AWS Security -15
□Question #281Topic 1
ウェブサイトexample.comのウェブ管理者はウェブサイトdev.example.comのAmazonCloudFrontディストリビューションを構築しましたが、AWS CertificateManagerにインポートされたカスタムTLS証明書を使用してHTTPSを設定する必要があります。
CloudFrontコンソールで証明書が利用可能かどうかを確認するには、どの手順のシーケンスが必要ですか? (2つ選択してください。)
A. パスパラメーターに/ cloudfront / dev /を指定してUploadServerCertificateを呼び出します。
B. 4,096ビットのRSA公開鍵を使用して証明書をインポートします。
C. 証明書、秘密鍵、および証明書チェーンがPKCS#12でエンコードされていることを確認します。
D. us-east-1(N。Virginia)リージョンに証明書をインポートします。
E. 証明書、秘密鍵、および証明書チェーンがPEMでエンコードされていることを確認します。
□Question #282Topic 1
アプリケーション開発者は、長さが2KB未満のAPIキーを暗号化およびデコードするためにAWSKMSを使用する必要があるAWSLambda関数を使用しています。
可能な限り最小限の権限を提供しながら、アプリケーションがこれを実行できるようにする主要なポリシーはどれですか?
A.
{
“Sid": “AllowUserOfTheKey",
“Effect": “Allow",
“Principal": {“AWS": “arn:aws:iam::444455556666:role/EncryptionApp"},
“Action": [
“kms:*"
],
“Resource": “*"
}
B.
{
“Sid": “AllowUserOfTheKey",
“Effect": “Allow",
“Principal": {“AWS": “arn:aws:iam::444455556666:role/EncryptionApp"},
“Action": [
“kms:Encrypt",
“kms:Decrypt"
],
“Resource": “*"
}
C.
{
“Sid": “AllowUserOfTheKey",
“Effect": “Allow",
“Principal": {“AWS": “arn:aws:iam::444455556666:role/EncryptionApp"},
“Action": [
“kms:DescribeKey",
“kms:GenerateDataKey",
“kms:Encrypt",
“kms:ReEncrypt",
“kms:Decrypt"
],
“Resource": “*"
}
D.
{
“Sid": “AllowUserOfTheKey",
“Effect": “Allow",
“Principal": {“AWS": “arn:aws:iam::444455556666:role/EncryptionApp"},
“Action": [
“kms:DescribeKey",
“kms:GenerateDataKey",
“kms:Encrypt",
“kms:ReEncrypt",
“kms:Disable",
“kms:Decrypt"
],
“Resource": “*"
}
□Question #283Topic 1
カスタマーマスターキー(CMK)に関連付けられた次のAWS Key Management Service(KMS)キーポリシーは何を達成しますか?
{
“Sid": “AllowUserOfTheKey",
“Effect": “Allow",
“Principal": {“AWS": “arn:aws:iam::111122223333:user/ExampleUser"},
“Action": [
“kms:Encrypt",
“kms:Decrypt"
“kms:GenerateDataKey",
“kms:CreateGrant",
“kms:ListGrants"
],
“Resource": “*"
“Condition": {
“StringEquals": {
“kms:ViaService": [
“workmail.us-west-2.amazonaws.com",
“ses.us-west-2.amazonaws.com"
]
}
}
}
A. AmazonWorkMailおよびAmazonSESサービスは、KMSの暗号化および復号化のアクセス許可を111122223333アカウントのExampleUserプリンシパルに委任しています。
B. ExampleUserプリンシパルは、特にExampleUserとAWSの間のメール交換を透過的に暗号化および復号化できます。
C. CMKは、プリンシパルがExampleUserであり、要求が指定されたリージョンのWorkMailまたはSESから送信された場合にのみ、暗号化と復号化に使用されます。
D. キーポリシーにより、WorkMailまたはSESは、アカウント内の任意のCMKについて、ユーザーに代わって暗号化または復号化できます。
□Question #284Topic 1
セキュリティエンジニアは、AWSサービスで使用される暗号化キーが特定の規制基準に準拠しているかどうかを判断しています。
エンジニアがさらにガイダンスを得るには、次のうちどれを行う必要がありますか?
