不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

2024 SCS-C02 考試準備:實踐測試和學習材料,AWS 認證安全 - 專業 | SPOTO

使用 SPOTO 的綜合練習測試和學習材料,有效地準備 2024 SCS-C02 考試。作爲 AWS Certified Security - Specialty 認證候選人,您將受益於我們旨在增強您對 AWS 安全解決方案的理解和掌握的最新資源。我們的備考材料包括各種資源,如考試試題、樣例題和考試轉儲,所有這些都是根據考試目標精心策劃的。訪問免費測驗和考試材料,以強化您的知識和準備程度。通過 SPOTO 的考試模擬器,您可以模擬真實的考試場景,練習考試問題和答案,並評估自己的表現,找出需要改進的地方。我們的平臺旨在支持您的考試練習,確保您做好充分準備,在 SCS-C02 認證考試中取得優異成績。
參加其他線上考試
問題 #1
一位安全工程師注意到,VPC Flow Logs 收到了大量來自自動擴展組中單個 Amazon EC2 實例的 REJECT 流量。安全工程師擔心這個 EC2 實例可能受到威脅。安全工程師應立即採取哪些措施?安全工程師應立即採取哪些措施?
A. 我的實例從自動座席組中刪除 關閉我的安全組 mm 入口只能從單個取證 P 地址進行分析。
B. 自動排座位組中刪除我的實例 更改我的網絡 ACL 規則,只允許來自單個取證 IP 地址的流量執行 en 分析 添加一條規則,拒絕所有其他流量。
C. 實例從自動擴展組中移除 在該 IAM 帳戶中啓用 Amazon GuardDuty 安裝 Amazon Inspector 代理,對可疑 EC 2 實例進行掃描。
D. 可疑的 EC2 實例拍攝快照
E. 一個封閉的安全組中從我的快照創建一個新的 EC2 實例,僅從一個取證 IP 地址進入,以執行分析
查看答案
正確答案: C
問題 #2
使用 IAM KMS 中的客戶主密鑰 (CMK) 自動加密 IAM CloudTrail 日誌,以下哪種方法最有效?
A. 次生成 CloudTrail 日誌時,對日誌數據使用 KMS 直接加密功能。
B. 用默認的 Amazon S3 服務器端加密和 S3 管理的密鑰來加密和解密 CloudTrail 日誌。
C. 置 CloudTrail 使用 KMS 管理的密鑰進行服務器端加密,以加密和解密 CloudTrail 日誌。
D. 用加密 API 端點,這樣所有 IAM API 調用都會使用加密 API 調用的 TLS 證書生成加密 CloudTrail 日誌條目。
查看答案
正確答案: BC
問題 #3
一家公司決定將敏感文檔從內部數據中心遷移到亞馬遜 S3。目前,硬盤驅動器已加密,以滿足有關數據加密的合規要求。首席信息安全官希望通過使用不同的密鑰而不是單一密鑰對每個文件進行加密來提高安全性。使用不同的密鑰將限制單一暴露密鑰的安全影響。在實施這種方法時,以下哪項所需的配置最少?
A. 每個文件放入不同的 S3 bucke 中
B. 每個數據桶的默認加密設置爲使用不同的 IAM KMS 客戶管理密鑰。
C. 所有文件放在同一個 S3 目錄中
D. 用 S3 事件作爲觸發器,編寫一個 IAM Lambda 函數,使用不同的 IAM KMS 數據密鑰對添加的每個文件進行加密。
E. 用 S3 加密客戶端,使用 S3 生成的數據密鑰單獨加密每個文件
F. 所有文件放入同一個 S3 目錄 G
查看答案
正確答案: B
問題 #4
一家全球性公司必須在第 3 層、第 4 層和第 7 層減輕和應對 DDoS 攻擊,該公司的所有 IAM 應用程序都是無服務器的,靜態內容通過 Amazon CloudFront 和 Amazon Route 53 託管在 Amazon S3 上,哪種解決方案能滿足這些要求?
A. 用 IAM WAF 並升級到 IAM 業務支持計劃
B. 用 IAM 證書管理器和配置了源訪問身份的應用程序負載平衡器
C. 用 IAM Shield 高級版
D. 用 IAM WAF 保護使用 IAM KMS 加密的 IAM Lambda 功能,並使用 NACL 限制所有輸入流量
查看答案
正確答案: A
問題 #5
某公司的一個 Amazon EC2 密鑰對被泄露。安全工程師必須確定當前部署了哪些 Linux EC2 實例並使用了被泄露的密鑰對。如何完成這項任務?
