AWS Security -05
□Question #81Topic 1
開発者は、多数のアカウントを持つAWS組織の組織単位(OU)内に新しいアカウントを作成しました。次のSCPは、AmazonS3サービスへのアクセスを制限します。
{
“Version": “2012-1-17",
“Statement": [
{
“Effect": “Deny",
“Action": “s3:*",
“Resource": “*"
]
]
}
セキュリティエンジニアは、他のアカウントに影響を与えることなく、どのようにして開発者にAmazon S3へのアクセスを提供できますか?
A. SCPを組織のルートOUに移動して、AmazonS3へのアクセス制限を解除します。
B. 開発者向けのIAMポリシーを追加します。これにより、S3アクセスが許可されます。
C. S3アクセスを制限するSCPを適用せずに、新しいOUを作成します。開発者アカウントをこの新しいOUに移動します。
D. S3サービスの開発者アカウントの許可リストを追加します。
□Question #82Topic 1 AmazonCloudWatch用にカスタムメトリックスパブリッシングアプリケーションが作成されました。最近、アカウン
トのIAM設定が変更され、指標は報告されなくなりました。
次のソリューションのうち、メトリックを配信するための最も許容度の低いオプションはどれですか?
A. アプリケーションが使用するIAMポリシーにステートメントを追加して、logs:putLogEventsおよびlogs:createLogStreamを許可します。
B. CloudWatchFullAccess管理ポリシーを追加して、アプリケーションで使用されるIAMロールを変更します。
C. アプリケーションで使用されるIAMポリシーにステートメントを追加して、cloudwatch:putMetricDataを許可します。
D. cloudwatch.amazonaws.comのアプリケーションで使用されるIAMロールに信頼関係を追加します。
□Question #83Topic 1
データは、AmazonEC2インスタンスに関連付けられているAmazonEBSボリュームに保存されます。データはAmazonS3バケットに非同期で複製されます。同じAWSKMSカスタマーマスターキーを使用して、EBSボリュームとS3バケット(CMK)の両方を暗号化します。会社を辞める前に、元従業員がそのCMKの削除を手配しました。
組織の開発者オペレーションセクションは、CMKが消去された後にのみこれを認識します。
この状況を是正するためにどのような対策が必要ですか?
A. ボリュームをEC2インスタンスからデタッチする前に、EBS暗号化ボリュームからデータを直接コピーします。
B. 以前のバージョンのKMSバッキングキーを使用して、EBS暗号化ボリュームからデータをリカバリします。
C. AWSサポートにS3暗号化データを回復するようにリクエストします。
D. 削除されたCMKを復元するようにAWSサポートにリクエストし、それを使用してデータを復元します。
□Question #84Topic 1
企業は、新しいアプリケーション用に新しいAWSアカウントを設定しています。このアプリケーションでは、仮想プライベートクラウド(VPC)とサブネットが構築されています。データベースアクセスの場合、アプリケーションは別のAWSリージョンアカウントの既存のVPCをピアリングしています。 Amazon EC2インスタンスはアプリケーションVPCで定期的に生成および終了されますが、TCPポート1521を介してピアリングVPCのデータベースにアクセスする必要があるのは、それらのサブセットのみです。セキュリティエンジニアは、データベースがアクセスが必要なEC2インスタンスのみへのネットワーク。
このソリューションは、セキュリティエンジニアがどのように実装できますか? A. データベースVPCに新しいセキュリティグループを作成し、アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可するインバウンドルールを作成します。データベースサブネットに新しいネットワークACLルールを追加します。アプリケーションVPCのIPアドレス範囲からTCPポート1521にルールを構成します。アプ
リケーションインスタンスがアクセスする必要のあるデータベースインスタンスに新しいセキュリティグループをアタッチします。
B. TCPポート1521を介したデータベースVPCのIPアドレス範囲を許可するインバウンドルールを使用して、アプリケーションVPCに新しいセキュリティグループを作成します。ポート1521を介したアプリケーションVPC。新しいセキュリティグループをデータベースインスタンスとデータベースアクセスが必要なアプリケーションインスタンスに接続します。
C. インバウンドルールのないアプリケーションVPCに新しいセキュリティグループを作成します。アプリケーションVPCの新しいアプリケーションセキュリティグループからのTCPポート1521を許可するインバウンドルールを使用して、データベースVPCに新しいセキュリティグループを作成します。アプリケーションセキュリティグループをデータベースアクセスが必要なアプリケーションインスタンスにアタッチし、データベースセキュリティグループをデータベースインスタンスにアタッチします。
D. TCPポート1521を介したデータベースVPCのIPアドレス範囲を許可するインバウンドルールを使用して、アプリケーションVPCに新しいセキュリティグループを作成します。データベースサブネットに新しいネットワークACLルールを追加します。アプリケーションVPCのIPアドレス範囲からのすべてのトラフィックを許可するようにルールを構成します。データベースアクセスが必要なアプリケーションインスタンスに新しいセキュリティグループをアタッチします。
□Question #85Topic 1
セキュリティチームは、クラウド環境でのAWSAPI呼び出しの動作のセキュリティ監査を実施する責任があります。これらのイベントは、現在および将来のAWSリージョンの両方で一元的にキャプチャおよび保存する必要があります。
これらのニーズを可能な限り簡単な方法でどのように満たすことができますか?
