不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

2024 最新 SCS-C02 考試問題和實踐測試,AWS 認證安全 - 專業 | SPOTO

AWS Certified Security - Specialty (SCS-C02) 考試是一項綜合測試,用於評估您在 AWS 雲環境中創建和實施安全解決方案的能力。該認證表明您掌握了專業數據分類、AWS 數據保護機制、數據加密方法及其在 AWS 中的實施。此外,它還驗證了您對安全互聯網協議及其與 AWS 安全機制集成的了解。使用我們更新的 2024 SCS-C02 考試問題和練習測試爲成功做好準備。訪問一系列考試問題、練習測試和示例問題,以加強您的理解和準備。我們的資源包括免費測驗、考試材料和考試答案,可幫助您進行有效練習。利用我們的考試模擬器獲得真實的考試體驗,增強您對實際考試的信心。

參加其他線上考試
問題 #1
某公司在 us-east-1 區域運行工作負載。該公司從未將資源部署到其他 AWS 區域,也沒有任何多區域資源。該公司需要將其工作負載和基礎架構複製到 us-west-1 區域。安全工程師必須實施一個解決方案,使用 AWS Secrets Manager 在兩個區域中存儲機密。該解決方案必須使用 AWS 密鑰管理服務(AWS KMS)對機密進行加密。該解決方案必須最大限度地減少延遲,並且必須能夠在只有一個區域的情況下工作。
A. 使用 AWS 管理的 KMS 密鑰加密 us-east-1 中的機密。將機密複製到 us-west-1。在 us-west-1 中使用新的 AWS 管理的 KMS 密鑰加密 us-west-1 中的機密。
B. 使用 AWS 管理的 KMS 密鑰加密 us-east-1 中的祕密。配置 us-west-1 中的資源,以調用 us-east-1 中的祕密管理器端點。
C. 使用客戶管理的 KMS 密鑰加密 us-east-1 中的祕密。配置 us-west-1 中的資源,以調用 us-east-1 中的祕密管理器端點。
D. 使用客戶管理的 KMS 密鑰加密 us-east-1 中的機密。將機密複製到 us-west-1。使用客戶管理的 KMS 密鑰加密 us-east-1 中的機密。
查看答案
正確答案: D
問題 #2
一家公司的信息安全總監希望 IAM 每天通過電子郵件發送一份報告,其中包含針對每個公司賬戶的建議,以滿足 IAM 安全最佳實踐的要求。哪種解決方案能滿足這些要求?
A. 在每個 IAM 帳戶中,配置 IAM Lambda 以查詢我的 IAM Support API tor IAM Trusted Advisor 安全檢查 將 Lambda 的結果發送到 Amazon SNS 主題以發送報告。
B. 主賬戶中配置 Amazon GuardDuty,並邀請所有其他賬戶接受主賬戶的管理 使用 GuardDuty 與 Amazon SNS 的集成來報告調查結果
C. 用 Amazon Athena 和 Amazon QuickSight 根據 IAM CloudTrail 創建報告 創建每日 Amazon CloudWatch 觸發器以運行報告,並使用 Amazon SNS 對其發送電子郵件
D. 用 IAM Artifact 的預建報告和訂閱 通過將信息安全總監添加爲每個賬戶的安全備用聯繫人,在報告中訂閱信息安全總監
查看答案
正確答案: BD
問題 #3
在最近的一次安全審計中,發現一家大型企業的多個團隊在多個 Amazon S3 存儲桶中放置了受限數據,而這些數據可能已經暴露。審計員要求該組織識別所有可能包含個人身份信息 (PII) 的對象,然後確定這些信息是否已被訪問。什麼樣的解決方案能讓安全團隊完成這一要求?
A. 用 Amazon Athena,使用 PII 查詢標識符功能查詢受影響的 S3 存儲桶。
B. 後,爲 Amazon S3 對象訪問創建一個新的 Amazon CloudWatch 指標,以便在訪問對象時發出警報。
C. 受影響的 S3 存儲桶上啓用 Amazon Macie,然後執行數據分類。
D. 於已識別的包含 PII 的對象,使用研究功能審核 IAM CloudTrail 日誌和 S3 桶日誌中的 GET 操作。
E. 用 Amazon GuardDuty 並在受影響的 S3 存儲桶上啓用 PII 規則集,然後執行數據分類。
F. 用 GuardDuty 的 PII 發現報告,使用 Athena 對 S3 桶日誌進行 GET 操作查詢。G
查看答案
正確答案: A
問題 #4
安全工程師被要求更新現有跟蹤的 AW3 CoudTrail 日誌文件前綴。當嘗試在 CloudTrail 控制臺中保存更改時,安全工程師收到以下錯誤消息。桶策略有問題",安全工程師如何才能看到該更改?
