問題一覧
1
分散 Web アプリケーションは、2 つのアベイラビリティーゾーンに存在するパブリックサブネット内の複数の EC2 インスタンスにインストールされます。Apache のログには、過去 6 か月間にレイヤー 7 レベルで数百の IP アドレスからの断続的なブルート フォース攻撃がいくつかあったことが示されています。 将来、これらの攻撃の潜在的な影響を軽減する最善の方法は何ですか?
D. 各インスタンスに侵入防止ソフトウェア (IPS) をインストールします。
2
ある会社は、IT インフラストラクチャのほとんどを AWS に移行することを計画しています。彼らは、既存のオンプレミス Active Directory を AWS の ID プロバイダーとして活用したいと考えています。 会社のオンプレミスの Active Directory を AWS とフェデレートするために、セキュリティエンジニアはどの手順を組み合わせて実行する必要がありますか? (2つ選んでください。)
A. 各 Active Directory グループに対応する権限を持つ IAM ロールを作成します。, D. Active Directory を構成して、Active Directory と AWS の間に証明書利用者信頼を追加します。
3
奇妙な動作を示している顧客アカウントの Amazon EC2 インスタンスに対してセキュリティ アラートが発生しました。セキュリティ エンジニアは、まずEC2 インスタンスを分離してから、ツールを使用してさらに調査する必要があります。 セキュリティ エンジニアは、このイベントを特定して調査するために何を使用する必要がありますか? (3つ選んでください。)
A. AWS CloudTrail, D. VPC フロー ログ, F. Security groups
4
金融機関には、次のセキュリティ要件があります。 ✑ クラウドベースのユーザーは、別の認証ドメインに含まれている必要があります。 ✑ クラウドベースのユーザーは、オンプレミス システムにアクセスできません。 クラウド環境の立ち上げの一環として、金融機関は多数の Amazon 管理データベースと Amazon EC2 インスタンスを作成しています。すべての管理者アカウントを持つActiveDirectory サービスがオンプレミスに存在し、これらがデータベースとインスタンスにアクセスできる必要があります。 組織は、最も安全な方法でリソースをどのように管理しますか? (2つ選んでください。)
A. クラウド リソースを管理するように AWS Managed Microsoft AD を設定します。, D. 新しい Active Directory から既存の Active Directory サービスへの一方向の信頼関係を確立します。
5
組織は、VPC 内の未承認の Amazon EC2 インスタンスが VPC 内の他のインスタンスに対してネットワーク ポート スキャンを実行したときにアラートを受け取ることを望んでいます。 セキュリティ チームが AWS Marketplace から事前承認されたサードパーティ スキャナーを使用して別のアカウントで独自の内部テストを実行すると、セキュリティ チームは、テスト アクティビティに関する Amazon CloudWatch アラートから複数の Amazon GuardDuty イベントも受け取ります。 セキュリティ チームは、承認されていないアクティビティに関するアラートを受け取りながら、承認されたセキュリティ テストに関するアラートを抑制するにはどうすればよいですか?
B. セキュリティ チームの EC2 インスタンスの Elastic IP アドレスを Amazon GuardDuty の信頼できる IP リストに追加します。
6
組織は、オンプレミスのデータセンターでミッションクリティカルなアプリケーションを維持しながら、ビジネスクリティカルではないアプリケーションを AWS に移行しています。オンプレミス アプリケーションは、限られた機密情報を AWS のアプリケーションと共有する必要があります。インターネットのパフォーマンスは予測できません。 サイト間の継続的な接続を最も安全に確保する構成はどれですか?
C. AWS Direct Connect 経由の VPN ゲートウェイ
7
アプリケーションは、Amazon SQS からメッセージを取得する Amazon EC2 インスタンスで構築されています。最近、IAM の変更が行われたため、インスタンスはメッセージを取得できなくなりました。 最小限の権限を維持しながら問題をトラブルシューティングするには、どのようなアクションを実行する必要がありますか? (2つ選んでください。)
B. SQS リソース ポリシーが、インスタンスによって使用されるロールへのアクセスを明示的に拒否していないことを確認します。, E. インスタンスにアタッチされたロールに、キューへのアクセスを許可するポリシーが含まれていることを確認します。
8
ある会社には、EC2 上の Docker で実行されている数百のアプリケーションが中央の場所にログを送信する必要があるフォレンジック ロギングのユース ケースがあります。セキュリティエンジニアは、ログ ファイルに対してリアルタイム分析を実行し、イベントを再生する機能を付与し、データを永続化できるログ ソリューションを作成する必要があります。 このユースケースを満たすことができる AWS のサービスはどれですか? (2つ選んでください。)
A. Amazon Elasticsearch, B. Amazon Kinesis
9
AWS KMS でカスタマーマスターキー (CMK) を使用して AWS CloudTrail ログの暗号化を自動化する最も効率的な方法は次のうちどれですか?
