SCS-C01日本語試験無料問題集（592題）「Amazon AWS Certified Security

出題：1

Amazon EC2 インスタンスは、復号化アクションに使用される新しく作成された IAM KMS CMK へのアクセスを拒否されます。環境には次の構成があります。
* インスタンスは、すべてのリソースの IAM ロールで kms:Decrypt アクションを許可されています
* IAM KMS CMK ステータスが有効に設定されている
* インスタンスは、設定された VPC エンドポイントを使用して KMS API と通信できます問題の原因は何ですか?

A. EC2 IAM ロールに kms:Encrypt 権限がありません

B. IAM ユーザー権限を有効にする KMS CMK キーポリシーがありません

C. EC2 インスタンスの IAM ロールに kms:GenerateDataKey 権限がありません

D. CMK の ARN タグには、インスタンスの ARN ではなく、EC2 インスタンスの ID が含まれています。

正解：B 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：2

会社のポリシーでは、FTP、Telnet、HTTP などのすべての安全でないサーバープロトコルをすべてのサーバーで無効にする必要があります。セキュリティチームは、スケジュールされた CloudWatch イベントを使用して現在のインフラストラクチャのレビューをトリガーすることにより、すべてのサーバーを定期的にチェックして、この要件に準拠していることを確認したいと考えています。会社の EC2 インスタンスのコンプライアンスをチェックするプロセスは何ですか?
選んでください：

A. すべての EC2 インスタンスに対して、restricted-common-ports ルールの IAM Config Rules 評価をトリガーします。

B. すべての EC2 インスタンスに対して、ランタイム動作分析ルールパッケージを使用して Amazon インスペクター評価を実行します。

C. すべてのベストプラクティスセキュリティチェックについて Trusted Advisor API を照会し、「推奨されるアクション」ステータスをチェックします。

D. すべての EC2 インスタンスのポート構成を対象とする GuardDuty 脅威検出分析を有効にします。

正解：B 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：3

ある会社には、Amazon EC2 インスタンスの大規模なフリートで実行されているいくつかの重要なアプリケーションがあります。セキュリティ運用レビューの一環として、会社は、オペレーティングシステムベンダーからパッチが利用可能になってから 24 時間以内に、重要なオペレーティングシステムパッチを EC2 インスタンスに適用する必要があります。この会社は、IAM にパッチ適用ソリューションをデプロイしていませんが、IAM Systems Manager を構成しています。また、このソリューションでは、管理オーバーヘッドを最小限に抑える必要があります。
これらの要件を満たすために、セキュリティエンジニアは何を推奨する必要がありますか?

A. IAM Systems Manager Run Command を使用して、影響を受けるインスタンスにパッチを適用します。

B. IAM Systems Manager Patch Manager の定義済みベースラインを使用して、影響を受けるインスタンスにパッチを適用します。

C. EC2 インスタンスの必須構成としてパッチを定義する IAM 構成ルールを作成します。

D. IAM Systems Manager Session Manager を使用して、影響を受ける各インスタンスにログインし、パッチを適用します。

正解：A 解答を投票する

出題：4

開発者は、Java プログラムで KMS サービスと割り当てられたキーを使用しています。コード arn:IAM:iam::113745388712:user/UserB is notauthorized to perform: kms:DescribeKey を実行すると、次のエラーが表示されます。次のうちどれが問題の解決に役立ちますか?
選んでください：

A. UserB にキーポリシーで適切なアクセス許可が付与されていることを確認します。

B. バケットポリシーで UserB に適切なアクセス許可が付与されていることを確認します。

C. IAM ポリシーで UserB に適切なアクセス許可が付与されていることを確認します。

D. UserB にキーにアクセスするための適切な IAM ロールが付与されていることを確認します

正解：A 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：5

IAM Systems Manager パラメータストアは、IAM Lambda 関数で使用されるデータベースパスワードを保存するために使用されています。これは機密データであるため、パラメータはタイプ SecureString として保存され、IAM を介したアクセスを許可する IAM KMS キーによって保護されます。関数が実行されると、アクセス拒否エラーの結果として、このパラメーターを取得できません。
次のアクションのうち、アクセス拒否エラーを解決するのはどれですか?

