不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

AWS SCS-C02 考試問題 2024 - 含練習測試和答案的真實 AWS 考試準備

Exam NameAWS Certified Security - Specialty (Security Specialty)
Exam CodeSCS-C02
Number of Questions65 questions
Passing Score750 / 1000
Exam Price$300 USD
Duration170 minutes

 

Preparing for the SCS-C02 AWS exam requires reviewing quality exam questions and materials. By studying actual SCS-C02 exam questions and answers, as well as taking practice exams and tests, you can identify your weaker knowledge areas and shore up your understanding. High-quality SCS-C02 practice tests allow you to experience the real exam format while testing your skills. Alongside these practice questions, be sure to thoroughly study exam dumps, notes, and preparation guides that clearly explain each SCS-C02 exam domain and knowledge requirement. Using various exam preparation materials, rather than relying on a single source, will best prepare you to pass your AWS certification on the first attempt. Take timed mock exams, review detailed explanations, focus on your weaker domains, and continue practicing AWS SCS-C02 exam questions until you are consistently scoring above 90%.

 

參加其他線上考試
問題 #1
安全工程師需要確保 SCP 符合最佳實踐。安全工程師應採取哪種方法來滿足這一要求?
A. 使用 AWS IAM Access Analyzer 分析策略。查看策略驗證檢查的結果
B. 審查組織中所有賬戶的 AWS Trusted Advisor 檢查。
C. 設置 AWS 審計管理器。爲所有賬戶的所有 AWS 區域運行評估。
D. 確保在所有賬戶的所有 Amazon EC2 實例上安裝 Amazon Inspector 代理
查看答案
正確答案: A
問題 #2
A 公司最近收購了 B 公司,B 公司的 AWS 賬戶名爲賬戶 B。管理員需要讓賬戶 A 中的用戶完全訪問賬戶 B 中的 S3 存儲桶。管理員調整賬戶 A 中用戶的 IAM 權限以訪問賬戶 B 中的 S3 存儲桶後,該用戶仍無法訪問 S3 存儲桶中的任何文件。哪種解決方案可以解決這個問題?
A. 在賬戶 B 中,創建一個桶 ACL,允許賬戶 A 中的用戶訪問賬戶 B 中的 S3 桶
B. 在賬戶 B 中,創建一個對象 ACL,允許賬戶 A 的用戶訪問賬戶 B 中 S3 存儲桶中的所有對象
C. 在賬戶 B 中,創建一個桶策略,允許賬戶 A 中的用戶訪問賬戶 B 中的 S3 桶。
D. 在賬戶 B 中創建用戶策略,允許賬戶 A 中的用戶訪問賬戶 B 中的 S3 存儲桶
查看答案
正確答案: C
問題 #3
某公司有一個使用 Amazon S3、Amazon EC2 和 AWS Key Management Service (AWS KMS) 的批處理系統:賬戶 A 託管一個 S3 存儲桶,用於存儲將要處理的對象。S3 桶還存儲處理結果。所有 S3 存儲桶對象都由賬戶 A 管理的 KMS 密鑰加密。賬戶 B 託管着一個 VPC,該 VPC 擁有一組 EC2 實例,這些實例通過使用 S3 存儲桶策略中的語句訪問賬戶 A 中的 S3 存儲桶。創建 VPC 時啓用了 DNS 主機名和 DNS 解析。安全工程師需要在不更改系統任何代碼的情況下更新系統設計。批處理 EC2 實例的 AWS API 調用不能通過互聯網傳輸。哪種步驟組合能滿足這些要求?(請選擇兩個)。
A. 在帳戶 B VPC 中,爲 Amazon S3 創建一個網關 VPC 端點。爲網關 VPC 端點創建一個資源策略,允許對 S3 桶執行 s3:GetObject、s3:ListBucket、s3:PutObject 和 s3:PutObjectAcl 操作。
