最新的AWS Certified Specialty認證 SCS-C02日本語考試題庫

問題1

ある企業は、AWS Organizations 内の組織に AWS アカウントを所有しています。アカウントの 1 つにある Amazon S3 バケットはパブリックアクセス可能です。
セキュリティエンジニアは、S3 バケットがパブリックにアクセスできないように設定を変更する必要があります。また、セキュリティエンジニアは、S3 バケットが将来パブリックにアクセスできないようにする必要もあります。
これらの要件を満たすソリューションはどれでしょうか?

A. ガバナンスモードで S3 オブジェクトロックを使用するように S3 バケットを設定します。AWS アカウントを含む OU の s3 PutPublicAccessBlock アクションを拒否するように SCP を設定します。

B. S3 バケットで PublicAccessBlock 設定を有効にします。AWS アカウントを含む OU の s3 PutPublicAccessBlock アクションを拒否するように SCP を設定します。

C. S3 バケットで PublicAccessBlock 設定を有効にします。AWS アカウントを含む OU の s3 GetObject アクションを拒否するように SCP を設定します。

D. AWS Key Management Service (AWS KMS) キーを使用するように S3 バケットを設定します。暗号化を適用するバケットポリシーを作成して、S3 バケット内のすべてのオブジェクトを暗号化します。AWS アカウントを含む OU の s3 GetObject アクションを拒否するように SCP を設定します。

正確答案: B

問題2

ある会社のアプリケーションチームは、内部アプリケーションを、単一の IAM リージョン内の Amazon EC2 インスタンス、IAM Lambda 関数、および Amazon S3 バケットで構成される新しい IAM アーキテクチャに置き換えたいと考えています。アーキテクチャのレビュー後、セキュリティチームは、アプリケーションネットワークトラフィックがいかなる時点でもパブリックインターネットを通過できないようにすることを義務付けました。セキュリティチームは、インターネットゲートウェイ、NAT ゲートウェイ、および出力専用ゲートウェイの作成を制限するために、会社の組織の IAM 組織に SCP をすでに配置しています。
これらの要件を満たすために、アプリケーションチームはどの組み合わせの手順を実行する必要がありますか? (3 つ選択してください。)

A. S3 エンドポイントを宛先とするポート 443 経由の送信ルールを持つセキュリティグループを作成します。
セキュリティグループを EC2 インスタンスに関連付けます。

B. ポート 443 経由の送信ルールと S3 アクセスポイントの送信先を持つセキュリティグループを作成します。セキュリティグループを EC2 インスタンスに関連付けます。

C. S3 バケットの S3 アクセスポイントを作成します。ネットワークオリジンを VPC に制限するポリシーを含めます。

D. アプリケーションの VPC に対するフルアクセスポリシーを持つ S3 エンドポイントを作成します。

E. VPC で Lambda 関数を起動します。

F. Lambda 関数を起動します。ブロックパブリックアクセス構成を有効にします。

正確答案: A,D,E

問題3

セキュリティエンジニアが最近、AWS アカウント内のすべての IAM アクセスキーをローテーションしました。その後、セキュリティエンジニアは AWS Config を設定し、AWS Config マネージドルール mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-key-rotated、iam-user-unused-credentials-check を有効にしました。
セキュリティエンジニアは、IAM GenerateCredentialReport API 操作が呼び出された後、すべてのリソースが非準拠として表示されていることに気付きます。
非準拠ステータスの理由は何でしょうか?

A. IAM 認証情報レポートは過去 4 時間以内に生成されました。

B. AWS Config ルールの MaximumExecutionFrequency 値は 24 時間です。

C. セキュリティエンジニアには GenerateCredentialReport 権限がありません。

D. セキュリティエンジニアには GetCredentialReport 権限がありません。

正確答案: B

說明：（僅 VCESoft 成員可見）

問題4

ある会社が新しい Amazon RDS データベースアプリケーションを開発しました。会社は、転送中の暗号化と保存時の暗号化のために ROS データベースの認証情報を保護する必要があります。また、認証情報を定期的に自動的にローテーションする必要もあります。
これらの要件を満たすソリューションはどれですか?

