AWS Security -14
□Question #261Topic 1
企業は、法律により、暗号化キーを毎年ローテーションすることが義務付けられています。セキュリティエンジニアは、インポートされたキーマテリアルから生成されたKMSカスタマーマスターキー(CMK)をローテーションする手順が必要です。
エンジニアはどのようにしてキーローテーションプロセスを最適化できますか?
A. 新しいCMKを作成し、既存のキーエイリアスを新しいCMKにリダイレクトします。
B. キーを自動回転するオプションを選択します。
C. 新しいキーマテリアルを既存のCMKにアップロードします。
D. 新しいCMKを作成し、新しいCMKを指すようにアプリケーションを変更します。
□Question #262Topic 1
セキュリティエンジニアは、企業のVPCとオンプレミスデータセンター間のリンクを保護しながら、オンプレミスサーバー(IPアドレス203.0.113.12)からAmazonEC2インスタンスにpingコマンドを発行しました。 (IPアドレス172.31.16.139)。 pingコマンドが空の文字列を返しました。 VPCのフローログで、次の情報が見つかりました。
2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
pingを正しく機能させるには何をする必要がありますか?
A. EC2インスタンスのセキュリティグループで、インバウンドICMPトラフィックを許可します。
B. EC2インスタンスのセキュリティグループで、アウトバウンドICMPトラフィックを許可します。
C. VPCのNACLで、インバウンドICMPトラフィックを許可します。
D. VPCのNACLで、アウトバウンドICMPトラフィックを許可します。
□Question #263Topic 1
企業は、VPCで実行されている違法なAmazon EC2インスタンスが、VPCで実行されている他のインスタンスに対してネットワークポートスキャンを実行したときに通知を受け取りたいと考えています。
セキュリティチームがAWSMarketplaceから事前に承認されたサードパーティのスキャナーを使用して別のアカウントで内部テストを実施すると、セキュリティチームはさらに、セキュリティチームのテストアクティビティについてアラートを出すAmazonCloudWatchからさまざまなAmazonGuardDuty通知を受け取ります。
セキュリティチームは、許可されていないアクティビティのアラートを取得しながら、許可されたセキュリティテストの通知を無効にするにはどうすればよいですか?
A. AWS CloudTrailのフィルターを使用して、セキュリティチームのEC2インスタンスのIPアドレスを除外します。
B. セキュリティチームのEC2インスタンスのElasticIPアドレスをAmazonGuardDutyの信頼できるIPリストに追加します。
C. セキュリティチームが使用するEC2インスタンスにAmazonInspectorエージェントをインストールします。
D. セキュリティチームのEC2インスタンスに、Amazon GuardDutyAPIオペレーションを呼び出す権限を持つロールを付与します。
□Question #264Topic 1
AWS Lambda関数が悪用されてデータが変更されたため、セキュリティエンジニアは、誰が関数を呼び出し、どの出力が生成されたかを判断する必要があります。エンジニアは、Amazon CloudWatchLogsでLambda関数ログを見つけることができません。
次のうち、ログがないことを最もよく表しているのはどれですか?
A. Lambda関数の実行ロールは、CloudWatchLogsにログデータを書き込むためのパーミッションを付与しませんでした。
B. Lambda関数はAmazonAPI Gatewayを使用して実行されたため、ログはCloudWatchLogsに保存されません。
C. Lambda関数の実行ロールは、CloudWatchLogsがログを保存するAmazonS3バケットに書き込むためのアクセス許可を付与しませんでした。
D. 実行されたLambda関数のバージョンが最新ではありませんでした。
□Question #265Topic 1
セキュリティエンジニアは、IAMユーザーアカウントUser1、User2、およびUser3への読み取りアクセスを許可するAmazonS3バケットポリシーを開発する必要があります。これらのIAMユーザーアカウントは、すべてIAMグループAuthorizedPeopleのメンバーです。セキュリティエンジニアは、S3バケットに対して次のポリシーを作成します。
{
“Version": “2012-10-17",
“Id": “AuthorizedPeoplePolicy",
“Statement": [
{
“Sid": “Action-Authorized-People",
“Effect": “Allow",
“Action": [
“s3:GetObject"
],
“Resource": “arn:aws:s3:::authorized-people-bucket/*"
}
]
}
セキュリティエンジニアがポリシーをS3バケットに追加しようとすると、次のメッセージが表示されます。「必要なフィールドプリンシパルがありません。」
セキュリティエンジニアは、プリンシパル要素を追加してポリシーを変更しています。 User1、User2、およびUser3のみが追加への読み取りアクセス権を持っている必要があります。
これらの基準を満たすソリューションはどれですか?
