AWS SCS-C02 第1章 练习题(100道)

以下是 AWS SCS-C02(安全 专项認証)第1章的练习题,模拟真实考试环境。

  1. Q1. 一家公司意外删除了基于Amazon Elastic Block Store(Amazon EBS)的Amazon EC2实例的私钥。一名安全工程师需要重新获得对该实例的访问权限。 以下哪组步骤组合可满足此要求?(选择两项)

    • A. 停止该实例。分离根卷。生成一个新的密钥对。
    • B. 保持该实例运行。分离根卷。生成一个新的密钥对。
    • C. 当卷从原始实例分离后,将该卷作为数据卷挂载到另一台EC2实例上。在authorized_keys文件中添加新的公钥。将该卷移回原始实例。启动该实例。
    • D. 当卷从原始实例分离后,将该卷作为数据卷挂载到另一台EC2实例上。在authorized_keys文件中添加新的私钥。将该卷移回原始实例。启动该实例。
    • E. 当卷从原始实例分离后,将该卷作为数据卷挂载到另一台EC2实例上。在authorized_keys文件中添加新的公钥。将该卷移回正在运行的原始实例。

    查看题目 →

  2. Q2. 一名安全工程师正在排查一个名为MyLambdaFunction的AWS Lambda函数。该函数在尝试读取名为DOC-EXAMPLE-BUCKET的Amazon S3存储桶中的对象时遇到错误。该S3存储桶具有以下存储桶策略: 安全工程师应如何修改该策略,以确保Lambda函数能够读取存储桶中的对象?

    • A. 移除Condition元素。将Principal元素更改为以下内容: 
    • B. 将Action元素更改为以下内容:
    • C. 将Resource元素更改为“arn:aws:s3:::DOC-EXAMPLE-BUCKET/*”。 
    • D. 将Resource元素更改为“arn:aws:lambda::function:MyLambdaFunction”。将Principal元素更改为以下内容:

    查看题目 →

  3. Q3. 一家公司需要提升其识别和阻止授予公共资源访问权限或跨账户访问权限的IAM策略的能力。该公司已实施AWS Organizations,并开始使用AWS Identity and Access Management Access Analyzer来优化组织内各账户的过度宽泛访问权限。 一名安全工程师必须为其公司组织中任何新创建的过度宽松策略自动响应。该自动化方案必须修复外部访问权限,并通知公司的安全团队。 安全工程师应采取以下哪组步骤组合来满足这些要求?(选择三项)

    • A. 创建一个AWS Step Functions状态机,用于检查发现结果中的资源类型,并在IAM角色的信任策略中添加显式Deny语句。配置该状态机向Amazon Simple Notification Service(Amazon SNS)主题发布通知。 
    • B. 创建一个AWS Batch作业,将任何资源类型发现结果转发给AWS Lambda函数。配置该Lambda函数在IAM角色的信任策略中添加显式Deny语句。配置该AWS Batch作业向Amazon Simple Notification Service(Amazon SNS)主题发布通知。 
    • C. 在Amazon EventBridge中,创建一个事件规则,匹配活跃的IAM Access Analyzer发现结果,并调用AWS Step Functions进行处理。 
    • D. 在Amazon CloudWatch中,创建一个指标筛选器,匹配活跃的IAM Access Analyzer发现结果,并调用AWS Batch进行处理。 
    • E. 创建一个Amazon Simple Queue Service(Amazon SQS)队列。配置该队列向安全团队发送通知,说明某个外部主体已被授予对特定IAM角色的访问权限且已被阻止。 
    • F. 创建一个Amazon Simple Notification Service(Amazon SNS)主题,用于接收外部或跨账户访问通知。将安全团队的电子邮件地址订阅至该主题。

    查看题目 →

  4. Q4. 一名安全工程师正在为一个名为example.com的新网站配置HTTPS安全通信,要求用户必须通过HTTPS连接到example.com。 以下哪项是存储SSL/TLS证书的有效选项?

    • A. 存储在AWS Key Management Service(AWS KMS)中的自定义SSL证书
    • B. 存储在Amazon CloudFront中的默认SSL证书
    • C. 存储在AWS Certificate Manager(ACM)中的自定义SSL证书
    • D. 存储在Amazon S3中的默认SSL证书

    查看题目 →

  5. Q5. 一家公司在AWS Organizations中为其AWS账户配置了一个组织。所有AWS区域均已启用AWS CloudTrail。一名安全工程师必须实施一项解决方案,以防止CloudTrail被禁用。 以下哪项解决方案可满足此要求?

    • A. 从组织的管理账户启用CloudTrail日志文件完整性验证。
    • B. 为CloudTrail日志启用使用AWS KMS密钥(SSE-KMS)的服务器端加密。创建一个KMS密钥,并为该密钥附加策略以防止解密日志。
    • C. 创建一个服务控制策略(SCP),其中包含针对StopLogging操作和DeleteTrail操作的显式Deny规则。将该SCP附加到根组织单位(OU)。
    • D. 为公司所有用户创建IAM策略,以防止用户执行DescribeTrails操作和GetTrailStatus操作。

    查看题目 →

  6. Q6. 一家公司使用AWS Organizations,并在多个AWS账户中部署了Amazon Elastic Kubernetes Service(Amazon EKS)集群。一名安全工程师将Amazon EKS与AWS CloudTrail集成。CloudTrail跟踪日志存储在每个账户的Amazon S3存储桶中,用于监控API调用。安全工程师观察到CloudTrail日志未显示Kubernetes Pod创建事件。 安全工程师应如何操作才能在Amazon CloudWatch中查看Kubernetes事件?

    • A. 为EKS集群配置私有S3 VPC终端节点。为S3存储桶配置日志记录。 
    • B. 为每个集群启用Kubernetes API服务器组件日志。 
    • C. 在用于日志记录的S3存储桶中启用跨域资源共享(CORS)。 
    • D. 配置CloudWatch。在CloudWatch控制台中查看事件。

    查看题目 →

  7. Q7. 一家公司需要遵循安全最佳实践,通过AWS CloudFormation模板部署资源。该CloudFormation模板必须能够配置敏感的数据库凭证。 该公司已使用AWS Key Management Service(AWS KMS)和AWS Secrets Manager。 以下哪项解决方案可满足该要求?

    • A. 在CloudFormation模板中使用动态引用,以引用Secrets Manager中的数据库凭证。
    • B. 在CloudFormation模板中使用参数来引用数据库凭证。使用AWS KMS加密CloudFormation模板。 
    • C. 在CloudFormation模板中使用SecureString参数来引用Secrets Manager中的数据库凭证。 
    • D. 在CloudFormation模板中使用SecureString参数来引用AWS KMS中的加密值。

    查看题目 →

  8. Q8. 一个Amazon EC2 Auto Scaling组启动Amazon Linux EC2实例,并安装Amazon CloudWatch代理,以将日志发布到Amazon CloudWatch Logs。EC2实例启动时附带一个IAM角色,该角色关联了一个IAM策略。该策略提供了向CloudWatch发布自定义指标的访问权限。EC2实例运行在VPC内的私有子网中。该VPC通过NAT网关为私有子网提供互联网访问。 一名安全工程师注意到,Auto Scaling组启动的EC2实例未向CloudWatch Logs发布任何日志。该安全工程师已确认CloudWatch Logs代理在EC2实例上正常运行且配置正确。此外,该安全工程师还确认网络通信到AWS服务工作正常。 安全工程师可采取什么措施来确保日志发布到CloudWatch Logs?

    • A. 配置IAM角色所使用的IAM策略,使其拥有发布日志所需的cloudwatch: API操作权限。
    • B. 调整Amazon EC2 Auto Scaling服务关联角色,使其具有写入CloudWatch Logs的权限。
    • C. 配置IAM角色所使用的IAM策略,使其拥有发布日志所需的AWS logs: API操作权限。
    • D. 添加一个接口VPC终端节点,以提供通往CloudWatch Logs的路由。

    查看题目 →

  9. Q9. 一家公司正在为其开发团队设计多账户架构。该公司使用AWS Organizations和AWS IAM Identity Center(AWS单点登录)。该公司必须实施一种解决方案,使开发团队只能使用特定的AWS区域,并且每个AWS账户仅允许访问特定的AWS服务。 哪种解决方案能以最少的运维开销满足这些要求?

    • A. 使用IAM Identity Center设置服务关联角色,并在IAM策略语句中包含Condition、Resource和NotAction元素,以仅允许访问所需的区域和服务。
    • B. 在开发人员不允许使用的区域中停用AWS Security Token Service(AWS STS)。
    • C. 创建包含Condition、Resource和NotAction元素的服务控制策略(SCP),以仅允许访问所需的区域和服务。
    • D. 为每个AWS账户创建针对IAM Identity Center的定制化身份策略。使用包含Condition、Resource和NotAction元素的语句,以仅允许访问所需的区域和服务。

    查看题目 →

  10. Q10. 一家公司正将其一个遗留系统从本地数据中心迁移到AWS。应用服务器将在AWS上运行,但出于合规原因,数据库必须保留在本地数据中心。该数据库对网络延迟敏感。此外,本地数据中心与AWS之间传输的数据必须使用IPsec加密。 哪两种AWS解决方案组合可满足这些要求?(选择两项)

    • A. AWS Site-to-Site VPN
    • B. AWS Direct Connect
    • C. AWS VPN CloudHub
    • D. VPC peering
    • E. NAT gateway

    查看题目 →

  11. Q11. 一家公司的数据科学家希望使用Amazon SageMaker创建人工智能和机器学习(AI/ML)训练模型。训练模型将使用Amazon S3存储桶中的大型数据集。这些数据集包含敏感信息。平均而言,数据科学家需要30天来训练模型。S3存储桶已适当加固。该公司的数据保留策略规定:所有超过45天的数据必须从S3存储桶中删除。 安全工程师应采取哪项操作来强制执行此数据保留政策?

    • A. 在S3存储桶上配置S3生命周期规则,以在45天后删除对象。
    • B. 创建一个AWS Lambda函数,检查S3对象的最后修改日期并删除超过45天的对象。创建一个S3事件通知,在每次PutObject操作时调用该Lambda函数。
    • C. 创建一个AWS Lambda函数,检查S3对象的最后修改日期并删除超过45天的对象。创建一个Amazon EventBridge规则,每月调用一次该Lambda函数。
    • D. 在S3存储桶上配置S3 Intelligent-Tiering,以自动将对象转换到其他存储类别。

    查看题目 →

  12. Q12. 一家公司有一个应用程序,需要从Amazon S3存储桶获取对象。该应用程序运行在Amazon EC2实例上。 S3存储桶中的所有对象均使用AWS Key Management Service(AWS KMS)客户托管密钥进行加密。VPC中的资源没有互联网访问权限,并使用网关VPC端点访问Amazon S3。 该公司发现该应用程序无法从S3存储桶获取对象。 哪些因素可能导致此问题?(选择三项)

    • A. 附加到EC2实例的IAM实例配置文件未授予对该S3存储桶执行s3:ListBucket操作的权限
    • B. 附加到EC2实例的IAM实例配置文件未授予对该S3存储桶执行s3:ListParts操作的权限
    • C. 加密S3存储桶中对象的KMS密钥策略未向EC2实例配置文件授予kms:ListKeys操作权限
    • D. 加密S3存储桶中对象的KMS密钥策略未向EC2实例配置文件授予kms:Decrypt操作权限
    • E. S3存储桶策略未允许来自网关VPC端点的访问
    • F. 附加到EC2实例的安全组缺少一条来自S3托管前缀列表、端口443的入站规则

    查看题目 →

  13. Q13. 一家公司希望为其本地设备生成的日志创建日志分析解决方案。日志从设备收集到本地服务器上。该公司希望使用AWS服务执行近实时日志分析。该公司还希望将这些日志存储365天,以便后续进行模式匹配和子字符串搜索。

    • A. 在本地服务器上安装Amazon Kinesis Agent,将日志发送至Amazon DynamoDB。在DynamoDB流上配置AWS Lambda触发器以执行近实时日志分析。定期将DynamoDB数据导出至Amazon S3。运行Amazon Athena查询以进行模式匹配和子字符串搜索。设置S3生命周期策略,在365天后删除日志数据。
    • B. 在本地服务器上安装Amazon Managed Streaming for Apache Kafka(Amazon MSK)。创建MSK集群以收集流数据并在实时分析数据。将数据保留期设为365天,以持久存储日志供模式匹配和子字符串搜索。
    • C. 在本地服务器上安装Amazon Kinesis Agent,将日志发送至Amazon Kinesis Data Firehose。将Amazon Managed Service for Apache Flink(以前称为Amazon Kinesis Data Analytics)配置为目标以进行实时处理。将日志存储在Amazon OpenSearch Service中以支持模式匹配和子字符串搜索。配置OpenSearch Service索引状态管理(ISM)策略,在365天后删除数据。
    • D. 使用Amazon API Gateway和AWS Lambda将日志从本地服务器写入Amazon DynamoDB。在DynamoDB流上配置Lambda触发器以执行近实时日志分析。对DynamoDB数据运行Amazon Athena联合查询以进行模式匹配和子字符串搜索。设置TTL在365天后删除数据。

    查看题目 →

  14. Q14. 一家公司正在使用Amazon Elastic Container Service(Amazon ECS)在AWS上运行其基于容器的应用程序。该公司需要确保容器镜像不包含严重漏洞。该公司还必须确保只有特定的IAM角色和特定的AWS账户可以访问容器镜像。