C. CloudTrail ログを暗号化および復号化するために KMS で管理されたキーを使用してサーバー側の暗号化を使用するように CloudTrail を構成します。
10
組織は、AWS CloudTrail、Amazon CloudWatch Logs、および Amazon CloudWatch を使用して、新しいアクセス キーが作成されたときにアラートを送信しています。ただし、セキュリティ操作のメール ボックスにアラートが表示されなくなりました。 次のアクションのうち、この問題を解決するのはどれですか?
C. SNS で、これらのアラートによって使用されるサブスクリプションが削除されていないことを確認します。
11
セキュリティ エンジニアは、次の HTTP セキュリティ ヘッダーを追加して、従来の Web アプリケーションに追加の保護を追加する必要があります。 -コンテンツ セキュリティ ポリシー -X フレーム オプション -X-XSS-保護 エンジニアは、レガシー Web アプリケーションのソース コードにアクセスできません。 次のアプローチのうち、この要件を満たすものはどれですか?
B. 必要なヘッダーを挿入する AWS Lambda@Edgeオリジン応答関数を実装します。
12
セキュリティ イベント中に、一部の Amazon EC2 インスタンスが Amazon CloudWatch ログを送信していないことが判明しました。 この問題をトラブルシューティングするために、セキュリティ エンジニアはどの手順を実行できますか? (2つ選んでください。)
A. 適切なログを送信していない EC2 インスタンスに接続し、CloudWatch Logs エージェントが実行されていることを確認します。, C. EC2 インスタンスにパブリック AWS API エンドポイントへのルートがあることを確認します。
13
セキュリティ エンジニアは、組織のファイアウォール IP ではなく 0.0.0.0/0 からの SSH および RDP トラフィックを許可するルールを開発者がSecurity groupsに追加していることを発見しました。 このアクティビティのリスクを修復する最も効率的な方法は何ですか?
D. AWS Config ルールを使用して 0.0.0.0/0 を検出し、AWS Lambda 関数を呼び出して、Security groupsを組織のファイアウォール IP で更新します。
14
過去の DDoS 攻撃の経験に対応して、セキュリティ エンジニアは Amazon S3 バケット用の Amazon CloudFront ディストリビューションをセットアップしました。一部のユーザーが CloudFront ディストリビューションをバイパスして S3 バケットに直接アクセスする可能性があるという懸念があります。 ユーザーが URL を使用して S3 オブジェクトに直接アクセスできないようにするには、どうすればよいですか?
B. CloudFront オリジン アクセス ID (OAI) をセットアップし、OAI のみがアクセスできるように S3 バケット/オブジェクトのアクセス許可を変更します。
15
ある会社は、IT インフラストラクチャのほとんどを AWS に移行することを計画しています。同社は、既存のオンプレミス Active Directory をAWS の ID プロバイダーとして活用したいと考えています。 会社のオンプレミスの Active Directory を使用して AWS のサービスを認証するには、どの手順を実行する必要がありますか? (3つ選んでください。)
A. 各 Active Directory グループに対応する権限を持つ IAM ロールを作成します。, C. IAM で SAML プロバイダーを作成します。, E. AWS を Active Directory の信頼できる証明書利用者として構成する
16
セキュリティ アナリストが、疑わしいSecurity groupsの変更の監視に関するトラブルシューティングを試みました。アナリストは、これらの AWS CloudTrail ログ イベントに対して Amazon CloudWatch アラームが配置されていると言われました。アナリストは、Security groupsの構成を変更して監視設定をテストしましたが、アラートを受け取りませんでした。 アナリストが実行する必要があるトラブルシューティング手順は次のうちどれですか?
