NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Perguntas do exame AWS SCS-C02 para uma preparação eficaz | AWS Certified Security - Specialty

As perguntas do exame AWS SCS-C02 da SPOTO fornecem uma vasta coleção de perguntas de teste que simulam com precisão o ambiente real do exame, permitindo que você se familiarize com o formato do exame e os tipos de perguntas. Estes materiais de estudo são habilmente concebidos por profissionais do sector, garantindo a sua relevância e precisão. Além disso, a SPOTO oferece exames de simulação que imitam de perto o exame de certificação real, permitindo-lhe avaliar o seu grau de preparação e identificar as áreas que requerem mais atenção. Ao utilizar estes recursos de exame, pode preparar-se eficazmente e aumentar as suas hipóteses de passar com êxito o exame AWS Certified Security - Specialty na sua primeira tentativa, validando a sua experiência na criação e implementação de soluções seguras da AWS Cloud.
Faça outros exames online
Pergunta #1
Uma equipa de desenvolvimento está a tentar encriptar e descodificar um parâmetro de cadeia de caracteres seguro do Armazenamento de Parâmetros do Gestor de Sistemas IAM utilizando um CMK do IAM Key Management Service (IAM KMS). No entanto, cada tentativa resulta no envio de uma mensagem de erro para a equipa de desenvolvimento. Que problemas relacionados com o CMK podem ser responsáveis pelo erro? (Selecione dois.)
A. No entanto, a empresa não quer permitir que os utilizadores das outras contas acedam a outros ficheiros na mesma pasta
B. plicar uma política de utilizador nas outras contas para permitir que o IAM Glue e o Athena lo acedam ao ficheiro
C. tilize o S3 Select para restringir o acesso ao ficheiro
D. efina uma política de recursos do IAM Glue Data Catalog no IAM Glue para conceder acesso a objetos S3 entre contas ao arquivo
E. onceder acesso do IAM Glue ao Amazon S3 numa política baseada em recursos que especifique a organização como o principal
Ver resposta
Resposta correta: AD
Pergunta #2
Uma empresa precisa de encriptar todos os seus dados armazenados no Amazon S3. A empresa pretende utilizar o IAM Key Management Service (IAM KMS) para criar e gerir as suas chaves de encriptação. As políticas de segurança da empresa exigem a capacidade de Importar o material de chave da própria empresa para as chaves, definir uma data de expiração para as chaves e excluir chaves imediatamente, se necessário
A. onfigurar o IAM KMS e utilizar um armazenamento de chaves personalizado
B. onfigurar o IAM KMS e utilizar o armazenamento de chaves predefinido Criar uma CMK gerida pelo IAM sem material de chaves Importar o material de chaves da empresa para a CMK
C. onfigurar o IAM KMS e utilizar o armazenamento de chaves predefinido Criar uma CMK gerida pelo cliente sem material de chaves Importar o material de chaves da empresa para a CMK
D. Configurar o IAM KMS e utilizar um armazenamento de chaves personalizado
Ver resposta
Resposta correta: A
Pergunta #3
Uma empresa precisa de um engenheiro de segurança para implementar uma solução escalável para autenticação e autorização de várias contas. A solução não deve introduzir componentes arquitecturais adicionais geridos pelo utilizador. As funcionalidades nativas do IAM devem ser utilizadas tanto quanto possível O engenheiro de segurança configurou as organizações do IAM com todas as funcionalidades activadas e o SSO do IAM ativado
A. Utilize o Conector AD para criar utilizadores e grupos para todos os funcionários que necessitem de acesso a contas de IAM
B. tilize um diretório predefinido de SSO do IAM para criar utilizadores e grupos para todos os funcionários que necessitem de acesso a contas do IAM
C. tilize um diretório predefinido de SSO do IAM para criar utilizadores e grupos para todos os funcionários que necessitem de acesso a contas do IAM
D. Utilize o Serviço de Diretório do IAM para o Microsoft Active Directory para criar utilizadores e grupos para todos os funcionários que necessitem de acesso a contas do IAM
Ver resposta
Resposta correta: B
Pergunta #4
Uma empresa está a planear utilizar o Amazon Elastic File System (Amazon EFS) com os seus servidores no local. A empresa tem uma ligação IAM Direct Connect estabelecida entre o seu centro de dados local e uma região IAM A política de segurança declara que a firewall local da empresa só deve ter endereços IP específicos adicionados à lista de permissões e não um intervalo CIDR. A empresa também quer restringir o acesso para que apenas determinados servidores baseados em centros de dados tenham acesso ao Amazon EFComo é que um engenheiro de segurança deve
A. Adicionar o URL file-system-id efs IAM-region amazonIAM com à lista de permissões da firewall do centro de dados Instalar o IAM CLI nos servidores baseados no centro de dados para montar o sistema de ficheiros EFS no grupo de segurança EFS Adicionar o intervalo de IP do centro de dados à lista de permissões Montar o EFS utilizando o nome do sistema de ficheiros EFS
B. tribua um endereço IP elástico ao Amazon EFS e adicione o endereço IP elástico à lista de permissões do firewall do centro de dados Instale a CLI do IAM nos servidores baseados no centro de dados para montar o sistema de arquivos EFS No grupo de segurança do EFS, adicione os endereços IP dos servidores do centro de dados à lista de permissões Monte o EFS usando o endereço IP elástico
C. dicione os endereços IP do alvo de montagem do sistema de arquivos EFS à lista de permissões do firewall do centro de dados No grupo de segurança EFS, adicione os endereços IP do servidor do centro de dados à lista de permissões Use o terminal Linux para montar o sistema de arquivos EFS usando o endereço IP de um dos alvos de montagem
D. tribua um intervalo estático de endereços IP para o sistema de arquivos EFS entrando em contato com o Suporte IAM No grupo de segurança EFS, adicione os endereços IP do servidor do centro de dados à lista de permissões Use o terminal Linux para montar o sistema de arquivos EFS usando um dos endereços IP estáticos
Ver resposta
Resposta correta: B
Pergunta #5
Uma empresa está a criar uma aplicação de processamento de dados que utiliza funções AWS Lambda. As funções Lambda da aplicação precisam de comunicar com uma instância Amazon RDS OB que está implementada numa VPC na mesma conta AWS
A. onfigurar a instância de BD para permitir o acesso público Atualizar o grupo de segurança da instância de BD para permitir o acesso a partir do espaço de endereço público do Lambda para a região AWS
B. Implantar as funções do Lambda dentro da VPC Anexar uma ACL de rede à sub-rede do Lambda Fornecer acesso de regra de saída apenas ao intervalo CIDR da VPC Atualizar o grupo de segurança da instância do BD para permitir o tráfego de 0 0 0
C. Implantar as funções do Lambda dentro da VPC Anexar um grupo de segurança às funções do Lambda Fornecer acesso de regra de saída apenas ao intervalo CIDR da VPC Atualizar o grupo de segurança da instância de BD para permitir o tráfego do grupo de segurança do Lambda
D. Colocar em pares a VPC predefinida do Lambda com a VPC que aloja a instância de BD para permitir o acesso direto à rede sem a necessidade de grupos de segurança
Ver resposta
Resposta correta: C
Pergunta #6
Tem um bucket S3 definido no IAM. Pretende garantir a encriptação dos dados antes de os enviar através do cabo, qual é a melhor forma de o conseguir.
A. abilitar a criptografia do lado do servidor para o bucket S3
B. Utilizar o CLI de encriptação do IAM para encriptar os dados primeiro
C. Utilizar uma função Lambda para encriptar os dados antes de os enviar para o bucket S3
D. tivar a encriptação de cliente para o balde
Ver resposta
Resposta correta: B
Pergunta #7
Uma empresa está a preparar-se para adquirir várias empresas. Um engenheiro de segurança deve projetar uma solução para garantir que as contas IAM recém-adquiridas sigam as práticas recomendadas de segurança da corporação. A solução deve monitorar cada bucket do Amazon S3 para acesso público irrestrito de gravação e usar serviços gerenciados de IAM
A. onfigurar o Amazon Macie para verificar continuamente a configuração de todos os buckets S3
B. tivar o IAM Config para verificar a configuração de cada bucket S3
C. onfigurar o IAM Systems Manager para monitorizar as políticas de bucket S3 para acesso público de escrita
D. Configurar uma instância do Amazon EC2 para ter uma função IAM e um trabalho cron que verifica o estado de todos os buckets S3
Ver resposta
Resposta correta: C
Pergunta #8
Uma empresa armazena imagens para um site num bucket do Amazon S3. A empresa está a utilizar o Amazon CloudFront para fornecer as imagens aos utilizadores finais. A empresa descobriu recentemente que as imagens estão a ser acedidas a partir de países onde a empresa não tem uma licença de distribuição. Que acções deve a empresa tomar para proteger as imagens e limitar a sua distribuição? (Seleccione DUAS.)
A. nalisar um relatório de utilização do IAM Identity and Access Management (IAM) do IAM Trusted Advisor para ver quando é que a chave de acesso foi utilizada pela última vez
B. Analisar os registos do Amazon CloudWatch em busca de atividade, procurando a chave de acesso
C. Analisar os registos de fluxo da VPC em busca de atividade, procurando a chave de acesso
D. Analisar um relatório de credenciais no IAM Identity and Access Management (IAM) para ver quando é que a chave de acesso foi utilizada pela última vez
Ver resposta
Resposta correta: AC
Pergunta #9
A equipa de aplicações de uma empresa precisa de alojar uma base de dados MySQL no IAM. De acordo com a política de segurança da empresa, todos os dados armazenados no IAM devem ser criptografados em repouso. Além disso, todo o material criptográfico tem de estar em conformidade com a validação FIPS 140-2 Nível 3. A equipa de aplicações necessita de uma solução que satisfaça os requisitos de segurança da empresa e minimize as despesas operacionais
A. lojar a base de dados no Amazon RDS
B. lojar a base de dados no Amazon RDS
C. lojar a base de dados numa instância do Amazon EC2
D. Alojar a base de dados numa instância do Amazon EC2
Ver resposta
Resposta correta: B
Pergunta #10
A Equipa de Segurança de uma empresa recebeu uma notificação por e-mail da equipa de Abuso do Amazon EC2 de que uma ou mais instâncias do Amazon EC2 da empresa podem ter sido comprometidas. Que combinação de acções deve a Equipa de Segurança tomar para responder ao (ser modem atual? (Seleccione DUAS.)
A. Utilize a monitorização do Amazon CloudWatch para capturar o Amazon EC2 e as métricas de rede Visualize as métricas utilizando os painéis do Amazon CloudWatch
B. xecutar o Amazon Kinesis Agent para gravar os dados de estado no Amazon Kinesis Data Firehose Armazenar os dados de streaming do Kinesis Data Firehose no Amazon Redshift
C. Escrever os dados de estado diretamente num bucket público do Amazon S3 a partir do componente de verificação de saúde Configurar eventos S3 para invocar uma função IAM Lambda que analisa os dados
D. Gerar eventos do componente de verificação de integridade e enviá-los para o Amazon CloudWatch Events
Ver resposta
Resposta correta: DE
Pergunta #11
Uma auditoria determinou que o grupo de segurança da instância Amazon EC2 de uma empresa violou a política da empresa ao permitir o tráfego SSH de entrada sem restrições. Um engenheiro de segurança deve implementar uma solução de monitorização e alerta quase em tempo real que notifique os administradores de tais violações
A. Crie uma execução de avaliação recorrente do Amazon Inspetor que seja executada todos os dias e utilize o pacote Network Reachability
B. se a regra gerenciada do IAM Config restricted-ssh que é invocada por alterações de configuração do grupo de segurança que não estão em conformidade
C. onfigure os logs de fluxo de VPC para a VP e especifique um grupo de logs do Amazon CloudWatch
D. rie uma execução de avaliação recorrente do Amazon Inspetor que seja executada todos os dias e utilize o pacote de Boas Práticas de Segurança
Ver resposta
Resposta correta: B
Pergunta #12
Uma empresa está a alojar um Web site estático no Amazon S3 A empresa configurou uma distribuição do Amazon CloudFront para servir o conteúdo do Web site A empresa associou uma ACL Web do IAM WAF à distribuição do CloudFront. A empresa está preocupada com o facto de o URL do S3 poder ainda estar acessível diretamente e de os pedidos poderem contornar a distribuição do CloudFront
A. tivar o Amazon Macie para que o Secunty H jb permita ao Detetive processar os resultados do Macie
B. esativar a encriptação do IAM Key Management Service (IAM KMS) nos registos do CtoudTrail em todas as contas de membros da organização
C. tivar o Amazon GuardDuty em todas as contas de membros Tentar ativar o Detetive em 48 horas
D. Certifique-se de que o diretor que lança o Detetive tem a permissão ListAccounts da organização
Ver resposta
Resposta correta: AD
Pergunta #13
Uma empresa está a criar uma aplicação de processamento de dados que utiliza funções AWS Lambda. As funções Lambda da aplicação precisam de comunicar com uma instância Amazon RDS OB que está implementada numa VPC na mesma conta AWS
A. onfigurar a instância de BD para permitir o acesso público Atualizar o grupo de segurança da instância de BD para permitir o acesso a partir do espaço de endereço público do Lambda para a região AWS
B. Implantar as funções do Lambda dentro da VPC Anexar uma ACL de rede à sub-rede do Lambda Fornecer acesso de regra de saída apenas ao intervalo CIDR da VPC Atualizar o grupo de segurança da instância do BD para permitir o tráfego de 0 0 0
C. Implantar as funções do Lambda dentro da VPC Anexar um grupo de segurança às funções do Lambda Fornecer acesso de regra de saída apenas ao intervalo CIDR da VPC Atualizar o grupo de segurança da instância de BD para permitir o tráfego do grupo de segurança do Lambda
D. Colocar em pares a VPC predefinida do Lambda com a VPC que aloja a instância de BD para permitir o acesso direto à rede sem a necessidade de grupos de segurança
Ver resposta
Resposta correta: C
Pergunta #14
Uma empresa utiliza um fornecedor de identidade externo para permitir a federação em diferentes contas IAM. Um engenheiro de segurança da empresa precisa de identificar o utilizador federado que encerrou uma instância de produção do Amazon EC2 há uma semana. Qual é a forma MAIS RÁPIDA de o engenheiro de segurança identificar o utilizador federado?
