Amazon AWS Certified Security - Specialty (SCS-C02日本語版) - SCS-C02日本語 FREE EXAM DUMPS QUESTIONS & ANSWERS

現在、VPC には複数のアプリケーションがホストされています。監視中に、特定の IP アドレス ブロックから複数のポート スキャンが行われていることがわかりました。社内のセキュリティ チームは、今後 24 時間、問題のあるすべての IP アドレスを拒否するように要求しました。指定された IP アドレスからのアクセスを迅速かつ一時的に拒否する最適な方法はどれですか。
選択してください:

セキュリティ エンジニアが IAM 不正使用の電子メール メッセージを受け取ります。メッセージによると、セキュリティ エンジニアの IAM アカウントで実行されている Amazon EC2 インスタンスがフィッシング メール メッセージを送信しています。
EC2 インスタンスは、本番環境にデプロイされるアプリケーションの一部です。アプリケーションは、Application Load Balancer の背後にある多数の EC2 インスタンスで実行されます。インスタンスは、複数のサブネットと複数のアベイラビリティーゾーンにまたがる Amazon EC2 Auto Scaling グループで実行されます。
通常、インスタンスは HTTP、HTTPS、および MySQL プロトコル経由でのみ通信します。調査の結果、セキュリティ エンジニアは電子メール メッセージがポート 587 経由で送信されていることを発見しました。その他のトラフィックはすべて正常です。
セキュリティ エンジニアは、侵害された EC2 インスタンスを封じ込め、分析用のフォレンジック証拠を保存し、アプリケーションのダウンタイムを最小限に抑えるソリューションを作成する必要があります。これらの要件を満たすために、セキュリティ エンジニアが実行する必要がある手順の組み合わせはどれですか? (3 つ選択してください。)

ある企業には何千もの AWS Lambda 関数があります。セキュリティエンジニアは、Lambda 関数をレビューしているときに、機密情報が環境変数に保存されており、Lambda コンソールでプレーンテキストとして表示できることを発見しました。機密情報の値の長さはわずか数文字です。
このセキュリティ問題に対処する最もコスト効率の高い方法は何ですか?

セキュリティ エンジニアは、カスタム アプリケーション セキュリティ ログを Amazon EC2 インスタンスから Amazon CloudWatch に転送したいと考えています。セキュリティ エンジニアは、EC2 インスタンスに CloudWatch エージェントをインストールし、ログのパスを CloudWatch 設定ファイルに追加します。
ただし、CloudWatch はログを受信しません。セキュリティ エンジニアは、awslogs サービスが EC2 インスタンスで実行されていることを確認します。
問題を解決するためにセキュリティ エンジニアは次に何をすべきでしょうか?

ある企業は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターへの認証されていないアクセスを検出する必要があります。既存の EKS デプロイメントに追加の設定を必要としないソリューションが必要です。
最も少ない運用労力でこれらの要件を満たすソリューションはどれでしょうか?

セキュリティ エンジニアは、製品チームと連携して AWS 上で Web アプリケーションを構築しています。アプリケーションは、静的コンテンツのホストに Amazon S3、RESTful サービスの提供に Amazon API Gateway、バックエンド データ ストアとして Amazon DynamoDB を使用しています。ユーザーは、SAML ID プロバイダーを通じて公開されるディレクトリに既に存在しています。
ユーザーが Web アプリケーションに認証され、API を呼び出せるようにするには、エンジニアは次のどのアクションの組み合わせを実行する必要がありますか? (3 つ選択してください。)

ある企業には、転送中の暗号化を実施していない Amazon S3 バケットがいくつかあります。セキュリティ エンジニアは、同社の既存および将来のすべての S3 バケットに対して転送中の暗号化を実施するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれでしょうか?

AWS Organizations を使用する企業は、AWS 1AM Identity Center (AWS Single Sign-On) を使用して AWS アカウントへのアクセスを管理しています。セキュリティエンジニアは、1AM Identity Center でカスタム権限セットを作成しています。企業は、権限セットを複数のアカウントで使用します。権限セットには、AWS 管理ポリシーと顧客管理ポリシーが添付されています。セキュリティエンジニアは完全な管理権限を持ち、管理アカウントで操作しています。
セキュリティ エンジニアが、複数のアカウントにアクセスできる 1AM Identity Center ユーザーに権限セットを割り当てようとすると、割り当ては失敗します。
この障害を解決するためにセキュリティ エンジニアは何をすべきでしょうか?

