• ホーム
  • ブログ
  • 手に入れよう!は2022年最新の有効な実践問題であなたのSCS-C01日本語試験を合格させる(本日更新された532問) [Q218-Q236]

手に入れよう!は2022年最新の有効な実践問題であなたのSCS-C01日本語試験を合格させる(本日更新された532問) [Q218-Q236]

Share

手に入れよう!は2022年最新の有効な実践問題であなたのSCS-C01日本語試験を合格させる(本日更新された532問)

AWS Certified Security SCS-C01日本語試験実践テスト問題集解答豪華セットを使おう!

質問 218
メディア業界で働いており、ユーザーが作成した写真をWebサイトにアップロードできるWebアプリケーションを作成しました。このWebアプリケーションが機能するには、S3 APIを呼び出すことができる必要があります。最高レベルのセキュリティを維持しながら、API認証情報をどこに保存する必要がありますか?
選んでください:

  • A. パブリックGithubリポジトリにAPI認証情報を保存します。
  • B. API資格情報を保存せず、代わりに1AMでロールを作成し、最初に作成したときにこのロールをEC2インスタンスに割り当てます。
  • C. API資格情報をPHPファイルに保存します。
  • D. インスタンスuserdataを使用してAPI資格情報をインスタンスに渡します。

正解: B

解説:
説明
アプリケーションは、AWS認証情報でAPIリクエストに署名する必要があります。したがって、アプリケーション開発者の場合、EC2インスタンスで実行されるアプリケーションの資格情報を管理する戦略が必要です。たとえば、AWS認証情報をインスタンスに安全に配布し、それらのインスタンス上のアプリケーションが認証情報を使用してリクエストに署名できるようにし、認証情報を他のユーザーから保護できます。ただし、資格情報を各インスタンスに安全に配布することは困難です。特に、AWSがスポットインスタンスやAuto Scalingグループのインスタンスなど、ユーザーに代わって作成するもの。また、AWS認証情報を更新するときに、各インスタンスの認証情報を更新できる必要があります。
1AMロールは、アプリケーションが使用するセキュリティ認証情報を管理しなくても、アプリケーションがインスタンスから安全にAPIリクエストを行えるように設計されています。
本番環境のアプリケーションでAWS認証情報を使用することは直接の推奨事項ではないため、オプションA.CおよびDは無効です。1セキュアアクセス1AMロールの詳細については、以下のURLにアクセスしてください。
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html正しい答えは次のとおりです。API認証情報を保存しないでください。代わりに、1AMでロールを作成し、最初に作成したときにこのロールをEC2インスタンスに割り当てます。フィードバック/クエリをエキスパートに送信します

 

質問 219
ある会社には、Amazon CloudFront HTTPSディストリビューションを備えたウェブサイト、動的ウェブサイトコンテンツ用の複数のウェブインスタンスを備えたアプリケーションロードバランサー(ALB)、静的ウェブサイトコンテンツ用のAmazonS3バケットがあります。同社のセキュリティエンジニアは最近、Webサイトのセキュリティ要件を更新しました。
* HTTPSは、特定の暗号で転送中のすべてのデータに適用する必要があります。
* CloudFrontディストリビューションは、インターネットからのみアクセス可能である必要があります。
これらの要件を満たすソリューションはどれですか?

  • A. ALBをオリジンとして使用するようにCloudFrontディストリビューションを変更します。 ALBにHTTPSリスナーを適用します。 Amazon S3に接続するプロキシを使用して、ALBにパスベースのルーティングルールを作成します。これらのプロキシからのアクセスのみを許可するバケットポリシーを作成します。
  • B. AWSWAFを使用するようにCloudFrontディストリビューションを変更します。バケットポリシーに特定の暗号を使用して、S3バケットにHTTPSを強制します。 ALBに対してのみHTTPSリスナーを構成します。 CloudFrontIP範囲からALBへのアクセスを制限するようにセキュリティグループを設定します
  • C. aws:securetransportキーを使用してS3バケットポリシーを設定します。 S3バケットを使用してCloudFrontオリジンアクセスID(OAI)を設定します。 HTTPSリスナーのみでALBを適用し、暗号に適切なセキュリティポリシーを選択します。
  • D. awssecuretransportキーを使用してS3バケットポリシーを設定します。S3バケットを使用してCloudFrontオリジンアクセスID(OAI)を設定します。特定の暗号を使用するようにCloudFrontを設定します。 HTTPSリスナーのみでALBを適用し、暗号に適切なセキュリティポリシーを選択します。ALBをAWS WAFにリンクして、CloudFrontIP範囲からのアクセスを許可します。

