不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

SCS-C02 考試準備:學習材料和模擬測試,AWS 認證安全 - 專業 | SPOTO

AWS Certified Security - Specialty (SCS-C02) 是一項權威認證,可驗證您在 AWS 雲環境中設計和實施安全解決方案的專業知識。該認證是從事 AWS 數據保護、加密方法和安全互聯網協議的專業人員的理想選擇。SPOTO 提供全面的學習材料和模擬測試,幫助您有效地準備 SCS-C02 考試。我們的資源包括考試問題和答案、模擬測試、考試轉儲、示例問題和免費測驗,確保全面備考。通過 SPOTO 的考試材料,您將深入了解 AWS 安全機制、數據分類、加密方法等方面的知識。我們的考試答案和練習材料旨在模擬真實的考試體驗,而我們的考試模擬器和在線試題則可讓您爲各種場景做好準備。使用 SPOTO 進行準備,以順利通過 SCS-C02 考試,並在 AWS 安全領域取得職業發展。
參加其他線上考試
問題 #1
系統工程師的任務是通過簡單電子郵件服務 (SES) 配置外發郵件,並要求符合當前的 TLS 標準。郵件應用程序應配置爲連接以下哪些端點和相應端口?
A. 電子郵件
B. 通過 995 端口發送電子郵件-pop3
C. 通過 587 端口發送電子郵件-smtp
D. 通過 993 端口發送電子郵件-imap
查看答案
正確答案: ACF
問題 #2
安全工程師在 12 小時前爲 10TB 的數據實施了新的保管庫鎖定策略,並調用了 initiate-vault-lock。審計團隊發現了一個允許錯誤訪問保管庫的錯別字。最經濟有效的糾正方法是什麼?
A. 用 abort-vault-lock 操作,修改錯字,然後再次調用 init-vault-lock 操作。
B. 保管庫數據複製到 Amazon S3,刪除保管庫,然後使用數據創建一個新的保管庫。
C. 新政策,保留保險庫鎖。
D. 新策略並再次調用 init-vault-lock 以應用新策略。
查看答案
正確答案: ADF
問題 #3
某公司擁有一個 IAM 賬戶,並允許使用另一個 IAM 賬戶的第三方承包商承擔某些 IAM 角色。公司希望確保只有在承包商的 IAM 用戶賬戶啓用了多因素身份驗證的情況下,承包商才能承擔 IAM 角色,爲此公司應採取哪些措施?A) B) C) D)
A. 案 A
B. 案 B
C. 案 C
D. 項 D
查看答案
正確答案: B
問題 #4
一名開發人員的筆記本電腦被盜。該筆記本電腦未加密,其中包含用於訪問多個 Amazon EC2 實例的 SSH 密鑰。安全工程師已核實該密鑰未被使用,並在制定響應計劃時阻止了所有 EC2 實例的端口 22。安全工程師如何進一步保護當前運行的實例?
A. EC2 控制臺刪除密鑰對密鑰,然後創建新的密鑰對。
B. 用 modify-instance-attribute API 在使用密鑰的 EC2 實例上更改密鑰。
C. 用 EC2 RunCommand 在任何使用密鑰的 EC2 實例上修改 authorized_keys 文件。
D. 新用於啓動 EC2 實例的任何 AMI 中的密鑰對,然後重新啓動 EC2 實例。
查看答案
正確答案: B
問題 #5
安全工程師發現,一個處理高度敏感數據的新應用程序正在使用以下關鍵模式存儲 Amazon S3 對象,而該模式本身就包含高度敏感數據。模式:"randomID_datestamp_PII.csv" 示例:"1234567_12302017_000-00-0000 csv" 存儲這些對象的存儲桶使用的是服務器端加密 (SSE)。哪種解決方案是保護敏感數據最安全、最具成本效益的選擇?
