最新的AWS Certified Specialty認證 SCS-C02 Korean考試題庫

問題1

한 회사가 AWS에서 호스팅되는 글로벌 전자상거래 웹사이트를 운영합니다. 이 회사는 Amazon CtoudFront를 사용하여 사용자 기반에 콘텐츠를 제공합니다. 이 회사는 최근의 데이터 규제 정책을 준수하기 위해 특정 국가에서 들어오는 트래픽을 차단하려고 합니다.
이러한 요구 사항을 가장 비용 효율적으로 충족할 수 있는 솔루션은 무엇일까요?

A. CloudFront의 지리적 위치 헤더를 사용하여 특정 국가를 거부합니다.

B. CloudFront의 지역 제한 기능을 사용하여 특정 국가를 거부합니다.

C. 특정 국가를 거부하기 위해 지리적 일치 조건으로 AWS WAF 웹 ACL을 만듭니다. 웹 ACL을 CloudFront 배포와 연결합니다.

D. IP 일치 조건으로 AWS WAF 웹 ACL을 만들어 해당 국가의 IP 범위를 거부합니다. 웹 ACL을 CloudFront 배포와 연결합니다.

正確答案: C

說明：（僅 VCESoft 成員可見）

問題2

한 회사는 Amazon Elastic Container Service(Amazon ECS)를 사용하여 AWS에서 컨테이너 기반 애플리케이션을 실행하고 있습니다. 회사는 컨테이너 이미지에 심각한 취약점이 없는지 확인해야 합니다. 또한 회사는 특정 IAM 역할과 특정 AWS 계정만 컨테이너 이미지에 액세스할 수 있도록 해야 합니다.
최소한의 관리 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 공용 컨테이너 레지스트리에서 이미지를 가져옵니다. 중앙 집중식 AWS 계정에 구성된 푸시 시 검사를 사용하여 Amazon Elastic Container Registry(Amazon ECR) 리포지토리에 이미지를 게시합니다. CI/CD 파이프라인을 사용하여 이미지를 다른 AWS 계정에 배포합니다. 자격 증명 기반 정책을 사용하여 IAM 주체가 이미지에 액세스할 수 있는 액세스를 제한합니다.

B. 공용 컨테이너 레지스트리에서 이미지를 가져옵니다. 중앙 집중식 AWS 계정에 구성된 푸시 시 검사를 사용하여 Amazon Elastic Container Registry(Amazon ECR) 리포지토리에 이미지를 게시합니다. CI/CD 파이프라인을 사용하여 이미지를 다른 AWS 계정에 배포합니다. 리포지토리 정책과 자격 증명 기반 정책을 사용하여 IAM 주체와 계정이 이미지에 액세스할 수 있는 액세스를 제한합니다.

C. 공용 컨테이너 레지스트리에서 이미지를 가져옵니다. 중앙 집중식 AWS 계정의 AWS CodeArtifact 리포지토리에 이미지를 게시합니다. CI/CD 파이프라인을 사용하여 이미지를 다른 AWS 계정에 배포합니다. 리포지토리 정책과 자격 증명 기반 정책을 사용하여 IAM 주체와 계정이 이미지에 액세스할 수 있는 액세스를 제한합니다.

D. 공용 컨테이너 레지스트리에서 이미지를 가져옵니다. 중앙 집중식 AWS 계정의 Amazon EC2 인스턴스에서 호스팅되는 프라이빗 컨테이너 레지스트리에 이미지를 게시합니다. Amazon ECS를 실행하는 EC2 인스턴스에 호스트 기반 컨테이너 검색 도구를 배포합니다. HTTPS를 통한 기본 인증을 사용하여 컨테이너 이미지에 대한 액세스를 제한합니다.

正確答案: B

說明：（僅 VCESoft 成員可見）

問題3

대기업의 보안 엔지니어가 1,500개 자회사에서 사용하는 데이터 처리 애플리케이션을 관리하고 있습니다. 모회사와 자회사는 모두 AWS를 사용합니다. 애플리케이션은 TCP 포트 443을 사용하고 네트워크 로드 밸런서(NLB) 뒤의 Amazon EC2에서 실행됩니다. 규정 준수를 위해 애플리케이션은 자회사에서만 액세스할 수 있어야 하며 공용 인터넷에서는 사용할 수 없습니다. 제한된 액세스에 대한 규정 준수 요구 사항을 충족하기 위해 엔지니어는 각 자회사의 공용 및 비공개 CIDR 블록 범위를 받았습니다.
엔지니어는 애플리케이션에 대한 적절한 액세스 제한을 구현하기 위해 어떤 솔루션을 사용해야 합니까?

