Passe no exame AWS facilmente com as perguntas práticas SCS-C02 atualizadas

Pergunta #1

Uma empresa está a utilizar as Organizações IAM para desenvolver uma estratégia de rede segura com várias contas. A empresa planeia utilizar contas separadas geridas centralmente para serviços partilhados, auditoria e inspeção de segurança. A política de segurança da empresa exige que todo o tráfego da Internet seja encaminhado através de uma camada de inspeção de segurança gerida centralmente na conta de inspeção de segurança. Um engenheiro de segurança

A. rie uma política de IAM que proíba alterações na trilha específica do CloudTrail e aplique a política ao usuário raiz da conta de IAM

B. rie uma política de bucket S3 na conta de destino especificada para a trilha do CloudTrail que proíba alterações de configuração do usuário raiz da conta IAM na conta de origem

C. Crie um SCP que proíba alterações na trilha específica do CloudTrail e aplique o SCP à unidade organizacional ou conta apropriada em Organizações

D. rie uma política de IAM que proíba alterações na trilha específica do CloudTrail e aplique a política a um novo grupo de IAM

Ver resposta

Resposta correta: C

Pergunta #2

Foi pedido a um arquiteto de segurança que analisasse uma arquitetura de segurança existente e identificasse a razão pela qual os servidores de aplicações não conseguem iniciar com êxito uma ligação aos servidores de bases de dados. O resumo a seguir descreve a arquitetura:1 Um balanceador de carga de aplicativo, um gateway de Internet e um gateway NAT são configurados na sub-rede pública 2. Os servidores de base de dados, de aplicações e da Web estão configurados em três sub-redes privadas diferentes.3 A VPC tem duas tabelas de rotas: uma para a sub-rede pública e outra para todas as sub-redes privadas

A. dicionar uma regra de negação ao grupo de segurança da VPC pública para bloquear o IP malicioso

B. dicionar o IP malicioso aos IPs bloqueados do IAM WAF

C. Configurar o iptables do Linux ou a Firewall do Windows para bloquear qualquer tráfego proveniente do IP malicioso

D. Modificar a zona hospedada no Amazon Route 53 e criar um sinkhole DNS para o IP malicioso

Ver resposta

Resposta correta: A

Pergunta #3

Uma empresa recebe uma notificação da equipa AWS Abuse sobre uma conta AWS A notificação indica que um recurso na conta está comprometido A empresa determina que o recurso comprometido é uma instância do Amazon EC2 que aloja uma aplicação Web A instância do EC2 comprometida faz parte de um grupo EC2 Auto Scaling A instância do EC2 acede aos recursos do Amazon S3 e do Amazon DynamoDB utilizando uma chave de acesso 1AM e uma chave secreta A chave de acesso 1AM e a chave secreta são armazenadas dentro da AMI especificada

A. odar a chave de acesso potencialmente comprometida que a instância EC2 utiliza Criar uma nova AM I sem as credenciais potencialmente comprometidas Efetuar uma atualização da instância EC2 Auto Scaling

B. Excluir ou desativar a chave de acesso potencialmente comprometida Criar uma função 1AM vinculada ao EC2 Auto Scaling que inclua uma política personalizada que corresponda à permissão da chave de acesso potencialmente comprometida Associar a nova função 1AM ao grupo Auto Scaling Executar uma atualização de instância do EC2 Auto Scaling

C. Eliminar ou desativar a chave de acesso potencialmente comprometida Criar uma nova AMI sem as credenciais potencialmente comprometidas Criar uma função 1AM que inclua as permissões correctas Criar um modelo de lançamento para o grupo de Escalonamento Automático para fazer referência à nova AMI e à função 1AM Efetuar uma atualização da instância de Escalonamento Automático do EC2

D. odar a chave de acesso potencialmente comprometida Criar uma nova AMI sem a chave de acesso potencialmente comprometida Utilizar um script de dados do utilizador para fornecer a nova chave de acesso como variáveis ambientais na configuração de lançamento do grupo de Escalonamento Automático Efetuar uma atualização da instância de Escalonamento Automático do EC2

Ver resposta

Resposta correta: C

Pergunta #4

O seu CTO está muito preocupado com a segurança da sua conta IAM. Qual a melhor forma de evitar que os hackers sequestrem completamente a sua conta?

A. Utilizar uma palavra-passe curta mas complexa na conta de raiz e em todos os administradores

B. Utilize o Geo-Lock do IAM IAM e não permita que ninguém inicie sessão, exceto os da sua cidade

C. tilizar a MFA em todos os utilizadores e contas, especialmente na conta raiz

D. Não escreva nem se lembre da palavra-passe da conta de raiz depois de criar a conta IAM

Ver resposta

Resposta correta: C

Pergunta #5

A equipa de operações na nuvem de uma empresa é responsável por criar uma segurança eficaz para o acesso IAM entre contas. A equipe pede a um engenheiro de segurança que ajude a solucionar o problema de alguns desenvolvedores da conta de desenvolvedor (123456789012) no grupo de desenvolvedores não conseguirem assumir uma função entre contas (ReadS3) em uma conta de produção (999999999999) para ler o conteúdo de um bucket do Amazon S3 (productionapp). As duas políticas de conta são as seguintes:Que recomendações deve o engenheiro de segurança fazer para resolver

A. Utilizar a Torre de Controlo IAM

B. riar uma VPC gerida centralmente na conta de inspeção de segurança

C. Utilizar a Torre de Controlo IAM

D. tivar o Gestor de Acesso a Recursos IAM (IAM RAM) para Organizações IAM

Ver resposta

Resposta correta: AD

Pergunta #6

Por motivos de conformidade, um Engenheiro de Segurança deve produzir um relatório semanal que liste qualquer instância que não tenha os últimos patches aprovados aplicados. O engenheiro também tem de garantir que nenhum sistema passa mais de 30 dias sem que as últimas actualizações aprovadas sejam aplicadas

A. Utilizar o inspetor da Amazon para determinar quais os sistemas que não têm os patches mais recentes aplicados e, após 30 dias, reimplementar essas instâncias com a versão mais recente da AMI

B. Configurar o Amazon EC2 Systems Manager para informar sobre a conformidade do patch da instância e impor atualizações durante as janelas de manutenção definidas

C. xamine os togs do IAM CloudTrail para determinar se alguma instância não foi reiniciada nos últimos 30 dias e reimplante essas instâncias

D. tualizar os AMls com os últimos patches aprovados e reimplementar cada instância durante a janela de manutenção definida

Ver resposta

Resposta correta: B

Pergunta #7

Durante uma revisão manual dos registos do sistema de uma instância Amazon Linux EC2, um Engenheiro de Segurança reparou que existem comandos sudo que nunca foram devidamente alertados ou reportados no agente Amazon CloudWatch Logs

A. Existe um grupo de segurança a bloquear o tráfego de saída da porta 80 que está a impedir o agente de enviar os registos

B. O perfil da instância do IAM na instância do EC2 não foi configurado corretamente para permitir que o agente de logs do CloudWatch envie os logs para o CloudWatch

C. status dos logs do CloudWatch está definido como LIGADO versus SEGURO, o que impede que ele extraia logs de eventos de segurança do sistema operacional

D. A VPC exige que todo o tráfego passe por um proxy, e o agente CloudWatch Logs não oferece suporte a uma configuração de proxy

Ver resposta

Resposta correta: B

Pergunta #8

Uma empresa utiliza o Amazon API Gateway para apresentar APIs REST aos utilizadores. Um programador de API pretende analisar os padrões de acesso à API sem a necessidade de analisar os ficheiros de registo (Seleccione DOIS.)

A. onfigurar a funcionalidade S3 Block Public Access para a conta AWS

B. Configurar o recurso de acesso público ao bloco S3 para todos os objetos que estão no bucket

C. esativar ACLs para objectos que estão no balde

D. Utilizar o AWS PrivateLink para o Amazon S3 para aceder ao contentor

Ver resposta

Resposta correta: CD

Pergunta #9

Uma equipa de desenvolvimento criou um ambiente experimental para testar uma aplicação Web simples e obsoleta. Criou um VPC isolado com uma sub-rede privada e uma pública. A sub-rede pública contém apenas um balanceador de carga de aplicações, um gateway NAT e um gateway de Internet. A sub-rede privada contém todas as instâncias do Amazon EC2. Existem 3 tipos diferentes de servidores. Cada tipo de servidor tem o seu próprio grupo de segurança que limita o acesso apenas à conetividade necessária. Os grupos de segurança têm regras de entrada e saída aplicadas

A. tilizar volumes encriptados do Amazon EBS com chaves predefinidas da Amazon (IAM EBS)

B. Utilizar a encriptação do lado do servidor com chaves fornecidas pelo cliente (SSE-C)

C. tilizar a encriptação do lado do servidor com chaves geridas pelo IAM KMS (SSE-KMS)

D. Utilizar encriptação do lado do servidor com chaves geridas pelo Amazon S3 (SSE-S3)

Ver resposta

Resposta correta: CEF

Pergunta #10

Uma empresa está a executar uma aplicação na região eu-west-1. A aplicação utiliza um CMK do IAM Key Management Service (IAM KMS) para encriptar dados sensíveis.

A. A empresa planeia implementar a aplicação na região eu-north-1

B. Atualizar as políticas de chave na eu-oeste-1

C. Atribuir um novo CMK à eu-north-1 para ser utilizado pela aplicação que está implantada nessa região

D. Atribuir uma nova CMK a eu-north-1

E. Atribuir um novo CMK a eu-norte-1

Ver resposta

Resposta correta: B

Pergunta #11

Os auditores de uma empresa de cuidados de saúde exigiram que todos os volumes de dados fossem encriptados em repouso A infraestrutura é implementada principalmente através do IAM CloudFormation, no entanto, são necessárias estruturas de terceiros e implementação manual em alguns sistemas antigos

A. iltre o histórico de eventos na chave de acesso exposta no console do CloudTrail Examine os dados dos últimos 11 dias

B. se a CLI do IAM para gerar um relatório de credenciais do IAM Extraia todos os dados dos últimos 11 dias

C. Utilizar o Amazon Athena para consultar os registos CloudTrail do Amazon S3

D. Utilize o separador Access Advisor na consola IAM para ver toda a atividade da chave de acesso nos últimos 11 dias

Ver resposta

Resposta correta: B

Pergunta #12

Uma empresa tem lojas de retalho A empresa está a conceber uma solução para armazenar cópias digitalizadas de recibos de clientes no Amazon S3 Os ficheiros terão entre 100 KB e 5 MB em formato PDF Cada loja de retalho deve ter uma chave de encriptação única Cada objeto deve ser encriptado com uma chave única

A. riar uma chave gerida pelo cliente do AWS Key Management Service (AWS KMS) dedicada para cada loja de retalho Utilizar a operação S3 Put para carregar os objectos para o Amazon S3 Especificar a encriptação do lado do servidor com chaves AWS KMS (SSE-KMS) e o ID da chave da loja

B. riar uma nova chave gerida pelo cliente do AWS Key Management Service (AWS KMS) todos os dias para cada loja de retalho Utilizar a operação KMS Encrypt para encriptar objectos Depois carregar os objectos para o Amazon S3

C. Executar a operação GenerateDataKey do AWS Key Management Service (AWS KMS) todos os dias para cada loja de retalho Utilizar a chave de dados e a encriptação do lado do cliente para encriptar os objectos Em seguida, carregar os objectos para o Amazon S3

D. Utilizar a operação ImportKeyMaterial do AWS Key Management Service (AWS KMS) para importar diariamente novo material de chave para o AWS KMS para cada loja de retalho Utilizar uma chave gerida pelo cliente e a operação Encrypt do KMS para encriptar os objectos Em seguida, carregar os objectos para o Amazon S3

Ver resposta

Resposta correta: A

Pergunta #13

Uma empresa tem uma função AWS Lambda que cria miniaturas de imagens a partir de imagens maiores. A função Lambda precisa de acesso de leitura e gravação a um bucket do Amazon S3 na mesma conta do AWS. Quais soluções fornecerão esse acesso à função Lambda? (Escolha duas.)

A. riar um utilizador IAM que tenha apenas acesso programático

B. erar um par de chaves do Amazon EC2

C. riar uma função IAM para a função Lambda

D. rie uma função IAM para a função Lambda

E. riar um grupo de segurança

Ver resposta

Resposta correta: BE

Pergunta #14

Uma empresa está a criar uma aplicação de processamento de dados que utiliza funções AWS Lambda. As funções Lambda da aplicação precisam de comunicar com uma instância OB do Amazon RDS que está implementada num VPC na mesma conta AWS. Qual é a solução que cumpre estes requisitos da forma MAIS segura?

A. onfigurar a instância de BD para permitir o acesso público Atualizar o grupo de segurança da instância de BD para permitir o acesso a partir do espaço de endereço público do Lambda para a região AWS

B. Implantar as funções do Lambda dentro da VPC Anexar uma ACL de rede à sub-rede do Lambda Fornecer acesso de regra de saída apenas ao intervalo CIDR da VPC Atualizar o grupo de segurança da instância do BD para permitir o tráfego de 0

C. Implantar as funções do Lambda dentro da VPC Anexar um grupo de segurança às funções do Lambda Fornecer acesso de regra de saída apenas ao intervalo CIDR da VPC Atualizar o grupo de segurança da instância de BD para permitir o tráfego do grupo de segurança do Lambda

D. Colocar em pares a VPC predefinida do Lambda com a VPC que aloja a instância de BD para permitir o acesso direto à rede sem a necessidade de grupos de segurança

Ver resposta

Resposta correta: C

Pergunta #15

Um programador iniciou sessão numa nova conta numa unidade organizacional (OU) da Organização IAM que contém várias contas. O acesso ao serviço Amazon $3 é restringido com o seguinte SCP. Como é que o engenheiro de segurança pode fornecer ao programador acesso ao Amazon $3 sem afetar outras contas?

A. over o SCP para a OU de raiz da organização para remover a restrição de acesso a Amazon $3

B. dicionar uma política de IAM para o programador, que concede acesso $3

C. riar uma nova UO sem aplicar o SCP que restringe o acesso a $3

D. dicionar uma lista de permissões para a conta de desenvolvedor do serviço $3

Ver resposta

Resposta correta: C

Pergunta #16

Uma empresa tem um grupo de instâncias do Amazon EC2 em uma única sub-rede privada de uma VPC sem nenhum gateway de Internet conectado. Um engenheiro de segurança instalou o agente Amazon CloudWatch em todas as instâncias dessa sub-rede para capturar registos de uma aplicação específica. Para garantir que os registos fluem de forma segura, a equipa de rede da empresa criou pontos finais VPC para monitorização do CloudWatch e registos do CloudWatch. A equipe de rede anexou os pontos de extremidade à VPC e o aplicativo está gerando logs. No entanto, quando o se

A. Certifique-se de que o perfil da instância do EC2 que está anexado às instâncias do EC2 tem permissões para criar fluxos de registo e escrever registos

B. riar um filtro de métrica nos registos para que possam ser visualizados na Consola de Gestão AWS

C. erifique o arquivo de configuração do agente do CloudWatch em cada instância do EC2 para garantir que o agente do CloudWatch esteja coletando os arquivos de log adequados

D. Verifique as políticas de ponto de extremidade de VPC de ambos os pontos de extremidade de VPC para garantir que as instâncias do EC2 tenham permissões para usá-las

E. Crie um gateway NAT na sub-rede para que as instâncias do EC2 possam se comunicar com o CloudWatch

Ver resposta

Resposta correta: ACD

Pergunta #17

O Amazon GuardDuty detectou comunicações para um ponto final de comando e controlo conhecido a partir de uma instância Amazon EC2 de uma empresa. Verificou-se que a instância estava a executar uma versão vulnerável de uma estrutura Web comum. A equipa de operações de segurança da empresa pretende identificar rapidamente outros recursos de computação com a versão específica dessa estrutura instalada

A. erificar todas as instâncias do EC2 quanto à não conformidade com o IAM Config

B. Analisar todas as instâncias EC2 com o pacote de regras Amazon Inspetor Network Reachability para identificar instâncias que executam um servidor Web com resultados RecognizedPortWithListener

C. Analisar todas as instâncias EC2 com o IAM Systems Manager para identificar a versão vulnerável da estrutura Web

D. Analisar as instâncias EC2 com o IAM Resource Access Manager para identificar a versão vulnerável da estrutura Web

Ver resposta

Resposta correta: C

Pergunta #18

Tem um bucket S3 definido no IAM. Pretende garantir a encriptação dos dados antes de os enviar através do cabo, qual é a melhor forma de o conseguir.

A. abilitar a criptografia do lado do servidor para o bucket S3

B. Utilizar o CLI de encriptação do IAM para encriptar os dados primeiro

C. Utilizar uma função Lambda para encriptar os dados antes de os enviar para o bucket S3

D. tivar a encriptação de cliente para o balde

Ver resposta

Resposta correta: B

Pergunta #19

O engenheiro de segurança de uma empresa foi incumbido de restringir o acesso da conta IAM de um contratante à consola Amazon EC2 da empresa sem fornecer acesso a quaisquer outros serviços IAM. A conta IAM do contratante não deve poder obter acesso a qualquer outro serviço IAM, mesmo que lhe tenham sido atribuídas permissões adicionais com base na pertença a um grupo IAM

A. riar uma política de utilizador IAM mime que permita o acesso ao Amazon EC2 para o utilizador IAM do contratante

B. riar uma política de limite de permissões de IAM que permita o acesso ao Amazon EC2 Associar a conta de IAM do contratante com a política de limite de permissões de IAM

C. riar um grupo IAM com uma política anexada que permita o acesso ao Amazon EC2 Associar a conta IAM do contratante ao grupo IAM

D. Criar uma função de IAM que permita o EC2 e negue explicitamente todos os outros serviços Instruir o contratante a assumir sempre essa função

Ver resposta

Resposta correta: B

Pergunta #20

A sua empresa utiliza o IAM para alojar os seus recursos. A empresa tem os seguintes requisitos: 1) Registar todas as chamadas e transições de API; 2) Ajudar a compreender quais os recursos existentes na conta; 3) Permitir a auditoria de credenciais e inícios de sessão.

A. Inspetor IAM, CloudTrail, Relatórios de credenciais IAM

B. loudTrail

C. loudTrail, Configuração do IAM, Relatórios de credenciais do IAM

D. AM SQS, Relatórios de Credenciais IAM, CloudTrail

Ver resposta

Resposta correta: C

Pergunta #21

As redes locais de uma empresa são conectadas a VPCs usando um gateway IAM Direct Connect. A aplicação local da empresa precisa de transmitir dados utilizando um fluxo de entrega existente do Amazon Kinesis Data Firehose. A política de segurança da empresa exige que os dados sejam encriptados em trânsito utilizando uma rede privada. Como é que a empresa deve cumprir estes requisitos?

A. rie um ponto de extremidade VPC para o Kinesis Data Firehose

B. onfigurar uma política de IAM para restringir o acesso ao Kinesis Data Firehose usando uma condição de IP de origem

C. riar um novo certificado TLS no Gerenciador de Certificados IAM (ACM)

D. Emparelhar a rede local com a VPC do Kinesis Data Firehose usando a Direct Connect

Ver resposta

Resposta correta: A

Pergunta #22

Uma empresa implementa uma aplicação Web distribuída num conjunto de instâncias do Amazon EC2. A frota está atrás de um Application Load Balancer (ALB) que será configurado para terminar a ligação TLS. Todo o tráfego TLS para o ALB tem de permanecer seguro, mesmo que a chave privada do certificado seja comprometida. Como é que um engenheiro de segurança pode cumprir este requisito?

A. riar um ouvinte HTTPS que utilize um certificado gerido pelo Gestor de Certificados IAM (ACM)

B. Criar um ouvinte HTTPS que utilize uma política de segurança que utilize um conjunto de cifras com perfect toward secrecy (PFS)

C. riar um ouvinte HTTPS que utilize a funcionalidade de segurança Preferência de ordem de servidor

D. Crie um ouvinte TCP que utilize uma política de segurança personalizada que permita apenas conjuntos de cifras com perfect forward secrecy (PFS)

Ver resposta

Resposta correta: A

Pergunta #23

Uma empresa usa um bucket do Amazon S3 para armazenar relatórios A gerência determinou que todos os novos objetos armazenados nesse bucket devem ser criptografados em repouso usando a criptografia do lado do servidor com um CMK do IAM Key Management Service (IAM KMS) especificado pelo cliente, pertencente à mesma conta do bucket do S3. O número da conta do IAM é 111122223333 e o nome do bucket é report bucket. O especialista em segurança da empresa deve escrever a política de bucket S3 para garantir que o mandato possa ser implementado

A. riar um repositório CodeCommit na conta de segurança utilizando a encriptação de tor do IAM Key Management Service (IAM KMS) Exigir que a equipa de desenvolvimento migre o código-fonte do Lambda para este repositório

B. Armazenar a chave da API num bucket do Amazon S3 na conta de segurança, utilizando encriptação do lado do servidor com chaves de encriptação geridas pelo Amazon S3 (SSE-S3) para encriptar a chave

C. riar um segredo no Gestor de Segredos do IAM na conta de segurança para armazenar a chave da API utilizando o Serviço de Gestão de Chaves do IAM (IAM KMS) para encriptação Conceder acesso à função do IAM utilizada pela função Lambda para que a função possa obter a chave do Gestor de Segredos e chamar a API

D. riar uma variável de ambiente encriptada para a função Lambda para armazenar a chave de API utilizando o Serviço de Gestão de Chaves do IAM (IAM KMS) para encriptação Conceder acesso à função do IAM utilizada pela função Lambda para que a função possa desencriptar a chave em tempo de execução

Ver resposta

Resposta correta: D

Pergunta #24

Uma equipa de aplicações pretende utilizar o IAM Certificate Manager (ACM) para solicitar certificados públicos para garantir a segurança dos dados em trânsito. Os domínios que estão a ser utilizados não estão atualmente alojados no Amazon Route 53A equipa de aplicações pretende utilizar uma solução de distribuição e armazenamento em cache gerida pelo IAM para otimizar os pedidos aos seus sistemas e fornecer melhores pontos de presença aos clientes A solução de distribuição utilizará um nome de domínio primário que é personalizado A solução de distribuição também utilizará vários nomes de domínio alternativos

A.

B.

C.

Ver resposta

Resposta correta: CDF

Pergunta #25

Uma empresa precisa de manter arquivos de dados tog durante vários anos para estar em conformidade com os regulamentos. Os dados tog já não são utilizados, mas têm de ser conservados. Qual é a solução MAIS segura e económica para cumprir estes requisitos?

A. rquivar os dados no Amazon S3 e aplicar uma política de bucket restritiva para negar a API s3 DeleteOotect

B. rquivar os dados no Amazon S3 Glacier e aplicar uma política de bloqueio de cofre

C. rquivar os dados no Amazon S3 e replicá-los para um segundo bucket em uma segunda região IAM Escolha a classe de armazenamento S3 Standard-Infrequent Access (S3 Standard-1A) e aplique uma política de bucket restritiva para negar a API s3 DeleteObject

D. igrar os dados de registo para um volume de 16 T8 do Amazon Elastic Block Store (Amazon EBS) Criar um instantâneo do volume EBS

Ver resposta

Resposta correta: B

Pergunta #26

Uma empresa pretende garantir que os seus recursos IAM só podem ser lançados nas regiões us-east-1 e us-west- 2. Qual é a solução MAIS eficiente em termos operacionais que impedirá os programadores de lançarem instâncias do Amazon EC2 noutras regiões?

A. Crie um novo grupo de segurança na VPC do banco de dados e crie uma regra de entrada que permita todo o tráfego do intervalo de endereços IP da VPC do aplicativo

B. riar um novo grupo de segurança na VPC da aplicação com uma regra de entrada que permita o intervalo de endereços IP da VPC da base de dados através da porta TCP 1521

C. riar um novo grupo de segurança na VPC da aplicação sem regras de entrada

D. Crie um novo grupo de segurança na VPC do aplicativo com uma regra de entrada que permita o intervalo de endereços IP da VPC do banco de dados pela porta TCP 1521

Ver resposta

Resposta correta: C

Pergunta #27

Uma empresa está a executar uma aplicação na região eu-west-1. A aplicação utiliza um CMK do IAM Key Management Service (IAM KMS) para encriptar dados sensíveis.