B. 在賬戶 B VPC 中,爲 Amazon S3 創建一個接口 VPC 端點。爲接口 VPC 端點創建一個資源策略,允許對 S3 桶執行 s3:GetObject、s3:
C. 在帳戶 B VPC 中,爲 AWS KMS 創建接口 VPC 端點。爲接口 VPC 端點創建一個資源策略,允許對 KMS 密鑰執行 kms Encrypt、kms:Decrypt 和 kms:GenerateDataKey 操作。確保爲端點開啓私有 DNS
D. 在帳戶 B VPC 中,爲 AWS KMS 創建接口 VPC 端點。爲接口 VPC 端點創建一個資源策略,允許對 KMS 密鑰執行 kms:Encrypt、kms:Decrypt 和 kms:GenerateDataKey 操作。確保關閉端點的私有 DNS
E. 在帳戶 B VPC 中,驗證 S3 桶策略是否允許跨帳戶使用 s3:PutObjectAcl 操作。在賬戶 B VPC 中,爲 Amazon S3 創建一個網關 VPC 端點。爲網關 VPC 端點創建一個資源策略,允許對 S3 桶執行 s3:GetObject、s3:ListBucket 和 s3:PutObject 操作。
查看答案
正確答案: BC
問題 #4
一個團隊正在使用 AWS Secrets Manager 來存儲應用程序數據庫密碼。賬戶中只有數量有限的 IAM principals 可以訪問該密碼。需要訪問該密碼的負責人經常變更。安全工程師必須創建一個最大限度提高靈活性和可擴展性的解決方案。哪種解決方案能滿足這些要求?
A. 使用基於角色的方法,創建一個 IAM 角色,該角色具有允許訪問祕密的內聯權限策略。根據需要更新角色信任策略中的 IAM principals。
B. 爲祕密管理器部署一個 VPC 端點。創建並附加一個端點策略,指定允許訪問機密的 IAM principals。根據需要更新 IAM principals 列表。
C. 使用基於標記的方法,將資源策略附加到機密上。將標籤應用到祕密和 IAM principal。使用 aws:PrincipalTag 和 aws:ResourceTag IAM 條件密鑰來控制訪問。
D. 通過使用 IAM 策略明確拒絕訪問祕密,使用默認拒絕方法。將策略附加到 IAM 組。將所有 IAM 委託人添加到 IAM 組。當負責人需要訪問時,將其從組中刪除。當不再允許訪問時,再將負責人添加到組中。
查看答案
正確答案: C
問題 #5
保護新開通的 AWS 賬戶根用戶的最安全方法是什麼?
A. 使用 AWS 賬戶 root 用戶訪問密鑰,而不是 AWS 管理控制臺。
B. 爲附加了 AdministratorAccess 受管策略的 AWS IAM 用戶啓用多因素身份驗證
C. 爲 AWS 賬戶根用戶啓用多因素身份驗證
D. 使用 AWS KMS 加密 AWS 賬戶根用戶和 AWS IAM 訪問密鑰,並將自動輪換設置爲 30 天
E. 不要爲 AWS 賬戶 root 用戶創建訪問密鑰,而是創建 AWS IAM 用戶
查看答案
正確答案: CE
問題 #6
某公司正在開發一個電子商務應用程序。該應用程序使用 Amazon EC2 實例和 Amazon RDS MySQL 數據庫。出於合規原因,必須確保數據在傳輸和靜止時的安全。該公司需要一個能最大限度降低運營開銷和成本的解決方案。哪種解決方案能滿足這些要求?
A. 使用 AWS 證書管理器 (ACM) 的 TLS 證書和應用程序負載平衡器。在 EC2 實例上部署自籤名證書。確保數據庫客戶端軟件使用 TLS 連接到 Amazon RDS。啓用 RDS DB 實例加密。在支持 EC2 實例的 Amazon Elastic Block Store (Amazon EBS) 卷上啓用加密。
B. 使用第三方供應商提供的 TLS 證書和應用程序負載平衡器。在 EC2 實例上安裝相同的證書。確保數據庫客戶端軟件使用 TLS 連接到 Amazon RDS。使用 AWS Secrets Manager 對應用程序數據進行客戶端加密。
C. 使用 AWS CloudHSM 爲 EC2 實例生成 TLS 證書。在 EC2 實例上安裝 TLS 證書。確保數據庫客戶端軟件使用 TLS 連接到 Amazon RDS。使用 CloudHSM 提供的加密密鑰對應用程序數據進行客戶端加密
D. 使用帶有 AWS WAF 的 Amazon CloudFront。向源 EC2 實例發送 HTTP 連接。確保數據庫客戶端軟件使用 TLS 連接到 Amazon RDS。在數據存儲到 RDS 數據庫之前,使用 AWS Key Management Service (AWS KMS) 對應用程序數據進行客戶端加密。
查看答案
正確答案: A
問題 #7
