• ホーム
  • ブログ
  • Amazon SCS-C01日本語認定ガイドPDFは100%カバー率でリアル試験問題 [Q97-Q121]

Amazon SCS-C01日本語認定ガイドPDFは100%カバー率でリアル試験問題 [Q97-Q121]

Share

Amazon SCS-C01日本語認定ガイドPDFは100%カバー率でリアル試験問題

合格させるSCS-C01日本語試験にはリアル問題解答

質問 # 97
会社には、DynamoDBテーブルを使用する必要があります。すべてのデータは保管時に暗号化する必要があるというセキュリティ上の義務があります。 DynamoDBでこれを達成する最も簡単な方法は何ですか。
選んでください:

  • A. S3バケットを使用してデータを暗号化してから、DynamoDBに送信します
  • B. 作成後にAWS KMSを使用してテーブルを暗号化する
  • C. 作成中にKMSを使用してDynamoDBテーブルを暗号化します
  • D. AWS SDKを使用して、データをDynamoDBテーブルに送信する前に暗号化します

正解:C

解説:
説明
最も簡単なオプションは、DynamoDBテーブルの作成時に暗号化を有効にすることです。
AWSドキュメントには次のことが記載されています
Amazon DynamoDBは、完全に管理された保管時の暗号化を提供します。保管中のDynamoDB暗号化は、DynamoDBのAWS Key Management Service(AWS KMS)管理暗号化キーを使用して保管中のデータを暗号化することにより、セキュリティを強化します。この機能により、機密データの保護に伴う運用上の負担と複雑さが解消されます。
オプションAは部分的に正しいため、AWS SDKを使用してデータを暗号化できますが、より簡単なオプションは事前にテーブルを暗号化することです。
S3バケットの暗号化はS3のオブジェクトのみであるため、オプションCは無効です。テーブルは作成後にテーブルを暗号化できません。
DynamoDBの保存データの保護の詳細については、以下のURLを参照してください。
https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/EncryptionAtRest.htmll正しい答えは次のとおりです。作成中にKMSを使用してDynamoDBテーブルを暗号化するエキスパートにフィードバック/クエリを送信する


質問 # 98
最近のセキュリティ監査では、企業のアプリケーション チームがデータベース認証情報を IAM Fargate タスクの環境変数に挿入していることが判明しました。同社のセキュリティ ポリシーでは、すべての機密データを保管中および転送中に暗号化することが義務付けられています。
アプリケーションをセキュリティ ポリシーに準拠させるために、セキュリティ チームはどのようなアクションを組み合わせる必要がありますか? (3つ選択)

  • A. 実行ロール ポリシーに次のステートメントを追加します。
  • B. アプリケーションを変更して、環境変数の代わりに IAM Secrets Manager シークレットから認証情報を取得します。
  • C. IAM Fargate インスタンスにログインし、スクリプトを作成して IAM Secret Manager からシークレット値を読み取り、環境変数を挿入します。アプリケーション チームにアプリケーションの再デプロイを依頼してください。
  • D. アプリケーション チームの IAM ロールへのアクセスが制限された Amazon S3 バケット内のファイルに認証情報を安全に保存します。代わりに、S3 オブジェクトから認証情報を読み取るようにアプリケーション チームに依頼します。
  • E. 次のステートメントをコンテナー インスタンスの IAM ロール ポリシーに追加します。
  • F. IAM Secrets Manager シークレットを作成し、このシークレットに保存するキーと値のペアを指定します

正解:A、C、F


質問 # 99
ある会社は、アプリケーションのデータベースエンジンとしてAmazon RDS forMySQLを使用しています。最近のセキュリティ監査により、保存データの暗号化に関する会社のポリシーに準拠していないRDSインスタンスが明らかになりました。同社のセキュリティエンジニアは、既存のすべてのRDSデータベースがサーバー側の暗号化を使用して暗号化されていること、およびポリシーからの将来の逸脱が検出されていることを確認する必要があります。
これを達成するために、セキュリティエンジニアはどの手順の組み合わせを実行する必要がありますか? (2つ選択してください。)

