AWS Certified Security – Specialty-中国語版

AWS SCS-C01

获得 AWS Certified Security – Specialty 认证表明在 AWS 云中保护数据和工作负载方面的具有相应的专业知识。

1 / 58

1.

(3)为防止 AWS KMS 客户主密钥 (CMK) 被用于加密或解密活动，组织必须提供在 24 小时内将其删除的能力。
以下哪项活动符合此标准？

A. 在 KMS 中手动轮换密钥以立即创建新的 CMK。

B. 使用 KMS 导入密钥功能执行删除密钥操作。

C. 使用 KMS 中的计划键删除功能指定删除的最短等待时间。

D. 更改 KMS CMK 别名以立即阻止任何服务使用 CMK。

2 / 58

2.

(7)企业使用导入的密钥材料创建客户主密钥 (CMK)。所有加密密钥必须根据公司政策每年轮换一次。
可以采取哪些步骤来执行上述政策？

A. 每年为 CMK 启用自动密钥轮换。

B. 使用 AWS 命令行界面创建 AWS Lambda 函数以每年轮换现有 CMK。

C. 将新的密钥材料导入现有 CMK 并手动轮换 CMK。

D. 创建一个新的 CMK，向它导入新的密钥材料，并将密钥别名指向新的 CMK。

3 / 58

3.

(10)一次 DDoS 攻击将一个电子商务网站关闭了一个小时。在攻击阶段，用户无法访问该网站。电子商务公司的安全人员担心未来可能发生的攻击，并希望为它们做好准备。公司对未来此类攻击的反应必须尽可能快。
哪些措施可能有助于做到这一点？（选择两个。）

A. 启用 Amazon GuardDuty 以自动监控恶意活动并阻止未经授权的访问。

B. 订阅 AWS Shield Advanced 并在发生攻击时联系 AWS Support。

C. 使用 VPC Flow Logs 监控网络流量，并使用 AWS Lambda 函数使用安全组自动阻止攻击者的 IP。

D. 设置 Amazon CloudWatch Events 规则以实时监控 AWS CloudTrail 事件，使用 AWS Config 规则审核配置，并使用 AWS Systems Manager 进行补救。

E. 使用 AWS WAF 创建规则来响应此类攻击。

4 / 58

4.

(11)一个开发团队正在尝试使用 AWS Key Management Service (AWS KMS) CMK 对来自 AWS Systems Manager Parameter Store 的安全字符串参数进行加密和解码。但是，每次尝试都会导致向开发团队发送错误消息。
哪些 CMK 相关问题可能导致该错误？（选择两个。）

A. 尝试中使用的 CMK 不存在。

B. CMK 用于尝试需要轮换。

C. CMK 用于尝试使用 CMK 的密钥 ID 而不是 CMK ARN。

D. 尝试中使用的 CMK 未启用。

E. 尝试使用的 CMK 正在使用别名。

5 / 58

5.

(19)一家企业拥有一个 AWS 账户并授权第三方承包商使用另一个 AWS 账户执行某些 IAM 功能。该组织希望保证承包商仅在其 IAM 用户帐户启用了多因素身份验证的情况下才能接受 IAM 责任。
企业应该采取什么行动来实现这一目标？

A. 将以下条件添加到附加到所有 IAM 角色的 IAM 策略中：“Effect”：“Deny”、“Condition”：{“BoolItExists”：{“aws:MultiFactorAuthPresent”：false }}

B. 将以下条件添加到附加到所有 IAM 角色的 IAM 策略中：“Effect”：“Deny”、“Condition”：{“Bool”：{“aws:MultiFactorAuthPresent”：false }}

C. 将以下条件添加到附加到所有 IAM 角色的 IAM 策略中：“Effect”：“Allow”、“Condition”：{“Null”：{“aws:MultiFactorAuthPresent”：false }}

D. 将以下条件添加到附加到所有 IAM 角色的 IAM 策略中：“Effect”：“Allow”、“Condition”：{“BoolItExists”：{“aws:MultiFactorAuthPresent”：false }}

6 / 58

6.

(32)在 Amazon EC2 实例上，用户正在部署第三方 Web 应用程序。所有客户端交互都必须使用 HTTPS 加密，并且所有流量必须在到达实例之前终止。实例必须通过端口 80 访问。根据公司政策，工作负载必须在私有子网上隔离。
哪种解决方案满足这些标准？

A. 创建应用程序负载均衡器。为端口 80 添加一个 HTTP 侦听器，以将流量重定向到端口 443 上的 HTTPS。添加另一个侦听器，该侦听器具有 AWS Certificate Manager (ACM) 证书以进行终止，以及通过端口 80 转发到目标实例的规则。

B. 分配一个已激活 SSL 终止的弹性 IP 地址。将弹性 IP 地址与端口 80 上的实例关联。

C. 创建网关负载均衡器。为端口 80 添加一个 HTTP 侦听器，以将流量重定向到端口 443 上的 HTTPS。添加另一个侦听器，该侦听器具有 AWS Certificate Manager (ACM) 证书以进行终止，以及通过端口 80 转发到目标实例的规则。

D. 实施网络负载均衡器。为端口 80 添加一个 HTTP 侦听器，以将流量重定向到端口 443 上的 HTTPS。添加另一个侦听器，该侦听器具有 AWS Certificate Manager (ACM) 证书以进行终止，以及通过端口 80 转发到目标实例的规则。

7 / 58

7. (42)属于开发人员的笔记本电脑被拿走了。笔记本电脑没有受到保护，并持有连接到许多 Amazon EC2 实例所需的 SSH 密钥。在制定反应策略时，一名安全工程师确认该密钥未被使用，并阻止了所有 EC2 实例的端口 22。

安全工程师如何加强现有的保护？

A. 从 EC2 控制台中删除密钥对密钥，然后创建一个新的密钥对。

B. 使用 modify-instance-attribute API 更改使用密钥的任何 EC2 实例上的密钥。

C. 使用 EC2 RunCommand 修改使用密钥的任何 EC2 实例上的 authorized_keys 文件。

D. 更新用于启动 EC2 实例的任何 AMI 中的密钥对，然后重新启动 EC2 实例。

8 / 58

8.

(48)企业必须加密存储在 Amazon S3 中的任何数据。该组织希望通过 AWS Key Management Service (AWS KMS) 生成和维护其加密密钥。根据公司的安全规定，密钥必须能够导入公司自己的密钥材料，并为其分配有效期，并在必要时迅速删除。
安全工程师应如何配置 AWS KMS 以确保它满足这些要求？

A. 配置 AWS KMS 并使用自定义密钥存储。创建没有密钥材料的客户托管 CMK。将公司的密钥和密钥材料导入 CMK。

B. 配置 AWS KMS 并使用默认密钥存储。创建一个没有密钥材料的 AWS 托管 CMK。将公司的密钥和密钥材料导入 CMK。

C. 配置 AWS KMS 并使用默认密钥存储。创建没有密钥材料的客户托管 CMK。将公司的密钥和密钥材料导入 CMK。

D. 配置 AWS KMS 并使用自定义密钥存储。创建一个没有密钥材料的 AWS 托管 CMK。将公司的密钥和密钥材料导入 CMK。

9 / 58

9.