A. nalise os registos do histórico de eventos do IAM CloudTrail num bucket do Amazon S3 e procure o evento Terminatelnstances para identificar o utilizador federado a partir do nome da sessão de função
B. iltre o histórico de eventos do IAM CloudTrail para o evento Terminatelnstances e identifique a função de IAM assumida
C. esquise os logs do IAM CloudTrail para o evento Terminatelnstances e anote a hora do evento
D. Use o Amazon Athena para executar uma consulta SQL nos logs do IAM CloudTrail armazenados em um bucket do Amazon S3 e filtre o evento Terminatelnstances
Ver resposta
Resposta correta: B
Pergunta #15
Uma empresa implementou o Amazon GuardDuty na região us-east-1. A empresa pretende que todos os registos DNS relacionados com as instâncias Amazon EC2 da empresa sejam inspeccionados. O que deve fazer um engenheiro de segurança para garantir que as instâncias EC2 são registadas?
A. Utilizar endereços IPv6 configurados para nomes de anfitriões
B. Configurar resolvedores de DNS externos como resolvedores internos que são visíveis apenas para o IAM
C. tilizar resolvedores de DNS do IAM para todas as instâncias EC2
D. onfigurar um resolvedor de DNS de terceiros com registo para todas as instâncias EC2
Ver resposta
Resposta correta: C
Pergunta #16
Uma empresa está a utilizar uma chave pertencente ao AWS Key Management Service (AWS KMS) na sua aplicação para encriptar ficheiros numa conta AWS A equipa de segurança da empresa pretende ter a capacidade de mudar para um novo material de chave para novos ficheiros sempre que ocorra uma potencial violação da chave Um engenheiro de segurança tem de implementar uma solução que dê à equipa de segurança a capacidade de mudar a chave sempre que a equipa o pretenda fazer
A. riar uma nova chave gerida pelo cliente Adicionar um programa de rotação de chaves à chave Invocar o programa de rotação de chaves sempre que a equipa de segurança solicitar uma alteração de chave
B. riar uma nova chave gerida pelo AWS Adicionar um calendário de rotação de chaves à chave Invocar o calendário de rotação de chaves sempre que a equipa de segurança solicitar uma alteração de chave
C. riar um alias de chave Criar uma nova chave gerida pelo cliente sempre que a equipa de segurança solicitar uma alteração de chave Associar o alias à nova chave
D. riar um alias de chave Criar uma nova chave gerida pela AWS sempre que a equipa de segurança solicitar uma alteração de chave Associar o alias à nova chave
Ver resposta
Resposta correta: A
Pergunta #17
Uma empresa implementou o IAM WAF e o Amazon CloudFront para uma aplicação. A aplicação é executada em instâncias do Amazon EC2 que fazem parte de um grupo de Escalonamento Automático. O grupo Auto Scaling está por trás de um Application Load Balancer (ALB). A ACL da Web do IAM WAF usa um grupo de regras IAM Managed Rules e está associada à distribuição do CloudFront. O CloudFront recebe o pedido do IAM WAF e, em seguida, utiliza o ALB como origem da distribuição. Durante uma análise de segurança, um engenheiro de segurança descobre que a infraestrutura
A. onfigure a distribuição do CloudFront para usar o recurso Lambda@Edge
B. Configurar a ACL Web do IAM WAF de modo a que a ACL Web tenha mais unidades de capacidade para processar todas as regras do IAM WAF mais rapidamente
C. onfigurar o IAM WAF com uma regra baseada em taxa que impõe um limite de taxa que bloqueia automaticamente os pedidos quando o limite de taxa é excedido
D. Configure a distribuição do CloudFront para usar o IAM WAF como sua origem em vez do ALB
Ver resposta
Resposta correta: C
Pergunta #18
Uma empresa desenvolveu uma nova aplicação de base de dados Amazon RDS. A empresa tem de proteger as credenciais da base de dados ROS para encriptação em trânsito e encriptação em repouso. A empresa também tem de rodar as credenciais automaticamente numa base regular. Que solução cumpre estes requisitos?
A. Utilize o Armazenamento de Parâmetros do Gestor de Sistemas IAM para armazenar as credenciais da base de dados
B. Utilizar o Gestor de Segredos do IAM para armazenar as credenciais da base de dados
C. rmazenar as credenciais da base de dados num bucket do Amazon S3 configurado com encriptação do lado do servidor com chaves de encriptação geridas pelo S3 (SSE-S3) Rodar as credenciais com autenticação da base de dados IAM
D. rmazenar as credenciais da base de dados no Amazon S3 Glacier e utilizar o S3 Glacier Vault Lock Configurar uma função IAM Lambda para rodar as credenciais numa base programada
Ver resposta
Resposta correta: A
Pergunta #19
O engenheiro de segurança de uma empresa pretende receber um alerta por correio eletrónico sempre que o Amazon GuardDuty, o AWS Identity and Access Management Access Analyzer ou o Amazon Made geram uma descoberta de segurança de elevada gravidade. A empresa utiliza a AWS Control Tower para gerir todas as suas contas. A empresa também usa o AWS Security Hub com todas as integrações de serviço do AWS ativadas. Qual solução atenderá a esses requisitos com o MENOR custo operacional?
A. onfigure funções AWS Lambda separadas para GuardDuty, 1AM Access Analyzer e Macie para chamar a API pública de cada serviço para recuperar descobertas de alta gravidade
B. rie uma regra do Amazon EventBridge com um padrão que corresponda a eventos de descobertas do Security Hub com alta gravidade
C. Crie uma regra do Amazon EventBridge com um padrão que corresponda a eventos da Torre de Controle da AWS com alta gravidade
D. ospedar um aplicativo no Amazon EC2 para chamar as APIs GuardDuty, 1AM Access Analyzer e Macie
Ver resposta
Resposta correta: B
Pergunta #20
Uma empresa está a criar uma aplicação de processamento de dados que utiliza funções AWS Lambda. As funções Lambda da aplicação precisam de comunicar com uma instância OB do Amazon RDS que está implementada num VPC na mesma conta AWS. Qual é a solução que cumpre estes requisitos da forma MAIS segura?
A. onfigurar a instância de BD para permitir o acesso público Atualizar o grupo de segurança da instância de BD para permitir o acesso a partir do espaço de endereço público do Lambda para a região AWS
B. Implantar as funções do Lambda dentro da VPC Anexar uma ACL de rede à sub-rede do Lambda Fornecer acesso de regra de saída apenas ao intervalo CIDR da VPC Atualizar o grupo de segurança da instância do BD para permitir o tráfego de 0
C. Implantar as funções do Lambda dentro da VPC Anexar um grupo de segurança às funções do Lambda Fornecer acesso de regra de saída apenas ao intervalo CIDR da VPC Atualizar o grupo de segurança da instância de BD para permitir o tráfego do grupo de segurança do Lambda
D. Colocar em pares a VPC predefinida do Lambda com a VPC que aloja a instância de BD para permitir o acesso direto à rede sem a necessidade de grupos de segurança
Ver resposta
Resposta correta: C
Pergunta #21
Uma empresa armazena documentos confidenciais no Amazon S3 utilizando encriptação do lado do servidor com uma CMK do IAM Key Management Service (IAM KMS). Um novo requisito obriga a que a CMK utilizada para estes documentos possa ser utilizada apenas para acções S3. Que declaração deve a empresa adicionar à política de chaves para cumprir este requisito?
A.
B.
Ver resposta
Resposta correta: A
Pergunta #22
Uma empresa criou uma conta IAM para os seus programadores utilizarem para fins de teste e aprendizagem Uma vez que a conta MM será partilhada entre várias equipas de programadores, a empresa pretende restringir a capacidade de parar e terminar instâncias do Amazon EC2 para que uma equipa possa executar estas acções apenas nas instâncias que possui
A. ara cada equipa, crie uma política de AM semelhante à dos colegas Preencha a chave de condição ec2:ResourceTag/Team com um nome de equipa adequado Anexe as políticas resultantes às funções de IAM correspondentes
B. Para cada equipa, crie uma política de IAM semelhante à seguinte Preencha a chave de condição TagKeys/Team do IAM com um nome de equipa adequado
C. arcar cada função do IAM com uma chave de atraso de equipa e utilizar o nome da equipa no valor da etiqueta
D. arcar cada função do IAM com a chave Team e utilizar o nome da equipa no valor da marca
Ver resposta
Resposta correta: A
Pergunta #23
A sua empresa está a planear utilizar bastion hosts para administrar os servidores no IAM. Qual das seguintes opções é a melhor descrição de um bastion host do ponto de vista da segurança?
A. Um host Bastion deve estar em uma sub-rede privada e nunca em uma sub-rede pública devido a questões de segurança
B. Um anfitrião Bastion situa-se no exterior de uma rede interna e é utilizado como porta de entrada para a rede privada, sendo considerado o ponto forte crítico da rede
C. Os anfitriões Bastion permitem que os utilizadores iniciem sessão utilizando RDP ou SSH e utilizem essa sessão para entrar na rede interna para aceder a recursos de sub-rede privada
D. O anfitrião do Bastião deve manter uma segurança e um controlo extremamente apertados, uma vez que está disponível ao público
Ver resposta
Resposta correta: C
Pergunta #24
A sua empresa tem um conjunto de instâncias EC2 definidas no IAM. Essas instâncias EC2 têm grupos de segurança rigorosos associados a elas. É necessário garantir que as alterações aos grupos de segurança são registadas e que se age em conformidade. Como é que pode conseguir isto?
A. Use os logs do Cloudwatch para monitorar a atividade nos grupos de segurança
B. Use as métricas do Cloudwatch para monitorar a atividade nos grupos de segurança
C. Utilize o inspetor IAM para monitorizar a atividade nos grupos de segurança
D. Use os eventos do Cloudwatch para serem acionados para quaisquer alterações nos grupos de segurança
Ver resposta
Resposta correta: D
Pergunta #25
Uma empresa gerencia várias contas do IAM usando Organizações do IAM. A equipe de segurança da empresa percebe que algumas contas de membros não estão enviando logs do IAM CloudTrail para um bucket de logs centralizado do Amazon S3. A equipe de segurança deseja garantir que haja pelo menos uma trilha configurada (para todas as contas existentes e para qualquer conta que seja criada no futuro)
A. rie uma nova trilha e configure-a para enviar logs do CloudTrail para o Amazon S3
B. Implementar uma função IAM Lambda em cada conta para verificar se existe um rasto e criar um novo rasto, se necessário
C. ditar o rasto existente na conta principal das Organizações e aplicá-lo à organização
D. riar um SCP para negar as acções cloudtrail:Delete" e cloudtrail:Stop\'
Ver resposta
Resposta correta: C
Pergunta #26
Uma empresa precisa de utilizar HTTPS quando se liga às suas aplicações Web para cumprir os requisitos de conformidade. Estas aplicações Web são executadas no Amazon VPC em instâncias do Amazon EC2 por trás de um Application Load Balancer (ALB). Um engenheiro de segurança quer garantir que o balanceador de carga só aceite conexões pela porta 443, mesmo que o ALB seja configurado por engano com um ouvinte HTTP
A. riar um grupo de segurança com uma regra que negue ligações de entrada a partir de 0
B. riar uma ACL de rede que negue conexões de entrada de 0 0
C. riar uma ACL de rede que permita conexões de saída para o intervalo de IPs da VPC somente na porta 443
D. Crie um grupo de segurança com uma única regra de entrada que permita conexões de 0
Ver resposta
Resposta correta: D
Pergunta #27
Uma auditoria de segurança recente descobriu que os registos do IAM CloudTrail não estão suficientemente protegidos contra adulteração e acesso não autorizado (Selecione TRÊS )
A. tualizar as regras do WAF do IAM na conta afetada e utilizar o Gestor de Firewall do IAM para enviar as regras actualizadas do WAF do IAM para todas as outras contas
B. Utilizar o registo centralizado do GuardDuty e o Amazon SNS para configurar alertas para notificar todas as equipas de aplicações sobre incidentes de segurança
C. Use os alertas do GuardDuty para escrever uma função IAM Lambda que atualiza todas as contas adicionando NACLs adicionais nas instâncias do Amazon EC2 para bloquear endereços IP maliciosos conhecidos
D. Use o IAM Shield Advanced para identificar ameaças em cada conta individual e, em seguida, aplique as proteções baseadas em conta a todas as outras contas por meio de Organizações
Ver resposta
Resposta correta: ADE
Pergunta #28
Um engenheiro de segurança precisa de criar uma solução para voltar a ativar o IAM CloudTrail em várias regiões do IAM, caso este seja desligado
A. Utilize o IAM Config com uma regra gerida para acionar a remediação IAM-EnableCloudTrail
B. rie um evento Amazon EventBridge (Eventos do Amazon CloudWatch) com uma fonte de eventos cloudtrail
C. rie um alarme do Amazon CloudWatch com uma fonte de evento cloudtrail
D. onitorar o IAM Trusted Advisor para garantir que o registro do CloudTrail esteja ativado
Ver resposta
Resposta correta: B
Pergunta #29
Uma empresa planeia utilizar o AWS Key Management Service (AWS KMS) para implementar uma estratégia de encriptação para proteger os dados em repouso. A empresa requer criptografia do lado do cliente para projetos da empresa. A empresa está atualmente a realizar vários projectos para testar a utilização do AWS KMS pela empresa. Esses testes levaram a um aumento repentino no consumo de recursos do AWS da empresa. Os projectos de teste incluem aplicações que emitem vários pedidos por segundo aos pontos finais do KMS para actividades de encriptação
A. tilizar chaveiros com o AWS Encryption SDK
B. tilizar o cache de chaves de dados
C. Utilizar a rotação de chaves KMS
D. Utilizar chaveiros com o AWS Encryption SDK
Ver resposta
Resposta correta: B
Pergunta #30
Uma empresa implementa um conjunto de funções de IAM padrão em contas do AWS. As funções de IAM são baseadas em funções de trabalho dentro da empresa. Para equilibrar a eficiência operacional e a segurança, um engenheiro de segurança implementou SCPs de organizações da AWS para restringir o acesso a serviços de segurança críticos em todas as contas da empresa. Todas as contas e UOs da empresa nas organizações da AWS têm um SCP FullAWSAccess padrão anexado. O engenheiro de segurança precisa de garantir que ninguém pode desativar o Amazon GuardDuty e o AWS Security Hu
A. pção
B. pção
C. pção
D. Opção D
Ver resposta
Resposta correta: A
Pergunta #31
Uma empresa está a utilizar as Organizações IAM para desenvolver uma estratégia de rede segura com várias contas. A empresa planeia utilizar contas separadas geridas centralmente para serviços partilhados, auditoria e inspeção de segurança. A política de segurança da empresa exige que todo o tráfego da Internet seja encaminhado através de uma camada de inspeção de segurança gerida centralmente na conta de inspeção de segurança. Um engenheiro de segurança
A. rie uma política de IAM que proíba alterações na trilha específica do CloudTrail e aplique a política ao usuário raiz da conta de IAM
B. rie uma política de bucket S3 na conta de destino especificada para a trilha do CloudTrail que proíba alterações de configuração do usuário raiz da conta IAM na conta de origem
C. Crie um SCP que proíba alterações na trilha específica do CloudTrail e aplique o SCP à unidade organizacional ou conta apropriada em Organizações
D. rie uma política de IAM que proíba alterações na trilha específica do CloudTrail e aplique a política a um novo grupo de IAM
Ver resposta
Resposta correta: C
Pergunta #32
A conta IAM de uma empresa é composta por cerca de 300 utilizadores IAM. Agora, é necessário alterar o acesso de 100 utilizadores IAM para que tenham privilégios ilimitados no S3. Como administrador do sistema, como pode implementar isto de forma eficaz para que não seja necessário aplicar a política ao nível do utilizador individual?
A. riar uma nova função e adicionar cada utilizador à função IAM
B. Utilizar os grupos IAM e adicionar utilizadores, com base na sua função, a diferentes grupos e aplicar a política ao grupo
C. riar uma política e aplicá-la a vários utilizadores utilizando um script JSON
D. riar uma política de bucket S3 com acesso ilimitado que inclua o ID da conta IAM de cada utilizador
Ver resposta
Resposta correta: B
Pergunta #33
Uma empresa gerencia várias contas do IAM usando Organizações do IAM. A equipe de segurança da empresa percebe que algumas contas de membros não estão enviando logs do IAM CloudTrail para um bucket de logs centralizado do Amazon S3. A equipe de segurança deseja garantir que haja pelo menos uma trilha configurada (para todas as contas existentes e para qualquer conta que seja criada no futuro)
A. rie uma nova trilha e configure-a para enviar logs do CloudTrail para o Amazon S3
B. Implementar uma função IAM Lambda em cada conta para verificar se existe um rasto e criar um novo rasto, se necessário
C. ditar o rasto existente na conta principal das Organizações e aplicá-lo à organização
D. riar um SCP para negar as acções cloudtrail:Delete" e cloudtrail:Stop\'
Ver resposta
Resposta correta: C
Pergunta #34
Um Engenheiro de Segurança foi incumbido de ativar o IAM Security Hub para monitorizar as instâncias do Amazon EC2 e fixar o CVE numa única conta do IAM. O Engenheiro já activou o IAM Security Hub e o Amazon Inspetor na Consola de Gestão do IAM e instalou o agente do Amazon Inspetor nas instâncias do EC2 que precisam de ser monitorizadas
A. onfigurar o agente inspetor da Amazon para utilizar o pacote de regras CVE
B. onfigurar o agente do Amazon Inspetor para utilizar o pacote de regras CVE Configurar o Hub de Segurança para ingerir a partir do inspetor IAM, escrevendo uma política de recursos personalizada
C. onfigurar o agente do Hub de Segurança para utilizar o pacote de regras CVE Configurar a ingestão do Inspetor IAM a partir do Hub de Segurança, escrevendo uma política de recursos personalizada
D. onfigurar o agente do Amazon Inspetor para utilizar o pacote de regras CVE Instalar uma biblioteca de integração adicional Permitir que o agente do Amazon Inspetor comunique com o Hub de Segurança
Ver resposta
Resposta correta: D
Pergunta #35
O seu CTO está muito preocupado com a segurança da sua conta IAM. Qual a melhor forma de evitar que os hackers sequestrem completamente a sua conta?
A. Utilizar uma palavra-passe curta mas complexa na conta de raiz e em todos os administradores
B. Utilize o Geo-Lock do IAM IAM e não permita que ninguém inicie sessão, exceto os da sua cidade
C. tilizar a MFA em todos os utilizadores e contas, especialmente na conta raiz
D. Não escreva nem se lembre da palavra-passe da conta de raiz depois de criar a conta IAM
Ver resposta
Resposta correta: C
Pergunta #36
Um Engenheiro de Segurança foi incumbido de ativar o IAM Security Hub para monitorizar as instâncias do Amazon EC2 e fixar o CVE numa única conta do IAM. O Engenheiro já activou o IAM Security Hub e o Amazon Inspetor na Consola de Gestão do IAM e instalou o agente do Amazon Inspetor nas instâncias do EC2 que precisam de ser monitorizadas
A. onfigurar o agente inspetor da Amazon para utilizar o pacote de regras CVE
B. onfigurar o agente do Amazon Inspetor para utilizar o pacote de regras CVE Configurar o Hub de Segurança para ingerir a partir do inspetor IAM, escrevendo uma política de recursos personalizada
C. onfigurar o agente do Hub de Segurança para utilizar o pacote de regras CVE Configurar a ingestão do Inspetor IAM a partir do Hub de Segurança, escrevendo uma política de recursos personalizada
D. onfigurar o agente do Amazon Inspetor para utilizar o pacote de regras CVE Instalar uma biblioteca de integração adicional Permitir que o agente do Amazon Inspetor comunique com o Hub de Segurança
Ver resposta
Resposta correta: D
Pergunta #37
Um administrador de segurança está a configurar uma nova conta AWS. O administrador de segurança quer proteger os dados que uma empresa armazena num bucket do Amazon S3. O administrador de segurança também pretende reduzir a possibilidade de exposição não intencional de dados e o potencial de configuração incorrecta de objectos que se encontram no balde S3
A. onfigurar a criptografia do lado do servidor S3
B. onfigurar a criptografia do lado do servidor S3
C. Configurar o controle de versão do S3
D. Configurar as Notificações de Eventos do S3 e usar a criptografia do lado do servidor do S3
Ver resposta
Resposta correta: D
Pergunta #38
Um engenheiro de segurança está verificando um modelo do AWS CloudFormation em busca de vulnerabilidades. O engenheiro de segurança encontra um parâmetro que tem um valor padrão que expõe a chave de API de um aplicativo em texto simples. O parâmetro é referenciado várias vezes em todo o modelo. O engenheiro de segurança deve substituir o parâmetro enquanto mantém a capacidade de referenciar o valor no modelo. Qual solução atenderá a esses requisitos da maneira MAIS segura?
A. rmazene o valor da chave da API como um parâmetro SecureString no AWS Systems Manager Parameter Store
B. rmazene o valor da chave da API no AWS Secrets Manager
C. rmazenar o valor da chave da API no Amazon DynamoDB
D. Armazene o valor da chave da API em um novo bucket do Amazon S3
E. resolve
Ver resposta
Resposta correta: B
Pergunta #39
Uma organização tem de estabelecer a capacidade de eliminar uma chave mestra de cliente (CMK) do IAM KMS num período de 24 horas para impedir que seja utilizada para operações de encriptação ou desencriptação
A. Rodar manualmente uma chave no KMS para criar imediatamente um novo CMK
B. Utilizar a funcionalidade de importação de chaves do KMS para executar uma operação de eliminação de chaves
C. Utilizar a função de programação da eliminação de chaves no KMS para especificar o período mínimo de espera para a eliminação
D. Alterar o alias do CMK do KMS para impedir imediatamente que quaisquer serviços utilizem o CMK
Ver resposta
Resposta correta: C
Pergunta #40
Uma equipa de aplicações pretende utilizar o IAM Certificate Manager (ACM) para solicitar certificados públicos para garantir a segurança dos dados em trânsito. Os domínios que estão a ser utilizados não estão atualmente alojados no Amazon Route 53A equipa de aplicações pretende utilizar uma solução de distribuição e armazenamento em cache gerida pelo IAM para otimizar os pedidos aos seus sistemas e fornecer melhores pontos de presença aos clientes A solução de distribuição utilizará um nome de domínio primário que é personalizado A solução de distribuição também utilizará vários nomes de domínio alternativos
A.
B.
C.
