• ホーム
  • ブログ
  • 無料Amazon SCS-C01日本語テスト練習問題試験問題集 [Q46-Q62]

無料Amazon SCS-C01日本語テスト練習問題試験問題集 [Q46-Q62]

Share

無料Amazon SCS-C01日本語テスト練習問題試験問題集

試験準備には欠かさない!トップクラスのAmazon SCS-C01日本語試験最新版アプリ学習ガイドで練習

質問 # 46
企業は、ITインフラストラクチャのほとんどをAWSに移行する予定です。既存のオンプレミスActive DirectoryをAWSのIDプロバイダーとして活用したいと考えています。
セキュリティエンジニアは、会社のオンプレミスActive DirectoryとAWSをフェデレートするために、どの組み合わせの手順を実行する必要がありますか? (2つ選択してください。)

  • A. SAMLプロバイダーをサポートするようにAmazon Cloud Directoryを構成します。
  • B. Active DirectoryとAWSの間に証明書利用者の信頼を追加するようにActive Directoryを構成します。
  • C. 各Active Directoryグループに対応するアクセス許可を持つIAMロールを作成します。
  • D. Active DirectoryとAWSの間に証明書利用者の信頼を追加するようにAmazon Cognitoを設定します。
  • E. 各Active Directoryグループに対応するアクセス許可でIAMグループを作成します。

正解:B、C

解説:
https://aws.amazon.com/blogs/security/how-to-establish-federated-access-to-your-aws-resources-by-using-active-directory-user-attributes/


質問 # 47
次のうち、アプリケーションの潜在的な攻撃対象領域を最小化するものはどれですか?

  • A. AWS Direct Connectを使用して、プライベートサブネット内のEC2インスタンス間の安全な信頼できる接続を確立します。
  • B. ネットワークACLを使用して、VPCレベルでステートフルファイアウォールを提供し、特定のAWSリソースへのアクセスを防ぎます。
  • C. 境界ネットワーク内の単一層(DMZ、非武装地帯、スクリーンサブネットとも呼ばれる)でネットワークセキュリティを設計し、脅威への迅速な対応を促進します。
  • D. セキュリティグループを使用して、ハイパーバイザーレベルでAmazon EC2インスタンスにステートフルファイアウォールを提供します。

正解:D

解説:
https://aws.amazon.com/answers/networking/vpc-security-capabilities/ Security Group is stateful and hypervisor level.


質問 # 48
会社は、IDフェデレーションを使用して、ユーザーがIdentityRoleという名前のIAMロールを引き受けるIDアカウント(987654321987)でユーザーを認証します。次に、ユーザーは、ターゲットAWSアカウント(123456789123)でJobFunctionRoleという名前のIAMロールを引き受けて、ジョブ機能を実行します。
ユーザーは、ターゲットアカウントでIAMロールを引き受けることができません。 IDアカウントのロールに添付されるポリシーは次のとおりです。

ユーザーがターゲットアカウントで適切な役割を引き受けることができるようにするには、どうすればよいですか?


  • A. オプションB
  • B. オプションC
  • C. オプションD
  • D. オプションA

正解:D


質問 # 49
AWSで大規模な機密文書Webサーバーを構築しており、その文書はすべてS3に保存されます。要件の1つは、S3から直接パブリックにアクセスできないことであり、これを実現するにはCloud Frontを使用する必要があります。以下にリストされている方法のうち、どれが概説されている要件を満たしますか?以下のオプションから回答を選択してください:

  • A. プリンシパルとしてCloudFrontディストリビューションIDを、Amazonリソースネーム(ARN)としてターゲットバケットをリストするS3バケットポリシーを作成します。
  • B. CloudFrontのIdentity and Access Management(1AM)ユーザーを作成し、S3バケット内のオブジェクトへのアクセスをその1AMユーザーに付与します。
  • C. CloudFrontのOrigin Access Identity(OAI)を作成し、S3バケット内のオブジェクトへのアクセスをそのOAlに許可します。
  • D. ドキュメントが保存されるバケットごとに個別のポリシーを作成し、そのポリシーにCloudFrontのみへのアクセスを許可します。

