AWS Security -10

2023年1月20日

□Question #181Topic 1

セキュリティエンジニアは、Amazon Elastic ComputeCloudで動作するJavaアプリケーションを開発しています。アプリケーションは、ユーザー名とパスワード認証を使用してAmazonRDSインスタンスとインターフェースします。

ローテーションプロセス全体の遅延を最小限に抑えながら、資格情報を保護するためにエンジニアが取ることができる手順の組み合わせはどれですか? (2つ選択してください。)

A. データベース管理者にクレデンシャルを暗号化し、暗号文をAmazonS3に保存してもらいます。 EC2インスタンスに関連付けられたインスタンスロールに、オブジェクトを読み取り、暗号文を復号化するためのアクセス許可を付与します。

B. AWS Systems Managerパラメータストアのクレデンシャルを更新し、アプリケーションを再起動する必要があることをエンジニアに通知するスケジュールされたジョブを設定します。

C. AWS SecretsManagerでクレデンシャルの自動ローテーションを設定します。

D. AWS SystemsManagerパラメータストアの暗号化された文字列パラメータにクレデンシャルを保存します。 EC2インスタンスに関連付けられたインスタンスロールに、パラメーターとその暗号化に使用されるAWSKMSキーにアクセスするためのアクセス許可を付与します。

E. 接続障害をキャッチするようにJavaアプリケーションを設定し、パスワードがローテーションされたときにAWS SecretsManagerを呼び出して更新されたクレデンシャルを取得します。 EC2インスタンスに関連付けられているインスタンスロールにSecretsManagerにアクセスするためのアクセス許可を付与します。

□Question #182Topic 1

別々のサブネット上の2つのAmazonEC2インスタンスは、相互に通信できるはずですが、通信できません。同じサブネット上の他のホストが効果的に相互作用できること、およびこの通信を有効にするための正当なALLOWルールが設定されていることが証明されています。

次のトラブルシューティングアクションのどれが適切ですか?

A. DENYルールを探して、インバウンドおよびアウトバウンドのセキュリティグループを確認します

B. 受信および送信ネットワークACLルールを確認し、DENYルールを探します

C. VPCフローログで拒否されたパケット理由コードを確認します

D. AWS X-Rayを使用して、エンドツーエンドのアプリケーションフローをトレースします

□Question #183Topic 1

セキュリティエンジニアは、Amazon S3バケットに機密性の高い在庫データを保存するサプライチェーンアプリケーションの構築について、開発チームと協力しています。プログラムは、AWS KMSカスタマーマスターキー(CMK)を使用してAmazonS3上のデータを暗号化します。ベンダーは、AmazonS3に保存されている在庫データにアクセスできます。すべてのサプライヤーは、それぞれのAWSアカウントのAWSプリンシパルを使用してAmazonS3のデータにアクセスします。ベンダーリストは毎週変更される可能性があり、ソリューションはアカウント間のアクセスを許可する必要があります。

KMS CMK7のアクセス制御を管理するのに最も効果的な方法はどれですか?

A. KMSグラントを使用してキーアクセスを管理します。ベンダーアクセスを管理するための助成金をプログラムで作成および取り消します。

B. IAMロールを使用してキーアクセスを管理します。ベンダーアクセスを管理するために、IAMロールポリシーをプログラムで更新します。

C. KMSキーポリシーを使用してキーアクセスを管理します。 KMSキーポリシーをプログラムで更新して、ベンダーアクセスを管理します。

D. IAMロールを使用してキーアクセスを管理することにより、AWSアカウント全体で委任されたアクセスを使用します。 IAM信頼ポリシーをプログラムで更新して、アカウント間のベンダーアクセスを管理します。

□Question #184Topic 1

組織は暗号化されたAmazonS3バケットを維持しています。アプリケーション開発者のIAMポリシーはS3バケットへのアクセスを許可しますが、アプリケーション開発者はバケットのオブジェクトを表示できません。

問題の根本的な原因は何でしょうか?

