책을 추가합니다
B. 'Principal'을 허용하는 리소스 정책을 추가합니다
C. mazon SES에 대한 액세스를 제한하는 AWS 컨트롤 타워 제어(가드레일)를 제거합니다
D. 트 SCP에서 Amazon SES를 제거합니다
답변 보기
정답: D
질문 #52
사고 대응 팀이 Amazon EC2 인스턴스가 실행되는 결과를 초래한 IAM 액세스 키 유출을 조사하고 있습니다. 회사는 수개월이 지나서야 사고를 발견했습니다. 정보 보안 책임자는 향후 유사한 사고가 발생할 때 경고하는 새로운 제어를 구현하고자 합니다.이를 위해 회사는 어떤 제어를 구현해야 합니까? {두 개를 선택하세요.)
A. S3 버킷 정책은 보안 엔지니어가 버킷의 오브젝트에 대한 액세스를 명시적으로 허용하지 않습니다
B. 중앙 집중식 계정 내의 사용자가 개체에 액세스할 수 있도록 개체 ACL이 업데이트되지 않고 있습니다
C. 안 엔지니어 IAM 정책은 S3 버킷의 개체를 읽을 수 있는 권한을 부여하지 않습니다
D. s3:PutObject 및 s3:PutObjectAcl 권한은 S3 버킷 수준에서 적용해야 합니다
답변 보기
정답: AE
질문 #53
한 보안 엔지니어가 회사의 사용자 지정 로깅 애플리케이션의 문제를 해결하고 있습니다. 애플리케이션 로그는 이벤트 알림이 활성화된 Amazon S3 버킷에 기록되어 Amazon SNS 토픽으로 이벤트를 전송합니다. 모든 로그는 IAM KMS CMK를 사용하여 미사용 시 암호화됩니다. SNS 토픽은 암호화된 Amazon SQS 대기열에 가입됩니다. 로깅 애플리케이션은 대기열에서 S3 개체에 대한 메타데이터가 포함된 새 메시지가 있는지 폴링합니다. 그런 다음 애플리케이션은 다음을 위해 S3 버킷에서 개체의 콘텐츠를 읽습니다
A. AM 관리형 CMK에 다음 문구를 추가합니다:
B. CMK 키 정책에 다음 문구를 추가합니다:
C. MK 키 정책에 다음 문구를 추가합니다:
D. MK 키 정책에 다음 문구를 추가합니다:
답변 보기
정답: D
질문 #54
한 회사가 Amazon EC2 인스턴스와 Amazon EMR 클러스터에서 단일 IAM 계정으로 워크로드를 실행하고 있는데 최근 보안 감사 결과 여러 개의 Amazon EBS(Amazon Elastic Block Store) 볼륨과 스냅샷이 암호화되지 않은 것으로 나타났습니다.이 회사의 보안 엔지니어는 사용자가 EC2 인스턴스와 EMR 클러스터를 배포하면서 모든 새 EBS 볼륨과 EBS 스냅샷이 유휴 상태에서 암호화되도록 하는 솔루션을 개발 중입니다. 이 솔루션은 운영 오버헤드도 최소화해야 하는데, 어떤 단계를 거쳐야 하나요?
A. C2 인스턴스를 소스로 아마존 이벤트 브리지(아마존 클라우드 시계 이벤트) 이벤트를 생성하고 이벤트 트리거로 볼륨을 생성하고, 이벤트가 트리거되면 IAM 람다 함수를 호출하여 생성한 EBS 볼륨이 암호화되지 않은지 평가하고 보안 엔지니어에게 알립니다
B. Createvolume 컨텍스트의 암호화 플래그가 true로 설정되어 있는지 확인하는 고객 관리형 IAM 정책을 사용합니다
C. 성 또는 수정 시 각 EC2 인스턴스의 구성을 평가하는 IAM Config 규칙을 생성합니다
D. 사가 운영 중인 각 IAM 리전의 EBS 볼륨에 대해 기본적으로 암호화를 사용하도록 설정하려면 IAM 관리 콘솔 또는 IAM CLi를 사용합니다
답변 보기
정답: D
질문 #55
회사의 온프레미스 네트워크는 IAM Direct Connect 게이트웨이를 사용하여 VPC에 연결됩니다. 회사의 온프레미스 애플리케이션은 기존 Amazon Kinesis Data Firehose 전송 스트림을 사용하여 데이터를 스트리밍해야 합니다. 회사의 보안 정책에 따라 사설 네트워크를 사용하여 전송 중인 데이터를 암호화해야 하는데, 이러한 요구 사항을 어떻게 충족해야 하나요?
A. 네시스 데이터 파이어호스의 VPC 엔드포인트를 생성합니다
B. 스 IP 조건을 사용하여 Kinesis 데이터 파이어호스에 대한 액세스를 제한하는 IAM 정책을 구성하고, 애플리케이션이 기존 파이어호스 전송 스트림에 연결하도록 구성합니다
C. IAM 인증서 관리자(ACM)에서 새 TLS 인증서를 만듭니다
다이렉트 커넥트를 사용하여 온프레미스 네트워크를 Kinesis 데이터 파이어호스 VPC와 피어링합니다. 기존 Firehose 전송 스트림에 연결하도록 애플리케이션을 구성합니다
답변 보기
정답: A
질문 #56
회사는 고객이 관리하는 CMK로 암호화된 여러 개의 Amazon S3 버킷을 보유하고 있습니다. 규정 요건으로 인해 매년 키를 교체해야 합니다. 회사의 보안 엔지니어가 CMK에 대해 자동 키 로테이션을 사용하도록 설정했지만 회사는 로테이션이 이루어졌는지 확인하려고 하는데, 이를 위해 보안 엔지니어는 어떻게 해야 하나요?
A. 로톤 이벤트에 대한 IAM CloudTrail 로그를 필터링합니다
B. 든 IAM KMS CMK 로테이션 이벤트에 대해 Amazon CloudWatcn 이벤트를 모니터링합니다
C. AM CLI 사용
D. mazon Athena를 사용하여 S3 버킷에 저장된 IAM CloudTrail 로그를 쿼리하여 새 키 생성 이벤트를 필터링합니다
답변 보기
정답: C
질문 #57
회사에서 프로덕션, 개발 및 테스트 환경에 대해 3개의 별도 IAM 계정을 관리하고 있으며, 각 개발자에게는 개발 계정 아래에 고유한 IAM 사용자가 할당되어 있습니다. 개발자 계정의 Amazon EC2 인스턴스에서 호스팅되는 새 애플리케이션은 프로덕션 계정의 Amazon S3 버킷에 저장된 보관된 문서에 대한 읽기 액세스 권한이 필요한데, 액세스 권한은 어떻게 부여해야 하나요?
A. 프로덕션 계정에 IAM 역할을 생성하고 트러스트 정책을 사용하여 개발 계정의 EC2 인스턴스가 해당 역할을 맡을 수 있도록 허용합니다
B. 사용자 지정 ID 브로커를 사용하여 개발자 IAM 사용자가 일시적으로 S3 버킷에 액세스할 수 있도록 허용합니다
C. 로덕션 계정에서 사용할 애플리케이션에 대한 임시 IAM 사용자를 만듭니다
D. 로덕션 계정에 임시 IAM 사용자를 생성하고 Amazon S3에 대한 읽기 액세스 권한을 제공합니다
답변 보기
정답: A
질문 #58
회사에서 프로덕션, 개발 및 테스트 환경에 대해 3개의 별도 IAM 계정을 관리하고 있으며, 각 개발자에게는 개발 계정 아래에 고유한 IAM 사용자가 할당되어 있습니다. 개발자 계정의 Amazon EC2 인스턴스에서 호스팅되는 새 애플리케이션은 프로덕션 계정의 Amazon S3 버킷에 저장된 보관된 문서에 대한 읽기 액세스 권한이 필요한데, 액세스 권한은 어떻게 부여해야 하나요?