A. 用更新的日誌文件前綴創建新的跟蹤,然後刪除原始釘子 使用新的日誌前綴更新 Amazon S3 控制臺中的現有桶策略,然後更新 CloudTrail 控制臺中的日誌文件前綴
B. 新 Amazon S3 控制臺中的現有水桶策略,允許安全工程師委託人執行 PutBucketPolic
C. 然後更新 CloudTrail 控制臺中的日誌文件前綴
D. 用新日誌文件前綴更新 Amazon S3 控制臺中的現有桶策略,然後更新 CloudTrail 控制臺中的日誌文件前綴。
E. 新 Amazon S3 控制臺中的現有桶策略,允許安全工程師負責人執行 GetBucketPolicy,然後更新 CloudTrail 控制臺中的日誌文件前綴
查看答案
正確答案: A
問題 #5
一位安全工程師正在配置一種機制,當 AWS 管理控制臺在 5 分鐘內發生三次或三次以上登錄嘗試失敗時發送警報。該安全工程師在 AWS CloudTrail 中創建了一條線索來協助這項工作。哪種解決方案可以滿足這些要求?正確答案是 B。配置 CloudTrail 以將事件發送到 Amazon CloudWatch Logs。爲相關日誌組創建一個度量過濾器。創建事件名稱與 ConsoleLogin 和 errorMessage m 匹配的篩選器模式。
A. 在 CloudTrail 中,打開跟蹤上的 Insights 事件。在 Insights 上配置報警,事件名稱與 ConsoleLogin 匹配,錯誤信息與 "驗證失敗 "匹配。配置閾值爲 3,周期爲 5 分鐘。
B. 配置 CloudTrail 以將事件發送到 Amazon CloudWatch 日誌。爲相關日誌組創建一個度量過濾器。創建事件名稱與 ConsoleLogin 匹配且 errorMessage 與 "身份驗證失敗 "匹配的過濾器模式。創建一個閾值爲 3、周期爲 5 分鐘的 CloudWatch 警報。
C. 從 CloudTrail 事件中創建 Amazon Athena 表。對與 ConsoleLogin 匹配的 eventName 和與 "身份驗證失敗 "匹配的 errorMessage 運行查詢。從查詢中創建一個通知操作,以便在 5 分鐘內計數等於 3 時發送 Amazon Simple Notification Service (Amazon SNS) 通知。
D. AWS 身份和訪問管理訪問分析器中,創建一個新的分析器。配置分析器,以便在 5 分鐘內任何 IAM 用戶發生 3 次登錄失敗事件時發送 Amazon Simple Notification Service (Amazon SNS) 通知。
查看答案
正確答案: B
問題 #6
一名安全工程師發現,雖然亞馬遜 S3 存儲桶示例存儲桶已啓用加密,但任何可以訪問存儲桶的人都可以檢索文件。工程師希望限制每個 IAM 用戶只能訪問指定文件夾。安全工程師應如何實現這一目標?
A. 用由 IAM 管理的 CMK IAM/s3 進行信封加密。
B. 據"${IAM:username}"變量創建客戶管理 CMK,並授予 "kms:Decrypt "密鑰策略。
C. 每種用途創建客戶管理 CMK
D. 相應的密鑰策略中將每個用戶添加爲密鑰用戶。
E. 改適用的 IAM 策略,授予 S3 對 "資源 "的訪問權限:"arn:IAM:s3:::examplebucket/${IAM:username}/*"
查看答案
正確答案: B
問題 #7
某公司的安全工程師被要求監控和報告所有 IAM 賬戶根用戶的活動。以下哪項可以讓安全工程師監控和報告所有根用戶的活動?(請選擇兩項)
A. 置 IAM 組織以監控支付賬戶的根用戶 API 調用
B. 建一個 Amazon CloudWatch 事件規則,當報告來自根用戶的任何 API 調用時觸發該規則
C. 置 Amazon Inspector 以掃描 IAM 賬戶是否有任何根用戶活動
D. 置 IAM Trusted Advisor,以便在根用戶登錄控制臺時向安全團隊發送電子郵件
E. 用亞馬遜 SNS 通知目標羣體
查看答案
正確答案: D
問題 #8
貴公司要求對 IAM KMS 服務的所有呼叫進行記錄。如何實現?請選擇:
A. 用 KMS 服務日誌記錄
B. Cloudtrail 中啓用跟蹤
C. 用 Cloudwatch 日誌
D. 用 Cloudwatch 指標
查看答案
正確答案: C
問題 #9
某公司需要爲特定子域實施 DNS 安全擴展 (DNSSEC)。該子域已在 Amazon Route 53 註冊。安全工程師已啓用 DNSSEC 籤名並創建了密鑰籤名密鑰 (KSK)。當安全工程師嘗試測試配置時,收到了信任鏈斷裂的錯誤信息。安全工程師應如何解決此錯誤?
A. 用分區籤名密鑰(ZSK)替換 KSK。
B. 用然後激活 KSK。
C. 父託管區域中創建委託籤名者 (DS) 記錄。
D. 子域中創建委託籤名者 (DS) 記錄。
查看答案
正確答案: C
問題 #10
在一次安全事件中,發現一些 Amazon EC2 實例沒有發送 Amazon CloudWatch 日誌。安全工程師可以採取哪些步驟來排除此問題?(選擇兩個)。
A. 接到未發送相應日誌的 EC2 實例,並驗證 CloudWatch 日誌代理是否正在運行。
B. 錄 IAM 帳戶並選擇 CloudWatch 日誌
C. 查任何處於 "警報 "狀態的受監控 EC2 實例,並使用 EC2 控制臺重新啓動它們。
D. 證 EC2 實例是否有指向公共 IAM API 端點的路由。
E. 接未發送日誌的 EC2 實例
F. 用命令提示符驗證 Amazon SNS 主題是否設置了正確的權限。G
查看答案
正確答案: B
問題 #11
一名軟件工程師編寫了一個定製的報告服務,該服務將在一組亞馬遜 EC2 實例上運行。公司的安全策略規定,必須集中收集報告服務的應用程序日誌。滿足這些要求的最有效方法是什麼?
