不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

使用最新的 SCS-C02 練習題輕鬆通過 AWS 考試

通過訪問我們的備考資源和學習材料,您可以深入了解專業數據分類、AWS 數據保護機制、數據加密方法以及實現這些方法的 AWS 機制。我們的模擬考試模擬了實際的考試環境,使您能夠在考試條件下進行練習,並完善您的成功策略。準備 SPOTO AWS SCS-C02 考試對於尋求 AWS Certified Security - Specialty 認證的個人而言具有重大優勢。我們全面的考試問題和答案經過精心設計,涵蓋了關鍵主題,確保通過認證的個人能夠自信地在 AWS 雲中創建和實施安全解決方案。
參加其他線上考試
問題 #1
某公司正在使用 IAM 組織制定多賬戶安全聯網戰略。公司計劃爲共享服務、審計和安全檢查使用單獨的集中管理賬戶。公司計劃爲生產和開發環境的應用程序所有者提供幾十個額外賬戶。公司的安全策略要求,所有互聯網流量都必須通過安全檢查賬戶中的集中管理安全檢查層進行路由。安全工程師
A. 創建禁止更改特定 CloudTrail 跟蹤的 IAM 策略,並將該策略應用到 IAM 帳戶 root 用戶。
B. 在指定的目標帳戶中爲 CloudTrail 跟蹤創建一個 S3 桶策略,禁止源帳戶中的 IAM 帳戶 root 用戶更改配置。
C. 創建禁止更改特定 CloudTrail 跟蹤的 SCP,並將 SCP 應用到組織中的相應組織單位或帳戶。
D. 創建禁止更改特定 CloudTrail 跟蹤的 IAM 策略,並將該策略應用到新的 IAM 組。讓團隊成員使用屬於新 IAM 組的個人 IAM 帳戶。
查看答案
正確答案: C
問題 #2
安全架構師被要求審查現有的安全架構,並找出應用程序服務器無法成功啓動與數據庫服務器連接的原因。以下摘要描述了該架構:1 公共子網中配置了一個應用程序負載平衡器、一個互聯網網關和一個 NAT 網關。數據庫、應用程序和 Web 服務器分別配置在三個不同的專用子網中3。
A. 在公共 VPC 安全組中添加拒絕規則,阻止惡意 IP
B. 將惡意 IP 添加到 IAM WAF backhsted IP 中。
C. 置 Linux iptables 或 Windows 防火牆,阻止來自惡意 IP 的任何流量
D. 改 Amazon Route 53 中的託管區域,並爲惡意 IP 創建 DNS sinkhole
查看答案
正確答案: A
問題 #3
公司收到 AWS Abuse 團隊關於 AWS 帳戶的通知,通知顯示帳戶中的一個資源受到威脅。公司確定受到威脅的資源是一個託管網絡應用程序的 Amazon EC2 實例,受到威脅的 EC2 實例是 EC2 自動擴展組的一部分。EC2 實例使用 1AM 訪問密鑰和祕鑰訪問 Amazon S3 和 Amazon DynamoDB 資源。
A. 旋轉 EC2 實例使用的可能已損壞的訪問密鑰 創建一個沒有可能已損壞的憑據的新 AM I 執行 EC2 自動擴展實例刷新。
B. 刪除或停用可能泄露的訪問密鑰 創建 EC2 自動擴展鏈接的 1AM 角色,其中包括與可能泄露的訪問密鑰權限相匹配的自定義策略 將新的 1AM 角色與自動擴展組關聯 執行 EC2 自動擴展實例刷新。
C. elete or deactivate the potentially compromised access key Create a new AMI without the potentially compromised credentials Create an 1AM role that includes correct permissions Create a launch template for the Auto Scaling group to reference the new AMI and 1AM role Perform an EC2 Auto Scaling instance refresh
D. 旋轉可能已損壞的訪問密鑰 創建一個沒有可能已損壞的訪問密鑰的新 AMI 使用用戶數據腳本在自動擴展組的啓動配置中提供新訪問密鑰作爲環境變量 執行 EC2 自動擴展實例刷新。
查看答案
正確答案: C
問題 #4
您的首席技術官非常擔心 IAM 賬戶的安全性。如何才能最好地防止黑客完全劫持您的賬戶?
A. 根賬戶和所有管理員使用簡短但複雜的密碼。
B. 使用 IAM IAM Geo-Lock 並禁止除您所在城市以外的任何人登錄。
C. 所有用戶和賬戶使用 MFA,尤其是根賬戶。
D. 建 IAM 賬戶後,不要記下或記住 root 賬戶密碼。
查看答案
正確答案: C
問題 #5
某公司的雲運營團隊負責爲 IAM 跨賬戶訪問建立有效的安全性。該團隊要求安全工程師幫助排除故障,以解決爲什麼開發人員組中開發人員賬戶 (123456789012) 中的一些開發人員無法承擔跨賬戶角色 (ReadS3) 進入生產賬戶 (999999999999) 以讀取 Amazon S3 存儲桶 (productionapp) 中的內容。這兩個賬戶策略如下:安全工程師應提出哪些建議來解決這個問題?
A. 用 IAM 控制塔。修改默認的 "賬戶工廠 "網絡模板,以便通過 VPC 對等連接自動將新賬戶與集中管理的 VPC 關聯,並在默認路由表中創建到 VPC 對等的默認路由。創建拒絕 CreatelnternetGateway 操作的 SCP。將 SCP 附加到除安全檢查賬戶以外的所有賬戶。
B. 在安全檢查賬戶中創建集中管理的 VPC。在安全檢查賬戶和其他賬戶之間建立 VPC 對等連接。指示賬戶所有者在賬戶路由表中創建指向 VPC 對等網絡的默認路由。創建拒絕
C. 用 IAM 控制塔。修改默認賬戶工廠網絡模板,使新賬戶自動與集中管理的中轉網關關聯,並在默認路由表中創建一條到中轉網關的默認路由。創建一個拒絕 AttachlnternetGateway 操作的 SCP。將 SCP 附加到除安全檢查賬戶以外的所有賬戶。
D. 爲 IAM 組織啓用 IAM 資源訪問管理器 (IAM RAM)。創建共享中轉網關,並通過使用 IAM RAM 資源共享使其可用。創建拒絕 CreatelnternetGateway 操作的 SCP。在所有賬戶的路由表中創建指向共享中轉網關的路由。
查看答案
正確答案: AD
問題 #6
出於合規原因,安全工程師必須每周編寫一份報告,列出未應用最新批准補丁的任何實例。該工程師還必須確保沒有應用最新批准更新的系統不超過 30 天。
A. 使用 Amazon 檢查器確定哪些系統未應用最新補丁,並在 30 天后使用最新 AMI 版本重新部署這些實例
B. 配置 Amazon EC2 Systems Manager 以報告實例補丁合規性,並在定義的維護窗口期間執行更新。
C. xamine IAM CloudTrail togs to determine whether any instances have not restarted in the last 30 days, and redeploy those instances
D. 使用最新批准的補丁更新 AMls,並在定義的維護窗口期間重新部署每個實例。
查看答案
正確答案: B
問題 #7
在手動查看亞馬遜 Linux EC2 實例的系統日誌時,一名安全工程師注意到有一些 sudo 命令從未在亞馬遜 CloudWatch 日誌代理上正確發出警報或報告。
A. 有一個安全組阻止了 80 端口的出站流量,導致代理無法發送日誌。
B. EC2 實例上的 IAM 實例配置文件未正確配置,不允許 CloudWatch 日誌代理將日誌推送到 CloudWatch。
C. loudWatch 日誌狀態設置爲 ON(開啓)與 SECURE(安全),這將阻止它提取操作系統安全事件日誌。
D. VPC 要求所有流量都通過代理,而 CloudWatch 日誌代理不支持代理配置。
查看答案
正確答案: B
問題 #8
一家公司使用亞馬遜 API Gateway 向用戶展示 REST API。API 開發人員希望在不解析日誌文件的情況下分析 API 訪問模式。哪種步驟組合能最輕鬆地滿足這些要求?(請選擇兩個)。
A. 爲 AWS 賬戶配置 S3 Block Public Access 功能。
B. 爲桶中的所有對象配置 S3 塊公共訪問功能。
C. 桶中的對象停用 ACL。
D. 使用 AWS PrivateLink for Amazon S3 訪問存儲桶。
查看答案
正確答案: CD
問題 #9
一個開發團隊建立了一個實驗環境,以測試一個簡單的陳舊網絡應用程序。公共子網中只有一個應用程序負載平衡器、一個 NAT 網關和一個互聯網網關。有 3 種不同類型的服務器 每種服務器類型都有自己的安全組,只允許訪問所需的連接。每個安全組都有自己的入站和出站規則。
A. 用帶有亞馬遜默認密鑰(IAM EBS)的加密亞馬遜 EBS 卷
B. 用客戶提供的密鑰進行服務器端加密(SSE-C)
C. 用 IAM KMS 管理的密鑰(SSE-KMS)進行服務器端加密
D. 用 Amazon S3 託管密鑰 (SSE-S3) 進行服務器端加密
查看答案
正確答案: CEF
問題 #10
某公司在歐盟西部 1 區運行一個應用程序。該應用程序使用 IAM 密鑰管理服務 (IAM KMS) CMK 加密敏感數據。
A. 公司計劃在 eu-north-1 區域部署應用程序,安全工程師需要爲在新區域部署應用程序實施密鑰管理解決方案。爲了滿足這些要求,安全工程師應該對 IAM KMS 配置進行哪些更改?
B. 更新 eu-west-1 中的密鑰策略。將 eu-north-1 中的應用程序指向使用與 eu-west-1 中應用程序相同的 CMK。
C. 爲 eu-north-1 分配一個新的 CMK,供部署在該區域的應用程序使用。
D. 爲 eu-north-1 分配一個新的 CMK。爲兩個密鑰創建相同的別名。配置應用程序部署以使用密鑰別名。
E. 爲 eu-north-1 分配一個新的 CMK。爲 eu-'-1 創建別名。更改應用程序代碼,指向 eu-'-1 的別名。
查看答案
正確答案: B
問題 #11
一家醫療保健公司的審計員規定,所有數據卷都必須在靜態時加密 基礎設施主要通過 IAM CloudFormation 部署,但在一些遺留系統上需要使用第三方框架和手動部署。
A. ilter the event history on the exposed access key in CloudTrail console 檢查過去 11 天的數據。
B. 使用 IAM CLI 生成 IAM 憑據報告 提取過去 11 天的所有數據。
C. 使用 Amazon Athena 從 Amazon S3 查詢 CloudTrail 日誌 檢索過去 11 天中已暴露訪問密鑰的記錄。
D. 用 IAM 控制臺中的 "訪問顧問 "選項卡查看過去 11 天的所有訪問密鑰活動。
查看答案
正確答案: B
問題 #12
該公司正在設計一種解決方案,用於在 Amazon S3 上存儲客戶收據的掃描副本,文件格式爲 PDF,大小在 100 KB 到 5 MB 之間,每個零售店必須有一個唯一的加密密鑰,每個對象必須使用唯一的密鑰進行加密。
A. 爲每個零售店創建專用的 AWS 密鑰管理服務 (AWS KMS) 客戶管理密鑰 使用 S3 Put 操作將對象上傳到 Amazon S3 指定使用 AWS KMS 密鑰 (SSE-KMS) 和商店密鑰的密鑰 ID 進行服務器端加密。
B. 每天爲每個零售店創建一個新的 AWS 密鑰管理服務 (AWS KMS) 客戶管理密鑰 使用 KMS Encrypt 操作加密對象 然後將對象上傳到亞馬遜 S3
C. 每天爲每個零售店運行 AWS 密鑰管理服務 (AWS KMS) 生成數據密鑰操作 使用數據密鑰和客戶端加密來加密對象 然後將對象上傳到亞馬遜 S3
D. 使用 AWS Key Management Service (AWS KMS) ImportKeyMaterial 操作,每天爲每個零售店將新的密鑰材料導入 AWS KMS 使用客戶管理的密鑰和 KMS Encrypt 操作對對象進行加密 然後將對象上傳到 Amazon S3
查看答案
正確答案: A
問題 #13
某公司有一個 AWS Lambda 函數,用於從較大的圖像創建圖像縮略圖。哪些解決方案可爲 Lambda 函數提供這種訪問權限?(選擇兩個)。
A. 創建一個只有編程訪問權限的 IAM 用戶。創建新的訪問密鑰對。將環境變量添加到包含訪問密鑰 ID 和祕密訪問密鑰的 Lambda 函數中。修改 Lambda 函數,以便在運行時與 Amazon S3 通信時使用環境變量。
B. 生成 Amazon EC2 密鑰對。將私鑰存儲在 AWS Secrets Manager 中。修改 Lambda 函數,以便從 Secrets Manager 中檢索私鑰,並在與 Amazon S3 通信時使用私鑰。
C. 爲 Lambda 函數創建一個 IAM 角色。附加允許訪問 S3 存儲桶的 IAM 策略。
D. 爲 Lambda 函數創建一個 IAM 角色。將桶策略附加到 S3 桶,以允許訪問。指定函數的 IAM 角色爲委託人。
E. 創建一個安全組。將安全組附加到 Lambda 函數。附加一個桶策略,允許通過安全組 ID 訪問 S3 桶。
查看答案
正確答案: BE
問題 #14
某公司正在構建一個使用 AWS Lambda 函數的數據處理應用程序。該應用程序的 Lambda 函數需要與部署在同一 AWS 賬戶的 VPC 中的 Amazon RDS OB 實例通信,哪種解決方案能以最安全的方式滿足這些要求?