(57)AWS CloudTrail 用于跟踪组织内部的 API 调用。根据审计，CloudTrail 没有按计划向 Amazon S3 发送事件。
要启用 CloudTrail 事件到 S3 的交付，应采取哪些第一步？（选择两个。）

A. 验证 S3 存储桶策略是否允许 CloudTrail 写入对象。

B. 验证 CloudTrail 使用的 IAM 角色是否有权写入 Amazon CloudWatch Logs。

C. 删除 S3 存储桶上将对象归档到 Amazon Glacier 的所有生命周期策略。

D. 验证 CloudTrail 中定义的 S3 存储桶是否存在。

E. 验证 CloudTrail 中定义的日志文件前缀是否存在于 S3 存储桶中。

10 / 58

10.

(59)在 VPC 中，公司运行 Amazon RDS 多可用区数据库实例。数据库实例通过两个子网通过 NAT 网关连接到 Internet。
此外，该组织拥有托管在 Amazon EC2 实例上并使用 RDS 数据库的应用程序服务器。这些 EC2 实例已部署到同一 VPC 内的另外两个私有子网中。这些 EC2 实例通过同一 NAT 网关通过默认路由连接到 Internet。每个 VPC 子网都有自己的路由表。
该组织在最近的安全检查后实施了新的安全要求。永远不要让数据库实例连接到互联网。安全工程师必须在不干扰应用服务器的网络流量的情况下迅速执行此更新。
安全工程师如何能够遵守这些要求？

A. 移除现有的 NAT 网关。创建一个只有应用程序服务器子网可以使用的新 NAT 网关。

B. 配置数据库实例的入站网络ACL，拒绝来自NAT网关安全组ID的流量。

C. 修改数据库实例子网的路由表，删除到 NAT 网关的默认路由。

D. 配置 NAT 网关的路由表以拒绝与数据库实例子网的连接。

11 / 58

11.

(67)一家公司的安全工程师正在修改 Amazon S3 权限，以防止创建所有现有和未来的公共存储桶。但是，该公司直接在允许公共访问的 Amazon S3 存储桶上运行多个网页。
开发人员必须在不影响当前网站的情况下禁用公共 S3 存储桶。每个网站都有自己的由工程师设置的 Amazon CloudFront 分布。
安全工程师应该采取哪些进一步的措施？

A. 将 S3 存储桶配置为具有 CloudFront 分配的源访问身份 (OAI) 的源。将网站的 DNS 记录切换为指向 CloudFront 分配。在帐户级别启用阻止公共访问设置。

B. 将 S3 存储桶配置为具有 CloudFront 分配的源访问身份 (OAI) 的源。将网站的 DNS 记录切换为指向 CloudFront 分配。然后，对于每个 S3 存储桶，启用阻止公共访问设置。

C. 将 S3 存储桶配置为具有 CloudFront 分配的源访问身份 (OAI) 的源。在帐户级别启用阻止公共访问设置。

D. 将 S3 存储桶配置为 CloudFront 分配的源。将 S3 存储桶策略配置为仅接受来自 CloudFront 接入点的连接。将网站的 DNS 记录切换为指向 CloudFront 分配。在帐户级别启用阻止公共访问设置。

12 / 58

12.

(69)Amazon RDS for MySQL 被企业用作其应用程序的数据库引擎。最近的一项安全评估发现，RDS 实例未按照公司的政策进行静态加密。公司的安全工程师必须保证所有当前的 RDS 数据库都使用服务器端加密进行保护，并且可以识别任何未来的策略违规行为。
安全工程师应该结合采取哪些措施来实现这一点？（选择两个。）

A. 创建 AWS Config 规则以检测加密 RDS 数据库的创建。创建 Amazon EventBridge (Amazon CloudWatch Events) 规则以触发 AWS Config 规则合规性状态更改，并使用 Amazon Simple Notification Service (Amazon SNS) 通知安全运营团队。

B. 使用 AWS System Manager State Manager 检测 RDS 数据库加密配置偏差。创建 Amazon EventBridge (Amazon CloudWatch Events) 规则以跟踪状态更改并使用 Amazon Simple Notification Service (Amazon SNS) 通知安全运营团队。

C. 为现有未加密的 RDS 数据库创建只读副本，并在此过程中启用副本加密。一旦副本变为活动状态，将其提升为独立的数据库实例并终止未加密的数据库实例。

D. 拍摄未加密的 RDS 数据库的快照。复制快照并在此过程中启用快照加密。从新创建的加密快照还原数据库实例。终止未加密的数据库实例。

E. 通过更改现有数据库的配置，为识别出的未加密RDS实例启用加密。

13 / 58

13.

(80)每次开发团队的成员尝试使用 AWS KMS 客户控制的密钥对 SSM 参数存储中的安全字符串参数进行加密或解码时，团队都会收到一条错误消息 (CMK)。
哪些 CMK 相关问题可能有问题？（选择两个。）

A. 申请中指定的 CMK 不存在。

B. 申请中指定的 CMK 当前正在使用中。

C. 应用程序中指定的 CMK 使用 CMK KeyID 而不是 CMK Amazon 资源名称。

D. 应用中指定的 CMK 未启用。

E. 应用程序中指定的 CMK 使用别名。

14 / 58

14.

(85)一家公司正在为其打算在 Amazon Web Services 上启动的全球分布式、延迟敏感的 Web 应用程序开发安全架构。安全工程师必须配置一个高度可用且安全的两层架构。安全架构中必须包含用于防止典型威胁（例如 DDoS、跨站点脚本和 SQL 注入）的控制措施。
哪种解决方案满足这些标准？

A. 创建一个应用程序负载均衡器 (ALB)，该应用程序负载均衡器 (ALB) 在单个区域内的多个可用区中使用公有子网。将 ALB 指向一个 Auto Scaling 组，该组在同一区域内的多个可用区的私有子网中具有 Amazon EC2 实例。创建一个使用 ALB 作为其源的 Amazon CloudFront 分配。创建适当的 AWS WAF ACL 并在 CloudFront 分配上启用它们。

B. 创建一个应用程序负载均衡器 (ALB)，该应用程序负载均衡器 (ALB) 在单个区域内的多个可用区中使用私有子网。将 ALB 指向一个 Auto Scaling 组，该组在同一区域内的多个可用区的私有子网中具有 Amazon EC2 实例。创建一个使用 ALB 作为其源的 Amazon CloudFront 分配。创建适当的 AWS WAF ACL 并在 CloudFront 分配上启用它们。

C. 创建一个应用程序负载均衡器 (ALB)，该应用程序负载均衡器 (ALB) 在单个区域内的多个可用区中使用公共子网。将 ALB 指向一个 Auto Scaling 组，该组在同一区域内的多个可用区的私有子网中具有 Amazon EC2 实例。创建适当的 AWS WAF ACL 并在 ALB 上启用它们。

D. 创建一个应用程序负载均衡器 (ALB)，该应用程序负载均衡器 (ALB) 在单个区域内的多个可用区中使用私有子网。将 ALB 指向一个 Auto Scaling 组，该组在同一区域内的多个可用区的私有子网中具有 Amazon EC2 实例。创建适当的 AWS WAF ACL 并在 ALB 上启用它们。

15 / 58

15.

