不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

有效備考 AWS SCS-C02 考試問題|AWS 認證安全 - 專業

SPOTO 的 AWS SCS-C02 考試問題爲您提供了大量測試問題集,準確模擬真實考試環境,讓您熟悉考試形式和問題類型。這些學習材料由業內專業人士精心設計,可確保其相關性和準確性。此外,SPOTO 還提供與實際認證考試極爲相似的模擬考試,使您能夠衡量自己的準備情況,並確定需要進一步關注的領域。通過利用這些考試資源,您可以有效地做好準備,增加首次成功通過 AWS 認證安全 - 專業考試的機會,驗證您在創建和實施安全 AWS 雲解決方案方面的專業知識。
參加其他線上考試
問題 #1
一個開發團隊正試圖使用 IAM 密鑰管理服務 (IAM KMS) CMK 對 IAM 系統管理器參數存儲區中的安全字符串參數進行加密和解碼。哪些 CMK 相關問題可能導致該錯誤?(請選擇兩個)。
A. 但是,公司不希望允許其他賬戶的用戶訪問同一文件夾中的其他文件。
B. 在其他賬戶中應用用戶策略,允許 IAM Glue 和 Athena lo 訪問
C. 使用 S3 Select 限制對
D. 在 IAM Glue 中定義 IAM Glue 數據目錄資源策略,以授予跨賬戶 S3 對象訪問
E. 指定組織爲委託人的基於資源的策略中,授予 IAM Glue 對 Amazon S3 的訪問權限。
查看答案
正確答案: AD
問題 #2
某公司需要加密其存儲在 Amazon S3 中的所有數據。該公司希望使用 IAM 密鑰管理服務(IAM KMS)來創建和管理加密密鑰。公司的安全策略要求能夠爲密鑰導入公司自己的密鑰材料,爲密鑰設置過期日期,並在需要時立即刪除密鑰。安全工程師應如何設置 IAM KMS 以滿足這些要求?
A. 配置 IAM KMS 並使用自定義密鑰存儲。創建無密鑰材料的客戶管理 CMK 將公司的密鑰和密鑰材料導入 CMK
B. 配置 IAM KMS 並使用默認密鑰存儲區 創建一個沒有密鑰材料的 IAM 管理 CMK 將公司的密鑰材料導入 CMK
C. 置 IAM KMS 並使用默認密鑰存儲區 創建無密鑰材料的客戶管理 CMK,將公司的密鑰材料導入 CMK
D. 置 IAM KMS 並使用自定義密鑰存儲。創建沒有密鑰材料的 IAM 管理 CMK。將公司的密鑰材料導入 CMK。
查看答案
正確答案: A
問題 #3
某公司需要一名安全工程師爲多賬戶身份驗證和授權實施一個可擴展的解決方案。該解決方案不應引入額外的用戶管理架構組件。安全工程師已經建立了 IAM 組織,激活了所有功能並啓用了 IAM SSO。
A. 使用 AD Connector 爲需要訪問 IAM 賬戶的所有員工創建用戶和組。將 AD Connector 組分配給 IAM 帳戶,並根據員工的工作職能和訪問要求鏈接到 IAM 角色 指導員工使用 IAM 目錄服務用戶門戶訪問 IAM 帳戶。
B. 用 IAM SSO 默認目錄爲需要訪問 IAM 賬戶的所有員工創建用戶和組。根據員工的工作職能和訪問要求,爲 IAM 賬戶分配組並鏈接到權限集。指導員工使用 IAM SSO 用戶門戶訪問 IAM 帳戶。
C. 用 IAM SSO 默認目錄爲需要訪問 IAM 賬戶的所有員工創建用戶和組。將 IAM SSO 組鏈接到所有賬戶中的 IAM 用戶,以繼承現有權限。指導員工使用 IAM SSO 用戶門戶訪問 IAM 帳戶。
D. 使用 IAM 目錄服務 tor Microsoft Active Directory 爲需要訪問 IAM 帳戶的所有員工創建用戶和組 在創建的目錄中啓用 IAM 管理控制臺訪問,並指定 IAM SSO 作爲集成帳戶和權限集的信息來源。指導員工使用 IAM 目錄服務用戶門戶訪問 IAM 帳戶。
查看答案
正確答案: B
問題 #4
某公司計劃將 Amazon Elastic File System(Amazon EFS)用於其內部部署服務器。該公司在內部部署數據中心和 IAM 區域之間建立了現有的 IAM Direct Connect 連接 安全策略規定,該公司的內部部署防火牆只能在允許列表中添加特定的 IP 地址,而不是 CIDR 範圍。該公司還希望限制訪問,以便只有某些基於數據中心的服務器才能訪問 Amazon EFS。
A. dd the file-system-id efs IAM-region amazonIAM com URL to the allow list for the data center firewall 在基於數據中心的服務器上安裝 IAM CLI,以便在 EFS 安全組中加載 EFS 文件系統。
B. 爲 Amazon EFS 分配一個彈性 IP 地址,並將彈性 IP 地址添加到數據中心防火牆的允許列表 在基於數據中心的服務器上安裝 IAM CLI,以掛載 EFS 文件系統 在 EFS 安全組中,將數據中心服務器的 IP 地址添加到允許列表 使用彈性 IP 地址掛載 EFS。
C. 將 EFS 文件系統掛載目標 IP 地址添加到數據中心防火牆的允許列表中 在 EFS 安全組中,將數據中心服務器 IP 地址添加到允許列表中 使用 Linux 終端,使用其中一個掛載目標的 IP 地址掛載 EFS 文件系統。
D. 聯繫 IAM 支持,爲 EFS 文件系統分配靜態 IP 地址範圍 在 EFS 安全組中,將數據中心服務器 IP 地址添加到允許列表中 使用 Linux 終端,使用其中一個靜態 IP 地址加載 EFS 文件系統。
查看答案
正確答案: B
問題 #5
一家公司正在構建一個使用 AWS Lambda 功能的數據處理應用程序,該應用程序的 Lambda 功能需要與部署在同一 AWS 賬戶的 VPC 中的 Amazon RDS OB 實例進行通信,哪種解決方案能以最安全的方式滿足這些要求?
A. 配置 DB 實例以允許公共訪問 更新 DB 實例安全組以允許從 AWS 區域的 Lambda 公共地址空間進行訪問。
B. 在 VPC 內部署 Lambda 功能 爲 Lambda 子網附加網絡 ACL 僅爲 VPC CIDR 範圍提供出站規則訪問 更新 DB 實例安全組,允許來自 0 0 0 的流量
C. 在 VPC 內部署 Lambda 功能 爲 Lambda 功能附加一個安全組 僅爲 VPC CIDR 範圍提供出站規則訪問 更新 DB 實例安全組,以允許來自 Lambda 安全組的流量。
D. 將 Lambda 默認 VPC 與託管 DB 實例的 VPC 對等,以允許直接網絡訪問,而無需安全組。
查看答案
正確答案: C
問題 #6
您在 IAM 中定義了一個 S3 存儲桶。您想確保在通過網絡發送數據之前對其進行加密。
A. 爲 S3 存儲桶啓用服務器端加密。該請求將確保首先對數據進行加密。
B. 用 IAM 加密 CLI 首先加密數據。
C. 用 Lambda 函數加密數據,然後再將其發送到 S3 存儲桶。
D. 爲桶啓用客戶端加密。
查看答案
正確答案: B
問題 #7
一家公司準備收購幾家公司。安全工程師必須設計一個解決方案,確保新收購的 IAM 賬戶遵循公司的安全最佳實踐。該解決方案應監控每個 Amazon S3 存儲桶是否存在不受限制的公共寫入訪問,並使用 IAM 託管服務。
A. 配置 Amazon Macie 以持續檢查所有 S3 存儲桶的配置。
B. 啓用 IAM 配置,檢查每個 S3 存儲桶的配置。
C. 置 IAM 系統管理器,以監控 S3 桶策略的公共寫入訪問。
D. 置 Amazon EC2 實例,使其具有 IAM 角色和 cron 作業,以檢查所有 S3 存儲桶的狀態。
查看答案
正確答案: C
問題 #8
一家公司將網站的圖像存儲在 Amazon S3 存儲桶中。該公司使用 Amazon CloudFront 向最終用戶提供圖像。該公司最近發現,有人從公司沒有分發許可的國家訪問這些圖像。(請選擇兩項)。
A. 分析 IAM Trusted Advisor 的 IAM 身份和訪問管理 (IAM) 使用報告,查看訪問密鑰的最後使用時間。
B. 通過搜索訪問密鑰分析 Amazon CloudWatch 日誌中的活動。
C. 通過搜索訪問密鑰分析 VPC 流量日誌中的活動。
D. IAM 身份和訪問管理(IAM)中分析憑證報告,查看訪問密鑰的最後使用時間。
查看答案
正確答案: AC
問題 #9
某公司的應用程序團隊需要在 IAM 上託管 MySQL 數據庫。根據公司的安全策略,所有存儲在 IAM 上的數據都必須在靜態時加密。此外,所有加密材料都必須符合 FIPS 140-2 Level 3 驗證。應用團隊需要一個既能滿足公司安全要求,又能最大限度降低運營開銷的解決方案。
A. 數據庫託管在亞馬遜 RDS 上。使用由 IAM CloudHSM 支持的 IAM 密鑰管理服務 (IAM KMS) 自定義密鑰存儲進行密鑰管理。
B. 亞馬遜 RDS 上託管數據庫。使用 IAM 密鑰管理服務 (IAM KMS) 中的 IAM 管理 CMK 進行密鑰管理。
C. Amazon EC2 實例上託管數據庫。使用 Amazon Elastic Block Store (Amazon EBS) 進行加密。在 IAM 密鑰管理服務 (IAM KMS) 中使用客戶管理的 CMK 進行密鑰管理。
D. 在 Amazon EC2 實例上託管數據庫。使用透明數據加密 (TDE) 進行加密和密鑰管理。
查看答案
正確答案: B
問題 #10
某公司的安全團隊收到一封來自亞馬遜 EC2 濫用團隊的電子郵件通知,稱該公司的一個或多個亞馬遜 EC2 實例可能已被入侵。安全團隊應採取哪種行動組合來應對(是當前的調製解調器? 選擇兩項。
A. 使用 Amazon CloudWatch 監控來捕獲 Amazon EC2 和網絡指標 使用 Amazon CloudWatch 面板可視化指標。
B. 行 Amazon Kinesis Agent 將狀態數據寫入 Amazon Kinesis Data Firehose 在 Amazon Redshift 中存儲來自 Kinesis Data Firehose 的流數據。(在池數據上運行腳本並在 Amazon Redshift 中分析數據。
C. 狀態數據從健康檢查組件直接寫入公共 Amazon S3 存儲桶 配置 S3 事件以調用 IAM Lambda 函數分析數據。
D. 從健康檢查組件生成事件並將其發送到 Amazon CloudWatch Events。將狀態數據作爲事件有效載荷。使用 CloudWatch Events 規則調用 IAM Lambda 函數分析數據。
查看答案
正確答案: DE
問題 #11
審計發現,某公司的 Amazon EC2 實例安全組違反了公司政策,允許不受限制地傳入 SSH 流量。哪種解決方案能以最高的運行效率滿足這些要求?
