AWS Security -12
□Question #221Topic 1
ビジネスの設計では、3つのAmazonEC2インスタンスがApplicationLoad Balancer(ALB)の背後で動作する必要があります。 EC2インスタンスは相互に通信し、機密データを交換します。 SSL証明書は、パブリックユーザーとALB間の通信を暗号化するために開発者によって使用されます。一方、開発者は、ALBとEC2インスタンス間で転送中のデータ、およびEC2インスタンス間の通信を暗号化する方法が不明です。
暗号化要件に準拠するために、企業はどの操作の組み合わせを実行する必要がありますか? (2つ選択してください。)
A. EC2インスタンスでSSL / TLSを設定し、HTTPSを使用するようにALBターゲットグループを設定します。
B. すべてのリソースが同じVPCにあることを確認して、VPCによって提供されるデフォルトの暗号化がEC2インスタンス間のトラフィックの暗号化に使用されるようにします。
C. ALBで、デフォルトの暗号化を選択して、ALBとEC2インスタンス間のトラフィックを暗号化します。
D. アプリケーションのコードに、暗号化ライブラリを含め、EC2インスタンス間でデータを送信する前にデータを暗号化します。
E. EC2インスタンス間に暗号化されたトンネルを提供するようにAWSDirectConnectを設定します。
□Question #222Topic 1
Amazon GuardDutyは、AmazonEC2インスタンスから既知のコマンドアンドコントロールエンドポイントへの通信を識別しました。インスタンスが一般的なWebフレームワークの脆弱なバージョンを実行していることが発見されました。同社のセキュリティ運用チームは、そのフレームワークの特定のバージョンを実行しているより多くのコンピューティングリソースを迅速に発見したいと考えています。
チームはこのタスクを完了するためにどの戦略を使用する必要がありますか?
A. すべてのEC2インスタンスをスキャンして、AWSConfigに準拠していないかどうかを確認します。 Amazon Athenaを使用して、フレームワークのインストールについてAWSCloudTrailログをクエリします。
B. Amazon Inspector Network Reachabilityルールパッケージを使用してすべてのEC2インスタンスをスキャンし、RecognizedPortWithListenerの結果でWebサーバーを実行しているインスタンスを特定します。
C. AWS Systems Managerを使用してすべてのEC2インスタンスをスキャンし、脆弱なバージョンのWebフレームワークを特定します。
D. AWS Resource Access Managerを使用してすべてのEC2インスタンスをスキャンし、脆弱なバージョンのWebフレームワークを特定します。
□Question #223Topic 1
セキュリティチームは、元従業員が過去3か月の間に、認識されたアクセスキーを使用してAWSリソースへの不正アクセスを取得した可能性があると考えています。
セキュリティチームは、元従業員がAWS内で何をした可能性があるかをどのように判断しますか?
A. AWS CloudTrailコンソールを使用して、ユーザーアクティビティを検索します。
B. Amazon CloudWatch Logsコンソールを使用して、CloudTrailデータをユーザーでフィルタリングします。
C. AWS Configを使用して、ユーザーが実行したアクションを確認します。
D. Amazon Athenaを使用して、AmazonS3に保存されているCloudTrailログをクエリします。
□Question #224Topic 1
企業の情報セキュリティ担当ディレクターは、AWSセキュリティのベストプラクティスに準拠するために、各企業アカウントに提案を含むAWSからの毎日の電子メールレポートを要求します。
これらの基準を満たすソリューションはどれですか?
A. すべてのAWSアカウントで、AWS TrustedAdvisorのセキュリティチェックのためにAWSSupportAPIにクエリを実行するようにAWSLambdaを設定します。 LambdaからAmazonSNSトピックに結果を送信して、レポートを送信します。
B. マスターアカウントでAmazonGuardDutyを構成し、他のすべてのアカウントをマスターアカウントで管理するように招待します。 GuardDutyとAmazonSNSの統合を使用して、調査結果をレポートします。
C. AmazonAthenaとAmazonQuickSightを使用して、AWSCloudTrailからレポートを作成します。毎日のAmazonCloudWatchトリガーを作成して、レポートを毎日実行し、AmazonSNSを使用してメールで送信します。
D. AWSArtifactのビルド済みレポートとサブスクリプションを使用します。各アカウントのセキュリティ代替連絡先としてディレクターを追加することにより、情報セキュリティのディレクターをレポートにサブスクライブします。
□Question #225Topic 1
企業はモバイルショッピング用のWebアプリケーションを構築しています。組織には、転送中および保存中のすべてのデータを暗号化するように構成された安全な環境が必要です。
セキュリティエンジニアは、転送中に会社のApplication LoadBalancerおよびAmazonAPIGatewayサービス宛てのトラフィックを暗号化するソリューションを提供する必要があります。
さらに、ソリューションは、AmazonS3との間で送受信されるデータを暗号化する必要があります。
これらの要件に確実に準拠するために、セキュリティエンジニアはどのようなアクションを実行する必要がありますか?