A. A empresa planeia implementar a aplicação na região eu-north-1

B. Atualizar as políticas de chave na eu-oeste-1

C. Atribuir um novo CMK à eu-north-1 para ser utilizado pela aplicação que está implantada nessa região

D. Atribuir uma nova CMK a eu-north-1

E. Atribuir um novo CMK a eu-norte-1

Ver resposta

Resposta correta: B

Pergunta #28

A Equipa de Segurança de uma empresa recebeu uma notificação por e-mail da equipa de Abuso do Amazon EC2 de que uma ou mais instâncias do Amazon EC2 da empresa podem ter sido comprometidas. Que combinação de acções deve a Equipa de Segurança tomar para responder ao (ser modem atual? (Seleccione DUAS.)

A. Utilize a monitorização do Amazon CloudWatch para capturar o Amazon EC2 e as métricas de rede Visualize as métricas utilizando os painéis do Amazon CloudWatch

B. xecutar o Amazon Kinesis Agent para gravar os dados de estado no Amazon Kinesis Data Firehose Armazenar os dados de streaming do Kinesis Data Firehose no Amazon Redshift

C. Escrever os dados de estado diretamente num bucket público do Amazon S3 a partir do componente de verificação de saúde Configurar eventos S3 para invocar uma função IAM Lambda que analisa os dados

D. Gerar eventos do componente de verificação de integridade e enviá-los para o Amazon CloudWatch Events

Ver resposta

Resposta correta: DE

Pergunta #29

Uma empresa recebe uma notificação da equipa AWS Abuse sobre uma conta AWS A notificação indica que um recurso na conta está comprometido A empresa determina que o recurso comprometido é uma instância do Amazon EC2 que aloja uma aplicação Web A instância do EC2 comprometida faz parte de um grupo EC2 Auto Scaling A instância do EC2 acede aos recursos do Amazon S3 e do Amazon DynamoDB utilizando uma chave de acesso 1AM e uma chave secreta A chave de acesso 1AM e a chave secreta são armazenadas dentro da AMI especificada

A. odar a chave de acesso potencialmente comprometida que a instância EC2 utiliza Criar uma nova AM I sem as credenciais potencialmente comprometidas Efetuar uma atualização da instância EC2 Auto Scaling

B. Excluir ou desativar a chave de acesso potencialmente comprometida Criar uma função 1AM vinculada ao EC2 Auto Scaling que inclua uma política personalizada que corresponda à permissão da chave de acesso potencialmente comprometida Associar a nova função 1AM ao grupo Auto Scaling Executar uma atualização de instância do EC2 Auto Scaling

C. Eliminar ou desativar a chave de acesso potencialmente comprometida Criar uma nova AMI sem as credenciais potencialmente comprometidas Criar uma função 1AM que inclua as permissões correctas Criar um modelo de lançamento para o grupo de Escalonamento Automático para fazer referência à nova AMI e à função 1AM Efetuar uma atualização da instância de Escalonamento Automático do EC2

D. odar a chave de acesso potencialmente comprometida Criar uma nova AMI sem a chave de acesso potencialmente comprometida Utilizar um script de dados do utilizador para fornecer a nova chave de acesso como variáveis ambientais na configuração de lançamento do grupo de Escalonamento Automático Efetuar uma atualização da instância de Escalonamento Automático do EC2

Ver resposta

Resposta correta: C

Pergunta #30

Uma empresa está a utilizar o Amazon Elastic Container Service (Amazon ECS) para implementar uma aplicação que lida com dados sensíveis Durante uma auditoria de segurança recente, a empresa identificou um problema de segurança em que as credenciais do Amazon RDS eram armazenadas com o código da aplicação no repositório de código-fonte da empresa. As credenciais devem ser acessíveis apenas à aplicação O engenheiro também

A. Utilize o Armazenamento de Parâmetros do Gestor de Sistemas IAM para gerar credenciais de base de dados

B. Utilizar o Gestor de Segredos do IAM para armazenar as credenciais da base de dados

C. Utilizar o Armazenamento de Parâmetros do Gestor de Sistemas IAM para armazenar credenciais da base de dados

D. Utilize o Gestor de Segredos do IAM para armazenar as credenciais da base de dados

Ver resposta

Resposta correta: D

Pergunta #31

O Diretor de Segurança de uma empresa solicitou a um Analista de Segurança que analisasse e melhorasse a postura de segurança de cada conta IAM da empresa. O Analista de Segurança decide fazê-lo melhorando a segurança do utilizador raiz da conta IAM (Seleccione TRÊS.)

A. onfiguração do SG de saída nos servidores de bases de dados Configuração do SG de entrada nos servidores de aplicações Configuração de ACL de rede de entrada e saída na sub-rede da base de dados Configuração de ACL de rede de entrada e saída na sub-rede do servidor de aplicações

B. onfiguração do SG de entrada nos servidores de base de dados

C. Configuração do SG de entrada e de saída nos servidores de bases de dados Configuração do SG de entrada e de saída nos servidores de aplicações Configuração do ACL de rede de entrada na sub-rede da base de dados Configuração do ACL de rede de saída na sub-rede do servidor de aplicações

D. Configuração do SG de entrada nos servidores de bases de dados Configuração do SG de saída nos servidores de aplicações Configuração do ACL de rede de entrada na sub-rede da base de dados Configuração do ACL de rede de saída na sub-rede do servidor de aplicações

Ver resposta

Resposta correta: ADE

Pergunta #32

Uma empresa implementa um conjunto de funções de IAM padrão em contas do AWS. As funções de IAM são baseadas em funções de trabalho dentro da empresa. Para equilibrar a eficiência operacional e a segurança, um engenheiro de segurança implementou SCPs de organizações da AWS para restringir o acesso a serviços de segurança críticos em todas as contas da empresa. Todas as contas e UOs da empresa nas organizações da AWS têm um SCP FullAWSAccess padrão anexado. O engenheiro de segurança precisa de garantir que ninguém pode desativar o Amazon GuardDuty e o AWS Security Hu

A. pção

B. pção

C. pção

D. Opção D

Ver resposta

Resposta correta: A

Pergunta #33

A sua empresa acabou de configurar um novo servidor central numa VPC. Existe um requisito para que outras equipas, que têm os seus servidores localizados em diferentes VPCs na mesma região, se liguem ao servidor central. Qual das opções abaixo é a mais adequada para atingir este requisito?

A. onfigurar o emparelhamento VPC entre o VPC do servidor central e cada um dos VPCs das equipas

B. onfigurar o IAM DirectConnect entre a VPC do servidor central e cada uma das VPCs das equipas

C. onfigurar um túnel IPSec entre a VPC do servidor central e cada uma das VPCs das equipas

D. Nenhuma das opções acima funcionará

Ver resposta

Resposta correta: A

Pergunta #34

Uma empresa pretende estabelecer chaves separadas do IAM Key Management Service (IAM KMS) para utilizar em diferentes serviços de IAM. O engenheiro de segurança da empresa criou a seguinte política de chaves para permitir que a equipa de implementação de infra-estruturas crie volumes encriptados do Amazon Elastic Block Store (Amazon EBS) assumindo a função de IAM InfrastructureDeployment: O engenheiro de segurança descobriu recentemente que outras funções de IAM que não a função InfrastructureDeployment utilizavam esta chave (ou outros serviços)

A. No bloco de instruções que contém o Sid "Permitir a utilização da chave", no bloco "Condição", alterar StringEquals para StringLike

B. No documento de política, remova a declaração Dlock que contém o Sid "Ativar permissões de utilizador IAM"

C. No bloco de instruções que contém o Sid "Allow use of the Key", no bloco "Condition", altere o valor Kms:ViaService para ec2

D. No documento de política, adicione um novo bloco de declaração que conceda a permissão kms:Disable' à função IAM do engenheiro de segurança

Ver resposta

Resposta correta: C

Pergunta #35

Uma empresa está a alojar várias aplicações numa única VPC na sua conta IAM. As aplicações estão a ser executadas atrás de um Balanceador de Carga de Aplicações que está associado a uma ACL Web WAF do IAM. A equipe de segurança da empresa identificou que várias varreduras de porta são originadas de um intervalo específico de endereços IP na Internet. Um engenheiro de segurança precisa negar o acesso dos endereços IP ofensivos

A. odifique a ACL da Web do IAM WAF com uma instrução de regra de correspondência de conjunto de IP para negar solicitações de entrada do intervalo de endereços IP

B. dicionar uma regra a todos os grupos de segurança para negar os pedidos de entrada do intervalo de endereços IP

C. odifique a ACL da Web do IAM WAF com uma instrução de regra baseada em taxa para negar os pedidos de entrada do intervalo de endereços IP

D. onfigure a ACL da Web do IAM WAF com condições de correspondência regex

Ver resposta

Resposta correta: A

Pergunta #36

O Amazon GuardDuty detectou comunicações para um ponto final de comando e controlo conhecido a partir de uma instância Amazon EC2 de uma empresa. Verificou-se que a instância estava a executar uma versão vulnerável de uma estrutura Web comum. A equipa de operações de segurança da empresa pretende identificar rapidamente outros recursos de computação com a versão específica dessa estrutura instalada

A. erificar todas as instâncias do EC2 quanto à não conformidade com o IAM Config

B. Analisar todas as instâncias EC2 com o pacote de regras Amazon Inspetor Network Reachability para identificar instâncias que executam um servidor Web com resultados RecognizedPortWithListener

C. Analisar todas as instâncias EC2 com o IAM Systems Manager para identificar a versão vulnerável da estrutura Web

D. Analisar as instâncias EC2 com o IAM Resource Access Manager para identificar a versão vulnerável da estrutura Web

Ver resposta

Resposta correta: C

Pergunta #37

Uma empresa está a alojar várias aplicações numa única VPC na sua conta IAM. As aplicações estão a ser executadas atrás de um Balanceador de Carga de Aplicações que está associado a uma ACL Web WAF do IAM. A equipe de segurança da empresa identificou que várias varreduras de porta são originadas de um intervalo específico de endereços IP na Internet. Um engenheiro de segurança precisa negar o acesso dos endereços IP ofensivos

A. odifique a ACL da Web do IAM WAF com uma instrução de regra de correspondência de conjunto de IP para negar solicitações de entrada do intervalo de endereços IP

B. dicionar uma regra a todos os grupos de segurança para negar os pedidos de entrada do intervalo de endereços IP

C. odifique a ACL da Web do IAM WAF com uma instrução de regra baseada em taxa para negar os pedidos de entrada do intervalo de endereços IP

D. onfigure a ACL da Web do IAM WAF com condições de correspondência regex

Ver resposta

Resposta correta: A

Pergunta #38

Uma empresa tem uma chave gerida pelo cliente do AWS Key Management Service (AWS KMS) com material de chave importado. A política da empresa exige que todas as chaves de encriptação sejam rodadas todos os anos

A. Ativar a rotação automática de chaves anualmente para a chave gerida pelo cliente existente

B. Utilize o AWS CLI para criar uma função AWS Lambda para rodar anualmente a chave gerida pelo cliente existente

C. mportar novo material de chave para a chave existente gerida pelo cliente Rodar manualmente a chave

D. riar uma nova chave gerida pelo cliente Importar o novo material da chave para a nova chave Apontar o alias da chave para a nova chave

Ver resposta

Resposta correta: A

Pergunta #39

A sua equipa de desenvolvimento está a utilizar chaves de acesso para desenvolver uma aplicação que tem acesso ao S3 e ao DynamoDB. Uma nova política de segurança definiu que as credenciais não devem ter mais de 2 meses e devem ser rodadas. Como é que isto pode ser conseguido?

A. Utilizar a aplicação para rodar as chaves de 2 em 2 meses através do SDK

B. Utilizar um script para consultar a data de criação das chaves

C. liminar o utilizador associado às chaves após cada 2 meses

D. liminar a função de IAM associada às chaves após cada 2 meses

Ver resposta

Resposta correta: B

Pergunta #40

Um programador de uma empresa utiliza uma chave SSH para aceder a várias instâncias do Amazon EC2. A empresa descobre que a chave SSH foi publicada num repositório público do GitHub. Um engenheiro de segurança verifica que a chave não foi usada recentemente. Como o engenheiro de segurança deve impedir o acesso não autorizado às instâncias do EC2?