A. 建每天運行並使用網絡可達性軟件包的定期 Amazon Inspector 評估運行。創建一個 Amazon CloudWatch 規則,在評估運行開始時調用 IAM Lambda 函數。配置 Lambda 函數,以便在評估運行完成時檢索和評估評估運行報告。同時配置 Lambda 函數,以便在出現任何違反不受限制的傳入 SSH 流量的情況時發布 Amazon Simple Notification Service (Amazon SNS) 通知。
B. 用 restricted-ssh IAM Config 託管規則,該規則由不符合要求的安全組配置更改調用。使用 IAM 配置補救功能向 Amazon Simple Notification Service (Amazon SNS) 主題發布消息。
C. 爲 VP 配置 VPC Flow Logs 並指定一個 Amazon CloudWatch Logs 組。將 CloudWatch Logs 組訂閱到一個 IAM Lambda 函數,該函數會解析新日誌條目,檢測端口 22 上的成功連接,並通過 Amazon Simple Notification Service (Amazon SNS) 發布通知。
D. 建每天運行的定期 Amazon Inspector 評估運行,並使用安全最佳實踐包。創建一個 Amazon CloudWatch 規則,在評估運行開始時調用 IAM Lambda 函數。配置 Lambda 函數,以便在評估運行完成時檢索和評估評估運行報告。同時配置 Lambda 函數,以便在出現任何違反不受限制的傳入 SSH 流量的情況時發布 Amazon Simple Notification Service (Amazon SNS) 通知。
查看答案
正確答案: B
問題 #12
某公司在亞馬遜 S3 上託管了一個靜態網站,該公司配置了一個亞馬遜 CloudFront 分發來爲網站內容提供服務,該公司已將 IAM WAF Web ACL 與 CloudFront 分發關聯。該公司擔心 S3 URL 仍然可以直接訪問,而且請求可以繞過 CloudFront 分發。
A. 啓用 Amazon Macie,以便 Secunty H jb 允許 Detective 處理來自 Macie 的調查結果。
B. 禁用 IAM 密鑰管理服務(IAM KMS)對組織每個成員賬戶的 CtoudTrail 日誌進行加密。
C. 所有成員賬戶上啓用 Amazon GuardDuty 嘗試在 48 小時內啓用 Detective。
D. 保啓動 Detective 的委託人擁有組織 ListAccounts 權限。
查看答案
正確答案: AD
問題 #13
一家公司正在構建一個使用 AWS Lambda 功能的數據處理應用程序,該應用程序的 Lambda 功能需要與部署在同一 AWS 賬戶的 VPC 中的 Amazon RDS OB 實例進行通信,哪種解決方案能以最安全的方式滿足這些要求?
A. 配置 DB 實例以允許公共訪問 更新 DB 實例安全組以允許從 AWS 區域的 Lambda 公共地址空間進行訪問。
B. 在 VPC 內部署 Lambda 功能 爲 Lambda 子網附加網絡 ACL 僅爲 VPC CIDR 範圍提供出站規則訪問 更新 DB 實例安全組,允許來自 0 0 0 的流量
C. 在 VPC 內部署 Lambda 功能 爲 Lambda 功能附加一個安全組 僅爲 VPC CIDR 範圍提供出站規則訪問 更新 DB 實例安全組,以允許來自 Lambda 安全組的流量。
D. 將 Lambda 默認 VPC 與託管 DB 實例的 VPC 對等,以允許直接網絡訪問,而無需安全組。
查看答案
正確答案: C
問題 #14
一家公司使用外部身份提供商允許聯合不同的 IAM 賬戶。該公司的一名安全工程師需要識別一周前終止亞馬遜 EC2 生產實例的聯合用戶。安全工程師識別聯合用戶的最快方法是什麼?
A. 查看 Amazon S3 存儲桶中的 IAM CloudTrail 事件歷史日誌,查找 Terminatelnstances 事件,從角色會話名稱中識別聯合用戶。
B. ilter the IAM CloudTrail event history for the Terminatelnstances event and identify the assumed IAM role
C. 在 IAM CloudTrail 日誌中搜索 Terminatelnstances 事件並記錄事件時間。查看所有聯合角色的 IAM 訪問顧問選項卡。最後訪問時間應與實例終止時間一致。
D. 用 Amazon Athena 對存儲在 Amazon S3 存儲桶中的 IAM CloudTrail 日誌運行 SQL 查詢,並對 Terminatelnstances 事件進行過濾。確定相應的角色,然後運行另一個查詢,爲用戶名過濾 AssumeRoleWithWebldentity 事件。
查看答案
正確答案: B
問題 #15
某公司在 us-east-1 區域部署了 Amazon GuardDuty。公司希望檢查與公司的 Amazon EC2 實例相關的所有 DNS 日誌。安全工程師應如何確保 EC2 實例被記錄?
A. 用爲主機名配置的 IPv6 地址。
B. 將外部 DNS 解析器配置爲僅 IAM 可見的內部解析器。
C. 所有 EC2 實例使用 IAM DNS 解析器。
D. 爲所有 EC2 實例配置帶有日誌記錄功能的第三方 DNS 解析器。
查看答案
正確答案: C
問題 #16
一家公司在其應用程序中使用 AWS 密鑰管理服務(AWS KMS)AWS 擁有的密鑰來加密 AWS 賬戶中的文件,該公司的安全團隊希望能夠在發生潛在密鑰泄露時爲新文件更換新的密鑰材料。
A. 創建新的客戶管理密鑰 爲密鑰添加密鑰輪換計劃 每次安全團隊要求更換密鑰時,都要調用密鑰輪換計劃。
B. 創建新的 AWS 管理密鑰 爲密鑰添加密鑰輪換計劃 每次安全團隊請求更改密鑰時,都會調用密鑰輪換計劃。
C. 創建密鑰別名 每次安全團隊要求更改密鑰時,就創建一個新的客戶管理密鑰 將別名與新密鑰關聯。
D. 創建密鑰別名 每次安全團隊請求更改密鑰時,創建一個新的 AWS 管理密鑰 將別名與新密鑰關聯。
查看答案
正確答案: A
問題 #17
某公司爲一個應用程序實施了 IAM WAF 和 Amazon CloudFront。該應用程序在屬於自動擴展組的 Amazon EC2 實例上運行。自動擴展組位於應用程序負載平衡器 (ALB) 之後。IAM WAF Web ACL 使用 IAM 託管規則規則組,並與 CloudFront 分發相關聯。CloudFront 從 IAM WAF 接收請求,然後使用 ALB 作爲分發的來源。
A. 配置 CloudFront 分發以使用 Lambda@Edge 功能。創建一個 IAM Lambda 函數,對 CloudFront 查看器請求施加速率限制。如果超過速率限制,則阻止請求。
B. 配置 IAM WAF Web ACL,使 Web ACL 有更多的容量單元,以便更快地處理所有 IAM WAF 規則。
C. 用基於速率的規則配置 IAM WAF,該規則規定了速率限制,當超出速率限制時會自動阻止請求。
D. 置 CloudFront 分發,將 IAM WAF 用作其源代碼,而不是 ALB。
查看答案
正確答案: C
問題 #18
某公司開發了一個新的 Amazon RDS 數據庫應用程序。該公司必須確保 ROS 數據庫憑據在傳輸過程中的加密和靜態加密。哪種解決方案能滿足這些要求?
A. 使用 IAM 系統管理器參數存儲來存儲數據庫憑據。配置憑證的自動輪換。
B. 使用 IAM Secrets Manager 來存儲數據庫憑證。配置憑證的自動*輪換。
C. 數據庫憑據存儲在 Amazon S3 存儲桶中,該存儲桶已使用 S3 託管加密密鑰 (SSE-S3) 進行服務器端加密配置 使用 IAM 數據庫身份驗證輪換憑據。
D. 將數據庫憑據存儲在 Amazon S3 Glacier 中,並使用 S3 Glacier Vault Lock 配置 IAM Lambda 函數,按計劃輪換憑據。
查看答案
正確答案: A
問題 #19
某公司的安全工程師希望在 Amazon GuardDuty、AWS Identity and Access Management Access Analyzer 或 Amazon Made 生成高嚴重性安全發現時收到電子郵件警報。該公司使用 AWS Control Tower 管理其所有賬戶。哪種解決方案能以最少的運營開銷滿足這些要求?
A. 爲 GuardDuty、1AM Access Analyzer 和 Macie 設置單獨的 AWS Lambda 函數,以調用每個服務的公共 API 來檢索高嚴重性結果。使用 Amazon Simple Notification Service (Amazon SNS) 發送電子郵件警報。創建 Amazon EventBridge 規則,按計劃調用函數。
B. 建一個 Amazon EventBridge 規則,其模式應與嚴重程度較高的安全中心發現事件相匹配。配置該規則以將調查結果發送到目標 Amazon Simple Notification Service (Amazon SNS) 主題。將所需的電子郵件地址訂閱到 SNS 主題。
C. 建一個 Amazon EventBridge 規則,其模式應與嚴重程度較高的 AWS Control Tower 事件相匹配。配置該規則以將結果發送到目標 Amazon Simple Notification Service (Amazon SNS) 主題。將所需的電子郵件地址訂閱到 SNS 主題。
D. Amazon EC2 上託管一個應用程序,以調用 GuardDuty、1AM Access Analyzer 和 Macie API。在該應用程序中,使用 Amazon Simple Notification Service (Amazon SNS) API 檢索高嚴重性調查結果,並將調查結果發送到 SNS 主題。將所需的電子郵件地址訂閱到 SNS 主題。
查看答案
正確答案: B
問題 #20
某公司正在構建一個使用 AWS Lambda 函數的數據處理應用程序。該應用程序的 Lambda 函數需要與部署在同一 AWS 賬戶的 VPC 中的 Amazon RDS OB 實例通信,哪種解決方案能以最安全的方式滿足這些要求?
A. 配置 DB 實例以允許公共訪問 更新 DB 實例安全組以允許從 AWS 區域的 Lambda 公共地址空間進行訪問。
B. 在 VPC 內部署 Lambda 功能 爲 Lambda 子網附加網絡 ACL 僅爲 VPC CIDR 範圍提供出站規則訪問 更新 DB 實例安全組,允許來自 0
C. 在 VPC 內部署 Lambda 功能 爲 Lambda 功能附加一個安全組 僅爲 VPC CIDR 範圍提供出站規則訪問 更新 DB 實例安全組,以允許來自 Lambda 安全組的流量。
D. 將 Lambda 默認 VPC 與託管 DB 實例的 VPC 對等,以允許直接網絡訪問,而無需安全組。
查看答案
正確答案: C
問題 #21
某公司通過使用 IAM 密鑰管理服務 (IAM KMS) CMK 進行服務器端加密,將敏感文檔存儲在亞馬遜 S3 中。一項新要求規定,用於這些文檔的 CMK 只能用於 S3 操作。爲滿足該要求,公司應在密鑰策略中添加哪項聲明?
A.
B.
查看答案
正確答案: A
問題 #22
某公司爲其開發人員創建了一個 IAM 帳戶,用於測試和學習目的,因爲 MM 帳戶將在多個開發人員團隊之間共享,所以公司希望限制停止和終止 Amazon EC2 實例的能力,以便一個團隊只能在其擁有的實例上執行這些操作。
A. 爲每個團隊創建一個類似於下面的 AM 策略 用正確的團隊名稱填充 ec2:ResourceTag/Team 條件密鑰 將生成的策略附加到相應的 IAM 角色。
B. 爲每個團隊創建一個類似於下面的 IAM 策略 在 IAM TagKeys/Team condition key 中填入適當的團隊名稱。將恢復策略附加到相應的 IAM 角色。
C. 團隊滯後鍵標記每個 IAM 角色,並在標記值中使用團隊名稱。創建與下面類似的 IAM 策略,並將 4 附加到開發人員使用的所有 IAM 角色。
D. 團隊鍵標記每個 IAM 角色,並在標記值中使用團隊名稱。創建與下面類似的 IAM 策略,並將其應用於開發人員使用的所有 IAM 角色。
查看答案
正確答案: A
問題 #23
貴公司計劃使用 bastion 主機在 IAM 中管理服務器。從安全角度看,以下哪項是對 bastion 主機的最佳描述?
A. 於安全考慮,Bastion 主機應位於專用子網,絕不能位於公用子網。
B. 壘主機位於內部網絡外部,是進入專用網絡的網關,被視爲網絡的關鍵強點。
C. astion主機允許用戶使用RDP或SSH登錄,並使用該會話S5H進入內部網絡訪問專用子網資源。
D. 堡壘主機應保持極其嚴密的安全和監控,因爲它是向公衆開放的。
查看答案
正確答案: C
問題 #24
貴公司在 IAM 中定義了一組 EC2 實例。這些 EC2 實例附加了嚴格的安全組。您需要確保對安全組的更改被記錄下來並採取相應措施。如何做到這一點?
A. 使用 Cloudwatch 日誌監控安全組上的活動。使用篩選器搜索更改並使用 SNS 發送通知。
B. 使用 Cloudwatch 指標監控安全組的活動。使用篩選器搜索更改並使用 SNS 發送通知。
C. 使用 IAM 檢查員監控安全組的活動。使用篩選器搜索更改,並使用 SNS 通知。
D. 使用 Cloudwatch 事件來觸發對安全組的任何更改。同時爲電子郵件通知配置 Lambda 功能。
查看答案
正確答案: D
問題 #25
某公司使用 IAM 組織管理多個 IAM 賬戶。公司的安全團隊注意到,一些成員賬戶沒有將 IAM CloudTrail 日誌發送到集中的 Amazon S3 日誌桶。安全團隊希望確保至少有一個跟蹤配置(或所有現有賬戶以及將來創建的任何賬戶)。安全團隊應執行哪一組操作來實現這一目標?
