不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

使用 2024 年更新的實踐測試通過 SCS-C02 考試,AWS 認證安全 - 專業 | SPOTO

通過 SPOTO 更新的 2024 年模擬測試掌握 AWS Certified Security - Specialty (SCS-C02) 認證。本試卷是您全面備考的必經之路,包括考試試題和答案、模擬測試和樣題。我們的考試試卷和免費測驗是對學習材料的補充,確保全面覆蓋關鍵概念。使用 SPOTO 的考試材料和考試模擬器進行有效備考,這些材料和模擬器旨在模擬真實的考試環境。我們的在線試題和模擬考試可幫助您提高應試技巧,爲成功做好準備。通過 SPOTO,您可以練習和完善考試答案,確保在 AWS Certified Security - Specialty 認證之旅中取得成功。
參加其他線上考試
問題 #1
某公司有一個取證日誌使用案例,在 EC2 上的 Docker 上運行的幾百個應用程序需要將日誌發送到一個中心位置。安全工程師必須創建一個日誌記錄解決方案,能夠對日誌文件進行實時分析,提供重放事件的能力,並持久保存數據。哪些 IAM 服務可以共同滿足此用例?(選擇兩個)。
A. 馬遜 Elasticsearch
B. 馬遜 Kinesis
C. 馬遜 SQS
D. 馬遜雲觀察
E. 馬遜雅典娜
查看答案
正確答案: C
問題 #2
一名安全工程師正在構建一個運行在 Amazon EC2 上的 Java 應用程序。該應用程序與 Amazon RDS 實例通信,並使用用戶名和密碼進行身份驗證。當憑證輪換時,工程師可以採取哪些步驟組合來保護憑證並最大限度地減少停機時間?(選擇兩項)。
A. 數據庫管理員對憑據進行加密,並將密文存儲在 Amazon S3 中。向與 EC2 實例關聯的實例角色授予讀取對象和解密密文的權限。
B. 置一個計劃任務,更新 IAM 系統管理器參數存儲中的憑證,並通知工程師需要重新啓動應用程序。
C. IAM Secrets Manager 中配置憑證的自動輪換。
D. 憑證存儲在 IAM 系統管理器參數 Stor 中的加密字符串參數中
E. 予與 EC2 實例關聯的實例角色訪問參數和用於加密參數的 IAM KMS 密鑰的權限。
F. 置 Java 應用程序以捕獲連接失敗,並在密碼輪換時調用 IAM Secrets Manager 以檢索更新的憑據 G
查看答案
正確答案: C
問題 #3
Amazon S3 存儲桶使用 IAM KMS CMK 加密。IAM 用戶無法使用 IAM 管理控制臺從 S3 存儲桶中下載對象;但其他用戶可以從 S3 存儲桶中下載對象。安全工程師應該審查和修改哪些策略來解決這個問題?(選擇三個)。
A. MK 政策
B. PC 端點策略
C. 3 桶策略
D. 3 ACL
E. AM 政策
查看答案
正確答案: B
問題 #4
某組織希望在其 VPC 中的未授權 Amazon EC2 實例對 VPC 中的其他實例執行網絡端口掃描時收到警報。當安全團隊使用 IAM Marketplace 中預先批准的第三方掃描儀在獨立賬戶中執行自己的內部測試時,安全團隊也會收到來自 Amazon CloudWatch 的多個 Amazon GuardDuty 事件,對其測試活動發出警報。安全團隊如何才能抑制有關已授權安全測試的警報,同時仍能確保其安全?
A. IAM CloudTrail 中使用過濾器排除安全團隊 EC2 實例的 IP 地址。
B. 安全團隊 EC2 實例的彈性 IP 地址添加到 Amazon GuardDuty 的受信任 IP 列表中。
C. 安全團隊使用的 EC2 實例上安裝 Amazon Inspector 代理。
D. 安全團隊的 EC2 實例授予一個具有調用 Amazon GuardDuty API 操作權限的角色。
查看答案
正確答案: BDE
問題 #5
保護新開設的 IAM 帳戶根用戶的最安全方法是什麼?
A. 用 IAM 賬戶根用戶訪問密鑰,而不是 IAM 管理控制臺
B. 附加了 AdministratorAccess 管理策略的 IAM IAM 用戶啓用多因素身份驗證
C. IAM 賬戶根用戶啓用多因素身份驗證
D. 用 IAM KMS 加密所有 IAM 賬戶根用戶和 IAM IAM 訪問密鑰,並將自動輪換設置爲 30 天
E. 要爲 IAM 賬戶 root 用戶創建訪問密鑰;而是創建 IAM IAM 用戶
查看答案
正確答案: B
問題 #6
一家大型政府機構正在向雲遷移,並有特定的加密要求。第一個遷移的工作量要求在客戶提出要求時立即銷毀客戶的數據。管理層要求安全團隊提供一種解決方案,能夠安全地存儲數據,只允許授權應用程序執行加密和解密,並允許立即銷毀數據 哪種解決方案能夠滿足這些要求?