  • A. 既存のデータベースの設定を変更して、識別された暗号化されていないRDSインスタンスの暗号化を有効にします
  • B. 既存の暗号化されていないRDSデータベースの読み取りレプリカを作成し、プロセスでレプリカ暗号化を有効にします。レプリカがアクティブになったら、それをスタンドアロンデータベースインスタンスにプロモートし、暗号化されていないデータベースインスタンスを終了します。
  • C. 暗号化されていないRDSデータベースの作成を検出するAWSConfigルールを作成します。 Amazon EventBridge(Amazon CloudWatch Events)ルールを作成してAWS Configルールのコンプライアンス状態の変更をトリガーし、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティオペレーションチームに通知します。
  • D. AWS System Manager State Managerを使用して、RDSデータベース暗号化設定のドリフトを検出します。 Amazon EventBridge(Amazon CloudWatch Events)ルールを作成して状態の変化を追跡し、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティオペレーションチームに通知します。
  • E. 暗号化されていないRDSデータベースのスナップショットを作成します。スナップショットをコピーし、プロセスでスナップショット暗号化を有効にします。新しく作成された暗号化されたスナップショットからデータベースインスタンスを復元します。暗号化されていないデータベースインスタンスを終了します。

正解:C、E


質問 # 100
開発者が、複数のアカウントを含むAWS Organizations組織単位(OU)内の新しいアカウントにサインインしました。 Amazon S3サービスへのアクセスは、次のSCPで制限されています。

セキュリティエンジニアは、他のアカウントに影響を与えることなく、Amazon S3アクセスを開発者にどのように提供できますか?

  • A. S3アクセスを制限するSCPを適用せずに新しいOUを作成します。開発者アカウントをこの新しいOUに移動します。
  • B. S3アクセスを許可する開発者用のIAMポリシーを追加します。
  • C. SCPを組織のルートOUに移動して、Amazon S3へのアクセス制限を解除します。
  • D. S3サービスの開発者アカウントの許可リストを追加します。

正解:A


質問 # 101
AWS Cloudfrontの背後にあるWebサイトがあります。 SQLインジェクションやクロスサイトスクリプティング攻撃などの脅威からWebサイトを保護する必要があります。このようなシナリオで役立つ次のサービスを選択してください。

  • A. AWS Trusted Advisor
  • B. AWS WAF
  • C. AWS Config
  • D. AWS Inspector

正解:B

解説:
The AWS Documentation mentions the following
AWS WAF is a web application firewall that helps detect and block malicious web requests targeted at your web applications. AWS WAF allows you to create rules that can help protect against common web exploits like SQL injection and cross-site scripting. With AWS WAF you first identify the resource (either an Amazon CloudFront distribution or an Application Load Balancer) that you need to protect.
Option A is invalid because this will only give advise on how you can better the security in your AWS account but not protect against threats mentioned in the question.
Option C is invalid because this can be used to scan EC2 Instances for vulnerabilities but not protect against threats mentioned in the question.
Option D is invalid because this can be used to check config changes but not protect against threats mentioned in the quest
For more information on AWS WAF, please visit the following URL:
https://aws.amazon.com/waf/details;
The correct answer is: AWS WAF
Submit your Feedback/Queries to our Experts


質問 # 102
あなたの会社は、AWSでのアプリケーションの開発を計画しています。これはWebベースのアプリケーションです。アプリケーションユーザーは、認証にFacebookまたはGoogleのIDを使用します。これを管理するために追加のコーディングを追加することなく、ユーザープロファイルを管理する機能が必要です。以下のどれがこれに役立ちますか。
選んでください:

  • A. AWS Cognitoを使用してユーザープロファイルを管理する
  • B. 1AMユーザーを使用してユーザープロファイルを管理します
  • C. AWSでOlDC IDプロバイダーを作成する
  • D. AWSでSAMLプロバイダーを作成する

正解:A

解説:
Explanation
The AWS Documentation mentions the following
A user pool is a user directory in Amazon Cognito. With a user pool, your users can sign in to your web or mobile app through Amazon Cognito. Your users can also sign in through social identity providers like Facebook or Amazon, and through SAML identity providers. Whether your users sign in directly or through a third party, all members of the user pool have a directory profile that you can access through an SDK.
User pools provide:
Sign-up and sign-in services.
A built-in, customizable web Ul to sign in users.
Social sign-in with Facebook, Google, and Login with Amazon, as well as sign-in with SAML identity providers from your user pool.
User directory management and user profiles.
Security features such as multi-factor authentication (MFA), checks for compromised credentials, account takeover protection, and phone and email verification.
Customized workflows and user migration through AWS Lambda triggers.
Options A and B are invalid because these are not used to manage users
Option D is invalid because this would be a maintenance overhead
For more information on Cognito User Identity pools, please refer to the below Link:
https://docs.aws.amazon.com/coenito/latest/developerguide/cognito-user-identity-pools.html The correct answer is: Use AWS Cognito to manage the user profiles Submit your Feedback/Queries to our Experts