B. メトリクス フィルタが作成され、アラームにマッピングされていることを確認します。アラーム通知アクションを確認してください。
17
Example.com は、Amazon EC2 インスタンスで内部ドキュメント リポジトリをホストしています。アプリケーションは EC2 インスタンスで実行され、以前は暗号化された Amazon EBS ボリュームにドキュメントを保存していました。アプリケーションのスケールを最適化するために、example.com はファイルを Amazon S3 に移動しました。セキュリティ チームは、すべてのファイルを EBS ボリュームから安全に削除することを義務付けており、基盤となるディスクを解放する前に、データが読み取り不能であることを証明する必要があります。 他の人がデータを読み取れないようにする方法は次のうちどれですか?
C. EBS ボリュームの暗号化に使用された暗号化キーを削除します。次に、EBS ボリュームを解放して AWS に戻します。
18
システム管理者は、IP アドレス範囲 10.10.10.0/24 からの承認された AWS IAM ユーザーのみに S3 バケットへのアクセスを許可するように設計された、次の Amazon S3 バケット ポリシーを作成しました。 10.10.10.40 から S3 バケットからオブジェクトをダウンロードしようとすると、IAM ユーザーはアクセス拒否メッセージを受け取ります。 ユーザーにアクセス権を付与するために、管理者は何を変更する必要がありますか?
A. 「Resource」を「arn: aws:s3:::Bucket」から「arn:aws:s3:::Bucket/*」に変更します。
19
セキュリティ エンジニアは、機密性の高いデータを扱う新しいアプリケーションが、機密性の高いデータを含む次のキー パターンを持つ Amazon S3 オブジェクトを保存していることを発見しました。 パターン: "randomID_datestamp_PII.csv" 例: "1234567_12302017_000-00-0000 csv" これらのオブジェクトが保存されているバケットは、サーバー側の暗号化 (SSE) を使用しています。 機密データを保護するための最も安全で費用対効果の高いオプションはどれですか?
C. ランダムで一意の S3 オブジェクト キーを使用し、クライアント側の暗号化された属性を使用して Amazon DynamoDB に S3 メタデータ インデックスを作成します。
20
AWS CloudTrail は、組織内の API 呼び出しを監視するために使用されています。監査により、CloudTrail が期待どおりにイベントを Amazon S3 に配信できないことが明らかになりました。 CloudTrail イベントを S3 に配信できるようにするには、どのような初期アクションを実行する必要がありますか? (2つ選んでください。)
A. S3 バケット ポリシーが CloudTrail によるオブジェクトの書き込みを許可していることを確認します。, D. CloudTrail で定義された S3 バケットが存在することを確認します。
21
新しいコンプライアンス要件により、セキュリティ エンジニアは、DynamoDB に保存されている企業データに対して顧客提供のキーを使用して暗号化を有効にする必要があります。 この会社は、暗号化キーを完全に管理したいと考えています。 コンプライアンスを達成するために、エンジニアはどの DynamoDB 機能を使用する必要がありますか?
D. DynamoDB Java 暗号化クライアントを使用して、データを DynamoDB にアップロードする前に暗号化します。
22
セキュリティ エンジニアは、Amazon EC2 ホスト上のファイルが変更されたかどうかを検出できるシステムを設計する必要があります。次に、システムはセキュリティエンジニアに変更を警告する必要があります。 これらの要件を満たす最も効率的な方法は何ですか?
B. ホストベースの IDS ソフトウェアをインストールして、ファイルの整合性をチェックします。モニタリングとアラートのためにログを Amazon CloudWatch Logs にエクスポートします。
23
図に示すように、ある企業のアカウントには、ピアリングされた複数の VPC があります。 セキュリティ エンジニアは、3 つの VPC すべてでAmazon EC2 インスタンスの侵入テストを実行したいと考えています。 これはどのように達成できますか?(2つ選んでください。)
B. Marketplace から事前承認されたスキャン エンジンを各 VPC にデプロイし、その VPC 内のスキャン エンジンから各 VPC 内のインスタンスをスキャンします。侵入テスト リクエスト フォームには記入しないでください。, D. データセンターから 3 つの VPC のそれぞれへの VPN 接続を作成します。オンプレミスのスキャン エンジンを使用して、各 VPC 内のインスタンスをスキャンします。侵入テスト リクエスト フォームには記入しないでください。
24
セキュリティ エンジニアは、Amazon EC2 インスタンスで実行されている従来の 3 層 Web アプリケーションを管理しています。このアプリケーションは、インターネットからの悪意のある攻撃の標的となっています。 セキュリティ エンジニアは、既知の脆弱性をチェックし、攻撃対象を制限するためにどのような手順を実行する必要がありますか? (2つ選んでください。)
B. アプリケーション Security groupsを確認して、必要なポートのみが開いていることを確認します。, D. Amazon Inspector を使用して、バックエンド インスタンスを定期的にスキャンします。
25
コンプライアンス上の理由から、組織はリソースの使用を 3 つの特定の AWS リージョンに制限しています。承認されていないリージョンでリソースが起動されたときにアラートを受け取る必要があります。 承認されていないリージョンで起動されたリソースに関するアラートを提供するのは、次のどのアプローチですか?