A. 프로덕션 계정에 IAM 역할을 생성하고 트러스트 정책을 사용하여 개발 계정의 EC2 인스턴스가 해당 역할을 맡을 수 있도록 허용합니다
B. 사용자 지정 ID 브로커를 사용하여 개발자 IAM 사용자가 일시적으로 S3 버킷에 액세스할 수 있도록 허용합니다
C. 로덕션 계정에서 사용할 애플리케이션에 대한 임시 IAM 사용자를 만듭니다
D. 로덕션 계정에 임시 IAM 사용자를 생성하고 Amazon S3에 대한 읽기 액세스 권한을 제공합니다
답변 보기
정답: A
질문 #59
예시닷컴은 애플리케이션 로드 밸런서(ALB) 뒤에 있는 Amazon EC2 인스턴스에서 호스팅됩니다. EC2 인스턴스의 트래픽을 캡처하는 타사 호스트 침입 탐지 시스템(HIDS) 에이전트가 각 호스트에서 실행되고 있습니다. 기업은 타사 솔루션이 제공하는 보증을 잃지 않으면서도 사용자를 위해 개인정보 보호 강화 기술을 사용하고 있는지 확인해야 합니다. 이러한 요구 사항을 충족하는 가장 안전한 방법은 무엇일까요?
A. ALB에서 TLS 통과를 활성화하고 서버에서 타원 곡선 디피-헬만(ECDHE) 암호 제품군을 사용하여 암호 해독을 처리합니다
B. 타원 곡선 디피-헬만(ECDHE) 암호 제품군으로 암호화된 연결을 사용하는 리스너를 ALB에 생성하고 트래픽을 서버로 전달합니다
C. 타원 곡선 디피-헬만(ECDHE) 암호 제품군으로 암호화된 연결을 사용하는 수신기를 ALB에 만들고, 완전 순방향 비밀성(PFS)을 사용하지 않는 서버에 암호화된 연결을 사용합니다
D. 벽한 순방향 비밀(PFS) 암호 제품군을 사용하지 않는 수신기를 ALB에 생성하고 타원 곡선 디피-헬만(ECDHE) 암호 제품군을 사용하여 서버에 암호화된 연결을 사용합니다
답변 보기
정답: D
질문 #60
한 회사에서 복원력이 뛰어난 애플리케이션을 개발하여 여러 Amazon EC2 인스턴스에서 호스팅하려고 합니다. 이 애플리케이션은 매우 민감한 사용자 데이터를 Amazon RDS 테이블에 저장합니다.- 애플리케이션 재해 복구 계획에 다른 IAM 리전으로의 마이그레이션 포함.- 암호화 키 관리 이벤트의 전체 감사 추적 제공.- 회사 관리자만 키를 관리하도록 허용.- 애플리케이션 계층 암호화를 사용하여 미사용 데이터를 보호.보안 엔지니어가 옵션을 평가하고 있습니다
A. loudHSM에서 생성되는 주요 관리 이벤트 로깅은 IAM KMS보다 훨씬 더 광범위합니다
B. loudHSM은 회사 지원 담당자만 암호화 키를 관리할 수 있는 반면, IAM KMS는 IAM 담당자가 키를 관리할 수 있습니다
C. loudHSM에서 생성한 암호문은 IAM KMS에서 생성한 암호문보다 무차별 암호 해독 공격에 대해 더 강력한 보호 기능을 제공합니다
D. loudHSM은 키를 다른 리전으로 복사할 수 있는 기능을 제공하는 반면, IAM KMS는 그렇지 않습니다
답변 보기
정답: B
질문 #61
회사에서 고객이 관리하는 CMK의 삭제를 모니터링하려고 합니다. 보안 엔지니어는 CMK가 삭제되기 전에 회사에 알리는 알람을 만들어야 합니다. 보안 엔지니어가 IAM CloudTrail과 Amazon CloudWatch의 통합을 구성했습니다.이 요구 사항을 충족하려면 보안 엔지니어가 다음에 무엇을 해야 하나요?
A. 인바운드 규칙 100을 사용하여 TCP 포트 443의 트래픽을 허용 인바운드 규칙 200을 사용하여 TCP 포트 3306의 트래픽을 거부 아웃바운드 규칙 100을 사용하여 TCP 포트 443의 트래픽을 허용합니다
B. 인바운드 규칙 100을 사용하여 TCP 포트 3306의 트래픽을 거부합니다
C. 바운드 규칙 100을 사용하여 TCP 포트 범위 1024-65535의 트래픽을 허용 인바운드 규칙 200을 사용하여 TCP 포트 3306의 트래픽을 거부 아웃바운드 규칙 100을 사용하여 TCP 포트 443의 트래픽을 허용
D. 바운드 규칙 100을 사용하여 TCP 포트 3306의 트래픽을 거부 인바운드 규칙 200을 사용하여 TCP 포트 443의 트래픽을 허용 아웃바운드 규칙 100을 사용하여 TCP 포트 443의 트래픽을 허용
답변 보기
정답: A
질문 #62
한 회사에서 Amazon API Gateway를 사용하여 사용자에게 REST API를 제공합니다. API 개발자는 로그 파일을 구문 분석할 필요 없이 API 액세스 패턴을 분석하고자 합니다. 다음 중 가장 적은 노력으로 이러한 요구 사항을 충족하는 단계 조합은 무엇인가요? (2개를 선택하세요.)
A. AWS 계정에 대한 S3 블록 공개 액세스 기능을 구성합니다
B. 버킷에 있는 모든 개체에 대해 S3 블록 공개 액세스 기능을 구성합니다
C. 버킷에 있는 개체에 대한 ACL을 비활성화합니다
D. mazon S3용 AWS PrivateLink를 사용하여 버킷에 액세스합니다
답변 보기
정답: CD
질문 #63
회사가 us-east-1 리전에서 Amazon EBS(Amazon Elastic Block Store) 볼륨을 사용하여 Amazon EC2 인스턴스를 시작했습니다. 볼륨은 회사의 보안 팀이 생성한 AWS KMS(AWS 키 관리 서비스) 고객 관리 키로 암호화되었습니다. 보안 팀은 1AM 키 정책을 생성하고 해당 키에 정책을 할당했습니다. 보안 팀은 또한 1AM 인스턴스 프로필을 생성하고 해당 프로필을 인스턴스에 할당했습니다.EC2 인스턴스는 시작되지 않고 보류 중 상태에서 전환됩니다
A. 조직에서 AWS 시스템 관리자에 대한 신뢰할 수 있는 액세스 구성 관리 계정에서 바스티온 호스트 구성 관리 계정에서 시스템 관리자 세션 관리자를 사용하여 SSH 및 RDP 대체하기 세션 관리자 로깅을 Amazon CloudWatch 로그에 구성하기
B. SSH 및 RDP를 AWS 시스템 관리자 세션 관리자로 교체하기 인스턴스에 시스템 관리자 에이전트(SSM 에이전트)를 설치합니다
C. mazonSSMManagedlnstanceCore 역할을 인스턴스에 추가합니다
D. 리 계정에 배스티온 호스트 설치 배스티온 호스트에서만 액세스할 수 있도록 모든 SSH 및 RDP를 재구성합니다
E. SSH 및 RDP를 AWS 시스템 관리자 상태 관리자로 교체 인스턴스에 시스템 관리자 에이전트(SSM 에이전트)를 설치합니다
답변 보기
정답: CD
질문 #64
IAM 리소스를 사용하는 회사에서 근무하고 있습니다. 주요 보안 정책 중 하나는 미사용 데이터와 전송 중인 모든 데이터를 암호화하는 것입니다. 다음 중 이를 구현하는 올바른 방법 중 하나는 무엇인가요?