A. 創建新跟蹤並將其配置爲將 CloudTrail 日誌發送到 Amazon S3。使用 Amazon EventBridge(Amazon CloudWatch 事件)在跟蹤被刪除或停止時發送通知。
B. 在每個賬戶中部署 IAM Lambda 功能,以檢查是否存在現有線索,並在需要時創建新線索。
C. 編輯 "組織 "主賬戶中的現有線索,並將其應用於組織。
D. 創建一個 SCP 以拒絕 cloudtrail:Delete "和 cloudtrail:Stop\' 操作。將 SCP 應用於所有賬戶。
查看答案
正確答案: C
問題 #26
某公司在連接其網絡應用程序時需要使用 HTTPS,以滿足合規性要求。這些網絡應用程序在應用程序負載平衡器 (ALB) 後面的 Amazon EC2 實例上的 Amazon VPC 中運行。安全工程師希望確保負載平衡器只接受端口 443 的連接,即使 ALB 錯誤地配置了 HTTP 監聽器。
A. 此安全組附加到 ALB,以覆蓋 ALB 默認安全組中更寬鬆的規則。
B. 創建一個網絡 ACL,拒絕 80 端口上來自 0 0
C. 創建一個網絡 ACL,只允許端口 443 上的 VPC IP 範圍的出站連接,並將網絡 ACL 與 VPC 的互聯網網關關聯。
D. 建一個安全組,其中包含一條入站規則,允許端口 443 上來自 0
查看答案
正確答案: D
問題 #27
最近的一次安全審計發現,IAM CloudTrail 日誌未能充分防止篡改和未經授權的訪問 安全工程師必須採取哪些措施來解決這些審計發現的問題?(選擇三項)
A. 更新受影響賬戶中的 IAM WAF 規則,並使用 IAM Firewall Manager 在所有其他賬戶中推送更新的 IAM WAF 規則。
B. 用 GuardDuty 集中記錄和 Amazon SNS 設置警報,向所有應用程序團隊通知安全事件。
C. 用 GuardDuty 警報編寫一個 IAM Lambda 函數,通過在 Amazon EC2 實例上添加額外的 NACL 來更新所有賬戶,以阻止已知的惡意 IP 地址。
D. 用 IAM Shield Advanced 識別每個賬戶中的威脅,然後通過 "組織 "對所有其他賬戶應用基於賬戶的保護。
查看答案
正確答案: ADE
問題 #28
安全工程師需要構建一個解決方案,以便在多個 IAM 區域重新打開 IAM CloudTrail,以防它被關閉。
A. 使用 IAM 配置和託管規則來觸發 IAM-EnableCloudTrail 修復。
B. 創建一個帶有 cloudtrail
C. 創建一個具有 cloudtrail
D. 監控 IAM Trusted Advisor 以確保 CloudTrail 日誌已啓用。
查看答案
正確答案: B
問題 #29
某公司計劃使用 AWS 密鑰管理服務(AWS KMS)實施加密策略,以保護靜態數據。公司項目需要客戶端加密。該公司目前正在開展多個項目,以測試公司對 AWS KMS 的使用情況。這些測試導致公司的 AWS 資源消耗量突然增加。測試項目包括每秒向 KMS 端點發出多個加密請求的應用程序。
A. 使用 AWS 加密 SDK 的密鑰環。單獨使用每個密鑰環,或將密鑰環組合成多密鑰環。使用多鑰匙圈中具有主密鑰的鑰匙圈解密數據。
B. 用數據密鑰緩存。使用 AWS Encryption SDK 通過緩存加密材料管理器提供的本地緩存。
C. 用 KMS 密鑰輪換。在 AWS Encryption SDK 中使用本地緩存和緩存加密材料管理器。
D. 用 AWS 加密 SDK 的密鑰環。單獨使用每個密鑰環或將密鑰環組合成多密鑰環。使用多鑰匙圈中的任何封裝密鑰來解密數據。
查看答案
正確答案: B
問題 #30
一家公司在 AWS 賬戶中部署了一套標準 IAM 角色。IAM 角色基於公司內部的工作職能。爲了平衡運營效率和安全性,安全工程師實施了 AWS 組織 SCP,以限制對所有公司賬戶中關鍵安全服務的訪問。安全工程師需要確保沒有人可以禁用 Amazon GuardDuty 和 AWS Security Hu
A. 選項。
B. ption
C. ption
D. 項 D
查看答案
正確答案: A
問題 #31
某公司正在使用 IAM 組織制定多賬戶安全聯網戰略。公司計劃爲共享服務、審計和安全檢查使用單獨的集中管理賬戶。公司計劃爲生產和開發環境的應用程序所有者提供幾十個額外賬戶。公司的安全策略要求,所有互聯網流量都必須通過安全檢查賬戶中的集中管理安全檢查層進行路由。安全工程師
A. 創建禁止更改特定 CloudTrail 跟蹤的 IAM 策略,並將該策略應用到 IAM 帳戶 root 用戶。
B. 在指定的目標帳戶中爲 CloudTrail 跟蹤創建一個 S3 桶策略,禁止源帳戶中的 IAM 帳戶 root 用戶更改配置。
C. 創建禁止更改特定 CloudTrail 跟蹤的 SCP,並將 SCP 應用到組織中的相應組織單位或帳戶。
D. 創建禁止更改特定 CloudTrail 跟蹤的 IAM 策略,並將該策略應用到新的 IAM 組。讓團隊成員使用屬於新 IAM 組的個人 IAM 帳戶。
查看答案
正確答案: C
問題 #32
某公司的 IAM 賬戶由大約 300 個 IAM 用戶組成。作爲系統管理員,您如何才能有效地實施這項任務,從而無需在單個用戶級別應用該策略?
A. 創建一個新角色並將每個用戶添加到 IAM 角色。
B. 使用 IAM 組,根據用戶的角色將其添加到不同的組,並將策略應用到組。
C. 用 JSON 腳本創建策略並將其應用於多個用戶。
D. 建一個具有無限訪問權限的 S3 存儲桶策略,其中包括每個用戶的 IAM 帳戶 ID
查看答案
正確答案: B
問題 #33
某公司使用 IAM 組織管理多個 IAM 賬戶。公司的安全團隊注意到,一些成員賬戶沒有將 IAM CloudTrail 日誌發送到集中的 Amazon S3 日誌桶。安全團隊希望確保至少有一個跟蹤配置(或所有現有賬戶以及將來創建的任何賬戶)。安全團隊應執行哪一組操作來實現這一目標?
A. 創建新跟蹤並將其配置爲將 CloudTrail 日誌發送到 Amazon S3。使用 Amazon EventBridge(Amazon CloudWatch 事件)在跟蹤被刪除或停止時發送通知。
B. 在每個賬戶中部署 IAM Lambda 功能,以檢查是否存在現有線索,並在需要時創建新線索。
C. 編輯 "組織 "主賬戶中的現有線索,並將其應用於組織。
D. 創建一個 SCP 以拒絕 cloudtrail:Delete "和 cloudtrail:Stop\' 操作。將 SCP 應用於所有賬戶。
查看答案
正確答案: C
問題 #34
該工程師已經在 IAM 管理控制臺中啓用了 IAM Security Hub 和 Amazon Inspector,並在需要監控的 EC2 實例上安裝了 Amazon Inspector 代理。
A. 置 Amazon 檢查員代理以使用 CVE 規則包。
B. 置 Amazon Inspector 代理以使用 CVE 規則包 通過編寫自定義資源策略,配置安全中心從 IAM 檢查器攝取內容。
C. onfigure Security Hub agent to use the CVE rule package 通過編寫自定義資源策略,配置 IAM Inspector 從 Security Hub 錄入。
D. 置 Amazon 檢查員代理以使用 CVE 規則包 安裝額外的集成庫 允許 Amazon 檢查員代理與安全中心通信
查看答案
正確答案: D
問題 #35
您的首席技術官非常擔心 IAM 賬戶的安全性。如何才能最好地防止黑客完全劫持您的賬戶?
A. 根賬戶和所有管理員使用簡短但複雜的密碼。
B. 使用 IAM IAM Geo-Lock 並禁止除您所在城市以外的任何人登錄。
C. 所有用戶和賬戶使用 MFA,尤其是根賬戶。
D. 建 IAM 賬戶後,不要記下或記住 root 賬戶密碼。
查看答案
正確答案: C
問題 #36
該工程師已經在 IAM 管理控制臺中啓用了 IAM Security Hub 和 Amazon Inspector,並在需要監控的 EC2 實例上安裝了 Amazon Inspector 代理。
A. 置 Amazon 檢查員代理以使用 CVE 規則包。
B. 置 Amazon Inspector 代理以使用 CVE 規則包 通過編寫自定義資源策略,配置安全中心從 IAM 檢查器攝取內容。
C. onfigure Security Hub agent to use the CVE rule package 通過編寫自定義資源策略,配置 IAM Inspector 從 Security Hub 錄入。
D. 置 Amazon 檢查員代理以使用 CVE 規則包 安裝額外的集成庫 允許 Amazon 檢查員代理與安全中心通信
查看答案
正確答案: D
問題 #37
一位安全管理員正在設置一個新的 AWS 賬戶。該安全管理員希望確保公司存儲在亞馬遜 S3 存儲桶中的數據的安全。安全管理員還希望減少意外暴露數據的機會和 S3 存儲桶中對象配置錯誤的可能性。哪種解決方案能以最少的操作開銷滿足這些要求?
A. 置 S3 服務器端加密。創建一個 S3 桶策略,爲所有用戶的 s3:DeleteObject 和 s3:PutObject API 調用設置明確的拒絕規則。配置 S3 對象鎖以使用保留期爲 7 年的治理模式。
B. 置 S3 服務器端加密。在 S3 存儲桶上配置 S3 版本控制。將 S3 對象鎖配置爲使用合規模式,保留期爲 7 年。
C. 置 S3 版本控制。在 S3 存儲桶上配置 S3 Intelligent-Tiering,將文檔移動到 S3 Glacier Deep Archive 存儲。立即使用 S3 服務器端加密。在 7 年後使對象過期。
D. 置 S3 事件通知並使用 S3 服務器端加密。將 S3 事件通知配置爲 AWS Lambda 函數的目標,該函數將審查對 S3 桶的任何 S3 API 調用,並拒絕 s3:DeleteObject 和 s3:PutObject API 調用。7 年後刪除 S3 事件通知。
查看答案
正確答案: D
問題 #38
一名安全工程師正在檢查 AWS CloudFormation 模板是否存在漏洞。安全工程師發現一個參數的默認值會以明文形式暴露應用程序的 API 密鑰。該參數在整個模板中被多次引用。安全工程師必須替換該參數,同時保持在模板中引用該值的能力。哪種解決方案能以最安全的方式滿足這些要求?
A. 在 AWS 系統管理器參數存儲中將 API 密鑰值存儲爲 SecureString 參數。在模板中,用 {{resolve
B. 在 AWS Secrets Manager 中存儲 API 密鑰值。在模板中,用 { {resolve
C. 將 API 密鑰值存儲在亞馬遜 DynamoDB 中。在模板中,用 {{resolve
D. API 密鑰值存儲到新的 Amazon S3 存儲桶中。在模板中,用 { 替換所有對值的引用。
E. resolve
查看答案
正確答案: B
問題 #39
組織必須建立在 24 小時內刪除 IAM KMS 客戶主密鑰 (CMK) 的能力,以防止其被用於加密或解密操作 以下哪些操作可以滿足這一要求?
A. 在 KMS 中手動旋轉密鑰,立即創建新的 CMK。
B. 使用 KMS 導入密鑰功能執行刪除密鑰操作。
C. 用 KMS 中的計劃刪除密鑰功能,指定刪除的最短等待時間。
D. 更改 KMS CMK 別名,立即阻止任何服務使用 CMK。
查看答案
正確答案: C
問題 #40
應用團隊希望使用 IAM 證書管理器 (ACM) 申請公共證書,以確保數據在傳輸過程中的安全。該應用團隊希望使用 IAM 管理的分發和緩存解決方案來優化對其系統的請求,並爲客戶提供更好的存在點。分發解決方案將使用自定義的主域名。
A.
B.
C.