A. 接查詢 Amazon EC2,獲取實例列表:IAM ec2 describe-instances--fi1ters "Name=key-name,Values=KEYNAMEHERE"
B. IAM 管理控制臺獲取配對密鑰的指紋,然後在 Amazon Inspector 日誌中搜索指紋。
C. 用以下命令從 EC2 實例元數據中獲取輸出:curl http://169
D. IAM 管理控制臺獲取密鑰對的指紋,然後使用以下命令在 Amazon CloudWatch 日誌中搜索指紋:IAM 日誌 filter-log- 事件。
查看答案
正確答案: BDF
問題 #6
某公司擁有多個 IAM 帳戶,它們都是 IAM 組織的一部分。該公司的安全團隊希望確保,即使是那些擁有公司 IAM 賬戶完全訪問權限的管理員也無法訪問公司的 Amazon S3 存儲桶 如何實現這一目標?
A. 用系統保護程序
B. 加拒絕訪問 Amazon S3 的權限邊界,並將其附加到所有角色上
C. 用 S3 存儲桶策略
D. Amazon S3 創建一個 VPC 端點,並拒絕訪問 Amazon S3 的聲明
查看答案
正確答案: A
問題 #7
某公司在 IAM 上爲內部用戶部署了一個無服務器應用程序。該應用程序的前端和業務邏輯使用 IAM Lambda。該公司使用 IAM 系統管理器參數存儲來存儲數據庫憑據。最近的一次安全審查強調了以下問題 Lambda 功能可以訪問互聯網。關係數據庫可公開訪問。數據庫憑據未以加密狀態存儲。W
A. 用對 VPC 內 RDS 數據庫的公共訪問
B. 所有 Lambda 函數移至 VPC 內部。
C. 輯 Lambda 用於限制互聯網訪問的 IAM 角色。
D. 系統管理創建 VPC 端點
E. 憑據存儲爲字符串參數
F. 參數類型更改爲高級參數。G
查看答案
正確答案: ABE
問題 #8
某公司使用包含敏感信息的用戶數據腳本來啓動 Amazon EC2 實例。安全工程師發現,這些敏感信息可以被本不應該訪問這些信息的人查看。保護用於啓動實例的敏感信息的最安全方法是什麼?
A. 腳本存儲在 AMI 中,並使用 IAM KMS 加密敏感數據 使用實例角色配置文件控制對解密數據所需的 KMS 密鑰的訪問。
B. 用加密字符串參數將敏感數據存儲在 IAM 系統管理器參數存儲中,並將 GetParameters 權限分配給 EC2 實例角色。
C. Amazon S3 中外部化引導腳本,並使用 IAM KM 對其加密
D. 實例配置完成後,從實例中刪除腳本並清除日誌。
E. 用 IAM 策略阻止用戶訪問 EC2 實例的元數據服務
F. 行後刪除所有腳本並清除日誌。
查看答案
正確答案: CE
問題 #9
某公司的信息安全團隊希望對 Amazon EC2 的性能和使用統計數據進行近乎實時的異常檢測。日誌匯總是安全工程師的職責。要進行這項研究,工程師需要將公司所有 IAM 賬戶的日誌收集到一個地方。安全工程師應如何完成這項工作?
A. 天登錄每個賬戶四次,過濾 IAM CloudTrail 日誌數據,然後將日誌複製並粘貼到目標賬戶的 Amazon S3 存儲桶中。
B. 置 Amazon CloudWatch,將數據流傳輸到每個源賬戶中的 Amazon S3 存儲桶。
C. 每個源賬戶的數據桶複製到由安全工程師擁有的集中式數據桶中。
D. 置 IAM 配置聚合器,從多個來源收集 IAM 配置數據。
E. 每個賬戶中設置 Amazon CloudWatch 跨賬戶日誌數據共享訂閱
F. 日誌發送到安全工程師賬戶中的 Amazon Kinesis Data Firehose。
查看答案
正確答案: D
問題 #10
一家公司最近對其 IAM 環境進行了年度安全評估。評估結果表明,審計日誌的有效期超過了 90 天,對 IAM 策略進行的未經授權的更改沒有被發現。安全工程師應該如何解決這些問題?
