Amazon AWS Certified Security - Specialty (SCS-C01日本語版) - SCS-C01日本語 FREE EXAM DUMPS QUESTIONS & ANSWERS]

Question 1

IAM Lambda 関数がデータの改ざんに悪用されたため、セキュリティエンジニアは関数を呼び出した人物と生成された出力を特定する必要があります。エンジニアは、Amazon CloudWatch Logs で Lambda 関数によって作成されたログを見つけることができません。
ログが利用できない理由を説明しているのは次のうちどれですか?

A. Lambda 関数は Amazon API Gateway を使用して実行されたため、ログは CloudWatch Logs に保存されません。 B. Lambda 関数の実行ロールは、ログデータを CloudWatch Logs に書き込む権限を付与しませんでした。 C. Lambda 関数の実行ロールは、CloudWatch Logs がログを保存する Amazon S3 バケットに書き込むアクセス許可を付与しませんでした。 D. 実行された Lambda 関数のバージョンは最新ではありませんでした。

Discussion 0

Correct Answer: B Vote an answer

Question 2

組織には、IAM で実行されている 3 つのアプリケーションがあり、それぞれが Amazon S3 の同じデータにアクセスしています。Amazon S3 のデータは、IAM KMS カスタマーマスターキー (CMK) を使用してサーバー側で暗号化されます。
各アプリケーションが KMS CMK で独自のプログラムによるアクセス制御権限を持つようにするための推奨される方法は何ですか?

A. 各アプリケーションで KMS CMK に対する許可を使用して、KMS CMK に対する特定のアクセス制御を追加または削除します。 B. 各アプリケーションがユーザーコンテキストで IAM ポリシーを使用して、KMS CMK に特定のアクセス許可を付与します。 C. アプリケーションが Amazon S3 のデータにアクセスする必要がある場合は、アプリケーションごとに KMS CMK に関連付けられているキーポリシーのアクセス許可を変更します。 D. 各アプリケーションに、IAM Certificate Manager CMK を使用するアクセス許可を提供する IAM ロールを引き受けさせます。

Discussion 0

Correct Answer: A Vote an answer

Question 3

ある企業は、増加する IAM アカウントの管理を支援するために IAM 組織をデプロイしました。セキュリティエンジニアは、組織構造内のプリンシパルのみが特定の Amazon S3 バケットにアクセスできるようにしたいと考えています。ソリューションは運用上のオーバーヘッドも最小限に抑える必要があります。どのソリューションがこれらの要件を満たすでしょうか?

A. 1 J バケットへのアクセスを許可するアクセスポリシーを持つ IAM グループにすべてのユーザーを入れます。 B. アカウント作成時にバケットポリシーを管理する IAM Lambda 関数をトリガーし、ポリシーにリストされているアカウントへのアクセスのみを許可します。 C. バケットポリシーのグローバルキー条件要素に組織 ID を指定し、すべてのプリンシパルのアクセスを許可します。 D. SCP を組織マスターアカウントに追加し、すべてのプリンシパルがバケットにアクセスできるようにします。

Discussion 0

Correct Answer: C Vote an answer

Question 4

セキュリティチームは、セキュリティ違反についてクラウド環境での IAM API 呼び出しアクティビティを確認する責任があります。これらのイベントは、現在および将来の IAM リージョンの両方で一元化された場所に記録および保持する必要があります。
これらの要件を満たす最も簡単な方法は何ですか?

A. すべてのリージョンのすべての IAM サービスに対して Amazon CloudWatch のログ記録を有効にし、後で分析できるようにそれらを 1 つの Amazon S3 バケットに集約します。 B. 新しい証跡を作成し、その証跡をすべてのリージョンに適用して、IAM CloudTrail を有効にします。ストレージの場所として 1 つの Amazon S3 バケットを指定します。 C. IAM コンソールで IAM Trusted Advisor セキュリティチェックを有効にし、すべてのリージョンのすべてのセキュリティインシデントを報告します。 D. リージョンごとに個別の証跡を作成して IAM CloudTrail を有効にし、後で分析するためにログファイルを受け取る単一の Amazon S3 バケットを指定します。

Discussion 0

Correct Answer: B Vote an answer

Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).

Question 5

ある会社は、IAM Organizations を使用して、マルチアカウントの安全なネットワーク戦略を開発しています。同社は、共有サービス、監査、およびセキュリティ検査に個別の集中管理アカウントを使用する予定です。同社は、運用環境および開発環境用のアプリケーション所有者に数十の追加アカウントを提供する予定です。
会社のセキュリティポリシーでは、すべてのインターネットトラフィックが、セキュリティ検査アカウントで集中管理されているセキュリティ検査レイヤーを介してルーティングされる必要があります。セキュリティエンジニアは、管理のオーバーヘッドと複雑さを最小限に抑えるソリューションを推奨する必要があります。
これらの要件を満たすソリューションはどれですか?