A. Amazon S3 Glacier にデータベース認証情報を保存し、S3 Glacier Vault Lock を使用します。IAM Lambda 関数を設定して、スケジュールされたデータベースで認証情報をローテーションします。

B. IAM Systems Manager パラメータストアを使用してデータベース認証情報を保存します。認証情報の自動ローテーションを構成します。

C. S3 管理暗号化キー (SSE-S3) を使用したサーバー側暗号化が設定された Amazon S3 バケットにデータベース認証情報を保存します。IAM データベース認証を使用して認証情報をローテーションします。

D. IAM Secrets Managerを使用してデータベース認証情報を保存します。認証情報の自動ローテーションを設定します。

正確答案: B

問題5

ある会社のセキュリティチームが、Amazon EC2 Abuse チームから、会社の Amazon EC2 インスタンスの 1 つ以上が侵害された可能性があるという電子メール通知を受け取りました。セキュリティチームは、これに対応するためにどのようなアクションの組み合わせを実行する必要がありますか (現在のモデムですか? (2 つ選択してください))。

A. 通知に応答し、インシデントに対処するために実行されたアクションをリストします

B. インターネットゲートウェイを VPC から切り離し、セキュリティグループから 0.0.0.0V0 を含むルールを削除し、インターネットからのすべての受信トラフィックを拒否する NACL ルールを作成します。

C. 特定された侵害されたインスタンスを削除し、セキュリティチームが作成していない関連リソースを削除します。

D. アカウント内のすべてのIAMユーザーとリソースを削除します

E. IAM セキュリティチームにサポートケースを開き、影響を受けるインスタンスから悪意のあるコードを削除するよう依頼します。

正確答案: B,C

說明：（僅 VCESoft 成員可見）

問題6

ある会社では、異なる IAM サービスに使用する個別の IAM キー管理サービス (IAM KMS) キーを確立したいと考えています。会社のセキュリティエンジニアは、インフラストラクチャデプロイメントチームが InfrastructureDeployment IAM ロールを引き受けて暗号化された Amazon Elastic Block Store (Amazon EBS) ボリュームを作成できるように、次のキーポリシーを作成しました。

セキュリティエンジニアは最近、InfrastructureDeployment ロール以外の IAM ロールがこのキー (または他のサービス) を使用していることを発見しました。これらの問題を解決するには、セキュリティエンジニアはポリシーにどのような変更を加える必要がありますか?

A. ポリシードキュメントで、Sid「IAM ユーザー権限の有効化」を含むステートメント Dlock を削除します。KMS ポリシーにキー管理ポリシーを追加します。

B. ポリシードキュメントで、セキュリティエンジニアの IAM ロールに「kms:Disable」権限を付与する新しいステートメントブロックを追加します。

C. Sid「キーの使用を許可する」を含むステートメントブロックの「条件」ブロックで、Kms:ViaService の値を ec2.us-east-1 .amazonIAM com に変更します。

D. Sid「キーの使用を許可する」を含むステートメントブロックの「条件」ブロックで、StringEquals を StringLike に変更します。

正確答案: C

說明：（僅 VCESoft 成員可見）

問題7

セキュリティ管理者は、会社のルートユーザーアカウントの機能を制限しています。会社では AWS Organizations を使用しており、すべての機能が有効になっています。管理アカウントは課金と管理の目的で使用されますが、AWS リソースの運用目的には使用されません。
セキュリティ管理者は、組織全体のメンバーのルートユーザーアカウントの使用をどのように制限できますか?