A. 建 Amazon S3 生命周期策略,在 90 天后將 IAM CloudTrail 跟蹤日誌歸檔到 Amazon S3 Glacier
B. 置 Amazon Inspector,以便在對資源進行策略更改時提供通知。
C. 置 IAM Artifact 以歸檔 IAM CloudTrail 日誌 配置 IAM Trusted Advisor 以在對資源進行策略更改時提供通知。
D. 置 Amazon CloudWatch 以將日誌組導出到 Amazon S3。配置 IAM CloudTrail,以便在對資源進行策略更改時提供通知。
E. 建 IAM CloudTrail 跟蹤,將審計日誌存儲在 Amazon S3 中。配置 IAM 配置規則,以便在對資源進行策略更改時提供通知。
查看答案
正確答案: A
問題 #11
一位安全工程師正在設計一種解決方案,在客戶端和運行於亞馬遜彈性容器服務(Amazon ECS)的 Docker 容器之間提供端到端加密。該解決方案還將處理不穩定的流量模式,哪種解決方案具有最高的可擴展性和最低的延遲?
A. 置網絡負載平衡器,終止 TLS 流量,然後重新加密流向容器的流量
B. 置應用程序負載平衡器,終止 TLS 流量,然後重新加密流向容器的流量
C. 置帶有 TCP 監聽器的網絡負載平衡器,將 TLS 流量傳遞給容器
D. 置 Amazon Route 53 以使用多值答案路由將流量發送到容器
查看答案
正確答案: B
問題 #12
一家水務公司使用多個 Amazon EC2 實例來管理由 2,000 個監控水質的物聯網 (IoT) 現場設備組成的艦隊的更新。這些設備都有唯一的訪問憑證。運營安全政策要求對特定憑證的訪問必須進行獨立審計。管理憑證存儲的最具成本效益的方法是什麼?
A. 用 IAM 系統管理器將憑證存儲爲安全字符串參數
B. 用 IAM KMS 密鑰確保安全。
C. 用 IAM 密鑰管理系統存儲主密鑰,用於加密證書
D. 密憑據存儲在 Amazon RDS 實例中。
E. 用 IAM Secrets Manager 來存儲憑證。
F. 憑證存儲在 Amazon S3 上的 JSON 文件中,並進行服務器端加密。
查看答案
正確答案: AE
問題 #13
一名開發人員在包含多個賬戶的 IAM 組織單位 (OU) 中登錄了一個新賬戶。訪問 Amazon S3 服務受到以下 SCP 的限制:安全工程師如何在不影響其他賬戶的情況下爲開發人員提供 Amazon S3 訪問權限?
A. SCP 移至 "組織 "的根 OU,以消除訪問 Amazon S3 的限制。
B. 開發人員添加 IAM 策略,授予 S3 訪問權限。
C. 不應用 SCP 限制 S3 訪問的情況下創建新的 OU
D. 開發人員賬戶移至新的 OU。
E. S3 服務的開發者賬戶添加允許列表。
查看答案
正確答案: D
問題 #14
某公司使用 HTTP Live Streaming (HLS),通過 Amazon CloudFront 向付費用戶流式傳輸直播視頻內容。HLS 將視頻內容分割成多個片段,這樣用戶就可以根據不同的條件請求正確的片段,因爲視頻事件會持續數小時,所以整個視頻由數千個片段組成。
A. 發應用程序,使用 CloudFront 密鑰對創建用戶將用來訪問內容的籤名 URL。
B. 發應用程序,使用 CloudFront 密鑰對設置用戶將用來訪問內容的籤名 cookie。
C. 發應用程序,以發布 Lambda@Edge 將收到的安全令牌,對內容的訪問進行驗證和授權
D. 應用程序內對 CloudFront URL 進行加密,並在用戶通過身份驗證後使用 IAM KMS 即時解析 URL。
查看答案
正確答案: B
問題 #15
一位安全工程師創建了一個 Amazon Cognito 用戶池。該工程師需要手動驗證應用程序發送的 ID 和訪問令牌,以便排除故障,完成這項工作最安全的方法是什麼?