A.
“Principal": {
“AWS": [
“arn:aws:iam::1234567890:user/User1",
“arn:aws:iam::1234567890:user/User2",
“arn:aws:iam::1234567890:user/User3"
]
}
B.
“Principal": {
“AWS": [
“arn:aws:iam::1234567890:root"
]
}
C.
“Principal": {
“AWS": [
“*"
]
}
D.
“Principal": {
“AWS": [
“arn:aws:iam::1234567890:group/AuthorizedPeople"
]
}
□Question #266 Topic 1
セキュリティエンジニアには、Amazon EC2で動作し、AWSCloudFormationテンプレートとEC2AutoScalingグループを介して制御されるアプリケーションに関する次の要件が提供されます。
-EC2インスタンスが起動され、バックエンドデータベースに接続するように設定されていることを確認します。
-データベースの資格情報が安全に管理されていることを確認します。
-すべてのデータベース資格情報の取得が記録されていることを確認します。
これらの要件を満たすために最も効果的な方法は次のうちどれですか?
A. プロパティをtrueに設定してCloudFormationスタックパラメーターを使用して、データベースのクレデンシャルをEC2に渡します。インスタンスがAmazonCloudWatchLogsにログを記録するように設定されていることを確認します。
B. SecureStringパラメータを使用して、データベースパスワードをAWS SystemsManagerパラメータストアに保存します。 EC2インスタンスプロファイルのIAMロールを設定して、パラメーターへのアクセスを許可します。
C. データベースパスワードを取り込み、サーバー側の暗号化を使用してAmazonS3に保持するAWSLambdaを作成します。 EC2インスタンスに起動時にS3オブジェクトを取得させ、すべてのスクリプト呼び出しをsyslogに記録します。
D. EC2インスタンスの起動時に実行されるように、UserDataとして渡されるスクリプトを記述します。インスタンスがAmazonCloudWatchLogsにログを記録するように設定されていることを確認します。
□Question #267Topic 1
開発チームは、新しく作成されたAWSアカウントでIAMの役割とルールを設定するための支援を要求しました。アカウントを使用しているチームは、数百のマスターキーがあることを想定しており、クライアントマスターキー(CMK)のアクセス制御を維持することを望んでいません。
チームが個々のキーポリシーを変更せずにIAMを使用してAWSKMSアクセス許可を制御できるようにするのは次のうちどれですか?
A. アカウントのCMKキーポリシーでは、アカウントのIAMロールがKMSEnableKeyを実行できるようにする必要があります。
B. 新しく作成されたCMKには、ルートプリンシパルがすべてのアクションを実行できるようにするキーポリシーが必要です。
C. 新しく作成されたCMKは、ルートプリンシパルがkms CreateGrantAPI操作を実行できるようにする必要があります。
D. 新しく作成されたCMKは、KMSキー管理者のIAMポリシーを反映している必要があります。
□Question #268Topic 1
会社のセキュリティエンジニアは、他のAWSサービスへのアクセスを許可せずに、請負業者のIAMアカウントへのアクセスを会社のAmazonEC2コンソールに制限する責任を負っています。請負業者のIAMアカウントにIAMグループメンバーシップに基づいて追加の権限が付与されている場合でも、請負業者のIAMアカウントは他のAWSサービスにアクセスできない必要があります。
これらの要件に確実に準拠するために、セキュリティエンジニアはどのようなアクションを実行する必要がありますか?
