• ホーム
  • ブログ
  • [2022年03月07日]SCS-C01日本語試験問題集、SCS-C01日本語練習テスト問題 [Q239-Q264]

[2022年03月07日]SCS-C01日本語試験問題集、SCS-C01日本語練習テスト問題 [Q239-Q264]

Share

[2022年03月07日]SCS-C01日本語試験問題集、SCS-C01日本語練習テスト問題

無料で使えるSCS-C01日本語学習ガイド試験問題と解答

質問 239
あなたの会社は、AWS KMSサービスを使用して一連のキーを作成しました。各キーが特定のサービスにのみ使用されるようにする必要があります。たとえば、1つのキーをS3サービスにのみ使用することを望んでいます。どうすればこれを達成できますか?
選んでください:

  • A. S3サービスのみがキーにアクセスできるようにするIAMポリシーを作成します。
  • B. S3サービスのみがキーにアクセスできるようにするバケットポリシーを作成します。
  • C. IAMユーザーを定義し、キーを割り当ててから、必要なサービスにアクセス許可を割り当てます
  • D. キーポリシーでkms:ViaService条件を使用します

正解: D

解説:
Explanation
Option A and B are invalid because mapping keys to services cannot be done via either the IAM or bucket policy Option D is invalid because keys for IAM users cannot be assigned to services This is mentioned in the AWS Documentation The kms:ViaService condition key limits use of a customer-managed CMK to requests from particular AWS services. (AWS managed CMKs in your account, such as aws/s3, are always restricted to the AWS service that created them.) For example, you can use kms:V1aService to allow a user to use a customer managed CMK only for requests that Amazon S3 makes on their behalf. Or you can use it to deny the user permission to a CMK when a request on their behalf comes from AWS Lambda.
For more information on key policy's for KMS please visit the following URL:
https://docs.aws.amazon.com/kms/latest/developereuide/policy-conditions.html The correct answer is: Use the kms:ViaServtce condition in the Key policy Submit your Feedback/Queries to our Experts

 

質問 240
会社は最近、Webサーバーがコンテンツを提供できないDDoS攻撃を経験しました。 Webサイトは静的であり、ユーザーがダウンロードするHTML、CSS、およびPDFファイルのみをホストします。
画像に示されているアーキテクチャに基づいて、継続的な運用オーバーヘッドを最小限に抑えながら、将来の攻撃からサイトを保護する最良の方法は何ですか?

  • A. すべてのファイルをAmazon S3バケットに移動します。 WebサーバーにS3バケットのファイルを提供させます。
  • B. EC2インスタンスの前でApplication Load Balancerを起動します。 Application Load Balancerの前にAmazon CloudFrontディストリビューションを作成します。
  • C. 新しいサブネットで2番目のAmazon EC2インスタンスを起動します。両方のインスタンスの前でApplication Load Balancerを起動します。
  • D. すべてのファイルをAmazon S3バケットに移動します。バケットの前にCloudFrontディストリビューションを作成し、Webサーバーを終了します。

正解: D

解説:
https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html

 

質問 241
組織には複数の1AMユーザーが設定されています。組織は、各1AMユーザーが外部からではなく、組織内でのみ1AMコンソールにアクセスすることを望んでいます。どうすればこれを達成できますか?
選んでください:

  • A. セキュリティグループで1AMポリシーを作成し、AWSコンソールログインにそのセキュリティグループを使用します
  • B. VPCを使用して1AMポリシーを作成し、組織とAWSコンソール間の安全なゲートウェイを許可します
  • C. IPアドレス範囲が組織のものでない場合にアクセスを拒否する条件で1AMポリシーを作成します
  • D. 組織のIP範囲からのトラフィックのみを許可するEC2インスタンスセキュリティグループを構成します

