AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天

查看第 1 至第 121 页.
查看第 1-5 至第 605 道题

Disclaimers:

- ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
- Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #1 Topic 1

一位安全工程师正在构建一个在AmazonEC2上运行的Java应用程序。该应用程序与AmazonRDS实例通信，并使用用户名和密码进行身份验证。当证书轮换时，工程师可以采取哪种步骤组合来保护证书并最大限度地减少停机时间？（选择两个。）

A 让数据库管理员对凭证进行加密，并将密文存储在AmazonS3中。授予与EC2实例相关联的实例角色读取对象和解密密文的权限。
B Configure a scheduled job that updates the credential in AWS Systems Manager Parameter Store and notifies the Engineer that the application needs to be restarted.
C Configure automatic rotation of credentials in AWS Secrets Manager.
D Store the credential in an encrypted string parameter in AWS Systems Manager Parameter Store. Grant permission to the instance role associated with the EC2 instance to access the parameter and the AWS KMS key that is used to encrypt it.
E 配置Java应用程序以捕捉连接故障，并在轮换密码时调用AWS Secrets Manager以检索更新的凭据。授予与EC2实例关联的实例角色访问机密管理器的权限。

正确答案: CE
解析: 正确答案是:C and E
解释:C和E是最佳方式，可以最大程度地减少停机时间并确保凭据的保护。 AWS Secrets Manager提供了凭据的自动轮换，减少了手动轮换的麻烦并最大限度地减少了停机时间。它还允许在密码旋转时捕获连接失败并自动更新凭据。这通过限制直接访问凭据提供了强大的安全层。

Question #2 Topic 1

example.com网站的Web管理员为dev.example.com创建了一个Amazon CloudFront分发版，要求使用导入AWS证书管理器的自定义TLS证书配置HTTPS。需要哪种步骤组合来确保证书在CloudFront控制台中的可用性？（选择两个。）

A 在路径参数中使用/cloudfront/dev/调用UploadServerCertificate。
B 导入带有4096位RSA公钥的证书。
C 确保证书、私钥和证书链是PKCS#12编码的。
D Import the certificate in the us-east-1 (N. Virginia) Region.
E Ensure that the certificate, private key, and certificate chain are PEM-encoded.

正确答案: DE
解析: 正确答案是:B, D
解释:B：AWS证书管理器接受具有1024、2048或4096位的RSA密钥的证书，因此可以导入带有4096位RSA公钥的证书。D：AWS证书管理器需要在us-east-1（N. Virginia）区域导入证书，以使证书在Amazon Cloudfront控制台中可用。

Question #3 Topic 1

一位安全工程师正在为AWS帐户中的所有区域设置AWS CloudTrail跟踪。为了增加安全性，日志使用AWS KMS托管密钥（SSE-KMS）进行服务器端加密存储，并启用了日志完整性验证。在测试解决方案时，安全工程师发现摘要文件是可读的，但日志文件不是。最有可能的原因是什么？

A 日志文件未通过完整性验证，并自动标记为不可用。
B KMS密钥策略不会授予安全工程师的IAM用户或角色使用它进行解密的权限。
C bucket设置为使用服务器端加密，默认使用AmazonS3托管密钥（SSE-S3），不允许使用SSE-KMS加密文件。
D 适用于安全工程师IAM用户或角色的IAM策略拒绝访问Amazon S3存储桶中的“CloudTrail/”前缀。

正确答案: B
解析: 正确答案是:B
解释:日志文件无法读取，是因为安全工程师的IAM用户或角色没有权限使用KMS密钥进行解密。这说明了在AWS中设置密钥权限的重要性。

Question #4 Topic 1

Example Corp.的会计部门已决定聘请第三方公司AnyCompany来监控Example Corp的AWS账户，以帮助优化成本。Example Corp.的安全工程师的任务是为AnyCompany提供访问所需Example Corp AWS资源的权限。工程师已创建IAM角色，并授予任何公司的AWS帐户担任该角色的权限。当客户联系AnyCompany时，他们会提供他们的角色ARN以供验证。工程师担心，AnyCompany的其他客户之一可能会推断出Example Corp.的ARN角色，并可能损害公司的账目。工程师应采取哪些措施来防止这种结果？

A 创建IAM用户并生成一组长期凭据。向任何公司提供证书。监控IAM访问顾问中的访问，并计划定期轮换凭据。
B 向AnyCompany请求外部ID，并将sts:Externald条件添加到角色的信任策略中。
C 通过使用aws:MultiFactorAuthPresent向角色的信任策略添加条件来要求双因素身份验证。
D 向AnyCompany请求一个IP范围，并向角色的信任策略中添加一个带有aws:SourceIp的条件。

正确答案: B
解析: 正确答案是:B
解释:工程师应该要求AnyCompany提供外部ID，并添加带有sts:Externald的条件到角色的信任策略中。这增加了额外的安全层，因为即使客户找出了Example Corp的ARN，如果不知道外部ID，他们仍然无法扮演该角色。这种技术通常在第三方需要访问您的AWS资源时使用，并可以大大降低未经授权的用户扮演角色并访问资源的机会。

Question #5 Topic 1

安全工程师必须在VPC内部通信的容器之间实现相互验证的TLS连接。哪种解决方案最安全且易于维护？

A 使用AWS证书管理器从公共证书颁发机构生成证书，并将其部署到所有容器。
B 在一个容器中创建一个自签名证书，并使用AWS Secrets Manager将证书分发到其他容器以建立信任。
C 使用AWS证书管理器专用证书颁发机构（ACM PCA）创建下级证书颁发机构，然后在容器中创建私钥，并使用ACM PCA-API对其进行签名。
D 使用AWS证书管理器专用证书颁发机构（ACM PCA）创建下级证书颁发机构，然后使用AWS证书管理员生成专用证书并将其部署到所有容器。

正确答案: C
解析: 正确答案是:D
解释:使用AWS证书管理器私有证书授权(ACM PCA)创建一个下级证书授权机构，然后使用AWS证书管理器生成私有证书，并将其部署到所有容器中，是最安全且最易于维护的方案。它提供了集中管理和自动创建、存储和更新SSL/TLS证书的能力，这有助于减少在多个容器中管理SSL/TLS证书的复杂性，并提高安全性。