A. 請負業者のIAMユーザーにAmazonEC2アクセスを許可するインラインIAMユーザーポリシーを作成します。
B. AmazonEC2アクセスを許可するIAMパーミッション境界ポリシーを作成します。請負業者のIAMアカウントをIAMアクセス許可境界ポリシーに関連付けます。
C. AmazonEC2アクセスを許可するポリシーが添付されたIAMグループを作成します。請負業者のIAMアカウントをIAMグループに関連付けます。
D. EC2を許可し、他のすべてのサービスを明示的に拒否するIAMロールを作成します。請負業者に常にこの役割を引き受けるように指示します。
□Question #269Topic 1
ビジネスのオンプレミスネットワークは、AWS DirectConnectゲートウェイを使用してVPCにリンクされます。同社のオンプレミスアプリケーションでは、確立されたAmazon Kinesis DataFirehose配信ストリームを介したデータストリーミングが必要です。会社のセキュリティポリシーによると、データはプライベートネットワークを通過する際に暗号化する必要があります。
ビジネスはこれらの要件を満たすためにどのように取り組むべきですか?
A. Kinesis DataFirehoseのVPCエンドポイントを作成します。 VPCエンドポイントに接続するようにアプリケーションを構成します。
B.ソースIP条件を使用してKinesisDataFirehoseへのアクセスを制限するようにIAMポリシーを設定します。既存のFirehose配信ストリームに接続するようにアプリケーションを構成します。
C. AWS Certificate Manager(ACM)で新しいTLS証明書を作成します。公開ネットワークロードバランサー(NLB)を作成し、新しく作成されたTLS証明書を選択します。すべてのトラフィックをKinesisDataFirehoseに転送するようにNLBを設定します。 NLBに接続するようにアプリケーションを構成します。
D. DirectConnectを使用してKinesisData FirehoseVPCでオンプレミスネットワークをピアリングします。既存のFirehose配信ストリームに接続するようにアプリケーションを構成します。
□Question #270Topic 1
ビジネスには、AWS組織に関連付けられた多くのAWSアカウントがある場合があります。会社のセキュリティチームは、会社のAWSアカウントへのフルアクセス権を持つ管理者でさえ、会社のAmazonS3バケットにアクセスできないことを保証したいと考えています。
これはどのように達成されますか?
A. SCPを使用します。
B. パーミッション境界を追加して、Amazon S3へのアクセスを拒否し、すべてのロールにアタッチします。
C. S3バケットポリシーを使用します。
D. Amazon S3のVPCエンドポイントを作成し、AmazonS3へのアクセスのステートメントを拒否します。
□Question #271Topic 1
セキュリティ管理者は、会社のrootユーザーアカウントの権限を制限します。組織はAWS組織を利用しており、統合請求を含むすべての機能セットを有効にしています。トップレベルのアカウントは、請求および管理上の理由でのみ使用されます。運用目的でAWSリソースにアクセスするために使用されることはありません。
管理者は、組織全体のメンバーrootユーザーアカウントへのアクセスをどのように制御できますか?
