不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

利用考試問題和學習材料掌握 SCS-C02 考試,AWS 認證安全 - 專業 | SPOTO

通過 SPOTO 的綜合學習材料和考試試題,掌握 AWS Certified Security - Specialty (SCS-C02) 考試。該認證展示了您在 AWS 雲環境中設計和部署強大的安全解決方案的技能。它還驗證了您對專業數據分類、AWS 數據保護機制、數據加密技術、安全互聯網協議及其在 AWS 中的實施的了解。訪問我們精心收集的考試問題、模擬測試和考試轉儲,以加強您的備考。我們的學習材料涵蓋關鍵主題並提供深入見解,幫助您掌握複雜的概念。使用 SPOTO 的考試模擬器和在線試題進行自信備考,確保您在 SCS-C02 考試中取得優異成績。使用 SPOTO 值得信賴的資源,提升您的備考水平並取得成功。
參加其他線上考試
問題 #1
某公司計劃將一個敏感數據集遷移到 Amazon S3。安全工程師必須確保數據在靜態時加密。加密解決方案必須使公司能夠生成自己的密鑰,而無需管理密鑰存儲或加密過程。安全工程師應該使用什麼方法來實現這一目標?
A. 用 Amazon S3 管理的密鑰進行服務器端加密(SSE-S3)
B. 用 IAM KMS 管理的密鑰進行服務器端加密(SSE-KMS)
C. 用客戶提供的密鑰進行服務器端加密(SSE-C)
D. 用 IAM KMS 管理的 CMK 進行客戶端加密
查看答案
正確答案: C
問題 #2
某公司使用 IAM 組織管理多個 IAM 賬戶。該公司有一個應用程序,允許用戶以 AppUser IAM 角色從亞馬遜 S3 存儲桶中下載文件,該存儲桶使用 IAM KMS CMK 加密,但當用戶嘗試訪問 S3 存儲桶中的文件時,卻出現了拒絕訪問錯誤。安全工程師應如何排除此錯誤?(請選擇三項)
A. 保 KMS 策略允許 AppUser 角色擁有爲 CMK 解密的權限
B. 保 S3 存儲桶策略允許 AppUser 角色擁有獲取 S3 存儲桶對象的權限
C. 保 CMK 在 S3 存儲桶之前創建。
D. 保已爲 S3 存儲桶啓用 S3 塊公共訪問功能。
E. 保禁用 CMK 的自動密鑰旋轉功能
F. 保組織內的 SCP 允許訪問 S3 存儲桶。
查看答案
正確答案: B
問題 #3
某公司有一個現有的 IAM 賬戶和一組由該賬戶託管的關鍵資源。負責根帳戶的員工已離開公司。現在必須如何確保該賬戶的安全。請從以下選項中選擇 3 個答案。請選擇
A. 改所有 IAM 用戶的訪問密鑰。
B. 除所有自定義創建的 IAM 策略
C. 除 root 賬戶的訪問密鑰
D. 安全設備確認 MFA
E. 改 root 帳戶的密碼
F. 改所有 IAM 用戶的密碼
查看答案
正確答案: A
問題 #4
一家製藥公司在其內部存儲了數字化版本的歷史處方。該公司希望將這些處方轉移到 IAM 中,並對其中的數據進行分析。對這些數據的任何操作都要求在傳輸和靜止時對數據進行加密。哪種應用流程可以滿足 IAM 的數據保護要求?