A. Lambda 関数が使用するロールにポリシーを追加し、KMS キーの kms: Decrypt を許可します。

B. Lambda 関数が使用する IAM ロールの信頼できるエンティティとして lambda.amazonIAM.com を追加します。

C. Lambda 構成を更新して、VPC で関数を起動します。

D. KMS キーポリシーの ssm.amazonIAM.com プリンシパルを更新して、kms: Decrypt を許可します。

正解：A 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：6

ある企業は、S3 バケットで常にロギングが有効になるように、次の構造をセットアップしました。

S3 バケットの構成に変更がある場合、構成ルールがチェックされます。ロギングが無効になっている場合
、次に Lambda 関数が呼び出されます。この Lambda 関数は、S3 バケットでのログ記録を再度有効にします。現在、フロー全体で問題が発生しています。Lambda 関数が呼び出されていることを確認しました。ただし、バケットのロギングが無効になっている場合、ラムダ関数はそれを再び有効にしません。問題になる可能性があるのは次のうちどれですか?選択してください:

A. ラムダ関数を呼び出すには、API ゲートウェイも使用する必要があります。

B. IAM Config ルールが正しく設定されていません

C. IAM Lambda 関数には、バケットに対する適切なアクセス許可がありません

D. IAM Lambda 関数は、python の代わりに Node.js を使用する必要があります。

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：7

セキュリティエンジニアは、組織 n IAM 組織の一部であるアカウントで、管理者が既存の Amazon S3 バケットを公開できないことをトラブルシューティングする必要があります。管理者は、役割をマスターアカウントからメンバーアカウントに切り替えてから、1 つの S3 バケットを公開しようとしました。このアクションはすぐに拒否されました。権限の問題をトラブルシューティングするために、セキュリティエンジニアはどのアクションを実行する必要がありますか? (2 つ選択してください。)

A. S3 バケットポリシーで、メンバーアカウントのロールに対して s3 PutBucketPublicAccess アクションが明示的に許可されていることを確認します。

B. マスターアカウントの IAM CloudTrail ログをフィルター処理して、元の拒否イベントを見つけ、それに応じてメンバーアカウントのクロスアカウントロールを更新します。マスターアカウントの Amazon S3 ブロックパブリックアクセスオプションが無効になっていることを確認します。

C. メンバーアカウントをカバーする SCP と、メンバーアカウント内のロールのパーミッション境界を評価して、パーミッションの欠落と明示的な拒否を確認します。

D. クロスアカウントロールのアクセス許可と S3 バケットポリシーを確認します。メンバーアカウントの Amazon S3 ブロックパブリックアクセスオプションが無効になっていることを確認します。

E. マスターアカウントのロールのアクセス許可を確認し、S3 操作を実行するのに十分な権限があることを確認します。

正解：A,E 解答を投票する

出題：8

ユーザーがVPCウィザードを使用して、パブリックサブネットとプライベートサブネットでVPCを作成しました。 VPCにはCIDRがあります
20.0.0.0/16。パブリックサブネットはCIDR 20.0.1.0/24を使用します。ユーザーは、ポート80のパブリックサブネットでWebサーバーをホストし、ポート3306のプライベートサブネットでデータベースサーバーをホストすることを計画しています。ユーザーは、パブリックサブネット（WebSecGrp）およびプライベートサブネット（DBSecGrp）のセキュリティグループを構成しています。プライベートサブネットデータベースセキュリティグループDBSecGrpに必要なエントリは次のうちどれですか？
選んでください：

A. 宛先WebサーバーセキュリティグループWebSecGrpのポート3306でアウトバウンドを許可します。

B. 宛先NATインスタンスIPのポート80でアウトバウンドを許可

C. ソースWebサーバーセキュリティグループWebSecGrpのポート3306での受信を許可します。

D. ソース20.0.0.0/16からのポート3306での受信を許可

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：9

ある会社は、Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームにデータを保存します。データは Amazon S3 バケットに非同期的に複製されます。EBS ボリュームと S3 バケットの両方が、同じ IAM KMS カスタマーマスターキー (CMK) で暗号化されます。元従業員は、会社を辞める前にその CMK の削除をスケジュールしました。
会社の開発者運用部門は、CMK が削除された後にのみ、このことを知ります。
この状況に対処するには、どの手順を実行する必要がありますか?

A. 削除された CMK の復元を IAM サポートに要求し、それを使用してデータを回復します。

B. S3 暗号化データの復旧を IAM サポートにリクエストします。

C. ボリュームが EC2 インスタンスからデタッチされる前に、EBS 暗号化ボリュームからデータを直接コピーします。

D. 以前のバージョンの KMS バッキングキーを使用して、EBS 暗号化ボリュームからデータを復元します。

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：10

ある企業は、自社のオンプレミス環境と IAM の間のプライベートネットワークを暗号化したいと考えています。同社はまた、従業員に一貫したネットワークエクスペリエンスを提供したいと考えています。
これらの要件を満たすために会社は何をすべきですか？

A. IAM との IAM Direct Connect 接続を確立し、Direct Connect ゲートウェイをセットアップします。Direct Connect ゲートウェイ構成で、IPsec と BGP を有効にしてから、アベイラビリティーゾーンとリージョンの間でネイティブの IAM ネットワーク暗号化を活用します。

B. IAM との IAM Direct Connect 接続を確立し、Direct Connect ゲートウェイをセットアップします。Direct Connect ゲートウェイを使用して、プライベート仮想インターフェイスを作成し、カスタマーゲートウェイのプライベート IP アドレスをアドバタイズします。カスタマーゲートウェイと仮想プライベートゲートウェイを使用して VPN 接続を作成する