正解:C

解説:
説明
CloudFront署名付きURLまたは署名付きCookieを使用してAmazon S3バケット内のオブジェクトへのアクセスを提供する場合、ユーザーがAmazon S3 URLを使用してAmazon S3オブジェクトにアクセスできないようにすることもできます。ユーザーがAmazon S3でオブジェクトに直接アクセスする場合、CloudFrontの署名付きURLまたは署名付きCookieによって提供される制御をバイパスします。たとえば、ユーザーがコンテンツにアクセスできなくなった日時や、使用できるIPアドレスを制御します。コンテンツにアクセスします。さらに、ユーザーがCloudFrontを介して、またはAmazon S3 URLを使用して直接オブジェクトにアクセスする場合、CloudFront aceログは不完全であるためあまり役に立ちません。
ポリシーを使用しても要件を満たすことができないため、オプションAとCloudfrontのOrigin Access Identityを作成する必要があり、1AMユーザーではないため、オプションCとDは無効です。OriginAccess Identityの詳細については、以下のリンクを参照してください:
http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restrictine-access-to-s3。
正解は、CloudFrontのOrigin Access Identity(OAI)を作成し、S3バケット内のオブジェクトへのアクセスをそのOAIに許可することです。

専門家へのフィードバック/クエリの送信


質問 # 50
セキュリティエンジニアがAmazon EC2で実行されているJavaアプリケーションを構築しています。アプリケーションはAmazon RDSインスタンスと通信し、ユーザー名とパスワードで認証します。
資格情報を保護し、資格情報をローテーションする際のダウンタイムを最小限に抑えるために、エンジニアが実行できる手順の組み合わせはどれですか? (2つ選択してください。)

  • A. データベース管理者に認証情報を暗号化し、暗号文をAmazon S3に保存してもらいます。オブジェクトを読み取り、暗号文を復号化するために、EC2インスタンスに関連付けられたインスタンスロールに権限を付与します。
  • B. 接続の失敗をキャッチし、AWS Secrets Managerを呼び出してパスワードがローテーションされたときに更新された認証情報を取得するようにJavaアプリケーションを設定します。 Secrets Managerにアクセスするために、EC2インスタンスに関連付けられたインスタンスロールにアクセス許可を付与します。
  • C. AWS Systems Manager Parameter Storeの認証情報を更新し、アプリケーションを再起動する必要があることをエンジニアに通知するスケジュールされたジョブを設定します。
  • D. AWS Systems Manager Parameter Storeの暗号化された文字列パラメーターに認証情報を保存します。 EC2インスタンスに関連付けられたインスタンスロールにアクセス許可を付与し、パラメーターと暗号化に使用されるAWS KMSキーにアクセスします。
  • E. AWS Secrets Managerで認証情報の自動ローテーションを設定します。

正解:B、E


質問 # 51
IAM Systems Manager パラメータ ストアは、IAM Lambda 関数で使用されるデータベース パスワードを保存するために使用されています。これは機密データであるため、パラメータはタイプ SecureString として保存され、IAM を介したアクセスを許可する IAM KMS キーによって保護されます。関数が実行されると、アクセス拒否エラーの結果として、このパラメーターを取得できません。
次のアクションのうち、アクセス拒否エラーを解決するのはどれですか?

  • A. Lambda 関数が使用するロールにポリシーを追加し、KM​​S キーの kms: Decrypt を許可します。
  • B. Lambda 関数が使用する IAM ロールの信頼できるエンティティとして lambda.amazonIAM.com を追加します。
  • C. Lambda 構成を更新して、VPC で関数を起動します。
  • D. KMS キー ポリシーの ssm.amazonIAM.com プリンシパルを更新して、kms: Decrypt を許可します。

正解:A

解説:
Explanation
https://docs.amazonIAM.cn/en_us/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.Authorizing


質問 # 52
開発者は、JavaプログラムでKMSサービスと割り当てられたキーを使用しています。コードarn:aws:iam :: 113745388712:user / UserBを実行する権限がない場合、次のエラーが発生します。kms:DescribeKey問題の解決に役立つ可能性があるのは次のうちどれですか?
選んでください:

  • A. UserBにIAMポリシーで適切な権限が付与されていることを確認します
  • B. ユーザーBにキーにアクセスするための適切なIAMロールが与えられていることを確認します
  • C. バケットポリシーでUserBに適切なアクセス許可が付与されていることを確認するキーのキーポリシーを介してUserBにアクセス権が付与されていることを確認する必要があります
  • D. UserBにキーポリシーで適切な権限が付与されていることを確認します

正解:D

解説:

Option is invalid because you don't assign roles to IAM users
For more information on Key policies please visit the below Link:
https://docs.aws.amazon.com/kms/latest/developerguide/key-poli
The correct answer is: Ensure that UserB is given the right permissions in the Key policy