A. 字化文件 -> Amazon Kinesis 數據分析
B. 字化文件 -> Amazon Kinesis Data Firehose -> Amazon S3 -> Amazon Athena
C. 字化文件 -> Amazon Kinesis 數據流 -> Kinesis 客戶端庫消費者 -> Amazon S3 -> Athena
D. 字化文件 -> Amazon Kinesis Data Firehose -> Amazon Elasticsearch
查看答案
正確答案: B
問題 #5
貴公司在 6 個月內定義了大量 EC2 實例。他們想知道是否有任何安全組允許不受限制地訪問資源。實現這一要求的最佳方案是什麼?請選擇:
A. 用 IAM 檢查器檢查所有安全組
B. 用 IAM 可信顧問查看哪些安全組的訪問權限被泄露。
C. 用 IAM 配置查看哪些安全組的訪問權限被泄露。
D. 用 IAM CLI 查詢安全組,然後過濾不受限制訪問的規則d
查看答案
正確答案: C
問題 #6
一個 IAM 賬戶包含兩個 S3 桶:bucket1 和 bucket2。bucket2 沒有定義策略,但 bucket1 有以下桶策略:此外,同一賬戶還有一個名爲 "alice "的 IAM 用戶,其 IAM 策略如下。用戶 "alice "可以訪問哪些桶?
A. 桶 1
B. 水桶 2
C. 桶 1 和水桶 2
D. 不是水桶 1 也不是水桶 2
查看答案
正確答案: B
問題 #7
某公司的網絡應用程序託管在 Amazon EC2 實例上,運行在自動擴展組中的應用程序負載平衡器 (ALB) 後面。IAM WAF Web ACL 與 ALB 關聯。IAM CloudTrail 已啓用,並將日誌存儲在 Amazon S3 和 Amazon CloudWatch Logs 中。運營團隊觀察到一些 EC2 實例隨機重啓。重啓後,實例上的所有訪問日誌都被刪除。在調查過程中,運營團隊發現每次重啓都發生在 PHP 錯誤發生之後。
A. ALB 所在子網上配置 VPC Flow Logs,並將數據流傳輸到 CloudWatch
B. ALB 上配置 CloudWatch 代理 配置代理將應用程序日誌發送到 CloudWatch 更新實例角色以允許 CloudWatch 日誌訪問
C. 日誌導出到 CloudWatch 在 CloudWatch 中搜索 new-user-creation
D. 置 ALB 以將訪問日誌導出到 Amazon Elasticsearch 服務羣集,並使用該服務搜索 new-user-creation
E. 置 Web ACL 以將日誌發送到 Amazon Kinesis Data Firehose,後者會將日誌發送到 S3 存儲桶 使用 Amazon Athena 查詢日誌並找到新用戶創建 php 事件。
查看答案
正確答案: B
問題 #8
安全工程師注意到,日誌在擴展事件後丟失。安全工程師需要推薦一種解決方案,以確保日誌數據的耐用性和可用性。出於審計目的,所有日誌必須至少保存 1 年 安全工程師應推薦什麼?
A. 自動擴展生命周期內,添加一個鉤子,以便在每次創建 EC2 實例時創建並附加 Amazon Elastic Block Store (Amazon EBS) 日誌卷
B. 實例終止時,可將 EBS 卷重新連接到另一個實例以進行日誌審查。
C. 建 Amazon Elastic File System (Amazon EFS) 文件系統,並在自動擴展啓動模板的用戶數據部分添加一條命令,以便在創建 EC2 實例時加載 EFS 文件系統 在實例上配置一個進程,每天一次將日誌從實例 Amazon Elastic Block Store (Amazon EBS) 卷複製到 EFS 文件系統中的一個目錄。
D. 自動擴展組中使用的 AMI 中構建 Amazon CloudWatch 代理
E. 置 CloudWatch 代理將日誌發送到 Amazon CloudWatch Logs 以供審查。
F. 自動擴展生命周期內,在終止狀態轉換處添加一個生命周期鉤子,並通過向 Amazon Simple Notification Service (Amazon SNS) 發送生命周期通知來提醒工程團隊。配置鉤子,使其在 Terminating:Wait 狀態下保持 1 小時,以便在實例終止前手動查看安全日誌。
查看答案
正確答案: A
問題 #9