A. 전송 중인 데이터에는 S3 SSE를 사용하고 SSL을 사용합니다
B. LB의 SSL 종료
C. 록시 프로토콜 활성화
D. 드 밸런서에서 스티키 세션 활성화
답변 보기
정답: A
질문 #65
조직에 멀티 페타바이트 워크로드가 있어 Amazon S3로 이전하려는데, CISO는 키가 손상될 경우 암호화 마모와 폭발 반경에 대해 우려하고 있습니다. CISO는 IAM KMS와 Amazon S3가 이러한 우려를 해결하고 있다고 어떻게 확신할 수 있나요? (두 개 선택 )
A. Amazon Certification Manager에서 관리하는 인증서를 사용하는 HTTPS 리스너입니다
B. 벽한 순방향 비밀 암호화 제품군만 허용하는 사용자 지정 보안 정책을 사용하는 HTTPS 수신기입니다
C. 신 IAM 사전 정의된 ELBSecuntyPolicy-TLS-1 -2-2017-01 보안 정책을 사용하는 HTTPS 수신기입니다
완벽한 순방향 비밀 암호 제품군만 허용하는 사용자 지정 보안 정책을 사용하는 D. TCP 수신기입니다
답변 보기
정답: CE
질문 #66
회사의 클라우드 운영팀은 IAM 교차 계정 액세스에 대한 효과적인 보안을 구축할 책임이 있습니다. 이 팀은 보안 엔지니어에게 개발자 그룹의 개발자 계정(123456789012)에 있는 일부 개발자가 프로덕션 계정(999999999999)으로 교차 계정 역할(ReadS3)을 수행하여 Amazon S3 버킷(productionapp)의 콘텐츠를 읽을 수 없는 이유를 해결하는 데 도움을 요청합니다. 두 계정 정책은 다음과 같습니다. 보안 엔지니어가 해결해야 하는 권장 사항은 다음과 같습니다
A. IAM 컨트롤 타워를 사용합니다
B. 보안 검사 계정에서 중앙에서 관리되는 VPC를 만듭니다
C. AM 컨트롤 타워 사용
D. AM 조직에 대해 IAM 리소스 액세스 관리자(IAM RAM)를 사용 설정합니다
답변 보기
정답: AD
질문 #67
해커가 매우 정교한 IAM 엔지니어이고 흔적을 감추기 위해 최선을 다하고 있다고 가정할 때, 무단 액세스가 있었는지 여부와 그들이 무엇을 했는지 확실히 알 수 있는 유일한 방법은 무엇인가요?
A. CloudTrail 로그 파일 무결성 검증을 사용합니다
B. AM 구성 SNS 구독을 사용하여 실시간으로 이벤트를 처리합니다
C. AM S3 및 Glacier에 백업된 CloudTrail을 사용합니다
D. AM 구성 타임라인 포렌식을 사용합니다
답변 보기
정답: A
질문 #68
회사에서 Amazon EC2의 Docker에서 실행되는 수백 개의 애플리케이션을 위한 포렌식 로깅 솔루션이 필요합니다. 솔루션은 토그에서 실시간 분석을 수행해야 하며 메시지 재생을 지원하고 로그를 보존해야 합니다.이러한 요구 사항을 충족하기 위해 어떤 IAM 서비스를 사용해야 하나요? (2개 선택)
A. 정기적으로 EC2 인스턴스가 암호화된 볼륨으로 생성되도록 IAM 사용자 정책을 업데이트합니다
B. 복적으로 실행되는 IAM 구성 규칙 또는 볼륨 암호화를 구성합니다
C. 륨 암호화를 반복 일정에 따라 실행하도록 Amazon Inspector 규칙을 설정합니다
D. loudWatch 로그를 사용하여 인스턴스가 암호화된 볼륨으로 생성되었는지 여부를 확인합니다
답변 보기
정답: BD
질문 #69
보안 엔지니어가 example.com이라는 이름의 새 웹사이트를 구성하고 있습니다. 보안 엔지니어는 사용자가 HTTPS를 통해 example.com에 연결하도록 하여 웹사이트와의 통신을 보호하려고 합니다. 다음 중 SSL/TLS 인증서를 저장하는 데 유효한 옵션은 어느 것입니까?
A. AWS 키 관리 서비스(AWS KMS)에 저장된 사용자 지정 SSL 인증서
B. Amazon CloudFront에 저장된 기본 SSL 인증서
C. WS 인증서 관리자(ACM)에 저장된 사용자 지정 SSL 인증서
D. mazon S3에 저장된 기본 SSL 인증서
답변 보기
정답: C
질문 #70
정책을 만들어 개별 사용자에 대해서만 적용해야 합니다. 올바른 방법으로 이 작업을 수행하려면 어떻게 해야 할까요?
A. 사용자에 대한 IAM 관리 정책을 추가합니다
B. 용자에 대한 서비스 정책을 추가합니다
C. 용자에 대한 IAM 역할을 추가합니다
D. 사용자에 대한 인라인 정책을 추가합니다
답변 보기
정답: D
질문 #71
회사에서 고객이 관리하는 CMK의 삭제를 모니터링하려고 합니다. 보안 엔지니어는 CMK가 삭제되기 전에 회사에 알리는 알람을 만들어야 합니다. 보안 엔지니어가 IAM CloudTrail과 Amazon CloudWatch의 통합을 구성했습니다.이 요구 사항을 충족하려면 보안 엔지니어가 다음에 무엇을 해야 하나요?