A. 除對象名稱中的敏感數據,並使用 S3 用戶定義的元數據存儲敏感數據。
B. 加一個 S3 桶策略,拒絕執行 s3:GetObject 操作
C. 用隨機且唯一的 S3 對象密鑰,並使用客戶端加密屬性在 Amazon DynamoDB 中創建 S3 元數據索引。
D. 加密的 Amazon RDS 實例中,將所有敏感對象存儲在二進制大對象 (BLOBS) 中。
查看答案
正確答案: D
問題 #6
安全工程師創建了一個新的 IAM 密鑰管理服務 (IAM KMS) 密鑰,其密鑰策略如下:密鑰策略有哪些影響?(選擇兩項)。
A. 策略允許 IAM 帳戶 111122223333 通過 IAM 策略管理密鑰訪問。
B. 略允許賬戶 111122223333 中的所有 IAM 用戶完全訪問 KMS 密鑰。
C. 略允許賬戶 111122223333 的 root 用戶完全訪問 KMS 密鑰。
D. 略允許賬戶 111122223333 中的 KMS 服務鏈接角色完全訪問 KMS 密鑰。
E. 略允許賬戶 111122223333 中的所有 IAM 角色完全訪問 KMS 密鑰。
查看答案
正確答案: ABF
問題 #7
某公司最近遭受了一次 DDoS 攻擊,導致其網絡服務器無法提供內容。該網站是靜態網站,僅託管 HTML、CSS 和 PDF 文件供用戶下載。根據圖片中顯示的架構,有什麼最佳方法既能保護網站免受未來攻擊,又能最大限度地減少持續運行開銷?
A. 所有文件移到亞馬遜 S3 目錄中
B. 網絡服務器爲 S3 文件桶中的文件提供服務。
C. 一個新的子網中啓動第二個 Amazon EC2 實例
D. 兩個實例前啓動應用程序負載平衡器。
E. EC2 實例前啓動應用程序負載平衡器c
F. 應用程序負載平衡器前面創建 Amazon CloudFront 分發。G
查看答案
正確答案: BDE
問題 #8
某公司有一項合規要求,即每年輪換一次加密密鑰。安全工程師需要一個流程來旋轉使用進口密鑰材料創建的 KMS 客戶主密鑰 (CMK)。工程師如何才能最有效地執行密鑰旋轉流程?
A. 建新的 CMK,並將現有的密鑰別名重定向到新的 CMK
B. 擇自動旋轉按鍵的選項
C. 新的關鍵材料上傳到現有的 CMK 中。
D. 建新的 CMK,並更改應用程序以指向新的 CMK
查看答案
正確答案: DEF
問題 #9
安全工程師創建了一個拒絕所有用戶訪問的 Amazon S3 存儲桶策略。幾天後,安全工程師在水桶策略中添加了一條附加聲明,允許其他一名員工只讀訪問。訪問被拒絕的可能原因是什麼?
A. 要更新數據桶中的 ACL。
B. AM 策略不允許用戶訪問存儲桶
C. 桶政策需要幾分鐘才能生效
D. 許權限被拒絕權限覆蓋。
查看答案
正確答案: B
問題 #10
某公司正在使用 IAM 組織管理多個 IAM 成員賬戶。所有這些賬戶在所有區域都啓用了 Amazon GuardDuty。公司的 IAM 安全操作中心有一個用於記錄和監控的集中安全賬戶。其中一個成員賬戶收到了過高的賬單 一名安全工程師發現,一個被入侵的 Amazon EC2 實例正被用於挖掘加密貨幣。安全操作中心沒有收到中央安全賬戶中的 GuardDuty 發現。
A. 置 Amazon CloudWatch 事件規則,將所有 GuardDuty 調查結果轉發到安全賬戶 使用 IAM Lambda 函數作爲目標,提出調查結果
B. 置 Amazon CloudWatch Events 規則,將所有 GuardDuty 發現轉發到安全賬戶 使用 IAM Lambda 函數作爲目標,在 IAM Security Hub 中提出發現
C. 用 GuardDuty 快速發現權限,檢查安全賬戶中的 GuardDuty 是否能夠在受損賬戶中扮演角色 安排一個 Amazon CloudWatch 事件規則和一個 IAM Lambda 函數,以定期檢查 GuardDuty 發現情況