某公司的安全工程師正在爲 Amazon EC2 實例設計一個隔離程序,作爲事件響應計劃的一部分。安全工程師需要隔離目標實例,以阻止任何進出目標實例的流量,公司取證團隊的流量除外。公司的每個 EC2 實例都有自己專門的安全組。EC2 實例部署在 VPC 的子網中。安全工程師正在測試 EC2 隔離程序,並打開了目標實例的 SSH 會話。程序開始模擬攻擊者訪問目標實例。安全工程師刪除了現有的安全組規則,並添加了安全組規則,以允許取證團隊訪問端口 22 上的目標實例。做完這些更改後,安全工程師發現 SSH 連接仍處於活動狀態,並且可以使用。當安全工程師向目標實例的公共 IP 地址運行 ping 命令時,ping 命令被阻止。安全工程師應如何隔離目標實例?
A. 爲安全組添加一條入站規則,允許所有端口的流量來自 0
B. 刪除端口 22 安全組規則。附加允許 AWS 系統管理器會話管理器連接的實例角色策略,以便取證小組可以訪問目標實例。
C. 創建與目標實例子網相關聯的網絡 ACL。在入站規則集的頂部添加一條規則,拒絕來自 0
D. 創建一個 AWS 系統管理器文檔,添加主機級防火牆規則,阻止所有入站流量和出站流量。在目標實例上運行該文檔。
查看答案
正確答案: B
問題 #8
一位安全工程師希望使用 Amazon Simple Notification Service (Amazon SNS) 向公司的安全團隊發送 Amazon GuardDuty 發現的高嚴重性級別的電子郵件警報。該安全工程師還希望將這些發現發送到可視化工具,以便進一步檢查。哪種解決方案可以滿足這些要求?
A. 設置 GuardDuty 以向 Amazon CloudWatch 警報發送通知,CloudWatch 中有兩個目標。從 CloudWatch,通過 Amazon Kinesis 數據流將結果流式傳輸到 Amazon OpenSearch 服務域,作爲第一個交付目標。使用 Amazon QuickSight 對調查結果進行可視化。使用 OpenSearch 查詢進行進一步分析。將 SNS 主題配置爲 CloudWatch 警報的第二個目標,從而向安全團隊發送電子郵件警報。使用 Amazon EventBridge 事件規則的事件模式匹配,在警報中僅發送高嚴重性結果。
B. 設置 GuardDuty 以向 AWS CloudTrail 發送通知,並在 CloudTrail 中設置兩個目標。從 CloudTrail 將發現通過 Amazon Kinesis Data Firehose 流式傳輸到 Amazon OpenSearch 服務域,作爲第一個交付目標。使用 OpenSearch 控制面板對調查結果進行可視化。使用 OpenSearch 查詢進行進一步分析。通過配置 SNS 主題作爲 CloudTrail 的第二個目標,向安全團隊發送電子郵件警報。使用事件模式匹配和 CloudTrail 事件規則,在警報中僅發送高嚴重性結果。
C. 設置 GuardDuty,向 Amazon EventBridge 發送具有兩個目標的通知。從 EventBridge 將調查結果通過 Amazon Kinesis Data Firehose 流式傳輸到 Amazon OpenSearch 服務域,作爲第一個交付目標。使用 OpenSearch 控制面板對調查結果進行可視化。使用 OpenSearch 查詢進行進一步分析。通過配置 SNS 主題作爲 EventBridge 的第二個目標,向安全團隊發送電子郵件警報。使用事件模式匹配和 EventBridge 事件規則,在警報中僅發送高嚴重性結果。
D. 設置 GuardDuty,向 Amazon EventBridge 發送帶有兩個目標的通知。從 EventBridge,通過 Amazon Kinesis 數據流將調查結果流式傳輸到 Amazon OpenSearch 服務域,作爲第一個交付目標。使用 Amazon QuickSight 對調查結果進行可視化。使用 OpenSearch 查詢進行進一步分析。通過配置 SNS 主題作爲 EventBridge 的第二個目標,向安全團隊發送電子郵件警報。使用事件模式匹配和 EventBridge 事件規則,在警報中僅發送高嚴重性結果。
查看答案
正確答案: A
問題 #9
一名安全工程師創建了一個拒絕所有用戶訪問的 Amazon S3 存儲桶策略。幾天後,該安全工程師在水桶策略中添加了一條附加聲明,允許另一名員工只讀訪問。即使更新了策略,該員工仍然收到拒絕訪問的消息。訪問被拒絕的可能原因是什麼?
A. 需要更新郵筒中的 ACL。
B. IAM 策略不允許用戶訪問水桶
C. 水桶策略需要幾分鐘才能生效。
D. 允許權限被拒絕權限覆蓋。
查看答案
正確答案: D
問題 #10
一家公司正在將其一個傳統系統從內部部署數據中心遷移到 AWS。應用服務器將在 AWS 上運行,但出於合規原因,數據庫必須留在內部部署數據中心。數據庫對網絡延遲非常敏感。此外,在內部數據中心和 AWS 之間傳輸的數據必須進行 IPsec 加密。哪種 AWS 解決方案組合能滿足這些要求?(請選擇兩個)。
A. WS 站點到站點 VPN
B. AWS 直接連接
C. AWS VPN CloudHub
D. VPC 對等互聯
E. NAT網關
查看答案
正確答案: AB

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.