C. インターネット経由で IAM 仮想プライベートクラウドとの VPN 接続を確立する

D. IAM との IAM Direct Connect 接続を確立し、パブリック仮想インターフェイスを確立します。アドバタイズする必要があるプレフィックスについては、カスタマーゲートウェイのパブリック IP アドレスを入力します。カスタマーゲートウェイと仮想プライベートゲートウェイを使用して、Direct Connect 経由で VPN 接続を作成します。

正解：D 解答を投票する

出題：11

IT セキュリティチームは、会社の IAM アカウントの重要な EC2 インスタンス全体で多数の脆弱性を特定しました。これらの脆弱性を確実に修復する最も簡単な方法はどれですか?
選んでください：

A. IAM CLI コマンドを使用して更新をダウンロードし、サーバーにパッチを適用します。

B. IAM Systems Manager を使用してサーバーにパッチを適用します

C. IAM Lambda 関数を作成して、更新をダウンロードし、サーバーにパッチを適用します。

D. IAM インスペクターを使用してサーバーにパッチを適用する

正解：B 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：12

ある会社は、Amazon EC2 ベースのアプリケーションをデプロイしています。アプリケーションには、ヘルスステータスデータを JSON 形式で生成するカスタムヘルスチェックコンポーネントが含まれます。セキュリティエンジニアは、ヘルスステータスデータを分析することにより、アプリケーションの可用性をほぼリアルタイムで監視するための安全なソリューションを実装する必要があります。
セキュリティエンジニアはどのアプローチを使用する必要がありますか?

A. Amazon CloudWatch モニタリングを使用して、Amazon EC2 およびネットワークメトリックをキャプチャします。Amazon CloudWatch ダッシュボードを使用してメトリックを視覚化します。

B. Amazon Kinesis Agent を実行して、ステータスデータを Amazon Kinesis Data Firehose に書き込みます。Kinesis Data Firehose からのストリーミングデータを Amazon Redshift に保存します。(次に、プールデータに対してスクリプトを実行し、Amazon Redshift でデータを分析します。

C. ヘルスチェックコンポーネントからパブリック Amazon S3 バケットにステータスデータを直接書き込みますデータを分析する IAM Lambda 関数を呼び出すように S3 イベントを設定します

D. ヘルスチェックコンポーネントからイベントを生成し、Amazon CloudWatch Events に送信します。
ステータスデータをイベントペイロードとして含めます。CloudWatch イベントルールを使用して、データを分析する IAM Lambda 関数を呼び出します。

正解：A 解答を投票する

出題：13

企業は、Amazon S3 に保存されているすべてのデータを暗号化する必要があります。この会社は、IAM Key Management Service (IAM KMS) を使用して暗号化キーを作成および管理したいと考えています。会社のセキュリティポリシーでは、必要に応じて会社独自のキーマテリアルをインポートし、キーに有効期限を設定し、キーをすぐに削除する機能が必要です。
セキュリティエンジニアは、これらの要件を満たすために IAM KMS をどのように設定する必要がありますか?

A. IAM KMS を設定し、カスタムキーストアを使用します。キーマテリアルなしで IAM 管理の CMK を作成します。
会社のキーマテリアルを CMK にインポートします。

B. IAM KMS を設定し、デフォルトのキーストアを使用するキーマテリアルのない顧客管理の CMK を作成する会社のキーマテリアルを CMK にインポートする

C. IAM KMS を設定し、デフォルトのキーストアを使用するキーマテリアルのない IAM 管理の CMK を作成する会社のキーマテリアルを CMK にインポートする

D. IAM KMS を構成し、カスタムキーストアを使用します。キーマテリアルのない顧客管理の CMK を作成する会社のキーとキーマテリアルを CMK にインポートする

正解：D 解答を投票する

出題：14

ウェブサイト example.com のウェブ管理者は、IAM Certificate Manager にインポートされたカスタム TLS 証明書を使用して HTTPS を設定する必要がある dev.example.com の Amazon CloudFront ディストリビューションを作成しました。
CloudFront コンソールで証明書の可用性を確保するために必要な手順の組み合わせはどれですか?
（2つ選んでください。）

A. us-east-1 (バージニア北部) リージョンに証明書をインポートします。

B. 4,096 ビットの RSA 公開鍵を持つ証明書をインポートします。

C. パスパラメーターに /cloudfront/dev/ を指定して UploadServerCertificate を呼び出します。

D. 証明書、秘密鍵、および証明書チェーンが PEM エンコードされていることを確認します。

E. 証明書、秘密鍵、および証明書チェーンが PKCS #12 でエンコードされていることを確認します。

正解：A,D 解答を投票する

SCS-C01日本語試験無料問題集「Amazon AWS Certified Security - Specialty (SCS-C01日本語版) 認定」