A. 組織のrootでrootユーザーアカウントの使用を無効にします。各組織メンバーアカウントのrootユーザーアカウントの多要素認証を有効にします。
B. 各組織のメンバーアカウントのrootアカウント機能を制限するようにIAMユーザーポリシーを構成します。
C. rootユーザーの使用を制御するサービス制御ポリシーを使用して、組織に組織単位(OU)を作成します。すべての運用アカウントを新しいOUに追加します。
D. Amazon CloudWatchLogsと統合するようにAWSCloudTrailを設定してから、RootAccountUsageのメトリックスフィルターを作成します。
□Question #272Topic 1
3つのAmazonS3バケットは、「機密」、「機密」、「制限付き」のデータ分類方法に基づいて機密文書を保持するために使用されます。セキュリティソリューションでは、次のすべての条件を満たす必要があります。
->各オブジェクトは一意のキーを使用して暗号化する必要があります。
-> `Restricted`バケットに保存されているアイテムは、復号化のために2要素認証が必要です。
-> AWS KMSは、暗号化キーを毎年自動的にローテーションする必要があります。
次のうちどれがこれらの基準を満たしていますか?
A. データ分類タイプごとにカスタマーマスターキー(CMK)を作成し、毎年ローテーションできるようにします。制限付きCMKの場合、キーポリシー内でMFAポリシーを定義します。 S3SSE-KMSを使用してオブジェクトを暗号化します。
B. EnableKeyRotationおよびMultiFactorAuthPresentをtrueに設定して、データ分類タイプごとにCMK許可を作成します。 S3は、許可を使用して、一意のCMKで各オブジェクトを暗号化できます。
C. データ分類タイプごとにCMKを作成し、CMKポリシー内で、毎年ローテーションを有効にして、MFAポリシーを定義します。次に、S3はDEKグラントを作成して、S3バケット内の各オブジェクトを一意に暗号化できます。
D. データ分類タイプごとに一意のインポートされたキーマテリアルを使用してCMKを作成し、それらを毎年ローテーションします。制限付きキー品目については、キーポリシーでMFAポリシーを定義します。 S3SSE-KMSを使用してオブジェクトを暗号化します。
□Question #273Topic 1
企業はAmazonS3にデータレイクを構築しています。機密情報を運ぶ何百万もの小さなファイルがデータを構成します。セキュリティチームには、次のアーキテクチャ要件があります。
*データは転送中に暗号化する必要があります。
*データは保存時に暗号化する必要があります。
*バケットはプライベートである必要がありますが、バケットが誤って公開された場合でも、データの機密性を維持する必要があります。
どの手順のシーケンスが要件を満たしますか? (2つ選択してください。)
A. S3バケットでAmazonS3管理の暗号化キー(SSE-S3)を使用したサーバー側暗号化を使用して、AES-256暗号化を有効にします。
B. S3バケットでAWSKMS管理キー(SSE-KMS)を使用したサーバー側暗号化を使用したデフォルトの暗号化を有効にします。
C. PutObjectリクエストにaws:SecureTransportが含まれていない場合は、拒否を含むバケットポリシーを追加します。
D. aws:SourceIpを使用してバケットポリシーを追加し、企業イントラネットからのアップロードとダウンロードのみを許可します。
E. PutObjectリクエストにs3:x-amz-server-side-encryption: “aws:kms"が含まれていない場合は、拒否を含むバケットポリシーを追加します。
F. Amazon Macieが、データレイクのS3バケットへの変更を監視して処理できるようにします。
□Question #274Topic 1
セキュリティエンジニアが新しいアマゾンウェブサービス(AWS)アカウントを作成しています。エンジニアは、AWSのベストプラクティスとCenter for Internet Security(CIS)のAWS Foundationsベンチマークに基づく自動コンプライアンステストを使用して、会社のAWSアカウントを継続的に監視する任務を負っています。
セキュリティエンジニアは、アマゾンウェブサービス(AWS)を使用してこれをどのように行うことができますか?
