AWS Security -04
□Question #61Topic 1
Amazon EC2インスタンスでは、Example.comは内部ドキュメントリポジトリを維持します。プログラムはAmazonEC2インスタンスでホストされており、ペーパーは以前は暗号化されたAmazonEBSボリュームに保存されていました。 Example.comは、ファイルをAmazon S3に移行して、プログラムの成長を最適化しました。セキュリティチームは、EBSボリューム上のすべてのファイルを安全に消去するように指示しました。また、基盤となるディスクを解放する前に、データが読み取れないことを保証する必要があります。
次のアプローチのうち、他の誰もデータを読み取れないことを保証するのはどれですか?
A. EBSボリュームのボリューム暗号化を変更して、別の暗号化メカニズムを使用します。次に、EBSボリュームをリリースしてAWSに戻します。
B. ボリュームをリリースしてAWSに戻します。 AWSは、プロビジョニングが解除された後、すぐにディスクをワイプします。
C. EBSボリュームの暗号化に使用された暗号化キーを削除します。次に、EBSボリュームをリリースしてAWSに戻します。
D. オペレーティングシステムのdeleteコマンドを使用してデータを削除します。ドライブでクイックフォーマットを実行してから、EBSボリュームをリリースしてAWSに戻します。
□Question #62Topic 1
AWS Organizationsは、複数のAWSメンバーアカウントを処理するためにビジネスで使用されています。 Amazon GuardDutyは、すべてのリージョンのこれらすべてのアカウントでアクティブ化されます。ロギングとモニタリング用の統合セキュリティアカウントは、会社のAWSセキュリティオペレーションセンターによって使用されます。メンバーアカウントの1つに天文学的な費用が発生しました。セキュリティエンジニアは、Amazon EC2インスタンスがハッキングされ、ビットコインのマイニングに使用されていることを知りました。セキュリティオペレーションセンターは中央のセキュリティアカウントでGuardDutyの検出を取得しませんでしたが、ハッキングされたEC2インスタンスを保持しているアカウントはGuardDutyの検出を受信しました。セキュリティエンジニアは、セキュリティアカウントのセキュリティダッシュボードからすべてのGuardDutyの結果にアクセスできることを確認する必要があります。
この問題を解決する上でのセキュリティエンジニアの責任は何ですか?
A. すべてのGuardDutyの結果をセキュリティアカウントに転送するようにAmazonCloudWatchイベントルールを設定します。 AWS Lambda関数をターゲットとして使用して、調査結果を提示します。
B. すべてのGuardDutyの結果をセキュリティアカウントに転送するようにAmazonCloudWatchイベントルールを設定します。 AWS Lambda関数をターゲットとして使用して、AWS SecurityHubで結果を提示します。
C. セキュリティアカウントのGuardDutyが、guardduty; listfindings権限を使用して、侵害されたアカウントで役割を引き受けることができることを確認します。 Amazon CloudWatchEventsルールとAWSLambda関数をスケジュールして、GuardDutyの結果を定期的にチェックします。
D. セキュリティアカウントでawsguardduty get-members AWS CLIコマンドを使用して、アカウントがリストされているかどうかを確認します。セキュリティアカウントのGuardDutyから侵害されたアカウントのGuardDutyに招待状を送信します。今後のすべてのGuardDutyの結果を転送するための招待を受け入れます。
□Question #63Topic 1
MySQL用のAmazonRDSは、アプリケーションのデータベースエンジンとして企業で使用されています。最近のセキュリティ評価では、RDSインスタンスが会社のポリシーに従って保存時に暗号化されていないことがわかりました。会社のセキュリティエンジニアは、現在のすべてのRDSデータベースがサーバー側の暗号化を使用して保護され、将来のポリシー違反が認識されることを保証する必要があります。
これを達成するために、セキュリティエンジニアはどのような対策を組み合わせて行う必要がありますか? (2つ選択してください。)
A. 暗号化されたRDSデータベースの作成を検出するためのAWSConfigルールを作成します。 Amazon EventBridge(Amazon CloudWatch Events)ルールを作成してAWS Configルールのコンプライアンス状態の変更をトリガーし、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティオペレーションチームに通知します。
