問題171-問題180 (SAP)

制限時間: 0

採点する

10問中 0問が回答されています

質問:

インフォメーション

You have already completed the テスト before. Hence you can not start it again.

問題を読み込んでいます…

You must sign in or sign up to start the テスト.

まず、次の操作を完了する必要があります:

結果

採点中です。しばらくお待ちください。

結果

正解数 0/問題数10

回答にかかった時間:

終了時間となりました

回答お疲れ様でした。

Earned Point(s): 0 of 0, (0)
0 Essay(s) Pending (Possible Point(s): 0)

カテゴリー

カテゴリーがありません 0%

おめでとう！ポイントが1追加されました！

1
2
3
4
5
6
7
8
9
10

選択中
後で確認
回答済み
正解
不正解

質問 1 of 10

1. 質問
- 1
- 2
- 3
【SCS-171】ある会社は、すべての暗号化キーにAWSキーマネジメントサービス（AWS KMS）を使用することを決定しました。
同社は、すべてのキーを顧客管理のCMKとして作成し、任意の暗号化キーをインポートしないことを計画しています。
また、12ヶ月に一度、暗号化キーをローテーションする必要があります。
どの解決策が、これらの要件を満たしますか？
- 自動キーローテーションを有効にするために、顧客が管理するCMKキーポリシーを変更します。
- AWSが自動的にキーローテーションさせるように、顧客が管理するCMKの代わりに、AWSが管理するCMKを使用します。
- AWS Lambda関数を定期的に呼び出して、各顧客が管理するCMKのバッキングキーをローテーションさせます。
- AWS KMSで作成した後、各顧客が管理するCMKの自動キーローテーションを有効にする。
正解

不正解
質問 2 of 10

2. 質問
- 1
- 2
- 3
IoT企業が、健康管理のため、手首に装着するスマートバンドを開発しました。
このデバイスは、装着者の健康状態や統計情報を監視するセンサーとして機能します。
サーバーにデータを送信するデバイスは毎分数千個、5年後には数万個に増えると予想されます。
受信したデータをETLで処理し、データウェアハウスに蓄積し、古いデータをアーカイブすることができるアプリケーションが必要です。
設問で実装するアーキテクチャとして最も適しているのは、次の選択肢のうちどれでしょうか。
- Amazon Kinesisに直接データを保存し、S3バケットにデータを出力します。アーカイブのために、S3からGlacierへのライフサイクルポリシーを作成します。 Lambdaを使用してEMRでデータを処理し、出力をRedshiftに送信します。
- データをDynamoDBに直接保存します。 DynamoDBからのデータを使用してEMRクラスタを起動し、S3とRedshiftにデータを送信するデータパイプラインを起動します。
- 1ヶ月後にGlacierに保存するライフサイクルポリシーを持つS3バケットにデータを保存します。バケットのデータを使用してETLを実行し、そのデータをRedshiftに出力するEMRクラスターを起動します。
- Amazon Athenaを活用して受信データを受け入れ、DynamoDBを使用して保存します。 DynamoDBのテーブルからデータを取得し、ETLのためにEMRクラスタに送信し、その結果をRedshiftに出力するcronジョブをセットアップします。
正解

不正解
質問 3 of 10

3. 質問
- 1
- 2
- 3
【SCS-173】ある企業のポリシーでは、すべての API キーを暗号化し、ソースコードとは別に集中型のセキュリティアカウントに保存する必要があります。
このセキュリティアカウントは、会社のセキュリティチームによって管理されます。
しかし、監査により、API キーが AWS Lambda 関数のソースコードとともに、DevOps アカウントの AWSCodeCommit リポジトリに保存されていることが明らかになりました。
セキュリティチームは、API キーをどのように安全に保存する必要がありますか?
- 暗号化のために AWS Key Management Service (AWS KMS) を使用して、セキュリティアカウントに CodeCommit リポジトリを作成します。開発チームが Lambda ソースコードをこのリポジトリに移行することを義務付けます。
- キーを暗号化するために、Amazon S3 管理の暗号化キー (SSE-S3) によるサーバー側の暗号化を使用して、セキュリティアカウントの Amazon S3 バケットに API キーを保存します。 S3 キーの署名付き URL を作成し、AWS CloudFormation テンプレートの Lambda 環境変数でその URL を指定します。 URL を使用してキーを取得し、API を呼び出すように Lambda 関数コードを更新します。
- セキュリティアカウントの AWS Secrets Manager でシークレットを作成し、暗号化に AWS Key Management Service (AWS KMS) を使用して API キーを保存します。関数が Secrets Manager からキーを取得して API を呼び出すことができるように、Lambda 関数で使用される IAM ロールへのアクセスを許可します。
- AWS Key Management Service (AWS KMS) を使用して API キーを暗号化し、保存するために、Lambda 関数の暗号化された環境変数を作成します。関数が実行時にキーを復号化できるように、Lambda 関数で使用される IAM ロールへのアクセスを許可します。
正解

