AWS Security -11

2023年1月20日

□Question #201Topic 1

AWSアカウントには、bucket1とbucket2の2つのS3バケットが含まれています。バケット2には指定されたポリシーがありませんが、バケット1には次のポリシーがあります。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Effect":"Allow",

                                                        “Principal":{“AWS": “arn:aws:iam"::123456789012:user/alice"},

                                                        “Action": “s3:*",

                                                        “Resource":[“arn:aws:s3::bucket1″,"arn:aws:s3:::bucket1/*"]

                                          }

                            ]

              }

さらに、同じアカウントには、以下に示すIAMポリシーを持つ「alice」というIAMユーザーがいます。

              {

                            “Version": “2012-10-17",

                            “Statement": [{

                                                        “Effect":"Allow",

                                                        “Action": “s3:*",

                                                        “Resource":[“arn:aws:s3::bucket2″,"arn:aws:s3:::bucket2/*"]

                                          }

                            ]

              }

ユーザー「alice」がアクセスを許可されているバケットはどれですか?

A. バケット1のみ

B. バケット2のみ

C. bucket1とbucket2の両方

D. bucket1もbucket2もありません

□Question #202Topic 1

セキュリティエンジニアには、会社の開発チームがAWSマネジメントコンソールを介してAmazon EC2Linuxインスタンスに接続できるようにするソリューションを設計する責任が割り当てられています。

可能な限り最小限の特権を維持しながら、この基準を確実に満たすために、セキュリティエンジニアはどのアクションを実行する必要がありますか?

A. AWSマネジメントコンソールでAWSSystems Managerを有効にし、デフォルトのAmazonEC2RoleforSSMロールを使用してEC2インスタンスへのアクセスを設定します。インタラクティブアクセスが必要なすべてのEC2LinuxインスタンスにSystemsManagerAgentをインストールします。開発チームがSystemsManager Session Managerにアクセスし、チームのIAMユーザーに接続できるようにIAMユーザーポリシーを構成します。

B. EC2コンソールでコンソールSSHアクセスを有効にします。開発チームがAWSSystems Manager Session Managerにアクセスし、開発チームのIAMユーザーにアタッチできるようにIAMユーザーポリシーを設定します。

C. AWSマネジメントコンソールでAWSSystems Managerを有効にし、デフォルトのAmazonEC2RoleforSSMロールを使用してEC2インスタンスにアクセスするように設定します。インタラクティブアクセスが必要なすべてのEC2LinuxインスタンスにSystemsManagerAgentをインストールします。公開されているすべてのIPアドレスからSSHポート22を許可するセキュリティグループを構成します。開発チームがAWSSystems Manager Session Managerにアクセスし、チームのIAMユーザーにアタッチできるようにIAMユーザーポリシーを設定します。

D. AWSマネジメントコンソールでAWSSystems Managerを有効にし、デフォルトのAmazonEC2RoleforSSMロールを使用してEC2インスタンスにアクセスするように設定します。インタラクティブアクセスが必要なすべてのEC2LinuxインスタンスにSystemsManagerAgentをインストールします。開発チームがEC2コンソールにアクセスし、チームのIAMユーザーに接続できるようにIAMユーザーポリシーを設定します。

□Question #203Topic 1

すべてのEC2アクセス権を持つIAMユーザーは、メンテナンスのために一時停止されていたAmazonEC2インスタンスを再起動する可能性があります。インスタンスが開始されると、ステータスは「保留中」に変わりましたが、数秒後に「停止」に戻りました。

インスタンスを調べたところ、カスタマーマスターキー(CMK)を使用して暗号化されたAmazonEBSボリュームに関連付けられていることがわかりました。暗号化されたボリュームをデタッチした後、IAMユーザーはEC2インスタンスを起動できました。

次に、IAMユーザーポリシーについて説明します。

              {

                            “Version": “2012-10-17

                            “Statement": [

                                          {

                                                        “Effect": “Allow",

                                                        “Action": [

                                                        <Action>

                                                        ],

                                                        “Resource": [

                                                                      “arn:aws:kms:us-east-1:012345678910:key/ebs-encryption-key"