A. liminar o par de chaves da consola do EC2

B. Use a operação da API ModifylnstanceAttribute para alterar a chave em qualquer instância do EC2 que esteja usando a chave

C. estringir o acesso SSH no grupo de segurança apenas a endereços IP empresariais conhecidos

D. Atualizar o par de chaves em qualquer AMI usada para iniciar as instâncias do EC2

Ver resposta

Resposta correta: C

Pergunta #41

Uma empresa aloja uma aplicação no Amazon EC2 que está sujeita a regras específicas de conformidade regulamentar. Uma regra estabelece que o tráfego de e para a carga de trabalho deve ser inspeccionado para detetar ataques ao nível da rede. Para cumprir esta regra regulamentar, um engenheiro de segurança deve instalar software de deteção de intrusão numa instância c5n.4xlarge do EC2. O engenheiro deve então configurar o software para monitorizar o tráfego de e para as instâncias de aplicação

A. Colocar a interface de rede em modo promíscuo para capturar o tráfego

B. Configurar os Registos de Fluxo VPC para enviar tráfego para a instância EC2 de monitorização utilizando um Balanceador de Carga de Rede

C. Configure o espelhamento de tráfego VPC para enviar tráfego para a instância EC2 de monitoramento usando um balanceador de carga de rede

D. Utilize o Amazon Inspetor para detetar ataques ao nível da rede e accione uma função IAM Lambda para enviar os pacotes suspeitos para a instância EC2

Ver resposta

Resposta correta: D

Pergunta #42

Trabalha numa empresa que utiliza recursos IAM. Uma das principais políticas de segurança consiste em garantir que todos os dados são encriptados, tanto em repouso como em trânsito.

A. Utilizar o S3 SSE e utilizar SSL para os dados em trânsito

B. erminação SSL no ELB

C. Ativar o protocolo proxy

D. Ativar sessões fixas no seu equilibrador de carga

Ver resposta

Resposta correta: A

Pergunta #43

Uma empresa lançou uma instância do Amazon EC2 com um volume do Amazon Elastic Block Store (Amazon EBS) na região us-east-1 O volume está encriptado com uma chave gerida pelo cliente do AWS Key Management Service (AWS KMS) que a equipa de segurança da empresa criou A equipa de segurança criou uma política de chave 1AM e atribuiu a política à chave A equipa de segurança também criou um perfil de instância 1AM e atribuiu o perfil à instância A instância do EC2 não inicia e transita da fase pendente

A. onfigurar o acesso de confiança para o AWS System Manager nas organizações Configurar um anfitrião bastião a partir da conta de gestão Substituir o SSH e o RDP utilizando o Systems Manager Session Manager a partir da conta de gestão Configurar o registo do Session Manager no Amazon CloudWatch Logs

B. ubstituir SSH e RDP pelo AWS Systems Manager Session Manager Instalar o Agente do Systems Manager (Agente SSM) nas instâncias Anexar o

C. Função AmazonSSMManagedlnstanceCore para as instâncias Configurar o fluxo de dados da sessão para o Amazon CloudWatch Logs Criar uma conta de registo separada que tenha permissões adequadas entre contas para auditar os dados de registo

D. nstalar um anfitrião bastião na conta de gestão Reconfigurar todos os SSH e RDP para permitir o acesso apenas a partir do anfitrião bastião Instalar o AWS Systems Manager Agent (SSM Agent) no anfitrião bastião Atribuir a função AmazonSSMManagedlnstanceCore ao anfitrião bastião Configurar o fluxo de dados da sessão para o Amazon CloudWatch Logs numa conta de registo separada para auditar os dados de registo

E. Substituir SSH e RDP pelo AWS Systems Manager State Manager Instalar o Systems Manager Agent (SSM Agent) nas instâncias Anexar a função AmazonSSMManagedlnstanceCore às instâncias Configurar o streaming de dados da sessão para o Amazon CloudTrail Usar o CloudTrail Insights para analisar os dados do rastreamento

Ver resposta

Resposta correta: CD

Pergunta #44

A sua empresa utiliza o IAM para alojar os seus recursos. A empresa tem os seguintes requisitos: 1) Registar todas as chamadas e transições de API; 2) Ajudar a compreender quais os recursos existentes na conta; 3) Permitir a auditoria de credenciais e inícios de sessão.

A. Inspetor IAM, CloudTrail, Relatórios de credenciais IAM

B. loudTrail

C. loudTrail, Configuração do IAM, Relatórios de credenciais do IAM

D. AM SQS, Relatórios de Credenciais IAM, CloudTrail

Ver resposta

Resposta correta: C

Pergunta #45

Uma equipa de aplicações solicitou uma nova chave mestra IAM KMS para utilização com o Amazon S3, mas a política de segurança organizacional exige chaves mestras separadas para diferentes serviços IAM para limitar o raio de explosão

A. onfigurar a política de chave CMK para permitir que apenas o serviço Amazon S3 utilize a ação kms Encrypt

B. Configurar a política de chave CMK para permitir acções IAM KMS apenas quando a condição kms ViaService corresponder ao nome do serviço Amazon S3

C. onfigurar a política do utilizador IAM para permitir que o KMS transmita uma rota para o Amazon S3

D. onfigurar a política do utilizador IAM para permitir apenas operações do Amazon S3 quando estas são combinadas com o CMK

Ver resposta

Resposta correta: B

Pergunta #46

Uma empresa precisa de um engenheiro de segurança para implementar uma solução escalável para autenticação e autorização de várias contas. A solução não deve introduzir componentes arquitecturais adicionais geridos pelo utilizador. As funcionalidades nativas do IAM devem ser utilizadas tanto quanto possível O engenheiro de segurança configurou as organizações do IAM com todas as funcionalidades activadas e o SSO do IAM ativado

A. Utilize o Conector AD para criar utilizadores e grupos para todos os funcionários que necessitem de acesso a contas de IAM

B. tilize um diretório predefinido de SSO do IAM para criar utilizadores e grupos para todos os funcionários que necessitem de acesso a contas do IAM

C. tilize um diretório predefinido de SSO do IAM para criar utilizadores e grupos para todos os funcionários que necessitem de acesso a contas do IAM

D. Utilize o Serviço de Diretório do IAM para o Microsoft Active Directory para criar utilizadores e grupos para todos os funcionários que necessitem de acesso a contas do IAM

Ver resposta

Resposta correta: B

Pergunta #47

Os auditores de uma empresa de cuidados de saúde exigiram que todos os volumes de dados fossem encriptados em repouso A infraestrutura é implementada principalmente através do IAM CloudFormation, no entanto, são necessárias estruturas de terceiros e implementação manual em alguns sistemas antigos

A. iltre o histórico de eventos na chave de acesso exposta no console do CloudTrail Examine os dados dos últimos 11 dias

B. se a CLI do IAM para gerar um relatório de credenciais do IAM Extraia todos os dados dos últimos 11 dias

C. Utilizar o Amazon Athena para consultar os registos CloudTrail do Amazon S3

D. Utilize o separador Access Advisor na consola IAM para ver toda a atividade da chave de acesso nos últimos 11 dias

Ver resposta

Resposta correta: B

Pergunta #48

Uma grande empresa está a criar uma estratégia de várias contas e precisa de determinar como os seus funcionários devem aceder à infraestrutura de IAM

A. riar utilizadores IAM dedicados em cada conta IAM que os funcionários podem assumir através da federação com base na associação de grupos no seu fornecedor de identidade existente

B. tilizar uma conta centralizada com funções de IAM que os funcionários podem assumir através da federação com o seu fornecedor de identidade existente Utilizar funções entre contas para permitir que os utilizadores federados assumam a sua função de destino nas contas de recursos

C. onfigure o Serviço de Token de Segurança do IAM para utilizar tokens Kerberos para que os utilizadores possam utilizar os seus nomes de utilizador e palavras-passe empresariais existentes para aceder diretamente aos recursos do IAM

D. Configurar as políticas de confiança do IAM na função de cada conta para estabelecer uma confiança no fornecedor de identidade existente da empresa, permitindo que os utilizadores assumam a função com base no seu token SAML

Ver resposta

Resposta correta: B

Pergunta #49

Uma empresa tem duas equipas e cada uma delas precisa de aceder aos respectivos buckets do Amazon S3. A empresa prevê adicionar mais equipas que também terão os seus próprios buckets S3. Quando a empresa adicionar estas equipas, os membros da equipa precisarão da capacidade de serem atribuídos a várias equipas. Os membros da equipa também precisarão da capacidade de mudar de equipa. Podem ser criados ou eliminados mais baldes S3. Um administrador do IAM tem de conceber uma solução para atingir estes objectivos. A solução também deve ser escalável e deve exigir o mínimo de

A. Adicionar utilizadores a grupos que representem as equipas

B. riar uma função de IAM para cada equipa

C. Crie funções do IAM que são rotuladas com um valor de etiqueta de acesso de uma equipa

D. mplementar um modelo de autorização de controlo de acesso baseado em funções (RBAC)

Ver resposta

Resposta correta: A

Pergunta #50

Uma organização tem uma carga de trabalho de vários petabytes que está a mover para o Amazon S3, mas o CISO está preocupado com o desgaste criptográfico e o raio de explosão se uma chave for comprometida. Como é que o CISO pode ter a certeza de que o IAM KMS e o Amazon S3 estão a resolver as preocupações? (Seleccione DOIS )

A. Um ouvinte HTTPS que utiliza um certificado que é gerido pelo Amazon Certification Manager

B. Um ouvinte HTTPS que utiliza uma política de segurança personalizada que permite apenas conjuntos de cifras de sigilo de encaminhamento perfeito

C. Um ouvinte HTTPS que usa a política de segurança ELBSecuntyPolicy-TLS-1 -2-2017-01 predefinida mais recente do IAM

D. Um ouvinte TCP que utiliza uma política de segurança personalizada que permite apenas conjuntos de cifras de sigilo de encaminhamento perfeito

Ver resposta

Resposta correta: CE

Pergunta #51

Uma empresa tem uma organização com SCPs em Organizações AWS. Os programadores da empresa são membros de um grupo que tem uma política de IAM que permite o acesso ao Amazon Simple Email Service (Amazon SES), permitindo acções ses.*. A conta é um filho de uma UO que tem um SCP que permite o Amazon SES. Os desenvolvedores estão recebendo um erro não autorizado quando tentam acessar o Amazon SES por meio do AWS Management Console

A. dicionar uma política de recursos que permita a cada membro do grupo aceder ao Amazon SES

B. dicionar uma política de recursos que permita 'Principal'

C. Remover o controlo da Torre de Controlo AWS (guarda-corpos) que restringe o acesso ao Amazon SES

D. emover o Amazon SES do SCP raiz

Ver resposta

Resposta correta: D

Pergunta #52

Uma equipa de resposta a incidentes está a investigar uma fuga de chaves de acesso IAM que resultou no lançamento de instâncias do Amazon EC2. A empresa só descobriu o incidente muitos meses depois. O Diretor de Segurança da Informação pretende implementar novos controlos que alertem para a ocorrência de incidentes semelhantes no futuro {Seleccione DOIS)

A. A política de bucket S3 não permite explicitamente que o Engenheiro de Segurança tenha acesso aos objectos no bucket

B. As ACLs de objeto não estão a ser actualizadas para permitir que os utilizadores da conta centralizada acedam aos objectos

C. política de IAM dos Engenheiros de Segurança não concede permissões para ler objectos no bucket S3

D. s permissões s3:PutObject e s3:PutObjectAcl devem ser aplicadas no nível do bucket S3

Ver resposta

Resposta correta: AE

Pergunta #53

Um Engenheiro de Segurança está a resolver um problema com a aplicação de registo personalizada de uma empresa. Os registos da aplicação são gravados num bucket Amazon S3 com notificações de eventos activadas para enviar eventos para um tópico Amazon SNS. Todos os registos são encriptados em repouso utilizando um IAM KMS CMK. O tópico SNS é subscrito a uma fila encriptada do Amazon SQS. A aplicação de registo sonda a fila em busca de novas mensagens que contenham metadados sobre o objeto S3. Em seguida, a aplicação lê o conteúdo do objeto a partir do balde S3 para

A. dicione a seguinte declaração às CMKs geridas pelo IAM:

B. crescentar a seguinte declaração à política de chaves CMK:

C. Adicione a seguinte declaração à política de chaves CMK:

D. Adicione a seguinte declaração à política de chaves CMK:

Ver resposta

Resposta correta: D

Pergunta #54

Uma empresa está a executar cargas de trabalho numa única conta IAM em instâncias do Amazon EC2 e clusters do Amazon EMR. Uma auditoria de segurança recente revelou que vários volumes e instantâneos do Amazon Elastic Block Store (Amazon EBS) não estão encriptados. O engenheiro de segurança da empresa está a trabalhar numa solução que permitirá aos utilizadores implementar instâncias do EC2 e clusters do EMR, garantindo ao mesmo tempo que todos os novos volumes EBS e instantâneos EBS são encriptados em repouso. A solução também deve minimizar a sobrecarga operacional

A. Criar um evento Amazon Event Bridge (Amazon Cloud watch Events) com uma instância EC2 como fonte e criar volume como acionador do evento

B. Utilize uma política de IAM gerida pelo cliente que verifique se o sinalizador de encriptação do contexto Criar volume está definido como verdadeiro

C. Crie uma regra de configuração do IAM para avaliar a configuração de cada instância do EC2 na criação ou modificação

D. Utilize a Consola de Gestão de IAM ou o IAM CLi para ativar a encriptação por predefinição para volumes EBS em cada Região de IAM onde a empresa opera

Ver resposta

Resposta correta: D

Pergunta #55

As redes locais de uma empresa são conectadas a VPCs usando um gateway IAM Direct Connect. A aplicação local da empresa precisa de transmitir dados utilizando um fluxo de entrega existente do Amazon Kinesis Data Firehose. A política de segurança da empresa exige que os dados sejam encriptados em trânsito utilizando uma rede privada. Como é que a empresa deve cumprir estes requisitos?