A. 1,500개의 보조 CIDR 블록 범위에서 TCP 포트 443에 액세스할 수 있도록 AWS 보안 그룹을 만듭니다. 보안 그룹을 NLB에 연결합니다. 두 번째 보안 그룹(또는 NLB 보안 그룹에서 TCP 포트 443에 액세스할 수 있는 EC2 인스턴스)을 만듭니다.

B. 1.500 보조 CIDR 블록 범위에서 TCP 포트 443에 대한 액세스를 허용하는 AWS 보안 그룹을 만듭니다. 보안 그룹을 EC2 인스턴스와 연결합니다.

C. TCP 포트 443에서 액세스를 허용하는 NACL을 만듭니다(1,500 보조 CIDR 블록 범위에서). NACL을 NLB와 EC2 인스턴스에 모두 연결합니다.

D. NLB에 연결된 모회사 계정에서 AWS PrivateLink 엔드포인트 서비스를 만듭니다. 인스턴스에 대한 AWS 보안 그룹을 만들어 AWS PrivateLink 엔드포인트에서 TCP 포트 443에서 액세스를 허용합니다. 1,500개의 자회사 AWS 계정에서 AWS PrivateLink 인터페이스 엔드포인트를 사용하여 데이터 처리 애플리케이션에 연결합니다.

正確答案: D

說明：（僅 VCESoft 成員可見）

問題4

개발자가 워크스테이션에서 AWS 서비스에 대한 API 호출을 수행할 때 AccessDenied 오류가 발생합니다. 개발자는 이전에 다른 AWS 계정에서 여러 역할을 사용하도록 워크스테이션에서 환경 변수와 구성 파일을 구성했습니다.
보안 엔지니어는 개발자가 인증을 구성하도록 도와야 합니다. 현재 자격 증명은 워크스테이션에 이전에 구성된 다른 자격 증명과 충돌하지 않고 평가되어야 합니다.
이 요구 사항을 충족하려면 이러한 자격 증명을 어디에 구성해야 합니까?

A. AWS CLI 명령줄 옵션의 변수로서

B. 로컬 AWS CLI 구성 파일에서

C. 로컬 워크스테이션의 환경 변수로서

D. AWS 공유 구성 파일에서

正確答案: D

問題5

보안 엔지니어가 AWS API 작업을 보호하기 위해 IAM 정책을 설계하고 있습니다. 이 정책은 IAM 사용자가 AWS 프로덕션 계정에서 특정 서비스에 액세스하려면 다중 요소 인증(MFA)을 시행해야 합니다.
각 세션은 2시간 동안만 유효해야 합니다. IAM 정책의 현재 버전은 다음과 같습니다.

이러한 요구 사항을 충족하기 위해 보안 엔지니어는 IAM 정책에 어떤 조건 조합을 추가해야 합니까? (2개를 선택하세요.)

A. "B001 " : " aws : MultiFactorAuthPresent": "false" }

B. "NumericGreaterThan" : { " aws : MultiFactorAuthAge " : "7200"

C. "NumericLessThan" : { " aws : Multi FactorAuthAge" : "7200"}

D. "Bool " : " aws : Multi FactorAuthPresent": "true" }

E. "NumericLessThan" : { "MaxSessionDuration " : "7200"}

正確答案: C,D

說明：（僅 VCESoft 成員可見）

問題6

보안 엔지니어는 Amazon EC2 인스턴스의 사용자 지정 애플리케이션 보안 로그를 Amazon CloudWatch로 전달하려고 합니다. 보안 엔지니어는 EC2 인스턴스에 CloudWatch 에이전트를 설치하고 CloudWatch 구성 파일에 로그 경로를 추가합니다.
그러나 CloudWatch는 로그를 수신하지 않습니다. 보안 엔지니어는 awslogs 서비스가 EC2 인스턴스에서 실행되고 있는지 확인합니다.
문제를 해결하려면 보안 엔지니어가 다음에 무엇을 해야 합니까?