                                                        ]

                                                        <CONDITION>

                                          }

                            ]

              }

IAMユーザーポリシーにはどのような追加要素を含める必要がありますか? (2つ選択してください。)

A. kms:GenerateDataKey

B. kms:Decrypt

C. kms:CreateGrant

D. “Condition": { “Bool": { “kms:ViaService": “ec2.us-west-2.amazonaws.com" } }

E. “Condition": { “Bool": { “kms:GrantIsForAWSResource": true } }

□Question #204Topic 1

企業はAWSCodePipelineを利用して、ソフトウェア開発プロセスを自動化します。会社のポリシーに従って、コードを本番環境にデプロイする前に、ステージング環境にコードを配信する必要があります。組織は、CodePipelineパイプラインを使用して、事前にステージングにデプロイせずにコードを本番環境に直接プッシュする場合に、インスタンスを識別するための監視とアラートを作成する必要があります。

これらの要件に確実に準拠するために、セキュリティエンジニアはどのようなアクションを実行する必要がありますか?

A. AmazonGuardDutyを有効にしてAWSCloudTrailのCodePipelineを監視します。 AWS Security Hubを介して結果を設定し、Security Hubでカスタムアクションを作成して、Amazon Simple Notification Service(Amazon SNS)に送信します。

B. AWSクラウド開発キット(AWS CDK)を使用して、ステージング環境、次に本番環境を介してアプリケーションコードをデプロイするリファレンスアーキテクチャのCodePipelineパイプラインをモデル化します。

C. AWSConfigレコーディングをオンにします。カスタムAWSConfigルールを使用して、各CodePipelineパイプラインのコンプライアンスを調べます。ルールに準拠していない変更については、Amazon Simple Notification Service(Amazon SNS)通知を設定します。通知の目的の受信者をSNSトピックのサブスクライバーとして追加します。

D. Amazon Inspectorを使用して、CodePipelineパイプラインの評価を実施し、準拠していないパイプラインが発見されたときに通知を送信します。通知の目的の受信者を、Amazon Simple Notification Service(Amazon SNS)トピックのサブスクライバーとして追加します。

□Question #205Topic 1

企業は、数千のAmazonEC2インスタンスに数十のアプリをインストールしています。アプリケーションチームは、ネットワークアクセス制御リスト(ネットワークACL)とセキュリティグループが正しく機能しているかどうかを判断するために、テスト中に情報を必要とします。

アプリケーションチームのニーズをどのように満たすことができますか?

A. VPCフローログをオンにし、ログをAmazon S3に送信し、AmazonAthenaを使用してログをクエリします。

B. 各EC2インスタンスにAmazonInspectorエージェントをインストールし、ログをAmazon S3に送信し、AmazonEMRを使用してログをクエリします。

C. ネットワークACLとセキュリティグループの設定ごとにAWSConfigルールを作成し、ログをAmazon S3に送信し、AmazonAthenaを使用してログをクエリします。

D. AWS CloudTrailをオンにし、証跡をAmazon S3に送信し、AWSLambdaを使用して証跡をクエリします。

□Question #206Topic 1

企業はAmazonCloudFrontを使用して、Application Load Balancer(ALB)の背後にあるAmazon Elastic Container Service(Amazon ECS)でホストされているWebアプリケーションをホストしています。 ALBは、TLSを無効にし、ECSサービスアクティビティ間で負荷を再分散しています。セキュリティエンジニアは、アプリケーションコンテンツにCloudFrontを介してのみアクセスでき、直接アクセスできないようにするシステムを作成する必要があります。

セキュリティエンジニアは、可能な限りSAFESTソリューションをどのように構築する必要がありますか?