正解: C

解説:
説明
実際には、外部からのログインを許可しない拒否条件を使用できます。以下の例は、ソースアドレスで指定されたアドレスがawsのリソースへのアクセスを許可されないようにするための拒否条件を示しています。
1AMポリシーでセキュリティグループに言及していないため、オプションAは無効です。デフォルトでセキュリティグループはトラフィックを許可しないため、オプションCは無効です。1AMポリシーにはそのようなオプションがないため、オプションDは無効です。ポリシー条件は、次のURLにアクセスしてください。
http://docs.aws.amazon.com/IAM/latest/UserGuide/access
pol
examples.htm l#iam-policy-example-ec2-two-condition!
正しい答えは次のとおりです。IPアドレスの範囲が組織のものではない場合にアクセスを拒否する条件で1AMポリシーを作成します。

 

質問 242
暗号化にKMSを使用するEC2インスタンスに接続されたEBSボリュームがあります。誰かが先に進み、EBS暗号化に使用されたカスタマーキーを削除しました。データを確実に復号化できるようにするために行うべきこと。
選んでください:

  • A. CMKで暗号化されたデータを復号化することはできず、データは回復できません。
  • B. KMSを使用して新しいカスタマーキーを作成し、既存のボリュームにアタッチします
  • C. AWS Configを使用してキーを回復します
  • D. AWSサポートにリクエストしてキーを回復します

正解: A

解説:
Explanation
Deleting a customer master key (CMK) in AWS Key Management Service (AWS KMS) is destructive and potentially dangerous. It deletes the key material and all metadata associated with the CMK, and is irreversible. After a CMK is deleted you can no longer decrypt the data that was encrypted under that CMK, which means that data becomes unrecoverable. You should delete a CMK only when you are sure that you don't need to use it anymore. If you are not sure, consider disabling the CMK instead of deleting it. You can re-enable a disabled CMK if you need to use it again later, but you cannot recover a deleted CMK.
https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html A is incorrect because Creating a new CMK and attaching it to the exiting volume will not allow the data to be decrypted, you cannot attach customer master keys after the volume is encrypted Option C and D are invalid because once the key has been deleted, you cannot recover it For more information on EBS Encryption with KMS, please visit the following URL:
https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html The correct answer is: You cannot decrypt the data that was encrypted under the CMK, and the data is not recoverable. Submit your Feedback/Queries to our Experts

 

質問 243
グローバル企業は、レイヤー3、4、7でのDDoS攻撃を緩和して対応する必要があります。企業のすべてのAWSアプリケーションは、Amazon CloudFrontとAmazon Route 53を使用してAmazon S3でホストされている静的コンテンツでサーバーレスです。これらの要件を満たすソリューションはどれですか。

  • A. Use AWS WAF to protect AWS Lambda functions encrypted with AWS KMS and a NACL restricting all Ingress traffic
  • B. Use AWS WAF with an upgrade to the AWS Business support plan
  • C. Use AWS Certificate Manager with an Application Load Balancer configured with an origin access identity
  • D. Use AWS Shield Advanced

正解: D

 

質問 244
AWSアカウントにいくつかのS3バケットが定義されています。これらのS3バケットに外部AWSアカウントへのアクセス権を付与する必要があります。次のうち、外部アカウントの権限を定義できるのはどれですか?以下のオプションから2つの回答を選択してください選択してください:

  • A. バケットACL
  • B. バケットポリシー
  • C. IAMユーザー
  • D. IAMポリシー

正解: A,B

解説:
The AWS Security whitepaper gives the type of access control and to what level the control can be given

Options A and C are incorrect since for external access to buckets, you need to use either Bucket policies or Bucket ACL's or more information on Security for storage services role please refer to the below URL:
https://d1.awsstatic.com/whitepapers/Security/Security Storage Services Whitepaper.pdf The correct answers are: Buckets ACL's, Bucket policies Submit your Feedback/Queries to our Experts

 

質問 245
最近、VPCでWebおよびデータベース層をセットアップし、アプリケーションをホストしました。アプリをテストするとき、アプリのホームページにアクセスできません。セキュリティグループを確認しました。問題の診断に役立つもの。
選んでください:

  • A. AWS WAFを使用してトラフィックを分析します
  • B. AWS Trusted Advisorを使用して、何ができるかを確認します。
  • C. VPC Flowログを使用してトラフィックを診断します
  • D. AWS Guard Dutyを使用してトラフィックを分析します

正解: C

解説:
Option A is invalid because this can be used to check for security issues in your account, but not verify as to why you cannot reach the home page for your application Option C is invalid because this used to protect your app against application layer attacks, but not verify as to why you cannot reach the home page for your application Option D is invalid because this used to protect your instance against attacks, but not verify as to why you cannot reach the home page for your application The AWS Documentation mentions the following VPC Flow Logs capture network flow information for a VPC, subnet or network interface and stores it in Amazon CloudWatch Logs. Flow log data can help customers troubleshoot network issues; for example, to diagnose why specific traffic is not reaching an instance, which might be a result of overly restrictive security group rules. Customers can also use flow logs as a security toi to monitor the traffic that reaches their instances, to profile network traffic, and to look for abnormal traffic behaviors.
For more information on AWS Security, please visit the following URL:
https://aws.amazon.com/answers/networking/vpc-security-capabilities>
The correct answer is: Use VPC Flow logs to diagnose the traffic Submit your Feedback/Queries to our Experts

 

質問 246
企業は、自社運用型のAWSインフラストラクチャをAWSクラウドに拡張することを計画しています。トラフィック暗号化の中核的な利点を提供し、遅延を最小限に抑えるソリューションを用意する必要があります。
次のどれがこの要件を満たすのに役立ちますか?以下のオプションから2つの回答を選択してください。

  • A. AWS NATゲートウェイ
  • B. AWS Direct Connect
  • C. AWS VPCピアリング
  • D. AWS VPN

正解: B,D

解説:
The AWS Document mention the following which supports the requirement

Option B is invalid because VPC peering is only used for connection between VPCs and cannot be used to connect On-premise infrastructure to the AWS Cloud.
Option C is invalid because NAT gateways is used to connect instances in a private subnet to the internet For more information on VPN Connections, please visit the following url
https://docs.aws.amazon.com/AmazonVPC/latest/UserGuideA/pn-connections.html The correct answers are: AWS VPN, AWS Direct Connect Submit your Feedback/Queries to our Experts

 

質問 247
会社のセキュリティエンジニアは、他のAWSサービスへのアクセスを提供せずに、請負業者の1AMアカウントによる会社のAmazon EC2コンソールへのアクセスを制限する任務を負っています。請負業者の1AMアカウントは、1AMアカウントであっても、他のAWSサービスにアクセスできないようにする必要があります。 rsは1AMグループメンバーシップに基づいて追加のアクセス許可を割り当てましたこれらの要件を満たすためにセキュリティエンジニアは何をすべきですか?

  • A. EC2を許可し、他のすべてのサービスを明示的に拒否する1AMロールを作成します請負業者に常にこのロールを引き受けるように指示します
  • B. 請負業者の1AMユーザーにAmazonEC2アクセスを許可するmime1AMユーザーポリシーを作成します
  • C. AmazonEC2アクセスを許可する1AMパーミッション境界ポリシーを作成します請負業者の1AMアカウントを1AMパーミッション境界ポリシーに関連付けます
  • D. AmazonEC2アクセスを許可するポリシーが添付された1AMグループを作成します請負業者の1AMアカウントを1AMグループに関連付けます

正解: C

 

質問 248
あなたの会社は、AWSでのアプリケーションの開発を計画しています。これはWebベースのアプリケーションです。アプリケーションユーザーは、認証にFacebookまたはGoogleのIDを使用します。これを管理するために追加のコーディングを追加することなく、ユーザープロファイルを管理する機能が必要です。以下のどれがこれに役立ちますか。
選んでください:

  • A. AWS Cognitoを使用してユーザープロファイルを管理する
  • B. 1AMユーザーを使用してユーザープロファイルを管理します
  • C. AWSでOlDC IDプロバイダーを作成する
  • D. AWSでSAMLプロバイダーを作成する