A. S3バケットのS3ACLは、アプリケーション開発者へのアクセスを明示的に許可できません

B. S3バケットのAWSKMSキーは、アプリケーション開発者を管理者としてリストできません

C. S3バケットポリシーがアプリケーション開発者へのアクセスを明示的に許可しない

D. S3バケットポリシーは、アプリケーション開発者へのアクセスを明示的に拒否します

□Question #185Topic 1

セキュリティアーキテクトは、既存のセキュリティアーキテクチャを分析し、アプリケーションサーバーがデータベースサーバーに正常に接続できない理由を特定するように要求されました。アーキテクチャは次のように要約されます。

1. パブリックサブネットには、アプリケーションロードバランサー、インターネットゲートウェイ、NATゲートウェイが設定されています。

2. データベース、アプリケーション、およびWebサーバー用に3つの異なるプライベートサブネットが確立されます。

3. 仮想プライベートクラウドには2つのルートテーブルがあります。1つはパブリックサブネット用で、もう1つは他のすべてのサブネット用です。パブリックサブネットのルートテーブルには、インターネットゲートウェイへの0.0.0.0/0ルートがあります。他のすべてのサブネットには、ルートテーブルにNATゲートウェイへの0.0.0.0/0ルートがあります。すべてのプライベートサブネットは相互に通信できます。

4. 各サブネットは、すべての着信接続と発信接続を適切なポートとプロトコルに制限するネットワークアクセス制御リスト(ACL)で構成されます。

5. セキュリティグループには、データベース、アプリケーション、およびWebの3種類があります。各グループは、着信および発信通信を必要最小限に制限します。

次のステートメントのうち、アーキテクトが検証する必要のあるアクセス制御手法を適切に説明しているのはどれですか?

A. データベースサーバーでのアウトバウンドSG構成アプリケーションサーバーでのインバウンドSG構成データベースサブネットでのインバウンドおよびアウトバウンドネットワークACL構成アプリケーションサーバーサブネットでのインバウンドおよびアウトバウンドネットワークACL構成

B. データベースサーバーでのインバウンドSG構成アプリケーションサーバーでのアウトバウンドSG構成データベースサブネットでのインバウンドおよびアウトバウンドネットワークACL構成アプリケーションサーバーサブネットでのインバウンドおよびアウトバウンドネットワークACL構成

C. データベースサーバーでのインバウンドおよびアウトバウンドSG構成アプリケーションサーバーでのインバウンドおよびアウトバウンドSG構成データベースサブネットでのインバウンドネットワークACL構成アプリケーションサーバーサブネットでのアウトバウンドネットワークACL構成

D. データベースサーバーでのインバウンドSG構成アプリケーションサーバーでのアウトバウンドSG構成データベースサブネットでのインバウンドネットワークACL構成アプリケーションサーバーサブネットでのアウトバウンドネットワークACL構成

□Question #186Topic 1

セキュリティ管理者は、AWSアカウントのハッキングの疑いに対応してログ分析を行っています。管理者は疑わしいAWSCloudTrailログファイルを確認したいと考えていますが、作成された監査ログの量に圧倒されています。

管理者が最も効果的なログ検索を実行できるのはどの手法ですか?

A. 書き込み専用のCloudTrailイベントフィルターを実装して、AWSアカウントリソースへの変更を検出します。

B. CloudTrail監査ログを含むAmazonS3バケット内の機密データを分類および検出するようにAmazonMacieを設定します。

C. CloudTrail S3バケットから読み取るようにAmazonAthenaを設定し、ログをクエリしてアカウントアクティビティを調べます。

D. Amazon S3イベント通知を有効にして、新しいCloudTrailAPIエントリがあるときにメールアラームを送信するAWSLambda関数をトリガーします。

□Question #187Topic 1

企業は多くのAWS本番アカウントを持っている場合があります。各アカウントは、AWS CloudTrailを使用してセットアップされ、中央アカウントにある単一のAmazonS3バケットにログインします。 2つの本番アカウントには、S3バケットに何も報告しない空の証跡があります。

どのトラブルシューティング対策を講じる必要がありますか? (3つ選択してください。)