質問 # 103
現在、AWS US-Eastリージョンでウェブアプリケーションを運用しています。アプリケーションは、EC2インスタンスの自動スケーリングされたレイヤーとRDSマルチAZデータベースで実行されます。 ITセキュリティコンプライアンス担当者から、EC2.IAMおよびRDSリソースに加えられた変更を追跡するための信頼性が高く耐久性のあるロギングソリューションを開発するように依頼されました。ソリューションでは、ログデータの整合性と機密性を確保する必要があります。これらの解決策のうちどれを勧めますか?
選んでください:

  • A. ログを保存する1つの新しいS3バケットで新しいCloudTrailを作成します。ログファイルの配信通知を管理システムに送信するようにSNSを構成します。ログを保存するS3バケットでIAMロールとS3バケットポリシーを使用します。
  • B. ログを保存する1つの新しいS3バケットとグローバルサービスオプションを選択して、新しいCloudTrail証跡を作成します。ログを保存するS3バケットで、IAMロールのS3バケットポリシーとMufti Factor Authentication(MFA)削除を使用します。
  • C. ログを保存する既存のS3バケットを使用し、グローバルサービスオプションを選択して、新しいCloudTrail証跡を作成します。ログを保存するS3バケットでS3 ACLと多要素認証(MFA)削除を使用します。
  • D. 3つの新しいS3バケットを使用して3つの新しいCloudTrailトレイルを作成し、AWS管理コンソール用、AWS SDK用、コマンドラインツール用のログを保存します。ログを保存するS3バケットでIAMロールとS3バケットポリシーを使用します。

正解:B

解説:
AWS Identity and Access Management (IAM) is integrated with AWS CloudTrail, a service that logs AWS events made by or on behalf of your AWS account. CloudTrail logs authenticated AWS API calls and also AWS sign-in events, and collects this event information in files that are delivered to Amazon S3 buckets. You need to ensure that all services are included. Hence option B is partially correct.
Option B is invalid because you need to ensure that global services is select Option C is invalid because you should use bucket policies Option D is invalid because you should ideally just create one S3 bucket For more information on Cloudtrail, please visit the below URL:
http://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-inteeration.html The correct answer is: Create a new CloudTrail trail with one new S3 bucket to store the logs and with the global services o selected. Use IAM roles S3 bucket policies and Mulrj Factor Authentication (MFA) Delete on the S3 bucket that stores your l( Submit your Feedback/Queries to our Experts


質問 # 104
会社のセキュリティポリシーでは、すべてのVPCでVPCフローログが有効になっている必要があります。セキュリティエンジニアは、VPCリソースのコンプライアンスの監査プロセスを自動化しようとしています。
エンジニアはどのようなアクションの組み合わせを実行する必要がありますか? (2つ選択してください。)

  • A. 特定のVPCでフローログが有効かどうかを決定するAWS Lambda関数を作成します。
  • B. AWS Configカスタムルールを作成し、評価ロジックを含むAWS Lambda関数に関連付けます。
  • C. AWS Configによって発行されたイベントでトリガーするAmazon CloudWatchイベントルールを作成します。
  • D. 会社のAWSアカウントの各VPCにAWS Config構成アイテムを作成します。
  • E. AWS :: Lambda :: FunctionのリソースタイプでAWS Config管理ルールを作成します。

正解:A、B

解説:
Explanation
https://medium.com/mudita-misra/how-to-audit-your-aws-resources-for-security-compliance-by-using-custom-a


質問 # 105
会社は S3 でデータをホストしています。S3 バケットへのアクセスを制御する必要があります。これを達成できる2つの方法はどれですか?
選んでください:

  • A. IAM アクセス キーを使用する
  • B. バケット ポリシーを使用する
  • C. IAM ユーザー ポリシーを使用する
  • D. Secure Token サービスを使用する

正解:B、C

解説:
Explanation
The IAM Documentation mentions the following
Amazon S3 offers access policy options broadly categorized as resource-based policies and user policies.
Access policies you attach to your resources (buckets and objects) are referred to as resource-based policies.
For example, bucket policies and access control lists (ACLs) are resource-based policies. You can also attach access policies to users in your account. These are called user policies. You may choose to use resource-based policies, user policies, or some combination of these to manage permissions to your Amazon S3 resources.
Option B and D are invalid because these cannot be used to control access to S3 buckets For more information on S3 access control, please refer to the below Link:
https://docs.IAM.amazon.com/AmazonS3/latest/dev/s3-access-control.htmll The correct answers are: Use Bucket policies. Use IAM user policies Submit your Feedback/Queries to our Experts


質問 # 106
製薬会社は、敷地内に保存された歴史的処方のデジタル化バージョンを持っています。会社はこれらの処方箋をAWSに移動し、それらの処方箋のデータを分析したいと考えています。このデータを使用する操作では、転送中および保存中にデータを暗号化する必要があります。
どのアプリケーションフローがAWSのデータ保護要件を満たしますか?