A. オリジンカスタムヘッダーを追加します。ビューアプロトコルポリシーをHTTPおよびHTTPSに設定します。オリジンプロトコルポリシーをHTTPSのみに設定します。アプリケーションを更新して、CloudFrontカスタムヘッダーを検証します。

B. オリジンカスタムヘッダーを追加します。ビューアープロトコルポリシーをHTTPSのみに設定します。ビューアに一致するようにオリジンプロトコルポリシーを設定します。アプリケーションを更新して、CloudFrontカスタムヘッダーを検証します。

C. オリジンカスタムヘッダーを追加します。 HTTPをHTTPSにリダイレクトするようにビューアプロトコルポリシーを設定します。オリジンプロトコルポリシーをHTTPのみに設定します。アプリケーションを更新して、CloudFrontカスタムヘッダーを検証します。

D. オリジンカスタムヘッダーを追加します。 HTTPをHTTPSにリダイレクトするようにビューアプロトコルポリシーを設定します。オリジンプロトコルポリシーをHTTPSのみに設定します。アプリケーションを更新して、CloudFrontカスタムヘッダーを検証します。

□Question #207Topic 1

AmazonS3とAmazonAthenaは、企業のデータレイクに電力を供給するために使用されます。同社のセキュリティエンジニアは、組織のデータ保護のニーズに準拠する暗号化ソリューションを開発する責任を負っています。暗号化ソリューションは、AmazonS3および会社が管理するキーと互換性がある必要があります。暗号化ソリューションは、連邦情報処理標準(FIPS)140-2レベル3検証要件を満たすハードウェアセキュリティモジュール内に含まれている必要があります。

これらの基準を満たすソリューションはどれですか?

A. AWS EncryptionSDKで実装されたAWSKMSカスタマーマネージドキーでクライアント側の暗号化を使用します。

B. AWS CloudHSMを使用してキーを保存し、暗号化操作を実行します。暗号化されたテキストをAmazonS3に保存します。

C. AWSCloudHSMを使用するカスタムキーストアによってサポートされているAWSKMSの顧客管理キーを使用します。

D. AWS KMSの顧客管理キーと独自のキーの持ち込み(BYOK)機能を使用して、AWSCloudHSMに保存されているキーをインポートします。

□Question #208Topic 1

組織は、ELBクラシックロードバランサーの背後にあるEC2インスタンスの違反を示すアラートを受け取ります。

証拠収集を可能にしながら、横方向の動きを防ぐ戦略はどれですか?

A. インスタンスをロードバランサーから削除して終了します。

B. インスタンスをロードバランサーから削除し、セキュリティグループを強化してインスタンスへのアクセスをシャットダウンします。

C. インスタンスをリブートし、AmazonCloudWatchアラームを確認します。

D. インスタンスを停止し、ルートEBSボリュームのスナップショットを作成します。

□Question #209Topic 1

セキュリティエンジニアは、次のHTTPセキュリティヘッダーを含めることにより、レガシーWebアプリケーションのセキュリティを強化する必要があります。

-Policy on Content Security

-X-Frame-Options

-X-XSS-Protection

エンジニアは、古いWebアプリケーションのソースコードにアクセスできません。

この基準を達成するには、次の手順のどれで十分ですか?

A. 必要なヘッダーを含まないすべてのWebトラフィックをブラックホールに送信するようにAmazonRoute53ルーティングポリシーを設定します。

B. 必要なヘッダーを挿入するAWSLambda @Edgeオリジンレスポンス関数を実装します。

C. レガシーアプリケーションをAmazonS3静的ウェブサイトに移行し、AmazonCloudFrontディストリビューションを前面に配置します。

D. AWS WAFルールを作成して、正規表現を使用して既存のHTTPヘッダーを必要なセキュリティヘッダーに置き換えます。

□Question #210Topic 1

Example.comは、ロードバランサー(ALB)によって保護されているAmazonEC2インスタンスでホストされています。各ホストは、EC2インスタンスのトラフィックを監視するサードパーティのホスト侵入検知システム(HIDS)エージェントを実行します。企業は、サードパーティのソリューションによって提供される保証を危険にさらすことなく、消費者にプライバシーを強化するテクノロジーを使用していることを保証する必要があります。

これらの要件を満たすためのSECURESTメソッドは何ですか?