正解: A

解説:
説明
AWSドキュメントには次のことが記載されています
ユーザープールは、Amazon Cognitoのユーザーディレクトリです。ユーザープールを使用すると、ユーザーはAmazon Cognitoを介してウェブまたはモバイルアプリにサインインできます。ユーザーは、FacebookやAmazonなどのソーシャルIDプロバイダー、およびSAML IDプロバイダーを使用してサインインすることもできます。ユーザーが直接サインインするか、サードパーティ経由でサインインするかに関係なく、ユーザープールのすべてのメンバーには、SDKを介してアクセスできるディレクトリプロファイルがあります。
ユーザープールは以下を提供します。
サインアップおよびサインインサービス。
ユーザーをサインインするための組み込みのカスタマイズ可能なWeb Ul。
Facebook、Google、Amazonでのログイン、およびユーザープールのSAML IDプロバイダーでのサインイン。
ユーザーディレクトリ管理とユーザープロファイル。
多要素認証(MFA)、侵害された資格情報のチェック、アカウント乗っ取り保護、電話と電子メールの検証などのセキュリティ機能。
AWS Lambdaトリガーによるカスタマイズされたワークフローとユーザー移行。
オプションAおよびBは、ユーザーの管理に使用されないため無効です
これはメンテナンスのオーバーヘッドになるため、オプションDは無効です。
CognitoユーザーIDプールの詳細については、以下のリンクを参照してください。
https://docs.aws.amazon.com/coenito/latest/developerguide/cognito-user-identity-pools.html正しい答えは次のとおりです。AWSCognitoを使用してユーザープロファイルを管理するフィードバック/クエリをエキスパートに送信する

 

質問 249
AWS Key Management Service(AWS KMS)キーポリシーをレビューしていたセキュリティエンジニアが、会社のAWSアカウントの各キーポリシーでこのステートメントを見つけました。

ステートメントは何を許可していますか?

  • A. キーを使用するすべてのAWSアカウントのすべてのプリンシパル。
  • B. このキーへのアクセスを許可してキーを使用するIAMポリシーが適用されているアカウント111122223333のプリンシパルのみ。
  • C. アカウントを使用するアカウント111122223333のrootユーザーのみ。
  • D. アカウントを使用するためのアカウント111122223333からのすべてのプリンシパル。ただしAmazon S3のみ。

正解: B

 

質問 250
新しいコンプライアンス要件のため、セキュリティエンジニアは、DynamoDBに保存されている企業データの顧客提供のキーを使用して暗号化を有効にする必要があります。会社は、暗号化キーの完全な制御を保持したいと考えています。
エンジニアがコンプライアンスを達成するために使用するDynamoDB機能はどれですか?

  • A. DynamoDB Java暗号化クライアントを使用して、DynamoDBにアップロードする前にデータを暗号化します。
  • B. AWS Certificate Managerを使用して証明書をリクエストします。 DynamoDBにアップロードする前に、その証明書を使用してデータを暗号化します。
  • C. KMSマスターキーを作成します。レコードごとのデータキーを生成し、DynamoDSにアップロードする前にそれらを使用してデータを暗号化します。保存せずに暗号化した後、クリアテキストと暗号化されたデータキーを破棄します。
  • D. 顧客提供のキーでS3サーバー側の暗号化を有効にします。データをAmazon S3にアップロードし、S3Copyを使用してすべてのデータをDynamoDBに移動します

正解: A

解説:
Explanation
Follow the link:
https://docs.aws.amazon.com/dynamodb-encryption-client/latest/devguide/what-is-ddb-encrypt.html

 

質問 251
Amazon S3に関連する最近のセキュリティ監査の後、ある会社は、データが適切に保護されているかどうかを判断するために、S3バケットを確認する支援を求めています。リストの最初のS3バケットには、次のバケットポリシーがあります。

このバケットポリシーは、データが宣伝にアクセスできないようにするのに十分ですか?

