AWS Security -02

2023年1月20日

□Question #21Topic 1

AWS Key Management Service(AWS KMS)のGenerateDataKey APIオペレーションを使用しようとしているときに、アカウント111122223333のユーザーがアクセス禁止のエラーメッセージを受け取ります。重要なポリシーステートメントは次のとおりです。

              {

                            “Effect": “Allow",

                            “Principal": {

                                          “AWS": “arn:aws:iam::111122223333:user/KMSUser"

                            },

                            “Action": [

                                          “kms:GenerateDataKey",

                                          “kms:Encrypt",

                                          “kms:Decrypt"

                            ],

                            “Resource": “*",

                            “Condition": {

                                          “StringEquals": {

                                                        “kms:EncryptionContext:AppName": “CorpApp"

                                          }

                            }

              }

111122223333はAWSOrganizationsSCPを利用しません。

KMSUserが重要なアクションを実行できることを保証するために、セキュリティエンジニアはどの手順の組み合わせを実行する必要がありますか? (2つ選択してください。)

A. キーポリシーを変更して、[リソース]フィールドにキーのキーIDを含めます。

B. KMSUserがアタッチされたIAMポリシーでGenerateDataKeyアクションを明示的に拒否していないことを確認します。

C. KMSUserが暗号化コンテキストのアタッチされたIAMポリシーでGenerateDataKeyアクションを実行できることを確認します。

D. KMSUserがGenerateDataKeyに暗号化コンテキストのキーと値のペアを含めていることを確認します。

E. KMSUserのGenerateDataKeyアクションを拒否しているキーに対するKMS付与を取り消します。

□Question #22Topic 1

Amazon Cognitoは、エンドユーザーがAmazonDynamoDBなどのAWSサービスを直接使用する場合のエンドユーザーの権利を管理するために使用されます。以下は、新機能のリクエストです。

クライアントが調査待ちの一時停止または永久に一時停止としてマークされる手段を提供します。顧客が一時停止されている場合、ログインはできるはずですが、変更はできません。

優先事項には、複雑さを軽減し、将来起こりうるセキュリティリスクを回避することが含まれます。

これらの基準と優先順位を満たすのに最も効果的な戦略はどれですか?

A. 新しいデータベースフィールドsuspended_statusを作成し、アプリケーションロジックを変更して、リクエストの処理時にそのフィールドを検証します。

B. 一時停止された顧客を2番目のCognitoユーザープールに追加し、アプリケーションのログインフローを更新して、両方のユーザープールを確認します。

C. Amazon Cognito Syncを使用して、suspension_statusパラメーターをプッシュし、IAMポリシーを通常のユーザーと一時停止されたユーザーに分割します。

D. 一時停止された顧客を2番目のCognitoグループに移動し、グループに適切なIAMアクセスポリシーを定義します。

□Question #23Topic 1

WebアクセスコントロールリストによってトリガーされるAWSWAFルールに関連する正当なイベントソースは次のうちどれですか? (2つ選択してください。)

A. AmazonS3静的ウェブホスティング

B. AmazonCloudFrontディストリビューション

C. アプリケーションロードバランサー

D. Amazon Route 53

E. VPCフローログ

□Question #24Topic 1

セキュリティエンジニアは、新しく設計された製品のロギングソリューションを開発中です。 AWS CloudTrailをサポートおよびデバッグするには、システム管理者と開発者がイベントログファイルに適切にアクセスできる必要があります。

ログファイルを改ざんや不正アクセスから保護するには、どの対策の組み合わせを採用する必要がありますか? (2つ選択してください。)

A. ログファイルの整合性検証メカニズムが有効になっていることを確認してください。

B. すべてのログファイルが同じアカウントの少なくとも2つの別々のAmazonS3バケットに書き込まれていることを確認します。

C. システム管理者と開発者がログファイルを編集できることを確認しますが、他のアクセスは禁止します。

D. システム管理者およびジョブ関連の知る必要のある要件を持つ開発者がログファイルを表示することはできるが、変更することはできないことを確認します。

E. すべてのログファイルが、社内ネットワークからのSSHアクセスのみを許可するAmazonEC2インスタンスに保存されていることを確認します。

□Question #25Topic 1

企業はAmazonRDSPostgreSQLデータベースを使用しています。同社は現在、個人の機密情報をデータベースに保存できるようにするアプリケーション機能を作成しています。

組織は、環境のセキュリティ分析中に、RDSDBインスタンスが保存されているデータを暗号化していないことを学習します。組織は、保存されている現在のすべてのデータと、個人の新しいデータ入力を暗号化するソリューションを必要としています。