  • A. デジタル化されたファイル-> Amazon Kinesis Data Firehose-> Amazon S3-> Amazon Athena
  • B. デジタル化されたファイル-> Amazon Kinesis Data Analytics
  • C. デジタル化されたファイル-> Amazon Kinesis Data Streams-> Kinesis Client Libraryコンシューマー-> Amazon S3-> Athena
  • D. デジタル化されたファイル-> Amazon Kinesis Data Firehose-> Amazon Elasticsearch

正解:A


質問 # 107
複数のアカウントを含む IAM 組織の組織単位 (OU) 内の新しいアカウントにサインインした開発者。Amazon $3 サービスへのアクセスは、次の SCP で制限されます。

セキュリティエンジニアは、他のアカウントに影響を与えずに、開発者に Amazon $3 アクセスを提供するにはどうすればよいですか?

  • A. $3 アクセスを制限する SCP を適用せずに、新しい OU を作成します。開発者アカウントをこの新しい OU に移動します。
  • B. SCP を組織のルート OU に移動して、Amazon $3 へのアクセス制限を解除します。
  • C. $3 のアクセスを許可する開発者用の IAM ポリシーを追加します。
  • D. $3 サービスの開発者アカウントの許可リストを追加します。

正解:A


質問 # 108
AWSアカウントには、bucket1とbucket2の2つのS3バケットが含まれます。 bucket2にはポリシーが定義されていませんが、bucket1には次のバケットポリシーがあります。

さらに、同じアカウントには「alice」という名前のIAMユーザーがあり、次のIAMポリシーがあります。

どのバケットが「alice」アクセスできますか?

  • A. Bucket2のみ
  • B. Bucket1のみ
  • C. bucket1とbucket2の両方
  • D. バケット1もバケット2もありません

正解:C

解説:
Explanation
Both S3 policies and IAM policies can be used to grant access to buckets. IAM policies specify what actions are allowed or denied on what AWS resources (e.g. allow ec2:TerminateInstance on the EC2 instance with instance_id=i-8b3620ec). You attach IAM policies to IAM users, groups, or roles, which are then subject to the permissions you've defined. In other words, IAM policies define what a principal can do in your AWS environment. S3 bucket policies, on the other hand, are attached only to S3 buckets. S3 bucket policies specify what actions are allowed or denied for which principals on the bucket that the bucket policy is attached to (e.g.
allow user Alice to PUT but not DELETE objects in the bucket).
https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s


質問 # 109
会社は重要なデータを S3 バケットに保存します。S3 バケットに追加レベルのセキュリティを確実に追加する必要があります。さらに、プライマリ リージョンがダウンした場合にセカンダリ リージョンでオブジェクトを使用できるようにする必要があります。これらの要件を満たすのに役立つのは、次のうちどれですか? 以下の選択肢から 2 つ選んでください 選択してください:

  • A. バケット ACL を有効にし、{"Null": {"IAM:MultiFactorAuthAge": true}} の条件を追加します。
  • B. バケットのバージョニングを有効にし、Master Pays を有効にします
  • C. バケット ポリシーの場合、{"Null": {"IAM:MultiFactorAuthAge": true}} の条件を追加します。
  • D. バケットのバージョニングを有効にし、CRR も有​​効にします