A. ログファイルのプレフィックスが、ログを保存するS3バケットの名前に設定されていることを確認します。

B. S3バケットポリシーが本番AWSアカウントIDからCloudTrailへのアクセスを許可していることを確認します。

C. アカウントに新しいCloudTrail構成を作成し、アカウントのS3バケットにログを記録するように構成します。

D. CloudTrailコンソールで、各トレイルがアクティブで正常であることを確認します。

E. マスターアカウントでグローバルCloudTrail構成を開き、保存場所が正しいS3バケットに設定されていることを確認します。

F. CloudTrailコンソールで、S3バケット名が正しく設定されていることを確認します。

□Question #188Topic 1

サードパーティの監査人は、会社のユーザーパスワードに最小の長さの要件がないことを発見しました。現在、組織は2つの異なるIDプロバイダーを利用しています。

->オンプレミスのActiveDirectoryとフェデレーションされたAWSIdentity and Access Management

->会社が開発したAWSクラウドアプリケーションにアクセスするためのAmazonCognitoユーザープール

この問題を解決するには、セキュリティエンジニアが組み合わせて実行する必要があるアクティビティはどれですか。 (2つ選択してください。)

A. オンプレミスのActiveDirectory構成でパスワードの長さのポリシーを更新します。

B. IAM設定のパスワード長ポリシーを更新します。

C. パスワードの長さが最小の条件でAmazonCognitoとAWSIAMにIAMポリシーを適用します。

D. AmazonCognito構成のパスワード長ポリシーを更新します。

E. AWSIAMとAmazonCognitoに最小のパスワード長を適用するSCPをAWS組織で作成します。

□Question #189Topic 1

新しく作成されたAWSアカウントのrootユーザーを保護するための最も安全な方法は何ですか? (2つ選択してください。)

A. AWSマネジメントコンソールの代わりに、AWSアカウントのrootユーザーアクセスキーを使用してください

B. AdministratorAccessマネージドポリシーがアタッチされたAWSIAMユーザーの多要素認証を有効にします

C. AWSアカウントのrootユーザーに対して多要素認証を有効にする

D. AWS KMSを使用して、すべてのAWSアカウントのルートユーザーとAWS IAMアクセスキーを暗号化し、自動ローテーションを30日に設定します

E. AWSアカウントのrootユーザーのアクセスキーを作成しないでください。代わりに、AWSIAMユーザーを作成します

□Question #190Topic 1

大企業は、コンプライアンスチームがAmazon S3バケットを評価して、個人を特定できる情報(PII)が含まれているかどうかを確認するように要求しています。組織は数百のS3バケットを維持しており、セキュリティエンジニアにそれぞれを検査するように要求しています。

この割り当てはどのように完了しますか?

A. AmazonCloudWatchイベントを設定してAmazonInspectorがS3バケットを毎日スキャンしてPIIを検出するようにします。 PIIが検出された場合に、AmazonSNS通知をコンプライアンスチームに発行するようにAmazonInspectorを設定します。

B. S3バケット内のデータを分類し、ダッシュボードでPIIの結果を確認するようにAmazonMacieを設定します。 Macieアラートをキャプチャし、PIIが検出された場合に通知されるAmazonSNSトピックをターゲットにするようにAmazonCloudWatchイベントを設定します。

C. AWSマネジメントコンソールのAWSTrustedAdvisorのデータ損失防止ページを確認します。 Amazon S3データ機密性レポートをダウンロードして、コンプライアンスチームに送信します。 Trusted Advisorアラートをキャプチャし、PIIが検出された場合に通知されるようにAmazonSNSトピックをターゲットにするようにAmazonCloudWatchイベントを設定します。

D. 複数のリージョンでAmazonGuardDutyを有効にして、S3バケットをスキャンします。 GuardDutyアラートをキャプチャし、PIIが検出された場合に通知されるAmazonSNSトピックをターゲットにするようにAmazonCloudWatchイベントを設定します。

□Question #191Topic 1

Amazon EC2インスタンスのいくつかのハッキングに続いて、会社のセキュリティ担当者は、さらなる調査のために、影響を受けるインスタンスからのメモリダンプの収集を義務付けました。セキュリティエンジニアは最近、最新のWindows Server 2019 BaseAMIを実行しているEC2インスタンスがハッキングされたことを示すAmazonWeb Services(AWS)EC2乱用通知レポートを受け取りました。

セキュリティエンジニアは、EC2インスタンスのフォレンジック検査のためにメモリダンプをどのように取得する必要がありますか?