A. 組織のルートでのルートユーザーアカウントの使用を無効にします。組織メンバーアカウントごとにルートユーザーアカウントの多要素認証 (MFA) を有効にします。

B. 組織に OU を作成し、ルートユーザーの使用を制御する SCP を添付します。すべてのメンバーアカウントを新しい OU に追加します。

C. AWS CloudTrail を Amazon CloudWatch Logs と統合するように設定します。RootAccountUsage のメトリックフィルターを作成します。

D. 1AM ユーザーポリシーを構成して、各組織メンバーアカウントのルートアカウント機能を制限します。

正確答案: B

說明：（僅 VCESoft 成員可見）

問題8

組織内の開発者は、標準のアプリケーション展開からコンテナに移行しました。セキュリティエンジニアは、コンテナのセキュリティを確保することを任務としています。どの戦略が攻撃対象領域を減らし、コンテナのセキュリティを強化するでしょうか? (2 つ選択してください。)

A. Docker Notary フレームワークを使用してタスク定義に署名します。

B. コンテナをホスト、機能、データ分類別に分離します。

C. リソース消費 (CPU、メモリ)、ネットワーク接続、ポート、不要なコンテナライブラリを制限します。

D. ホストカーネルでコンテナのブレイクアウトを有効にします。

E. コンテナを使用してセキュリティの展開を自動化します。

正確答案: B,E

說明：（僅 VCESoft 成員可見）

問題9

AWS CloudTrail は、組織内の API 呼び出しを監視するために使用されています。監査の結果、CloudTrail が期待どおりに Amazon S3 にイベントを配信できていないことが判明しました。
CloudTrail イベントを S3 に配信できるようにするには、どのような初期アクションを実行する必要がありますか? (2 つ選択してください)。

A. S3 バケットポリシーで CloudTrail によるオブジェクトの書き込みが許可されていることを確認します。

B. CloudTrail によって使用される 1AM ロールに、Amazon CloudWatch Logs への書き込みアクセス権があることを確認します。

C. CloudTrail で定義された S3 バケットが存在することを確認します。

D. S3 Glacier Flexible Retrieval にオブジェクトをアーカイブしている S3 バケットのライフサイクルポリシーを削除します。

E. CloudTrail で定義されたログファイルプレフィックスが S3 バケットに存在することを確認します。

正確答案: A,C

說明：（僅 VCESoft 成員可見）

問題10

Amazon GuardDuty は、ある会社の Amazon EC2 インスタンスから既知のコマンドアンドコントロールエンドポイントへの通信を検出しました。このインスタンスは、一般的な Web フレームワークの脆弱なバージョンを実行していることが判明しました。会社のセキュリティ運用チームは、そのフレームワークの特定のバージョンがインストールされている他のコンピューティングリソースを迅速に特定したいと考えています。
このタスクを達成するためにチームはどのようなアプローチを取るべきでしょうか?

A. Amazon Inspector ネットワーク到達可能性ルールパッケージを使用してすべての EC2 インスタンスをスキャンし、RecognizedPortWithListener の検出結果を持つ Web サーバーを実行しているインスタンスを特定します。

B. IAM Resource Access Manager を使用して EC2 インスタンスをスキャンし、Web フレームワークの脆弱なバージョンを特定します。

C. IAM Systems Manager を使用してすべての EC2 インスタンスをスキャンし、Web フレームワークの脆弱なバージョンを特定します。

D. すべての EC2 インスタンスをスキャンして、IAM Config に準拠していないかどうかを確認します。Amazon Athena を使用して、フレームワークのインストールに関する IAM CloudTrail ログを照会します。

正確答案: C

說明：（僅 VCESoft 成員可見）

問題11

ある会社の最高セキュリティ責任者が、セキュリティアナリストに会社の各 IAM アカウントのセキュリティ体制を確認して改善するよう依頼しました。セキュリティアナリストは、IAM アカウントのルートユーザーのセキュリティを改善することでこれを実行することにしました。
これらの要件を満たすために、セキュリティアナリストはどのようなアクションを実行する必要がありますか? (3 つ選択してください。)