B. AWS System Manager State Managerを使用して、RDSデータベースの暗号化設定のドリフトを検出します。 Amazon EventBridge(Amazon CloudWatch Events)ルールを作成して状態の変化を追跡し、Amazon Simple Notification Service(Amazon SNS)を使用してセキュリティオペレーションチームに通知します。
C. 既存の暗号化されていないRDSデータベースのリードレプリカを作成し、プロセスでレプリカ暗号化を有効にします。レプリカがアクティブになったら、それをスタンドアロンデータベースインスタンスにプロモートし、暗号化されていないデータベースインスタンスを終了します。
D. 暗号化されていないRDSデータベースのスナップショットを作成します。スナップショットをコピーし、プロセスでスナップショット暗号化を有効にします。新しく作成された暗号化されたスナップショットからデータベースインスタンスを復元します。暗号化されていないデータベースインスタンスを終了します。
E. 既存のデータベースの設定を変更して、識別された暗号化されていないRDSインスタンスの暗号化を有効にします。
□Question #64Topic 1
企業はAmazonCloudFrontを使用して、HTTPライブストリーミング(HLS)を使用してライブビデオコンテンツを有料の顧客に送信します。 HLSは、ユーザーがさまざまなパラメーターに応じて適切なチャンクを要求できるように、ビデオ素材をスライスします。ビデオイベントの長さのため、ビデオ全体は何千ものフラグメントで構成されています。
オリジンURLは隠されており、すべてのユーザーはCloudFrontURLにアクセスする必要があります。組織はWebアプリケーションを使用して、内部リポジトリとすでに発行されているCloudFrontキーペアに対して有料の顧客を認証します。
コンテンツ保護の最も簡単で最も効果的な方法は何ですか?
A. CloudFrontキーペアを使用して、ユーザーがコンテンツへのアクセスに使用する署名付きURLを作成するアプリケーションを開発します。
B. CloudFrontキーペアを使用して、ユーザーがコンテンツへのアクセスに使用する署名付きCookieを設定するアプリケーションを開発します。
C. Lambda @Edgeがコンテンツへのアクセスを認証および承認するために受け取るセキュリティトークンを発行するアプリケーションを開発します。
D. アプリケーション内でCloudFrontURLを暗号化したままにし、ユーザーが認証された後、AWSKMSを使用してオンザフライでURLを解決します。
□Question #65Topic 1
ビジネスでは、AWSインスタンスへのアクセスに使用される各SSHコマンドを、それを実行した人までさかのぼることができる必要があります。
これはセキュリティエンジニアがどのように達成するのですか?
A.インスタンスに接続されているセキュリティグループのポート22でのインバウンドアクセスを許可します。 AWS Systems Manager Session Managerを使用して、ユーザータグが定義されたAmazonEC2インスタンスへのシェルアクセスを行います。 SystemsManagerセッションでAmazonCloudWatchロギングを有効にします。
B. Amazon S3を使用して、ユーザーごとに1つのPrivacy Enhanced Mail Certificate(PEMファイル)を安全に保存します。 AmazonEC2がAmazonS3から読み取り、SSHを使用してEC2インスタンスにアクセスするすべてのユーザーをインポートできるようにします。インスタンスに接続されているセキュリティグループのポート22でのインバウンドアクセスを許可します。 EC2インスタンスにAmazonCloudWatchエージェントをインストールし、インスタンスの監査ログを取り込むように設定します。
C. インスタンスに接続されているセキュリティグループのポート22でのインバウンドアクセスを拒否します。 AWS Systems Manager Session Managerを使用して、ユーザータグが定義されたAmazonEC2インスタンスへのシェルアクセスを行います。 SystemsManagerセッションでAmazonCloudWatchロギングを有効にします。
D. Amazon S3を使用して、チームまたはグループごとに1つのPrivacy Enhanced Mail Certificate(PEMファイル)を安全に保存します。 AmazonEC2がAmazonS3から読み取り、SSHを使用してEC2インスタンスにアクセスするすべてのユーザーをインポートできるようにします。インスタンスに接続されているセキュリティグループのポート22でのインバウンドアクセスを許可します。 EC2インスタンスにAmazonCloudWatchエージェントをインストールし、インスタンスの監査ログを取り込むように設定します。
□Question #66Topic 1