A. AWSカスタマーアグリーメントをお読みください。
B. AWSArtifactを使用してAWSコンプライアンスレポートにアクセスします。
C. AWSディスカッションフォーラムに質問を投稿します。
D. AWS Configを実行し、設定出力を評価します。
□Question #285Topic 1
セキュリティエンジニアは、以下に示すキーポリシーを使用して、新しいAWS Key Management Service(AWS KMS)キーを作成しました。
{
“Effect": “Allow",
“Principal": {“AWS": “arn:aws:iam::111122223333:root"},
“Action": “kms:*";
“Resource": “*"
}
重要なポリシーの結果は何ですか? (2つ選択してください。)
A. ポリシーでは、AWSアカウント111122223333にアクセスして、IAMポリシーを介してキーアクセスを管理できます。
B. ポリシーにより、アカウント111122223333のすべてのIAMユーザーがKMSキーに完全にアクセスできるようになります。
C. ポリシーにより、アカウント111122223333のrootユーザーがKMSキーに完全にアクセスできるようになります。
D. ポリシーにより、アカウント111122223333のKMSサービスにリンクされたロールがKMSキーに完全にアクセスできるようになります。
E. ポリシーにより、アカウント111122223333のすべてのIAMロールがKMSキーに完全にアクセスできるようになります。
□Question #286Topic 1
企業のセキュリティエンジニアは、すべてのAWSアカウントのrootユーザーアクティビティを監視およびレポートする任務を負っています。
次のオプションのうち、セキュリティエンジニアがすべてのrootユーザーのアクティビティを監視および報告できるようにするのはどれですか? (2つ選択してください。)
A. 有料アカウントでrootユーザーAPI呼び出しを監視するようにAWS組織を設定する
B. rootユーザーからのAPI呼び出しが報告されたときにトリガーされるAmazonCloudWatchイベントルールを作成する
C. ルートユーザーアクティビティについてAWSアカウントをスキャンするようにAmazonInspectorを設定する
D. rootユーザーがコンソールにログインしたときにセキュリティチームにEメールを送信するようにAWSTrustedAdvisorを設定する
E. AmazonSNSを使用してターゲットグループに通知する
□Question #287Topic 1
セキュリティ管理者は、AmazonS3でホストされているWebサイトを所有しています。管理者には、次の責任があります。
->ユーザーは、AmazonCloudFrontディストリビューションを使用してWebサイトにアクセスできます。
->ユーザーは、Amazon S3URLを使用してWebサイトに直接アクセスすることはできません。
どの組み合わせがこれらの基準を満たしますか? (2つ選択してください。)
A. オリジンアクセスIDをCloudFrontディストリビューションに関連付けます。
B. S3バケットポリシーにプリンシパル:cloudfront.amazonaws.com条件を実装します。
C. S3バケットのパーミッションを変更して、オリジンアクセスIDのみがバケットのコンテンツにアクセスできるようにします。
D. セキュリティグループを実装して、目的のCloudFrontディストリビューションを使用することによってのみS3バケットにアクセスできるようにします。
E. VPCエンドポイントからのみアクセスできるようにS3バケットポリシーを設定し、CloudFrontディストリビューションを指定されたVPCに配置します。
□Question #288Topic 1
セキュリティ管理者はAmazonS3バケットを設定しており、次のセキュリティ仕様に準拠する必要があります。
->転送中の暗号化
->保存時の暗号化
-> AWSCloudTrailでのすべてのオブジェクト取得のログ
次のうちどれがセキュリティのこれらの基準を満たしていますか? (3つ選択してください。)
A. S3バケットポリシーの条件内で「aws:SecureTransport」:「true」を指定します。
B. ポート443は許可するが、ポート80は許可しないS3バケットのセキュリティグループを有効にします。
C. S3バケットのデフォルトの暗号化を設定します。
D. AWSアカウントのAmazonCloudWatchログを有効にします。
E. すべてのS3オブジェクトのデータイベントのAPIロギングを有効にします。
F. S3バケットのS3オブジェクトのバージョン管理を有効にします。