暗記メーカー

お問い合わせ
ログイン
AWS SCS-C02(1-60)

  • ユーザ名非公開

    • 問題数 60 • 3/24/2025

    記憶度

    完璧

    9

    覚えた

    21

    うろ覚え

    0

    苦手

    0

    未解答

    0

    アカウント登録して、解答結果を保存しよう

    問題一覧

  • 1

    セキュリティ チームは、特定されたアクセス キーを使用して、元従業員が過去 3 か月間に AWS リソースへの不正アクセスを取得した可能性があると考えています。 元従業員が AWS 内で何をした可能性があるかをセキュリティチームが見つけられるようにするには、どのようなアプローチが必要ですか?

    A. AWS CloudTrail コンソールを使用して、ユーザー アクティビティを検索します。

  • 2

    ある企業が Amazon S3 Glacier にデータを保存しています。セキュリティ エンジニアは、10 TB のデータ用に新しいボールト ロック ポリシーを実装し、12 時間前に initiate-vault-lock 操作を呼び出しました。監査チームは、Vault への意図しないアクセスを許可しているポリシーのタイプミスを特定しました。 これを修正するための最も費用対効果の高い方法は何ですか?

    A. abort-vault-lock 操作を呼び出します。ポリシーを更新します。ボールトロック開始操作を再度呼び出します。

  • 3

    企業は、既存の Microsoft Active Directory で定義されている ID とグループを使用して、AWS リソースへのアクセスを制御したいと考えています。 AWS サービスのアクセス許可を Active Directory ユーザー属性にマッピングするには、AWS アカウントで何を作成する必要がありますか?

    C.AWS IAM ロール

  • 4

    ある会社は、複数の AWS アカウントを監査するためにサードパーティと契約しています。監査を有効にするために、監査対象の各アカウントにクロスアカウント IAM ロールが作成されています。監査人が一部のアカウントにアクセスできません。 この問題の原因として考えられるのは、次のうちどれですか? (3つ選んでください。)

    A. 監査人が使用する外部 ID が見つからないか、正しくありません。, C. 監査人は、宛先アカウントのロールに対して sts:AssumeRole を付与されていません。, F. 監査人が使用するロール ARN が欠落しているか正しくない。

  • 5

    コンプライアンス要件では、会社のオンプレミス ホストと EC2 インスタンス間のすべての通信が転送中に暗号化されることが規定されています。ホストは通信に独自のカスタム プロトコルを使用します。EC2 インスタンスは、可用性を高めるためにロード バランサーを前面に配置する必要があります。 これらの要件を満たすソリューションは次のうちどれですか?

    B. Classic Load Balancer の TCP リスナーを介してすべてのトラフィックをルーティングし、EC2 インスタンスで TLS 接続を終了します。

  • 6

    アプリケーションは現在、ネットワーク アクセス制御リストとSecurity groupsを使用して保護されています。Web サーバーは、Application Load Balancer (ALB) の背後にあるパブリック サブネットにあります。アプリケーション サーバーはプライベート サブネットに配置されます。 Amazon EC2 インスタンスを攻撃から保護するために、エッジ セキュリティをどのように強化できますか? (2つ選んでください。)

    B. Web サーバーをパブリック IP アドレスのないプライベート サブネットに移動します。, C. ALB に DDoS 攻撃保護を提供するように AWS WAF を構成します。

  • 7

    セキュリティ管理者は、会社のルート ユーザー アカウントの機能を制限しています。同社は AWS Organizations を使用しており、一括請求を含むすべての機能セットで有効にしています。最上位のアカウントは、運用上の AWS リソースの目的ではなく、請求と管理の目的で使用されます。 管理者は、組織全体でメンバー ルート ユーザー アカウントの使用をどのように制限できますか?

    C. root ユーザーの使用を制御するサービス制御ポリシーを使用して、Organizations に組織単位 (OU) を作成します。すべての運用アカウントを新しい OU に追加します。

  • 8

    システム エンジニアは、Simple Email Service (SES) を介した送信メールの構成を任されており、現在の TLS 標準に準拠する必要があります。 メール アプリケーションは、次のどのエンドポイントと対応するポートに接続するように構成する必要がありますか?