Ver resposta
Resposta correta: CDF
Pergunta #41
Uma empresa tem dois VPCs na mesma região do AWS e na mesma conta do AWS Cada VPC usa um bloco CIDR que não se sobrepõe ao bloco CIDR do outro VPC Um VPC contém funções do AWS Lambda que são executadas dentro de uma sub-rede que acessa a Internet por meio de um gateway NAT. As funções Lambda requerem acesso a uma base de dados MySQL do Amazon Aurora acessível ao público que está a ser executada na outra VPCA O engenheiro de segurança determina que a base de dados Aurora utiliza uma regra de grupo de segurança que permite ligações a partir da rede N
A. Mover a base de dados Aurora para uma sub-rede privada que não tenha rotas de acesso à Internet na VPC atual da base de dados Configurar as funções Lambda para utilizar o novo endereço IP privado da base de dados Aurora para aceder à base de dados Configurar o grupo de segurança das bases de dados Aurora para permitir o acesso a partir dos endereços IP privados das funções Lambda
B. Estabelecer um ponto de extremidade VPC entre as duas VPCs na VPC da base de dados Aurora Configurar um ponto de extremidade VPC de serviço para o Amazon RDS Na VPC das funções Lambda, configurar um ponto de extremidade VPC de interface que utilize o ponto de extremidade de serviço na VPC da base de dados Aurora Configurar o ponto de extremidade de serviço para permitir ligações a partir das funções Lambda
C. Estabelecer uma interface AWS Direct Connect entre as VPCs Configurar as funções Lambda para utilizar uma nova tabela de rotas que acede à base de dados Aurora através da interface Direct Connect Configurar o grupo de segurança da base de dados Aurora para permitir o acesso a partir do endereço IP da interface Direct Connect
D. over as funções Lambda para uma sub-rede pública na sua VPC Mover a base de dados Aurora para uma sub-rede privada na sua VPC Configurar as funções Lambda para utilizarem o novo endereço IP privado da base de dados Aurora para acederem à base de dados Configurar a base de dados Aurora para permitir o acesso a partir dos endereços IP públicos das funções Lambda
Ver resposta
Resposta correta: B
Pergunta #42
Um administrador de sistemas não consegue iniciar uma instância do Amazon EC2 na região eu-west-1 usando uma função de IAM O mesmo administrador de sistemas consegue iniciar uma instância do EC2 nas regiões eu-west-2 e eu- west-3. A política de acesso IAMSystemAdministrator anexada à função IAM System Administrator permite o acesso incondicional a todos os serviços e recursos do IAM na conta
A. É anexado um SCP à conta com a seguinte declaração de permissão:
B. Uma política de limite de permissão é anexada à função Administrador do sistema com a seguinte declaração de permissão:
C. ma fronteira de permissão é anexada à função Administrador do sistema com a seguinte declaração de permissão:
D. m SCP é anexado à conta com a seguinte declaração:
Ver resposta
Resposta correta: B
Pergunta #43
Uma empresa implementou Organizações IAM para ajudar a gerir o seu número crescente de contas IAM. Um engenheiro de segurança quer garantir que apenas os diretores na estrutura da organização possam acessar um bucket específico do Amazon S3. A solução também deve minimizar a sobrecarga operacional. Qual solução atenderá a esses requisitos?
A. Coloque todos os utilizadores num grupo IAM com uma política de acesso que conceda acesso ao balde J
B. Fazer com que a criação da conta accione uma função IAM Lambda que gere a política de compartimentos, permitindo o acesso apenas às contas listadas na política
C. dicione um SCP à conta mestre das Organizações, permitindo que todos os diretores acessem o bucket
D. specificar o ID da organização no elemento de condição de chave global de uma política de compartimento, permitindo o acesso de todos os mandantes
Ver resposta
Resposta correta: D
Pergunta #44
Uma empresa armazena imagens para um site num bucket do Amazon S3. A empresa está a utilizar o Amazon CloudFront para fornecer as imagens aos utilizadores finais. A empresa descobriu recentemente que as imagens estão a ser acedidas a partir de países onde a empresa não tem uma licença de distribuição. Que acções deve a empresa tomar para proteger as imagens e limitar a sua distribuição? (Seleccione DUAS.)
A. nalisar um relatório de utilização do IAM Identity and Access Management (IAM) do IAM Trusted Advisor para ver quando é que a chave de acesso foi utilizada pela última vez
B. Analisar os registos do Amazon CloudWatch em busca de atividade, procurando a chave de acesso
C. Analisar os registos de fluxo da VPC em busca de atividade, procurando a chave de acesso
D. Analisar um relatório de credenciais no IAM Identity and Access Management (IAM) para ver quando é que a chave de acesso foi utilizada pela última vez
Ver resposta
Resposta correta: AC
Pergunta #45
O seu CTO pensa que a sua conta IAM foi pirateada. Qual é a única forma de saber com certeza se houve acesso não autorizado e o que fizeram, partindo do princípio que os piratas informáticos são engenheiros IAM muito sofisticados e que estão a fazer tudo o que podem para encobrir os seus rastos?
A. Utilizar a validação da integridade do ficheiro de registo do CloudTrail
B. Utilizar assinaturas SNS do IAM Config e processar eventos em tempo real
C. Utilizar o CloudTrail com cópia de segurança para o IAM S3 e Glacier
D. Utilizar a análise forense da linha de tempo do IAM Config
Ver resposta
Resposta correta: A
Pergunta #46
Uma empresa está a utilizar uma chave pertencente ao AWS Key Management Service (AWS KMS) na sua aplicação para encriptar ficheiros numa conta AWS A equipa de segurança da empresa pretende ter a capacidade de mudar para um novo material de chave para novos ficheiros sempre que ocorra uma potencial violação da chave Um engenheiro de segurança tem de implementar uma solução que dê à equipa de segurança a capacidade de mudar a chave sempre que a equipa o pretenda fazer
A. riar uma nova chave gerida pelo cliente Adicionar um programa de rotação de chaves à chave Invocar o programa de rotação de chaves sempre que a equipa de segurança solicitar uma alteração de chave
B. riar uma nova chave gerida pelo AWS Adicionar um calendário de rotação de chaves à chave Invocar o calendário de rotação de chaves sempre que a equipa de segurança solicitar uma alteração de chave
C. riar um alias de chave Criar uma nova chave gerida pelo cliente sempre que a equipa de segurança solicitar uma alteração de chave Associar o alias à nova chave
D. riar um alias de chave Criar uma nova chave gerida pela AWS sempre que a equipa de segurança solicitar uma alteração de chave Associar o alias à nova chave
Ver resposta
Resposta correta: A
Pergunta #47
Um engenheiro de segurança activou o Hub de Segurança IAM na sua conta IAM e activou a norma de conformidade Center for Internet Security (CIS) IAM Foundations. Após várias horas, não são devolvidos quaisquer resultados de avaliação da conformidade na consola do Hub de Segurança. O engenheiro pretende garantir que o Hub de Segurança pode avaliar os seus recursos relativamente à conformidade com o CIS IAM Foundations
A. dicione permissões completas de IAM do Amazon Inspetor à função de serviço do Hub de Segurança para permitir que este efectue a avaliação de conformidade do CIS
B. Certifique-se de que o Trusted Advisor do IAM está ativado na conta e que a função de serviço do Hub de Segurança tem permissões para recuperar as acções recomendadas relacionadas com a segurança do Trusted Advisor
C. ertifique-se de que o IAM Config
D. Certifique-se de que o rasto correto no IAM CloudTrail foi configurado para monitorização pelo Hub de Segurança e que a função de serviço do Hub de Segurança tem permissões para executar a operação GetObject no balde Amazon S3 do CloudTrails
Ver resposta
Resposta correta: C
Pergunta #48
Uma empresa pretende remover permanentemente todas as chaves SSH de um subconjunto específico das suas instâncias Amazon Linux 2 Amazon EC2 que estão a utilizar o mesmo perfil de instância 1AM. No entanto, três indivíduos que têm contas de utilizador IAM terão de aceder a estas instâncias utilizando uma sessão SSH para realizar tarefas críticas
A. tribuir uma política 1AM ao perfil da instância para permitir que as instâncias EC2 sejam geridas pelo AWS Systems Manager Fornecer as contas de utilizador 1AM com permissão para utilizar o Systems Manager Remover as chaves SSH das instâncias EC2 Utilizar o Inventário do Systems Manager para selecionar a instância EC2 e ligar
B. tribuir uma política 1AM às contas de utilizador 1AM para fornecer permissão para utilizar o AWS Systems Manager Comando de execução Remover as chaves SSH das instâncias EC2 Utilizar o Comando de execução para abrir uma ligação SSH à instância EC2
C. tribuir uma política 1AM ao perfil da instância para permitir que as instâncias EC2 sejam geridas pelo AWS Systems Manager Fornecer as contas de utilizador 1AM com permissão para utilizar o Systems Manager Remover as chaves SSH das instâncias EC2 Utilizar o Gestor de Sessões do Systems Manager para selecionar a instância EC2 e ligar
D. tribuir uma política 1AM às contas de utilizador 1AM para fornecer permissão para utilizar o serviço EC2 na Consola de Gestão AWS Remover as chaves SSH das instâncias EC2 Ligar à instância EC2 como utilizador ec2 através do método de cliente SSH EC2 da Consola de Gestão AWS
Ver resposta
Resposta correta: C
Pergunta #49
Uma equipa de aplicações solicitou uma nova chave mestra IAM KMS para utilização com o Amazon S3, mas a política de segurança organizacional exige chaves mestras separadas para diferentes serviços IAM para limitar o raio de explosão
A. onfigurar a política de chave CMK para permitir que apenas o serviço Amazon S3 utilize a ação kms Encrypt
B. Configurar a política de chave CMK para permitir acções IAM KMS apenas quando a condição kms ViaService corresponder ao nome do serviço Amazon S3
C. onfigurar a política do utilizador IAM para permitir que o KMS transmita uma rota para o Amazon S3
D. onfigurar a política do utilizador IAM para permitir apenas operações do Amazon S3 quando estas são combinadas com o CMK
Ver resposta
Resposta correta: B
Pergunta #50
Uma empresa está a executar cargas de trabalho numa única conta IAM em instâncias do Amazon EC2 e clusters do Amazon EMR. Uma auditoria de segurança recente revelou que vários volumes e instantâneos do Amazon Elastic Block Store (Amazon EBS) não estão encriptados. O engenheiro de segurança da empresa está a trabalhar numa solução que permitirá aos utilizadores implementar instâncias do EC2 e clusters do EMR, garantindo ao mesmo tempo que todos os novos volumes EBS e instantâneos EBS são encriptados em repouso. A solução também deve minimizar a sobrecarga operacional
A. Criar um evento Amazon Event Bridge (Amazon Cloud watch Events) com uma instância EC2 como fonte e criar volume como acionador do evento
B. Utilize uma política de IAM gerida pelo cliente que verifique se o sinalizador de encriptação do contexto Criar volume está definido como verdadeiro
C. Crie uma regra de configuração do IAM para avaliar a configuração de cada instância do EC2 na criação ou modificação
D. Utilize a Consola de Gestão de IAM ou o IAM CLi para ativar a encriptação por predefinição para volumes EBS em cada Região de IAM onde a empresa opera
Ver resposta
Resposta correta: D
Pergunta #51
Uma empresa tem duas equipas e cada uma delas precisa de aceder aos respectivos buckets do Amazon S3. A empresa prevê adicionar mais equipas que também terão os seus próprios buckets S3. Quando a empresa adicionar estas equipas, os membros da equipa precisarão da capacidade de serem atribuídos a várias equipas. Os membros da equipa também precisarão da capacidade de mudar de equipa. Podem ser criados ou eliminados mais baldes S3. Um administrador do IAM tem de conceber uma solução para atingir estes objectivos. A solução também deve ser escalável e deve exigir o mínimo de
A. Adicionar utilizadores a grupos que representem as equipas
B. riar uma função de IAM para cada equipa
C. Crie funções do IAM que são rotuladas com um valor de etiqueta de acesso de uma equipa
D. mplementar um modelo de autorização de controlo de acesso baseado em funções (RBAC)
Ver resposta
Resposta correta: A
Pergunta #52
Uma equipa de desenvolvimento está a utilizar um CMK do IAM Key Management Service (IAM KMS) para tentar encriptar e desencriptar um parâmetro de cadeia de caracteres seguro do Armazenamento de Parâmetros do IAM Systems Manager. No entanto, a equipa de desenvolvimento recebe uma mensagem de erro em cada tentativa. Quais são os problemas relacionados com a CMK que podem estar na origem do erro? (Seleccione DOIS.)