開発者は、Amazon Web Servicesでホストされ、データストレージとしてAmazonRedshiftを利用するサーバーレスアプリケーションを開発しています。このプログラムには、読み取り/書き込み機能用のモジュールと、読み取り専用機能用のモジュールがあります。コンプライアンスの目的で、モジュールには独自のデータベースユーザーが必要です。
適切なアクセスが許可されるようにするには、セキュリティエンジニアはどの手順を実行する必要がありますか? (2つ選択してください。)
A. 読み取り専用および読み取り/書き込みに必要なデータベースユーザーへのアクセスを制御するために、各アプリケーションモジュールのクラスターセキュリティグループを構成します。 B. AmazonRedshiftのVPCエンドポイントを設定します。データベースユーザーを各アプリケーションモジュールにマップするエンドポイントポリシーを構成し、読み取り専用および読み取り/書き込みに必要なテーブルへの
アクセスを許可します。
C. モジュールごとにIAMポリシーを設定します。 GetClusterCredentialsAPI呼び出しを許可するAmazonRedshiftデータベースユーザーのARNを指定します。
D. モジュールごとにローカルデータベースユーザーを作成します。
E. モジュールごとにIAMポリシーを設定します。 GetClusterCredentialsAPI呼び出しを許可するIAMユーザーのARNを指定します。
□Question #67Topic 1
ビジネスは、AutoScalingグループの一部であるAmazonEC2インスタンスでアプリケーションをホストします。ローカルでは、プログラムはログを保存します。スケールインインシデントの後、セキュリティエンジニアはログが失われたことに気づきました。セキュリティエンジニアは、ログデータの長期的な可用性と耐久性を確保するための方法を提供する必要があります。監査上の理由から、すべてのログは最低1年間保持する必要があります。
セキュリティエンジニアはどのような推奨を行う必要がありますか?
A. Auto Scalingライフサイクル内で、EC2インスタンスが作成されるたびに、フックを追加して、Amazon Elastic Block Store(Amazon EBS)ログボリュームのアタッチを作成します。インスタンスが終了すると、ログレビューのためにEBSボリュームを別のインスタンスに再接続できます。
B. Amazon Elastic File System(Amazon EFS)ファイルシステムを作成し、Auto Scaling起動テンプレートのユーザーデータセクションにコマンドを追加して、EC2インスタンスの作成中にEFSファイルシステムをマウントします。インスタンスのAmazonElastic Block Store(Amazon EBS)ボリュームからEFSファイルシステムのディレクトリにログを1日1回コピーするように、インスタンスでプロセスを設定します。
C. AutoScalingグループで使用されるAMIにAmazonCloudWatchエージェントをビルドします。レビューのためにログをAmazonCloudWatchLogsに送信するようにCloudWatchエージェントを設定します。
D. Auto Scalingライフサイクル内で、終了状態の遷移にライフサイクルフックを追加し、Amazon Simple Notification Service(Amazon SNS)へのライフサイクル通知を使用してエンジニアリングチームに警告します。インスタンスが終了する前にセキュリティログを手動で確認できるように、フックを1時間Termination:Wait状態のままにするように構成します。
□Question #68Topic 1
企業内では、開発者は従来のアプリケーション展開からコンテナーに移行しました。セキュリティエンジニアは、コンテナのセキュリティを確保する責任があります。
攻撃対象領域を最小限に抑え、コンテナのセキュリティを強化するソリューションはどれですか? (2つ選択してください。)
A. コンテナを使用して、セキュリティの展開を自動化します。
B. リソース消費(CPU、メモリ)、ネットワーク接続、ポート、および不要なコンテナライブラリを制限します。
C. ホスト、機能、およびデータ分類によってコンテナーを分離します。
D. DockerNotaryフレームワークを使用してタスク定義に署名します。
E. ホストカーネルでコンテナブレイクアウトを有効にします。
□Question #69Topic 1
セキュリティチームは、監査基準に準拠するために一元化されたログシステムを展開しています。システムは、AmazonCloudWatchおよびAWSCloudTrailからのログをセキュリティチームが管理するアカウントに集約できる必要があります。この手法は、すべてのAWS組織にわたってスケーラブルである必要があります。
運用効率の観点から、これらの目標を最も効果的に満たすオプションはどれですか?