    C. ポート 587 経由の email-smtp.us-east-1.amazonaws.com

  • 9

    脅威評価により、社内の従業員が AWS 内で実行されている本番ホストから機密データを盗み出す可能性があるというリスクが特定されました (アカウント 1)。この脅威は次のように文書化されています。 脅威の説明: 悪意のあるアクターは、管理する AWS アカウント (アカウント 2) の資格情報を構成し、管理下にある Amazon S3 バケットにデータをアップロードすることで、サーバー X から機密データをアップロードする可能性があります。 サーバー X には、プロキシ サーバー経由で構成されたアウトバウンド インターネット アクセスがあります。アプリケーションが暗号化されたファイルを S3 バケットにアップロードできるようにするには、S3 への正当なアクセスが必要です。サーバー X は現在、IAM インスタンス ロールを使用しています。 TLS 暗号化のため、プロキシ サーバーはサーバー通信を検査できません。次のオプションのどれが脅威を軽減しますか? (2つ選んでください。)

    A. プロキシをバイパスし、アカウント 1 内の特定の S3 バケットのみをホワイトリストに登録するポリシーで S3 VPC エンドポイントを使用します。, B. プロキシ サーバー上のパブリック S3 エンドポイントへのアウトバウンド アクセスをブロックします。

  • 10

    企業は、「機密」、「機密」、および「制限付き」のデータ分類スキームに基づいて、機密文書を 3 つの Amazon S3 バケットに保存します。セキュリティ ソリューションは、次の要件をすべて満たす必要があります。 ✑ 各オブジェクトは、一意のキーを使用して暗号化する必要があります。 ✑ 「制限付き」バケットに保管されているアイテムは、復号化のために 2 要素認証を必要とします。 ✑ AWS KMS は、暗号化キーを毎年自動的にローテーションする必要があります。 これらの要件を満たしているのは次のうちどれですか?

    A. データ分類タイプごとにカスタマー マスター キー (CMK) を作成し、毎年ローテーションできるようにします。「Restricted」CMK の場合、キー ポリシー内で MFA ポリシーを定義します。S3 SSE-KMS を使用してオブジェクトを暗号化します。

  • 11

    組織は、アプリケーション サーバーが Amazon EC2 インスタンスで実行される 3 層 Web アプリケーションをデプロイしたいと考えています。これらの EC2 インスタンスは、Amazon RDS DB インスタンスへの SQL 接続を認証するために使用する認証情報にアクセスする必要があります。また、AWS Lambda 関数は、同じデータベース認証情報を使用して RDS データベースにクエリを発行する必要があります。 EC2 インスタンスと Lambda 関数がアクセスできるように、認証情報を保存する必要があります。他のアクセスは許可されません。アクセス ログには、クレデンシャルがいつ、誰によってアクセスされたかを記録する必要があります。 これらの要件を満たすために、セキュリティ エンジニアは何をする必要がありますか?

    D. データベース認証情報を AWS Secrets Manager に保存します。ロールの信頼ポリシーで EC2 および Lambda サービス プリンシパルを使用して、Secrets Manager にアクセスできる IAM ロールを作成します。ロールを EC2 インスタンス プロファイルに追加します。インスタンス プロファイルを EC2 インスタンスにアタッチします。実行に新しいロールを使用するように Lambda をセットアップします。

  • 12

    会社は、インポートされたキー マテリアルを含むカスタマー マスター キー (CMK) を持っています。会社のポリシーでは、すべての暗号化キーを毎年ローテーションする必要があります。 上記のポリシーを実装するにはどうすればよいですか?

    D. 新しい CMK を作成し、それに新しいキー マテリアルをインポートし、キー エイリアスを新しい CMK にポイントします。

  • 13

    水道事業会社は、多数の Amazon EC2 インスタンスを使用して、水質を監視する 2,000 台のモノのインターネット (IoT) フィールド デバイスの更新を管理しています。これらのデバイスには、それぞれ固有のアクセス資格情報があります。 運用上の安全性ポリシーでは、特定の資格情報へのアクセスが独立して監査可能である必要があります。 クレデンシャルのストレージを管理する最も費用対効果の高い方法は何ですか?