某公司有五個 IAM 賬戶,希望使用 IAM CloudTrail 記錄 API 調用。日誌文件必須存儲在亞馬遜 S3 存儲桶中,該存儲桶位於一個新賬戶中,該賬戶專爲集中式服務而建,並爲每條路徑設置了唯一的頂級前綴。配置還必須能夠檢測對日誌的任何修改。以下哪些步驟可以實現這些要求?(選擇三個)。
A. 單獨的 IAM 賬戶中創建一個新的 S3 存儲桶,用於集中存儲 CloudTrail 日誌,並在所有軌跡上啓用 "日誌文件驗證"。
B. 其中一個賬戶中使用現有的 S3 存儲桶,將存儲桶策略應用到新的集中式 S3 存儲桶,允許 CloudTrail 服務使用 "s3
C. 桶策略應用到新的集中式 S3 桶,允許 CloudTrail 服務使用 "s3 PutObject "操作和 "s3 GelBucketACL "操作,並爲 CloudTrail 跟蹤指定適當的資源 ARN。
D. 每個 IAM 賬戶中的路徑使用唯一的日誌文件前綴。
E. 集中賬戶中配置 CloudTrail,將所有賬戶登錄到新的集中 S3 存儲桶。
F. 用 IAM 密鑰管理服務對日誌文件進行加密
查看答案
正確答案: B
問題 #10
公司產品組合中的每個應用程序都有一個獨立的 IAM 賬戶,分別用於開發和生產。安全團隊希望防止根用戶和生產賬戶中的所有 IAM 用戶訪問一組特定的不需要的服務。他們如何控制這一功能?請選擇:
A. 建拒絕訪問服務的服務控制策略
B. 所有生產賬戶匯總到一個組織單位中
C. 政策應用於該組織單位。
D. 建拒絕訪問服務的服務控制策略
E. 策略應用到 root 帳戶。
F.
查看答案
正確答案: C
問題 #11
某公司將業務支持外包給一家外部公司。該公司的安全主管必須實施一個訪問解決方案,以最大限度地減少管理費用。安全主管應採取哪種方法來滿足這些要求?
A. 實施 Amazon Cognito 身份池,角色使用拒絕 Amazon Cognito API 管理相關操作的策略。
B. IAM 身份和訪問管理(IAM)與外部公司的身份提供商聯合起來 創建一個 IAM 角色,並附加具有必要權限的策略
C. 我的外部公司創建一個 IAM 組 爲該組添加一個拒絕 IAM 修改的策略 將證書安全地提供給永恆公司。
D. 用外部公司身份提供的 IAM SSO
E. 建一個 IAM 組映射到身份提供者用戶組,並附加一個具有必要權限的策略。
查看答案
正確答案: AE
問題 #12
貴公司的一個 EC2 實例受到威脅。您將採取哪些步驟來確保可以對該實例進行數字取證。請從以下選項中選擇 2 個答案:
A. 除應用於 Ec2 實例的角色
B. 建單獨的取證實例
C. 保安全組只允許與該取證實例通信
D. 止實例
查看答案
正確答案: B
問題 #13
最近的一次安全審計發現,一家公司的應用程序團隊將數據庫憑據注入到 IAM Fargate 任務的環境變量中。公司的安全策略規定,所有敏感數據在靜態和傳輸過程中都必須加密。安全團隊應採取哪些行動組合才能使應用程序符合安全策略?(請選擇三項)
A. 憑據安全地存儲在 Amazon S3 存儲桶中的文件中,並限制應用程序團隊 IAM 角色的訪問權限 要求應用程序團隊從 S3 對象中讀取憑據。
B. 建 IAM Secrets Manager 密鑰,並指定要存儲在該密鑰中的鍵/值對
C. 改應用程序,以便從 IAM Secrets Manager secret 而不是環境變量中提取憑證。
D. 容器實例 IAM 角色策略中添加以下語句
E. 執行角色策略中添加以下語句。
F. 錄 IAM Fargate 實例,創建腳本從 IAM Secret Manager 中讀取密文值,並注入環境變量 G。
查看答案
正確答案: B
問題 #14
您已爲公司的 IAM 賬戶啓用 Cloudtrail 日誌。此外,IT 安全部門提到日誌需要加密。如何實現?請選擇:
A. Cloudtrail 日誌啓用 SSL 證書
B. 需要做任何事情,因爲日誌已經加密
C. 跟蹤啓用服務器端加密
D. 目標 S3 存儲桶啓用服務器端加密
查看答案
正確答案: CE
問題 #15
一家公司最近從一起安全事故中恢復,該事故要求從快照中恢復亞馬遜 EC2 實例。在對其災難恢復程序和備份策略進行差距分析後,該公司擔心,如果 IAM 帳戶受到威脅,亞馬遜 EBS 快照被刪除,下次將無法恢復 EC2 實例。所有 EBS 快照都使用 IAM KMS CMK 加密。哪種解決方案可以解決這個問題?
