AWS Security -13
□Question #241Topic 1
ビジネスはレポートをAmazonS3バケットに保存します。管理者は、S3バケットと同じアカウントで保持されているクライアント指定のAWS Key Management Service(AWS KMS)クライアント管理キーペア(CMK)を使用して、サーバー側の暗号化を利用して、このバケットに保存されている新しいアイテムを保存時に暗号化するように命令しました。 。 111122223333はAWSアカウント番号であり、reportbucketはバケット名です。要件を確実に実行できるようにするには、会社のセキュリティ専門家がS3バケットポリシーを作成する必要があります。
セキュリティスペシャリストはどのステートメントをポリシーに含める必要がありますか?
A.
{
“Effect": “Deny",
“Principal": “*",
“Action": “s3:PutObject",
“Resource": “arn:aws:s3:::reportbucket/*",
“Condition": {
“StringEquals": {
“s3:x-amz-server-side-encryption": “AES256"
}
}
}
B.
{
“Effect": “Deny",
“Principal": “*",
“Action": “s3:PutObject",
“Resource": “arn:aws:s3:::reportbucket/*",
“Condition": {
“StringEquals": {
“s3:x-amz-server-side-encryption-aws-kms-key-id": “arn:aws:kms:*:11112222333:key/*"
}
}
}
C.
{
“Effect": “Deny",
“Principal": “*",
“Action": “s3:PutObject",
“Resource": “arn:aws:s3:::reportbucket/*",
“Condition": {
“StringNotEquals": {
“s3:x-amz-server-side-encryption": “aws:kms"
}
}
}
D.
{
“Effect": “Deny",
“Principal": “*",
“Action": “s3:PutObject",
“Resource": “arn:aws:s3:::reportbucket/*",
“Condition": {
“StringNotLikeIfExists": {
“s3:x-amz-server-side-encryption-aws-kms-key-id": “arn:aws:kms:*:11112222333:key/*"
}
}
}
□Question #242Topic 1
セキュリティエンジニアは、AWSでホストされるウェブアプリケーションの開発について製品チームと協力しています。このアプリケーションは、静的コンテンツストレージにAmazon S3、RESTfulサービスプロビジョニングにAmazon API Gateway、バックエンドデータストレージにAmazonDynamoDBを利用します。ユーザーは、SAMLIDプロバイダーを介してアクセスできるディレクトリにすでに保存されています。
ユーザーがWebアプリケーションにログインしてAPIを使用できるようにするために、エンジニアは次のどのタスクを実行する必要がありますか? (3つ選択してください。)
A. AWSLambdaを使用してカスタム認証サービスを作成します。
B. 属性をAmazonCognitoユーザープール属性にマップするようにAmazonCognitoでSAMLIDプロバイダーを構成します。
C. AmazonCognitoユーザープールを証明書利用者として追加するようにSAMLIDプロバイダーを構成します。
D. ソーシャルログインプロバイダーと統合するようにAmazonCognitoIDプールを構成します。
E. DynamoDBを更新して、ユーザーのメールアドレスとパスワードを保存します。
F. COGNITO_USER_POOLSオーソライザーを使用するようにAPIGatewayを更新します。
□Question #243Topic 1
セキュリティエンジニアは、AWSLambda関数の実行を定期的にトリガーするAmazonCloudWatchイベントを作成しました。 Lambda関数は、AmazonS3のAWSCloudTrailログを検索して過去30日間にIAMユーザーアカウントまたはクレデンシャルを作成するAmazonAthenaクエリを実行します。 Athenaクエリは、同じS3バケットに結果を返します。エンジニアは、AWSコンソールを介してLambda関数をテストし、正しく機能することを確認します。
しばらくすると、エンジニアは自分のAthenaクエリが失敗し、次のエラーメッセージが表示されることを発見しました:「不十分な権限」。セキュリティエンジニアとLambda関数のIAM権限を以下に示します。
セキュリティエンジニア
–
{
“Version": “2012-10-17",
“Statement": [
{
“Effect": “Allow",
“Action": [
“s3:*",
“iam:*",
“lambda:*",
“athena:Get*",
“athena:List*",
“cloudwatch:*"
],
“Resource": “*"
}
]
}
ラムダ関数の実行ロール
–
{
“Version": “2012-10-17",
“Statement": [
{
“Effect": “Allow",
“Action": [
“athena:*",
“cloudwatch:*"
],
“Resource": “*"
}
]
}
エラーの原因は何ですか?