A. rie um ponto de extremidade VPC para o Kinesis Data Firehose

B. onfigurar uma política de IAM para restringir o acesso ao Kinesis Data Firehose usando uma condição de IP de origem

C. riar um novo certificado TLS no Gerenciador de Certificados IAM (ACM)

D. Emparelhar a rede local com a VPC do Kinesis Data Firehose usando a Direct Connect

Ver resposta

Resposta correta: A

Pergunta #56

Uma empresa tem vários buckets do Amazon S3 encriptados com CMKs geridas pelo cliente. Devido a requisitos regulamentares, as chaves têm de ser rodadas todos os anos. O engenheiro de segurança da empresa activou a rotação automática de chaves para as CMKs; no entanto, a empresa pretende verificar se a rotação ocorreu

A. iltrar os registos do IAM CloudTrail para eventos KeyRotaton

B. onitorizar os eventos do Amazon CloudWatcn para detetar quaisquer eventos de rotação do CMK do IAM KMS

C. sando a CLI do IAM

D. Use o Amazon Athena para consultar os logs do IAM CloudTrail salvos em um bucket S3 para filtrar os eventos Gerar nova chave

Ver resposta

Resposta correta: C

Pergunta #57

Uma empresa gere três contas IAM separadas para os seus ambientes de produção, desenvolvimento e teste. A cada programador é atribuído um utilizador IAM exclusivo na conta de desenvolvimento. Uma nova aplicação alojada numa instância do Amazon EC2 na conta de desenvolvimento requer acesso de leitura aos documentos arquivados armazenados num bucket do Amazon S3 na conta de produção

A. rie uma função IAM na conta de produção e permita que as instâncias do EC2 na conta de desenvolvimento assumam essa função usando a política de confiança

B. Utilizar um corretor de identidade personalizado para permitir que os utilizadores do IAM de Programador acedam temporariamente ao bucket S3

C. riar um utilizador IAM temporário para a aplicação a utilizar na conta de produção

D. riar um utilizador IAM temporário na conta de produção e fornecer acesso de leitura ao Amazon S3

Ver resposta

Resposta correta: A

Pergunta #58

Uma empresa gere três contas IAM separadas para os seus ambientes de produção, desenvolvimento e teste. A cada programador é atribuído um utilizador IAM exclusivo na conta de desenvolvimento. Uma nova aplicação alojada numa instância do Amazon EC2 na conta de desenvolvimento requer acesso de leitura aos documentos arquivados armazenados num bucket do Amazon S3 na conta de produção

A. rie uma função IAM na conta de produção e permita que as instâncias do EC2 na conta de desenvolvimento assumam essa função usando a política de confiança

B. Utilizar um corretor de identidade personalizado para permitir que os utilizadores do IAM de Programador acedam temporariamente ao bucket S3

C. riar um utilizador IAM temporário para a aplicação a utilizar na conta de produção

D. riar um utilizador IAM temporário na conta de produção e fornecer acesso de leitura ao Amazon S3

Ver resposta

Resposta correta: A

Pergunta #59

Example.com está alojado em instâncias do Amazon EC2 por detrás de um Application Load Balancer (ALB). Os agentes do sistema de deteção de intrusão do anfitrião (HIDS) de terceiros que capturam o tráfego da instância EC2 estão a ser executados em cada anfitrião. A empresa tem de garantir que está a utilizar tecnologias de reforço da privacidade para os utilizadores, sem perder a garantia que a solução de terceiros oferece

A. Ativar a passagem TLS no ALB e tratar a desencriptação no servidor utilizando conjuntos de cifras Elliptic Curve Diffie-Hellman (ECDHE)

B. Criar um ouvinte no ALB que utilize ligações encriptadas com conjuntos de cifras Elliptic Curve Diffie-Hellman (ECDHE) e transmitir o tráfego de forma clara para o servidor

C. riar um ouvinte no ALB que utilize ligações encriptadas com conjuntos de cifras Elliptic Curve Diffie-Hellman (ECDHE) e utilizar ligações encriptadas para os servidores que não activam o Perfect Forward Secrecy (PFS)

D. Criar um ouvinte no ALB que não active os conjuntos de cifras Perfect Forward Secrecy (PFS) e utilizar ligações encriptadas aos servidores utilizando conjuntos de cifras Elliptic Curve Diffie-Hellman (ECDHE)

Ver resposta

Resposta correta: D

Pergunta #60

Uma empresa está a desenvolver uma aplicação altamente resiliente para ser alojada em várias instâncias do Amazon EC2. A aplicação deve: - Incluir a migração para uma região IAM diferente no plano de recuperação de desastres da aplicação; - Fornecer uma pista de auditoria completa dos eventos de administração de chaves de encriptação; - Permitir que apenas os administradores da empresa administrem chaves; - Proteger os dados em repouso utilizando a encriptação da camada de aplicação

A. O registo de eventos de administração de chaves gerado pelo CloudHSM é significativamente mais extenso do que o IAM KMS

B. CloudHSM garante que apenas o pessoal de suporte da empresa pode administrar chaves de encriptação, enquanto o IAM KMS permite que o pessoal do IAM administre chaves

C. O texto cifrado produzido pelo CloudHSM oferece uma proteção mais robusta contra ataques de desencriptação por força bruta do que o texto cifrado produzido pelo IAM KMS

D. CloudHSM oferece a capacidade de copiar chaves para uma região diferente, enquanto o IAM KMS não oferece

Ver resposta

Resposta correta: B

Pergunta #61

Uma empresa deseja monitorar a exclusão de CMKs gerenciadas pelo cliente Um engenheiro de segurança deve criar um alarme que notificará a empresa antes que uma CMK seja excluída O engenheiro de segurança configurou a integração do IAM CloudTrail com o Amazon CloudWatch

A. tilizar a regra de entrada 100 para permitir o tráfego na porta TCP 443 Utilizar a regra de entrada 200 para negar o tráfego na porta TCP 3306 Utilizar a regra de saída 100 para permitir o tráfego na porta TCP 443

B. se a regra de entrada 100 para negar o tráfego na porta TCP 3306

C. tilizar a regra de entrada 100 para permitir o tráfego no intervalo de portas TCP 1024-65535 Utilizar a regra de entrada 200 para negar o tráfego na porta TCP 3306 Utilizar a regra de saída 100 para permitir o tráfego na porta TCP 443

D. Utilizar a regra de entrada 100 para negar o tráfego na porta TCP 3306 Utilizar a regra de entrada 200 para permitir o tráfego na porta TCP 443 Utilizar a regra de saída 100 para permitir o tráfego na porta TCP 443

Ver resposta

Resposta correta: A

Pergunta #62

Uma empresa utiliza o Amazon API Gateway para apresentar APIs REST aos utilizadores. Um programador de API pretende analisar os padrões de acesso à API sem a necessidade de analisar os ficheiros de registo (Seleccione DOIS.)

A. onfigurar a funcionalidade S3 Block Public Access para a conta AWS

B. Configurar o recurso de acesso público ao bloco S3 para todos os objetos que estão no bucket

C. esativar ACLs para objectos que estão no balde

D. Utilizar o AWS PrivateLink para o Amazon S3 para aceder ao contentor

Ver resposta

Resposta correta: CD

Pergunta #63

Uma empresa lançou uma instância do Amazon EC2 com um volume do Amazon Elastic Block Store (Amazon EBS) na região us-east-1 O volume está encriptado com uma chave gerida pelo cliente do AWS Key Management Service (AWS KMS) que a equipa de segurança da empresa criou A equipa de segurança criou uma política de chave 1AM e atribuiu a política à chave A equipa de segurança também criou um perfil de instância 1AM e atribuiu o perfil à instância A instância do EC2 não inicia e transita da fase pendente

A. onfigurar o acesso de confiança para o AWS System Manager nas organizações Configurar um anfitrião bastião a partir da conta de gestão Substituir o SSH e o RDP utilizando o Systems Manager Session Manager a partir da conta de gestão Configurar o registo do Session Manager no Amazon CloudWatch Logs

B. ubstituir SSH e RDP pelo AWS Systems Manager Session Manager Instalar o Agente do Systems Manager (Agente SSM) nas instâncias Anexar o

C. Função AmazonSSMManagedlnstanceCore para as instâncias Configurar o fluxo de dados da sessão para o Amazon CloudWatch Logs Criar uma conta de registo separada que tenha permissões adequadas entre contas para auditar os dados de registo

D. nstalar um anfitrião bastião na conta de gestão Reconfigurar todos os SSH e RDP para permitir o acesso apenas a partir do anfitrião bastião Instalar o AWS Systems Manager Agent (SSM Agent) no anfitrião bastião Atribuir a função AmazonSSMManagedlnstanceCore ao anfitrião bastião Configurar o fluxo de dados da sessão para o Amazon CloudWatch Logs numa conta de registo separada para auditar os dados de registo

E. Substituir SSH e RDP pelo AWS Systems Manager State Manager Instalar o Systems Manager Agent (SSM Agent) nas instâncias Anexar a função AmazonSSMManagedlnstanceCore às instâncias Configurar o streaming de dados da sessão para o Amazon CloudTrail Usar o CloudTrail Insights para analisar os dados do rastreamento

Ver resposta

Resposta correta: CD

Pergunta #64

Trabalha numa empresa que utiliza recursos IAM. Uma das principais políticas de segurança consiste em garantir que todos os dados são encriptados, tanto em repouso como em trânsito.

A. Utilizar o S3 SSE e utilizar SSL para os dados em trânsito

B. erminação SSL no ELB

C. Ativar o protocolo proxy

D. Ativar sessões fixas no seu equilibrador de carga

Ver resposta

Resposta correta: A

Pergunta #65

Uma organização tem uma carga de trabalho de vários petabytes que está a mover para o Amazon S3, mas o CISO está preocupado com o desgaste criptográfico e o raio de explosão se uma chave for comprometida. Como é que o CISO pode ter a certeza de que o IAM KMS e o Amazon S3 estão a resolver as preocupações? (Seleccione DOIS )

A. Um ouvinte HTTPS que utiliza um certificado que é gerido pelo Amazon Certification Manager

B. Um ouvinte HTTPS que utiliza uma política de segurança personalizada que permite apenas conjuntos de cifras de sigilo de encaminhamento perfeito

C. Um ouvinte HTTPS que usa a política de segurança ELBSecuntyPolicy-TLS-1 -2-2017-01 predefinida mais recente do IAM

D. Um ouvinte TCP que utiliza uma política de segurança personalizada que permite apenas conjuntos de cifras de sigilo de encaminhamento perfeito

Ver resposta

Resposta correta: CE

Pergunta #66

A equipa de operações na nuvem de uma empresa é responsável por criar uma segurança eficaz para o acesso IAM entre contas. A equipe pede a um engenheiro de segurança que ajude a solucionar o problema de alguns desenvolvedores da conta de desenvolvedor (123456789012) no grupo de desenvolvedores não conseguirem assumir uma função entre contas (ReadS3) em uma conta de produção (999999999999) para ler o conteúdo de um bucket do Amazon S3 (productionapp). As duas políticas de conta são as seguintes:Que recomendações deve o engenheiro de segurança fazer para resolver

A. Utilizar a Torre de Controlo IAM

B. riar uma VPC gerida centralmente na conta de inspeção de segurança

C. Utilizar a Torre de Controlo IAM

D. tivar o Gestor de Acesso a Recursos IAM (IAM RAM) para Organizações IAM

Ver resposta

Resposta correta: AD

Pergunta #67

O seu CTO pensa que a sua conta IAM foi pirateada. Qual é a única forma de saber com certeza se houve acesso não autorizado e o que fizeram, partindo do princípio que os piratas informáticos são engenheiros IAM muito sofisticados e que estão a fazer tudo o que podem para encobrir os seus rastos?

A. Utilizar a validação da integridade do ficheiro de registo do CloudTrail

B. Utilizar assinaturas SNS do IAM Config e processar eventos em tempo real

C. Utilizar o CloudTrail com cópia de segurança para o IAM S3 e Glacier

D. Utilizar a análise forense da linha de tempo do IAM Config

Ver resposta

Resposta correta: A

Pergunta #68

Uma empresa precisa de uma solução de registo forense para centenas de aplicações executadas em Docker no Amazon EC2. A solução tem de realizar análises em tempo real dos registos, tem de suportar a repetição de mensagens e tem de manter os registos (Seleccione DOIS)

A. De forma recorrente, actualize as políticas de utilizador IAM para exigir que as instâncias EC2 sejam criadas com um volume encriptado

B. onfigurar uma regra IAM Config para ser executada de forma recorrente "ou encriptação de volumes

C. Configurar as regras do Amazon Inspetor para que a encriptação de volumes seja executada numa agenda recorrente

D. Use os logs do CloudWatch para determinar se as instâncias foram criadas com um volume criptografado

Ver resposta

Resposta correta: BD

Pergunta #69

Um engenheiro de segurança está a configurar um novo Web site com o nome de example.com. O engenheiro de segurança pretende proteger as comunicações com o Web site, exigindo que os utilizadores se liguem a example.com através de HTTPS. Qual das seguintes é uma opção válida para armazenar certificados SSL/TLS?

A. Certificado SSL personalizado que está armazenado no AWS Key Management Service (AWS KMS)

B. ertificado SSL predefinido que está armazenado no Amazon CloudFront

C. Certificado SSL personalizado que está armazenado no AWS Certificate Manager (ACM)

D. Certificado SSL predefinido que está armazenado no Amazon S3

Ver resposta

Resposta correta: C

Pergunta #70

É necessário criar uma política e aplicá-la apenas a um utilizador individual. Como é que pode fazer isto da forma correcta?

A. dicionar uma política gerida pelo IAM para o utilizador

B. dicionar uma política de serviço para o utilizador

C. dicionar uma função IAM ao utilizador

D. dicionar uma política em linha para o utilizador

Ver resposta

Resposta correta: D

Pergunta #71

Uma empresa deseja monitorar a exclusão de CMKs gerenciadas pelo cliente Um engenheiro de segurança deve criar um alarme que notificará a empresa antes que uma CMK seja excluída O engenheiro de segurança configurou a integração do IAM CloudTrail com o Amazon CloudWatch

A. tilizar a regra de entrada 100 para permitir o tráfego na porta TCP 443 Utilizar a regra de entrada 200 para negar o tráfego na porta TCP 3306 Utilizar a regra de saída 100 para permitir o tráfego na porta TCP 443

B. se a regra de entrada 100 para negar o tráfego na porta TCP 3306

C. tilizar a regra de entrada 100 para permitir o tráfego no intervalo de portas TCP 1024-65535 Utilizar a regra de entrada 200 para negar o tráfego na porta TCP 3306 Utilizar a regra de saída 100 para permitir o tráfego na porta TCP 443

D. Utilizar a regra de entrada 100 para negar o tráfego na porta TCP 3306 Utilizar a regra de entrada 200 para permitir o tráfego na porta TCP 443 Utilizar a regra de saída 100 para permitir o tráfego na porta TCP 443

Ver resposta

Resposta correta: A

Pergunta #72

Um engenheiro de segurança precisa de desenvolver um processo para investigar e responder a potenciais eventos de segurança nas instâncias Amazon EC2 de uma empresa. Todas as instâncias EC2 são suportadas pelo Amazon Elastic Block Store (Amazon EBS). A empresa usa o AWS Systems Manager para gerenciar todas as instâncias EC2 e instalou o Systems Manager Agent (SSM Agent) em todas as instâncias EC2. O processo que o engenheiro de segurança está desenvolvendo deve estar em conformidade com as práticas recomendadas de segurança da AWS e deve atender aos seguintes requisitos

A. Reúna quaisquer metadados relevantes para a instância EC2 comprometida

B. Reunir quaisquer metadados relevantes para a instância EC2 comprometida

C. Utilizar o comando Run do Gestor de Sistemas para invocar scripts que recolhem dados voláteis

D. stabelecer uma sessão Linux SSH ou Windows Remote Desktop Protocol (RDP) para a instância EC2 comprometida para invocar scripts que recolhem dados voláteis

E. Crie um instantâneo do volume EBS da instância EC2 comprometida para investigações de acompanhamento

F. Crie uma associação do Systems Manager State Manager para gerar um instantâneo de volume EBS da instância EC2 comprometida

Ver resposta

Resposta correta: BCE

Pergunta #73

Uma equipa de desenvolvimento criou um ambiente experimental para testar uma aplicação Web simples e obsoleta. Criou um VPC isolado com uma sub-rede privada e uma pública. A sub-rede pública contém apenas um balanceador de carga de aplicações, um gateway NAT e um gateway de Internet. A sub-rede privada contém todas as instâncias do Amazon EC2. Existem 3 tipos diferentes de servidores. Cada tipo de servidor tem o seu próprio grupo de segurança que limita o acesso apenas à conetividade necessária. Os grupos de segurança têm regras de entrada e saída aplicadas

A. tilizar volumes encriptados do Amazon EBS com chaves predefinidas da Amazon (IAM EBS)

B. Utilizar a encriptação do lado do servidor com chaves fornecidas pelo cliente (SSE-C)

C. tilizar a encriptação do lado do servidor com chaves geridas pelo IAM KMS (SSE-KMS)

D. Utilizar encriptação do lado do servidor com chaves geridas pelo Amazon S3 (SSE-S3)

Ver resposta

Resposta correta: CEF

Pergunta #74

Uma empresa está a preparar-se para adquirir várias empresas. Um engenheiro de segurança deve projetar uma solução para garantir que as contas IAM recém-adquiridas sigam as práticas recomendadas de segurança da corporação. A solução deve monitorar cada bucket do Amazon S3 para acesso público irrestrito de gravação e usar serviços gerenciados de IAM

A. onfigurar o Amazon Macie para verificar continuamente a configuração de todos os buckets S3

B. tivar o IAM Config para verificar a configuração de cada bucket S3

C. onfigurar o IAM Systems Manager para monitorizar as políticas de bucket S3 para acesso público de escrita

D. Configurar uma instância do Amazon EC2 para ter uma função IAM e um trabalho cron que verifica o estado de todos os buckets S3

Ver resposta

Resposta correta: C

Pergunta #75

Uma empresa está a operar um sítio Web utilizando o Amazon CloudFront. Os servidores CloudFront recebem algum conteúdo do Amazon S3 e outro de servidores Web que executam instâncias EC2 atrás de um Application. Load Balancer (ALB). O Amazon DynamoDB é utilizado como armazenamento de dados. A empresa já utiliza o IAM Certificate Manager (ACM) para armazenar um certificado TLS público que pode, opcionalmente, proteger as ligações entre os utilizadores do Web site e o CloudFront. A empresa tem um novo requisito para impor a encriptação de ponta a ponta em trânsito

A. dicionar um cabeçalho personalizado de origem Definir a política de protocolo do visualizador como HTTP e HTTPS Definir a chave do protocolo de origem como HTTPS apenas Atualizar a aplicação para validar o cabeçalho personalizado do CloudFront

B. dicionar um cabeçalho personalizado de origem Definir a política de protocolo do visualizador para HTTPS apenas Definir a política de protocolo de origem para corresponder ao visualizador Atualizar a aplicação para validar o cabeçalho personalizado do CloudFront

C. dicionar um cabeçalho personalizado de origem Definir a política de protocolo do visualizador para redirecionar HTTP para HTTPS Definir a política de protocolo de origem para HTTP apenas Atualizar a aplicação para validar o cabeçalho personalizado do CloudFront

D. dicionar um cabeçalho personalizado de origem Definir a política de protocolo do visualizador para redirecionar HTTP para HTTPS

Ver resposta

Resposta correta: BCE

Pergunta #76

Uma empresa precisa de armazenar vários anos de registos financeiros. A empresa pretende utilizar o Amazon S3 para armazenar cópias destes documentos. A empresa deve implementar uma solução para impedir que os documentos sejam editados, substituídos ou eliminados durante 7 anos após o armazenamento dos documentos no Amazon S3. A solução também deve encriptar os documentos em repouso. Um engenheiro de segurança cria um novo bucket S3 para armazenar os documentos

A. A empresa usa uma abordagem sem servidor para microsserviços

B. Criar uma política de chaves que permita a ação kms:Decrypt apenas para o Amazon S3 e DynamoD

C. rie uma política 1AM que negue a ação kms:Decrypt para a chave

D. rie uma política de chave que permita a ação kms:Decrypt apenas para Amazon S3, DynamoDB, Lambda e Amazon EKS

E. Crie uma política de chave que permita a ação kms:Decrypt apenas para Amazon S3, DynamoDB, Lambda e Amazon EKS

Ver resposta

Resposta correta: B

Pergunta #77

Existem atualmente várias aplicações alojadas numa VPC. Durante o monitoramento, notou-se que várias varreduras de porta estão chegando de um bloco de endereços IP específico. A equipa de segurança interna solicitou que todos os endereços IP ofensivos fossem negados durante as próximas 24 horas. Qual dos seguintes é o melhor método para negar rápida e temporariamente o acesso a partir dos endereços IP especificados.

A. Criar uma política do AD para modificar as definições da Firewall do Windows em todos os anfitriões da VPC para negar o acesso a partir do bloco de endereços IP

B. Modificar as ACLs de rede associadas a todas as sub-redes públicas na VPC para negar o acesso a partir do bloco de endereços IP

C. Adicionar uma regra a todos os grupos de segurança da VPC para negar o acesso a partir do bloco de endereços IP

D. Modifique as configurações do Firewall do Windows em todos os AMIs que sua organização usa nessa VPC para negar o acesso do bloco de endereços IP

Ver resposta

Resposta correta: B

Pergunta #78

Um engenheiro de segurança activou o Hub de Segurança IAM na sua conta IAM e activou a norma de conformidade Center for Internet Security (CIS) IAM Foundations. Após várias horas, não são devolvidos quaisquer resultados de avaliação da conformidade na consola do Hub de Segurança. O engenheiro pretende garantir que o Hub de Segurança pode avaliar os seus recursos relativamente à conformidade com o CIS IAM Foundations

A. dicione permissões completas de IAM do Amazon Inspetor à função de serviço do Hub de Segurança para permitir que este efectue a avaliação de conformidade do CIS

B. Certifique-se de que o Trusted Advisor do IAM está ativado na conta e que a função de serviço do Hub de Segurança tem permissões para recuperar as acções recomendadas relacionadas com a segurança do Trusted Advisor

C. ertifique-se de que o IAM Config

D. Certifique-se de que o rasto correto no IAM CloudTrail foi configurado para monitorização pelo Hub de Segurança e que a função de serviço do Hub de Segurança tem permissões para executar a operação GetObject no balde Amazon S3 do CloudTrails

Ver resposta

Resposta correta: C

Pergunta #79

Um departamento de TI tem atualmente uma aplicação Web Java implementada no Apache Tomcat em execução em instâncias do Amazon EC2. Todo o tráfego para as instâncias EC2 é enviado através de um Application Load Balancer (ALB) virado para a Internet. A equipa de segurança reparou, nos últimos dois dias, em milhares de pedidos de leitura invulgares provenientes de centenas de endereços IP. Isto está a fazer com que o servidor Tomcat fique sem threads e rejeite novas ligações. Qual a alteração MAIS SIMPLES que resolveria este problema do servidor?