質問 # 53
あなたの会社は、AWSを使用してWebおよびデータベースアプリケーションのEC2インスタンスをホストしています。 SSHやRDPなどの管理ポート以外のポートが開いたままになっているかどうか、Webサーバーセキュリティグループのポート以外のデータベースサーバーへのポートが開いているかどうかを確認するために、コンプライアンスチェックが必要です。これを可能な限り簡単な方法で。余分な構成変更を実行したくないですか?
選んでください:

  • A. AWS Config
  • B. AWS Inspector D.AWSGuardDuty
  • C. AWS Trusted Advisor

正解:C

解説:
Trusted Advisor checks for compliance with the following security recommendations:
Limited access to common administrative ports to only a small subset of addresses. This includes ports 22 (SSH), 23 (Telnet) 3389 (RDP), and 5500 (VNQ.
Limited access to common database ports. This includes ports 1433 (MSSQL Server), 1434 (MSSQL Monitor), 3306 (MySQL), Oracle (1521) and 5432 (PostgreSQL).
Option A is partially correct but then you would need to write custom rules for this. The AWS trusted advisor can give you all o these checks on its dashboard
Option C is incorrect. Amazon Inspector needs a software agent to be installed on all EC2 instances that are included in th.
assessment target, the security of which you want to evaluate with Amazon Inspector. It monitors the behavior of the EC2
instance on which it is installed, including network, file system, and process activity, and collects a wide set of behavior and
configuration data (telemetry), which it then passes to the Amazon Inspector service.
Our question's requirement is to choose a choice that is easy to implement. Hence Trusted Advisor is more appropriate for this )
question.
Options D is invalid because this service dont provide these details.
For more information on the Trusted Advisor, please visit the following URL
https://aws.amazon.com/premiumsupport/trustedadvisor>
The correct answer is: AWS Trusted Advisor Submit your Feedback/Queries to our Experts


質問 # 54
会社は、AWSでEC2インスタンスの大部分をホストしています。 EC2インスタンスを管理する厳格なセキュリティルールがあります。セキュリティ侵害の可能性がある場合、基盤となるEC2インスタンスの迅速な調査を保証する必要があります。次のサービスのどれが、違反したインスタンスを調べるためのテスト環境を迅速にプロビジョニングするのに役立ちますか。
選んでください:

  • A. AWS Config
  • B. AWS Cloudwatch
  • C. AWS Cloudformation
  • D. AWS Cloudtrail

正解:C

解説:
The AWS Security best practises mentions the following
Unique to AWS, security practitioners can use CloudFormation to quickly create a new, trusted environment in which to conduct deeper investigation. The CloudFormation template can pre-configure instances in an isolated environment that contains all the necessary tools forensic teams need to determine the cause of the incident This cuts down on the time it takes to gather necessary tools, isolates systems under examination, and ensures that the team is operating in a clean room.
Option A is incorrect since this is a logging service and cannot be used to provision a test environment
Option C is incorrect since this is an API logging service and cannot be used to provision a test environment
Option D is incorrect since this is a configuration service and cannot be used to provision a test environment
For more information on AWS Security best practises, please refer to below URL:
https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pd1
The correct answer is: AWS Cloudformation
Submit your Feedback/Queries to our Experts


質問 # 55
セキュリティチームは、特定のアクセスキーを使用して、過去3か月以内に元従業員がAWSリソースへの不正アクセスを取得した可能性があると考えています。
セキュリティチームは、どのアプローチを使用して、元従業員がAWS内で行ったことを確認できますか?

  • A. Amazon CloudWatch Logsコンソールを使用して、ユーザーごとにCloudTrailデータをフィルタリングします。
  • B. AWS Configを使用して、ユーザーが実行したアクションを確認します。
  • C. Amazon Athenaを使用して、Amazon S3に保存されているCloudTrailログをクエリします。
  • D. AWS CloudTrailコンソールを使用して、ユーザーアクティビティを検索します。

正解:D

解説:
Explanation
You can use CloudTrail to search event history for the last 90 days. You can use CloudWatch queries to search API history beyond the last 90 days. You can use Athena to query CloudTrail logs over the last 90 days.
https://aws.amazon.com/premiumsupport/knowledge-center/view-iam-history/


質問 # 56
アプリケーション チームは、IAM Certificate Manager (ACM) を使用して公開証明書を要求し、転送中のデータを確実に保護したいと考えています。使用されているドメインは、現在 Amazon Route 53 でホストされていません アプリケーションチームは、IAM 管理の配布およびキャッシュソリューションを使用して、システムへのリクエストを最適化し、顧客により良いポイントオブプレゼンスを提供したいと考えています 配布ソリューションは、プライマリドメイン名を使用します配布ソリューションは、いくつかの代替ドメイン名も使用します 証明書は、無期限に自動的に更新する必要があります アプリケーション チームは、このアーキテクチャを展開するためにどの手順を組み合わせて実行する必要がありますか? (3 つ選択してください。)