A. AWSコンソールでAWSTrusted Advisorのセキュリティチェックを有効にし、すべてのリージョンのすべてのセキュリティインシデントを報告します。
B. リージョンごとに個別の証跡を作成してAWSCloudTrailを有効にし、後で分析するためにログファイルを受信する単一のAmazonS3バケットを指定します。
C. 新しいトレイルを作成し、すべてのリージョンにトレイルを適用して、AWSCloudTrailを有効にします。単一のAmazonS3バケットを保存場所として指定します。
D. すべてのリージョンのすべてのAWSサービスに対してAmazonCloudWatchロギングを有効にし、後で分析するためにそれらを単一のAmazonS3バケットに集約します。
□Question #86Topic 1
AWS CloudTrail、Amazon CloudWatch Logs、およびAmazon CloudWatchは、新しいアクセスキーが生成されたときに通知を提供するために組織によって使用されています。ただし、警告はセキュリティ操作のメールボックスに届きません。
この問題を解決するのに最も効果的な手順は次のうちどれですか?
A. CloudTrailで、トレイルロギングバケットにログプレフィックスが設定されていることを確認します。
B. Amazon SNSで、このアラートのアカウント支出制限に達しているかどうかを確認します。
C. SNSで、これらのアラートで使用されているサブスクリプションが削除されていないことを確認します。
D. CloudWatchで、アラームしきい値の連続する期間の値が1以上であることを確認します。
□Question #87Topic 1
ビジネスには、AmazonEC2で実行されている数百のDockerベースのアプリ用のフォレンジックロギングソリューションが必要です。このソリューションでは、ログをリアルタイムで分析し、メッセージの再生を提供し、ログを永続化する必要があります。
これらの要件を満たすには、どのアマゾンウェブオファリング(AWS)サービスを採用する必要がありますか? (2つ選択してください。)
A. Amazon Athena
B. Amazon Kinesis
C. Amazon SQS
D. Amazon Elasticsearch
E. Amazon EMR
□Question #88Topic 1
セキュリティアーキテクトは、管理されたキーストレージオプションを検討しています。前提条件は次のとおりです。
-ストレージはVPCを介してのみアクセスされます。
-サービスの制御は改ざんされています。
-アクセスのログが有効になります。
-ストレージは非常にアクセスしやすいです。
次のサービスのどれがこれらの基準を満たしていますか?
A. デフォルトの暗号化を使用したAmazonS3
B. AWS CloudHSM
C. サーバー側の暗号化を使用したAmazonDynamoDB
D. AWS SystemsManagerパラメータストア
□Question #89Topic 1
企業は、AWS組織の既存の組織内のDevOpsチームごとに個別のキッズアカウントを確立することを意図しています。すべてのアカウントでAWSCloudTrailが有効になっており、一元化されたAWSアカウントのAmazonS3バケットに監査ログを書き込むように設定されています。セキュリティエンジニアは、DevOpsチームのメンバーがこの設定を編集または非アクティブ化できないことを保証する必要があります。
セキュリティエンジニアは、これらの基準が満たされていることをどのように確認できますか?
A. 特定のCloudTrailトレイルへの変更を禁止するIAMポリシーを作成し、そのポリシーをAWSアカウントのrootユーザーに適用します。
B. CloudTrailトレイルの指定された宛先アカウントにS3バケットポリシーを作成します。これにより、ソースアカウントのAWSアカウントのrootユーザーからの設定変更が禁止されます。
C. 特定のCloudTrailトレイルへの変更を禁止するSCPを作成し、そのSCPを組織内の適切な組織単位またはアカウントに適用します。
D. 特定のCloudTrailトレイルへの変更を禁止するIAMポリシーを作成し、新しいIAMグループに適用します。チームメンバーに、新しいIAMグループのメンバーである個々のIAMアカウントを使用してもらいます。
□Question #90Topic 1
ある企業が11日前に、コード共有Webサイトでアクセスキーの1つが漏洩したことを発見しました。脆弱性の範囲を確認するには、セキュリティエンジニアは、公開されたキーのすべての使用を評価する必要があります。組織がアカウントを確立すると、すべてのリージョンでAWSCloudTrailがアクティブ化されました。
次のオプションのうち、セキュリティエンジニアが割り当てを実行できるようにするのはどれですか?
A. CloudTrailコンソールで公開されたアクセスキーでイベント履歴をフィルタリングします。過去11日間のデータを調べます。
B. AWS CLIを使用して、IAMクレデンシャルレポートを生成します。過去11日間のすべてのデータを抽出します。
C. Amazon Athenaを使用して、AmazonS3からCloudTrailログをクエリします。過去11日間に公開されたアクセスキーの行を取得します。
D. IAMコンソールの[AccessAdvisor]タブを使用して、過去11日間のすべてのアクセスキーアクティビティを表示します。
□Question #91Topic 1
Amazon CloudWatch Logsは、Linux AmazonEC2インスタンスにエージェントがインストールされている会社で使用されています。プッシュされるアプリケーションログファイルと同様に、エージェント構成ファイルが検証されました。レビューにより、特定のインスタンスレベルのログが欠落していることが判明しました。
どのトラブルシューティング対策を講じる必要がありますか? (2つ選択してください。)
A. EC2 runコマンドを使用して、awslogsサービスがすべてのインスタンスで実行されていることを確認します。
B. エージェントが使用する権限により、ロググループ/ストリームの作成とログイベントの配置が許可されていることを確認します。
C. /var/cwlogs/rejects.logを確認して、無効なタイムスタンプが原因でアプリケーションログエントリが拒否されたかどうかを確認します。
D. 信頼関係により、サービスcwlogs.amazonaws.comにオブジェクトをAmazonS3ステージングバケットに書き込む権限が付与されていることを確認します。
E. アプリケーションサーバーのタイムゾーンがUTCであることを確認します。
□Question #92Topic 1
ビジネスには、アカウントAとアカウントBの2つのアマゾンウェブサービス(AWS)アカウントがあります。アカウントAには、アカウントAのAmazonS3バケットに機密データをアップロードするときにアカウントBのIAMユーザーが引き受けるIAMロールがあります。
新しい要件では、ユーザーがジョブ(MFA)を受け入れる前に、多要素認証を使用してユーザーを確認する必要があります。セキュリティエンジニアの推奨事項は、リスクと労力を最小限に抑えてこの基準を満たすものでなければなりません。
彼または彼女はどのセキュリティエンジニアソリューションを推奨する必要がありますか?
