• ホーム
  • ブログ
  • 最新の2023年12月 Amazon SCS-C01日本語問題集で更新された592問あります [Q214-Q232]

最新の2023年12月 Amazon SCS-C01日本語問題集で更新された592問あります [Q214-Q232]

Share

最新の2023年12月 Amazon SCS-C01日本語問題集で更新された592問あります

PDF無料ダウンロードにはSCS-C01日本語有効な練習テスト問題

質問 # 214
組織は5つのインスタンスを起動しました。2つは本番用、3つはテスト用です。組織は、IAMユーザーの特定のグループに、テストインスタンスにのみアクセスし、本番インスタンスにはアクセスしないようにしたいと考えています。組織はそれをポリシーの一部としてどのように設定できますか?
選んでください:

  • A. インスタンスIDに基づいてアクセスを許可するIAMポリシーを定義します
  • B. テストサーバーと本番サーバーでタグを定義し、仕様タグへのアクセスを許可する条件をIAMポリシーに追加します
  • C. テストインスタンスと本番インスタンスを別々のリージョンで起動し、リージョンごとにグループにアクセスできるようにします
  • D. 小さなインスタンスのみにアクセスを許可する条件でIAMポリシーを作成します

正解:B

解説:
Tags enable you to categorize your AWS resources in different ways, for example, by purpose, owner, or environment. This is useful when you have many resources of the same type - you can quickly identify a specific resource based on the tags you've assigned to it Option A is invalid because this is not a recommended practices Option B is invalid because this is an overhead to maintain this in policies Option C is invalid because the instance type will not resolve the requirement For information on resource tagging, please visit the below URL:
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Usine_Tags.htmll
The correct answer is: Define the tags on the test and production servers and add a condition to the IAM policy which allows access to specific tags Submit your Feedback/Queries to our Experts


質問 # 215
セキュリティエンジニアは、AWS Lambda関数を毎日呼び出すAmazon CloudWatchイベントを作成しました。
Lambda関数は、Amazon S3のAWS CloudTrailログをチェックして、過去30日間にIAMユーザーアカウントまたは認証情報が作成されたかどうかを検出するAmazon Athenaクエリを実行します。 Athenaクエリの結果は、同じS3バケットに作成されます。エンジニアはAWSコンソールを介してLambda関数のテスト実行を実行し、関数は正常に実行されます。
数分後、エンジニアはAthenaクエリが失敗し、次のエラーメッセージが表示されることを発見しました:「権限が不十分です」。セキュリティエンジニアのIAMアクセス許可とLambda関数を以下に示します。
セキュリティエンジニア

Lambda関数実行ロール

エラーの原因は何ですか?

  • A. Athenaサービスは、Lambdaを介した呼び出しをサポートしていません。
  • B. セキュリティエンジニアには、Athenaクエリの実行を開始する権限がありません。
  • C. Lambda関数には、CloudTrail S3バケットにアクセスする権限がありません。
  • D. Lambda関数には、Athenaクエリの実行を開始する権限がありません。

正解:C


質問 # 216
LAMPアプリケーションには、ログへのアクセスを希望する開発者がいます。ただし、AWS Auto Scalingグループを使用しているため、インスタンスは常に再作成されています。これらの開発者がこれらのログファイルにアクセスできるようにするにはどうしますか?以下のオプションから正しい答えを選択してください。選択してください:

  • A. 開発者にApacheサーバーへの読み取り専用アクセス権を付与します。
  • B. Apacheサーバーへの必要なアクセスのみを許可し、開発者がログファイルにアクセスできるようにします。
  • C. ログのアーカイブに使用できる中央ログサーバーをセットアップします。これらのログを開発者アクセス用のS3バケットにアーカイブします。
  • D. Apacheサーバーへのルートアクセスを開発者に許可します。