    • A. 从公共容器注册表拉取镜像。在集中式AWS账户中发布镜像至Amazon Elastic Container Registry(Amazon ECR)存储库,并启用推送扫描功能。使用CI/CD流水线将镜像部署至不同AWS账户。使用基于身份的策略限制可访问镜像的IAM主体。
    • B. 从公共容器注册表拉取镜像。在集中式AWS账户的Amazon EC2实例上托管私有容器注册表。在运行Amazon ECS的EC2实例上部署基于主机的容器扫描工具。通过HTTPS上的基本身份验证限制对容器镜像的访问。
    • C. 从公共容器注册表拉取镜像。在集中式AWS账户中发布镜像至Amazon Elastic Container Registry(Amazon ECR)存储库,并启用推送扫描功能。使用CI/CD流水线将镜像部署至不同AWS账户。使用存储库策略和基于身份的策略限制可访问镜像的IAM主体和账户。
    • D. 从公共容器注册表拉取镜像。在集中式AWS账户中发布镜像至AWS CodeArtifact存储库。使用CI/CD流水线将镜像部署至不同AWS账户。使用存储库策略和基于身份的策略限制可访问镜像的IAM主体和账户。

    查看题目 →

  15. Q15. 一家公司需要对外部用户与应用程序之间的流量进行完全加密。该公司将应用程序托管在Auto Scaling组中的一组Amazon EC2实例上,这些实例位于Application Load Balancer(ALB)之后。

    • A. 在AWS Secrets Manager中创建新的Amazon签发证书。从Secrets Manager导出该证书。将证书导入ALB和EC2实例。
    • B. 在AWS Certificate Manager(ACM)中创建新的Amazon签发证书。将证书关联至ALB。从ACM导出证书。在EC2实例上安装该证书。
    • C. 将新的第三方证书导入AWS Identity and Access Management(IAM)。从IAM导出该证书。将证书关联至ALB和EC2实例。
    • D. 将新的第三方证书导入AWS Certificate Manager(ACM)。将证书关联至ALB。在EC2实例上安装该证书。

    查看题目 →

  16. Q16. 一家公司需要检测对其Amazon Elastic Kubernetes Service(Amazon EKS)集群的未经身份验证的访问。该公司需要一种无需额外配置现有EKS部署的解决方案。

    • A. 从安全供应商安装Amazon EKS插件。
    • B. 启用AWS Security Hub。监控Kubernetes发现结果。
    • C. 监控Amazon CloudWatch Container Insights指标以获取Amazon EKS。
    • D. 启用Amazon GuardDuty。使用EKS审计日志监控。

    查看题目 →

  17. Q17. 一家公司在其 AWS 账户中发现了一项账单异常。一位安全顾问调查该异常,发现一名已于 30 天前离职的员工仍拥有该账户的访问权限。该公司过去未监控账户活动。 安全顾问需要尽快确定该员工部署或重新配置了哪些资源。 哪种解决方案可满足这些要求?

    • A. 在 AWS Cost Explorer 中,筛选图表数据以显示过去 30 天的结果。将结果导出到数据表,并按资源对数据表进行分组。
    • B. 使用 AWS Cost Anomaly Detection 创建成本监控器。访问检测历史记录。将时间范围设置为最近 30 天。在搜索区域中选择服务类别。
    • C. 在 AWS CloudTrail 中,筛选事件历史记录以显示过去 30 天的结果。创建一个包含该数据的 Amazon Athena 表。按事件源对表进行分区。
    • D. 使用 AWS Audit Manager 为过去 30 天创建一项评估。对该评估应用基于用量的框架。将评估配置为按资源进行评估。

    查看题目 →

  18. Q18. 一家公司将在 Amazon EC2 实例上运行的应用程序用于存储机密客户数据。该公司必须限制对客户数据的访问。一名安全工程师需要安全地访问承载该应用程序的实例。根据公司策略,用户不得开放任何入站端口、维护堡垒主机或管理 EC2 实例的 SSH 密钥。该安全工程师希望监控、存储并访问所有会话活动日志。日志必须加密。 哪种解决方案可满足这些要求?

    • A. 使用 AWS Control Tower 连接到 EC2 实例。为会话配置 Amazon CloudWatch 日志记录。选择上传会话日志选项,并仅允许加密的 CloudWatch Logs 日志组。
    • B. 使用 AWS Security Hub 连接到 EC2 实例。为会话配置 Amazon CloudWatch 日志记录。选择上传会话日志选项,并仅允许加密的 CloudWatch Logs 日志组。
    • C. 使用 AWS Systems Manager Session Manager 连接到 EC2 实例。为会话配置 Amazon CloudWatch 监控。为所需的 CloudWatch Logs 日志组选择存储会话日志选项。
    • D. 使用 AWS Systems Manager Session Manager 连接到 EC2 实例。配置 Amazon CloudWatch 日志记录。选择上传会话日志选项,并仅允许加密的 CloudWatch Logs 日志组。

    查看题目 →

  19. Q19. 一家公司已在其所有 AWS 区域启用 Amazon GuardDuty,作为其安全监控策略的一部分。该公司在一个 VPC 中托管了一个用作 FTP 服务器的 Amazon EC2 实例。大量来自多个位置的客户端连接该 FTP 服务器。 GuardDuty 因每小时发生的连接数量过高,将此活动识别为暴力破解攻击。 该公司已将该发现标记为误报,但 GuardDuty 仍持续发出该告警。一名安全工程师必须在不损害公司对潜在异常行为可见性的前提下,提高信噪比。 哪种解决方案可满足这些要求?

    • A. 在部署 FTP 服务器的区域中禁用 GuardDuty 的 FTP 规则。
    • B. 将 FTP 服务器添加到受信任 IP 列表。将该列表部署到 GuardDuty,以停止接收相关通知。
    • C. 在 GuardDuty 中创建抑制规则,通过自动归档匹配指定条件的新发现来过滤告警。
    • D. 创建一个具有适当权限的 AWS Lambda 函数,每当报告新发生事件时即删除该告警。

    查看题目 →

  20. Q20. 一名安全工程师正尝试使用 Amazon EC2 Image Builder 创建 EC2 实例的镜像。该安全工程师已将管道配置为将日志发送到 Amazon S3 存储桶。当安全工程师运行该管道时,构建失败并出现以下错误:“AccessDenied: Access Denied status code: 403”。 安全工程师必须通过实施一种符合最小权限访问最佳实践的解决方案来解决该错误。 哪一组步骤组合可满足这些要求?(请选择两项)

    • A. 确保以下策略附加到安全工程师正在使用的 IAM 角色:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds 和 AmazonSSMManagedInstanceCore。
    • B. 确保以下策略附加到 EC2 实例的实例配置文件:EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds 和 AmazonSSMManagedInstanceCore。
    • C. 确保 AWSImageBuilderFullAccess 策略附加到 EC2 实例的实例配置文件。
    • D. 确保安全工程师的 IAM 角色对 S3 存储桶具有 s3:PutObject 权限。
    • E. 确保 EC2 实例的实例配置文件对 S3 存储桶具有 s3:PutObject 权限。

    查看题目 →

  21. Q21. 一家公司正在开发一款新的无服务器应用程序,该程序使用 AWS Lambda 函数。该公司使用 AWS CloudFormation 部署 Lambda 函数。该公司的开发人员正尝试调试一个已部署的 Lambda 函数。由于该 Lambda 函数未将其输出日志记录到 Amazon CloudWatch Logs,因此开发人员无法调试该函数。 安全工程师应采取哪一组步骤来解决此问题?(请选择两项)

    • A. 检查 CloudFormation 模板中定义并传递给 Lambda 函数的角色。确保该角色具有允许服务主体 lambda.amazonaws.com 执行 sts:AssumeRole 操作的信任策略。
    • B. 检查 CloudFormation 模板中为 Lambda 函数配置的执行角色。确保该执行角色具有向 CloudWatch Logs 写入日志所需的必要权限。
    • C. 检查 CloudFormation 模板中的 Lambda 函数配置。确保该 Lambda 函数的 AWS X-Ray 跟踪配置设置为 Active 模式或 PassThrough 模式。
    • D. 检查 CloudFormation 模板中为 Lambda 函数配置的资源策略。确保该资源策略具有向 CloudWatch Logs 写入日志所需的必要权限。
    • E. 检查开发人员用于调试 Lambda 函数的角色。确保该角色具有允许服务主体 lambda.amazonaws.com 执行 sts:AssumeRole 操作的信任策略。

    查看题目 →

  22. Q22. 一家公司使用 Amazon Elastic Kubernetes Service(Amazon EKS)集群运行其基于 Kubernetes 的应用程序。该公司使用 Amazon GuardDuty 保护这些应用程序。已在 GuardDuty 中启用 EKS Protection。然而,相应的 GuardDuty 功能并未监控基于 Kubernetes 的应用程序。 哪种解决方案将使 GuardDuty 监控基于 Kubernetes 的应用程序?

    • A. 为托管 EKS 集群的 VPC 启用 VPC 流日志。
    • B. 将 CloudWatchEventsFullAccess AWS 托管策略分配给 EKS 集群。
    • C. 确保将 AmazonGuardDutyFullAccess AWS 托管策略附加到 GuardDuty 服务角色。
    • D. 在 Amazon EKS 中启用控制平面日志。确保这些日志被摄取到 Amazon CloudWatch。

    查看题目 →

  23. Q23. 一家公司使用 AWS Organizations,并在多个 AWS 账户中运行生产工作负载。一名安全工程师需要设计一种解决方案,以主动监控所有包含生产工作负载的账户中的可疑行为。 该解决方案必须在生产账户中自动修复事件。此外,当检测到关键安全发现时,该解决方案必须向 Amazon Simple Notification Service(Amazon SNS)主题发布通知。同时,该解决方案必须将所有安全事件日志发送到一个专用账户。 哪种解决方案可满足这些要求?

    • A. 在每个生产账户中启用 Amazon GuardDuty。在专用日志账户中,聚合来自每个生产账户的所有 GuardDuty 日志。通过配置 GuardDuty 直接调用 AWS Lambda 函数来修复事件。配置该 Lambda 函数也向 SNS 主题发布通知。
    • B. 在每个生产账户中启用 AWS Security Hub。在专用日志账户中,聚合来自每个生产账户的所有 Security Hub 发现。使用 AWS Config 和 AWS Systems Manager 修复事件。配置 Systems Manager 也向 SNS 主题发布通知。
    • C. 在每个生产账户中启用 Amazon GuardDuty。在专用日志账户中,聚合来自每个生产账户的所有 GuardDuty 日志。使用 Amazon EventBridge 根据 GuardDuty 发现调用自定义 AWS Lambda 函数来修复事件。配置该 Lambda 函数也向 SNS 主题发布通知。
    • D. 在每个生产账户中启用 AWS Security Hub。在专用日志账户中,聚合来自每个生产账户的所有 Security Hub 发现。使用 Amazon EventBridge 根据 Security Hub 发现调用自定义 AWS Lambda 函数来修复事件。配置该 Lambda 函数也向 SNS 主题发布通知。

    查看题目 →

  24. Q24. 一家公司正在开发一种机制,帮助数据科学家使用 Amazon SageMaker 读取、处理并将数据输出到 Amazon S3 存储桶。数据科学家将为其各自项目访问专用的 S3 前缀。该公司将实施使用专用 S3 前缀的存储桶策略,以限制对 S3 对象的访问。项目最长可持续 60 天。 公司安全团队规定,数据在使用该数据的项目结束后不得保留在 S3 存储桶中。 哪种解决方案能以最低成本满足这些要求?

    • A. 创建一个 AWS Lambda 函数,用于识别并删除 S3 存储桶中 60 天内未被访问的对象。创建一个每天运行的 Amazon EventBridge 定时规则,以调用该 Lambda 函数。
    • B. 创建一个新的 S3 存储桶。配置该新 S3 存储桶使用 S3 Intelligent-Tiering。将对象复制到该新 S3 存储桶。
    • C. 为每个项目的每个 S3 存储桶前缀创建一个 S3 生命周期配置。将 S3 生命周期配置设置为在 60 天后使对象过期。
    • D. 创建一个 AWS Lambda 函数,用于删除 60 天内未被访问的对象。创建一个 S3 事件通知,用于在 S3 Intelligent-Tiering 自动归档事件时调用该 Lambda 函数。

    查看题目 →

  25. Q25. 某公司的安全工程师希望在Amazon GuardDuty、AWS Identity and Access Management Access Analyzer或Amazon Macie生成高严重性安全发现时,收到电子邮件警报。该公司使用AWS Control Tower管理其所有账户,并已启用AWS Security Hub且所有AWS服务集成均已开启。 以下哪种解决方案能以最低的运维开销满足这些要求?

    • A. 为GuardDuty、IAM Access Analyzer和Macie分别设置AWS Lambda函数,调用各服务的公共API以检索高严重性发现。使用Amazon Simple Notification Service(Amazon SNS)发送电子邮件警报。创建一个Amazon EventBridge规则,按计划调用这些函数。
    • B. 创建一个Amazon EventBridge规则,其事件模式匹配具有高严重性的Security Hub发现事件。将该规则配置为将发现发送至目标Amazon Simple Notification Service(Amazon SNS)主题。将所需电子邮件地址订阅至该SNS主题。
    • C. 创建一个Amazon EventBridge规则,其事件模式匹配具有高严重性的AWS Control Tower事件。将该规则配置为将发现发送至目标Amazon Simple Notification Service(Amazon SNS)主题。将所需电子邮件地址订阅至该SNS主题。
    • D. 在Amazon EC2上托管一个应用程序,调用GuardDuty、IAM Access Analyzer和Macie的API。在该应用程序中,使用Amazon Simple Notification Service(Amazon SNS)API检索高严重性发现,并将发现发送至SNS主题。将所需电子邮件地址订阅至该SNS主题。

    查看题目 →

  26. Q26. 一名工程师上传了自己的AWS访问密钥和秘密访问密钥。该工程师向经理报告了这一错误,经理立即禁用了该访问密钥。 公司需要评估暴露的访问密钥所造成的影响。安全工程师必须推荐一种所需管理开销最少的解决方案。 以下哪种解决方案能满足这些要求?