A. AWS CloudTrail ログの処理に基づくアラートメカニズムを開発します。
26
企業は、従業員のみがアクセスする必要があるアプリケーションを AWS で実行しています。ほとんどの従業員はオフィスで働いていますが、リモートで働いたり、出張したりしている従業員もいます。 セキュリティ エンジニアは、従業員だけがアクセスできるように、このワークロードをどのように保護できますか?
C. ユーザーが接続する AWS Marketplace の VPN アプライアンスを使用し、そのアプライアンスからのトラフィックへのワークロード アクセスを制限します。
27
システム エンジニアは、インライン展開された仮想セキュリティ アプライアンスを含むテスト環境の接続をトラブルシューティングしています。開発チームは、仮想セキュリティ アプライアンスの使用に加えて、Security groupsとネットワーク ACL を使用して、環境内のさまざまなセキュリティ要件を達成したいと考えています。 仮想セキュリティ アプライアンスがトラフィックをルーティングできるようにするには、どのような構成が必要ですか?
C. セキュリティ アプライアンスの Elastic Network Interface で Network Source/Destination チェックを無効にする
28
セキュリティ アーキテクトは、暗号化キーのストレージに関するマネージド ソリューションを評価しています。要件は次のとおりです。 - ストレージは、VPC のみを使用してアクセスできます。 -サービスには改ざん防止機能があります。 ・アクセスロギングを有効にしています。 ・ストレージの可用性が高い。 次のサービスのうち、これらの要件を満たすものはどれですか?
B. AWS CloudHSM
29
AWS アカウントには、bucket1 と bucket2 の 2 つの S3 バケットが含まれています。バケット 2 にはポリシーが定義されていませんが、バケット 1 には次のバケット ポリシーがあります。 さらに、同じアカウントには、次の IAM ポリシーを持つ「alice」という名前の IAM ユーザーがいます。 ユーザーが「alice」にアクセスできるのはどのバケットですか?
C. Bucket 1 とBucket 2 の両方
30
組織には、AWS で実行されている 3 つのアプリケーションがあり、それぞれが Amazon S3 の同じデータにアクセスしています。Amazon S3 のデータは、AWS KMS カスタマー マスター キー (CMK) を使用してサーバー側で暗号化されます。 各アプリケーションが KMS CMK で独自のプログラムによるアクセス制御権限を持つようにするための推奨される方法は何ですか?
C. 各アプリケーションで KMS CMK に対する許可を使用して、KMS CMK に対する特定のアクセス制御を追加または削除する。
31
セキュリティ エンジニアには、Amazon EC2 で実行され、EC2 Auto Scaling グループで AWS CloudFormation テンプレートを使用して管理されるアプリケーションについて、次の要件が与えられます。 - バックエンド データベースに接続するために EC2 インスタンスをブートストラップする。 - データベース資格情報が安全に処理されることを確認します。 - データベース資格情報の取得がログに記録されていることを確認します。 これらの要件を満たすための最も効率的な方法は次のうちどれですか?
B. SecureString パラメータを使用して、AWS Systems Manager パラメータストアにデータベースパスワードを保存します。EC2 インスタンス プロファイルの IAM ロールを設定して、パラメーターへのアクセスを許可します。
32
企業には 2 つの AWS アカウントがあり、それぞれに 1 つの VPC が含まれています。最初の VPC には、企業ネットワークとの VPN 接続があります。VPN を使用しない 2 番目の VPC は、プライベート サブネットで Amazon Aurora データベース クラスターをホストします。開発者は、画像に示すように、パブリック サブネットの踏み台ホストから Aurora データベースを管理します。セキュリティ レビューでは、このアーキテクチャに脆弱性があるとフラグが付けられており、セキュリティ エンジニアはこの設計をより安全にするよう依頼されています。同社の締め切りは短く、Aurora アカウントへの 2 番目の VPN 接続はできません。 セキュリティ エンジニアはどのようにして踏み台ホストを安全にセットアップできますか?
