更新された2024年01月05日検証済み！合格できるSCS-C01日本語試験一発合格保証付き [Q26-Q46]

更新された2024年01月05日検証済み！合格できるSCS-C01日本語試験一発合格保証付き

無料で使えるSCS-C01日本語サンプルには問題100%カバー率でリアル試験問題（更新された592問あります)

質問 # 26
S3でデータをホストする会社。 S3バケットへのアクセスを制御する必要があります。これを実現する2つの方法はどれですか？
選んでください：

• A. AWSアクセスキーを使用する
• B. バケットポリシーを使用する
• C. セキュアトークンサービスを使用する
• D. IAMユーザーポリシーを使用する

正解：B、D

解説：
The AWS Documentation mentions the following
Amazon S3 offers access policy options broadly categorized as resource-based policies and user policies. Access policies you attach to your resources (buckets and objects) are referred to as resource-based policies. For example, bucket policies and access control lists (ACLs) are resource-based policies. You can also attach access policies to users in your account. These are called user policies. You may choose to use resource-based policies, user policies, or some combination of these to manage permissions to your Amazon S3 resources.
Option B and D are invalid because these cannot be used to control access to S3 buckets For more information on S3 access control, please refer to the below Link:
https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.htmll The correct answers are: Use Bucket policies. Use IAM user policies Submit your Feedback/Queries to our Experts

質問 # 27
AWSでバケットとVPCが定義されています。 VPCエンドポイントのみがバケットにアクセスできるようにする必要があります。どうすればこれを達成できますか？
選んでください：

• A. バケットのバケットポリシーを変更して、VPCエンドポイントへのアクセスを許可します
• B. VPCのセキュリティグループを変更して53バケットへのアクセスを許可します
• C. バケットの1AMポリシーを変更して、VPCエンドポイントへのアクセスを許可します
• D. VPCエンドポイントへのアクセスを許可するようにルートテーブルを変更します

正解：A

解説：
Explanation
This is mentioned in the AWS Documentation
Restricting Access to a Specific VPC Endpoint
The following is an example of an S3 bucket policy that restricts access to a specific bucket, examplebucket only from the VPC endpoint with the ID vpce-la2b3c4d. The policy denies all access to the bucket if the specified endpoint is not being used. The aws:sourceVpce condition is used to the specify the endpoint. The aws:sourceVpce condition does not require an ARN for the VPC endpoint resource, only the VPC endpoint ID. For more information about using conditions in a policy, see Specifying Conditions in a Policy.

Options A and B are incorrect because using Security Groups nor route tables will help to allow access specifically for that bucke via the VPC endpoint Here you specifically need to ensure the bucket policy is changed.
Option C is incorrect because it is the bucket policy that needs to be changed and not the 1AM policy.
For more information on example bucket policies for VPC endpoints, please refer to below URL:

https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html The correct answer is: Modify the bucket Policy for the bucket to allow access for the VPC endpoint Submit your Feedback/Queries to our Experts

質問 # 28
VPC内の許可されていないAmazon EC2インスタンスがVPC内の他のインスタンスに対してネットワークポートスキャンを実行したときに、組織にアラートを送信する必要があります。セキュリティチームは、AWS Marketplaceから事前に承認されたサードパーティスキャナーを使用して別のアカウントで独自の内部テストを実行すると、テストアクティビティでアラートを出すAmazon CloudWatchから複数のAmazon GuardDutyイベントも受信します。
セキュリティチームは、許可されていないアクティビティに関するアラートを受信しながら、許可されたセキュリティテストに関するアラートをどのように抑制できますか？

• A. セキュリティチームのEC2インスタンスのElastic IPアドレスをAmazon GuardDutyの信頼できるIPリストに追加します。
• B. セキュリティチームのEC2インスタンスに、Amazon GuardDuty APIオペレーションを呼び出す権限を持つロールを付与します。
• C. セキュリティチームが使用するEC2インスタンスにAmazon Inspectorエージェントをインストールします。
• D. AWS CloudTrailでフィルターを使用して、セキュリティチームのEC2インスタンスのIPアドレスを除外します。