    • A. 分析AWS Trusted Advisor中的AWS Identity and Access Management(IAM)使用报告,查看该访问密钥最后使用的时间。
    • B. 分析Amazon CloudWatch Logs,通过搜索访问密钥来查找相关活动。
    • C. 分析VPC流日志,通过搜索访问密钥来查找相关活动。
    • D. 分析AWS Identity and Access Management(IAM)中的凭证报告,查看该访问密钥最后使用的时间。

    查看题目 →

  27. Q27. 某公司拥有一个启用了服务控制策略(SCP)的AWS Organizations组织。该组织根级SCP如下所示: 该公司开发人员属于一个IAM组,该组的IAM策略允许通过授予ses:*权限访问Amazon Simple Email Service(Amazon SES)。该账户是某个组织单元(OU)的子账户,该OU的SCP允许Amazon SES。但开发人员尝试通过AWS管理控制台访问Amazon SES时,收到“未授权”错误。 安全工程师必须实施哪项更改,才能使开发人员能够访问Amazon SES?

    • A. 添加一个资源策略,允许该组每个成员访问Amazon SES。
    • B. 添加一个资源策略,允许"Principal": {"AWS": "arn:aws:iam::account-number:group/Dev"}。
    • C. 移除限制访问Amazon SES的AWS Control Tower控制(防护栏)。
    • D. 从根级SCP中移除Amazon SES。

    查看题目 →

  28. Q28. 一位安全工程师正在构建一个运行在Amazon EC2上的Java应用程序。该应用程序与Amazon RDS实例通信,并使用用户名和密码进行身份验证。 工程师可采取以下哪些组合步骤来保护凭证,并在凭证轮换时将停机时间降至最低?(选择两项)

    • A. 由数据库管理员加密凭证并将密文存储在Amazon S3中。授予与EC2实例关联的实例角色读取该对象并解密密文的权限。
    • B. 配置一个定时任务,更新AWS Systems Manager Parameter Store中的凭证,并通知工程师需重启应用程序。
    • C. 在AWS Secrets Manager中配置凭证自动轮换
    • D. 将凭证存储在AWS Systems Manager Parameter Store中的加密字符串参数中。授予与EC2实例关联的实例角色访问该参数及用于加密它的AWS KMS密钥的权限。
    • E. 配置Java应用程序捕获连接失败,并在密码轮换时调用AWS Secrets Manager以检索更新后的凭证。授予与EC2实例关联的实例角色访问Secrets Manager的权限。

    查看题目 →

  29. Q29. 某公司使用AWS Key Management Service(AWS KMS)的AWS托管密钥,在其应用程序中加密AWS账户中的文件。该公司安全团队希望在发生潜在密钥泄露时,能够随时为新文件更换新的密钥材料。安全工程师必须实施一种解决方案,使安全团队可在需要时随时更换密钥。 以下哪种解决方案能满足这些要求?

    • A. 创建一个新的客户托管密钥。为该密钥添加密钥轮换计划。每次安全团队请求密钥变更时,调用该密钥轮换计划。
    • B. 创建一个新的AWS托管密钥。为该密钥添加密钥轮换计划。每次安全团队请求密钥变更时,调用该密钥轮换计划。
    • C. 创建一个密钥别名。每次安全团队请求密钥变更时,创建一个新的客户托管密钥。将该别名关联至新密钥。
    • D. 创建一个密钥别名。每次安全团队请求密钥变更时,创建一个新的AWS托管密钥。将该别名关联至新密钥。

    查看题目 →

  30. Q30. 一位安全工程师需要为托管静态网站的Amazon S3存储桶设置Amazon CloudFront分发。安全工程师必须仅允许指定IP地址访问该网站。同时,安全工程师还必须防止用户通过S3 URL直接访问该网站。 以下哪种解决方案能满足这些要求?

    • A. 生成一个S3存储桶策略,指定cloudfront.amazonaws.com作为主体。使用aws:SourceIp条件键,仅当请求来自指定IP地址时才允许访问。
    • B. 创建一个CloudFront源访问控制(OAC)。创建S3存储桶策略,仅允许该OAC访问。创建一个AWS WAF Web ACL,并添加IP集规则。将该Web ACL与CloudFront分发关联。
    • C. 实施安全组,仅允许指定IP地址访问,并通过CloudFront分发限制S3存储桶访问。
    • D. 为S3存储桶创建访问点,仅允许来自CloudFront分发的访问。创建一个AWS WAF Web ACL并添加IP集规则。将该Web ACL与CloudFront分发关联。

    查看题目 →

  31. Q31. 某公司在Amazon EC2实例上托管一个公共网站。HTTPS流量必须能够访问该网站。该公司使用SSH管理Web服务器。 该网站位于子网10.0.1.0/24中。管理子网为192.168.100.0/24。安全工程师必须为EC2实例创建一个安全组。 安全工程师应采取以下哪些组合步骤,以最安全的方式满足这些要求?(选择两项)

    • A. 允许来自源0.0.0.0/0的端口22。
    • B. 允许来自源0.0.0.0/0的端口443。
    • C. 允许来自192.168.100.0/24的端口22。
    • D. 允许来自10.0.1.0/24的端口22。
    • E. 允许来自10.0.1.0/24的端口443。

    查看题目 →

  32. Q32. 某公司拥有数PB的数据。为满足监管要求,该公司必须将这些数据保留7年。该公司合规团队要求安全官制定一项策略,防止任何人更改或删除这些数据。 以下哪种解决方案能以最具成本效益的方式满足此要求?

    • A. 创建一个Amazon S3存储桶。配置该存储桶使用S3 Object Lock的合规模式。将数据上传至该存储桶。创建一个基于资源的存储桶策略,满足所有监管要求。
    • B. 创建一个Amazon S3存储桶。配置该存储桶使用S3 Object Lock的治理模式。将数据上传至该存储桶。创建一个基于用户的IAM策略,满足所有监管要求。
    • C. 在Amazon S3 Glacier中创建一个保险库(vault)。在S3 Glacier中创建一个Vault Lock策略,满足所有监管要求。将数据上传至该保险库。
    • D. 创建一个Amazon S3存储桶。将数据上传至该存储桶。使用生命周期规则将数据转换至S3 Glacier中的保险库。创建一个Vault Lock策略,满足所有监管要求。

    查看题目 →

  33. Q33. 一家在混合云环境中运营的公司必须满足严格的合规性要求。该公司希望创建一份报告,其中包含来自本地工作负载的证据以及来自AWS资源的证据。安全工程师必须实施一种解决方案,以收集、审查和管理这些证据,以证明符合公司政策。 哪种解决方案能够满足这些要求?

    • A. 从预构建框架或自定义框架在AWS Audit Manager中创建评估。上传来自本地工作负载的手动证据。将该证据添加到评估中。在Audit Manager从AWS资源收集必要证据后生成评估报告。
    • B. 在本地工作负载上安装Amazon CloudWatch代理。使用AWS Config部署来自示例合规性包模板或自定义YAML模板的合规性包。在AWS Config识别出不合规的工作负载和资源后生成评估报告。
    • C. 在AWS Security Hub中设置适当的安全标准。上传来自本地工作负载的手动证据。等待Security Hub从AWS资源收集证据。将控制列表下载为.csv文件。
    • D. 在本地工作负载上安装Amazon CloudWatch代理。创建CloudWatch仪表板以监控本地工作负载和AWS资源。对工作负载和资源运行查询。下载结果。

    查看题目 →

  34. Q34. 一家公司的安全团队需要在AWS访问密钥未在90天或更长时间内轮换时收到通知。安全工程师必须开发一种能自动提供这些通知的解决方案。 哪种解决方案能以最少的工作量满足这些要求?

    • A. 部署一个AWS Config托管规则,每24小时定期运行一次。选择access-keys-rotated托管规则,并将maxAccessKeyAge参数设置为90天。创建一个Amazon EventBridge规则,其事件模式匹配AWS Config托管规则发出的NON_COMPLIANT合规类型事件。配置EventBridge向安全团队发送Amazon Simple Notification Service(Amazon SNS)通知。
    • B. 创建一个脚本,从AWS Trusted Advisor的IAM访问密钥轮换检查中导出.csv文件。将该脚本加载到AWS Lambda函数中,该函数将.csv文件上传到Amazon S3存储桶。当.csv文件上传至S3存储桶时,创建一个Amazon Athena表查询。通过调用Amazon Simple Notification Service(Amazon SNS)向安全团队发布任何超过90天的密钥的结果。
    • C. 创建一个脚本,定期下载IAM凭证报告。将该脚本加载到AWS Lambda函数中,该函数通过Amazon EventBridge按计划运行。配置Lambda脚本将报告加载到内存中,并筛选出密钥最后轮换时间至少为90天前的记录。如果检测到任何记录,则向安全团队发送Amazon Simple Notification Service(Amazon SNS)通知。
    • D. 创建一个AWS Lambda函数,查询IAM API以列出所有用户。使用ListAccessKeys操作遍历用户。验证CreateDate字段的值是否不早于90天前。如果该值早于或等于90天,则向安全团队发送Amazon Simple Notification Service(Amazon SNS)通知。创建一个Amazon EventBridge规则,每天调度该Lambda函数运行。

    查看题目 →

  35. Q35. 一家公司使用外部身份提供商实现跨不同AWS账户的联合登录。该公司的一名安全工程师需要识别一周前终止生产环境Amazon EC2实例的联合用户。 安全工程师识别该联合用户的最快方法是什么?

    • A. 查看存储在Amazon S3存储桶中的AWS CloudTrail事件历史日志,查找TerminateInstances事件,从角色会话名称中识别联合用户。
    • B. 在AWS CloudTrail事件历史中筛选TerminateInstances事件并识别所承担的IAM角色。查看CloudTrail中的AssumeRoleWithSAML事件调用,以识别对应的用户名。
    • C. 在AWS CloudTrail日志中搜索TerminateInstances事件并记录事件时间。查看所有联合角色的IAM访问顾问(Access Advisor)选项卡。最后访问时间应与实例终止时间匹配。
    • D. 使用Amazon Athena在存储于Amazon S3存储桶中的AWS CloudTrail日志上运行SQL查询,并按TerminateInstances事件进行筛选。识别对应的角色,再运行另一个查询筛选AssumeRoleWithWebIdentity事件以获取用户名。

    查看题目 →

  36. Q36. 一家公司正将其容器工作负载从数据中心迁移到Amazon Elastic Container Service(Amazon ECS)集群。该公司必须实施一种解决方案,以检测工作负载中的潜在威胁,并提升容器集群的安全态势。 哪种解决方案能满足这些要求?

    • A. 在运行ECS集群的VPC中配置Amazon Inspector。
    • B. 在ECS集群上启用Amazon GuardDuty Runtime Monitoring。
    • C. 使用Amazon CloudWatch日志审计Amazon ECS API访问,以识别未授权访问。
    • D. 在同一VPC中创建容器集群。使用VPC流日志集中监控网络流量。

    查看题目 →

  37. Q37. 一家公司需要防止Amazon S3对象被共享给AWS Organizations组织之外的IAM身份。一名安全工程师正在创建并部署SCP(服务控制策略)来实现此目标。该公司已在所有S3存储桶上启用了S3阻止公有访问功能。 该SCP应如何配置才能满足这些要求?

    • A. 拒绝S3:*操作,条件(Condition)元素使用StringNotEquals运算符,键为aws:ResourceOrgID,值为${aws:PrincipalOrgID}。
    • B. 拒绝S3:PutAccountPublicAccessBlock操作,条件(Condition)元素使用StringLike运算符,键为aws:PrincipalArn,值为外部IAM主体的ARN。
    • C. 允许S3:*操作,条件(Condition)元素使用StringNotEquals运算符,键为aws:PrincipalOrgID,值为${aws:PrincipalOrgID}。
    • D. 拒绝S3:*操作,条件(Condition)元素使用StringLike运算符,键为aws:PrincipalArn,值为外部IAM主体的ARN。

    查看题目 →

  38. Q38. 一家公司正在设计一个新的应用栈。该设计包括托管在Amazon EC2实例上的Web服务器和后端服务器,以及一个Amazon Aurora MySQL数据库集群。 EC2实例位于使用启动模板的Auto Scaling组中。Web层和后端层的EC2实例由Amazon Elastic Block Store(Amazon EBS)卷支持。当前各层均未启用静态加密。一名安全工程师需要实施静态加密。 以下哪两种组合步骤能满足这些要求?(选择两项)

    • A. 修改目标AWS区域中的EBS默认加密设置以启用加密。使用Auto Scaling组实例刷新。
    • B. 修改Web层和后端层的启动模板,为附加的EBS卷添加AWS Certificate Manager(ACM)加密。使用Auto Scaling组实例刷新。
    • C. 从现有数据库集群的快照创建一个新的AWS Key Management Service(AWS KMS)加密的DB集群。
    • D. 对现有DB集群应用AWS Key Management Service(AWS KMS)加密。
    • E. 对现有DB集群应用AWS Certificate Manager(ACM)加密。

    查看题目 →

  39. Q39. 一家公司使用Amazon Route 53 Resolver构建其混合DNS基础设施。该公司已为托管在本地DNS服务器上的权威域名设置了Route 53 Resolver转发规则。 一项新的安全规范要求公司实施一种解决方案,以记录并查询流向本地DNS服务器的DNS流量。日志必须显示发起查询的实例的源IP地址详情。日志还必须显示Route 53 Resolver中请求的DNS名称。 哪种解决方案能满足这些要求?

    • A. 使用VPC流量镜像(Traffic Mirroring)。将所有相关弹性网络接口配置为流量源,在镜像筛选器中包含amazon-dns,并将Amazon CloudWatch Logs设置为镜像目标。
    • B. 在所有相关VPC上配置VPC流日志。将日志发送到Amazon S3存储桶。使用Amazon Athena对源IP地址和DNS名称运行SQL查询。
    • C. 在所有相关VPC上配置Route 53 Resolver查询日志。将日志发送到Amazon CloudWatch Logs。使用CloudWatch Insights对源IP地址和DNS名称运行查询。
    • D. 修改转发至本地DNS服务器的权威域名的Route 53 Resolver规则。将日志发送到Amazon S3存储桶。使用Amazon Athena对源IP地址和DNS名称运行SQL查询。

    查看题目 →

  40. Q40. 一家公司有一个应用程序,运行在Application Load Balancer(ALB)后面的Amazon EC2实例上。这些实例位于Amazon EC2 Auto Scaling组中,并连接了Amazon Elastic Block Store(Amazon EBS)卷。一名安全工程师需要保留其中一个实例的所有取证证据。 安全工程师应按何种顺序执行步骤以满足此要求?

    • A. 对实例创建EBS卷快照,并将快照存储在Amazon S3存储桶中。对实例创建内存快照,并将快照存储在S3存储桶中。将实例从Auto Scaling组中分离。将实例从ALB中注销。停止实例。
    • B. 对实例创建内存快照,并将快照存储在Amazon S3存储桶中。停止实例。对实例创建EBS卷快照,并将快照存储在S3存储桶中。将实例从Auto Scaling组中分离。将实例从ALB中注销。
    • C. 将实例从Auto Scaling组中分离。将实例从ALB中注销。对实例创建EBS卷快照,并将快照存储在Amazon S3存储桶中。对实例创建内存快照,并将快照存储在S3存储桶中。停止实例。
    • D. 将实例从Auto Scaling组中分离。将实例从ALB中注销。停止实例。对实例创建内存快照,并将快照存储在Amazon S3存储桶中。对实例创建EBS卷快照,并将快照存储在S3存储桶中。

    查看题目 →

  41. Q41. 一家公司使用第三方身份提供商和基于SAML的单点登录(SSO)来管理其AWS账户。在第三方身份提供商更新了已过期的签名证书后,用户尝试登录时收到以下错误消息:Error: Response Signature Invalid(服务:AWSSecurityTokenService;状态码:400;错误码:InvalidIdentityToken)。一名安全工程师需要提供一种解决方案,以修正该错误并尽可能减少运维开销。 以下哪项解决方案满足这些要求?

    • A. 使用AWS管理控制台,将第三方签名证书的新私钥上传到AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体。
    • B. 使用新公钥对身份提供商的元数据文件进行签名。使用AWS CLI将该签名上传到AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体。
    • C. 从身份服务提供商处下载更新后的SAML元数据文件。使用AWS CLI更新AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体中的该文件。
    • D. 使用AWS管理控制台,配置AWS Identity and Access Management(IAM)中定义的AWS身份提供商实体,使其同步获取新公钥。

    查看题目 →

  42. Q42. 一名安全工程师创建了一个Amazon S3存储桶策略,拒绝所有用户的访问。几天后,该安全工程师向该存储桶策略添加了另一条语句,允许一名其他员工只读访问。即使更新了策略,该员工仍收到“访问被拒绝”消息。 导致此访问拒绝的最可能原因是什么?

    • A. 存储桶的ACL需要更新。
    • B. IAM策略不允许该用户访问该存储桶。
    • C. 存储桶策略生效需要几分钟时间。
    • D. 允许权限被拒绝权限覆盖。

    查看题目 →

  43. Q43. 安全工程师正在管理一个运行在Amazon EC2实例上的传统三层Web应用程序。该应用程序已成为来自互联网的日益增多的恶意攻击的目标。 安全工程师应采取哪些步骤来检查已知漏洞并缩小攻击面?(请选择两项)

    • A. 使用AWS Certificate Manager对客户端与应用程序服务器之间的所有流量进行加密。
    • B. 审查应用程序的安全组,确保仅开放必需的端口。
    • C. 使用Elastic Load Balancing卸载安全套接层(SSL)加密。
    • D. 使用Amazon Inspector定期扫描后端实例。
    • E. 使用AWS Key Management Service(AWS KMS)对客户端与应用程序服务器之间的所有流量进行加密。

    查看题目 →

  44. Q44. 一名安全工程师正在设计一个IAM策略以保护AWS API操作。该策略必须强制IAM用户在访问AWS生产账户中某些服务时启用多因素认证(MFA)。每个会话的有效期不得超过2小时。当前版本的IAM策略如下所示: 为满足这些要求,安全工程师应在IAM策略中添加哪两项条件?(请选择两项)

    • A. "Bool": {"aws:MultiFactorAuthPresent": "true"}
    • B. "Bool": {"aws:MultiFactorAuthPresent": "false"}
    • C. "NumericLessThan": {"aws:MultiFactorAuthAge": "7200"}
    • D. "NumericGreaterThan": {"aws:MultiFactorAuthAge": "7200"}
    • E. "NumericLessThan": {"MaxSessionDuration": "7200"}

    查看题目 →

  45. Q45. 对于一个新创建的AWS账户,保护其AWS账户根用户最安全的方式有哪些?(请选择两项)

    • A. 使用AWS账户根用户的访问密钥,而非AWS管理控制台。
    • B. 为附加了AdministratorAccess托管策略的AWS IAM用户启用多因素认证(MFA)。
    • C. 使用AWS KMS加密所有AWS账户根用户和AWS IAM访问密钥,并设置30天自动轮换。
    • D. 不要为AWS账户根用户创建访问密钥;而是创建AWS IAM用户。
    • E. 为AWS账户根用户启用多因素认证(MFA)。
    • F.

    查看题目 →

  46. Q46. 一家公司在us-east-1区域运行工作负载。该公司从未在其他AWS区域部署资源,也没有任何多区域资源。该公司需要将其工作负载和基础设施复制到us-west-1区域。 一名安全工程师必须实施一种解决方案,使用AWS Secrets Manager在两个区域中存储密钥。该解决方案必须使用AWS Key Management Service(AWS KMS)加密这些密钥。该解决方案必须最大限度地降低延迟,并且在仅有一个区域可用的情况下仍能正常工作。 安全工程师已在us-east-1中使用Secrets Manager创建了密钥。 为满足要求,安全工程师接下来应执行什么操作?

    • A. 使用AWS托管KMS密钥在us-east-1中加密密钥。将密钥复制到us-west-1。使用us-west-1中的新AWS托管KMS密钥在us-west-1中加密密钥。
    • B. 使用AWS托管KMS密钥在us-east-1中加密密钥。配置us-west-1中的资源调用us-east-1中的Secrets Manager终端节点。
    • C. 使用客户托管KMS密钥在us-east-1中加密密钥。配置us-west-1中的资源调用us-east-1中的Secrets Manager终端节点。
    • D. 使用客户托管KMS密钥在us-east-1中加密密钥。将密钥复制到us-west-1。在us-west-1中使用来自us-east-1的客户托管KMS密钥加密密钥。

    查看题目 →

  47. Q47. 一家公司怀疑攻击者利用过度宽松的角色从Amazon EC2实例元数据中导出凭证。该公司使用Amazon GuardDuty和AWS Audit Manager。该公司已为其所有AWS账户启用了AWS CloudTrail日志记录和Amazon CloudWatch日志记录。一名安全工程师必须确定这些凭证是否被用于从外部账户访问公司的资源。

    • A. 查看GuardDuty发现结果,查找InstanceCredentialExfiltration事件。
    • B. 在Audit Manager控制台中查看评估报告,查找InstanceCredentialExfiltration事件。
    • C. 查看CloudTrail日志中来自公司外部账户ID的AWS Security Token Service(AWS STS)GetSessionToken API调用。
    • D. 查看CloudWatch日志中来自公司外部账户ID的AWS Security Token Service(AWS STS)GetSessionToken API调用。

    查看题目 →

  48. Q48. 一家国际公司在韩国设立了新的业务实体。该公司还建立了一个新的AWS账户,用于承载韩国区域的工作负载。该公司已在新账户的ap-northeast-2区域中部署了该工作负载。该工作负载由三个Amazon EC2实例的Auto Scaling组组成。在该区域中运行的所有工作负载必须将系统日志和应用程序日志保留7年。 一名安全工程师必须实施一种解决方案,确保在扩展活动中每个实例的日志数据不会丢失。该解决方案还必须仅将日志保留所需的7年期限。 为满足这些要求,安全工程师应采取哪三项组合步骤?(请选择三项)

    • A. 确保Auto Scaling组启动的所有EC2实例上均已安装Amazon CloudWatch代理。生成CloudWatch代理配置文件,将所需日志转发至Amazon CloudWatch Logs。
    • B. 将目标日志组的日志保留期设置为7年。
    • C. 将IAM角色附加到Auto Scaling组所使用的启动配置或启动模板。配置该角色,以提供将日志转发至Amazon CloudWatch Logs所需的必要权限。
    • D. 将IAM角色附加到Auto Scaling组所使用的启动配置或启动模板。配置该角色,以提供将日志转发至Amazon S3所需的必要权限。
    • E. 确保Auto Scaling组启动的所有EC2实例上均已安装日志转发应用程序。配置该日志转发应用程序,定期打包日志并将其转发至Amazon S3。
    • F. 在目标S3存储桶上配置Amazon S3生命周期策略,在7年后使对象过期。

    查看题目 →

  49. Q49. 一家公司拥有位于 AWS Organizations 组织中的多个 AWS 账户。其中一个账户中的 Amazon S3 存储桶当前为公开可访问状态。 安全工程师必须更改配置,使该 S3 存储桶不再公开可访问。同时,工程师还必须确保该 S3 存储桶在未来无法被设为公开可访问。 哪种解决方案能够满足这些要求?

    • A. 为 S3 存储桶配置 AWS 密钥管理服务(AWS KMS)密钥。通过创建强制执行加密的存储桶策略来加密所有对象。为包含该 AWS 账户的组织单位(OU)配置服务控制策略(SCP),拒绝 s3:GetObject 操作。
    • B. 在 S3 存储桶上启用 PublicAccessBlock 配置。为包含该 AWS 账户的组织单位(OU)配置 SCP,拒绝 s3:GetObject 操作。
    • C. 在 S3 存储桶上启用 PublicAccessBlock 配置。为包含该 AWS 账户的组织单位(OU)配置 SCP,拒绝 s3:PutPublicAccessBlock 操作。
    • D. 为 S3 存储桶配置 S3 Object Lock(治理模式)。为包含该 AWS 账户的组织单位(OU)配置 SCP,拒绝 s3:PutPublicAccessBlock 操作。

    查看题目 →

  50. Q50. 一家大型公司的安全工程师正在管理一个供 1,500 家子公司使用的数据处理应用程序。母公司和所有子公司均使用 AWS。该应用程序使用 TCP 端口 443,运行在 Network Load Balancer(NLB)后方的 Amazon EC2 实例上。出于合规性要求,该应用程序应仅对各子公司开放,不得暴露于公共互联网。为满足受限访问的合规性要求,工程师已获得每家子公司的公有和私有 CIDR 块范围。 工程师应采用哪种解决方案来为该应用程序实施适当的访问限制?

    • A. 创建网络 ACL(NACL),允许来自 1,500 家子公司 CIDR 块范围的 TCP 端口 443 访问。将该 NACL 关联至 NLB 和 EC2 实例。
    • B. 创建 AWS 安全组,允许来自 1,500 家子公司 CIDR 块范围的 TCP 端口 443 访问。将该安全组关联至 NLB;为 EC2 实例创建第二个安全组,仅允许来自 NLB 安全组的 TCP 端口 443 访问。
    • C. 在母公司账户中创建 AWS PrivateLink 端点服务,并将其附加到 NLB。为 EC2 实例创建 AWS 安全组,仅允许来自 AWS PrivateLink 端点的 TCP 端口 443 访问。在 1,500 家子公司的 AWS 账户中使用 AWS PrivateLink 接口端点连接至该数据处理应用程序。
    • D. 创建 AWS 安全组,允许来自 1,500 家子公司 CIDR 块范围的 TCP 端口 443 访问。将该安全组关联至 EC2 实例。

    查看题目 →

  51. Q51. 一家公司使用 AWS Organizations 管理少量 AWS 账户。但该公司计划很快新增 1,000 个账户。公司仅允许集中式安全团队为所有 AWS 账户和团队创建 IAM 角色。应用团队需向安全团队提交 IAM 角色申请。目前安全团队积压大量 IAM 角色请求,无法快速审核与部署。安全团队必须建立一种流程,使应用团队能自行部署其 IAM 角色,同时限制角色作用域并防止权限提升。

    • A. 为每个应用团队创建一个 IAM 组。为每个 IAM 组关联策略。为每个应用团队成员配置 IAM 用户。使用基于角色的访问控制(RBAC)将新 IAM 用户添加至相应 IAM 组。
    • B. 授权各应用团队负责人自行部署其团队的 IAM 角色。每季度审查团队负责人部署的 IAM 角色。确保应用团队负责人接受过 IAM 角色审核的适当培训。
    • C. 将每个 AWS 账户置于独立的组织单位(OU)中。为每个 OU 添加 SCP,仅授予团队计划使用的 AWS 服务访问权限。在各团队的 AWS 账户中包含条件。
    • D. 创建 SCP 和 IAM 角色的权限边界(Permissions Boundary)。将 SCP 添加至根 OU,从而仅允许附加了该权限边界的 IAM 角色创建任何新的 IAM 角色。

    查看题目 →

  52. Q52. 一家公司在 VPC 中的 Amazon EC2 实例上部署了服务器。外部供应商通过互联网访问这些服务器。最近,该公司在新的 CIDR 网段中为 EC2 实例部署了一个新应用程序。公司需要使该应用程序对供应商可用。 安全工程师已确认关联的安全组和网络 ACL 在入站方向上已允许所需端口。然而,供应商无法连接至该应用程序。 哪种解决方案可使供应商访问该应用程序?

