オンラインSCS-C01日本語テストブレーン問題集とテストエンジン [Q15-Q34]

オンラインSCS-C01日本語テストブレーン問題集とテストエンジン

リアルAmazon SCS-C01日本語試験問題集には正解592問題と解答があります

質問 # 15
会社は重要なデータをS3バケットでホストしています。すべてのデータが暗号化されていることを確認する必要があります。
バケットに保存されている情報に関するメタデータもありますが、これも暗号化する必要があります。メタデータが暗号化されていることを確認するために、次のどの対策を講じますか
選んでください：

• A. メタデータを各オブジェクトのメタデータとしてS3バケットに入れてから、S3サーバー側の暗号化を有効にします。
• B. thp S3 hurkpf自体にthpメタデータを入れます。
• C. メタデータをDynamoDBテーブルに入れ、作成時にテーブルが暗号化されていることを確認します。
• D. メタデータを各オブジェクトのメタデータとしてS3バケットに入れてから、S3サーバーKMS暗号化を有効にします。

正解：C

解説：
Explanation
Option A ,B and D are all invalid because the metadata will not be encrypted in any case and this is a key requirement from the question.
One key thing to note is that when the S3 bucket objects are encrypted, the meta data is not encrypted. So the best option is to use an encrypted DynamoDB table Important All GET and PUT requests for an object protected by AWS KMS will fail if they are not made via SSL or by using SigV4. SSE-KMS encrypts only the object data. Any object metadata is not encrypted. For more information on using KMS encryption for S3, please refer to below URL: 1
https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html The correct answer is: Put the metadata in a DynamoDB table and ensure the table is encrypted during creation time. Submit your Feedback/Queries to our Experts

質問 # 16
システムエンジニアは、インラインで展開された仮想セキュリティアプライアンスを含むテスト環境の接続のトラブルシューティングを行っています。開発チームは、仮想セキュリティアプライアンスの使用に加えて、セキュリティグループとネットワークACLを使用して、環境内のさまざまなセキュリティ要件を達成したいと考えています。
仮想セキュリティアプライアンスがトラフィックをルーティングできるようにするには、どのような構成が必要ですか？

• A. セキュリティアプライアンスをインターネットゲートウェイのあるパブリックサブネットに配置します
• B. ネットワークACLを無効にします。
• C. 無差別モードのセキュリティアプライアンスのエラスティックネットワークインターフェイスを構成します。
• D. セキュリティアプライアンスのエラスティックネットワークインターフェイスでネットワークソース/宛先チェックを無効にします

正解：C

質問 # 17
開発チームは、開発目的でAWSリソースの使用を開始しました。 AWSアカウントが作成されました。 ITセキュリティチームは、AWSキーの漏洩の可能性を心配しています。 AWSアカウントを保護するために講じる必要がある最初のレベルの対策は何ですか。
選んでください：

• A. IAMポリシーを使用してアクセスを制限する
• B. IAMロールを作成する
• C. ルートアカウントのAWSキーを削除します
• D. IAMグループを作成する

正解：C

解説：
The first level or measure that should be taken is to delete the keys for the IAM root user
When you log into your account and go to your Security Access dashboard, this is the first step that can be seen

Option B and C are wrong because creation of IAM groups and roles will not change the impact of leakage of AWS root access keys
Option D is wrong because the first key aspect is to protect the access keys for the root account For more information on best practises for Security Access keys, please visit the below URL:
https://docs.aws.amazon.com/eeneral/latest/gr/aws-access-keys-best-practices.html
The correct answer is: Delete the AWS keys for the root account Submit your Feedback/Queries to our Experts

質問 # 18
企業は、ITインフラストラクチャのほとんどをAWSに移行する予定です。同社は、既存のオンプレミスActive DirectoryをAWSのIDプロバイダーとして活用したいと考えています。
会社のオンプレミスActive Directoryを使用してAWSサービスに対して認証するには、どの手順を実行する必要がありますか？ （3つ選択）。