查看答案
正確答案: CDF
問題 #41
某公司在同一個 AWS 區域和同一個 AWS 帳戶中擁有兩個 VPC,每個 VPC 使用的 CIDR 塊與另一個 VPC 的 CIDR 塊不重疊,其中一個 VPC 包含 AWS Lambda 功能,這些功能在通過 NAT 網關訪問互聯網的子網內運行。Lambda 功能需要訪問在另一個 VPC 中運行的可公開訪問的 Amazon Aurora MySQL 數據庫。
A. ove the Aurora database into a private subnet that has no internet access routes in the database's current VPC Configure the Lambda functions to use the Aurora database's new private IP address to access the database Configure the Aurora databases security group to allow access from the private IP addresses of the Lambda functions
B. 在兩個 VPC 之間建立一個 VPC 端點 在 Aurora 數據庫的 VPC 中爲 Amazon RDS 配置一個服務 VPC 端點 在 Lambda 功能的 VPC 中配置一個接口 VPC 端點,使用 Aurora 數據庫 VPC 中的服務端點 配置服務端點以允許來自 Lambda 功能的連接。
C. 在 VPC 之間建立 AWS Direct Connect 接口 配置 Lambda 功能,以使用通過 Direct Connect 接口訪問 Aurora 數據庫的新路由表 配置 Aurora 數據庫的安全組,以允許從 Direct Connect 接口 IP 地址進行訪問。
D. ove the Lambda functions into a public subnet in their VPC Move the Aurora database into a private subnet in its VPC Configure the Lambda functions to use the Aurora database's new private IP address to access the database Configure the Aurora database to allow access from the public IP addresses of the Lambda functions
查看答案
正確答案: B
問題 #42
系統管理員無法使用 IAM 角色在 eu-west-1 區域啓動 Amazon EC2 實例,而同一系統管理員卻可以在 eu-west-2 和 eu- west-3 區域啓動 EC2 實例。附加到系統管理員 IAM 角色的 IAMSystemAdministrator 訪問策略允許無條件訪問帳戶內的所有 IAM 服務和資源。
A. 戶附加了一個 SCP,其權限聲明如下:
B. 統管理員角色附加了一個權限邊界策略,其權限聲明如下:
C. 統管理員角色附加了一個權限邊界,權限聲明如下:
D. 賬戶上附加了一個 SCP,並附有以下說明:
查看答案
正確答案: B
問題 #43
一家公司部署了 IAM 組織,以幫助管理日益增多的 IAM 賬戶。一位安全工程師希望確保只有組織結構中的負責人才能訪問特定的 Amazon S3 存儲桶。哪種解決方案能滿足這些要求?
A. 將所有用戶放入一個 IAM 組,該組的訪問策略授予對 J 桶的訪問權限。
B. 讓賬戶創建觸發一個 IAM Lambda 函數,該函數管理水桶策略,只允許訪問策略中列出的賬戶。
C. 爲組織主賬戶添加 SCP,允許所有負責人訪問存儲桶。
D. 在桶策略的全局密鑰條件元素中指定組織 ID,允許所有負責人訪問。
查看答案
正確答案: D
問題 #44
一家公司將網站的圖像存儲在 Amazon S3 存儲桶中。該公司使用 Amazon CloudFront 向最終用戶提供圖像。該公司最近發現,有人從公司沒有分發許可的國家訪問這些圖像。(請選擇兩項)。
A. 分析 IAM Trusted Advisor 的 IAM 身份和訪問管理 (IAM) 使用報告,查看訪問密鑰的最後使用時間。
B. 通過搜索訪問密鑰分析 Amazon CloudWatch 日誌中的活動。
C. 通過搜索訪問密鑰分析 VPC 流量日誌中的活動。
D. IAM 身份和訪問管理(IAM)中分析憑證報告,查看訪問密鑰的最後使用時間。
查看答案
正確答案: AC
問題 #45
您的首席技術官認爲您的 IAM 帳戶被黑客攻擊了。假設黑客是非常老練的 IAM 工程師,並竭盡所能掩蓋他們的蹤跡,那麼有什麼辦法可以確定是否存在未經授權的訪問以及他們做了什麼?
A. 使用 CloudTrail 日誌文件完整性驗證。
B. 使用 IAM 配置 SNS 訂閱並實時處理事件
C. 用備份到 IAM S3 和 Glacier 的 CloudTrail。
D. 用 IAM 配置時間線取證。
查看答案
正確答案: A
問題 #46
一家公司在其應用程序中使用 AWS 密鑰管理服務(AWS KMS)AWS 擁有的密鑰來加密 AWS 賬戶中的文件,該公司的安全團隊希望能夠在發生潛在密鑰泄露時爲新文件更換新的密鑰材料。
A. 創建新的客戶管理密鑰 爲密鑰添加密鑰輪換計劃 每次安全團隊要求更換密鑰時,都要調用密鑰輪換計劃。
B. 創建新的 AWS 管理密鑰 爲密鑰添加密鑰輪換計劃 每次安全團隊請求更改密鑰時,都會調用密鑰輪換計劃。
C. 創建密鑰別名 每次安全團隊要求更改密鑰時,就創建一個新的客戶管理密鑰 將別名與新密鑰關聯。
D. 創建密鑰別名 每次安全團隊請求更改密鑰時,創建一個新的 AWS 管理密鑰 將別名與新密鑰關聯。
查看答案
正確答案: A
問題 #47
一名安全工程師在其 IAM 賬戶中啓用了 IAM Security Hub,並啓用了互聯網安全中心 (CIS) IAM 基礎合規標準。幾個小時後,安全集線器控制臺沒有返回合規性評估結果。該工程師希望確保安全集線器能夠評估其資源是否符合 CIS IAM 基礎標準。安全工程師應採取哪些步驟來滿足這些要求?
A. 爲安全中心服務角色添加完整的 Amazon Inspector IAM 權限,使其能夠執行 CIS 合規性評估。
B. 確保在賬戶中啓用 IAM Trusted Advisor,並確保 Security Hub 服務角色具有檢索 Trusted Advisor 安全相關建議操作的權限。
C. 確保在賬戶中啓用了 IAM 配置,並爲 CIS 合規性評估創建了所需的 IAM 配置規則。
D. 保 IAM CloudTrail 中的正確路徑已配置爲由安全集線器監控,並確保安全集線器服務角色具有在 CloudTrail Amazon S3 存儲桶上執行 GetObject 操作的權限。
查看答案
正確答案: C
問題 #48
某公司希望從使用相同 1AM 實例配置文件的 Amazon Linux 2 Amazon EC2 實例的特定子集中永久刪除所有 SSH 密鑰,但有三個擁有 IAM 用戶帳戶的個人需要使用 SSH 會話訪問這些實例以執行重要任務。
A. 實例配置文件分配 1AM 策略,允許 EC2 實例由 AWS 系統管理器管理 B
B. 爲 1AM 用戶賬戶分配 1AM 策略,以提供使用 AWS 系統管理器的權限 運行命令 從 EC2 實例中刪除 SSH 密鑰 使用運行命令打開 EC2 實例的 SSH 連接。
C. 爲實例配置文件分配 1AM 策略,允許 EC2 實例由 AWS 系統管理器管理 提供 1AM 用戶賬戶,允許其使用系統管理器 從 EC2 實例移除 SSH 密鑰 使用系統管理器會話管理器選擇 EC2 實例並連接。
D. 爲 1AM 用戶賬戶分配 1AM 策略,以提供在 AWS 管理控制臺中使用 EC2 服務的權限 從 EC2 實例中移除 SSH 密鑰 通過 AWS 管理控制臺的 EC2 SSH 客戶端方法,以 ec2-user 身份連接 EC2 實例。
查看答案
正確答案: C
問題 #49
一個應用程序團隊申請了一個新的 IAM KMS 主密鑰,用於 Amazon S3,但組織的安全策略要求不同的 IAM 服務使用不同的主密鑰,以限制爆炸半徑。
A. 配置 CMK 密鑰策略,只允許 Amazon S3 服務使用 kms Encrypt 操作
B. 配置 CMK 密鑰策略,只有當 kms ViaService 條件與 Amazon S3 服務名稱相匹配時,才允許 IAM KMS 操作。
C. 置 IAM 用戶策略,允許 KMS 將密碼傳給 Amazon S3
D. 置 IAM 用戶策略,使其在與 CMK 結合時只允許 Amazon S3 操作
查看答案
正確答案: B
問題 #50
一家公司正在亞馬遜 EC2 實例和亞馬遜 EMR 集羣上以單個 IAM 帳戶運行工作負載,最近的安全審計發現多個亞馬遜彈性塊存儲(Amazon EBS)卷和快照未加密。該公司的安全工程師正在研究一種解決方案,既能讓用戶部署 EC2 實例和 EMR 集羣,又能確保所有新的 EBS 卷和 EBS 快照在靜態時加密。該解決方案還必須最大限度地減少運行開銷。
A. 建一個 Amazon Event Bridge(Amazon Cloud watch Events)事件,將 EC2 實例作爲源,將創建卷作爲事件觸發器。當事件觸發時,調用 IAM Lambda 函數來評估並通知安全工程師所創建的 EBS 卷是否未加密。
B. 用客戶管理的 IAM 策略,該策略將驗證 Createvolume 上下文的加密標誌是否設置爲 true。將此規則應用於所有用戶。
C. reate an IAM Config rule to evaluate the configuration of each EC2 instance on creation or modification
D. 用 IAM 管理控制臺或 IAM CLi 在公司運營的每個 IAM 區域中默認啓用 EBS 卷加密。
查看答案
正確答案: D
問題 #51
某公司有兩個團隊,每個團隊都需要訪問各自的 Amazon S3 存儲桶。公司預計將增加更多團隊,這些團隊也將擁有自己的 S3 存儲庫。當公司增加這些團隊時,團隊成員將需要被分配到多個團隊的能力。團隊成員還需要具備更換團隊的能力。IAM 管理員必須設計一個解決方案來實現這些目標。該解決方案還必須具有可擴展性,並且必須滿足以下要求
A. 將用戶添加到代表團隊的組中。爲每個團隊創建一個策略,只允許團隊訪問各自的 S3 存儲桶。將策略附加到相應的組。
B. 爲每個團隊創建一個 IAM 角色。爲每個團隊創建一個策略,只允許團隊訪問各自的 S3 存儲桶。將策略附加到相應的角色。
C. 建標有團隊訪問標籤值的 IAM 角色。創建一個允許動態訪問具有相同標籤的 S3 存儲桶的策略。將策略附加到 IAM 角色。相應地標記 S3 存儲桶。
D. 施基於角色的訪問控制(RBAC)授權模型。創建相應的策略,並將其附加到 IAM 用戶。
查看答案
正確答案: A
問題 #52
一個開發團隊正在使用 IAM 密鑰管理服務 (IAM KMS) CMK 嘗試加密和解密 IAM 系統管理器參數存儲中的安全字符串參數。哪些與 CMK 相關的問題可能是導致錯誤的原因?(請選擇兩個)。
A. 在所有區域啓用 Amazon GuardDuty。創建警報以檢測 us- east-1 和 us-west-2 以外的未經授權的活動。
B. 在 IAM 組織中使用組織。附加一個 SCP,允許在 IAM:Requested Region 條件密鑰爲 us-east-1 或 us-west-2 時執行所有操作。刪除 FullIAMAccess 策略。
C. 通過 IAM CodePipeline 使用 IAM Cloud Formation 模板供應 EC2 資源,在 IAM CloudFormation 模板的參數中只允許 us-east-1 和 us-west-2 的值。
D. 建 IAM 配置規則,防止 us-east-1 和 us-west-2 以外的未經授權的活動。
查看答案
正確答案: AD
問題 #53
某公司的 IAM 賬戶由大約 300 個 IAM 用戶組成。作爲系統管理員,您如何才能有效地實施這項任務,從而無需在單個用戶級別應用該策略?
A. 創建一個新角色並將每個用戶添加到 IAM 角色。
B. 使用 IAM 組,根據用戶的角色將其添加到不同的組,並將策略應用到組。
C. 用 JSON 腳本創建策略並將其應用於多個用戶。
D. 建一個具有無限訪問權限的 S3 存儲桶策略,其中包括每個用戶的 IAM 帳戶 ID
查看答案
正確答案: B
問題 #54
承包商的 IAM 帳戶不得訪問任何其他 IAM 服務,即使該 IAM 帳戶已根據 IAM 組的成員資格分配了額外權限。
A. 創建一個 mime IAM 用戶策略,允許承包商的 IAM 用戶訪問 Amazon EC2。
B. 創建一個 IAM 權限邊界策略,允許 Amazon EC2 通過 IAM 權限邊界策略訪問承包商的 IAM 賬戶。
C. 創建一個 IAM 組,並附加允許 Amazon EC2 訪問的策略 將承包商的 IAM 賬戶與 IAM 組關聯。
D. 創建一個 IAM 角色,允許 EC2 並明確拒絕所有其他服務 指示承包商始終擔任此角色。
查看答案
正確答案: B
問題 #55
一位安全管理員正在設置一個新的 AWS 賬戶。該安全管理員希望確保公司存儲在亞馬遜 S3 存儲桶中的數據的安全。安全管理員還希望減少意外暴露數據的機會和 S3 存儲桶中對象配置錯誤的可能性。哪種解決方案能以最少的操作開銷滿足這些要求?