A. 転送中の暗号化にはAWSCertificate Manager(ACM)を使用してください。安静時の暗号化にはAWSKey ManagementServiceを使用します。
B. 転送中の暗号化と保存中の暗号化にはAWSCertificate Manager(ACM)を使用します。
C. 転送中の暗号化にはAWSKey ManagementServiceを使用します。保管時の暗号化にはAWSCertificate Manager(ACM)を使用します。
D. 転送中の暗号化と保存中の暗号化にはAWSKey ManagementServiceを使用します。
□Question #226Topic 1
セキュリティエンジニアがIAMユーザーとしてAWSマネジメントコンソールにログインし、セキュリティロールIAMロールを選択しました。メンテナンス操作を実行するには、セキュリティエンジニアはメンテナIAMロールに移動する必要があります。これにより、セキュリティロールが信頼できるエンティティのリストに追加されます。セキュリティエンジニアは、メンテナの仕事に移行するために失敗した努力をします。
次のうち、失敗の最も可能性の高い理由はどれですか?
A. セキュリティロールとメンテナロールは、セキュリティエンジニアがアカウントへのサインインに使用したIAMユーザーには割り当てられていません。
B. セキュリティエンジニアは、AWSアカウントのrootユーザーとしてログインしている必要があります。これにより、任意の役割を直接引き受けることができます。
C. メンテナの役割には、信頼できるエンティティとしてのIAMユーザーは含まれません。
D. セキュリティロールのポリシーには、sts:AssumeRoleアクションを許可するステートメントが含まれていません。
□Question #227Topic 1
セキュリティエンジニアが、AWS KMSCMKにインポートされたキーマテリアルを誤って消去しました。
失われたキーマテリアルを回復するためにセキュリティエンジニアは何をしますか?
A. 新しいCMKを作成します。新しいラッピングキーと新しいインポートトークンをダウンロードして、元のキーマテリアルをインポートします。
B. 新しいCMKを作成します。元のラッピングキーとインポートトークンを使用して、元のキーマテリアルをインポートします。
C. 新しいラッピングキーと新しいインポートトークンをダウンロードします。元のキーマテリアルを既存のCMKにインポートします。
D. 元のラッピングキーとインポートトークンを使用します。元のキーマテリアルを既存のCMKにインポートします。
□Question #228Topic 1
セキュリティエンジニアは、クライアントとAmazon Elastic Container Service(Amazon ECS)で動作するDockerコンテナ間の通信を暗号化するソリューションを開発しています。さらに、このメソッドは変動するトラフィックパターンに対処します。
どのシステムが最もスケーラブルで、レイテンシーが最も低いですか?
A. TLSトラフィックを終了してから、コンテナーへのトラフィックを再暗号化するようにネットワークロードバランサーを構成します。
B. TLSトラフィックを終了し、コンテナーへのトラフィックを再暗号化するようにアプリケーションロードバランサーを構成します。
C. TLSトラフィックをコンテナに渡すように、TCPリスナーを使用してネットワークロードバランサーを構成します。
D. 複数値の回答ルーティングを使用してトラフィックをコンテナに送信するようにAmazonルートを構成します。
□Question #229Topic 1
企業は外部IDプロバイダーを使用して、多くのAWSアカウント間でフェデレーションを有効にします。ある会社のセキュリティエンジニアは、どのフェデレーションユーザーが1週間前に本番のAmazonEC2マシンを終了したかを特定したいと考えています。
フェデレーションユーザーを識別するSECURITYENGINEERの最速の方法は何ですか?
