Amazon SCS-C02日本語 Actual Free Exam Questions & Community Discussion

セキュリティ チームは、Amazon S3 バケットからオブジェクトを取得するアプリケーションを Amazon EC2 インスタンス上で開発しています。S3 バケット内のすべてのオブジェクトは、AWS Key Management Service (AWS KMS) のカスタマー管理キーで暗号化されています。VPC 内で行われたリクエストのすべてのネットワーク トラフィックは、AWS インフラストラクチャに制限されています。このトラフィックは、パブリック インターネットを通過しません。
セキュリティチームはS3バケットからオブジェクトを取得できません
この問題の原因となる要因は何ですか? (3 つ選択してください。)

現在、あるウェブサイトはAmazon EC2上で稼働しており、サイト上のコンテンツは主に静的です。最近、このサイトがDDoS攻撃を受けたため、セキュリティエンジニアは、将来的にこのリスクを軽減するためにエッジセキュリティの再設計を依頼されました。
エンジニアがこれを実現できる方法にはどのようなものがありますか (3 つ選択してください)?

セキュリティ チームは、クラウド環境での AWS API 呼び出しアクティビティをレビューしてセキュリティ違反がないかを確認する責任があります。これらのイベントは、現在および将来の AWS リージョンの両方で一元化された場所に記録され、保持される必要があります。
これらの要件を満たす最も簡単な方法は何ですか?

ある会社では、開発チーム向けにマルチアカウント構造を設計しています。この会社では、AWS Organizations と AWS Single Sign-On (AWS SSO) を使用しています。開発チームが特定の AWS リージョンのみを使用でき、各 AWS アカウントが特定の AWS サービスのみにアクセスできるように、ソリューションを実装する必要があります。
最も少ない運用オーバーヘッドでこれらの要件を満たすソリューションはどれでしょうか?

ある企業には、転送中の暗号化が適用されていないAmazon S3バケットが複数あります。セキュリティエンジニアは、既存および将来のすべてのS3バケットに対して転送中の暗号化を適用するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれでしょうか?

ある企業は、AWS のベストプラクティスに従って、AWS アカウントの AWS アカウント ルートユーザーを保護しています。また、この企業は AWS CloudTrail を有効にして、ログを Amazon S3 に送信しています。セキュリティ エンジニアは、ユーザーが AWS アカウント ルートユーザー認証情報を使用して AWS マネジメント コンソールにサインインした場合に、ほぼリアルタイムで通知を受け取りたいと考えています。
この通知を提供するソリューションはどれですか? (2 つ選択してください。)

ある企業は、人事、財務、ソフトウェア開発、製造部門の複数のAWSアカウントを管理するためにAWS Organizationsを使用しています。同社の開発者全員がソフトウェア開発AWSアカウントに所属しています。
同社は、開発者が会社が使用を承認していないソフトウェアを事前設定したAmazon EC2インスタンスを起動していることが判明しました。同社は、開発者が承認されたソフトウェアアプリケーションのみを使用して、ソフトウェア開発用のAWSアカウントでのみEC2インスタンスを起動できるようにするソリューションを実装したいと考えています。
これらの要件を満たすソリューションはどれでしょうか?

ある会社では、Web サイトの画像を A​​mazon S3 バケットに保存しています。この会社は、エンドユーザーに画像を提供するために Amazon CloudFront を使用しています。この会社は最近、配布ライセンスを持っていない国から画像にアクセスされていることを発見しました。
画像の配布を制限するために、企業はどのような措置を講じるべきでしょうか? (2 つ選択してください。)

ある企業がコラボレーションアプリケーションを使用しています。セキュリティエンジニアは、us-west-2リージョンのAWS Security Hubからアプリケーションに自動アラートを設定する必要があります。セキュリティエンジニアは、Security Hubが新しい検出結果を受信するたびに、アプリケーション内のチャネルでアラートを受信したいと考えています。
セキュリティエンジニアは、メッセージをアプリケーションに必要な形式に変換するAWS Lambda関数を作成します。このLambda関数は、メッセージをアプリケーションのAPIに送信します。セキュリティエンジニアは、Lambda関数をターゲットとして指定するAmazon EventBridgeルールを設定します。
EventBridge ルールが実装されると、チャネルは Security Hub から継続的にアラートを受信するようになります。
アラートの多くはAmazon Inspectorのアラートであり、対応は必要ありません。セキュリティエンジニアはAmazon Inspectorのアラートを停止したいと考えています。
最も少ない運用労力でこの要件を満たすソリューションはどれでしょうか?