A. AWSセキュリティチームに、侵害されたインスタンスにメモリコアをダンプし、分析のためにAWSサポートに提供することに同意します。

B. AWS Systems ManagerAgentがAmazonCloudWatchLogsに送信したメモリダンプデータを確認します。

C. AWSからEC2Rescuefor WindowsServerユーティリティをダウンロードして実行します。

D. EC2 Windows Serverを再起動し、セーフモードに入り、メモリダンプを選択します。

□Question #192Topic 1

ある都市は、AmazonCloudFrontを利用する選挙結果を発表するためのWebサイトを開発しています。このWebサイトは、Application Load Balancer(ALB)の背後にあるAutoScalingグループのAmazonEC2マシンのフリートでホストされています。選挙結果は1時間ごとに更新され、AmazonS3バケットのas.pdfファイルに保存されます。セキュリティエンジニアは、ウェブサイトへのすべての外部アクセスがCloudFrontを介して行われることを保証する必要があります。

これらの基準を満たすソリューションはどれですか?

A. CloudFrontが特定のS3バケットにアクセスできるようにするIAMロールを作成します。 S3バケットポリシーを変更して、新しいIAMロールのみがそのコンテンツにアクセスできるようにします。 CloudFrontのインターフェースVPCエンドポイントを作成して、ALBと安全に通信します。

B. CloudFrontが特定のS3バケットにアクセスできるようにするIAMロールを作成します。 S3バケットポリシーを変更して、新しいIAMロールのみがそのコンテンツにアクセスできるようにします。 ALBを、CloudFrontサービスからの着信トラフィックのみがALBと通信できるようにするセキュリティグループに関連付けます。

C. CloudFrontでオリジンアクセスID(OAI)を作成します。 S3バケットポリシーを変更して、新しいOAIのみがバケットのコンテンツにアクセスできるようにします。 CloudFrontのインターフェースVPCエンドポイントを作成して、ALBと安全に通信します。

D. CloudFrontでオリジンアクセスID(OAI)を作成します。 S3バケットポリシーを変更して、新しいOAIのみがバケットのコンテンツにアクセスできるようにします。 ALBを、CloudFrontサービスからの着信トラフィックのみがALBと通信できるようにするセキュリティグループに関連付けます。

□Question #193Topic 1

カスタマーアカウントで異常な動作をしているAmazonEC2インスタンスに対してセキュリティ警告が発行されました。セキュリティエンジニアは、最初にEC2インスタンスを分離してから、適切なツールを使用して追加の検査を行う必要があります。

この発生を切り分けて調査するには、セキュリティエンジニアはどのツールを使用する必要がありますか? (3つ選択してください。)

A. AWS CloudTrail

B. アマゾンアテナ

C. AWS Key Management Service(AWS KMS)

D. VPCフローログ

E. AWS Firewall Manager

F. セキュリティグループ

□Question #194Topic 1

会社のガイドラインによると、すべての暗号化キーは12か月ごとに自動的に循環する必要があります。

この要件を満たすには、AWS Key Management Service(KMS)のどのキータイプを利用する必要がありますか?

A. AWSが管理するカスタマーマスターキー(CMK)

B. AWSで生成されたキーマテリアルを使用してお客様が管理するCMK

C. インポートされた主要な資料を使用して顧客が管理するCMK

D. AWSマネージドデータキー

□Question #195Topic 1

企業はオンプレミスのワークロードをAWSに転送しています。ログを分析するための現在のセキュリティ情報およびイベント管理(SIEM)システムは、その耐用年数の終わりに近づいており、多くのSIEMソリューションがその代わりになるように検討されています。組織は、システムを再構築せずにSIEMを交換したいと考えています。

運用への影響を最小限に抑えてこれを実現するには、セキュリティエンジニアは何をすべきですか?