• A. 各Active Directoryグループに対応するアクセス許可を持つIAMロールを作成します。
• B. 各Active Directoryグループに対応するアクセス許可でIAMグループを作成します。
• C. IAMをAmazon Cloud Directoryの信頼できる証明書利用者として設定します。
• D. Amazon Cloud DirectoryでSAMLプロバイダーを作成します。
• E. IAMでSAMLプロバイダーを作成します。
• F. AWSをActive Directoryの信頼できる証明書利用者として構成します

正解：A、E、F

解説：
https://aws.amazon.com/blogs/security/aws-federated-authentication-with-active-directory-federation-services-ad-fs/

質問 # 19
AWS KMSサービスを使用して定義されたキーのセットがあります。いくつかのキーの使用を停止したいが、どのサービスが現在キーを使用しているかはわかりません。次のどれが、今後の使用からキーの使用を停止するための安全なオプションでしょう。
選んでください：

• A. キーのエイリアスを設定します
• B. キーのキーマテリアルを変更する
• C. とにかく削除までに7日間の待機期間があるため、キーを削除します
• D. キーを無効にします

正解：D

解説：
Option A is invalid because once you schedule the deletion and waiting period ends, you cannot come back from the deletion process.
Option C and D are invalid because these will not check to see if the keys are being used or not
The AWS Documentation mentions the following
Deleting a customer master key (CMK) in AWS Key Management Service (AWS KMS) is destructive and potentially dangerous. It deletes the key material and all metadata associated with the CMK, and is irreversible. After a CMK is deleted you can no longer decrypt the data that was encrypted under that CMK, which means that data becomes unrecoverable. You should delete a CMK only when you are sure that you don't need to use it anymore. If you are not sure, consider disabling the CMK instead of deleting it. You can re-enable a disabled CMK if you need to use it again later, but you cannot recover a deleted CMK.
For more information on deleting keys from KMS, please visit the below URL:
https://docs.aws.amazon.com/kms/latest/developereuide/deleting-keys.html
The correct answer is: Disable the keys Submit your Feedback/Queries to our Experts

質問 # 20
会社は、IAM Service Catalog にデプロイする製品をセットアップしています。経営陣は、ユーザーが製品を起動するときに、リソースを作成するために昇格された IAM 権限が必要になることを懸念しています。会社はこの懸念をどのように軽減すべきでしょうか?

• A. 製品をサポートする IAM CloudFormalion テンプレートを更新して、サービス ロール構成を含めます。
• B. ポートフォリオ内の各製品に起動制約を追加します。
• C. ポートフォリオ内の各製品にテンプレート制約を追加します。
• D. ポートフォリオ内の各製品のリソース更新の制約を定義します。

正解：B

解説：
https://docs.IAM.amazon.com/servicecatalog/latest/adminguide/constraints-launch.html Launch constraints apply to products in the portfolio (product-portfolio association). Launch constraints do not apply at the portfolio level or to a product across all portfolios. To associate a launch constraint with all products in a portfolio, you must apply the launch constraint to each product individually.

質問 # 21
製薬会社は、敷地内に保存された歴史的処方のデジタル化バージョンを持っています。会社はこれらの処方箋をAWSに移動し、それらの処方箋のデータを分析したいと考えています。このデータを使用する操作では、転送中および保存中にデータを暗号化する必要があります。
どのアプリケーションフローがAWSのデータ保護要件を満たしますか？

• A. デジタル化されたファイル-> Amazon Kinesis Data Firehose-> Amazon Elasticsearch
• B. デジタル化されたファイル-> Amazon Kinesis Data Streams-> Kinesis Client Libraryコンシューマー-> Amazon S3-> Athena
• C. デジタル化されたファイル-> Amazon Kinesis Data Analytics
• D. デジタル化されたファイル-> Amazon Kinesis Data Firehose-> Amazon S3-> Amazon Athena

正解：D

質問 # 22
ある会社は、IAM アカウントの単一の VPC 内で複数のアプリケーションをホストしています。アプリケーションは、IAM WAF ウェブ ACL に関連付けられた Application Load Balancer の背後で実行されています。同社のセキュリティ チームは、複数のポート スキャンがインターネット上の特定の範囲の IP アドレスから発信されていることを確認しました。
セキュリティ エンジニアは、問題のある IP アドレスからのアクセスを拒否する必要があります。
これらの要件を満たすソリューションはどれですか?