    • A. 修改与 EC2 实例关联的安全组,使其出站规则与入站规则相同。
    • B. 修改与该 CIDR 网段关联的网络 ACL,允许出站流量至临时端口。
    • C. 修改互联网网关的入站规则以允许所需端口。
    • D. 修改与该 CIDR 网段关联的网络 ACL,使其出站规则与入站规则相同。

    查看题目 →

  53. Q53. 两个位于不同子网的 Amazon EC2 实例应能相互通信,但实际无法连接。已确认同一子网内的其他主机通信正常,且安全组已配置有效的 ALLOW 规则以允许该流量。

    • A. 检查入站和出站安全组,查找 DENY 规则
    • B. 检查入站和出站网络 ACL 规则,查找 DENY 规则
    • C. 查看 VPC 流日志中的拒绝数据包原因代码
    • D. 使用 AWS X-Ray 追踪端到端应用程序

    查看题目 →

  54. Q54. 某电子商务网站因遭受 DDoS 攻击停机 1 小时。攻击期间用户无法访问该网站。该电商公司的安全团队担忧未来可能再次遭遇类似攻击,并希望为此做好准备。公司需要最大限度减少未来应对类似攻击时的服务中断时间。 以下哪些步骤有助于实现该目标?(选择两项)

    • A. 启用 Amazon GuardDuty,自动监控恶意活动并阻止未经授权的访问。
    • B. 订阅 AWS Shield Advanced,并在发生攻击时联系 AWS 支持。
    • C. 使用 VPC Flow Logs 监控网络流量,并使用 AWS Lambda 函数通过安全组自动封禁攻击者的 IP 地址。
    • D. 设置 Amazon EventBridge 规则实时监控 AWS CloudTrail 事件,使用 AWS Config 规则审计配置,并使用 AWS Systems Manager 进行修复。
    • E. 使用 AWS WAF 创建规则以响应此类攻击。

    查看题目 →

  55. Q55. 一家公司使用 Amazon EC2 启动类型在 Amazon Elastic Container Service(Amazon ECS)上运行内部微服务,并使用 Amazon Elastic Container Registry(Amazon ECR)私有仓库。 安全工程师需使用 AWS 密钥管理服务(AWS KMS)加密这些私有仓库,同时还需分析容器镜像是否存在常见漏洞和暴露(CVE)。

    • A. 为现有 ECR 仓库启用 KMS 加密。在 ECS 容器实例的用户数据中安装 Amazon Inspector Agent。运行 CVE 规则评估。
    • B. 重建 ECR 仓库,启用 KMS 加密和 ECR 扫描功能。在下次推送镜像后分析扫描报告。
    • C. 重建 ECR 仓库,启用 KMS 加密和 ECR 扫描功能。在 ECS 容器实例上安装 AWS Systems Manager Agent。运行清单报告。
    • D. 为现有 ECR 仓库启用 KMS 加密。使用 AWS Trusted Advisor 检查 ECS 容器实例,并将结果与当前 CVE 列表进行比对。

    查看题目 →

  56. Q56. 一家公司需要记录其 Amazon S3 存储桶中的对象级活动。该公司还需使用数字签名验证日志文件的完整性。

    • A. 创建启用了日志文件验证功能的 AWS CloudTrail 跟踪。启用数据事件。指定 Amazon S3 作为数据事件类型。
    • B. 为 S3 服务器访问日志创建一个新的 S3 存储桶。配置现有 S3 存储桶,将其 S3 服务器访问日志发送至该新 S3 存储桶。
    • C. 创建 Amazon CloudWatch Logs 日志组。配置现有 S3 存储桶,将其 S3 服务器访问日志发送至该日志组。
    • D. 为 S3 服务器访问日志创建一个启用日志文件验证功能的新 S3 存储桶。启用数据事件。指定 Amazon S3 作为数据事件类型。

    查看题目 →

  57. Q57. 一家医疗公司最近完成了一次收购,并继承了一个现有的AWS环境。该公司即将接受审计,担心其收购资产的合规状况。该公司必须识别Amazon S3存储桶中的个人健康信息(PHI),并识别出公开可访问的S3存储桶。该公司需要通过收集环境中证据来为审计做准备。 以下哪组步骤能以最少的运维开销满足这些要求?(选择三项)

    • A. 启用Amazon Macie。运行按需敏感数据发现任务,使用PERSONAL_INFORMATION托管数据标识符。
    • B. 使用AWS Glue配合Detect PII转换功能来识别敏感数据并对敏感数据进行脱敏。
    • C. 启用AWS Audit Manager。使用受支持的框架创建评估。
    • D. 启用Amazon GuardDuty S3 Protection。记录与S3存储桶可疑访问相关的任何发现。
    • E. 启用AWS Security Hub。使用AWS基础安全最佳实践标准。在控制仪表板中检查S3阻止公共访问控制项失败的证据。
    • F. 启用AWS Config。配置s3-bucket-public-write-prohibited AWS Config托管规则。

    查看题目 →

  58. Q58. 某公司使用Amazon RDS for MySQL作为其应用程序的数据库引擎。最近一次安全审计发现一个RDS实例未满足公司关于静态数据加密的策略要求。该公司的一名安全工程师需要确保所有现有RDS数据库均使用服务器端加密,并检测未来任何偏离该策略的情况。

    • A. 创建一个AWS Config规则以检测未加密RDS数据库的创建。创建一个Amazon EventBridge规则,在AWS Config规则合规状态变更时触发,并使用Amazon Simple Notification Service(Amazon SNS)通知安全运维团队。
    • B. 使用AWS Systems Manager State Manager检测RDS数据库加密配置漂移。创建一个Amazon EventBridge规则跟踪状态变更,并使用Amazon Simple Notification Service(Amazon SNS)通知安全运维团队。
    • C. 为现有未加密RDS数据库创建只读副本,并在创建过程中启用副本加密。待副本变为活跃状态后,将其提升为独立数据库实例,并终止原始未加密数据库实例。
    • D. 对未加密RDS数据库执行快照。复制该快照并在复制过程中启用快照加密。从新创建的加密快照恢复数据库实例。终止原始未加密数据库实例。
    • E. 通过修改配置为已识别的未加密RDS实例启用加密。

    查看题目 →

  59. Q59. 一名系统工程师正在排查一个测试环境的连通性问题,该环境包含一个内联部署的虚拟安全设备。除使用该虚拟安全设备外,开发团队还希望利用安全组和网络ACL来满足环境中的各种安全需求。 为使虚拟安全设备能够路由流量,需要进行何种配置?

    • A. 禁用网络ACL。
    • B. 将安全设备的弹性网络接口配置为混杂模式。
    • C. 禁用安全设备弹性网络接口上的源/目标检查。
    • D. 将安全设备置于具有互联网网关的公有子网中。

    查看题目 →

  60. Q60. 某公司正在一个新AWS账户中实施新应用程序。已为该应用程序创建了VPC和子网。该应用程序已与同一AWS区域中另一账户内的现有VPC建立对等连接,以实现数据库访问。Amazon EC2实例将在应用程序VPC中频繁创建和终止,但其中仅部分实例需要通过TCP端口1521访问对等VPC中的数据库。 安全工程师必须确保仅有需要访问数据库的EC2实例可通过网络访问数据库。 安全工程师应如何实施此解决方案?

    • A. 在数据库VPC中创建一个新的安全组,并创建一条入站规则,允许来自应用程序VPC IP地址范围的所有流量。在数据库子网中添加新的网络ACL规则,配置该规则以允许来自应用程序VPC IP地址范围的TCP端口1521流量。将新安全组附加到应用程序实例需要访问的数据库实例。
    • B. 在应用程序VPC中创建一个新的安全组,配置一条入站规则,允许来自数据库VPC IP地址范围的TCP端口1521流量。在数据库VPC中创建一个新的安全组,配置一条入站规则,允许来自应用程序VPC IP地址范围的端口1521流量。将新安全组附加到数据库实例及需要数据库访问的应用程序实例。
    • C. 在应用程序VPC中创建一个新的安全组,不配置任何入站规则。在数据库VPC中创建一个新的安全组,配置一条入站规则,允许来自应用程序VPC中新安全组的TCP端口1521流量。将应用程序安全组附加到需要数据库访问的应用程序实例,并将数据库安全组附加到数据库实例。
    • D. 在应用程序VPC中创建一个新的安全组,配置一条入站规则,允许来自数据库VPC IP地址范围的TCP端口1521流量。在数据库子网中添加新的网络ACL规则,配置该规则以允许来自应用程序VPC IP地址范围的所有流量。将新安全组附加到需要数据库访问的应用程序实例。

    查看题目 →

  61. Q61. 一名安全工程师希望评估对某一特定AWS资源的配置变更,以确保该资源符合合规标准。然而,该工程师担心短时间内对该资源进行了多次配置变更。该工程师希望仅记录该资源的最新配置,以体现这一系列变更的累积影响。

    • A. 使用AWS CloudTrail通过过滤API调用来检测配置变更。使用最近一次API调用来表示多次调用的累积影响。
    • B. 使用AWS Config检测配置变更,并在发生多次配置变更时记录该资源的最新配置。
    • C. 使用Amazon CloudWatch通过过滤API调用来检测配置变更。使用最近一次API调用来表示多次调用的累积影响。
    • D. 使用AWS Cloud Map检测配置变更。使用滑动时间窗口从AWS Cloud Map生成配置变更报告以追踪最新状态。

    查看题目 →

  62. Q62. 某公司需要构建一个集中式解决方案来分析日志文件。该公司使用AWS Organizations中的组织来管理其AWS账户。 该解决方案必须聚合并规范化以下来源的事件: - Organizations中的整个组织 - 公司AWS账户中运行的所有AWS Marketplace产品 - 公司的本地系统

    • A. 为日志配置一个集中的Amazon S3存储桶。在所有账户中启用VPC Flow Logs、AWS CloudTrail和Amazon Route 53日志。配置所有账户将日志发送至该集中S3存储桶。配置AWS Glue爬虫解析日志文件。使用Amazon Athena查询日志数据。
    • B. 为需要监控的源配置Amazon CloudWatch Logs中的日志流。为每个日志流创建日志订阅筛选器。将消息转发至Amazon OpenSearch Service进行分析。
    • C. 在Organizations中设置一个委托的Amazon Security Lake管理员账户。为组织启用并配置Security Lake。添加需要监控的账户。使用Amazon Athena查询日志数据。
    • D. 应用服务控制策略(SCP)以配置所有成员账户和服务将日志文件交付至一个集中的Amazon S3存储桶。使用Amazon OpenSearch Service查询该集中S3存储桶中的日志条目。

    查看题目 →

  63. Q63. 某公司必须保留Amazon RDS数据库实例和Amazon Elastic Block Store(Amazon EBS)卷的备份副本。公司必须将备份副本保留在相距数百英里的数据中心中。

    • A. 配置AWS Backup按所需计划创建备份。在备份计划中指定多个可用区作为备份目标。
    • B. 配置Amazon Data Lifecycle Manager创建备份。配置Amazon Data Lifecycle Manager策略将备份复制到Amazon S3存储桶。在S3存储桶上启用复制。
    • C. 配置AWS Backup按所需计划创建备份。在不同AWS区域中创建目标备份保管库(backup vault)。配置AWS Backup将备份复制到目标备份保管库。
    • D. 配置Amazon Data Lifecycle Manager创建备份。创建一个AWS Lambda函数将备份复制到另一个AWS区域。使用Amazon EventBridge按计划调用该Lambda函数。

    查看题目 →

  64. Q64. 某公司计划将其应用程序迁移到单个AWS区域中的AWS平台。公司的应用程序将结合使用Amazon EC2实例、Elastic Load Balancing(ELB)负载均衡器和Amazon S3存储桶。公司希望尽快完成迁移。所有应用程序必须满足以下要求: · 数据必须静态加密。 · 数据必须传输中加密。 · 必须监控端点的异常网络流量。 安全工程师应采取哪组步骤,以最少的工作量满足这些要求?(选择三项)

    • A. 使用AWS Systems Manager Automation在EC2实例上安装Amazon Inspector代理。
    • B. 在所有AWS账户中启用Amazon GuardDuty。
    • C. 为Amazon EC2和Amazon S3创建VPC终端节点。更新VPC路由表,仅使用安全的VPC终端节点。
    • D. 配置AWS Certificate Manager(ACM)。配置负载均衡器使用来自ACM的证书。
    • E. 使用AWS Key Management Service(AWS KMS)进行密钥管理。创建一个S3存储桶策略,拒绝任何带有x-amz-meta-side-encryption条件的PutObject命令。
    • F. 使用AWS Key Management Service(AWS KMS)进行密钥管理。创建一个S3存储桶策略,拒绝任何带有x-amz-server-side-encryption条件的PutObject命令。

    查看题目 →

  65. Q65. 一个公有子网包含两台Amazon EC2实例。该子网配置了自定义网络ACL。一位安全工程师正在设计一种解决方案以提升该子网的安全性。该解决方案必须允许出站流量通过TCP端口443访问使用TLS的互联网服务,同时必须拒绝目标为MySQL端口3306的入站流量。 以下哪组网络ACL规则满足这些要求?