A. 寫一個 IAM Lambda 函數,登錄 EC2 實例,從 EC2 實例中提取應用程序日誌並將其持久化到 Amazon S3 存儲桶中。
B. IAM 帳戶啓用 IAM CloudTrail 日誌,創建新的 Amazon S3 存儲桶,然後配置 Amazon CloudWatch 日誌以接收 CloudTrail 的應用程序日誌。
C. EC2 實例上創建一個簡單的 cron 作業,使用 rsync 將應用程序日誌同步到 Amazon S3 存儲桶。
D. EC2 實例上安裝 Amazon CloudWatch Logs Agent,並將其配置爲將應用程序日誌發送到 CloudWatch Logs。
查看答案
正確答案: A
問題 #12
某公司使用多個 IAM 賬戶,由 IAM 組織管理 安全工程師爲所有這些賬戶創建了一套標準的安全組。安全策略要求所有應用程序都使用這些安全組,並將修改權限僅委託給安全團隊。最近的一次安全審計發現,各賬戶執行的安全組不一致,而且有人對安全組進行了未經授權的更改。安全工程師需要建議
A. 用 IAM 資源訪問管理器爲每個所需的安全組創建共享資源,並應用只允許安全組進行只讀訪問的 IAM 策略。
B. 建一個 IAM CloudFormation 模板,以創建所需的安全組 作爲配置新賬戶的一部分執行該模板 在發生更改時啓用 Amazon Simple Notification Service (Amazon SNS) 通知
C. 用 IAM 防火牆管理器創建安全組策略,啓用策略功能以識別和恢復本地更改,並啓用自動修復功能
D. 用 IAM 控制塔編輯賬戶工廠模板,啓用 "攫取安全組 "選項 對 OU 或單個賬戶應用 SCP,禁止本地賬戶用戶修改安全組
查看答案
正確答案: A
問題 #13
由於懷疑 IAM 帳戶遭到入侵,安全管理員正在執行日誌分析。管理員希望分析可疑的 IAM CloudTrail 日誌文件,但被生成的大量審計日誌壓得喘不過氣來。什麼方法能讓管理員最有效地搜索日誌?
A. 施 "只寫 "CloudTrail 事件過濾器,以檢測對 IAM 帳戶資源的任何修改。
B. 置 Amazon Macie 以對包含 CloudTrail 審計日誌的 Amazon S3 存儲桶中的敏感數據進行分類和發現。
C. 置 Amazon Athena 以從 CloudTrail S3 存儲桶讀取數據並查詢日誌以檢查帳戶活動。
D. 用 Amazon S3 事件通知,以觸發 IAM Lambda 函數,該函數會在有新的 CloudTrail API 條目時發送電子郵件警報。
查看答案
正確答案: A
問題 #14
某大學的一名安全管理員正在配置一組 Amazon EC2 實例。EC2 實例由學生共享,允許非 root SSH 訪問。管理員擔心學生使用 EC2 實例元數據服務攻擊其他 IAM 賬戶資源。管理員該如何防範這種潛在攻擊?
A. 用 EC2 實例元數據服務。
B. 錄所有學生 SSH 交互會話活動。
C. 實例實施基於 ip 表的限制。
D. 實例上安裝 Amazon Inspector 代理。
查看答案
正確答案: B
問題 #15
一些高度敏感的分析工作負載將轉移到亞馬遜 EC2 主機上。威脅建模發現,存在一個子網可能被惡意或意外暴露在互聯網上的風險。應建議採取以下哪種緩解措施?
A. 用 IAM 配置檢測是否添加了 Internet 網關,並使用 IAM Lambda 函數提供自動修復。
B. Amazon VPC 配置中,將 VPC 標記爲私有,並禁用彈性 IP 地址。
C. EC2 主機上只使用 IPv6 尋址,因爲這樣可以防止從互聯網訪問主機。
D. 工作負載轉移到專用主機上,因爲這樣可以提供額外的網絡安全控制和監控。
查看答案
正確答案: A
問題 #16
一家大公司的安全工程師正在管理一個數據處理應用程序,該應用程序供 1,500 家子公司使用。母公司和子公司都使用 IAM。該應用程序使用 TCP 端口 443,在網絡負載平衡器 (NLB) 後面的 Amazon EC2 上運行。出於合規原因,該應用程序只能由子公司訪問,不能在公共互聯網上使用。爲滿足限制訪問的合規要求,工程師收到了公共和私有 CIDR
A. 建 NACL,允許從 1;500 子網 CIDR 塊範圍訪問 TCP 端口 443。
B. 建 IAM 安全組,允許從 1 500 個附屬 CIDR 塊範圍訪問 TCP 端口 443
C. 安全組與 NL 關聯
D. EC2 實例創建第二個安全組,從 NLB 安全組訪問 TCP 端口 443。
E. 連接到 NL 的母公司賬戶中創建 IAM PrivateLink 端點服務
F.
查看答案
正確答案: A
問題 #17
安全工程師必須在 VPC 內部通信的容器之間實現相互驗證的 TLS 連接。哪種解決方案最安全且易於維護?