ある会社では、顧客のニーズを満たすために新しいコンプライアンス要件を実装しています。新しい要件によると、会社は基盤となるストレージの暗号化が行われていない Amazon RDS DB インスタンスまたは DB クラスターを使用してはなりません。会社には、暗号化されていない DB インスタンスまたは DB クラスターが作成されたときに電子メールアラートを生成するソリューションが必要です。また、このソリューションでは、暗号化されていない DB インスタンスまたは DB クラスターを終了する必要があります。
これらの要件を最も運用効率の高い方法で満たすソリューションはどれでしょうか?

ある会社のアプリケーション チームは、内部アプリケーションを、単一の IAM リージョン内の Amazon EC2 インスタンス、IAM Lambda 関数、および Amazon S3 バケットで構成される新しい IAM アーキテクチャに置き換えたいと考えています。アーキテクチャのレビュー後、セキュリティ チームは、アプリケーション ネットワーク トラフィックがいかなる時点でもパブリック インターネットを通過できないようにすることを義務付けました。セキュリティ チームは、インターネット ゲートウェイ、NAT ゲートウェイ、および出力専用ゲートウェイの作成を制限するために、会社の組織の IAM 組織に SCP をすでに配置しています。
これらの要件を満たすために、アプリケーション チームはどの組み合わせの手順を実行する必要がありますか? (3 つ選択してください。)

ある企業は、AWS を使用して、Amazon S3 バケットに保存されているデータに対して長時間実行される分析プロセスを実行しています。
このプロセスは、Auto Scaling グループ内の Amazon EC2 インスタンス群で実行されます。EC2 インスタンスは、インターネットにアクセスできない VPC のプライベートサブネットにデプロイされます。EC2 インスタンスと S3 バケットは同じ AWS アカウントにあります。EC2 インスタンスは、デフォルトのアクセスポリシーを持つ S3 ゲートウェイエンドポイントを介して S3 バケットにアクセスします。
各 EC2 インスタンスは、s3 を明示的に許可するポリシーを持つインスタンス プロファイル ロールに関連付けられています。
必要な S3 バケットに対してのみ GetObject アクションと s3:PutObject アクションを実行します。
会社は、1 つ以上の EC2 インスタンスが侵害され、AWS Organizations 内の会社組織外の S3 バケットにデータが流出していることを知りました。セキュリティ エンジニアは、このデータの流出を阻止し、EC2 処理ジョブを機能させ続けるためのソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれでしょうか?

AWS アカウント管理者は IAM グループを作成し、次の管理ポリシーを適用して、個々のユーザーが多要素認証を使用して認証することを要求しました。

ポリシーを実装した後、管理者はユーザーが AWS CLI を使用して Amazon EC2 コマンドを実行できないというレポートを受け取ります。
多要素認証を適用しながらこの問題を解決するには、管理者は何をすべきでしょうか?

ある企業は AWS クラウドに複数のアカウントを持っています。開発者アカウントのユーザーは、本番アカウントの特定のリソースにアクセスできる必要があります。
このアクセスを提供する最も安全な方法は何ですか?

ある企業には、IAM でホストされている一連の EC2 インスタンスがあります。EC2 インスタンスには、重要な情報を保存するために使用される EBS ボリュームがあります。EBS ボリュームの高可用性を確保するために、ビジネス継続性が求められています。どうすればこれを実現できるでしょうか。