SCS-C01 Korean試験無料問題集（592題）「Amazon AWS Certified Security

出題：1

한 회사에서 AWS Systems Manager Session Manager를 사용하여 회사의 Amazon EC2 인스턴스에 대한 게임 액세스를 평가하고 있습니다. 그러나 회사에서 변경 사항을 구현할 때까지 회사는 다른 사용자의 읽기 및 쓰기 작업으로부터 EC2 인스턴스의 키 파일을 보호해야 합니다.
보안 관리자가 긴급 상황에서 중요한 EC2 Linux 인스턴스에 연결하려고 하면 보안 관리자에게 다음 오류가 표시됩니다. "보호되지 않은 개인 키 파일 오류 - 'ssh/my_private_key pern'에 대한 권한이 너무 열려 있습니다."
이 오류를 해결하려면 보안 관리자가 개인 키 Me 권한을 수정하는 데 사용해야 하는 명령은 무엇입니까?

A. chmod 0004 ssh/my_private_key pern

B. chmod 0040 ssh/my_private_key pern

C. chmod 0400 ssh/my_private_key pern

D. chmod 0777 ssh/my_private_key pern

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：2

회사가 us-east-1 리전에서 Amazon Elastic Block Store(Amazon EBS) 볼륨이 있는 Amazon EC2 인스턴스를 시작했습니다. 볼륨은 회사의 보안 팀이 생성한 AWS Key Management Service(AWS KMS) 고객 관리형 키로 암호화됩니다. 보안 팀이 1AM 키 정책을 생성하고 정책을 키에 할당했습니다. 보안 팀도 1AM 인스턴스 프로필을 생성하고 프로필을 인스턴스에 할당했습니다. EC2 인스턴스가 시작되지 않고 보류 상태에서 종료 상태로 전환됩니다. -다운 상태에서 종료 상태로 보안 엔지니어가 이 문제를 해결하기 위해 수행해야 하는 단계 조합은 무엇입니까? (2개 선택)

A. 인스턴스 프로필과 연결된 EC2 역할에 EBS 볼륨으로 EC2 인스턴스를 시작하기 위한 올바른 오전 1시 인스턴스 정책이 있는지 확인합니다.

B. KMS 키 정책이 aws SourcelP 조건 키를 사용하여 키에 대한 액세스를 방지하는 거부 문을 지정하는지 확인하십시오. 범위에 EBS 볼륨과 연결된 EC2 인스턴스 IP 주소가 포함되어 있는지 확인하십시오.

C. EBS 볼륨과 연결된 키가 만료되지 않았고 교체해야 하는지 확인합니다.

D. EBS 볼륨과 연결된 KMS 키가 대칭 키 유형으로 설정되어 있는지 확인합니다.

E. EBS 볼륨과 연결된 KMS 키가 활성화됨 상태인지 확인합니다.

正解：A,E 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：3

회사에서 타사 보안 감사자를 고용했으며 감사자는 모든 IAM 리소스와 IAM에서 발생한 모든 VPC 레코드 및 이벤트의 로그에 대한 읽기 전용 액세스 권한이 필요합니다. 회사는 IAM 환경에서 보안을 구성하지 않고 어떻게 감사자의 요구 사항을 충족할 수 있습니까? 아래 옵션에서 정답을 선택하십시오. 선택하십시오:

A. CIoudTrail이 S3에 로그를 전달할 때 CloudTrail 로그 파일을 감사자의 이메일로 보내는 SNS 알림을 생성하지만 감사자가 IAM 환경에 액세스하는 것을 허용하지 않습니다.

B. 회사는 공유 책임 모델의 일부로 IAM에 연락해야 하며 IAM은 타사 감사자에게 필요한 액세스 권한을 부여합니다.

C. CloudTrail 로깅을 활성화하고 CloudTrail 로그가 포함된 버킷을 포함하여 필요한 IAM 리소스에 대한 읽기 전용 권한이 있는 IAM 사용자를 생성합니다.

D. 감사자에게 필요한 권한이 있는 역할을 만듭니다.

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：4

회사는 민감한 정보가 포함된 사용자 데이터 스크립트를 사용하여 Amazon EC2 인스턴스를 부트스트랩합니다. 보안 엔지니어는 이 중요한 정보에 액세스해서는 안 되는 사람들이 볼 수 있음을 발견했습니다.
인스턴스를 부트스트랩하는 데 사용되는 중요한 정보를 보호하는 가장 안전한 방법은 무엇입니까?