A. 用 IAM 證書管理器從公共證書頒發機構生成證書,並將其部署到所有容器。
B. 一個容器中創建自籤名證書,然後使用 IAM Secrets Manager 將證書分發給其他容器以建立信任。
C. 用 IAM 證書管理器私有證書頒發機構 (ACM PCA) 創建下級證書頒發機構,然後在容器中創建私鑰並使用 ACM PCA API 籤名。
D. 用 IAM 證書管理器私有證書授權(ACM PCA)創建下級證書授權,然後使用 IAM 證書管理器生成私有證書並將其部署到所有容器。
查看答案
正確答案: ADF
問題 #18
某公司有多個生產 IAM 賬戶和一個中央安全 IAM 賬戶。安全賬戶用於集中監控,並對每個公司賬戶中的所有資源擁有 IAM 權限。公司的所有 Amazon S3 存儲桶都標記了一個值,表示其內容的數據分類。一名安全工程師正在安全賬戶中部署一個監控解決方案,以執行存儲桶策略合規性。該系統必須監控所有生產賬戶中的 S3 存儲桶,並與安全賬戶共同執行存儲桶政策。
A. 生產賬戶中配置 Amazon CloudWatch Events,將所有 S3 事件發送到安全賬戶事件總線。
B. 安全賬戶中啓用 Amazon GuardDuty。
C. 並將生產賬戶加入爲成員。
D. 安全賬戶中配置 Amazon CloudWatch Events 規則,以檢測 S3 存儲桶創建或修改事件。
E. 用 IAM Trusted Advisor 並爲分配給安全聯繫人的電子郵件地址激活電子郵件通知。
F. 安全賬戶中調用 IAM Lambda 函數,分析 S3 桶設置以響應 S3 事件,並向安全團隊發送不合規通知。G
查看答案
正確答案: BEF
問題 #19
某公司計劃使用自定義 AMI 在單個 Region 中跨多個 IAM 賬戶啓動 Amazon EC2 實例,以執行安全監控和分析任務。EC2 實例在 EC2 自動擴展組中啓動。爲提高解決方案的安全性,安全工程師將管理集中賬戶中自定義 AMI 的生命周期,並使用集中管理的 IAM KMS CMK 對其進行加密。安全工程師配置了 KMS 密鑰策略,以允許跨賬戶訪問。但是
A. 集中賬戶中創建客戶管理的 CMK
B. 過在密鑰政策中應用適當的跨賬戶權限,允許其他適用賬戶使用該密鑰進行加密操作
C. 所有適用賬戶中創建 IAM 角色,並配置其訪問策略,以允許使用集中管理的 CMK 進行加密操作
D. 每個適用賬戶中配置 EC2 自動擴展組,以使用創建的 IAM 角色啓動 EC2 實例。
E. 集中賬戶中創建客戶管理的 CMK
F. 過在密鑰策略中應用適當的跨賬戶權限,允許其他適用賬戶使用該密鑰進行加密操作 G
查看答案
正確答案: A
問題 #20
某公司在 IAM 雲上託管了一個重要的網絡應用程序。這是公司創收的關鍵應用程序。IT 安全團隊擔心網站會受到潛在的 DDos 攻擊。高級管理層還規定,一旦發生潛在的 DDos 攻擊,必須立即採取行動。在這方面應採取什麼措施?請選擇:
A. 慮使用 IAM Shield 服務
B. 慮使用 VPC 流量日誌監控 DDos 攻擊流量,並在觸發潛在攻擊時迅速採取行動。
C. 慮使用 IAM Shield 高級服務
D. 慮使用 Cloudwatch 日誌監控 DDos 攻擊流量,並在觸發潛在攻擊時迅速採取行動。
查看答案
正確答案: A
問題 #21
安全工程師必須爲一家公司開發加密工具。該公司要求加密解決方案能夠支持在 15 分鐘或更短時間內對密鑰材料保護的所有資源執行加密擦除。 哪種 IAM 密鑰管理服務 (IAM KMS) 密鑰解決方案能讓安全工程師滿足這些要求?
A. 用 CMK 的進口關鍵材料
B. 用 IAM KMS CMK
C. 用 IAM 管理的 CMK。
D. 用 IAM KMS 客戶管理 CMK
查看答案
正確答案: A
問題 #22
某公司制定了複雜的連接規則,用於管理 Amazon EC2 實例之間的入口、出口和通信。這些規則非常複雜,無法在安全組和網絡訪問控制列表(網絡 ACL)的最大數量限制內實施。什麼機制能讓公司在不增加成本的情況下實施所有必要的網絡規則?
A. 置 IAM WAF 規則以執行所需的規則。
B. 用操作系統內置的基於主機的防火牆來執行所需的規則。
C. 據要求使用 NAT 網關控制入口和出口。
D. IAM Marketplace 啓動基於 EC2 的防火牆產品,並在該產品中實施所需的規則。
查看答案
正確答案: D
問題 #23
一家公司希望對其企業環境和 IAM 之間的專用網絡進行加密。公司還希望爲員工提供一致的網絡體驗。公司應如何滿足這些要求?
