AWS Security -09

2023年1月20日

□Question #161Topic 1

セキュリティエンジニアは、Webサーバーへの着信接続のトラブルシューティングを担当しています。この単一のWebサーバーは、他のすべてのWebサーバーが正常に動作しているにもかかわらず、インターネットからの着信接続を受け入れていません。

ACL、セキュリティグループ、および仮想セキュリティアプライアンスはすべて設計に含まれています。さらに、開発チームは、すべてのWebサーバー間で負荷を分散するためのアプリケーションデマンドバランサー(ALB)を開発しました。 Webサーバーとインターネット間のトラフィックは、仮想セキュリティアプライアンスを経由する必要があります。

セキュリティエンジニアによると、次のことが当てはまります。

1. セキュリティグループのルールは正しいです。

2. ネットワークACLには、適切なルールのセットがあります。

3. 仮想アプライアンスのルールセットは正しいです。

このシナリオで関連する追加のトラブルシューティング要素は次のうちどれですか? (2つ選択してください。)

A. Webサーバーサブネットのルートテーブルの0.0.0.0/0ルートがNATゲートウェイを指していることを確認します。

B. 特定のWebサーバーのElasticNetwork Interface(ENI)に適用されているセキュリティグループを確認します。

C. Webサーバーサブネットのルートテーブルの0.0.0.0/0ルートが仮想セキュリティアプライアンスを指していることを確認します。

D. ALBに登録されているターゲットを確認します。

E. パブリックサブネットの0.0.0.0/0ルートがNATゲートウェイを指していることを確認します。

□Question #162Topic 1

コストを節約するために、情報技術部門はクラシックロードバランサーからアプリケーションロードバランサーにシフトしました。移動後、古いデバイスの特定のユーザーはWebサイトにアクセスできなくなります。

この窮状の原因は何ですか?

A. アプリケーションロードバランサーは古いWebブラウザーをサポートしていません。

B. Perfect ForwardSecrecy設定が正しく構成されていません。

C. 中間証明書はApplicationLoadBalancer内にインストールされます。

D. アプリケーションロードバランサーの暗号スイートが接続をブロックしています。

□Question #163Topic 1

企業は、すべてのAWSアカウントで行われたすべてのAWS API呼び出しを記録したいと考えており、これらのログを分析するために一元化された場所が必要です。

これらの基準が可能な限り安全な方法で満たされるようにするために、どのような努力を払う必要がありますか? (2つ選択してください。)

A. 各AWSアカウントでAWSCloudTrailをオンにします。

B. ログを保存するアカウントでのみCloudTrailをオンにします。

C. 他のアカウントがログに記録できるように、ログを保存するアカウントのバケットのバケットACLを更新します。

D. CloudTrailのサービスベースの役割を作成し、それを各アカウントのCloudTrailに関連付けます。

E. 他のアカウントがログに記録できるように、ログを保存するアカウントのバケットのバケットポリシーを更新します。

□Question #164Topic 1

ソフトウェアエンジニアは、AmazonEC2インスタンスへのネットワークアクセスが誤動作しているように見える理由を特定しようとしています。そのセキュリティグループは0.0.0.0/0からの着信HTTPトラフィックを許可し、デフォルトのアウトバウンドルールが保持されています。サブネットに接続されたカスタムネットワークアクセス制御リスト(ACL)は、0.0.0.0 / 0からの着信HTTPトラフィックを許可しますが、外部への制限はありません。

接続の問題に取り組むための最良の方法は何でしょうか?