正解：A

解説：
Trusted IP lists consist of IP addresses that you have whitelisted for secure communication with your AWS infrastructure and applications. GuardDuty does not generate findings for IP addresses on trusted IP lists. At any given time, you can have only one uploaded trusted IP list per AWS account per region. Threat lists consist of known malicious IP addresses. GuardDuty generates findings based on threat lists. At any given time, you can have up to six uploaded threat lists per AWS account per region. https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload_lists.html

質問 # 29
AWSを使用して、会社の安全なバックアップおよびアーカイブソリューションを確立する必要があります。文書は、3か月間はすぐにアクセスでき、コンプライアンス上の理由から5年間は利用できる必要があります。最も費用効果の高い方法でこれらの要件を満たすAWSサービスはどれですか？正しい答えを選びなさい：
選んでください：

• A. データをEBSにアップロードし、ライフサイクルポリシーを使用して、EBSスナップショットをS3に移動し、後でGlacierに移動して、長期間のアーカイブを行います。
• B. ダイレクトコネクトを使用してデータをS3にアップロードし、IAMポリシーを使用してデータをGlacierに移動して、長期間のアーカイブを行います。
• C. データをS3にアップロードし、ライフサイクルポリシーを使用してデータをGlacierに移動し、長期間アーカイブします。
• D. Storage Gatewayを使用してデータをS3に保存し、ライフサイクルポリシーを使用してデータをRedshiftに移動し、長期間のアーカイブを行います。

正解：C

解説：
amazon Glacier is a secure, durable, and extremely low-cost cloud storage service for data archiving and long-term backup. Customers can reliably store large or small amounts of data for as little as $0,004 per gigabyte per month, a significant savings compared to on-premises solutions.
With Amazon lifecycle policies you can create transition actions in which you define when objects transition to another Amazon S3 storage class. For example, you may choose to transition objects to the STANDARDJA (IA, for infrequent access) storage class 30 days after creation, or archive objects to the GLACIER storage class one year after creation.
Option B is invalid because lifecycle policies are not available for EBS volumes Option C is invalid because IAM policies cannot be used to move data to Glacier Option D is invalid because lifecycle policies is not used to move data to Redshif For more information on S3 lifecycle policies, please visit the URL:
http://docs.aws.amazon.com/AmazonS3/latest/dev/obiect-lifecycle-mgmt.html The correct answer is: Upload data to S3 and use lifecycle policies to move the data into Glacier for long-term archiving.
Submit your Feedback/Queries to our Experts

質問 # 30
会社がAWS S3バケットに機密データをホストしています。バケットが常にプライベートのままであることを確認する必要があります。どうすればこれを継続的に保証できますか？以下のオプションから2つの回答を選択してください。

• A. AWS Lambda関数を使用してバケットポリシーを変更する
• B. AWS Lambda関数を使用してバケットACLを変更する
• C. AWS Trusted Advisor APIを使用して、AWSバケットへの変更を監視します
• D. AWS Configを使用してAWSバケットへの変更を監視する

正解：B、D

解説：
One of the AWS Blogs mentions the usage of AWS Config and Lambda to achieve this. Below is the diagram representation of this

ption C is invalid because the Trusted Advisor API cannot be used to monitor changes to the AWS Bucket Option B doesn't seems to be the most appropriate.
1. If the object is in a bucket in which all the objects need to be private and the object is not private anymore, the Lambda function makes a PutObjectAcI call to S3 to make the object private.
|https://aws.amazon.com/blogs/security/how-to-detect-and-automatically-remediate-unintended-permissions-in-amazon-s3-bbiect-acls-with-cloudwatch-events/
The following link also specifies that
Create a new Lambda function to examine an Amazon S3 buckets ACL and bucket policy. If the bucket ACL is found to al public access, the Lambda function overwrites it to be private. If a bucket policy is found, the Lambda function creatt an SNS message, puts the policy in the message body, and publishes it to the Amazon SNS topic we created. Bucket policies can be complex, and overwriting your policy may cause unexpected loss of access, so this Lambda function doesn't attempt to alter your policy in any way.
https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowinj
Based on these facts Option D seems to be more appropriate then Option B.
For more information on implementation of this use case, please refer to the Link:
https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowinj
The correct answers are: Use AWS Config to monitor changes to the AWS Bucket Use AWS Lambda function to change the bucket ACL