A. IAM 建立 IAM 直接連接連接,並設置直接連接網關。
B. 直接連接網關配置中,啓用 IPsec 和 BGP,然後利用可用區和區域之間的本地 IAM 網絡加密、
C. IAM 建立 IAM 直接連接連接,並設置直接連接網關。
D. 用直接連接網關,創建專用虛擬接口並公布客戶網關專用 IP 地址。
E. 用客戶網關和虛擬專用網關創建 VPN 連接
F. 過互聯網與 IAM 虛擬私有雲建立 VPN 連接 G
查看答案
正確答案: B
問題 #24
某公司有一個帶 IPv6 地址範圍的 VPC 和一個帶 IPv6 地址塊的公共子網。VPC 目前承載着一些公共 Amazon EC2 實例,但一名安全工程師需要將第二個應用程序遷移到 VPC 中,該應用程序也需要 IPv6 連接。然而,安全團隊不希望應用程序的 EC2 實例直接暴露在互聯網上。
A. 公共子網中啓動 NAT 實例 用新路由更新自定義路由表到 NAT 實例
B. 除互聯網網關,將 IAM PrivateLink 添加到 VPC 然後更新自定義路由表,添加新的路由到 IAM PrivateLink
C. VPC 中添加受管 NAT 網關 在自定義路由表中更新通往網關的新路由
D. VP 上添加只允許出口的互聯網網關
E. 新路由更新自定義路由表到網關
查看答案
正確答案: A
問題 #25
具有填充 EC2 權限的 IAM 用戶可以在亞馬遜 EC2 實例因維護任務而停止後惡意啓動該實例。啓動實例後,實例狀態會變爲 "待處理",但幾秒鐘後又會變回 "已停止"。檢查發現,該實例附加了使用客戶主密鑰 (CMK) 加密的 Amazon EBS 卷。當這些加密卷被分離後,IAM 用戶就可以啓動 EC2 實例了。IAM 用戶策略如下
A. kms:GenerateDataKey
B. kms:解密
C. kms:CreateGrant
D. 條件":{"Bool": {"kms:ViaService":"ec2
E. 條件":{"Bool": {"kms:GrantIsForIAMResource": true}}
查看答案
正確答案: B
問題 #26
貴公司在 IAM 賬戶中定義了一組 1000 個 EC2 實例。他們希望有效地自動執行這些實例上的若干管理任務。以下哪項是實現這一目標的有效方法?請選擇:
A. 用 IAM 系統管理器參數庫
B. 用 IAM 系統管理器運行命令
C. 用 IAM 檢查器
D. 用 IAM 配置
查看答案
正確答案: C
問題 #27
一名安全工程師正與一個產品團隊合作,在 IAM 上構建一個網絡應用程序。該應用程序使用 Amazon S3 託管靜態內容,使用 Amazon API Gateway 提供 RESTful 服務,並使用 Amazon DynamoDB 作爲後端數據存儲。用戶已經存在於通過 SAML 身份提供程序公開的目錄中。工程師應採取以下哪種操作組合才能使用戶通過身份驗證進入 Web 應用程序並調用 API?(選擇三個)。
A. 用 IAM Lambda 創建自定義授權服務。
B. Amazon Cognito 中配置 SAML 身份提供程序,將屬性映射到 Amazon Cognito 用戶池屬性。
C. 置 SAML 身份提供程序,將 Amazon Cognito 用戶池添加爲依賴方。
D. 置 Amazon Cognito 身份池,以便與社交登錄提供商集成。
E. 新 DynamoDB 以存儲用戶電子郵件地址和密碼。
F. 新 API Gateway 以使用 COGNITO_USER_POOLS 授權器。
查看答案
正確答案: A
問題 #28
安全管理員正在限制公司根用戶賬戶的功能。該公司使用 IAM 組織,並已爲所有功能集(包括合併計費)啓用了 IAM 組織。頂級賬戶用於計費和管理目的,而不是用於操作 IAM 資源目的。管理員如何在整個組織內限制成員根用戶賬戶的使用?
A. 止在組織區域使用 root 用戶賬戶
B. 每個組織成員賬戶的根用戶賬戶啓用多因素身份驗證。
C. 置 IAM 用戶策略,限制每個組織成員賬戶的 root 賬戶功能。
D. "組織 "中創建一個組織單位 (OU),並設置服務控制策略來控制根使用的使用情況
E. 所有操作賬戶添加到新的 OU。
F. 置 IAM CloudTrail 以與 Amazon CloudWatch 日誌集成,然後爲 RootAccountUsage 創建一個度量過濾器。
查看答案
正確答案: DEF
問題 #29
一家公司使用基礎架構即代碼(IaC)來創建 AWS 基礎架構。該公司將代碼寫成 AWS CloudFormation 模板來部署基礎架構。該公司有一個現有的 CI/CD 管道,可用於部署這些模板。在最近的一次安全審計後,公司決定採用 "策略即代碼 "的方法來改善公司在 AWS 上的安全狀況。公司必須防止部署任何會違反安全策略的基礎架構,例如未加密的數據包。
A. 打開 AWS Trusted Advisor。在 CI/CD 管道的首選項部分將安全通知配置爲網絡鉤子。
B. 打開 AWS 配置。使用預置規則或自定義規則。將 CI/CD 管道訂閱到從 AWS Config 接收通知的 Amazon Simple Notification Service (Amazon SNS) 主題。
C. AWS CloudFormation Guard 中創建規則集。作爲 CI/CD 流程的一個階段,對 CloudFormation 模板運行驗證檢查。
D. 規則集創建爲 SCP。將 SCP 作爲驗證控制的一部分集成到 CI/CD 流程的一個階段中。
查看答案
正確答案: C
問題 #30
一位開發人員正在構建一個使用 Amazon API Gateway 作爲前端的無服務器應用程序。該應用程序不會公開訪問。在 Amazon EC2 上運行的其他傳統應用程序將調用該應用程序 安全工程師被要求審查應用程序身份驗證和授權的安全控制措施 哪種操作組合將提供最安全的解決方案?(選擇兩項)
A. 置 IAM 策略,允許最少的許可操作與 API 網關通信 將策略附加到傳統 EC2 實例使用的角色上
B. API 網關啓用 IAM WAF 配置規則,明確允許來自傳統 EC2 實例的連接
C. API 網關創建 VPC 端點 附加 IAM 資源策略,允許傳統 EC2 實例的角色調用特定 API
D. 建使用計劃 爲每個需要調用 API 的應用程序生成一組 API 密鑰。
E. 每個 API 中配置跨源資源共享 (CORS) 與調用 API 的應用程序共享 CORS 信息。
查看答案
正確答案: AE
問題 #31
某公司將其公共網站託管在應用程序負載平衡器 (ALB) 後面的 Amazon EC2 實例上。這些實例位於 EC2 自動擴展組中,跨越多個可用區。安全工程師需要在不影響公共網站可用性的情況下減輕攻擊。安全工程師應如何實現這一目標?