A. ALBでTLSパススルーを有効にし、Elliptic Curve Diffie-Hellman(ECDHE)暗号スイートを使用してサーバーで復号化を処理します。

B. 楕円曲線ディフィーヘルマン(ECDHE)暗号スイートとの暗号化された接続を使用するリスナーをALBに作成し、トラフィックを平文でサーバーに渡します。

C. 楕円曲線ディフィーヘルマン(ECDHE)暗号スイートとの暗号化接続を使用するALBでリスナーを作成し、Perfect Forward Secrecy(PFS)を有効にしないサーバーへの暗号化接続を使用します。

D. Perfect Forward Secrecy(PFS)暗号スイートを有効にしないALBでリスナーを作成し、Elliptic Curve Diffie-Hellman(ECDHE)暗号スイートを使用してサーバーへの暗号化された接続を使用します。

□Question #211Topic 1

企業はIDフェデレーションを使用してユーザーをIDアカウント(987654321987)に認証し、ユーザーにはIdentityRoleIAMロールが割り当てられます。次に、ユーザーは、ターゲットAWSアカウント(123456789123)でJobFunctionRoleと呼ばれるIAMロールを引き受けることにより、ジョブタスクを実行します。

ユーザーはターゲットアカウントのIAMロールを採用できません。 IDアカウントの役割は、次のポリシーに関連付けられています。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Action": [

                                                                      “sts:AssumeRole"

                                                        ],

                                                        “Resource": [

                                                                      “arn:aws:iam::*:role/JobFunctionRole"

                                                        ],

                                                        “Effect": “Allow"

                                          }

                            ]

              }

ユーザーがターゲットアカウントで正しい役割を引き受けることができるようにするには、どのような手順を実行する必要がありますか?

A. IDアカウントのロールに関連付けられているIAMポリシーを次のように更新します。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Action": [

                                                                      “sts:AssumeRole"

                                                        ],

                                                        “Resource": [

                                                                      “arn:aws:iam::123456789123/JobFunctionRole"

                                                        ],

                                                        “Effect": “Allow"

                                          }

                            ]

              }

B. ターゲットアカウントの役割の信頼ポリシーを次のように更新します。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Effect": “Allow",

                                                        “Principal": {

                                                                      “AWS": “arn:aws:iam::123456789123/IdentityRole"

                                                        ],

                                                        “Action": “sts:AssumeRole"

                                          }

                            ]

              }

C. IDアカウントのロールの信頼ポリシーを次のように更新します。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Effect": “Allow",

                                                        “Principal": {“AWS": “arn:aws:iam::987654321987/root"

                                                        ],

                                                        “Action": “sts:AssumeRole"

                                          }

                            ]

              }

D. ターゲットアカウントのロールに関連付けられているIAMポリシーを次のように更新します。

              {

                            “Version": “2012-10-17",

                            “Statement": [

                                          {

                                                        “Sid": “Stmt1502946463000"

                                                        “Effect": “Allow",

                                                        “Action": “sts:AssumeRole"

                                                        “Principal": “arn:aws:iam::123456789123:role/JobFunctionRole"

                                          }

                            ]

              }

□Question #212Topic 1

セキュリティエンジニアは、VPCフローログがAutoScalingグループの一部である単一のAmazonEC2インスタンスから大量のREJECTトラフィックを受信していることを発見しました。

セキュリティエンジニアは、このAmazonEC2インスタンスがハッキングされる可能性を心配しています。

セキュリティエンジニアが取るべき最初の行動方針は何ですか?

A. AutoScalingグループからインスタンスを削除します。分析を実行するには、単一のフォレンジックIPアドレスからの入力のみでセキュリティグループを閉じます。

B. AutoScalingグループからインスタンスを削除します。ネットワークACLルールを変更して、単一のフォレンジックIPアドレスからのトラフィックのみが分析を実行できるようにします。他のすべてのトラフィックを拒否するルールを追加します。

C. AutoScalingグループからインスタンスを削除します。そのAWSアカウントでAmazonGuardDutyを有効にします。疑わしいEC2インスタンスにAmazonInspectorエージェントをインストールして、スキャンを実行します。

D. 疑わしいEC2インスタンスのスナップショットを撮ります。分析を実行するために、単一のフォレンジックIPアドレスからの入力のみを使用して、クローズドセキュリティグループのスナップショットから新しいEC2インスタンスを作成します。

□Question #213Topic 1

企業は、ITインフラストラクチャの大部分をAWSに移行することを意図しています。同社は、オンプレミスのActiveDirectoryをAWSIDプロバイダーとして使用したいと考えています。