• A. IAM WAF ウェブ ACL を正規表現一致条件で構成します。一致条件に基づいて受信リクエストを拒否するように設定されたパターンを指定します
• B. IAM WAF ウェブ ACL をレートベースのルールステートメントで変更して、IP アドレス範囲からの受信リクエストを拒否します。
• C. IP アドレス範囲からの着信要求を拒否するルールをすべてのセキュリティ グループに追加します。
• D. IAM WAF ウェブ ACL を IP セット一致ルール ステートメントで変更して、IP アドレス範囲からの着信要求を拒否します。

正解：D

解説：
Note that the IP is known and the question wants us to deny access from that particular address and so we can use IP set match policy of WAF to block access.

質問 # 23
セキュリティエンジニアは、AWSサービスで使用される暗号化キーが特定の規制基準に準拠しているかどうかを判断しようとしています。
詳細なガイダンスを得るために、エンジニアは次のアクションのうちどれを実行する必要がありますか？

• A. AWS Artifactを使用してAWSコンプライアンスレポートにアクセスします。
• B. AWS Configを実行し、構成出力を評価します。
• C. AWSカスタマー契約を読みます。
• D. AWSディスカッションフォーラムに質問を投稿します。

正解：A

解説：
https://aws.amazon.com/artifact/
Third-party auditors assess the security and compliance of AWS Key Management Service as part of multiple AWS compliance programs. These include SOC, PCI, FedRAMP, HIPPA, and others. The compliance document is found in AWS Artifact.

質問 # 24
AWSアカウントには10​​0個のEC2インスタンスのセットがあります。これらのすべてのインスタンスにパッチを適用し、最新の状態に保つ必要があります。すべてのインスタンスはプライベートサブネットにあります。どうすればこれを達成できますか。以下のオプションから2つの回答を選択してください。

• A. 更新をダウンロードするためのインターネットゲートウェイが存在することを確認します
• B. AWSインスペクターを使用して更新をパッチする
• C. Systems Managerを使用してインスタンスにパッチを適用します
• D. アップデートをダウンロードするNATゲートウェイが存在することを確認します

正解：C、D

解説：
Option C is invalid because the instances need to remain in the private:
Option D is invalid because AWS inspector can only detect the patches
One of the AWS Blogs mentions how patching of Linux servers can be accomplished. Below is the diagram representation of the architecture setup

For more information on patching Linux workloads in AWS, please refer to the Lin.
https://aws.amazon.com/blogs/security/how-to-patch-linux-workloads-on-awsj
The correct answers are: Ensure a NAT gateway is present to download the updates. Use the Systems Manager to patch the instances
Submit your Feedback/Queries to our Experts

質問 # 25
セキュリティエンジニアが、会社のカスタムログアプリケーションの問題をトラブルシューティングしています。アプリケーションログは、Amazon SNSトピックにイベントを送信できるようにイベント通知が有効になっているAmazon S3バケットに書き込まれます。すべてのログはAWS KMS CMKを使用して保存時に暗号化されます。 SNSトピックは、暗号化されたAmazon SQSキューにサブスクライブされます。ロギングアプリケーションは、S3オブジェクトに関するメタデータを含む新しいメッセージがないかキューをポーリングします。次に、アプリケーションはS3バケットからオブジェクトのコンテンツを読み取り、インデックスを作成します。
Loggingチームは、送受信されたメッセージ数のAmazon CloudWatchメトリックスがゼロを示していると報告しました。トグは受け取られていません。
この問題をトラブルシューティングするために、セキュリティエンジニアは何をすべきですか？
A）次のステートメントをAWS管理のCMKに追加します。

