AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天
  • 查看第 8 至第 121 页.
  • 查看第 36-40 至第 605 道题
Disclaimers:
  • - ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
  • - Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #36 Topic 1

保护最近开通的AWS帐户的AWS帐户root用户最安全的方法是什么?(选择两个。)

  • A 使用AWS帐户根用户访问密钥,而不是AWS管理控制台
  • B 为附加了AdministratorAccess管理策略的AWS IAM用户启用多因素身份验证
  • C 为AWS帐户根用户启用多因素身份验证
  • D 使用AWS KMS加密所有AWS帐户根用户和AWS IAM访问密钥,并将自动轮换设置为30天
  • E 不要为AWS帐户根用户创建访问密钥;相反,创建AWS IAM用户
正确答案: BC
解析: 正确答案是:C, E
解释:为AWS帐户根用户启用多因素身份验证为你的账户添加了一个额外的保护层。此外,不为AWS账户根用户创建访问密钥是一种安全最佳实践。相反,应创建单独的IAM用户,以便你可以对谁可以访问你的AWS资源进行精细控制。
Question #37 Topic 1

一家公司计划将其大部分IT基础设施转移到AWS。他们希望利用现有的本地Active Directory作为AWS的身份提供商。安全工程师应该采取哪种步骤组合来将公司的本地Active Directory与AWS联合起来?(选择两个。)

  • A Create IAM roles with permissions corresponding to each Active Directory group.
  • B Create IAM groups with permissions corresponding to each Active Directory group.
  • C Configure Amazon Cloud Directory to support a SAML provider.
  • D 配置Active Directory以添加Active Directory和AWS之间的依赖方信任。
  • E 配置Amazon Cognito以添加Active Directory和AWS之间的依赖方信任。
正确答案: BD
解析: 正确答案是:A, D
解释:为了联合本地Active Directory与AWS,安全工程师应首先创建具有对应于每个Active Directory组的权限的IAM角色,这允许在目录组与其对应的AWS IAM角色之间进行直接关联,为那些用户提供适当的权限。此外,工程师应配置Active Directory,添加Active Directory和AWS之间的依赖方信任。这种信任关系允许AWS从本地Active Directory验证用户。
Question #38 Topic 1

一位安全工程师正在为一个新开发的产品定义日志记录解决方案。系统管理员和开发人员需要对AWS CloudTrail中的事件日志文件具有适当的访问权限,以支持和排除产品故障。应使用哪种控制组合来防止篡改和未经授权访问日志文件?(选择两个。)

  • A Ensure that the log file integrity validation mechanism is enabled.
  • B 确保所有日志文件都写入同一帐户中至少两个独立的AmazonS3存储桶。
  • C 确保系统管理员和开发人员可以编辑日志文件,但不能进行任何其他访问。
  • D 确保具有工作相关需求的系统管理员和开发人员只能查看“但不能修改”日志文件。
  • E Ensure that all log files are stored on Amazon EC2 instances that allow SSH access from the internal corporate network only.
正确答案: AD
解析: 正确答案是:A, D
解释:A和D是正确的选项。因为这些选择保证了日志文件完整性的保护,并且仅限于那些有必要的工作需求的人,如系统管理员和开发人员来查阅日志。B只引入了冗余,没有解决未经授权的访问或篡改问题,而C允许潜在的对文件的不希望的修改。E与未经授权访问或篡改AWS CloudTrail日志文件的问题无关。
Question #39 Topic 1

以下哪项可以最大限度地减少应用程序的潜在攻击面?

  • A Use security groups to provide stateful firewalls for Amazon EC2 instances at the hypervisor level.
  • B 使用网络ACL在专有网络级别提供有状态防火墙,以防止访问任何特定的AWS资源。
  • C 使用AWS Direct Connect在专用子网内的EC2实例之间进行安全的可信连接。
  • D 在外围网络(也称为DMZ、非军事区和屏蔽子网)内的单层中设计网络安全,以便于更快地应对威胁。
正确答案: A
解析: 正确答案是:A
解释:这是因为安全组充当您的实例的虚拟防火墙,以控制入站和出站流量。安全组在虚拟机监视程序级别提供状态防火墙,这可以大大减少应用程序的潜在攻击面。
Question #40 Topic 1

应用程序将日志输出到文本文件。必须持续监控日志中的安全事件。哪种设计能以最小的努力满足要求?

  • A 创建一个计划进程,将组件的日志复制到AmazonS3中。使用S3事件触发Lambda函数,该函数使用日志数据更新AmazonCloudWatch指标。根据指标设置CloudWatch警报。
  • B 在应用程序的EC2实例上安装并配置AmazonCloudWatch日志代理。创建一个CloudWatch度量过滤器来监控应用程序日志。根据指标设置CloudWatch警报。
  • C 创建一个计划进程,将应用程序日志文件复制到AWS CloudTrail。使用S3事件触发Lambda函数,该函数使用日志数据更新CloudWatch指标。根据指标设置CloudWatch警报。
  • D 创建一个文件观察程序,在应用程序写入日志文件时将数据复制到Amazon Kinesis。让Kinesis触发Lambda功能,用日志数据更新Amazon CloudWatch指标。根据指标设置CloudWatch警报。
正确答案: B
解析: 正确答案是:B
解释:为了尽可能少的功夫实现对日志的连续监控,最好的方法是利用AWS的本机功能。在AWS中,可以直接在应用程序的EC2实例上安装和配置Amazon CloudWatch Logs代理。有了这个日志代理,您可以创建一个CloudWatch度量过滤器来监控应用程序日志,并根据度量结果设置CloudWatch警报。这比创建计划任务或文件监控器更有效,因为它涉及的步骤更少,利用了AWS的内置特性。
上一页 下一页