A. AmazonS3バケットのAWSCloudTrailイベント履歴ログを確認し、TerminateInstancesイベントを探して、ロールセッション名からフェデレーションユーザーを識別します。
B. TerminateInstancesイベントのAWSCloudTrailイベント履歴をフィルタリングし、想定されるIAMロールを特定します。 CloudTrailでAssumeRoleWithSAMLイベント呼び出しを確認して、対応するユーザー名を特定します。
C. AWS CloudTrailログでTerminateInstancesイベントを検索し、イベント時間を記録します。すべてのフェデレーションロールについて、[IAMアクセスアドバイザ]タブを確認します。最後にアクセスされた時刻は、インスタンスが終了した時刻と一致する必要があります。
D. Amazon Athenaを使用して、AmazonS3バケットに保存されているAWSCloudTrailログでSQLクエリを実行し、TerminateInstancesイベントでフィルタリングします。対応する役割を特定し、別のクエリを実行して、ユーザー名のAssumeRoleWithWebIdentityイベントをフィルタリングします。
□Question #230Topic 1
ビジネスでは、3つの異なるAWSアカウントを使用して、本番環境、開発環境、およびテスト環境を管理します。各開発者には、開発アカウントの下で独自のIAMユーザーが与えられます。開発アカウントのAmazonEC2インスタンスにデプロイされた新しいアプリケーションには、本番アカウントのAmazonS3バケット内のアーカイブされたドキュメントへの読み取りアクセスが必要です。
アクセスは次の方法で提供する必要があります。
A. 本番アカウントでIAMロールを作成し、開発アカウントのEC2インスタンスが信頼ポリシーを使用してそのロールを引き受けることを許可します。このロールに必要なS3バケットの読み取りアクセスを提供します。
B. カスタムIDブローカーを使用して、開発者IAMユーザーがS3バケットに一時的にアクセスできるようにします。
C. アプリケーションが本番アカウントで使用するための一時的なIAMユーザーを作成します。
D. 本番アカウントに一時的なIAMユーザーを作成し、AmazonS3への読み取りアクセスを提供します。一時的なIAMユーザーのアクセスキーとシークレットキーを生成し、これらのキーをアプリケーションが開発アカウントで使用するEC2インスタンスに保存します。
□Question #231Topic 1
ビジネスは数ペタバイトのワークロードをAmazonS3に移行していますが、CISOは、暗号の消耗とキー違反に関連する爆発範囲について懸念しています。
CISOは、AWSKMSとAmazonS3が問題に適切に対処していることをどのように確認できますか? (2つ選択してください。)
A. 暗号化された形式でS3オブジェクトを取得するためのAPI操作はありません。
B. S3オブジェクトの暗号化は、KMSサービスの安全な境界内で実行されます。
C. S3はKMSを使用して、個々のオブジェクトごとに一意のデータキーを生成します。
D. 単一のマスターキーを使用してすべてのデータを暗号化することには、監査と使用状況の検証を実行するための単一の場所を持つことが含まれます。
E. KMS暗号化エンベロープは、暗号化の摩耗を防ぐために、暗号化中にマスターキーにデジタル署名します。
□Question #232Topic 1
モバイルゲームのセキュリティエンジニアは、進行状況を保存するためにプレーヤーが自分自身を確認するための手段を実装する責任があります。ユーザーの大多数は同じOpenID互換のソーシャルネットワーキングWebサイトのメンバーであるため、セキュリティエンジニアはそのWebサイトをIDプロバイダーとして利用したいと考えています。
ユーザーがソーシャルネットワークIDを使用して認証できるようにする最も簡単な方法はどれですか?
A. Amazon Cognito
B. AssumeRoleWithWebIdentity API
C. Amazon Cloud Directory
D. Active Directory (AD) Connector
□Question #233Topic 1
ログファイルは、Amazon EC2インスタンスで実行されているアプリケーションによって生成され、Linuxファイルシステムのサブディレクトリに保存されます。インスタンスは、コンソールアクセスと、セキュアコピープロトコル(SCP)やセキュアファイル転送プロトコル(SFTP)(SFTP)などのファイル転送アプリケーションを無効にします。アプリケーションサポートチームは、将来アラートを提供するために、アプリケーションログファイルを自動的に監視したいと考えています。
セキュリティエンジニアは、次の要件を満たすソリューションを開発する責任があります。
-> AWSマネージドサービスを介してログファイルへのアクセスを提供します。
自動ログ監視を可能にします。
->ログファイルを調べるためのグラフィカルユーザーインターフェイスを提供します。
->労力を削減します。
これらの基準を満たす手法はどれですか?