A. IAM WAF 配置網絡 ACL 規則,以阻止對 loT 設備的用戶代理具有字符串匹配條件的請求。
B. v/eb ACL 與 ALB 關聯。
C. 置 Amazon CloudFront 分發,將 ALB 用作源代碼。
D. IAM WAF 配置網絡 ACL 規則,以阻止對 loT 設備的用戶代理具有字符串匹配條件的請求。
E. Web ACL 與 ALB 關聯 更改網站的公共 DNS 條目,使其指向 CloudFront 分發。
F.
查看答案
正確答案: B
問題 #32
一家公司的內部數據中心將 DNS 日誌轉發給第三方安全事件管理 (SIEM) 解決方案,該解決方案會對可疑行爲發出警報。該公司希望在其 IAM 賬戶中引入類似的功能,包括自動修復功能。該公司預計在未來幾個月內規模將擴大一倍。哪種解決方案能滿足公司當前和未來的日誌記錄要求?
A. 所有區域和所有賬戶中啓用 Amazon GuardDuty 和 IAM Security Hub
B. 定一個主安全賬戶接收來自子賬戶的所有警報
C. Amazon Even;Bridge 中設置特定規則,以觸發 IAM Lambda 函數來執行補救步驟。
D. 所有 IAM CloudTrail 日誌、VPC 流量日誌和 DNS 日誌匯入指定安全賬戶中的單個 Amazon S3 存儲桶。
E. 用當前的內部部署 SIEM 監控日誌,並向 Amazon SNS 主題發送通知,提醒安全團隊採取補救措施。
F.
查看答案
正確答案: B
問題 #33
貴公司在 IAM 中託管了一個 EC2 實例。該 EC2 實例託管了一個應用程序。目前,該應用程序遇到了一些問題。您需要檢查網絡數據包,看看發生的錯誤類型是什麼?以下哪個步驟可以幫助解決這個問題?請選擇:
A. 用 VPC 流量日誌。
B. 用 IAM 合作夥伴提供的網絡監控工具。
C. 用另一個實例
D. 端口設置爲 "混雜模式",然後嗅探流量以分析數據包
E. 用 Cloudwatch 指標
查看答案
正確答案: D
問題 #34
一名軟件工程師試圖找出亞馬遜 EC2 實例的網絡連接似乎無法正常工作的原因。該實例的安全組允許來自 0.0.0.0/0 的 HTTP 入站流量,出站規則也未從默認值修改。與其子網關聯的自定義網絡 ACL 允許來自 0.0.0.0/0 的 HTTP 入站流量,但沒有出站規則。怎樣才能解決連接問題?
A. 全組上的出站規則不允許在短暫端口範圍內向客戶端發送響應。
B. 全組的出站規則不允許通過 HTTP 端口向客戶端發送響應。
C. 須在網絡 ACL 中添加出站規則,以允許在短暫端口範圍內向客戶端發送響應。
D. 須在網絡 ACL 中添加出站規則,以允許通過 HTTP 端口向客戶端發送響應。
查看答案
正確答案: C
問題 #35
在 EC2 實例上運行的應用程序必須使用用戶名和密碼才能訪問數據庫。開發人員使用默認的 KMS CMK 將這些祕密存儲在 SSM 參數存儲區中,類型爲 SecureString。哪種配置步驟組合可以讓應用程序通過 API 訪問這些祕密?請從以下選項中選擇 2 個答案:
A. EC2 實例角色作爲受信任服務添加到 SSM 服務角色。
B. SSM 服務角色中添加使用 KMS 密鑰解密的權限。
C. EC2 實例 rol 中添加讀取 SSM 參數的權限
D.
E. EC2 實例角色中添加使用 KMS 密鑰解密的權限
F. SSM 服務角色作爲受信任服務添加到 EC2 實例角色。
查看答案
正確答案: B
問題 #36
某組織有三個應用程序在 IAM 上運行,每個應用程序都訪問 Amazon S3 上的相同數據。Amazon S3 上的數據通過使用 IAM KMS 客戶主密鑰 (CMK) 進行服務器端加密。建議採用什麼方法來確保每個應用程序在 KMS CMK 上都有自己的編程訪問控制權限?