ある会社には、大きな画像から画像のサムネイルを作成する AWS Lambda 関数があります。Lambda 関数には、同じ AWS アカウント内の Amazon S3 バケットへの読み取りおよび書き込みアクセスが必要です。
このアクセスによる Lambda 関数を提供するのはどのソリューションですか? (2つ選択してください。)

ある企業は、インターネットに接続されたオープンソースのソフトウェアプラットフォームを運用しています。このレガシーソフトウェアプラットフォームは、セキュリティアップデートを受けられなくなりました。このソフトウェアプラットフォームは、Amazon Route 53 の重み付けロードバランシングを使用して、Amazon RDS クラスターに接続された 2 つの Amazon EC2 インスタンスにトラフィックを送信しています。最近のレポートによると、このソフトウェアプラットフォームは SQL インジェクション攻撃に対して脆弱であり、攻撃のサンプルも提供されています。この企業のセキュリティエンジニアは、24 時間以内にこのシステムを SQL インジェクション攻撃から保護する必要があります。セキュリティエンジニアが提案するソリューションは、最小限の労力で、実装期間中も正常な運用を維持できるものでなければなりません。
これらの要件を満たすためにセキュリティ エンジニアは何をすべきでしょうか?

AWS アカウント管理者は IAM グループを作成し、次の管理ポリシーを適用して、個々のユーザーが多要素認証を使用して認証することを要求しました。

ポリシーを実装した後、管理者はユーザーが AWS CLI を使用して Amazon EC2 コマンドを実行できないというレポートを受け取ります。
多要素認証を適用しながらこの問題を解決するには、管理者は何をすべきでしょうか?

ある会社が新しい Amazon RDS データベース アプリケーションを開発しました。会社は、転送中の暗号化と保存時の暗号化のために ROS データベースの認証情報を保護する必要があります。また、認証情報を定期的に自動的にローテーションする必要もあります。
これらの要件を満たすソリューションはどれですか?

ある会社では、外部の ID プロバイダーを使用して、さまざまな IAM アカウントへのフェデレーションを許可しています。会社のセキュリティ エンジニアは、1 週間前に本番環境の Amazon EC2 インスタンスを終了したフェデレーション ユーザーを特定する必要があります。
セキュリティ エンジニアがフェデレーション ユーザーを識別する最も速い方法は何ですか?

ある企業では最近セキュリティ監査を実施し、監査人が複数の潜在的な脅威を特定しました。これらの潜在的な脅威は、DNS アクセスのピーク、異常なインスタンス トラフィック、異常なネットワーク インターフェイス トラフィック、異常な Amazon S3 API 呼び出しなどの使用パターンの変化を引き起こす可能性があります。脅威はさまざまなソースから発生する可能性があり、いつでも発生する可能性があります。企業は、システムを継続的に監視し、これらすべての侵入する脅威をほぼリアルタイムで特定するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?

ある企業は、AWS を使用して、Amazon S3 バケットに保存されているデータに対して長時間実行される分析プロセスを実行しています。
このプロセスは、Auto Scaling グループ内の Amazon EC2 インスタンス群で実行されます。EC2 インスタンスは、インターネットにアクセスできない VPC のプライベートサブネットにデプロイされます。EC2 インスタンスと S3 バケットは同じ AWS アカウントにあります。EC2 インスタンスは、デフォルトのアクセスポリシーを持つ S3 ゲートウェイエンドポイントを介して S3 バケットにアクセスします。
各 EC2 インスタンスは、s3 を明示的に許可するポリシーを持つインスタンス プロファイル ロールに関連付けられています。
必要な S3 バケットに対してのみ GetObject アクションと s3:PutObject アクションを実行します。
会社は、1 つ以上の EC2 インスタンスが侵害され、AWS Organizations 内の会社組織外の S3 バケットにデータが流出していることを知りました。セキュリティ エンジニアは、このデータの流出を阻止し、EC2 処理ジョブを機能させ続けるためのソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれでしょうか?