NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

2024 Updated SCS-C02 Exam Questions & Practice Tests, AWS Certified Security - Specialty | SPOTO

O exame AWS Certified Security - Specialty (SCS-C02) é um teste abrangente que avalia a sua proficiência na criação e implementação de soluções de segurança no ambiente AWS Cloud. Esta certificação significa que você domina a classificação profissional de dados, os mecanismos de proteção de dados da AWS, os métodos de criptografia de dados e suas implementações na AWS. Além disso, valida o seu conhecimento dos protocolos seguros da Internet e a sua integração com os mecanismos de segurança do AWS. Prepare-se para o sucesso com nossas 2024 SCS-C02 Exam Questions & Practice Tests atualizadas. Aceda a uma série de perguntas de exame, testes práticos e perguntas de amostra para melhorar a sua compreensão e preparação. Os nossos recursos incluem testes gratuitos, materiais de exame e respostas de exame para o ajudar a praticar eficazmente. Utilize nosso simulador de exame para uma experiência de exame realista e aumente sua confiança para o teste real

Faça outros exames online
Pergunta #1
Uma empresa executa cargas de trabalho na região us-east-1. A empresa nunca implantou recursos em outras regiões do AWS e não tem recursos de várias regiões. A empresa precisa replicar suas cargas de trabalho e infraestrutura para a região us-west-1. Um engenheiro de segurança deve implementar uma solução que use o AWS Secrets Manager para armazenar segredos em ambas as regiões. A solução deve usar o AWS Key Management Service (AWS KMS) para criptografar os segredos. A solução deve minimizar a latência e deve ser capaz de funcionar se apenas um
A. riptografar os segredos em us-east-1 usando uma chave KMS gerenciada pela AWS
B. Criptografar os segredos em us-east-1 usando uma chave KMS gerenciada pela AWS
C. riptografar os segredos em us-east-1 usando uma chave KMS gerenciada pelo cliente
D. Encriptar os segredos em us-east-1 utilizando uma chave KMS gerida pelo cliente
Ver resposta
Resposta correta: D
Pergunta #2
O Diretor de Segurança da Informação de uma empresa pretende um relatório diário por correio eletrónico do IAM que contenha recomendações para que cada conta da empresa cumpra as melhores práticas de segurança do IAM. Qual solução atenderia a esses requisitos?
A. Em cada conta IAM, configure o IAM Lambda para me consultar a API de suporte do IAM para verificações de segurança do IAM Trusted Advisor
B. Configure o Amazon GuardDuty em uma conta principal e convide todas as outras contas para serem gerenciadas pela conta principal Use a integração do GuardDuty com o Amazon SNS para relatar as descobertas
C. Usar o Amazon Athena e o Amazon QuickSight para criar relatórios a partir do IAM CloudTrail Criar um gatilho diário do Amazon CloudWatch para executar o relatório diariamente e enviá-lo por e-mail usando o Amazon SNS
D. Utilizar os relatórios e subscrições pré-construídos do IAM Artifact Subscrever o Diretor de Segurança da Informação nos relatórios, adicionando o Diretor como contacto alternativo de segurança para cada conta
Ver resposta
Resposta correta: BD
Pergunta #3
Durante uma auditoria de segurança recente, descobriu-se que várias equipas de uma grande organização colocaram dados restritos em vários buckets do Amazon S3, e os dados podem ter sido expostos. O auditor solicitou que a organização identificasse todos os objectos possíveis que contêm informações de identificação pessoal (PII) e, em seguida, determinasse se essas informações foram acedidas. Que solução permitirá à equipa de segurança concluir este pedido?
A. Usando o Amazon Athena, consulte os buckets S3 afetados usando a função de identificador de consulta de PII
B. Em seguida, crie uma nova métrica do Amazon CloudWatch para o acesso a objectos do Amazon S3 para alertar quando os objectos são acedidos
C. Ativar o Amazon Macie nos buckets S3 que foram afectados e, em seguida, efetuar a classificação dos dados
D. Para objetos identificados que contêm PII, use a função de pesquisa para auditar os logs do IAM CloudTrail e os logs de bucket S3 para operações GET
E. Ativar o Amazon GuardDuty e ativar o conjunto de regras de PII nos buckets S3 que foram afetados e, em seguida, executar a classificação de dados
F. Utilizando o relatório de descobertas de PII do GuardDuty, consulte os registos do balde S3 utilizando o Athena para operações GET
Ver resposta
Resposta correta: A
Pergunta #4
Um engenheiro de segurança é solicitado a atualizar o prefixo de um arquivo de log do AW3 CoudTrail para uma trilha existente. Ao tentar salvar a alteração no console do CloudTrail, o engenheiro de segurança recebe a seguinte mensagem de erro. "Há um problema com a política de bucket". O que permitirá que o engenheiro de segurança veja a alteração?
A. Criar uma nova trilha com o prefixo do arquivo de log atualizado e, em seguida, excluir a unha original Atualizar a política de bucket existente no console do Amazon S3 com o novo prefixo do arquivo de log e, em seguida, atualizar o prefixo do arquivo de log no console do CloudTrail
B. Atualizar a política de compartimentos existente na consola do Amazon S3 para permitir que o diretor dos engenheiros de segurança execute PutBucketPolic
C. e, em seguida, atualizar o prefixo do arquivo de log no console do CloudTrail
D. Atualize a política de bucket existente no console do Amazon S3 com o novo prefixo do arquivo de log e, em seguida, atualize o prefixo do arquivo de log no console do CloudTrail
E. Atualize a política de bucket existente no console do Amazon S3 para permitir que o principal dos engenheiros de segurança execute GetBucketPolicy e, em seguida, atualize o prefixo do arquivo de log no console do CloudTrail
Ver resposta
Resposta correta: A
Pergunta #5
Um engenheiro de segurança está configurando um mecanismo para enviar um alerta quando três ou mais tentativas de login com falha no AWS Management Console ocorrem durante um período de 5 minutos. O engenheiro de segurança cria uma trilha no AWS CloudTrail para ajudar nesse trabalho. Qual solução atenderá a esses requisitos? A resposta correta é B. Configure o CloudTrail para enviar eventos para o Amazon CloudWatch Logs. Criar um filtro de métrica para o grupo de logs relevante. Crie um padrão de filtro com eventName correspondente a ConsoleLogin e errorMessage m
A. No CloudTrail, ative os eventos do Insights na trilha
B. onfigure o CloudTrail para enviar eventos para os logs do Amazon CloudWatch
C. rie uma tabela do Amazon Athena a partir dos eventos do CloudTrail
D. No AWS Identity and Access Management Access Analyzer, crie um novo analisador
Ver resposta
Resposta correta: B
Pergunta #6
Um Engenheiro de Segurança descobriu que, apesar de a encriptação ter sido activada no bucket de exemplo do Amazon S3, qualquer pessoa que tenha acesso ao bucket tem a capacidade de recuperar os ficheiros. O engenheiro pretende limitar o acesso a cada utilizador IAM, que só pode aceder a uma pasta atribuída. O que o engenheiro de segurança deve fazer para conseguir isso?
