問題261-問題270 (SAP)

【SCS-261】ある企業は、過去のDDoS攻撃の経験から、Amazon S3バケットにAmazon CloudFront配信を設定しました。
しかし、一部のユーザーがCloudFrontディストリビューションをバイパスしてS3バケットに直接アクセスすることが懸念されます。
ユーザーがURLを使用してS3オブジェクトに直接アクセスすることを防ぐために何をする必要がありますか？

【SCS-262】ある会社には、転送中のすべての Amazon S3 バケットデータの暗号化を義務付けるガイドラインがあります。
セキュリティエンジニアは、データが暗号化されていない場合に S3 操作を拒否する S3 バケットポリシーを実装する必要があります。
この要件を満たす S3 バケットポリシーはどれですか?

【SCS-263】DDoS攻撃を受けて、あるeコマースサイトが1時間ダウンしました。
攻撃期間中、ユーザーはウェブサイトに接続することができませんでした。
この会社のセキュリティチームは、今後起こりうる攻撃を懸念しており、再発防止に備えたいと考えています。
同社は、今後同様の攻撃への対応において、ダウンタイムを最小限に抑える必要があります。
これを達成するために、どのような手順が有効でしょうか。
(2つ選択)

【SCS-264】ある会社が運営するドメイン company.com は、アプリケーションロードバランサー（ALB）の背後にあるAmazon EC2インスタンスで動作しています。
また、各EC2インスタンス上で動作しているサードパーティ製のホスト侵入検知システム（HIDS）エージェントが、EC2インスタンスのトラフィックをキャプチャしています。
この会社は、サードパーティソリューションが提供するセキュリティ効果を損なうことなく、ユーザーのプライバシーを強化したいと考えています。
次の選択肢の中から、この要件を満たすものはどれでしょうか？

【SCS-265】ある会社では、安全なコード開発のためのAWSベストプラクティスに従っており、AWS KMSを使用してアプリケーションのローカルに保存される機密データを暗号化するための仕組みを設計したいと思っています。
必要なときにこのデータを復号化するための最も簡単で最も安全な方法は何ですか？

【SCS-266】ある企業は、AWS上で動作するWebサーバーにレイヤ3およびレイヤ4のDDoS攻撃を受けています。
どのAWSサービスと機能を組み合わせると、DDoS攻撃を防ぐことができますか？ （3つを選択してください）。

【SCS-267】ある会社のWebアプリケーションは、Auto Scalingグループのアプリケーションロードバランサー（ALB）の背後で動作するEC2インスタンス上でホストされています。
AWS WAFのWeb ACLはALBに関連付けられています。
AWS CloudTrailは有効であり、Amazon S3とAmazon CloudWatch Logsにログを保存しています。
運用チームは、複数のEC2インスタンスがランダムに再起動することを確認しました。
再起動後、インスタンス上のすべてのアクセスログが削除されました。
調査のなかで、運用チームは、各再起動が、new-user-creation.phpファイルでPHPエラーが発生した直後に起こっていることを発見しました。
運用チームは、会社が攻撃されているかどうかを判断するためにログ情報を表示する必要があります。
今後同じ事象が発生した場合、どのようなアクションを取ることで疑わしい攻撃者のIPアドレスを特定できますか？

【SCS-268】ある組織がAWS上で動作する3つのアプリケーションを持っており、それぞれがAmazon S3上の同じデータにアクセスしています。
Amazon S3上のデータは、AWS KMSカスタマーマスターキー（CMK）を使用してサーバーサイドで暗号化されています。
各アプリケーションがKMS CMK上で独自のプログラムアクセス制御許可を持つことを保証するために、推奨される方法は何ですか？

【SCS-269】あるシステムエンジニアは、SES（Simple Email Service）を通じて送信するメールの設定を任され、現在のTLS標準に準拠する必要があります。
メールアプリケーションをどのエンドポイントと対応するポートに接続するよう設定すべきですか？

【SCS-270】最近の内部調査中に、本番アカウントですべてのAPIログが無効にされ、ルートユーザーが新しいAPIキーを作成し、それが数回使用されたと思われることが発見されました。
このような事象を検知して自動的に修正するため、適切な対応は何がありますか？