A. 各AWSアカウントで、セキュリティチームのアカウントにAmazonS3の宛先を持つAmazonKinesis DataFirehose配信ストリームを作成します。各AWSアカウントのAmazonCloudWatch Logsロググループごとに、同じアカウントのKinesis DataFirehose配信ストリームへのサブスクリプションを作成します。組織の場合、AmazonS3の宛先を持つCloudTrailトレイルを作成します。
B. セキュリティチームのアカウントで、同じアカウントにAmazonS3の宛先を持つAmazonKinesis DataFirehose配信ストリームを作成します。各AWSアカウントのAmazonCloudWatch Logsロググループごとに、セキュリティチームのアカウントのKinesis DataFirehose配信ストリームへのサブスクリプションを作成します。 AWSアカウントごとに、AmazonS3の宛先を持つCloudTrailトレイルを作成します。
C. 各AWSアカウントで、セキュリティチームのアカウントにAmazonS3の宛先を持つAmazonKinesisデータストリームを作成します。各AWSアカウントの各AmazonCloudWatch Logsロググループのサブスクリプションを、同じアカウントのKinesisデータストリームに作成します。組織の場合、AmazonS3の宛先を持つCloudTrailトレイルを作成します。
D. セキュリティチームのアカウントで、同じアカウントにAmazonS3の宛先を持つAmazonKinesisデータストリームを作成します。各AWSアカウントの各AmazonCloudWatch Logsロググループのサブスクリプションを、セキュリティチームのアカウントのKinesisデータストリームに作成します。 AWSアカウントごとに、AmazonS3の宛先を持つCloudTrailトレイルを作成します。
□Question #70Topic 1
開発チームのメンバーが、AWS KMSの顧客制御キーを使用してSSMパラメータストアからセキュア文字列パラメータを暗号化またはデコードしようとするたびに、チームはエラーメッセージ(CMK)を受け取ります。
どのCMK関連の問題が原因である可能性がありますか? (2つ選択してください。)
A. アプリケーションで指定されたCMKが存在しません。
B. アプリケーションで指定されたCMKは現在使用中です。
C. アプリケーションで指定されたCMKは、CMKAmazonリソース名の代わりにCMKKeyIDを使用しています。
D. アプリケーションで指定されたCMKが有効になっていません。
E. アプリケーションで指定されたCMKはエイリアスを使用しています。
□Question #71Topic 1
AWSアカウントの管理者は、IAMグループを確立し、次の管理ポリシーを実装して、個々のユーザーごとに多要素認証を実施しました。
{
“Version": “2012-10-17",
“Statement": [
“Effect": “Allow",
“Action": “ec2:*",
“Resource": “*"
},
{
“Sid": “BlockAnyAccessUnlessSignedInWithMFA",
“Effect": “Deny",
“Action": “ec2:*",
“Resource": “*",
“Condition": {
“BoolIfExists": {
“aws:MultiFactorAuthPresent": false
}
}
}
]
}
管理者は、ポリシーを採用した後、ユーザーがAWSCLIを使用してAmazonEC2コマンドを実行できないという苦情を受け取ります。
多要素認証の必要性を維持しながら、管理者はこの問題を解決するために何をすべきですか?