A. 암호화된 문자열 파라미터를 사용하여 민감한 데이터를 IAM 시스템 관리자 파라미터 스토어에 저장하고 GetParameters 권한을 EC2 인스턴스 역할에 할당합니다.

B. 스크립트를 AMI에 저장하고 IAM KMS를 사용하여 민감한 데이터를 암호화합니다. 인스턴스 역할 프로필을 사용하여 데이터 암호 해독에 필요한 KMS 키에 대한 액세스를 제어합니다.

C. Amazon S3에서 부트스트랩 스크립트를 외부화하고 IAM KMS를 사용하여 암호화합니다. 인스턴스에서 스크립트를 제거하고 인스턴스가 구성된 후 로그를 지웁니다.

D. IAM 정책을 사용하여 EC2 인스턴스의 메타데이터 서비스에 대한 사용자 액세스를 차단합니다. 모든 스크립트를 제거하고 실행 후 로그를 지웁니다.

正解：A 解答を投票する

出題：5

Amazon CloudWatch Logs 에이전트가 CloudWatch Logs 서비스에 성공적으로 로그를 전달하고 있습니다. 그러나 연결된 로그 스트림이 특정 시간 동안 활성화된 후에는 로그 전달이 중지됩니다.
이 현상의 원인을 확인하려면 어떤 단계가 필요합니까? (두 가지를 선택하세요.)

A. CloudWatch Logs 지표를 생성하여 로깅이 중지되기 전 기간 동안 최소 한 번 변경되는 값을 격리합니다.

B. OS 로그 순환 규칙이 에이전트 스트리밍에 대한 구성 요구 사항과 호환되는지 확인합니다.

C. IAM CloudFormation을 사용하여 CloudWatch Logs 에이전트에 대한 구성 파일을 동적으로 생성하고 유지합니다.

D. CloudWatch Logs 에이전트가 파일을 읽을 수 있도록 허용하는 모니터링 파일에 대한 파일 권한이 수정되지 않았는지 확인하십시오.

E. 먼저 로그를 Amazon Kinesis Streams에 넣도록 Amazon Kinesis 생산자를 구성합니다.

正解：B,D 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：6

한 VPC의 Windows 시스템은 다른 VPC의 AD 도메인에 가입해야 합니다. VPC 피어링이 설정되었습니다. 그러나 도메인 가입이 작동하지 않습니다. AD 도메인 가입이 의도한 대로 작동할 수 있도록 하기 위해 따라야 하는 다른 단계는 무엇입니까? 선택하십시오:

A. AD 호스팅 서브넷의 보안 그룹에 관련 서브넷에 대한 올바른 규칙이 있는지 확인합니다.

B. AD가 퍼블릭 서브넷에 있는지 확인합니다.

C. VPC 피어링 연결을 VPN 연결로 변경

D. VPC 피어링 연결을 Direct Connect 연결로 변경

正解：A 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：7

회사에 소매점이 있습니다. 회사는 Amazon S3에 스캔한 고객 영수증 사본을 저장하는 솔루션을 설계하고 있습니다. 파일은 PDF 형식으로 100KB에서 5MB 사이입니다. 각 소매점에는 고유한 암호화 키가 있어야 합니다. 각 개체는 고유한 암호화 키로 암호화되어야 합니다. key 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 각 소매점에 대한 전용 AWS Key Management Service(AWS KMS) 고객 관리형 키 생성 S3 Put 작업을 사용하여 객체를 Amazon S3에 업로드 AWS KMS 키(SSE-KMS) 및 상점 키의 키 ID

B. 각 소매점에 대해 매일 새로운 AWS Key Management Service(AWS KMS) 고객 관리형 키를 생성합니다. KMS 암호화 작업을 사용하여 객체를 암호화한 다음 객체를 Amazon S3에 업로드합니다.

C. 각 소매점에 대해 매일 AWS Key Management Service(AWS KMS) GenerateDataKey 작업을 실행합니다. 데이터 키와 클라이언트 측 암호화를 사용하여 객체를 암호화한 다음 객체를 Amazon S3에 업로드합니다.