A. 置 S3 服務器端加密。創建一個 S3 桶策略,爲所有用戶的 s3:DeleteObject 和 s3:PutObject API 調用設置明確的拒絕規則。配置 S3 對象鎖以使用保留期爲 7 年的治理模式。
B. 置 S3 服務器端加密。在 S3 存儲桶上配置 S3 版本控制。將 S3 對象鎖配置爲使用合規模式,保留期爲 7 年。
C. 置 S3 版本控制。在 S3 存儲桶上配置 S3 Intelligent-Tiering,將文檔移動到 S3 Glacier Deep Archive 存儲。立即使用 S3 服務器端加密。在 7 年後使對象過期。
D. 置 S3 事件通知並使用 S3 服務器端加密。將 S3 事件通知配置爲 AWS Lambda 函數的目標,該函數將審查對 S3 桶的任何 S3 API 調用,並拒絕 s3:DeleteObject 和 s3:PutObject API 調用。7 年後刪除 S3 事件通知。
查看答案
正確答案: D
問題 #56
您需要創建一個策略,並將其應用於單個用戶。如何以正確的方式實現這一目標?
A. 爲用戶添加 IAM 管理策略。
B. 爲用戶添加服務策略
C. 爲用戶添加 IAM 角色。
D. 爲用戶添加內聯策略。
查看答案
正確答案: D
問題 #57
公司希望在彈性負載平衡器和 EC2 實例之間配置端到端加密,哪種解決方案能以最少的操作工作量滿足這一要求?
A. EC2 實例和彈性負載平衡器上使用亞馬遜發布的 AWS 證書管理器 (ACM) 證書來配置端到端加密。
B. 將第三方 SSL 證書導入 AWS 證書管理器 (ACM) 在 EC2 實例上安裝第三方證書 將 ACM 導入的第三方證書與彈性負載平衡器關聯。
C. 部署 AWS CloudHSM 導入第三方證書 配置 EC2 實例和彈性負載平衡器以使用 CloudHSM 導入的證書。
D. 將第三方證書捆綁包導入 AWS 證書管理器 (ACM) 在 EC2 實例上安裝第三方證書 將 ACM 導入的第三方證書與彈性負載平衡器關聯。
查看答案
正確答案: A
問題 #58
您的開發團隊正在使用訪問密鑰開發一個可以訪問 S3 和 DynamoDB 的應用程序。新的安全策略規定,憑據的有效期不得超過 2 個月,並應輪換使用。如何才能做到這一點?
A. 過 SDK 使用應用程序每兩個月輪換一次鑰匙
B. 使用腳本查詢密鑰的創建日期。如果超過 2 個月,則創建新的訪問密鑰,並更新所有應用程序以使用該密鑰。
C. 每 2 個月刪除與密鑰相關聯的用戶。然後重新創建用戶。
D. 每 2 個月後刪除與密鑰相關聯的 IAM 角色。然後重新創建 IAM 角色。
查看答案
正確答案: B
問題 #59
某公司通過使用 IAM 密鑰管理服務 (IAM KMS) CMK 進行服務器端加密,將敏感文檔存儲在亞馬遜 S3 中。一項新要求規定,用於這些文檔的 CMK 只能用於 S3 操作。爲滿足該要求,公司應在密鑰策略中添加哪項聲明?
A.
B.
查看答案
正確答案: A
問題 #60
某公司在一組 Amazon EC2 實例上部署了一個分布式網絡應用程序。機羣位於應用程序負載平衡器 (ALB) 的後面,該負載平衡器將被配置爲終止 TLS 連接。即使證書私鑰被泄露,ALB 的所有 TLS 流量也必須保持安全。安全工程師如何才能滿足這一要求?
A. 創建一個 HTTPS 監聽器,使用由 IAM 證書管理器 (ACM) 管理的證書。
B. 創建一個 HTTPS 監聽器,該監聽器使用的安全策略是具有完美保密性 (PFS) 的密碼套件。
C. 建一個 HTTPS 監聽器,使用服務器命令首選項安全功能。
D. 建一個使用自定義安全策略的 TCP 監聽器,該策略只允許使用具有完美前向保密性 (PFS) 的密碼套件。
查看答案
正確答案: A
問題 #61
某公司有一組託管在 IAM 中的 EC2 實例。EC2 實例有用於存儲關鍵信息的 EBS 卷。業務連續性要求確保 EBS 卷的高可用性。如何實現這一目標?
A. 對 EBS 卷使用生命周期策略。
B. 使用 EBS 快照
C. 用 EBS 卷複製
D. 用 EBS 卷加密。
查看答案
正確答案: B
問題 #62
一家公司使用外部身份提供商允許聯合不同的 IAM 賬戶。該公司的一名安全工程師需要識別一周前終止亞馬遜 EC2 生產實例的聯合用戶。安全工程師識別聯合用戶的最快方法是什麼?
A. 查看 Amazon S3 存儲桶中的 IAM CloudTrail 事件歷史日誌,查找 Terminatelnstances 事件,從角色會話名稱中識別聯合用戶。
B. ilter the IAM CloudTrail event history for the Terminatelnstances event and identify the assumed IAM role
C. 在 IAM CloudTrail 日誌中搜索 Terminatelnstances 事件並記錄事件時間。查看所有聯合角色的 IAM 訪問顧問選項卡。最後訪問時間應與實例終止時間一致。
D. 用 Amazon Athena 對存儲在 Amazon S3 存儲桶中的 IAM CloudTrail 日誌運行 SQL 查詢,並對 Terminatelnstances 事件進行過濾。確定相應的角色,然後運行另一個查詢,爲用戶名過濾 AssumeRoleWithWebldentity 事件。
查看答案
正確答案: B
問題 #63
某公司在 AWS 組織中有一個機構。該公司希望在組織中使用 AWS CloudFormation StackSets 將各種 AWS 設計模式部署到環境中。這些模式包括 Amazon EC2 實例、Elastic Load Balancing (ELB) 負載平衡器、Amazon RDS 數據庫和 Amazon Elastic Kubernetes Service (Amazon EKS) 集羣或 Amazon Elastic Container Service (Amazon ECS) 集羣。
A. 創建 Amazon Simple Notification Service (Amazon SNS) 主題。將安全團隊的電子郵件地址訂閱到 SNS 主題。創建一個自定義 AWS Lambda 函數,該函數將在 CI/CD 管道中的構建階段之前在所有 CloudFormation 模板上運行 aws cloudformation validate-template AWS CLI 命令。配置 CI/CD 管道,以便在發現任何問題時向 SNS 主題發布通知。
B. 創建一個 Amazon Simple Notification Service (Amazon SNS) 主題。將安全團隊的電子郵件地址訂閱到 SNS 主題。在 CloudFormation Guard 中爲每個資源配置創建自定義規則。在 CI/CD 管道中,在構建階段之前,配置一個 Docker 映像,以便在 CloudFormation 模板上運行 cfn-guard 命令。配置 CI/CD 管道,以便在發現任何問題時向 SNS 主題發布通知。
C. 建一個 Amazon Simple Notification Service (Amazon SNS) 主題和一個 Amazon Simple Queue Service (Amazon SQS) 隊列。將安全團隊的電子郵件地址訂閱到 SNS 主題。在共享服務 AWS 賬戶中創建一個 Amazon S3 存儲桶。在 S3 存儲桶中添加新對象時,向 SQS 隊列發布事件通知。要求開發人員將他們的 CloudFormation 模板放到 S3 容器中。啓動根據 SQS 隊列深度自動擴展的 EC2 實例。配置 EC2 實例使用 CloudFormation Guard 掃描模板,並在沒有問題的情況下部署模板。配置 CI/CD 管道,以便在發現任何問題時向 SNS 主題發布通知。
D. 建一個集中的 CloudFormation 堆棧集,其中包括開發人員可在每個 AWS 賬戶中部署的標準資源集。配置每個 CloudFormation 模板以滿足安全要求。對於任何新資源或配置,更新 CloudFormation 模板並將模板發送給安全團隊進行審查。審核完成後,將新的 CloudFormation 堆棧添加到存儲庫中供開發人員使用。
查看答案
正確答案: A
問題 #64
某公司有多個使用客戶管理的 CMK 加密的 Amazon S3 存儲桶,根據法規要求,這些密鑰必須每年輪換一次。該公司的安全工程師已啓用 CMK 的自動密鑰輪換功能,但該公司希望核實是否已進行了輪換。
A. 過濾 IAM CloudTrail 日誌中的 KeyRotaton 事件。
B. 監控 Amazon CloudWatcn 事件,以查找任何 IAM KMS CMK 輪換事件。
C. 使用 IAM CLI,使用 --key-id 參數運行 IAM kms gel-key-relation-status 操作,檢查 CMK 旋轉日期。
D. 用 Amazon Athena 查詢保存在 S3 存儲桶中的 IAM CloudTrail 日誌,以過濾 "生成新密鑰 "事件。
查看答案
正確答案: C
問題 #65
公司需要在 IAM 和現場位置之間傳輸大量數據。另外,IAM 還需要低延遲和高一致性的流量。考慮到這些要求,您將如何設計混合架構?請從以下選項中選擇正確答案。
A. 使用 Direct Connect 合作夥伴爲 IAM 區域提供 Direct Connect 連接。
B. 專用連接創建 VPN 通道,從而提高網絡一致性並減少延遲。
C. 爲專用連接創建 iPSec 隧道,從而提高網絡一致性並減少延遲。
D. 在 IAM 和客戶網關之間創建 VPC 對等連接。
查看答案
正確答案: A
問題 #66
某公司爲一個應用程序實施了 IAM WAF 和 Amazon CloudFront。該應用程序在屬於自動擴展組的 Amazon EC2 實例上運行。自動擴展組位於應用程序負載平衡器 (ALB) 之後。IAM WAF Web ACL 使用 IAM 託管規則規則組,並與 CloudFront 分發相關聯。CloudFront 從 IAM WAF 接收請求,然後使用 ALB 作爲分發的來源。
A. 配置 CloudFront 分發以使用 Lambda@Edge 功能。創建一個 IAM Lambda 函數,對 CloudFront 查看器請求施加速率限制。如果超過速率限制,則阻止請求。
B. 配置 IAM WAF Web ACL,使 Web ACL 有更多的容量單元,以便更快地處理所有 IAM WAF 規則。
C. 用基於速率的規則配置 IAM WAF,該規則規定了速率限制,當超出速率限制時會自動阻止請求。
D. 置 CloudFront 分發,將 IAM WAF 用作其源代碼,而不是 ALB。
查看答案
正確答案: C
問題 #67
某公司在同一個 AWS 區域和同一個 AWS 帳戶中擁有兩個 VPC,每個 VPC 使用的 CIDR 塊與另一個 VPC 的 CIDR 塊不重疊,其中一個 VPC 包含 AWS Lambda 功能,這些功能在通過 NAT 網關訪問互聯網的子網內運行。Lambda 功能需要訪問在另一個 VPC 中運行的可公開訪問的 Amazon Aurora MySQL 數據庫。
A. ove the Aurora database into a private subnet that has no internet access routes in the database's current VPC Configure the Lambda functions to use the Aurora database's new private IP address to access the database Configure the Aurora databases security group to allow access from the private IP addresses of the Lambda functions
B. 在兩個 VPC 之間建立一個 VPC 端點 在 Aurora 數據庫的 VPC 中爲 Amazon RDS 配置一個服務 VPC 端點 在 Lambda 功能的 VPC 中配置一個接口 VPC 端點,使用 Aurora 數據庫 VPC 中的服務端點 配置服務端點以允許來自 Lambda 功能的連接。
C. 在 VPC 之間建立 AWS Direct Connect 接口 配置 Lambda 功能,以使用通過 Direct Connect 接口訪問 Aurora 數據庫的新路由表 配置 Aurora 數據庫的安全組,以允許從 Direct Connect 接口 IP 地址進行訪問。
D. ove the Lambda functions into a public subnet in their VPC Move the Aurora database into a private subnet in its VPC Configure the Lambda functions to use the Aurora database's new private IP address to access the database Configure the Aurora database to allow access from the public IP addresses of the Lambda functions
查看答案
正確答案: B
問題 #68
組織必須建立在 24 小時內刪除 IAM KMS 客戶主密鑰 (CMK) 的能力,以防止其被用於加密或解密操作 以下哪些操作可以滿足這一要求?
