Amazon SCS-C01日本語 Actual Free Exam Questions & Community Discussion

顧客の責任は次のうちどれですか？以下のオプションから2つの回答を選択してください。
選んでください：

あなたの会社には、IAM アカウントで定義された 1000 個の EC2 インスタンスのセットがあります。これらのインスタンスのいくつかの管理タスクを効果的に自動化したいと考えています。これを達成するための効果的な方法は次のうちどれですか?
選んでください：

会社には 2 つの IAM アカウントがあり、それぞれに 1 つの VPC が含まれています。最初の VPC には、企業ネットワークとの VPN 接続があります。VPN を使用しない 2 番目の VPC は、プライベート サブネットで Amazon Aurora データベース クラスターをホストします。開発者は、画像に示すように、パブリック サブネットの踏み台ホストから Aurora データベースを管理します。

セキュリティ レビューでは、このアーキテクチャに脆弱性があるとフラグが付けられており、セキュリティ エンジニアはこの設計をより安全にするよう依頼されています。同社の締め切りは短く、Aurora アカウントへの 2 番目の VPN 接続はできません。
セキュリティ エンジニアはどのようにして踏み台ホストを安全にセットアップできますか?

ある会社には、Amazon CloudFrontを使用し、Application Load Balancer（ALB）の背後にあるAmazon Elastic Container Service（Amazon ECS）で実行されているWebベースのアプリケーションがあります。 ALBはTLSを終了し、ECSサービスタスク間で負荷を分散していますセキュリティエンジニアは、アプリケーションコンテンツにCloudFront経由でのみアクセスでき、直接アクセスできないようにするソリューションを設計する必要があります。
セキュリティエンジニアはどのようにして最も安全なソリューションを構築する必要がありますか？

企業のウェブ アプリケーションは、Auto Scaling グループの Application Load Balancer (ALB) の背後で実行されている Amazon EC2 インスタンスでホストされています。IAM WAF ウェブ ACL が ALB に関連付けられています。IAM CloudTrail が有効になり、Amazon S3 と Amazon CloudWatch Logs にログが保存されます。
運用チームは、一部の EC2 インスタンスがランダムに再起動することを確認しました。再起動後、インスタンスのすべてのアクセス ログが削除されました。調査中に、運用チームは、new-user-creation.php ファイルで PHP エラーが発生した直後に、各再起動が発生したことを発見しました。運用チームは、ログ情報を表示して、会社が攻撃されているかどうかを判断する必要があります。
今後の発生のために、攻撃者の疑いのある IP アドレスを特定する一連のアクションはどれですか?

最近のセキュリティ監査で、IAM CloudTrail ログが改ざんや不正アクセスから十分に保護されていないことが判明しました。これらの監査結果に対処するために、セキュリティ エンジニアはどのアクションを実行する必要がありますか? (3つ選択)

IAM RDS インスタンスへの接続のために転送中のデータを暗号化するには、次のうちどれを実装しますか? 選択してください:

ある企業は、安全なアーキテクチャ (または、IAM にデプロイする予定のグローバルな遅延の影響を受けやすい Web アプリケーション) を設計しています。セキュリティ エンジニアは、可用性が高く安全な 2 層アーキテクチャを構成する必要があります。
セキュリティ設計には、DDoS、クロスサイト スクリプティング、SQL インジェクションなどの一般的な攻撃を防ぐための制御を含める必要があります。
これらの要件を満たすソリューションはどれですか?

会社は、インポートされたキー マテリアルを含むカスタマー マスター キー (CMK) を持っています。会社のポリシーでは、すべての暗号化キーを毎年ローテーションする必要があります。
上記のポリシーを実装するにはどうすればよいですか?

企業には、Amazon CloudFront HTTPS ディストリビューションを備えたウェブサイト、動的ウェブサイト コンテンツ用の複数のウェブ インスタンスを備えた Application Load Balancer (ALB)、および静的ウェブサイト コンテンツ用の Amazon S3 バケットがあります。同社のセキュリティ エンジニアは最近、Web サイトのセキュリティ要件を次のように更新しました。
* 特定の暗号を使用して転送中のすべてのデータに HTTPS を適用する必要があります。
* CloudFront ディストリビューションは、インターネットからのみアクセスできる必要があります。
これらの要件を満たすソリューションはどれですか?

グローバル企業は、レイヤー 3、4、および 7 での DDoS 攻撃を緩和して対応する必要があります。同社の IAM アプリケーションはすべてサーバーレスであり、静的コンテンツは Amazon CloudFront と Amazon Route 53 を使用して Amazon S3 でホストされています。これらの要件を満たすソリューションはどれですか?

IT セキュリティ チームは、会社の IAM アカウントの重要な EC2 インスタンス全体で多数の脆弱性を特定しました。これらの脆弱性を確実に修復する最も簡単な方法はどれですか?
選んでください：

ある会社は、Web アプリケーションに IAM EC2 と IAM Cloudfront を使用することを計画しています。以下の攻撃のうち、Cloudfront の使用が最も適しているのはどれですか?
選んでください：

セキュリティエンジニアは、すべてのユーザーへのアクセスを拒否するAmazonS3バケットポリシーを作成します。数日後、セキュリティエンジニアは、バケットポリシーにステートメントを追加して、他の1人の従業員に読み取り専用アクセスを許可します。ポリシーを更新した後でも、従業員はアクセス拒否メッセージを受け取ります。
このアクセス拒否の考えられる原因は何ですか？
セキュリティエンジニアは、eコマースアプリケーションを設計するために会社と協力しています。アプリケーションは、Application Load Balancer（ALB）の背後にあるAutoScalingグループで実行されるAmazonEC2インスタンスで実行されます。アプリケーションは、データベースにAmazon RDSDBインスタンスを使用します。
インターネットから必要な接続は、アプリケーションへのHTTPおよびHTTPSトラフィックのみです。アプリケーションは、事前に構成されたIPアドレスの許可リストからのトラフィックのみを許可する外部の支払いプロバイダーと通信する必要があります。企業は、環境の拡大に伴って外部の決済プロバイダーとの通信が中断されないようにする必要があります。
これらの要件を満たすために、セキュリティエンジニアはどのアクションの組み合わせを推奨する必要がありますか？ （3つ選択してください。）