A. セキュリティグループのアウトバウンドルールでは、エフェメラルポート範囲のクライアントに応答を送信することはできません。

B. セキュリティグループのアウトバウンドルールでは、HTTPポートでクライアントに応答を送信することはできません。

C. エフェメラルポート範囲でクライアントに応答を送信できるようにするには、アウトバウンドルールをネットワークACLに追加する必要があります。

D. HTTPポートでクライアントに応答を送信できるようにするには、ネットワークACLにアウトバウンドルールを追加する必要があります。

□Question #165Topic 1

企業は、重要なレコードをオンプレミスのデータセンターからAmazonS3に移動することを選択しました。現在、ハードドライブは、データの暗号化を要求する規制上の義務に準拠するために暗号化されています。 CISOは、単一のキーではなく一意のキーを使用して各ファイルを暗号化することにより、セキュリティを強化したいと考えています。別のキーを使用することにより、公開された単一のキーのセキュリティ効果が軽減されます。

次のアプローチのうち、構成の量が最も少ないのはどれですか?

A. 各ファイルを異なるS3バケットに配置します。異なるAWSKMSカスタマーマネージドキーを使用するように、各バケットのデフォルトの暗号化を設定します。

B. すべてのファイルを同じS3バケットに入れます。 S3イベントをトリガーとして使用して、AWS Lambda関数を記述し、さまざまなAWSKMSデータキーを使用して追加される各ファイルを暗号化します。

C. S3暗号化クライアントを使用して、S3で生成されたデータキーを使用して各ファイルを個別に暗号化します。

D. すべてのファイルを同じS3バケットに配置します。 AWS KMS管理キー(SSE-KMS)でサーバー側の暗号化を使用して、データを暗号化します。

□Question #166Topic 1

企業は、アマゾンウェブサービス(AWS)に特注のDNSサーバーを実装しています。セキュリティエンジニアは、AmazonEC2インスタンスがAmazonのDNSにアクセスするのを防ぎたいと考えています。

セキュリティエンジニアは、VPCのAmazon管理DNSへのアクセスをどのように制限できますか?

A. すべてのセキュリティグループ内でAmazonDNSIPへのアクセスを拒否します。

B. Amazon DNSIPへのアクセスを拒否するすべてのネットワークアクセスコントロールリストにルールを追加します。

C. Amazon DNSIPへのトラフィックをブラックホール化するすべてのルートテーブルにルートを追加します。

D. VPC構成内でDNS解決を無効にします。

□Question #167Topic 1

大学のセキュリティ管理者がAmazonEC2インスタンスのフリートを設定しています。学生はEC2インスタンスを共有し、ルート以外のSSHアクセスが許可されます。管理者は、EC2インスタンスメタデータサービスを使用して他のAWSアカウントリソースを攻撃する学生について心配しています。

この考えられる攻撃を防ぐために、管理者は何ができますか?

A. EC2インスタンスメタデータサービスを無効にします。

B. すべての学生のSSHインタラクティブセッションアクティビティをログに記録します。

C. インスタンスにiptablesベースの制限を実装します。

D. インスタンスにAmazonInspectorエージェントをインストールします。

□Question #168Topic 1

企業は、それぞれが独自のアベイラビリティーゾーンを持つ3つのAmazonEC2インスタンスを構成しています。 EC2インスタンスは、ポート80および443で発信インターネットトラフィックの透過プロキシとして機能し、プロキシが会社のセキュリティ要件に従って指定されたインターネットロケーションへのトラフィックを制限できるようにします。以下は、セキュリティエンジニアによって達成されました。

プロキシソフトウェアを使用してEC2インスタンスを設定します。

->プライベートサブネットで、プロキシEC2インスタンスをデフォルトルートとして利用するようにルートテーブルを変更しました。

->プロキシEC2インスタンスセキュリティグループで、着信ポート80および443TCPプロトコルを開くセキュリティグループルールを作成しました。

ただし、プロキシEC2インスタンスは、トラフィックをインターネットに正しく中継できません。

トラフィックをインターネットにリダイレクトするようにプロキシEC2インスタンスを設定するには、セキュリティエンジニアはどのようなアクションを実行する必要がありますか?