A. 在 KMS 中手動旋轉密鑰,立即創建新的 CMK。
B. 使用 KMS 導入密鑰功能執行刪除密鑰操作。
C. 用 KMS 中的計劃刪除密鑰功能,指定刪除的最短等待時間。
D. 更改 KMS CMK 別名,立即阻止任何服務使用 CMK。
查看答案
正確答案: C
問題 #69
一位安全工程師需要創建一個 IAM 密鑰管理服務
A. 刪除現有 NAT 網關。創建一個只有應用服務器子網可以使用的新 NAT 網關。
B. 配置 DB 實例 TM 的入站網絡 ACL,拒絕來自 NAT 網關安全組 ID 的流量。
C. 修改 DB 實例子網的路由表,刪除到 NAT 網關的默認路由。
D. 配置 NAT 網關的路由表,拒絕 DB 實例子網的連接。
查看答案
正確答案: A
問題 #70
某公司在連接其網絡應用程序時需要使用 HTTPS,以滿足合規性要求。這些網絡應用程序在應用程序負載平衡器 (ALB) 後面的 Amazon EC2 實例上的 Amazon VPC 中運行。安全工程師希望確保負載平衡器只接受端口 443 的連接,即使 ALB 錯誤地配置了 HTTP 監聽器。
A. 此安全組附加到 ALB,以覆蓋 ALB 默認安全組中更寬鬆的規則。
B. 創建一個網絡 ACL,拒絕 80 端口上來自 0 0
C. 創建一個網絡 ACL,只允許端口 443 上的 VPC IP 範圍的出站連接,並將網絡 ACL 與 VPC 的互聯網網關關聯。
D. 建一個安全組,其中包含一條入站規則,允許端口 443 上來自 0
查看答案
正確答案: D
問題 #71
某公司正在開發一個將託管在多個亞馬遜 EC2 實例上的高彈性應用程序。該應用程序必須:- 在應用程序災難恢復計劃中包括遷移到不同的 IAM 區域;- 提供加密密鑰管理事件的完整審計跟蹤;- 只允許公司管理員管理密鑰;- 使用應用程序層加密保護靜態數據。
A. loudHSM 生成的密鑰管理事件日誌比 IAM KMS 要廣泛得多。
B. CloudHSM 確保只有公司支持人員可以管理加密密鑰,而 IAM KMS 允許 IAM 人員管理密鑰。
C. IAM KMS 生成的密文相比,CloudHSM 生成的密文能更有效地抵禦暴力解密攻擊
D. loudHSM 提供將密鑰複製到不同區域的功能,而 IAM KMS 不提供。
查看答案
正確答案: B
問題 #72
該公司正在設計一種解決方案,用於在 Amazon S3 上存儲客戶收據的掃描副本,文件格式爲 PDF,大小在 100 KB 到 5 MB 之間,每個零售店必須有一個唯一的加密密鑰,每個對象必須使用唯一的密鑰進行加密。
A. 爲每個零售店創建專用的 AWS 密鑰管理服務 (AWS KMS) 客戶管理密鑰 使用 S3 Put 操作將對象上傳到 Amazon S3 指定使用 AWS KMS 密鑰 (SSE-KMS) 和商店密鑰的密鑰 ID 進行服務器端加密。
B. 每天爲每個零售店創建一個新的 AWS 密鑰管理服務 (AWS KMS) 客戶管理密鑰 使用 KMS Encrypt 操作加密對象 然後將對象上傳到亞馬遜 S3
C. 每天爲每個零售店運行 AWS 密鑰管理服務 (AWS KMS) 生成數據密鑰操作 使用數據密鑰和客戶端加密來加密對象 然後將對象上傳到亞馬遜 S3
D. 使用 AWS Key Management Service (AWS KMS) ImportKeyMaterial 操作,每天爲每個零售店將新的密鑰材料導入 AWS KMS 使用客戶管理的密鑰和 KMS Encrypt 操作對對象進行加密 然後將對象上傳到 Amazon S3
查看答案
正確答案: A
問題 #73
一家公司部署了 IAM 組織,以幫助管理日益增多的 IAM 賬戶。一位安全工程師希望確保只有組織結構中的負責人才能訪問特定的 Amazon S3 存儲桶。哪種解決方案能滿足這些要求?
A. 將所有用戶放入一個 IAM 組,該組的訪問策略授予對 J 桶的訪問權限。
B. 讓賬戶創建觸發一個 IAM Lambda 函數,該函數管理水桶策略,只允許訪問策略中列出的賬戶。
C. 爲組織主賬戶添加 SCP,允許所有負責人訪問存儲桶。
D. 在桶策略的全局密鑰條件元素中指定組織 ID,允許所有負責人訪問。
查看答案
正確答案: D
問題 #74
一名安全工程師正在排除某公司自定義日誌應用程序的故障。應用程序日誌被寫入 Amazon S3 存儲桶,並啓用了事件通知功能,以便將事件發送到 Amazon SNS 主題。所有日誌均使用 IAM KMS CMK 進行靜態加密。SNS 主題訂閱了加密的 Amazon SQS 隊列。日誌應用程序會輪詢隊列,以獲取包含 S3 對象元數據的新消息。然後,應用程序從 S3 存儲桶中讀取對象的內容,以便
A. 在 IAM 管理的 CMK 中添加以下語句:
B. 在 CMK 密鑰策略中添加以下聲明
C. 在 CMK 密鑰策略中添加以下聲明
D. 在 CMK 密鑰策略中添加以下聲明:
查看答案
正確答案: D
問題 #75
某公司正在使用 Amazon Elastic Container Service(Amazon ECS)在 AWS 上運行基於容器的應用程序。該公司需要確保容器映像不包含嚴重漏洞。公司還必須確保只有特定的 IAM 角色和特定的 AWS 賬戶才能訪問容器映像。哪種解決方案能以最少的管理開銷滿足這些要求?
A. 從公共容器註冊表中提取映像。將映像發布到 Amazon Elastic Container Registry (Amazon ECR) 存儲庫,並在集中式 AWS 賬戶中配置推送掃描。使用 CI/CD 管道將映像部署到不同的 AWS 賬戶。使用基於身份的策略來限制哪些 IAM principals 可以訪問映像。
B. 從公共容器註冊表中提取映像。將映像發布到私有容器註冊表,該註冊表託管在集中式 AWS 賬戶中的 Amazon EC2 實例上。在運行 Amazon ECS 的 EC2 實例上部署基於主機的容器掃描工具。通過 HTTPS 使用基本身份驗證限制對容器映像的訪問。
C. 從公共容器註冊表中提取映像。將映像發布到 Amazon Elastic Container Registry (Amazon ECR) 存儲庫,並在集中式 AWS 賬戶中配置推送掃描。使用 CI/CD 管道將映像部署到不同的 AWS 賬戶。使用存儲庫策略和基於身份的策略來限制哪些 IAM principals 和賬戶可以訪問映像。
D. 從公共容器註冊表中提取映像。將映像發布到集中式 AWS 賬戶中的 AWS CodeArtifact 存儲庫。使用 CI/CD 管道將映像部署到不同的 AWS 賬戶。使用存儲庫策略和基於身份的策略來限制哪些 IAM principals 和賬戶可以訪問映像。
查看答案
正確答案: C
問題 #76
最近的一次安全審計發現,IAM CloudTrail 日誌未能充分防止篡改和未經授權的訪問 安全工程師必須採取哪些措施來解決這些審計發現的問題?(選擇三項)
A. 更新受影響賬戶中的 IAM WAF 規則,並使用 IAM Firewall Manager 在所有其他賬戶中推送更新的 IAM WAF 規則。
B. 用 GuardDuty 集中記錄和 Amazon SNS 設置警報,向所有應用程序團隊通知安全事件。
C. 用 GuardDuty 警報編寫一個 IAM Lambda 函數,通過在 Amazon EC2 實例上添加額外的 NACL 來更新所有賬戶,以阻止已知的惡意 IP 地址。
D. 用 IAM Shield Advanced 識別每個賬戶中的威脅,然後通過 "組織 "對所有其他賬戶應用基於賬戶的保護。
查看答案
正確答案: ADE
問題 #77
某公司正在使用 Amazon Elastic Container Service(Amazon ECS)部署一個處理敏感數據的應用程序,在最近的一次安全審計中,該公司發現了一個安全問題,即 Amazon RDS 憑據與應用程序代碼一起存儲在公司的源代碼庫中。安全工程師需要制定解決方案,確保數據庫憑據的安全存儲和定期輪換。
A. 使用 IAM 系統管理器參數存儲生成數據庫憑據。爲 ECS 任務使用 IAM 配置文件,限制只有特定容器才能訪問數據庫憑據。
B. 用 IAM Secrets Manager 來存儲數據庫憑證。爲 ECS 任務使用 IAM 內聯策略,限制只有特定容器才能訪問數據庫憑據。
C. 用 IAM 系統管理器參數存儲來存儲數據庫憑據。爲 ECS 任務使用 IAM 角色,以限制對數據庫憑據的訪問,僅限特定容器。
D. 用 IAM Secrets Manager 來存儲數據庫憑證。爲 ECS 任務使用 IAM 角色,以限制只有特定容器才能訪問數據庫憑據。
查看答案
正確答案: D
問題 #78
出於合規原因,安全工程師必須每周編寫一份報告,列出未應用最新批准補丁的任何實例。該工程師還必須確保沒有應用最新批准更新的系統不超過 30 天。
A. 使用 Amazon 檢查器確定哪些系統未應用最新補丁,並在 30 天后使用最新 AMI 版本重新部署這些實例
B. 配置 Amazon EC2 Systems Manager 以報告實例補丁合規性,並在定義的維護窗口期間執行更新。
C. xamine IAM CloudTrail togs to determine whether any instances have not restarted in the last 30 days, and redeploy those instances
D. 使用最新批准的補丁更新 AMls,並在定義的維護窗口期間重新部署每個實例。
查看答案
正確答案: B
問題 #79
一家公司需要將 tog 數據存檔保留數年,以符合法規要求。要滿足這些要求,最安全和最具成本效益的解決方案是什麼?
A. 將數據歸檔到 Amazon S3,並應用限制性桶策略來拒絕 s3 DeleteOotect API
B. 將數據歸檔到 Amazon S3 Glacier 並應用 Vault Lock 策略。
C. 數據歸檔到 Amazon S3,並複製到第二個 IAM 區域中的第二個存儲桶 選擇 S3 標準-頻繁訪問 (S3 Standard-1A) 存儲類,並應用限制性存儲桶策略,以拒絕使用 s3 DeleteObject API
D. 將日誌數據遷移到 16 T8 Amazon Elastic Block Store (Amazon EBS) 卷創建 EBS 卷快照。
查看答案
正確答案: B
問題 #80
某公司正在 IAM 上構建一個將存儲敏感信息的應用程序。該公司有一個支持團隊,可以訪問 IT 基礎設施,包括數據庫。公司的安全工程師必須採取措施保護敏感數據,防止數據泄露,同時儘量減少管理開銷。安全工程師應該提出哪些建議?