A. AWS Configを有効にして、すべてのリージョンとグローバルリソースのすべてのリソースを記録するように設定します。次に、AWS Security Hubを有効にし、CIS AWSFoundationsコンプライアンス標準が有効になっていることを確認します。
B. Amazon Inspectorを有効にし、CIS AWSFoundationsベンチマークのすべてのリージョンをスキャンするように設定します。次に、AWS Security Hubを有効にして、AmazonInspectorの結果を取り込むように設定します。
C. Amazon Inspectorを有効にし、CIS AWSFoundationsベンチマークのすべてのリージョンをスキャンするように設定します。次に、すべてのリージョンでAWS Shieldを有効にして、アカウントをDDoS攻撃から保護します。
D. AWS Configを有効にし、すべてのリージョンとグローバルリソースのすべてのリソースを記録するように設定します。次に、Amazon Inspectorを有効にし、AWSConfigルールを使用してCISAWSFoundationsベンチマークを適用するように設定します。
□Question #275Topic 1
ビジネスには、数百のアマゾンウェブサービスアカウントと、これらすべてのアカウントのAWSCloudTrailログを収集するために使用される一元化されたAmazonS3バケットがあります。セキュリティエンジニアは、会社のAWSアカウントでトレイルが最初にアクティブ化されてから3年前までさかのぼって、会社がCloudTrailログに対してアドホック検索を実行できるようにするソリューションを開発したいと考えています。
可能な限り最小の管理オーバーヘッドで、ビジネスはこれをどのように達成できるでしょうか。
A. MapReduceジョブを使用してCloudTrailトレイルを調べるAmazonEMRクラスターを実行します。
B. CloudTrailコンソールのイベント履歴機能を使用して、CloudTrailトレイルを照会します。
C. CloudTrailトレイルをクエリするAWSLambda関数を記述します。 CloudTrailS3バケットに新しいファイルが作成されるたびに実行されるようにLambda関数を設定します。
D. CloudTrailトレイルが書き込まれているS3バケットを確認するAmazonAthenaテーブルを作成します。 Athenaを使用して、証跡に対してクエリを実行します。
□Question #276Topic 1
最近のセキュリティ監査では、企業のアプリケーションチームがデータベースのクレデンシャルをAWSFargateタスクの環境変数に挿入していることがわかりました。会社のセキュリティポリシーによると、すべての機密データは保存時と転送時の両方で暗号化する必要があります。
アプリケーションがセキュリティポリシーに準拠していることを確認するために、セキュリティチームはどの対策の組み合わせを実行する必要がありますか? (3つ選択してください。)
A. アプリケーションチームのIAMロールへのアクセスが制限されたAmazonS3バケット内のファイルにクレデンシャルを安全に保存します。代わりに、S3オブジェクトからクレデンシャルを読み取るようにアプリケーションチームに依頼してください。
B. AWS Secrets Managerシークレットを作成し、このシークレットに保存するキーと値のペアを指定します。
C. 環境変数ではなく、AWS SecretsManagerシークレットからクレデンシャルをプルするようにアプリケーションを変更します。
D. 次のステートメントをコンテナインスタンスのIAMロールポリシーに追加します。
{
“Effect": “Allow",
“Action": [
“ssm:GetParameters",
“secretsmanager:GetSecretValue",
“kms:Decrypt"
],
“Resource": [
“arn:aws:secretsmanager:<region>:<aws_account_id>:secret:srcret_name",
“arn:aws:kms:<region>:<aws_account_id>:key/key_id"
]
}
E. 次のステートメントをタスク実行ロールポリシーに追加します。
{
“Effect": “Allow",
“Action": [
“ssm:GetParameters",
“secretsmanager:GetSecretValue",
“kms:Decrypt"
],
“Resource": [
“arn:aws:secretsmanager:<region>:<aws_account_id>:secret:srcret_name",
“arn:aws:kms:<region>:<aws_account_id>:key/key_id"
]
}
F. AWS Fargateインスタンスにログインし、AWS Secrets Managerからシークレット値を読み取るスクリプトを作成し、環境変数を挿入します。アプリケーションチームにアプリケーションを再デプロイするように依頼します。
□Question #277Topic 1
企業は、複数のAmazonEC2インスタンスにデプロイされる非常に堅牢なアプリケーションを構築しています。このアプリケーションは、Amazon RDSテーブルを利用して、非常に機密性の高いユーザーデータを保持します。
アプリケーションには、次のものが含まれている必要があります。
->アプリケーションのディザスタリカバリプランに別のAWSリージョンへの移行を含めます。
->暗号化キー管理イベントの完全な監査証跡を提供します。
->会社の管理者のみにキーの管理を許可します。
->アプリケーション層の暗号化を使用して保存データを保護します。
セキュリティエンジニアは、キー管理の代替案を模索しています。
このシナリオでセキュリティエンジニアが暗号化キーを処理するためにAWSKMSではなくAWSCloudHSMを使用する必要があるのはなぜですか?