A. 配置 DB 實例以允許公共訪問 更新 DB 實例安全組以允許從 AWS 區域的 Lambda 公共地址空間進行訪問。
B. 在 VPC 內部署 Lambda 功能 爲 Lambda 子網附加網絡 ACL 僅爲 VPC CIDR 範圍提供出站規則訪問 更新 DB 實例安全組,允許來自 0
C. 在 VPC 內部署 Lambda 功能 爲 Lambda 功能附加一個安全組 僅爲 VPC CIDR 範圍提供出站規則訪問 更新 DB 實例安全組,以允許來自 Lambda 安全組的流量。
D. 將 Lambda 默認 VPC 與託管 DB 實例的 VPC 對等,以允許直接網絡訪問,而無需安全組。
查看答案
正確答案: C
問題 #15
一名開發人員在包含多個賬戶的 IAM 組織單位 (OU) 中登錄了一個新賬戶。安全工程師如何在不影響其他賬戶的情況下爲開發人員提供 Amazon $3 訪問權限?
A. 將 SCP 移至組織的根 OU,以消除訪問 Amazon $3 的限制。
B. 爲開發人員添加 IAM 策略,授予 3 美元的訪問權限。
C. 建一個新的 OU,但不應用限制 3 美元訪問權限的 SCP。將開發人員賬戶移至這個新的 OU。
D. 爲 3 美元服務的開發人員賬戶添加允許列表。
查看答案
正確答案: C
問題 #16
某公司在 VPC 的單個私有子網中擁有一組 Amazon EC2 實例,且未連接互聯網網關。一名安全工程師在該子網的所有實例上安裝了 Amazon CloudWatch 代理,以捕獲來自特定應用程序的日誌。爲確保日誌的安全流動,公司的網絡團隊爲 CloudWatch 監控和 CloudWatch 日誌創建了 VPC 端點。網絡團隊已將端點連接到 VPC。但是,當
A. 確保連接到 EC2 實例的 EC2 實例配置文件具有創建日誌流和寫日誌的權限。
B. 在日誌上創建度量過濾器,以便在 AWS 管理控制臺中查看日誌。
C. 檢查每個 EC2 實例上的 CloudWatch 代理配置文件,確保 CloudWatch 代理正在收集適當的日誌文件。
D. 檢查兩個 VPC 端點的 VPC 端點策略,確保 EC2 實例有使用權限。
E. 在子網中創建一個 NAT 網關,以便 EC2 實例能夠與 CloudWatch 通信。
查看答案
正確答案: ACD
問題 #17
Amazon GuardDuty 檢測到一家公司的 Amazon EC2 實例與一個已知的命令和控制端點進行通信。發現該實例正在運行一個有漏洞的通用 Web 框架版本。該公司的安全運營團隊希望快速識別安裝了該框架特定版本的其他計算資源。該團隊應採取哪種方法來完成這項任務?
A. 掃描所有 EC2 實例,檢查是否不符合 IAM 配置。使用 Amazon Athena 查詢框架安裝的 IAM CloudTrail 日誌。
B. 使用 Amazon Inspector 網絡可達性規則包掃描所有 EC2 實例,以識別運行具有 RecognizedPortWithListener 發現的網絡服務器的實例。
C. 使用 IAM 系統管理器掃描所有 EC2 實例,以識別網絡框架的易受攻擊版本。
D. 用 IAM 資源訪問管理器掃描 EC2 實例,以識別網絡框架的易受攻擊版本。
查看答案
正確答案: C
問題 #18
您在 IAM 中定義了一個 S3 存儲桶。您想確保在通過網絡發送數據之前對其進行加密。
A. 爲 S3 存儲桶啓用服務器端加密。該請求將確保首先對數據進行加密。
B. 用 IAM 加密 CLI 首先加密數據。
C. 用 Lambda 函數加密數據,然後再將其發送到 S3 存儲桶。
D. 爲桶啓用客戶端加密。
查看答案
正確答案: B
問題 #19
承包商的 IAM 帳戶不得訪問任何其他 IAM 服務,即使該 IAM 帳戶已根據 IAM 組的成員資格分配了額外權限。
A. 創建一個 mime IAM 用戶策略,允許承包商的 IAM 用戶訪問 Amazon EC2。
B. 創建一個 IAM 權限邊界策略,允許 Amazon EC2 通過 IAM 權限邊界策略訪問承包商的 IAM 賬戶。
C. 創建一個 IAM 組,並附加允許 Amazon EC2 訪問的策略 將承包商的 IAM 賬戶與 IAM 組關聯。
D. 創建一個 IAM 角色,允許 EC2 並明確拒絕所有其他服務 指示承包商始終擔任此角色。
查看答案
正確答案: B
問題 #20
貴公司使用 IAM 託管其資源。他們有以下要求:1)記錄所有 API 調用和轉換。2)幫助了解賬戶中有哪些資源。3)允許審計憑證和登錄的功能 哪些服務可以滿足上述要求。
A. IAM 檢查員、CloudTrail、IAM 憑證報告。
B. CloudTrail。IAM 憑證報告、IAM SNS
C. loudTrail、IAM 配置、IAM 憑據報告。
D. IAM SQS、IAM 憑證報告、CloudTrail。
查看答案
正確答案: C
問題 #21
某公司的內部部署網絡通過 IAM Direct Connect 網關連接到 VPC。該公司的內部部署應用程序需要使用現有的 Amazon Kinesis Data Firehose 交付流來傳輸數據。公司的安全策略要求數據在傳輸過程中使用專用網絡進行加密。公司應如何滿足這些要求?
A. 創建一個 VPC 端點 tor Kinesis Data Firehose。配置應用程序以連接到 VPC 端點。
B. 配置 IAM 策略,限制使用源 IP 訪問 Kinesis Data Firehose 條件。
C. 在 IAM 證書管理器 (ACM) 中創建新的 TLS 證書。創建面向公衆的網絡負載平衡器 (NLB),並選擇新創建的 TLS 證書。配置 NLB,將所有流量轉發到 Kinesis Data Firehose。配置應用程序以連接到 NLB。
D. 使用 Direct Connect 將內部網絡與 Kinesis Data Firehose VPC 對等。配置應用程序以連接到現有的 Firehose 交付流。
查看答案
正確答案: A
問題 #22
某公司在一組 Amazon EC2 實例上部署了一個分布式網絡應用程序。機羣位於應用程序負載平衡器 (ALB) 的後面,該負載平衡器將被配置爲終止 TLS 連接。即使證書私鑰被泄露,ALB 的所有 TLS 流量也必須保持安全。安全工程師如何才能滿足這一要求?
A. 創建一個 HTTPS 監聽器,使用由 IAM 證書管理器 (ACM) 管理的證書。
B. 創建一個 HTTPS 監聽器,該監聽器使用的安全策略是具有完美保密性 (PFS) 的密碼套件。
C. 建一個 HTTPS 監聽器,使用服務器命令首選項安全功能。
D. 建一個使用自定義安全策略的 TCP 監聽器,該策略只允許使用具有完美前向保密性 (PFS) 的密碼套件。
查看答案
正確答案: A
問題 #23
某公司使用 Amazon S3 存儲桶來存儲報告 管理層規定,存儲在該存儲桶中的所有新對象都必須使用與 S3 存儲桶屬於同一賬戶的客戶指定 IAM 密鑰管理服務 (IAM KMS) CMK 在靜態時使用服務器端加密。IAM 賬號是 111122223333,而桶的名稱是報告桶。公司的安全專家必須編寫 S3 桶策略,以確保任務可以執行。
A. 使用 IAM 密鑰管理服務 (IAM KMS) tor 加密在安全賬戶中創建 CodeCommit 資源庫 要求開發團隊將 Lambda 源代碼遷移到此資源庫。
B. 將 API 密鑰存儲在安全帳戶中的 Amazon S3 存儲桶中,使用 Amazon S3 管理的加密密鑰 (SSE-S3) 進行服務器端加密,以加密密鑰。
C. 用 IAM 密鑰管理服務 (IAM KMS) 在安全賬戶的 IAM Secrets Manager 中創建一個祕密,以存儲 API 密鑰。
D. Lambda 函數創建加密環境變量,使用 IAM 密鑰管理服務 (IAM KMS) 加密存儲 API 密鑰 授予 Lambda 函數使用的 IAM 角色訪問權限,以便函數可以在運行時解密密鑰。
查看答案
正確答案: D
問題 #24
應用團隊希望使用 IAM 證書管理器 (ACM) 申請公共證書,以確保數據在傳輸過程中的安全。該應用團隊希望使用 IAM 管理的分發和緩存解決方案來優化對其系統的請求,並爲客戶提供更好的存在點。分發解決方案將使用自定義的主域名。
A.
B.
C.
查看答案
正確答案: CDF
問題 #25
一家公司需要將圖格數據存檔保留數年,以符合法規要求。要滿足這些要求,最安全和最具成本效益的解決方案是什麼?
A. 將數據歸檔到 Amazon S3,並應用限制性桶策略來拒絕 s3 DeleteOotect API
B. 將數據歸檔到 Amazon S3 Glacier 並應用 Vault Lock 策略。
C. 數據歸檔到 Amazon S3,並複製到第二個 IAM 區域中的第二個存儲桶 選擇 S3 標準-頻繁訪問 (S3 Standard-1A) 存儲類,並應用限制性存儲桶策略,以拒絕使用 s3 DeleteObject API
D. 將日誌數據遷移到 16 T8 Amazon Elastic Block Store (Amazon EBS) 卷創建 EBS 卷快照。
查看答案
正確答案: B
問題 #26
某公司希望確保其 IAM 資源只能在 us-east-1 和 us-west- 2 區域啓動。什麼是操作效率最高的解決方案,可以防止開發人員在其他區域啓動 Amazon EC2 實例?