  • A. いいえ、S3バケットACLとオブジェクトACLを最初に調べて、データがパブリックにアクセス可能かどうかを判断する必要があります。
  • B. はい、S3バケットACLとオブジェクトACLの構成に関係なく、バケット内のどのデータもパブリシティアクセスできません。
  • C. はい、バケットポリシーにより、S3バケットACLまたはオブジェクトACLが設定されているにもかかわらず、バケット全体がパブリックにアクセス可能になります。
  • D. いいえ、IAMユーザーポリシーを最初に調べて、データがパブリックにアクセス可能かどうかを判断する必要があります。

正解: C

 

質問 252
セキュリティエンジニアは、AWS Lambda関数を毎日呼び出すAmazon CloudWatchイベントを作成しました。
Lambda関数は、Amazon S3のAWS CloudTrailログをチェックして、過去30日間にIAMユーザーアカウントまたは認証情報が作成されたかどうかを検出するAmazon Athenaクエリを実行します。 Athenaクエリの結果は、同じS3バケットに作成されます。エンジニアはAWSコンソールを介してLambda関数のテスト実行を実行し、関数は正常に実行されます。
数分後、エンジニアはAthenaクエリが失敗し、次のエラーメッセージが表示されることを発見しました:「権限が不十分です」。セキュリティエンジニアのIAMアクセス許可とLambda関数を以下に示します。
セキュリティエンジニア

Lambda関数実行ロール

エラーの原因は何ですか?

  • A. Athenaサービスは、Lambdaを介した呼び出しをサポートしていません。
  • B. Lambda関数には、CloudTrail S3バケットにアクセスする権限がありません。
  • C. セキュリティエンジニアには、Athenaクエリの実行を開始する権限がありません。
  • D. Lambda関数には、Athenaクエリの実行を開始する権限がありません。

正解: B

 

質問 253
会社でAWSの使用を開始し、AWSアカウントを作成しました。ルートアクセスが有効な場合、潜在的な問題を認識しています。ルートアクセスに関しては、どうすればアカウントを保護できますか?
以下のオプションから2つの回答を選択してください
選んでください:

  • A. ルートアクセスキーを削除します
  • B. ルートアカウントのパスワードを変更します。
  • C. ルートアクセスアカウントを削除します
  • D. 必要な権限を持つ管理者1AMユーザーを作成します

正解: A,D

解説:
Explanation
The AWS Documentation mentions the following
All AWS accounts have root user credentials (that is, the credentials of the account owner). These credentials allow full access to all resources in the account. Because you cant restrict permissions for root user credentials, we recommend that you delete your root user access keys. Then create AWS Identity and Access Management (1AM) user credentials for everyday interaction with AWS.
Option A is incorrect since you cannot delete the root access account
Option C is partially correct but cannot be used as the ideal solution for safeguarding the account For more information on root access vs admin 1AM users, please refer to below URL:
https://docs.aws.amazon.com/eeneral/latest/er/root-vs-iam.html
The correct answers are: Create an Admin 1AM user with the necessary permissions. Delete the root access keys Submit your Feedback/Queries to our Experts

 

質問 254
アプリケーションは、AWS SDKを使用してAWSサービスを呼び出します。アプリケーションは、関連付けられたIAMロールを持つAmazon EC2インスタンスで実行されます。アプリケーションがAmazon S3バケット内のオブジェクトにアクセスしようとしたとき。管理者は、次のエラーメッセージを受信します。HTTP 403:アクセスが拒否されました。
この問題のトラブルシューティングを行うには、管理者はどの手順を組み合わせればよいですか? (3つ選択してください。)

  • A. EC2インスタンスが正しいキーペアを使用していることを確認します。
  • B. EC2インスタンスに関連付けられたIAMロールに適切な権限があることを確認します。
  • C. EC2インスタンスのセキュリティグループがS3アクセスを許可することを確認します。
  • D. インスタンスとS3バケットが同じリージョンにあることを確認します。
  • E. KMSキーポリシーで、このIAM原則のKMSキーの暗号化解除アクセスが許可されていることを確認します。
  • F. S3バケットポリシーで、オブジェクトへのアクセスを拒否するステートメントを確認します。