A. 啓用 Amazon RDS 加密以加密數據庫和快照。在 Amazon EC2 實例上啓用 Amazon Elastic Block Store (Amazon EBS) 加密。在 EC2 用戶數據字段中包含數據庫憑據。使用 IAM Lambda 函數旋轉數據庫憑據。爲數據庫連接設置 TLS。
B. 在 Amazon EC2 實例上安裝數據庫。啓用第三方磁盤加密以加密 Amazon Elastic Block Store (Amazon EBS) 卷。將數據庫憑證存儲在 IAM CloudHSM 中,並自動輪換。爲數據庫連接設置 TLS。
C. 用 Amazon RDS 加密以加密數據庫和快照。在 Amazon EC2 實例上啓用 Amazon Elastic Block Store (Amazon EBS) 加密。在 IAM Secrets Manager 中存儲數據庫憑證,並自動輪換。爲連接 RDS 託管數據庫設置 TLS。
D. 用 IAM 密鑰管理服務 (IAM KMS) 設置 IAM CloudHSM 集羣,以存儲 KMS 密鑰。在 IAM 系統管理器參數存儲中存儲數據庫憑據,並自動輪換。爲連接 RDS 託管數據庫設置 TLS。
查看答案
正確答案: C
問題 #81
開發人員正在構建一個託管在 AWS 上的無服務器應用程序,該應用程序使用 Amazon Redshift 作爲數據存儲。該應用程序具有用於讀寫和只讀功能的獨立模塊,出於合規原因,這些模塊需要自己的數據庫用戶。(請選擇兩個)。
A. 每個應用模塊配置羣集安全組,以控制對只讀和讀寫所需的數據庫用戶的訪問。
B. 爲 Amazon Redshift 配置 VPC 端點 配置一個端點策略,將數據庫用戶映射到每個應用模塊,並允許訪問只讀和讀/寫所需的表。
C. 每個模塊配置 1AM 策略 指定允許調用 GetClusterCredentials API 的 Amazon Redshift 數據庫用戶的 ARN。
D. 爲每個模塊創建本地數據庫用戶
E. 爲每個模塊配置 1AM 策略 指定允許調用 GetClusterCredentials API 的 1AM 用戶的 ARN。
查看答案
正確答案: A
問題 #82
某公司的安全工程師希望在 Amazon GuardDuty、AWS Identity and Access Management Access Analyzer 或 Amazon Made 生成高嚴重性安全發現時收到電子郵件警報。該公司使用 AWS Control Tower 管理其所有賬戶。哪種解決方案能以最少的運營開銷滿足這些要求?
A. 爲 GuardDuty、1AM Access Analyzer 和 Macie 設置單獨的 AWS Lambda 函數,以調用每個服務的公共 API 來檢索高嚴重性結果。使用 Amazon Simple Notification Service (Amazon SNS) 發送電子郵件警報。創建 Amazon EventBridge 規則,按計劃調用函數。
B. 建一個 Amazon EventBridge 規則,其模式應與嚴重程度較高的安全中心發現事件相匹配。配置該規則以將調查結果發送到目標 Amazon Simple Notification Service (Amazon SNS) 主題。將所需的電子郵件地址訂閱到 SNS 主題。
C. 建一個 Amazon EventBridge 規則,其模式應與嚴重程度較高的 AWS Control Tower 事件相匹配。配置該規則以將結果發送到目標 Amazon Simple Notification Service (Amazon SNS) 主題。將所需的電子郵件地址訂閱到 SNS 主題。
D. Amazon EC2 上託管一個應用程序,以調用 GuardDuty、1AM Access Analyzer 和 Macie API。在該應用程序中,使用 Amazon Simple Notification Service (Amazon SNS) API 檢索高嚴重性調查結果,並將調查結果發送到 SNS 主題。將所需的電子郵件地址訂閱到 SNS 主題。
查看答案
正確答案: B
問題 #83
某公司計劃將 Amazon Elastic File System(Amazon EFS)用於其內部部署服務器。該公司在內部部署數據中心和 IAM 區域之間建立了現有的 IAM Direct Connect 連接 安全策略規定,該公司的內部部署防火牆只能在允許列表中添加特定的 IP 地址,而不是 CIDR 範圍。該公司還希望限制訪問,以便只有某些基於數據中心的服務器才能訪問 Amazon EFS。
A. dd the file-system-id efs IAM-region amazonIAM com URL to the allow list for the data center firewall 在基於數據中心的服務器上安裝 IAM CLI,以便在 EFS 安全組中加載 EFS 文件系統。
B. 爲 Amazon EFS 分配一個彈性 IP 地址,並將彈性 IP 地址添加到數據中心防火牆的允許列表 在基於數據中心的服務器上安裝 IAM CLI,以掛載 EFS 文件系統 在 EFS 安全組中,將數據中心服務器的 IP 地址添加到允許列表 使用彈性 IP 地址掛載 EFS。
C. 將 EFS 文件系統掛載目標 IP 地址添加到數據中心防火牆的允許列表中 在 EFS 安全組中,將數據中心服務器 IP 地址添加到允許列表中 使用 Linux 終端,使用其中一個掛載目標的 IP 地址掛載 EFS 文件系統。
D. 聯繫 IAM 支持,爲 EFS 文件系統分配靜態 IP 地址範圍 在 EFS 安全組中,將數據中心服務器 IP 地址添加到允許列表中 使用 Linux 終端,使用其中一個靜態 IP 地址加載 EFS 文件系統。
查看答案
正確答案: B
問題 #84
一家公司需要存儲多年的財務記錄。該公司希望使用 Amazon S3 來存儲這些文檔的副本。該公司必須實施一種解決方案,防止文檔在亞馬遜 S3 中存儲 7 年後被編輯、替換或刪除。安全工程師創建了一個新的 S3 存儲桶來存儲這些文檔。爲了滿足這些要求,安全工程師接下來應該做些什麼?
A. 公司使用無服務器方法處理微服務。公司將所有數據存儲在亞馬遜 S3 或亞馬遜 DynamoDB 中。公司通過使用 AWS lambda 函數或基於容器的服務來讀取數據,這些服務由公司在 AWS Fargate 上的 Amazon Elastic Kubernetes Service (Amazon EKS) 託管。公司必須實施一個解決方案,對所有靜態數據進行加密,並執行最低權限數據訪問控制。公司創建了一個 AWS 密鑰管理服務 (AWS KMS) 客戶管理密鑰。爲滿足這些要求,公司下一步應該做些什麼?
B. 建一個密鑰策略,僅允許 Amazon S3 和 DynamoD 執行 kms:Decrypt 操作 創建一個 SCP,拒絕創建未使用密鑰加密的 S3 桶和 DynamoDB 表。
C. 創建一個 1AM 策略,拒絕對密鑰執行 kms:Decrypt 操作。創建一個按計劃運行的 Lambda 函數,將策略附加到任何新角色。創建一個 AWS 配置規則,爲未使用密鑰加密的資源發送警報。
D. 建一個密鑰策略,僅允許 Amazon S3、DynamoDB、Lambda 和 Amazon EKS 執行 kms:Decrypt 操作。創建一個 SCP,拒絕創建未使用密鑰加密的 S3 桶和 DynamoDB 表。
E. 創建一個密鑰策略,僅允許 Amazon S3、DynamoDB、Lambda 和 Amazon EKS 執行 kms:Decrypt 操作。創建一個 AWS 配置規則,以便爲未使用密鑰加密的資源發送警報。
查看答案
正確答案: B
問題 #85
某公司開發了一個新的 Amazon RDS 數據庫應用程序。該公司必須確保 ROS 數據庫憑據在傳輸過程中的加密和靜態加密。哪種解決方案能滿足這些要求?
A. 使用 IAM 系統管理器參數存儲來存儲數據庫憑據。配置憑證的自動輪換。
B. 使用 IAM Secrets Manager 來存儲數據庫憑證。配置憑證的自動*輪換。
C. 數據庫憑據存儲在 Amazon S3 存儲桶中,該存儲桶配置了服務器端加密和 S3 託管加密密鑰 (SSE-S3) 通過 IAM 數據庫身份驗證輪換憑據。
D. 將數據庫憑據存儲在 Amazon S3 Glacier 中,並使用 S3 Glacier Vault Lock 配置 IAM Lambda 函數,按計劃輪換憑據。
查看答案
正確答案: A
問題 #86
某公司希望確保其 IAM 資源只能在 us-east-1 和 us-west- 2 區域啓動。什麼是操作效率最高的解決方案,可以防止開發人員在其他區域啓動 Amazon EC2 實例?
A. 在數據庫 VPC 中創建一個新的安全組,並創建一個允許來自應用程序 VPC IP 地址範圍的所有流量的入站規則。在數據庫子網上添加新的網絡 ACL 規則。將該規則配置爲來自應用程序 VPC IP 地址範圍的 TCP 端口 1521。將新的安全組附加到應用程序實例需要訪問的數據庫實例。
B. 應用程序 VPC 中創建一個新的安全組,其入站規則允許通過 TCP 端口 1521 訪問數據庫 VPC 的 IP 地址範圍。在數據庫 VPC 中創建一個新的安全組,其入站規則允許通過端口 1521 訪問應用程序 VPC 的 IP 地址範圍。將新安全組附加到數據庫實例和需要訪問數據庫的應用程序實例。
C. 在應用程序 VPC 中創建一個沒有入站規則的新安全組。在數據庫 VPC 中創建一個新的安全組,其中包含一條入站規則,允許來自應用程序 VPC 中新的應用程序安全組的 TCP 端口 1521 將應用程序安全組附加到需要數據庫訪問的應用程序實例,並將數據庫安全組附加到數據庫實例。
D. 應用程序 VPC 中創建一個新的安全組,其中的入站規則允許通過 TCP 端口 1521 訪問數據庫 VPC 的 IP 地址範圍。在數據庫子網上添加新的網絡 ACL 規則。將新安全組附加到需要訪問數據庫的應用程序實例。
查看答案
正確答案: C
問題 #87
某公司的應用程序團隊需要在 IAM 上託管 MySQL 數據庫。根據公司的安全策略,所有存儲在 IAM 上的數據都必須在靜態時加密。此外,所有加密材料都必須符合 FIPS 140-2 Level 3 驗證。應用團隊需要一個既能滿足公司安全要求,又能最大限度降低運營開銷的解決方案。
A. 數據庫託管在亞馬遜 RDS 上。使用由 IAM CloudHSM 支持的 IAM 密鑰管理服務 (IAM KMS) 自定義密鑰存儲進行密鑰管理。
B. 亞馬遜 RDS 上託管數據庫。使用 IAM 密鑰管理服務 (IAM KMS) 中的 IAM 管理 CMK 進行密鑰管理。
C. Amazon EC2 實例上託管數據庫。使用 Amazon Elastic Block Store (Amazon EBS) 進行加密。在 IAM 密鑰管理服務 (IAM KMS) 中使用客戶管理的 CMK 進行密鑰管理。
D. 在 Amazon EC2 實例上託管數據庫。使用透明數據加密 (TDE) 進行加密和密鑰管理。
查看答案
正確答案: B
問題 #88
系統管理員無法使用 IAM 角色在 eu-west-1 區域啓動 Amazon EC2 實例,而同一系統管理員卻可以在 eu-west-2 和 eu- west-3 區域啓動 EC2 實例。附加到系統管理員 IAM 角色的 IAMSystemAdministrator 訪問策略允許無條件訪問帳戶內的所有 IAM 服務和資源。
A. 戶附加了一個 SCP,其權限聲明如下:
B. 統管理員角色附加了一個權限邊界策略,其權限聲明如下:
C. 統管理員角色附加了一個權限邊界,權限聲明如下:
D. 賬戶上附加了一個 SCP,並附有以下說明:
查看答案
正確答案: B
問題 #89
某公司正在使用 Amazon CloudFornt 運營一個網站。CloudFront 服務器的部分內容來自亞馬遜 S3,而其他內容則來自應用程序後面運行 EC2 實例的網絡服務器。負載平衡器 (ALB)。Amazon DynamoDB 用作數據存儲。該公司已經使用 IAM 證書管理器 (ACM) 來存儲公共 TLS 證書,該證書可以選擇性地保護網站用戶與 CloudFront 之間的連接。該公司有一項新要求,即在傳輸過程中執行端到端加密。
A. dd an origin custom header 將查看器協議策略設置爲 HTTP 和 HTTPS 將 origin protocol pokey 設置爲僅 HTTPS 更新應用程序以驗證 CloudFront 自定義標頭。
B. 添加源自定義標頭 將查看器協議策略設置爲僅 HTTPS 將源協議策略設置爲匹配查看器 更新應用程序以驗證 CloudFront 自定義標頭。
C. dd an origin custom header 將查看器協議策略設置爲 HTTP 重定向到 HTTPS 將原點協議策略設置爲僅 HTTP 更新應用程序以驗證 CloudFront 自定義標頭。