A. 用 IAM Secrets Manager 和 IAM SDK 爲客戶特定數據創建唯一的密文
B. 用 IAM 密鑰管理服務 (IAM KMS) 和 IAM 加密 SDK 爲每位客戶生成並存儲數據加密密鑰。
C. 用 IAM 密鑰管理服務(IAM KMS)和服務管理密鑰來生成和存儲客戶特定的數據加密密鑰
D. 用 IAM 密鑰管理服務 (IAM KMS) 並創建 IAM CloudHSM 自定義密鑰存儲 使用 CloudHSM 爲每位客戶生成並存儲新的 CMK。
查看答案
正確答案: C
問題 #7
某公司的應用程序在亞馬遜 EC2 上運行,並在亞馬遜 S3 存儲桶中存儲數據。該公司希望實施額外的安全控制,以限制數據意外暴露給外部方的可能性。(選擇三項)。
A. 用 Amazon S3 託管加密密鑰 (SSE-S3) 在服務器端加密 Amazon S3 中的數據
B. 用 IAM KMS 管理的加密密鑰(SSE-KMS)在服務器端加密 Amazon S3 中的數據
C. 建新的 Amazon S3 VPC 端點,並修改 VPC 的路由表以使用新端點
D. 用 Amazon S3 Block Public Access 功能。
E. 置桶策略,使其只允許從應用程序實例訪問
F. 用 NACL 過濾到 Amazon S3 的流量
查看答案
正確答案: C
問題 #8
某公司決定在其 IAM 賬戶中使用加密技術,通過服務器端加密來確保 Amazon S3 中對象的安全。對象大小從 16.000 B 到 5 MB 不等。要求如下:?密鑰材料必須在經過認證的聯邦信息處理標準 (FIPS) 140-2 3 級機器中生成和存儲。?密鑰材料必須可在多個地區使用。哪種方案能滿足這些要求?
A. 用 IAM KMS 客戶管理密鑰,在 IAM 中存儲密鑰材料,並跨區域複製
B. 用 IAM 客戶管理的密鑰,使用內部 IAM CloudHS 將密鑰材料導入 IAM KMS
C. 將密鑰材料安全地存儲在 Amazon S3 中。
D. 用由 IAM CloudHSM 集羣支持的 IAM KMS 自定義密鑰存儲,並跨區域複製備份
E. 用 IAM CloudHSM 跨區域生成密鑰材料和備份密鑰 使用 Java Cryptography Extension (JCE) 和 Public Key Cryptography Standards #11 (PKCS #11) 加密庫加密和解密數據。
查看答案
正確答案: B
問題 #9
目前使用網絡訪問控制列表和安全組來保護應用程序的安全。網絡服務器位於應用負載平衡器 (ALB) 後面的公共子網中;應用服務器位於專用子網中。如何增強邊緣安全以保護 Amazon EC2 實例免受攻擊?(選擇兩項)。
A. 置應用程序的 EC2 實例,對所有入站流量使用 NAT 網關。
B. 網絡服務器轉移到沒有公共 IP 地址的專用子網。
C. 置 IAM WAF,爲 ALB 提供 DDoS 攻擊保護。
D. 求所有入站網絡流量通過專用子網中的一臺堡壘主機路由。
E. 求所有入站和出站網絡流量通過 IAM Direct Connect 連接路由。
查看答案
正確答案: BC
問題 #10
某公司要求用於訪問其 IAM 實例的 SSH 命令可追溯到執行每個命令的用戶。安全工程師應如何做到這一點?