    A. AWS Systems Manager を使用して、認証情報を Secure Strings パラメータとして保存します。AWS KMS キーを使用して保護します。

  • 14

    組織は、Linux Amazon EC2 インスタンスにデプロイされたエージェントで Amazon CloudWatch Logs を使用しています。エージェント構成ファイルがチェックされ、プッシュされるアプリケーション ログ ファイルが正しく構成されている。レビューにより、特定のインスタンスからのログが欠落していることが判明しました。 問題をトラブルシューティングするには、どの手順を実行する必要がありますか? (2つ選んでください。)

    A. EC2 run コマンドを使用して、「awslogs」サービスがすべてのインスタンスで実行されていることを確認します。, B. エージェントが使用する権限で、ログ グループ/ストリームの作成とログ イベントの配置が許可されていることを確認します。

  • 15

    セキュリティ エンジニアは、セキュリティ インシデントが発生した場合にインシデント対応チームがユーザーの IAM アクセス許可の変更を監査できるようにするソリューションを設計する必要があります。 これはどのように達成できますか?

    A. AWS Config を使用して、インシデントの前後にユーザーに割り当てられた IAM ポリシーを確認します。

  • 16

    企業には、Amazon EC2 インスタンス間のイングレス、エグレス、および通信を管理する複雑な接続ルールがあります。ルールは非常に複雑であるため、Security groupsとネットワーク アクセス コントロール リスト (ネットワーク ACL) の最大数の制限内で実装することはできません。 追加コストを発生させることなく、必要なすべてのネットワーク ルールを企業が実装できるようにするメカニズムは何ですか?

    B. オペレーティング システムに組み込まれたホストベースのファイアウォールを使用して、必要なルールを実装します。

  • 17

    Fill EC2 権限を持つ IAM ユーザーは、メンテナンス タスクのために Amazon EC2 インスタンスが停止された後、そのインスタンスをボット起動する可能性があります。インスタンスを開始すると、インスタンスの状態は「保留中」に変わりますが、数秒後に「停止済み」に戻ります。 検査の結果、カスタマー マスター キー (CMK) を使用して暗号化された Amazon EBS ボリュームがインスタンスにアタッチされていることが明らかになりました。これらの暗号化されたボリュームがデタッチされると、IAM ユーザーは EC2 インスタンスを開始できました。 IAM ユーザー ポリシーは次のとおりです。 IAM ユーザー ポリシーに追加する必要がある項目は何ですか? (2つ選んでください。) ユーザー ポリシーに追加する必要がある項目は何ですか?

    C. kms:CreateGrant, E. Condition: { Bool: { kms:GrantIsForAWSResource: true } }

  • 18

    セキュリティ管理者は、Amazon S3 でホストされている Web サイトを持っています。管理者には次の要件が与えられています。 ✑ ユーザーは、Amazon CloudFront ディストリビューションを使用してウェブサイトにアクセスできます。 ✑ ユーザーは、Amazon S3 URL を使用して Web サイトに直接アクセスすることはできません。 これらの要件をサポートするのはどの構成ですか? (2つ選んでください。)

    A. オリジン アクセス ID を CloudFront ディストリビューションに関連付けます。, C. S3 バケットのアクセス許可を変更して、オリジン アクセス ID のみがバケットの内容にアクセスできるようにします。

  • 19

    セキュリティ エンジニアは、AWS Lambda 関数を毎日呼び出す Amazon CloudWatch イベントを作成しました。Lambda 関数は、Amazon S3 の AWS CloudTrail ログをチェックする Amazon Athena クエリを実行して、IAM ユーザー アカウントまたは認証情報が過去 30 日間に作成されたかどうかを検出します。Athena クエリの結果は、同じ S3 バケットに作成されます。エンジニアが AWS コンソールを介して Lambda 関数のテスト実行を実行すると、関数は正常に実行されます。 数分後、エンジニアは、自分の Athena クエリが失敗し、次のエラー メッセージが表示されたことに気付きました。 `Insufficient Permissions` セキュリティ エンジニアと Lambda 関数の IAM 権限を以下に示します。 セキュリティ エンジニア - {    ”Version": "2012-10-17"    ”Statement": [       {           ”Effect":[           ”Action“: [ "s3:*", "iam:*", "lambda:*", "athena:Laist*", "cloudwatch:*" ], "Resource": "*" } ] } Lambda 関数実行ロール – {    ”Version": "2012-10-17"    ”Statement": [       {           ”Effect":[           ”Action“: [ "athena:Laist*", "cloudwatch:*" ], "Resource": "*" } ] } エラーの原因は何ですか?

