AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天

查看第 3 至第 121 页.
查看第 11-15 至第 605 道题

Disclaimers:

- ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
- Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #11 Topic 1

一家公司拥有多个生产AWS帐户和一个中央安全AWS帐户。安全帐户用于集中监控，并对每个公司帐户中的所有资源具有IAM权限。该公司的所有AmazonS3存储桶都标记有一个值，表示其内容的数据分类。安全工程师正在安全帐户中部署一个监控解决方案，该解决方案将强制执行bucket策略合规性。系统必须监控所有生产账户中的S3存储桶，并确认任何策略更改都符合存储桶的数据分类。如果任何变更不符合规定，必须迅速通知安全团队。哪种行动组合将构建所需的解决方案？（选择三个。）

A 在生产帐户中配置AmazonCloudWatch事件，以将所有S3事件发送到安全帐户事件总线。
B 在安全帐户中启用Amazon GuardDuty，并作为成员加入生产帐户。
C 在安全帐户中配置Amazon CloudWatch Events规则，以检测S3存储桶创建或修改事件。
D 启用AWS Trusted Advisor并为分配给安全联系人的电子邮件地址激活电子邮件通知。
E 调用安全帐户中的AWS Lambda函数来分析S3存储桶设置以响应S3事件，并向安全团队发送不合规通知。
F 在S3存储桶上为PUT、POST和DELETE事件配置事件通知。

正确答案: ACE
解析: 正确答案是:A, C, E
解释:A是因为它允许在中央安全账户中监视生产账户的所有S3事件。 C被选中因为它有助于检测S3桶的任何创建或修改。 E被选中因为它将帮助分析S3桶设置并迅速通知安全团队任何不合规的情况。

Question #12 Topic 1

一家自来水公司使用许多亚马逊EC2实例来管理2000台物联网（IoT）现场设备的更新，这些设备用于监测水质。这些设备都有唯一的访问凭据。操作安全策略要求对特定凭据的访问是可独立审核的。管理凭证存储的最具成本效益的方法是什么？

A 使用AWS Systems Manager将凭据存储为安全字符串参数。使用AWS KMS密钥进行安全保护。
B 使用AWS密钥管理系统存储主密钥，该主密钥用于加密凭证。加密的凭据存储在Amazon RDS实例中。
C 使用AWS保密管理器来存储凭据。
D 使用服务器端加密将凭据存储在AmazonS3上的JSON文件中。

正确答案: C
解析: 正确答案是:C
解释:AWS Secrets Manager 是存储和管理秘密资料最为经济效益的解决方案。它专为此目的设计，可以独立审计，并且完全由管理，这减少了开支。

Question #13 Topic 1

一家公司正在亚马逊S3上建立一个数据湖。这些数据由数百万个包含敏感信息的小文件组成。安全团队对体系结构有以下要求：*数据在传输过程中必须加密。*数据必须在静止时加密。*存储桶必须是私有的，但如果存储桶意外公开，则数据必须保密。哪种步骤组合符合要求？（选择两个。）

A 在S3存储桶上使用Amazon S3管理的加密密钥（SSE-S3），使用服务器端加密启用AES-256加密。
B 使用S3存储桶上的AWS KMS托管密钥（SSE-KMS）启用服务器端加密的默认加密。
C 如果PutObject请求不包括aws:SecureTransport，则添加一个包含拒绝的bucket策略。
D 添加一个带有aws:SourceIp的bucket策略，以允许仅从公司内部网上传和下载。
E 如果PutObject请求不包括s3:x-amz-server-side-encryption：“aws:kms”，则添加一个包含拒绝的bucket策略。
F 使AmazonMacie能够监控数据湖S3存储桶的更改并对其采取行动。

正确答案: BC
解析: 正确答案是:B,C
解释:B可以实现数据在静止状态下的加密，而C确保所有传入通信在传输过程中都会被加密。AWS KMS密钥允许进行精细的访问控制，并且可以被审计。C中的存储桶策略拒绝任何未加密的流量访问存储桶，确保数据在传输过程中被加密，并确保即使存储桶意外公开，数据也能保持机密。

Question #14 Topic 1

一家公司要求使用SSH命令访问其AWS实例的命令必须可追溯至执行每个命令的用户。作为一名安全工程师，应该如何完成这项任务？

A Allow inbound access on port 22 at the security group attached to the instance. Use AWS Systems Manager Session Manager for shell access to Amazon EC2 instances with the user tag defined. Enable Amazon CloudWatch logging for Systems Manager sessions.
B 使用AmazonS3为每个用户安全地存储一个隐私增强邮件证书（PEM文件）。允许AmazonEC2从AmazonS3读取并导入每个想要使用SSH访问EC2实例的用户。允许在连接到实例的安全组的端口22上进行入站访问。在EC2实例上安装AmazonCloudWatch代理，并将其配置为接收实例的审核日志。
C 拒绝对连接到实例的安全组的端口22的入站访问。使用AWS Systems Manager会话管理器对定义了用户标签的Amazon EC2实例进行shell访问。为Systems Manager会话启用Amazon CloudWatch日志记录。
D 使用AmazonS3为每个团队或组安全地存储一个隐私增强邮件证书（PEM文件）。允许AmazonEC2从AmazonS3读取并导入每个想要使用SSH访问EC2实例的用户。允许在连接到实例的安全组的端口22上进行入站访问。在EC2实例上安装AmazonCloudWatch代理，并将其配置为接收实例的审核日志。

正确答案: A
解析: 正确答案是:A
解释:此选项通过正确使用 AWS 系统管理器会话管理器进行 shell 访问，启用单个用户标签，并使用 Amazon Cloudwatch 进行日志记录，从而达到预期结果。这种组合使得 SSH 命令可追溯到特定的用户，符合公司的要求。

Question #15 Topic 1

一家公司使用包含敏感信息的用户数据脚本来引导AmazonEC2实例。安全工程师发现不应该访问这些敏感信息的人可以查看这些信息。保护用于引导实例的敏感信息的MOST安全方式是什么？

A 将脚本存储在AMI中，并使用AWS KMS加密敏感数据。使用实例角色配置文件控制对解密数据所需的KMS密钥的访问。
B 使用加密的字符串参数将敏感数据存储在AWS Systems Manager参数存储中，并将GetParameters权限分配给EC2实例角色。
C 在AmazonS3中外部化引导脚本，并使用AWS KMS对其进行加密。从实例中删除脚本，并在配置实例后清除日志。
D 使用IAM策略阻止用户访问EC2实例的元数据服务。删除所有脚本并在执行后清除日志。

正确答案: B
解析: 正确答案是:B
解释:选项B是最安全的方式。AWS系统管理器参数存储是为存储像密码、数据库字符串和许可证代码之类的数据而设计的安全字符串参数。通过启用EC2实例角色的GetParameters权限，敏感数据在需要时可以安全地获取，并且不会暴露给未经授权的访问。