正解: A,B

 

質問 220
会社のEC2インスタンスの1つが侵害されました。インスタンスにデジタルフォレンジックを適用できるようにするために、どのような手順を実行しますか。以下のオプションから2つの回答を選択してください選択してください:

  • A. インスタンスを終了します
  • B. 別のフォレンジックインスタンスを作成します
  • C. Ec2インスタンスに適用されているロールを削除します
  • D. セキュリティグループがこのフォレンジックインスタンスへの通信のみを許可するようにします

正解: B,D

解説:
Option A is invalid because removing the role will not help completely in such a situation Option D is invalid because terminating the instance means that you cannot conduct forensic analysis on the instance One way to isolate an affected EC2 instance for investigation is to place it in a Security Group that only the forensic investigators can access. Close all ports except to receive inbound SSH or RDP traffic from one single IP address from which the investigators can safely examine the instance.
For more information on security scenarios for your EC2 Instance, please refer to below URL:
https://d1.awsstatic.com/Marketplace/scenarios/security/
SEC 11 TSB Final.pd1 The correct answers are: Create a separate forensic instance.
Ensure that the security groups only allow communication to this forensic instance Submit your Feedback/Queries to our Experts

 

質問 221
企業のアーキテクチャでは、3つのAmazon EC2インスタンスがApplication Load Balancer(ALB)の背後で実行される必要があります。 EC2インスタンスは相互に機密データを送信します開発者はSSL証明書を使用してパブリックユーザーとALB間のトラフィックを暗号化しますが、開発者はALBとEC2インスタンスの間の転送中のデータとEC2間のトラフィックを暗号化する方法がわかりませんインスタンス暗号化の要件を満たすために会社が実装する必要があるアクティビティの組み合わせはどれですか? (2つ選択)

  • A. アプリケーションのコードに暗号化ライブラリを含め、EC2インスタンス間で送信する前にデータを暗号化します
  • B. ALB内。 ALBとEC2インスタンス間のトラフィックを暗号化するデフォルトの暗号化を選択します
  • C. EC2インスタンスでSSLTLSを構成し、HTTPSを使用するようにALBターゲットグループを構成します
  • D. EC2インスタンス間に暗号化されたトンネルを提供するようにAWS Direct Connectを設定します
  • E. EC2インスタンス間のトラフィックを暗号化するためにVPCによって提供されるデフォルトの暗号化が使用されるように、すべてのリソースが同じVPCにあることを確認します。

正解: B,E

 

質問 222
会社には、オンプレミスサーバーとサーバーがAWSクラウドでホストされているハイブリッド環境があります。サーバーにパッチを適用するためにSystems Managerを使用することを計画しています。これが機能するための前提条件は次のうちどれですか。選んでください:

  • A. オンプレミスサーバーがHyper-Vで実行されていることを確認します。
  • B. オンプレミスサーバー用に1AMグループが作成されていることを確認します
  • C. 1AMユーザーが作成されていることを確認します
  • D. 1AMサービスロールが作成されていることを確認します

正解: D

解説:
説明
オンプレミスサーバーがAWS Systems Managerと通信できるように、1AMサービスロールが作成されていることを確認する必要があります。
サーバーがHyper-Vのみを実行する必要はないため、オプションAは間違っています。1AMユーザーおよびグループを作成する必要がないため、オプションCおよびDは間違っています。SystemsManagerロールの詳細については、以下のURLを参照してください:
com / systems-rnanaeer / latest / usereuide / sysman-!
正解は、1AMサービスロールが作成されていることを確認することです。
専門家へのフィードバック/クエリの送信

