AWS Security -01
□Question #1Topic 1
セキュリティエンジニアは、Amazon Linux EC2インスタンスからのシステムログを手動でチェックした後、一部のsudoコマンドがAmazon CloudWatchLogsエージェントで適切に通知または報告されないことを発見しました。
sudoコマンドラインアラートがなかったのはなぜですか?
A. エージェントがログを送信するのを妨げているアウトバウンドポート80トラフィックをブロックしているセキュリティグループがあります。
B. EC2インスタンスのIAMインスタンスプロファイルが、CloudWatchLogsエージェントがログをCloudWatchにプッシュできるように適切に設定されていませんでした。
C. CloudWatch LogsのステータスがON対SECUREに設定されているため、OSセキュリティイベントログを取得できません。
D. VPCでは、すべてのトラフィックがプロキシを通過する必要があり、CloudWatchLogsエージェントはプロキシ設定をサポートしていません。
□Question #2Topic 1
AWS KMSカスタマーマスターキー(CMK)が暗号化または復号化アクティビティに使用されないようにするには、組織は24時間以内にそれを削除する機能を提供する必要があります。
次のアクティビティのどれがこの基準を満たしていますか?
A. KMS内でキーを手動でローテーションして、新しいCMKをすぐに作成します。
B. KMSのキーのインポート機能を使用して、キーの削除操作を実行します。
C. KMS内のスケジュールキー削除機能を使用して、削除の最小待機期間を指定します。
D. KMS CMKエイリアスを変更して、サービスがCMKを使用できないようにします。
□Question #3Topic 1
VPCフローログは、企業のセキュリティ戦略の一環として、すべてのVPCで有効にする必要があります。セキュリティエンジニアは、コンプライアンス監査のプロセスを自動化してVPCリソースを監査したいと考えています。
エンジニアは互いに関連してどのアクティビティを実行する必要がありますか? (少なくとも2つ選択してください。)
A. 特定のVPCでフローログが有効になっているかどうかを判断するAWSLambda関数を作成します。
B. 会社のAWSアカウントのVPCごとにAWSConfig設定アイテムを作成します。
C. リソースタイプがAWS :: Lambda :: FunctionのAWSConfigマネージドルールを作成します。
D. AWSConfigによって発行されたイベントでトリガーするAmazonCloudWatchイベントルールを作成します。
E. AWS Configカスタムルールを作成し、評価ロジックを含むAWSLambda関数に関連付けます。
□Question #4Topic 1
セキュリティの問題が発生した場合、セキュリティエンジニアは、インシデント対応チームがユーザーのIAM権限の変更を監査できるようにするシステムを作成する必要があります。
これはどのように可能ですか?
A. AWS Configを使用して、インシデントの前後にユーザーに割り当てられたIAMポリシーを確認します。
B. AWS CLIを介してGenerateCredentialReportを実行し、監査の目的で出力をAmazonS3に毎日コピーします。
C. AWS CloudFormationテンプレートをS3にコピーし、テンプレートからの変更を監査します。
D. Amazon EC2 Systems Managerを使用してイメージをデプロイし、AWSCloudTrailログで変更を確認します。
□Question #5Topic 1
プログラムはログをテキストファイルに書き込みます。セキュリティの問題は、ログで定期的に追跡する必要があります。
最小限の労力で基準を満たす設計はどれですか?
A. コンポーネントのログをAmazonS3にコピーするためのスケジュールされたプロセスを作成します。 S3イベントを使用して、AmazonCloudWatchメトリクスをログデータで更新するLambda関数をトリガーします。メトリックスに基づいてCloudWatchアラートを設定します。
B. アプリケーションのEC2インスタンスにAmazonCloudWatchLogsエージェントをインストールして設定します。 CloudWatchメトリックスフィルターを作成して、アプリケーションログをモニターします。メトリックスに基づいてCloudWatchアラートを設定します。
C. アプリケーションログファイルをAWSCloudTrailにコピーするスケジュールされたプロセスを作成します。 S3イベントを使用して、CloudWatchメトリクスをログデータで更新するLambda関数をトリガーします。メトリックスに基づいてCloudWatchアラートを設定します。
D. アプリケーションがログファイルに書き込むときにAmazonKinesisにデータをコピーするファイルウォッチャーを作成します。 KinesisにLambda関数をトリガーさせて、AmazonCloudWatchメトリクスをログデータで更新します。メトリックスに基づいてCloudWatchアラートを設定します。
□Question #6Topic 1
システムエンジニアには、現在のTLS要件を順守しながら、Simple Email Service(SES)を使用して送信メールを確立する責任が割り当てられています。 メールアプリケーションが接続するように構成する必要があるエンドポイントと一致するポートは次のうちどれです
か?