A. ワークロードごとにSIEMログフォワーダーエージェントを使用してAMIを準備し、セキュリティチームのAWSアカウントにある一元化されたSIEMにログを送信するように設定します。ログをローカルログフォワーダーエージェントに転送するようにAmazonEC2インスタンスベースAMIを設定します。各ワークロードにAMIをデプロイします。

B. Amazon KinesisAgentを使用してAmazonEC2ベースAMIを設定し、セキュリティチームのAWSアカウントでAmazon Kinesis DataStreamsに送信するように設定します。 Kinesis DataStreamsにAWSLambda関数を追加して、ストリーミングされたログをSIEMにプッシュします。

C. ローカルのAWSCloudTrailログファイルにログを送信するようにAmazonEC2ベースAMIを設定します。ログをAmazonCloudWatchに送信するようにCloudTrailを設定します。セキュリティチームのAWSアカウントに中央SIEMを設定し、CloudWatchに関する情報を取得するようにプラーを設定します。

D. AWSマーケットプレイスで従量制のSIEMを選択します。各ワークロードにAMIをデプロイして、必要に応じて弾力性を提供します。 Amazon Athenaを使用して、リアルタイムのアラートを送信します。

□Question #196Topic 1

セキュリティエンジニアは、AWSアカウントのリージョンごとにAWSCloudTrailを作成しています。セキュリティを強化するために、ログはAWS KMS管理キー(SSE-KMS)を使用してサーバー上で暗号化され、ログの整合性チェックが有効になります。

セキュリティエンジニアは、ダイジェストファイルは読み取り可能ですが、ログファイルは読み取り可能ではないと判断します。

次のうち、最も可能性の高い原因はどれですか?

A. ログファイルは整合性検証に失敗し、自動的に使用不可としてマークされます。

B. KMSキーポリシーは、セキュリティエンジニアのIAMユーザーまたはロールに復号化する権限を付与しません。

C. バケットは、デフォルトとしてAmazon S3管理キー(SSE-S3)を使用してサーバー側の暗号化を使用するように設定されており、SSE-KMSで暗号化されたファイルを許可しません。

D. セキュリティエンジニアのIAMユーザーまたはロールに適用可能なIAMポリシーは、AmazonS3バケットの「CloudTrail /」プレフィックスへのアクセスを拒否します。

□Question #197Topic 1

AWSConfigとAWSOrganizationsはビジネスで使用されます。会社のアカウント管理者の1人が最近AWSConfigの記録を無効にしたため、重大なセキュリティイベントのログが不完全になりました。

会社のセキュリティエンジニアは、すべてのユーザーがAWSConfigを終了できないようにするSCPを確立する必要があります。さらに、SCPは、ApprovedAdministratorロールにAWSConfig設定を変更する機能を提供する必要があります。

どのSCPがこれらの基準を満たしていますか?

A.

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Effect": “Allow",

                                                        “Action": [

                                                                      “config:DeleteConfigRule",

                                                                      “config:DeleteConfigrationRecorder",

                                                                      “config:DeleteDeliveryChannel",

                                                                      “config:StopConfiguratiomRecoder"

                                                        ]

                                                        “Resource":"*",

                                                        “Condition": {

                                                                      “ArnEquals": {

                                                                                    “aws:PrincipalArn": “arn:aws:iam::*:role/ApprovedAdministrator"

                                                                      }

                                                        }

                                          }

                            ]

              }

B.

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Effect": “Deny",

                                                        “Action": [

                                                                      “config:DeleteConfigRule",

                                                                      “config:DeleteConfigrationRecorder",

                                                                      “config:DeleteDeliveryChannel",

                                                                      “config:StopConfiguratiomRecoder"

                                                        ]

                                                        “Resource":"*",

                                                        “Condition": {

                                                                      “ArnEquals": {

                                                                                    “aws:PrincipalArn": “arn:aws:iam::*:role/ApprovedAdministrator"

                                                                      }

                                                        }

                                          }

                            ]

              }

C.