A. Lambda関数には、Athenaクエリの実行を開始する権限がありません。
B. セキュリティエンジニアには、Athenaクエリの実行を開始する権限がありません。
C. Athenaサービスは、Lambdaを介した呼び出しをサポートしていません。
D. Lambda関数には、CloudTrailS3バケットにアクセスするためのアクセス許可がありません。
□Question #244Topic 1
企業は、各アカウント内に個別の証跡を維持し、ログアーカイブアカウントにある一元化されたAmazon S3バケットにログデータを送信することにより、複数のAWSアカウントからAWSCloudTrailログデータを収集します。 CloudTrailによるAWSOrganizations Trailsのサポートの追加に続いて、組織は管理を一元化し、すべてのAWSアカウントにわたるCloudTrailロギング機能のデプロイを自動化することを選択しました。
組織のセキュリティエンジニアは、マスターアカウントでAWS組織の証跡を生成し、AWS KMS管理鍵(SSE-KMS)を使用してログファイルのサーバー側暗号化を有効にし、保存場所と同じバケットを指定しました。ただし、エンジニアは、新しいパスがログをバケットに配信していないことに気づきました。
この問題の原因となる可能性があるのはどれですか? (2つ選択してください。)
A. CMKキーポリシーでは、CloudTrailがキーに対してAPI呼び出しを暗号化および復号化することは許可されていません。
B. CMKキーポリシーでは、CloudTrailがキーに対してGenerateDatakeyAPI呼び出しを行うことはできません。
C. CloudTrailトレイルで使用されるIAMロールには、組織トレイル用に作成されたフォルダーに対してPutObjectAPI呼び出しを行うためのアクセス許可がありません。
D. S3バケットポリシーでは、CloudTrailが組織トレイル用に作成されたフォルダーに対してPutObjectAPI呼び出しを行うことを許可していません。
E. CMKキーポリシーでは、CloudTrailトレイルで使用されるIAMロールが暗号化操作にキーを使用することを許可していません。
□Question #245Topic 1
企業は、機密データセットをAmazonS3に移動する予定です。セキュリティエンジニアは、データが保存時に暗号化されていることを確認する責任があります。暗号化ソリューションでは、キーの保存や暗号化の管理を必要とせずに、企業が独自のキーを作成できるようにする必要があります。
これを行うには、セキュリティエンジニアはどのようなツールと手法を使用する必要がありますか?
A. Amazon S3管理キー(SSE-S3)を使用したサーバー側の暗号化
B. AWS KMS管理鍵(SSE-KMS)を使用したサーバー側の暗号化
C. 顧客提供のキーを使用したサーバー側の暗号化(SSE-C)
D. AWSKMSで管理されたCMKを使用したクライアント側の暗号化
□Question #246Topic 1
現在、アプリケーションはネットワークアクセス制御リストとセキュリティグループによって保護されています。 Webサーバーはパブリックサブネット上のApplicationLoad Balancer(ALB)の背後に配置されていますが、アプリケーションサーバーはプライベートサブネットに配置されています。
Amazon EC2インスタンスを攻撃から保護するために、エッジセキュリティをどのように改善できますか? (2つ選択してください。)
A. すべてのインバウンドトラフィックにNATゲートウェイを使用するようにアプリケーションのEC2インスタンスを設定します。
B. WebサーバーをパブリックIPアドレスのないプライベートサブネットに移動します。
C. ALBにDDoS攻撃保護を提供するようにAWSWAFを設定します。
D. すべてのインバウンドネットワークトラフィックがプライベートサブネットの要塞ホストを経由するように要求します。
E. すべてのインバウンドおよびアウトバウンドネットワークトラフィックがAWSDirectConnect接続を介してルーティングされるように要求します。
□Question #247Topic 1
セキュリティエンジニアは、3か月以上経過したIAMユーザーアクセスクレデンシャルを非アクティブ化するための自動メカニズムを開発する責任を負っています。
次の選択肢のうち、セキュリティエンジニアに適しているのはどれですか?