    • A. 使用入站规则100允许TCP端口443上的流量。使用入站规则200拒绝TCP端口3306上的流量。使用出站规则100允许TCP端口443上的流量。
    • B. 使用入站规则100拒绝TCP端口3306上的流量。使用入站规则200允许TCP端口范围1024-65535上的流量。使用出站规则100允许TCP端口443上的流量。
    • C. 使用入站规则100允许TCP端口范围1024-65535上的流量。使用入站规则200拒绝TCP端口3306上的流量。使用出站规则100允许TCP端口443上的流量。
    • D. 使用入站规则100拒绝TCP端口3306上的流量。使用入站规则200允许TCP端口443上的流量。使用出站规则100允许TCP端口443上的流量。

    查看题目 →

  66. Q66. 一家公司使用AWS Config规则识别不符合其数据保护策略的Amazon S3存储桶。这些S3存储桶托管在多个AWS区域和多个AWS账户中。这些账户属于AWS Organizations中的一个组织。该公司需要一种解决方案,以修复组织内当前存在的不合规S3存储桶,并防止未来创建新的不合规S3存储桶。 以下哪种解决方案可满足这些要求?

    • A. 部署一个支持组织范围内资源数据聚合的AWS Config聚合器。创建一个AWS Lambda函数,响应AWS Config对不合规S3存储桶的发现结果,删除或重新配置这些S3存储桶。
    • B. 部署一个支持组织范围内资源数据聚合的AWS Config聚合器。创建一个服务控制策略(SCP),其中包含拒绝语句,阻止创建新的不合规S3存储桶。将该SCP应用于组织中的所有组织单元(OU)。
    • C. 部署一个仅覆盖公司当前使用的账户和区域的AWS Config聚合器。创建一个AWS Lambda函数,响应AWS Config对不合规S3存储桶的发现结果,删除或重新配置这些S3存储桶。
    • D. 部署一个仅覆盖公司当前使用的账户和区域的AWS Config聚合器。创建一个服务控制策略(SCP),其中包含拒绝语句,阻止创建新的不合规S3存储桶。将该SCP应用于组织中的所有组织单元(OU)。
    • E.

    查看题目 →

  67. Q67. 一家公司使用AWS Organizations实施多账户策略。该公司没有本地基础设施,所有工作负载均运行在AWS上。目前该公司拥有八个成员账户,并预计任何时候AWS账户总数不会超过20个。 该公司发布了一项新的安全策略,包含以下要求: • 任何AWS账户均不得在其自身AWS账户内的VPC中运行工作负载。 • 公司应使用一个集中管理的VPC,所有AWS账户均可访问该VPC并在其子网中启动工作负载。 • 任何AWS账户均不得修改其他AWS账户在集中管理VPC中的应用程序资源。 • 集中管理的VPC应位于组织中一个名为Account-A的现有AWS账户内。 该公司使用AWS CloudFormation模板在Account-A中创建了一个包含多个子网的VPC。该模板通过CloudFormation Outputs部分导出子网ID。 以下哪种解决方案可完成安全设置以满足这些要求?

    • A. 在成员账户中使用CloudFormation模板启动工作负载。配置该模板使用Fn::ImportValue函数获取子网ID值。
    • B. 在Account-A的VPC中使用传输网关(Transit Gateway)。配置成员账户使用该传输网关访问Account-A中的子网以启动工作负载。
    • C. 使用AWS Resource Access Manager(AWS RAM)将Account-A的VPC子网共享给其余成员账户。配置成员账户使用共享子网启动工作负载。
    • D. 在Account-A与其余成员账户之间创建VPC对等连接。配置成员账户通过VPC对等连接使用Account-A中的子网启动工作负载。

    查看题目 →

  68. Q68. 一家公司将微服务应用程序托管在Amazon Elastic Kubernetes Service(Amazon EKS)上。该公司已设置持续部署,以便按需更新应用程序。一位安全工程师必须实施一种解决方案,以近乎实时地自动检测应用程序日志中的异常,并在检测到异常时向安全团队发送通知。 以下哪种解决方案可满足这些要求?

    • A. 配置Amazon CloudWatch Container Insights以收集和聚合EKS应用程序日志。创建一个CloudWatch告警以监控异常。配置该告警在检测到异常时触发AWS Lambda函数以通知安全团队。
    • B. 配置Amazon EKS将应用程序日志发送至Amazon CloudWatch。基于日志组指标过滤器创建CloudWatch告警。指定异常检测作为阈值类型。配置该告警使用Amazon Simple Notification Service(Amazon SNS)通知安全团队。
    • C. 配置Amazon EKS将日志导出至Amazon S3。使用Amazon Athena查询分析日志中的异常。使用Amazon QuickSight可视化并监控用户访问请求中的异常。配置Amazon Simple Notification Service(Amazon SNS)通知以提醒安全团队。
    • D. 配置AWS App Mesh以监控Amazon EKS中微服务的流量。将App Mesh与AWS CloudTrail集成以进行日志记录。使用Amazon Detective分析日志中的异常,并在检测到异常时通知安全团队。

    查看题目 →

  69. Q69. 一家公司在Apache Web服务器上托管Web应用程序。该应用程序运行在Amazon EC2实例上,这些实例位于一个Auto Scaling组中。该公司已配置EC2实例将Apache Web服务器日志发送至Amazon CloudWatch Logs日志组,并已将该日志组配置为一年后过期。 最近,该公司在Apache Web服务器日志中发现某个特定IP地址正向Web应用程序发送可疑请求。一位安全工程师希望分析过去一周的Apache Web服务器日志,以确定该IP地址发送了多少请求以及所请求的对应URL。 安全工程师应如何以最少的工作量满足这些要求?

    • A. 将CloudWatch Logs日志组数据导出至Amazon S3。使用Amazon Macie查询日志中特定IP地址和请求URL。
    • B. 配置CloudWatch Logs订阅,将日志组流式传输至Amazon OpenSearch Service集群。使用OpenSearch Service分析日志中特定IP地址和请求URL。
    • C. 使用CloudWatch Logs Insights及自定义查询语法分析CloudWatch日志中特定IP地址和请求URL。
    • D. 将CloudWatch Logs日志组数据导出至Amazon S3。使用AWS Glue爬取S3存储桶中仅包含特定IP地址的日志条目。使用AWS Glue查看结果。

    查看题目 →

  70. Q70. 一家公司正在将其基于Amazon EC2的应用程序迁移到使用实例元数据服务版本2(IMDSv2)。一位安全工程师需要确定是否仍有EC2实例仍在使用实例元数据服务版本1(IMDSv1)。 安全工程师应如何确认IMDSv1端点已不再被使用?

    • A. 在Amazon CloudWatch代理中为IMDSv1配置日志记录(作为EC2实例启动的一部分)。创建指标过滤器和CloudWatch仪表板。在仪表板中跟踪该指标。
    • B. 创建一个Amazon CloudWatch仪表板。验证所有EC2实例的EC2:MetadataNoToken指标均为零。监控该仪表板。
    • C. 创建一个安全组,阻止对IMDSv1端点的HTTP访问。将该安全组附加到所有EC2实例。
    • D. 为所有EC2实例配置用户数据脚本,在使用IMDSv1时向AWS CloudTrail发送日志信息。创建指标过滤器和Amazon CloudWatch仪表板。在仪表板中跟踪该指标。

    查看题目 →

  71. Q71. 一位安全工程师正在设计支持某应用程序的云架构。该应用程序运行在Amazon EC2实例上,并处理敏感信息(包括信用卡号)。该应用程序会将信用卡号发送至一个运行在隔离环境中的组件。该组件将对号码进行加密、存储和解密,并随后发放令牌以在应用程序其他部分替代原始号码。负责令牌化流程的组件将部署在一组独立的EC2实例上。应用程序的其他组件不得能够存储或访问信用卡号。 以下哪种解决方案可满足这些要求?

    • A. 为应用程序的令牌化组件使用EC2专用实例。
    • B. 将管理令牌化流程的EC2实例置于分区放置组中。
    • C. 创建一个单独的VPC,并在该单独VPC中部署新的EC2实例以支持数据令牌化。
    • D. 将令牌化代码部署到托管在EC2实例上的AWS Nitro Enclaves中。

    查看题目 →

  72. Q72. 一家公司需要一种解决方案来防止关键数据被永久删除。这些数据存储在Amazon S3存储桶中。该公司需要将S3对象从主AWS区域复制到备用区域,以满足灾难恢复要求。此外,公司还必须确保具有管理员访问权限的用户无法在备用区域中永久删除数据。 以下哪种解决方案可满足这些要求?

    • A. 配置AWS Backup执行跨区域S3备份。在备用区域中选择一个备份保管库。为备用区域中的备份启用AWS Backup保管库锁定(Vault Lock)治理模式。
    • B. 在主区域中启用S3对象锁定(Object Lock)合规模式。配置S3复制,将对象复制到备用区域中的S3存储桶。
    • C. 配置S3复制,将对象复制到备用区域中的S3存储桶。在备用区域的S3存储桶上创建S3存储桶策略,拒绝s3:ReplicateDelete操作。
    • D. 配置S3复制,将对象复制到备用区域中的S3存储桶。在备用区域的S3存储桶上启用S3对象版本控制。

    查看题目 →

  73. Q73. 一家公司在 Amazon EC2 上托管一个应用程序,该应用程序需遵守特定的监管合规要求。其中一条规则规定:必须对工作负载的入站和出站流量进行网络层攻击检测,且该检测需涵盖整个数据包。 为满足此项监管要求,安全工程师需在一台 c5n.4xlarge EC2 实例上安装入侵检测软件,并配置该软件以监控应用程序实例的入站和出站流量。 安全工程师接下来应执行什么操作?

    • A. 将网络接口置于混杂模式(promiscuous mode)以捕获流量  
    • B. 配置 VPC 流日志(VPC Flow Logs),通过网络负载均衡器(Network Load Balancer)将流量发送至监控用 EC2 实例。  
    • C. 配置 VPC 流量镜像(VPC traffic mirroring),通过网络负载均衡器(Network Load Balancer)将流量发送至监控用 EC2 实例。  
    • D. 使用 Amazon Inspector 检测网络层攻击,并触发 AWS Lambda 函数将可疑数据包发送至 EC2 实例。

    查看题目 →

  74. Q74. 一家公司正在 Amazon S3 Glacier 中存储数据。安全工程师为 10 TB 数据实施了一项新的保险库锁定策略(vault lock policy),并在 12 小时前调用了 initiate-vault-lock 操作。审计团队发现该策略中存在拼写错误,导致保险库被意外授予了未授权访问权限。 纠正此错误的最具成本效益的方法是什么?

    • A. 调用 abort-vault-lock 操作。更新策略。再次调用 initiate-vault-lock 操作。
    • B. 将保险库数据复制到新的 S3 存储桶。删除该保险库。创建一个包含数据的新保险库。
    • C. 更新策略以保持保险库锁定状态。
    • D. 更新策略。再次调用 initiate-vault-lock 操作以应用新策略。

    查看题目 →

  75. Q75. 一家公司要求:任何 Amazon EC2 安全组均不得允许来自 CIDR 块 0.0.0.0/0 的 SSH 访问。该公司希望持续监控此要求的合规性,并在任一安全组出现不合规情况时,接收近实时通知。一位安全工程师已配置 AWS Config,并将使用 restricted-ssh 托管规则(managed rule)来监控安全组。 为满足上述要求,该安全工程师接下来应执行什么操作?

    • A. 配置 AWS Config 将其配置快照发送至 Amazon S3 存储桶。创建一个 AWS Lambda 函数,在向该 S3 存储桶写入事件(PutEvent)时触发。配置该 Lambda 函数解析快照,以识别 restricted-ssh 托管规则的合规性变更。配置该 Lambda 函数在发现变更时向 Amazon 简单通知服务(Amazon SNS)主题发送通知。
    • B. 配置一个 Amazon EventBridge 事件规则,该规则由 AWS Config 针对 restricted-ssh 托管规则发出的合规性变更事件触发。配置该事件规则将事件路由至 Amazon 简单通知服务(Amazon SNS)主题,以提供通知。
    • C. 配置 AWS Config 将其所有合规性通知推送至 Amazon CloudWatch Logs。在 AWS Config 日志组上配置 CloudWatch Logs 指标筛选器(metric filter),以查找 restricted-ssh 托管规则的合规性通知变更。在该指标筛选器上创建 Amazon CloudWatch 告警,当告警处于 ALARM 状态时,向 Amazon 简单通知服务(Amazon SNS)主题发送通知。
    • D. 在 restricted-ssh 托管规则的 CloudWatch 指标上配置 Amazon CloudWatch 告警。当告警处于 ALARM 状态时,向 Amazon 简单通知服务(Amazon SNS)主题发送通知。

    查看题目 →

  76. Q76. 一家公司计划使用 AWS Organizations 创建一个组织。该公司需要将其用户管理与公司外部身份提供商(IdP)集成。同时,该公司还需从组织的管理账户集中管理对其所有 AWS 账户及应用程序的访问权限。

    • A. 配置 AWS Directory Service 并连接外部 IdP。创建 IAM 策略,并将其关联至来自外部 IdP 的用户。
    • B. 启用 AWS IAM Identity Center,并将外部 IdP 用作身份源。使用 IAM Identity Center 创建权限集(permission sets)和账户分配(account assignments)。
    • C. 配置 AWS Identity and Access Management (IAM),将外部 IdP 用作身份提供商(IdP)。创建 IAM 策略,并将其关联至来自外部 IdP 的用户。
    • D. 在组织的管理账户中启用 Amazon Cognito。创建一个身份池(identity pool)并将其与外部 IdP 关联。创建 IAM 角色,并将其关联至该身份池。

    查看题目 →

  77. Q77. 一个 AWS 账户包含两个 S3 存储桶:bucket1 和 bucket2。bucket2 未定义存储桶策略,而 bucket1 具有以下存储桶策略:此外,同一账户中还存在一个名为“alice”的 IAM 用户,其具有以下 IAM 策略。 用户“alice”可访问哪些存储桶?