A. 인바운드 규칙 100을 사용하여 TCP 포트 443의 트래픽을 허용 인바운드 규칙 200을 사용하여 TCP 포트 3306의 트래픽을 거부 아웃바운드 규칙 100을 사용하여 TCP 포트 443의 트래픽을 허용합니다
B. 인바운드 규칙 100을 사용하여 TCP 포트 3306의 트래픽을 거부합니다
C. 바운드 규칙 100을 사용하여 TCP 포트 범위 1024-65535의 트래픽을 허용 인바운드 규칙 200을 사용하여 TCP 포트 3306의 트래픽을 거부 아웃바운드 규칙 100을 사용하여 TCP 포트 443의 트래픽을 허용
D. 바운드 규칙 100을 사용하여 TCP 포트 3306의 트래픽을 거부 인바운드 규칙 200을 사용하여 TCP 포트 443의 트래픽을 허용 아웃바운드 규칙 100을 사용하여 TCP 포트 443의 트래픽을 허용
답변 보기
정답: A
질문 #72
보안 엔지니어는 회사의 Amazon EC2 인스턴스에서 잠재적인 보안 이벤트를 조사하고 이에 대응하기 위한 프로세스를 개발해야 합니다. 모든 EC2 인스턴스는 Amazon EBS(Amazon Elastic Block Store)의 지원을 받습니다. 회사는 AWS Systems Manager를 사용하여 모든 EC2 인스턴스를 관리하고 모든 EC2 인스턴스에 시스템 관리자 에이전트(SSM 에이전트)를 설치했습니다.보안 엔지니어가 개발 중인 프로세스는 AWS 보안 모범 사례를 준수해야 하며 다음 요구 사항을 충족해야 합니다
A. 손상된 EC2 인스턴스에 대한 관련 메타데이터를 수집합니다
B. 손상된 EC2 인스턴스에 대한 관련 메타데이터를 수집합니다
C. 스템 관리자 실행 명령을 사용하여 휘발성 데이터를 수집하는 스크립트를 호출합니다
D. 상된 EC2 인스턴스에 Linux SSH 또는 Windows 원격 데스크톱 프로토콜(RDP) 세션을 설정하여 휘발성 데이터를 수집하는 스크립트를 호출합니다
E. 후속 조사를 위해 손상된 EC2 인스턴스의 EBS 볼륨의 스냅샷을 생성합니다
F. 스템 관리자 상태 관리자 연결을 생성하여 손상된 EC2 인스턴스의 EBS 볼륨 스냅샷을 생성합니다
답변 보기
정답: BCE
질문 #73
개발팀은 간단한 오래된 웹 애플리케이션을 테스트하기 위해 실험 환경을 구축했습니다. 프라이빗 서브넷과 퍼블릭 서브넷이 있는 격리된 VPC를 구축했습니다. 공용 서브넷에는 애플리케이션 로드 밸런서, NAT 게이트웨이, 인터넷 게이트웨이만 있습니다. 사설 서브넷에는 Amazon EC2 인스턴스가 있으며, 3가지 유형의 서버가 있습니다. 각 서버 유형에는 필요한 연결로만 액세스를 제한하는 자체 보안 그룹이 있습니다. 보안 그룹에는 인바운드 및 아웃바운드 규칙이 모두 적용됩니다
A. Amazon 기본 키(IAM EBS)로 암호화된 Amazon EBS 볼륨 사용
B. 객 제공 키로 서버 측 암호화 사용(SSE-C)
C. 버 측 암호화에 IAM KMS 관리 키(SSE-KMS) 사용
D. mazon S3 관리형 키(SSE-S3)로 서버 측 암호화 사용
답변 보기
정답: CEF
질문 #74
한 기업이 여러 회사를 인수할 준비를 하고 있습니다. 보안 엔지니어는 새로 인수한 IAM 계정이 기업의 보안 모범 사례를 따르도록 솔루션을 설계해야 합니다. 이 솔루션은 각 Amazon S3 버킷에 대한 무제한 공개 쓰기 액세스를 모니터링하고 IAM 관리형 서비스를 사용해야 하는데, 보안 엔지니어가 이러한 요구 사항을 충족하려면 어떻게 해야 할까요?
A. 모든 S3 버킷의 구성을 지속적으로 확인하도록 Amazon Macie를 구성합니다
B. IAM Config를 활성화하여 각 S3 버킷의 구성을 확인합니다
C. 개 쓰기 액세스에 대한 S3 버킷 정책을 모니터링하도록 IAM 시스템 관리자를 설정합니다
D. 든 S3 버킷의 상태를 확인하는 IAM 역할과 크론 작업을 갖도록 Amazon EC2 인스턴스를 구성합니다
답변 보기
정답: C
질문 #75
한 회사가 Amazon CloudFornt를 사용하여 웹사이트를 운영하고 있습니다. CloudFront는 애플리케이션 뒤에서 EC2 인스턴스를 실행하는 웹 서버에서 일부 콘텐츠는 Amazon S3에서, 다른 콘텐츠는 웹 서버에서 서버링합니다. 로드 밸런서(ALB). Amazon DynamoDB가 데이터 저장소로 사용됩니다. 이 회사는 이미 IAM 인증서 관리자(ACM)를 사용하여 웹사이트 사용자와 CloudFront 간의 연결을 선택적으로 보호할 수 있는 공개 TLS 인증서를 저장하고 있습니다. 이 회사는 전송 시 엔드투엔드 암호화를 적용해야 하는 새로운 요구 사항이 있습니다
A. 오리진 사용자 지정 헤더 추가 뷰어 프로토콜 정책을 HTTP 및 HTTPS로 설정하고 오리진 프로토콜 포키를 HTTPS로만 설정합니다
B. 본 사용자 지정 헤더 추가 뷰어 프로토콜 정책을 HTTPS 전용으로 설정 뷰어와 일치하도록 원본 프로토콜 정책 설정 CloudFront 사용자 지정 헤더의 유효성을 검사하도록 애플리케이션 업데이트
C. 본 사용자 지정 헤더 추가 HTTP를 HTTPS로 리디렉션하도록 뷰어 프로토콜 정책을 설정합니다
D. 리진 사용자 지정 헤더 추가 뷰어 프로토콜 정책을 HTTP를 HTTPS로 리디렉션하도록 설정합니다
답변 보기
정답: BCE
질문 #76
한 회사에서 여러 해 동안의 재무 기록을 저장해야 합니다. 회사는 이러한 문서의 사본을 저장하기 위해 Amazon S3를 사용하려고 합니다. 이 회사는 문서가 Amazon S3에 저장된 후 7년간 문서를 편집, 교체 또는 삭제할 수 없도록 하는 솔루션을 구현해야 합니다. 이 솔루션은 또한 미사용 문서를 암호화해야 합니다. 보안 엔지니어가 문서를 저장하기 위해 새 S3 버킷을 만듭니다. 이러한 요구 사항을 충족하려면 보안 엔지니어가 다음에 무엇을 해야 하나요?
A. 회사는 마이크로서비스에 서버리스 접근 방식을 사용합니다
B. Amazon S3 및 DynamoD에 대해서만 kms:Decrypt 작업을 허용하는 키 정책 만들기 키로 암호화되지 않은 S3 버킷 및 DynamoDB 테이블의 생성을 거부하는 SCP를 만듭니다
C. 키에 대한 kms:암호 해독 작업을 거부하는 1AM 정책을 만듭니다
D. Amazon S3, DynamoDB, Lambda 및 Amazon EKS에 대해서만 kms:Decrypt 작업을 허용하는 키 정책을 생성합니다
E. Amazon S3, DynamoDB, Lambda 및 Amazon EKS에 대해서만 kms:Decrypt 작업을 허용하는 키 정책을 생성합니다
답변 보기
정답: B
질문 #77
현재 VPC에 여러 애플리케이션이 호스팅되고 있습니다. 모니터링 중에 특정 IP 주소 블록에서 여러 포트 스캔이 들어오는 것을 발견했습니다. 내부 보안 팀에서 향후 24시간 동안 문제가 되는 모든 IP 주소를 거부하도록 요청했습니다. 다음 중 특정 IP 주소의 액세스를 신속하고 일시적으로 거부하는 가장 좋은 방법은 무엇인가요?
A. PC의 모든 호스트에서 Windows 방화벽 설정을 수정하여 IP 주소 블록에서 액세스를 거부하는 AD 정책을 만듭니다
B. VPC의 모든 공용 서브넷과 연결된 네트워크 ACL을 수정하여 IP 주소 블록에서 액세스를 거부합니다
C. 든 VPC 보안 그룹에 규칙을 추가하여 IP 주소 블록에서 액세스를 거부합니다
D. 직에서 해당 VPC에서 사용하는 모든 AMI의 Windows 방화벽 설정을 수정하여 IP 주소 블록에서 액세스를 거부합니다
답변 보기
정답: B
질문 #78
보안 엔지니어가 IAM 계정에서 IAM 보안 허브를 사용하도록 설정하고 CIS(인터넷 보안 센터) IAM 파운데이션 준수 표준을 사용하도록 설정했습니다. 몇 시간이 지나도 보안 허브 콘솔에 규정 준수에 대한 평가 결과가 반환되지 않습니다. 엔지니어는 보안 허브가 리소스의 CIS IAM 기초 규정 준수 여부를 평가할 수 있는지 확인하려고 합니다. 이러한 요구 사항을 충족하려면 보안 엔지니어가 어떤 단계를 수행해야 하나요?