D. 用 IAM GuardDuty get-members IAM CLI 命令 m 安全賬戶,查看該賬戶是否在列 從 GuardDuty m 安全賬戶向受損賬戶中的 GuardDuty 發送邀請 接受邀請,轉發 GuardDuty 今後的所有發現
查看答案
正確答案: C
問題 #11
一家公司希望有一種安全的方法來生成、存儲和管理密鑰的加密專用訪問權限。以下哪項可用於此目的?請選擇:
A. 用 KMS 和普通 KMS 加密密鑰
B. 用 KMS 和外部密鑰材料
C. 用 S3 服務器端加密
D. 用雲 HSM
查看答案
正確答案: BD
問題 #12
解決方案架構師正在設計一個網絡應用程序,該程序使用 Amazon CloudFront、一個彈性負載平衡應用程序負載平衡器和一組自動擴展的 Amazon EC2 實例。負載平衡器和 EC2 實例位於美國西部(俄勒岡州)地區。已決定有必要使用客戶品牌域名對從客戶端到 CloudFront 以及從 CloudFront 到負載平衡器的傳輸過程進行加密。假定使用 IAM 證書管理器,需要多少個證書?
A. 個在美國西部(俄勒岡州)地區,一個在美國東部(弗吉尼亞州)地區。
B. 國西部(俄勒岡州)地區有兩個,美國東部(弗吉尼亞州)地區沒有。
C. 國西部(俄勒岡州)地區有一個,美國東部(弗吉尼亞州)地區沒有。
D. 東(弗吉尼亞州)地區有兩個,美西(俄勒岡州)地區沒有。
查看答案
正確答案: B
問題 #13
某金融機構有以下安全要求:基於雲的用戶必須包含在一個單獨的身份驗證域中。雲用戶不能訪問內部系統。作爲建立雲環境的一部分,該金融機構正在創建大量亞馬遜託管數據庫和亞馬遜 EC2 實例。企業內部的 Active Directory 服務擁有所有管理員賬戶,這些賬戶必須能夠訪問數據庫和實例。該機構將如何
A. 置 IAM 管理的 Microsoft AD 來管理雲資源。
B. 置額外的內部部署 Active Directory 服務來管理雲資源。
C. 立從現有 Active Directory 到新 Active Directory 服務的單向信任關係。
D. 立從新 Active Directory 到現有 Active Directory 服務的單向信任關係。
E. 新的和現有的 Active Directory 服務之間建立雙向信任。
查看答案
正確答案: D
問題 #14
一位遵循 IAM 最佳實踐進行安全代碼開發的開發人員要求應用程序使用 IAM KMS 對靜態存儲在應用程序本地的敏感數據進行加密。需要解密這些數據時,最簡單、最安全的方法是什麼?
A. 求 KMS 提供已存儲的未加密數據密鑰,然後使用檢索到的數據密鑰解密數據。
B. 用 IAM 策略保護存儲在 Amazon DynamoDB 中的明文數據密鑰
C. 詢 DynamoDB 以檢索解密數據的數據密鑰
D. 用加密 API 將數據密鑰的加密版本與另一個客戶管理的密鑰一起存儲。
E. 加密數據密鑰與加密數據一起存儲
F. 用解密 API 檢索數據密鑰,以便在需要時解密數據。
查看答案
正確答案: C
問題 #15
貴公司爲其 IAM 賬戶定義了特權用戶。這些用戶是公司關鍵資源的管理員。現在的任務是加強這些用戶的安全身份驗證。如何實現這一目標?請選擇:
A. 這些用戶賬戶啓用 MFA
B. 這些用戶賬戶啓用版本控制
C. 這些用戶賬戶啓用意外刪除功能
D. 用用戶的 root 訪問權限
查看答案
正確答案: D
問題 #16
某公司有一個使用 Amazon CloudFront HTTPS 分發的網站,一個使用多個網絡實例的應用程序負載平衡器 (ALB) 用於動態網站內容,一個 Amazon S3 存儲桶用於靜態網站內容。公司的安全工程師最近更新了網站安全要求:?所有傳輸中的數據都必須使用 HTTPS,並使用特定的密碼。?CloudFront 分發只能從互聯網訪問。哪種解決方案能滿足這些要求?