A. AWSコンソールで、IAMサービスを選択し、[ユーザー]を選択します。 [アクセスキーの経過時間]列を確認します。
B. キーの有効期間が3か月を超える場合にアクセスを拒否し、すべてのユーザーに適用されるIAMポリシーを定義します。
C. GenerateCredentialReport、GetCredentialReport、およびUpdateAccessKeyAPIを使用するスクリプトを記述します。
D. Amazon CloudWatchアラームを作成して、古いアクセスキーを検出し、AWSLambda関数を使用して90日より古いキーを無効にします。
□Question #248Topic 1
アクティビティを復号化するために使用される、新しく作成されたAWS KMS CMKは、AmazonEC2インスタンスへのアクセスを拒否されます。環境は次のように構成されています。
->インスタンスは、すべてのリソースに対してIAMロールでkms:Decryptアクションを許可されます
-> AWS KMSCMKステータスが有効に設定されている
->インスタンスは、構成済みのVPCエンドポイントを使用してKMSAPIと通信できます
問題の原因は何ですか?
A. kms:GenerateDataKeyパーミッションがEC2インスタンスのIAMロールにありません
B. CMKのARNタグには、インスタンスのARNではなくEC2インスタンスのIDが含まれています
C. kms:Encrypt権限がEC2IAMロールにありません
D. IAMユーザー権限を有効にするKMSCMKキーポリシーがありません
□Question #249Topic 1
最近の内部調査では、すべてのAPIロギングが本番アカウントで非アクティブ化されており、rootユーザーが数回使用されたように見える新しいAPIキーを作成したことが示されました。
そもそも状況の発生を防ぐために何がなされたのでしょうか。
A. Amazon Inspectorを使用して、すべてのAPI呼び出しを確認し、SNSトピックを活用してAWS CloudTrailへの変更をセキュリティに通知し、rootユーザーの新しいAPIキーを取り消すようにインスペクターエージェントを設定します。
B. AWS Configを使用して、AWS CloudTrailが無効になったことを検出する構成ルールと、rootユーザーのcreate-api-keyへの呼び出しを作成します。次に、Lambda関数を使用してCloudTrailログを再度有効にし、ルートAPIキーを非アクティブにします。
C. Amazon CloudWatchを使用して、AWS CloudTrailの非アクティブ化を検出するCloudWatchイベントと、ルートAPIキーの作成を自動的に検出するための個別のAmazon TrustedAdvisorチェックを作成します。次に、Lambda関数を使用してAWS CloudTrailを有効にし、ルートAPIキーを非アクティブにします。
D. Amazon CloudTrailを使用して、CloudTrailログの非アクティブ化を検出する新しいCloudTrailイベントと、ルートAPIキーの作成を検出する別のCloudTrailイベントを作成します。次に、Lambda関数を使用してCloudTrailを有効にし、ルートAPIキーを非アクティブにします。
□Question #250Topic 1
アプリケーションチームは、AmazonS3で使用する新しいAWSKMSマスターキーをリクエストしましたが、企業のセキュリティポリシーでは、ブラスト半径を制限するために、さまざまなAWSサービスのマスターキーを個別に保持することが義務付けられています。
AWS KMSカスタマーマスターキー(CMK)をAmazon S3のみで機能するように制限するにはどうすればよいですか?