D. dd an origin custom header 設置查看器協議策略,將 HTTP 重定向到 HTTPS。更新應用程序以驗證 CloudFront 自定義標頭。
查看答案
正確答案: BCE
問題 #90
貴公司剛剛在一個 VPC 中建立了一個新的中央服務器。要求服務器位於同一地區不同 VPC 的其他團隊連接到中央服務器。
A. 在中央服務器 VPC 和每個團隊 VPC 之間建立 VPC 對等。
B. 在中央服務器 VPC 和每個團隊 VPC 之間建立 IAM DirectConnect。
C. 中央服務器 VPC 和每個團隊 VPC 之間建立 IPSec 通道。
D. 上選項都不可行。
查看答案
正確答案: A
問題 #91
Example.com 由應用程序負載平衡器 (ALB) 後面的 Amazon EC2 實例託管。第三方主機入侵檢測系統 (HIDS) 代理可捕獲 EC2 實例的流量,並在每個主機上運行。公司必須確保爲用戶使用隱私增強技術,同時不失去第三方解決方案提供的保證。
A. 在 ALB 上啓用 TLS 穿透,並使用橢圓曲線 Diffie-Hellman (ECDHE) 密碼套件在服務器上處理解密。
B. 在 ALB 上創建一個監聽器,使用 Elliptic Curve Diffie-Hellman (ECDHE) 密碼套件進行加密連接,並將流量以明文形式傳輸到服務器。
C. 在 ALB 上創建一個監聽器,使用橢圓曲線 Diffie-Hellman (ECDHE) 密碼套件進行加密連接,並使用加密連接連接到未啓用完美前向保密 (PFS) 的服務器。
D. 在 ALB 上創建一個不啓用完美前向保密 (PFS) 密碼套件的監聽器,並使用橢圓曲線 Diffie-Hellman (ECDHE) 密碼套件與服務器進行加密連接。
查看答案
正確答案: D
問題 #92
安全架構師被要求審查現有的安全架構,並找出應用程序服務器無法成功啓動與數據庫服務器連接的原因。以下摘要描述了該架構:1 公共子網中配置了一個應用程序負載平衡器、一個互聯網網關和一個 NAT 網關。數據庫、應用程序和 Web 服務器分別配置在三個不同的專用子網中3。
A. 在公共 VPC 安全組中添加拒絕規則,阻止惡意 IP
B. 將惡意 IP 添加到 IAM WAF backhsted IP 中。
C. 置 Linux iptables 或 Windows 防火牆,阻止來自惡意 IP 的任何流量
D. 改 Amazon Route 53 中的託管區域,並爲惡意 IP 創建 DNS sinkhole
查看答案
正確答案: A
問題 #93
某公司使用 Amazon S3 存儲桶來存儲報告 管理層規定,存儲在該存儲桶中的所有新對象都必須使用與 S3 存儲桶屬於同一賬戶的客戶指定 IAM 密鑰管理服務 (IAM KMS) CMK 在靜態時使用服務器端加密。IAM 賬號是 111122223333,而桶的名稱是報告桶。公司的安全專家必須編寫 S3 桶策略,以確保任務可以執行。
A. 使用 IAM 密鑰管理服務 (IAM KMS) tor 加密在安全賬戶中創建 CodeCommit 資源庫 要求開發團隊將 Lambda 源代碼遷移到此資源庫。
B. 將 API 密鑰存儲在安全帳戶中的 Amazon S3 存儲桶中,使用 Amazon S3 管理的加密密鑰 (SSE-S3) 進行服務器端加密,以加密密鑰。
C. 用 IAM 密鑰管理服務 (IAM KMS) 在安全賬戶的 IAM Secrets Manager 中創建一個祕密,以存儲 API 密鑰。
D. Lambda 函數創建加密環境變量,使用 IAM 密鑰管理服務 (IAM KMS) 加密存儲 API 密鑰 授予 Lambda 函數使用的 IAM 角色訪問權限,以便函數可以在運行時解密密鑰。
查看答案
正確答案: D
問題 #94
一個開發團隊正在使用 IAM 密鑰管理服務 (IAM KMS) CMK 嘗試加密和解密 IAM 系統管理器參數存儲中的安全字符串參數。哪些與 CMK 相關的問題可能是導致錯誤的原因?(請選擇兩個)。
A. 在所有區域啓用 Amazon GuardDuty。創建警報以檢測 us- east-1 和 us-west-2 以外的未經授權的活動。
B. 在 IAM 組織中使用組織。附加一個 SCP,允許在 IAM:Requested Region 條件密鑰爲 us-east-1 或 us-west-2 時執行所有操作。刪除 FullIAMAccess 策略。
C. 通過 IAM CodePipeline 使用 IAM Cloud Formation 模板供應 EC2 資源,在 IAM CloudFormation 模板的參數中只允許 us-east-1 和 us-west-2 的值。
D. 建 IAM 配置規則,防止 us-east-1 和 us-west-2 以外的未經授權的活動。
查看答案
正確答案: AD
問題 #95
某公司有一組託管在 IAM 中的 EC2 實例。EC2 實例有用於存儲關鍵信息的 EBS 卷。業務連續性要求確保 EBS 卷的高可用性。如何實現這一目標?
A. 對 EBS 卷使用生命周期策略。
B. 使用 EBS 快照
C. 用 EBS 卷複製
D. 用 EBS 卷加密。
查看答案
正確答案: B
問題 #96
目前有多個應用程序託管在 VPC 中。在監控過程中發現,有多個端口掃描來自一個特定的 IP 地址塊。內部安全團隊要求在未來 24 小時內拒絕所有違規 IP 地址的訪問。以下哪種方法是快速、暫時拒絕指定 IP 地址訪問的最佳方法?
A. 創建一個 AD 策略,修改 VPC 中所有主機的 Windows 防火牆設置,拒絕來自 IP 地址塊的訪問。
B. 修改與 VPC 中所有公共子網相關聯的網絡 ACL,拒絕來自 IP 地址塊的訪問。
C. 在所有 VPC 安全組中添加一條規則,拒絕來自 IP 地址塊的訪問。
D. 改貴組織在該 VPC 中使用的所有 AMI 上的 Windows 防火牆設置,拒絕來自 IP 地址塊的訪問。
查看答案
正確答案: B
問題 #97
某公司在 us-east-1 區域部署了 Amazon GuardDuty。公司希望檢查與公司的 Amazon EC2 實例相關的所有 DNS 日誌。安全工程師應如何確保 EC2 實例被記錄?
A. 用爲主機名配置的 IPv6 地址。
B. 將外部 DNS 解析器配置爲僅 IAM 可見的內部解析器。
C. 所有 EC2 實例使用 IAM DNS 解析器。
D. 爲所有 EC2 實例配置帶有日誌記錄功能的第三方 DNS 解析器。
查看答案
正確答案: C
問題 #98
開發人員正在構建一個託管在 AWS 上的無服務器應用程序,該應用程序使用 Amazon Redshift 作爲數據存儲。該應用程序具有用於讀寫和只讀功能的獨立模塊,出於合規原因,這些模塊需要自己的數據庫用戶。(請選擇兩個)。
A. 每個應用模塊配置羣集安全組,以控制對只讀和讀寫所需的數據庫用戶的訪問。
B. 爲 Amazon Redshift 配置 VPC 端點 配置一個端點策略,將數據庫用戶映射到每個應用模塊,並允許訪問只讀和讀/寫所需的表。
C. 每個模塊配置 1AM 策略 指定允許調用 GetClusterCredentials API 的 Amazon Redshift 數據庫用戶的 ARN。
D. 爲每個模塊創建本地數據庫用戶
E. 爲每個模塊配置 1AM 策略 指定允許調用 GetClusterCredentials API 的 1AM 用戶的 ARN。
查看答案
正確答案: A
問題 #99
該實例正在與已知的惡意地址建立連接。該實例位於 us-east-1 區域的 VPC 中的一個開發帳戶中,該 VPC 包含一個互聯網網關,並在 us-east-1a 和 us-easMb 中各有一個子網,每個子網都與一個路由表相關聯,該路由表使用互聯網網關作爲默認路由。
A. 登錄可疑實例並使用 netstat 命令確定遠程連接 使用這些遠程連接的 IP 地址在實例的安全組中創建拒絕規則 在實例上安裝診斷工具進行調查 在調查實例期間,更新 us-east- lb 中子網的出站網絡 ACL,明確拒絕所有連接,作爲第一條規則。
B. 更新 us-east-1b 子網的出站網絡 ACL,明確拒絕所有連接作爲第一條規則 用只允許來自診斷安全組的連接的新安全組替換安全組 更新 us-east-1b 子網的出站網絡 ACL,刪除拒絕所有規則 啓動具有診斷工具的新 EC2 實例 將新安全組分配給新 EC2 實例 使用新 EC2 實例調查可疑實例。
C. 確保連接到可疑 EC2 實例的 Amazon Elastic Block Store (Amazon EBS) 卷不會在終止時刪除 終止實例 在 us-east-1a 中啓動一個新的 EC2 實例,該實例具有診斷工具 安裝已終止實例的 EBS 卷以進行調查。
D. 創建一個 AWS WAF Web ACL,拒絕可疑實例的來往流量 將 AWS WAF Web ACL 附加到實例,以減少攻擊 登錄到實例並安裝診斷工具來調查實例。
查看答案
正確答案: B
問題 #100
該實例正在與已知的惡意地址建立連接。該實例位於 us-east-1 區域的 VPC 中的一個開發帳戶中,該 VPC 包含一個互聯網網關,並在 us-east-1a 和 us-easMb 中各有一個子網,每個子網都與一個路由表相關聯,該路由表使用互聯網網關作爲默認路由。
A. 登錄可疑實例並使用 netstat 命令確定遠程連接 使用這些遠程連接的 IP 地址在實例的安全組中創建拒絕規則 在實例上安裝診斷工具進行調查 在調查實例期間,更新 us-east- lb 中子網的出站網絡 ACL,明確拒絕所有連接,作爲第一條規則。
B. 更新 us-east-1b 子網的出站網絡 ACL,明確拒絕所有連接作爲第一條規則 用只允許來自診斷安全組的連接的新安全組替換安全組 更新 us-east-1b 子網的出站網絡 ACL,刪除拒絕所有規則 啓動具有診斷工具的新 EC2 實例 將新安全組分配給新 EC2 實例 使用新 EC2 實例調查可疑實例。
C. 確保連接到可疑 EC2 實例的 Amazon Elastic Block Store (Amazon EBS) 卷不會在終止時刪除 終止實例 在 us-east-1a 中啓動一個新的 EC2 實例,該實例具有診斷工具 安裝已終止實例的 EBS 卷以進行調查。
D. 創建一個 AWS WAF Web ACL,拒絕可疑實例的來往流量 將 AWS WAF Web ACL 附加到實例,以減少攻擊 登錄到實例並安裝診斷工具來調查實例。
查看答案
正確答案: B
問題 #101
一家大型企業正在制定多賬戶戰略,需要確定員工應如何訪問 IAM 基礎設施。
A. 在每個 IAM 帳戶中創建專用的 IAM 用戶,員工可根據其現有身份提供商中的組成員身份,通過聯盟方式使用這些用戶。
B. 用具有 IAM 角色的集中賬戶,員工可通過與現有身份提供商的聯合來承擔這些角色 使用跨賬戶角色,讓聯合用戶在資源賬戶中承擔其目標角色。
C. 將 IAM 安全令牌服務配置爲使用 Kerberos 令牌,這樣用戶就可以使用現有的企業用戶名和密碼直接訪問 IAM 資源。
D. 每個賬戶的角色中配置 IAM 信任策略,以建立對公司現有身份提供商的信任,允許用戶根據其 SAML 標記承擔角色。
查看答案
正確答案: B
問題 #102
某公司正在 IAM 上構建一個將存儲敏感信息的應用程序。該公司有一個支持團隊,可以訪問 IT 基礎設施,包括數據庫。公司的安全工程師必須採取措施保護敏感數據,防止數據泄露,同時儘量減少管理開銷。安全工程師應該提出哪些建議?
A. 啓用 Amazon RDS 加密以加密數據庫和快照。在 Amazon EC2 實例上啓用 Amazon Elastic Block Store (Amazon EBS) 加密。在 EC2 用戶數據字段中包含數據庫憑據。使用 IAM Lambda 函數旋轉數據庫憑據。爲數據庫連接設置 TLS。
B. 在 Amazon EC2 實例上安裝數據庫。啓用第三方磁盤加密以加密 Amazon Elastic Block Store (Amazon EBS) 卷。將數據庫憑證存儲在 IAM CloudHSM 中,並自動輪換。爲數據庫連接設置 TLS。
C. 用 Amazon RDS 加密以加密數據庫和快照。在 Amazon EC2 實例上啓用 Amazon Elastic Block Store (Amazon EBS) 加密。在 IAM Secrets Manager 中存儲數據庫憑證,並自動輪換。爲連接 RDS 託管數據庫設置 TLS。
D. 用 IAM 密鑰管理服務 (IAM KMS) 設置 IAM CloudHSM 集羣,以存儲 KMS 密鑰。在 IAM 系統管理器參數存儲中存儲數據庫憑據,並自動輪換。爲連接 RDS 託管數據庫設置 TLS。
查看答案
正確答案: C

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.