AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天
  • 查看第 2 至第 121 页.
  • 查看第 6-10 至第 605 道题
Disclaimers:
  • - ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
  • - Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #6 Topic 1

一家公司有一个加密的AmazonS3存储桶。应用程序开发人员有一个IAM策略,允许访问S3存储桶,但应用程序开发员无法访问存储桶中的对象。问题的可能原因是什么?

  • A S3 bucket的S3 ACL无法显式授予Application Developer访问权限
  • B S3存储桶的AWS KMS密钥无法将应用程序开发人员列为管理员
  • C S3 bucket策略无法显式授予Application Developer访问权限
  • D S3 bucket策略明确拒绝访问ApplicationDeveloper
正确答案: C
解析: 正确答案是:B
解释:S3存储桶中的AWS KMS密钥是解密存储在S3存储桶中的对象所必需的。如果应用开发人员未被列为AWS KMS密钥的管理员,他们将无法访问存储桶内的对象。其他选项涉及访问,但不涉及加密,因此选项B最有可能。
Question #7 Topic 1

安全工程师需要管理一个处理高度敏感个人信息的Web应用程序。该应用程序运行在Amazon EC2上。应用程序有严格的合规要求,指示所有进入应用程序的流量都要保护免受常见Web攻击,并且所有从EC2实例出发的流量 crisp白名单上的URL。那么,安全工程师应使用哪种都有哪些架构来满足这些要求呢?

  • A Use AWS Shield to scan inbound traffic for web exploits. Use VPC Flow Logs and AWS Lambda to restrict egress traffic to specific whitelisted URLs.
  • B 使用AWS Shield扫描入站流量以发现网络漏洞。使用第三方AWS Marketplace解决方案将出口流量限制为特定的白名单URL。
  • C 使用AWS WAF扫描入站流量以发现网络漏洞。使用VPC流量日志和AWS Lambda将出口流量限制为特定的白名单URL。
  • D 使用AWS WAF扫描入站流量以发现网络漏洞。使用第三方AWS Marketplace解决方案将出口流量限制为特定的白名单URL。
正确答案: C
解析: 正确答案是:C
解释:选择C的原因是AWS WAF是为防止常见web攻击而设计的。VPC Flow Logs与AWS Lambda函数一起执行安全监控和控制网络连接的任务,从而确保所有来自EC2实例的出站流量仅限于特定的白名单URL。
Question #8 Topic 1

应用程序当前使用网络访问控制列表和安全组进行安全保护。Web服务器位于应用程序负载均衡器(ALB)后面的公共子网中;应用程序服务器位于专用子网中。如何增强边缘安全以保护AmazonEC2实例免受攻击?(选择两个。)

  • A Configure the application’s EC2 instances to use NAT gateways for all inbound traffic.
  • B 将web服务器移动到没有公共IP地址的专用子网。
  • C 配置AWS WAF为ALB提供DDoS攻击保护。
  • D 要求所有入站网络流量通过专用子网中的堡垒主机进行路由。
  • E 要求所有入站和出站网络流量通过AWS Direct Connect连接进行路由。
正确答案: CD
解析: 正确答案是:B, C
解释:为了增强边缘安全性,将Web服务器移动到没有公共IP地址的私有子网(选项B)有助于限制这些服务器的暴露,使它们不那么容易受到攻击。此外,配置AWS WAF为ALB提供DDoS攻击保护(选项C)将有助于保护Amazon EC2实例免受攻击。
Question #9 Topic 1

在保护公司专有网络与其本地数据中心之间的连接时,安全工程师从本地主机发送了ping命令(IP地址203.0.113.12)发送到Amazon EC2实例(IP地址172.31.16.139)。ping命令没有返回响应。专有网络中的流量日志显示如下:2 123456789010 eni-1235b8ca 203.0.113.12 172.31.16.139 0 1 4 336 1432917027 1432917142接受OK2 123456789010 eni-1235b8ca 172.31.16.139 203.0.113.12 0 1 4 336 1432917094 1432917142拒绝OK应该执行什么操作才能使ping工作?

  • A 在EC2实例的安全组中,允许入站ICMP流量。
  • B 在EC2实例的安全组中,允许出站ICMP流量。
  • C 在专有网络的NACL中,允许入站ICMP流量。
  • D 在专有网络的NACL中,允许出站ICMP流量。
正确答案: A
解析: 正确答案是:A
解释:选择的理由可能是EC2实例的安全设置导致的ping命令没有返回响应。由于出站流量显示为“REJECT OK”,这可能意味着当前已阻止从EC2实例发出的ICMP流量( ping)。因此,修改附加到EC2实例的安全组以允许入站ICMP流量应该可以解决该问题。
Question #10 Topic 1

一家公司在亚马逊S3存储桶中维护敏感数据,该存储桶必须使用AWS KMS CMK进行保护。该公司要求每年自动轮换钥匙。应如何配置铲斗?

  • A 使用Amazon S3托管密钥(SSE-S3)选择服务器端加密,然后选择AWS托管的CMK。
  • B 选择Amazon S3-AWS KMS管理的加密密钥(S3-KMS),然后选择启用密钥轮换的客户管理的CMK。
  • C Select server-side encryption with Amazon S3-managed keys (SSE-S3) and select a customer-managed CMK that has imported key material.
  • D 使用AWS KMS托管密钥(SSE-KMS)选择服务器端加密,并选择AWS托管CMK的别名。
正确答案: B
解析: 正确答案是:B
解释:一个启用了密钥轮换的客户管理CMK允许每年自动轮换密钥,符合公司的需求。
上一页 下一页