A. ポート8080経由のemail.us-east-1.amazonaws.com
B. ポート995経由のemail-pop3.us-east-1.amazonaws.com
C. ポート587経由のemail-smtp.us-east-1.amazonaws.com
D. ポート993経由のemail-imap.us-east-1.amazonaws.com
□Question #7Topic 1
企業は、インポートされたキーマテリアルを使用して、カスタマーマスターキー(CMK)を作成します。すべての暗号化キーは、会社のポリシーに従って毎年ローテーションする必要があります。
前述のポリシーを実行するためにどのような手順を実行できますか?
A. CMKの自動キーローテーションを毎年有効にします。
B. AWSコマンドラインインターフェイスを使用して、既存のCMKを毎年ローテーションするAWSLambda関数を作成します。
C. 新しいキーマテリアルを既存のCMKにインポートし、CMKを手動でローテーションします。
D. 新しいCMKを作成し、それに新しいキーマテリアルをインポートして、キーエイリアスが新しいCMKを指すようにします。
□Question #8Topic 1
セキュリティエンジニアは、AWS CloudFormationテンプレートを使用して、プライベートAMIから多数のAmazonEC2インスタンスをデプロイしました。エンジニアは、起動直後に終了するインスタンスを監視します。
これらの終了の理由は何でしょうか?
A. これらのインスタンスを起動するIAMユーザーにec2:RunInstances権限がありません
B. 使用されているAMIは暗号化されており、IAMユーザーには必要なAWSKMS権限がありません
C. EC2インスタンスで使用されるインスタンスプロファイルは、インスタンスメタデータをクエリできません
D. AWSは現在、この地域に十分な容量がありません
□Question #9Topic 1
異常に多数の違法なAWSAPIクエリが検出された場合に、自動セキュリティ警告をトリガーする手法はどれですか?
A. API呼び出しのエラーコードを検索するAmazonCloudWatchメトリクスフィルターを作成し、そのメトリクスのレートに基づいてアラームを実装します。 B. イベントデータをAmazonKinesisにストリーミングするようにAWSCloudTrailを設定します。しきい値を
超えたときにアラームを発するように、ストリームでAWSLambda関数を設定します。
C. CloudTrailログファイルに対してAmazonAthenaSQLクエリを実行します。 Amazon QuickSightを使用して、運用ダッシュボードを作成します。
D. Amazon Personal Health Dashboardを使用して、アカウントによるAWSサービスの使用を監視し、サービスエラー率が増加した場合にアラートを発行します。
□Question #10Topic 1
DDoS攻撃により、eコマースWebサイトが1時間ノックオフされました。暴行フェーズの間、ユーザーはWebサイトにアクセスできませんでした。 eコマース会社のセキュリティスタッフは、将来起こりうる暴行を懸念しており、それらに備えたいと考えています。暴行などの将来に対する会社の対応は、可能な限り迅速でなければなりません。
これを行うのに役立つ可能性のある対策はどれですか? (2つ選択してください。)
A. Amazon GuardDutyを有効にして、悪意のあるアクティビティを自動的に監視し、不正アクセスをブロックします。
B. AWS Shield Advancedにサブスクライブし、攻撃が発生した場合はAWSサポートに連絡してください。
C. VPCフローログを使用してネットワークトラフィックを監視し、AWSLambda機能を使用してセキュリティグループを使用して攻撃者のIPを自動的にブロックします。
D. Amazon CloudWatchイベントルールを設定して、AWS CloudTrailイベントをリアルタイムで監視し、AWS Configルールを使用して設定を監査し、AWS SystemsManagerを使用して修正します。
E. AWS WAFを使用して、そのような攻撃に対応するためのルールを作成します。
□Question #11Topic 1
開発チームは、AWS Key Management Service(AWS KMS)CMKを使用して、AWS SystemsManagerパラメーターストアからの安全な文字列パラメーターを暗号化およびデコードしようとしています。ただし、試行するたびに、開発チームにエラーメッセージが送信されます。
どのCMK関連の問題がエラーの原因である可能性がありますか? (2つ選択してください。)
A. 試行で使用されたCMKは存在しません。
B. CMKはローテーションが必要な試みで使用されます。
C. CMKは、CMKARNの代わりにCMKのキーIDを使用する試みで使用されます。
D. 試行で使用されたCMKが有効になっていません。
E. エイリアスを使用しようとしてCMKが使用されています。
□Question #12Topic 1 開発者は、環境変数を使用して接続およびログ情報を格納するAWSLambda関数を開発しています。