A. EC2 인스턴스의 신뢰 정책에 AWS CloudTrail을 추가합니다. CloudWatch 대신 CloudTrail로 사용자 지정 로그를 보냅니다.

B. EC2 인스턴스의 신뢰 정책에 Amazon Inspector를 추가합니다. CloudWatch 에이전트 대신 Amazon Inspector를 사용하여 사용자 지정 로그를 수집합니다.

C. EC2 인스턴스의 신뢰 정책에 Amazon S3를 추가합니다. CloudWatch가 로그를 수집하는 데 사용할 수 있는 S3 버킷에 사용자 지정 로그를 쓰도록 애플리케이션을 구성합니다.

D. CloudWatchAgentServerPolicy AWS 관리형 정책을 EC2 인스턴스 역할에 연결합니다.

正確答案: D

說明：（僅 VCESoft 成員可見）

問題7

한 회사에서 ID 페더레이션을 사용하여 사용자를 ID 계정(987654321987)으로 인증하고, 사용자는 IdentityRole이라는 IAM 역할을 맡습니다. 그런 다음 사용자는 대상 IAM 계정(123456789123)에서 JobFunctionRole이라는 IAM 역할을 맡아 직무 기능을 수행합니다.
사용자가 대상 계정에서 IAM 역할을 맡을 수 없습니다. ID 계정의 역할에 첨부된 정책은 다음과 같습니다.

사용자가 대상 계정에서 적절한 역할을 수행할 수 있도록 하려면 무엇을 해야 합니까?

A. 옵션 A

B. 옵션 C

C. 옵션 B

D. 옵션 D

正確答案: C

說明：（僅 VCESoft 成員可見）

問題8

귀사는 IAM에서 서버를 관리하기 위해 배스천 호스트를 사용할 계획입니다. 다음 중 보안 관점에서 배스천 호스트에 대한 가장 적절한 설명은 무엇입니까?
선택해주세요:

A. Bastion 호스트는 내부 네트워크 외부에 위치하며 개인 네트워크로의 게이트웨이로 사용되며 네트워크의 중요한 강점으로 간주됩니다.

B. Bastion 호스트를 사용하면 사용자가 RDP 또는 SSH를 사용하여 로그인하고 해당 세션을 사용하여 내부 네트워크로 S5H하여 개인 서브넷 리소스에 액세스할 수 있습니다.

C. Bastion 호스트는 대중에게 공개되므로 매우 엄격한 보안 및 모니터링을 유지해야 합니다.

D. 보안 문제로 인해 Bastion 호스트는 개인 서브넷에 있어야 하며 공개 서브넷에 있어서는 안 됩니다.

正確答案: B

說明：（僅 VCESoft 成員可見）

問題9

한 회사가 AWS 계정에 대해 AWS Organizations에서 조직을 구성했습니다. AWS CloudTrail은 모든 AWS 지역에서 활성화되어 있습니다. 보안 엔지니어는 CloudTrail이 비활성화되는 것을 방지하기 위한 솔루션을 구현해야 합니다. 어떤 솔루션이 이 요구 사항을 충족할까요?

A. CloudTrail 로그에 대한 AWS KMS 키(SSE-KMS)로 서버 측 암호화를 활성화합니다. KMS 키를 만듭니다. 키에 정책을 연결하여 로그의 암호 해독을 방지합니다.

B. StopLogging 작업과 DeleteTrail 작업에 대한 명시적 거부 규칙을 포함하는 SCP를 만듭니다. SCP를 루트 OU에 연결합니다.

C. 조직의 관리 계정에서 CloudTrail 로그 파일 무결성 검증을 활성화합니다.

D. 회사의 모든 사용자에 대해 오전 1시 정책을 생성하여 사용자가 DescribeTrails 작업과 GetTrailStatus 작업을 수행하지 못하도록 합니다.

正確答案: B

說明：（僅 VCESoft 成員可見）

問題10

보안 엔지니어가 Amazon EC2 Image Builder를 사용하여 EC2 인스턴스의 이미지를 생성하려고 합니다. 보안 엔지니어는 로그를 Amazon S3 버킷으로 보내도록 파이프라인을 구성했습니다. 보안 엔지니어가 파이프라인을 실행하면 다음 오류와 함께 빌드가 실패합니다. "AccessDenied: Access Denied 상태 코드:
403".
보안 엔지니어는 최소 권한 액세스에 대한 모범 사례를 준수하는 솔루션을 구현하여 오류를 해결해야 합니다.
이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (2개를 선택하세요.)

A. 보안 엔지니어가 사용하는 IAM 역할에 다음 정책이 연결되어 있는지 확인하세요.
EC2InstanceProfileForImageBuilder, EC2InstanceProfileForImageBuilderECRContainerBuilds 및 AmazonSSMManagedInstanceCore.

B. EC2 인스턴스의 인스턴스 프로필에 다음 정책이 연결되어 있는지 확인하세요.
EC2InstanceProfileForImageBuilder, EC2InstanceProfileForImageBuilderECRContainerBuilds 및 AmazonSSMManagedInstanceCore.