A. セキュリティ検査アカウントで集中管理された VPC を作成します。セキュリティ検査アカウントと他のアカウントの間に VPC ピアリング接続を確立します。アカウント所有者に、VPC ピアを指すアカウントルートテーブルにデフォルトルートを作成するように指示します。Attach InternetGateway アクションを拒否する SCP を作成します。セキュリティ検査アカウントを除くすべてのアカウントに SCP をアタッチします。 B. IAM 組織の IAM Resource Access Manager (IAM RAM) を有効にします。共有トランジットゲートウェイを作成し、IAM RAM リソース共有を使用して利用できるようにします。CreateInternetGateway アクションを拒否する SCP を作成します。セキュリティ検査アカウントを除くすべてのアカウントに SCP をアタッチします。
共有トランジットゲートウェイを指すすべてのアカウントのルートテーブルにルートを作成します。 C. IAM コントロールタワーを使用します。デフォルトの Account Factory ネットワークテンプレートを変更して、新しいアカウントを一元管理されたトランジットゲートウェイに自動的に関連付け、デフォルトルートテーブルにトランジットゲートウェイへのデフォルトルートを作成します。AttachInternetGateway アクションを拒否する SCP を作成します。セキュリティ検査アカウントを除くすべてのアカウントに SCP をアタッチします。 D. IAM コントロールタワーを使用します。デフォルトの Account Factory ネットワークテンプレートを変更して、VPC ピアリング接続を介して新しいアカウントを一元管理された VPC に自動的に関連付け、デフォルトルートテーブルに VPC ピアへのデフォルトルートを作成します。CreateInternetGateway アクションを拒否する SCP を作成します。セキュリティ検査アカウントを除くすべてのアカウントに SCP をアタッチします。

Discussion 0

Correct Answer: C Vote an answer

Question 6

大企業がマルチアカウント戦略を作成しており、従業員が IAM インフラストラクチャにアクセスする方法を決定する必要があります。
次のソリューションのうち、最もスケーラブルなソリューションを提供するのはどれですか?

A. 各 IAM アカウント内に専用の IAM ユーザーを作成し、従業員が既存の ID プロバイダーのグループメンバーシップに基づいてフェデレーションを介して引き受けることができます。 B. 従業員が既存の ID プロバイダーとのフェデレーションを通じて引き受けることができる IAM ロールを持つ一元化されたアカウントを使用します。クロスアカウントロールを使用して、フェデレーションユーザーがリソースアカウントでターゲットロールを引き受けることを許可します。 C. ユーザーが既存の企業ユーザー名とパスワードを使用して IAM リソースに直接アクセスできるように、Kerberos トークンを使用するように IAM Security Token Service を構成します。 D. 各アカウントのロール内で IAM 信頼ポリシーを構成して、企業の既存の ID プロバイダーへの信頼を設定し、ユーザーが SAML トークンに基づいてロールを引き受けることを許可します

Discussion 0

Correct Answer: B Vote an answer

Question 7

アプリケーションは、IAM SDK を使用して IAM サービスを呼び出します。アプリケーションは、関連付けられた IAM ロールを持つ Amazon EC2 インスタンスで実行されます。アプリケーションが Amazon S3 バケット内のオブジェクトにアクセスしようとしたとき。管理者は次のエラーメッセージを受け取ります。 HTTP 403: アクセスが拒否されました。
この問題をトラブルシューティングするために、管理者はどの手順を組み合わせて実行する必要がありますか? (3 つ選択してください。)

A. EC2 インスタンスに関連付けられた IAM ロールに適切な権限があることを確認します。 B. オブジェクトへのアクセスを拒否するステートメントがないか、S3 バケットポリシーを確認します。 C. KMS キーポリシーで、この IAM 原則の KMS キーの復号化アクセスが許可されていることを確認します。 D. EC2 インスタンスのセキュリティグループが S3 アクセスを承認していることを確認します。 E. EC2 インスタンスが正しいキーペアを使用していることを確認します。 F. インスタンスと S3 バケットが同じリージョンにあることを確認します。

Discussion 0

Correct Answer: A,B,C Vote an answer

Question 8

企業は、AWS Key Management Service (AWS KMS) の顧客管理キーの削除を監視したいと考えています。セキュリティエンジニアは、KMS キーが削除される前に会社に通知するアラームを作成する必要があります。
セキュリティエンジニアは、AWS CloudTrail と Amazon CloudWatch の統合を設定しました。
これらの要件を満たすために、セキュリティエンジニアは次に何をすべきでしょうか?

A. Amazon Simple Notification Service (Amazon SNS) ポリシーを作成して、RevokeGrant と ScheduleKeyDeletion の KMS API 呼び出しを検出します。
アラームを生成し、会社に通知を送信する AWS Lambda 関数を作成します。SNS ポリシーのターゲットとして Lambda 関数を追加します。 B. DeleteAlias の KMS API 呼び出しを検出する Amazon EventBridge ルールを作成します。Amazon Simple Notification Service (Amazon SNS) メッセージを会社に送信する AWS Lambda 関数を作成します。EventBridge ルールのターゲットとして Lambda 関数を追加します。 C. KMS 鍵作成時の鍵素材の削除時刻を指定します。カスタム AWS Config ルールを作成して、キーのスケジュールされた削除を評価します。構成の変更時にトリガーするルールを構成します。キーの削除がスケジュールされている場合は、Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを送信します。 D. Amazon EventBridge ルールを作成して、DisableKey および ScheduleKeyDeletion の KMS API 呼び出しを検出します。
Amazon Simple Notification Service (Amazon SNS) メッセージを会社に送信する AWS Lambda 関数を作成します。EventBridge ルールのターゲットとして Lambda 関数を追加します。

Discussion 0

Correct Answer: D Vote an answer

Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).