Lambda環境変数を保護するためのビジネスルールに準拠するには、開発者は情報セキュリティ部門によって発行されたAWS KMSカスタマーマスターキー(CMK)を利用する必要があります。
この配置が正しく機能するために必要なものは次のうちどれですか? (2つ選択してください。)
A. 開発者は、-vpc-configパラメータを使用してVPCへのLambdaアクセスを設定する必要があります。
B. Lambda関数の実行ロールには、AWS IAMポリシーにkms:Decrypt権限が追加されている必要があります。
C. KMSキーポリシーでは、開発者がKMSキーを使用するためのアクセス許可を許可する必要があります。
D. 開発者に割り当てられたAWSIAMポリシーには、kms:GenerateDataKeyアクセス許可が追加されている必要があります。
E. Lambda実行ロールには、AWS IAMポリシーにkms:Encrypt権限が追加されている必要があります。
□Question #13Topic 1
次のうち、Amazon CloudFrontがSSL証明書を使用するための適切なセットアップはどれですか? (3つ選択してください。)
A. デフォルトのAWSCertificateManager証明書
B. AWSKMSに保存されているカスタムSSL証明書
C. デフォルトのCloudFront証明書
D. AWS CertificateManagerに保存されているカスタムSSL証明書
E. AWS SecretsManagerに保存されているデフォルトのSSL証明書
F. AWSIAMに保存されているカスタムSSL証明書
□Question #14Topic 1
企業は、AWS Key Management Service(AWS KMS)CMKを使用して、ストレージの前にアプリケーションデータを暗号化します。最近、会社のセキュリティポリシーが修正され、毎年暗号化キーのローテーションが含まれるようになりました。プログラムを変更せずに、セキュリティエンジニアは、キーに対して毎年グローバルキーローテーションが有効になっていることを確認する必要があります。
この要件を満たすためのセキュリティエンジニアの責任は何ですか?
A. 新しいAWSマネージドキーを作成します。年次ローテーションの主要なスケジュールを構成します。新しいキーを指すエイリアスを作成します。
B. 既存の顧客管理CMKの自動年次キーローテーションを有効にします。アプリケーション暗号化ライブラリを更新して、すべての暗号化操作に新しいキーIDを使用します。古いキーIDにフォールバックして、以前のバージョンのキーで暗号化されたデータを復号化します。
C. 新しいAWSマネージドCMKを作成します。年次ローテーションの主要なスケジュールを構成します。新しいCMKを指すエイリアスを作成します。
D. 既存の顧客管理CMKの自動年次キーローテーションを有効にします。アプリケーション暗号化ライブラリを更新して、すべての暗号化操作に新しいキーIDを使用します。古いCMKのキー許可を作成し、許可のARNを指すようにコードを更新します。
□Question #15Topic 1
ビジネスはAWSで多くのワークロードを実行します。 AWSマネジメントコンソールを使用するには、従業員はオンプレミスのADFSとSSOを使用して認証する必要があります。従来のウェブアプリケーションは、開発者によってAmazonEC2インスタンスに転送されました。従業員はインターネット上のどこからでもこのプログラムを使用できる必要がありますが、アプリケーションには現在認証方法がありません。
プログラムを変更せずに、セキュリティエンジニアはこのシステムへの従業員のみのアクセスをどのように確立する必要がありますか?
A. アプリケーションをApplicationLoad Balancer(ALB)の背後に配置します。 ALBの認証としてAmazonCognitoを使用します。 SAMLベースのAmazonCognitoユーザープールを定義し、それをADFSに接続します。
B. マスターアカウントにAWSSSOを実装し、IDプロバイダーとしてADFSにリンクします。 EC2インスタンスをマネージドリソースとして定義してから、リソースにIAMポリシーを適用します。
C. Amazon Cognito IDプールを定義してから、ActiveDirectoryサーバーにコネクタをインストールします。アプリケーションインスタンスでAmazonCognito SDKを使用して、ActiveDirectoryのユーザー名とパスワードを使用して従業員を認証します。
D. AmazonEC2でリバースプロキシのオーセンティケーターとしてAWSLambdaカスタムオーソライザーを作成します。 AmazonEC2のセキュリティグループがLambda関数からのアクセスのみを許可していることを確認してください。
□Question #16Topic 1
ルールに準拠するには、企業はログデータアーカイブを何年も保存する必要があります。ログデータは不要になりましたが、保存する必要があります。
これらの要件を満たす上で最も安全で費用効果の高い方法はどれですか?