質問 # 31
ある会社は、Web アプリケーションに IAM EC2 と IAM Cloudfront を使用することを計画しています。以下の攻撃のうち、Cloudfront の使用が最も適しているのはどれですか?
選んでください：

• A. クロスサイドスクリプティング
• B. SQL インジェクション
• C. マルウェア攻撃
• D. DDoS 攻撃

正解：D

解説：
The below table from IAM shows the security capabilities of IAM Cloudfront IAM Cloudfront is more prominent for DDoS attacks.

Options A,B and D are invalid because Cloudfront is specifically used to protect sites against DDoS attacks For more information on security with Cloudfront, please refer to the below Link:
https://d1.IAMstatic.com/whitepapers/Security/Secure content delivery with CloudFront whitepaper.pdi The correct answer is: DDoS attacks Submit your Feedback/Queries to our Experts

質問 # 32
あなたの会社には、AWSで次のセットアップがあります
a。 WebアプリケーションをホストするEC2インスタンスのセット
b。 EC2インスタンスの前に配置されたアプリケーションロードバランサー
一連のIPアドレスから送信される一連の悪意のある要求があるようです。これらの要求から保護するために使用できるのは次のうちどれですか？
選んでください：

• A. AWSインスペクターを使用してIPアドレスをブロックする
• B. セキュリティグループを使用してIPアドレスをブロックします
• C. VPCフローログを使用してIPアドレスをブロックする
• D. AWS WAFを使用してIPアドレスをブロックする

正解：D

解説：
Your answer is incorrect
Answer -D
The AWS Documentation mentions the following on AWS WAF which can be used to protect Application Load Balancers and Cloud front A web access control list (web ACL) gives you fine-grained control over the web requests that your Amazon CloudFront distributions or Application Load Balancers respond to. You can allow or block the following types of requests:
Originate from an IP address or a range of IP addresses
Originate from a specific country or countries
Contain a specified string or match a regular expression (regex) pattern in a particular part of requests Exceed a specified length Appear to contain malicious SQL code (known as SQL injection) Appear to contain malicious scripts (known as cross-site scripting) Option A is invalid because by default Security Groups have the Deny policy Options B and C are invalid because these services cannot be used to block IP addresses For information on AWS WAF, please visit the below URL:
https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html
The correct answer is: Use AWS WAF to block the IP addresses
Submit your Feedback/Queries to our Experts

質問 # 33
会社のセキュリティポリシーでは、すべてのVPCでVPCフローログが有効になっている必要があります。セキュリティエンジニアは、VPCリソースのコンプライアンスの監査プロセスを自動化しようとしています。
エンジニアはどのようなアクションの組み合わせを実行する必要がありますか？ （2つ選択してください。）

• A. 特定のVPCでフローログが有効かどうかを決定するAWS Lambda関数を作成します。
• B. AWS Configによって発行されたイベントでトリガーするAmazon CloudWatchイベントルールを作成します。
• C. 会社のAWSアカウントの各VPCにAWS Config構成アイテムを作成します。
• D. AWS :: Lambda :: FunctionのリソースタイプでAWS Config管理ルールを作成します。
• E. AWS Configカスタムルールを作成し、評価ロジックを含むAWS Lambda関数に関連付けます。

正解：A、E

質問 # 34
あなたの会社は、AWSでのアプリケーションの開発を計画しています。これはWebベースのアプリケーションです。アプリケーションユーザーは、認証にFacebookまたはGoogleのIDを使用します。これを管理するために追加のコーディングを追加することなく、ユーザープロファイルを管理する機能が必要です。以下のどれがこれに役立ちますか。
選んでください：