A. 보안 허브 서비스 역할에 전체 Amazon Inspector IAM 권한을 추가하여 CIS 규정 준수 평가를 수행할 수 있도록 합니다
B. 계정에서 IAM 신뢰할 수 있는 어드바이저가 사용 설정되어 있고 보안 허브 서비스 역할에 신뢰할 수 있는 어드바이저 보안 관련 권장 조치를 검색할 수 있는 권한이 있는지 확인합니다
C. 계정에서 IAM 구성이 사용 설정되어 있는지, 그리고 CIS 규정 준수 평가에 필요한 IAM 구성 규칙이 생성되었는지 확인합니다
D. 보안 허브에서 모니터링할 수 있도록 IAM CloudTrail의 올바른 트레일이 구성되었는지, 그리고 보안 허브 서비스 역할에 CloudTrails Amazon S3 버킷에서 GetObject 작업을 수행할 수 있는 권한이 있는지 확인합니다
답변 보기
정답: C
질문 #79
한 IT 부서에는 현재 Amazon EC2 인스턴스에서 실행되는 Apache Tomcat에 배포된 Java 웹 애플리케이션이 있습니다. EC2 인스턴스에 대한 모든 트래픽은 인터넷에 연결된 애플리케이션 로드 밸런서(ALB)를 통해 전송됩니다. 보안팀은 지난 이틀 동안 수백 개의 IP 주소에서 수천 건의 비정상적인 읽기 요청이 발생하는 것을 발견했습니다. 이로 인해 Tomcat 서버의 스레드가 부족하여 새 연결이 거부되고 있습니다. 이 서버 문제를 해결할 수 있는 가장 간단한 변경 사항은 무엇인가요?
A. Amazon CloudFront 배포를 생성하고 ALB를 오리진으로 구성합니다
B. 트워크 액세스 목록(NACL)으로 악성 IP를 차단합니다
C. AM 웹 애플리케이션 방화벽(WAF)을 생성하고 ALB에 연결합니다
D. 로 53을 사용하도록 애플리케이션 도메인 이름을 매핑합니다
답변 보기
정답: A
질문 #80
개발팀이 IAM KMS(IAM 키 관리 서비스) CMK를 사용하여 IAM 시스템 관리자 매개 변수 저장소에서 보안 문자열 매개 변수를 암호화 및 해독하려고 합니다. 그러나 시도할 때마다 오류 메시지가 개발 팀에 전송됩니다. 이 오류의 원인이 될 수 있는 CMK 관련 문제는 무엇입니까? (두 가지를 선택하세요.)
A. 지만 회사에서는 다른 계정의 사용자가 동일한 폴더의 다른 파일에 액세스하는 것을 허용하고 싶지 않습니다
B. 다른 계정에 사용자 정책을 적용하여 IAM Glue 및 Athena lo가
C. 3 Select를 사용하여
D.
E. 직을 주체로 지정하는 리소스 기반 정책에서 Amazon S3에 대한 액세스 권한을 IAM Glue에 부여합니다
답변 보기
정답: AD
질문 #81
개발자가 여러 계정이 포함된 IAM 조직 OU(조직 구성 단위) 내의 새 계정에 로그인했습니다. Amazon $3 서비스에 대한 액세스가 다음 SCP.보안 엔지니어가 다른 계정에 영향을 주지 않고 개발자에게 Amazon $3 액세스를 제공하려면 어떻게 해야 하나요?
A. SCP를 조직의 루트 OU로 이동하여 Amazon 3에 대한 액세스 제한을 제거합니다
B. 개발자에게 $3 액세스 권한을 부여하는 IAM 정책을 추가합니다
C. 액세스를 제한하는 SCP를 적용하지 않고 새 OU를 만듭니다
D. 3 서비스에 대한 개발자 계정의 허용 목록을 추가합니다
답변 보기
정답: C
질문 #82
보안 엔지니어가 Amazon Linux EC2 인스턴스의 시스템 로그를 수동으로 검토하는 동안, Amazon CloudWatch Logs 에이전트에서 제대로 경고되거나 보고되지 않은 sudo 명령이 있다는 것을 발견했습니다. 왜 sudo 명령에 대한 경고가 없었을까요?
A. 아웃바운드 포트 80 트래픽을 차단하는 보안 그룹이 있어 에이전트가 로그를 보내지 못합니다
B. EC2 인스턴스의 IAM 인스턴스 프로필이 CloudWatch 로그 에이전트가 로그를 CloudWatch로 푸시할 수 있도록 제대로 구성되지 않았습니다
C. loudWatch 로그 상태가 보안이 아닌 켜짐으로 설정되어 있어 OS 보안 이벤트 로그를 가져오지 못합니다
D. PC는 모든 트래픽이 프록시를 통과해야 하며, CloudWatch Logs 에이전트는 프록시 구성을 지원하지 않습니다
답변 보기
정답: B
질문 #83
감사 결과 회사의 Amazon EC2 인스턴스 보안 그룹이 들어오는 SSH 트래픽을 제한 없이 허용하여 회사 정책을 위반한 것으로 확인되었습니다. 보안 엔지니어는 이러한 위반 사항을 관리자에게 알려주는 실시간에 가까운 모니터링 및 경고 솔루션을 구현해야 합니다. 이러한 요구 사항을 가장 효율적으로 충족하면서 운영 효율성을 극대화하는 솔루션은 무엇인가요?
A. 매일 실행되고 네트워크 도달 가능성 패키지를 사용하는 반복되는 Amazon Inspector 평가 실행을 만듭니다
B. 규정을 준수하지 않는 보안 그룹 구성 변경에 의해 호출되는 제한된-ssh IAM 구성 관리 규칙을 사용합니다
C. P에 대한 VPC 플로우 로그를 구성하고 Amazon CloudWatch Logs 그룹을 지정합니다
D. 매일 실행되고 보안 모범 사례 패키지를 사용하는 반복되는 Amazon Inspector 평가 실행을 만듭니다
답변 보기
정답: B
질문 #84
한 회사에서 개발자가 테스트 및 학습 목적으로 사용할 수 있도록 개발자를 위한 IAM 계정을 만들었습니다. MM 계정은 여러 개발자 팀이 공유할 것이므로, 회사는 팀이 소유한 인스턴스에 대해서만 이러한 작업을 수행할 수 있도록 Amazon EC2 인스턴스를 중지 및 종료하는 기능을 제한하려고 합니다.개발자에게 모든 인스턴스에 팀 태그 키를 태그하고 태그 값에 팀 이름을 사용하도록 지시했습니다.이 계정을 처음 사용하는 팀 중 하나는 비즈니스 정보 보안 en
A. 각 팀에 대해 동료와 유사한 AM 정책을 생성합니다
B. 각 팀에 대해 다음과 유사한 IAM 정책을 만듭니다
C. 각 IAM 역할에 팀 지연 키로 태그를 지정하고 태그 값에 팀 이름을 사용합니다
D. IAM 역할에 팀 키를 태그하고 태그 값에 팀 이름을 사용합니다
답변 보기
정답: A
질문 #85
회사에는 IAM에 정의된 EC2 인스턴스 집합이 있습니다. 이러한 EC2 인스턴스에는 엄격한 보안 그룹이 연결되어 있습니다. 보안 그룹에 대한 변경 사항을 기록하고 그에 따라 조치를 취해야 합니다. 이를 어떻게 달성할 수 있을까요?