組織のオンプレミスActiveDirectoryを利用してAWSサービスを認証するには、どのアクションに従う必要がありますか? (3つ選択してください。)

A. 各ActiveDirectoryグループに対応するアクセス許可を持つIAMロールを作成します。

B. 各ActiveDirectoryグループに対応するアクセス許可を持つIAMグループを作成します。

C. IAMを使用してSAMLプロバイダーを作成します。

D. Amazon CloudDirectoryを使用してSAMLプロバイダーを作成します。

E. AWSをActiveDirectoryの信頼できる信頼できるパーティとして設定します

F. IAMをAmazonCloudDirectoryの信頼できる信頼できるパーティとして設定します。

□Question #214Topic 1

セキュリティエンジニアは、仮想プライベートクラウド(VPC)内で通信するコンテナ間で相互に承認されたTLS接続を確立する必要があります。

最も安全で保守しやすいアプローチはどれですか?

A. AWS Certificate Managerを使用して、公開認証局から証明書を生成し、それらをすべてのコンテナーにデプロイします。

B. 1つのコンテナーに自己署名証明書を作成し、AWS Secrets Managerを使用して証明書を他のコンテナーに配布し、信頼を確立します。

C. AWS Certificate Managerプライベート認証局(ACM PCA)を使用して下位の認証局を作成し、コンテナーに秘密キーを作成して、ACM PCAAPIを使用して署名します。

D. AWS Certificate Manager Private Certificate Authority(ACM PCA)を使用して下位の認証局を作成し、次にAWS Certificate Managerを使用してプライベート証明書を生成し、それらをすべてのコンテナーに展開します。

□Question #215Topic 1

企業は、AWS Key Management Service(AWS KMS)CMKを使用したサーバー側の暗号化を使用して、重要な情報をAmazonS3に保存します。新しい基準では、これらのドキュメントの作成に使用されたCMKをS3アクティビティにのみ使用する必要があります。

この要件を満たすには、会社のコアポリシーにどのステートメントを追加する必要がありますか?

A.

              {

                            “Effect": “Deny",

                            “Principal": “*",

                            “Action": “kms:*",

                            “Resource": “*",

                            “Condition": {

                                          “StringNotEquals": {

                                                        “kms:CllerAccount": “s3.amazonaws.com"

                                          }

                            }

              }

B.

              {

                            “Effect": “Deny",

                            “Principal": “*",

                            “Action": “s3:*",

                            “Resource": “*",

                            “Condition": {

                                          “StringNotEquals": {

                                                        “kms:CllerAccount": “kms.*amazonaws.com"

                                          }

                            }

              }

C.

              {

                            “Effect": “Deny",

                            “Principal": “*",

                            “Action": “kms:*",

                            “Resource": “*",

                            “Condition": {

                                          “StringNotEquals": {

                                                        “kms:ViaService": “s3.*amazonaws.com"

                                          }

                            }

              }

D.

              {

                            “Effect": “Deny",

                            “Principal": “*",

                            “Action": “s3:*",

                            “Resource": “*",

                            “Condition": {

                                          “StringNotEquals": {

                                                        “kms:CllerAccount": “kms.amazonaws.com"

                                          }

                            }

              }

□Question #216Topic 1

企業のクラウドセキュリティポリシーによると、VPCとKMSの間のやり取りは、パブリックサービスエンドポイントを介してではなく、AWSネットワーク内でのみ行われる必要があります。

次のアクティビティのうち、この要件を最も完全に満たすものはどれですか? (2つ選択してください。)

A. 会社のVPCエンドポイントIDを参照するAWSKMSキーポリシーにaws:sourceVpce条件を追加します。

B. VPCからVPCインターネットゲートウェイを削除し、仮想プライベートゲートウェイをVPCに追加して、直接のパブリックインターネット接続を防止します。

C. プライベートDNSを有効にしてAWSKMSのVPCエンドポイントを作成します。

D. KMSインポートキー機能を使用して、VPNを介してAWSKMSキーを安全に転送します。

E. 次の条件をAWSKMSキーポリシーに追加します: “aws:SourceIp": “10.0.0.0/16″。

□Question #217Topic 1

特定の機密性の高い分析ワークロードは、AmazonEC2ホストに移行されます。脅威モデリングは、サブネットが意図的または不注意にインターネットにさらされる危険性を示しています。

次の緩和策のうち、最も適切なものはどれですか?