A. aws:MultiFactorAuthPresentの値をtrueに変更します。 B. aws sts get-session-token CLIコマンドを実行し、多要素認証の–serial-numberおよび–token-codeパラメーターを渡すようにユーザーに指示します。これらの結果の値を使用して、API / CLI呼
び出しを行います。
C. SAML2.0を使用してフェデレーションAPI / CLIアクセスを実装してから、多要素認証を実施するようにIDプロバイダーを構成します。
D. ロールを作成し、ロール信頼ポリシーで多要素認証を実施します。 sts個のassume-roleCLIコマンドを実行し、-serial-numberパラメーターと–token-codeパラメーターを渡すようにユーザーに指示します。結果の値を環境変数に格納します。ポリシーのNotActionにsts:AssumeRoleを追加します。
□Question #72Topic 1
脅威の評価により、内部の従業員がAWS本番サーバー(アカウント1)から機密データを盗み出す可能性が見つかりました。次の脅威が文書化されました。
脅威の説明:悪意のある攻撃者は、サーバーXによって制御されるAWSアカウント(アカウント2)のクレデンシャルを設定し、それらによって制御されるAmazon S3バケットにデータをアップロードすることにより、サーバーXから機密データを転送する可能性があります。
サーバーXのアウトバウンドインターネット接続は、プロキシサーバーを介してセットアップされます。プログラムは、暗号化されたデータをS3バケットにアップロードするために、S3への正当なアクセスを必要とします。現在、サーバーXはIAMインスタンスロールを使用しています。 TLS暗号化のため、プロキシサーバーはサーバー通信を検査できません。
次の選択肢のうち、脅威の軽減に最大の影響を与えるのはどれですか? (2つ選択してください。)
A. プロキシをバイパスし、アカウント1内の特定のS3バケットのみをホワイトリストに登録するポリシーでS3VPCエンドポイントを使用します。
B. プロキシサーバー上のパブリックS3エンドポイントへのアウトバウンドアクセスをブロックします。
C. サーバーXでネットワークACLを設定して、S3エンドポイントへのアクセスを拒否します。
D. 正規のバケットのS3バケットポリシーを変更して、アプリケーションサーバーに関連付けられたパブリックIPアドレスからのアクセスのみを許可します。
E. アプリケーションサーバーからIAMインスタンスの役割を削除し、APIアクセスキーを信頼できる暗号化されたアプリケーション構成ファイルに保存します。
□Question #73Topic 1
企業の2つのソフトウェア開発チームは、AmazonS3に機密データを保存するアプリの開発を担当しています。各チームのデータは常に別々に保持する必要があります。会社のセキュリティチームは、両方のチームで監査可能なデータ暗号化計画を作成する必要があります。さらに、システムは運用コストを削減する必要があります。
セキュリティチームはどの推奨事項を作成する必要がありますか? A. アプリケーションチームに、別々のAWS Key Management Service(AWS KMS)AWSが管理するCMKで2つの異なるS3バケットを使用するように指示します。キーポリシーを制限して、CMKの暗号化と復
号化をそれぞれのチームのみに許可します。チームに暗号化コンテキストを使用して暗号化と復号化を強制します。
B. アプリケーションチームに、単一のAWS Key Management Service(AWS KMS)AWSが管理するCMKで2つの異なるS3バケットを使用するように指示します。キーポリシーを制限して、CMKの暗号化と復号化のみを許可します。チームが暗号化コンテキストを使用して暗号化および復号化することを許可しないでください。
C. アプリケーションチームに、別々のAWS Key Management Service(AWS KMS)のカスタマーマネージドCMKで2つの異なるS3バケットを使用するように指示します。キーポリシーを制限して、CMKの暗号化と復号化をそれぞれのチームのみに許可します。チームに暗号化コンテキストを使用して暗号化と復号化を強制します。
D. アプリケーションチームに、単一のAWS Key Management Service(AWS KMS)カスタマーマネージドCMKで2つの異なるS3バケットを使用するように指示します。キーポリシーを制限して、CMKの暗号化と復号化のみを許可します。チームが暗号化コンテキストを使用して暗号化および復号化することを許可しないでください。
□Question #74Topic 1
ビジネスでは、Amazon Elastic Block Store(Amazon EBS)ボリュームを常に暗号化する必要があります。疑わしいインスタンスのEBSスナップショットは、セキュリティイベント中の調査のためにフォレンジックアカウントに提供されます。セキュリティエンジニアが異常なEBSスナップショットをフォレンジックアカウントと共有しようとすると、次のエラーが発生します。
'このスナップショットをリリースできません。 ModifiedSnapshotAttribute操作を呼び出すと、エラーが発生しました(OperationNotPermitted):EBSデフォルトキーを使用して暗号化されたスナップショットを共有できません。
共有操作を実行するために、セキュリティエンジニアはインシデントアカウントのどのアクションの組み合わせを実行する必要がありますか? (3つ選択してください。)
A. 顧客管理のCMKを作成します。新しいCMKを使用して、宛先スナップショットを暗号化するEBSスナップショットをコピーします。
B. 法廷会計学のプリンシパルが、ポリシーを変更してCMKを使用できるようにします。
C. AmazonEC2インスタンスを作成します。暗号化された疑わしいEBSボリュームを接続します。疑わしいボリュームから暗号化されていないボリュームにデータをコピーします。暗号化されていないボリュームのスナップショットを作成します。
D. EBSスナップショットを新しい復号化されたスナップショットにコピーします。
E. 疑わしいEBSスナップショットからボリュームを復元します。同じサイズの暗号化されていないEBSボリュームを作成します。
F. ターゲットEBSスナップショットをフォレンジックアカウントと共有します。
□Question #75Topic 1
企業は、Amazon Web Servicesで起動する予定の、グローバルに分散された遅延の影響を受けやすいWebアプリケーションのセキュリティアーキテクチャを開発しています。セキュリティエンジニアは、可用性と安全性の高い2層アーキテクチャを構成する必要があります。 DDoS、クロスサイトスクリプティング、SQLインジェクションなどの一般的な脅威を防ぐためのコントロールは、セキュリティアーキテクチャに含まれている必要があります。
これらの基準を満たすソリューションはどれですか?