A. すべてのプロキシEC2インスタンスをクラスター配置グループに配置します。

B. プロキシEC2インスタンスの送信元と宛先のチェックを無効にします。

C. プロキシEC2インスタンスセキュリティグループのすべてのインバウンドポートを開きます。

D. プロキシEC2インスタンスのIPアドレスに設定されたVPCのDHCPdomain-name-serversオプションを変更します。

□Question #169Topic 1

企業は、セキュリティの監視と分析を行う目的で、カスタムAMIをデプロイして、単一のリージョン内のさまざまなAWSアカウントでAmazonEC2インスタンスを実行することを意図しています。 EC2インスタンスは、EC2 AutoScalingによって定義されたグループで起動されます。ソリューションのセキュリティを強化するために、セキュリティエンジニアは、一元化されたアカウントでカスタムAMIのライフスパンを管理し、一元管理されたAWS KMSCMKを使用してそれらを暗号化します。セキュリティエンジニアは、KMSキーポリシーでクロスアカウントアクセスを有効にしました。ただし、EC2 AutoScalingグループはEC2インスタンスを効果的に起動できません。

EC2 Auto Scalingグループがタスクを完了するために必要な権限を持っていることを保証するために、セキュリティエンジニアはどのセットアップアクションを実行する必要がありますか?

A. 一元化されたアカウントで顧客管理のCMKを作成します。キーポリシーに適切なクロスアカウント権限を適用することにより、他の該当するアカウントがそのキーを暗号化操作に使用できるようにします。該当するすべてのアカウントでIAMロールを作成し、そのアクセスポリシーを構成して、暗号化操作に集中管理されたCMKを使用できるようにします。作成したIAMロールを使用してEC2インスタンスを起動するように、該当する各アカウント内でEC2 AutoScalingグループを設定します。

B. 一元化されたアカウントで顧客管理のCMKを作成します。キーポリシーに適切なクロスアカウント権限を適用することにより、他の該当するアカウントがそのキーを暗号化操作に使用できるようにします。該当するすべてのアカウントでIAMロールを作成し、集中管理されたCMKの許可を作成するためのアクセス許可を使用してアクセスポリシーを構成します。このIAMロールを使用して、暗号化操作を実行する権限を持ち、被付与者プリンシパルとして定義されたEC2 AutoScalingサービスリンクロールを備えた集中管理CMKのグラントを作成します。

C. 一元化されたアカウントでカスタマーマネージドCMKまたはAWSマネージドCMKを作成します。キーポリシーに適切なクロスアカウント権限を適用することにより、他の該当するアカウントがそのキーを暗号化操作に使用できるようにします。 CMK管理者を使用して、他のすべてのアカウントからのEC2 AutoScalingサービスリンクロールを被付与者プリンシパルとして定義する暗号化操作を実行するためのアクセス許可を含むCMK付与を作成します。

D. 一元化されたアカウントでカスタマーマネージドCMKまたはAWSマネージドCMKを作成します。キーポリシーに適切なクロスアカウント権限を適用することにより、他の該当するアカウントがそのキーを暗号化操作に使用できるようにします。 EC2 Auto Scalingロールのアクセスポリシーを変更して、集中管理されたCMKに対して暗号化操作を実行します。

□Question #170Topic 1

ビジネスは、AWS ServiceCatalogにデプロイするためのアイテムを設定しています。管理者は、ユーザーが製品を起動するときに、リソースを構築するために拡張IAMクレデンシャルを使用せざるを得なくなるのではないかと心配しています。

ビジネスはこの懸念にどのように対処する必要がありますか?