A. Cloudwatch 로그를 사용하여 보안 그룹의 활동을 모니터링하세요
B. Cloudwatch 메트릭을 사용하여 보안 그룹의 활동을 모니터링합니다
C. AM 검사기를 사용하여 보안 그룹의 활동을 모니터링합니다
D. 보안 그룹에 대한 변경 사항이 있을 때 Cloudwatch 이벤트를 사용하여 트리거합니다
답변 보기
정답: D
질문 #86
회사의 엔지니어링 팀에서 사용자에 대한 IAM KMS(키 관리 서비스) CMK 부여를 생성하는 새 애플리케이션을 개발 중입니다. 부여가 생성된 직후 사용자는 512바이트 페이로드를 암호화하는 CMK를 사용할 수 있어야 합니다. 로드 테스트 중에 사용자가 처음 CMK를 사용하여 암호화를 시도할 때 간헐적으로 AccessDenied 예외가 트리거되는 버그가 나타납니다.c0mpany의 보안 전문가가 추천하는 솔루션은 무엇인가요?
A. 통화가 성공할 때까지 2분마다 재시도 메커니즘을 구현하도록 사용자에게 지시합니다
B. 엔지니어링 팀에 사용자로부터 임의의 보조금 토큰을 소비하고 CreateGrant 작업을 호출하여 보조금 토큰을 전달하도록 지시합니다
C. 엔지니어링 팀에 CreateGrant 작업을 호출할 때 부여에 대한 임의의 이름을 만들도록 지시합니다
D. 엔지니어링 팀에 CreateGrant 응답에서 반환된 권한 부여 토큰을 사용자에게 전달하도록 지시합니다
답변 보기
정답: D
질문 #87
한 회사가 Amazon S3에 저장된 모든 데이터를 암호화해야 합니다. 이 회사는 암호화 키를 만들고 관리하기 위해 IAM KMS(IAM 키 관리 서비스)를 사용하려고 합니다. 회사의 보안 정책에 따라 키에 대한 회사 자체 키 자료를 가져오고, 키에 만료일을 설정하고, 필요한 경우 키를 즉시 삭제할 수 있는 기능이 필요한데, 보안 엔지니어가 이러한 요구 사항을 충족하기 위해 IAM KMS를 어떻게 설정해야 하나요?
A. IAM KMS를 구성하고 사용자 지정 키 저장소를 사용합니다
B. AM KMS 구성 및 기본 키 저장소 사용 키 자료가 없는 IAM 관리형 CMK 만들기 회사의 키 자료를 CMK로 가져오기
C. AM KMS 구성 및 기본 키 저장소 사용 키 자료가 없는 고객 관리형 CMK 만들기 회사의 키 자료를 CMK로 가져옵니다
D. AM KMS를 구성하고 사용자 지정 키 저장소를 사용합니다
답변 보기
정답: A
질문 #88
시스템 엔지니어가 애플리케이션 팀이 QA 워크플로우를 통해 제공한 여러 사용자 정의 구축 이미지에서 컨테이너를 배포했습니다. 시스템 엔지니어는 대상 플랫폼으로 Fargate 실행 유형이 있는 Amazon Elastic 컨테이너 서비스(Amazon ECS)를 사용했습니다. 시스템 엔지니어는 이제 모든 컨테이너에서 기존 Amazon CloudWatch 로그 그룹으로 로그를 수집해야 합니다.어떤 솔루션이 이 요구 사항을 충족할까요?
A. LogConfiguration 속성에서 awslogs-group 및 awslogs-region m에 대한 매개 변수를 지정하여 awslogs 로그 드라이버를 켭니다
B. 테이너 인스턴스에서 CloudWatch 에이전트를 다운로드하고 구성합니다
C. luent Bit 및 FluentO를 데몬셋으로 설정하여 Amazon CloudWatch Logs로 로그를 전송합니다
D. CreateLogGroup 작업을 포함하는 1AM 정책 구성하기 컨테이너 인스턴스에 정책을 할당합니다
답변 보기
정답: A
질문 #89
시스템 엔지니어가 애플리케이션 팀이 QA 워크플로우를 통해 제공한 여러 사용자 정의 구축 이미지에서 컨테이너를 배포했습니다. 시스템 엔지니어는 대상 플랫폼으로 Fargate 실행 유형이 있는 Amazon Elastic 컨테이너 서비스(Amazon ECS)를 사용했습니다. 시스템 엔지니어는 이제 모든 컨테이너에서 기존 Amazon CloudWatch 로그 그룹으로 로그를 수집해야 합니다.어떤 솔루션이 이 요구 사항을 충족할까요?
A. LogConfiguration 속성에서 awslogs-group 및 awslogs-region m에 대한 매개 변수를 지정하여 awslogs 로그 드라이버를 켭니다
B. 테이너 인스턴스에서 CloudWatch 에이전트를 다운로드하고 구성합니다
C. luent Bit 및 FluentO를 데몬셋으로 설정하여 Amazon CloudWatch Logs로 로그를 전송합니다
D. CreateLogGroup 작업을 포함하는 1AM 정책 구성하기 컨테이너 인스턴스에 정책을 할당합니다
답변 보기
정답: A
질문 #90
기업에서는 IAM과 온프레미스 위치 간에 대량의 데이터를 전송해야 하는 요구 사항이 있습니다. IAM에 대한 짧은 지연 시간과 높은 일관성 트래픽에 대한 추가 요구 사항이 있습니다. 이러한 요구 사항이 주어졌을 때 하이브리드 아키텍처를 어떻게 설계하시겠습니까? 아래 옵션 중에서 정답을 선택하세요.
A. 다이렉트 커넥트 파트너를 사용하여 IAM 리전에 대한 다이렉트 커넥트 연결을 프로비저닝합니다
B. 비공개 연결을 위한 VPN 터널을 생성하여 네트워크 일관성을 높이고 지연 시간을 줄입니다
C. 트워크 일관성을 높이고 지연 시간을 줄이는 비공개 연결을 위한 iPSec 터널을 생성합니다
D. AM과 고객 게이트웨이 사이에 VPC 피어링 연결을 만듭니다
답변 보기
정답: A
질문 #91
회사에서 동일한 1AM 인스턴스 프로필을 사용하는 Amazon Linux 2 Amazon EC2 인스턴스의 특정 하위 집합에서 모든 SSH 키를 영구적으로 제거하려고 합니다. 그러나 IAM 사용자 계정을 가진 세 명의 개인이 중요한 작업을 수행하려면 SSH 세션을 사용하여 이러한 인스턴스에 액세스해야 합니다. 보안 엔지니어가 이러한 요구 사항을 충족하기 위해 어떻게 액세스 권한을 제공할 수 있나요'?
A. 인스턴스 프로필에 1AM 정책을 할당하여 EC2 인스턴스를 AWS 시스템 관리자가 관리할 수 있도록 허용합니다
B. 1AM 사용자 계정에 1AM 정책을 할당하여 AWS 시스템 관리자 사용 권한을 제공합니다
C. 인스턴스 프로파일에 1AM 정책을 할당하여 AWS 시스템 관리자가 EC2 인스턴스를 관리할 수 있도록 허용합니다
D. AM 사용자 계정에 1AM 정책을 할당하여 AWS 관리 콘솔에서 EC2 서비스를 사용할 수 있는 권한을 제공합니다
답변 보기
정답: C
질문 #92
한 회사가 규정 준수를 위한 특정 규칙의 적용을 받는 애플리케이션을 Amazon EC2에서 호스팅하고 있습니다. 한 가지 규칙은 워크로드와 주고받는 트래픽에 네트워크 수준 공격이 있는지 검사해야 한다는 것입니다. 여기에는 전체 패킷 검사가 포함되며, 이 규정 규칙을 준수하기 위해 보안 엔지니어는 c5n.4xlarge EC2 인스턴스에 침입 탐지 소프트웨어를 설치해야 합니다. 그런 다음 엔지니어는 애플리케이션 인스턴스와 주고받는 트래픽을 모니터링하도록 소프트웨어를 구성해야 합니다.보안 엔진은 무엇을 해야 하나요?
A. 네트워크 인터페이스를 무차별 모드로 설정하여 트래픽을 캡처합니다
B. 트워크 로드 밸런서를 사용하여 모니터링 EC2 인스턴스로 트래픽을 전송하도록 VPC 플로우 로그를 구성합니다
C. 트워크 로드 밸런서를 사용하여 모니터링 EC2 인스턴스로 트래픽을 전송하도록 VPC 트래픽 미러링을 구성합니다
D. mazon Inspector를 사용하여 네트워크 수준 공격을 탐지하고 의심스러운 패킷을 EC2 인스턴스로 전송하는 IAM Lambda 함수를 트리거합니다
답변 보기
정답: D
질문 #93
보안 엔지니어는 여러 IAM 리전에서 IAM CloudTrail이 꺼진 경우 다시 켜는 솔루션을 구축해야 하는데, 이 솔루션을 구현하는 가장 효율적인 방법은 무엇인가요?
A. 관리되는 규칙과 함께 IAM 구성을 사용하여 IAM-EnableCloudTrail 수정을 트리거합니다
B. loudtrail
C. loudtrail
D. onitor IAM 트러스티드 어드바이저를 사용하여 CloudTrail 로깅이 활성화되어 있는지 확인하세요
답변 보기
정답: B
질문 #94
회사 정책상 모든 암호화 키를 매년 교체해야 하는 AWS 키 관리 서비스(AWS KMS) 고객 관리 키가 있는데, 이 고객 관리 키에 대한 이 요구 사항을 충족하려면 보안 엔지니어가 어떻게 해야 하나요?
A. 기존 고객 관리 키에 대해 매년 자동 키 로테이션을 사용하도록 설정합니다
B. AWS CLI를 사용하여 기존 고객 관리 키를 매년 순환하는 AWS Lambda 함수를 생성합니다
C. 존 고객 관리 키에 새 키 자료 가져오기 키를 수동으로 회전합니다
D. 고객 관리 키 만들기 새 키 자료를 새 키로 가져오기 키 별칭을 새 키로 지정합니다
답변 보기
정답: A
질문 #95
사고 대응 팀이 Amazon EC2 인스턴스가 실행되는 결과를 초래한 IAM 액세스 키 유출을 조사하고 있습니다. 회사는 수개월이 지나서야 사고를 발견했습니다. 정보 보안 책임자는 향후 유사한 사고가 발생할 때 경고하는 새로운 제어를 구현하고자 합니다.이를 위해 회사는 어떤 제어를 구현해야 합니까? {두 개를 선택하세요.)
A. S3 버킷 정책은 보안 엔지니어가 버킷의 오브젝트에 대한 액세스를 명시적으로 허용하지 않습니다
B. 중앙 집중식 계정 내의 사용자가 개체에 액세스할 수 있도록 개체 ACL이 업데이트되지 않고 있습니다
C. 안 엔지니어 IAM 정책은 S3 버킷의 개체를 읽을 수 있는 권한을 부여하지 않습니다
D. s3:PutObject 및 s3:PutObjectAcl 권한은 S3 버킷 수준에서 적용해야 합니다
답변 보기
정답: AE
질문 #96
회사에서 IAM에서 서버를 관리하기 위해 배스티온 호스트를 사용할 계획인데, 다음 중 보안 관점에서 배스티온 호스트를 가장 잘 설명하는 것은 무엇인가요?
A. 스티온 호스트는 보안 문제로 인해 공용 서브넷이 아닌 사설 서브넷에 있어야 합니다
B. 바스티온 호스트는 내부 네트워크 외부에 위치하며 프라이빗 네트워크의 게이트웨이로 사용되며 네트워크의 핵심 거점으로 간주됩니다
C. astion 호스트는 사용자가 RDP 또는 SSH를 사용하여 로그인하고 해당 세션을 사용하여 내부 네트워크에 S5H로 연결하여 비공개 서브넷 리소스에 액세스할 수 있도록 합니다
D. 바스티온 호스트는 대중에게 공개되는 만큼 매우 엄격한 보안과 모니터링을 유지해야 합니다
답변 보기
정답: C
질문 #97
한 IT 부서에는 현재 Amazon EC2 인스턴스에서 실행되는 Apache Tomcat에 배포된 Java 웹 애플리케이션이 있습니다. EC2 인스턴스에 대한 모든 트래픽은 인터넷에 연결된 애플리케이션 로드 밸런서(ALB)를 통해 전송됩니다. 보안팀은 지난 이틀 동안 수백 개의 IP 주소에서 수천 건의 비정상적인 읽기 요청이 발생하는 것을 발견했습니다. 이로 인해 Tomcat 서버의 스레드가 부족하여 새 연결이 거부되고 있습니다. 이 서버 문제를 해결할 수 있는 가장 간단한 변경 사항은 무엇인가요?
A. Amazon CloudFront 배포를 생성하고 ALB를 오리진으로 구성합니다
B. 트워크 액세스 목록(NACL)으로 악성 IP를 차단합니다
C. AM 웹 애플리케이션 방화벽(WAF)을 생성하고 ALB에 연결합니다
D. 로 53을 사용하도록 애플리케이션 도메인 이름을 매핑합니다
답변 보기
정답: A
질문 #98
한 회사가 Amazon S3에서 정적 웹 사이트를 호스팅하고 있습니다. 이 회사는 웹 사이트 콘텐츠를 제공하기 위해 Amazon CloudFront 배포를 구성했습니다. 이 회사는 IAM WAF 웹 ACL을 CloudFront 배포와 연결했습니다. 웹 ACL은 규정 준수 제한을 해결하기 위해 요청이 미국에서 출발하도록 보장합니다.회사는 S3 URL에 직접 액세스할 수 있고 요청이 CloudFront 배포를 우회할 수 있다고 걱정하고 있습니다.회사는 어떤 단계를 조합하여 다시 시작해야 하나요?
A. Amazon Macie를 활성화하여 Secunty H jb가 Detective가 Macie에서 찾은 결과를 처리할 수 있도록 합니다
B. 조직의 모든 구성원 계정에 로그인하는 CtoudTrail에서 IAM 키 관리 서비스(IAM KMS) 암호화를 비활성화합니다
C. 모든 회원 계정에서 Amazon GuardDuty 활성화 48시간 내에 Detective를 활성화하세요
D. Detective를 실행하는 팀장에게 조직의 ListAccounts 권한이 있는지 확인합니다
답변 보기
정답: AD
질문 #99
회사의 엔지니어링 팀에서 사용자에 대한 IAM KMS(키 관리 서비스) CMK 부여를 생성하는 새 애플리케이션을 개발 중입니다. 부여가 생성된 직후 사용자는 512바이트 페이로드를 암호화하는 CMK를 사용할 수 있어야 합니다. 로드 테스트 중에 사용자가 처음 CMK를 사용하여 암호화를 시도할 때 간헐적으로 AccessDenied 예외가 트리거되는 버그가 나타납니다.c0mpany의 보안 전문가가 추천하는 솔루션은 무엇인가요?