A. ID 令牌有效載荷中提取主題 (sub)、受衆 (aud) 和 cognito:username 用戶池中的用戶名手動檢查主題和受衆
B. 索密鑰 ID 與密鑰頭中的密鑰 ID 一致的公開密鑰
C. 後使用 JSON 網絡令牌(JWT)庫來驗證令牌的籤名並提取有效期等值
D. 證令牌是否過期
E. 後使用 Amazon Cognito 中的 token_use claim 函數驗證密鑰 ID
F. JSON 網絡令牌(JWT)複製爲 JSON 文檔 獲取公共 JSON 網絡密鑰(JWK)並將其轉換爲 pem 文件 G
查看答案
正確答案: A
問題 #16
一名安全工程師在同一個亞馬遜 VPC 中啓動了兩個亞馬遜 EC2 實例,但分別位於不同的可用性區域。每個實例都有一個公共 IP 地址,可以連接到互聯網上的外部主機。這兩個實例使用私有 IP 地址可以相互通信,但使用公有 IP 地址則無法相互通信。安全工程師應採取哪些措施來允許通過公共 IP 地址進行通信?
A. 實例關聯到相同的安全組。
B. 實例安全組的出口規則中添加 0
C. 實例 ID 添加到實例安全組的入口規則中。
D. 公共 IP 地址添加到實例安全組的入口規則中。
查看答案
正確答案: D
問題 #17
一家公司正在配置三個亞馬遜 EC2 實例,每個實例位於一個單獨的可用區。EC2 實例將用作端口 80 和 443 的出站互聯網流量的透明代理,這樣代理就可以按照公司安全策略的要求阻止某些互聯網目的地的流量。一名安全工程師完成了以下工作:?在 EC2 實例上設置代理軟件。?修改私有子網的路由表,將代理 EC2 實例用作防禦路由。
A. 所有代理 EC2 實例放入羣集放置組。
B. 代理 EC2 實例上禁用源和目標檢查。
C. 開代理 EC2 實例安全組上的所有入站端口。
D. VPC 的 DHCP 域名服務器選項設置更改爲代理 EC2 實例的 IP 地址。
查看答案
正確答案: BC
問題 #18
某公司希望在 IAM 中爲其 VPC 配備入侵檢測系統。他們希望完全控制該系統。以下哪項是理想的實施方案?請選擇:
A. 用 IAM WAF 捕捉 VPC 中系統上發生的所有入侵行爲
B. 用 IAM 市場上的定製解決方案
C. 用 VPC Flow 日誌檢測問題並相應地標記它們。
D. 用 IAM Cloudwatch 監控所有流量
查看答案
正確答案: C
問題 #19
以下哪項能最大限度地減少應用程序的潛在攻擊面?
A. 用安全組在管理程序級別爲 Amazon EC2 實例提供有狀態防火牆。
B. 用網絡 ACL 在 VPC 級別提供狀態防火牆,防止訪問任何特定的 IAM 資源。
C. 用 IAM Direct Connect 實現專用子網內 EC2 實例之間的安全可信連接。
D. 外圍網絡(也稱爲 DMZ、非軍事區和屏蔽子網)內單層設計網絡安全,以便更快地應對威脅。
查看答案
正確答案: D
問題 #20
一名安全工程師使用 IAM CloudFormation 模板從私有 AMI 啓動了多個 Amazon EC2 實例。工程師發現實例在啓動後立即終止。是什麼原因導致了這些終止?