A. Amazon S3サービスのみがkms:Encryptアクションを使用できるようにCMKキーポリシーを設定します。
B. kms:ViaService条件がAmazonS3サービス名と一致する場合にのみAWSKMSアクションを許可するようにCMKキーポリシーを設定します。
C. KMSがAmazonS3にロールを渡すことができるようにIAMユーザーのポリシーを設定します。
D. IAMユーザーのポリシーを設定して、CMKと組み合わせたときにAmazonS3操作のみを許可するようにします。
□Question #251Topic 1
セキュリティエンジニアは、単一のIPアドレスから異常に大量のトラフィックが発生していることを確認しました。これは、Application LoadBalancerのアクセスログを調べて決定されました。
セキュリティエンジニアは、特定のIPアドレスからの要求を禁止せずに制限するにはどうすればよいですか?
A. アプリケーションロードバランサーにルールを追加して、問題のIPアドレスから発信されたトラフィックをルーティングし、静的なWebページを表示します。
B. AWSWAFを使用してレートベースのルールを実装します。
C. AWS Shieldを使用して、発信トラフィックのヒット率を制限します。
D. Amazon Route53にGeoLocation機能を実装します。
□Question #252Topic 1
セキュリティエンジニアは、非常に機密性の高い個人データを処理するWebアプリケーションの管理を担当します。アプリケーションをホストするためにAmazonEC2が使用されます。アプリケーションは、アプリケーションへのすべての着信トラフィックを一般的なWebの脆弱性から保護する必要性や、EC2インスタンスからのすべての発信トラフィックを特定のホワイトリストに登録されたURLに制限する必要性など、厳格なコンプライアンス要件の対象となります。
これらの要件を満たすために、セキュリティエンジニアはどのアーキテクチャを選択する必要がありますか?
A. AWS Shieldを使用して、インバウンドトラフィックをスキャンしてWebエクスプロイトを探します。 VPCフローログとAWSLambdaを使用して、出力トラフィックを特定のホワイトリストに登録されたURLに制限します。
B. AWS Shieldを使用して、インバウンドトラフィックをスキャンしてWebエクスプロイトを探します。サードパーティのAWSMarketplaceソリューションを使用して、出力トラフィックを特定のホワイトリストに登録されたURLに制限します。
C. AWS WAFを使用して、インバウンドトラフィックをスキャンしてWebエクスプロイトを探します。 VPCフローログとAWSLambdaを使用して、出力トラフィックを特定のホワイトリストに登録されたURLに制限します。
D. AWS WAFを使用して、インバウンドトラフィックをスキャンしてWebエクスプロイトを探します。サードパーティのAWSMarketplaceソリューションを使用して、出力トラフィックを特定のホワイトリストに登録されたURLに制限します。
□Question #253Topic 1
企業は、現在のMicrosoft Active Directoryで指定されているIDとグループを使用して、AWSリソースへのアクセスを管理したいと考えています。
AWSサービスのアクセス許可をActiveDirectoryユーザー属性に一致させるために、組織はAWSアカウントで何を構築する必要がありますか?
A. AWSIAMグループ
B. AWSIAMユーザー
C. AWSIAMの役割
D. AWSIAMアクセスキー
□Question #254Topic 1
AWS Organizationsは、複数のAWSアカウントを管理するために企業によって使用されています。この組織は、AWS KMSCMKを使用して暗号化されたAmazonS3バケットからファイルを取得するために、ユーザーがAppUserIAMロールを取得できるようにするアプリケーションを提供しています。ユーザーがS3バケットに含まれているファイルにアクセスしようとすると、アクセス拒否エラーが発生します。
このエラーを解決するには、セキュリティエンジニアはどのようなアクションを取る必要がありますか? (3つ選択してください。)
A. KMSポリシーで、AppUserロールがCMKの復号化を許可されていることを確認してください。
B. S3バケットポリシーで、AppUserロールにS3バケットのオブジェクトを取得する権限があることを確認します。
C. CMKがS3バケットの前に作成されたことを確認します。
D. S3バケットでS3ブロックパブリックアクセス機能が有効になっていることを確認します。
E. CMKの自動キーローテーションが無効になっていることを確認します。
F. 組織内のSCPがS3バケットへのアクセスを許可していることを確認します。
□Question #255Topic 1
最近のセキュリティ評価中に、大企業内のさまざまなチームが制限されたデータを複数のAmazon S3バケットに保存していたことが明らかになり、データが公開された可能性があります。監査人は、企業が個人情報(PII)を含む潜在的に侵害されたすべてのアイテムを特定し、この情報がアクセスされたかどうかを評価することを要求しました。
セキュリティチームがこの要求を正常に実行できるようにするソリューションはどれですか?