正解: C,E,F

 

質問 255
会社はS3でデータをホストします。現在、S3バケット内のすべてのデータを保存するには、保存時に暗号化する必要があるという義務があります。どうすればこれを達成できますか?
選んでください:

  • A. S3バケットでサーバー側の暗号化を有効にします
  • B. SSL証明書を使用してデータを暗号化します
  • C. S3バケットでMFAを有効にします
  • D. AWSアクセスキーを使用してデータを暗号化する

正解: A

解説:
説明
AWSドキュメントには次のことが記載されています
サーバー側の暗号化とは、保管時のデータ暗号化に関するものです。つまり、Amazon S3は、データセンターのディスクにデータを書き込むときにオブジェクトレベルでデータを暗号化し、アクセス時に復号化します。リクエストを認証し、アクセス許可を持っている限り、暗号化されたオブジェクトと暗号化されていないオブジェクトにアクセスする方法に違いはありません。
データを暗号化するためにアクセスキーもSSL証明書も使用できないため、オプションAとBは無効です。
M3はS3バケットの追加のセキュリティレベルとして使用されるため、オプションDは無効です。S3サーバー側の暗号化の詳細については、以下のリンクを参照してください。
https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.htmlフィードバック/クエリをエキスパートに送信

 

質問 256
セキュリティ管理者はAmazon S3バケットを構成しており、次のセキュリティ要件を満たす必要があります。
*転送中の暗号化
*保存時の暗号化
* AWS CloudTrailでのすべてのオブジェクト取得のロギング
次のうちどれがこれらのセキュリティ要件を満たしていますか? (3つ選択してください。)

  • A. ポート443を許可し、ポート80は許可しないS3バケットのセキュリティグループを有効にします。
  • B. AWSアカウントのAmazon CloudWatch Logsを有効にします。
  • C. S3バケットポリシーの条件内で "aws:SecureTransport": "true"を指定します。
  • D. S3バケットのS3オブジェクトのバージョン管理を有効にします。
  • E. すべてのS3オブジェクトのデータイベントのAPIロギングを有効にします。
  • F. S3バケットのデフォルトの暗号化を設定します。

正解: C,E,F

 

質問 257
企業は、ITインフラストラクチャのほとんどをAWSに移行する予定です。既存のオンプレミスActive DirectoryをAWSのIDプロバイダーとして活用したいと考えています。
セキュリティエンジニアは、会社のオンプレミスActive DirectoryとAWSをフェデレートするために、どの組み合わせの手順を実行する必要がありますか? (2つ選択してください。)

  • A. 各Active Directoryグループに対応するアクセス許可でIAMグループを作成します。
  • B. Active DirectoryとAWSの間に証明書利用者の信頼を追加するようにAmazon Cognitoを設定します。
  • C. SAMLプロバイダーをサポートするようにAmazon Cloud Directoryを構成します。
  • D. 各Active Directoryグループに対応するアクセス許可を持つIAMロールを作成します。
  • E. Active DirectoryとAWSの間に証明書利用者の信頼を追加するようにActive Directoryを構成します。

正解: D,E

 

質問 258
システム管理者は、IPアドレス範囲10.10.10.0/24の許可されたAWS IAMユーザーのみがS3バケットにアクセスできるように設計された次のAmazon S3バケットポリシーを作成しました。

10.10.10.40からS3バケットからオブジェクトをダウンロードしようとすると、IAMユーザーはアクセス拒否メッセージを受け取ります。
ユーザーにアクセスを許可するために、管理者は何を変更する必要がありますか?