D. AWS Key Management Service(AWS KMS) ImportKeyMaterial 작업을 사용하여 각 소매점에 대해 매일 새로운 키 구성 요소를 AWS KMS로 가져옵니다. 고객 관리형 키 및 KMS 암호화 작업을 사용하여 객체를 암호화한 다음 객체를 Amazon에 업로드합니다. S3

正解：A 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：8

한 회사에서 개발자가 테스트 및 학습 목적으로 사용할 IAM 계정을 생성했습니다. MM 계정은 여러 개발자 팀 간에 공유되므로 회사는 팀이 이러한 작업을 수행할 수 있도록 Amazon EC2 인스턴스를 중지하고 종료하는 기능을 제한하려고 합니다. 소유한 인스턴스에서만.
개발자는 팀 태그 키로 모든 인스턴스에 태그를 지정하고 태그 값에 팀 이름을 사용하라는 지시를 받았습니다. 이 계정을 사용하는 첫 번째 팀 중 하나는 비즈니스 인텔리전스입니다. 보안 엔지니어는 개발자에게 액세스 권한을 제공하기 위해 확장성이 뛰어난 솔루션을 개발해야 합니다. 계정 내의 적절한 리소스 보안 엔지니어는 이미 각 팀에 대한 개별 IAM 역할을 생성했습니다.
보안 엔지니어가 작업을 완료하기 위해 수행해야 하는 추가 구성 단계는 무엇입니까?

A. 팀 키로 각 IAM 역할에 태그를 지정하고 태그 값에 팀 이름을 사용합니다. 다음과 유사한 IAM 정책을 만들고 개발자가 사용하는 모든 IAM 역할에 적용합니다.

B. 팀 지연 키로 각 IAM 역할에 태그를 지정합니다. 태그 값에 팀 이름을 사용합니다. 다음과 유사한 IAM 정책을 만들고 개발자가 사용하는 모든 IAM 역할에 4를 연결합니다.

C. 각 팀에 대해 펠로우가 적절한 팀 이름으로 ec2: ResourceTag/Team 조건 키를 채우고 결과 정책을 해당 IAM 역할에 연결하는 것과 유사한 AM 정책을 만듭니다.

D. 각 팀에 대해 적절한 팀 이름으로 IAM 태그 키/팀 조건 키 채우기 다음에 나오는 정책과 유사한 IAM 정책을 만듭니다. 재개 정책을 해당 IAM 역할에 연결합니다.

正解：C 解答を投票する

出題：9

회사에서 온프레미스 서버와 함께 Amazon Elastic File System(Amazon EFS)을 사용할 계획입니다. 회사에는 온프레미스 데이터 센터와 IAM 지역 보안 정책 간에 설정된 기존 IAM Direct Connect 연결이 있으며 회사의 온프레미스 방화벽에는 CIDR 범위가 아닌 허용 목록에 특정 IP 주소만 추가되어야 한다고 명시되어 있습니다. 회사는 또한 특정 데이터 센터 기반 서버만 Amazon EFS에 액세스할 수 있도록 액세스를 제한하려고 합니다. 보안 엔지니어는 이 솔루션을 어떻게 구현해야 합니까?''

A. Amazon EFS에 탄력적 IP 주소를 할당하고 데이터 센터 방화벽에 대한 허용 목록에 탄력적 IP 주소를 추가합니다. 데이터 센터 기반 서버에 IAM CLI를 설치하여 EFS 파일 시스템을 탑재합니다. EFS 보안 그룹에서, 허용 목록에 데이터 센터 서버의 IP 주소 추가 탄력적 IP 주소를 사용하여 EFS 마운트

B. 데이터 센터 방화벽에 대한 허용 목록에 file-system-id efs IAM-region amazonIAM com URL을 추가합니다. 데이터 센터 기반 서버에 IAM CLI를 설치하여 EFS 보안 그룹에 EFS 파일 시스템을 탑재합니다. 허용 목록에 대한 데이터 센터 IP 범위 EFS 파일 시스템 이름을 사용하여 EFS 마운트