 

質問 223
ある会社は、アプリケーションのデータベースエンジンとしてAmazon RDS forMySQLを使用しています。最近のセキュリティ監査により、保存データの暗号化に関する会社のポリシーに準拠していないRDSインスタンスが明らかになりました。同社のセキュリティエンジニアは、既存のすべてのRDSデータベースがサーバー側の暗号化を使用して暗号化されていること、およびポリシーからの将来の逸脱が検出されていることを確認する必要があります。
これを達成するために、セキュリティエンジニアはどの手順の組み合わせを実行する必要がありますか? (2つ選択してください。)

  • A. 既存の暗号化されていないRDSデータベースの読み取りレプリカを作成し、プロセスでレプリカ暗号化を有効にします。レプリカがアクティブになったら、それをスタンドアロンデータベースインスタンスにプロモートし、暗号化されていないデータベースインスタンスを終了します。
  • B. 暗号化されていないRDSデータベースのスナップショットを作成します。スナップショットをコピーし、プロセスでスナップショット暗号化を有効にします。新しく作成された暗号化されたスナップショットからデータベースインスタンスを復元します。暗号化されていないデータベースインスタンスを終了します。
  • C. 暗号化されていないRDSデータベースの作成を検出するAWSConfigルールを作成します。 Amazon EventBridge(Amazon CloudWatch Events)ルールを作成してAWS Configルールのコンプライアンス状態の変更をトリガーし、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティオペレーションチームに通知します。
  • D. AWS System Manager State Managerを使用して、RDSデータベース暗号化設定のドリフトを検出します。 Amazon EventBridge(Amazon CloudWatch Events)ルールを作成して状態の変化を追跡し、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティオペレーションチームに通知します。
  • E. 既存のデータベースの設定を変更して、識別された暗号化されていないRDSインスタンスの暗号化を有効にします

正解: B,C

 

質問 224
あなたの会社には、AWSで次のセットアップがあります
a。 WebアプリケーションをホストするEC2インスタンスのセット
b。 EC2インスタンスの前に配置されたアプリケーションロードバランサー
一連のIPアドレスから送信される一連の悪意のある要求があるようです。これらの要求から保護するために使用できるのは次のうちどれですか?
選んでください:

  • A. AWSインスペクターを使用してIPアドレスをブロックする
  • B. セキュリティグループを使用してIPアドレスをブロックします
  • C. AWS WAFを使用してIPアドレスをブロックする
  • D. VPCフローログを使用してIPアドレスをブロックする

正解: C

解説:
Your answer is incorrect
Answer -D
The AWS Documentation mentions the following on AWS WAF which can be used to protect Application Load Balancers and Cloud front A web access control list (web ACL) gives you fine-grained control over the web requests that your Amazon CloudFront distributions or Application Load Balancers respond to. You can allow or block the following types of requests:
Originate from an IP address or a range of IP addresses
Originate from a specific country or countries
Contain a specified string or match a regular expression (regex) pattern in a particular part of requests Exceed a specified length Appear to contain malicious SQL code (known as SQL injection) Appear to contain malicious scripts (known as cross-site scripting) Option A is invalid because by default Security Groups have the Deny policy Options B and C are invalid because these services cannot be used to block IP addresses For information on AWS WAF, please visit the below URL:
https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html
The correct answer is: Use AWS WAF to block the IP addresses
Submit your Feedback/Queries to our Experts

 

質問 225
セキュリティエンジニアは、ユーザーがキーに直接触れることなくAmazon S3オブジェクトをシームレスに暗号化できるソリューションを実装しています。ソリューションは、継続的な管理を必要とせずに高度にスケーラブルでなければなりません。さらに、組織は暗号化キーをすぐに削除できる必要があります。
これらの要件を満たすソリューションはどれですか?