正解:C

解説:
説明
セキュリティの重要な側面の1つは、実際のサーバーへのアクセスを許可しないことです。したがって、オプションA.BとCは、セキュリティの観点からはまったく間違っています。
最良のオプションは、ログをアーカイブするために使用できる中央のログサーバーを持つことです。これらのログは、S3に保存できます。
Apache seの開発者にアクセスを許可しないため、オプションA、B、およびCはすべて無効です。S3の詳細については、以下のリンクを参照してください。
https://aws.amazon.com/documentation/s3j
正解は次のとおりです。ログをアーカイブするために使用できる中央ロギングサーバーをセットアップします。これらのログを開発者アクセス用のS3バケットにアーカイブします。
専門家にフィードバック/クエリを送信してください


質問 # 217
会社には、会社にファイルを配信する必要がある外部ベンダーがあります。これらのベンダーは、会社のS3バケットの1つにオブジェクトをアップロードする許可を与えるクロスアカウントを持っています。
ベンダーがファイルを会社に正常に配信するために実行する必要がある手順の組み合わせは何ですか?以下のオプションから2つの回答を選択してください選択してください:

  • A. オブジェクトのACLに許可を追加して、バケット所有者に完全な権限を付与します。
  • B. オブジェクトへの完全な権限をバケット所有者に付与するバケットポリシーをバケットに追加します
  • C. 会社が管理するKMSキーでオブジェクトを暗号化します。
  • D. ファイルを会社のS3バケットにアップロードします
  • E. オブジェクトへの完全な権限をバケット所有者に付与するIAMロールをバケットにアタッチします

正解:A、D

解説:
This scenario is given in the AWS Documentation
A bucket owner can enable other AWS accounts to upload objects. These objects are owned by the accounts that created them. The bucket owner does not own objects that were not created by the bucket owner. Therefore, for the bucket owner to grant access to these objects, the object owner must first grant permission to the bucket owner using an object ACL. The bucket owner can then delegate those permissions via a bucket policy. In this example, the bucket owner delegates permission to users in its own account.

Option A and D are invalid because bucket ACL's are used to give grants to bucket Option C is not required since encryption is not part of the requirement For more information on this scenario please see the below Link:
https://docs.aws.amazon.com/AmazonS3/latest/dev/example-walkthroushs-manaeing-access-example3.htmll The correct answers are: Add a grant to the objects ACL giving full permissions to bucket owner., Upload the file to the company's S3 bucket Submit your Feedback/Queries to our Experts


質問 # 218
セキュリティエンジニアは、企業のAWSアカウントで起動されたすべてのインフラストラクチャのコンプライアンスルールからの逸脱を監視する必要があります。具体的には、指定されたAM IsのリストのいずれかからすべてのEC2インスタンスが起動され、接続されたすべてのEBSボリュームが暗号化されるようにします。準拠していないインフラストラクチャは終了する必要があります。エンジニアはどのステップの組み合わせを実装する必要がありますか?以下のオプションから2つの回答を選択します。
選んでください:

  • A. 構成の変更によってトリガーされるAWS構成ルールのコンプライアンスを監視する
  • B. Trusted Advisorメトリックに基づいてCloudWatchイベントを設定します
  • C. 準拠していないインフラストラクチャを終了する、スケジュールされたCloudWatchイベントからLambda関数をトリガーします。
  • D. インフラストラクチャを終了するCloudWatchイベントからCLIコマンドをトリガーします
  • E. Amazonインスペクターの調査結果に基づいてCloudWatchイベントをセットアップする

正解:A、C

解説:
You can use AWS Config to monitor for such Event
Option A is invalid because you cannot set Cloudwatch events based on Trusted Advisor checks.
Option C is invalid Amazon inspector cannot be used to check whether instances are launched from a specific A Option E is invalid because triggering a CLI command is not the preferred option, instead you should use Lambda functions for all automation purposes.
For more information on Config Rules please see the below Link:
https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html These events can then trigger a lambda function to terminate instances For more information on Cloudwatch events please see the below Link:
https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatlsCloudWatchEvents.
(
The correct answers are: Trigger a Lambda function from a scheduled Cloudwatch event that terminates non-compliant infrastructure., Monitor compliance with AWS Config Rules triggered by configuration changes Submit your Feedback/Queries to our Experts


質問 # 219
セキュリティエンジニアは、既存の証跡のAW3CoudTrailログファイルプレフィックスを更新するように求められます。 CloudTrailコンソールで変更を保存しようとすると、セキュリティエンジニアは次のエラーメッセージを受け取ります。 「バケットポリシーに問題があります」セキュリティエンジニアが変更を確認できるようになるのは何ですか?