(91)开发人员在 AWS Organizations 的组织单位 (OU) 中创建了一个新账户，该组织单位拥有多个账户。以下 SCP 限制对 Amazon S3 服务的访问：

安全工程师如何在不影响其他账户的情况下向开发人员提供对 Amazon S3 的访问权限？

A. 将 SCP 移动到 Organizations 的根 OU 以取消访问 Amazon S3 的限制。

B. 为开发者添加一个 IAM 策略，授予 S3 访问权限。

C. 创建一个新的 OU，而不应用限制 S3 访问的 SCP。将开发者帐户移动到这个新的 OU。

D. 为 S3 服务的开发者帐户添加允许列表。

16 / 58

16. (94)一家企业正在为一个新的应用程序设置一个新的 AWS 账户。对于这个应用程序，已经构建了一个虚拟私有云 (VPC) 和子网。对于数据库访问，应用程序一直在与另一个 AWS 区域账户中的现有 VPC 对等。虽然 Amazon EC2 实例将在应用程序 VPC 中定期生成和终止，但其中只有一部分需要通过 TCP 端口 1521 访问对等 VPC 中的数据库。安全工程师必须保证数据库可以跨网络只连接到需要访问的 EC2 实例。

安全工程师如何实施此解决方案？

A. 在数据库 VPC 中创建一个新的安全组，并创建一个入站规则，允许来自应用程序 VPC 的 IP 地址范围的所有流量。在数据库子网上添加新的网络 ACL 规则。将规则配置为应用 VPC 的 IP 地址范围内的 TCP 端口 1521。将新的安全组附加到应用程序实例需要访问的数据库实例。

B. 在应用程序 VPC 中创建一个新的安全组，入站规则允许数据库 VPC 的 IP 地址范围通过 TCP 端口 1521。在数据库 VPC 中创建一个新的安全组，入站规则允许 IP 地址范围应用程序 VPC 通过端口 1521。将新的安全组附加到数据库实例和需要数据库访问的应用程序实例。

C. 在应用程序 VPC 中创建一个没有入站规则的新安全组。在数据库 VPC 中创建一个新的安全组，其入站规则允许来自应用程序 VPC 中的新应用程序安全组的 TCP 端口 1521。将应用程序安全组附加到需要访问数据库的应用程序实例上，并将数据库安全组附加到数据库实例上。

D. 在应用程序 VPC 中创建一个新的安全组，其入站规则允许数据库 VPC 的 IP 地址范围通过 TCP 端口 1521。在数据库子网上添加新的网络 ACL 规则。配置规则以允许来自应用程序 VPC 的 IP 地址范围的所有流量。将新的安全组附加到需要数据库访问的应用程序实例。

17 / 58

17.

(98)企业需要为数百个在 Amazon EC2 上运行的基于 Docker 的应用程序提供取证日志记录解决方案。解决方案必须实时分析日志，提供消息重放和持久化日志。
应采用哪些亚马逊网络产品 (AWS) 服务来满足这些要求？（选择两个。）

A. Amazon Athena

B. Amazon Kinesis

C. Amazon SQS

D. Amazon Elasticsearch

E. Amazon EMR

18 / 58

18.

(97)组织正在使用 AWS CloudTrail、Amazon CloudWatch Logs 和 Amazon CloudWatch 在生成新的访问密钥时提供通知。然而，这些警告已不再发送到安全操作邮箱中。
以下哪个步骤对解决此问题最有效？

A. 在 CloudTrail 中，验证跟踪日志存储桶是否配置了日志前缀。

B. 在 Amazon SNS 中，确定是否已达到此警报的“帐户支出限制”。

C. 在 SNS 中，确保这些警报使用的订阅未被删除。

D. 在 CloudWatch 中，验证警报阈值“连续周期”值是否等于或大于 1。

19 / 58

19.

(105)一家企业有两个 Amazon Web Services (AWS) 账户：账户 A 和账户 B。账户 A 具有 IAM 角色，账户 B 中的 IAM 用户在将敏感数据上传到账户 A 的 Amazon S3 存储桶时担任该角色。
一项新要求要求用户在接受工作 (MFA) 之前使用多因素身份验证进行验证。安全工程师的建议必须以最少的风险和努力满足此标准。
他或她应该推荐哪种安全工程师解决方案？

A. 将 aws:MultiFactorAuthPresent 条件添加到角色的权限策略。

B. 将 aws:MultiFactorAuthPresent 条件添加到角色的信任策略。

C. 将 aws:MultiFactorAuthPresent 条件添加到会话策略。

D. 将 aws:MultiFactorAuthPresent 条件添加到 S3 存储桶策略。

20 / 58

20.

(110)Amazon EC2 实例已用于构建从 Amazon SQS 检索消息的应用程序。最近实施了 IAM 修改，实例不再具有检索消息的能力。
应该采取哪些步骤以尽可能少的权限解决问题？（选择两个。）

A. 配置 MFA 设备并将其分配给实例使用的角色。

B. 验证 SQS 资源策略没有明确拒绝对实例使用的角色的访问。

C. 验证附加到实例使用的角色的访问密钥是否处于活动状态。

D. 将 AmazonSQSFullAccess 托管策略附加到实例使用的角色。

E. 验证附加到实例的角色是否包含允许访问队列的策略。

21 / 58

21.

(111)一家公司创建了一个未使用 AWS CloudTrail 设置的新 AWS 账户。该账户受 AWS Security Token Service IAM 访问密钥 (AWS STS) 保护。在过去的 24 小时内，安全工程师得知 IAM 访问密钥已被黑客入侵。
安全工程师必须防止未经授权使用受损的 IAM 访问密钥。此外，安全工程师必须确定迄今为止已使用密钥的操作。
安全工程师应采取哪些措施来确保符合这些要求？

A. 在 CloudTrail 控制台中，在 CloudTrail 事件历史记录下，按访问密钥搜索被泄露密钥以及相关事件，并确定该密钥属于哪个 IAM 用户。在 IAM 控制台中，撤销该 IAM 用户的所有活动会话。

B. 创建一个新的 CloudTrail 跟踪。在 CloudTrail 控制台中，在 CloudTrail 事件历史记录下，按访问密钥搜索被泄露的密钥，查看相关事件，并确定该密钥属于哪个 IAM 用户。在 IAM 控制台中，撤销该 IAM 用户的所有活动会话。

C. 创建一个新的 CloudTrail 跟踪。在 CloudTrail 控制台中的 CloudTrail 事件历史记录下，按访问密钥搜索受损密钥，查看相关事件，并确定密钥所属的 IAM 角色。在 IAM 控制台中，删除该 IAM 角色。

D. 在 CloudTrail 控制台中，在 CloudTrail 事件历史记录下，按访问密钥搜索被泄露的密钥，查看相关事件，并确定密钥所属的 IAM 角色。在 IAM 控制台中，撤销该 IAM 角色的所有活动会话。

22 / 58

22.