A. tivar o Amazon GuardDuty em todas as regiões
B. tilizar uma organização em Organizações do IAM
C. rovisione recursos EC2 usando modelos de formação de nuvem do IAM por meio do CodePipeline do IAM
D. riar uma regra de configuração do IAM para impedir actividades não autorizadas fora de us-east-1 e us-west-2
Ver resposta
Resposta correta: AD
Pergunta #53
A conta IAM de uma empresa é composta por cerca de 300 utilizadores IAM. Agora, é necessário alterar o acesso de 100 utilizadores IAM para que tenham privilégios ilimitados no S3. Como administrador do sistema, como pode implementar isto de forma eficaz para que não seja necessário aplicar a política ao nível do utilizador individual?
A. riar uma nova função e adicionar cada utilizador à função IAM
B. Utilizar os grupos IAM e adicionar utilizadores, com base na sua função, a diferentes grupos e aplicar a política ao grupo
C. riar uma política e aplicá-la a vários utilizadores utilizando um script JSON
D. riar uma política de bucket S3 com acesso ilimitado que inclua o ID da conta IAM de cada utilizador
Ver resposta
Resposta correta: B
Pergunta #54
O engenheiro de segurança de uma empresa foi incumbido de restringir o acesso da conta IAM de um contratante à consola Amazon EC2 da empresa sem fornecer acesso a quaisquer outros serviços IAM. A conta IAM do contratante não deve poder obter acesso a qualquer outro serviço IAM, mesmo que lhe tenham sido atribuídas permissões adicionais com base na pertença a um grupo IAM
A. riar uma política de utilizador IAM mime que permita o acesso ao Amazon EC2 para o utilizador IAM do contratante
B. riar uma política de limite de permissões de IAM que permita o acesso ao Amazon EC2 Associar a conta de IAM do contratante com a política de limite de permissões de IAM
C. riar um grupo IAM com uma política anexada que permita o acesso ao Amazon EC2 Associar a conta IAM do contratante ao grupo IAM
D. Criar uma função de IAM que permita o EC2 e negue explicitamente todos os outros serviços Instruir o contratante a assumir sempre essa função
Ver resposta
Resposta correta: B
Pergunta #55
Um administrador de segurança está a configurar uma nova conta AWS. O administrador de segurança quer proteger os dados que uma empresa armazena num bucket do Amazon S3. O administrador de segurança também pretende reduzir a possibilidade de exposição não intencional de dados e o potencial de configuração incorrecta de objectos que se encontram no balde S3
A. onfigurar a criptografia do lado do servidor S3
B. onfigurar a criptografia do lado do servidor S3
C. Configurar o controle de versão do S3
D. Configurar as Notificações de Eventos do S3 e usar a criptografia do lado do servidor do S3
Ver resposta
Resposta correta: D
Pergunta #56
É necessário criar uma política e aplicá-la apenas a um utilizador individual. Como é que pode fazer isto da forma correcta?
A. dicionar uma política gerida pelo IAM para o utilizador
B. dicionar uma política de serviço para o utilizador
C. dicionar uma função IAM ao utilizador
D. dicionar uma política em linha para o utilizador
Ver resposta
Resposta correta: D
Pergunta #57
Uma empresa aloja uma aplicação de utilizador final no AWS. Atualmente, a empresa implementa a aplicação em instâncias do Amazon EC2 por detrás de um Elastic Load Balancer. A empresa pretende configurar a encriptação de ponta a ponta entre o Elastic Load Balancer e as instâncias do EC2
A. Utilize certificados do AWS Certificate Manager (ACM) emitidos pela Amazon nas instâncias EC2 e no Elastic Load Balancer para configurar a encriptação de ponta a ponta
B. mportar um certificado SSL de terceiros para o AWS Certificate Manager (ACM) Instalar o certificado de terceiros nas instâncias EC2 Associar o certificado de terceiros importado pelo ACM ao Elastic Load Balancer
C. mplantar o AWS CloudHSM Importar um certificado de terceiros Configurar as instâncias EC2 e o Elastic Load Balancer para usar o certificado importado do CloudHSM
D. mportar um pacote de certificados de terceiros para o AWS Certificate Manager (ACM) Instalar o certificado de terceiros nas instâncias EC2 Associar o certificado de terceiros importado pelo ACM ao Elastic Load Balancer
Ver resposta
Resposta correta: A
Pergunta #58
A sua equipa de desenvolvimento está a utilizar chaves de acesso para desenvolver uma aplicação que tem acesso ao S3 e ao DynamoDB. Uma nova política de segurança definiu que as credenciais não devem ter mais de 2 meses e devem ser rodadas. Como é que isto pode ser conseguido?
A. Utilizar a aplicação para rodar as chaves de 2 em 2 meses através do SDK
B. Utilizar um script para consultar a data de criação das chaves
C. liminar o utilizador associado às chaves após cada 2 meses
D. liminar a função de IAM associada às chaves após cada 2 meses
Ver resposta
Resposta correta: B
Pergunta #59
Uma empresa armazena documentos confidenciais no Amazon S3 utilizando encriptação do lado do servidor com uma CMK do IAM Key Management Service (IAM KMS). Um novo requisito obriga a que a CMK utilizada para estes documentos possa ser utilizada apenas para acções S3. Que declaração deve a empresa adicionar à política de chaves para cumprir este requisito?
A.
B.
Ver resposta
Resposta correta: A
Pergunta #60
Uma empresa implementa uma aplicação Web distribuída num conjunto de instâncias do Amazon EC2. A frota está atrás de um Application Load Balancer (ALB) que será configurado para terminar a ligação TLS. Todo o tráfego TLS para o ALB tem de permanecer seguro, mesmo que a chave privada do certificado seja comprometida. Como é que um engenheiro de segurança pode cumprir este requisito?
A. riar um ouvinte HTTPS que utilize um certificado gerido pelo Gestor de Certificados IAM (ACM)
B. Criar um ouvinte HTTPS que utilize uma política de segurança que utilize um conjunto de cifras com perfect toward secrecy (PFS)
C. riar um ouvinte HTTPS que utilize a funcionalidade de segurança Preferência de ordem de servidor
D. Crie um ouvinte TCP que utilize uma política de segurança personalizada que permita apenas conjuntos de cifras com perfect forward secrecy (PFS)
Ver resposta
Resposta correta: A
Pergunta #61
Uma empresa tem um conjunto de instâncias EC2 alojadas no IAM. As instâncias EC2 têm volumes EBS que são utilizados para armazenar informações críticas. Existe um requisito de continuidade de negócios para garantir alta disponibilidade para os volumes do EBS. Como é que isto pode ser conseguido?
A. tilizar políticas de ciclo de vida para os volumes EBS
B. sar instantâneos do EBS
C. tilizar a replicação de volumes EBS
D. Utilizar a encriptação de volumes EBS
Ver resposta
Resposta correta: B
Pergunta #62
Uma empresa utiliza um fornecedor de identidade externo para permitir a federação em diferentes contas IAM. Um engenheiro de segurança da empresa precisa de identificar o utilizador federado que encerrou uma instância de produção do Amazon EC2 há uma semana. Qual é a forma MAIS RÁPIDA de o engenheiro de segurança identificar o utilizador federado?
A. nalise os registos do histórico de eventos do IAM CloudTrail num bucket do Amazon S3 e procure o evento Terminatelnstances para identificar o utilizador federado a partir do nome da sessão de função
B. iltre o histórico de eventos do IAM CloudTrail para o evento Terminatelnstances e identifique a função de IAM assumida
C. esquise os logs do IAM CloudTrail para o evento Terminatelnstances e anote a hora do evento
D. Use o Amazon Athena para executar uma consulta SQL nos logs do IAM CloudTrail armazenados em um bucket do Amazon S3 e filtre o evento Terminatelnstances
Ver resposta
Resposta correta: B
Pergunta #63
Uma empresa tem uma organização no AWS Organizations. A empresa deseja usar o AWS CloudFormation StackSets na organização para implantar vários padrões de design da AWS em ambientes. Esses padrões consistem em instâncias do Amazon EC2, balanceadores de carga do Elastic Load Balancing (ELB), bancos de dados do Amazon RDS e clusters do Amazon Elastic Kubernetes Service (Amazon EKS) ou do Amazon Elastic Container Service (Amazon ECS)
A. riar um tópico do Amazon Simple Notification Service (Amazon SNS)
B. riar um tópico do Amazon Simple Notification Service (Amazon SNS)
C. rie um tópico do Amazon Simple Notification Service (Amazon SNS) e uma fila do Amazon Simple Queue Service (Amazon SQS)
D. Crie um conjunto de pilha do CloudFormation centralizado que inclua um conjunto padrão de recursos que os desenvolvedores podem implantar em cada conta do AWS
Ver resposta
Resposta correta: A
Pergunta #64
Uma empresa tem vários buckets do Amazon S3 encriptados com CMKs geridas pelo cliente. Devido a requisitos regulamentares, as chaves têm de ser rodadas todos os anos. O engenheiro de segurança da empresa activou a rotação automática de chaves para as CMKs; no entanto, a empresa pretende verificar se a rotação ocorreu
A. iltrar os registos do IAM CloudTrail para eventos KeyRotaton
B. onitorizar os eventos do Amazon CloudWatcn para detetar quaisquer eventos de rotação do CMK do IAM KMS
C. sando a CLI do IAM
D. Use o Amazon Athena para consultar os logs do IAM CloudTrail salvos em um bucket S3 para filtrar os eventos Gerar nova chave
Ver resposta
Resposta correta: C
Pergunta #65
É necessário que uma empresa transfira grandes quantidades de dados entre o IAM e uma localização no local. Existe um requisito adicional de baixa latência e tráfego de alta consistência para o IAM. Tendo em conta estes requisitos, como conceberia uma arquitetura híbrida? Escolha a resposta correcta entre as opções abaixo.
A. provisionar uma ligação Direct Connect a uma região IAM utilizando um parceiro Direct Connect
B. riar um túnel VPN para conetividade privada, o que aumenta a consistência da rede e reduz a latência
C. riar um túnel iPSec para conetividade privada, o que aumenta a consistência da rede e reduz a latência
D. riar uma ligação de emparelhamento VPC entre o IAM e o gateway do Cliente
Ver resposta
Resposta correta: A
Pergunta #66
Uma empresa implementou o IAM WAF e o Amazon CloudFront para uma aplicação. A aplicação é executada em instâncias do Amazon EC2 que fazem parte de um grupo de Escalonamento Automático. O grupo Auto Scaling está por trás de um Application Load Balancer (ALB). A ACL da Web do IAM WAF usa um grupo de regras IAM Managed Rules e está associada à distribuição do CloudFront. O CloudFront recebe o pedido do IAM WAF e, em seguida, utiliza o ALB como origem da distribuição. Durante uma análise de segurança, um engenheiro de segurança descobre que a infraestrutura
A. onfigure a distribuição do CloudFront para usar o recurso Lambda@Edge
B. Configurar a ACL Web do IAM WAF de modo a que a ACL Web tenha mais unidades de capacidade para processar todas as regras do IAM WAF mais rapidamente
C. onfigurar o IAM WAF com uma regra baseada em taxa que impõe um limite de taxa que bloqueia automaticamente os pedidos quando o limite de taxa é excedido
D. Configure a distribuição do CloudFront para usar o IAM WAF como sua origem em vez do ALB
Ver resposta
Resposta correta: C
Pergunta #67
Uma empresa tem dois VPCs na mesma região do AWS e na mesma conta do AWS Cada VPC usa um bloco CIDR que não se sobrepõe ao bloco CIDR do outro VPC Um VPC contém funções do AWS Lambda que são executadas dentro de uma sub-rede que acessa a Internet por meio de um gateway NAT. As funções Lambda requerem acesso a uma base de dados MySQL do Amazon Aurora acessível ao público que está a ser executada na outra VPCA O engenheiro de segurança determina que a base de dados Aurora utiliza uma regra de grupo de segurança que permite ligações a partir da rede N
A. Mover a base de dados Aurora para uma sub-rede privada que não tenha rotas de acesso à Internet na VPC atual da base de dados Configurar as funções Lambda para utilizar o novo endereço IP privado da base de dados Aurora para aceder à base de dados Configurar o grupo de segurança das bases de dados Aurora para permitir o acesso a partir dos endereços IP privados das funções Lambda
B. Estabelecer um ponto de extremidade VPC entre as duas VPCs na VPC da base de dados Aurora Configurar um ponto de extremidade VPC de serviço para o Amazon RDS Na VPC das funções Lambda, configurar um ponto de extremidade VPC de interface que utilize o ponto de extremidade de serviço na VPC da base de dados Aurora Configurar o ponto de extremidade de serviço para permitir ligações a partir das funções Lambda
C. Estabelecer uma interface AWS Direct Connect entre as VPCs Configurar as funções Lambda para utilizar uma nova tabela de rotas que acede à base de dados Aurora através da interface Direct Connect Configurar o grupo de segurança da base de dados Aurora para permitir o acesso a partir do endereço IP da interface Direct Connect
D. over as funções Lambda para uma sub-rede pública na sua VPC Mover a base de dados Aurora para uma sub-rede privada na sua VPC Configurar as funções Lambda para utilizarem o novo endereço IP privado da base de dados Aurora para acederem à base de dados Configurar a base de dados Aurora para permitir o acesso a partir dos endereços IP públicos das funções Lambda
Ver resposta
Resposta correta: B
Pergunta #68
Uma organização tem de estabelecer a capacidade de eliminar uma chave mestra de cliente (CMK) do IAM KMS num período de 24 horas para impedir que seja utilizada para operações de encriptação ou desencriptação
A. Rodar manualmente uma chave no KMS para criar imediatamente um novo CMK
B. Utilizar a funcionalidade de importação de chaves do KMS para executar uma operação de eliminação de chaves
C. Utilizar a função de programação da eliminação de chaves no KMS para especificar o período mínimo de espera para a eliminação
D. Alterar o alias do CMK do KMS para impedir imediatamente que quaisquer serviços utilizem o CMK
Ver resposta
Resposta correta: C
Pergunta #69
Um engenheiro de segurança precisa de criar uma chave IAM Key Management Service
A. emover o gateway NAT existente
B. onfigure a ACL de rede de entrada da instância DB TMs para negar o tráfego do ID do grupo de segurança do gateway NAT
C. Modificar as tabelas de rotas das sub-redes da instância de BD para remover a rota padrão para o gateway NAT
D. Configure a tabela de rotas do gateway NAT para negar conexões com as sub-redes da instância de BD
Ver resposta
Resposta correta: A
Pergunta #70
Uma empresa precisa de utilizar HTTPS quando se liga às suas aplicações Web para cumprir os requisitos de conformidade. Estas aplicações Web são executadas no Amazon VPC em instâncias do Amazon EC2 por trás de um Application Load Balancer (ALB). Um engenheiro de segurança quer garantir que o balanceador de carga só aceite conexões pela porta 443, mesmo que o ALB seja configurado por engano com um ouvinte HTTP
A. riar um grupo de segurança com uma regra que negue ligações de entrada a partir de 0
B. riar uma ACL de rede que negue conexões de entrada de 0 0
C. riar uma ACL de rede que permita conexões de saída para o intervalo de IPs da VPC somente na porta 443
D. Crie um grupo de segurança com uma única regra de entrada que permita conexões de 0
Ver resposta
Resposta correta: D
Pergunta #71
Uma empresa está a desenvolver uma aplicação altamente resiliente para ser alojada em várias instâncias do Amazon EC2. A aplicação deve: - Incluir a migração para uma região IAM diferente no plano de recuperação de desastres da aplicação; - Fornecer uma pista de auditoria completa dos eventos de administração de chaves de encriptação; - Permitir que apenas os administradores da empresa administrem chaves; - Proteger os dados em repouso utilizando a encriptação da camada de aplicação
A. O registo de eventos de administração de chaves gerado pelo CloudHSM é significativamente mais extenso do que o IAM KMS
B. CloudHSM garante que apenas o pessoal de suporte da empresa pode administrar chaves de encriptação, enquanto o IAM KMS permite que o pessoal do IAM administre chaves
C. O texto cifrado produzido pelo CloudHSM oferece uma proteção mais robusta contra ataques de desencriptação por força bruta do que o texto cifrado produzido pelo IAM KMS
D. CloudHSM oferece a capacidade de copiar chaves para uma região diferente, enquanto o IAM KMS não oferece
Ver resposta
Resposta correta: B
Pergunta #72
Uma empresa tem lojas de retalho A empresa está a conceber uma solução para armazenar cópias digitalizadas de recibos de clientes no Amazon S3 Os ficheiros terão entre 100 KB e 5 MB em formato PDF Cada loja de retalho deve ter uma chave de encriptação única Cada objeto deve ser encriptado com uma chave única
A. riar uma chave gerida pelo cliente do AWS Key Management Service (AWS KMS) dedicada para cada loja de retalho Utilizar a operação S3 Put para carregar os objectos para o Amazon S3 Especificar a encriptação do lado do servidor com chaves AWS KMS (SSE-KMS) e o ID da chave da loja
B. riar uma nova chave gerida pelo cliente do AWS Key Management Service (AWS KMS) todos os dias para cada loja de retalho Utilizar a operação KMS Encrypt para encriptar objectos Depois carregar os objectos para o Amazon S3
C. Executar a operação GenerateDataKey do AWS Key Management Service (AWS KMS) todos os dias para cada loja de retalho Utilizar a chave de dados e a encriptação do lado do cliente para encriptar os objectos Em seguida, carregar os objectos para o Amazon S3
D. Utilizar a operação ImportKeyMaterial do AWS Key Management Service (AWS KMS) para importar diariamente novo material de chave para o AWS KMS para cada loja de retalho Utilizar uma chave gerida pelo cliente e a operação Encrypt do KMS para encriptar os objectos Em seguida, carregar os objectos para o Amazon S3
Ver resposta
Resposta correta: A
Pergunta #73
Uma empresa implementou Organizações IAM para ajudar a gerir o seu número crescente de contas IAM. Um engenheiro de segurança quer garantir que apenas os diretores na estrutura da organização possam acessar um bucket específico do Amazon S3. A solução também deve minimizar a sobrecarga operacional. Qual solução atenderá a esses requisitos?
A. Coloque todos os utilizadores num grupo IAM com uma política de acesso que conceda acesso ao balde J
B. Fazer com que a criação da conta accione uma função IAM Lambda que gere a política de compartimentos, permitindo o acesso apenas às contas listadas na política
C. dicione um SCP à conta mestre das Organizações, permitindo que todos os diretores acessem o bucket
D. specificar o ID da organização no elemento de condição de chave global de uma política de compartimento, permitindo o acesso de todos os mandantes
Ver resposta
Resposta correta: D
Pergunta #74
Um Engenheiro de Segurança está a resolver um problema com a aplicação de registo personalizada de uma empresa. Os registos da aplicação são gravados num bucket Amazon S3 com notificações de eventos activadas para enviar eventos para um tópico Amazon SNS. Todos os registos são encriptados em repouso utilizando um IAM KMS CMK. O tópico SNS é subscrito a uma fila encriptada do Amazon SQS. A aplicação de registo sonda a fila em busca de novas mensagens que contenham metadados sobre o objeto S3. Em seguida, a aplicação lê o conteúdo do objeto a partir do balde S3 para
A. dicione a seguinte declaração às CMKs geridas pelo IAM:
B. crescentar a seguinte declaração à política de chaves CMK:
C. Adicione a seguinte declaração à política de chaves CMK:
D. Adicione a seguinte declaração à política de chaves CMK:
Ver resposta
Resposta correta: D
Pergunta #75
Uma empresa está a utilizar o Amazon Elastic Container Service (Amazon ECS) para executar a sua aplicação baseada em contentores no AWS. A empresa precisa de garantir que as imagens de contentores não contêm vulnerabilidades graves. A empresa também tem de garantir que apenas funções IAM específicas e contas AWS específicas podem aceder às imagens de contentores. Qual é a solução que satisfaz estes requisitos com o MENOR custo de gestão?
A. Extrair imagens do registo público de contentores
B. Extrair imagens do registo de contentores público
C. Extrair imagens do registo público de contentores
D. Extrair imagens do registo público de contentores
Ver resposta
Resposta correta: C
Pergunta #76
Uma auditoria de segurança recente descobriu que os registos do IAM CloudTrail não estão suficientemente protegidos contra adulteração e acesso não autorizado (Selecione TRÊS )
A. tualizar as regras do WAF do IAM na conta afetada e utilizar o Gestor de Firewall do IAM para enviar as regras actualizadas do WAF do IAM para todas as outras contas
B. Utilizar o registo centralizado do GuardDuty e o Amazon SNS para configurar alertas para notificar todas as equipas de aplicações sobre incidentes de segurança
C. Use os alertas do GuardDuty para escrever uma função IAM Lambda que atualiza todas as contas adicionando NACLs adicionais nas instâncias do Amazon EC2 para bloquear endereços IP maliciosos conhecidos
D. Use o IAM Shield Advanced para identificar ameaças em cada conta individual e, em seguida, aplique as proteções baseadas em conta a todas as outras contas por meio de Organizações
Ver resposta
Resposta correta: ADE
Pergunta #77
Uma empresa está a utilizar o Amazon Elastic Container Service (Amazon ECS) para implementar uma aplicação que lida com dados sensíveis Durante uma auditoria de segurança recente, a empresa identificou um problema de segurança em que as credenciais do Amazon RDS eram armazenadas com o código da aplicação no repositório de código-fonte da empresa. As credenciais devem ser acessíveis apenas à aplicação O engenheiro também
A. Utilize o Armazenamento de Parâmetros do Gestor de Sistemas IAM para gerar credenciais de base de dados
B. Utilizar o Gestor de Segredos do IAM para armazenar as credenciais da base de dados
C. Utilizar o Armazenamento de Parâmetros do Gestor de Sistemas IAM para armazenar credenciais da base de dados
D. Utilize o Gestor de Segredos do IAM para armazenar as credenciais da base de dados
Ver resposta
Resposta correta: D
Pergunta #78
Por motivos de conformidade, um Engenheiro de Segurança deve produzir um relatório semanal que liste qualquer instância que não tenha os últimos patches aprovados aplicados. O engenheiro também tem de garantir que nenhum sistema passa mais de 30 dias sem que as últimas actualizações aprovadas sejam aplicadas
A. Utilizar o inspetor da Amazon para determinar quais os sistemas que não têm os patches mais recentes aplicados e, após 30 dias, reimplementar essas instâncias com a versão mais recente da AMI
B. Configurar o Amazon EC2 Systems Manager para informar sobre a conformidade do patch da instância e impor atualizações durante as janelas de manutenção definidas
C. xamine os togs do IAM CloudTrail para determinar se alguma instância não foi reiniciada nos últimos 30 dias e reimplante essas instâncias
D. tualizar os AMls com os últimos patches aprovados e reimplementar cada instância durante a janela de manutenção definida
Ver resposta
Resposta correta: B
Pergunta #79
Uma empresa precisa de manter arquivos de dados tog durante vários anos para estar em conformidade com os regulamentos. Os dados tog já não são utilizados, mas têm de ser conservados. Qual é a solução MAIS segura e económica para cumprir estes requisitos?
A. rquivar os dados no Amazon S3 e aplicar uma política de bucket restritiva para negar a API s3 DeleteOotect
B. rquivar os dados no Amazon S3 Glacier e aplicar uma política de bloqueio de cofre
C. rquivar os dados no Amazon S3 e replicá-los para um segundo bucket em uma segunda região IAM Escolha a classe de armazenamento S3 Standard-Infrequent Access (S3 Standard-1A) e aplique uma política de bucket restritiva para negar a API s3 DeleteObject
D. igrar os dados de registo para um volume de 16 T8 do Amazon Elastic Block Store (Amazon EBS) Criar um instantâneo do volume EBS
Ver resposta
Resposta correta: B
Pergunta #80
Uma empresa está a criar uma aplicação no IAM que irá armazenar informações sensíveis. A empresa tem uma equipa de apoio com acesso à infraestrutura de TI, incluindo bases de dados. O engenheiro de segurança da empresa tem de introduzir medidas para proteger os dados sensíveis contra qualquer violação de dados, minimizando as despesas de gestão. As credenciais têm de ser regularmente rodadas. O que é que o engenheiro de segurança deve recomendar?
A. Ativar a encriptação Amazon RDS para encriptar a base de dados e os instantâneos
B. nstalar uma base de dados numa Instância Amazon EC2
C. tivar a encriptação Amazon RDS para encriptar a base de dados e os instantâneos
D. onfigurar um cluster IAM CloudHSM com o IAM Key Management Service (IAM KMS) para armazenar chaves KMS
Ver resposta
Resposta correta: C
Pergunta #81
Um programador está a criar uma aplicação sem servidor alojada no AWS que utiliza o Amazon Redshift como armazenamento de dados. A aplicação tem módulos separados para funcionalidades de leitura e escrita. Os módulos necessitam dos seus próprios utilizadores de base de dados por motivos de conformidade (Seleccione DOIS.)