A. 在數據庫 VPC 中創建一個新的安全組,並創建一個允許來自應用程序 VPC IP 地址範圍的所有流量的入站規則。在數據庫子網上添加新的網絡 ACL 規則。將該規則配置爲來自應用程序 VPC IP 地址範圍的 TCP 端口 1521。將新的安全組附加到應用程序實例需要訪問的數據庫實例。
B. 應用程序 VPC 中創建一個新的安全組,其入站規則允許通過 TCP 端口 1521 訪問數據庫 VPC 的 IP 地址範圍。在數據庫 VPC 中創建一個新的安全組,其入站規則允許通過端口 1521 訪問應用程序 VPC 的 IP 地址範圍。將新安全組附加到數據庫實例和需要訪問數據庫的應用程序實例。
C. 在應用程序 VPC 中創建一個沒有入站規則的新安全組。在數據庫 VPC 中創建一個新的安全組,其中包含一條入站規則,允許來自應用程序 VPC 中新的應用程序安全組的 TCP 端口 1521 將應用程序安全組附加到需要數據庫訪問的應用程序實例,並將數據庫安全組附加到數據庫實例。
D. 應用程序 VPC 中創建一個新的安全組,其中的入站規則允許通過 TCP 端口 1521 訪問數據庫 VPC 的 IP 地址範圍。在數據庫子網上添加新的網絡 ACL 規則。將新安全組附加到需要訪問數據庫的應用程序實例。
查看答案
正確答案: C
問題 #27
某公司在歐盟西部 1 區運行一個應用程序。該應用程序使用 IAM 密鑰管理服務 (IAM KMS) CMK 加密敏感數據。
A. 公司計劃在 eu-north-1 區域部署應用程序,安全工程師需要爲在新區域部署應用程序實施密鑰管理解決方案。爲了滿足這些要求,安全工程師應該對 IAM KMS 配置進行哪些更改?
B. 更新 eu-west-1 中的密鑰策略。將 eu-north-1 中的應用程序指向使用與 eu-west-1 中應用程序相同的 CMK。
C. 爲 eu-north-1 分配一個新的 CMK,供部署在該區域的應用程序使用。
D. 爲 eu-north-1 分配一個新的 CMK。爲兩個密鑰創建相同的別名。配置應用程序部署以使用密鑰別名。
E. 爲 eu-north-1 分配一個新的 CMK。爲 eu-'-1 創建別名。更改應用程序代碼,指向 eu-'-1 的別名。
查看答案
正確答案: B
問題 #28
某公司的安全團隊收到一封來自亞馬遜 EC2 濫用團隊的電子郵件通知,稱該公司的一個或多個亞馬遜 EC2 實例可能已被入侵。安全團隊應採取哪種行動組合來應對(是當前的調製解調器? 選擇兩項。
A. 使用 Amazon CloudWatch 監控來捕獲 Amazon EC2 和網絡指標 使用 Amazon CloudWatch 面板可視化指標。
B. 行 Amazon Kinesis Agent 將狀態數據寫入 Amazon Kinesis Data Firehose 在 Amazon Redshift 中存儲來自 Kinesis Data Firehose 的流數據。(在池數據上運行腳本並在 Amazon Redshift 中分析數據。
C. 狀態數據從健康檢查組件直接寫入公共 Amazon S3 存儲桶 配置 S3 事件以調用 IAM Lambda 函數分析數據。
D. 從健康檢查組件生成事件並將其發送到 Amazon CloudWatch Events。將狀態數據作爲事件有效載荷。使用 CloudWatch Events 規則調用 IAM Lambda 函數分析數據。
查看答案
正確答案: DE
問題 #29
公司收到 AWS Abuse 團隊關於 AWS 帳戶的通知,通知顯示帳戶中的一個資源受到威脅。公司確定受到威脅的資源是一個託管網絡應用程序的 Amazon EC2 實例,受到威脅的 EC2 實例是 EC2 自動擴展組的一部分。EC2 實例使用 1AM 訪問密鑰和祕鑰訪問 Amazon S3 和 Amazon DynamoDB 資源。
A. 旋轉 EC2 實例使用的可能已損壞的訪問密鑰 創建一個沒有可能已損壞的憑據的新 AM I 執行 EC2 自動擴展實例刷新。
B. 刪除或停用可能泄露的訪問密鑰 創建 EC2 自動擴展鏈接的 1AM 角色,其中包括與可能泄露的訪問密鑰權限相匹配的自定義策略 將新的 1AM 角色與自動擴展組關聯 執行 EC2 自動擴展實例刷新。
C. elete or deactivate the potentially compromised access key Create a new AMI without the potentially compromised credentials Create an 1AM role that includes correct permissions Create a launch template for the Auto Scaling group to reference the new AMI and 1AM role Perform an EC2 Auto Scaling instance refresh
D. 旋轉可能已損壞的訪問密鑰 創建一個沒有可能已損壞的訪問密鑰的新 AMI 使用用戶數據腳本在自動擴展組的啓動配置中提供新訪問密鑰作爲環境變量 執行 EC2 自動擴展實例刷新。
查看答案
正確答案: C
問題 #30
某公司正在使用 Amazon Elastic Container Service(Amazon ECS)部署一個處理敏感數據的應用程序,在最近的一次安全審計中,該公司發現了一個安全問題,即 Amazon RDS 憑據與應用程序代碼一起存儲在公司的源代碼庫中。安全工程師需要制定解決方案,確保數據庫憑據的安全存儲和定期輪換。
A. 使用 IAM 系統管理器參數存儲生成數據庫憑據。爲 ECS 任務使用 IAM 配置文件,限制只有特定容器才能訪問數據庫憑據。
B. 用 IAM Secrets Manager 來存儲數據庫憑證。爲 ECS 任務使用 IAM 內聯策略,限制只有特定容器才能訪問數據庫憑據。
C. 用 IAM 系統管理器參數存儲來存儲數據庫憑據。爲 ECS 任務使用 IAM 角色,以限制對數據庫憑據的訪問,僅限特定容器。
D. 用 IAM Secrets Manager 來存儲數據庫憑證。爲 ECS 任務使用 IAM 角色,以限制只有特定容器才能訪問數據庫憑據。
查看答案
正確答案: D
問題 #31
一家公司的首席安全官要求安全分析師審查並改進公司每個 IAM 帳戶的安全狀況。安全分析師決定通過改進 IAM 帳戶根用戶的安全性來實現這一目標。(選擇三項)。
A. 據庫服務器上的出站 SG 配置 應用服務器上的入站 SG 配置 數據庫子網上的入站和出站網絡 ACL 配置 應用服務器子網上的入站和出站網絡 ACL 配置。
B. 數據庫服務器上的入站 SG 配置 應用程序服務器上的出站 SG 配置 數據庫子網上的入站和出站網絡 ACL 配置 應用程序服務器子網上的入站和出站網絡 ACL 配置。
C. 數據庫服務器上的入站和出站 SG 配置 應用服務器上的入站和出站 SG 配置 數據庫子網上的入站網絡 ACL 配置 應用服務器子網上的出站網絡 ACL 配置。
D. 數據庫服務器上的入站 SG 配置 應用服務器上的出站 SG 配置 數據庫子網上的入站網絡 ACL 配置 應用服務器子網上的出站網絡 ACL 配置。
查看答案
正確答案: ADE
問題 #32
一家公司在 AWS 賬戶中部署了一套標準 IAM 角色。IAM 角色基於公司內部的工作職能。爲了平衡運營效率和安全性,安全工程師實施了 AWS 組織 SCP,以限制對所有公司賬戶中關鍵安全服務的訪問。安全工程師需要確保沒有人可以禁用 Amazon GuardDuty 和 AWS Security Hu
A. 選項。
B. ption
C. ption
D. 項 D
查看答案
正確答案: A
問題 #33
貴公司剛剛在一個 VPC 中建立了一個新的中央服務器。要求服務器位於同一地區不同 VPC 的其他團隊連接到中央服務器。
A. 在中央服務器 VPC 和每個團隊 VPC 之間建立 VPC 對等。
B. 在中央服務器 VPC 和每個團隊 VPC 之間建立 IAM DirectConnect。
C. 中央服務器 VPC 和每個團隊 VPC 之間建立 IPSec 通道。
D. 上選項都不可行。
查看答案
正確答案: A
問題 #34
某公司希望建立單獨的 IAM 密鑰管理服務 (IAM KMS) 密鑰,用於不同的 IAM 服務。該公司的安全工程師創建了以下密鑰策略,允許基礎架構部署團隊使用 InfrastructureDeployment IAM 角色創建加密的 Amazon Elastic Block Store (Amazon EBS) 卷:安全工程師最近發現,除 InfrastructureDeployment 角色外,其他 IAM 角色也使用了此密鑰(或其他服務)。
A. 在包含 Sid "允許使用鍵 "的語句塊中,將 "條件 "塊下的 StringEquals 更改爲 StringLike。
B. 在策略文檔中,刪除包含 Sid "啓用 IAM 用戶權限 "的語句 Dlock。在 KMS 策略中添加密鑰管理策略。
C. 在包含 Sid "允許使用密鑰 "的語句塊中,在 "條件 "塊下,將 Kms:ViaService 值更改爲 ec2
D. 在策略文檔中,添加一個新的語句塊,爲安全工程師的 IAM 角色授予 "kms:禁用 "權限。
查看答案
正確答案: C
問題 #35
某公司在其 IAM 賬戶的單個 VPC 中託管多個應用程序。這些應用程序在與 IAM WAF Web ACL 相關聯的應用程序負載平衡器後面運行。公司的安全團隊發現多個端口掃描來自互聯網上的特定 IP 地址範圍。安全工程師需要拒絕來自違規 IP 地址的訪問。
A. 使用 IP 集匹配規則語句修改 IAM WAF Web ACL,拒絕來自 IP 地址範圍的傳入請求。
B. 在所有安全組中添加一條規則,拒絕來自 IP 地址範圍的傳入請求。
C. 使用基於速率的規則語句修改 IAM WAF Web ACL,拒絕來自 IP 地址範圍的傳入請求。
D. 用 regex 匹配條件配置 IAM WAF Web ACL。根據匹配條件指定拒絕傳入請求的模式集。
查看答案
正確答案: A
問題 #36
Amazon GuardDuty 檢測到一家公司的 Amazon EC2 實例與一個已知的命令和控制端點進行通信。發現該實例正在運行一個有漏洞的通用 Web 框架版本。該公司的安全運營團隊希望快速識別安裝了該框架特定版本的其他計算資源。該團隊應採取哪種方法來完成這項任務?
A. 掃描所有 EC2 實例,檢查是否不符合 IAM 配置。使用 Amazon Athena 查詢框架安裝的 IAM CloudTrail 日誌。
B. 使用 Amazon Inspector 網絡可達性規則包掃描所有 EC2 實例,以識別運行具有 RecognizedPortWithListener 發現的網絡服務器的實例。
C. 使用 IAM 系統管理器掃描所有 EC2 實例,以識別網絡框架的易受攻擊版本。
D. 用 IAM 資源訪問管理器掃描 EC2 實例,以識別網絡框架的易受攻擊版本。
查看答案
正確答案: C
問題 #37
某公司在其 IAM 賬戶的單個 VPC 中託管多個應用程序。這些應用程序在與 IAM WAF Web ACL 相關聯的應用程序負載平衡器後面運行。公司的安全團隊發現多個端口掃描來自互聯網上的特定 IP 地址範圍。安全工程師需要拒絕來自違規 IP 地址的訪問。
A. 使用 IP 集匹配規則語句修改 IAM WAF Web ACL,拒絕來自 IP 地址範圍的傳入請求。
B. 在所有安全組中添加一條規則,拒絕來自 IP 地址範圍的傳入請求。
C. 使用基於速率的規則語句修改 IAM WAF Web ACL,拒絕來自 IP 地址範圍的傳入請求。
D. 用 regex 匹配條件配置 IAM WAF Web ACL。根據匹配條件指定拒絕傳入請求的模式集。
查看答案
正確答案: A
問題 #38
公司政策要求所有加密密鑰每年輪換一次,安全工程師應如何做才能滿足該客戶管理密鑰的要求?
A. 爲現有客戶管理的密鑰啓用每年一次的自動密鑰輪換。
B. 使用 AWS CLI 創建一個 AWS Lambda 函數,每年輪換現有的客戶管理密鑰。
C. 將新密鑰材料導入現有客戶管理密鑰 手動旋轉密鑰。
D. 創建新的客戶管理密鑰 將新的密鑰材料導入新密鑰 將密鑰別名指向新密鑰。
查看答案
正確答案: A
問題 #39
您的開發團隊正在使用訪問密鑰開發一個可以訪問 S3 和 DynamoDB 的應用程序。新的安全策略規定,憑據的有效期不得超過 2 個月,並應輪換使用。如何才能做到這一點?