  • A. Amazon S3コンソールの既存のバケットポリシーを更新して、セキュリティエンジニアプリンシパルがPutBucketPolicyを実行できるようにします。次に、CloudTrailコンソールでログファイルのプレフィックスを更新します
  • B. Amazon S3コンソールの既存のバケットポリシーを新しいログファイルプレフィックスで更新してから、CloudTrailコンソールのログファイルプレフィックスを更新します。
  • C. 更新されたログファイルプレフィックスを使用して新しいトレイルを作成し、元のネイルを削除しますAmazon S3コンソールの既存のバケットポリシーを新しいログプレフィックスで更新してから、CloudTrailコンソールのログファイルプレフィックスを更新します
  • D. Amazon S3コンソールで既存のバケットポリシーを更新して、セキュリティエンジニアプリンシパルがGetBucketPolicyを実行できるようにしてから、CloudTrailコンソールでログファイルプレフィックスを更新します

正解:B

解説:
https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html#cloudtrail-add-change-or-remove-a-bucket-prefix


質問 # 220
あなたの会社はAWSでアプリケーションを開発することを計画しています。これはウェブベースのアプリケーションです。アプリケーションユーザーは、認証にFacebookまたはGoogle IDを使用します。これを管理するために追加のコーディングを追加する必要なしに、ユーザープロファイルを管理する機能が必要です。以下のどれがこれを助けるでしょう。
選んでください:

  • A. AWSでOlDC IDプロバイダーを作成します
  • B. IAMユーザーを使用してユーザープロファイルを管理する
  • C. AWSでSAMLプロバイダーを作成する
  • D. AWS Cognitoを使用してユーザープロファイルを管理する

正解:D

解説:
The AWS Documentation mentions the following
A user pool is a user directory in Amazon Cognito. With a user pool, your users can sign in to your web or mobile app through Amazon Cognito. Your users can also sign in through social identity providers like Facebook or Amazon, and through SAML identity providers. Whether your users sign in directly or through a third party, all members of the user pool have a directory profile that you can access through an SDK.
User pools provide:
Sign-up and sign-in services.
A built-in, customizable web Ul to sign in users.
Social sign-in with Facebook, Google, and Login with Amazon, as well as sign-in with SAML identity providers from your user
pool.
User directory management and user profiles.
Security features such as multi-factor authentication (MFA), checks for compromised credentials, account takeover protection, and phone and email verification.
Customized workflows and user migration through AWS Lambda triggers.
Options A and B are invalid because these are not used to manage users
Option D is invalid because this would be a maintenance overhead
For more information on Cognito User Identity pools, please refer to the below Link:
https://docs.aws.amazon.com/coenito/latest/developerguide/cognito-user-identity-pools.html
The correct answer is: Use AWS Cognito to manage the user profiles Submit your Feedback/Queries to our Experts


質問 # 221
企業のクラウドセキュリティポリシーでは、会社のVPCとKMS間の通信は、AWSネットワーク内を完全に移動し、パブリックサービスエンドポイントを使用しないように定められています。
MOSTがこの要件を満たす次のアクションの組み合わせはどれですか? (2つ選択してください。)