  • A. インポートされたAWSマテリアルでKMSを使用し、必要に応じてDeletelmportedKeyMaterial APIを使用してキーマテリアルを削除します。
  • B. AWS KMSとAWS管理キー、およびScheduleKeyDeletion APIとPendingWindowInDaysを0に設定して、必要に応じてキーを削除します。
  • C. AWS CloudHSMを使用してキーを保存し、必要に応じてCloudHSM APIまたはPKCS11ライブラリを使用してキーを削除します。
  • D. Systems Managerパラメーターストアを使用してキーを保存し、必要に応じてサービスAPI操作を使用してキーを削除します。

正解: C

 

質問 226
監査人は、AWS上のすべてのAPIイベントを記録するログにアクセスする必要があります。監査人はログファイルへの読み取り専用アクセスのみが必要で、各AWSアカウントへのアクセスは必要ありません。会社には複数のAWSアカウントがあり、監査人はすべてのアカウントのすべてのログにアクセスする必要があります。すべてのアカウントからのイベントログを表示するために監査人のアクセスを構成する最良の方法は何ですか?以下のオプションから正しい答えを選択してください。選択してください:

  • A. 各AWSアカウントでCloudTrailサービスを構成し、CloudTrail内の統合ログを有効にします。
  • B. プライマリAWSアカウントでCloudTrailサービスを構成し、すべてのセカンダリアカウントの統合請求を構成します。次に、CloudTrailログファイルを受信するS3バケットへの監査者アクセスを許可します。
  • C. 各AWSアカウントでCloudTrailサービスを構成し、ログを各アカウントのAWSバケットに配信し、セカンダリアカウントと単一のプライマリ1AMアカウントのロールを介して監査権限をバケットに付与します。セカンダリAWSアカウントの読み取り専用ロール。
  • D. 各AWSアカウントでCloudTrailサービスを設定し、プライマリアカウントの単一のAWSバケットにログを配信し、orimarvアカウントのその単一のバケットへの監査アクセスを許可します。

正解: D

解説:
Given the current requirements, assume the method of "least privilege" security design and only allow the auditor access to the minimum amount of AWS resources as possibli AWS CloudTrail is a service that enables governance, compliance, operational auditing, and risk auditing of your AWS account. With CloudTrail, you can log, continuously monitor, and retain events related to API calls across your AWS infrastructure. CloudTrail provides a history of AWS API calls for your account including API calls made through the AWS Management Console, AWS SDKs, command line tools, and other AWS services. This history simplifies security analysis, resource change tracking, and troubleshooting only be granted access in one location Option Option A is incorrect since the auditor should B is incorrect since consolidated billing is not a key requirement as part of the question Option C is incorrect since there is not consolidated logging For more information on Cloudtrail please refer to the below URL:
https://aws.amazon.com/cloudtraiL
(
The correct answer is: Configure the CloudTrail service in each AWS account and have the logs delivered to a single AWS bud in the primary account and grant the auditor access to that single bucket in the primary account.
Submit your Feedback/Queries to our Experts

 

質問 227
AWS RDSインスタンスへの接続のために転送中のデータを暗号化するには、次のうちどれを実装しますか選択してください。

  • A. アプリケーションからのSSL
  • B. AWS KMSからのデータキー
  • C. 透過的なデータ暗号化
  • D. CloudHSMからのデータキー

正解: A

解説:
Explanation
This is mentioned in the AWS Documentation
You can use SSL from your application to encrypt a connection to a DB instance running MySQL MariaDB, Amazon Aurora, SQL Server, Oracle, or PostgreSQL.
Option A is incorrect since Transparent data encryption is used for data at rest and not in transit Options C and D are incorrect since keys can be used for encryption of data at rest For more information on working with RDS and SSL, please refer to below URL:
https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html The correct answer is: SSL from your application Submit your Feedback/Queries to our Experts

 