A. riar uma distribuição do Amazon CloudFront e configurar o ALB como a origem

B. loquear os IPs maliciosos com uma lista de acesso à rede (NACL)

C. riar uma Firewall de Aplicação Web (WAF) IAM e anexá-la ao ALB

D. apear o nome de domínio da aplicação para utilizar o Route 53

Ver resposta

Resposta correta: A

Pergunta #80

Uma equipa de desenvolvimento está a tentar encriptar e descodificar um parâmetro de cadeia de caracteres seguro do Armazenamento de Parâmetros do Gestor de Sistemas IAM utilizando um CMK do IAM Key Management Service (IAM KMS). No entanto, cada tentativa resulta no envio de uma mensagem de erro para a equipa de desenvolvimento. Que problemas relacionados com o CMK podem ser responsáveis pelo erro? (Selecione dois.)

A. No entanto, a empresa não quer permitir que os utilizadores das outras contas acedam a outros ficheiros na mesma pasta

B. plicar uma política de utilizador nas outras contas para permitir que o IAM Glue e o Athena lo acedam ao ficheiro

C. tilize o S3 Select para restringir o acesso ao ficheiro

D. efina uma política de recursos do IAM Glue Data Catalog no IAM Glue para conceder acesso a objetos S3 entre contas ao arquivo

E. onceder acesso do IAM Glue ao Amazon S3 numa política baseada em recursos que especifique a organização como o principal

Ver resposta

Resposta correta: AD

Pergunta #81

Um programador iniciou sessão numa nova conta numa unidade organizacional (OU) da Organização IAM que contém várias contas. O acesso ao serviço Amazon $3 é restringido com o seguinte SCP. Como é que o engenheiro de segurança pode fornecer ao programador acesso ao Amazon $3 sem afetar outras contas?

A. over o SCP para a OU de raiz da organização para remover a restrição de acesso a Amazon $3

B. dicionar uma política de IAM para o programador, que concede acesso $3

C. riar uma nova UO sem aplicar o SCP que restringe o acesso a $3

D. dicionar uma lista de permissões para a conta de desenvolvedor do serviço $3

Ver resposta

Resposta correta: C

Pergunta #82

Durante uma revisão manual dos registos do sistema de uma instância Amazon Linux EC2, um Engenheiro de Segurança reparou que existem comandos sudo que nunca foram devidamente alertados ou reportados no agente Amazon CloudWatch Logs

A. Existe um grupo de segurança a bloquear o tráfego de saída da porta 80 que está a impedir o agente de enviar os registos

B. O perfil da instância do IAM na instância do EC2 não foi configurado corretamente para permitir que o agente de logs do CloudWatch envie os logs para o CloudWatch

C. status dos logs do CloudWatch está definido como LIGADO versus SEGURO, o que impede que ele extraia logs de eventos de segurança do sistema operacional

D. A VPC exige que todo o tráfego passe por um proxy, e o agente CloudWatch Logs não oferece suporte a uma configuração de proxy

Ver resposta

Resposta correta: B

Pergunta #83

Uma auditoria determinou que o grupo de segurança da instância Amazon EC2 de uma empresa violou a política da empresa ao permitir o tráfego SSH de entrada sem restrições. Um engenheiro de segurança deve implementar uma solução de monitorização e alerta quase em tempo real que notifique os administradores de tais violações

A. Crie uma execução de avaliação recorrente do Amazon Inspetor que seja executada todos os dias e utilize o pacote Network Reachability

B. se a regra gerenciada do IAM Config restricted-ssh que é invocada por alterações de configuração do grupo de segurança que não estão em conformidade

C. onfigure os logs de fluxo de VPC para a VP e especifique um grupo de logs do Amazon CloudWatch

D. rie uma execução de avaliação recorrente do Amazon Inspetor que seja executada todos os dias e utilize o pacote de Boas Práticas de Segurança

Ver resposta

Resposta correta: B

Pergunta #84

Uma empresa criou uma conta IAM para os seus programadores utilizarem para fins de teste e aprendizagem Uma vez que a conta MM será partilhada entre várias equipas de programadores, a empresa pretende restringir a capacidade de parar e terminar instâncias do Amazon EC2 para que uma equipa possa executar estas acções apenas nas instâncias que possui

A. ara cada equipa, crie uma política de AM semelhante à dos colegas Preencha a chave de condição ec2:ResourceTag/Team com um nome de equipa adequado Anexe as políticas resultantes às funções de IAM correspondentes

B. Para cada equipa, crie uma política de IAM semelhante à seguinte Preencha a chave de condição TagKeys/Team do IAM com um nome de equipa adequado

C. arcar cada função do IAM com uma chave de atraso de equipa e utilizar o nome da equipa no valor da etiqueta

D. arcar cada função do IAM com a chave Team e utilizar o nome da equipa no valor da marca

Ver resposta

Resposta correta: A

Pergunta #85

A sua empresa tem um conjunto de instâncias EC2 definidas no IAM. Essas instâncias EC2 têm grupos de segurança rigorosos associados a elas. É necessário garantir que as alterações aos grupos de segurança são registadas e que se age em conformidade. Como é que pode conseguir isto?

A. Use os logs do Cloudwatch para monitorar a atividade nos grupos de segurança

B. Use as métricas do Cloudwatch para monitorar a atividade nos grupos de segurança

C. Utilize o inspetor IAM para monitorizar a atividade nos grupos de segurança

D. Use os eventos do Cloudwatch para serem acionados para quaisquer alterações nos grupos de segurança

Ver resposta

Resposta correta: D

Pergunta #86

A equipa de engenharia de uma empresa está a desenvolver uma nova aplicação que cria concessões de CMK do IAM Key Management Service (IAM KMS) para os utilizadores. Imediatamente após a criação de uma concessão, os utilizadores devem poder utilizar o CMK para encriptar uma carga útil de 512 bytes. Durante os testes de carga, surge um erro intermitente em que as AccessDeniedExceptions são ocasionalmente accionadas quando um utilizador tenta encriptar pela primeira vez utilizando o CMKQue solução deve o especialista em segurança da empresa recomendar?

A. Instruir os utilizadores a implementar um mecanismo de repetição a cada 2 minutos até que a chamada seja bem sucedida

B. Instrua a equipa de engenharia a consumir um token de concessão aleatório dos utilizadores e a chamar a operação CreateGrant, passando-lhe o token de concessão

C. Instruir a equipa de engenharia para criar um nome aleatório para a concessão ao chamar a operação CreateGrant

D. Instruir a equipa de engenharia para passar o token de concessão devolvido na resposta CreateGrant aos utilizadores

Ver resposta

Resposta correta: D

Pergunta #87

Uma empresa precisa de encriptar todos os seus dados armazenados no Amazon S3. A empresa pretende utilizar o IAM Key Management Service (IAM KMS) para criar e gerir as suas chaves de encriptação. As políticas de segurança da empresa exigem a capacidade de Importar o material de chave da própria empresa para as chaves, definir uma data de expiração para as chaves e excluir chaves imediatamente, se necessário

A. onfigurar o IAM KMS e utilizar um armazenamento de chaves personalizado

B. onfigurar o IAM KMS e utilizar o armazenamento de chaves predefinido Criar uma CMK gerida pelo IAM sem material de chaves Importar o material de chaves da empresa para a CMK

C. onfigurar o IAM KMS e utilizar o armazenamento de chaves predefinido Criar uma CMK gerida pelo cliente sem material de chaves Importar o material de chaves da empresa para a CMK

D. Configurar o IAM KMS e utilizar um armazenamento de chaves personalizado

Ver resposta

Resposta correta: A

Pergunta #88

Um engenheiro de sistemas implementou contentores a partir de várias imagens personalizadas que uma equipa de aplicações forneceu através de um fluxo de trabalho de garantia de qualidade O engenheiro de sistemas utilizou o Amazon Elastic Container Service (Amazon ECS) com o tipo de lançamento Fargate como plataforma de destino O engenheiro de sistemas precisa agora de recolher registos de todos os contentores num grupo de registos existente do Amazon CloudWatch

A. Active o controlador de registo awslogs especificando parâmetros para awslogs-group e awslogs-region na propriedade LogConfiguration

B. escarregar e configurar o agente CloudWatch nas instâncias de contentor

C. onfigure o Fluent Bit e o FluentO como um DaemonSet para enviar registos para o Amazon CloudWatch Logs

D. onfigurar uma política 1AM que inclua a ação togs CreateLogGroup Atribuir a política às instâncias do contentor

Ver resposta

Resposta correta: A

Pergunta #89

Um engenheiro de sistemas implementou contentores a partir de várias imagens personalizadas que uma equipa de aplicações forneceu através de um fluxo de trabalho de garantia de qualidade O engenheiro de sistemas utilizou o Amazon Elastic Container Service (Amazon ECS) com o tipo de lançamento Fargate como plataforma de destino O engenheiro de sistemas precisa agora de recolher registos de todos os contentores num grupo de registos existente do Amazon CloudWatch

A. Active o controlador de registo awslogs especificando parâmetros para awslogs-group e awslogs-region na propriedade LogConfiguration

B. escarregar e configurar o agente CloudWatch nas instâncias de contentor

C. onfigure o Fluent Bit e o FluentO como um DaemonSet para enviar registos para o Amazon CloudWatch Logs

D. onfigurar uma política 1AM que inclua a ação togs CreateLogGroup Atribuir a política às instâncias do contentor

Ver resposta

Resposta correta: A

Pergunta #90

É necessário que uma empresa transfira grandes quantidades de dados entre o IAM e uma localização no local. Existe um requisito adicional de baixa latência e tráfego de alta consistência para o IAM. Tendo em conta estes requisitos, como conceberia uma arquitetura híbrida? Escolha a resposta correcta entre as opções abaixo.

A. provisionar uma ligação Direct Connect a uma região IAM utilizando um parceiro Direct Connect

B. riar um túnel VPN para conetividade privada, o que aumenta a consistência da rede e reduz a latência

C. riar um túnel iPSec para conetividade privada, o que aumenta a consistência da rede e reduz a latência

D. riar uma ligação de emparelhamento VPC entre o IAM e o gateway do Cliente

Ver resposta

Resposta correta: A

Pergunta #91

Uma empresa pretende remover permanentemente todas as chaves SSH de um subconjunto específico das suas instâncias Amazon Linux 2 Amazon EC2 que estão a utilizar o mesmo perfil de instância 1AM. No entanto, três indivíduos que têm contas de utilizador IAM terão de aceder a estas instâncias utilizando uma sessão SSH para realizar tarefas críticas

A. tribuir uma política 1AM ao perfil da instância para permitir que as instâncias EC2 sejam geridas pelo AWS Systems Manager Fornecer as contas de utilizador 1AM com permissão para utilizar o Systems Manager Remover as chaves SSH das instâncias EC2 Utilizar o Inventário do Systems Manager para selecionar a instância EC2 e ligar

B. tribuir uma política 1AM às contas de utilizador 1AM para fornecer permissão para utilizar o AWS Systems Manager Comando de execução Remover as chaves SSH das instâncias EC2 Utilizar o Comando de execução para abrir uma ligação SSH à instância EC2

C. tribuir uma política 1AM ao perfil da instância para permitir que as instâncias EC2 sejam geridas pelo AWS Systems Manager Fornecer as contas de utilizador 1AM com permissão para utilizar o Systems Manager Remover as chaves SSH das instâncias EC2 Utilizar o Gestor de Sessões do Systems Manager para selecionar a instância EC2 e ligar

D. tribuir uma política 1AM às contas de utilizador 1AM para fornecer permissão para utilizar o serviço EC2 na Consola de Gestão AWS Remover as chaves SSH das instâncias EC2 Ligar à instância EC2 como utilizador ec2 através do método de cliente SSH EC2 da Consola de Gestão AWS

Ver resposta

Resposta correta: C

Pergunta #92

Uma empresa aloja uma aplicação no Amazon EC2 que está sujeita a regras específicas de conformidade regulamentar. Uma regra estabelece que o tráfego de e para a carga de trabalho deve ser inspeccionado para detetar ataques ao nível da rede. Para cumprir esta regra regulamentar, um engenheiro de segurança deve instalar software de deteção de intrusão numa instância c5n.4xlarge do EC2. O engenheiro deve então configurar o software para monitorizar o tráfego de e para as instâncias de aplicação

A. Colocar a interface de rede em modo promíscuo para capturar o tráfego

B. Configurar os Registos de Fluxo VPC para enviar tráfego para a instância EC2 de monitorização utilizando um Balanceador de Carga de Rede