  • A. Add the following condition to the AWS KMS key policy: "aws:SourceIp": "10.0.0.0/16".
  • B. プライベートDNSを有効にしてAWS KMSのVPCエンドポイントを作成します。
  • C. VPCインターネットゲートウェイをVPCから削除し、仮想プライベートゲートウェイをVPCに追加して、直接のパブリックインターネット接続を防止します。
  • D. aws:sourceVpce条件を、会社のVPCエンドポイントIDを参照するAWS KMSキーポリシーに追加します。
  • E. KMS Import Key機能を使用して、AWS KMSキーをVPN経由で安全に転送します。

正解:B、D

解説:
Explanation
An IAM policy can deny access to KMS except through your VPC endpoint with the following condition statement:
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": "vpce-0295a3caf8414c94a"
}
}
If you select the Enable Private DNS Name option, the standard AWS KMS DNS hostname (https://kms.<region>.amazonaws.com) resolves to your VPC endpoint.


質問 # 222
従業員は、本番環境でEC2インスタンスを終了し続けます。これが発生しないようにするための最善の方法は、インスタンスの終了に対する防御の層を追加することです。従業員が本番インスタンスを終了しないようにするための最良の方法は何ですか?以下のオプションから2つの正解を選択してください。以下を選択してください。

  • A. EC2インスタンスを削除する前にMFAを要求し、従業員へのMFAアクセスを無効にするように、ユーザーのIAMポリシーを変更します
  • B. 本番タグを使用してインスタンスにタグを付け、本番タグを使用してインスタンスへの終了API呼び出しを明示的に拒否して、従業員ユーザーにリソースレベルの権限を追加します。 <
  • C. EC2インスタンスを削除する前にMFAを要求するようにユーザーのIAMポリシーを変更します
  • D. インスタンスに本番識別タグをタグ付けし、employeesグループを変更して、開始停止のみを許可し、API呼び出しを再起動し、インスタンスの終了呼び出しは許可しないようにします。

正解:B、D

解説:
Explanation
Tags enable you to categorize your IAM resources in different ways, for example, by purpose, owner, or environment. This is useful when you have many resources of the same type - you can quickly identify a specific resource based on the tags you've assigned to it. Each tag consists of a key and an optional value, both of which you define Options C&D are incorrect because it will not ensure that the employee cannot terminate the instance.
For more information on tagging answer resources please refer to the below URL:
http://docs.IAM.amazon.com/IAMEC2/latest/UserGuide/Usins_Tags.htmll
The correct answers are: Tag the instance with a production-identifying tag and add resource-level permissions to the employe user with an explicit deny on the terminate API call to instances with the production tag.. Tag the instance with a production-identifying tag and modify the employees group to allow only start stop, and reboot API calls and not the terminate instance Submit your Feedback/Queries to our Experts


質問 # 223
セキュリティ エンジニアは、CMK で暗号化されているデータへのアクセスを制御する方法を探しています。エンジニアは、追加の認証済みデータ (AAD) を使用して、暗号文の改ざんを防止することも検討しています。
必要な機能を提供するアクションはどれですか?

  • A. IAM ポリシーを使用して、暗号化および復号化 API アクションへのアクセスを制限します。
  • B. キー ポリシーを使用して、適切な IAM グループへのアクセスを制限します。
  • C. Encrypt および Decrypt API アクションを呼び出すときに、キー エイリアスを IAM KMS に渡します。
  • D. CMK の IAM ポリシーを定義するときに、kms:EncryptionContext を条件として使用します。

正解:D

解説:
Explanation
https://IAM.amazon.com/blogs/security/how-to-protect-the-integrity-of-your-encrypted-data-by-using-IAM-key- One of the most important and critical concepts in IAM Key Management Service (KMS) for advanced and secure data usage is EncryptionContext. Using EncryptionContext properly can help significantly improve the security of your applications. EncryptionContext is a key-value map (both strings) that is provided to KMS with each encryption and decryption request. EncryptionContext provides three benefits: Additional authenticated data (AAD), Audit trail, Authorization context


質問 # 224
あなたは会社の管理者として働いています。同社はAWSを使用して多くのリソースをホストしています。 11日前に発生した疑わしいAPIアクティビティのインシデントがあります。セキュリティ管理者は、その時点からAPIアクティビティを取得するように要求しました。これはどのように達成できますか?
選んでください:

  • A. AWS Configを使用して、11日前に行われたAPI呼び出しを取得します。
    クラウドトレイルのイベント履歴では、90日間記録されたイベントを表示できます。したがって、メトリックフィルターを使用して、11日前のAPI呼び出しを収集できます。
    オプションAおよびCは、CloudwatchがAPIアクティビティのモニタリングではなくロギングに使用されるため、無効です。オプションDは、AWSConfigが構成サービスであり、APIアクティビティのモニタリングではないため、無効です。AWSCloudtrailの詳細については、次のURLにアクセスしてください。
    https://docs.aws.amazon.com/awscloudtrail/latest/usereuide/how-cloudtrail-works.html注:
    この質問では、お客様がクラウドトレイルサービスを有効にしていることを前提としています。
    AWS CloudTrailは、すべてのお客様に対してデフォルトで有効になっており、開始するためにサービスの証跡を設定しなくても、過去7日間のアカウントアクティビティを可視化できます。したがって、11日前に発生したアクティビティをクラウドトレイルに保存するには、トレイルを手動で構成して、イベント履歴に保存されるようにする必要があります。
    * https://aws.amazon.com/blogs/aws/new-amazon-web-services-extends-cloudtrail-to-all-aws-customers/正解は次のとおりです。APIイベントでCloudtrailイベント履歴を検索します。 11日前に発生しました。
  • B. Cloud Watchメトリックを検索して、11日前に発生した疑わしいアクティビティを見つけます
  • C. 11日前に発生したAPIイベントでCloudtrailイベント履歴を検索します。
  • D. Cloud Watchログを検索して、11日前に発生した不審なアクティビティを見つけます

正解:C


質問 # 225
会社には、DynamoDBテーブルを使用する必要があります。すべてのデータは保管時に暗号化する必要があるというセキュリティ上の義務があります。 DynamoDBでこれを達成する最も簡単な方法は何ですか。
選んでください:

  • A. S3バケットを使用してデータを暗号化してから、DynamoDBに送信します
  • B. AWS SDKを使用して、データをDynamoDBテーブルに送信する前に暗号化します
  • C. 作成中にKMSを使用してDynamoDBテーブルを暗号化します
  • D. 作成後にAWS KMSを使用してテーブルを暗号化する

正解:C

解説:
説明
最も簡単なオプションは、DynamoDBテーブルの作成時に暗号化を有効にすることです。
AWSドキュメントには次のことが記載されています
Amazon DynamoDBは、完全に管理された保管時の暗号化を提供します。保管中のDynamoDB暗号化は、DynamoDBのAWS Key Management Service(AWS KMS)管理暗号化キーを使用して保管中のデータを暗号化することにより、セキュリティを強化します。この機能により、機密データの保護に伴う運用上の負担と複雑さが解消されます。
オプションAは部分的に正しいため、AWS SDKを使用してデータを暗号化できますが、より簡単なオプションは事前にテーブルを暗号化することです。
S3バケットの暗号化はS3のオブジェクトのみであるため、オプションCは無効です。テーブルは作成後にテーブルを暗号化できません。
DynamoDBの保存データの保護の詳細については、以下のURLを参照してください。
https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.htmll正しい答えは次のとおりです。作成中にKMSを使用してDynamoDBテーブルを暗号化するエキスパートにフィードバック/クエリを送信する


質問 # 226
セキュリティエンジニアがAmazon EC2で実行されているJavaアプリケーションを構築しています。アプリケーションはAmazon RDSインスタンスと通信し、ユーザー名とパスワードで認証します。
資格情報を保護し、資格情報をローテーションする際のダウンタイムを最小限に抑えるために、エンジニアが実行できる手順の組み合わせはどれですか? (2つ選択してください。)