A. 過 SDK 使用應用程序每兩個月輪換一次鑰匙
B. 使用腳本查詢密鑰的創建日期。如果超過 2 個月,則創建新的訪問密鑰,並更新所有應用程序以使用該密鑰。
C. 每 2 個月刪除與密鑰相關聯的用戶。然後重新創建用戶。
D. 每 2 個月後刪除與密鑰相關聯的 IAM 角色。然後重新創建 IAM 角色。
查看答案
正確答案: B
問題 #40
一家公司的開發人員使用 SSH 密鑰訪問多個 Amazon EC2 實例。公司發現該 SSH 密鑰已發布在公共 GitHub 存儲庫中。安全工程師核實該密鑰最近未被使用過。安全工程師應如何防止未經授權訪問 EC2 實例?
A. 從 EC2 控制臺刪除密鑰對。創建新的密鑰對。
B. 使用 ModifylnstanceAttribute API 操作來更改使用密鑰的 EC2 實例的密鑰。
C. 制安全組中的 SSH 訪問權限,只能訪問已知的企業 IP 地址。
D. 更新用於啓動 EC2 實例的任何 AMI 中的密鑰對。重新啓動 EC2 實例。
查看答案
正確答案: C
問題 #41
某公司在 Amazon EC2 上託管了一個應用程序,該應用程序必須遵守特定的合規規則。其中一條規則規定,必須對進出工作負載的流量進行網絡級攻擊檢查。爲了遵守這一監管規則,安全工程師必須在 c5n.4xlarge EC2 實例上安裝入侵檢測軟件。然後,工程師必須配置該軟件,以監控進出應用程序實例的流量。
A. 將網絡接口置於混雜模式,以捕獲流量。
B. 配置 VPC 流量日誌,使用網絡負載平衡器將流量發送到監控 EC2 實例。
C. 配置 VPC 流量鏡像,使用網絡負載平衡器將流量發送到監控 EC2 實例。
D. 用 Amazon Inspector 檢測網絡級攻擊,並觸發 IAM Lambda 函數將可疑數據包發送到 EC2 實例。
查看答案
正確答案: D
問題 #42
您在一家使用 IAM 資源的公司工作。關鍵安全策略之一是確保所有數據在靜態和傳輸過程中都經過加密。
A. 使用 S3 SSE 並對傳輸中的數據使用 SSL。
B. 在 ELB 上終止 SSL
C. 用代理協議
D. 負載平衡器上啓用粘性會話
查看答案
正確答案: A
問題 #43
該卷使用公司安全團隊創建的 AWS 密鑰管理服務 (AWS KMS) 客戶管理密鑰加密。
A. 組織中爲 AWS 系統管理器配置受信任訪問 從管理帳戶配置 bastion 主機 通過使用系統管理器會話管理器從管理帳戶替換 SSH 和 RDP 配置會話管理器日誌到 Amazon CloudWatch 日誌。
B. AWS 系統管理器會話管理器取代 SSH 和 RDP 在實例上安裝系統管理器代理(SSM Agent) 附加。
C. mazonSSMManagedlnstanceCore 角色到實例 配置會話數據流到 Amazon CloudWatch 日誌 創建具有適當跨帳戶權限的單獨日誌記錄帳戶,以審核日誌數據。
D. 在管理帳戶中安裝 bastion 主機 重新配置所有 SSH 和 RDP,使其只允許從 bastion 主機訪問 在 bastion 主機上安裝 AWS 系統管理器代理(SSM 代理) 將 AmazonSSMManagedlnstanceCore 角色附加到 bastion 主機 在單獨的日誌帳戶中將會話數據流配置到 Amazon CloudWatch 日誌,以審核日誌數據。
E. 使用 AWS 系統管理器狀態管理器替換 SSH 和 RDP 在實例上安裝系統管理器代理 (SSM Agent) 將 AmazonSSMManagedlnstanceCore 角色附加到實例 配置會話數據流到 Amazon CloudTrail 使用 CloudTrail Insights 分析跟蹤數據。
查看答案
正確答案: CD
問題 #44
貴公司使用 IAM 託管其資源。他們有以下要求:1)記錄所有 API 調用和轉換。2)幫助了解賬戶中有哪些資源。3)允許審計憑證和登錄的功能 哪些服務可以滿足上述要求。
A. IAM 檢查員、CloudTrail、IAM 憑證報告。
B. CloudTrail。IAM 憑證報告、IAM SNS
C. loudTrail、IAM 配置、IAM 憑據報告。
D. IAM SQS、IAM 憑證報告、CloudTrail。
查看答案
正確答案: C
問題 #45
一個應用程序團隊申請了一個新的 IAM KMS 主密鑰,用於 Amazon S3,但組織的安全策略要求不同的 IAM 服務使用不同的主密鑰,以限制爆炸半徑。
A. 配置 CMK 密鑰策略,只允許 Amazon S3 服務使用 kms Encrypt 操作
B. 配置 CMK 密鑰策略,只有當 kms ViaService 條件與 Amazon S3 服務名稱相匹配時,才允許 IAM KMS 操作。
C. 置 IAM 用戶策略,允許 KMS 將密碼傳給 Amazon S3
D. 置 IAM 用戶策略,使其在與 CMK 結合時只允許 Amazon S3 操作
查看答案
正確答案: B
問題 #46
某公司需要一名安全工程師爲多賬戶身份驗證和授權實施一個可擴展的解決方案。該解決方案不應引入額外的用戶管理架構組件。安全工程師已經建立了 IAM 組織,激活了所有功能並啓用了 IAM SSO。
A. 使用 AD Connector 爲需要訪問 IAM 賬戶的所有員工創建用戶和組。將 AD Connector 組分配給 IAM 帳戶,並根據員工的工作職能和訪問要求鏈接到 IAM 角色 指導員工使用 IAM 目錄服務用戶門戶訪問 IAM 帳戶。
B. 用 IAM SSO 默認目錄爲需要訪問 IAM 賬戶的所有員工創建用戶和組。根據員工的工作職能和訪問要求,爲 IAM 賬戶分配組並鏈接到權限集。指導員工使用 IAM SSO 用戶門戶訪問 IAM 帳戶。
C. 用 IAM SSO 默認目錄爲需要訪問 IAM 賬戶的所有員工創建用戶和組。將 IAM SSO 組鏈接到所有賬戶中的 IAM 用戶,以繼承現有權限。指導員工使用 IAM SSO 用戶門戶訪問 IAM 帳戶。
D. 使用 IAM 目錄服務 tor Microsoft Active Directory 爲需要訪問 IAM 帳戶的所有員工創建用戶和組 在創建的目錄中啓用 IAM 管理控制臺訪問,並指定 IAM SSO 作爲集成帳戶和權限集的信息來源。指導員工使用 IAM 目錄服務用戶門戶訪問 IAM 帳戶。
查看答案
正確答案: B
問題 #47
一家醫療保健公司的審計員規定,所有數據卷都必須在靜態時加密 基礎設施主要通過 IAM CloudFormation 部署,但在一些遺留系統上需要使用第三方框架和手動部署。
A. ilter the event history on the exposed access key in CloudTrail console 檢查過去 11 天的數據。
B. 使用 IAM CLI 生成 IAM 憑據報告 提取過去 11 天的所有數據。
C. 使用 Amazon Athena 從 Amazon S3 查詢 CloudTrail 日誌 檢索過去 11 天中已暴露訪問密鑰的記錄。
D. 用 IAM 控制臺中的 "訪問顧問 "選項卡查看過去 11 天的所有訪問密鑰活動。
查看答案
正確答案: B
問題 #48
一家大型企業正在制定多賬戶戰略,需要確定員工應如何訪問 IAM 基礎設施。
A. 在每個 IAM 帳戶中創建專用的 IAM 用戶,員工可根據其現有身份提供商中的組成員身份,通過聯盟方式使用這些用戶。
B. 用具有 IAM 角色的集中賬戶,員工可通過與現有身份提供商的聯合來承擔這些角色 使用跨賬戶角色,讓聯合用戶在資源賬戶中承擔其目標角色。
C. 將 IAM 安全令牌服務配置爲使用 Kerberos 令牌,這樣用戶就可以使用現有的企業用戶名和密碼直接訪問 IAM 資源。
D. 每個賬戶的角色中配置 IAM 信任策略,以建立對公司現有身份提供商的信任,允許用戶根據其 SAML 標記承擔角色。
查看答案
正確答案: B
問題 #49
某公司有兩個團隊,每個團隊都需要訪問各自的 Amazon S3 存儲桶。公司預計將增加更多團隊,這些團隊也將擁有自己的 S3 存儲庫。當公司增加這些團隊時,團隊成員將需要被分配到多個團隊的能力。團隊成員還需要具備更換團隊的能力。IAM 管理員必須設計一個解決方案來實現這些目標。該解決方案還必須具有可擴展性,並且必須滿足以下要求
A. 將用戶添加到代表團隊的組中。爲每個團隊創建一個策略,只允許團隊訪問各自的 S3 存儲桶。將策略附加到相應的組。
B. 爲每個團隊創建一個 IAM 角色。爲每個團隊創建一個策略,只允許團隊訪問各自的 S3 存儲桶。將策略附加到相應的角色。
C. 建標有團隊訪問標籤值的 IAM 角色。創建一個允許動態訪問具有相同標籤的 S3 存儲桶的策略。將策略附加到 IAM 角色。相應地標記 S3 存儲桶。
D. 施基於角色的訪問控制(RBAC)授權模型。創建相應的策略,並將其附加到 IAM 用戶。
查看答案
正確答案: A
問題 #50
某組織有一個多 PB 的工作負載,它正在將其轉移到 Amazon S3,但 CISO 擔心加密磨損和密鑰泄露時的爆炸半徑。CISO 如何確保 IAM KMS 和 Amazon S3 能夠解決這些問題?(選擇兩項)
A. 用 Amazon 認證管理器管理的證書的 HTTPS 監聽器。
B. 用自定義安全策略的 HTTPS 監聽器,只允許使用完美前向保密密碼套件。
C. 用最新 IAM 預定義 ELBSecuntyPolicy-TLS-1 -2-2017-01 安全策略的 HTTPS 監聽器。
D. 用自定義安全策略的 TCP 監聽器,只允許使用完美前向保密密碼套件。
查看答案
正確答案: CE
問題 #51
某公司在 AWS 組織中擁有一個帶有 SCP 的組織。該組織的根 SCP 如下:該公司的開發人員是一個組的成員,該組的 IAM 策略通過允許 ses.* 操作來訪問 Amazon Simple Email Service (Amazon SES)。該賬戶是擁有允許 Amazon SES 的 SCP 的 OU 的子賬戶。當開發人員嘗試通過 AWS 管理控制臺訪問 Amazon SES 時,會收到未授權錯誤。
A. 添加一個資源策略,允許組內每個成員訪問 Amazon SES。
B. 添加允許 "Principal"{'AWS'
C. 移除限制訪問 Amazon SES 的 AWS 控制塔控件(護欄)。
D. 從根 SCP 中刪除 Amazon SES。
查看答案
正確答案: D
問題 #52
事件響應團隊正在調查一起 IAM 訪問密鑰泄漏事件,該事件導致 Amazon EC2 實例被啓動。信息安全總監希望實施新的控制措施,以便在今後發生類似事件時發出警報。公司應實施哪些控制措施來實現這一目標?{請選擇兩項。)
A. 3 存儲桶策略沒有明確允許安全工程師訪問存儲桶中的對象。
B. 沒有更新對象 ACL,以允許集中賬戶內的用戶訪問對象。
C. 全工程師的 IAM 策略沒有授予讀取 S3 存儲桶中對象的權限。
D. 在 S3 存儲桶級別應用 s3:PutObject 和 s3:PutObjectAcl 權限。
查看答案
正確答案: AE
問題 #53
一名安全工程師正在排除某公司自定義日誌應用程序的故障。應用程序日誌被寫入 Amazon S3 存儲桶,並啓用了事件通知功能,以便將事件發送到 Amazon SNS 主題。所有日誌均使用 IAM KMS CMK 進行靜態加密。SNS 主題訂閱了加密的 Amazon SQS 隊列。日誌應用程序會輪詢隊列,以獲取包含 S3 對象元數據的新消息。然後,應用程序從 S3 存儲桶中讀取對象的內容,以便
A. 在 IAM 管理的 CMK 中添加以下語句:
B. 在 CMK 密鑰策略中添加以下聲明
C. 在 CMK 密鑰策略中添加以下聲明
D. 在 CMK 密鑰策略中添加以下聲明:
查看答案
正確答案: D
問題 #54
一家公司正在亞馬遜 EC2 實例和亞馬遜 EMR 集羣上以單個 IAM 帳戶運行工作負載,最近的安全審計發現多個亞馬遜彈性塊存儲(Amazon EBS)卷和快照未加密。該公司的安全工程師正在研究一種解決方案,既能讓用戶部署 EC2 實例和 EMR 集羣,又能確保所有新的 EBS 卷和 EBS 快照在靜態時加密。該解決方案還必須最大限度地減少運行開銷。
A. 建一個 Amazon Event Bridge(Amazon Cloud watch Events)事件,將 EC2 實例作爲源,將創建卷作爲事件觸發器。當事件觸發時,調用 IAM Lambda 函數來評估並通知安全工程師所創建的 EBS 卷是否未加密。
B. 用客戶管理的 IAM 策略,該策略將驗證 Createvolume 上下文的加密標誌是否設置爲 true。將此規則應用於所有用戶。
C. reate an IAM Config rule to evaluate the configuration of each EC2 instance on creation or modification
D. 用 IAM 管理控制臺或 IAM CLi 在公司運營的每個 IAM 區域中默認啓用 EBS 卷加密。
查看答案
正確答案: D
問題 #55
某公司的內部部署網絡通過 IAM Direct Connect 網關連接到 VPC。該公司的內部部署應用程序需要使用現有的 Amazon Kinesis Data Firehose 交付流來傳輸數據。公司的安全策略要求數據在傳輸過程中使用專用網絡進行加密。公司應如何滿足這些要求?