A. 動這些實例的 IAM 用戶缺少 ec2:Runinstances 權限。
B. 用的 AMI 已加密,且 IAM 沒有所需的 IAM KMS 權限。
C. C2 實例使用的實例配置文件無法查詢實例元數據。
D. AM 目前在該地區沒有足夠的能力。
查看答案
正確答案: B
問題 #21
安全工程師負責爲公司企業身份提供商(idp)中的數千名開發人員提供對 IAM 資源的安全訪問。開發人員使用 IAM 憑據從公司場所訪問一組 IAM 服務。由於配置新 IAM 用戶的要求很高,授予訪問權限需要很長時間。安全工程師收到報告稱,開發人員正在與他人共享他們的 IAM 憑據,以避免供應延遲。原因如下
A. IAM CloudTrail 事件創建 Amazon CloudWatch 警報 創建度量過濾器,以便在多個開發人員使用同一組 IAM 憑據時發送通知
B. IAM 和現有企業 IdP 之間建立聯盟 利用 IAM 角色提供對 IAM 資源的聯盟訪問
C. 企業辦公場所和 VPC 之間創建 VPN 通道 僅當權限來自企業辦公場所時,才允許訪問所有 IAM 服務。
D. 每個 IAM 用戶創建多個 IAM 輪值 確保使用相同 IAM 憑據的用戶不能同時擔任相同的 IAM 角色。
查看答案
正確答案: A
問題 #22
一名員工在一次公開演講中意外暴露了 IAM 訪問密鑰和祕密訪問密鑰。公司安全工程師立即禁用了該密鑰。工程師如何評估密鑰暴露的影響,並確保憑證未被濫用?(選擇兩項)。
A. 析 IAM CloudTrail 的活動。
B. 析 Amazon CloudWatch 日誌中的活動。
C. IAM Trusted Advisor 下載並分析 IAM 使用報告。
D. 析 IAM 配置中有關 IAM 用戶活動的資源清單。
E. IAM 下載並分析憑證報告。
查看答案
正確答案: A
問題 #23
一名安全工程師發現,來自一個 IP 地址的流量異常大。這是通過分析應用程序負載平衡器的訪問日誌發現的。安全工程師如何在不阻止 IP 地址的情況下限制來自特定 IP 地址的請求數量?
A. 應用程序負載平衡器中添加一條規則,路由來自相關 IP 地址的流量,並顯示靜態網頁。
B. 用 IAM WAF 實施基於速率的規則
C. 用 IAM Shield 限制源流量命中率。
D. Amazon Route 53 中實施地理定位功能。
查看答案
正確答案: C
問題 #24
以下哪項是登錄 EC2 Linux 實例的安全方法?請選擇:
A. AM 用戶名和密碼
B. 對密鑰
C. AM 訪問密鑰
D. AM SDK 密鑰
查看答案
正確答案: D
問題 #25
Amazon EC2 實例被拒絕訪問用於解密操作的新建 IAM KMS CMK。環境配置如下:允許實例在其 IAM 角色中對所有資源執行 kms:Decrypt 操作 IAM KMS CMK 狀態設置爲啓用 實例可以使用配置的 VPC 端點與 KMS API 通信 是什麼導致了這個問題?
A. C2 實例的 IAM 角色中缺少 kms:GenerateDataKey 權限
B. MK 上的 ARN 標記包含 EC2 實例的 ID,而不是實例的 ARN
C. C2 IAM 角色中缺少 kms:Encrypt 權限
D. 少啓用 IAM 用戶權限的 KMS CMK 密鑰策略
查看答案
正確答案: A
問題 #26
一名安全工程師正在實施一種解決方案,讓用戶無需直接接觸密鑰就能對 Amazon S3 對象進行無縫加密。該解決方案必須具有高度可擴展性,無需持續管理。此外,組織必須能夠立即刪除加密密鑰。哪種解決方案能滿足這些要求?
A. 要時,使用 IAM KMS 和 IAM 管理的密鑰,以及將 PendingWindowInDays 設置爲 0 的 ScheduleKeyDeletion API 來刪除密鑰。
B. 用帶有 IAM 導入密鑰材料的 KMS,然後在必要時使用 DeletelmportedKeyMaterial API 刪除密鑰材料。
C. 用 IAM CloudHSM 存儲密鑰,然後在必要時使用 CloudHSM API 或 PKCS11 庫刪除密鑰。
D. 用系統管理器參數存儲庫存儲密鑰,然後在必要時使用服務 API 操作刪除密鑰。
查看答案
正確答案: B
問題 #27
某公司的安全策略要求在所有 VPC 上啓用 VPC 流量日誌。安全工程師希望自動執行 VPC 資源合規性審計流程。工程師應採取哪些行動組合?(選擇兩項)。
A. 建一個 IAM Lambda 函數,用於確定給定 VPC 是否啓用了流量日誌。
B. 公司 IAM 賬戶中爲每個 VPC 創建一個 IAM Config 配置項。
C. 建一個 IAM Config 託管規則,資源類型爲 IAM:
D. 建一個 Amazon CloudWatch 事件規則,對 IAM 配置發出的事件進行觸發。
E. 建 IAM 配置自定義規則,並將其與包含評估邏輯的 IAM Lambda 函數關聯。
查看答案
正確答案: D

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.