A. ポートフォリオ内の各製品にテンプレート制約を追加します。

B. ポートフォリオ内の各製品に起動制約を追加します。

C. ポートフォリオ内の各製品のリソース更新制約を定義します。

D. サービスロール構成を含めるために、製品をサポートするAWSCloudFormationテンプレートを更新します。

□Question #171Topic 1

ビジネスには、AmazonEC2上の数百のDockerベースのアプリがログを中央の場所に配信する必要があるフォレンジックロギングのユースケースがあります。セキュリティエンジニアは、ログファイルのリアルタイム分析を可能にし、イベントの再生を可能にし、データを保持するログシステムを提供する必要があります。

どのAWSサービスを組み合わせると、このユースケースの要件を満たすことができますか? (2つ選択してください。)

A. Amazon Elasticsearch

B. Amazon Kinesis

C. Amazon SQS

D. Amazon CloudWatch

E. Amazon Athena

□Question #172Topic 1

ビジネスのセキュリティ情報およびイベント管理(SIEM)ツールは、オブジェクトによって作成されたすべてのイベント通知をAmazonSNSトピックに配信するように構成されたAmazonS3バケットから新しいAWSCloudTrailログを取得します。このSNSサブジェクトは、AmazonSQSキューを使用してサブスクライブされます。次に、会社のSIEMツールはIAMロールを使用して、このSQSキューをポーリングして新しいメッセージを探し、SQSメッセージに基づいてS3バケットから新しいログイベントを取得します。

SIEMツールは、最近のセキュリティ評価の結果、権利が制限された後、新しいCloudTrailログの受信を停止しました。

この問題の原因は次のうちどれですか? (3つ選択してください。)

A. SQSキューは、SNSトピックからのSQS:SendMessageアクションを許可しません。

B. SNSトピックでは、Amazon S3からのSNS:Publishアクションは許可されていません。

C. SNSトピックは、生のメッセージをSQSキューに配信していません。

D. S3バケットポリシーでは、CloudTrailがPutObjectアクションを実行することは許可されていません。

E. SIEMツールで使用されるIAMロールには、SNSトピックをサブスクライブする権限がありません。

F. SIEMツールで使用されるIAMロールは、SQS:DeleteMessageアクションを許可しません。

□Question #173Topic 1

企業は、Amazon Web Services(AWS)AutoScalingグループのElasticLoad Balancer(ELB)の背後にあるプライベートサブネット上に数十のアプリケーションサーバーを持っています。プログラムには、WebからHTTPSを介してアクセスできます。転送中のデータの暗号化を常に使用する必要があります。セキュリティエンジニアは、アプリケーションソフトウェアの欠陥の結果として発生する可能性のあるキーの漏洩を懸念しています。

違反が発生した場合に外部証明書を保護しながら、これらの基準を満たす手法はどれですか?

A. ネットワークロードバランサー(NLB)を使用して、インターネットからインスタンスのポート443にポート443のトラフィックを通過させます。

B. 外部証明書を購入し、それをAWS Certificate Manager(ELBで使用するため)とインスタンスにアップロードします。 ELBにトラフィックを復号化し、同じ証明書を使用してルーティングおよび再暗号化します。

C. 内部自己署名証明書を生成し、それをインスタンスに適用します。 AWS Certificate Managerを使用して、ELBの新しい外部証明書を生成します。 ELBにトラフィックを復号化し、内部証明書を使用してルーティングおよび再暗号化します。

D. 新しい外部証明書をロードバランサーにアップロードします。 ELBにトラフィックを復号化させ、ポート80でインスタンスに転送します。

□Question #174Topic 1

企業は、AmazonEC2インスタンスを使用して3層のWebアプリケーションをインストールしたいと考えています。これらのEC2インスタンスは、AmazonRDSデータベースインスタンスへのSQL接続を認証するためのクレデンシャルにアクセスする必要があります。さらに、AWS Lambda関数は、RDSデータベースと同じデータベースクレデンシャルを使用してRDSデータベースに対してクエリを実行する必要があります。クレデンシャルは、EC2インスタンスとLambda関数からアクセスできるように保持する必要があります。その他のアクセスは許可されていません。アクセスログには、資格情報にいつ誰がアクセスしたかを記録する必要があります。

これらの要件に確実に準拠するために、セキュリティエンジニアはどのようなアクションを実行する必要がありますか?