A. Utilizar a encriptação de envelopes com o CMK IAM/s3 gerido pelo IAM
B. Crie um CMK gerido pelo cliente com uma política de chave que conceda "kms:Decrypt" com base na variável "${IAM:username}"
C. Criar um CMK gerido pelo cliente para cada utilização
D. Adicionar cada utilizador como um utilizador-chave na sua política de chaves correspondente
E. Altere a política de IAM aplicável para conceder acesso S3 ao "Recurso": "arn:IAM:s3:::examplebucket/${IAM:username}/*"
Ver resposta
Resposta correta: B
Pergunta #7
Foi pedido ao Engenheiro de Segurança de uma empresa que monitorizasse e comunicasse todas as actividades do utilizador raiz da conta IAM. Qual das seguintes opções permitiria ao engenheiro de segurança monitorizar e comunicar todas as actividades do utilizador raiz? (Seleccione DOIS)
A. Configurar as Organizações IAM para monitorizar as chamadas de API do utilizador raiz na conta de pagamento
B. Criar uma regra de eventos do Amazon CloudWatch que será acionada quando qualquer chamada de API do usuário raiz for relatada
C. Configurar o Amazon Inspetor para analisar a conta IAM em busca de qualquer atividade de utilizador raiz
D. Configurar o IAM Trusted Advisor para enviar um e-mail à equipa de Segurança quando o utilizador raiz iniciar sessão na consola
E. Utilizar o Amazon SNS para notificar o grupo-alvo
Ver resposta
Resposta correta: D
Pergunta #8
A sua empresa exigiu que todas as chamadas para o serviço IAM KMS fossem gravadas. Como é que isto pode ser conseguido? Por favor, seleccione:
A. Ativar o registo no serviço KMS
B. Ativar um trilho no Cloudtrail
C. Ativar os registos do Cloudwatch
D. Usar métricas do Cloudwatch
Ver resposta
Resposta correta: C
Pergunta #9
Uma empresa precisa de implementar Extensões de Segurança DNS (DNSSEC) para um subdomínio específico. O subdomínio já está registado no Amazon Route 53. Um engenheiro de segurança activou a assinatura DNSSEC e criou uma chave de assinatura de chave (KSK). Quando o engenheiro de segurança tenta testar a configuração, recebe um erro devido a uma cadeia de confiança quebrada. O que é que o engenheiro de segurança deve fazer para resolver este erro?
A. Substituir a KSK por uma chave de assinatura de zona (ZSK)
B. Desativar e depois ativar a KSK
C. riar um registo de Assinante de Delegação (DS) na zona hospedada principal
D. Criar um registo de Assinante de Delegação (DS) no subdomínio
Ver resposta
Resposta correta: C
Pergunta #10
Durante um evento de segurança, descobre-se que algumas instâncias do Amazon EC2 não têm enviado registos do Amazon CloudWatch. Quais as etapas que o Engenheiro de segurança pode seguir para solucionar esse problema? (Selecione duas.)
A. Conecte-se às instâncias do EC2 que não estão enviando os logs apropriados e verifique se o agente de logs do CloudWatch está em execução
B. Inicie sessão na conta IAM e seleccione CloudWatch Log
C. Verifique se existem instâncias EC2 monitorizadas que estejam no estado "Alerting" e reinicie-as utilizando a consola EC2
D. Verifique se as instâncias do EC2 têm uma rota para os pontos de extremidade da API IAM pública
E. Ligar às instâncias EC2 que não estão a enviar registos
F. Use o prompt de comando para verificar se as permissões corretas foram definidas para o tópico do Amazon SNS
Ver resposta
Resposta correta: B
Pergunta #11
Um engenheiro de software escreveu um serviço de relatórios personalizado que será executado num conjunto de instâncias do Amazon EC2. A política de segurança da empresa declara que os registos de aplicações para o serviço de relatórios devem ser recolhidos centralmente. Qual é a maneira MAIS eficiente de atender a esses requisitos?
A. Escreva uma função IAM Lambda que inicie sessão na instância EC2 para extrair os registos da aplicação da instância EC2 e persiste-os num bucket Amazon S3
B. Ative o registro do IAM CloudTrail para a conta IAM, crie um novo bucket do Amazon S3 e configure o Amazon CloudWatch Logs para receber os registros de aplicativos do CloudTrail
C. Crie um cron job simples nas instâncias EC2 que sincroniza os registos da aplicação para um bucket Amazon S3 utilizando o rsync
D. Instale o agente do Amazon CloudWatch Logs nas instâncias EC2 e configure-o para enviar os logs do aplicativo para o CloudWatch Logs
Ver resposta
Resposta correta: A
Pergunta #12
Uma empresa utiliza várias contas IAM geridas com Organizações IAM Os engenheiros de segurança criaram um conjunto padrão de grupos de segurança para todas estas contas. A política de segurança exige que estes grupos de segurança sejam utilizados para todas as aplicações e delega a autoridade de modificação apenas à equipa de segurança. Uma auditoria de segurança recente descobriu que os grupos de segurança são implementados de forma inconsistente nas contas e que foram efectuadas alterações não autorizadas aos grupos de segurança. Um engenheiro de segurança precisa de recomendar
A. Utilize o Gestor de Acesso a Recursos IAM para criar recursos partilhados para cada grupo de segurança necessário e aplique uma política IAM que permita o acesso só de leitura aos grupos de segurança
B. Criar um modelo IAM CloudFormation que crie os grupos de segurança necessários Executar o modelo como parte da configuração de novas contas Ativar notificações do Amazon Simple Notification Service (Amazon SNS) quando ocorrerem alterações
C. Utilize o Gestor de Firewall IAM para criar uma política de grupo de segurança, ativar a funcionalidade de política para identificar e reverter alterações locais e ativar a correção automática
D. Utilizar a Torre de Controlo do IAM para editar o modelo de fábrica da conta para ativar a opção de grupos de segurança de captura Aplicar um SCP à UO ou às contas individuais que proíbe as modificações de grupos de segurança aos utilizadores de contas locais
Ver resposta
Resposta correta: A
Pergunta #13
Um Administrador de Segurança está a efetuar uma análise de registos como resultado de uma suspeita de comprometimento de uma conta IAM. O Administrador deseja analisar arquivos de log suspeitos do IAM CloudTrail, mas está sobrecarregado pelo volume de logs de auditoria que estão sendo gerados. Qual abordagem permite que o administrador pesquise os logs de forma mais eficiente?