  • A. 証明書を要求します (us-west-2 リージョンで ACM を引き裂かれました) 証明書が保護するドメイン名を追加します
  • B. us-east-1 リージョンの ACM から証明書をリクエストする 証明書が保護するドメイン名を追加します
  • C. Application Load Balancer for me キャッシング ソリューションを作成する 安全な接続に使用するために、ACM から新しく要求された証明書を選択します
  • D. ドメイン管理者に電子メール メッセージを送信して、ACM のドメインの休暇を要求します。
  • E. キャッシング ソリューション用の Amazon CloudFront ディストリビューションを作成します メインの CNAME レコードをオリジン名として入力します サブドメイン名または代替名を代替ドメイン名のディストリビューション設定に入力します 安全な接続に使用するために ACM から新しく要求された証明書を選択します
  • F. DNS を介して ACM のドメインの検証を要求する CNAME レコードを各ドメインの DNS ゾーンに挿入する

正解:B、C、F


質問 # 57
セキュリティエンジニアは、すべてのユーザーへのアクセスを拒否するAmazonS3バケットポリシーを作成します。数日後、セキュリティエンジニアは、バケットポリシーにステートメントを追加して、他の1人の従業員に読み取り専用アクセスを許可します。ポリシーを更新した後でも、従業員はアクセス拒否メッセージを受け取ります。
このアクセス拒否の考えられる原因は何ですか?
セキュリティエンジニアは、eコマースアプリケーションを設計するために会社と協力しています。アプリケーションは、Application Load Balancer(ALB)の背後にあるAutoScalingグループで実行されるAmazonEC2インスタンスで実行されます。アプリケーションは、データベースにAmazon RDSDBインスタンスを使用します。
インターネットから必要な接続は、アプリケーションへのHTTPおよびHTTPSトラフィックのみです。アプリケーションは、事前に構成されたIPアドレスの許可リストからのトラフィックのみを許可する外部の支払いプロバイダーと通信する必要があります。企業は、環境の拡大に伴って外部の決済プロバイダーとの通信が中断されないようにする必要があります。
これらの要件を満たすために、セキュリティエンジニアはどのアクションの組み合わせを推奨する必要がありますか? (3つ選択してください。)

  • A. ALBをプライベートサブネットにデプロイします。
  • B. 使用中のすべてのアベイラビリティーゾーンの各プライベートサブネットにNATゲートウェイをデプロイします。
  • C. EC2インスタンスをパブリックサブネットに配置するようにAutoScalingグループを設定します。
  • D. DBインスタンスをプライベートサブネットに配置します。
  • E. DBインスタンスをパブリックサブネットに配置します。
  • F. EC2インスタンスをプライベートサブネットに配置するようにAutoScalingグループを設定します。

正解:B、D、F


質問 # 58
あなたの会社は、AWSでのアプリケーションの開発を計画しています。これはWebベースのアプリケーションです。アプリケーションユーザーは、認証にFacebookまたはGoogle IDを使用します。これを管理するために追加のコーディングを追加することなく、ユーザープロファイルを管理する機能が必要です。以下のどれがこれに役立ちますか。
選んでください:

  • A. AWSでOlDC IDプロバイダーを作成する
  • B. AWSでSAMLプロバイダーを作成する
  • C. 1AMユーザーを使用してユーザープロファイルを管理します
  • D. AWS Cognitoを使用してユーザープロファイルを管理する

正解:B

解説:
説明
AWSドキュメントには次のことが記載されています
AWSドキュメントには次のことが記載されています
OIDC IDプロバイダーは、OpenID Connect(OIDC)標準をサポートするIDプロバイダー(IdP)サービスを記述する1AMのエンティティです。 OIDC IDプロバイダーは、OlDC互換のIdP(Google、Salesforceなど)とAWSアカウントの間に信頼を確立するときに使用します。これは、モバイルアプリまたはWebアプリケーションへのアクセスを必要とするWebアプリケーションを作成する場合に便利です。 AWSリソース、ただし、カスタムサインインコードを作成したり、独自のユーザーIDを管理したくないオプションAは無効です。これは、セキュリティグループではこの情報に言及しないためです/オプションCはフェデレーション認証オプションに使用されるため無効ですAWSでOIDC IDプロバイダーを使用する必要があるため、Dは無効です。ODICIDプロバイダーの詳細については、以下のリンクを参照してください。
https://docs.aws.amazon.com/IAM/latest/UserGuide/idの役割プロバイダーはoidc.htmllを作成します正解は:AWSでOIDC IDプロバイダーを作成する