A. Amazon Athenaを使用して、PIIクエリ識別子関数を使用して影響を受けるS3バケットをクエリします。次に、AmazonS3オブジェクトアクセス用の新しいAmazonCloudWatchメトリックスを作成して、オブジェクトがアクセスされたときにアラートを出します。
B. 影響を受けたS3バケットでAmazonMacieを有効にしてから、データ分類を実行します。 PIIを含む識別されたオブジェクトの場合、調査機能を使用してAWSCloudTrailログとGET操作のS3バケットログを監査します。
C. Amazon GuardDutyを有効にし、影響を受けたS3バケットでPIIルールセットを有効にしてから、データ分類を実行します。 GuardDutyからのPII調査結果レポートを使用して、GET操作にAthenaを使用してS3バケットログをクエリします。
D. 影響を受けたS3バケットでAmazonInspectorを有効にしてから、データ分類を実行します。 PIIを含む識別されたオブジェクトについては、GET操作にAthenaを使用してS3バケットログをクエリします。
□Question #256Topic 1
安全なコード開発のためのAWSのベストプラクティスに準拠する開発者は、アプリケーションがAWS KMSを使用して、アプリケーション内でローカルに保持されている機密データを暗号化することを要求します。
必要な場合にこのデータを復号化する最も簡単で最も安全な方法は何ですか?
A. KMSに、保存されている暗号化されていないデータキーを提供するように要求し、取得したデータキーを使用してデータを復号化します。
B. AmazonDynamoDBに保存されているプレーンテキストデータキーをIAMポリシーで保護します。 DynamoDBにクエリを実行して、データを復号化するためのデータキーを取得します
C. Encrypt APIを使用して、暗号化されたバージョンのデータキーを別の顧客管理キーとともに保存します。データキーを復号化し、必要に応じてそれを使用してデータを復号化します。
D. 暗号化されたデータキーを暗号化されたデータと一緒に保存します。 Decrypt APIを使用してデータキーを取得し、必要に応じてデータを復号化します。
□Question #257Topic 1
インシデント対応計画は、ハッキングされたAmazonEC2インスタンスの危険性を軽減するためにセキュリティエンジニアによって開発されています。計画では、次の要件を満たすソリューションの推奨事項を提供する必要があります。
->信頼できるフォレンジック環境をプロビジョニングする必要があります。
->自動応答プロセスを調整する必要があります
どのアマゾンウェブサービス(AWS)サービスをプランに含める必要がありますか? (2つ選択してください。)
A. AWS CloudFormation
B. Amazon GuardDuty
C. Amazon Inspector
D. Amazon Macie
E. AWS Step Functions
□Question #258Topic 1
企業は、ITインフラストラクチャの大部分をAWSに移行することを意図しています。彼らは、現在のオンプレミスのActiveDirectoryをAWSのIDのサプライヤーとして使用したいと考えています。
組織のオンプレミスActiveDirectoryをAWSと連携させるために、セキュリティエンジニアはどの手順を組み合わせる必要がありますか? (2つ選択してください。)
A. 各ActiveDirectoryグループに対応するアクセス許可を持つIAMロールを作成します。
B. 各ActiveDirectoryグループに対応するアクセス許可を持つIAMグループを作成します。
C. SAMLプロバイダーをサポートするようにAmazonCloudDirectoryを設定します。
D. ActiveDirectoryとAWSの間に証明書利用者の信頼を追加するようにActiveDirectoryを設定します。
E. ActiveDirectoryとAWSの間に証明書利用者の信頼を追加するようにAmazonCognitoを設定します。
□Question #259Topic 1