    D. Lambda 関数には、CloudTrail S3 バケットにアクセスする権限がありません。

  • 20

    企業は、IP パケット データを検査して、無効または悪意のあるコンテンツを検出することを要求しています。 次のアプローチのうち、この要件を達成するのはどれですか? (2つ選んでください。)

    A. Amazon EC2 でプロキシ ソリューションを構成し、すべてのアウトバウンド VPC トラフィックをルーティングします。EC2 インスタンスのプロキシ ソフトウェア内で検査を実行します。, B. VPC 内の各 EC2 インスタンスでホストベースのエージェントを構成します。ホストベースのエージェント内で検査を実行します。

  • 21

    ある組織は、AWS に多数のリモート ワーカーがデータ ファイルを送信できるシステムを持っています。ファイル サイズは、数キロバイトから数メガバイトまでさまざまです。 最近の監査では、信頼されていないネットワークを介して転送中のデータ ファイルが暗号化されていないという懸念が浮き彫りになりました。 必要な労力を最小限に抑えながら、監査結果を修正するソリューションはどれですか?

    C. AWS Certificate Manager を使用して、ウェブ サービスのサーバーの前にある Elastic Load Balancing で証明書をプロビジョニングします。

  • 22

    AWS Key Management Service (KMS) を使用するためのどのオプションが、将来のキー侵害の可能性によって公開される可能性のあるデータの範囲を最小限に抑えることに焦点を当てたキー管理のベストプラクティスをサポートしていますか?

    A. KMS 自動キー ローテーションを使用してマスター キーを置き換え、以前に暗号化されたデータを再暗号化することなく、この新しいマスター キーを将来の暗号化操作に使用します。

  • 23

    セキュリティ エンジニアは、特定のアカウントで Amazon EC2、Amazon S3、Amazon RDS、Amazon DynamoDB、および AWS STS のみの使用を強制する必要があります。 この要件を満たすスケーラブルで効率的なアプローチは何ですか?

    A. AWS Organizations 階層をセットアップし、FullAWSAccess ポリシーを管理対象組織単位の次のサービス コントロール ポリシーに置き換えます。

  • 24

    企業のデータベース開発者は、AWS Secrets Manager によって保存および管理されるように、Amazon RDS データベース認証情報を移行しました。開発者はまた、Secrets Manager コンソール内で認証情報のローテーションを有効にし、ローテーションを 30 日ごとに変更するように設定しました。 しばらくすると、多くの既存のアプリケーションが認証エラーで失敗しました。 認証エラーの最も可能性の高い原因は何ですか?

    B. Secrets Manager でローテーションを有効にすると、シークレットがすぐにローテーションされ、アプリケーションは以前の認証情報を使用します。

  • 25

    セキュリティ エンジニアは、同じ Amazon VPC 内の別のアベイラビリティー ゾーンで 2 つの Amazon EC2 インスタンスを起動します。各インスタンスにはパブリック IP アドレスがあり、インターネット上の外部ホストに接続できます。2 つのインスタンスは、プライベート IP アドレスを使用して相互に通信できますが、パブリック IP アドレスを使用すると相互に通信できません。 パブリック IP アドレスを介した通信を許可するために、セキュリティ エンジニアはどのアクションを実行する必要がありますか?

    D. インスタンス Security groupsのイングレス ルールにパブリック IP アドレスを追加します。

  • 26

    セキュリティ エンジニアは、機密性の高い個人情報を処理する Web アプリケーションを管理しています。アプリケーションは Amazon EC2 で実行されます。アプリケーションには厳格なコンプライアンス要件があり、アプリケーションへのすべての着信トラフィックを一般的な Web エクスプロイトから保護し、EC2 インスタンスからのすべての発信トラフィックを特定のホワイトリストに登録された URL に制限する必要があります。 セキュリティ エンジニアは、これらの要件を満たすためにどのアーキテクチャを使用する必要がありますか?