A. VPN 接続を使用して踏み台ホストを VPC に移動します。要塞ホスト VPC と Aurora VPC の間に VPC ピアリング関係を作成します。
33
組織は、世界中のユーザーにサービスを提供する Web アプリケーションを運用しています。アプリケーションは、Application Load Balancer の背後にある Amazon EC2 インスタンスで実行されます。 ロードバランサーの前に Amazon CloudFront ディストリビューションがあり、組織は AWS WAF を使用しています。アプリケーションは現在、ボリューム攻撃を受けており、攻撃者は人気のあるモバイル ゲームのバグを悪用しています。 アプリケーションは、次の文字列に設定された User-Agent を使用して、世界中から HTTP 要求で殺到しています: Mozilla/5.0 (compatible; ExampleCorp;ExampleGame/1.22; Mobile/1.0) 正当なリクエストのサービスを継続しながら、このバグに起因する攻撃をブロックするために適用できる緩和策は何ですか?
A. User-Agent ヘッダーの ExampleGame/1.22 の存在に基づいてリクエストをブロックする条件を使用して、AWS WAF ルールでルールを作成します。
34
一部の機密性の高い分析ワークロードは、Amazon EC2 ホストに移動する予定です。脅威モデリングにより、サブネットが悪意を持って、または誤ってインターネットに公開されるリスクが存在することが判明しました。 次の軽減策のうち、推奨されるものはどれですか?
A. AWS Config を使用して、インターネット ゲートウェイが追加されているかどうかを検出し、AWS Lambda 関数を使用して自動修復を提供します。
35
安全なコード開発のために AWS のベスト プラクティスに従っている開発者は、AWS KMS を使用して、機密データをアプリケーション内でローカルに保存するためにアプリケーションで暗号化する必要があります。必要なときにこのデータを復号化する最も簡単で最も安全な方法は何ですか?
D. 暗号化されたデータと一緒に暗号化されたデータ キーを保存します。必要に応じて、Decrypt API を使用してデータ キーを取得し、データを復号化します。
36
大学のセキュリティ管理者は、Amazon EC2 インスタンスのフリートを構成しています。EC2 インスタンスは学生間で共有され、ルート以外の SSH アクセスが許可されます。管理者は、学生が EC2 インスタンス メタデータ サービスを使用して他の AWS アカウント リソースを攻撃していることを懸念しています。 この潜在的な攻撃から保護するために、管理者は何ができますか?
C. インスタンスに iptables ベースの制限を実装します。
37
組織は、ELB クラシック ロード バランサーの背後にある EC2 インスタンスが侵害されたことを示すアラートを受け取ります。 横方向の動きを制限し、証拠収集を可能にする技術は何ですか?
B. ロード バランサーからインスタンスを削除し、Security groupsを強化してインスタンスへのアクセスをシャットダウンします。
38
開発チームは、新しい AWS アカウントで IAM ロールとポリシーを設定するための支援を求めています。アカウントを使用するチームは、何百ものマスター キーを持つことを想定しているため、カスタマー マスター キー (CMK) のアクセス制御を管理したくありません。 次のうち、チームが個々のキーポリシーを複雑に編集することなく IAM で AWS KMS アクセス許可を管理できるようにするものはどれですか?
B. 新しく作成された CMK には、ルート プリンシパルがすべてのアクションを実行できるようにするキー ポリシーが必要です。
39
Amazon EC2 インスタンスは、Application Load Balancer (ALB) の背後にある EC2 Auto Scaling グループの一部です。EC2 インスタンスが侵害された疑いがあります。 侵害の疑いを調査するには、どの手順を実行する必要がありますか? (3つ選んでください。)
B. EC2 インスタンス上のすべてのボリュームの Amazon Elastic Block Store ボリューム スナップショットを開始します。, D. ALB から EC2 インスタンスの登録を解除し、Auto Scaling グループから切り離します。, E. 制限的なイングレス ルールとエグレス ルールを持つSecurity groupsを EC2 インスタンスにアタッチします。
40
ある会社は 5 つの AWS アカウントを持っており、AWS CloudTrail を使用して API 呼び出しをログに記録したいと考えています。ログファイルは、一元化されたサービス用に特別に構築された新しいアカウントに存在する Amazon S3 バケットに保存する必要があり、各証跡に一意のトップレベルのプレフィックスが付いています。構成では、ログへの変更を検出できるようにする必要もあります。 次の手順のうち、これらの要件を実装するのはどれですか? (3つ選んでください。)
A. CloudTrail ログの集中ストレージ用に別の AWS アカウントに新しい S3 バケットを作成し、すべての証跡で「ログ ファイルの検証」を有効にします。, C. CloudTrail サービスが「s3 PutObject」アクションと「s3 GelBucketACL」アクションを使用することを許可する新しい集中型 S3 バケットにバケット ポリシーを適用し、CloudTrail トレイルに適切なリソース ARN を指定します。, D. 各 AWS アカウントの証跡に一意のログ ファイル プレフィックスを使用する。
41
セキュリティ エンジニアは、ユーザーがキーに直接触れることなく、Amazon S3 オブジェクトをシームレスに暗号化できるようにするソリューションを実装しています。ソリューションは、継続的な管理を必要とせずに高度にスケーラブルでなければなりません。さらに、組織は暗号化キーをすぐに削除できる必要があります。 これらの要件を満たすソリューションはどれですか?