A. 単一のリージョン内の複数のアベイラビリティーゾーンにまたがるパブリックサブネットを使用するアプリケーションロードバランサー(ALB)を作成します。同じリージョン内の複数のアベイラビリティーゾーンにまたがるプライベートサブネットにAmazonEC2インスタンスがあるAutoScalingグループにALBをポイントします。 ALBをオリジンとして使用するAmazonCloudFrontディストリビューションを作成します。適切なAWSWAF ACLを作成し、CloudFrontディストリビューションで有効にします。
B. 単一のリージョン内の複数のアベイラビリティーゾーンにまたがるプライベートサブネットを使用するアプリケーションロードバランサー(ALB)を作成します。同じリージョン内の複数のアベイラビリティーゾーンにまたがるプライベートサブネットにAmazonEC2インスタンスがあるAutoScalingグループにALBをポイントします。 ALBをオリジンとして使用するAmazonCloudFrontディストリビューションを作成します。適切なAWSWAF ACLを作成し、CloudFrontディストリビューションで有効にします。
C. 単一のリージョン内の複数のアベイラビリティーゾーンにまたがるパブリックサブネットを使用するアプリケーションロードバランサー(ALB)を作成します。同じリージョン内の複数のアベイラビリティーゾーンにまたがるプライベートサブネットにAmazonEC2インスタンスがあるAutoScalingグループにALBをポイントします。適切なAWSWAF ACLを作成し、ALBで有効にします。
D. 単一のリージョン内の複数のアベイラビリティーゾーンにまたがるプライベートサブネットを使用するアプリケーションロードバランサー(ALB)を作成します。同じリージョン内の複数のアベイラビリティーゾーンにまたがるプライベートサブネットにAmazonEC2インスタンスがあるAutoScalingグループにALBをポイントします。適切なAWSWAF ACLを作成し、ALBで有効にします。
□Question #76Topic 1
セキュリティエンジニアは、AmazonEC2インスタンスでホストされる標準の3層Webアプリケーションの管理を担当します。このプログラムは、ますます多くのインターネットベースの悪意のある攻撃の標的になっています。
既知の脆弱性をスキャンして軽減するために、セキュリティエンジニアはどのような対策を講じる必要がありますか? (2つ選択してください。)
A. AWS Certificate Managerを使用して、クライアントサーバーとアプリケーションサーバー間のすべてのトラフィックを暗号化します。
B. アプリケーションセキュリティグループを確認して、必要なポートのみが開いていることを確認します。
C. Elastic Load Balancingを使用して、Secure SocketsLayer暗号化の負荷を軽減します。
D. Amazon Inspectorを使用して、バックエンドインスタンスを定期的にスキャンします。
E. AWS Key Management Servicesを使用して、クライアントサーバーとアプリケーションサーバー間のすべてのトラフィックを暗号化します。
□Question #77Topic 1
AWSでは、ビジネスはワーカーのみがアクセスできる必要があるアプリケーションをホストします。労働者の大多数はオフィスで働いていますが、一部はリモートで働いたり、旅行したりしています。
セキュリティエンジニアは、許可された従業員だけがアクセスできるように、このワークロードをどのように保護できますか?