A. Configurar grupos de segurança do cluster para cada módulo de aplicação para controlar o acesso aos utilizadores da base de dados que são necessários para leitura e escrita
B. onfigurar um ponto de extremidade VPC para o Amazon Redshift Configurar uma política de ponto de extremidade que mapeie os utilizadores da base de dados para cada módulo de aplicação e permita o acesso às tabelas necessárias para leitura e leitura/escrita
C. onfigurar uma política 1AM para cada módulo Especificar o ARN de um utilizador da base de dados do Amazon Redshift que permite a chamada à API GetClusterCredentials
D. riar utilizadores da base de dados local para cada módulo
E. onfigurar uma política 1AM para cada módulo Especificar o ARN de um utilizador 1AM que permite a chamada à API GetClusterCredentials
Ver resposta
Resposta correta: A
Pergunta #82
O engenheiro de segurança de uma empresa pretende receber um alerta por correio eletrónico sempre que o Amazon GuardDuty, o AWS Identity and Access Management Access Analyzer ou o Amazon Made geram uma descoberta de segurança de elevada gravidade. A empresa utiliza a AWS Control Tower para gerir todas as suas contas. A empresa também usa o AWS Security Hub com todas as integrações de serviço do AWS ativadas. Qual solução atenderá a esses requisitos com o MENOR custo operacional?
A. onfigure funções AWS Lambda separadas para GuardDuty, 1AM Access Analyzer e Macie para chamar a API pública de cada serviço para recuperar descobertas de alta gravidade
B. rie uma regra do Amazon EventBridge com um padrão que corresponda a eventos de descobertas do Security Hub com alta gravidade
C. Crie uma regra do Amazon EventBridge com um padrão que corresponda a eventos da Torre de Controle da AWS com alta gravidade
D. ospedar um aplicativo no Amazon EC2 para chamar as APIs GuardDuty, 1AM Access Analyzer e Macie
Ver resposta
Resposta correta: B
Pergunta #83
Uma empresa está a planear utilizar o Amazon Elastic File System (Amazon EFS) com os seus servidores no local. A empresa tem uma ligação IAM Direct Connect estabelecida entre o seu centro de dados local e uma região IAM A política de segurança declara que a firewall local da empresa só deve ter endereços IP específicos adicionados à lista de permissões e não um intervalo CIDR. A empresa também quer restringir o acesso para que apenas determinados servidores baseados em centros de dados tenham acesso ao Amazon EFComo é que um engenheiro de segurança deve
A. Adicionar o URL file-system-id efs IAM-region amazonIAM com à lista de permissões da firewall do centro de dados Instalar o IAM CLI nos servidores baseados no centro de dados para montar o sistema de ficheiros EFS no grupo de segurança EFS Adicionar o intervalo de IP do centro de dados à lista de permissões Montar o EFS utilizando o nome do sistema de ficheiros EFS
B. tribua um endereço IP elástico ao Amazon EFS e adicione o endereço IP elástico à lista de permissões do firewall do centro de dados Instale a CLI do IAM nos servidores baseados no centro de dados para montar o sistema de arquivos EFS No grupo de segurança do EFS, adicione os endereços IP dos servidores do centro de dados à lista de permissões Monte o EFS usando o endereço IP elástico
C. dicione os endereços IP do alvo de montagem do sistema de arquivos EFS à lista de permissões do firewall do centro de dados No grupo de segurança EFS, adicione os endereços IP do servidor do centro de dados à lista de permissões Use o terminal Linux para montar o sistema de arquivos EFS usando o endereço IP de um dos alvos de montagem
D. tribua um intervalo estático de endereços IP para o sistema de arquivos EFS entrando em contato com o Suporte IAM No grupo de segurança EFS, adicione os endereços IP do servidor do centro de dados à lista de permissões Use o terminal Linux para montar o sistema de arquivos EFS usando um dos endereços IP estáticos
Ver resposta
Resposta correta: B
Pergunta #84
Uma empresa precisa de armazenar vários anos de registos financeiros. A empresa pretende utilizar o Amazon S3 para armazenar cópias destes documentos. A empresa deve implementar uma solução para impedir que os documentos sejam editados, substituídos ou eliminados durante 7 anos após o armazenamento dos documentos no Amazon S3. A solução também deve encriptar os documentos em repouso. Um engenheiro de segurança cria um novo bucket S3 para armazenar os documentos
A. A empresa usa uma abordagem sem servidor para microsserviços
B. Criar uma política de chaves que permita a ação kms:Decrypt apenas para o Amazon S3 e DynamoD
C. rie uma política 1AM que negue a ação kms:Decrypt para a chave
D. rie uma política de chave que permita a ação kms:Decrypt apenas para Amazon S3, DynamoDB, Lambda e Amazon EKS
E. Crie uma política de chave que permita a ação kms:Decrypt apenas para Amazon S3, DynamoDB, Lambda e Amazon EKS
Ver resposta
Resposta correta: B
Pergunta #85
Uma empresa desenvolveu uma nova aplicação de base de dados Amazon RDS. A empresa tem de proteger as credenciais da base de dados ROS para encriptação em trânsito e encriptação em repouso. A empresa também tem de rodar as credenciais automaticamente numa base regular. Que solução cumpre estes requisitos?
A. Utilize o Armazenamento de Parâmetros do Gestor de Sistemas IAM para armazenar as credenciais da base de dados
B. Utilizar o Gestor de Segredos do IAM para armazenar as credenciais da base de dados
C. rmazenar as credenciais da base de dados num bucket do Amazon S3 configurado com encriptação do lado do servidor com chaves de encriptação geridas pelo S3 (SSE-S3) Rodar as credenciais com autenticação da base de dados IAM
D. rmazenar as credenciais da base de dados no Amazon S3 Glacier e utilizar o S3 Glacier Vault Lock Configurar uma função IAM Lambda para rodar as credenciais numa base programada
Ver resposta
Resposta correta: A
Pergunta #86
Uma empresa pretende garantir que os seus recursos IAM só podem ser lançados nas regiões us-east-1 e us-west- 2. Qual é a solução MAIS eficiente em termos operacionais que impedirá os programadores de lançarem instâncias do Amazon EC2 noutras regiões?
A. Crie um novo grupo de segurança na VPC do banco de dados e crie uma regra de entrada que permita todo o tráfego do intervalo de endereços IP da VPC do aplicativo
B. riar um novo grupo de segurança na VPC da aplicação com uma regra de entrada que permita o intervalo de endereços IP da VPC da base de dados através da porta TCP 1521
C. riar um novo grupo de segurança na VPC da aplicação sem regras de entrada
D. Crie um novo grupo de segurança na VPC do aplicativo com uma regra de entrada que permita o intervalo de endereços IP da VPC do banco de dados pela porta TCP 1521
Ver resposta
Resposta correta: C
Pergunta #87
A equipa de aplicações de uma empresa precisa de alojar uma base de dados MySQL no IAM. De acordo com a política de segurança da empresa, todos os dados armazenados no IAM devem ser criptografados em repouso. Além disso, todo o material criptográfico tem de estar em conformidade com a validação FIPS 140-2 Nível 3. A equipa de aplicações necessita de uma solução que satisfaça os requisitos de segurança da empresa e minimize as despesas operacionais
A. lojar a base de dados no Amazon RDS
B. lojar a base de dados no Amazon RDS
C. lojar a base de dados numa instância do Amazon EC2
D. Alojar a base de dados numa instância do Amazon EC2
Ver resposta
Resposta correta: B
Pergunta #88
Um administrador de sistemas não consegue iniciar uma instância do Amazon EC2 na região eu-west-1 usando uma função de IAM O mesmo administrador de sistemas consegue iniciar uma instância do EC2 nas regiões eu-west-2 e eu- west-3. A política de acesso IAMSystemAdministrator anexada à função IAM System Administrator permite o acesso incondicional a todos os serviços e recursos do IAM na conta
A. É anexado um SCP à conta com a seguinte declaração de permissão:
B. Uma política de limite de permissão é anexada à função Administrador do sistema com a seguinte declaração de permissão:
C. ma fronteira de permissão é anexada à função Administrador do sistema com a seguinte declaração de permissão:
D. m SCP é anexado à conta com a seguinte declaração:
Ver resposta
Resposta correta: B
Pergunta #89
Uma empresa está a operar um sítio Web utilizando o Amazon CloudFront. Os servidores CloudFront recebem algum conteúdo do Amazon S3 e outro de servidores Web que executam instâncias EC2 atrás de um Application. Load Balancer (ALB). O Amazon DynamoDB é utilizado como armazenamento de dados. A empresa já utiliza o IAM Certificate Manager (ACM) para armazenar um certificado TLS público que pode, opcionalmente, proteger as ligações entre os utilizadores do Web site e o CloudFront. A empresa tem um novo requisito para impor a encriptação de ponta a ponta em trânsito
A. dicionar um cabeçalho personalizado de origem Definir a política de protocolo do visualizador como HTTP e HTTPS Definir a chave do protocolo de origem como HTTPS apenas Atualizar a aplicação para validar o cabeçalho personalizado do CloudFront
B. dicionar um cabeçalho personalizado de origem Definir a política de protocolo do visualizador para HTTPS apenas Definir a política de protocolo de origem para corresponder ao visualizador Atualizar a aplicação para validar o cabeçalho personalizado do CloudFront
C. dicionar um cabeçalho personalizado de origem Definir a política de protocolo do visualizador para redirecionar HTTP para HTTPS Definir a política de protocolo de origem para HTTP apenas Atualizar a aplicação para validar o cabeçalho personalizado do CloudFront
D. dicionar um cabeçalho personalizado de origem Definir a política de protocolo do visualizador para redirecionar HTTP para HTTPS
Ver resposta
Resposta correta: BCE
Pergunta #90
A sua empresa acabou de configurar um novo servidor central numa VPC. Existe um requisito para que outras equipas, que têm os seus servidores localizados em diferentes VPCs na mesma região, se liguem ao servidor central. Qual das opções abaixo é a mais adequada para atingir este requisito?