B）
次のステートメントをCMKキーポリシーに追加します。

C）
次のステートメントをCMKキーポリシーに追加します。

D）
次のステートメントをCMKキーポリシーに追加します。

• A. オプションC
• B. オプションD
• C. オプションA
• D. オプションB

正解：B

質問 # 26
VPCのEC2インスタンスで実行されているアプリケーションは、データセンターの機密データにアクセスする必要があります。アクセスは転送中に暗号化され、一貫した低遅延が必要です。これらの要件を満たすハイブリッドアーキテクチャはどれですか？
選んでください：

• A. Direct Connect接続を介したVPCとデータセンター間のVPN
• B. パブリックHTTPSエンドポイントでデータを公開します。
• C. VPCとデータセンター間のVPN。
• D. VPCとデータセンター間の直接接続接続

正解：A

解説：
Explanation
Since this is required over a consistency low latency connection, you should use Direct Connect. For encryption, you can make use of a VPN Option A is invalid because exposing an HTTPS endpoint will not help all traffic to flow between a VPC and the data center.
Option C is invalid because low latency is a key requirement
Option D is invalid because only Direct Connect will not suffice
For more information on the connection options please see the below Link:
https://IAM.amazon.com/answers/networking/IAM-multiple-vpc-vpn-connection-sharint The correct answer is: A VPN between the VPC and the data center over a Direct Connect connection Submit your Feedback/Queries to our Experts

質問 # 27
会社で働いており、AWSとそのオンプレミスActive Directoryの間にフェデレーション認証メカニズムが設定されていることを確認するタスクが割り当てられています。このプロセスでカバーする必要がある重要なステップは次のうちどれですか？以下のオプションから2つの回答を選択してください。
選んでください：

• A. オンプレミスのADグループと1AMの役割に適切な一致があることを確認します。
• B. オンプレミスADグループと1AMグループに適切な一致が設定されていることを確認します。
• C. AWSをActive Directoryフェデレーションサービスの証明書利用者として構成します
• D. AWSをActive Directoryの証明書利用者として構成します

正解：A、C

解説：
Explanation
The AWS Documentation mentions some key aspects with regards to the configuration of On-premise AD with AWS One is the Groups configuration in AD Active Directory Configuration Determining how you will create and delineate your AD groups and 1AM roles in AWS is crucial to how you secure access to your account and manage resources. SAML assertions to the AWS environment and the respective 1AM role access will be managed through regular expression (regex) matching between your on-premises AD group name to an AWS 1AM role.
One approach for creating the AD groups that uniquely identify the AWS 1AM role mapping is by selecting a common group naming convention. For example, your AD groups would start with an identifier, for example, AWS-, as this will distinguish your AWS groups from others within the organization. Next include the
12-digitAWS account number. Finally, add the matching role name within the AWS account. Here is an example:

And next is the configuration of the relying party which is AWS
ADFS federation occurs with the participation of two parties; the identity or claims provider (in this case the owner of the identity repository - Active Directory) and the relying party, which is another application that wishes to outsource authentication to the identity provider; in this case Amazon Secure Token Service (STS).
The relying party is a federation partner that is represented by a claims provider trust in the federation service.
Option B is invalid because AD groups should not be matched to 1AM Groups Option C is invalid because the relying party should be configured in Active Directory Federation services For more information on the federated access, please visit the following URL:
1
https://aws.amazon.com/blogs/security/aws-federated-authentication-with-active-directory-federation-services-ad The correct answers are: Ensure the right match is in place for On-premise AD Groups and 1AM Roles., Configure AWS as the relying party in Active Directory Federation services Submit your Feedback/Queries to our Experts

質問 # 28
会社には、AWS Auto ScalingグループのElastic Load Balancer（ELB）の背後にあるプライベートサブネットに数十個のアプリケーションサーバーがあります。アプリケーションは、HTTPS経由でWebからアクセスされます。データは常に転送中に暗号化する必要があります。セキュリティエンジニアは、アプリケーションソフトウェアの脆弱性が原因で発生する可能性があるキーを心配しています。
違反時に外部証明書を保護しながら、これらの要件を満たすアプローチはどれですか？

