AWS Security -06

2023年1月20日

□Question #101Topic 1

監査によると、企業のAmazon EC2インスタンスセキュリティグループは、無制限のインバウンドSSHトラフィックを許可することで企業ルールに違反しました。セキュリティエンジニアは、そのような違反について管理者に警告する、ほぼリアルタイムの監視と警告のためのシステムを設計する必要があります。

これらの条件を満たすオプションはどれですか?

A. 毎日実行され、NetworkReachabilityパッケージを使用する定期的なAmazonInspector評価実行を作成します。アセスメントラムの開始時にAWSLambda関数を呼び出すAmazonCloudWatchルールを作成します。完了時に評価実行レポートを取得して評価するようにLambda関数を設定します。無制限の着信SSHトラフィックに違反がある場合は、Amazon Simple Notification Service(Amazon SNS)通知を発行するようにLambda関数も設定します。

B. 準拠していないセキュリティグループの設定変更によって呼び出されるrestricted-sshAWSConfigマネージドルールを使用します。 AWS Config修復機能を使用して、Amazon Simple Notification Service(Amazon SNS)トピックにメッセージを公開します。

C. VPCのVPCフローログを設定し、Amazon CloudWatchLogsグループを指定します。 CloudWatchLogsグループをAWSLambda関数にサブスクライブします。この関数は、新しいログエントリを解析し、ポート22での接続の成功を検出し、Amazon Simple Notification Service(Amazon SNS)を介して通知を発行します。

D. 毎日実行され、セキュリティのベストプラクティスパッケージを使用する、定期的なAmazonInspector評価の実行を作成します。アセスメントラムの開始時にAWSLambda関数を呼び出すAmazonCloudWatchルールを作成します。完了時に評価実行レポートを取得して評価するようにLambda関数を設定します。無制限の着信SSHトラフィックに違反がある場合は、Amazon Simple Notification Service(Amazon SNS)通知を発行するようにLambda関数も設定します。

□Question #102Topic 1

ビジネスには、NATゲートウェイの背後に多数のAmazon EC2インスタンスがある仮想プライベートクラウド(VPC)があります。会社のセキュリティポリシーに従って、送信元と宛先のIPアドレスを含むすべてのネットワークトラフィックを記録する必要があります。この情報は、現在のVPCフローログには含まれていません。セキュリティエンジニアは推奨事項を提供する必要があります。

セキュリティエンジニアはどのアクションを組み合わせて提案する必要がありますか? (2つ選択してください。)

A. 既存のVPCフローログを編集します。 VPCフローログのログ形式をAmazonのデフォルト形式からカスタム形式に変更します。

B. 既存のVPCフローログを削除して再作成します。 VPCフローログのログ形式をAmazonのデフォルト形式からカスタム形式に変更します。

C. デスティネーションをAmazonCloudWatchLogsに変更します。

D. pkt-srcaddrフィールドとpkt-dstaddrフィールドをログ形式で含めます。

E. サブネットIDフィールドとインスタンスIDフィールドをログ形式で含めます。

□Question #103Topic 1

セキュリティエンジニアは、CMKを使用して暗号化されたデータへのアクセスを制限するソリューションを探しています。さらに、エンジニアは、暗号文の操作を回避するために、追加の認証データ(AAD)の使用法を調査しています。

どのアクションが最も適切でしょうか?

A. Encrypt and Decrypt APIアクションを呼び出すときに、キーエイリアスをAWSKMSに渡します。

B. IAMポリシーを使用して、暗号化および復号化APIアクションへのアクセスを制限します。

C. CMKのIAMポリシーを定義するときの条件として、kms:EncryptionContextを使用します。

D. キーポリシーを使用して、適切なIAMグループへのアクセスを制限します。

□Question #104Topic 1

アプリケーションの場合、企業はAWSWAFとAmazonCloudFrontを統合しています。アプリケーションは、グループの一部として自動スケーリングされるAmazonEC2インスタンスでホストされます。 Auto Scalingチームは、Application Load Balancer(ALB)を担当します。

AWS WAF Web ACLはCloudFrontディストリビューションに関連しており、AWSマネージドルールルールグループに基づいています。 CloudFrontはAWSWAFからリクエストを取得し、ディストリビューションのオリジンをALBに設定します。

セキュリティエンジニアは、セキュリティ検査中にインフラストラクチャが大規模なレイヤ7DDoS攻撃に対して脆弱であることを知りました。

この種の攻撃を防ぐために、セキュリティエンジニアはソリューションのエッジでセキュリティをどのように強化できますか?