A. Implemente um filtro de eventos CloudTrail "somente gravação" para detetar quaisquer modificações nos recursos da conta IAM
B. Configure o Amazon Macie para classificar e descobrir dados confidenciais no bucket do Amazon S3 que contém os logs de auditoria do CloudTrail
C. Configure o Amazon Athena para ler o bucket S3 do CloudTrail e consultar os logs para examinar as atividades da conta
D. Ativar as notificações de eventos do Amazon S3 para acionar uma função IAM Lambda que envia um alarme por e-mail quando há novas entradas da API do CloudTrail
Ver resposta
Resposta correta: A
Pergunta #14
Um Administrador de Segurança de uma universidade está a configurar um conjunto de instâncias do Amazon EC2. As instâncias EC2 são partilhadas entre alunos e é permitido o acesso SSH não raiz. O Administrador está preocupado com o facto de os alunos atacarem outros recursos da conta IAM utilizando o serviço de metadados da instância EC2. O que é que o Administrador pode fazer para se proteger contra este potencial ataque?
A. Desativar o serviço de metadados da instância do EC2
B. Registar toda a atividade da sessão interactiva SSH dos alunos
C. Implementar restrições baseadas em tabelas ip nas instâncias
D. Instalar o agente Amazon Inspetor nas instâncias
Ver resposta
Resposta correta: B
Pergunta #15
Algumas cargas de trabalho de análise altamente sensíveis devem ser transferidas para anfitriões Amazon EC2. A modelagem de ameaças descobriu que existe um risco em que uma sub-rede pode ser exposta à Internet de forma maliciosa ou acidental. Qual das seguintes mitigações deve ser recomendada?
A. Utilize o IAM Config para detetar se foi adicionado um Gateway de Internet e utilize uma função IAM Lambda para fornecer a correção automática
B. Na configuração do Amazon VPC, marque o VPC como privado e desactive os endereços IP elásticos
C. Utilizar o endereçamento IPv6 exclusivamente nos anfitriões EC2, uma vez que isto impede que os anfitriões sejam acedidos a partir da Internet
D. Deslocar a carga de trabalho para um anfitrião dedicado, uma vez que tal proporciona controlos de segurança de rede adicionais e monitorização
Ver resposta
Resposta correta: A
Pergunta #16
Um Engenheiro de Segurança de uma grande empresa está a gerir uma aplicação de processamento de dados utilizada por 1500 empresas subsidiárias. Todas as empresas-mãe e subsidiárias utilizam o IAM. A aplicação utiliza a porta TCP 443 e é executada no Amazon EC2 por detrás de um Network Load Balancer (NLB). Por motivos de conformidade, a aplicação só deve ser acessível às subsidiárias e não deve estar disponível na Internet pública. Para cumprir os requisitos de conformidade para acesso restrito, o Engenheiro recebeu o CIDR público e privado
A. Crie uma NACL para permitir o acesso na porta TCP 443 a partir dos intervalos de blocos CIDR da subsidiária 1;500
B. Criar um grupo de segurança IAM para permitir o acesso à porta TCP 443 a partir do intervalo de blocos CIDR de 1
C. Associar o grupo de segurança ao NL
D. Crie um segundo grupo de segurança para instâncias EC2 com acesso à porta TCP 443 a partir do grupo de segurança NLB
E. Criar um serviço de ponto de extremidade IAM PrivateLink na conta da empresa-mãe anexada ao NL
F. Crie um grupo de segurança do IAM para as instâncias para permitir o acesso à porta TCP 443 a partir do ponto de extremidade do IAM PrivateLink G
Ver resposta
Resposta correta: A
Pergunta #17
Um Engenheiro de Segurança tem de implementar ligações TLS mutuamente autenticadas entre contentores que comunicam dentro de uma VPC. Qual solução seria a MAIS segura e fácil de manter?
A. Utilize o Gestor de Certificados IAM para gerar certificados a partir de uma autoridade de certificação pública e implementá-los em todos os contentores
B. Criar um certificado auto-assinado num contentor e utilizar o Gestor de Segredos do IAM para distribuir o certificado aos outros contentores para estabelecer a confiança
C. Utilize a Autoridade de Certificação Privada do Gestor de Certificados IAM (ACM PCA) para criar uma autoridade de certificação subordinada e, em seguida, crie as chaves privadas nos contentores e assine-as utilizando a API ACM PCA
D. Utilize a Autoridade de Certificação Privada do Gestor de Certificados do IAM (ACM PCA) para criar uma autoridade de certificação subordinada e, em seguida, utilize o Gestor de Certificados do IAM para gerar os certificados privados e implementá-los em todos os contentores
Ver resposta
Resposta correta: ADF
Pergunta #18
Uma empresa tem várias contas de IAM de produção e uma conta de IAM de segurança central. A conta de segurança é usada para monitoramento centralizado e tem privilégios de IAM para todos os recursos em todas as contas corporativas. Todos os buckets do Amazon S3 da empresa são marcados com um valor que indica a classificação de dados do seu conteúdo. Um Engenheiro de Segurança está a implementar uma solução de monitorização na conta de segurança que irá impor a conformidade com a política de buckets. O sistema deve monitorizar os buckets S3 em todas as contas de produção e co
A. Configure o Amazon CloudWatch Events nas contas de produção para enviar todos os eventos S3 para o barramento de eventos da conta de segurança
B. Ativar o Amazon GuardDuty na conta de segurança
C. e juntar as contas de produção como membros
D. Configurar uma regra de eventos do Amazon CloudWatch na conta de segurança para detetar eventos de criação ou modificação de buckets S3
E. Active o IAM Trusted Advisor e active as notificações por correio eletrónico para um endereço de correio eletrónico atribuído ao contacto de segurança
F. Invocar uma função IAM Lambda na conta de segurança para analisar as definições do bucket S3 em resposta a eventos S3 e enviar notificações de não conformidade para a equipa de segurança
Ver resposta
Resposta correta: BEF
Pergunta #19
Uma empresa planeia utilizar AMIs personalizadas para lançar instâncias do Amazon EC2 em várias contas IAM numa única região para executar tarefas de monitorização e análise de segurança. As instâncias EC2 são lançadas em grupos EC2 Auto Scaling. Para aumentar a segurança da solução, um Engenheiro de Segurança irá gerir o ciclo de vida das AMIs personalizadas numa conta centralizada e irá encriptá-las com uma CMK IAM KMS gerida centralmente. O engenheiro de segurança configurou a política de chave KMS para permitir o acesso entre contas. No entanto, o
A. Criar um CMK administrado pelo cliente na conta centralizada
B. Permitir que outras contas aplicáveis utilizem essa chave para operações criptográficas, aplicando permissões adequadas entre contas na política de chaves
C. Criar uma função IAM em todas as contas aplicáveis e configurar a respectiva política de acesso para permitir a utilização do CMK gerido centralmente para operações criptográficas
D. Configure os grupos do EC2 Auto Scaling em cada conta aplicável para usar a função IAM criada para iniciar instâncias do EC2
E. Criar um CMK administrado pelo cliente na conta centralizada
F. Permitir que outras contas aplicáveis utilizem essa chave para operações criptográficas, aplicando permissões adequadas entre contas na política de chaves G
Ver resposta
Resposta correta: A
Pergunta #20
Uma empresa hospeda uma aplicação Web crítica no IAM Cloud. Trata-se de uma aplicação fundamental para a geração de receitas da empresa. A equipa de Segurança de TI está preocupada com potenciais ataques DDos contra o Web site. A direção também especificou que é necessário tomar medidas imediatas em caso de um potencial ataque DDos. O que deve ser feito a este respeito? Seleccione:
A. Considere a possibilidade de usar o Serviço de Proteção IAM
B. Considere a possibilidade de utilizar os registos de fluxo da VPC para monitorizar o tráfego em busca de ataques DDos e tomar rapidamente medidas em caso de desencadeamento de um potencial ataque
C. Considere a possibilidade de utilizar o Serviço Avançado do Escudo IAM
D. Considere a possibilidade de usar os logs do Cloudwatch para monitorar o tráfego em busca de ataques DDos e tomar medidas rapidamente ao detetar um possível ataque
Ver resposta
Resposta correta: A
Pergunta #21
Um engenheiro de segurança tem de desenvolver uma ferramenta de encriptação para uma empresa. A empresa necessita de uma solução criptográfica que suporte a capacidade de efetuar a eliminação criptográfica de todos os recursos protegidos pelo material de chave em 15 minutos ou menos. Qual a solução de chave IAM Key Management Service (IAM KMS) que permitirá ao engenheiro de segurança cumprir estes requisitos?
A. Utilizar material-chave importado com CMK
B. Utilizar um IAM KMS CMK
C. Utilizar um CMK gerido pelo IAM
D. Utilizar um CMK gerido pelo cliente IAM KMS
Ver resposta
Resposta correta: A
Pergunta #22
Uma empresa tem regras de conetividade complexas que regem a entrada, a saída e as comunicações entre instâncias do Amazon EC2. As regras são tão complexas que não podem ser implementadas dentro dos limites do número máximo de grupos de segurança e listas de controlo de acesso à rede (ACLs de rede). Que mecanismo permitirá que a empresa implemente todas as regras de rede necessárias sem incorrer em custos adicionais?
A. Configure as regras do IAM WAF para implementar as regras necessárias
B. Utilizar a firewall incorporada no sistema operativo, baseada no anfitrião, para implementar as regras necessárias
C. Utilizar um gateway NAT para controlar a entrada e a saída de acordo com os requisitos
D. Lançar um produto de firewall baseado em EC2 a partir do IAM Marketplace e implementar as regras necessárias nesse produto
Ver resposta
Resposta correta: D
Pergunta #23
Uma empresa pretende encriptar a rede privada entre o seu ambiente orvpremises e o IAM. A empresa também deseja uma experiência de rede consistente para seus funcionários. O que a empresa deve fazer para atender a esses requisitos?