    D. AWS WAF を使用して、インバウンドトラフィックをスキャンして Web エクスプロイトを探します。サードパーティの AWS Marketplace ソリューションを使用して、エグレス トラフィックを特定のホワイトリストに登録された URL に制限します。

  • 27

    最近、ある企業が DDoS 攻撃を受け、Web サーバーがコンテンツを提供できなくなりました。Web サイトは静的であり、ユーザーがダウンロードする HTML、CSS、および PDF ファイルのみをホストします。 画像に示されているアーキテクチャに基づいて、進行中の運用オーバーヘッドを最小限に抑えながら、将来の攻撃からサイトを保護するための最良の方法は何ですか?

    D. すべてのファイルを S3 バケットに移動します。バケットの前に CloudFront ディストリビューションを作成し、Web サーバーを終了します。

  • 28

    情報技術部門は、Classic Load Balancer の使用をやめ、コストを節約するために Application Load Balancer に切り替えました。切り替え後、古いデバイスの一部のユーザーは Web サイトに接続できなくなりました。 この状況の原因は何ですか?

    D. Application Load Balancer の暗号スイートが接続をブロックしている。

  • 29

    セキュリティ チームは、セキュリティ違反についてクラウド環境での AWS API 呼び出しアクティビティを確認する責任があります。これらのイベントは、現在および将来の AWS リージョンの両方で一元化された場所に記録および保持する必要があります。 これらの要件を満たす最も簡単な方法は何ですか?

    C. 新しい証跡を作成し、その証跡をすべてのリージョンに適用して、AWS CloudTrail を有効にします。ストレージの場所として 1 つの Amazon S3 バケットを指定します。

  • 30

    セキュリティ管理者は、AWS アカウントの侵害が疑われる結果としてログ分析を実行しています。管理者は、疑わしい AWS CloudTrail ログ ファイルを分析したいと考えていますが、生成される監査ログの量に圧倒されています。 管理者がログを最も効率的に検索できる方法はどれですか?

    C. CloudTrail S3 バケットから読み取り、ログをクエリしてアカウントのアクティビティを調べるように Amazon Athena を設定します。

  • 31

    最近のセキュリティ監査中に、大規模な組織の複数のチームが制限付きデータを複数の Amazon S3 バケットに配置しており、データが公開されている可能性があることが判明しました。監査人は、個人を特定できる情報 (PII) を含む可能性のあるすべてのオブジェクトを特定し、この情報がアクセスされたかどうかを判断するよう組織に要求しました。 セキュリティ チームがこの要求を完了するには、どのようなソリューションが必要ですか?

    B. 影響を受けた S3 バケットで Amazon Macie を有効にしてから、データ分類を実行します。PII を含む特定されたオブジェクトについては、調査機能を使用して AWS CloudTrail ログを監査し、GET オペレーションの S3 バケット ログを監査します。

  • 32

    最近の内部調査中に、本番アカウントですべての API ロギングが無効になっており、root ユーザーが新しい API キーを作成しており、それらが何度か使用されていることが判明しました。 インシデントを検出して自動的に修復するために何ができたでしょうか?

    B. AWS Config を使用して、AWS CloudTrail が無効になっていること、および root ユーザーの create-api-key への呼び出しを検出する設定ルールを作成します。次に、Lambda 関数を使用して CloudTrail ログを再度有効にし、ルート API キーを非アクティブ化します。

  • 33

    アプリケーションには、アプリケーションのプライマリ リージョン内のアベイラビリティー ゾーンだけでなく、別のリージョン内でも完全に利用可能であるという要件があります。 AWS KMS によって暗号化される AWS リソースのこの要件をサポートしているのは、次のうちどれですか?

    B. リージョン間で CMK を自動的に同期するように AWS KMS を設定して、ターゲット リージョンでリソースを復号化するために使用できるようにします。

  • 34

    組織のポリシーでは、すべての暗号化キーを 12 か月ごとに自動的にローテーションする必要があると規定されています。 この要件を満たすには、どの AWS Key Management Service (KMS) キータイプを使用する必要がありますか?