• A. AWS Cognitoを使用してユーザープロファイルを管理する
• B. AWSでOlDC IDプロバイダーを作成する
• C. AWSでSAMLプロバイダーを作成する
• D. 1AMユーザーを使用してユーザープロファイルを管理します

正解：A

解説：
説明
AWSドキュメントには次のことが記載されています
ユーザープールは、Amazon Cognitoのユーザーディレクトリです。ユーザープールを使用すると、ユーザーはAmazon Cognitoを介してウェブまたはモバイルアプリにサインインできます。ユーザーは、FacebookやAmazonなどのソーシャルIDプロバイダー、およびSAML IDプロバイダーを使用してサインインすることもできます。ユーザーが直接サインインするか、サードパーティ経由でサインインするかに関係なく、ユーザープールのすべてのメンバーには、SDKを介してアクセスできるディレクトリプロファイルがあります。
ユーザープールは以下を提供します。
サインアップおよびサインインサービス。
ユーザーをサインインするための組み込みのカスタマイズ可能なWeb Ul。
Facebook、Google、Amazonでのログイン、およびユーザープールのSAML IDプロバイダーでのサインイン。
ユーザーディレクトリ管理とユーザープロファイル。
多要素認証（MFA）、侵害された資格情報のチェック、アカウント乗っ取り保護、電話と電子メールの検証などのセキュリティ機能。
AWS Lambdaトリガーによるカスタマイズされたワークフローとユーザー移行。
オプションAおよびBは、ユーザーの管理に使用されないため無効です
これはメンテナンスのオーバーヘッドになるため、オプションDは無効です。
CognitoユーザーIDプールの詳細については、以下のリンクを参照してください。
https://docs.aws.amazon.com/coenito/latest/developerguide/cognito-user-identity-pools.html正しい答えは次のとおりです。AWSCognitoを使用してユーザープロファイルを管理するフィードバック/クエリをエキスパートに送信する

質問 # 35
会社には2つのAWSアカウントがあり、それぞれに1つのVPCが含まれています。最初のVPCには、企業ネットワークとのVPN接続があります。 VPNのない2番目のVPCは、プライベートサブネットでAmazon Auroraデータベースクラスターをホストします。開発者は、図に示すように、パブリックサブネットの要塞ホストからAuroraデータベースを管理します。

セキュリティレビューにより、このアーキテクチャは脆弱であるとフラグが立てられ、セキュリティエンジニアはこの設計をより安全にするように求められています。会社の期限は短く、Auroraアカウントへの2番目のVPN接続は不可能です。
セキュリティエンジニアはどのようにして要塞ホストを安全にセットアップできますか？

• A. 企業ネットワークとAuroraアカウントの間にAWS Direct Connect接続を作成し、この接続のAuroraセキュリティグループを調整します。
• B. 要塞ホストをVPN接続のあるVPCに移動します。要塞VPCとAurora VPCの間にクロスアカウント信頼関係を作成し、その関係のAuroraセキュリティグループを更新します。
• C. 開発者のワークステーションに要塞ホストへのSSHポート転送トンネルを作成して、許可されたSSHクライアントのみが要塞ホストにアクセスできるようにします。
• D. 要塞ホストをVPN接続のあるVPCに移動します。要塞ホストVPCとAurora VPCの間にVPCピアリング関係を作成します。

正解：D

質問 # 36
セキュリティエンジニアは、企業向けの暗号化ツールを開発する必要があります。同社は、キーマテリアルによって保護されているすべてのリソースに対して15分以内に暗号消去を実行する機能をサポートする暗号化ソリューションを必要としています。セキュリティエンジニアがこれらの要件を満たすことができるAWSキー管理サービス（AWS KMS）キーソリューションはどれですか？

• A. インポートされたキーマテリアルをCMKで使用する
• B. AWSマネージドCMKを使用します。
• C. AWSKMSカスタマーマネージドCMKを使用する
• D. AWS KMSCMKを使用する

