AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天
  • 查看第 7 至第 121 页.
  • 查看第 31-35 至第 605 道题
Disclaimers:
  • - ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
  • - Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #31 Topic 1

如果发现太多未经授权的AWS API请求,哪种方法将生成自动安全警报?

  • A 创建一个Amazon CloudWatch度量过滤器,查找API调用错误代码,然后基于该度量的速率实现警报。
  • B 配置AWS CloudTrail以将事件数据流式传输到Amazon Kinesis。在流上配置AWS Lambda功能,以便在超过阈值时发出警报。
  • C 对CloudTrail日志文件运行Amazon Athena SQL查询。使用AmazonQuickLight创建操作面板。
  • D 使用亚马逊个人健康仪表板监控账户使用AWS服务的情况,并在服务错误率增加时发出警报。
正确答案: B
解析: 正确答案是:A
解释:创建一个Amazon CloudWatch度量过滤器,寻找API调用错误码,然后根据该度量的速率实现报警,这将提供一种自动化生成安全警报的方式,以防识别出过多的未经授权的AWS API请求。
Question #32 Topic 1

一个应用程序团队已请求一个新的AWS KMS主密钥用于Amazon S3,但组织安全政策要求不同AWS服务使用单独的主密钥,以限制爆炸半径。如何将AWS KMS客户主密钥(CMK)限制为仅与Amazon S3一起使用?

  • A 将CMK密钥策略配置为仅允许AmazonS3服务使用kms:Encrypt操作。
  • B 将CMK密钥策略配置为仅当KMS:ViaService条件与Amazon S3服务名称匹配时才允许AWS KMS操作。
  • C 配置IAM用户的策略以允许KMS将角色传递给AmazonS3。
  • D 将IAM用户的策略配置为当AmazonS3操作与CMK组合时仅允许它们进行操作。
正确答案: B
解析: 正确答案是:B
解释:通过配置CMK密钥策略仅在kms:ViaService条件匹配Amazon S3服务名称时允许AWS KMS操作,您可以通过仅在S3上指定服务来限制损害半径。
Question #33 Topic 1

一家公司希望加密其内部环境和AWS之间的专用网络。该公司还希望为员工提供一致的网络体验。公司应该做些什么来满足这些要求?

  • A 建立与AWS的直接连接,并设置直接连接网关。在Direct Connect网关配置中,启用IPsec和BGP,然后在可用性区域和区域之间利用本机AWS网络加密。
  • B 建立与AWS的直接连接,并设置直接连接网关。使用Direct Connect网关,创建一个专用虚拟接口,并公布客户网关的专用IP地址。使用客户网关和虚拟专用网关创建VPN连接。
  • C 通过互联网与AWS虚拟私有云建立VPN连接。
  • D 与AWS建立AWS直接连接,并建立公共虚拟接口。对于需要播发的前缀,请输入客户网关公共IP地址。使用客户网关和虚拟专用网关通过Direct Connect创建VPN连接。
正确答案: B
解析: 正确答案是:B
解释:建立 AWS 直接连接并设置直接连接网关将实现安全可靠的连接。使用直接连接网关创建私有虚拟接口,然后广播客户网关的私有 IP 地址,可以满足设置私有网络的要求。接下来,使用客户网关和虚拟私有网关创建 VPN 连接,可提供所需的加密功能。这样,就可以为员工提供稳定的网络体验。
Question #34 Topic 1

一家公司的安全工程师被指派限制承包商的IAM账户访问该公司的亚马逊EC2控制台,而不提供任何其他AWS服务的访问权限。承包商的IAM帐户不得访问任何其他AWS服务,即使IAM帐户根据IAM组成员资格被分配了额外的权限。安全工程师应该做些什么来满足这些要求?

  • A 创建一个内联IAM用户策略,允许承包商的IAM用户访问Amazon EC2。
  • B 创建允许Amazon EC2访问的IAM权限边界策略。将承包商的IAM帐户与IAM权限边界策略相关联。
  • C 创建一个带有附加策略的IAM组,该策略允许Amazon EC2访问。将承包商的IAM帐户与IAM组关联。
  • D 创建一个IAM角色,该角色允许EC2并明确拒绝所有其他服务。指示承包商始终承担这一角色。
正确答案: B
解析: 正确答案是:B
解释:IAM权限边界是一种高级功能,在其中您设置实体(用户或角色)可以拥有的最大权限。 当您为实体设置权限边界时,它只能执行由其基于身份的策略和其权限边界允许的操作。 在这种情况下,权限边界将允许访问Amazon EC2并拒绝所有其他服务,有效地限制了承包商的IAM账户所需的权限。
Question #35 Topic 1

一家公司的数据库开发人员刚刚迁移了一个亚马逊RDS数据库凭据,由AWS Secrets Manager存储和管理。开发人员还在Secrets Manager控制台中启用了凭据的轮换,并将轮换设置为每30天更改一次。在很短的一段时间后,许多现有的应用程序由于身份验证错误而失败。最有可能导致身份验证错误的原因是什么?

  • A 将凭据迁移到RDS需要通过对机密管理器的请求进行所有访问。
  • B 在机密管理器中启用轮换会导致机密立即轮换,并且应用程序正在使用早期的凭据。
  • C Secrets Manager IAM策略不允许访问RDS数据库。
  • D 机密管理器IAM策略不允许访问应用程序。
正确答案: B
解析: 正确答案是:B
解释:密钥的轮换导致储存的凭据改变。如果应用程序正在使用旧的凭据,现在就会无法通过身份验证。
上一页 下一页