これらの要件を達成するために、ビジネスで利用できるソリューションの組み合わせはどれですか。 (2つ選択してください。)

A. DBインスタンスのスナップショットを作成します。スナップショットを新しいスナップショットにコピーし、コピープロセスの暗号化を有効にします。新しいスナップショットを使用して、DBインスタンスを復元します。

B. 暗号化を有効にして、DBインスタンスの構成を変更します。 DBインスタンスのスナップショットを作成します。スナップショットを使用して、DBインスタンスを復元します。

C. AWS Key Management Service(AWS KMS)を使用して、新しいデフォルトのAWSマネージドaws / rdsキーを作成します。このキーをAmazonRDSでの操作の暗号化キーとして選択します。

D. AWS Key Management Service(AWS KMS)を使用して、新しいCMKを作成します。このキーをAmazonRDSでの操作の暗号化キーとして選択します。

E. DBインスタンスのスナップショットを作成します。スナップショットで暗号化を有効にします。スナップショットを使用して、DBインスタンスを復元します。

□Question #26Topic 1

巨大な組織には数百のAWSアカウントがあります。企業は、これらのアカウントへのアクセスを従業員に許可する必要があります。ソリューションでは、スケーラビリティと運用効率を最大化する必要があります。

これらの基準を満たすソリューションはどれですか?

A. AWSアカウントごとに、既存のIDプロバイダーのグループメンバーシップに基づいてフェデレーションを通じて従業員が引き受けることができる専用のIAMユーザーを作成します。

B. 既存のIDプロバイダーとのフェデレーションを通じて従業員が引き受けることができるIAMの役割を持つ一元化されたアカウントを使用します。 AWS SDKを使用してカスタムオーソライザーを作成し、フェデレーションユーザーがリソースアカウントでターゲットの役割を引き受けることができるようにします。

C. AWSシングルサインオンを会社の既存のIDプロバイダーと統合することにより、マルチアカウント管理用のAWS ControlTowerを実装します。 IDプロバイダーが引き受けるIAMロールを作成します。

D. 各アカウントのロール内でIAM信頼ポリシーを構成して、会社の既存のIDプロバイダーへの信頼を設定します。ユーザーがSAMLトークンに基づいて役割を引き受けることを許可します。

□Question #27Topic 1 最近、企業がDDoS攻撃を受け、Webサーバーが情報を提供できなくなりました。 Webサイトは静的であり、

ユーザーがダウンロードできるHTML、CSS、およびPDFファイルのみが含まれています。

画像に示されているアーキテクチャに基づいて、既存の運用オーバーヘッドを削減しながら、将来の攻撃からサイトを保護するための最良のアプローチは何ですか?

A. すべてのファイルをAmazonS3バケットに移動します。 WebサーバーにS3バケットからのファイルを提供させます。

B. 新しいサブネットで2番目のAmazonEC2インスタンスを起動します。両方のインスタンスの前でアプリケーションロードバランサーを起動します。

C. EC2インスタンスの前でアプリケーションロードバランサーを起動します。アプリケーションロードバランサーの前にAmazonCloudFrontディストリビューションを作成します。

D. すべてのファイルをS3バケットに移動します。バケットの前にCloudFrontディストリビューションを作成し、ウェブサーバーを終了します。

□Question #28Topic 1

セキュリティエンジニアは、すべてのユーザーがアクセスできないようにするAmazonS3バケットのポリシーを実装します。数日後、セキュリティエンジニアはバケットポリシーを修正して、1人の追加の従業員の読み取り専用アクセスを有効にします。ポリシーが更新されても、従業員は引き続きアクセス拒否の通知を受け取ります。

このアクセス拒否の最も可能性の高い理由は次のうちどれですか?

A. バケット内のACLを更新する必要があります

B. IAMポリシーでは、ユーザーがバケットにアクセスすることは許可されていません

C. バケットポリシーが有効になるまでに数分かかります

D. 許可許可は拒否によって上書きされています

□Question #29Topic 1

Amazon EC2インスタンスで、ユーザーはサードパーティのWebアプリケーションをデプロイしています。すべてのクライアントインタラクションはHTTPSを使用して暗号化する必要があり、すべてのトラフィックはインスタンスに到達する前に終了する必要があります。インスタンスにはポート80を介してアクセスする必要があります。会社のポリシーに従って、ワークロードはプライベートサブネットで分離する必要があります。

このアクセス拒否の最も可能性の高い理由は次のうちどれですか?