  • A. Change the "Version" from "2012-10-17" to the last revised date of the policy
  • B. Change the "Resource" from "arn: aws:s3:::Bucket" to "arn:aws:s3:::Bucket/*".
  • C. Change the "Principal" from "*" to {AWS:"arn:aws:iam: : account-number: user/username"}
  • D. Change the "Action" from ["s3:*"] to ["s3:GetObject", "s3:ListBucket"]

正解: B

 

質問 259
会社は、デフォルトのACL設定で作成されたプライベートVPCサブネットで実行されているAmazon RDS MySQL DBインスタンスに接続する一般的なウェブアプリケーションをホストしています。 ITセキュリティ部門は、疑わしいIPからDDos攻撃が行われているのではないかと疑っています。この攻撃からサブネットをどのように保護できますか?
選んでください:

  • A. 受信NACLを変更して、疑わしいIPからのアクセスを拒否します
  • B. 送信NACLを変更して、疑わしいIPからのアクセスを拒否します
  • C. 受信セキュリティグループを変更して、疑わしいIPからのアクセスを拒否します
  • D. 送信セキュリティグループを変更して、疑わしいIPからのアクセスを拒否します

正解: A

解説:
Explanation
Option A and B are invalid because by default the Security Groups already block traffic. You can use NACL's as an additional security layer for the subnet to deny traffic.
Option D is invalid since just changing the Inbound Rules is sufficient The AWS Documentation mentions the following A network access control list (ACLJ is an optional layer of security for your VPC that acts as a firewall for controlling traffic in and out of one or more subnets. You might set up network ACLs with rules similar to your security groups in order to add an additional layer of security to your VPC.
The correct answer is: Change the Inbound NACL to deny access from the suspecting IP

 

質問 260
会社のAWSアカウントのCloudtrailログを有効にしました。さらに、ITセキュリティ部門は、ログを暗号化する必要があると述べています。どうすればこれを達成できますか?
選んでください:

  • A. CloudtrailログのSSL証明書を有効にします
  • B. 証跡のサーバー側暗号化を有効にします
  • C. 宛先S3バケットのサーバー側暗号化を有効にします
  • D. ログはすでに暗号化されているため、何もする必要はありません

正解: D

解説:
The AWS Documentation mentions the following.
By default CloudTrail event log files are encrypted using Amazon S3 server-side encryption (SSE). You can also choose to encryption your log files with an AWS Key Management Service (AWS KMS) key. You can store your log files in your bucket for as long as you want. You can also define Amazon S3 lifecycle rules to archive or delete log files automatically. If you want notifications about lo file delivery and validation, you can set up Amazon SNS notifications.
Option A.C and D are not valid since logs will already be encrypted
For more information on how Cloudtrail works, please visit the following URL:
https://docs.aws.amazon.com/awscloudtrail/latest/usereuide/how-cloudtrail-works.htmll The correct answer is: There is no need to do anything since the logs will already be encrypted Submit your Feedback/Queries to our Experts

 

質問 261
顧客の責任は次のうちどれですか?以下のオプションから2つの回答を選択してください。
選んでください:

  • A. 古いストレージデバイスの廃止
  • B. エッジの場所の管理
  • C. 保存データの暗号化
  • D. 転送中のデータの保護

正解: C,D

解説:
Explanation
Below is the snapshot of the Shared Responsibility Model

For more information on AWS Security best practises, please refer to below URL awsstatic corn/whitepapers/Security/AWS Practices.
The correct answers are: Encryption of data at rest Protection of data in transit Submit your Feedback/Queries to our Experts

 

質問 262
会社は重要なデータをS3バケットに保存します。 S3バケットに追加のセキュリティレベルを確実に追加するための要件が​​あります。さらに、プライマリリージョンがダウンした場合に、セカンダリリージョンでオブジェクトが使用可能であることを確認する必要があります。これらの要件を満たすのに役立つのは次のうちどれですか?以下のオプションから2つの回答を選択してください。

  • A. バケットACLを有効にし、{"Null":{"aws:MultiFactorAuthAge":true}}の条件を追加します
  • B. バケットポリシーの場合、{"Null":{"aws:MultiFactorAuthAge":true}} iの条件を追加します
  • C. バケットのバージョン管理を有効にし、マスター支払いを有効にします
  • D. バケットのバージョン管理を有効にし、CRRも有効にします