セキュリティエンジニアは、本番環境と開発環境に分割された数千のAmazonEC2インスタンスを管理しています。各インスタンスは、その周囲によって一意に識別されます。エンジニアは、すべての開発用Amazon EC2インスタンスを分析してパッチを適用し、現在一般的な脆弱性やエクスポージャー(CVE)に対して脆弱でないことを確認する責任があります。
これらの要件を満たすための最も効果的な手段をエンジニアに提供するステージの組み合わせはどれですか? (2つ選択してください。)
A. 各EC2インスタンスにログオンし、インストールされているさまざまなソフトウェアバージョンを確認してエクスポートし、現在のCVEのリストと照合して確認します。
B. すべての開発インスタンスにAmazonInspectorエージェントをインストールします。カスタムルールパッケージを作成し、開発環境にあるとタグ付けされたすべてのインスタンスでこのカスタムルールを使用してスキャンを実行するようにInspectorを構成します。
C. すべての開発インスタンスにAmazonInspectorエージェントをインストールします。開発環境にあるとタグ付けされたすべてのインスタンスでこのCVEルールパッケージを使用してスキャンを実行するようにインスペクターを構成します。
D. すべての開発インスタンスにAmazonEC2 SystemManagerエージェントをインストールします。 RunコマンドをEC2System Managerに発行して、すべてのインスタンスを更新します。
E. AWS Trusted Advisorを使用して、すべてのEC2インスタンスが最新バージョンのオペレーティングシステムとインストールされたソフトウェアにパッチされていることを確認します。
□Question #260Topic 1
企業の開発者は、Amazon LinuxAMIを使用してオンプレミスアプリをAmazonEC2インスタンスに移動したいと考えています。一連のパートナー企業がアプリにアクセスできます。このような状況では、セキュリティエンジニアは次のホストベースのセキュリティ対策を適用する必要があります。
->文書化された既知の不正なIPアドレスからのトラフィックをブロックします。
->既知のソフトウェアの脆弱性とCISベンチマークへの準拠を検出します。
これらの基準を満たすソリューションはどれですか?
A. IAMロールがアタッチされたEC2インスタンスを起動します。 AWSCLIを使用してAWSSecrets Managerから不正なIPアドレスのリストを取得し、それをAmazonGuardDutyに脅威リストとしてアップロードするユーザーデータスクリプトを含めます。 Amazon Inspectorを使用して、既知のソフトウェアの脆弱性とCISベンチマークへの準拠についてインスタンスをスキャンします。
B. IAMロールがアタッチされたEC2インスタンスを起動します。 AWS CLIを使用して、EC2インスタンスのサブネット内の既知の不正なIPアドレスからの入力トラフィックをブロックするNACLを作成するユーザーデータスクリプトを含めます。 AWS Systems Managerを使用してインスタンスの既知のソフトウェアの脆弱性をスキャンし、AWS TrustedAdvisorを使用してインスタンスのCISベンチマークへの準拠を確認します。
C. IAMロールがアタッチされたEC2インスタンスを起動します。 AWS CLIを使用して、リストされた送信元IPアドレス範囲のインバウンドのみを許可するセキュリティグループを作成してアタッチするユーザーデータスクリプトを含めます。 Amazon Inspectorを使用してインスタンスの既知のソフトウェアの脆弱性をスキャンし、AWS TrustedAdvisorを使用してインスタンスのCISベンチマークへの準拠を確認します。
D. IAMロールがアタッチされたEC2インスタンスを起動します。 cronジョブを作成してAmazonS3から不正なIPアドレスのリストを定期的に取得し、不正なIPアドレスのリストをブロックしているインスタンスにiptablesを設定するユーザーデータスクリプトを含めます。 Amazon Inspectorを使用して、既知のソフトウェアの脆弱性とCISベンチマークへの準拠についてインスタンスをスキャンします。