A. 創建一個 VPC 端點 tor Kinesis Data Firehose。配置應用程序以連接到 VPC 端點。
B. 配置 IAM 策略,限制使用源 IP 訪問 Kinesis Data Firehose 條件。
C. 在 IAM 證書管理器 (ACM) 中創建新的 TLS 證書。創建面向公衆的網絡負載平衡器 (NLB),並選擇新創建的 TLS 證書。配置 NLB,將所有流量轉發到 Kinesis Data Firehose。配置應用程序以連接到 NLB。
D. 使用 Direct Connect 將內部網絡與 Kinesis Data Firehose VPC 對等。配置應用程序以連接到現有的 Firehose 交付流。
查看答案
正確答案: A
問題 #56
某公司有多個使用客戶管理的 CMK 加密的 Amazon S3 存儲桶,根據法規要求,這些密鑰必須每年輪換一次。公司的安全工程師已啓用 CMK 的自動密鑰輪換功能,但公司希望核實是否已進行了輪換。
A. 過濾 IAM CloudTrail 日誌中的 KeyRotaton 事件。
B. 監控 Amazon CloudWatcn 事件,以查找任何 IAM KMS CMK 輪換事件。
C. 使用 IAM CLI,使用 --key-id 參數運行 IAM kms gel-key-relation-status 操作,檢查 CMK 旋轉日期。
D. 用 Amazon Athena 查詢保存在 S3 存儲桶中的 IAM CloudTrail 日誌,以過濾 "生成新密鑰 "事件。
查看答案
正確答案: C
問題 #57
某公司爲其生產、開發和測試環境管理三個獨立的 IAM 帳戶,在開發帳戶下爲每個開發人員分配了一個唯一的 IAM 用戶。開發人員賬戶中亞馬遜 EC2 實例上託管的一個新應用程序需要對生產賬戶中亞馬遜 S3 存儲桶中存儲的存檔文件進行讀取訪問。
A. 在生產賬戶中創建一個 IAM 角色,並使用信任策略允許開發賬戶中的 EC2 實例承擔該角色。爲該角色提供對所需 S3 存儲桶的讀取訪問權限。
B. 使用自定義身份代理,允許開發人員 IAM 用戶臨時訪問 S3 存儲桶。
C. 應用程序創建一個臨時 IAM 用戶,以便在生產帳戶中使用。
D. 在生產帳戶中創建臨時 IAM 用戶,並提供對 Amazon S3 的讀取訪問權限。生成臨時 IAM 用戶的訪問密鑰和祕鑰,並將其存儲在開發帳戶中應用程序使用的 EC2 實例上。
查看答案
正確答案: A
問題 #58
某公司爲其生產、開發和測試環境管理三個獨立的 IAM 帳戶,在開發帳戶下爲每個開發人員分配了一個唯一的 IAM 用戶。開發人員賬戶中亞馬遜 EC2 實例上託管的一個新應用程序需要對生產賬戶中亞馬遜 S3 存儲桶中存儲的存檔文件進行讀取訪問。
A. 在生產賬戶中創建一個 IAM 角色,並使用信任策略允許開發賬戶中的 EC2 實例承擔該角色。爲該角色提供對所需 S3 存儲桶的讀取訪問權限。
B. 使用自定義身份代理,允許開發人員 IAM 用戶臨時訪問 S3 存儲桶。
C. 應用程序創建一個臨時 IAM 用戶,以便在生產帳戶中使用。
D. 在生產帳戶中創建臨時 IAM 用戶,並提供對 Amazon S3 的讀取訪問權限。生成臨時 IAM 用戶的訪問密鑰和祕鑰,並將其存儲在開發帳戶中應用程序使用的 EC2 實例上。
查看答案
正確答案: A
問題 #59
Example.com 由應用程序負載平衡器 (ALB) 後面的 Amazon EC2 實例託管。第三方主機入侵檢測系統 (HIDS) 代理可捕獲 EC2 實例的流量,並在每個主機上運行。公司必須確保爲用戶使用隱私增強技術,同時不失去第三方解決方案提供的保證。
A. 在 ALB 上啓用 TLS 穿透,並使用橢圓曲線 Diffie-Hellman (ECDHE) 密碼套件在服務器上處理解密。
B. 在 ALB 上創建一個監聽器,使用 Elliptic Curve Diffie-Hellman (ECDHE) 密碼套件進行加密連接,並將流量以明文形式傳輸到服務器。
C. 在 ALB 上創建一個監聽器,使用橢圓曲線 Diffie-Hellman (ECDHE) 密碼套件進行加密連接,並使用加密連接連接到未啓用完美前向保密 (PFS) 的服務器。
D. 在 ALB 上創建一個不啓用完美前向保密 (PFS) 密碼套件的監聽器,並使用橢圓曲線 Diffie-Hellman (ECDHE) 密碼套件與服務器進行加密連接。
查看答案
正確答案: D
問題 #60
某公司正在開發一個將託管在多個亞馬遜 EC2 實例上的高彈性應用程序。該應用程序必須:- 在應用程序災難恢復計劃中包括遷移到不同的 IAM 區域;- 提供加密密鑰管理事件的完整審計跟蹤;- 只允許公司管理員管理密鑰;- 使用應用程序層加密保護靜態數據。
A. loudHSM 生成的密鑰管理事件日誌比 IAM KMS 要廣泛得多。
B. CloudHSM 確保只有公司支持人員可以管理加密密鑰,而 IAM KMS 允許 IAM 人員管理密鑰。
C. IAM KMS 生成的密文相比,CloudHSM 生成的密文能更有效地抵禦暴力解密攻擊
D. loudHSM 提供將密鑰複製到不同區域的功能,而 IAM KMS 不提供。
查看答案
正確答案: B
問題 #61
安全工程師已配置 IAM CloudTrail 與 Amazon CloudWatch 的集成,下一步應如何做才能滿足該要求?
A. 用入站規則 100 允許 TCP 端口 443 上的流量 使用入站規則 200 拒絕 TCP 端口 3306 上的流量 使用出站規則 100 允許 TCP 端口 443 上的流量
B. 用入站規則 100 拒絕 TCP 端口 3306 上的流量。使用入站規則 200 允許 TCP 端口範圍 1024-65535 的流量。使用出站規則 100 允許 TCP 端口 443 上的流量
C. 用入站規則 100 允許 TCP 端口範圍 1024-65535 上的流量 使用入站規則 200 拒絕 TCP 端口 3306 上的流量 使用出站規則 100 允許 TCP 端口 443 上的流量
D. 用入站規則 100 拒絕 TCP 端口 3306 上的流量 使用入站規則 200 允許 TCP 端口 443 上的流量 使用出站規則 100 允許 TCP 端口 443 上的流量
查看答案
正確答案: A
問題 #62
一家公司使用亞馬遜 API Gateway 向用戶展示 REST API。API 開發人員希望在不解析日誌文件的情況下分析 API 訪問模式。哪種步驟組合能最輕鬆地滿足這些要求?(請選擇兩個)。
A. 爲 AWS 賬戶配置 S3 Block Public Access 功能。
B. 爲桶中的所有對象配置 S3 塊公共訪問功能。
C. 桶中的對象停用 ACL。
D. 使用 AWS PrivateLink for Amazon S3 訪問存儲桶。
查看答案
正確答案: CD
問題 #63
該卷使用公司安全團隊創建的 AWS 密鑰管理服務 (AWS KMS) 客戶管理密鑰加密。
A. 組織中爲 AWS 系統管理器配置受信任訪問 從管理帳戶配置 bastion 主機 通過使用系統管理器會話管理器從管理帳戶替換 SSH 和 RDP 配置會話管理器日誌到 Amazon CloudWatch 日誌。
B. AWS 系統管理器會話管理器取代 SSH 和 RDP 在實例上安裝系統管理器代理(SSM Agent) 附加。
C. mazonSSMManagedlnstanceCore 角色到實例 配置會話數據流到 Amazon CloudWatch 日誌 創建具有適當跨帳戶權限的單獨日誌記錄帳戶,以審核日誌數據。
D. 在管理帳戶中安裝 bastion 主機 重新配置所有 SSH 和 RDP,使其只允許從 bastion 主機訪問 在 bastion 主機上安裝 AWS 系統管理器代理(SSM 代理) 將 AmazonSSMManagedlnstanceCore 角色附加到 bastion 主機 在單獨的日誌帳戶中將會話數據流配置到 Amazon CloudWatch 日誌,以審核日誌數據。
E. 使用 AWS 系統管理器狀態管理器替換 SSH 和 RDP 在實例上安裝系統管理器代理 (SSM Agent) 將 AmazonSSMManagedlnstanceCore 角色附加到實例 配置會話數據流到 Amazon CloudTrail 使用 CloudTrail Insights 分析跟蹤數據。
查看答案
正確答案: CD
問題 #64
您在一家使用 IAM 資源的公司工作。關鍵安全策略之一是確保所有數據在靜態和傳輸過程中都經過加密。
A. 使用 S3 SSE 並對傳輸中的數據使用 SSL。
B. 在 ELB 上終止 SSL
C. 用代理協議
D. 負載平衡器上啓用粘性會話
查看答案
正確答案: A
問題 #65
某組織有一個多 PB 的工作負載,它正在將其轉移到 Amazon S3,但 CISO 擔心加密磨損和密鑰泄露時的爆炸半徑。CISO 如何確保 IAM KMS 和 Amazon S3 能夠解決這些問題?(選擇兩項)
A. 用 Amazon 認證管理器管理的證書的 HTTPS 監聽器。
B. 用自定義安全策略的 HTTPS 監聽器,只允許使用完美前向保密密碼套件。
C. 用最新 IAM 預定義 ELBSecuntyPolicy-TLS-1 -2-2017-01 安全策略的 HTTPS 監聽器。
D. 用自定義安全策略的 TCP 監聽器,只允許使用完美前向保密密碼套件。
查看答案
正確答案: CE
問題 #66
某公司的雲運營團隊負責爲 IAM 跨賬戶訪問建立有效的安全性。該團隊要求安全工程師幫助排除故障,以解決爲什麼開發人員組中開發人員賬戶 (123456789012) 中的一些開發人員無法承擔跨賬戶角色 (ReadS3) 進入生產賬戶 (999999999999) 以讀取 Amazon S3 存儲桶 (productionapp) 中的內容。這兩個賬戶策略如下:安全工程師應提出哪些建議來解決這個問題?
