AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天
  • 查看第 6 至第 121 页.
  • 查看第 26-30 至第 605 道题
Disclaimers:
  • - ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
  • - Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #26 Topic 1

要求安全工程师为现有跟踪更新AWS CloudTrail日志文件前缀。当试图在CloudTrail控制台中保存更改时安全工程师收到以下错误消息:“存储桶策略有问题`什么能使安全工程师保存更改?

  • A 使用更新的日志文件前缀创建新的跟踪,然后删除原始跟踪。使用新的日志文件前缀更新AmazonS3控制台中现有的bucket策略,然后在CloudTrail控制台中更新日志文件前缀。
  • B 更新Amazon S3控制台中现有的bucket策略,允许安全工程师的负责人执行PutBucketPolicy,然后更新CloudTrail控制台中的日志文件前缀。
  • C 使用新的日志文件前缀更新AmazonS3控制台中现有的bucket策略,然后在CloudTrail控制台中更新日志文件前缀。
  • D 更新AmazonS3控制台中现有的bucket策略,以允许安全工程师的负责人执行GetBucketPolicy,然后更新CloudTrail控制台中的日志文件前缀。
正确答案: C
解析: 正确答案是:C
解释:错误讯息表示存储桶策略存在问题,需要进行更正。在此背景下,在S3控制台中将现有的存储桶策略更新为新的日志文件前缀应该能解决这个问题,然后,可以在CloudTrail控制台中更新日志文件前缀。
Question #27 Topic 1

一名安全工程师正在与一个产品团队合作,在AWS上构建一个web应用程序。应用程序使用Amazon S3托管静态内容,即Amazon API提供RESTful服务的网关;以及AmazonDynamoDB作为后端数据存储。用户已经存在于通过SAML标识提供程序公开的目录中。工程师应采取以下哪种操作组合,以使用户能够通过身份验证进入web应用程序并调用API?(选择三个。)

  • A 使用AWS Lambda创建自定义授权服务。
  • B 在AmazonCognito中配置SAML身份提供程序,将属性映射到AmazonCognoto用户池属性。
  • C 配置SAML身份提供程序以添加AmazonCognito用户池作为依赖方。
  • D 配置AmazonCognito身份池以与社交登录提供商集成。
  • E Update DynamoDB to store the user email addresses and passwords.
  • F Update API Gateway to use a COGNITO_USER_POOLS authorizer.
正确答案: BCF
解析: 正确答案是:B, C, F
解释:B和C需要整合已经存在的用户目录到AWS Cognito用户池中使用SAML身份提供商,而F则需要API Gateway使用用户池进行授权。
Question #28 Topic 1

安全工程师必须在VPC内部通信的容器之间实现相互验证的TLS连接。哪种解决方案最安全且易于维护?

  • A Use AWS Certificate Manager to generate certificates from a public certificate authority and deploy them to all the containers.
  • B 在一个容器中创建一个自签名证书,并使用AWS Secrets Manager将证书分发到其他容器以建立信任。
  • C 使用AWS证书管理器专用证书颁发机构(ACM PCA)创建下级证书颁发机构,然后在容器中创建私钥,并使用ACM PCA-API对其进行签名。
  • D 使用AWS证书管理器专用证书颁发机构(ACM PCA)创建下级证书颁发机构,然后使用AWS证书管理员生成专用证书并将其部署到所有容器。
正确答案: C
解析: 正确答案是:D
解释:D解决方案最安全,因为它使用AWS证书管理器私有证书授权(ACM PCA)创建一个次级证书授权,并使用AWS证书管理器生成私有证书并将它们部署到所有容器中。这保持了高安全级别,通过生成私有证书并安全地部署它们。另外,它易于维护,因为它具有AWS服务的简单性和集成性的优势。
Question #29 Topic 1

在分析公司的安全解决方案时,安全工程师希望保护AWS帐户的根用户。安全工程师应该做些什么来为帐户提供最高级别的安全?

  • A 创建一个在AWS帐户中具有管理员权限的新IAM用户。删除AWS帐户root用户的密码。
  • B 创建一个在AWS帐户中具有管理员权限的新IAM用户。修改现有IAM用户的权限。
  • C 替换AWS帐户根用户的访问密钥。删除AWS帐户root用户的密码。
  • D 创建一个在AWS帐户中具有管理员权限的新IAM用户。为AWS帐户根用户启用多因素身份验证。
正确答案: D
解析: 正确答案是:D
解释:为根用户启用多因素身份验证增加了额外的安全层,因为它需要额外的证据来进行身份验证。在AWS帐户中创建具有管理员权限的新IAM用户,允许工程师在不危及根帐户的情况下分发权限
Question #30 Topic 1

AmazonEC2实例被拒绝访问用于解密操作的新创建的AWS KMS CMK。环境具有以下配置:允许实例在其IAM角色中对所有资源执行kms:解密操作AWS kms CMK状态设置为启用实例可以使用配置的VPC端点与kms API通信是什么导致了这个问题?

  • A EC2实例的IAM角色缺少kms:GenerateDataKey权限
  • B The ARN tag on the CMK contains the EC2 instance's ID instead of the instance's ARN
  • C EC2 IAM角色缺少kms:Encrypt权限
  • D 缺少启用IAM用户权限的KMS CMK密钥策略
正确答案: D
解析: 正确答案是:A
解释:问题是由于EC2实例的IAM角色缺少kms:GenerateDataKey权限引起的。虽然该实例具有kms:Decrypt动作,但它还需要kms:GenerateDataKey权限才能使用KMS CMKs解密任何内容。
上一页 下一页