AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天
  • 查看第 10 至第 121 页.
  • 查看第 46-50 至第 605 道题
Disclaimers:
  • - ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
  • - Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #46 Topic 1

一位开发人员正在创建一个AWS Lambda函数,该函数需要环境变量来存储连接信息和日志记录设置。开发商需要使用信息安全部门提供的AWS KMS客户主密钥(CMK),以遵守公司安全标准Lambda环境变量。以下哪项是此配置工作所必需的?(选择两个。)

  • A 开发人员必须使用--VPC-config参数配置Lambda对VPC的访问。
  • B Lambda函数执行角色必须在AWS IAM策略中添加kms:Decrypt权限。
  • C KMS密钥策略必须允许开发人员使用KMS密钥的权限。
  • D 分配给开发人员的AWS IAM策略必须添加kms:GenerateDataKey权限。
  • E Lambda执行角色必须在AWS IAM策略中添加kms:Encrypt权限。
正确答案: BC
解析: 正确答案是:B, C
解释:答案:B,C。解释:B是正确的,因为Lambda函数执行角色在AWS IAM策略中必须添加kms:Decrypt权限,因为我们正在使用KMS CMK来保护lambda环境变量,并且我们想要解密加密的变量。 C是正确的,因为KMS密钥策略必须允许开发者使用KMS密钥(由信息安全部门控制)。如果在KMS密钥策略中没有授予此权限,开发者将不被允许使用KMS密钥。
Question #47 Topic 1

在最近的一次内部调查中,发现生产帐户中禁用了所有API日志记录,并且根用户创建了新的API密钥,这些密钥似乎已被多次使用。本可以采取哪些措施来检测和自动补救事件?

  • A 使用Amazon Inspector,检查所有API调用,并配置检查代理以利用SNS主题通知AWS CloudTrail更改的安全性,并为root用户撤销新的API密钥。
  • B 使用AWS Config,创建一个配置规则,用于检测何时禁用AWS CloudTrail,以及对根用户create api密钥的任何调用。然后使用Lambda函数重新启用CloudTrail日志并停用根API键。
  • C 使用Amazon CloudWatch,创建一个检测AWS CloudTrail停用的CloudWatch事件和一个单独的Amazon Trusted Advisor检查,以自动检测根API密钥的创建。然后使用Lambda函数启用AWS CloudTrail并停用根API键。
  • D 使用Amazon CloudTrail,创建一个新的CloudTrall事件来检测CloudTral日志的停用,以及一个单独的CloudTrail事件来检测根API键的创建。然后使用Lambda函数启用CloudTrail并停用根API键。
正确答案: B
解析: 正确答案是:B
解释:AWS Config是为这种治理,审计和风险及合规性用例设计的。它可以用来运行一个检查是否创建了root用户API密钥和/或是否启用了AWS CloudTrail的规则。然后可以调用相应的AWS Lambda函数进行补救操作,禁用root用户的API密钥或启用CloudTrail日志。
Question #48 Topic 1

一家公司的一对AmazonEC2密钥被泄露。安全工程师必须确定当前部署了哪些Linux EC2实例并使用了受损的密钥对。如何完成这项任务?

  • A Obtain the list of instances by directly querying Amazon EC2 using: aws ec2 describe-instances --filters "Name=key- name,Values=KEYNAMEHERE".
  • B 从AWS管理控制台获取密钥对的指纹,然后在Amazon Inspector日志中搜索指纹。
  • C 使用:curl从EC2实例元数据中获取输出http://169.254.169.254/latest/meta-data/public-keys/0/.
  • D 从AWS管理控制台获取密钥对的指纹,然后使用:AWS Logs filter log events在Amazon CloudWatch日志中搜索指纹。
正确答案: D
解析: 正确答案是:A
解释:选项A是获取使用被泄露密钥对部署的实例列表的最直接方法。 通过使用特定的过滤器直接查询具有被泄露密钥对名称的EC2实例,可以识别出使用此密钥对的所有实例。
Question #49 Topic 1

安全团队负责审查云环境中的AWS API调用活动是否违反安全规定。这些事件必须记录并保存在当前和未来AWS地区的集中位置。满足这些要求的最简单方法是什么?

  • A 在AWS控制台中启用AWS Trusted Advisor安全检查,并报告所有地区的所有安全事件。
  • B 通过为每个区域创建单独的跟踪来启用AWS CloudTrail,并指定一个AmazonS3存储桶来接收日志文件以供稍后分析。
  • C 通过创建新的跟踪并将该跟踪应用于所有区域来启用AWS CloudTrail。指定一个AmazonS3存储桶作为存储位置。
  • D 为所有地区的所有AWS服务启用Amazon CloudWatch日志记录,并将它们聚合到一个单独的Amazon S3存储桶中以供稍后分析。
正确答案: C
解析: 正确答案是:C
解释:CloudTrail允许你记录和集中存储AWS API调用活动以便审计。通过创建新的路径并将其应用到所有区域,你可以确保覆盖当前和未来的区域。通过指定一个Amazon S3桶作为存储位置,你可以实现集中的存储位置。
Question #50 Topic 1

一家公司的架构要求其三个Amazon EC2实例在应用程序负载均衡器(ALB)后面运行。EC2实例之间传输敏感数据。开发人员使用SSL证书加密公共用户和ALB之间的流量。然而,开发人员不确定如何加密ALB和EC2实例之间的数据传输以及EC2实例之间的流量传输。公司必须实施哪些活动组合来满足其加密要求?(选择两个。)

  • A 在EC2实例上配置SSL/TLS,并将ALB目标组配置为使用HTTPS。
  • B 确保所有资源都在同一个专有网络中,因此使用专有网络提供的默认加密来加密EC2实例之间的流量。
  • C 在ALB中,选择默认加密来加密ALB和EC2实例之间的流量。
  • D 在应用程序的代码中,包括一个加密库,并在EC2实例之间发送数据之前对数据进行加密。
  • E 配置AWS Direct Connect以在EC2实例之间提供加密隧道。
正确答案: AC
解析: 公司需要实现加密要求,因此需要实现以下两个活动:在EC2实例上配置SSL/TLS,并配置ALB目标组使用HTTPS来加密ALB和EC2实例之间的流量;在ALB中选择默认加密来加密ALB和EC2实例之间的流量。
上一页 下一页