A. 통화가 성공할 때까지 2분마다 재시도 메커니즘을 구현하도록 사용자에게 지시합니다
B. 엔지니어링 팀에 사용자로부터 임의의 보조금 토큰을 소비하고 CreateGrant 작업을 호출하여 보조금 토큰을 전달하도록 지시합니다
C. 엔지니어링 팀에 CreateGrant 작업을 호출할 때 부여에 대한 임의의 이름을 만들도록 지시합니다
D. 엔지니어링 팀에 CreateGrant 응답에서 반환된 권한 부여 토큰을 사용자에게 전달하도록 지시합니다
답변 보기
정답: D
질문 #100
회사에서 Amazon EC2의 Docker에서 실행되는 수백 개의 애플리케이션을 위한 포렌식 로깅 솔루션이 필요합니다. 솔루션은 토그에서 실시간 분석을 수행해야 하며 메시지 재생을 지원하고 로그를 보존해야 합니다.이러한 요구 사항을 충족하기 위해 어떤 IAM 서비스를 사용해야 하나요? (2개 선택)
A. 정기적으로 EC2 인스턴스가 암호화된 볼륨으로 생성되도록 IAM 사용자 정책을 업데이트합니다
B. 복적으로 실행되는 IAM 구성 규칙 또는 볼륨 암호화를 구성합니다
C. 륨 암호화를 반복 일정에 따라 실행하도록 Amazon Inspector 규칙을 설정합니다
D. loudWatch 로그를 사용하여 인스턴스가 암호화된 볼륨으로 생성되었는지 여부를 확인합니다
답변 보기
정답: BD
질문 #101
회사에서 서로 다른 IAM 서비스에 사용하기 위해 별도의 IAM KMS(IAM 키 관리 서비스) 키를 설정하려고 합니다. 회사의 보안 엔지니어가 다음과 같은 키 정책을 생성하여 인프라 배포 팀이 InfrastructureDeployment IAM 역할을 가정하여 암호화된 Amazon EBS(Amazon Elastic Block Store) 볼륨을 생성할 수 있도록 했습니다. 보안 엔지니어는 최근에 InfrastructureDeployment 역할 이외의 IAM 역할이 이 키(또는 다른 서비스)를 사용하는 것을 발견했습니다.어떤 정책을 변경해야 하나요?
A. "키 사용 허용" Sid가 포함된 문 블록의 "조건" 블록에서 StringEquals를 StringLike로 변경합니다
B. 정책 문서에서 "IAM 사용자 권한 사용" Sid가 포함된 Dlock 문구를 제거합니다
C. "키 사용 허용" Sid가 포함된 문 블록의 "조건" 블록 아래에서 Kms:ViaService 값을 ec2
D. 정책 문서에서 보안 엔지니어의 IAM 역할에 'kms:Disable' 권한을 부여하는 새 명령문 블록을 추가합니다
답변 보기
정답: C
질문 #102
회사의 최고 보안 책임자가 보안 분석가에게 각 회사 IAM 계정의 보안 상태를 검토하고 개선할 것을 요청했습니다. 보안 분석가는 이를 위해 IAM 계정 루트 사용자 보안을 개선하기로 결정했습니다.이러한 요구 사항을 충족하기 위해 보안 분석가가 취해야 할 조치는 무엇입니까? (세 가지를 선택하세요.)
A. 데이터베이스 서버의 아웃바운드 SG 구성 애플리케이션 서버의 인바운드 SG 구성 데이터베이스 서브넷의 인바운드 및 아웃바운드 네트워크 ACL 구성 애플리케이션 서버 서브넷의 인바운드 및 아웃바운드 네트워크 ACL 구성
B. 이터베이스 서버의 인바운드 SG 구성
C. 이터베이스 서버의 인바운드 및 아웃바운드 SG 구성 애플리케이션 서버의 인바운드 및 아웃바운드 SG 구성 데이터베이스 서브넷의 인바운드 네트워크 ACL 구성 애플리케이션 서버 서브넷의 아웃바운드 네트워크 ACL 구성
D. 이터베이스 서버의 인바운드 SG 구성 애플리케이션 서버의 아웃바운드 SG 구성 데이터베이스 서브넷의 인바운드 네트워크 ACL 구성 애플리케이션 서버 서브넷의 아웃바운드 네트워크 ACL 구성
답변 보기
정답: ADE
질문 #103
한 회사의 개발자가 SSH 키를 사용하여 여러 Amazon EC2 인스턴스에 액세스합니다. 회사에서 SSH 키가 공개 GitHub 리포지토리에 게시된 것을 발견했습니다. 보안 엔지니어가 해당 키가 최근에 사용되지 않았음을 확인합니다. 보안 엔지니어는 EC2 인스턴스에 대한 무단 액세스를 어떻게 방지해야 하나요?
A. EC2 콘솔에서 키 쌍을 삭제합니다
B. 키를 사용 중인 EC2 인스턴스에서 키를 변경하려면 ModifylnstanceAttribute API 작업을 사용합니다
C. 안 그룹에서 SSH 액세스를 알려진 회사 IP 주소로만 제한합니다
D. C2 인스턴스를 시작하는 데 사용되는 모든 AMI에서 키 쌍을 업데이트합니다
답변 보기
정답: C
질문 #104
보안 엔지니어는 us-west-1 리전에 있는 회사의 Amazon S3 버킷에 저장된 모든 데이터를 암호화하는 데 사용할 IAM 키 관리 서비스(IAM KMS) 키를 만들어야 합니다. 이 키는 서버 측 암호화를 사용합니다. 키의 사용은 회사 계정 내에서 Amazon S3에서 오는 요청으로 제한되어야 합니다. 다음 중 KMS 키 정책에서 이러한 요구 사항을 충족하는 문장은 무엇인가요?
A. 기존 NAT 게이트웨이를 제거합니다
B. AT 게이트웨이의 보안 그룹 ID로부터의 트래픽을 거부하도록 DB 인스턴스 TM의 인바운드 네트워크 ACL을 구성합니다
C. B 인스턴스 서브넷의 경로 테이블을 수정하여 NAT 게이트웨이에 대한 기본 경로를 제거합니다
D. B 인스턴스 서브넷에 대한 연결을 거부하도록 NAT 게이트웨이의 경로 테이블을 구성합니다
답변 보기
정답: A
질문 #105
AWS에서 최종 사용자 애플리케이션을 호스팅하는 회사 현재 이 회사는 Elastic Load Balancer 뒤에 있는 Amazon EC2 인스턴스에 애플리케이션을 배포하고 있습니다. 이 회사는 Elastic Load Balancer와 EC2 인스턴스 간에 엔드투엔드 암호화를 구성하려고 합니다. 어떤 솔루션이 가장 적은 운영 노력으로 이 요구 사항을 충족할 수 있나요?
A. EC2 인스턴스와 Elastic Load Balancer에서 Amazon이 발급한 AWS 인증서 관리자(ACM) 인증서를 사용하여 엔드투엔드 암호화를 구성합니다
B. 타사 SSL 인증서를 AWS 인증서 관리자(ACM)로 가져오기 EC2 인스턴스에 타사 인증서 설치 ACM에서 가져온 타사 인증서를 Elastic Load Balancer와 연결합니다
C. WS CloudHSM 배포 타사 인증서 가져오기 EC2 인스턴스와 Elastic Load Balancer가 CloudHSM에서 가져온 인증서를 사용하도록 구성합니다
D. 사 인증서 번들을 AWS 인증서 관리자(ACM)로 가져오기 EC2 인스턴스에 타사 인증서 설치 ACM에서 가져온 타사 인증서를 Elastic Load Balancer와 연결합니다
답변 보기
정답: A

제출 후 답변 보기

질문에 대한 답변을 얻으려면 이메일과 WhatsApp을 제출하세요.

참고: 올바른 시험 결과를 얻을 수 있도록 이메일 ID와 Whatsapp이 유효한지 확인하십시오.

이메일:
WhatsApp/전화번호:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.