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Effect": “Allow",

                                                        “Action": [

                                                                      “config:DeleteConfigRule",

                                                                      “config:DeleteConfigrationRecorder",

                                                                      “config:DeleteDeliveryChannel",

                                                                      “config:StopConfiguratiomRecoder"

                                                        ]

                                                        “Resource":"*",

                                                        “Principal": {

                                                                      “AWS": {

                                                                                    “arn:aws:iam::*:role/ApprovedAdministrator"

                                                                      }

                                                        }

                                          }

                            ]

              }

D.

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Effect": “Deny",

                                                        “Action": [

                                                                      “config:DeleteConfigRule",

                                                                      “config:DeleteConfigrationRecorder",

                                                                      “config:DeleteDeliveryChannel",

                                                                      “config:StopConfiguratiomRecoder"

                                                        ]

                                                        “Resource":"*",

                                                        “Principal": {

                                                                      “AWS": {

                                                                                    “arn:aws:iam::*:role/ApprovedAdministrator"

                                                                      }

                                                        }

                                          }

                            ]

              }

□Question #198Topic 1

セキュリティエンジニアは、AmazonEC2サーバー上のファイルが更新されているかどうかを判断できるシステムの開発を担当しています。その後、システムはセキュリティエンジニアに変更を通知する必要があります。

これらの要件を満たすのに最も効果的な方法はどれですか?

A. ウイルス対策ソフトウェアをインストールし、署名が最新であることを確認します。セキュリティイベントのアラートを送信するようにAmazonCloudWatchアラームを設定します。

B. ホストベースのIDSソフトウェアをインストールして、ファイルの整合性を確認します。監視とアラートのために、ログをAmazon CloudWatchLogsにエクスポートします。

C. システムログファイルをAmazonS3にエクスポートします。 AWS Lambda関数を使用してログファイルを解析します。この関数は、AmazonSNSを介して不正なシステムログイン試行のアラートを送信します。

D. Amazon CloudWatch Logsを使用して、ファイルシステムの変更を検出します。変更が検出された場合は、自動的に終了し、最新のAMIからインスタンスを再作成します。 Amazon SNSを使用して、イベントの通知を送信します。

□Question #199Topic 1

セキュリティエンジニアは、組織でのAWSの使用がAWSセキュリティのベストプラクティスに準拠していることを確認する責任があります。この一環として、AWSアカウントのrootユーザーを日常のタスクに利用してはなりません。 rootユーザーの使用状況を監視する必要があり、rootユーザーが使用されている場合は、セキュリティチームにただちに通知する必要があります。

これらの基準を満たすソリューションはどれですか?

A. AmazonSNS通知をトリガーするAmazonCloudWatchイベントルールを設定します。

B. rootユーザーのアクセスキーを作成します。 AWS Lambda関数を使用して、AmazonS3からのAWSCloudTrailログを解析し、AmazonSNSを使用して通知を生成します。

C. ルートユーザーイベントをトリガーするルールをAWSConfigに設定します。 AWS Lambda関数をトリガーし、AmazonSNSを使用して通知を生成します。

D. Amazon Inspectorを使用して、rootユーザーの使用状況を監視し、AmazonSNSを使用して通知を生成します。

□Question #200Topic 1

水道事業会社は、いくつかのAmazon EC2インスタンスを使用して、水質のチェックに使用される2,000のモノのインターネット(IoT)フィールドセンサーのフリートの更新を管理しています。これらの各デバイスには、独自のアクセスクレデンシャルのセットがあります。

運用上の安全性を管理するポリシーでは、特定の資格情報へのアクセスを個別に監査できるようにする必要があります。

クレデンシャルストレージを管理するための最も費用効果の高い方法は何ですか?

A. AWS Systems Managerを使用して、クレデンシャルをセキュアストリングスパラメーターとして保存します。 AWSKMSキーを使用して保護します。

B. AWS Key Management Systemを使用して、クレデンシャルの暗号化に使用されるマスターキーを保存します。暗号化されたクレデンシャルは、AmazonRDSインスタンスに保存されます。

C. AWS SecretsManagerを使用してクレデンシャルを保存します。

D. サーバー側の暗号化を使用してAmazonS3のJSONファイルにクレデンシャルを保存します。