A. 各従業員のホームIPアドレスをアプリケーションのセキュリティグループに追加して、それらのユーザーのみがワークロードにアクセスできるようにします。
B. 各従業員のVPN接続用の仮想ゲートウェイを作成し、VPC内からのワークロードへのアクセスを制限します。
C. ユーザーが接続するためにAWSMarketplaceのVPNアプライアンスを使用し、そのアプライアンスからのトラフィックへのワークロードアクセスを制限します。
D. AWSWAFを介してすべてのトラフィックをワークロードにルーティングします。各従業員のホームIPアドレスをAWSWAFルールに追加し、他のすべてのトラフィックをブロックします。
□Question #78Topic 1
システム管理者は、S3バケットへのアクセスを10.10.10.0/24の範囲のIPアドレスを持つ承認済みのAWS IAMユーザーに制限するために、次のAmazonS3バケットポリシーを作成しました。
{
“Version": “2012-10-17",
“Id": “S3Policy",
“Statement": [
{
“Sid":[“OfficeAllowIP"],
“Effect": [“Allow"],
“Principal": [“*",],
“Action": [“s3:"],
“Resource": [“arn:aws:::Buckert"],
“Condition": {
“IpAddress": [
{“aws:SourceIp":"10.10.10.0/24″}
]
}
}]
}
10.10.10.40のS3バケットからアイテムを取得しようとすると、IAMユーザーはアクセス禁止メッセージを受け取ります。
ユーザーアクセスを許可するには、管理者はどのような変更を行う必要がありますか?
A.「リソース」を「arn:aws:s3 ::: Bucket」から「arn:aws:s3 ::: Bucket / *」に変更します。
B.「プリンシパル」を「*」から{AWS: “arn:aws:iam :: account-number:user / username"}に変更します
C.「バージョン」を「2012-10-17」からポリシーの最終改訂日に変更します
D.「アクション」を[“s3:*"]から[“s3:GetObject"、 “s3:ListBucket"]に変更します
□Question #79Topic 1
暗号化はAmazonS3バケットexamplebucketに実装されましたが、セキュリティエンジニアは、バケットにアクセスできる人なら誰でもコンテンツを復元できると判断しました。エンジニアは、各IAMユーザーが特定のフォルダにのみアクセスできるようにアクセスを制限したいと考えています。
これを達成するためにセキュリティエンジニアはどのような行動を取るべきですか?
A. AWSが管理するCMKaws / s3でエンベロープ暗号化を使用します。
B. 「$ {aws:username}」変数に基づいて「kms:Decrypt」を付与するキーポリシーを使用して、カスタマーマネージドCMKを作成します。
C. ユーザーごとに顧客管理のCMKを作成します。各ユーザーを、対応するキーポリシーのキーユーザーとして追加します。
D. 該当するIAMポリシーを変更して、S3に「リソース」へのアクセスを許可します:「arn:aws:s3 ::: examplebucket / $ {aws:username} / *」
□Question #80Topic 1
セキュリティエンジニアは、AWSアカウントにAWS SecurityHubとCenterfor Internet Security(CIS)のAWSFoundationsコンプライアンス標準を実装しました。何時間も経過しても、SecurityHubコンソールはコンプライアンス評価の結果を提供しません。エンジニアは、SecurityHubのリソースがCISAWSFoundationsに準拠していることを保証したいと考えています。
これらの要件への準拠を確実にするために、セキュリティエンジニアはどの手順を使用する必要がありますか?
A. セキュリティハブサービスロールに完全なAmazonInspector IAM権限を追加して、CISコンプライアンス評価を実行できるようにします。
B. アカウントでAWSTrusted Advisorが有効になっていること、およびSecurityHubサービスロールにTrustedAdvisorのセキュリティ関連の推奨アクションを取得するためのアクセス許可があることを確認します。
C. アカウントでAWSConfigが有効になっていること、およびCISコンプライアンス評価に必要なAWSConfigルールが作成されていることを確認します。
D. AWSCloudTrailの正しいトレイルがSecurityHubによるモニタリング用に構成されていること、およびSecurityHubサービスロールにCloudTrailのAmazonS3バケットでGetObject操作を実行するためのアクセス許可があることを確認します。