(122)安全工程师负责确保公司企业身份提供商中的数千名开发人员能够安全访问 AWS 服务 (IdP)。
开发人员使用 IAM 凭证从其公司场所访问一系列 AWS 服务。由于配置新 IAM 用户的请求频率很高，授予访问权限需要很长时间。安全工程师收到投诉称开发人员正在与其他人共享他们的 IAM 凭证，以尽量减少配置延迟。这引发了对安全工程师整体安全性的担忧。
哪些步骤将满足程序的安全要求？

A. 为 AWS CloudTrail 事件创建 Amazon CloudWatch 警报。创建指标过滤器以在多个开发人员使用同一组 IAM 凭证时发送通知。

B. 在 AWS 和现有公司 IdP 之间创建联盟。利用 IAM 角色提供对 AWS 资源的联合访问。

C. 在公司场所和 VPC 之间创建 VPN 隧道。仅当所有 AWS 服务源自公司场所时才允许其获得权限。

D. 为每个 IAM 用户创建多个 IAM 角色。确保使用相同 IAM 凭证的用户不能同时担任相同的 IAM 角色。

23 / 58

23.

(199)一家公司在 Amazon EC2 实例中托管了一个应用程序，并希望该应用程序访问存储在 AWS Systems Manager Parameter
Store 中的安全字符串。当应用程序尝试访问安全字符串键值时，它会失败。
哪些因素可能是导致此失败的原因？（选择两个。）

A. EC2 实例角色对用于加密密钥的 AWS Key Management Service (AWS KMS) 密钥没有解密权限。

B. EC2 实例角色没有读取权限来读取 Parameter Store 中的参数。

C. Parameter Store 无权使用 AWS Key Management Service (AWS KMS) 解密参数。

D. EC2 实例角色对与密钥关联的 AWS Key Management Service (AWS KMS) 密钥没有加密权限。

E. EC2 实例没有关联任何标签。

24 / 58

24.

(206)公司的本地数据中心将 DNS 日志转发到第三方安全事件事件管理 (SIEM) 解决方案，该解决方案会针对可疑行为发出警报。
该公司希望在其 AWS 账户中引入类似的功能，包括自动修复。该公司预计在未来几个月内规模将翻一番。
哪种解决方案满足公司当前和未来的日志记录要求？

A. 在所有区域和所有账户中启用 Amazon GuardDuty 和 AWS Security Hub。指定一个主安全帐户以接收来自子帐户的所有警报。在 Amazon EventBridge 中设置特定规则以触发 AWS Lambda 函数以执行修复步骤。

B. 将所有 AWS CloudTrail 日志、VPC 流日志和 DNS 日志提取到指定安全账户中的单个 Amazon S3 存储桶中。使用当前的本地 SIEM 监控日志并向 Amazon SNS 主题发送通知，以提醒安全团队采取补救措施。

C. 将所有 AWS CloudTrail 日志、VPC 流日志和 DNS 日志提取到指定安全账户中的单个 Amazon S3 存储桶中。启动 Amazon EC2 实例并安装当前 SIEM 以监控日志并向 Amazon SNS 主题发送通知，以提醒安全团队采取补救措施。

D. 在所有区域和所有账户中启用 Amazon GuardDuty 和 AWS Security Hub。指定一个主安全帐户以接收来自子帐户的所有警报。创建拒绝访问忽略列表中的某些 API 调用的 AWS Organizations SCP。

25 / 58

25.

(208)一家公司希望在不会连接到 Internet 的私有 VPC 中部署应用程序。该公司的安全团队不允许堡垒主机或使用 SSH 的方法登录 Amazon EC2 实例。应用程序团队计划使用 AWS Systems Manager Session Manager 连接和管理 EC2 实例。
安全团队应该采取哪些步骤组合？（选择三个。）

A. 确保 Systems Manager 代理已安装并在 VPC 内的所有 EC2 实例上运行。

B. 确保附加到 VPC 中 EC2 实例的 IAM 角色允许访问 Systems Manager。

C. 创建一个 SCP 以防止创建 SSH 密钥对。

D. 在 VPC 中启动 NAT 网关。更新路由策略以将流量转发到此 NAT 网关。

E. 确保为 Systems Manager 和 Amazon EC2 准备了适当的 VPC 终端节点。

F. 确保 VPC 具有中转网关连接。更新路由策略以将流量转发到此中转网关。

26 / 58

26.

(213)一家公司的数据湖使用 Amazon S3 和 Amazon Athena。公司的安全工程师被要求设计一种满足公司数据保护要求的加密解决方案。加密解决方案必须与公司管理的 Amazon S3 和密钥一起使用。加密解决方案必须在经过联邦信息处理标准 (FIPS) 140-2 第 3 级验证的硬件安全模块中得到保护。
哪种解决方案满足这些要求？

A. 使用通过 AWS 加密 SDK 实施的 AWS KMS 客户托管密钥进行客户端加密。

B. 使用 AWS CloudHSM 存储密钥并执行加密操作。将加密文本保存在 Amazon S3 中。

C. 使用由使用 AWS CloudHSM 的自定义密钥存储支持的 AWS KMS 客户托管密钥。

D. 使用具有自带密钥 (BYOK) 功能的 AWS KMS 客户管理的密钥来导入存储在 AWS CloudHSM 中的密钥。

27 / 58

(249)27. Amazon GuardDuty 检测到公司的 Amazon EC2 实例与已知命令和控制终端节点的通信。发现该实例正在运行常见 Web 框架的易受攻击版本。该公司的安全运营团队希望快速识别安装了该框架的特定版本的其他计算资源。
团队应该采取哪种方法来完成这项任务？

A. 扫描所有 EC2 实例是否符合 AWS Config。使用 Amazon Athena 查询框架安装的 AWS CloudTrail 日志。

B. 使用 Amazon Inspector 网络可达性规则包扫描所有 EC2 实例，以识别运行带有 RecognizedPortWithListener 调查结果的 Web 服务器的实例。

C. 使用 AWS Systems Manager 扫描所有 EC2 实例，以识别 Web 框架的易受攻击版本。

D. 使用 AWS Resource Access Manager 扫描所有 EC2 实例，以识别 Web 框架的易受攻击版本。

28 / 58

28.

(276)一位安全工程师的任务是实施一个解决方案，该解决方案允许公司的开发团队使用 AWS 管理控制台对 Amazon EC2 Linux 实例进行交互式命令行访问。
安全工程师应采取哪些步骤来满足此要求并保持最低权限？

A. 在 AWS 管理控制台中启用 AWS Systems Manager 并配置使用默认 AmazonEC2RoleforSSM 角色访问 EC2 实例。在需要交互式访问的所有 EC2 Linux 实例上安装 Systems Manager 代理。配置 IAM 用户策略以允许开发团队访问 Systems Manager Session Manager 并附加到团队的 IAM 用户。

B. 在 EC2 控制台中启用控制台 SSH 访问。配置 IAM 用户策略以允许开发团队访问 AWS Systems Manager Session Manager 并附加到开发团队的 IAM 用户。

C. 在 AWS 管理控制台中启用 AWS Systems Manager 并配置为使用默认的 AmazonEC2RoleforSSM 角色访问 EC2 实例。在需要交互式访问的所有 EC2 Linux 实例上安装 Systems Manager 代理。配置一个安全组，允许来自所有已发布 IP 地址的 SSH 端口 22。配置 IAM 用户策略以允许开发团队访问 AWS Systems Manager Session Manager 并附加到团队的 IAM 用户。

D. 在 AWS 管理控制台中启用 AWS Systems Manager 并配置为使用默认的 AmazonEC2RoleforSSM 角色访问 EC2 实例。在需要交互式访问的所有 EC2 Linux 实例上安装 Systems Manager 代理。配置 IAM 用户策略以允许开发团队访问 EC2 控制台并附加到团队的 IAM 用户。

29 / 58

29.