A. 用 IAMsecuretransport 密鑰設置 S3 存儲桶策略 使用 S3 存儲桶配置 CloudFront 起源訪問標識 (OAI) 配置 CloudFront 以使用特定密碼
B. 使用 HTTPS 監聽器強制 ALB,並爲密碼選擇適當的安全策略 將 ALB 與 IAM WAF 連接,以允許從 CloudFront IP 範圍進行訪問。
C. 用 IAM:securetransport ke 設置 S3 桶策略
D. 用 S3 bucke 配置 CloudFront 起源訪問身份 (OAI)。
E. 使用 HTTPS 監聽器強制 ALB,並爲密碼選擇適當的安全策略。
F. 改 CloudFront 分發以使用 IAM WA G
查看答案
正確答案: B
問題 #17
某公司的開發團隊正在使用 IAM Lambda 和 Amazon Elastic Container Service (Amazon ECS) 設計一個應用程序。開發團隊需要創建 IAM 角色來支持這些系統。公司的安全團隊希望允許開發人員直接創建 IAM 角色,但安全團隊希望保留對開發人員可以委託給這些角色的權限的控制。開發團隊需要訪問比應用程序的 IAM 服務所需的更多權限。因此
A. 用 IAM CloudTrai
B. 建一個 Lambda 函數,用於監控特權升級事件的事件歷史記錄並通知安全團隊。
C. 權限要求創建受管 IAM 策略
D. IAM 策略作爲開發團隊 IAM 角色中的權限邊界。
E. 用 IAM 組織 創建一個 SCP,允許 IAM CreateUser 操作,但有一個條件,阻止開發團隊要求之外的 API 調用
F. 建一項 IAM 策略,在 IAMCreateUser 操作上設置拒絕,並將該策略分配給開發人員 G
查看答案
正確答案: B
問題 #18
當您對由 IAM 管理後備密鑰的現有 CMK 密鑰啓用自動密鑰輪換時,密鑰將在多長時間後輪換?請選擇:
A. 0 天后
B. 28 天后
C. 65 天后
D. 年後
查看答案
正確答案: B
問題 #19
某組織運行一個網絡應用程序,爲全球用戶提供服務。該應用程序在應用程序負載平衡器後面的 Amazon EC2 實例上運行。負載平衡器前面有一個 Amazon CloudFront 分布,該組織使用 IAM WAF。該應用程序目前正在遭受一次體積攻擊,攻擊者利用了一款熱門手機遊戲中的一個漏洞。該應用程序正被來自世界各地的 HTTP 請求淹沒,這些請求的 User-Agent 設置如下
A. IAM WAF 規則中創建一條規則,其中包含根據 User-Agent 標頭中 ExampleGame/1
B. CloudFront 分發上創建一個地理限制,以防止從大多數地理區域訪問應用程序
C. IAM WAF 中創建基於速率的規則,限制網絡應用服務的請求總數。
D. IAM WAF 中創建基於 IP 的黑名單,以阻止來自在 User-Agent 頭中包含 ExampleGame/1
查看答案
正確答案: AD
問題 #20
某公司與第三方籤訂了審計多個 IAM 賬戶的合同。爲了進行審計,已在每個審計目標賬戶中創建了跨賬戶 IAM 角色。審計員在訪問某些賬戶時遇到了問題。以下哪些因素可能會導致這一問題?(請選擇三個)。
A. 計員使用的外部 ID 丟失或不正確。
B. 計員使用的密碼不正確。
C. 計員未被授予目標帳戶中角色的 sts:AssumeRole。
D. 計員使用的 Amazon EC2 角色必須設置爲目標帳戶角色。
E. 計員使用的密鑰丟失或不正確。
F. 計員使用的角色 ARN 丟失或不正確。
查看答案
正確答案: B
問題 #21
某公司在所有區域啓用了 Amazon GuardDuty,作爲其安全監控策略的一部分。在其中一個 VPC 中,該公司託管了一個作爲 FTP 服務器運行的 Amazon EC2 實例,該實例被來自多個地點的大量客戶端連接。由於每小時都會發生大量連接,GuardDuty 將其識別爲暴力破解攻擊。這一發現被標記爲誤報。但是,GuardDuty 不斷提出這個問題。已要求一名安全工程師改進