A. Lambda @Edge機能を使用するようにCloudFrontディストリビューションを設定します。 CloudFrontビューアリクエストにレート制限を課すAWSLambda関数を作成します。レート制限を超えた場合は、リクエストをブロックします。

B. AWS WAF Web ACLを設定して、すべてのAWSWAFルールをより高速に処理するためにWebACLがより多くのキャパシティユニットを持つようにします。

C. レート制限を超えたときにリクエストを自動的にブロックするレート制限を課すレートベースのルールを使用してAWSWAFを設定します。

D. ALBの代わりにAWSWAFをオリジンとして使用するようにCloudFrontディストリビューションを設定します。

□Question #105Topic 1

AWSは、多数のリモート従業員がデータファイルを入力できるようにする企業向けのシステムをホストしています。ファイルのサイズは、数キロバイトから数ギガバイトの間で異なります。

最近の監査では、信頼できないネットワークを通過するデータファイルの暗号化の欠如について懸念が表明されました。

最小限の労力で監査結果を解決するオプションはどれですか?

A. SSL証明書をIAMにアップロードし、秘密鍵のパスフレーズを使用してAmazonCloudFrontを設定します。

B. クライアントでKMS.Encrypt()を呼び出し、データファイルの内容を渡し、サーバー側でKMS.Decrypt()を呼び出します。

C. AWS Certificate Managerを使用して、Webサービスのサーバーの前にあるElastic LoadBalancingに証明書をプロビジョニングします。

D. Amazon VPC VPNエンドポイントを使用して新しいVPCを作成し、WebサービスのDNSレコードを更新します。

□Question #106Topic 1

公開プレゼンテーション中に、従業員が誤ってAWSアクセスキーとシークレットアクセスキーをリリースしました。キーは、会社のセキュリティエンジニアによって即座に非アクティブ化されました。

エンジニアは、主要な露出の影響の程度をどのように判断し、資格情報が悪用されていないことを確認できますか? (2つ選択してください。)

A. AWSCloudTrailのアクティビティを分析します。

B. AmazonCloudWatchログのアクティビティを分析します。

C. AWS TrustedAdvisorからIAM使用レポートをダウンロードして分析します。

D. AWS Config forIAMユーザーアクティビティのリソースインベントリを分析します。

E. IAMからクレデンシャルレポートをダウンロードして分析します。

□Question #107Topic 1

セキュリティエンジニアは、企業のコーポレートIDプロバイダーの何千人もの開発者がAWSサービス(IdP)に安全にアクセスできるようにする責任があります。

開発者はIAMクレデンシャルを使用して、会社の敷地からさまざまなAWSサービスにアクセスします。新しいIAMユーザーのプロビジョニング要求が頻繁に発生するため、アクセス権の付与には長い時間がかかります。セキュリティエンジニアは、プロビジョニングの遅延を最小限に抑えるために、開発者がIAMクレデンシャルを他のユーザーと共有しているという苦情を受けます。これにより、セキュリティエンジニアの全体的なセキュリティに関する懸念が生じます。

プログラムのセキュリティ要件を満たすステップはどれですか?

A. AWSCloudTrailイベントのAmazonCloudWatchアラームを作成します。同じIAMクレデンシャルのセットが複数の開発者によって使用されたときに通知を送信するメトリックフィルターを作成します。

B. AWSと既存の企業IdPの間にフェデレーションを作成します。 IAMロールを活用して、AWSリソースへのフェデレーションアクセスを提供します。

C. 企業の施設とVPCの間にVPNトンネルを作成します。企業の施設から発信された場合にのみ、すべてのAWSサービスへのアクセスを許可します。

D. IAMユーザーごとに複数のIAMロールを作成します。同じIAMクレデンシャルを使用するユーザーが同時に同じIAMロールを引き受けることができないようにします。

□Question #108Topic 1

Amazon EC2では、企業は厳格な規制コンプライアンス規制の対象となるアプリケーションをホストしています。 1つの規制では、ワークロードとの間のすべてのネットワークトラフィックで、ネットワークレベルの脅威を調べる必要があります。この手順では、パケット全体を調べます。

セキュリティエンジニアは、この規制要件に準拠するために、c5n.4xlargeEC2インスタンスに侵入検知ソフトウェアをインストールする必要があります。次に、アプリケーションインスタンスとの間のトラフィックを監視するようにプログラムを構成する必要があります。

セキュリティエンジニアの次のステップは何ですか?