質問 228
ユーザーがVPCウィザードを使用して、パブリックサブネットとプライベートサブネットでVPCを作成しました。 VPCにはCIDRがあります
20.0.0.0/16。パブリックサブネットはCIDR 20.0.1.0/24を使用します。ユーザーは、ポート80のパブリックサブネットでWebサーバーをホストし、ポート3306のプライベートサブネットでデータベースサーバーをホストすることを計画しています。ユーザーは、パブリックサブネット(WebSecGrp)およびプライベートサブネット(DBSecGrp)のセキュリティグループを構成しています。プライベートサブネットデータベースセキュリティグループDBSecGrpに必要なエントリは次のうちどれですか?
選んでください:

  • A. 宛先NATインスタンスIPのポート80でアウトバウンドを許可
  • B. ソース20.0.0.0/16からのポート3306での受信を許可
  • C. 宛先WebサーバーセキュリティグループWebSecGrpのポート3306でアウトバウンドを許可します。
  • D. ソースWebサーバーセキュリティグループWebSecGrpのポート3306での受信を許可します。

正解: D

解説:
Since the Web server needs to talk to the database server on port 3306 that means that the database server should allow incoming traffic on port 3306. The below table from the aws documentation shows how the security groups should be set up.

Option B is invalid because you need to allow incoming access for the database server from the WebSecGrp security group.
Options C and D are invalid because you need to allow Outbound traffic and not inbound traffic For more information on security groups please visit the below Link:
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC Scenario2.html The correct answer is: Allow Inbound on port 3306 for Source Web Server Security Group WebSecGrp. Submit your Feedback/Queries to our Experts

 

質問 229
VPCのインスタンスがDNSリクエストのルーティングにAWS DNSを使用しないようにする方法を教えてください。独自のマネージドDNSインスタンスを使用します。どうすればこれを達成できますか?
選んでください:

  • A. 既存のDHCPオプションセットを変更します
  • B. サブネット構成を変更して、新しいDNSサーバーからのDNS要求を許可します
  • C. 新しいDHCPオプションセットを作成し、既存のオプションを置き換えます。
  • D. VPCのルートテーブルを変更します

正解: C

解説:
In order to use your own DNS server, you need to ensure that you create a new custom DHCP options set with the IP of th custom DNS server. You cannot modify the existing set, so you need to create a new one.
Option A is invalid because you cannot make changes to an existing DHCP options Set.
Option C is invalid because this can only be used to work with Routes and not with a custom DNS solution.
Option D is invalid because this needs to be done at the VPC level and not at the Subnet level For more information on DHCP options set, please visit the following url
https://docs.aws.amazon.com/AmazonVPC/latest/UserGuideA/PC DHCP Options.html The correct answer is: Create a new DHCP options set and replace the existing one. Submit your Feedback/Queries to our Experts

 

質問 230
AWS Configを使用して、AWSアカウントのリソースの構成を確認する予定です。既存のIAMロールを使用し、それをAWS Configリソースに使用することを計画しています。 AWS構成サービスが必要に応じて機能するために必要なものは次のうちどれですか?
選んでください:

  • A. ロール内のAWS Configサービスに適切な信頼ポリシーがあることを確認します
  • B. ロール内のAWS Configサービスに適したグループポリシーがあることを確認します
  • C. ロール内のAWS Configサービスに適したユーザーポリシーがあることを確認します
  • D. ロール内のAWS Configサービスに付与ポリシーが設定されていることを確認します

正解: A

解説:

Options B,C and D are invalid because you need to ensure a trust policy is in place and not a grant, user or group policy or more information on the IAM role permissions please visit the below Link:
https://docs.aws.amazon.com/config/latest/developerguide/iamrole-permissions.htmll The correct answer is: Ensure that there is a trust policy in place for the AWS Config service within the role Submit your Feedback/Queries to our Experts

 