A. 管理者権限を持つ管理者 IAM ユーザーを作成し、すべてのアカウントのアカウントルートユーザーを削除します。

B. アカウントルートユーザーによる IAM 管理コンソールへのアカウントレベルのアクセスを保護するために、強力なパスワードを実装します。

C. IAM STS の自動認証情報ローテーションを利用するには、アカウントのルートユーザーに IAM ロールをアタッチします。

D. アカウントルートユーザーに必要なアクションへのアクセス許可を制限するカスタム IAM ポリシーを作成し、そのポリシーをアカウントルートユーザーにアタッチします。

E. すべてのアカウントのすべてのアカウントルートユーザーに対して多要素認証 (MFA) を有効にします。

F. すべてのアカウントのアカウントルートユーザーのアクセスキーを削除します。

正確答案: D,E,F

說明：（僅 VCESoft 成員可見）

問題12

ある企業は、Amazon EC2 インスタンスに基づくカスタマイズされたパブリック API サービスを保護するために AWS WAF を使用しています。API は Application Load Balancer を使用します。
AWS WAF ウェブ ACL は、AWS マネージドルールのルールグループで構成されています。API とクライアントアプリケーションのソフトウェアアップグレード後、一部の種類のリクエストが機能しなくなり、アプリケーションの安定性の問題が発生しています。セキュリティエンジニアは、ウェブ ACL の AWS WAF ログ記録が有効になっていないことを発見しました。
セキュリティエンジニアは、アプリケーションをすぐにサービスに戻し、問題を解決し、今後ログ記録がオフにならないようにする必要があります。セキュリティエンジニアは、Web ACL のログ記録をオンにし、Amazon Cloud-Watch Logs を送信先として指定します。
要件を満たすために、セキュリティエンジニアはどのような追加の手順を実行する必要がありますか?

A. ウェブ ACL のルールを編集して、Count アクションを含むルールを含めます。ログを確認して、どのルールがリクエストをブロックしているかを判断します。すべての AWS WAF 管理者の IAM ポリシーを変更して、AWS WAF ウェブ ACL のログ記録設定を削除できないようにします。

B. ウェブ ACL のルールを編集して、カウントおよびチャレンジアクションを含むルールを含めます。ログを確認して、どのルールがリクエストをブロックしているかを判断します。AWS WAF 管理者が AWS WAF ウェブ ACL のログ記録設定を削除できないように、AWS WAF リソースポリシーを変更します。

C. ウェブ ACL のルールを編集して、Count アクションを含むルールを含めます。ログを確認して、どのルールがリクエストをブロックしているかを判断します。AWS WAF 管理者が AWS WAF ウェブ ACL のログ記録設定を削除できないように、AWS WAF リソースポリシーを変更します。

D. ウェブ ACL のルールを編集して、カウントおよびチャレンジアクションを含むルールを含めます。ログを確認して、どのルールがリクエストをブロックしているかを判断します。すべての AWS WAF 管理者の IAM ポリシーを変更して、AWS WAF ウェブ ACL のログ記録設定を削除できないようにします。

正確答案: A

說明：（僅 VCESoft 成員可見）

問題13

ある企業は、DevOps チームごとに、IAM 組織の既存の組織内に個別の子アカウントを作成する予定です。IAM CloudTrail は、すべてのアカウントで有効化され、集中化された IAM アカウントの Amazon S3 バケットに監査ログを書き込むように構成されています。セキュリティエンジニアは、DevOps チームのメンバーがこの構成を変更または無効化できないようにする必要があります。
セキュリティエンジニアはどのようにしてこれらの要件を満たすことができるでしょうか?

A. CloudTrail 証跡の指定された宛先アカウントに S3 バケットポリシーを作成し、ソースアカウントの IAM アカウントのルートユーザーによる設定変更を禁止します。

B. 特定の CloudTrail 証跡への変更を禁止する IAM ポリシーを作成し、そのポリシーを IAM アカウントのルートユーザーに適用します。

C. 特定の CloudTrail 証跡への変更を禁止する IAM ポリシーを作成し、そのポリシーを新しい IAM グループに適用します。チームメンバーに、新しい IAM グループのメンバーである個々の IAM アカウントを使用させます。

D. 特定の CloudTrail 証跡への変更を禁止する SCP を作成し、その SCP を Organizations 内の適切な組織単位またはアカウントに適用します。

正確答案: C

最新的Amazon AWS Certified Security - Specialty (SCS-C02日本語版) - SCS-C02日本語免費考試真題

最新更新

站內鏈接

聯系我們