不正解
質問 4 of 10

4. 質問
- 1
- 2
- 3
ある企業が、AWS Direct Connect（DX）接続を使用してAWSに接続されているオンプレミスのデータセンターでいくつかのITサービスを実行しています。
サービスのデータは機密性が高く、会社はデータを暗号化するためにDX接続上でIPSec VPNを使用しています。
セキュリティ要件として、データはインターネットを通過できないことが義務付けられています。
同社は、AWSを使用する他の企業にもITサービスを提供したいと考えています。
どのソリューションがこれらの要件を満たすでしょうか？
- VPCにインターネットゲートウェイを取り付け、ネットワークアクセス制御とセキュリティグループのルールが、関連するインバウンドとアウトバウンドのトラフィックを許可することを確認します。
- HTTPまたはHTTPSトラフィックを受け入れるVPCエンドポイントサービスを作成し、アプリケーションロードバランサーの背後にそれをホストします。 DX接続を介してITサービスへのアクセスを有効にします。
- 利用者AWSアカウントとサービス提供者のAWSアカウント間のAWS VPN CloudHub IPsec VPN接続のメッシュを構成します。
- TCPトラフィックを受け入れるVPCエンドポイントサービスを作成し、ネットワークロードバランサーの後ろにホストします。 DX接続を介してITサービスにアクセスできるようにします。
正解

不正解
質問 5 of 10

5. 質問
- 1
- 2
- 3
【SCS-175】あるセキュリティエンジニアは、AWS Key Management Service（AWS KMS）を使用して、機密データを含むAmazon Elastic Block Store（AmazonEBS）ボリューム一式のキー管理ソリューションを設計する必要があります。
このソリューションは、キーマテリアルが90日で自動的に期限切れになることを保証する必要があります。
どのソリューションがこれらの条件を満たしていますか？
- 顧客提供のキーマテリアルを使用する顧客管理CMK
- AWS提供のキーマテリアルを利用した顧客管理CMKを利用する。
- AWSが管理するCMK
- GnuPGを使用したシステムネイティブな暗号化の運用
正解

不正解
質問 6 of 10

6. 質問
- 1
- 2
- 3
【SCS-176】ある企業は、VPC 内の Amazon EC2 インスタンスでビジネスに不可欠なアプリケーションをホストしています。
VPC は、デフォルトの DHCP オプションセットを使用します。
セキュリティエンジニアは、内部リソースが VPC で行うすべての DNS クエリをログに記録する必要があります。
また、セキュリティエンジニアは、最も一般的な DNS クエリのリストを作成する必要があります。
これらの要件を満たすソリューションはどれでしょうか?
- VPC 内の各 EC2 インスタンスに Amazon CloudWatch エージェントをインストールします。 CloudWatch エージェントを使用して、DNS クエリログを Amazon CloudWatch Logs ロググループにストリーミングします。 CloudWatch メトリクスフィルターを使用して、最も一般的な DNS クエリを一覧表示するメトリクスを自動的に生成します。
- VPC に BIND DNS サーバーをインストールします。 BIND ログからの一般的な DNS クエリの DNS 要求番号を一覧表示する bash スクリプトを作成します。
- VPStream 内のすべてのサブネットの VPC フローログを作成し、フローが Amazon CloudWatch Logs ロググループにログを記録します。 CloudWatch Logs Insights を使用して、ロググループの最も一般的な DNS クエリをカスタムダッシュボードに一覧表示します。
- Amazon Route 53 リゾルバーのクエリログを設定します。 Amazon CloudWatch Logs ロググループを送信先として追加します。 Amazon CloudWatch Contributor Insights を使用してデータを分析し、最も一般的な DNS クエリを表示する時系列を作成します。
正解

不正解
質問 7 of 10

7. 質問
- 1
- 2
- 3
【SCS-177】ある企業には、個人を特定できる情報 (PII) を処理するアプリケーションがあります。
このアプリケーションは、Application Load Balancer (ALB) の背後にある Amazon EC2 インスタンスで実行されます。
同社のセキュリティポリシーでは、プレーンテキストで PII が公開される可能性を回避するために、転送中のデータを常に暗号化する必要があります。
これらの要件を満たすために、セキュリティエンジニアはどのソリューションを使用できますか? （2つ選んでください。)
- 既存の ALB でクライアントから SSL を終了します。HTTPS を使用して、ALB から EC2 インスタンスに接続します。
- 既存の ALB を Network Load Balancer (NLB) に置き換えます。 NLB で、クライアント接続を受信するように SSL リスナーと TCP パススルーを構成します。EC2 インスタンスで HTTPS トラフィックを終了します。
- 既存の ALB を Network Load Balancer (NLB) に置き換えます。NLB で、クライアント接続を受信するように TCP パススルーを構成します。 EC2 インスタンスで SSL を終了します。
- クライアント接続を受信するために、TCP パススルーを使用して Network Load Balancer (NLB) を構成します。既存の ALB で SSL を終了します。
- クライアント接続を受信するために、TLS リスナーを持つネットワークロードバランサー（NLB）を構成します。NLB が EC2 インスタンスに到達できるように、既存の ALB に TCP パススルーを構成します。
正解