A. Estabelecer uma ligação IAM Direct Connect com o IAM e configurar uma gateway Direct Connect
B. Na configuração do gateway Direct Connect, ative o IPsec e o BGP e, em seguida, aproveite a criptografia de rede IAM nativa entre as Zonas e Regiões de disponibilidade,
C. Estabelecer uma ligação IAM Direct Connect com o IAM e configurar uma gateway Direct Connect
D. Utilizando o gateway Direct Connect, crie uma interface virtual privada e anuncie o endereço IP privado do gateway do cliente
E. Criar uma ligação VPN utilizando o gateway do cliente e o gateway privado virtual
F. Estabeleça uma ligação VPN com a nuvem privada virtual do IAM através da Internet G
Ver resposta
Resposta correta: B
Pergunta #24
Uma empresa tem uma VPC com um intervalo de endereços IPv6 e uma sub-rede pública com um bloco de endereços IPv6. A VPC aloja atualmente algumas instâncias públicas do Amazon EC2, mas um engenheiro de segurança precisa de migrar uma segunda aplicação para a VPC que também requer conetividade IPv6. Esta nova aplicação fará ocasionalmente pedidos de API a um ponto de extremidade externo, acessível pela Internet, para receber actualizações. No entanto, a equipa de segurança não quer que a instância EC2 da aplicação seja exposta diretamente à Internet
A. Lançar uma instância NAT na sub-rede pública Atualizar a tabela de rotas personalizada com uma nova rota para a instância NAT
B. Remova o gateway de Internet e adicione o IAM PrivateLink à VPC Em seguida, actualize a tabela de rotas personalizada com uma nova rota para o IAM PrivateLink
C. Adicionar um gateway NAT gerido à VPC Atualizar a tabela de rotas personalizada com uma nova rota para o gateway
D. Adicionar um gateway de Internet só de saída à VP
E. Atualizar a tabela de rotas personalizada com uma nova rota para o gateway
Ver resposta
Resposta correta: A
Pergunta #25
Um utilizador IAM com permissões de preenchimento do EC2 podia não iniciar uma instância do Amazon EC2 depois de esta ter sido parada para uma tarefa de manutenção. Ao iniciar a instância, o estado da instância mudava para "Pendente", mas após alguns segundos, voltava a mudar para "Parado". Uma inspeção revelou que a instância tem volumes Amazon EBS anexados que foram encriptados utilizando uma chave mestra do cliente (CMK). Quando estes volumes encriptados foram separados, o utilizador IAM conseguiu iniciar as instâncias EC2. A política do utilizador IAM é a seguinte
A. kms:GenerateDataKey
B. kms:Desencriptar
C. kms:CreateGrant
D. "Condição": {"Bool": {"kms:ViaService": "ec2
E. "Condição": {"Bool": {"kms:GrantIsForIAMResource": true}}
Ver resposta
Resposta correta: B
Pergunta #26
A sua empresa tem um conjunto de 1000 instâncias EC2 definidas numa conta IAM. A empresa pretende automatizar eficazmente várias tarefas administrativas nestas instâncias. Qual das seguintes opções seria uma forma eficaz de o conseguir? Seleccione:
A. Usar o armazenamento de parâmetros do Gerenciador de sistemas IAM
B. Usar o comando Executar do Gerenciador de sistemas IAM
C. Utilizar o Inspetor IAM
D. Utilizar o IAM Config
Ver resposta
Resposta correta: C
Pergunta #27
Um engenheiro de segurança está a trabalhar com uma equipa de produtos que está a criar uma aplicação Web no IAM. A aplicação utiliza o Amazon S3 para alojar o conteúdo estático, o Amazon API Gateway para fornecer serviços RESTful e o Amazon DynamoDB como armazenamento de dados de backend. Os utilizadores já existem num diretório que é exposto através de um fornecedor de identidade SAML. Que combinação das seguintes acções deve o Engenheiro executar para permitir que os utilizadores sejam autenticados na aplicação Web e chamem APIs? (Escolha três.)
A. Crie um serviço de autorização personalizado usando o IAM Lambda
B. Configurar um fornecedor de identidade SAML no Amazon Cognito para mapear atributos para os atributos do conjunto de utilizadores do Amazon Cognito
C. Configure o fornecedor de identidade SAML para adicionar o conjunto de utilizadores do Amazon Cognito como uma parte confiável
D. Configurar um pool de identidades do Amazon Cognito para integrar com fornecedores de início de sessão social
E. Atualizar o DynamoDB para armazenar os endereços de correio eletrónico e as palavras-passe dos utilizadores
F. Atualizar o API Gateway para utilizar um autorizador COGNITO_USER_POOLS
Ver resposta
Resposta correta: A
Pergunta #28
Um Administrador de Segurança está a restringir as capacidades das contas de utilizador raiz da empresa. A empresa utiliza o IAM Organizations e activou-o para todos os conjuntos de recursos, incluindo a faturação consolidada. A conta de nível superior é utilizada para fins administrativos e de faturação, e não para fins de recursos operacionais do IAM. Como pode o Administrador restringir a utilização de contas de utilizador raiz de membros em toda a organização?
A. Desativar a utilização da conta de utilizador de raiz na raiz da organização
B. Ativar a autenticação multi-fator da conta de utilizador raiz para cada conta de membro da organização
C. Configure as políticas de utilizador IAM para restringir as capacidades da conta raiz para cada conta de membro das Organizações
D. Criar uma unidade organizacional (OU) em Organizações com uma política de controlo de serviços que controle a utilização da utilização de raiz
E. Adicionar todas as contas operacionais à nova UO
F. Configure o IAM CloudTrail para se integrar aos logs do Amazon CloudWatch e, em seguida, crie um filtro de métrica para RootAccountUsage
Ver resposta
Resposta correta: DEF
Pergunta #29
Uma empresa usa a infraestrutura como código (IaC) para criar uma infraestrutura da AWS. A empresa escreve o código como modelos do AWS CloudFormation para implantar a infraestrutura. A empresa tem um pipeline de CI/CD existente que pode usar para implantar esses modelos. Após uma auditoria de segurança recente, a empresa decide adotar uma abordagem de política como código para melhorar a postura de segurança da empresa na AWS. A empresa deve impedir a implantação de qualquer infraestrutura que viole uma política de segurança, como uma política de segurança não criptografada
A. Ativar o AWS Trusted Advisor
B. Ativar o AWS Config
C. riar conjuntos de regras no AWS CloudFormation Guard
D. riar conjuntos de regras como SCPs
Ver resposta
Resposta correta: C
Pergunta #30
Um programador está a criar uma aplicação sem servidor que utiliza o Amazon API Gateway como front end. A aplicação não será acessível publicamente. Outras aplicações legadas em execução no Amazon EC2 farão chamadas para a aplicação Foi pedido a um Engenheiro de Segurança que analisasse os controlos de segurança para autenticação e autorização da aplicação Que combinação de acções forneceria a solução MAIS segura? (Seleccione DUAS)
A. Configurar uma política de IAM que permita que as acções menos permissivas comuniquem com o API Gateway Anexar a política à função utilizada pelas instâncias EC2 herdadas
B. Ativar o IAM WAF para API Gateway Configurar regras para permitir explicitamente ligações a partir das instâncias EC2 legadas
C. Criar um ponto de extremidade VPC para o API Gateway Anexar uma política de recursos IAM que permita que a função das instâncias EC2 herdadas chame APIs específicas
D. Criar um plano de utilização Gerar um conjunto de chaves de API para cada aplicação que precisa de chamar a API
E. Configurar a partilha de recursos entre origens (CORS) em cada API Partilhar as informações CORS com as aplicações que chamam a API
Ver resposta
Resposta correta: AE
Pergunta #31
Uma empresa aloja o seu sítio Web público em instâncias do Amazon EC2 por trás de um Application Load Balancer (ALB). As instâncias estão num grupo EC2 Auto Scaling em várias zonas de disponibilidade. O Web site está a ser alvo de um ataque DDoS por uma marca específica de dispositivo loT que é visível no agente do utilizador Um engenheiro de segurança precisa de mitigar o ataque sem afetar a disponibilidade do Web site público. O que o engenheiro de segurança deve fazer para conseguir isso?