正解:C、D

解説:
Explanation
The IAM Documentation mentions the following
Adding a Bucket Policy to Require MFA
Amazon S3 supports MFA-protected API access, a feature that can enforce multi-factor authentication (MFA) for access to your Amazon S3 resources. Multi-factor authentication provides an extra level of security you can apply to your IAM environment. It is a security feature that requires users to prove physical possession of an MFA device by providing a valid MFA code. For more information, go to IAM Multi-Factor Authentication. You can require MFA authentication for any requests to access your Amazoi. S3 resources.
You can enforce the MFA authentication requirement using the IAM:MultiFactorAuthAge key in a bucket policy. IAM users car access Amazon S3 resources by using temporary credentials issued by the IAM Security Token Service (STS). You provide the MFA code at the time of the STS request.
When Amazon S3 receives a request with MFA authentication, the IAM:MultiFactorAuthAge key provides a numeric value indicating how long ago (in seconds) the temporary credential was created. If the temporary credential provided in the request was not created using an MFA device, this key value is null (absent). In a bucket policy, you can add a condition to check this value, as shown in the following example bucket policy.
The policy denies any Amazon S3 operation on the /taxdocuments folder in the examplebucket bucket if the request is not MFA authenticated. To learn more about MFA authentication, see Using Multi-Factor Authentication (MFA) in IAM in the IAM User Guide.

Option B is invalid because just enabling bucket versioning will not guarantee replication of objects Option D is invalid because the condition for the bucket policy needs to be set accordingly For more information on example bucket policies, please visit the following URL: *
https://docs.IAM.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html Also versioning and Cross Region replication can ensure that objects will be available in the destination region in case the primary region fails.
For more information on CRR, please visit the following URL:
https://docs.IAM.amazon.com/AmazonS3/latest/dev/crr.html
The correct answers are: Enable bucket versioning and also enable CRR, For the Bucket policy add a condition for {"Null": { "IAM:MultiFactorAuthAge": true}} Submit your Feedback/Queries to our Experts


質問 # 110
AWSリソースを利用する会社で働いています。重要なセキュリティポリシーの1つは、すべてのデータが保存中と送信中の両方で暗号化されるようにすることです。これを実装する正しい方法の1つは次のうちどれですか。
選んでください:

  • A. S3 SSEを使用し、転送中のデータにSSLを使用します
  • B. ELBでのSSL終了
  • C. プロキシプロトコルの有効化
  • D. ロードバランサーでスティッキーセッションを有効にする

正解:A

解説:
By disabling SSL termination, you are leaving an unsecure connection from the ELB to the back end instances. Hence this means that part of the data transit is not being encrypted.
Option B is incorrect because this would not guarantee complete encryption of data in transit
Option C and D are incorrect because these would not guarantee encryption
For more information on SSL Listeners for your load balancer, please visit the below URL:
http://docs.aws.amazon.com/elasticloadbalancine/latest/classic/elb-https-load-balancers.htmll
The correct answer is: Use S3 SSE and use SSL for data in transit
Submit your Feedback/Queries to our Experts


質問 # 111
組織には、IAM で実行されている 3 つのアプリケーションがあり、それぞれが Amazon S3 の同じデータにアクセスしています。Amazon S3 のデータは、IAM KMS カスタマー マスター キー (CMK) を使用してサーバー側で暗号化されます。
各アプリケーションが KMS CMK で独自のプログラムによるアクセス制御権限を持つようにするための推奨される方法は何ですか?

  • A. 各アプリケーションがユーザー コンテキストで IAM ポリシーを使用して、KMS CMK に特定のアクセス許可を付与します。
  • B. アプリケーションが Amazon S3 のデータにアクセスする必要がある場合は、アプリケーションごとに KMS CMK に関連付けられているキー ポリシーのアクセス許可を変更します。
  • C. 各アプリケーションに、IAM Certificate Manager CMK を使用するアクセス許可を提供する IAM ロールを引き受けさせます。
  • D. 各アプリケーションで KMS CMK に対する許可を使用して、KMS CMK に対する特定のアクセス制御を追加または削除します。

正解:D


質問 # 112
会社にはハイブリッド環境があり、オンプレミスサーバーとAWSクラウドでホストされているサーバーがあります。彼らは、サーバーにパッチを適用するためにSystems Managerを使用することを計画しています。これが機能するための前提条件は次のうちどれですか。選んでください:

  • A. オンプレミスサーバー用にIAMグループが作成されていることを確認します
  • B. IAMサービスロールが作成されていることを確認します
  • C. オンプレミスサーバーがHyper-Vで実行されていることを確認します。
  • D. IAMユーザーが作成されていることを確認します

正解:B

解説:
Explanation
You need to ensure that an IAM service role is created for allowing the on-premise servers to communicate with the AWS Systems Manager.
Option A is incorrect since it is not necessary that servers should only be running Hyper-V Options C and D are incorrect since it is not necessary that IAM users and groups are created For more information on the Systems Manager role please refer to the below URL:
com/systems-rnanaeer/latest/usereuide/sysman-!
The correct answer is: Ensure that an IAM service role is created
Submit your Feedback/Queries to our Experts