  • A. 接続の失敗をキャッチし、AWS Secrets Managerを呼び出してパスワードがローテーションされたときに更新された認証情報を取得するようにJavaアプリケーションを設定します。 Secrets Managerにアクセスするために、EC2インスタンスに関連付けられたインスタンスロールにアクセス許可を付与します。
  • B. AWS Secrets Managerで認証情報の自動ローテーションを設定します。
  • C. データベース管理者に認証情報を暗号化し、暗号文をAmazon S3に保存してもらいます。オブジェクトを読み取り、暗号文を復号化するために、EC2インスタンスに関連付けられたインスタンスロールに権限を付与します。
  • D. AWS Systems Manager Parameter Storeの暗号化された文字列パラメーターに認証情報を保存します。 EC2インスタンスに関連付けられたインスタンスロールにアクセス許可を付与し、パラメーターと暗号化に使用されるAWS KMSキーにアクセスします。
  • E. AWS Systems Manager Parameter Storeの認証情報を更新し、アプリケーションを再起動する必要があることをエンジニアに通知するスケジュールされたジョブを設定します。

正解:A、B


質問 # 227
セキュリティエンジニアは、Webサーバーへのインバウンド接続のトラブルシューティングを依頼されました。この単一のWebサーバーはインターネットからの受信接続を受信して​​いませんが、他のすべてのWebサーバーは適切に機能しています。
アーキテクチャには、ネットワークACL、セキュリティグループ、および仮想セキュリティアプライアンスが含まれます。さらに、開発チームはApplication Load Balancer(ALB)を実装して、すべてのWebサーバーに負荷を分散しています。 Webサーバとインターネット間のトラフィックが仮想セキュリティアプライアンスを通過することが要件です。
セキュリティエンジニアは次のことを確認しました。
1.セキュリティグループに設定されたルールが正しい
2.ネットワークACLに設定されたルールが正しい
3.仮想アプライアンスで設定されたルールが正しい
このシナリオでトラブルシューティングする他の有効な項目は次のうちどれですか? (2つ選択してください。)

  • A. Webサーバーサブネットのルートテーブルの0.0.0.0/0ルートが仮想セキュリティアプライアンスを指していることを確認します。
  • B. 特定のWebサーバーのElastic Network Interface(ENI)に適用されているセキュリティグループを確認します。
  • C. パブリックサブネットの0.0.0.0/0ルートがNATゲートウェイを指していることを確認します。
  • D. Webサーバーサブネットのルートテーブルの0.0.0.0/0ルートがNATゲートウェイを指していることを確認します。
  • E. ALBの登録済みターゲットを確認します。

正解:A、E

解説:
https://docs.IAM.amazon.com/IAMEC2/latest/UserGuide/using-eni.html


質問 # 228
会社は、本番環境、開発環境、およびテスト環境用に3つの個別のAWSアカウントを管理しています。各開発者には、開発アカウントの下で一意のIAMユーザーが割り当てられます。開発者アカウントのAmazonEC2インスタンスでホストされる新しいアプリケーションには、本番アカウントのAmazonS3バケットに保存されているアーカイブドキュメントへの読み取りアクセスが必要です。
アクセスはどのように許可する必要がありますか?

  • A. 本番アカウントに一時的なIAMユーザーを作成し、AmazonS3への読み取りアクセスを提供します。一時的なIAMユーザーのアクセスキーとシークレットキーを生成し、開発アカウントのアプリケーションで使用されるEC2インスタンスに保存します。
  • B. カスタムIDブローカーを使用して、開発者IAMユーザーがS3バケットに一時的にアクセスできるようにします。
  • C. 本番アカウントでIAMロールを作成し、開発アカウントのEC2インスタンスが信頼ポリシーを使用してそのロールを引き受けることを許可します。このロールに必要なS3バケットの読み取りアクセスを提供します。
  • D. アプリケーションが本番アカウントで使用するための一時的なIAMユーザーを作成します。

正解:C

解説:
https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-access-s3/


質問 # 229
過去のDDoS攻撃の経験に対応して、セキュリティエンジニアはAmazon S3バケット用のAmazon CloudFrontディストリビューションをセットアップしました。一部のユーザーがCloudFrontディストリビューションをバイパスして、S3バケットに直接アクセスする可能性があるという懸念があります。
ユーザーがURLを使用してS3オブジェクトに直接アクセスできないようにするには、何をする必要がありますか?