    • A. 仅 bucket1
    • B. 仅 bucket2
    • C. bucket1 和 bucket2 均可访问
    • D. bucket1 和 bucket2 均不可访问

    查看题目 →

  78. Q78. 一家公司在其 AWS 账户的单个 VPC 内托管多个应用程序。这些应用程序运行在一个应用负载均衡器(Application Load Balancer)之后,该负载均衡器关联了一个 AWS WAF Web ACL。该公司安全团队发现,互联网上某一特定 IP 地址段正发起多次端口扫描。 安全工程师需要拒绝来自这些恶意 IP 地址的访问。 以下哪种解决方案可满足此要求?

    • A. 修改 AWS WAF Web ACL,添加基于 IP 集(IP set)匹配规则语句,以拒绝来自该 IP 地址段的入站请求。
    • B. 向所有安全组添加规则,拒绝来自该 IP 地址段的入站请求。
    • C. 修改 AWS WAF Web ACL,添加基于速率(rate-based)的规则语句,以拒绝来自该 IP 地址段的入站请求。
    • D. 为 AWS WAF Web ACL 配置正则表达式(regex)匹配条件。指定一个模式集,依据匹配结果拒绝入站请求。

    查看题目 →

  79. Q79. 一个开发团队正在创建一套开源工具集,用于管理公司的软件即服务(SaaS)应用程序。该公司将代码存放在一个公共代码仓库中,以便任何人查看和下载该工具集的代码。 该公司发现,代码中包含一个 IAM 访问密钥(access key)和密钥(secret key),该密钥可访问公司 AWS 环境中的内部资源。 安全工程师必须实施一种解决方案,以识别暴露的凭证是否已被未经授权使用。该方案还必须防止暴露的凭证被进一步使用。 以下哪两种组合步骤可满足这些要求?(选择两项)

    • A. 使用 AWS Identity and Access Management Access Analyzer 来确定暴露的凭证访问了哪些资源以及由谁使用。
    • B. 停用该用户 IAM 账户中暴露的 IAM 访问密钥。
    • C. 在 Amazon GuardDuty 中创建一条规则,以阻止源代码中暴露的访问密钥被使用。
    • D. 为该凭证暴露用户的 IAM 账户创建一个新的 IAM 访问密钥和密钥。
    • E. 生成一份 IAM 凭证报告。检查该报告,以确定拥有该访问密钥的用户最后一次登录的时间。

    查看题目 →

  80. Q80. Amazon CloudWatch Logs 代理已成功将日志交付至 CloudWatch Logs 服务。然而,在关联的日志流活跃特定小时数后,日志停止交付。 为识别此现象的根本原因,必须执行哪些步骤?(选择两项)

    • A. 确保被监控文件的文件权限未被修改,以保证 CloudWatch Logs 代理仍可读取该文件。
    • B. 验证操作系统日志轮转规则是否与代理流式传输的配置要求兼容。
    • C. 配置一个 Amazon Kinesis 生产者,首先将日志放入 Amazon Kinesis Streams。
    • D. 创建一个 CloudWatch Logs 指标,以隔离一个在日志停止前至少变化一次的值。
    • E. 使用 AWS CloudFormation 动态创建和维护 CloudWatch Logs 代理的配置文件。

    查看题目 →

  81. Q81. 一个应用程序正在运行于一台附加了IAM角色的Amazon EC2实例上。该IAM角色提供了对AWS密钥管理服务(AWS KMS)客户托管密钥和Amazon S3存储桶的访问权限。该密钥用于访问存储在S3存储桶中的2 TB敏感数据。 安全工程师发现该EC2实例上存在一个潜在漏洞,可能导致敏感数据泄露。由于其他关键业务操作,安全工程师无法立即关闭该EC2实例以进行漏洞修补。 在不立即关闭EC2实例的前提下,防止敏感数据暴露的最快方法是什么?

    • A. 从现有S3存储桶下载数据至一台新EC2实例,然后删除S3存储桶中的数据。使用客户端密钥重新加密数据,并将数据上传至新的S3存储桶。
    • B. 使用基于主机的防火墙阻止对S3终端节点公网IP地址段的访问。确保受影响EC2实例的出站互联网流量经由该基于主机的防火墙路由。
    • C. 撤销IAM角色的当前会话权限。更新S3存储桶策略,拒绝该IAM角色的访问。从EC2实例配置文件中移除该IAM角色。
    • D. 禁用当前KMS密钥。创建一个新的KMS密钥(IAM角色无访问权限),并使用该新密钥重新加密全部数据。安排被攻破的密钥进入待删除状态。

    查看题目 →

  82. Q82. 某公司拥有一套批处理系统,使用Amazon S3、Amazon EC2和AWS密钥管理服务(AWS KMS)。该系统使用两个AWS账户:账户A和账户B。账户A托管一个S3存储桶,用于存储待处理对象及处理结果。该S3存储桶中所有对象均使用账户A中托管的KMS密钥进行加密。账户B托管一个VPC,其中包含一组EC2实例;这些实例通过存储桶策略中的语句访问账户A中的S3存储桶。该VPC已启用DNS主机名和DNS解析功能。安全工程师需在不修改系统任何代码的前提下更新系统设计。批处理EC2实例发出的所有AWS API调用不得经由互联网传输。 以下哪两种组合步骤可满足上述要求?(选择两项)

    • A. 在账户B的VPC中,为Amazon S3创建网关VPC端点。针对该网关VPC端点,创建资源策略,允许对S3存储桶执行s3:GetObject、s3:ListBucket、s3:PutObject和s3:PutObjectAcl操作。
    • B. 在账户B的VPC中,为Amazon S3创建接口VPC端点。针对该接口VPC端点,创建资源策略,允许对S3存储桶执行s3:GetObject、s3:ListBucket、s3:PutObject和s3:PutObjectAcl操作。
    • C. 在账户B的VPC中,为AWS KMS创建接口VPC端点。针对该接口VPC端点,创建资源策略,允许对KMS密钥执行kms:Encrypt、kms:Decrypt和kms:GenerateDataKey操作。确保该端点已启用私有DNS。
    • D. 在账户B的VPC中,为AWS KMS创建接口VPC端点。针对该接口VPC端点,创建资源策略,允许对KMS密钥执行kms:Encrypt、kms:Decrypt和kms:GenerateDataKey操作。确保该端点已禁用私有DNS。
    • E. 在账户B的VPC中,验证S3存储桶策略是否允许跨账户使用s3:PutObjectAcl操作。在账户B的VPC中,为Amazon S3创建网关VPC端点。针对该网关VPC端点,创建资源策略,允许对S3存储桶执行s3:GetObject、s3:ListBucket和s3:PutObject操作。

    查看题目 →

  83. Q83. 安全工程师正在实施一项解决方案,使用户能够无缝加密Amazon S3对象,而无需直接接触密钥。该解决方案必须具备高度可扩展性,且无需持续人工管理。此外,组织必须能够立即删除加密密钥。

    • A. 使用AWS KMS的AWS托管密钥,并使用ScheduleKeyDeletion API,将PendingWindowInDays参数设为0,以便在必要时移除密钥。
    • B. 使用KMS导入的密钥材料,然后在必要时使用DeleteImportedKeyMaterial API移除密钥材料。
    • C. 使用AWS CloudHSM存储密钥,然后使用CloudHSM API或PKCS#11库在必要时删除密钥。
    • D. 使用Systems Manager Parameter Store存储密钥,然后使用该服务的API操作在必要时删除密钥。

    查看题目 →

  84. Q84. 某公司的AWS CloudTrail日志全部集中存储在Amazon S3存储桶中。安全团队负责管理该公司AWS账户。安全团队必须防止CloudTrail日志遭到未授权访问和篡改。

    • A. 配置服务器端加密,使用AWS KMS托管的加密密钥(SSE-KMS)。
    • B. 使用安全gzip压缩日志文件。
    • C. 创建Amazon EventBridge规则,在CloudTrail日志文件发生任何修改时通知安全团队。
    • D. 通过配置存储桶策略,实施最小权限访问控制,限制对该S3存储桶的访问。
    • E. 配置CloudTrail日志文件完整性验证。
    • F. 配置S3访问分析器(Access Analyzer for S3)。

    查看题目 →

  85. Q85. 某公司的一组Amazon EC2实例位于一个未附加互联网网关的VPC私有子网内。安全工程师已在该子网中所有实例上安装Amazon CloudWatch代理,以捕获特定应用程序的日志。为确保日志安全传输,公司网络团队已为CloudWatch监控和CloudWatch日志创建了VPC端点,并将端点附加至该VPC。 应用程序正在生成日志。然而,当安全工程师查询CloudWatch时,日志并未显示。

    • A. 确保附加到EC2实例的EC2实例配置文件具有创建日志流和写入日志的权限。
    • B. 在日志上创建指标筛选器(metric filter),以便可在AWS管理控制台中查看。
    • C. 检查每台EC2实例上的CloudWatch代理配置文件,确认代理正在收集正确的日志文件。
    • D. 检查两个VPC端点的VPC端点策略,确保EC2实例拥有使用这些端点的权限。
    • E. 在子网中创建NAT网关,使EC2实例能够与CloudWatch通信。
    • F. 确保安全组允许所有EC2实例彼此通信,以便在发送前聚合日志。

    查看题目 →

  86. Q86. 公司A拥有一个名为账户A的AWS账户。公司A最近收购了公司B,后者拥有一个名为账户B的AWS账户。公司B将其文件存储在Amazon S3存储桶中。管理员需要授予账户A中的一名用户对账户B中S3存储桶的完全访问权限。 在管理员调整账户A中该用户的IAM权限以访问账户B的S3存储桶后,该用户仍无法访问S3存储桶中的任何文件。

    • A. 在账户B中,创建存储桶ACL,允许账户A的用户访问账户B中的S3存储桶。
    • B. 在账户B中,创建对象ACL,允许账户A的用户访问账户B中S3存储桶内的所有对象。
    • C. 在账户B中,创建存储桶策略,允许账户A的用户访问账户B中的S3存储桶。
    • D. 在账户B中,创建用户策略,允许账户A的用户访问账户B中的S3存储桶。

    查看题目 →

  87. Q87. 一名安全工程师以管理员权限登录AWS Lambda控制台。该工程师正尝试查看名为myFunction的Lambda函数在Amazon CloudWatch中的日志。当该工程师在Lambda控制台中选择“在CloudWatch中查看日志”选项时,出现“加载日志流失败”的错误消息。该Lambda函数执行角色的IAM策略包含以下内容: 安全工程师应如何修正此错误?

    • A. 将logs:CreateLogGroup动作移至第二个Allow语句中。
    • B. 在第二个Allow语句中添加logs:PutDestination动作。
    • C. 在第二个Allow语句中添加logs:GetLogEvents动作。
    • D. 在第二个Allow语句中添加logs:CreateLogStream动作。

    查看题目 →

  88. Q88. 某公司拥有一款传统应用程序,运行于单台Amazon EC2实例上。一次安全审计发现,该应用程序在其代码中硬编码了一个IAM访问密钥,用于访问同一AWS账户内的名为DOC-EXAMPLE-BUCKET1的Amazon S3存储桶。该访问密钥对仅此S3存储桶中的所有对象具有s3:GetObject权限。由于该应用程序不符合公司关于从Amazon EC2访问其他AWS资源的安全策略,公司已将其下线。 安全工程师验证了所有AWS区域均已启用AWS CloudTrail。CloudTrail日志正发送至名为DOC-EXAMPLE-BUCKET2的S3存储桶,该存储桶与DOC-EXAMPLE-BUCKET1位于同一AWS账户。但CloudTrail尚未配置为向Amazon CloudWatch Logs发送日志。 公司希望了解过去60天内是否有任何DOC-EXAMPLE-BUCKET1中的对象曾通过该IAM访问密钥被访问过。如果存在此类访问,公司还希望了解其中文本文件(.txt扩展名)是否包含个人身份信息(PII)。

    • A. 使用Amazon CloudWatch Logs Insights识别DOC-EXAMPLE-BUCKET1中包含PII且可被该访问密钥访问的对象。
    • B. 使用Amazon OpenSearch Service查询DOC-EXAMPLE-BUCKET2中的CloudTrail日志,查找使用该访问密钥访问含PII对象的API调用。
    • C. 使用Amazon Athena查询DOC-EXAMPLE-BUCKET2中的CloudTrail日志,查找使用该访问密钥访问含PII对象的任何API调用。
    • D. 配置AWS Identity and Access Management访问分析器(Access Analyzer),识别使用该访问密钥访问DOC-EXAMPLE-BUCKET1中含PII对象的任何API调用。
    • E. 配置Amazon Macie识别DOC-EXAMPLE-BUCKET1中包含PII且可被该访问密钥访问的对象。

    查看题目 →

  89. Q89. 一家公司正在使用AWS WAF来保护基于Amazon EC2实例的自定义公共API服务。该API使用Application Load Balancer。 AWS WAF Web ACL已配置了AWS托管规则规则组。在API及客户端应用程序完成软件升级后,某些类型的请求不再正常工作,并导致应用程序稳定性问题。安全工程师发现该Web ACL未启用AWS WAF日志记录。 安全工程师需要立即恢复应用程序服务、解决该问题,并确保未来日志记录不会被禁用。安全工程师为Web ACL启用了日志记录,并指定Amazon CloudWatch Logs作为目标。 为满足上述要求,安全工程师还应执行以下哪一组额外步骤?