A. 部署 FTP 服務器的區域禁用 GuardDuty 中的 FTP 規則
B. FTP 服務器添加到受信任的 IP 列表,並將其部署到 GuardDuty,以停止接收通知
C. 用啓用了自動存檔功能的 GuardDuty 過濾器來關閉調查結果
D. 建一個 IAM Lambda 函數,每當報告有新的情況發生時就關閉查找結果
查看答案
正確答案: B
問題 #22
信息技術部門已停止使用傳統負載平衡器,轉而使用應用程序負載平衡器,以節約成本。轉換後,一些使用舊設備的用戶再也無法連接到網站。造成這種情況的原因是什麼?
A. 用程序負載平衡器不支持舊版網絡瀏覽器。
B. 美前向保密設置配置不正確。
C. 間證書安裝在應用程序負載平衡器內。
D. 用程序負載平衡器上的密碼套件正在阻止連接。
查看答案
正確答案: B
問題 #23
某公司希望使用現有 Microsoft Active Directory 中定義的身份和組來控制對其 IAM 資源的訪問。該公司必須在其 IAM 賬戶中創建哪些內容,才能將 IAM 服務的權限映射到 Active Directory 用戶屬性?
A. AM IAM 組
B. AM IAM 用戶
C. AM IAM 角色
D. AM IAM 訪問密鑰
查看答案
正確答案: A
問題 #24
安全工程師需要爲 IAM Lambda 配置監控和審計。爲實現這一目標,安全工程師應使用 IAM 服務採取哪些行動組合?(請選擇兩項)。
A. 用 IAM Config 跟蹤對 Lambda 函數、運行時環境、標記、處理程序名稱、代碼大小、內存分配、超時設置和並發設置的配置更改,以及 Lambda IAM 執行角色、子網和安全組關聯。
B. 用 IAM CloudTrail 爲 Lambda 實施治理、合規性、運營和風險審計。
C. 用 Amazon Inspector 自動監控漏洞,並對 Lambda 執行治理、合規性、操作和風險審計。
D. 用 IAM 資源訪問管理器跟蹤對 Lambda 函數、運行時環境、標記、處理程序名稱、代碼大小、內存分配、超時設置和並發設置的配置更改,以及 Lambda IAM 執行角色、子網和安全組關聯。
E. 用 Amazon Macie 來發現、分類和保護在 Lambda 函數內執行的敏感數據。
查看答案
正確答案: AE
問題 #25
您正在通過 S3 存儲桶上的網站託管服務託管一個網站 - http://demo.s3-website-us-east-l .a mazonIAM.com。您的一些網頁使用 Javascript 訪問另一個桶中的資源,該桶也啓用了網站託管功能。但是,當用戶訪問這些網頁時,他們會收到阻止 Javascript 的錯誤信息。如何糾正這一錯誤?請選擇:
A. 水桶啓用 CORS
B. 數據桶啓用版本控制
C. 水桶啓用 MFA
D. 桶啓用 CRR
查看答案
正確答案: B
問題 #26
某組織正在使用 Amazon CloudWatch Logs,並在其 Linux Amazon EC2 實例上部署了代理。代理配置文件已經檢查過,要推送的應用程序日誌文件也配置正確。檢查發現,特定實例的日誌丟失。應採取哪些步驟來排除故障?(選擇兩個)。
A. 用 EC2 運行命令確認 "IAMlogs "服務正在所有實例上運行。
B. 證代理使用的權限是否允許創建日誌組/流和放置日誌事件。
C. 過查看/var/cwlogs/rejects
D. 查信任關係是否授予服務 "cwlogs
E. 證應用服務器的時區是否爲 UTC。
查看答案
正確答案: D
問題 #27
在最近一次涉及亞馬遜 S3 的安全審計後,一家公司請求協助審查其 S3 存儲桶,以確定數據是否得到了妥善保護。清單上的第一個 S3 存儲桶有以下存儲桶策略。該桶策略是否足以確保數據不會被公開訪問?