    A. AWS 管理のカスタマー マスター キー (CMK)

  • 35

    セキュリティ エンジニアは、他のホストを悪用していると報告されている EC2 インスタンス ID を記載した AWS Abuse Notice を受け取りました。 この状況に基づいて、エンジニアはどのアクションを実行する必要がありますか? (3つ選んでください。)

    B. 侵害されたインスタンスに接続された各ボリュームの EBS スナップショットを作成します。, C. メモリ ダンプをキャプチャします。, E. フォレンジック ワークステーションとの間を除き、すべてのネットワークの出入りを無効にします。

  • 36

    セキュリティ管理者は Amazon S3 バケットを設定しており、次のセキュリティ要件を満たす必要があります。✑転送中の暗号化 ✑ 保管中の暗号化 ✑ AWS CloudTrail でのすべてのオブジェクト取得のログ 次のうち、これらのセキュリティ要件を満たすものはどれですか? (3つ選んでください。)

    A. S3 バケット ポリシーの条件内で「aws:SecureTransport」: 「true」を指定します。, C. S3 バケットのデフォルトの暗号化を設定します。, E. すべての S3 オブジェクトのデータ イベントの API ロギングを有効にします。

  • 37

    カスタマーマスターキー (CMK) にアタッチされた次の AWS Key Management Service (KMS) キーポリシーの機能は何ですか?

    C. CMK は、プリンシパルが ExampleUser であり、要求が指定されたリージョンの WorkMail または SES から来る場合にのみ、暗号化および復号化に使用されます。

  • 38

    AWS Key Management Service (AWS KMS) のキー ポリシーを確認していたセキュリティ エンジニアが、企業の AWS アカウントの各キー ポリシーでこのステートメントを見つけました。 声明は何を許可していますか?

    D. アカウント 111122223333 のプリンシパルのみが、このキーへのアクセスを許可してキーを使用する IAM ポリシーが適用されています。

  • 39

    ソフトウェア エンジニアは、Amazon EC2 インスタンスのフリートで実行されるカスタマイズされたレポート サービスを作成しました。会社のセキュリティ ポリシーでは、レポート サービスのアプリケーション ログを一元的に収集する必要があると規定されています。 これらの要件を満たす最も効率的な方法は何ですか?

    D. Amazon CloudWatch Logs エージェントを EC2 インスタンスにインストールし、アプリケーション ログを CloudWatch Logs に送信するように設定します。

  • 40

    セキュリティエンジニアは、AWS サービスで使用される暗号化キーが特定の規制基準に準拠しているかどうかを判断しようとしています。 さらなるガイダンスを得るために、エンジニアは次のどのアクションを実行する必要がありますか?

    B. AWS Artifact を使用して、AWS コンプライアンス レポートにアクセスします。

  • 41

    開発チームは、チーム メンバーが AWS KMSカスタマー マネージド キー (CMK) を使用して SSM パラメータ ストアから Secure String パラメータを暗号化または復号化しようとするたびに、エラー メッセージを受け取ります。 どの CMK 関連の問題が原因である可能性がありますか? (2つ選んでください。)

    A. お申し込み時に指定されたCMKが存在しません。, D. アプリケーションで指定された CMK が有効になっていません。

  • 42

    カスタムメトリクスを Amazon CloudWatch に発行するアプリケーションが作成されました。最近、アカウントに IAM の変更が加えられたため、指標は報告されなくなりました。 次のうち、メトリクスの配信を許可する最も寛容でないソリューションはどれですか?

    C. アプリケーションが使用する IAM ポリシーにステートメントを追加して、cloudwatch:putMetricData を許可します。

  • 43

    開発者のラップトップが盗まれました。ラップトップは暗号化されておらず、複数の Amazon EC2 インスタンスへのアクセスに使用される SSH キーが含まれていました。セキュリティエンジニアは、キーが使用されていないことを確認し、対応計画の作成中にすべての EC2 インスタンスへのポート 22 をブロックしました。 セキュリティ エンジニアは、現在実行中のインスタンスをさらに保護するにはどうすればよいですか?

    C. EC2 RunCommand を使用して、キーを使用している任意の EC2 インスタンスで authorized_keys ファイルを変更します。

  • 44

    組織には、数千の Amazon EC2 インスタンスにデプロイされた数十のアプリケーションがあります。テスト中、アプリケーション チームは、ネットワーク アクセス制御リスト (ネットワーク ACL) とSecurity groupsが期待どおりに機能しているかどうかを知らせる情報を必要とします。 アプリケーション チームの要件を満たすにはどうすればよいですか?

    A. VPC フロー ログをオンにして、ログを Amazon S3 に送信し、Amazon Athena を使用してログをクエリします。

  • 45

    アプリケーションはログをテキスト ファイルに出力します。ログは、セキュリティ インシデントについて継続的に監視する必要があります。 最小の労力で要件を満たすのはどの設計ですか?