A. CloudHSMによって生成されるキー管理イベントログは、AWSKMSよりも大幅に広範囲です。
B. CloudHSMは、会社のサポートスタッフのみが暗号化キーを管理できるようにしますが、AWSKMSはAWSスタッフがキーを管理できるようにします。
C. CloudHSMによって生成された暗号文は、AWSKMSによって生成された暗号文よりもブルートフォース復号化攻撃に対するより強力な保護を提供します。
D. CloudHSMはキーを別のリージョンにコピーする機能を提供しますが、AWSKMSは提供しません。
□Question #278Topic 1
セキュリティエンジニアは、開発者がセキュリティグループを変更して、組織のファイアウォールIPではなく0.0.0.0/0からのSSHおよびRDPトラフィックを許可していることを知りました。
この活動に関連するリスクを軽減するための最も効率的な方法は何ですか?
A. VPCに関連付けられているインターネットゲートウェイを削除します。
B. ネットワークアクセス制御リストを使用して、0.0.0.0 / 0に一致する送信元IPアドレスをブロックします。
C. ホストベースのファイアウォールを使用して、組織のファイアウォールIP以外のすべてからのアクセスを防止します。
D. AWSConfigルールを使用して0.0.0.0/0を検出し、AWS Lambda関数を呼び出して、組織のファイアウォールIPでセキュリティグループを更新します。
□Question #279Topic 1
セキュリティエンジニアは、非常に機密性の高いデータを処理する新しいアプリケーションが、非常に機密性の高いデータを含む次のキーパターンでAmazonS3オブジェクトを保存していることを確認しました。
パターン:
「randomID_datestamp_PII.csv」
例:
“1234567_12302017_000-00-0000 csv"
これらのものが保持されるバケットは、サーバー側(SSE)で暗号化されます。
機密データを保護するための最も安全で費用効果の高い方法はどれですか?
A. オブジェクト名から機密データを削除し、S3ユーザー定義のメタデータを使用して機密データを保存します。
B. アクションs3:GetObjectを拒否するS3バケットポリシーを追加します
C. ランダムで一意のS3オブジェクトキーを使用し、クライアント側の暗号化された属性を使用してAmazonDynamoDBにS3メタデータインデックスを作成します。
D. 暗号化されたAmazonRDSインスタンスのバイナリラージオブジェクト(BLOB)にすべての機密オブジェクトを保存します。
□Question #280Topic 1
AWS Key Management Service(AWS KMS)に保存されているカスタマーマスターキー(CMK)を使用してAWS CloudTrailログの暗号化を自動化するための最も効果的な方法は次のうちどれですか?
A. CloudTrailログが生成されるたびに、ログデータに対してKMS直接暗号化機能を使用してください。
B. デフォルトのAmazonS3サーバー側暗号化とS3管理キーを使用して、CloudTrailログを暗号化および復号化します。
C. CloudTrailログを暗号化および復号化するために、KMS管理のキーを使用してサーバー側の暗号化を使用するようにCloudTrailを構成します。
D. 暗号化されたAPIエンドポイントを使用して、すべてのAWS API呼び出しが、暗号化されたAPI呼び出しからのTLS証明書を使用して暗号化されたCloudTrailログエントリを生成するようにします。