• A. 外部証明書を購入し、AWS Certificate Manager（ELBで使用するため）およびインスタンスにアップロードします。 ELBでトラフィックを復号化し、同じ証明書でルーティングして再暗号化します。
• B. ネットワークロードバランサー（NLB）を使用して、ポート443のトラフィックをインターネットからインスタンスのポート443にパススルーします。
• C. 新しい外部証明書をロードバランサーにアップロードします。 ELBでトラフィックを復号化し、ポート80でインスタンスに転送します。
• D. 内部の自己署名証明書を生成し、インスタンスに適用します。 AWS Certificate Managerを使用して、ELBの新しい外部証明書を生成します。 ELBにトラフィックを復号化させ、内部証明書でルーティングして再暗号化させます。

正解：D

質問 # 29
会社は、既存のMicrosoft Active Directoryで定義されているIDとグループを使用して、AWSリソースへのアクセスを制御したいと考えています。
会社は、AWSサービスのアクセス許可をActive Directoryユーザー属性にマップするために、AWSアカウントに何を作成する必要がありますか？

• A. AWS IAMユーザー
• B. AWS IAMロール
• C. AWS IAMアクセスキー
• D. AWS IAMグループ

正解：B

解説：
Prerequisites to establish Federation Services in AWS - You have a working AD directory and AD FS server. - You have created an identity provider (IdP) in your AWS account using your XML file from your AD FS server. Remember the name of your IdP because you will use it later in this solution. -You have created the appropriate IAM roles in your AWS account, which will be used for federated access. https://aws.amazon.com/blogs/security/how-to-establish-federated-access-to-your-aws-resources-by-using-active-directory-user-attributes/

質問 # 30
企業のセキュリティ エンジニアは、Amazon GuardDuty、AWS Identity and Access Management Access Analyzer、または Amazon Made が重大度の高いセキュリティ結果を生成するたびに E メール アラートを受信したいと考えています。同社は AWS Control Tower を使用して、すべてのアカウントを管理しています。同社はまた、すべての AWS サービス統合を有効にして AWS Security Hub を使用しています。
運用上のオーバーヘッドが最も少なく、これらの要件を満たすソリューションはどれですか?

• A. 重大度の高い AWS Control Tower イベントに一致するパターンで Amazon EventBridge ルールを作成します。調査結果をターゲットの Amazon Simple Notification Service (Amazon SNS) トピックに送信するようにルールを設定します。必要な電子メール アドレスを SNS トピックにサブスクライブします。
• B. GuardDuty、1AM Access Analyzer、および Macie 用に個別の AWS Lambda 関数をセットアップして、各サービスのパブリック API を呼び出して重大度の高い検出結果を取得します。Amazon Simple Notification Service (Amazon SNS) を使用して E メールアラートを送信します。スケジュールに従って関数を呼び出す Amazon EventBridge ルールを作成します。
• C. Amazon EC2 でアプリケーションをホストして、GuardDuty、1AM Access Analyzer、および Macie API を呼び出します。
  アプリケーション内で、Amazon Simple Notification Service (Amazon SNS) API を使用して重大度の高い結果を取得し、その結果を SNS トピックに送信します。必要な電子メール アドレスを SNS トピックにサブスクライブします。
• D. 重大度の高いセキュリティ ハブの結果イベントに一致するパターンを使用して、Amazon EventBridge ルールを作成します。調査結果をターゲットの Amazon Simple Notification Service (Amazon SNS) トピックに送信するようにルールを設定します。必要な電子メール アドレスを SNS トピックにサブスクライブします。

正解：D

解説：
The AWS documentation states that you can create an Amazon EventBridge rule with a pattern that matches Security Hub findings events with high severity. You can then configure the rule to send the findings to a target Amazon Simple Notification Service (Amazon SNS) topic. You can subscribe the desired email addresses to the SNS topic. This method is the least operational overhead way to meet the requirements.