A. 用 IAM 控制塔。修改默認的 "賬戶工廠 "網絡模板,以便通過 VPC 對等連接自動將新賬戶與集中管理的 VPC 關聯,並在默認路由表中創建到 VPC 對等的默認路由。創建拒絕 CreatelnternetGateway 操作的 SCP。將 SCP 附加到除安全檢查賬戶以外的所有賬戶。
B. 在安全檢查賬戶中創建集中管理的 VPC。在安全檢查賬戶和其他賬戶之間建立 VPC 對等連接。指示賬戶所有者在賬戶路由表中創建指向 VPC 對等網絡的默認路由。創建拒絕
C. 用 IAM 控制塔。修改默認賬戶工廠網絡模板,使新賬戶自動與集中管理的中轉網關關聯,並在默認路由表中創建一條到中轉網關的默認路由。創建一個拒絕 AttachlnternetGateway 操作的 SCP。將 SCP 附加到除安全檢查賬戶以外的所有賬戶。
D. 爲 IAM 組織啓用 IAM 資源訪問管理器 (IAM RAM)。創建共享中轉網關,並通過使用 IAM RAM 資源共享使其可用。創建拒絕 CreatelnternetGateway 操作的 SCP。在所有賬戶的路由表中創建指向共享中轉網關的路由。
查看答案
正確答案: AD
問題 #67
您的首席技術官認爲您的 IAM 帳戶被黑客攻擊了。假設黑客是非常老練的 IAM 工程師,並竭盡所能掩蓋他們的蹤跡,那麼有什麼辦法可以確定是否存在未經授權的訪問以及他們做了什麼?
A. 使用 CloudTrail 日誌文件完整性驗證。
B. 使用 IAM 配置 SNS 訂閱並實時處理事件
C. 用備份到 IAM S3 和 Glacier 的 CloudTrail。
D. 用 IAM 配置時間線取證。
查看答案
正確答案: A
問題 #68
某公司需要一個取證日誌解決方案,用於在 Amazon EC2 上的 Docker 中運行的數百個應用程序。該解決方案必須對日誌執行實時分析,必須支持消息重放,必須持久化日誌。(請選擇兩項)
A. 期更新 IAM 用戶策略,要求使用加密卷創建 EC2 實例。
B. 置 IAM 配置規則,以便定期運行 "或卷加密"。
C. 置 Amazon Inspector 規則,使卷加密按周期運行。
D. 用 CloudWatch 日誌確定是否使用加密卷創建了實例。
查看答案
正確答案: BD
問題 #69
一名安全工程師正在配置一個名爲 example.com 的新網站。安全工程師希望通過要求用戶通過 HTTPS 連接 example.com 來確保與網站的通信安全。以下哪項是存儲 SSL/TLS 證書的有效選項?
A. 儲在 AWS 密鑰管理服務 (AWS KMS) 中的自定義 SSL 證書
B. 儲在 Amazon CloudFront 中的默認 SSL 證書
C. 儲在 AWS 證書管理器 (ACM) 中的自定義 SSL 證書
D. 儲在 Amazon S3 中的默認 SSL 證書
查看答案
正確答案: C
問題 #70
您需要創建一個策略,並將其應用於單個用戶。如何以正確的方式實現這一目標?
A. 爲用戶添加 IAM 管理策略。
B. 爲用戶添加服務策略
C. 爲用戶添加 IAM 角色。
D. 爲用戶添加內聯策略。
查看答案
正確答案: D
問題 #71
安全工程師已配置 IAM CloudTrail 與 Amazon CloudWatch 的集成,下一步應如何做才能滿足該要求?
A. 用入站規則 100 允許 TCP 端口 443 上的流量 使用入站規則 200 拒絕 TCP 端口 3306 上的流量 使用出站規則 100 允許 TCP 端口 443 上的流量
B. 用入站規則 100 拒絕 TCP 端口 3306 上的流量。使用入站規則 200 允許 TCP 端口範圍 1024-65535 的流量。使用出站規則 100 允許 TCP 端口 443 上的流量
C. 用入站規則 100 允許 TCP 端口範圍 1024-65535 上的流量 使用入站規則 200 拒絕 TCP 端口 3306 上的流量 使用出站規則 100 允許 TCP 端口 443 上的流量
D. 用入站規則 100 拒絕 TCP 端口 3306 上的流量 使用入站規則 200 允許 TCP 端口 443 上的流量 使用出站規則 100 允許 TCP 端口 443 上的流量
查看答案
正確答案: A
問題 #72
一名安全工程師需要制定一個流程,以調查和應對公司亞馬遜 EC2 實例上的潛在安全事件。所有 EC2 實例都由 Amazon Elastic Block Store(Amazon EBS)提供支持。該公司使用 AWS Systems Manager 管理所有 EC2 實例,並在所有 EC2 實例上安裝了 Systems Manager Agent (SSM Agent)。
A. 收集受損 EC2 實例的任何相關元數據。啓用終止保護。更新實例的安全組以限制訪問,從而隔離實例。將實例從其所屬的任何自動擴展組中分離出來。從任何彈性負載平衡 (ELB) 資源中註銷該實例。
B. 收集受損 EC2 實例的任何相關元數據。啓用終止保護。將實例移至一個隔離子網,該子網拒絕所有源和目標流量。將實例與子網關聯以限制訪問。將實例從其所屬的任何自動擴展組中分離。從任何彈性負載平衡 (ELB) 資源中註銷實例。
C. 用 "系統管理器運行命令 "調用收集易失性數據的腳本。
D. 立一個 Linux SSH 或 Windows 遠程桌面協議 (RDP) 會話到被入侵的 EC2 實例,以調用腳本收集不穩定數據。
E. 建受損 EC2 實例 EBS 卷的快照,以便進行後續調查。使用任何相關元數據和事件票據信息標記實例。
F. 建系統管理器狀態管理器關聯,生成受損 EC2 實例的 EBS 卷快照。用任何相關元數據和事件票據信息標記該實例。
查看答案
正確答案: BCE
問題 #73
一個開發團隊建立了一個實驗環境,以測試一個簡單的陳舊網絡應用程序。公共子網中只有一個應用程序負載平衡器、一個 NAT 網關和一個互聯網網關。有 3 種不同類型的服務器 每種服務器類型都有自己的安全組,只允許訪問所需的連接。每個安全組都有自己的入站和出站規則。
A. 用帶有亞馬遜默認密鑰(IAM EBS)的加密亞馬遜 EBS 卷
B. 用客戶提供的密鑰進行服務器端加密(SSE-C)
C. 用 IAM KMS 管理的密鑰(SSE-KMS)進行服務器端加密
D. 用 Amazon S3 託管密鑰 (SSE-S3) 進行服務器端加密
查看答案
正確答案: CEF
問題 #74
一家公司準備收購幾家公司。安全工程師必須設計一個解決方案,確保新收購的 IAM 賬戶遵循公司的安全最佳實踐。該解決方案應監控每個 Amazon S3 存儲桶是否存在不受限制的公共寫入訪問,並使用 IAM 託管服務。
A. 配置 Amazon Macie 以持續檢查所有 S3 存儲桶的配置。
B. 啓用 IAM 配置,檢查每個 S3 存儲桶的配置。
C. 置 IAM 系統管理器,以監控 S3 桶策略的公共寫入訪問。
D. 置 Amazon EC2 實例,使其具有 IAM 角色和 cron 作業,以檢查所有 S3 存儲桶的狀態。
查看答案
正確答案: C
問題 #75
某公司正在使用 Amazon CloudFornt 運營一個網站。CloudFront 服務器的部分內容來自亞馬遜 S3,而其他內容則來自應用程序後面運行 EC2 實例的網絡服務器。負載平衡器 (ALB)。Amazon DynamoDB 用作數據存儲。該公司已經使用 IAM 證書管理器 (ACM) 來存儲公共 TLS 證書,該證書可以選擇性地保護網站用戶與 CloudFront 之間的連接。該公司有一項新要求,即在傳輸過程中執行端到端加密。
A. dd an origin custom header 將查看器協議策略設置爲 HTTP 和 HTTPS 將 origin protocol pokey 設置爲僅 HTTPS 更新應用程序以驗證 CloudFront 自定義標頭。
B. 添加源自定義標頭 將查看器協議策略設置爲僅 HTTPS 將源協議策略設置爲匹配查看器 更新應用程序以驗證 CloudFront 自定義標頭。
C. dd an origin custom header 將查看器協議策略設置爲 HTTP 重定向到 HTTPS 將原點協議策略設置爲僅 HTTP 更新應用程序以驗證 CloudFront 自定義標頭。
D. dd an origin custom header 設置查看器協議策略,將 HTTP 重定向到 HTTPS。更新應用程序以驗證 CloudFront 自定義標頭。
查看答案
正確答案: BCE
問題 #76
一家公司需要存儲多年的財務記錄。該公司希望使用 Amazon S3 來存儲這些文檔的副本。該公司必須實施一種解決方案,防止文檔在亞馬遜 S3 中存儲 7 年後被編輯、替換或刪除。安全工程師創建了一個新的 S3 存儲桶來存儲這些文檔。爲了滿足這些要求,安全工程師接下來應該做些什麼?
A. 公司使用無服務器方法處理微服務。公司將所有數據存儲在亞馬遜 S3 或亞馬遜 DynamoDB 中。公司通過使用 AWS lambda 函數或基於容器的服務來讀取數據,這些服務由公司在 AWS Fargate 上的 Amazon Elastic Kubernetes Service (Amazon EKS) 託管。公司必須實施一個解決方案,對所有靜態數據進行加密,並執行最低權限數據訪問控制。公司創建了一個 AWS 密鑰管理服務 (AWS KMS) 客戶管理密鑰。爲滿足這些要求,公司下一步應該做些什麼?
B. 建一個密鑰策略,僅允許 Amazon S3 和 DynamoD 執行 kms:Decrypt 操作 創建一個 SCP,拒絕創建未使用密鑰加密的 S3 桶和 DynamoDB 表。
C. 創建一個 1AM 策略,拒絕對密鑰執行 kms:Decrypt 操作。創建一個按計劃運行的 Lambda 函數,將策略附加到任何新角色。創建一個 AWS 配置規則,爲未使用密鑰加密的資源發送警報。
D. 建一個密鑰策略,僅允許 Amazon S3、DynamoDB、Lambda 和 Amazon EKS 執行 kms:Decrypt 操作。創建一個 SCP,拒絕創建未使用密鑰加密的 S3 桶和 DynamoDB 表。
E. 創建一個密鑰策略,僅允許 Amazon S3、DynamoDB、Lambda 和 Amazon EKS 執行 kms:Decrypt 操作。創建一個 AWS 配置規則,以便爲未使用密鑰加密的資源發送警報。
查看答案
正確答案: B
問題 #77
目前有多個應用程序託管在 VPC 中。在監控過程中發現,有多個端口掃描來自一個特定的 IP 地址塊。內部安全團隊要求在未來 24 小時內拒絕所有違規 IP 地址的訪問。以下哪種方法是快速、暫時拒絕指定 IP 地址訪問的最佳方法?