    B. アプリケーションの EC2 インスタンスに Amazon CloudWatch Logs エージェントをインストールして設定します。アプリケーション ログを監視する CloudWatch メトリクス フィルターを作成します。メトリクスに基づいて CloudWatch アラートを設定します。

  • 46

    モバイル ゲームのセキュリティ エンジニアは、ユーザーが進行状況を保存できるように、ユーザーを認証する方法を実装する必要があります。ほとんどのユーザーは同じ OpenID-Connect 対応のソーシャル メディア Web サイトの一部であるため、セキュリティ エンジニアはそれを ID プロバイダーとして使用したいと考えています。 ソーシャル メディア ID を使用してユーザーの認証を許可する最も簡単な方法はどれですか?

    A. Amazon Cognito

  • 47

    ソフトウェア エンジニアは、Amazon EC2 インスタンスへのネットワーク接続が正しく機能していないように見える理由を突き止めようとしています。そのSecurity groupsは 0.0.0.0/0 からのインバウンド HTTP トラフィックを許可し、アウトバウンド ルールはデフォルトから変更されていません。サブネットに関連付けられたカスタム ネットワーク ACL は、0.0.0.0/0 からのインバウンド HTTP トラフィックを許可し、アウトバウンド ルールはありません。 接続の問題を解決するにはどうすればよいですか?

    C. エフェメラル ポート範囲でクライアントに応答を送信できるようにするには、アウトバウンド ルールをネットワーク ACL に追加する必要があります。

  • 48

    セキュリティ エンジニアは、3 か月以上経過した IAM ユーザー アクセス キーを無効にする自動プロセスの作成を依頼されました。 セキュリティ エンジニアが使用する必要があるオプションは次のうちどれですか?

    C. GenerateCredentialReport、GetCredentialReport、および UpdateAccessKey API を使用するスクリプトを作成します。

  • 49

    InfoSec チームは、今後は承認された Amazon Machine Image (AMI) のみを使用できるようにすることを義務付けています。 InfoSec チームは、この義務を確実に遵守するにはどうすればよいでしょうか?

    C. AWS Config ルールをデプロイし、実行中のすべてのインスタンスのコンプライアンスをチェックします。

  • 50

    ある製薬会社は、施設内に保存されている過去の処方箋のデジタル化されたバージョンを持っています。同社は、これらの処方箋を AWS に移行し、その中のデータを分析したいと考えています。このデータを操作する場合は、転送中および保管中にデータを暗号化する必要があります。 AWS でのデータ保護要件を満たすアプリケーション フローはどれですか?

    B. デジタル化されたファイル -> Amazon Kinesis Data Firehose -> Amazon S3 -> Amazon Athena

  • 51

    セキュリティエンジニアは、次のキーポリシーで新しい AWS Key Management Service (AWS KMS) キーを作成しました: キーポリシーの影響は何ですか? (2つ選んでください。)

    A. このポリシーは、AWS アカウント 111122223333 が IAM ポリシーを介してキー アクセスを管理するためのアクセスを許可します。, B. ポリシーは、アカウント 111122223333 のすべての IAM ユーザーに KMS キーへのフル アクセスを許可します。

  • 52

    企業は AWS Organization を使用して 50 の AWS アカウントを管理しています。財務スタッフのメンバーは、FinanceDept AWS アカウントに AWS IAM ユーザーとしてログインします。スタッフ メンバーは、MasterPayer AWS アカウントの一括請求情報を読み取る必要があります。MasterPayer AWS アカウントで他のリソースを表示できないようにする必要があります。請求への IAM アクセスが MasterPayer アカウントで有効になっています。 次のアプローチのうち、不要なアクセス許可を付与せずに必要なアクセス許可を財務スタッフに付与する方法はどれですか?

    D. ViewBilling アクセス許可を持つ MasterPayer アカウントに AWS IAM ロールを作成し、FinanceDept アカウントの財務ユーザーにそのロールを引き受けるアクセス許可を付与します。

  • 53

    ソリューション アーキテクトは、Amazon CloudFront、Elastic Load Balancing Application Load Balancer、および Amazon EC2 インスタンスの Auto Scaling グループを使用するウェブ アプリケーションを設計しています。ロードバランサーと EC2 インスタンスは、米国西部 (オレゴン) リージョンにあります。クライアントから CloudFront へ、および CloudFront からロード バランサーへ、顧客ブランドのドメイン名を使用することにより、転送中の暗号化が必要であると判断されました。 AWS Certificate Manager を使用すると仮定すると、いくつの証明書を生成する必要がありますか?