A. onfigurar o emparelhamento VPC entre o VPC do servidor central e cada um dos VPCs das equipas
B. onfigurar o IAM DirectConnect entre a VPC do servidor central e cada uma das VPCs das equipas
C. onfigurar um túnel IPSec entre a VPC do servidor central e cada uma das VPCs das equipas
D. Nenhuma das opções acima funcionará
Ver resposta
Resposta correta: A
Pergunta #91
Example.com está alojado em instâncias do Amazon EC2 por detrás de um Application Load Balancer (ALB). Os agentes do sistema de deteção de intrusão do anfitrião (HIDS) de terceiros que capturam o tráfego da instância EC2 estão a ser executados em cada anfitrião. A empresa tem de garantir que está a utilizar tecnologias de reforço da privacidade para os utilizadores, sem perder a garantia que a solução de terceiros oferece
A. Ativar a passagem TLS no ALB e tratar a desencriptação no servidor utilizando conjuntos de cifras Elliptic Curve Diffie-Hellman (ECDHE)
B. Criar um ouvinte no ALB que utilize ligações encriptadas com conjuntos de cifras Elliptic Curve Diffie-Hellman (ECDHE) e transmitir o tráfego de forma clara para o servidor
C. riar um ouvinte no ALB que utilize ligações encriptadas com conjuntos de cifras Elliptic Curve Diffie-Hellman (ECDHE) e utilizar ligações encriptadas para os servidores que não activam o Perfect Forward Secrecy (PFS)
D. Criar um ouvinte no ALB que não active os conjuntos de cifras Perfect Forward Secrecy (PFS) e utilizar ligações encriptadas aos servidores utilizando conjuntos de cifras Elliptic Curve Diffie-Hellman (ECDHE)
Ver resposta
Resposta correta: D
Pergunta #92
Foi pedido a um arquiteto de segurança que analisasse uma arquitetura de segurança existente e identificasse a razão pela qual os servidores de aplicações não conseguem iniciar com êxito uma ligação aos servidores de bases de dados. O resumo a seguir descreve a arquitetura:1 Um balanceador de carga de aplicativo, um gateway de Internet e um gateway NAT são configurados na sub-rede pública 2. Os servidores de base de dados, de aplicações e da Web estão configurados em três sub-redes privadas diferentes.3 A VPC tem duas tabelas de rotas: uma para a sub-rede pública e outra para todas as sub-redes privadas
A. dicionar uma regra de negação ao grupo de segurança da VPC pública para bloquear o IP malicioso
B. dicionar o IP malicioso aos IPs bloqueados do IAM WAF
C. Configurar o iptables do Linux ou a Firewall do Windows para bloquear qualquer tráfego proveniente do IP malicioso
D. Modificar a zona hospedada no Amazon Route 53 e criar um sinkhole DNS para o IP malicioso
Ver resposta
Resposta correta: A
Pergunta #93
Uma empresa usa um bucket do Amazon S3 para armazenar relatórios A gerência determinou que todos os novos objetos armazenados nesse bucket devem ser criptografados em repouso usando a criptografia do lado do servidor com um CMK do IAM Key Management Service (IAM KMS) especificado pelo cliente, pertencente à mesma conta do bucket do S3. O número da conta do IAM é 111122223333 e o nome do bucket é report bucket. O especialista em segurança da empresa deve escrever a política de bucket S3 para garantir que o mandato possa ser implementado
A. riar um repositório CodeCommit na conta de segurança utilizando a encriptação de tor do IAM Key Management Service (IAM KMS) Exigir que a equipa de desenvolvimento migre o código-fonte do Lambda para este repositório
B. Armazenar a chave da API num bucket do Amazon S3 na conta de segurança, utilizando encriptação do lado do servidor com chaves de encriptação geridas pelo Amazon S3 (SSE-S3) para encriptar a chave
C. riar um segredo no Gestor de Segredos do IAM na conta de segurança para armazenar a chave da API utilizando o Serviço de Gestão de Chaves do IAM (IAM KMS) para encriptação Conceder acesso à função do IAM utilizada pela função Lambda para que a função possa obter a chave do Gestor de Segredos e chamar a API
D. riar uma variável de ambiente encriptada para a função Lambda para armazenar a chave de API utilizando o Serviço de Gestão de Chaves do IAM (IAM KMS) para encriptação Conceder acesso à função do IAM utilizada pela função Lambda para que a função possa desencriptar a chave em tempo de execução
Ver resposta
Resposta correta: D
Pergunta #94
Uma equipa de desenvolvimento está a utilizar um CMK do IAM Key Management Service (IAM KMS) para tentar encriptar e desencriptar um parâmetro de cadeia de caracteres seguro do Armazenamento de Parâmetros do IAM Systems Manager. No entanto, a equipa de desenvolvimento recebe uma mensagem de erro em cada tentativa. Quais são os problemas relacionados com a CMK que podem estar na origem do erro? (Seleccione DOIS.)
A. tivar o Amazon GuardDuty em todas as regiões
B. tilizar uma organização em Organizações do IAM
C. rovisione recursos EC2 usando modelos de formação de nuvem do IAM por meio do CodePipeline do IAM
D. riar uma regra de configuração do IAM para impedir actividades não autorizadas fora de us-east-1 e us-west-2
Ver resposta
Resposta correta: AD
Pergunta #95
Uma empresa tem um conjunto de instâncias EC2 alojadas no IAM. As instâncias EC2 têm volumes EBS que são utilizados para armazenar informações críticas. Existe um requisito de continuidade de negócios para garantir alta disponibilidade para os volumes do EBS. Como é que isto pode ser conseguido?
A. tilizar políticas de ciclo de vida para os volumes EBS
B. sar instantâneos do EBS
C. tilizar a replicação de volumes EBS
D. Utilizar a encriptação de volumes EBS
Ver resposta
Resposta correta: B
Pergunta #96
Existem atualmente várias aplicações alojadas numa VPC. Durante o monitoramento, notou-se que várias varreduras de porta estão chegando de um bloco de endereços IP específico. A equipa de segurança interna solicitou que todos os endereços IP ofensivos fossem negados durante as próximas 24 horas. Qual dos seguintes é o melhor método para negar rápida e temporariamente o acesso a partir dos endereços IP especificados.
A. Criar uma política do AD para modificar as definições da Firewall do Windows em todos os anfitriões da VPC para negar o acesso a partir do bloco de endereços IP
B. Modificar as ACLs de rede associadas a todas as sub-redes públicas na VPC para negar o acesso a partir do bloco de endereços IP
C. Adicionar uma regra a todos os grupos de segurança da VPC para negar o acesso a partir do bloco de endereços IP
D. Modifique as configurações do Firewall do Windows em todos os AMIs que sua organização usa nessa VPC para negar o acesso do bloco de endereços IP
Ver resposta
Resposta correta: B
Pergunta #97
Uma empresa implementou o Amazon GuardDuty na região us-east-1. A empresa pretende que todos os registos DNS relacionados com as instâncias Amazon EC2 da empresa sejam inspeccionados. O que deve fazer um engenheiro de segurança para garantir que as instâncias EC2 são registadas?
A. Utilizar endereços IPv6 configurados para nomes de anfitriões
B. Configurar resolvedores de DNS externos como resolvedores internos que são visíveis apenas para o IAM
C. tilizar resolvedores de DNS do IAM para todas as instâncias EC2
D. onfigurar um resolvedor de DNS de terceiros com registo para todas as instâncias EC2
Ver resposta
Resposta correta: C
Pergunta #98
Um programador está a criar uma aplicação sem servidor alojada no AWS que utiliza o Amazon Redshift como armazenamento de dados. A aplicação tem módulos separados para funcionalidades de leitura e escrita. Os módulos necessitam dos seus próprios utilizadores de base de dados por motivos de conformidade (Seleccione DOIS.)
A. Configurar grupos de segurança do cluster para cada módulo de aplicação para controlar o acesso aos utilizadores da base de dados que são necessários para leitura e escrita
B. onfigurar um ponto de extremidade VPC para o Amazon Redshift Configurar uma política de ponto de extremidade que mapeie os utilizadores da base de dados para cada módulo de aplicação e permita o acesso às tabelas necessárias para leitura e leitura/escrita
C. onfigurar uma política 1AM para cada módulo Especificar o ARN de um utilizador da base de dados do Amazon Redshift que permite a chamada à API GetClusterCredentials
D. riar utilizadores da base de dados local para cada módulo
E. onfigurar uma política 1AM para cada módulo Especificar o ARN de um utilizador 1AM que permite a chamada à API GetClusterCredentials
Ver resposta
Resposta correta: A
Pergunta #99
Um engenheiro de segurança recebe um aviso da equipa AWS Abuse sobre atividade suspeita de uma instância Amazon EC2 baseada em Linux que utiliza armazenamento baseado no Amazon Elastic Block Store (Amazon EBS). A instância está a estabelecer ligações a endereços maliciosos conhecidos. A instância está numa conta de desenvolvimento numa VPC que se encontra na região us-east-1. A VPC contém um gateway de Internet e tem uma sub-rede em us-east-1a e us-easMb. Cada sub-rede está associada a uma tabela de rotas que utiliza o gateway de Internet como rota predefinida
A. niciar sessão na instância suspeita e utilizar o comando netstat para identificar ligações remotas Utilizar os endereços IP destas ligações remotas para criar regras de negação no grupo de segurança da instância Instalar ferramentas de diagnóstico na instância para investigação Atualizar a ACL de rede de saída para a sub-rede em us-east- lb para negar explicitamente todas as ligações como primeira regra durante a investigação da instância
B. tualizar a ACL de rede de saída para a sub-rede em us-east-1b para negar explicitamente todas as ligações como primeira regra Substituir o grupo de segurança por um novo grupo de segurança que permita ligações apenas a partir de um grupo de segurança de diagnóstico Atualizar a ACL de rede de saída para a sub-rede us-east-1b para remover a regra negar tudo Iniciar uma nova instância EC2 que tenha ferramentas de diagnóstico Atribuir o novo grupo de segurança à nova instância EC2 Utilizar a nova instância EC2 para investigar a instância suspeita
C. Garantir que os volumes do Amazon Elastic Block Store (Amazon EBS) anexados à instância suspeita do EC2 não sejam excluídos após o encerramento Encerrar a instância Iniciar uma nova instância do EC2 em us-east-1a que tenha ferramentas de diagnóstico Montar os volumes do EBS da instância encerrada para investigação
D. Criar uma ACL Web do AWS WAF que negue o tráfego de e para a instância suspeita Anexar a ACL Web do AWS WAF à instância para mitigar o ataque Iniciar sessão na instância e instalar ferramentas de diagnóstico para investigar a instância
Ver resposta
Resposta correta: B
Pergunta #100
Um engenheiro de segurança recebe um aviso da equipa AWS Abuse sobre atividade suspeita de uma instância Amazon EC2 baseada em Linux que utiliza armazenamento baseado no Amazon Elastic Block Store (Amazon EBS). A instância está a estabelecer ligações a endereços maliciosos conhecidos. A instância está numa conta de desenvolvimento numa VPC que se encontra na região us-east-1. A VPC contém um gateway de Internet e tem uma sub-rede em us-east-1a e us-easMb. Cada sub-rede está associada a uma tabela de rotas que utiliza o gateway de Internet como rota predefinida
A. niciar sessão na instância suspeita e utilizar o comando netstat para identificar ligações remotas Utilizar os endereços IP destas ligações remotas para criar regras de negação no grupo de segurança da instância Instalar ferramentas de diagnóstico na instância para investigação Atualizar a ACL de rede de saída para a sub-rede em us-east- lb para negar explicitamente todas as ligações como primeira regra durante a investigação da instância
B. tualizar a ACL de rede de saída para a sub-rede em us-east-1b para negar explicitamente todas as ligações como primeira regra Substituir o grupo de segurança por um novo grupo de segurança que permita ligações apenas a partir de um grupo de segurança de diagnóstico Atualizar a ACL de rede de saída para a sub-rede us-east-1b para remover a regra negar tudo Iniciar uma nova instância EC2 que tenha ferramentas de diagnóstico Atribuir o novo grupo de segurança à nova instância EC2 Utilizar a nova instância EC2 para investigar a instância suspeita
C. Garantir que os volumes do Amazon Elastic Block Store (Amazon EBS) anexados à instância suspeita do EC2 não sejam excluídos após o encerramento Encerrar a instância Iniciar uma nova instância do EC2 em us-east-1a que tenha ferramentas de diagnóstico Montar os volumes do EBS da instância encerrada para investigação
D. Criar uma ACL Web do AWS WAF que negue o tráfego de e para a instância suspeita Anexar a ACL Web do AWS WAF à instância para mitigar o ataque Iniciar sessão na instância e instalar ferramentas de diagnóstico para investigar a instância
Ver resposta
Resposta correta: B
Pergunta #101
Uma grande empresa está a criar uma estratégia de várias contas e precisa de determinar como os seus funcionários devem aceder à infraestrutura de IAM
A. riar utilizadores IAM dedicados em cada conta IAM que os funcionários podem assumir através da federação com base na associação de grupos no seu fornecedor de identidade existente
B. tilizar uma conta centralizada com funções de IAM que os funcionários podem assumir através da federação com o seu fornecedor de identidade existente Utilizar funções entre contas para permitir que os utilizadores federados assumam a sua função de destino nas contas de recursos
C. onfigure o Serviço de Token de Segurança do IAM para utilizar tokens Kerberos para que os utilizadores possam utilizar os seus nomes de utilizador e palavras-passe empresariais existentes para aceder diretamente aos recursos do IAM
D. Configurar as políticas de confiança do IAM na função de cada conta para estabelecer uma confiança no fornecedor de identidade existente da empresa, permitindo que os utilizadores assumam a função com base no seu token SAML
Ver resposta
Resposta correta: B
Pergunta #102
Uma empresa está a criar uma aplicação no IAM que irá armazenar informações sensíveis. A empresa tem uma equipa de apoio com acesso à infraestrutura de TI, incluindo bases de dados. O engenheiro de segurança da empresa tem de introduzir medidas para proteger os dados sensíveis contra qualquer violação de dados, minimizando as despesas de gestão. As credenciais têm de ser regularmente rodadas. O que é que o engenheiro de segurança deve recomendar?
A. Ativar a encriptação Amazon RDS para encriptar a base de dados e os instantâneos
B. nstalar uma base de dados numa Instância Amazon EC2
C. tivar a encriptação Amazon RDS para encriptar a base de dados e os instantâneos
D. onfigurar um cluster IAM CloudHSM com o IAM Key Management Service (IAM KMS) para armazenar chaves KMS
Ver resposta
Resposta correta: C

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.