質問 # 59
ある会社は、開発者がテストと学習の目的で使用するAWSアカウントを作成しました。MMアカウントは開発者の複数のチーム間で共有されるため、チームがこれらのアクションを実行できるように、AmazonEC2インスタンスを停止および終了する機能を制限したいと考えています。所有するインスタンスでのみ。
開発者は、すべてのインスタンスにチームタグキーをタグ付けし、タグ値にチーム名を使用するように指示されました。このアカウントを使用する最初のチームの1つは、ビジネスインテリジェンスです。セキュリティエンジニアは、開発者にアクセスを提供するための高度にスケーラブルなソリューションを開発する必要があります。アカウント内の適切なリソースセキュリティエンジニアは、チームごとに個別の1AMロールをすでに作成しています。
セキュリティエンジニアがタスクを完了するために実行する必要がある追加の構成手順はどれですか?

  • A. 各IAMロールにチームキーでタグを付け、タグ値にチーム名を使用します。次のようなIAMポリシーを作成し、開発者が使用するすべてのIAMロールに適用します。
  • B. チームごとに、フェローと同様のAMポリシーを作成します。ec2:ResourceTag / Team条件キーに適切なチーム名を入力します。結果のポリシーを、対応する1AMロールにアタッチします。
  • C. 各午前1時の役割にチームラグキーのタグを付けます。タグ値にチーム名を使用します。次のような1AMポリシーを作成し、開発者が使用するすべての1AMロールに4をアタッチします。
  • D. チームごとに、次のような1AMポリシーを作成します。awsTagKeys/ Team条件キーに適切なチーム名を入力します。再開ポリシーを対応する1AMロールに添付します。

正解:B


質問 # 60
VPCのインスタンスがDNSリクエストのルーティングにAWSDNSを使用しないようにするにはどうすればよいですか。独自のマネージドDNSインスタンスを使用したい。これはどのように達成できますか?
選んでください:

  • A. VPCのルートテーブルを変更します
  • B. 新しいDNSサーバーからのDNS要求を許可するようにサブネット構成を変更します。独自のDNSサーバーを使用するには、カスタムDNSサーバーのIPで設定された新しいカスタムDHCPオプションを作成する必要があります。既存のセットを変更することはできないため、新しいセットを作成する必要があります。
  • C. 既存のDHCPオプションセットを変更します
  • D. 新しいDHCPオプションセットを作成し、既存のものを置き換えます。

正解:D

解説:
Option A is invalid because you cannot make changes to an existing DHCP options Set.
Option C is invalid because this can only be used to work with Routes and not with a custom DNS solution.
Option D is invalid because this needs to be done at the VPC level and not at the Subnet level For more information on DHCP options set, please visit the following url
https://docs.aws.amazon.com/AmazonVPC/latest/UserGuideA/PC DHCP Options.html The correct answer is: Create a new DHCP options set and replace the existing one. Submit your Feedback/Queries to our Experts


質問 # 61
AWSでホストされているS3バケットがあります。これは、自分でアップロードしたプロモーションビデオをホストするために使用されます。限られた期間、ユーザーへのアクセスを提供する必要があります。どうすればこれを達成できますか?
選んでください:

  • A. バージョン管理を使用し、各バージョンのタイムスタンプを有効にします
  • B. タイムスタンプ付きのIAMロールを使用してアクセスを制限する
  • C. タイムスタンプ付きのIAMポリシーを使用してアクセスを制限する
  • D. 署名付きURLを使用

正解:D

解説:
The AWS Documentation mentions the following
All objects by default are private. Only the object owner has permission to access these objects. However, the object owner can optionally share objects with others by creating a pre-signed URL using their own security credentials, to grant time-limited permission to download the objects.
Option A is invalid because this can be used to prevent accidental deletion of objects
Option C is invalid because timestamps are not possible for Roles
Option D is invalid because policies is not the right way to limit access based on time
For more information on pre-signed URL's, please visit the URL:
https://docs.aws.ama2on.com/AmazonS3/latest/dev/ShareObiectPreSisnedURL.html
The correct answer is: Use Pre-signed URL's Submit your Feedback/Queries to our Experts


質問 # 62
......

今すぐSCS-C01日本語問題を使おうSCS-C01日本語問題集PDF:https://www.goshiken.com/Amazon/AWS-Security-Specialty-JPN-mondaishu.html

関するブログ

もっと
AWS-Security-Specialty-JPN無料問題集