A. バケット内のACLを更新する必要があります

B. IAMポリシーでは、ユーザーがバケットにアクセスすることは許可されていません

C. バケットポリシーが有効になるまでに数分かかります

D. 許可許可は拒否によって上書きされています

[029]Question #29

Amazon EC2インスタンスで、ユーザーはサードパーティのWebアプリケーションをデプロイしています。すべてのクライアントインタラクションはHTTPSを使用して暗号化する必要があり、すべてのトラフィックはインスタンスに到達する前に終了する必要があります。インスタンスにはポート80を介してアクセスする必要があります。会社のポリシーに従って、ワークロードはプライベートサブネットで分離する必要があります。

これらの基準を満たすソリューションはどれですか?

A. アプリケーションロードバランサーを作成します。ポート80のHTTPリスナーを追加して、トラフィックをポート443のHTTPSにリダイレクトします。終了用のAWS Certificate Manager(ACM)証明書と、ポート80を介してターゲットインスタンスに転送するルールを備えた別のリスナーを追加します。

B. SSLターミネーションがアクティブになっているElasticIPアドレスを割り当てます。 ElasticIPアドレスをポート80のインスタンスに関連付けます。

C. ゲートウェイロードバランサーを作成します。ポート80のHTTPリスナーを追加して、トラフィックをポート443のHTTPSにリダイレクトします。終了用のAWS Certificate Manager(ACM)証明書と、ポート80を介してターゲットインスタンスに転送するルールを備えた別のリスナーを追加します。

D. ネットワークロードバランサーを実装します。ポート80のHTTPリスナーを追加して、トラフィックをポート443のHTTPSにリダイレクトします。終了用のAWS Certificate Manager(ACM)証明書と、ポート80を介してターゲットインスタンスに転送するルールを備えた別のリスナーを追加します。

□Question #30Topic 1

以前は、組織のAmazonS3バケットに未承認の変更が加えられていました。セキュリティエンジニアはAWSConfigを使用して、会社のS3バケット設定への変更をログに記録しました。エンジニアは、S3設定の変更が実行されている間、AmazonSNSメッセージが配信されていないことに気付きました。

エンジニアは、SNSトピックの設定が正しいことを以前に確認しました。

問題を解決するために、セキュリティエンジニアはどの手順を組み合わせて実行する必要がありますか? (2つ選択してください。)

A. AWSConfigがバケットへの変更を記録できるようにS3バケットACLを設定します。

B. AWS Configがバケットへの変更を記録できるように、S3バケットにアタッチされたポリシーを設定します。

C. AmazonS3ReadOnlyAccessマネージドポリシーをIAMユーザーにアタッチします。

D. セキュリティエンジニアのIAMユーザーに、すべてのAWSConfigアクションを許可するポリシーが添付されていることを確認します。

E.AWSConfigRoleマネージドポリシーをAWSConfigロールに割り当てます。

□Question #31Topic 1 ビジネスでは、機密情報を含むユーザーデータスクリプトを使用してAmazonEC2インスタンスをブートストラップ

します。セキュリティエンジニアは、この機密データを閲覧する権限のない人がこの機密データを読み取ることができることを知ります。

インスタンスの起動に必要な機密データを保護するための最も安全な方法は何ですか?

A. スクリプトをAMIに保存し、AWS KMSを使用して機密データを暗号化します。インスタンスロールプロファイルを使用して、データの復号化に必要なKMSキーへのアクセスを制御します。

B. 暗号化された文字列パラメーターを使用してAWSSystems Managerパラメーターストアに機密データを保存し、EC2インスタンスロールにGetParameters権限を割り当てます。

C. Amazon S3でブートストラップスクリプトを外部化し、AWSKMSを使用して暗号化します。インスタンスからスクリプトを削除し、インスタンスの構成後にログをクリアします。

D. IAMポリシーを使用して、EC2インスタンスのメタデータサービスへのユーザーアクセスをブロックします。すべてのスクリプトを削除し、実行後にログをクリアします。

□Question #32Topic 1

Amazon CloudWatch Logsエージェントは、CloudWatchLogsサービスにログを正常に提供しています。ただし、リンクされたログストリームがアクティブになってから一定の時間が経過すると、ログは提供されなくなります。

この発生の原因を特定するには、どのような対策が必要ですか? (2つ選択してください。)

A. CloudWatchLogsエージェントがファイルを読み取ることを許可する監視対象ファイルのファイルパーミッションが変更されていないことを確認してください。

B. OSログローテーションルールがエージェントストリーミングの構成要件と互換性があることを確認します。

C. 最初にログをAmazonKinesisStreamsに配置するようにAmazonKinesisプロデューサーを設定します。

D. CloudWatch Logsメトリックスを作成して、ロギングが停止する前の期間中に少なくとも1回変更される値を分離します。

E. AWS CloudFormationを使用して、CloudWatchLogsエージェントの設定ファイルを動的に作成および維持します。

□Question #33Topic 1

企業のデータベース開発者は最近、ストレージと管理のためにAmazonRDSデータベースクレデンシャルをAWSSecretsManagerに転送しました。さらに、開発者はシークレットマネージャーインターフェイス内でクレデンシャルローテーションを有効にし、ローテーションが30日ごとに発生するように構成しました。

しばらくすると、認証の問題が原因で、既存のアプリの多くが認証に失敗しました。

次のうち、認証エラーの最も可能性の高い原因はどれですか?