A. Configure uma regra ACL da Web para o IAM WAF para bloquear pedidos com uma condição de correspondência de cadeia para o agente de utilizador do dispositivo loT
B. Associar a ACL v/eb ao ALB
C. Configurar uma distribuição do Amazon CloudFront para usar o ALB como uma distribuição de origem
D. Configurar uma regra de ACL Web para o IAM WAF para bloquear pedidos com uma condição de correspondência de cadeia para o agente de utilizador do dispositivo loT
E. Associar a ACL da Web ao ALB Alterar a entrada de DNS público do site para apontar para a distribuição do CloudFront
F. Configure uma distribuição do Amazon CloudFront para utilizar um novo ALB como origem G
Ver resposta
Resposta correta: B
Pergunta #32
O centro de dados local de uma empresa encaminha os registos de DNS para uma solução de gestão de eventos de incidentes de segurança (SIEM) de terceiros que alerta para comportamentos suspeitos. A empresa pretende introduzir uma capacidade semelhante nas suas contas IAM que inclua a correção automática. A empresa espera dobrar de tamanho nos próximos meses. Que solução satisfaz os requisitos de registo actuais e futuros da empresa?
A. Habilite o Amazon GuardDuty e o IAM Security Hub em todas as regiões e em todas as contas
B. Designar uma conta de segurança principal para receber todos os alertas da conta secundária
C. Configurar regras específicas no Amazon Even;Bridge para acionar uma função IAM Lambda para os passos de correção
D. Ingerir todos os logs do IAM CloudTrail, logs de fluxo de VPC e logs de DNS em um único bucket do Amazon S3 em uma conta de segurança designada
E. Utilizar o SIEM local atual para monitorizar os registos e enviar uma notificação para um tópico do Amazon SNS para alertar a equipa de segurança sobre os passos de correção
F. Ingerir todos os registos do IAM CloudTrail, registos de fluxo VPC e registos DNS num único balde do Amazon S3 numa conta de segurança designada G
Ver resposta
Resposta correta: B
Pergunta #33
A sua empresa tem uma Instância EC2 alojada no IAM. Esta Instância EC2 aloja uma aplicação. Atualmente, esta aplicação está a ter uma série de problemas. É necessário inspecionar os pacotes de rede para ver qual é o tipo de erro que está a ocorrer? Qual dos passos abaixo pode ajudar a resolver este problema? Selecione:
A. Use os Registros de fluxo da VPC
B. Utilizar uma ferramenta de monitorização de rede fornecida por um parceiro IAM
C. Utilizar outra instância
D. Configurar uma porta para "modo promíscuo" e farejar o tráfego para analisar o pacote
E. Usar a métrica do Cloudwatch
Ver resposta
Resposta correta: D
Pergunta #34
Um Engenheiro de Software está a tentar perceber porque é que a conetividade de rede a uma instância do Amazon EC2 não parece estar a funcionar corretamente. O seu grupo de segurança permite o tráfego HTTP de entrada a partir de 0.0.0.0/0, e as regras de saída não foram modificadas em relação à predefinição. Uma ACL de rede personalizada associada à sua sub-rede permite o tráfego HTTP de entrada de 0.0.0.0/0 e não tem regras de saída. O que resolveria o problema de conetividade?
A. As regras de saída no grupo de segurança não permitem que a resposta seja enviada para o cliente no intervalo de portas efémeras
B. As regras de saída no grupo de segurança não permitem que a resposta seja enviada para o cliente na porta HTTP
C. Uma regra de saída deve ser adicionada à ACL de rede para permitir que a resposta seja enviada ao cliente no intervalo de portas efêmeras
D. Uma regra de saída deve ser adicionada à ACL de rede para permitir que a resposta seja enviada ao cliente na porta HTTP
Ver resposta
Resposta correta: C
Pergunta #35
Uma aplicação executada em instâncias EC2 tem de utilizar um nome de utilizador e uma palavra-passe para aceder a uma base de dados. O programador armazenou esses segredos no SSM Parameter Store com o tipo SecureString utilizando o KMS CMK predefinido. Que combinação de etapas de configuração permitirá que o aplicativo acesse os segredos por meio da API? Seleccione 2 respostas das opções abaixo Seleccione:
A. Adicione a função de instância EC2 como um serviço fiável à função de serviço SSM
B. Adicionar a permissão para utilizar a chave KMS para desencriptar à função de serviço SSM
C. Adicionar permissão para ler o parâmetro SSM à lista de instâncias do EC2
D.
E. Adicionar permissão para utilizar a chave KMS para desencriptar a função da instância EC2
F. Adicione a função de serviço SSM como um serviço fiável à função de instância do EC2
Ver resposta
Resposta correta: B
Pergunta #36
Uma organização tem três aplicações em execução no IAM, cada uma delas acedendo aos mesmos dados no Amazon S3. Os dados no Amazon S3 são criptografados no lado do servidor usando uma chave mestra do cliente (CMK) do IAM KMS. Qual é o método recomendado para garantir que cada aplicação tem as suas próprias permissões de controlo de acesso programático na CMK do KMS?