    A. 米国西部 (オレゴン) リージョンに 1 つ、米国東部 (バージニア) リージョンに 1 つ。

  • 54

    セキュリティ エンジニアは、Web サーバーへのインバウンド接続のトラブルシューティングを依頼されました。この 1 つの Web サーバーはインターネットからのインバウンド接続を受信していませんが、他のすべての Web サーバーは正常に機能しています。 このアーキテクチャには、ネットワーク ACL、Security groups、および仮想セキュリティ アプライアンスが含まれます。さらに、開発チームは、すべての Web サーバーに負荷を分散するために Application Load Balancer (ALB) を実装しました。Web サーバーとインターネットの間のトラフィックが仮想セキュリティ アプライアンスを通過する必要があります。 セキュリティ エンジニアは次のことを確認しました: 1. Security groupsに設定されたルールが正しいこと 2. ネットワーク ACL に設定されたルールが正しいこと 3. 仮想アプライアンスに設定されたルールが正しいこと このシナリオでトラブルシューティングを行う有効な項目は、次のうちどれですか? (2つ選んでください。)

    B. 特定の Web サーバーの Elastic Network Interface (ENI) に適用されるSecurity groupsを確認します。, D. ALB に登録されているターゲットを確認します。

  • 55

    承認されていない AWS API リクエストが多すぎると特定された場合に、自動化されたセキュリティ アラートを生成するのはどのアプローチですか?

    A. API 呼び出しのエラー コードを探す Amazon CloudWatch メトリクス フィルタを作成し、そのメトリクスのレートに基づいてアラームを実装します。

  • 56

    企業には、複数の本番 AWS アカウントがあります。各アカウントには、中央アカウントの単一の Amazon S3 バケットにログを記録するように構成された AWS CloudTrail があります。本番アカウントのうち 2 つには、S3 バケットに何も記録していない証跡があります。 問題をトラブルシューティングするには、どの手順を実行する必要がありますか? (3つ選んでください。)

    B. S3 バケット ポリシーで、本番 AWS アカウント ID からの CloudTrail へのアクセスが許可されていることを確認します。, D. CloudTrail コンソールで、各証跡がアクティブで正常であることを確認します。, F. CloudTrail コンソールで、S3 バケット名が正しく設定されていることを確認します。

  • 57

    Amazon CloudWatch Logs エージェントは、ログを CloudWatch Logs サービスに正常に配信しています。ただし、関連するログ ストリームが特定の時間アクティブになると、ログの配信が停止します。 この現象の原因を特定するには、どのような手順が必要ですか? (2つ選んでください。)

    A. CloudWatch Logs エージェントがファイルを読み取ることを許可する監視対象ファイルのファイル権限が変更されていないことを確認します。, B. OS ログ ローテーション ルールが、エージェント ストリーミングの構成要件と互換性があることを確認します。

  • 58

    ある会社は、AWS にカスタム DNS サーバーをデプロイしました。セキュリティ エンジニアは、Amazon EC2 インスタンスが Amazon 提供のDNS を使用できないようにしたいと考えています。 セキュリティエンジニアは、VPC で Amazon が提供する DNS へのアクセスをどのようにブロックできますか?

    D. VPC 構成内で DNS 解決を無効にします。

  • 59

    公開プレゼンテーション中に、ある従業員が AWS アクセス キーとシークレット アクセス キーを誤って公開してしまいました。会社のセキュリティ エンジニアはすぐにキーを無効にしました。 エンジニアはどのようにして鍵の公開の影響を評価し、資格情報が悪用されていないことを確認できますか? (2つ選んでください。)

    A. AWS CloudTrail のアクティビティを分析します。, E. IAM から認証情報レポートをダウンロードして分析します。

  • 60

    アプリケーションの潜在的な攻撃対象領域を最小化するのは、次のうちどれですか?

    A. Security groupsを使用して、ハイパーバイザー レベルで Amazon EC2 インスタンスにステートフル ファイアウォールを提供します。