B. AWS でインポートされたキー マテリアルで KMS を使用し、必要に応じて DeletelmportedKeyMaterial API を使用してキー マテリアルを削除します。
42
アプリケーションは、Amazon DynamoDB などの AWS リソースに直接アクセスする際に、Amazon Cognito を使用してエンドユーザーのアクセス許可を管理します。新しい機能のリクエストは次のとおりです: 顧客を調査保留中または永久停止としてマークするメカニズムを提供します。一時停止された場合でも顧客はログインできるはずですが、変更を加えることはできません。 優先事項は、複雑さを軽減し、将来のセキュリティ問題の可能性を回避することです。 これらの要件と優先事項を満たすのはどのアプローチですか?
D. 停止された顧客を 2 番目の Cognito グループに移動し、グループに適切な IAM アクセス ポリシーを定義します。
43
ある会社は、Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームにデータを保存します。データは Amazon S3 バケットに非同期的に複製されます。EBS ボリュームと S3 バケットの両方が、同じ AWS KMS カスタマー マスター キー (CMK) で暗号化されます。元従業員は、会社を辞める前にその CMK の削除をスケジュールしました。 会社の開発者運用部門は、CMK が削除された後にのみ、このことを知ります。 この状況に対処するには、どの手順を実行する必要がありますか?
A. ボリュームが EC2 インスタンスから切り離される前に、EBS 暗号化ボリュームからデータを直接コピーします。
44
AWS Lambda 関数がデータの改ざんに悪用されたため、セキュリティ エンジニアは関数を呼び出した人物と生成された出力を特定する必要があります。エンジニアは、Amazon CloudWatch Logs で Lambda 関数によって作成されたログを見つけることができません。 ログが利用できない理由を説明しているのは次のうちどれですか?
A. Lambda 関数の実行ロールは、ログ データを CloudWatch Logs に書き込む権限を付与しませんでした。
45
企業は、ドメイン サービス用にオンプレミスの Active Directory サーバーに参加している VPC に Windows Amazon EC2 インスタンスを持っています。セキュリティ チームは、AWS アカウントで Amazon GuardDuty を有効にして、インスタンスの問題をアラートで通知できるようにしました。 ネットワーク トラフィックの毎週の監査中に、セキュリティ エンジニアは、EC2 インスタンスの 1 つが既知のコマンド アンド コントロール サーバーとの通信を試みているが失敗していることに気付きました。このアラートは GuardDuty には表示されません。 GuardDuty がこの動作を警告できなかったのはなぜですか?
B. GuardDuty はこれらの DNS 要求を認識しません。
46
AWS Systems Manager Parameter Store は、AWS Lambda 関数で使用されるデータベース パスワードを保存するために使用されています。これは機密データであるため、パラメーターはタイプ SecureString として保存され、IAM を介したアクセスを許可する AWS KMS キーによって保護されます。関数が実行されると、アクセス拒否エラーの結果として、このパラメーターを取得できません。 次のアクションのうち、アクセス拒否エラーを解決するのはどれですか?