A. 創建一個 AD 策略,修改 VPC 中所有主機的 Windows 防火牆設置,拒絕來自 IP 地址塊的訪問。
B. 修改與 VPC 中所有公共子網相關聯的網絡 ACL,拒絕來自 IP 地址塊的訪問。
C. 在所有 VPC 安全組中添加一條規則,拒絕來自 IP 地址塊的訪問。
D. 改貴組織在該 VPC 中使用的所有 AMI 上的 Windows 防火牆設置,拒絕來自 IP 地址塊的訪問。
查看答案
正確答案: B
問題 #78
一名安全工程師在其 IAM 賬戶中啓用了 IAM Security Hub,並啓用了互聯網安全中心 (CIS) IAM 基礎合規標準。幾個小時後,安全集線器控制臺沒有返回合規性評估結果。該工程師希望確保安全集線器能夠評估其資源是否符合 CIS IAM 基礎標準。安全工程師應採取哪些步驟來滿足這些要求?
A. 爲安全中心服務角色添加完整的 Amazon Inspector IAM 權限,使其能夠執行 CIS 合規性評估。
B. 確保在賬戶中啓用 IAM Trusted Advisor,並確保 Security Hub 服務角色具有檢索 Trusted Advisor 安全相關建議操作的權限。
C. 確保在賬戶中啓用了 IAM 配置,並爲 CIS 合規性評估創建了所需的 IAM 配置規則。
D. 保 IAM CloudTrail 中的正確路徑已配置爲由安全集線器監控,並確保安全集線器服務角色具有在 CloudTrail Amazon S3 存儲桶上執行 GetObject 操作的權限。
查看答案
正確答案: C
問題 #79
某 IT 部門目前在亞馬遜 EC2 實例上運行的 Apache Tomcat 上部署了一個 Java Web 應用程序。安全團隊注意到,在過去的兩天裡,數以千計的異常讀取請求來自數百個 IP 地址。這導致 Tomcat 服務器線程耗盡並拒絕新連接。
A. 創建 Amazon CloudFront 分發並將 ALB 配置爲源。
B. 使用網絡訪問列表 (NACL) 阻止惡意 IP。
C. 建 IAM Web 應用程序防火牆 (WAF),並將其連接到 ALB
D. 射應用程序域名以使用路由 53
查看答案
正確答案: A
問題 #80
一個開發團隊正試圖使用 IAM 密鑰管理服務 (IAM KMS) CMK 對 IAM 系統管理器參數存儲區中的安全字符串參數進行加密和解碼。哪些 CMK 相關問題可能導致該錯誤?(請選擇兩個)。
A. 但是,公司不希望允許其他賬戶的用戶訪問同一文件夾中的其他文件。
B. 在其他賬戶中應用用戶策略,允許 IAM Glue 和 Athena lo 訪問
C. 使用 S3 Select 限制對
D. 在 IAM Glue 中定義 IAM Glue 數據目錄資源策略,以授予跨賬戶 S3 對象訪問
E. 指定組織爲委託人的基於資源的策略中,授予 IAM Glue 對 Amazon S3 的訪問權限。
查看答案
正確答案: AD
問題 #81
一名開發人員在包含多個賬戶的 IAM 組織單位 (OU) 中登錄了一個新賬戶。安全工程師如何在不影響其他賬戶的情況下爲開發人員提供 Amazon $3 訪問權限?
A. 將 SCP 移至組織的根 OU,以消除訪問 Amazon $3 的限制。
B. 爲開發人員添加 IAM 策略,授予 3 美元的訪問權限。
C. 建一個新的 OU,但不應用限制 3 美元訪問權限的 SCP。將開發人員賬戶移至這個新的 OU。
D. 爲 3 美元服務的開發人員賬戶添加允許列表。
查看答案
正確答案: C
問題 #82
在手動查看亞馬遜 Linux EC2 實例的系統日誌時,一名安全工程師注意到有一些 sudo 命令從未在亞馬遜 CloudWatch 日誌代理上正確發出警報或報告。
A. 有一個安全組阻止了 80 端口的出站流量,導致代理無法發送日誌。
B. EC2 實例上的 IAM 實例配置文件未正確配置,不允許 CloudWatch 日誌代理將日誌推送到 CloudWatch。
C. loudWatch 日誌狀態設置爲 ON(開啓)與 SECURE(安全),這將阻止它提取操作系統安全事件日誌。
D. VPC 要求所有流量都通過代理,而 CloudWatch 日誌代理不支持代理配置。
查看答案
正確答案: B
問題 #83
審計發現,某公司的 Amazon EC2 實例安全組違反了公司政策,允許不受限制地傳入 SSH 流量。哪種解決方案能以最高的運行效率滿足這些要求?
A. 建每天運行並使用網絡可達性軟件包的定期 Amazon Inspector 評估運行。創建一個 Amazon CloudWatch 規則,在評估運行開始時調用 IAM Lambda 函數。配置 Lambda 函數,以便在評估運行完成時檢索和評估評估運行報告。同時配置 Lambda 函數,以便在出現任何違反不受限制的傳入 SSH 流量的情況時發布 Amazon Simple Notification Service (Amazon SNS) 通知。
B. 用 restricted-ssh IAM Config 託管規則,該規則由不符合要求的安全組配置更改調用。使用 IAM 配置補救功能向 Amazon Simple Notification Service (Amazon SNS) 主題發布消息。
C. 爲 VP 配置 VPC Flow Logs 並指定一個 Amazon CloudWatch Logs 組。將 CloudWatch Logs 組訂閱到一個 IAM Lambda 函數,該函數會解析新日誌條目,檢測端口 22 上的成功連接,並通過 Amazon Simple Notification Service (Amazon SNS) 發布通知。
D. 建每天運行的定期 Amazon Inspector 評估運行,並使用安全最佳實踐包。創建一個 Amazon CloudWatch 規則,在評估運行開始時調用 IAM Lambda 函數。配置 Lambda 函數,以便在評估運行完成時檢索和評估評估運行報告。同時配置 Lambda 函數,以便在出現任何違反不受限制的傳入 SSH 流量的情況時發布 Amazon Simple Notification Service (Amazon SNS) 通知。
查看答案
正確答案: B
問題 #84
某公司爲其開發人員創建了一個 IAM 帳戶,用於測試和學習目的,因爲 MM 帳戶將在多個開發人員團隊之間共享,所以公司希望限制停止和終止 Amazon EC2 實例的能力,以便一個團隊只能在其擁有的實例上執行這些操作。
A. 爲每個團隊創建一個類似於下面的 AM 策略 用正確的團隊名稱填充 ec2:ResourceTag/Team 條件密鑰 將生成的策略附加到相應的 IAM 角色。
B. 爲每個團隊創建一個類似於下面的 IAM 策略 在 IAM TagKeys/Team condition key 中填入適當的團隊名稱。將恢復策略附加到相應的 IAM 角色。
C. 團隊滯後鍵標記每個 IAM 角色,並在標記值中使用團隊名稱。創建與下面類似的 IAM 策略,並將 4 附加到開發人員使用的所有 IAM 角色。
D. 團隊鍵標記每個 IAM 角色,並在標記值中使用團隊名稱。創建與下面類似的 IAM 策略,並將其應用於開發人員使用的所有 IAM 角色。
查看答案
正確答案: A
問題 #85
貴公司在 IAM 中定義了一組 EC2 實例。這些 EC2 實例附加了嚴格的安全組。您需要確保對安全組的更改被記錄下來並採取相應措施。如何做到這一點?
A. 使用 Cloudwatch 日誌監控安全組上的活動。使用篩選器搜索更改並使用 SNS 發送通知。
B. 使用 Cloudwatch 指標監控安全組的活動。使用篩選器搜索更改並使用 SNS 發送通知。
C. 使用 IAM 檢查員監控安全組的活動。使用篩選器搜索更改,並使用 SNS 通知。
D. 使用 Cloudwatch 事件來觸發對安全組的任何更改。同時爲電子郵件通知配置 Lambda 功能。
查看答案
正確答案: D
問題 #86
某公司的工程團隊正在開發一個新的應用程序,該應用程序爲用戶創建 IAM 密鑰管理服務 (IAM KMS) CMK 授權,授權創建後,用戶必須能夠立即使用 CMK 對 512 字節的有效負載進行加密。公司的安全專家建議採用哪種解決方案?
A. 示用戶每 2 分鐘執行一次重試機制,直到呼叫成功。
B. 示工程團隊從用戶那裡隨機獲取一個授權令牌,並調用 CreateGrant 操作,將授權令牌傳遞給它。指示用戶在調用加密時使用該授權令牌。
C. 在調用 CreateGrant 操作時,指示工程團隊爲授權創建一個隨機名稱。將名稱返回給用戶,並指示他們在加密調用中提供該名稱作爲授權令牌。
D. 指示工程團隊將 CreateGrant 響應中返回的授權令牌傳遞給用戶。指示用戶在加密調用中使用該授權令牌。
查看答案
正確答案: D
問題 #87
某公司需要加密其存儲在 Amazon S3 中的所有數據。該公司希望使用 IAM 密鑰管理服務(IAM KMS)來創建和管理加密密鑰。公司的安全策略要求能夠爲密鑰導入公司自己的密鑰材料,爲密鑰設置過期日期,並在需要時立即刪除密鑰。安全工程師應如何設置 IAM KMS 以滿足這些要求?