A. ロールのパーミッションポリシーにaws:MultiFactorAuthPresent条件を追加します。
B. ロールの信頼ポリシーにaws:MultiFactorAuthPresent条件を追加します。
C. aws:MultiFactorAuthPresent条件をセッションポリシーに追加します。
D. aws:MultiFactorAuthPresent条件をS3バケットポリシーに追加します。
□Question #93Topic 1
AWS KMS CMKは、AmazonS3バケットを暗号化するために使用されます。 AWSマネジメントコンソールでは、IAMユーザーがS3バケットからアイテムをダウンロードすることはできません。それでも、他のユーザーはS3バケットからオブジェクトをダウンロードできます。
この問題に対処するために、セキュリティエンジニアはどのポリシーを調べて修正する必要がありますか? (3つ選択してください。)
A. CMKポリシー
B. VPCエンドポイントポリシー
C. S3バケットポリシー
D. S3 ACL
E. IAMポリシー
□Question #94Topic 1
企業は、インターネット経由でアクセスできるオープンソースソフトウェアプラットフォームを運営しています。古いソフトウェアプラットフォームのセキュリティアップグレードは終了しました。ソフトウェアプラットフォームは、Amazon Route53加重負荷分散を介してAmazonRDSクラスターに接続された2つのAmazonEC2インスタンスにトラフィックを送信します。新しい調査によると、このソフトウェアプラットフォームはSQLインジェクション攻撃の影響を受けやすく、そのような攻撃の例が示されています。 24時間以内に、会社のセキュリティエンジニアは、SQLインジェクション攻撃からこのシステムを保護する必要があります。セキュリティエンジニアのソリューションは、インストールが簡単で、全体を通して定期的な運用を維持できる必要があります。
これらの要件に確実に準拠するために、セキュリティエンジニアはどのようなアクションを実行する必要がありますか?
A. 既存のEC2インスタンスをターゲットグループとして使用してアプリケーションロードバランサーを作成します。この攻撃からアプリケーションを保護するルールを含むAWSWAF Web ACLを作成し、それをALBに適用します。脆弱性が軽減されていることを確認してから、Route53レコードをALBを指すようにリダイレクトします。 EC2インスタンスのセキュリティグループを更新して、インターネットからの直接アクセスを防止します。
B. 1つのEC2インスタンスをオリジンとして指定してAmazonCloudFrontディストリビューションを作成します。この攻撃からアプリケーションを保護するルールを含むAWSWAF Web ACLを作成し、それをディストリビューションに適用します。テストして脆弱性が軽減されていることを確認してから、Route53レコードをCloudFrontを指すようにリダイレクトします。
C. プラットフォームの最新のソースコードを入手し、必要な更新を行います。更新されたコードをテストして脆弱性が軽減されていることを確認してから、パッチを適用したバージョンのプラットフォームをEC2インスタンスにデプロイします。
D. EC2インスタンスに接続されているセキュリティグループを更新し、インターネットからSQLデータベースで使用されるTCPポートへのアクセスを削除します。この攻撃からアプリケーションを保護するルールを含むAWSWAF Web ACLを作成し、それをEC2インスタンスに適用します。脆弱性が軽減されていることを確認してから、セキュリティグループを元の設定に復元します。
□Question #95Topic 1
会社のVPCは、Amazon CloudWatchLogsのVPCエンドポイントを受け取りました。組織のシステム管理者は、プライベートDNSが有効になっていること、および必要なルートテーブルとセキュリティグループが更新されていることを確認しました。 Amazon EC2インスタンスには、次のロールが割り当てられています。
{
“Version": “2012-10-17",
“Statement": [
{
“Effect": “Allow",
“Action": [
“logs:CreateLogGroup",
“logs:CreateLogStream",
“logs:PutLogEvents",
“logs:DescribeLogStreams"
],
“Resource": [
“arn:aws:logs:*:*:*"
]
}
]
}
CloudWatch Logsエージェントは同じAWSアカウントで動作しており、CloudWatchLogsストリームに書き込もうとしています。ただし、CloudWatchLogsはログを更新しません。
この問題の最も可能性の高い原因は何ですか?
A. EC2インスタンスロールは、適切なPutアクションを許可していません。
B. EC2インスタンスロールポリシーが正しくないため、次のように変更する必要があります。
{
“Version": “2012-10-17",
“Statement": [
{
“Effect": “Allow",
“Action": [
“logs:CreateLogGroup",
“logs:CreateLogStream",
“logs:PutLogEvents",
“logs:DescribeLogStreams",
],
“Resource": [
“*"
]
}
}
}
C. CloudWatchLogsエンドポイントポリシーが適切なPutアクションを許可していません。
D. CloudWatch Logsリソースポリシーで、適切なリストアクションが許可されていません。
□Question #96Topic 1
新しいAmazonRDSデータベースアプリケーションが会社によって作成されました。会社のRDSデータベースのクレデンシャルは、転送中および保存時に暗号化する必要があります。さらに、会社の資格情報は定期的に自動的にローテーションする必要があります。
これらの基準を満たすソリューションはどれですか?