A. 用 IAM 系統管理器會話管理器對已定義用戶標籤的 Amazon EC2 實例進行 shell 訪問 啓用 Amazon CloudWatch togging tor 系統管理器會話
B. 用 Amazon S3 爲每個用戶安全地存儲一個隱私增強郵件證書 (PEM 文件) 允許 Amazon EC2 從 Amazon S3 讀取並導入每個希望使用 SSH 訪問 EC2 實例的用戶 允許在連接到實例的安全組的端口 22 上進行入站訪問 在 EC2 實例上安裝 Amazon CloudWatch 代理,並將其配置爲攝取實例的審計日誌
C. 用 IAM 系統管理器會話管理器 tor shell 訪問已定義用戶標記的 Amazon EC2 實例 爲系統管理器會話啓用 Amazon CloudWatch tgging。
D. 許 Amazon EC2 從 Amazon S3 讀取並導入每個希望使用 SSH 訪問 EC2 實例的用戶 允許連接到實例的安全組對 pod 22 進行入站訪問 在 EC2 實例上安裝 Amazon CloudWatch 代理,並將其配置爲攝取實例的審計日誌
查看答案
正確答案: AB
問題 #11
一名安全工程師正在設計一個事件響應計劃,以應對 Amazon EC2 實例受損的風險。該計劃必須推薦一個解決方案來滿足以下要求:?必須提供可信的取證環境 ?必須協調自動響應流程 哪些 IAM 服務應包含在計劃中?{選擇兩項)
A. AM CloudFormation
B. 馬遜值班員
C. 馬遜檢查員
D. 馬遜麥琪
E. AM 步驟功能
查看答案
正確答案: C
問題 #12
某公司正在使用 CloudTrail 記錄其所有帳戶中所有地區的所有 IAM API 活動。首席信息安全官要求採取額外措施保護日誌文件的完整性。怎樣的步驟組合才能保護日誌文件不被有意或無意篡改?請從以下選項中選擇 2 個答案:
A. 專用日誌賬戶中創建一個 S3 存儲桶,並授予其他賬戶只能寫入的權限
B. 每個賬戶的所有日誌文件傳輸到此 S3 存儲桶。
C. 寫一個 Lambda 函數,用於查詢 Trusted Advisor Cloud Trail 檢查
D. 10 分鐘運行一次功能。
E. 用 CloudTrail 日誌文件完整性驗證
F. 用系統管理器配置合規性持續監控包含 Cloud Trail 日誌的 S3 存儲桶的訪問策略。G
查看答案
正確答案: D
問題 #13
一名安全工程師收到一份 IAM 濫用通知,其中列出了據說正在濫用其他主機的 EC2 實例 ID。工程師應根據這一情況採取哪些措施?(選擇三項)。
A. 用 IAM 工件捕獲每個實例狀態的精確圖像。
B. 連接到受損實例的每個卷創建 EBS 快照。
C. 捉內存轉儲。
D. 用管理憑據登錄每個實例,重新啓動實例。
E. 止除取證工作站進出以外的所有網絡進出。
F. 行 Amazon EC2 自動恢復。
查看答案
正確答案: A
問題 #14
某公司擁有多個生產 IAM 賬戶。每個賬戶都配置了 IAM CloudTrail,以便登錄到中央賬戶中的一個 Amazon S3 存儲桶。其中兩個生產賬戶的跟蹤沒有記錄任何內容到 S3 存儲桶。應採取哪些步驟來排除故障?(選擇三個)。
A. 認日誌文件前綴已設置爲日誌所在 S3 存儲桶的名稱。
B. 證 S3 桶策略是否允許從生產 IAM 帳戶 ID 訪問 CloudTrail。
C. 賬戶中創建新的 CloudTrail 配置,並將其配置爲登錄到賬戶的 S3 存儲桶。
D. CloudTrail 控制臺中確認每個跟蹤都處於活動和健康狀態。
E. 主賬戶中打開全局 CloudTrail 配置,並驗證存儲位置是否設置爲正確的 S3 存儲桶。
F. CloudTrail 控制臺中確認 S3 桶名稱設置正確。
查看答案
正確答案: BCE
問題 #15
某公司的安全團隊定義了一套 IAM 配置規則,必須在公司擁有的所有 IAM 賬戶中全面執行。應如何爲安全團隊提供綜合合規性概述?
A. 用 IAM 組織將 IAM 配置規則限制在適當的區域,然後將 Amazon CloudWatch 面板合併到一個 IAM 帳戶中。
B. 用 IAM 配置聚合將視圖合併到一個 IAM 賬戶中,並向安全團隊提供角色訪問權限。
C. 用 IAM Lambda 函數合併 IAM 配置規則結果,並將數據推送到 Amazon SQ
D. 用 Amazon SNS 進行整合,並在觸發某些指標時發出警報。
E. 用 Amazon GuardDuty 從 IAM 配置規則合規狀態加載數據結果,將所有 IAM 帳戶的 GuardDuty 發現匯總到一個 IAM 帳戶,並向安全團隊提供角色訪問權限。
查看答案
正確答案: A
問題 #16
編寫了一個應用程序,該應用程序向 Amazon CloudWatch 發布自定義指標。最近,對帳戶的 IAM 進行了更改,因此不再報告指標。以下哪種解決方案最不允許交付指標?