C. 보안 엔지니어의 IAM 역할에 S3 버킷에 대한 s3:PutObject 권한이 있는지 확인합니다.

D. EC2 인스턴스의 인스턴스 프로필에 S3 버킷에 대한 s3:PutObject 권한이 있는지 확인하세요.

E. AWSImageBuilderFullAccess 정책이 EC2 인스턴스의 인스턴스 프로필에 연결되어 있는지 확인합니다.

正確答案: B,D

說明：（僅 VCESoft 成員可見）

問題11

조직의 개발자는 표준 애플리케이션 배포에서 컨테이너로 이동했습니다. 보안 엔지니어는 컨테이너가 안전한지 확인하는 업무를 맡습니다. 어떤 전략이 공격 표면을 줄이고 컨테이너의 보안을 강화할까요? (두 가지를 선택하세요.)

A. 리소스 소비(CPU, 메모리), 네트워크 연결, 포트 및 불필요한 컨테이너 라이브러리를 제한합니다.

B. 컨테이너를 사용하여 보안 배포를 자동화합니다.

C. 호스트, 기능, 데이터 분류에 따라 컨테이너를 분리합니다.

D. 호스트 커널에서 컨테이너 분리를 활성화합니다.

E. Docker Notary 프레임워크를 사용하여 작업 정의에 서명합니다.

正確答案: B,C

說明：（僅 VCESoft 成員可見）

問題12

회사가 미리 정의된 일정에 따라 Amazon EC2 인스턴스에서 cron 작업을 실행합니다. cron 작업은 2KB 파일을 암호화하는 bash 스크립트를 호출합니다. 보안 엔지니어가 키 정책이 있는 AWS Key Management Service(AWS KMS) 고객 관리 키를 만듭니다. 키 정책과 EC2 인스턴스 루트에는 이 작업에 필요한 구성이 있습니다.
bash 스크립트는 어떤 프로세스를 사용하여 파일을 암호화해야 합니까?

A. aws kms encrypt 명령을 사용하여 데이터 키를 생성합니다. 일반 텍스트 데이터 키를 사용하여 파일을 암호화합니다.

B. aws kms create-grant 명령을 사용하여 기존 KMS 키에 대한 권한을 생성합니다.

C. aws kms generate-data-key 명령을 사용하여 데이터 키를 생성합니다. 암호화된 데이터 키를 사용하여 파일을 암호화합니다.

D. aws kms encrypt 명령을 사용하여 기존 KMS 키를 사용하여 파일을 암호화합니다.

正確答案: C

說明：（僅 VCESoft 成員可見）

問題13

회사에서 보안 상태를 평가하고 있습니다. 과거에 회사는 회사의 비즈니스에 영향을 미치는 특정 호스트 및 호스트 헤더 조합과 관련된 문제를 관찰했습니다. 회사는 이러한 문제를 완화하기 위한 초기 단계로 AWS WAF 웹 ACL을 구성했습니다.
회사는 문제가 있는 활동을 모니터링하기 위해 AWS WAF 웹 ACL에 대한 로그 분석 솔루션을 생성해야 합니다. 회사는 모든 AWS WAF 로그를 중앙 위치에서 처리하려고 합니다. 회사는 특정 호스트를 기반으로 요청을 필터링할 수 있어야 합니다.
보안 엔지니어가 AWS WAF 웹 ACL에 대한 액세스 로깅을 활성화하기 시작합니다.
가장 효율적인 운영 효율성으로 이러한 요구 사항을 충족하려면 보안 엔지니어가 다음에 무엇을 해야 합니까?

A. Amazon Redshift를 액세스 로그의 대상으로 지정합니다. Amazon Athena Redshift 커넥터를 배포합니다. Athena를 사용하여 Amazon Redshift에서 데이터를 쿼리하고 호스트별로 로그를 필터링합니다.

B. Amazon CloudWatch를 액세스 로그의 대상으로 지정합니다. Amazon Redshift Spectrum을 사용하여 로그를 쿼리하고 호스트별로 로그를 필터링합니다.

C. Amazon CloudWatch를 액세스 로그의 대상으로 지정합니다. CloudWatch 로그를 Amazon S3 버킷으로 내보냅니다. Amazon Athena를 사용하여 로그를 쿼리하고 호스트별로 로그를 필터링합니다.

D. Amazon CloudWatch를 액세스 로그의 대상으로 지정합니다. Amazon CloudWatch Logs Insights를 사용하여 호스트별로 로그를 필터링하는 쿼리를 설계합니다.

正確答案: C

說明：（僅 VCESoft 成員可見）

最新的Amazon AWS Certified Security - Specialty (SCS-C02 Korean Version) - SCS-C02 Korean免費考試真題

最新更新

站內鏈接

聯系我們