A. データベースのクレデンシャルをAWSKey Management Service(AWS KMS)に保存します。ロールの信頼ポリシーでEC2およびLambdaサービスプリンシパルを使用して、AWSKMSにアクセスできるIAMロールを作成します。 EC2インスタンスプロファイルにロールを追加します。インスタンスプロファイルをEC2インスタンスにアタッチします。実行に新しい役割を使用するようにLambdaを設定します。

B. データベースのクレデンシャルをAWSKMSに保存します。ロールの信頼ポリシーでEC2およびLambdaサービスプリンシパルを使用して、KMSにアクセスできるIAMロールを作成します。 EC2インスタンスプロファイルにロールを追加します。インスタンスプロファイルをEC2インスタンスとLambda関数にアタッチします。

C. データベースのクレデンシャルをAWSSecretsManagerに保存します。ロールのトラストポリシーでEC2およびLambdaサービスプリンシパルを使用して、SecretsManagerにアクセスできるIAMロールを作成します。 EC2インスタンスプロファイルにロールを追加します。インスタンスプロファイルをEC2インスタンスとLambda関数にアタッチします。

D. データベースのクレデンシャルをAWSSecretsManagerに保存します。ロールのトラストポリシーでEC2およびLambdaサービスプリンシパルを使用して、SecretsManagerにアクセスできるIAMロールを作成します。 EC2インスタンスプロファイルにロールを追加します。インスタンスプロファイルをEC2インスタンスにアタッチします。実行に新しい役割を使用するようにLambdaを設定します。

□Question #175Topic 1

企業の開発チームは、AWSLambdaとAmazonElastic Container Service(Amazon ECS)を使用してアプリケーションを作成しています。これらのシステムをサポートするには、開発チームがIAMの役割を確立する必要があります。組織のセキュリティチームは、開発者がIAMロールを直接作成できるようにすることを望んでいますが、開発者がそれらのロールに割り当てることができる権限の制御を維持することも望んでいます。開発チームには、アプリケーションのAWSサービスに必要な権限に加えて追加の権限が必要です。解決策は、可能な限りメンテナンスを少なくする必要があります。

セキュリティチームは、特権の昇格から両方のチームをどのように保護する必要がありますか?

A. AWSCloudTrailを有効にします。特権昇格イベントのイベント履歴を監視し、セキュリティチームに通知するLambda関数を作成します。

B. 必要なアクセス許可のマネージドIAMポリシーを作成します。開発チームのIAMロール内のアクセス許可境界としてIAMポリシーを参照します。

C. AWS組織を有効にします。 iam:CreateUserアクションを許可するが、開発チームが必要とする以外のAPI呼び出しを防ぐ条件を持つSCPを作成します。

D. iam:CreateUserアクションを拒否してIAMポリシーを作成し、そのポリシーを開発チームに割り当てます。チケットシステムを使用して、開発者がアプリケーションの新しいIAMロールを要求できるようにします。その後、IAMロールはセキュリティチームによって作成されます。

□Question #176Topic 1

セキュリティエンジニアは、ビジネス向けの暗号化ソリューションの開発を担当しています。この企業は、主要な資料によって保護されているすべてのリソースを15分以内に暗号化して消去できる暗号化ソリューションを求めています。

セキュリティエンジニアのこれらのニーズを満たすAWSキー管理サービス(AWS KMS)キーソリューションはどれですか?