A. データをAmazonS3にアーカイブし、制限バケットポリシーを適用して、s3:DeleteObjectAPIを拒否します。
B. データをAmazonS3 Glacierにアーカイブし、VaultLockポリシーを適用します。 C. データをAmazonS3にアーカイブし、2番目のAWSリージョンの2番目のバケットに複製しました。 S3 Standard-Infrequent Access(S3 Standard-IA)ストレージクラスを選択し、制限付きバケットポリシ
ーを適用して、s3:DeleteObjectAPIを拒否します。
D.ログデータを16TBのAmazonElastic Block Store(Amazon EBS)ボリュームに移行します。 EBSボリュームのスナップショットを作成します。
□Question #17Topic 1
企業は、無効または有害な情報がないかIPパケットデータを検査する必要があります。
次の戦略のどれがこの基準を満たしていますか? (2つ選択してください。)
A. Amazon EC2でプロキシソリューションを設定し、それを介してすべてのアウトバウンドVPCトラフィックをルーティングします。 EC2インスタンスのプロキシソフトウェア内で検査を実行します。
B. VPC内の各EC2インスタンスでホストベースのエージェントを設定します。ホストベースのエージェント内で検査を実行します。
C. VPC内のすべてのサブネットに対してVPCフローログを有効にします。 Amazon CloudWatchLogs内のフローログデータからインスペクションを実行します。
D. Elastic Load Balancing(ELB)アクセスログを設定します。 ELBアクセスログファイル内のログデータから検査を実行します。
E.VPC内の各EC2インスタンスでCloudWatchLogsエージェントを設定します。 CloudWatchLogs内のログデータからインスペクションを実行します。
□Question #18Topic 1
セキュリティエンジニアは、以前のDDoS攻撃の経験に応じて、AmazonS3バケット用にAmazonCloudFrontディストリビューションを設定しました。一部のユーザーがCloudFrontディストリビューションを迂回して、S3バケットに直接アクセスする可能性があるという懸念が表明されています。
人々がURLを介してS3アイテムに直接アクセスできないようにするにはどうすればよいですか?
A. バケットの所有者だけがアクセスできるようにS3バケット/オブジェクトのアクセス許可を変更します。
B. CloudFrontオリジンアクセスID(OAI)を設定し、OAIのみがアクセスできるようにS3バケット/オブジェクトのパーミッションを変更します。
C. CloudFrontのIAMロールを作成し、IAMロールのみがアクセスできるようにS3バケット/オブジェクトのアクセス許可を変更します。
D. S3バケットアクセスを対応するCloudFrontディストリビューションにリダイレクトします。
□Question #19Topic 1
ビジネスにはAWSアカウントがあり、サードパーティの請負業者が別のAWSアカウントを使用して特定のIAM機能を利用することを承認しています。組織は、IAMユーザーアカウントで多要素認証が有効になっている場合にのみ、請負業者がIAMの責任を受け入れることができることを保証したいと考えています。
これを達成するために、企業はどのような行動を取るべきですか?
A. すべてのIAMロールに関連付けられているIAMポリシーに次の条件を追加します: “Effect": “Deny"、 “Condition":{“BoolItExists":{“aws:MultiFactorAuthPresent":false}}
B. すべてのIAMロールに付加されたIAMポリシーに次の条件を追加します: “Effect": “Deny"、 “Condition":{“Bool":{“aws:MultiFactorAuthPresent":false}}
C. すべてのIAMロールに付加されたIAMポリシーに次の条件を追加します: “Effect": “Allow"、 “Condition":{“Null":{“aws:MultiFactorAuthPresent":false}}
D. すべてのIAMロールに関連付けられているIAMポリシーに次の条件を追加します: “Effect": “Allow"、 “Condition":{“BoolItExists":{“aws:MultiFactorAuthPresent":false}}
□Question #20Topic 1
企業は、AWSアカウントでサーバー側の暗号化を利用して、AmazonS3のアイテムを保護することを選択しました。オブジェクトのサイズは16,000Bから5MBまでさまざまです。次の条件が適用されます。
->キーマテリアルは、FIPS140-2レベル3認定コンピューターで作成および保存する必要があります。
->重要なコンテンツは多くの地域でアクセス可能でなければなりません。
これらの基準を満たす代替案はどれですか?
A. AWS KMSのお客様が管理するキーを使用し、キーマテリアルをAWSに保存して、リージョン間でレプリケーションを行います。
B. AWSの顧客管理キーを使用し、社内のAWSCloudHSMを使用してキーマテリアルをAWSKMSにインポートし、キーマテリアルをAmazonS3に安全に保存します。
C. AWSCloudHSMクラスターに基づくAWSKMSカスタムキーストアを使用し、リージョン間でバックアップをコピーします。
D. AWS CloudHSMを使用して、リージョン間でキーマテリアルとバックアップキーを生成します。 Java Cryptography Extension(JCE)およびPublic Key Cryptography Standards#11(PKCS#11)暗号化ライブラリを使用して、データを暗号化および復号化します。