C. Configure o espelhamento de tráfego VPC para enviar tráfego para a instância EC2 de monitoramento usando um balanceador de carga de rede

D. Utilize o Amazon Inspetor para detetar ataques ao nível da rede e accione uma função IAM Lambda para enviar os pacotes suspeitos para a instância EC2

Ver resposta

Resposta correta: D

Pergunta #93

Um engenheiro de segurança precisa de criar uma solução para voltar a ativar o IAM CloudTrail em várias regiões do IAM, caso este seja desligado

A. Utilize o IAM Config com uma regra gerida para acionar a remediação IAM-EnableCloudTrail

B. rie um evento Amazon EventBridge (Eventos do Amazon CloudWatch) com uma fonte de eventos cloudtrail

C. rie um alarme do Amazon CloudWatch com uma fonte de evento cloudtrail

D. onitorar o IAM Trusted Advisor para garantir que o registro do CloudTrail esteja ativado

Ver resposta

Resposta correta: B

Pergunta #94

Uma empresa tem uma chave gerida pelo cliente do AWS Key Management Service (AWS KMS) com material de chave importado. A política da empresa exige que todas as chaves de encriptação sejam rodadas todos os anos

A. Ativar a rotação automática de chaves anualmente para a chave gerida pelo cliente existente

B. Utilize o AWS CLI para criar uma função AWS Lambda para rodar anualmente a chave gerida pelo cliente existente

C. mportar novo material de chave para a chave existente gerida pelo cliente Rodar manualmente a chave

D. riar uma nova chave gerida pelo cliente Importar o novo material da chave para a nova chave Apontar o alias da chave para a nova chave

Ver resposta

Resposta correta: A

Pergunta #95

Uma equipa de resposta a incidentes está a investigar uma fuga de chaves de acesso IAM que resultou no lançamento de instâncias do Amazon EC2. A empresa só descobriu o incidente muitos meses depois. O Diretor de Segurança da Informação pretende implementar novos controlos que alertem para a ocorrência de incidentes semelhantes no futuro {Seleccione DOIS)

A. A política de bucket S3 não permite explicitamente que o Engenheiro de Segurança tenha acesso aos objectos no bucket

B. As ACLs de objeto não estão a ser actualizadas para permitir que os utilizadores da conta centralizada acedam aos objectos

C. política de IAM dos Engenheiros de Segurança não concede permissões para ler objectos no bucket S3

D. s permissões s3:PutObject e s3:PutObjectAcl devem ser aplicadas no nível do bucket S3

Ver resposta

Resposta correta: AE

Pergunta #96

A sua empresa está a planear utilizar bastion hosts para administrar os servidores no IAM. Qual das seguintes opções é a melhor descrição de um bastion host do ponto de vista da segurança?

A. Um host Bastion deve estar em uma sub-rede privada e nunca em uma sub-rede pública devido a questões de segurança

B. Um anfitrião Bastion situa-se no exterior de uma rede interna e é utilizado como porta de entrada para a rede privada, sendo considerado o ponto forte crítico da rede

C. Os anfitriões Bastion permitem que os utilizadores iniciem sessão utilizando RDP ou SSH e utilizem essa sessão para entrar na rede interna para aceder a recursos de sub-rede privada

D. O anfitrião do Bastião deve manter uma segurança e um controlo extremamente apertados, uma vez que está disponível ao público

Ver resposta

Resposta correta: C

Pergunta #97

Um departamento de TI tem atualmente uma aplicação Web Java implementada no Apache Tomcat em execução em instâncias do Amazon EC2. Todo o tráfego para as instâncias EC2 é enviado através de um Application Load Balancer (ALB) virado para a Internet. A equipa de segurança reparou, nos últimos dois dias, em milhares de pedidos de leitura invulgares provenientes de centenas de endereços IP. Isto está a fazer com que o servidor Tomcat fique sem threads e rejeite novas ligações. Qual a alteração MAIS SIMPLES que resolveria este problema do servidor?

A. riar uma distribuição do Amazon CloudFront e configurar o ALB como a origem

B. loquear os IPs maliciosos com uma lista de acesso à rede (NACL)

C. riar uma Firewall de Aplicação Web (WAF) IAM e anexá-la ao ALB

D. apear o nome de domínio da aplicação para utilizar o Route 53

Ver resposta

Resposta correta: A

Pergunta #98

Uma empresa está a alojar um Web site estático no Amazon S3 A empresa configurou uma distribuição do Amazon CloudFront para servir o conteúdo do Web site A empresa associou uma ACL Web do IAM WAF à distribuição do CloudFront. A empresa está preocupada com o facto de o URL do S3 poder ainda estar acessível diretamente e de os pedidos poderem contornar a distribuição do CloudFront

A. tivar o Amazon Macie para que o Secunty H jb permita ao Detetive processar os resultados do Macie

B. esativar a encriptação do IAM Key Management Service (IAM KMS) nos registos do CtoudTrail em todas as contas de membros da organização

C. tivar o Amazon GuardDuty em todas as contas de membros Tentar ativar o Detetive em 48 horas

D. Certifique-se de que o diretor que lança o Detetive tem a permissão ListAccounts da organização

Ver resposta

Resposta correta: AD

Pergunta #99

A equipa de engenharia de uma empresa está a desenvolver uma nova aplicação que cria concessões de CMK do IAM Key Management Service (IAM KMS) para os utilizadores. Imediatamente após a criação de uma concessão, os utilizadores devem poder utilizar o CMK para encriptar uma carga útil de 512 bytes. Durante os testes de carga, surge um erro intermitente em que as AccessDeniedExceptions são ocasionalmente accionadas quando um utilizador tenta encriptar pela primeira vez utilizando o CMKQue solução deve o especialista em segurança da empresa recomendar?

A. Instruir os utilizadores a implementar um mecanismo de repetição a cada 2 minutos até que a chamada seja bem sucedida

B. Instrua a equipa de engenharia a consumir um token de concessão aleatório dos utilizadores e a chamar a operação CreateGrant, passando-lhe o token de concessão

C. Instruir a equipa de engenharia para criar um nome aleatório para a concessão ao chamar a operação CreateGrant

D. Instruir a equipa de engenharia para passar o token de concessão devolvido na resposta CreateGrant aos utilizadores

Ver resposta

Resposta correta: D

Pergunta #100

Uma empresa precisa de uma solução de registo forense para centenas de aplicações executadas em Docker no Amazon EC2. A solução tem de realizar análises em tempo real dos registos, tem de suportar a repetição de mensagens e tem de manter os registos (Seleccione DOIS)

A. De forma recorrente, actualize as políticas de utilizador IAM para exigir que as instâncias EC2 sejam criadas com um volume encriptado

B. onfigurar uma regra IAM Config para ser executada de forma recorrente "ou encriptação de volumes

C. Configurar as regras do Amazon Inspetor para que a encriptação de volumes seja executada numa agenda recorrente

D. Use os logs do CloudWatch para determinar se as instâncias foram criadas com um volume criptografado

Ver resposta

Resposta correta: BD

Pergunta #101

Uma empresa pretende estabelecer chaves separadas do IAM Key Management Service (IAM KMS) para utilizar em diferentes serviços de IAM. O engenheiro de segurança da empresa criou a seguinte política de chaves para permitir que a equipa de implementação de infra-estruturas crie volumes encriptados do Amazon Elastic Block Store (Amazon EBS) assumindo a função de IAM InfrastructureDeployment: O engenheiro de segurança descobriu recentemente que outras funções de IAM que não a função InfrastructureDeployment utilizavam esta chave (ou outros serviços)

A. No bloco de instruções que contém o Sid "Permitir a utilização da chave", no bloco "Condição", alterar StringEquals para StringLike

B. No documento de política, remova a declaração Dlock que contém o Sid "Ativar permissões de utilizador IAM"

C. No bloco de instruções que contém o Sid "Allow use of the Key", no bloco "Condition", altere o valor Kms:ViaService para ec2

D. No documento de política, adicione um novo bloco de declaração que conceda a permissão kms:Disable' à função IAM do engenheiro de segurança

Ver resposta

Resposta correta: C

Pergunta #102

O Diretor de Segurança de uma empresa solicitou a um Analista de Segurança que analisasse e melhorasse a postura de segurança de cada conta IAM da empresa. O Analista de Segurança decide fazê-lo melhorando a segurança do utilizador raiz da conta IAM (Seleccione TRÊS.)

A. onfiguração do SG de saída nos servidores de bases de dados Configuração do SG de entrada nos servidores de aplicações Configuração de ACL de rede de entrada e saída na sub-rede da base de dados Configuração de ACL de rede de entrada e saída na sub-rede do servidor de aplicações

B. onfiguração do SG de entrada nos servidores de base de dados

C. Configuração do SG de entrada e de saída nos servidores de bases de dados Configuração do SG de entrada e de saída nos servidores de aplicações Configuração do ACL de rede de entrada na sub-rede da base de dados Configuração do ACL de rede de saída na sub-rede do servidor de aplicações

D. Configuração do SG de entrada nos servidores de bases de dados Configuração do SG de saída nos servidores de aplicações Configuração do ACL de rede de entrada na sub-rede da base de dados Configuração do ACL de rede de saída na sub-rede do servidor de aplicações

Ver resposta

Resposta correta: ADE

Pergunta #103

Um programador de uma empresa utiliza uma chave SSH para aceder a várias instâncias do Amazon EC2. A empresa descobre que a chave SSH foi publicada num repositório público do GitHub. Um engenheiro de segurança verifica que a chave não foi usada recentemente. Como o engenheiro de segurança deve impedir o acesso não autorizado às instâncias do EC2?

A. liminar o par de chaves da consola do EC2

B. Use a operação da API ModifylnstanceAttribute para alterar a chave em qualquer instância do EC2 que esteja usando a chave

C. estringir o acesso SSH no grupo de segurança apenas a endereços IP empresariais conhecidos

D. Atualizar o par de chaves em qualquer AMI usada para iniciar as instâncias do EC2

Ver resposta

Resposta correta: C

Pergunta #104

Um engenheiro de segurança precisa de criar uma chave IAM Key Management Service

A. emover o gateway NAT existente

B. onfigure a ACL de rede de entrada da instância DB TMs para negar o tráfego do ID do grupo de segurança do gateway NAT

C. Modificar as tabelas de rotas das sub-redes da instância de BD para remover a rota padrão para o gateway NAT

D. Configure a tabela de rotas do gateway NAT para negar conexões com as sub-redes da instância de BD

Ver resposta

Resposta correta: A

Pergunta #105

Uma empresa aloja uma aplicação de utilizador final no AWS. Atualmente, a empresa implementa a aplicação em instâncias do Amazon EC2 por detrás de um Elastic Load Balancer. A empresa pretende configurar a encriptação de ponta a ponta entre o Elastic Load Balancer e as instâncias do EC2

A. Utilize certificados do AWS Certificate Manager (ACM) emitidos pela Amazon nas instâncias EC2 e no Elastic Load Balancer para configurar a encriptação de ponta a ponta

B. mportar um certificado SSL de terceiros para o AWS Certificate Manager (ACM) Instalar o certificado de terceiros nas instâncias EC2 Associar o certificado de terceiros importado pelo ACM ao Elastic Load Balancer

C. mplantar o AWS CloudHSM Importar um certificado de terceiros Configurar as instâncias EC2 e o Elastic Load Balancer para usar o certificado importado do CloudHSM

D. mportar um pacote de certificados de terceiros para o AWS Certificate Manager (ACM) Instalar o certificado de terceiros nas instâncias EC2 Associar o certificado de terceiros importado pelo ACM ao Elastic Load Balancer

Ver resposta

Resposta correta: A

NÃO QUER PERDER NADA?

Os testes práticos Cisco, PMP, CISA, CISM e AWS 100% aprovados estão à venda!
Obtenha agora

Passe no exame AWS facilmente com as perguntas práticas SCS-C02 atualizadas

Ver as respostas após o envio

NÃO QUER PERDER NADA?

Os testes práticos Cisco, PMP, CISA, CISM e AWS 100% aprovados estão à venda! Obtenha agora

Passe no exame AWS facilmente com as perguntas práticas SCS-C02 atualizadas

Ver as respostas após o envio

Os testes práticos Cisco, PMP, CISA, CISM e AWS 100% aprovados estão à venda!
Obtenha agora