A. インポートされたキーマテリアルをCMKで使用します。

B. AWS KMSCMKを使用します。

C. AWSが管理するCMKを使用します。

D. AWSKMSのお客様が管理するCMKを使用します。

□Question #177Topic 1

Amazon EC2インスタンスは、Application Load Balancer(ALB)の背後で実行するように設定されたEC2 AutoScalingグループのメンバーです。 EC2インスタンスはハッキングされたと考えられています。

侵害が疑われる場合、どの調査アクションを実行する必要がありますか? (3つ選択してください。)

A. EC2インスタンスからエラスティックネットワークインターフェイスを切り離します。

B. EC2インスタンス上のすべてのボリュームのAmazonElastic BlockStoreボリュームスナップショットを開始します。

C. EC2インスタンスに関連付けられているAmazonRoute53ヘルスチェックを無効にします。

D. EC2インスタンスをALBから登録解除し、AutoScalingグループからデタッチします。

E. 制限的な入力ルールと出力ルールを持つセキュリティグループをEC2インスタンスにアタッチします。

F. AWS WAFにルールを追加して、EC2インスタンスへのアクセスをブロックします。

□Question #178Topic 1

AWS Key Management Service(AWS KMS)のキーポリシーを分析しているときに、セキュリティエンジニアは、会社のAWSアカウントの各キーポリシーでこのコメントを発見しました。

              {

                            “Sid": “Enable IAM User Permissions"

                            “Effect": “Allow",

                            “Principal": {

                                          “AWS": “arn:aws:iam::1111222233334444:root"

                            },

                            “Action": “kms:*",

                            “Resource": “*"

              }

ステートメントは何を意味しますか?

A. すべてのAWSアカウントのすべてのプリンシパルがキーを使用します。

B. アカウント111122223333のrootユーザーのみがキーを使用します。

C. アカウント111122223333のすべてのプリンシパルがキーを使用しますが、AmazonS3でのみ使用されます。

D. このキーへのアクセスを許可してキーを使用するIAMポリシーが適用されているアカウント111122223333のプリンシパルのみ。

□Question #179Topic 1

ビジネスWebサイトは、Application Load Balancer(ALB)を介してルーティングされるAmazonEC2インスタンスでホストされます。インスタンスは、AutoScalingグループ内の複数のアベイラビリティーゾーンに分散されます。 ALBの前には、AmazonCloudFrontディストリビューションがあります。ユーザーはパフォーマンスについて懸念を表明しています。セキュリティエンジニアは、ウェブサイトがさまざまなソースIPアドレスからCloudFrontディストリビューションに対して異常に大量の不要なリクエストを受け取っていることに気づきました。

セキュリティエンジニアはこの状況にどのように取り組む必要がありますか?

A. AWSシールドを使用して、不要なリクエストのソースIPを含むIP一致条件で拒否ルールを設定します。

B. Auto Scalingを使用して、インスタンス値の最大値を、不要なリクエストを吸収するカウント数を増やすように構成します。

C. Amazon VPC NACLを使用して、不要なリクエストの送信元IPCIDRアドレスごとにインバウンド拒否ルールを設定します。

D. AWS WAFを使用して、CloudFrontディストリビューションで不要なリクエストのレート制限よりも低いレート制限でWebACLレートベースのルールを設定します。

□Question #180Topic 1

AWS SDKを使用して、アプリケーションはAWSサービスを呼び出します。アプリケーションは、IAMロールを使用してAmazonEC2インスタンスでホストされます。アプリケーションがAmazonS3バケット内に含まれるアイテムにアクセスしようとすると、管理者は次のエラーメッセージを受け取ります。HTTPステータスコード403は、アクセスが拒否されたことを示します。

この問題を解決するには、管理者はどのような対策を講じる必要がありますか? (3つ選択してください。)

A. EC2インスタンスのセキュリティグループがS3アクセスを許可していることを確認します。

B. KMSキーポリシーが、このIAM原則のKMSキーへの復号化アクセスを許可していることを確認します。

C. オブジェクトへのアクセスを拒否するステートメントのS3バケットポリシーを確認します。

D. EC2インスタンスが正しいキーペアを使用していることを確認します。

E. EC2インスタンスに関連付けられているIAMロールに適切な権限があることを確認します。

F. インスタンスとS3バケットが同じリージョンにあることを確認します。