A. クレデンシャルをRDSに移行するには、すべてのアクセスがシークレットマネージャーへのリクエストを介して行われる必要があります。

B. シークレットマネージャーでローテーションを有効にすると、シークレットがすぐにローテーションされ、アプリケーションは以前のクレデンシャルを使用します。

C. Secrets Manager IAMポリシーは、RDSデータベースへのアクセスを許可しません。

D. シークレットマネージャーのIAMポリシーでは、アプリケーションへのアクセスは許可されていません。

□Question #34Topic 1

企業は、オンプレミスインフラストラクチャをAWSに接続するプライベートネットワークを保護したいと考えています。さらに、この組織は、従業員に均一なネットワークエクスペリエンスを提供することを目指しています。

これらの要件に準拠するために、企業はどのような行動を取る必要がありますか?

A. AWSとのAWSDirect Connect接続を確立し、DirectConnectゲートウェイをセットアップします。 Direct Connectゲートウェイ構成で、IPsecとBGPを有効にしてから、アベイラビリティーゾーンとリージョン間でネイティブAWSネットワーク暗号化を利用します。

B. AWSとのAWSDirect Connect接続を確立し、DirectConnectゲートウェイをセットアップします。 Direct Connectゲートウェイを使用して、プライベート仮想インターフェイスを作成し、カスタマーゲートウェイのプライベートIPアドレスをアドバタイズします。カスタマーゲートウェイと仮想プライベートゲートウェイを使用してVPN接続を作成します。

C. インターネットを介してAWS仮想プライベートクラウドとのVPN接続を確立します。

D. AWSとのAWSDirect Connect接続を確立し、パブリック仮想インターフェイスを確立します。アドバタイズする必要のあるプレフィックスについては、カスタマーゲートウェイのパブリックIPアドレスを入力します。カスタマーゲートウェイと仮想プライベートゲートウェイを使用して、ダイレクトコネクトを介してVPN接続を作成します。

□Question #35Topic 1

企業は、単一のVPCを使用してAWSアカウントで多数のアプリをホストしています。アプリは、AWS WAFWebアクセスコントロールリストで設定されたApplicationLoadBalancerの背後でホストされます。同社のセキュリティスタッフによると、複数のポートスキャンはインターネット上の特定の範囲のIPアドレスから発信されました。

侵害しているIPアドレスからのアクセスは、セキュリティエンジニアが拒否する必要があります。

これらの基準を満たすソリューションはどれですか?

A. IPセット一致ルールステートメントを使用してAWSWAF Web ACLを変更し、IPアドレス範囲からの着信リクエストを拒否します。

B. すべてのセキュリティグループにルールを追加して、IPアドレス範囲からの着信要求を拒否します。 C. レートベースのルールステートメントを使用してAWSWAF Web ACLを変更し、IPアドレス範囲からの着

信リクエストを拒否します。

D. 正規表現一致条件を使用してAWSWAF WebACLを設定します。一致条件に基づいて着信要求を拒否するパターンセットを指定します。

□Question #36Topic 1

AWS Organizationsを使用すると、企業は複数のAWSアカウントを管理できます。組織のセキュリティチームは、特定のメンバーアカウントがAWSCloudTrailログを一元化されたAmazonS3ログバケットに送信できないことを検出しました。セキュリティチームは、現在のすべてのアカウントと、確立される将来のアカウントに対して、少なくとも1つのトレースが設定されていることを確認する必要があります。

これを達成するには、どのセキュリティ対策を講じる必要がありますか?