A. 建新的 Amazon S3 存儲桶 使用 EBS 生命周期策略將 EBS 快照移動到新的 S3 存儲桶中
B. 用生命周期策略將快照移動到 Amazon S3 Glacier,並應用 Glacier Vault Lock 策略防止刪除
C. 用 IAM 系統管理器分發配置,將所有連接磁盤的本地備份執行到 Amazon S3。
D. 建一個權限有限的新 IAM 賬戶
E. 許新賬戶訪問用於加密 EBS 快照的 IAM KMS 密鑰,並定期將加密的快照複製到新賬戶中
F. 用 IAM 備份將 EBS 快照複製到 Amazon S3。
查看答案
正確答案: B
問題 #16
一名安全工程師被要求對網絡服務器的入站連接進行故障排除。這臺網絡服務器無法接收來自互聯網的入站連接,而其他所有網絡服務器均正常運行。架構包括網絡 ACL、安全組和虛擬安全設備。此外,開發團隊還實施了應用程序負載平衡器 (ALB),以在所有網絡服務器之間分配負載。要求網絡服務器與 iTunes 之間的流量必須保持穩定。
A. 證路由表中網絡服務器子網的 0
B. 證哪個安全組應用於特定網絡服務器的彈性網絡接口 (ENI)。
C. 證路由表中網絡服務器子網的 0
D. 證 ALB 中已註冊的目標。
E. 證公共子網中的 0
查看答案
正確答案: CD
問題 #17
某公司使用 IAM 組織管理 50 個 IAM 賬戶。財務人員以 IAM IAM 用戶身份登錄 FinanceDept IAM 賬戶。這些員工需要閱讀 MasterPayer IAM 賬戶中的合併賬單信息。他們不能查看 MasterPayer IAM 賬戶中的任何其他資源。已在 MasterPayer 賬戶中啓用了 IAM 賬單訪問權限。以下哪種方法可以授予財務人員所需的權限,而不會授予任何不必要的權限?
A. FinanceDept 賬戶中的財務用戶創建一個 IAM 組,然後將 IAM 管理的只讀訪問 IAM 策略附加到該組。
B. MasterPayer 賬戶中的財務用戶創建一個 IAM 組,然後將 IAM 管理的只讀訪問 IAM 策略附加到該組。
C. FinanceDept 賬戶中創建一個具有 ViewBilling 權限的 IAM IAM 角色,然後授予 MasterPayer 賬戶中的財務用戶承擔該角色的權限。
D. MasterPayer 賬戶中創建一個具有 ViewBilling 權限的 IAM IAM 角色,然後授予 FinanceDept 賬戶中的財務用戶承擔該角色的權限。
查看答案
正確答案: AD
問題 #18
某公司在連接到 Amazon EC2 實例的 Amazon EBS 卷上存儲數據。數據異步複製到 Amazon S3 存儲桶。EBS 卷和 S3 存儲桶均使用相同的 IAM KMS 客戶主密鑰 (CMK) 加密。一名前員工在離職前計劃刪除該 CMK。公司的開發人員運營部門在 CMK 被刪除後才得知此事。必須採取哪些措施來解決這種情況?