A. ネットワークインターフェイスを無差別モードにして、トラフィックをキャプチャします。

B. ネットワークロードバランサーを使用してモニタリングEC2インスタンスにトラフィックを送信するようにVPCフローログを設定します。

C. ネットワークロードバランサーを使用してモニタリングEC2インスタンスにトラフィックを送信するようにVPCトラフィックミラーリングを設定します。

D. Amazon Inspectorを使用してネットワークレベルの攻撃を検出し、AWSLambda関数をトリガーして疑わしいパケットをEC2インスタンスに送信します。

□Question #109Topic 1 企業はAmazonS3Glacierを使用してデータを保存しています。 12時間前、セキュリティエンジニアは、10 TBのデータに対して新しいボールトロックポリシーを作成し、ボールトロックプロセスを開始しました。監査チーム

は、ボールトへの不正アクセスを許可するポリシーの誤植を発見しました。

これを修正するための最も安いアプローチは何ですか?

A. abort-vault-lock操作を呼び出します。ポリシーを更新します。再度、initiate-vault-lock操作を呼び出します。

B. ボールトデータを新しいS3バケットにコピーします。ボールトを削除します。データを使用して新しいボールトを作成します。

C. ポリシーを更新して、ボールトロックを所定の位置に維持します。

D. ポリシーを更新します。新しいポリシーを適用するには、initiate-vault-lock操作を再度呼び出します。

□Question #110Topic 1

指定されたアカウントでは、セキュリティエンジニアは、Amazon EC2、Amazon S3、Amazon RDS、Amazon DynamoDB、およびAWSSTSのみの使用を義務付ける必要があります。

この需要をスケーラブルで効率的な方法でどのように満たすことができますか?

A. AWS組織階層を設定し、FullAWSAccessポリシーを、管理対象組織ユニットの次のサービスコントロールポリシーに置き換えます。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Action": [

                                                                      “dynamodb:*", “rds:*", “ec2:*", “s3:*", “sts:*"

                                                        “Effect": “Allow",

                                                        “Resource": “*"

                                          }

                            ]

              }

B. 規制対象のアカウントに複数のIAMユーザーを作成し、必要に応じてサービスを制限するために次のポリシーステートメントを添付します。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Action": *,

                                                        “Effect": “Allow",

                                                        “Resource": “*"

                                          }

              {

                                                        “NotAction": [

                                                                      “dynamodb:*", “rds:*", “ec2:*", “s3:*", “sts:*"

                                                        “Effect": “Deny",

                                                        “Resource": “*"

                                          }

                            ]

              }

C. 組織階層を設定し、グローバルFullAWSAccessを最上位の次のサービス制御ポリシーに置き換えます。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Action": [

                                                                      “dynamodb:*", “rds:*", “ec2:*", “s3:*", “sts:*"

                                                        “Effect": “Allow",

                                                        “Resource": “*"

                                          }

                            ]

              }

D. 会社のすべてのアカウントへのフェデレーションアクセス用にActiveDirectory内のすべてのユーザーを設定します。 Active DirectoryグループをIAMグループに関連付け、必要に応じてサービスを制限するために次のポリシーステートメントを添付します。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Action": *,

                                                        “Effect": “Allow",

                                                        “Resource": “*"

                                          }

              {

                                                        “NotAction": [

                                                                      “dynamodb:*", “rds:*", “ec2:*", “s3:*", “sts:*"

                                                        “Effect": “Deny",

                                                        “Resource": “*"

                                          }

                            ]

              }

□Question #111Topic 1

ビジネスのウェブアプリケーションは、AutoScalingグループの一部としてApplicationLoad Balancer(ALB)によって管理されるAmazonEC2インスタンスでホストされます。 ALBはAWSWAF WebACLと結合されています。 AWS CloudTrailがアクティブ化され、ログがAmazonS3およびCloudWatchLogsに保存されます。

運用チームは、特定のEC2インスタンスの自発的な再起動を目撃しました。再起動後、インスタンスのすべてのアクセスログが破棄されました。運用チームは、new-user-creation.phpコードのPHPエラーの直後に各再起動が発生したことを発見しました。運用スタッフは、組織が脅威にさらされているかどうかを確認するために、ログデータを確認する必要があります。

疑わしい攻撃者のIPアドレスを永続的に記録する一連の手順はどれですか?