A. AWSSDKを使用するようにアプリケーションを変更します。アプリケーションログをAmazonS3バケットに書き込みます。
B. 統合されたAmazonCloudWatchエージェントをインスタンスにインストールします。 EC2ファイルシステムでアプリケーションログファイルを収集し、Amazon CloudWatchLogsに送信するようにエージェントを設定します。
C. インスタンスにAWSSystems ManagerAgentをインストールします。アプリケーションログファイルをAWSDeepLensにコピーするように自動化ドキュメントを設定します。
D. インスタンスにAmazonKinesisAgentをインストールします。アプリケーションログファイルをAmazonKinesis Data Firehoseにストリーミングし、宛先をAmazon ElasticsearchServiceに設定します。
□Question #234Topic 1
企業はAWSを使用して、内部ユーザー向けのサーバーレスアプリケーションをホストしています。 AWS Lambdaは、アプリケーションのフロントエンドとビジネスロジックを強化するために使用されます。 Lambda関数は、VPC内に含まれているAmazonRDSデータベースに接続します。ビジネスはデータベースクレデンシャルをAWSSystemsManagerパラメータストアに保存します。
最近のセキュリティ監査により、次の懸念が明らかになりました。
-> Lambda関数はインターネットにアクセスできます。
->リレーショナルデータベースは一般公開されています。
->データベースのクレデンシャルは暗号化された状態で保存されません。
これらのセキュリティ上の懸念に対処するために、組織はどのような対策の組み合わせをとるべきですか? (3つ選択してください。)
A. VPC内のRDSデータベースへのパブリックアクセスを無効にします。
B. すべてのLambda関数をVPC内に移動します。
C. インターネットアクセスを制限するためにLambdaが使用するIAMロールを編集します。
D. SystemsManagerのVPCエンドポイントを作成します。クレデンシャルを文字列パラメータとして保存します。パラメータタイプを詳細パラメータに変更します。
E.インターネットアクセスを制限するためにRDSが使用するIAMロールを編集します。
F. SystemsManagerのVPCエンドポイントを作成します。資格情報をSecureStringパラメーターとして保管します。
□Question #235Topic 1
企業のセキュリティエンジニアは、すべてのアプリケーションログを統合されたAmazonS3バケットに一元化しています。現在、組織内の各アプリケーションは独自のAWSアカウントで実行され、ログは各アカウントに接続されたS3バケットに保存されます。各アカウントには、必要なログファイルを一元化されたS3バケットにアップロードするAWSLambda関数があります。
セキュリティエンジニアは、集中型S3バケットに保存されているログデータを表示できません。一元化されたアカウントで定義されているエンジニアのIAMユーザーポリシーは次のとおりです。
{
“Version": “2012-10-17",
“Statement": [
{
“Action": “s3:Put*",
“Resource":"arn:aws:s3:::centralizedbucket/*",
“Effect": “Deny"
},
{
“Action": [“s3:Get", “s3:List*"],
“Resource": [
“arn:aws:s3:::centralizedbucket/*",
“arn:aws:s3:::centralizedbucket/"
],
“Effect": “Allow"
]
]
}
一元化されたS3バケットのポリシーは次のとおりです。
{
“Version": “2012-10-17", “Statement": [
{
“Effect": “Allow",
“Principal":
“AWS": [
“arn:aws:iam::111122223333:role/LogCopier",
“arn:aws:iam::444455556666:role/LogCopier"
]
},
“Action": {“s3:PutObject", “s3:PutObjectAcl"},
“Resource": “arn:aws:s3:::centralizedbucket/*"
}
]
}
セキュリティエンジニアがログファイルにアクセスできない原因は何ですか?
A. S3バケットポリシーでは、セキュリティエンジニアがバケット内のオブジェクトにアクセスすることを明示的に許可していません。
B. 集中アカウント内のユーザーがオブジェクトにアクセスできるようにオブジェクトACLが更新されていません。
C. セキュリティエンジニアのIAMポリシーは、S3バケット内のオブジェクトを読み取るためのアクセス許可を付与しません。
D. s3:PutObjectおよびs3:PutObjectAcl権限は、S3バケットレベルで適用する必要があります。
□Question #236Topic 1
ソリューションアーキテクトは、Amazon CloudFront、Elastic Load Balancing Application Load Balancer、およびAmazonEC2インスタンスのAutoScalingグループを利用するWebアプリケーションを開発しています。ロードバランサーとEC2インスタンスは、アメリカ合衆国の西(オレゴン)リージョンにあります。クライアントとCloudFrontの間、およびCloudFrontとロードバランサーの間で、転送中の暗号化が必要であると判断されました。
AWS Certificate Managerを使用する場合、いくつの証明書を作成する必要がありますか?