質問 # 113
セキュリティ エンジニアは、本番環境と開発環境に分割された数千の Amazon EC2 インスタンスを持っています。各インスタンスは、その環境でタグ付けされます。エンジニアは、すべての開発 EC2 インスタンスを分析してパッチを適用し、現在、一般的な脆弱性またはエクスポージャ (CVE) にさらされていないことを確認する必要があります。エンジニアがこれらの要件を満たすための最も効率的な方法は、どのステップの組み合わせですか? (2 つ選択してください。)

  • A. すべての開発インスタンスに Amazon Inspector エージェントをインストールする カスタム ルール パッケージを構築し、開発環境にあるとタグ付けされたすべてのインスタンスでこのカスタム ルールを使用してスキャンを実行するように Inspector を設定します。
  • B. IAM Trusted Advisor を使用して、すべての EC2 インスタンスに最新バージョンのオペレーティング システムとインストール済みソフトウェアのパッチが適用されていることを確認します。
  • C. すべての開発インスタンスに Amazon EC2 System Manager エージェントをインストールします EC2 System Manager に実行コマンドを発行して、すべてのインスタンスを更新します
  • D. すべての開発インスタンスに Amazon Inspector エージェントをインストールする 開発環境にあるとタグ付けされたすべてのインスタンスで CVE ルール パッケージを使用してスキャンを実行するように Inspector を構成します。
  • E. 各 EC2 インスタンスにログオンし、インストールされているさまざまなソフトウェア バージョンを確認してエクスポートし、現在の CVE のリストと照合して確認します。

正解:C、D


質問 # 114
会社は、従業員が会社のディレクトリIDを使用して管理コンソールにログインできるように、シングルサインオン(SSO)を有効にしたいと考えています。プロセスの一部として以下のどのステップが必要ですか?以下のオプションから2つの回答を選択します。
選んでください:

  • A. 社内ディレクトリのグループメンバーシップにマップできる1AMポリシーを作成します。
  • B. Lambda関数を作成して、ユーザーに提供される一時的なセキュリティトークンに1AMロールを割り当てます。
  • C. オンプレミスネットワークとAWSの間にダイレクトコネクト接続を作成します。 ADコネクタを使用して、AWSをオンプレミスのアクティブディレクトリに接続します。
  • D. 従業員の企業IDにマッピングできる1AMユーザーを作成します
  • E. 1AMと企業ディレクトリIDプロバイダー(IdP)の間に信頼関係を確立する1AMロールを作成します

正解:C、E

解説:
説明
1AMポリシーは企業ディレクトリ内のグループメンバーシップに直接マッピングされないため、企業ユーザーがAWSアカウントにアクセスできるようにDirect Connect接続を作成しますオプションBは正しくありません。マッピングされるのは午前1時の役割です。
Lambda関数はロールを割り当てるには不適切なオプションであるため、オプションCは正しくありません。
1AMユーザーは従業員の企業IDに直接マップされないため、オプションDは正しくありません。
Direct Connectの詳細については、以下のURLを参照してください。
'https://aws.amazon.com/directconnect/
フェデレーションアクセスのためのAWSドキュメントから、適切なポリシーアクセス許可が設定されていることも確認する必要がありますフェデレーションユーザーのAWSでアクセス許可を構成する次のステップは、1AMと組織のIdPの間に信頼関係を確立する1AMロールを作成することですIdPをフェデレーションの目的でプリンシパル(信頼できるエンティティ)として識別します。このロールは、組織のIdPが認証されたユーザーがAWSで実行できることも定義します。 1AMコンソールを使用して、このロールを作成できます。誰が役割を引き受けることができるかを示す信頼ポリシーを作成する場合、1AMで以前に作成したSAMLプロバイダーと、ユーザーが役割を引き受けるために一致する必要がある1つ以上のSAML属性を指定します。たとえば、SAML eduPersonOrgDN値がExampleOrgであるユーザーのみがサインインできるように指定できます。ロールウィザードは自動的に条件を追加してsaml:aud属性をテストし、ロールがサインインのみを想定していることを確認します。 AWSマネジメントコンソール。ロールの信頼ポリシーは次のようになります。