質問 # 31
ポリシーを作成し、それを個々のユーザーにのみ適用する必要があります。どうすればこれを正しい方法で達成できますか？
選んでください：

• A. ユーザーのサービスポリシーを追加します
• B. ユーザーのIAMロールを追加します
• C. ユーザーのAWS管理ポリシーを追加します
• D. ユーザーのインラインポリシーを追加します

正解：D

解説：
Explanation
Options A and B are incorrect since you need to add an inline policy just for the user Option C is invalid because you don't assign an IAM role to a user The AWS Documentation mentions the following An inline policy is a policy that's embedded in a principal entity (a user, group, or role)-that is, the policy is an inherent part of the principal entity. You can create a policy and embed it in a principal entity, either when you create the principal entity or later.
For more information on IAM Access and Inline policies, just browse to the below URL:
https://docs.aws.amazon.com/IAM/latest/UserGuide/access
The correct answer is: Add an inline policy for the user Submit your Feedback/Queries to our Experts

質問 # 32
最近のセキュリティ監査では、企業のアプリケーションチームがデータベースのクレデンシャルをAWSFargateタスクの環境変数に挿入していることが確認されました。同社のセキュリティポリシーでは、すべての機密データを保管中および転送中に暗号化することが義務付けられています。
アプリケーションをセキュリティポリシーに準拠させるために、セキュリティチームはいつアクションを組み合わせる必要がありますか？（3つ選択）

• A. AWS Secrets Managerシークレットを作成し、このシークレットに保存するキーと値のペアを指定します
• B. アプリケーションチームへのアクセスが制限されたAmazon S3バケット内のファイルにクレデンシャルを安全に保存するIAMロール代わりに、S3オブジェクトからクレデンシャルを読み取るようにアプリケーションチームに依頼します
• C. 環境変数ではなく、AWSSecretsManagerシークレットからクレデンシャルをプルするようにアプリケーションを変更します。
• D. コンテナインスタンスのIAMロールポリシーに次のステートメントを追加します
  
• E. 実行ロールポリシーに次のステートメントを追加します。
  
• F. AWS Fargateインスタンスにログインし、AWS Secret Managerからシークレット値を読み取るスクリプトを作成し、環境変数を挿入します。アプリケーションチームにアプリケーションを再デプロイするように依頼します。

正解：A、E、F

質問 # 33
会社は、HTTPSトラフィックのためにユーザーがアクセスできる必要があるWebサイトをホストしています。また、管理目的でポート22を開く必要があります。管理者のワークステーションの静的IPアドレスは203.0.113.1/32です。
次のセキュリティグループ構成のうちどれが最も安全ですが、これらの要件をサポートするためにまだ機能していますか？以下のオプションから2つの回答を選択してください。

• A. 203.0.113.1/32からのポート22
• B. 10.0.0.0/16からのポート443
• C. 0.0.0.0/0からのポート443
• D. 0.0.0.0/0からのポート22

正解：A、C

解説：
Explanation
Since HTTPS traffic is required for all users on the Internet, Port 443 should be open on all IP addresses. For port 22, the traffic should be restricted to an internal subnet.
Option B is invalid, because this only allow traffic from a particular CIDR block and not from the internet Option C is invalid because allowing port 22 from the internet is a security risk For more information on IAM Security Groups, please visit the following UR
https://docs.IAM.amazon.com/IAMEC2/latest/UserGuide/usins-network-secunty.htmll The correct answers are: Port 443 coming from 0.0.0.0/0, Port 22 coming from 203.0.113.1 /32 Submit your Feedback/Queries to our Experts

質問 # 34
......

有効なSCS-C01日本語テスト解答とAmazon SCS-C01日本語試験PDF：https://www.goshiken.com/Amazon/AWS-Security-Specialty-JPN-mondaishu.html