A. 新しいトレイルを作成し、CloudTrailログをAmazonS3に送信するように設定します。 Amazon EventBridge(Amazon CloudWatch Events)を使用して、証跡が削除または停止された場合に通知を送信します。

B. すべてのアカウントにAWSLambda関数をデプロイして、既存の証跡があるかどうかを確認し、必要に応じて新しい証跡を作成します。

C. 組織マスターアカウントの既存の証跡を編集して、組織に適用します。

D. SCPを作成して、cloudtrail:Delete *およびcloudtrail:Stop *アクションを拒否します。 SCPをすべてのアカウントに適用します。

□Question #37Topic 1

巨大な政府機関がクラウドに移行しており、厳格な暗号化標準に準拠する必要があります。最初のタスクを移動するときは、顧客のデータを即座に消去する必要があります。

管理者は、セキュリティチームがデータを安全に保存し、暗号化と復号化を承認されたアプリに制限し、迅速なデータ削除を可能にするソリューションを提供することを要求しました。

これらの基準を満たすソリューションはどれですか?

A. AWS SecretsManagerとAWSSDKを使用して、お客様固有のデータに固有のシークレットを作成します。

B. AWS Key Management Service(AWS KMS)とAWS Encryption SDKを使用して、各顧客のデータ暗号化キーを生成して保存します。

C. サービス管理キーでAWSKey Management Service(AWS KMS)を使用して、顧客固有のデータ暗号化キーを生成および保存します。

D. AWS Key Management Service(AWS KMS)を使用して、AWSCloudHSMカスタムキーストアを作成します。 CloudHSMを使用して、顧客ごとに新しいCMKを生成して保存します。

□Question #38Topic 1

AWS Organizationは、50のAWSアカウントを管理するために企業によって使用されます。財務スタッフの担当者は、AWSIAMユーザーとしてFinanceDeptAWSアカウントに接続します。スタッフメンバーは、MasterPayerAWSアカウントの集約された請求情報を読み取ることができる必要があります。 MasterPayerに関連付けられている他のAWSリソースを調べることができないようにする必要があります。 MasterPayerアカウントで、請求へのIAMアクセスが有効になっています。

次の方法のうち、追加の権限を発行せずに財務担当者に適切な権限を与えるのはどれですか?

A. FinanceDeptアカウントで財務ユーザー用のIAMグループを作成してから、AWSが管理するReadOnlyAccessIAMポリシーをグループにアタッチします。

B. MasterPayerアカウントで財務ユーザー用のIAMグループを作成し、AWSが管理するReadOnlyAccessIAMポリシーをグループにアタッチします。

C. ViewBillingアクセス許可を使用してFinanceDeptアカウントにAWSIAMロールを作成し、MasterPayerアカウントの財務ユーザーにそのロールを引き受けるアクセス許可を付与します。

D. ViewBillingアクセス許可を使用してMasterPayerアカウントにAWSIAMロールを作成し、FinanceDeptアカウントの財務ユーザーにそのロールを引き受けるアクセス許可を付与します。

□Question #39Topic 1

ビジネスのすべてのAWSCloudTrailログは、AmazonS3バケットに一元的に保持されます。会社のAWSアカウントは、セキュリティチームによって管理されています。 CloudTrailログは、セキュリティチームによる不正アクセスや改ざんから保護する必要があります。

セキュリティチームはどのアクションを組み合わせて実行する必要がありますか? (3つ選択してください。)

A. AWS KMSマネージド暗号化キー(SSE-KMS)を使用してサーバー側の暗号化を設定する

B. 安全なgzipでログファイルを圧縮します。

C. Amazon EventBridge(Amazon CloudWatch Events)ルールを作成して、CloudTrailログファイルの変更をセキュリティチームに通知します。

D. バケットポリシーを設定して、S3バケットへの最小特権アクセスを実装します。

E. CloudTrailログファイルの整合性検証を構成します。

F. S3用にAccessAnalyzerを設定します。

□Question #40Topic 1

セキュリティ監視計画の一環として、企業はすべての地域でAmazonGuardDutyをアクティブ化しました。組織は、複数の場所からの多数の顧客のFTPサーバーとして機能するVPCの1つでAmazonEC2インスタンスを運用しています。 GuardDutyは、1時間あたりに発生する接続の量が膨大なため、これをブルートフォース攻撃として分類します。

結果は誤検知と判断されました。一方、GuardDutyは引き続き問題を提起します。セキュリティエンジニアは、信号対雑音比を向上させる責任を負っています。エンジニアは、変更によって潜在的に異常なアクティビティの可視性が損なわれないことを確認する必要があります。

セキュリティエンジニアは状況を解決するために何ができますか?

A. FTPサーバーが展開されているリージョンのGuardDutyでFTPルールを無効にします

B. FTPサーバーを信頼できるIPリストに追加し、GuardDutyにデプロイして、通知の受信を停止します

C. 自動アーカイブを有効にしてGuardDutyフィルターを使用して、結果を閉じます

D. 新しいオカレンスが報告されるたびに検索結果を閉じるAWSLambda関数を作成します