Question 9

ある企業は、11 日前にアクセスキーの 1 つがコード共有 Web サイトで公開されていることに気付きました。セキュリティエンジニアは、公開されたアクセスキーのすべての使用を確認して、公開の程度を判断する必要があります。会社は、アカウントを開設したときに IAM CloudTrail を複数のリージョンで有効にしました。

A. IAM CLI を使用して IAM 認証情報レポートを生成し、過去 11 日間のすべてのデータを抽出します。 B. IAM コンソールの Access Advisor タブを使用して、過去 11 日間のすべてのアクセスキーアクティビティを表示します。 C. Amazon Athena を使用して、Amazon S3 から CloudTrail ログをクエリします。過去 11 日間に公開されたアクセスキーの行を取得します。 D. CloudTrail コンソールで、公開されたアクセスキーのイベント履歴をフィルター処理します。過去 11 日間のデータを調べます。

Discussion 0

Correct Answer: C Vote an answer

Question 10

あなたの会社はゲームドメインに注目し、複数の Ec2 インスタンスをゲームサーバーとしてホストしています。サーバーは、各ユーザーが何千もの負荷を経験します。EC2 インスタンスに対する DDos 攻撃が懸念されており、会社の収益が大幅に失われる可能性があります。次のうち、このセキュリティ上の懸念を軽減し、サーバーのダウンタイムを最小限に抑えるのに役立つものはどれですか。
選んでください：

A. IAM インスペクターを使用して EC2 インスタンスを保護する B. IAM Trusted Advisor を使用して EC2 インスタンスを保護する C. VPC フローログを使用して VPC を監視し、NACL を実装して攻撃を緩和します。 D. IAM Shield Advanced を使用して EC2 インスタンスを保護します

Discussion 0

Correct Answer: D Vote an answer

Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).

Question 11

あなたはメディア業界で働いており、ユーザーが作成した写真をWebサイトにアップロードできるWebアプリケーションを作成しました。このWebアプリケーションは、機能するためにS3 APIを呼び出すことができる必要があります。最大レベルのセキュリティを維持しながら、API資格情報をどこに保存すればよいですか？
選んでください：

A. API資格情報をパブリックGithubリポジトリに保存します。 B. API認証情報を保存しないでください。代わりに、IAMでロールを作成し、最初に作成したときにこのロールをEC2インスタンスに割り当てます。 C. API認証情報をPHPファイルに保存します。 D. インスタンスのユーザーデータを使用して、インスタンスにAPI認証情報を渡します。

Discussion 0

Correct Answer: B Vote an answer

Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).

Question 12

企業には何百もの IAM アカウントがあり、これらすべてのアカウントの IAM CloudTrail を収集するために使用される一元化された Amazon S3 バケットがあります。セキュリティエンジニアは、企業の IAM アカウントで証跡が最初に有効化されたときから 3 年前にさかのぼる CloudTrail ログに対してアドホックキューを実行できるようにするソリューションを作成したいと考えています。
会社は、管理オーバーヘッドを最小限に抑えてこれをどのように達成する必要がありますか?

A. CloudTrail コンソールのイベント履歴/機能を使用して、CloudTrail 証跡を照会します。 B. CloudTrail 証跡が書き込まれている S3 バケットでツールを使用する Amazon Athena テーブルを作成し、Athena を使用して証跡に対してクエリを実行します。 C. MapReduce ジョブを使用する Amazon EMP クラスターを実行して、CloudTrail 証跡を調べます。 D. CloudTrail 証跡を照会する IAM Lambda 関数を作成する CloudTrail S3 バケットで新しいファイルが作成されるたびに実行されるように Lambda 関数を設定します。

Discussion 0

Correct Answer: B Vote an answer

Question 13

企業には、暗号化キーを毎年ローテーションするコンプライアンス要件があります。セキュリティエンジニアは、インポートされたキーマテリアルを使用して作成されたKMSカスタマーマスターキー（CMK）をローテーションするプロセスを必要とします。
エンジニアはどのようにしてキーローテーションプロセスを最も効率的に実行できますか？

A. 既存のCMKに新しいキーマテリアルをアップロードします。 B. 新しいCMKを作成し、新しいCMKを指すようにアプリケーションを変更します C. 新しいCMKを作成し、既存のキーエイリアスを新しいCMKにリダイレクトします D. キーを自動ローテーションするオプションを選択します

Discussion 0

Correct Answer: C Vote an answer