A. ALBが配置されているサブネットでVPCフローログを設定し、データCloudWatchをストリーミングします。 CloudWatchでnew-user-creation.phpオカレンスを検索します。

B. ALBでCloudWatchエージェントを設定します。アプリケーションログをCloudWatchに送信するようにエージェントを設定します。インスタンスロールを更新して、CloudWatchLogsアクセスを許可します。ログをCloudWatchにエクスポートします。 CloudWatchでnew-user-creation.phpオカレンスを検索します。

C. アクセスログをAmazonElasticsearch ServiceクラスターにエクスポートするようにALBを構成し、サービスを使用してnew-user-creation.phpオカレンスを検索します。

D. ログをS3バケットに配信するAmazonKinesis DataFirehoseにログを送信するようにウェブACLを設定します。 Amazon Athenaを使用してログを照会し、new-user-creation.phpオカレンスを見つけます。

□Question #112Topic 1

セキュリティエンジニアは、ユーザーがキーに直接触れることなくAmazonS3アイテムを暗号化できるようにする方法を開発しています。ソリューションは、非常にスケーラブルで自己管理型である必要があります。さらに、企業は暗号化キーを即座に破棄する機能を備えている必要があります。

これらの基準を満たすソリューションはどれですか?

A. AWS管理キーでAWSKMSを使用し、PendingWindowInDaysを0に設定してScheduleKeyDeletion APIを使用して、必要に応じてキーを削除します。

B. AWSでインポートされたキーマテリアルでKMSを使用し、必要に応じてDeletelmportedKeyMaterialAPIを使用してキーマテリアルを削除します。

C. AWS CloudHSMを使用してキーを保存し、CloudHSMAPIまたはPKCS11ライブラリを使用して必要に応じてキーを削除します。

D. Systems Managerパラメータストアを使用してキーを保存し、必要に応じてサービスAPI操作を使用してキーを削除します。

□Question #113Topic 1

組織にはIAMグループがあります。グループ内の各IAMユーザーにはMFAデバイスが発行されており、AmazonS3へのフルアクセス権があります。

組織は、グループメンバーがMFA認証を完了した後にのみS3操作を実行できることを保証する必要があります。セキュリティエンジニアは、最小限の維持でこの目的を達成するシステムを構築する必要があります。

これらの基準を満たす行為の組み合わせはどれですか? (2つ選択してください。)

A. s3:* actionsのグループ内のユーザーに顧客管理の拒否ポリシーを追加します。

B. s3:* actionsのグループに顧客管理の拒否ポリシーを追加します。

C. s3:* actionsのグループに顧客管理の許可ポリシーを追加します。

D. ポリシーに条件を追加します: “Condition":{“BoolIfExists":{“aws:MultiFactorAuthPresent":false}}

E. ポリシーに条件を追加します: “Condition":{“Bool":{“aws:MultiFactorAuthPresent":false}}

□Question #114Topic 1 システムエンジニアは、インライン仮想セキュリティアプライアンスを含むテスト環境の接続をデバッグしています。

開発チームは、仮想セキュリティアプライアンスに加えて、セキュリティグループとネットワークACLを使用して、環境の多様なセキュリティニーズに対応したいと考えています。

仮想セキュリティアプライアンスによるトラフィックルーティングを有効にするには、どのような構成が必要ですか?

A. ネットワークACLを無効にします。

B. プロミスキャスモード用にセキュリティアプライアンスのエラスティックネットワークインターフェイスを設定します。

C. セキュリティアプライアンスのエラスティックネットワークインターフェイスでネットワークの送信元/宛先チェックを無効にする

D. インターネットゲートウェイを使用してセキュリティアプライアンスをパブリックサブネットに配置します

□Question #115Topic 1

最近のセキュリティ分析によると、AWSCloudTrailレコードは操作や不正アクセスから適切に保護されていません。

これらの監査結果にアクセスするには、セキュリティエンジニアが実行する必要のある手順はどれですか。 (3つ選択してください。)

A. CloudTrailログファイルの検証がオンになっていることを確認してください。

B. 長期保存のためにCloudTrailログをGlacierに定期的にアーカイブするようにS3ライフサイクルルールを設定します。

C. 別のアカウントに存在する厳密なアクセス制御を備えたS3バケットを使用します。

D. Amazon Inspectorを使用して、CloudTrailログファイルのファイル整合性を監視します。

E. ACMを介して証明書を要求し、生成された証明書秘密鍵を使用してCloudTrailログファイルを暗号化します。

F. サーバー側の暗号化AWSKMS管理キー(SSE-KMS)を使用してCloudTrailログファイルを暗号化します。

□Question #116Topic 1

セキュリティエンジニアは、別のVPCのログサーバーにログファイルを書き込んでいるWebサーバーと、ログサーバーにログファイルを書き込んでいるWebサーバーとの間の接続の問題に対処しています。エンジニアは、2つのVPCがピアリングしていることを検証しました。 VPCフローログは、ログサーバーがWebサーバーによって受信された要求を受け入れても、Webサーバーが応答を受け取らないことを示しています。

この問題を解決するのに最も効果的な手順は次のうちどれですか?