A. 1つは米国西部(オレゴン)地域にあり、もう1つは米国東部(バージニア)地域にあります。
B. 米国西部(オレゴン)地域に2つ、米国東部(バージニア)地域に1つ。
C. 1つは米国西部(オレゴン)地域にあり、米国東部(バージニア)地域には1つありません。
D. 米国東部(バージニア)地域に2つ、米国西部(オレゴン)地域に1つ。
□Question #237Topic 1
現在、企業はMicrosoft Active Directoryを利用してオンプレミスのリソースへのアクセスを制御しており、AWSアカウントにも同じ手法を採用したいと考えています。さらに、開発チームは、個別の認証ソリューションが必要な公開アプリケーションを開発する予定です。
次の組み合わせのどれがこれらの要件を満たしますか? (2つ選択してください。)
A. オンプレミスディレクトリをAWSに拡張するために、AmazonEC2でドメインコントローラーをセットアップします。
B. オンプレミスとユーザーのVPC間のネットワーク接続を確立します。
C. アプリケーション認証にAmazonCognitoユーザープールを使用します。
D. アプリケーション認証にADコネクタを使用します。
E. ADFSとSAMLを介してAWSへのフェデレーションサインインを設定します。
□Question #238Topic 1
ビジネスでは、複数のアプリをAWSに移行する必要があります。これには、5,000を超えるクレデンシャルのストレージが必要になります。コンプライアンスを確保するために、組織は引き続き現在のパスワード管理システムを使用して、キーのローテーション、監査、およびサードパーティのシークレットコンテナとのやり取りを行います。ビジネスはわずかな予算で運営されており、安全でもある最も費用効果の高いオプションを探しています。
可能な限り低いコストでこれを行うために、ビジネスはどのように取り組むべきですか?
A. AWS SystemsManagerパラメータストアと統合するように会社のキー管理ソリューションを設定します。
B. AWS SecretsManagerと統合するように会社のキー管理ソリューションを設定します。
C. Amazon S3暗号化バケットを使用してシークレットを保存し、シークレットにアクセスするための適切なロールを使用してアプリケーションを構成します。
D. AWSCloudHSMと統合するように会社のキー管理ソリューションを構成します。
□Question #239Topic 1
ソフトウェアエンジニアは、AmazonEC2マシンのフリート全体にデプロイされるオーダーメイドのレポートサービスを作成しました。会社のセキュリティポリシーに従って、レポートサービスのアプリケーションログを一元的に収集する必要があります。
これらの要件を満たすのに最も効果的な方法はどれですか?
A. EC2インスタンスにログインしてアプリケーションログをEC2インスタンスからプルし、AmazonS3バケットに永続化するAWSLambda関数を記述します。
B. AWSアカウントのAWSCloudTrailログを有効にし、新しいAmazon S3バケットを作成してから、CloudTrailからアプリケーションログを受信するようにAmazon CloudWatchLogsを設定します。
C. rsyncを使用して、アプリケーションログをAmazonS3バケットに同期する単純なcronジョブをEC2インスタンスに作成します。
D. Amazon CloudWatch Logs AgentをEC2インスタンスにインストールし、アプリケーションログをCloudWatchLogsに送信するように設定します。
□Question #240Topic 1
ビジネスには、多くのAWS本番アカウントと中央のAWSセキュリティアカウントがあります。セキュリティアカウントは集中監視に使用され、各企業アカウントに関連付けられているすべてのリソースにIAMアクセスできます。会社のすべてのAmazonS3バケットには、コンテンツのデータ分類を示す値がラベル付けされています。
セキュリティアカウントでは、セキュリティエンジニアが、バケットポリシーへの準拠を保証する監視システムをインストールしています。システムは、すべての本番アカウントでS3バケットを監視し、ポリシーの変更がバケットのデータ分類と一致していることを確認する必要があります。コンプライアンスに違反する変更があった場合は、セキュリティチームにただちに通知する必要があります。
どのアクションの組み合わせが必要なソリューションになりますか? (3つ選択してください。)
A. すべてのS3イベントをセキュリティアカウントイベントバスに送信するように、本番アカウントでAmazonCloudWatchイベントを設定します。
B. セキュリティアカウントでAmazonGuardDutyを有効にし、本番アカウントにメンバーとして参加します。
C. セキュリティアカウントでAmazonCloudWatchイベントルールを設定して、S3バケットの作成または変更イベントを検出します。
D. AWS Trusted Advisorを有効にし、セキュリティ連絡先に割り当てられたメールアドレスのメール通知を有効にします。
E. セキュリティアカウントでAWSLambda関数を呼び出して、S3イベントに応答してS3バケット設定を分析し、コンプライアンス違反の通知をセキュリティチームに送信します。
F. PUT、POST、およびDELETEイベントのS3バケットでイベント通知を設定します。