質問 231
会社には、AWSアカウントでホストされるリソースがあります。すべての地域のすべてのAPIアクティビティを監視する必要があります。監査は将来の地域にも適用する必要があります。この要件を満たすために使用できるのは次のうちどれですか。
選んでください:

  • A. 各地域のCloudtrailを作成します。 Cloudformationを使用して、将来のすべての地域で証跡を有効にします。
  • B. 各地域のCloudtrailを確認します。次に、将来の各地域で有効にします。
  • C. すべてのリージョンで1つのCloudtrailトレイルが有効になっていることを確認します。
  • D. 地域ごとにCloudtrailを作成します。 AWS Configを使用して、将来のすべてのリージョンで証跡を有効にします。

正解: C

解説:
説明
AWSドキュメントには次のことが記載されています
これで、AWSアカウントのすべてのリージョンで証跡を有効にできます。 CloudTrailは、すべてのリージョンからのログファイルをAmazon S3バケットおよび指定したオプションのCloudWatch Logsロググループに配信します。さらに、AWSが新しいリージョンを起動すると、CloudTrailは新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しい領域のAPIアクティビティを含むログファイルを受け取ります。
これはすべてのリージョンでcloudtrailを有効にするためのメンテナンスオーバーヘッドになるため、オプションAおよびCは無効です。このAWS Configを使用して証跡を有効にできないため、オプションDは無効です。この機能の詳細については、次のURLをご覧ください:
https://aws.ama2on.com/about-aws/whats-new/20l5/l2/turn-on-cloudtrail-across-all-reeions-and-support-for-mul正しい答えは、1つのCloudtrailトレイルを確保することですすべての地域で有効です。専門家へのフィードバック/クエリの送信

 

質問 232
企業は、キーの暗号化排他アクセスを生成、保存、管理する安全な方法を望んでいます。この目的に使用できるのは次のうちどれですか?
選んでください:

  • A. クラウドHSMを使用
  • B. S3サーバー側の暗号化を使用
  • C. KMSを使用し、外部キーマテリアルを使用する
  • D. KMSおよび通常のKMS暗号化キーを使用します

正解: A

解説:
The AWS Documentation mentions the following
The AWS CloudHSM service helps you meet corporate, contractual and regulatory compliance requirements for data security by using dedicated Hardware Security Module (HSM) instances within the AWS cloud. AWS and AWS Marketplace partners offer a variety of solutions for protecting sensitive data within the AWS platform, but for some applications and data subject to contractual or regulatory mandates for managing cryptographic keys, additional protection may be necessary. CloudHSM complements existing data protection solutions and allows you to protect your encryption keys within HSMs that are desigr and validated to government standards for secure key management. CloudHSM allows you to securely generate, store and manage cryptographic keys used for data encryption in a way that keys are accessible only by you.
Option A.B and Care invalid because in all of these cases, the management of the key will be with AWS. Here the question specifically mentions that you want to have exclusive access over the keys. This can be achieved with Cloud HSM
For more information on CloudHSM, please visit the following URL:
https://aws.amazon.com/cloudhsm/faq:
The correct answer is: Use Cloud HSM Submit your Feedback/Queries to our Experts

 

質問 233
従業員は、本番環境でEC2インスタンスを終了し続けます。これが発生しないようにするための最善の方法は、インスタンスの終了に対する防御の層を追加することです。従業員が本番インスタンスを終了しないようにするための最良の方法は何ですか?以下のオプションから2つの正解を選択してください。以下を選択してください。

  • A. EC2インスタンスを削除する前にMFAを要求し、従業員へのMFAアクセスを無効にするように、ユーザーのIAMポリシーを変更します
  • B. インスタンスに本番識別タグをタグ付けし、employeesグループを変更して、開始停止のみを許可し、終了インスタンス呼び出しではなくAPI呼び出しを再起動します。
  • C. EC2インスタンスを削除する前にMFAを要求するようにユーザーのIAMポリシーを変更します。タグを使用すると、目的、所有者、環境など、さまざまな方法でAWSリソースを分類できます。これは、同じタイプのリソースが多数ある場合に役立ちます。割り当てたタグに基づいて、特定のリソースをすばやく識別できます。各タグはキーとオプションの値で構成されていますが、どちらもオプションC&Dを定義すると、従業員がインスタンスを終了できないことが保証されないため、正しくありません。
  • D. インスタンスに本番識別タグをタグ付けし、本番タグを使用したインスタンスへの終了API呼び出しを明示的に拒否して、従業員ユーザーにリソースレベルの権限を追加します。 <