A. Webサーバーからの要求を許可する、ロギングサーバーに関連付けられたセキュリティグループにインバウンドルールを追加します。 B. ログサーバーへの要求を許可するWebサーバーに関連付けられたセキュリティグループにアウトバウンドルー

ルを追加します。

C. ピアリング接続をターゲットとするロギングサーバーをホストするサブネットに関連付けられたルートテーブルにルートを追加します。

D. ピアリング接続をターゲットとするWebサーバーをホストするサブネットに関連付けられたルートテーブルにルートを追加します。

□Question #117Topic 1

金融機関は、次のセキュリティ基準を順守する必要があります。

->クラウドベースのユーザーは、認証のために別個のドメインの下に収容される必要があります。

->クラウドユーザーはオンプレミスシステムにアクセスできません。

金融機関は、多数のAmazonマネージドデータベースとAmazon EC2インスタンスを確立することにより、クラウド環境を確立しています。オンプレミスのActiveDirectoryサービスには、データベースとインスタンスにアクセスできるすべての管理者アカウントが含まれています。

会社はどのようにしてリソースの最も安全な管理を保証しますか? (2つ選択してください。)

A. クラウドリソースを管理するようにAWSマネージドMicrosoftADを設定します。

B. クラウドリソースを管理するために、追加のオンプレミスActiveDirectoryサービスを構成します。

C. 既存のActiveDirectoryから新しいActiveDirectoryサービスへの一方向の信頼関係を確立します。

D. 新しいActiveDirectoryから既存のActiveDirectoryサービスへの一方向の信頼関係を確立します。

E. 新しいActiveDirectoryサービスと既存のActiveDirectoryサービスの間に双方向の信頼を確立します。

□Question #118Topic 1

現在、ウェブサイトはAmazon EC2でホストされており、コンテンツの大部分は静的です。最近のDDoS攻撃に続いて、セキュリティエンジニアは、将来このリスクを防ぐためにサイトのエッジセキュリティを刷新する責任を負いました。

エンジニアがこれを行うためのいくつかの可能な方法は何ですか? (3つ選択してください。)

A. AWS X-Rayを使用して、EC2インスタンスに向かうトラフィックを検査します。

B. 静的コンテンツをAmazonS3に移動し、AmazonCloudFrontディストリビューションを前面に配置します。

C. セキュリティグループの構成を変更して、攻撃トラフィックの送信元をブロックします。

D. AWS WAFセキュリティルールを使用して、インバウンドトラフィックを検査します。

E. Amazon Inspector評価テンプレートを使用して、インバウンドトラフィックを検査します。

F. Amazon Route53を使用してトラフィックを分散します。

□Question #119Topic 1

セキュリティエンジニアは、会社のAWS組織を監督します。エンジニアは、AWSの使用を組織単位(OU)の1つに制限したいと考えています。エンジニアは、次のSCPでOUを更新します。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Sid": “AllowS3",

                                                        “Effect": “Allow",

                                                        “Action": “s3:*",

                                                        “Resource": “*"

                                          }

                            ]

              }

翌日、AWS IAMへのAPIリクエストは、アカウントのAWSCloudTrailログに表示されます。

セキュリティエンジニアは、この状況をどのように解決する必要がありますか?

A. アカウントを新しいOUに移動し、IAM:*権限を拒否します。

B. アカウントレベルですべての非S3サービスの拒否ポリシーを追加します。

C. ポリシーを次のように変更します。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Sid": “AllowS3",

                                                        “Effect": “Allow",

                                                        “Action": “s3:*",

                                                        “Resource": “*/*"

                                          }

                            ]

              }

D. デフォルトのFullAWSAccessSCPを切り離します。

□Question #120Topic 1

多くのアマゾンウェブサービス(AWS)アカウントを監査するために、ある企業がサードパーティを雇っています。監査を許可するために、監査用に選択された各アカウントには、アカウント間のIAM責任が割り当てられています。監査人は一部のアカウントにアクセスできません。

この問題の原因は次のうちどれですか? (3つ選択してください。)

A. 監査人が使用する外部IDが欠落しているか、正しくありません。

B. 監査人が間違ったパスワードを使用しています。

C. 監査人には、宛先アカウントでのロールのsts:AssumeRoleが付与されていません。

D. 監査人が使用するAmazonEC2ロールは、宛先アカウントロールに設定する必要があります。

E. 監査人が使用する秘密鍵が欠落しているか正しくありません。

F. 監査人が使用する役割ARNが欠落しているか、正しくありません。