(277)公司的本地网络使用 AWS Direct Connect 网关连接到 VPC。该公司的本地应用程序需要使用现有的 Amazon Kinesis Data Firehose 传输流来传输数据。该公司的安全政策要求在传输过程中使用专用网络对数据进行加密。
公司应该如何满足这些要求？

A. 为 Kinesis Data Firehose 创建一个 VPC 终端节点。配置应用程序以连接到 VPC 终端节点。

B. 配置 IAM 策略以使用源 IP 条件限制对 Kinesis Data Firehose 的访问。配置应用程序以连接到现有的 Firehose 传输流。

C. 在 AWS Certificate Manager (ACM) 中创建新的 TLS 证书。创建一个面向公众的网络负载均衡器 (NLB) 并选择新创建的 TLS 证书。配置 NLB 以将所有流量转发到 Kinesis Data Firehose。配置应用程序以连接到 NLB。

D. 使用 Direct Connect 将本地网络与 Kinesis Data Firehose VPC 对等。配置应用程序以连接到现有的 Firehose 传输流。

30 / 58

30.

(284)一家公司的安全团队怀疑存在内部威胁。安全团队的怀疑是基于该公司的一个
AWS 账户中发生的活动。该活动是使用 AWS 账户根用户凭证执行的。root 用户没有访问密钥。该公司使用 AWS
Organizations，并且发生活动的账户位于 OU 中。
安全工程师需要取消 root 用户对帐户进行任何更新的能力。无法更改 root 用户密码以实现此目标。
哪种解决方案可以满足这些要求？

A. 将以下 SCP 附加到帐户：

B. 将以下 SCP 附加到帐户：

C. 将以下 SCP 附加到帐户：

D. 将以下内联 IAM 策略附加到根用户：

31 / 58

31.

(286)一家公司使用 AWS CodePipeline 进行软件构建。公司政策规定，必须先将代码部署到暂存环境，然后再将其部署到生产环境。公司需要实施监控和警报，以检测何时使用 CodePipeline 管道将代码部署到生产环境，而无需先将代码部署到暂存区。
安全工程师应该怎么做才能满足这些要求？

A. 启用 Amazon GuardDuty 以监控 CodePipeline 的 AWS CloudTrail。通过 AWS Security Hub 配置调查结果，并在 Security Hub 中创建自定义操作以发送到 Amazon Simple Notification Service (Amazon SNS)。

B. 使用 AWS 云开发工具包 (AWS CDK) 对参考架构 CodePipeline 管道进行建模，该管道通过暂存环境和生产环境部署应用程序代码。

C. 打开 AWS Config 记录。使用自定义 AWS Config 规则检查每个 CodePipeline 管道的合规性。为任何不符合规则的更改配置 Amazon Simple Notification Service (Amazon SNS) 通知。将所需的通知接收者添加为 SNS 主题的订阅者。

D. 使用 Amazon Inspector 对 CodePipeline 管道进行评估，并在发现不合规的管道时发送通知。将所需的通知接收者添加为 Amazon Simple Notification Service (Amazon SNS) 主题的订阅者。

32 / 58

32. (295)

一家公司正在其 AWS 环境中使用 Amazon GuardDuty。该公司要求一名安全工程师暂停 GuardDuty。
安全工程师必须执行哪些步骤组合才能满足此要求？（选择两个。）

A. 禁用所有区域中所有检测器的所有可选数据源。

B. 取消关联或删除所有成员帐户。

C. 禁用所有相关的监控服务。

D. 删除所有现有的发现。

E. 导出所有现有发现。

33 / 58

33. (299)一位安全工程师正在与一家公司合作设计一个电子商务应用程序。该应用程序将在 Amazon EC2 实例上运行，这些实例在应用程序负载均衡器 (ALB) 后面的 Auto Scaling 组中运行。该应用程序将为其数据库使用 Amazon RDS 数据库实例。
唯一需要来自 Internet 的连接是应用程序的 HTTP 和 HTTPS 流量。应用程序必须与仅允许来自预配置的 IP 地址允许列表的流量的外部支付提供商通信。公司必须确保与外部支付提供商的沟通不会随着环境的扩展而中断。
安全工程师应该推荐哪种操作组合来满足这些要求？（选择三个。）

A. 在每个私有子网中为正在使用的每个可用区部署一个 NAT 网关。

B. 将数据库实例放在公共子网中。

C. 将数据库实例放在私有子网中。

D. 配置 Auto Scaling 组以将 EC2 实例放置在公共子网中。

E. 配置 Auto Scaling 组以将 EC2 实例放置在私有子网中。

F. 在私有子网中部署 ALB。

34 / 58

34.

(300)一家公司的应用程序团队需要在 AWS 上托管一个 MySQL 数据库。根据公司的安全政策，存储在 AWS 上的所有数据都必须进行静态加密。此外，所有加密材料必须符合 FIPS 140-2 3 级验证。
应用程序团队需要一个能够满足公司安全要求并最大限度减少运营开销的解决方案。
哪种解决方案可以满足这些要求？

A. 在 Amazon RDS 上托管数据库。使用 Amazon Elastic Block Store (Amazon EBS) 进行加密。使用 AWS CloudHSM 支持的 AWS Key Management Service (AWS KMS) 自定义密钥存储进行密钥管理。

B. 在 Amazon RDS 上托管数据库。使用 Amazon Elastic Block Store (Amazon EBS) 进行加密。使用 AWS Key Management Service (AWS KMS) 中的 AWS 托管 CMK 进行密钥管理。

C. 在 Amazon EC2 实例上托管数据库。使用 Amazon Elastic Block Store (Amazon EBS) 进行加密。使用 AWS Key Management Service (AWS KMS) 中的客户托管 CMK 进行密钥管理。

D. 在 Amazon EC2 实例上托管数据库。使用透明数据加密 (TDE) 进行加密和密钥管理。

35 / 58

35.

(301)一家公司正在使用 Amazon CloudFront 运营网站。CloudFront 提供来自 Amazon S3 的一些内容和来自
应用程序负载均衡器 (ALB) 后面的 Amazon EC2 实例上运行的 Web 服务器的其他内容。Amazon DynamoDB 用作数据存储。该公司已经使用 AWS Certificate
Manager (ACM) 来存储公共 TLS 证书，该证书可以选择保护网站用户和 CloudFront 之间的连接。该公司有一项新要求，即在传输过程中强制执行端到端加密。
公司应采取哪些步骤组合来满足这一要求？（选择三个。）

A. 更新 CloudFront 分配，将其配置为在连接到 Amazon S3 上的源时可选择使用 HTTPS。

B. 更新 Web 服务器上的 Web 应用程序配置以在连接到 DynamoDB 时使用 HTTPS 而不是 HTTPS。

C. 更新 CloudFront 分配以将 HTTP 连接重定向到 HTTPS。

D. 将 EC2 实例上的 Web 服务器配置为使用公共 ACM TLS 证书使用 HTTPS 进行侦听。更新 ALB 以使用 HTTPS 连接到目标组。

E. 更新 ALB 侦听器以使用公共 ACM TLS 证书使用 HTTPS 进行侦听。更新 CloudFront 分配以连接到 HTTPS 侦听器。

F. 创建 TLS 证书。将 EC2 实例上的 Web 服务器配置为仅通过该证书使用 HTTPS。更新 ALB 以使用 HTTPS 连接到目标组。

36 / 58

36.