C. Lambda 関数が使用するロールにポリシーを追加して、KMS キーの kms: Decrypt を許可します。
47
会社のセキュリティ ポリシーでは、すべての VPC で VPC フロー ログを有効にする必要があります。セキュリティ エンジニアは、コンプライアンスのために VPC リソースを監査するプロセスを自動化しようとしています。 エンジニアが取るべきアクションの組み合わせは? (2つ選んでください。)
A. 特定の VPC でフロー ログが有効になっているかどうかを判断する AWS Lambda 関数を作成します。, E. AWS Config カスタムルールを作成し、評価ロジックを含む AWS Lambda 関数に関連付けます。
48
セキュリティ エンジニアは、CMK で暗号化されているデータへのアクセスを制御する方法を探しています。エンジニアは、追加の認証済みデータ (AAD) を使用して、暗号文の改ざんを防止することも検討しています。 必要な機能を提供するアクションはどれですか?
C. CMK の IAM ポリシーを定義するときに、kms:EncryptionContext を条件として使用します。
49
アプリケーションは、AWS SDK を使用して AWS のサービスを呼び出します。アプリケーションは、関連付けられた IAM ロールを持つ Amazon EC2 インスタンスで実行されます。アプリケーションが Amazon S3 バケット内のオブジェクトにアクセスしようとしたとき。管理者は次のエラー メッセージを受け取ります。 HTTP 403: アクセスが拒否されました。 この問題をトラブルシューティングするために、管理者はどの手順を組み合わせて実行する必要がありますか? (3つ選んでください。)
B. KMS キー ポリシーで、この IAM 原則の KMS キーの復号化アクセスが許可されていることを確認します。, C. オブジェクトへのアクセスを拒否するステートメントがないか、S3 バケット ポリシーを確認します。, E. EC2 インスタンスに関連付けられた IAM ロールに適切な権限があることを確認します。
50
セキュリティ エンジニアは、VPC 内で通信するコンテナ間で相互認証された TLS 接続を実装する必要があります。 最も安全で保守が容易なソリューションはどれですか?
C. AWS Certificate Manager Private Certificate Authority (ACM PCA) を使用して下位の認証局を作成し、コンテナに秘密鍵を作成し、ACM PCA API を使用して署名します。
51
Example Corp. の経理部門は、コストの最適化を支援するために Example Corp. の AWS アカウントを監視するために、サードパーティの会社である AnyCompany を雇うことを決定しました。 Example Corp. のセキュリティ エンジニアは、必要な Example Corp. AWS リソースへのアクセス権を AnyCompany に提供する任務を負っています。エンジニアは IAM ロールを作成し、AnyCompany の AWS アカウントにこのロールを引き受ける権限を付与しました。 顧客が AnyCompany に連絡するとき、検証のためにロール ARN を提供します。エンジニアは、AnyCompany の他の顧客の 1 人が Example Corp. のロール ARN を推測し、会社のアカウントを侵害する可能性があることを懸念しています。 この結果を防ぐために、エンジニアはどのような手順を実行する必要がありますか?
B. AnyCompany から外部 ID を要求し、役割の信頼ポリシーに sts:Externald を含む条件を追加します。
52
企業は、AWS KMS CMK を使用して保護する必要がある Amazon S3 バケットに機密データを保持しています。この会社では、キーを毎年自動的にローテーションする必要があります。 バケットはどのように構成する必要がありますか?
D. AWS KMS で管理されたキー (SSE-KMS) を使用したサーバー側の暗号化を選択し、AWS で管理された CMK へのエイリアスを選択します。
53
Amazon S3 バケットは、AWS KMS CMK を使用して暗号化されます。IAM ユーザーは、AWS マネジメント コンソールを使用して S3 バケットからオブジェクトをダウンロードできません。ただし、他のユーザーは S3 バケットからオブジェクトをダウンロードできます。 この問題を解決するために、セキュリティ エンジニアはどのポリシーを確認して変更する必要がありますか? (3つ選んでください。)
A. CMK ポリシー, C. S3 バケット ポリシー, E. IAM ポリシー
54
企業のセキュリティ ソリューションを分析しているときに、セキュリティ エンジニアは AWS アカウントのルート ユーザーを保護したいと考えています。 アカウントに最高レベルのセキュリティを提供するために、セキュリティ エンジニアは何をすべきですか?