A. 配置 IAM KMS 並使用自定義密鑰存儲。創建無密鑰材料的客戶管理 CMK 將公司的密鑰和密鑰材料導入 CMK
B. 配置 IAM KMS 並使用默認密鑰存儲區 創建一個沒有密鑰材料的 IAM 管理 CMK 將公司的密鑰材料導入 CMK
C. 置 IAM KMS 並使用默認密鑰存儲區 創建無密鑰材料的客戶管理 CMK,將公司的密鑰材料導入 CMK
D. 置 IAM KMS 並使用自定義密鑰存儲。創建沒有密鑰材料的 IAM 管理 CMK。將公司的密鑰材料導入 CMK。
查看答案
正確答案: A
問題 #88
系統工程師使用亞馬遜彈性容器服務(Amazon ECS)和 Fargate 啓動類型作爲目標平臺。系統工程師現在需要將所有容器的日誌收集到現有的 Amazon CloudWatch 日誌組中。
A. 通過在 LogConfiguration 屬性中指定 awslogs-group 和 awslogs-region 的參數,打開 awslogs 日誌驅動程序。
B. 在容器實例上下載並配置 CloudWatch 代理。
C. 將 Fluent Bit 和 FluentO 設置爲 DaemonSet,將日誌發送到 Amazon CloudWatch Logs。
D. 配置包含 togs CreateLogGroup 操作的 1AM 策略 將策略分配給容器實例。
查看答案
正確答案: A
問題 #89
系統工程師使用亞馬遜彈性容器服務(Amazon ECS)和 Fargate 啓動類型作爲目標平臺。系統工程師現在需要將所有容器的日誌收集到現有的 Amazon CloudWatch 日誌組中。
A. 通過在 LogConfiguration 屬性中指定 awslogs-group 和 awslogs-region 的參數,打開 awslogs 日誌驅動程序。
B. 在容器實例上下載並配置 CloudWatch 代理。
C. 將 Fluent Bit 和 FluentO 設置爲 DaemonSet,將日誌發送到 Amazon CloudWatch Logs。
D. 配置包含 togs CreateLogGroup 操作的 1AM 策略 將策略分配給容器實例。
查看答案
正確答案: A
問題 #90
公司需要在 IAM 和現場位置之間傳輸大量數據。另外,IAM 還需要低延遲和高一致性的流量。考慮到這些要求,您將如何設計混合架構?請從以下選項中選擇正確答案。
A. 使用 Direct Connect 合作夥伴爲 IAM 區域提供 Direct Connect 連接。
B. 專用連接創建 VPN 通道,從而提高網絡一致性並減少延遲。
C. 爲專用連接創建 iPSec 隧道,從而提高網絡一致性並減少延遲。
D. 在 IAM 和客戶網關之間創建 VPC 對等連接。
查看答案
正確答案: A
問題 #91
某公司希望從使用相同 1AM 實例配置文件的 Amazon Linux 2 Amazon EC2 實例的特定子集中永久刪除所有 SSH 密鑰,但有三個擁有 IAM 用戶帳戶的個人需要使用 SSH 會話訪問這些實例以執行重要任務。
A. 實例配置文件分配 1AM 策略,允許 EC2 實例由 AWS 系統管理器管理 B
B. 爲 1AM 用戶賬戶分配 1AM 策略,以提供使用 AWS 系統管理器的權限 運行命令 從 EC2 實例中刪除 SSH 密鑰 使用運行命令打開 EC2 實例的 SSH 連接。
C. 爲實例配置文件分配 1AM 策略,允許 EC2 實例由 AWS 系統管理器管理 提供 1AM 用戶賬戶,允許其使用系統管理器 從 EC2 實例移除 SSH 密鑰 使用系統管理器會話管理器選擇 EC2 實例並連接。
D. 爲 1AM 用戶賬戶分配 1AM 策略,以提供在 AWS 管理控制臺中使用 EC2 服務的權限 從 EC2 實例中移除 SSH 密鑰 通過 AWS 管理控制臺的 EC2 SSH 客戶端方法,以 ec2-user 身份連接 EC2 實例。
查看答案
正確答案: C
問題 #92
某公司在 Amazon EC2 上託管了一個應用程序,該應用程序必須遵守特定的合規規則。其中一條規則規定,必須對進出工作負載的流量進行網絡級攻擊檢查。爲了遵守這一監管規則,安全工程師必須在 c5n.4xlarge EC2 實例上安裝入侵檢測軟件。然後,工程師必須配置該軟件,以監控進出應用程序實例的流量。
A. 將網絡接口置於混雜模式,以捕獲流量。
B. 配置 VPC 流量日誌,使用網絡負載平衡器將流量發送到監控 EC2 實例。
C. 配置 VPC 流量鏡像,使用網絡負載平衡器將流量發送到監控 EC2 實例。
D. 用 Amazon Inspector 檢測網絡級攻擊,並觸發 IAM Lambda 函數將可疑數據包發送到 EC2 實例。
查看答案
正確答案: D
問題 #93
安全工程師需要構建一個解決方案,以便在多個 IAM 區域重新打開 IAM CloudTrail,以防它被關閉。
A. 使用 IAM 配置和託管規則來觸發 IAM-EnableCloudTrail 修復。
B. 創建一個帶有 cloudtrail
C. 創建一個具有 cloudtrail
D. 監控 IAM Trusted Advisor 以確保 CloudTrail 日誌已啓用。
查看答案
正確答案: B
問題 #94
公司政策要求所有加密密鑰每年輪換一次,安全工程師應如何做才能滿足該客戶管理密鑰的要求?
A. 爲現有客戶管理的密鑰啓用每年一次的自動密鑰輪換。
B. 使用 AWS CLI 創建一個 AWS Lambda 函數,每年輪換現有的客戶管理密鑰。
C. 將新密鑰材料導入現有客戶管理密鑰 手動旋轉密鑰。
D. 創建新的客戶管理密鑰 將新的密鑰材料導入新密鑰 將密鑰別名指向新密鑰。
查看答案
正確答案: A
問題 #95
事件響應團隊正在調查一起 IAM 訪問密鑰泄漏事件,該事件導致 Amazon EC2 實例被啓動。信息安全總監希望實施新的控制措施,以便在今後發生類似事件時發出警報。公司應實施哪些控制措施來實現這一目標?{請選擇兩項。)
A. 3 存儲桶策略沒有明確允許安全工程師訪問存儲桶中的對象。
B. 沒有更新對象 ACL,以允許集中賬戶內的用戶訪問對象。
C. 全工程師的 IAM 策略沒有授予讀取 S3 存儲桶中對象的權限。
D. 在 S3 存儲桶級別應用 s3:PutObject 和 s3:PutObjectAcl 權限。
查看答案
正確答案: AE
問題 #96
貴公司計劃使用 bastion 主機在 IAM 中管理服務器。從安全角度看,以下哪項是對 bastion 主機的最佳描述?
A. 於安全考慮,Bastion 主機應位於專用子網,絕不能位於公用子網。
B. 壘主機位於內部網絡外部,是進入專用網絡的網關,被視爲網絡的關鍵強點。
C. astion主機允許用戶使用RDP或SSH登錄,並使用該會話S5H進入內部網絡訪問專用子網資源。
D. 堡壘主機應保持極其嚴密的安全和監控,因爲它是向公衆開放的。
查看答案
正確答案: C
問題 #97
某 IT 部門目前在亞馬遜 EC2 實例上運行的 Apache Tomcat 上部署了一個 Java Web 應用程序。安全團隊注意到,在過去的兩天裡,數以千計的異常讀取請求來自數百個 IP 地址。這導致 Tomcat 服務器線程耗盡並拒絕新連接。
A. 創建 Amazon CloudFront 分發並將 ALB 配置爲源。
B. 使用網絡訪問列表 (NACL) 阻止惡意 IP。
C. 建 IAM Web 應用程序防火牆 (WAF),並將其連接到 ALB
D. 射應用程序域名以使用路由 53
查看答案
正確答案: A
問題 #98
某公司在亞馬遜 S3 上託管了一個靜態網站,該公司配置了一個亞馬遜 CloudFront 分發來爲網站內容提供服務,該公司已將 IAM WAF Web ACL 與 CloudFront 分發關聯。該公司擔心 S3 URL 仍然可以直接訪問,而且請求可以繞過 CloudFront 分發。
A. 啓用 Amazon Macie,以便 Secunty H jb 允許 Detective 處理來自 Macie 的調查結果。
B. 禁用 IAM 密鑰管理服務(IAM KMS)對組織每個成員賬戶的 CtoudTrail 日誌進行加密。
C. 所有成員賬戶上啓用 Amazon GuardDuty 嘗試在 48 小時內啓用 Detective。
D. 保啓動 Detective 的委託人擁有組織 ListAccounts 權限。
查看答案
正確答案: AD
問題 #99
某公司的工程團隊正在開發一個新的應用程序,該應用程序爲用戶創建 IAM 密鑰管理服務 (IAM KMS) CMK 授權,授權創建後,用戶必須能夠立即使用 CMK 對 512 字節的有效負載進行加密。公司的安全專家建議採用哪種解決方案?
A. 示用戶每 2 分鐘執行一次重試機制,直到呼叫成功。
B. 示工程團隊從用戶那裡隨機獲取一個授權令牌,並調用 CreateGrant 操作,將授權令牌傳遞給它。指示用戶在調用加密時使用該授權令牌。
C. 在調用 CreateGrant 操作時,指示工程團隊爲授權創建一個隨機名稱。將名稱返回給用戶,並指示他們在加密調用中提供該名稱作爲授權令牌。
D. 指示工程團隊將 CreateGrant 響應中返回的授權令牌傳遞給用戶。指示用戶在加密調用中使用該授權令牌。
查看答案
正確答案: D
問題 #100
某公司需要一個取證日誌解決方案,用於在 Amazon EC2 上的 Docker 中運行的數百個應用程序。該解決方案必須對日誌執行實時分析,必須支持消息重放,必須持久化日誌。(請選擇兩項)
A. 期更新 IAM 用戶策略,要求使用加密卷創建 EC2 實例。
B. 置 IAM 配置規則,以便定期運行 "或卷加密"。
C. 置 Amazon Inspector 規則,使卷加密按周期運行。
D. 用 CloudWatch 日誌確定是否使用加密卷創建了實例。
查看答案
正確答案: BD
問題 #101
某公司希望建立單獨的 IAM 密鑰管理服務 (IAM KMS) 密鑰,用於不同的 IAM 服務。該公司的安全工程師創建了以下密鑰策略,允許基礎架構部署團隊使用 InfrastructureDeployment IAM 角色創建加密的 Amazon Elastic Block Store (Amazon EBS) 卷:安全工程師最近發現,除 InfrastructureDeployment 角色外,其他 IAM 角色也使用了此密鑰(或其他服務)。
A. 在包含 Sid "允許使用鍵 "的語句塊中,將 "條件 "塊下的 StringEquals 更改爲 StringLike。
B. 在策略文檔中,刪除包含 Sid "啓用 IAM 用戶權限 "的語句 Dlock。在 KMS 策略中添加密鑰管理策略。
C. 在包含 Sid "允許使用密鑰 "的語句塊中,在 "條件 "塊下,將 Kms:ViaService 值更改爲 ec2
D. 在策略文檔中,添加一個新的語句塊,爲安全工程師的 IAM 角色授予 "kms:禁用 "權限。
查看答案
正確答案: C
問題 #102
一家公司的首席安全官要求安全分析師審查並改進公司每個 IAM 帳戶的安全狀況。安全分析師決定通過改進 IAM 帳戶根用戶的安全性來實現這一目標。(選擇三項)。
A. 據庫服務器上的出站 SG 配置 應用服務器上的入站 SG 配置 數據庫子網上的入站和出站網絡 ACL 配置 應用服務器子網上的入站和出站網絡 ACL 配置。
B. 數據庫服務器上的入站 SG 配置 應用程序服務器上的出站 SG 配置 數據庫子網上的入站和出站網絡 ACL 配置 應用程序服務器子網上的入站和出站網絡 ACL 配置。
C. 數據庫服務器上的入站和出站 SG 配置 應用服務器上的入站和出站 SG 配置 數據庫子網上的入站網絡 ACL 配置 應用服務器子網上的出站網絡 ACL 配置。
D. 數據庫服務器上的入站 SG 配置 應用服務器上的出站 SG 配置 數據庫子網上的入站網絡 ACL 配置 應用服務器子網上的出站網絡 ACL 配置。
查看答案
正確答案: ADE
問題 #103
一家公司的開發人員使用 SSH 密鑰訪問多個 Amazon EC2 實例。公司發現該 SSH 密鑰已發布在公共 GitHub 存儲庫中。安全工程師核實該密鑰最近未被使用過。安全工程師應如何防止未經授權訪問 EC2 實例?
A. 從 EC2 控制臺刪除密鑰對。創建新的密鑰對。
B. 使用 ModifylnstanceAttribute API 操作來更改使用密鑰的 EC2 實例的密鑰。
C. 制安全組中的 SSH 訪問權限,只能訪問已知的企業 IP 地址。
D. 更新用於啓動 EC2 實例的任何 AMI 中的密鑰對。重新啓動 EC2 實例。
查看答案
正確答案: C
問題 #104
一位安全工程師需要創建一個 IAM 密鑰管理服務
A. 刪除現有 NAT 網關。創建一個只有應用服務器子網可以使用的新 NAT 網關。
B. 配置 DB 實例 TM 的入站網絡 ACL,拒絕來自 NAT 網關安全組 ID 的流量。
C. 修改 DB 實例子網的路由表,刪除到 NAT 網關的默認路由。
D. 配置 NAT 網關的路由表,拒絕 DB 實例子網的連接。
查看答案
正確答案: A
問題 #105
公司希望在彈性負載平衡器和 EC2 實例之間配置端到端加密,哪種解決方案能以最少的操作工作量滿足這一要求?
A. EC2 實例和彈性負載平衡器上使用亞馬遜發布的 AWS 證書管理器 (ACM) 證書來配置端到端加密。
B. 將第三方 SSL 證書導入 AWS 證書管理器 (ACM) 在 EC2 實例上安裝第三方證書 將 ACM 導入的第三方證書與彈性負載平衡器關聯。
C. 部署 AWS CloudHSM 導入第三方證書 配置 EC2 實例和彈性負載平衡器以使用 CloudHSM 導入的證書。
D. 將第三方證書捆綁包導入 AWS 證書管理器 (ACM) 在 EC2 實例上安裝第三方證書 將 ACM 導入的第三方證書與彈性負載平衡器關聯。
查看答案
正確答案: A

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.