SAMLフェデレーションの詳細については、以下のURLを参照してください。
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enabli注:
AWS SSOで使用できるディレクトリは何ですか?
オンプレミスまたはAWSクラウドで実行されているAWS SSOをMicrosoft Active Directoryに接続できます。
AWS SSOは、AWS Managed Microsoft ADとしても知られるMicrosoft Active Directory用のAWS Directory ServiceおよびAD Connectorをサポートします。 AWS SSOはSimple ADをサポートしていません。詳細については、AWS Directory Service入門を参照してください。
AD Connectorを使用してオンプレミスディレクトリに接続するには、次のものが必要です。
VPC
次を使用してVPCをセットアップします。
*少なくとも2つのサブネット。各サブネットは、異なるアベイラビリティーゾーンに存在する必要があります。
* VPCは、仮想プライベートネットワーク(VPN)接続またはAWS Direct Connectを介してオンプレミスネットワークに接続する必要があります。
* VPCにはデフォルトのハードウェアテナントが必要です。
* https://aws.amazon.com/single-sign-on/
* https://aws.amazon.com/single-sign-on/faqs/
* https://aws.amazon.com/bloj using-corporate-credentials /
* https://docs.aws.amazon.com/directoryservice/latest/admin-
正しい答えは次のとおりです。オンプレミスネットワークとAWSの間にダイレクトコネクト接続を作成します。 AWSをオンプレミスのActive Directoryに接続するADコネクターを使用します。1AMと企業ディレクトリIDプロバイダー(IdP)の間に信頼関係を確立する1AMロールを作成します。


質問 # 115
現在、AWSアカウントでホストされているS3バケットがあります。パートナーアカウントがアクセスする必要がある情報を保持します。パートナーアカウントがアカウントのS3バケットにアクセスできるようにする最も安全な方法はどれですか? 3つのオプションを選択します。
選んでください:

  • A. パートナーアカウントが引き受けることができる1AMロールが作成されていることを確認します。
  • B. アカウントのアクセスキーをパートナーアカウントに提供します
  • C. 役割のARNをパートナーアカウントに提供します
  • D. リクエストを行うときにパートナーが外部IDを使用するようにします
  • E. アカウントIDをパートナーアカウントに提供します
  • F. パートナーアカウントが想定できる1AMユーザーが作成されていることを確認します。

正解:A、C、D

解説:
説明
オプションBは、AMのユーザーではなくロールが想定されているため無効です
パートナーにアカウントIDを与えてはならないため、オプションEは無効です。パートナーにアクセスキーを与えてはならないため、オプションFは無効です。AWSドキュメントの次の図は、1AMロールと外部IDが存在するこの例を示していますus> AWSアカウントリソースにアクセスする

外部IDのロールの作成の詳細については、次のURLにアクセスしてください。
正解は次のとおりです。パートナーアカウントが引き受けることができる1AMロールが作成されていることを確認します。リクエストを行うときにパートナーが外部IDを使用していることを確認するパートナーアカウントにロールのARNを提供するフィードバック/クエリをエキスパートに送信する


質問 # 116
会社は、機密データをオンプレミスのデータセンターからAmazon S3に移行することを決定しました。
現在、ハードドライブは、データ暗号化に関するコンプライアンス要件を満たすために暗号化されています。 CISOは、単一のキーではなく異なるキーを使用して各ファイルを暗号化することにより、セキュリティを改善したいと考えています。別のキーを使用すると、単一の公開キーのセキュリティへの影響が制限されます。
このアプローチを実装する場合、次のうちどれが最も少ない構成を必要としますか?

  • A. すべてのファイルを同じS3バケットに配置します。 AWS KMS管理キー(SSE-KMS)でサーバー側の暗号化を使用してデータを暗号化する
  • B. 各ファイルを異なるS3バケットに配置します。異なるAWS KMSカスタマー管理キーを使用するように、各バケットのデフォルトの暗号化を設定します。
  • C. すべてのファイルを同じS3バケットに入れます。 S3イベントをトリガーとして使用し、AWS Lambda関数を作成して、異なるAWS KMSデータキーを使用して追加される各ファイルを暗号化します。
  • D. S3暗号化クライアントを使用して、S3が生成したデータキーを使用して各ファイルを個別に暗号化します

正解:A


質問 # 117
AWS KMSサービスを使用して作成されたカスタマーキーのセットがあります。これらのキーは約6か月間使用されています。現在、既存のキーのセットに新しいKMS機能を使用しようとしていますが、使用できません。これの理由は何でしょうか。
選んでください:

  • A. IAMポリシーを介して明示的にアクセス権を付与していません
  • B. IAMロール経由でアクセス権を付与していません
  • C. キーポリシーを介して明示的にアクセス権を付与していません
  • D. IAMユーザー経由で明示的にアクセス権を付与していません