A. AWS Systems Managerパラメータストアを使用して、データベースのクレデンシャルを保存します。資格情報の自動ローテーションを構成します。
B. AWS SecretsManagerを使用してデータベースのクレデンシャルを保存します。資格情報の自動ローテーションを構成します。
C. データベースのクレデンシャルをS3マネージド暗号化キー(SSE-S3)を使用したサーバー側暗号化で設定されたAmazonS3バケットに保存します。 IAMデータベース認証を使用してクレデンシャルをローテーションします。
D. データベースのクレデンシャルをAmazonS3 Glacierに保存し、S3 Glacier VaultLockを使用します。スケジュールに基づいてクレデンシャルをローテーションするようにAWSLambda関数を設定します。
□Question #97Topic 1
将来のキー侵害が発生した場合に公開される可能性のあるデータの幅を減らすことに重点を置いたキー管理のベストプラクティスをサポートするAWSキー管理サービス(KMS)ソリューションはどれですか?
A. KMS自動キーローテーションを使用してマスターキーを置き換え、この新しいマスターキーを使用して、以前に暗号化されたデータを再暗号化せずに、将来の暗号化操作に使用します。
B. 新しいカスタマーマスターキー(CMK)を生成し、既存のすべてのデータを新しいCMKで再暗号化し、それを今後のすべての暗号化操作に使用します。
C. 90日ごとにCMKエイリアスを変更し、新しいキーエイリアスでキー呼び出しアプリケーションを更新します。
D. CMK権限を変更して、キーをプロビジョニングできる個人が、キーを使用できる個人と同じにならないようにします。
□Question #98Topic 1
次のうち、アプリケーションの攻撃対象領域を減らすのはどれですか?
A. セキュリティグループを使用して、ハイパーバイザーレベルでAmazonEC2インスタンスにステートフルファイアウォールを提供します。
B. ネットワークACLを使用して、VPCレベルでステートフルファイアウォールを提供し、特定のAWSリソースへのアクセスを防止します。
C. プライベートサブネット内のEC2インスタンス間の安全な信頼できる接続には、AWS DirectConnectを使用します。
D. 脅威への迅速な対応を容易にするために、境界ネットワーク(DMZ、非武装地帯、およびスクリーニングされたサブネットとも呼ばれます)内の単一レイヤーでネットワークセキュリティを設計します。
□Question #99Topic 1
Amazon EC2インスタンスは、AmazonSQSからメッセージを取得するアプリケーションを構築するために使用されています。最近、IAMの変更が実装され、インスタンスはメッセージを取得する機能を失いました。
最小限の特権で問題を解決するには、どのような手順を実行する必要がありますか? (2つ選択してください。)
A. MFAデバイスを構成し、インスタンスが使用するロールに割り当てます。
B. SQSリソースポリシーがインスタンスによって使用されるロールへのアクセスを明示的に拒否していないことを確認します。
C. インスタンスによって使用されるロールにアタッチされているアクセスキーがアクティブであることを確認します。
D. AmazonSQSFullAccess管理対象ポリシーをインスタンスが使用するロールにアタッチします。
E. インスタンスに関連付けられているロールに、キューへのアクセスを許可するポリシーが含まれていることを確認します。
□Question #100Topic 1
企業のAWSでは3つのアプリが動作しており、そのすべてがAmazonS3の同じデータにアクセスします。 Amazon S3データは、AWS KMSカスタマーマスターキー(CMK)を使用してサーバー側で保護されます。
KMS CMK上の各アプリケーションに独自のプログラムによるアクセス制御権限があることを確認するために、どの戦略が推奨されますか?
A. Amazon S3のデータにアクセスする必要がある場合は、各アプリケーションのKMSCMKに関連付けられているキーポリシーのアクセス許可を変更します。
B.各アプリケーションに、AWS Certificate ManagerCMKを使用するためのアクセス許可を提供するIAMロールを引き受けさせます。
C.各アプリケーションにKMSCMKの許可を使用させて、KMSCMKの特定のアクセス制御を追加または削除します。
D.各アプリケーションにユーザーコンテキストでIAMポリシーを使用させ、KMSCMKに対する特定のアクセス許可を付与します。