D. AWS アカウントで管理者権限を持つ新しい IAM ユーザーを作成します。AWS アカウントのルート ユーザーの多要素認証を有効にします。
55
セキュリティエンジニアは、AWS でウェブアプリケーションを構築する製品チームと協力しています。アプリケーションは、Amazon S3 を使用して静的コンテンツをホストし、Amazon API Gateway を使用して RESTful サービスを提供します。バックエンド データ ストアとしての Amazon DynamoDB。ユーザーは、SAML ID プロバイダーを介して公開されているディレクトリに既に存在します。 ユーザーが Web アプリケーションに認証され、API を呼び出せるようにするために、エンジニアは次のアクションのどの組み合わせを実行する必要がありますか? (3つ選んでください。)
B. Amazon Cognito で SAML ID プロバイダーを設定して、属性を Amazon Cognito ユーザープール属性にマッピングします。, C. SAML ID プロバイダーを設定して、Amazon Cognito ユーザープールを証明書利用者として追加します。, F. COGNITO_USER_POOLS オーソライザーを使用するように API Gateway を更新します。
56
企業の VPC とオンプレミス データ センター間の接続を保護している間、セキュリティ エンジニアは、オンプレミス ホスト (IP アドレス 203.0.113.12) から Amazon EC2 インスタンス (IP アドレス 172.31.16.139) に ping コマンドを送信しました。ping コマンドが応答を返しませんでした。VPCのフローログは、次のことを示しました: 2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK 2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK ping を機能させるには、どのようなアクションを実行する必要がありますか?
D. VPC の NACL で、アウトバウンド ICMP トラフィックを許可します。
57
セキュリティ エンジニアが、Amazon EC2 で実行される Java アプリケーションを構築しています。アプリケーションは Amazon RDS インスタンスと通信し、ユーザー名とパスワードで認証します。 認証情報を保護し、認証情報がローテーションされたときにダウンタイムを最小限に抑えるために、エンジニアはどの手順を組み合わせて実行できますか? (2つ選んでください。)
C. AWS Secrets Manager で認証情報の自動ローテーションを設定します。, E. Java アプリケーションを設定して、接続の失敗をキャッチし、AWS Secrets Manager を呼び出して、パスワードがローテーションされたときに更新された認証情報を取得します。EC2 インスタンスに関連付けられたインスタンス ロールに、Secrets Manager にアクセスするためのアクセス許可を付与します。
58
ある会社には、複数の本番 AWS アカウントと中央セキュリティ AWS アカウントがあります。セキュリティ アカウントは集中監視に使用され、すべての企業アカウントのすべてのリソースに対する IAM 権限を持ちます。同社の Amazon S3 バケットはすべて、コンテンツのデータ分類を示す値でタグ付けされています。 セキュリティ エンジニアは、セキュリティ アカウントに、バケット ポリシーのコンプライアンスを強制する監視ソリューションをデプロイしています。システムは、すべての本番アカウントの S3 バケットを監視し、ポリシーの変更がバケットのデータ分類に従っていることを確認する必要があります。変更が準拠していない場合は、セキュリティ チームにすぐに通知する必要があります。 必要なソリューションを構築するアクションの組み合わせはどれですか? (3つ選んでください。)
A. すべての S3 イベントをセキュリティ アカウント イベント バスに送信するように、本番アカウントで Amazon CloudWatch Events を設定します。, C. セキュリティ アカウントで Amazon CloudWatch Events ルールを設定して、S3 バケットの作成または変更イベントを検出する。, E. セキュリティ アカウントで AWS Lambda 関数を呼び出して、S3 イベントに応答して S3 バケットの設定を分析し、コンプライアンス違反の通知をセキュリティ チームに送信します。
59
ある会社は、機密データセットを Amazon S3 に移行することを計画しています。セキュリティ エンジニアは、データが保存時に暗号化されていることを確認する必要があります。暗号化ソリューションは、企業がキー ストレージや暗号化プロセスを管理する必要なく、独自のキーを生成できるようにする必要があります。 セキュリティ エンジニアはこれを達成するために何を使用する必要がありますか?
B. AWS KMS で管理されたキー (SSE-KMS) を使用したサーバー側の暗号化
60
セキュリティ エンジニアが、新しく開発された製品のロギング ソリューションを定義しています。システム管理者と開発者は、製品のサポートとトラブルシューティングを行うために、AWS CloudTrail のイベント ログ ファイルに適切にアクセスできる必要があります。 ログファイルの改ざんや不正アクセスから保護するために使用するコントロールの組み合わせはどれですか? (2つ選んでください。)
A. ログ ファイルの整合性検証メカニズムが有効になっていることを確認します。, D. システム管理者とシステム開発者は、業務関連の必知要件のみを持っており、ログ ファイルを表示できるが変更できないことを確認してください。