A. 每個應用程序必須訪問 Amazon S3 中的數據時,爲其更改與 KMS CMK 關聯的密鑰策略權限。
B. 每個應用程序承擔一個 IAM 角色,提供使用 IAM 證書管理器 CMK 的權限。
C. 每個應用程序使用 KMS CMK 上的授權來添加或刪除 KMS CMK 上的特定訪問控制。
D. 每個應用程序在用戶上下文中使用 IAM 策略,以獲得 KMS CMK 的特定訪問權限。
查看答案
正確答案: AD
問題 #37
某組織收到警報,顯示 ELB Classic 負載平衡器後面的 EC2 實例已被入侵。哪些技術可以限制橫向移動並收集證據?
A. 負載平衡器中刪除實例並終止它。
B. 負載平衡器中刪除實例,並通過收緊安全組來關閉對實例的訪問。
C. 啓實例並檢查是否有任何 Amazon CloudWatch 警報。
D. 止實例並製作 EBS 根卷快照。
查看答案
正確答案: B
問題 #38
某公司有一個加密的 Amazon S3 存儲桶。應用程序開發人員的 IAM 策略允許訪問 S3 存儲桶,但應用程序開發人員無法訪問存儲桶中的對象。問題的可能原因是什麼?
A. 3 存儲桶的 S3 ACL 未明確授予應用程序開發人員訪問權限
B. 3 存儲桶的 IAM KMS 密鑰無法將應用程序開發人員列爲管理員
C. 3 桶策略未明確授予應用程序開發人員訪問權限
D. 3 存儲桶策略明確拒絕訪問應用程序開發人員
查看答案
正確答案: D
問題 #39
一家公司計劃將其大部分 IT 基礎設施遷移到 IAM。他們希望利用現有的內部部署 Active Directory 作爲 IAM 的身份提供商。安全工程師應採取哪些步驟組合將公司內部的 Active Directory 與 IAM 聯合起來?(選擇兩個)。
A. 建具有與每個 Active Directory 組相對應權限的 IAM 角色。
B. 建具有與每個 Active Directory 組相對應權限的 IAM 組。
C. 置 Amazon Cloud Directory 以支持 SAML 提供商。
D. 置 Active Directory 以在 Active Directory 和 IAM 之間添加依賴方信任。
E. 置 Amazon Cognito 以在 Active Directory 和 IAM 之間添加依賴方信任。
查看答案
正確答案: ABF
問題 #40
在最近的一次內部調查中,發現生產賬戶中的所有 API 日誌都被禁用,而且根用戶創建了新的 API 密鑰,這些密鑰似乎已被多次使用。怎樣才能檢測並自動補救該事件?
A. 用 Amazon Inspector 查看所有 API 調用,並將 Inspector 代理配置爲利用 SNS 主題通知 IAM CloudTrail 的安全變更,並撤銷根用戶的新 API 密鑰。
B. 用 IAM 配置創建一個配置規則,檢測 IAM CloudTrail 是否已禁用,以及對根用戶 create-api-ke 的任何調用。
C. 後使用 Lambda 函數重新啓用 CloudTrail 日誌並停用根 API 密鑰。
D. 用 Amazon CloudWatch 創建一個 CloudWatch 事件來檢測 IAM CloudTrail 是否停用,並創建一個單獨的 Amazon Trusted Advisor 檢查來自動檢測根 API 密鑰的創建。
E. 後使用 Lambda 函數啓用 IAM CloudTrail 並停用根 API 密鑰。
F. 用亞馬遜 CloudTrail,創建一個新的 CloudTrail 事件來檢測 CloudTrail 日誌的停用情況,並創建一個單獨的 CloudTrail 事件來檢測根 API 密鑰 G 的創建情況,然後使用 Lambda 函數啓用 CloudTrail 並停用根 API 密鑰。
查看答案
正確答案: A
問題 #41
使用 IAM 密鑰管理服務 (KMS) 的哪種方案可以支持密鑰管理最佳實踐,將未來可能發生的密鑰泄露事件可能暴露的數據範圍降至最低?
A. 用 KMS 自動密鑰輪換來替換主密鑰,並將新的主密鑰用於未來的加密操作,而無需重新加密之前加密的數據。
B. 成新的客戶主密鑰 (CMK),使用新的 CMK 重新加密所有現有數據,並將其用於今後的所有加密操作。
C. 隔 90 天更改 CMK 別名,並使用新的密鑰別名更新密鑰調用應用程序。
D. 改 CMK 權限,確保可以提供密鑰的人員與可以使用密鑰的人員不同。
查看答案
正確答案: BE
問題 #42
一名安全工程師在審核一個生產系統時發現了幾個額外的 IAM 角色,這些角色不是必需的,而且在 90 天前的最後一次審核中也沒有記錄。工程師試圖找出這些 IAM 角色的創建者和創建時間。解決方案必須具有最低的運行開銷。哪種解決方案能滿足這一要求?
A. IAM CloudTrail 日誌從 Amazon S3 導入 Amazon Elasticsearch 服務羣集,並在組合日誌中搜索 CreateRole 事件。
B. Amazon Athena 中爲 IAM CloudTrail 事件創建一個表
C. Amazon Athena 中的表中查詢 CreateRole 事件。
D. 用 IAM 配置查找其他 IAM 角色的配置時間線,並查看鏈接的 IAM CloudTrail 事件。
E. IAM 控制臺下載憑證報告,查看每個 IAM 實體的詳細信息,包括創建日期。
查看答案
正確答案: A
問題 #43
某公司有多個工作負載在 IAM 上運行。員工需要使用內部 ADFS 和 SSO 進行身份驗證,才能訪問 IAM 管理控制臺。開發人員將現有的傳統網絡應用程序遷移到 Amazon EC2 實例。員工需要從互聯網上的任何地方訪問該應用程序,但目前該應用程序沒有內置身份驗證系統。安全工程師應如何在不更改應用程序的情況下實現對該系統的員工專用訪問?