不正解
質問 8 of 10

8. 質問
- 1
- 2
- 3
【SCS-178】ある会社が、公開されている GitHub リポジトリでホストされているオープンソースアプリケーションを保守しています。
リポジトリに新しいコミットを作成する際に、あるエンジニアが自分のAWSアクセスキーとシークレットアクセスキーをアップロードしてしまいました。
このエンジニアはミスをマネージャに報告し、マネージャは直ちにアクセスキーを無効にしました。
会社は、公開されたアクセスキーの影響を評価する必要があります。
セキュリティエンジニアは、管理者のオーバーヘッドを可能な限り少なくするソリューションを推奨する必要があります。
これらの要件を満たすソリューションはどれですか?
- AWS Trusted Advisor から AWS Identity and Access Management (IAM) の使用レポートを分析し、アクセスキーが最後に使用された日時を確認します。
- Amazon CloudWatch Logsを分析し、アクセスキーを検索してアクティビティを確認します。
- VPCのフローログを解析し、アクセスキーを検索してアクティビティを確認します。
- AWS Identity and Access Management (IAM) でクレデンシャルレポートを分析し、アクセスキーが最後に使用された日時を確認します。
正解

不正解
質問 9 of 10

9. 質問
- 1
- 2
- 3
ある会社が、Amazon S3バケットを使用してWebサイトをホストすることを計画しています。
ソリューションアーキテクトは、us-west-2 AWSリージョンに「www.studyaws.com」という新しいS3バケットを作成し、静的ウェブサイトホスティングを有効にして、index.htmlファイルを含む静的ウェブコンテンツファイルをアップロードしました。
カスタムドメインwww.studyaws.com は、Amazon Route 53を使用して登録され、S3バケットに関連付けられました。
翌日、新しいRoute 53 Aliasレコードセットが、S3ウェブサイトのエンドポイントhttp://www.studyaws.com.s3-website-us-west-2.amazonaws.com を指すように作成されました。
テストでは、ユーザーはバケット上の任意のコンテンツを見ることができません。
また、ドメインstudyaws.comとwww.studyaws.comの両方が正しく動作しません。

この問題の原因として、アーキテクトが修正すべき最も可能性の高いものは、次のうちどれでしょうか。
- error.html ファイルに値を設定していないため、サイトが動作しません。
- URL の末尾にファイル名が含まれていないため、サイトは動作しません。 www.studyaws.com/index.html を使用する必要があります。
- Route 53はまだドメイン名の変更を伝搬している最中です。さらに12時間待ってから再試行してください。
- S3バケットにパブリックリードアクセスがないため、Webサイトの訪問者がコンテンツを見ることができないようにブロックされています。
正解

不正解
質問 10 of 10

10. 質問
- 1
- 2
- 3
【SCS-180】ある会社には複数の部門があり、各部門は独自のAWSアカウントを持っています。
これらのアカウントはすべてAWS Organizationsの同じ組織に属しています。
販売部門のAWSアカウントのAmazon S3バケットには、大容量の.csvファイルされています。
同社は、AWS GlueとAmazon Athenaの組み合わせにより、他のアカウントのユーザーが.csvファイルのコンテンツにアクセスできるようにしたいと考えています。
しかし、会社は他のアカウントのユーザーが同じフォルダ内の他のファイルにアクセスすることを許可したくありません。
どのソリューションがこれらの要件を満たすでしょうか？
- AWS GlueとAthenaが.csvファイルにアクセスできるように、他のアカウントでユーザーポリシーを適用します。
- S3 Selectを使用して、.csvファイルへのアクセスを制限します。AWS Glue Data Catalogで、AWS GlueデータベースのソースとしてS3 Selectを使用します。
- AWS GlueのAWS Glue Data Catalogリソースポリシーを定義し、.csvファイルへのクロスアカウントS3オブジェクトアクセスを付与します。
- 組織をプリンシパルに指定したリソースベースポリシーで、Amazon S3へのAWS Glueアクセスを付与します。
正解

不正解

通知

通知対象

Please login to comment

0 Comments

新しい順

古い順得票数

Inline Feedbacks

コメントを全て表示

コメントする

コメントするコメントをキャンセル

コメントを投稿するにはログインしてください。

error:

wpDiscuz