  • A. S3バケット/オブジェクトのアクセス許可を変更して、バケット所有者のみがアクセスできるようにします。
  • B. CloudFrontのIAMロールを作成し、S3バケット/オブジェクトのアクセス許可を変更して、IAMロールのみがアクセスできるようにします。
  • C. CloudFrontオリジンアクセスアイデンティティ(OAI)を設定し、O3のみがアクセスできるようにS3バケット/オブジェクトのアクセス許可を変更します。
  • D. S3バケットアクセスを対応するCloudFrontディストリビューションにリダイレクトします。

正解:C

解説:
https://docs.IAM.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html


質問 # 230
会社のポリシーでは、FTP、Telnet、HTTPなどのすべての安全でないサーバープロトコルをすべてのサーバーで無効にする必要があります。セキュリティチームは定期的にすべてのサーバーをチェックして、スケジュールされたCloudWatchイベントを使用して現在のインフラストラクチャのレビューをトリガーすることにより、この要件への準拠を確認したいと考えています。会社のEC2インスタンスのコンプライアンスをチェックするプロセスは何ですか?
選んでください:

  • A. すべてのEC2インスタンスのポート構成を対象としたGuardDuty脅威検出分析を有効にします。
  • B. すべてのEC2インスタンスに対してRuntime Behavior Analysisルールパッケージを使用してAmazonインスペクターアセスメントを実行します。
  • C. すべてのEC2インスタンスに対して、restricted-common-portsルールのAWS Config Rules評価をトリガーします。
  • D. すべてのベストプラクティスセキュリティチェックについてTrusted Advisor APIを照会し、「アクション推奨」ステータスを確認します。

正解:B

解説:
説明
GuardButyを使用して脅威を検出し、セキュリティプロトコルのコンプライアンスをチェックしないため、Trusted Advisor APIのクエリができないため、オプションBは正しくありません。
オプションDには、評価の実行中にインスタンスの動作を分析し、EC2インスタンスをより安全にする方法に関するガイダンスを提供するランタイム動作分析ルールを使用してAmazon Inspectorを実行することが記載されています。
安全でないサーバープロトコル
このルールは、EC2インスタンスがFTP、Telnet HTTP、IMAP、POPバージョン3、SMTP、SNMPバージョン1および2、rsh、rloginなどの安全でない暗号化されていないポート/サービスのサポートを許可するかどうかを決定するのに役立ちます。
詳細については、以下のURLを参照してください。
https://docs.aws.amazon.eom/mspector/latest/userguide/inspector_runtime-behavior-analysis.html#insecure-prot(正解は、すべてのEC2に対してRuntime Behavior Analysisルールパッケージを使用してAmazon Inspector評価を実行するインスタンス。
専門家へのフィードバック/クエリの送信


質問 # 231
セキュリティエンジニアは、us-west-1 リージョンにある企業の Amazon S3 バケットに保存されているすべてのデータを暗号化するために使用する IAM キー管理サービス <IAM KMS) キーを作成する必要があります。キーにはサーバー側の暗号化が使用されます。キーの使用は、会社のアカウント内の Amazon S3 からのリクエストに限定する必要があります。
これらの要件を満たすのは、KMS キー ポリシーのどのステートメントですか?

  • A.
  • B.
  • C.

正解:C


質問 # 232
......

SCS-C01日本語テストエンジンお試しセット、SCS-C01日本語問題集PDF:https://www.goshiken.com/Amazon/AWS-Security-Specialty-JPN-mondaishu.html

関するブログ

もっと
AWS-Security-Specialty-JPN無料問題集