A. 加密卷從 EC2 實例分離之前,直接從 EBS 加密卷複製數據。
B. 用較早版本的 KMS 備份密鑰恢復 EBS 加密卷中的數據。
C. IAM 支持中心提出恢復 S3 加密數據的請求。
D. IAM 支持請求恢復已刪除的 CMK,並使用它來恢復數據。
查看答案
正確答案: B
問題 #19
一名員工不斷終止生產環境中的 EC2 實例。您認爲確保這種情況不會發生的最佳方法是增加一層額外的防禦,防止終止實例。確保該員工不會終止生產實例的最佳方法是什麼?請從以下選項中選擇 2 個正確答案:
A. 生產標識標籤標記實例,並爲員工用戶添加資源級權限,在終止 API 調用時明確拒絕使用生產 ta 的實例
B.
C. 生產標識標籤標記實例,並修改僱員組,使其只允許啓動停止和重啓 API 調用,而不允許終止實例調用。
D. 改用戶的 IAM 策略,要求在刪除 EC2 實例前進行 MFA,並禁用該員工的 MFA 訪問權限
E. 改用戶的 IAM 策略,在刪除 EC2 實例前要求 MFA
查看答案
正確答案: B
問題 #20
一位安全工程師在審查 IAM 密鑰管理服務 (IAM KMS) 密鑰策略時,在公司 IAM 賬戶的每個密鑰策略中都發現了這樣一條聲明。該聲明允許什麼?
A. 有 IAM 賬戶的所有負責人都要使用密鑰。
B. 有賬戶 111122223333 的 root 用戶才能使用密鑰。
C. 戶 111122223333 的所有負責人使用密鑰,但只能在 Amazon S3 上使用。
D. 有賬戶 111122223333 的委託人應用了 IAM 策略,允許訪問該密鑰,才能使用該密鑰。
查看答案
正確答案: C
問題 #21
一個分布式網絡應用程序安裝在兩個可用性區域公共子網中的多個 EC2 實例上。Apache 日誌顯示,在過去 6 個月中,來自第 7 層數百個 IP 地址的幾次間歇性暴力破解攻擊。今後減少這些攻擊潛在影響的最佳方法是什麼?
A. 用自定義路由表,防止惡意流量路由到實例。
B. 新安全組,拒絕來自源 IP 地址的流量。
C. 用網絡 ACL。
D. 每個實例上安裝入侵防禦軟件 (IPS)。
查看答案
正確答案: C
問題 #22
某公司希望在本地加密數據,同時滿足與密鑰耗盡相關的監管要求。任何加密密鑰都必須在經過 FlPS 驗證的硬件安全模塊 (HSM) 上生成。該公司非常注重成本,計劃平均每秒向 Amazon S3 上傳 100 個對象,以便在 5 個數據生產商之間持續運行 何種方法最有效地滿足公司的需求?
A. 用 IAM Encryption SDK 並將最長時間設置爲 10 天,將最少加密信息數量設置爲 3" 16
B. 用 IAM 密鑰管理服務 (IAM KMS) 生成 IAM 管理的 CM
C. 後使用 Amazon S3 客戶端加密,配置爲每個對象自動旋轉
D. 用 IAM CloudHSM 生成主密鑰和數據密鑰
E. 後在上傳對象前使用 Boto 3 和 Python 對數據進行本地加密 每隔 10 天或在 2" 16 個對象上傳到亞馬遜後旋轉數據密鑰 33
F. 用 Amazon S3 託管加密密鑰 (SSE-S3) 進行服務器端加密,並將主密鑰設置爲自動旋轉。
查看答案
正確答案: D
問題 #23
以下水桶政策的結果是什麼?請選擇正確答案:
A. 將允許對 mybucket 的所有訪問
B. 許 IAM 帳號 111111111 的用戶標記訪問所有存儲桶,但拒絕所有其他人訪問存儲桶
C. 將拒絕所有對 mybucket 文件桶的訪問
D. 不是
查看答案
正確答案: D

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.