A. 應用程序置於應用程序負載平衡器 (ALB) 之後。使用 Amazon Cognito 作爲 ALB 的身份驗證
B. 義基於 SAML 的 Amazon Cognito 用戶池並將其連接到 ADFS。
C. 主賬戶中實施 IAM SSO,並將其鏈接到 ADFS 作爲身份提供者
D. EC2 實例定義爲受管資源,然後在資源上應用 IAM 策略。
E. 義 Amazon Cognito 身份池,然後在 Active Directory 服務上安裝連接器
F. 應用程序實例上使用 Amazon Cognito SDK,使用員工的 Active Directory 用戶名和密碼對其進行身份驗證。G
查看答案
正確答案: D
問題 #44
在確保公司 VPC 與內部數據中心之間的連接安全時,一名安全工程師從內部主機(IP 地址 203.0.113.12)向 Amazon EC2 實例(IP 地址 172.31.16.139)發送了一條 ping 命令。ping 命令沒有返迴響應。VPC 中的流量日誌顯示如下:2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK 2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 RE
A. EC2 實例的安全組中,允許入站 ICMP 流量。
B. EC2 實例的安全組中,允許出站 ICMP 流量。
C. VPC 的 NACL 中,允許入站 ICMP 流量。
D. VPC 的 NACL 中,允許出站 ICMP 流量。
查看答案
正確答案: B
問題 #45
某組織希望部署一個三層網絡應用程序,其中應用服務器在 Amazon EC2 實例上運行。這些 EC2 實例需要訪問它們將用於驗證與 Amazon RDS DB 實例的 SQL 連接的憑據。此外,IAM Lambda 函數必須使用相同的數據庫憑據向 RDS 數據庫發出查詢。必須存儲憑據,以便 EC2 實例和 Lambda 函數可以訪問它們。不允許進行其他訪問。訪問日誌必須包括
A. 數據庫憑據存儲在 IAM 密鑰管理服務 (IAM KMS) 中。在角色的信任政策中使用 EC2 和 Lambda 服務 principals,創建可訪問 IAM KMS 的 IAM 角色
B. 角色添加到 EC2 實例配置文件中
C. 實例配置文件附加到 EC2 實例
D. 置 Lambda 以使用新角色執行。
E. IAM KM 中存儲數據庫憑據
F.
查看答案
正確答案: ABF
問題 #46
某公司的安全信息事件管理 (SIEM) 工具從 Amazon S3 存儲桶接收新的 IAM CloudTrail 日誌,該存儲桶被配置爲向 Amazon SNS 主題發送所有對象創建事件通知。然後,公司的 SEM 工具使用 IAM 角色從 SQS 隊列獲取新消息,並根據 SQS 消息從 S3 存儲桶獲取新日誌事件。最近的一次安全審查導致權限受限,因此 SEM 工具停止了對 SQS 隊列的訪問。
A. OS 隊列不允許從 SNS 主題執行 SQS SendMessage 操作
B. NS 主題不允許從 Amazon S3 執行 SNS 發布操作
C. NS 主題沒有向 SQS 隊列發送原始信息
D. 3 桶策略不允許 CloudTrail 執行 PutObject 操作
E. EM 工具使用的 IAM 角色沒有訂閱 SNS 主題的權限
F. EM 工具使用的 IAM 角色不允許執行 SQS DeleteMessage 操作。
查看答案
正確答案: BDF
問題 #47
您在媒體行業工作,您創建了一個網絡應用程序,用戶可以將他們創建的照片上傳到您的網站。該網絡應用程序必須能夠調用 S3 API 才能運行。在保持最大安全級別的前提下,您應該在哪裡存儲您的 API 憑據?請選擇:
A. API 憑據保存到 PHP 文件中。
B. 要保存 API 憑據,而是在 IAM 中創建一個角色,並在首次創建 EC2 實例時將該角色分配給 EC2 實例。
C. 您的 API 憑據保存在 Github 公共倉庫中。
D. 用實例 userdata 將 API 憑據傳遞給實例。
查看答案
正確答案: ACE
問題 #48
一款手機遊戲的安全工程師必須實現一種驗證用戶身份的方法,以便用戶保存自己的遊戲進度。由於大多數用戶都屬於同一個兼容 OpenID-Connect 的社交媒體網站,安全工程師希望使用該網站作爲身份提供者。哪種解決方案是允許使用社交媒體身份驗證用戶的最簡單方法?
A. 馬遜認知
B. 用 WebIdentity API 假設角色
C. 馬遜雲目錄
D. 動目錄 (AD) 連接器
查看答案
正確答案: DEF
問題 #49
某公司有多把客戶主鑰匙(CMK),其中一些是進口鑰匙材料。每把 CMK 必須每年輪換一次。安全團隊可以使用哪兩種方法輪換每把鑰匙?請從下面的選項中選擇 2 個答案:
A. CMK 啓用自動密鑰旋轉功能
B. 新的關鍵材料導入現有 CMK
C. 用 CLI 或控制臺顯式旋轉現有 CMK
D. 新的密鑰材料導入新的 CMK;將密鑰別名指向新的 CMK。
E. 除現有 CMK,將創建新的默認 CMK。
查看答案
正確答案: B

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.