A. 應用程序使用的 IAM 策略中添加一條語句,允許 logs:putLogEvents 和 logs:createLogStream
B. 過添加 CloudWatchFullAccess 受管策略,修改應用程序使用的 IAM 角色。
C. 應用程序使用的 IAM 策略中添加一條語句,允許 cloudwatch:putMetricData。
D. cloudwatch
查看答案
正確答案: B
問題 #17
一位安全管理員在亞馬遜 S3 上託管了一個網站。管理員需要滿足以下要求:用戶可以使用 Amazon CloudFront 分發訪問網站。用戶不得使用 Amazon S3 URL 直接訪問網站。哪些配置將支持這些要求?(選擇兩項)。
A. 原始訪問身份與 CloudFront 分發關聯。
B. S3 存儲桶策略中實施 "Principal":"cloudfront
C. 改 S3 存儲桶權限,使只有源訪問身份才能訪問存儲桶內容。
D. 施安全組,使 S3 存儲桶只能通過預定的 CloudFront 分發訪問。
E. 置 S3 存儲桶策略,使其只能通過 VPC 端點訪問,並將 CloudFront 分發放到指定的 VPC 中。
查看答案
正確答案: AC
問題 #18
某組織正在將非關鍵業務應用程序遷移到 IAM,同時在內部部署數據中心保留關鍵任務應用程序。內部部署的應用程序必須與 IAM 中的應用程序共享有限的機密信息。互聯網性能不可預測。哪種配置能最安全地確保站點之間的持續連接?
A. PN 和緩存存儲網關
B. AM 雪球邊緣
C. 過 IAM 直接連接的 VPN 網關
D. AM 直接連接
查看答案
正確答案: C
問題 #19
一名安全工程師負責管理一家公司的 IAM 組織。工程師希望限制 IAM 的使用,只允許在其中一個組織單位 (OU) 中使用 Amazon S3。工程師向該 OU 添加了以下 SCP: 第二天。對 IAM IAM 的 API 調用出現在 IAM CloudTrail 日誌中。安全工程師應如何解決此問題?
A. 賬戶移至新的 OU 並拒絕給予 IAM:* 權限。
B. 賬戶級別爲所有非 S3 服務添加拒絕策略。
C. 政策改爲:{"版本":「2012-10-17」,「Statement」:{"Sid": "AllowS3", "Effect": "Allow", "Action": "s3:*", "Resource": "*/*?}]}
D. 離默認的 FullIAMAccess SCP
查看答案
正確答案: A
問題 #20
出於合規原因,某組織將資源的使用限制在三個特定的 IAM 區域內。它希望在未經批准的區域啓動任何資源時收到警報。以下哪種方法可以對在未經批准的區域啓動的任何資源發出警報?
A. 發基於 IAM CloudTrail 日誌處理的警報機制。
B. 控 Amazon S3 事件通知,查看是否有對象存儲在未經批准區域的存儲桶中。
C. 析 Amazon CloudWatch 日誌,查找未經批准區域內的活動。
D. 用 IAM Trusted Advisor 提醒所有正在創建的資源。
查看答案
正確答案: B
問題 #21
一家公司需要隨時對其 Amazon Elastic Block Store (Amazon EBS) 卷進行加密。在安全事件期間。將可疑實例的 EBS 快照共享到取證帳戶以進行分析 一名安全工程師試圖將可疑的 EBS 快照共享到取證帳戶,卻收到以下錯誤:"無法共享快照:調用 ModifySnapshotAttribute 操作時發生錯誤(OperationNotPermitted):無法共享使用 EBS 默認密鑰加密的快照。W
A. 建客戶管理 CMK 複製 EBS 快照,使用新 CMK 加密目標快照。
B. 過修改 CMK 的策略,允許取證會計委託人使用 CMK。
C. 建一個 Amazon EC2 實例
D. 加密的和可疑的 EBS 卷
E. 可疑卷中的數據複製到未加密卷中
F.
查看答案
正確答案: D
問題 #22
由於新的合規性要求,安全工程師必須使用客戶提供的密鑰對存儲在 DynamoDB 中的公司數據進行加密。公司希望保留對加密密鑰的完全控制。工程師應該使用哪種 DynamoDB 功能來實現合規性?
A. 用 IAM 證書管理器申請證書
B. 將數據上傳到 DynamoDB 之前,使用該證書對數據進行加密。
C. 用客戶提供的密鑰啓用 S3 服務器端加密
D. 數據上傳到 Amazon S3,然後使用 S3Copy 將所有數據移動到 DynamoDB
E. 建 KMS 主密鑰
F. 成每條記錄的數據密鑰,並在將數據上傳到 DynamoDB 之前使用它們對數據進行加密 G
查看答案
正確答案: A
問題 #23
某公司正在設置產品,以便在 IAM 服務目錄中進行部署。管理層擔心,當用戶啓動產品時,需要提升 IAM 權限才能創建資源。公司應如何減少這種擔憂?
A. 組合中的每個產品添加模板約束。
B. 產品組合中的每種產品添加推出限制。
C. 產品組合中的每個產品定義資源更新限制。
D. 新支持產品的 IAM CloudFormalion 模板,使其包含服務角色配置。
查看答案
正確答案: BDF

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.