正解：B

質問 # 37
企業のセキュリティ エンジニアは、すべてのアプリケーション ログを一元化された Amazon S3 バケットにコピーしています。現在、会社の各アプリケーションは独自の IAM アカウントにあり、ログは各アカウントに関連付けられた S3 バケットにプッシュされます。エンジニアは、関連するログ ファイルを中央の S3 バケットにコピーする IAM Lambda 関数を各アカウントにデプロイします。
セキュリティ エンジニアは、一元化された S3 バケット内のログ ファイルにアクセスできません。一元化されたアカウントからのエンジニアの IAM ユーザー ポリシーは次のようになります。

一元化された S3 バケット ポリシーは次のようになります。

セキュリティ エンジニアがログ ファイルにアクセスできないのはなぜですか?

• A. S3 バケット ポリシーでは、セキュリティ エンジニアがバケット内のオブジェクトにアクセスすることを明示的に許可していません。
• B. セキュリティ エンジニアの IAM ポリシーは、S3 バケット内のオブジェクトを読み取る権限を付与しません
• C. オブジェクト ACL は、集中管理されたアカウント内のユーザーがオブジェクトにアクセスできるように更新されていません。
• D. s3:PutObject および s3:PutObjectAcl アクセス許可は、S3 バケット レベルで適用する必要があります。

正解：B

質問 # 38
企業は、Amazon S3 に保存されているすべてのデータを暗号化する必要があります。この会社は、IAM Ke​​y Management Service (IAM KMS) を使用して暗号化キーを作成および管理したいと考えています。会社のセキュリティ ポリシーでは、必要に応じて会社独自のキー マテリアルをインポートし、キーに有効期限を設定し、キーをすぐに削除する機能が必要です。
セキュリティエンジニアは、これらの要件を満たすために IAM KMS をどのように設定する必要がありますか?

• A. IAM KMS を設定し、カスタム キー ストアを使用します。キーマテリアルなしで IAM 管理の CMK を作成します。
  会社のキーマテリアルを CMK にインポートします。
• B. IAM KMS を構成し、カスタム キー ストアを使用します。キーマテリアルのない顧客管理の CMK を作成する 会社のキーとキーマテリアルを CMK にインポートする
• C. IAM KMS を設定し、デフォルトのキー ストアを使用する キー マテリアルのない IAM 管理の CMK を作成する 会社のキー マテリアルを CMK にインポートする
• D. IAM KMS を設定し、デフォルトのキー ストアを使用する キー マテリアルのない顧客管理の CMK を作成する 会社のキー マテリアルを CMK にインポートする

正解：B

質問 # 39
セキュリティ エンジニアは、機密性の高い個人情報を処理する Web アプリケーションを管理しています。アプリケーションは Amazon EC2 で実行されます。アプリケーションには厳格なコンプライアンス要件があり、アプリケーションへのすべての着信トラフィックを一般的な Web エクスプロイトから保護し、EC2 インスタンスからのすべての発信トラフィックを特定のホワイトリストに登録された URL に制限する必要があります。
セキュリティ エンジニアは、これらの要件を満たすためにどのアーキテクチャを使用する必要がありますか?

• A. IAM WAF を使用して、Web エクスプロイトのインバウンド トラフィックをスキャンします。VPC フロー ログと IAM Lambda を使用して、エグレス トラフィックを特定のホワイトリストに登録された URL に制限します。
• B. IAM Shield を使用して、Web エクスプロイトのインバウンド トラフィックをスキャンします。サードパーティの IAM Marketplace ソリューションを使用して、特定のホワイトリストに登録された URL への下りトラフィックを制限します。
• C. IAM Shield を使用して、Web エクスプロイトのインバウンド トラフィックをスキャンします。VPC フロー ログと IAM Lambda を使用して、エグレス トラフィックを特定のホワイトリストに登録された URL に制限します。
• D. IAM WAF を使用して、Web エクスプロイトのインバウンド トラフィックをスキャンします。サードパーティの IAM Marketplace ソリューションを使用して、特定のホワイトリストに登録された URL への下りトラフィックを制限します。