正解: B,D

解説:
For more information on tagging answer resources please refer to the below URL:
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Usins_Tags.htmll
The correct answers are: Tag the instance with a production-identifying tag and add resource-level permissions to the employe user with an explicit deny on the terminate API call to instances with the production tag.. Tag the instance with a production-identifying tag and modify the employees group to allow only start stop, and reboot API calls and not the terminate instance Submit your Feedback/Queries to our Experts

 

質問 234
Cloudfrontで利用可能なキーを使用してプライベートコンテンツを提供する必要があります。これはどのように達成できますか?
選んでください:

  • A. S3バケットにキーを追加します
  • B. 事前に署名されたURLを作成します
  • C. バックエンドディストリビューションにキーを追加します。
  • D. AWSアクセスキーを使用する

正解: B

解説:
Option A and B are invalid because you will not add keys to either the backend distribution or the S3 bucket.
Option D is invalid because this is used for programmatic access to AWS resources
You can use Cloudfront key pairs to create a trusted pre-signed URL which can be distributed to users
Specifying the AWS Accounts That Can Create Signed URLs and Signed Cookies (Trusted Signers)
Topics
* Creating CloudFront Key Pairs for Your Trusted Signers
* Reformatting the CloudFront Private Key (.NET and Java Only)
* Adding Trusted Signers to Your Distribution
* Verifying that Trusted Signers Are Active (Optional) 1 Rotating CloudFront Key Pairs
To create signed URLs or signed cookies, you need at least one AWS account that has an active CloudFront key pair. This accou is known as a trusted signer. The trusted signer has two purposes:
* As soon as you add the AWS account ID for your trusted signer to your distribution, CloudFront starts to require that users us signed URLs or signed cookies to access your objects.
' When you create signed URLs or signed cookies, you use the private key from the trusted signer's key pair to sign a portion of the URL or the cookie. When someone requests a restricted object CloudFront compares the signed portion of the URL or cookie with the unsigned portion to verify that the URL or cookie hasn't been tampered with. CloudFront also verifies that the URL or cookie is valid, meaning, for example, that the expiration date and time hasn't passed.
For more information on Cloudfront private trusted content please visit the following URL:
* https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-trusted-s
The correct answer is: Create pre-signed URL's Submit your Feedback/Queries to our Experts

 

質問 235
次のバケットポリシーの結果は何ですか?

正しい答えを選びなさい:
選んでください:

  • A. バケットmybucketへのすべてのアクセスを許可します
  • B. AWSアカウント番号111111111のユーザーマークはバケットへのすべてのアクセスを許可しますが、他のすべてのユーザーはバケットへのすべてのアクセスを拒否します
  • C. これらのどれでもない
  • D. バケットmybucketへのすべてのアクセスを拒否します

正解: D

解説:
The policy consists of 2 statements, one is the allow for the user mark to the bucket and the next is the deny policy for all other users. The deny permission will override the allow and hence all users will not have access to the bucket.
Options A,B and D are all invalid because this policy is used to deny all access to the bucket mybucket For examples on S3 bucket policies, please refer to the below Link:
http://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.htmll The correct answer is: It will deny all access to the bucket mybucket Submit your FeedbacK/Quenes to our Experts

 

質問 236
......

完全版最新の問題集PDFで最新SCS-C01日本語試験問題と解答:https://www.goshiken.com/Amazon/AWS-Security-Specialty-JPN-mondaishu.html

関するブログ

もっと
AWS-Security-Specialty-JPN無料問題集