A. 的,儘管現在已配置 S3 桶 ACL 或對象 ACL,但桶策略仍會使整個桶可被公開訪問。
B. ,無論如何配置 S3 存儲桶 ACL 和對象 ACL,都不能公開訪問存儲桶中的任何數據。
C. 是,首先需要檢查 IAM 用戶策略,以確定是否有任何數據可以公開訪問。
D. ,需要先檢查 S3 桶 ACL 和對象 ACL,以確定是否有任何數據可被公開訪問。
查看答案
正確答案: AB
問題 #28
一名安全工程師正在建立一個新的 IAM 帳戶。該工程師被要求使用基於 IAM 最佳實踐和 Internet 安全中心 (CIS) IAM 基礎基準的自動合規性檢查來持續監控公司的 IAM 帳戶,安全工程師如何使用 IAM 服務來實現這一目標?
A. 用 IAM 配置,並將其設置爲記錄所有區域的所有資源和全局資源
B. 後啓用 IAM Security Hub 並確認 CIS IAM Foundations 合規標準已啓用
C. 用 Amazon Inspector 並將其配置爲針對 CIS IAM 基礎基準掃描所有區域
D. 後啓用 IAM Security Hub 並將其配置爲接收亞馬遜檢查器的檢查結果
E. 用 Amazon Inspector 並將其配置爲針對 CIS IAM 基礎基準掃描所有區域
F. 後在所有區域啓用 IAM Shield,以保護賬戶免受 DDoS 攻擊。G
查看答案
正確答案: D
問題 #29
一名安全工程師在 Amazon ECS 上運行的應用程序中發現了一個漏洞。該漏洞允許攻擊者安裝惡意代碼。對代碼的分析表明,它以隨機時間間隔在 5353 端口上批量滲出數據。在對容器的代碼進行修補的同時,工程師如何才能快速識別所有被攻擊的主機並阻止 5353 端口的數據外泄?
A. 用 IAM Shield 高級和 IAM WA
B. 5353 端口的出口流量配置 IAM WAF 自定義過濾器
C. Amazon ECS 上啓用 Amazon Inspector 並配置自定義評估,以評估端口爲 5353 的容器。
D. 新 NACL,阻止 5353 端口出站。
E. VPC Flow Logs 上創建 Amazon CloudWatch 自定義指標,識別端口 5353 上的出口流量。更新 NACL 以阻止端口 5353 出站。
F. 用 Amazon Athena 查詢 Amazon S3 中的 IAM CloudTrail 日誌,查找端口 5353 上的任何流量。
查看答案
正確答案: BDF
問題 #30
一名安全工程師正在排除網絡服務器之間的連接問題,該服務器正在將日誌文件寫入另一個 VPC 中的日誌服務器。工程師已確認兩個 VPC 之間存在對等互聯關係。VPC 流量日誌顯示,網絡服務器發送的請求被記錄服務器接受,但網絡服務器從未收到過回復,以下哪些操作可以解決這個問題1?
A. 與日誌服務器關聯的安全組中添加一條入站規則,允許來自網絡服務器的請求
B. 與網絡服務器相關聯的安全組中添加一條出站規則,允許向日誌服務器發出請求。
C. 與日誌服務器所在子網相關聯的路由表中添加一條路由,該路由以對等連接爲目標
D. 與網絡服務器所在子網相關聯的路由表中添加一條路由,以實現對等連接
查看答案
正確答案: B

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.