A. Altere as permissões da política de chaves associadas ao KMS CMK para cada aplicação quando esta tiver de aceder aos dados no Amazon S3
B. Faça com que cada aplicação assuma uma função de IAM que forneça permissões para utilizar o IAM Certificate Manager CMK
C. Faça com que cada aplicação utilize uma concessão no KMS CMK para adicionar ou remover controlos de acesso específicos no KMS CMK
D. Fazer com que cada aplicação utilize uma política IAM num contexto de utilizador para ter permissões de acesso específicas no KMS CMK
Ver resposta
Resposta correta: AD
Pergunta #37
Uma organização recebe um alerta que indica que uma instância EC2 por trás de um balanceador de carga clássico ELB foi comprometida. Que técnicas limitarão o movimento lateral e permitirão a recolha de provas?
A. Remova a instância do balanceador de carga e encerre-a
B. Remova a instância do balanceador de carga e feche o acesso à instância, reforçando o grupo de segurança
C. Reinicie a instância e verifique se há alarmes do Amazon CloudWatch
D. Pare a instância e crie um instantâneo do volume EBS raiz
Ver resposta
Resposta correta: B
Pergunta #38
Uma empresa tem um bucket criptografado do Amazon S3. Um desenvolvedor de aplicativos tem uma política de IAM que permite o acesso ao bucket S3, mas o desenvolvedor de aplicativos não consegue acessar objetos dentro do bucket. Qual é a possível causa do problema?
A. A ACL S3 para o bucket S3 não concede explicitamente acesso ao Desenvolvedor de Aplicativos
B. A chave KMS do IAM para o bucket S3 não lista o Desenvolvedor de aplicativos como um administrador
C. A política de bucket S3 não concede explicitamente acesso ao Programador de Aplicações
D. A política de bucket S3 nega explicitamente o acesso ao Desenvolvedor de aplicativos
Ver resposta
Resposta correta: D
Pergunta #39
Uma empresa planeia transferir a maior parte da sua infraestrutura de TI para o IAM. Pretende tirar partido do Active Directory local existente como fornecedor de identidade para o IAM. Que combinação de passos deve um Engenheiro de Segurança seguir para federar o Active Directory local da empresa com o IAM? (Escolha duas.)
A. Crie funções IAM com permissões correspondentes a cada grupo do Active Directory
B. Criar grupos IAM com permissões correspondentes a cada grupo do Active Directory
C. Configurar o Amazon Cloud Directory para suportar um fornecedor SAML
D. Configure o Active Directory para adicionar confiança de parte confiável entre o Active Directory e o IAM
E. Configure o Amazon Cognito para adicionar confiança de parte confiável entre o Active Directory e o IAM
Ver resposta
Resposta correta: ABF
Pergunta #40
Durante uma investigação interna recente, descobriu-se que todo o registo de API estava desativado numa conta de produção e que o utilizador raiz tinha criado novas chaves de API que parecem ter sido utilizadas várias vezes. O que poderia ter sido feito para detetar e corrigir automaticamente o incidente?
A. Utilizando o Amazon Inspetor, reveja todas as chamadas de API e configure o agente inspetor para aproveitar os tópicos SNS para notificar a segurança da alteração ao IAM CloudTrail e revogar as novas chaves de API para o utilizador raiz
B. Utilizando o IAM Config, crie uma regra de configuração que detecte quando o IAM CloudTrail está desativado, bem como quaisquer chamadas para o utilizador raiz create-api-ke
C. Em seguida, use uma função Lambda para reativar os logs do CloudTrail e desativar as chaves de API raiz
D. Usando o Amazon CloudWatch, crie um evento do CloudWatch que detecte a desativação do IAM CloudTrail e uma verificação separada do Amazon Trusted Advisor para detetar automaticamente a criação da chave de API raiz
E. Em seguida, use uma função Lambda para ativar o IAM CloudTrail e desativar as chaves de API raiz
F. Utilizando o Amazon CloudTrail, crie um novo evento CloudTrail que detecte a desativação dos registos CloudTrail e um evento CloudTrail separado que detecte a criação da chave de API de raiz G
Ver resposta
Resposta correta: A
Pergunta #41
Que opção para a utilização do Serviço de Gestão de Chaves (KMS) do IAM suporta as melhores práticas de gestão de chaves que se centram na minimização do âmbito potencial dos dados expostos por um possível compromisso futuro das chaves?
A. Utilize a rotação automática de chaves KMS para substituir a chave mestra e utilize esta nova chave mestra para futuras operações de encriptação sem voltar a encriptar os dados anteriormente encriptados
B. Gerar uma nova chave mestra do cliente (CMK), voltar a encriptar todos os dados existentes com a nova CMK e utilizá-la para todas as operações de encriptação futuras
C. Alterar o alias CMK a cada 90 dias e atualizar as aplicações de chamada de chave com o novo alias de chave
D. Altere as permissões do CMK para garantir que os indivíduos que podem fornecer chaves não sejam os mesmos que podem usar as chaves
Ver resposta
Resposta correta: BE
Pergunta #42
Um engenheiro de segurança está a auditar um sistema de produção e descobre várias funções de IAM adicionais que não são necessárias e não foram previamente documentadas durante a última auditoria, há 90 dias. O engenheiro está a tentar descobrir quem criou estas funções de IAM e quando foram criadas. A solução deve ter o menor custo operacional. Qual solução atenderá a esse requisito?
A. Importe os registos do IAM CloudTrail do Amazon S3 para um cluster do Amazon Elasticsearch Service e procure nos registos combinados os eventos CreateRole
B. Criar uma tabela no Amazon Athena para o evento IAM CloudTrail
C. Consultar a tabela no Amazon Athena para eventos CreateRole
D. Use o IAM Config para procurar a linha do tempo de configuração para as funções adicionais do IAM e exibir o evento vinculado do IAM CloudTrail
E. Transfira o relatório de credenciais a partir da consola IAM para ver os detalhes de cada entidade IAM, incluindo as datas de criação
Ver resposta
Resposta correta: A
Pergunta #43
Uma empresa tem várias cargas de trabalho em execução no IAM. Os funcionários precisam se autenticar usando o ADFS local e o SSO para acessar o Console de gerenciamento do IAM. Os programadores migraram uma aplicação Web antiga existente para uma instância do Amazon EC2. Os funcionários precisam de aceder a esta aplicação a partir de qualquer ponto da Internet, mas, atualmente, não existe um sistema de autenticação integrado na aplicação. Como é que o Engenheiro de Segurança deve implementar o acesso exclusivo dos funcionários a este sistema sem alterar a aplicação?