(304)一家公司托管一个基于 Web 的应用程序，该应用程序捕获敏感数据并将其存储在 Amazon DynamoDB 表中。安全审计显示该应用程序不提供端到端数据保护或检测未经授权的数据更改的能力。软件工程团队需要进行更改以解决审计结果。
软件工程团队应该采取哪一组步骤？

A. 使用 AWS Key Management Service (AWS CMK) CMK。加密静态数据。

B. 使用 AWS Certificate Manager (ACM) 私有证书颁发机构。加密传输中的数据。

C. 使用 DynamoDB 加密客户端。使用客户端加密并对表项进行签名。

D. 使用 AWS 加密 SDK。使用客户端加密并对表项进行签名。

37 / 58

37.

(308)一家公司的工程团队正在开发一个新的应用程序，该应用程序为用户创建 AWS Key Management Service (AWS KMS) CMK 授权。创建授权后，用户必须能够立即使用 CMK 加密 512 字节的有效负载。在负载测试期间，
当用户首次尝试使用 CMK 进行加密时，偶尔会触发 AccessDeniedExceptions 的错误会间歇性出现。
公司的安全专家应该推荐哪种解决方案？

A. 指示用户每2分钟执行一次重试机制，直到调用成功。

B. 指示工程团队使用来自用户的随机授权令牌，并调用 CreateGrant 操作，将授权令牌传递给它。指示用户在调用加密时使用该授权令牌。

C. 指示工程团队在调用 CreateGrant 操作时为授权创建一个随机名称。将名称返回给用户，并指示他们在调用加密时提供名称作为授权令牌。

D. 指示工程团队将 CreateGrant 响应中返回的授权令牌传递给用户。指示用户在调用加密时使用该授权令牌。

38 / 58

38.

(311)一家公司最近建立了 Amazon GuardDuty，并收到了来自公司内部 IP 地址的大量调查结果。安全工程师已验证这些 IP 地址是可信且允许的。
安全工程师应采取哪些步骤组合来配置 GuardDuty，使其不会针对这些 IP 地址生成调查结果？（选择两个。）

A. 创建一个包含可信 IP 地址的明文配置文件。

B. 创建一个包含可信 IP 地址的 JSON 配置文件。

C. 将配置文件直接上传到 GuardDuty。

D. 将配置文件上传到 Amazon S3。将新的受信任 IP 列表添加到指向该文件的 GuardDuty。

E. 手动将配置文件数据复制并粘贴到 GuardDuty 中的受信任 IP 列表中。

39 / 58

39.

(313)一位安全工程师正在分析 Amazon GuardDuty 的调查结果。安全工程师在 GuardDuty 调查结果中观察到 ThreatPurpose 的影响值。
这个值说明了什么？

A. 攻击者破坏了 AWS 资源，以便该资源能够联系其家庭命令和控制 (C&C) 服务器以接收有关恶意活动的进一步指令。

B. GuardDuty 正在检测与特定 AWS 资源的既定基线不同的活动或活动模式。

C. GuardDuty 正在检测表明对手试图操纵、中断或破坏公司系统和数据的活动或活动模式。

D. GuardDuty 正在检测攻击者可能用来扩展其对公司系统和内部网络的了解的活动或活动模式。

40 / 58

40.

(315)一家公司最近从需要从快照中恢复 Amazon EC2 实例的安全事件中恢复过来。
在对其灾难恢复程序和备份策略进行差距分析后，该公司担心，如果 AWS 账户被盗并且 Amazon EBS 快照被删除，下次将无法恢复 EC2 实例。
所有 EBS 快照都使用 AWS KMS CMK 进行加密。
哪种解决方案可以解决这个问题？

A. 创建一个新的 Amazon S3 存储桶。使用 EBS 生命周期策略将 EBS 快照移动到新的 S3 存储桶。使用生命周期策略将快照移动到 Amazon S3 Glacier，并应用 Glacier Vault Lock 策略以防止删除。

B. 使用 AWS Systems Manager 将执行所有附加磁盘的本地备份的配置分发到 Amazon S3。

C. 创建一个具有有限权限的新 AWS 账户。允许新账户访问用于加密 EBS 快照的 AWS KMS 密钥，并定期将加密的快照复制到新账户。

D. 使用 AWS Backup 将 EBS 快照复制到 Amazon S3。

41 / 58

41.

(316)软件即服务 (SaaS) 公司在 VPC 中的 AWS 上托管应用程序。外部客户将在他们自己的 Amazon EC2 实例上使用该应用程序。
要访问应用程序，客户需要在其 AWS 账户的 VPC 中的 EC2 实例上安装客户端应用程序。
一位安全工程师正在设计一种解决方案，以允许客户端软件和 SaaS 应用程序之间进行通信。该解决方案必须最大限度地提高可扩展性和安全性。
哪种行动组合将满足这些要求？（选择两个。）

A. 在 SaaS 公司账户的 VPC 中创建网络负载均衡器 (NLB)。使用 NLB 进行 TLS 终止和负载平衡。使用 EC2 实例作为 NLB 的目标。

B. 在客户账户的 VPC 中创建网络负载均衡器 (NLB)。使用 NLB 进行 TLS 终止和负载平衡。使用 EC2 实例作为 NLB 的目标。

C. 在客户账户的 VPC 中创建 AWS PrivateLink 终端节点服务。在 SaaS 公司账户的 VPC 中创建 PrivateLink 接口终端节点。

D. 在 SaaS 公司账户的 VPC 中创建 AWS PrivateLink 终端节点服务。在客户账户的 VPC 中创建 PrivateLink 接口终端节点。

E. 在 SaaS 公司账户中的 VPC 和客户账户中的 VPC 之间创建 VPC 对等连接。为 VPC 对等连接创建所需的路由。

42 / 58

42. (122)以下哪些是与触发 AWS WAF 规则的 Web 访问控制列表关联的有效事件源？（选择两个。）

A. Amazon S3 静态网络托管

B. Amazon CloudFront 分发

C. 应用负载均衡器

D. 亚马逊 53 号公路

E. VPC 流日志

43 / 58

43.

(126)企业云安全政策规定，公司 VPC 和 KMS 之间的通信必须完全在 AWS 网络内传输，不得使用公共服务端点。
以下哪个动作的组合最能满足这个要求？（选择两个。）

A. 将 aws:sourceVpce 条件添加到引用公司 VPC 终端节点 ID 的 AWS KMS 密钥策略。

B. 从 VPC 中移除 VPC 互联网网关并向 VPC 添加虚拟私有网关，以防止直接的公共互联网连接。

C. 为启用私有 DNS 的 AWS KMS 创建 VPC 终端节点。

D. 使用 KMS 导入密钥功能通过 VPN 安全地传输 AWS KMS 密钥。

E. 将以下条件添加到 AWS KMS 密钥策略：“aws:SourceIp”：“10.0.0.0/16”。

44 / 58

44.

(128)一家大公司的安全工程师正在管理 1,500 家子公司使用的数据处理应用程序。母公司和子公司都使用 AWS。该应用程序使用 TCP 端口 443 并在网络负载均衡器 (NLB) 后面的 Amazon EC2 上运行。出于合规原因，该应用程序应仅可供子公司访问，不应在公共互联网上提供。为了满足受限访问的合规性要求，工程师已收到每个子公司的公共和私有 CIDR 块范围。
工程师应该使用什么解决方案来为应用程序实施适当的访问限制？

A. 创建一个 NACL 以允许从 1,500 个附属 CIDR 块范围访问 TCP 端口 443。将 NACL 关联到 NLB 和 EC2 实例

B. 创建一个 AWS 安全组以允许从 1,500 个附属 CIDR 块范围访问 TCP 端口 443。将安全组关联到 NLB。为从 NLB 安全组访问 TCP 端口 443 的 EC2 实例创建第二个安全组。

C. 在附加到 NLB 的母公司账户中创建 AWS PrivateLink 终端节点服务。为实例创建一个 AWS 安全组，以允许从 AWS PrivateLink 终端节点访问 TCP 端口 443。使用 1,500 个附属 AWS 账户中的 AWS PrivateLink 接口终端节点连接到数据处理应用程序。

D. 创建一个 AWS 安全组以允许从 1,500 个附属 CIDR 块范围访问 TCP 端口 443。将安全组与 EC2 实例关联。

45 / 58

45. (129)

为了满足法规要求，安全工程师需要实施一项 IAM 策略，将 AWS 服务的使用限制在 us-east-1 区域。
工程师应该执行什么政策？
A.

B.

C.

D.

揭示解决方案

A

B

C

D

46 / 58

46.

(130)一家公司使用包含敏感信息的用户数据脚本来引导 Amazon EC2 实例。安全工程师发现这些敏感信息可以被不应该访问它的人查看。
保护用于引导实例的敏感信息的最安全方法是什么？

A. 将脚本存储在 AMI 中并使用 AWS KMS 加密敏感数据使用实例角色配置文件来控制对解密数据所需的 KMS 密钥的访问。

B. 使用加密字符串参数将敏感数据存储在 AWS Systems Manager Parameter Store 中，并将 GetParameters 权限分配给 EC2 实例角色。

C. 将 Amazon S3 中的引导脚本外部化并使用 AWS KMS 对其进行加密。从实例中删除脚本并在配置实例后清除日志。

D. 使用 IAM 策略阻止用户访问 EC2 实例的元数据服务。删除所有脚本并在执行后清除日志。

47 / 58

47.

(131)一家公司正在 Amazon S3 上构建数据湖。数据由数百万个包含敏感信息的小文件组成。安全团队对架构有以下要求：
* 数据必须在传输过程中加密。
* 数据必须在静态时加密。
* 存储桶必须是私有的，但如果存储桶意外公开，数据必须保密。
哪种步骤组合可以满足要求？（选择两个。）

A. 在 S3 存储桶上使用带有 Amazon S3 托管加密密钥 (SSE-S3) 的服务器端加密启用 AES-256 加密。

B. 使用 S3 存储桶上的 AWS KMS 托管密钥 (SSE-KMS) 启用服务器端加密的默认加密。

C. 如果 PutObject 请求不包含 aws:SecureTransport，则添加包含拒绝的存储桶策略。

D. 添加带有 aws:SourceIp 的存储桶策略以仅允许从公司 Intranet 上传和下载。

E. 如果 PutObject 请求不包含 s3:x-amz-server-side-encryption:“aws:kms”，则添加包含拒绝的存储桶策略。

F. 使 Amazon Macie 能够监控数据湖的 S3 存储桶的更改并对其采取行动。

48 / 58

48.

(133)Amazon EC2 实例被拒绝访问新创建的用于解密操作的 AWS KMS CMK。环境具有以下配置：
✑ 允许实例在其 IAM 角色中对所有资源执行 kms:Decrypt 操作
✑ AWS KMS CMK 状态设置为启用
✑ 实例可以使用配置的 VPC 终端节点与 KMS API 通信
什么是导致问题？

A. EC2 实例的 IAM 角色缺少 kms:GenerateDataKey 权限

B. CMK 上的 ARN 标签包含 EC2 实例的 ID，而不是实例的 ARN

C. EC2 IAM 角色缺少 kms:Encrypt 权限

D. 缺少启用 IAM 用户权限的 KMS CMK 密钥策略

49 / 58

49.

(145)一家公司正在将其遗留工作负载迁移到 AWS。当前分析日志的安全信息事件管理 (SIEM) 系统正在老化，正在评估不同的 SIEM 系统以取代它。该公司希望在不重新构建解决方案的情况下更改 SIEM。
安全工程师应该怎么做才能在对运营影响最小的情况下做到这一点？

A. 为每个工作负载准备一个带有 SIEM 日志转发器代理的 AMI，并将其配置为将日志发送到位于安全团队 AWS 账户中的集中式 SIEM。配置 Amazon EC2 实例基础 AMI 以将日志转发到其本地日志转发器代理。在每个工作负载中部署一个 AMI。

B. 使用 Amazon Kinesis 代理配置 Amazon EC2 基础 AMI，并将其配置为发送到安全团队 AWS 账户中的 Amazon Kinesis Data Streams。在 Kinesis Data Streams 添加一个 AWS Lambda 函数以将流式日志推送到 SIEM。

C. 配置 Amazon EC2 基础 AMI 以将日志发送到本地 AWS CloudTrail 日志文件。配置 CloudTrail 以将日志发送到 Amazon CloudWatch。在安全团队 AWS 账户中设置一个中央 SIEM，并配置一个 puller 以获取有关 CloudWatch 的信息。

D. 在 AWS Marketplace 中选择按使用付费的 SIEM。在每个工作负载中部署 AMI，以便在需要时提供弹性。使用 Amazon Athena 发送实时警报。

50 / 58

50.

(149)安全工程师以 IAM 用户身份登录 AWS 管理控制台并切换到安全角色 IAM 角色。要执行维护操作，安全工程师需要切换到维护者角色 IAM 角色，该角色将安全角色列为受信任实体。安全工程师尝试切换到维护者角色，但失败了。
失败的可能原因是什么？

A. 安全角色和维护者角色未分配给安全工程师用于登录账户的 IAM 用户。

B. 安全工程师应该以 AWS 账户根用户身份登录，允许直接担任任何角色。

C. 维护者角色不包括 IAM 用户作为可信实体。

D. 安全角色在其策略中不包含允许 sts:AssumeRole 操作的声明。

51 / 58

51.