正解：D

解説：
Explanation
IAM Shield is mainly for DDos Attacks.IAM WAF is mainly for some other types of attacks like Injection and XSS etcIn this scenario, It seems it is WAF functionality that is needed.VPC logs do show the source and destination IP and Port , they never show any URL .. because URL are level 7 while VPC are concerned about lover network levels.
https://docs.IAM.amazon.com/vpc/latest/userguide/flow-logs.html

質問 # 40
会社は、IDフェデレーションを使用して、ユーザーがIdentityRoleという名前のIAMロールを引き受けるIDアカウント（987654321987）でユーザーを認証します。次に、ユーザーは、ターゲットAWSアカウント（123456789123）でJobFunctionRoleという名前のIAMロールを引き受けて、ジョブ機能を実行します。
ユーザーは、ターゲットアカウントでIAMロールを引き受けることができません。 IDアカウントのロールに添付されるポリシーは次のとおりです。

ユーザーがターゲットアカウントで適切な役割を引き受けることができるようにするには、どうすればよいですか？

• A. オプションC
• B. オプションB
• C. オプションD
• D. オプションA

正解：D

質問 # 41
ポリシーを作成し、個々のユーザーにのみ適用する必要があります。どうすればこれを正しい方法で達成できますか?
選んでください：

• A. ユーザーのサービス ポリシーを追加します。
• B. ユーザーの IAM ロールを追加します
• C. ユーザーのインライン ポリシーを追加します。
• D. ユーザーの IAM 管理ポリシーを追加します。

正解：C

解説：
Explanation
Options A and B are incorrect since you need to add an inline policy just for the user Option C is invalid because you don't assign an IAM role to a user The IAM Documentation mentions the following An inline policy is a policy that's embedded in a principal entity (a user, group, or role)-that is, the policy is an inherent part of the principal entity. You can create a policy and embed it in a principal entity, either when you create the principal entity or later.
For more information on IAM Access and Inline policies, just browse to the below URL:
https://docs.IAM.amazon.com/IAM/latest/UserGuide/access
The correct answer is: Add an inline policy for the user Submit your Feedback/Queries to our Experts

質問 # 42
開発者は、複数のアカウントを含むAWS Organization組織単位（OU）内の新しいアカウントにサインインしました。 Amazon $ 3サービスへのアクセスは、次のSCPで制限されています。

セキュリティエンジニアは、他のアカウントに影響を与えることなく、どのようにして開発者にAmazon $ 3アクセスを提供できますか？

• A. SCPを組織のルートOUに移動して、Amazon $ 3へのアクセス制限を解除します。
• B. 開発者向けのIAMポリシーを追加します。これにより、3ドルのアクセスが許可されます。
• C. 3ドルのアクセスを制限するSCPを適用せずに新しいOUを作成します。開発者アカウントをこの新しいOUに移動します。
• D. $ 3サービスの開発者アカウントの許可リストを追加します。

正解：C

質問 # 43
あなたの会社は、AWS KMSサービスを使用して一連のキーを作成しました。各キーが特定のサービスにのみ使用されるようにする必要があります。たとえば、1つのキーをS3サービスにのみ使用することを望んでいます。どうすればこれを達成できますか？
選んでください：

• A. IAMユーザーを定義し、キーを割り当ててから、必要なサービスにアクセス許可を割り当てます
• B. S3サービスのみがキーにアクセスできるようにするバケットポリシーを作成します。
• C. S3サービスのみがキーにアクセスできるようにするIAMポリシーを作成します。
• D. キーポリシーでkms：ViaService条件を使用します

正解：D

解説：
Option A and B are invalid because mapping keys to services cannot be done via either the IAM or bucket policy Option D is invalid because keys for IAM users cannot be assigned to services This is mentioned in the AWS Documentation The kms:ViaService condition key limits use of a customer-managed CMK to requests from particular AWS services. (AWS managed CMKs in your account, such as aws/s3, are always restricted to the AWS service that created them.) For example, you can use kms:V1aService to allow a user to use a customer managed CMK only for requests that Amazon S3 makes on their behalf. Or you can use it to deny the user permission to a CMK when a request on their behalf comes from AWS Lambda.
For more information on key policy's for KMS please visit the following URL:
https://docs.aws.amazon.com/kms/latest/developereuide/policy-conditions.html The correct answer is: Use the kms:ViaServtce condition in the Key policy Submit your Feedback/Queries to our Experts

質問 # 44
ウェブサイトexample.comのウェブ管理者は、AWS Certificate ManagerにインポートされたカスタムTLS証明書を使用してHTTPSを設定する必要があるdev.example.comのAmazon CloudFrontディストリビューションを作成しました。
CloudFrontコンソールで証明書の可用性を確保するには、どのステップの組み合わせが必要ですか？
（2つ選択してください。）

• A. 証明書、秘密鍵、および証明書チェーンがPEMエンコードされていることを確認します。
• B. 証明書、秘密鍵、および証明書チェーンがPKCS＃12エンコードされていることを確認します。
• C. us-east-1（バージニア北部）リージョンに証明書をインポートします。
• D. 4,096-bit RSA公開鍵を使用して証明書をインポートします。
• E. Call UploadServerCertificate with /cloudfront/dev/ in the path parameter.

正解：C、D

質問 # 45
会社で働いており、AWSとそのオンプレミスActive Directoryの間にフェデレーション認証メカニズムが設定されていることを確認するタスクが割り当てられています。このプロセスでカバーする必要がある重要なステップは次のうちどれですか？以下のオプションから2つの回答を選択してください。
選んでください：

• A. オンプレミスADグループと1AMグループに適切な一致が設定されていることを確認します。
• B. AWSをActive Directoryフェデレーションサービスの証明書利用者として構成します
• C. オンプレミスのADグループと1AMの役割に適切な一致があることを確認します。
• D. AWSをActive Directoryの証明書利用者として構成します

正解：B、C

解説：
Explanation
The AWS Documentation mentions some key aspects with regards to the configuration of On-premise AD with AWS One is the Groups configuration in AD Active Directory Configuration Determining how you will create and delineate your AD groups and 1AM roles in AWS is crucial to how you secure access to your account and manage resources. SAML assertions to the AWS environment and the respective 1AM role access will be managed through regular expression (regex) matching between your on-premises AD group name to an AWS 1AM role.
One approach for creating the AD groups that uniquely identify the AWS 1AM role mapping is by selecting a common group naming convention. For example, your AD groups would start with an identifier, for example, AWS-, as this will distinguish your AWS groups from others within the organization. Next include the
12-digitAWS account number. Finally, add the matching role name within the AWS account. Here is an example:

And next is the configuration of the relying party which is AWS
ADFS federation occurs with the participation of two parties; the identity or claims provider (in this case the owner of the identity repository - Active Directory) and the relying party, which is another application that wishes to outsource authentication to the identity provider; in this case Amazon Secure Token Service (STS).
The relying party is a federation partner that is represented by a claims provider trust in the federation service.
Option B is invalid because AD groups should not be matched to 1AM Groups Option C is invalid because the relying party should be configured in Active Directory Federation services For more information on the federated access, please visit the following URL:
1
https://aws.amazon.com/blogs/security/aws-federated-authentication-with-active-directory-federation-services-ad The correct answers are: Ensure the right match is in place for On-premise AD Groups and 1AM Roles., Configure AWS as the relying party in Active Directory Federation services Submit your Feedback/Queries to our Experts

質問 # 46
......

今すぐダウンロード！リアルAmazon SCS-C01日本語試験問題集テストエンジン試験問題：https://www.goshiken.com/Amazon/AWS-Security-Specialty-JPN-mondaishu.html