正解: B,D

解説:
Explanation
The AWS Documentation mentions the following
Adding a Bucket Policy to Require MFA
Amazon S3 supports MFA-protected API access, a feature that can enforce multi-factor authentication (MFA) for access to your Amazon S3 resources. Multi-factor authentication provides an extra level of security you can apply to your AWS environment. It is a security feature that requires users to prove physical possession of an MFA device by providing a valid MFA code. For more information, go to AWS Multi-Factor Authentication. You can require MFA authentication for any requests to access your Amazoi. S3 resources.
You can enforce the MFA authentication requirement using the aws:MultiFactorAuthAge key in a bucket policy. IAM users car access Amazon S3 resources by using temporary credentials issued by the AWS Security Token Service (STS). You provide the MFA code at the time of the STS request.
When Amazon S3 receives a request with MFA authentication, the aws:MultiFactorAuthAge key provides a numeric value indicating how long ago (in seconds) the temporary credential was created. If the temporary credential provided in the request was not created using an MFA device, this key value is null (absent). In a bucket policy, you can add a condition to check this value, as shown in the following example bucket policy.
The policy denies any Amazon S3 operation on the /taxdocuments folder in the examplebucket bucket if the request is not MFA authenticated. To learn more about MFA authentication, see Using Multi-Factor Authentication (MFA) in AWS in the IAM User Guide.

Option B is invalid because just enabling bucket versioning will not guarantee replication of objects Option D is invalid because the condition for the bucket policy needs to be set accordingly For more information on example bucket policies, please visit the following URL: *
https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html Also versioning and Cross Region replication can ensure that objects will be available in the destination region in case the primary region fails.
For more information on CRR, please visit the following URL:
https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html
The correct answers are: Enable bucket versioning and also enable CRR, For the Bucket policy add a condition for {"Null": { "aws:MultiFactorAuthAge": true}} Submit your Feedback/Queries to our Experts

 

質問 263
従業員は、本番環境でEC2インスタンスを終了し続けます。これが発生しないようにするための最善の方法は、インスタンスの終了に対する防御の層を追加することです。従業員が本番インスタンスを終了しないようにするための最良の方法は何ですか?以下のオプションから2つの正解を選択してください。以下を選択してください。

  • A. EC2インスタンスを削除する前にMFAを要求するようにユーザーのIAMポリシーを変更します。タグを使用すると、目的、所有者、環境など、さまざまな方法でAWSリソースを分類できます。これは、同じタイプのリソースが多数ある場合に役立ちます。割り当てたタグに基づいて、特定のリソースをすばやく識別できます。各タグはキーとオプションの値で構成されていますが、どちらもオプションC&Dを定義すると、従業員がインスタンスを終了できないことが保証されないため、正しくありません。
  • B. インスタンスに本番識別タグをタグ付けし、本番タグを使用したインスタンスへの終了API呼び出しを明示的に拒否して、従業員ユーザーにリソースレベルの権限を追加します。 <
  • C. EC2インスタンスを削除する前にMFAを要求し、従業員へのMFAアクセスを無効にするように、ユーザーのIAMポリシーを変更します
  • D. インスタンスに本番識別タグをタグ付けし、employeesグループを変更して、開始停止のみを許可し、終了インスタンス呼び出しではなくAPI呼び出しを再起動します。

正解: B,D

解説:
For more information on tagging answer resources please refer to the below URL:
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Usins_Tags.htmll
The correct answers are: Tag the instance with a production-identifying tag and add resource-level permissions to the employe user with an explicit deny on the terminate API call to instances with the production tag.. Tag the instance with a production-identifying tag and modify the employees group to allow only start stop, and reboot API calls and not the terminate instance Submit your Feedback/Queries to our Experts

 

質問 264
......

SCS-C01日本語試験問題集、SCS-C01日本語練習テスト問題:https://www.goshiken.com/Amazon/AWS-Security-Specialty-JPN-mondaishu.html

関するブログ

もっと
AWS-Security-Specialty-JPN無料問題集