C. 데이터 센터 방화벽에 대한 허용 목록에 EFS 파일 시스템 마운트 대상 IP 주소 추가 EFS 보안 그룹에서 데이터 센터 서버 IP 주소를 허용 목록에 추가 Linux 터미널을 사용하여 EFS 파일 시스템을 마운트합니다. 탑재 대상 중 하나의 IP 주소

D. IAM 지원팀에 문의하여 EFS 파일 시스템에 대한 IP 주소의 정적 범위 할당 EFS 보안 그룹에서 데이터 센터 서버 IP 주소를 허용 목록에 추가 Linux 터미널을 사용하여 다음 중 하나를 사용하여 EFS 파일 시스템을 마운트합니다. 정적 IP 주소

正解：A 解答を投票する

出題：10

회사에서 고객 요구 사항을 충족하기 위해 새로운 규정 준수 요구 사항을 구현하고 있습니다. 새로운 요구 사항에 따라 회사는 기본 스토리지의 암호화가 부족한 Amazon RDS DB 인스턴스 또는 DB 클러스터를 사용해서는 안 됩니다. 회사는 암호화되지 않은 DB 인스턴스 또는 DB 클러스터가 생성될 때 이메일 알림을 생성하는 솔루션이 필요합니다. 또한 솔루션은 암호화되지 않은 DB 인스턴스 또는 DB 클러스터를 종료해야 합니다.
운영상 가장 효율적인 방식으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 암호화되지 않은 RDS 스토리지를 감지하는 AWS Config 관리형 규칙을 생성합니다. AWS Lambda 함수를 호출하도록 수동 수정 작업을 구성합니다. Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시하고 암호화되지 않은 리소스를 삭제하도록 Lambda 함수를 구성합니다.

B. RDS 이벤트 패턴을 평가하고 DB 인스턴스 또는 DB 클러스터 생성에 의해 시작되는 Amazon EventBridge 규칙을 생성합니다. 규칙을 구성하여 AWS Lambda 함수 및 이메일 전달 대상을 가입자로 합니다. 암호화되지 않은 리소스를 삭제하도록 Lambda 함수를 구성합니다.

C. 암호화되지 않은 ROS 스토리지를 감지하는 AWS Config 관리형 규칙을 생성합니다. AWS Lambda 함수 및 이메일 전송 대상을 구독자로 포함하는 Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시하도록 자동 수정 작업을 구성합니다. 암호화되지 않은 리소스를 삭제하도록 Lambda 함수를 구성합니다.

D. RDS 이벤트 패턴을 평가하고 DB 인스턴스 또는 DB 클러스터 생성에 의해 시작되는 Amazon EventBridge 규칙을 생성합니다. AWS Lambda 함수를 호출하도록 규칙을 구성합니다. Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시하고 암호화되지 않은 리소스를 삭제하도록 Lambda 함수를 구성합니다.

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：11

회사는 Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨에 데이터를 저장합니다. 데이터는 Amazon S3 버킷에 비동기식으로 복제됩니다. EBS 볼륨과 S3 버킷은 모두 동일한 IAM KMS 고객 마스터 키(CMK)로 암호화됩니다. 이전 직원이 회사를 떠나기 전에 해당 CMK의 삭제를 예약했습니다.
회사의 개발자 운영 부서는 CMK가 삭제된 후에야 이를 알게 됩니다.
이 상황을 해결하려면 어떤 조치를 취해야 합니까?

A. 이전 버전의 KMS 백업 키를 사용하여 EBS 암호화 볼륨에서 데이터를 복구합니다.

B. IAM 지원에 요청하여 삭제된 CMK를 복원하고 이를 사용하여 데이터를 복구합니다.

C. 볼륨이 EC2 인스턴스에서 분리되기 전에 EBS 암호화 볼륨에서 직접 데이터를 복사합니다.

D. IAM 지원에 S3 암호화 데이터 복구를 요청합니다.

正解：C 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：12

회사에서 회사의 기본 도메인에 대해 DNSSEC(DNS Security Extensions)를 구성하려고 합니다. 회사는 Amazon Route 53에 도메인을 등록합니다. 회사는 BIND를 사용하여 Amazon EC2 인스턴스에서 도메인을 호스팅합니다.
이 요구 사항을 충족하는 운영상 가장 효율적인 솔루션은 무엇입니까?