正解:C

解説:
By default, keys created in KMS are created with the default key policy. When features are added to KMS, you need to explii update the default key policy for these keys.
Option B,C and D are invalid because the key policy is the main entity used to provide access to the keys For more information on upgrading key policies please visit the following URL:
https://docs.aws.ama20n.com/kms/latest/developerguide/key-policy-upgrading.html ( The correct answer is: You have not explicitly given access via the key policy Submit your Feedback/Queries to our Experts


質問 # 118
会社は、従業員のみがアクセスする必要があるアプリケーションをAWSで実行します。ほとんどの従業員はオフィスで働いていますが、他の従業員はリモートで働いているか出張しています。
セキュリティエンジニアがこのワークロードを保護し、従業員のみがアクセスできるようにするにはどうすればよいですか?

  • A. 各従業員の自宅のIPアドレスをアプリケーションのセキュリティグループに追加して、それらのユーザーのみがワークロードにアクセスできるようにします。
  • B. 各従業員のVPN接続用の仮想ゲートウェイを作成し、VPC内からワークロードへのアクセスを制限します。
  • C. すべてのトラフィックをAWS WAFを介してワークロードにルーティングします。各従業員の自宅のIPアドレスをAWS WAFルールに追加し、他のすべてのトラフィックをブロックします。
  • D. ユーザーがAWSマーケットプレイスからVPNアプライアンスを使用して接続し、そのアプライアンスからのトラフィックへのワークロードアクセスを制限します。

正解:D

解説:
Explanation
https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html


質問 # 119
会社には、DynamoDBテーブルを作成する必要があります。同社のソフトウェアアーキテクトは、DynamoDBテーブルに次のCLIコマンドを提供しています

上記のコマンドのセキュリティの観点から、次のうちどれが採用されていますか?
選んでください:

  • A. 上記のコマンドは、Customerテーブルの保存時のデータ暗号化を保証します
  • B. 上記のコマンドは、Customerテーブルの転送中のデータ暗号化を保証します
  • C. セキュリティの観点から適切なスループットが指定されています
  • D. IDはハッシュされるため、基になるテーブルのセキュリティが確保されます。

正解:A

解説:
Explanation
The above command with the "-sse-specification Enabled=true" parameter ensures that the data for the DynamoDB table is encrypted at rest.
Options A,C and D are all invalid because this command is specifically used to ensure data encryption at rest For more information on DynamoDB encryption, please visit the URL:
https://docs.IAM.amazon.com/amazondynamodb/latest/developerguide/encryption.tutorial.html The correct answer is: The above command ensures data encryption at rest for the Customer table


質問 # 120
EC2インスタンスで実行されているアプリケーションは、Amazon S3に保存されている機密情報を処理します。情報はインターネット経由でアクセスされます。セキュリティチームは、Amazon S3へのインターネット接続がセキュリティリスクであることを懸念しています。どのソリューションがセキュリティの問題を解決しますか?
選んでください:

  • A. Amazon S3のVPCエンドポイントを介してデータにアクセスする
  • B. VPN接続を介してデータにアクセスします。
  • C. NATゲートウェイを介してデータにアクセスします。
  • D. インターネットゲートウェイを介してデータにアクセスします。

正解:A

解説:
説明
AWSのドキュメントには、フォローが記載されています
VPCエンドポイントを使用すると、インターネットゲートウェイ、NATデバイス、VPN接続、またはAWS Direct Connect接続を必要とせずに、PrivateLinkでサポートされるAWSサービスおよびVPCエンドポイントサービスにVPCをプライベートに接続できます。 VPCのインスタンスは、サービス内のリソースと通信するためにパブリックIPアドレスを必要としません。 VPCと他のサービス間のトラフィックは、Amazonネットワークを離れません。
オプションA.BおよびCはすべて無効です。これは、インターネット経由でアクセスを提供してはならないという質問に具体的に言及しているためです。VPCエンドポイントの詳細については、以下のURLを参照してください。
正解は次のとおりです。AmazonS3のVPCエンドポイントを介してデータにアクセスするフィードバック/クエリをエキスパートに送信する


質問 # 121
......

100%無料SCS-C01日本語日常練習試験には557問があります:https://www.goshiken.com/Amazon/AWS-Security-Specialty-JPN-mondaishu.html

関するブログ

もっと
AWS-Security-Specialty-JPN無料問題集