    • A. 编辑Web ACL中的规则,将规则动作更改为Count。查看日志以确定是哪条规则阻止了请求。修改所有AWS WAF管理员的IAM策略,使其无法移除任何AWS WAF Web ACL的日志配置。
    • B. 编辑Web ACL中的规则,将规则动作更改为Count。查看日志以确定是哪条规则阻止了请求。修改AWS WAF资源策略,使其禁止AWS WAF管理员移除任何AWS WAF Web ACL的日志配置。
    • C. 编辑Web ACL中的规则,将规则动作更改为Count和Challenge。查看日志以确定是哪条规则阻止了请求。修改AWS WAF资源策略,使其禁止AWS WAF管理员移除任何AWS WAF Web ACL的日志配置。
    • D. 编辑Web ACL中的规则,将规则动作更改为Count和Challenge。查看日志以确定是哪条规则阻止了请求。修改所有AWS WAF管理员的IAM策略,使其无法移除任何AWS WAF Web ACL的日志配置。

    查看题目 →

  90. Q90. 一家公司正在实施新的合规性要求以满足客户需求。根据新要求,公司不得使用任何底层存储未加密的Amazon RDS数据库实例或数据库集群。公司需要一种解决方案,在创建未加密的数据库实例或数据库集群时生成电子邮件警报,并终止该未加密的数据库实例或数据库集群。 哪种解决方案能以最高的运维效率满足这些要求?

    • A. 创建一个AWS Config托管规则以检测未加密的RDS存储。配置自动补救操作,向Amazon Simple Notification Service(Amazon SNS)主题发布消息,该主题包含一个AWS Lambda函数和一个电子邮件投递目标作为订阅者。配置Lambda函数删除未加密的资源。
    • B. 创建一个AWS Config托管规则以检测未加密的RDS存储。配置手动补救操作以调用AWS Lambda函数。配置Lambda函数向Amazon Simple Notification Service(Amazon SNS)主题发布消息并删除未加密的资源。
    • C. 创建一个Amazon EventBridge规则,该规则评估RDS事件模式,并在创建数据库实例或数据库集群时触发。配置该规则向Amazon Simple Notification Service(Amazon SNS)主题发布消息,该主题包含一个AWS Lambda函数和一个电子邮件投递目标作为订阅者。配置Lambda函数删除未加密的资源。
    • D. 创建一个Amazon EventBridge规则,该规则评估RDS事件模式,并在创建数据库实例或数据库集群时触发。配置该规则调用AWS Lambda函数。配置Lambda函数向Amazon Simple Notification Service(Amazon SNS)主题发布消息并删除未加密的资源。

    查看题目 →

  91. Q91. 一家公司为其在线游戏推出了一套新的基于Web的账户管理系统。玩家创建唯一的用户名和密码登录该系统。该公司已为该系统部署了AWS WAF Web ACL。该Web ACL在服务该系统的Application Load Balancer上启用了核心规则集(CRS)AWS托管规则组。公司安全团队发现该系统成为凭证填充攻击的目标:攻击者利用在其他数据泄露事件中暴露的凭据尝试登录该系统。安全团队必须实施一项解决方案,以降低未来成功实施凭证填充攻击的可能性,同时最小化对系统合法用户的影响。 以下哪两种操作组合可满足这些要求?(选择两项)

    • A. 创建一个Amazon CloudWatch自定义指标,用于分析来自单个IP地址的成功登录响应数量。
    • B. 将账户接管防护(ATP)AWS托管规则组添加到Web ACL中。配置该规则组以检查系统登录请求。阻止带有awswaf:managed:aws:atp:signal:credential_compromised标签的任何请求。
    • C. 配置默认Web ACL操作,要求所有用户在登录时解答CAPTCHA验证码。
    • D. 在Web ACL中为生成大量成功登录响应的IP地址配置基于IP的匹配规则。阻止生成大量成功登录响应的IP地址。
    • E. 创建一个自定义阻止响应,将用户重定向至系统内安全的工作流程以重置其密码。

    查看题目 →

  92. Q92. 一家初创公司使用单个AWS账户,其资源位于单个AWS区域。安全工程师使用AWS CLI在同一区域中配置了一个AWS CloudTrail跟踪,将日志文件交付至Amazon S3存储桶。 由于业务扩展,该公司在多个区域中新增了资源。安全工程师注意到,来自新区域的日志未到达S3存储桶。 为以最少的运维开销解决此问题,安全工程师应采取什么措施?

    • A. 创建一个新的CloudTrail跟踪。选择公司新增资源的新区域。
    • B. 更改S3存储桶以接收通知,从而跟踪所有区域的所有操作。
    • C. 创建一个适用于所有区域的CloudTrail跟踪。
    • D. 修改现有CloudTrail跟踪,使其适用于所有区域。

    查看题目 →

  93. Q93. 一家公司使用AWS Organizations管理其人力资源、财务、软件开发和生产部门的多个AWS账户。公司所有开发人员均属于软件开发AWS账户。 公司发现开发人员启动了预装有公司未批准软件的Amazon EC2实例。公司希望实施一项解决方案,确保开发人员只能在软件开发AWS账户中启动包含已批准软件应用程序的EC2实例。 哪种解决方案可满足这些要求?

    • A. 在软件开发账户中,创建仅包含已批准软件的预配置实例的AMI。在AWS CloudFormation模板的条件部分中包含这些AMI ID,以便根据AWS区域启动适当的AMI。向开发人员提供该CloudFormation模板,供其在软件开发账户中启动EC2实例。
    • B. 创建一个Amazon EventBridge规则,在软件开发账户中发生任何EC2 RunInstances API事件时触发。将AWS Systems Manager Run Command指定为该规则的目标。配置Run Command运行脚本,在开发人员启动的实例上安装所有已批准的软件。
    • C. 使用AWS Service Catalog产品组合,其中包含具有适当AMI(仅含已批准软件)的EC2产品。授予开发人员仅访问该Service Catalog产品组合的权限,以在软件开发账户中启动产品。
    • D. 在管理账户中,创建仅包含已批准软件的预配置实例的AMI。使用AWS CloudFormation StackSets跨组织内任何AWS账户启动这些AMI。授予开发人员在管理账户内启动堆栈集的权限。

    查看题目 →

  94. Q94. 一家公司已按照AWS最佳实践保护其AWS账户根用户。该公司还启用了AWS CloudTrail,且其日志正发送至Amazon S3。一位安全工程师希望在用户使用AWS账户根用户凭据登录AWS管理控制台时,近实时地收到通知。 以下哪些解决方案可提供此通知?(选择两项)

    • A. 使用AWS Trusted Advisor及其针对根账户的安全评估。配置一个由Trusted Advisor API触发的Amazon EventBridge事件规则。配置该规则以指向Amazon Simple Notification Service(Amazon SNS)主题。向该SNS主题订阅任何所需端点,以便这些端点可接收通知。
    • B. 使用AWS IAM Access Analyzer。创建一个Amazon CloudWatch Logs指标筛选器,用于评估Access Analyzer日志条目中检测到的成功根账户登录事件。创建一个Amazon CloudWatch告警,用于监控是否发生了根登录事件。配置该CloudWatch告警在进入ALARM状态时通知Amazon Simple Notification Service(Amazon SNS)主题。向该SNS主题订阅任何所需端点,以便这些端点可接收通知。
    • C. 配置AWS CloudTrail将日志发送至Amazon CloudWatch Logs。在CloudTrail使用的CloudWatch Logs日志组上配置指标筛选器,以评估成功根账户登录的日志条目。创建一个Amazon CloudWatch告警,用于监控是否发生了根登录事件。配置该CloudWatch告警在进入ALARM状态时通知Amazon Simple Notification Service(Amazon SNS)主题。向该SNS主题订阅任何所需端点,以便这些端点可接收通知。
    • D. 配置AWS CloudTrail将日志通知发送至Amazon Simple Notification Service(Amazon SNS)主题。创建一个AWS Lambda函数,用于解析CloudTrail通知中的根登录活动,并通知另一个包含应接收通知端点的SNS主题。将Lambda函数订阅至接收CloudTrail日志通知的SNS主题。
    • E. 配置一个Amazon EventBridge事件规则,在记录Amazon CloudWatch API调用以实现成功根登录时触发。配置该规则以指向Amazon Simple Notification Service(Amazon SNS)主题。向该SNS主题订阅任何所需端点,以便这些端点可接收通知。

    查看题目 →

  95. Q95. 一家公司正在调研保护敏感数据的控制措施。该公司使用Amazon Simple Notification Service(Amazon SNS)主题,将应用组件的消息发布至自定义日志服务。 公司担心某个应用组件可能会发布敏感数据,从而意外暴露于事务日志和调试日志中。 以下哪种解决方案可保护这些消息中的敏感数据免于意外暴露?

    • A. 使用Amazon Macie扫描SNS主题中的SNS消息以识别敏感数据元素。创建一个AWS Lambda函数,在Macie记录新发现时对消息内的敏感数据进行掩码处理。
    • B. 配置入站消息数据保护策略。在该策略中包含De-identify操作,以掩码消息内的敏感数据。将该策略应用于SNS主题。
    • C. 使用AWS Key Management Service(AWS KMS)客户托管密钥配置SNS主题,以加密消息内的数据元素。向所有消息发布者的IAM角色授予访问该密钥以加密数据的权限。
    • D. 为传输至SNS主题的敏感数据创建Amazon GuardDuty发现项。创建一个AWS Security Hub自定义补救操作,以阻止包含敏感数据的消息投递给SNS主题的订阅者。

    查看题目 →

  96. Q96. 一位安全工程师正在配置基于账户的访问控制(ABAC),以仅允许特定主体向Amazon S3存储桶放置对象。这些主体已具备Amazon S3访问权限。 安全工程师需要配置一个存储桶策略,仅当对象上的Team标签值与主体关联的Team标签值匹配时,才允许主体向S3存储桶放置对象。在测试过程中,安全工程师注意到即使标签值不匹配,主体仍可向S3存储桶放置对象。 以下哪两种因素共同导致在标签值不同时PutObject操作仍成功?(选择两项)

    • A. 主体的身份策略授予了向S3存储桶放置对象的权限,且未设置任何条件。
    • B. 主体的身份策略因包含显式允许而覆盖了条件。
    • C. S3存储桶的资源策略未拒绝放置对象的访问权限。
    • D. S3存储桶的资源策略无法向主体授予权限。
    • E. 存储桶策略不适用于同一信任域内的主体。

    查看题目 →

  97. Q97. 一位安全工程师正在检查一个AWS CloudFormation模板是否存在漏洞。该安全工程师发现一个参数的默认值以明文形式暴露了应用程序的API密钥,且该参数在模板中被多次引用。该安全工程师必须替换该参数,同时保持在模板中引用该值的能力。 以下哪种解决方案能以最安全的方式满足这些要求?

    • A. 将API密钥值作为SecureString参数存储在AWS Systems Manager Parameter Store中。在模板中,将所有对该值的引用替换为{{resolve:ssm:MySSMParameterName:1}}。
    • B. 将API密钥值存储在AWS Secrets Manager中。在模板中,将所有对该值的引用替换为{{resolve:secretsmanager:MySecretId:SecretString}}。
    • C. 将API密钥值存储在Amazon DynamoDB中。在模板中,将所有对该值的引用替换为{{resolve:dynamodb:MyTableName:MyPrimaryKey}}。
    • D. 将API密钥值存储在一个新的Amazon S3存储桶中。在模板中,将所有对该值的引用替换为{{resolve:s3:MyBucketName:MyObjectName}}。

    查看题目 →

  98. Q98. 在保障公司VPC与其本地数据中心之间连接的安全性时,一位安全工程师从一台本地主机(IP地址203.0.113.12)向一台Amazon EC2实例(IP地址172.31.16.139)发送了ping命令。该ping命令未返回响应。VPC中的流日志显示如下: 应执行哪项操作才能使ping命令正常工作?

    • A. 在EC2实例的安全组中,允许入站ICMP流量。
    • B. 在EC2实例的安全组中,允许出站ICMP流量。
    • C. 在VPC的网络ACL(NACL)中,允许入站ICMP流量。
    • D. 在VPC的网络ACL(NACL)中,允许出站ICMP流量。

    查看题目 →

  99. Q99. 一位安全工程师最近轮换了AWS账户中的所有IAM访问密钥。随后,该安全工程师配置了AWS Config,并启用了以下AWS Config托管规则:mfa-enabled-for-iam-console-access、iam-user-mfa-enabled、access-keys-rotated和iam-user-unused-credentials-check。 在调用IAM GenerateCredentialReport API操作后,该安全工程师注意到所有资源均显示为不合规状态。 导致不合规状态的可能原因是什么?

    • A. IAM凭证报告是在过去4小时内生成的。
    • B. 该安全工程师没有GenerateCredentialReport权限。
    • C. 该安全工程师没有GetCredentialReport权限。
    • D. AWS Config规则的最大执行频率(Maximum ExecutionFrequency)值为24小时。

    查看题目 →

  100. Q100. 一家公司拥有一个运行在Application Load Balancer(ALB)后端的Web应用程序。该应用程序正遭受凭证填充攻击,产生了大量失败的登录尝试。攻击来自多个IP地址,且登录尝试使用了已知移动设备模拟器的用户代理(User-Agent)字符串。 一位安全工程师需要实施一种解决方案来缓解该凭证填充攻击,同时仍允许合法用户登录该应用程序。 以下哪种解决方案能满足这些要求?

    • A. 创建一个Amazon CloudWatch告警,响应包含指定用户代理字符串的登录尝试。为该告警添加一个Amazon Simple Notification Service(Amazon SNS)主题。
    • B. 修改ALB的入站安全组,拒绝来自攻击所涉IP地址的流量。
    • C. 为ALB创建一个AWS WAF Web ACL。创建一条自定义规则,阻止包含该设备模拟器用户代理字符串的请求。
    • D. 为ALB创建一个AWS WAF Web ACL。创建一条自定义规则,仅允许来自合法用户代理字符串的请求。

    查看题目 →