(159)一个开发团队构建了一个实验环境来测试一个简单的静态 Web 应用程序。它构建了一个带有私有子网和公共子网的隔离 VPC。
公共子网仅包含一个 Application Load Balancer、一个 NAT 网关和一个 Internet 网关。私有子网包含所有 Amazon EC2 实例。
有 3 种不同类型的服务器。每种服务器类型都有自己的安全组，将访问限制为仅需要的连接。安全组同时应用了入站和出站规则。每个子网都应用了入站和出站网络 ACL，以将访问限制为仅需要的连接。
如果服务器无法建立到 Internet 的出站连接，团队应检查以下哪项？（选择三个。）

A. 相应私有子网安全组上的路由表和出站规则。

B. 私有子网的出站网络 ACL 规则和公有子网的入站网络 ACL 规则。

C. 私有子网上的出站网络 ACL 规则以及公共子网上的入站和出站规则。

D. 可应用于 Amazon EC2 实例的任何基于主机的防火墙的规则。

E. 应用负载均衡器和 NAT 网关的安全组。

F. 私有子网路由表中的 0.0.0.0/0 路由指向公有子网中的 Internet 网关。

52 / 58

52.

(164)组织必须建立在 24 小时内删除 AWS KMS 客户主密钥 (CMK) 的能力，以防止其被用于加密或解密操作。
以下哪项行动将满足这一要求？

A. 在 KMS 中手动轮换密钥以立即创建新的 CMK。

B. 使用 KMS 导入密钥功能执行删除密钥操作。

C. 使用 KMS 中的计划键删除功能指定删除的最短等待时间。

D. 更改 KMS CMK 别名以立即阻止任何服务使用 CMK。

53 / 58

53.

(177)安全工程师创建拒绝所有用户访问的 Amazon S3 存储桶策略。几天后，安全工程师向存储桶策略添加了一条附加语句，以允许对其他员工进行只读访问。即使在更新策略后，员工仍会收到拒绝访问消息。
这种访问被拒绝的可能原因是什么？

A 、bucket中的ACL需要更新

B. IAM 策略不允许用户访问存储桶

C. 桶策略生效需要几分钟

D. 允许权限被拒绝覆盖

54 / 58

54.

(182)一家公司拥有数百个 AWS 账户，以及一个用于收集所有这些账户的 AWS CloudTrail 日志的集中式 Amazon S3 存储桶。一位安全
工程师想要创建一个解决方案，使公司能够针对其 CloudTrail 日志运行临时查询，该日志可追溯到公司的 AWS 账户中首次启用跟踪的 3 年前。
公司应该如何以最少的管理费用实现这一目标？

A. 运行使用 MapReduce 作业检查 CloudTrail 跟踪的 Amazon EMR 集群。

B. 使用 CloudTrail 控制台的事件历史功能查询 CloudTrail 跟踪。

C. 编写一个 AWS Lambda 函数来查询 CloudTrail 跟踪。配置在 CloudTrail S3 存储桶中创建新文件时要执行的 Lambda 函数。

D. 创建一个 Amazon Athena 表，查看正在写入 CloudTrail 跟踪的 S3 存储桶。使用 Athena 对跟踪运行查询。

55 / 58

55. (185)一家公司的安全工程师正在将所有应用程序日志复制到集中式 Amazon S3 存储桶。目前，公司的每个应用程序都在自己的 AWS 账户中，并且日志被推送到与每个账户关联的 S3 存储桶中。工程师将在每个账户中部署一个 AWS Lambda 函数，将相关日志文件复制到集中式 S3 存储桶。
安全工程师无法访问集中式 S3 存储桶中的日志文件。来自集中式账户的工程师的 IAM 用户策略如下所示：

集中式 S3 存储桶策略如下所示：

为什么安全工程师无法访问日志文件？

A. S3 存储桶策略没有明确允许安全工程师访问存储桶中的对象。

B. 对象 ACL 未更新以允许集中帐户内的用户访问对象。

C. 安全工程师的 IAM 策略不授予读取 S3 存储桶中对象的权限。

D. s3:PutObject 和 s3:PutObjectAcl 权限应在 S3 存储桶级别应用。

56 / 58

56.

(189)一家公司决定在其 AWS 账户中使用加密，以使用服务器端加密来保护 Amazon S3 中的对象。对象大小范围从 16,000 B 到 5 MB。要求如下：
✑ 密钥材料必须生成并存储在经过认证的联邦信息处理标准 (FIPS) 140-2 Level 3 机器中。
✑ 密钥材料必须在多个区域可用。
哪个选项满足这些要求？

A. 使用 AWS KMS 客户托管密钥并将密钥材料存储在 AWS 中，并跨区域复制。

B. 使用 AWS 客户管理的密钥，使用内部 AWS CloudHSM 将密钥材料导入 AWS KMS，并将密钥材料安全地存储在 Amazon S3 中。

C. 使用由 AWS CloudHSM 集群支持的 AWS KMS 自定义密钥存储，并跨区域复制备份。

D. 使用 AWS CloudHSM 跨区域生成密钥材料和备份密钥。使用 Java Cryptography Extension (JCE) 和 Public Key Cryptography Standards #11 (PKCS #11) 加密库来加密和解密数据。

57 / 58

57.

(193)一家大公司希望其合规团队审核其 Amazon S3 存储桶，以确定其中是否存储了个人身份信息 (PII)。该公司拥有数百个 S3 存储桶，并已要求安全工程师扫描每个存储桶。
如何完成这项任务？

A. 配置 Amazon CloudWatch Events 以触发 Amazon Inspector 每天扫描 S3 存储桶以查找 PII。将 Amazon Inspector 配置为在检测到 PII 时向合规团队发布 Amazon SNS 通知。

B. 配置 Amazon Macie 以对 S3 存储桶中的数据进行分类，并检查仪表板中的 PII 调查结果。配置 Amazon CloudWatch Events 以捕获 Macie 警报并定位要在检测到 PII 时通知的 Amazon SNS 主题。

C. 检查 AWS 管理控制台中的 AWS Trusted Advisor 数据丢失防护页面。下载 Amazon S3 数据机密性报告并将其发送给合规团队。配置 Amazon CloudWatch Events 以捕获 Trusted Advisor 警报并定位一个 Amazon SNS 主题，以便在检测到 PII 时得到通知。

D. 在多个区域启用 Amazon GuardDuty 以扫描 S3 存储桶。配置 Amazon CloudWatch Events 以捕获 GuardDuty 警报并定位一个 Amazon SNS 主题，以便在检测到 PII 时得到通知。

58 / 58

58. 一家公司最近遭受了 DDoS 攻击，导致其 Web 服务器无法提供内容。该网站是静态的，仅托管用户下载的 HTML、CSS 和 PDF 文件。
根据图中显示的架构，保护站点免受未来攻击同时最小化持续运营开销的最佳方法是什么？

A. 将所有文件移动到 Amazon S3 存储桶。让 Web 服务器提供来自 S3 存储桶的文件。

B. 在新子网中启动第二个 Amazon EC2 实例。在两个实例前启动 Application Load Balancer。

C. 在 EC2 实例前启动 Application Load Balancer。在 Application Load Balancer 前面创建一个 Amazon CloudFront 分配。

D. 将所有文件移动到 S3 存储桶。在存储桶前创建 CloudFront 分配并终止 Web 服务器。

Your score is

0%