A. AWS Configを使用してインターネットゲートウェイが追加されているかどうかを検出し、AWSLambda関数を使用して自動修復を提供します。

B. Amazon VPC設定内で、VPCをプライベートとしてマークし、ElasticIPアドレスを無効にします。

C. EC2ホストで排他的にIPv6アドレッシングを使用します。これにより、ホストがインターネットからアクセスできなくなります。

D.ワークロードを専用ホストに移動します。これにより、追加のネットワークセキュリティ制御と監視が提供されます。

□Question #218Topic 1

AWS Systems Managerパラメータストアは、AWSLambda関数のデータベースクレデンシャルを保存するために使用されます。データの性質上、データはタイプSecureStringとして保存され、IAMを介したアクセスを許可するAWSKMSキーによって保護されます。アクセス拒否エラーのため、関数の実行中にこの引数を取得できません。

次のアクティビティのうち、アクセス拒否エラーが解決されるのはどれですか?

A. KMSキーポリシーのssm.amazonaws.comプリンシパルを更新して、kms:Decryptを許可します。

B. Lambda設定を更新して、VPCで関数を起動します。

C. Lambda関数が使用するロールにポリシーを追加し、kmsを許可します。KMSキーの復号化。

D. lambda.amazonaws.comを、Lambda関数が使用するIAMロールの信頼できるエンティティとして追加します。

□Question #219Topic 1

企業は、IPv6アドレス範囲を持つ仮想プライベートネットワーク(VPC)と、IPv6アドレスブロックを持つパブリックサブネットを維持しています。 VPCは現在いくつかのパブリックAmazonEC2インスタンスを実行していますが、セキュリティエンジニアは、IPv6アクセスを必要とする別のアプリケーションをVPCに再配置したいと考えています。

更新を取得するために、この新しいアプリケーションは定期的にAPIクエリを外部のインターネットアクセス可能なエンドポイントに送信します。一方、セキュリティチームは、アプリケーションのEC2インスタンスがインターネットに直接公開されることを望んでいません。セキュリティエンジニアは、プライベートサブネットを構築し、それを特注のルートテーブルに関連付けることを計画しています。

アプリケーションがインターネットに直接公開されていないが、必要に応じて対話できることを保証するために、セキュリティエンジニアはさらにどのような手順を実行する必要がありますか?

A. パブリックサブネットでNATインスタンスを起動します。 NATインスタンスへの新しいルートでカスタムルートテーブルを更新します。

B. インターネットゲートウェイを削除し、AWSPrivateLinkをVPCに追加します。次に、カスタムルートテーブルをAWSPrivateLinkへの新しいルートで更新します。

C. マネージドNATゲートウェイをVPCに追加します。ゲートウェイへの新しいルートでカスタムルートテーブルを更新します。

D. 出力専用のインターネットゲートウェイをVPCに追加します。ゲートウェイへの新しいルートでカスタムルートテーブルを更新します。

□Question #220Topic 1

ビジネスの接続ポリシーは複雑で、Amazon EC2インスタンス間の入口、出口、および通信を管理します。ルールは複雑すぎて、最大数のセキュリティグループとネットワークアクセスコントロールリスト(ネットワークACL)内に実装できません。

組織が追加費用なしで必要なすべてのネットワーク規制を適用できるようにする手法はどれですか?

A. 必要なルールを実装するようにAWSWAFルールを設定します。

B. オペレーティングシステムに組み込まれているホストベースのファイアウォールを使用して、必要なルールを実装します。

C. NATゲートウェイを使用して、要件に従って入力と出力を制御します。

D. AWS MarketplaceからEC2ベースのファイアウォール製品を起動し、その製品に必要なルールを実装します。