A. DNSSEC 서명이 활성화된 상태에서 영역을 Route 53으로 마이그레이션합니다. AWS Key Management Service(AWS KMS) 고객 관리형 키를 기반으로 하는 키 서명 키(KSK)를 생성합니다. 상위 영역에 위임 서명자(DS) 레코드를 추가합니다.

B. BIND 구성에서 dnssec-enable 옵션을 yes로 설정합니다. 영역 서명 키(ZSK) 및 키 서명 키(KSK)를 만듭니다. dnssec-signzone 명령을 실행하여 위임 서명자(DS) 레코드를 생성합니다. AWS를 사용합니다. 키를 보호하기 위한 키 관리 서비스(AWS KMS).

C. DNSSEC 서명이 활성화된 상태에서 영역을 Route 53으로 마이그레이션합니다. AWS를 기반으로 하는 영역 서명 키(ZSK) 및 키 서명 키(KSK)를 생성합니다. Key Management Service(AWS KMS) 고객 관리형 키입니다.

D. BIND 구성에서 dnssec-enable 옵션을 yes로 설정합니다. 영역 서명 키(ZSK) 및 키 서명 키(KSK) 생성 BIND 서비스를 다시 시작합니다.

正解：A 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：13

전자상거래 웹사이트가 DDoS 공격 후 1시간 동안 다운되었습니다. 사용자는 공격 기간 동안 웹사이트에 연결할 수 없었습니다. 전자 상거래 회사의 보안 팀은 향후 발생할 수 있는 공격에 대해 걱정하고 이러한 이벤트에 대비하고자 합니다. 회사는 향후 유사한 공격에 대응하여 다운타임을 최소화해야 합니다.
이를 달성하는 데 도움이 되는 단계9(2개 선택)

A. VPC 흐름 로그를 사용하여 네트워크 모니터링: 트래픽 및 IAM Lambda 함수를 사용하여 보안 그룹을 사용하여 공격자의 IP를 자동으로 차단합니다.

B. Amazon GuardDuty를 활성화하여 악의적인 활동을 자동으로 모니터링하고 무단 액세스를 차단합니다.

C. IAM CloudTrail 이벤트를 실시간으로 모니터링하도록 Amazon CloudWatch Events 규칙을 설정합니다. IAM Config 규칙을 사용하여 구성을 감사하고 IAM 시스템 관리자를 사용하여 문제를 해결합니다.

D. IAM WAF를 사용하여 이러한 공격에 대응하는 규칙을 만듭니다.

E. IAM Shield Advanced에 가입하고 공격이 발생할 경우 IAM 지원에 문의하십시오.

正解：D,E 解答を投票する

出題：14

다음 중 IAM WAF 규칙을 트리거하는 웹 액세스 제어 목록과 연결된 유효한 이벤트 소스는 무엇입니까? (두 가지를 선택하세요.)

A. VPC 흐름 로그

B. 애플리케이션 로드 밸런서

C. 아마존 루트 53

D. Amazon CloudFront 배포

E. Amazon S3 정적 웹 호스팅

正解：B,D 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

出題：15

승인되지 않은 IAM API 요청이 너무 많이 식별되면 자동 보안 경고를 생성하는 접근 방식은 무엇입니까?

A. 이벤트 데이터를 Amazon Kinesis로 스트리밍하도록 IAM CloudTrail을 구성합니다. 임계값이 초과되면 경보를 울리도록 스트림에서 IAM Lambda 함수를 구성합니다.

B. API 호출 오류 코드를 찾는 Amazon CloudWatch 지표 필터를 생성한 다음 해당 지표의 속도를 기반으로 경보를 구현합니다.

C. Amazon Personal Health Dashboard를 사용하여 계정의 IAM 서비스 사용을 모니터링하고 서비스 오류율이 증가하면 경고를 보냅니다.

D. CloudTrail 로그 파일에 대해 Amazon Athena SQL 쿼리를 실행합니다. Amazon QuickSight를 사용하여 운영 대시보드를 생성합니다.

正解：B 解答を投票する

解説: (GoShiken メンバーにのみ表示されます)

SCS-C01 Korean試験無料問題集「Amazon AWS Certified Security - Specialty (SCS-C01 Korean Version) 認定」