A. Coloque a aplicação por trás de um Application Load Balancer (ALB)
B. Defina um conjunto de utilizadores do Amazon Cognito baseado em SAML e ligue-o ao ADFS
C. Implementar o SSO do IAM na conta principal e associá-la ao ADFS como um fornecimento de identidade
D. Defina a instância do EC2 como um recurso gerenciado e, em seguida, aplique uma política de IAM ao recurso
E. Defina um pool de identidades do Amazon Cognito e, em seguida, instale o conetor no serviço do Active Directory
F. Utilize o Amazon Cognito SDK na instância da aplicação para autenticar os funcionários utilizando os seus nomes de utilizador e palavras-passe do Active Directory
Ver resposta
Resposta correta: D
Pergunta #44
Ao proteger a conexão entre o VPC de uma empresa e seu data center local, um Engenheiro de Segurança enviou um comando ping de um host local (endereço IP 203.0.113.12) para uma instância do Amazon EC2 (endereço IP 172.31.16.139). O comando ping não retornou uma resposta. O registo de fluxo na VPC mostrou o seguinte: 2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK 2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 RE
A. No grupo de segurança da instância EC2, permita o tráfego ICMP de entrada
B. No grupo de segurança da instância EC2, permitir o tráfego ICMP de saída
C. Na NACL da VPC, permitir o tráfego ICMP de entrada
D. Na NACL da VPC, permitir o tráfego ICMP de saída
Ver resposta
Resposta correta: B
Pergunta #45
Uma organização pretende implementar uma aplicação Web de três camadas em que os servidores de aplicações são executados em instâncias do Amazon EC2. Estas instâncias EC2 necessitam de acesso a credenciais que irão utilizar para autenticar as suas ligações SQL a uma instância de BD Amazon RDS. Além disso, as funções IAM Lambda devem emitir consultas à base de dados RDS utilizando as mesmas credenciais de base de dados. As credenciais têm de ser armazenadas para que as instâncias EC2 e as funções Lambda possam aceder às mesmas. Não é permitido qualquer outro acesso. Os registos de acesso têm de re
A. Armazene as credenciais da base de dados no Serviço de Gestão de Chaves do IAM (KMS do IAM)
B. Adicionar a função a um perfil de instância EC2
C. Anexar o perfil da instância à instância do EC2
D. Configure o Lambda para usar a nova função para execução
E. Armazenar as credenciais da base de dados no KM do IAM
F. Crie uma função IAM com acesso ao KMS utilizando os princípios dos serviços EC2 e Lambda na política de confiança da função G
Ver resposta
Resposta correta: ABF
Pergunta #46
A ferramenta de gerenciamento de eventos de informações de segurança (SIEM) de uma empresa recebe novos logs do IAM CloudTrail de um bucket do Amazon S3 que está configurado para enviar todas as notificações de eventos de objetos criados para um tópico do Amazon SNS. A ferramenta SEM da empresa porta essa fila SQS para novas mensagens usando uma função IAM e busca novos eventos de log do bucket S3 com base nas mensagens SQS. Após uma recente revisão de segurança que resultou em permissões restritas, a ferramenta SEM parou de
A. A fila SOS não permite a ação SQS SendMessage do tópico SNS
B. O tópico do SNS não permite a ação Publicar do SNS a partir do Amazon S3
C. O tópico SNS não está entregando mensagens brutas para a fila SQS
D. A política do bucket S3 não permite que o CloudTrail execute a ação PutObject
E. A função IAM utilizada pela ferramenta 5EM não tem permissão para subscrever o tópico SNS
F. A função IAM utilizada pela ferramenta SEM não permite a ação SQS DeleteMessage
Ver resposta
Resposta correta: BDF
Pergunta #47
Trabalha no sector dos meios de comunicação social e criou uma aplicação Web em que os utilizadores podem carregar fotografias que criaram no seu sítio Web. Esta aplicação Web deve ser capaz de chamar a API S3 para poder funcionar. Onde deve armazenar as credenciais da API, mantendo o nível máximo de segurança? Seleccione:
A. Guarde as credenciais da API nos seus ficheiros PHP
B. Não guarde as suas credenciais de API, em vez disso, crie uma função no IAM e atribua essa função a uma instância EC2 quando a criar pela primeira vez
C. Guarde as suas credenciais da API num repositório público do Github
D. Passe as credenciais da API para a instância usando os dados de usuário da instância
Ver resposta
Resposta correta: ACE
Pergunta #48
O Engenheiro de Segurança de um jogo para telemóvel tem de implementar um método para autenticar os utilizadores para que possam guardar o seu progresso. Como a maioria dos utilizadores faz parte do mesmo Web site de redes sociais compatível com OpenID-Connect, o engenheiro de segurança gostaria de o utilizar como fornecedor de identidade. Qual é a solução mais SIMPLES para permitir a autenticação de utilizadores utilizando as suas identidades de redes sociais?
A. Amazon Cognito
B. API AssumeRoleWithWebIdentity
C. Diretório Amazon Cloud
D. Conector do Active Directory (AD)
Ver resposta
Resposta correta: DEF
Pergunta #49
Uma empresa tem várias chaves mestras de cliente (CMK), algumas das quais com material de chave importado. Cada CMK deve ser rodada anualmente. Que dois métodos pode a equipa de segurança utilizar para rodar cada chave? Seleccione 2 respostas entre as opções apresentadas abaixo:
A. Ativar a rotação automática de chaves para um CMK
B. Importar novo material-chave para um CMK existente
C. Utilizar a CLI ou a consola para rodar explicitamente um CMK existente
D. Importar novo material de chave para um novo CMK; apontar o alias de chave para o novo CMK
E. Eliminar um CMK existente e será criado um novo CMK predefinido
Ver resposta
Resposta correta: B

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.