832 お客様のコメント
質問 1:
企業は、IAM アカウントに一連の標準 IAM ロールをデプロイします。IAM の役割は、社内の職務に基づいています。運用効率とセキュリティのバランスをとるために、セキュリティ エンジニアは IAM Organizations SCP を実装して、すべての企業アカウントで重要なセキュリティ サービスへのアクセスを制限しました。
IAM 組織内の会社のすべてのアカウントと OU には、デフォルトの FullIAMAccess SCP がアタッチされています。セキュリティエンジニアは、誰も Amazon GuardDuty と IAM Security Hub を無効にできないようにする必要があります。また、セキュリティ エンジニアは、アカウントで定義されている IAM ポリシーによって付与される他のアクセス許可をオーバーライドしてはなりません。
これらの要件を満たすために、セキュリティ エンジニアはどの SCP を組織のルートに接続する必要がありますか?
A.
B.
C.
D.
正解:B
質問 2:
セキュリティ チームは、従業員が IAM インフラストラクチャで不正なアクションを実行した場合の対応計画を作成しています。彼らは、従業員の IAM アクセス許可がインシデントの一部として変更されたかどうかを判断する手順を含めたいと考えています。
チームは計画でどのような手順を文書化する必要がありますか?
選んでください:
A. Made を使用して、インシデント前の従業員の IAM アクセス許可を調べ、従業員の現在の IAM アクセス許可と比較します。
B. Trusted Advisor を使用して、インシデント前の従業員の IAM 権限を調べ、従業員の現在の IAM 権限と比較します。
C. IAM Config を使用して、インシデント前の従業員の IAM 権限を調べ、従業員の現在の IAM 権限と比較します。
D. CloudTrail を使用して、インシデント前の従業員の IAM アクセス許可を調べ、従業員の現在の IAM アクセス許可と比較します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 3:
企業には、Amazon EC2 インスタンス間のイングレス、エグレス、および通信を管理する複雑な接続ルールがあります。ルールは非常に複雑であるため、セキュリティ グループとネットワーク アクセス コントロール リスト (ネットワーク ACL) の最大数の制限内で実装することはできません。
追加コストを発生させることなく、必要なすべてのネットワーク ルールを企業が実装できるようにするメカニズムは何ですか?
A. NAT ゲートウェイを使用して、要件に応じて入出力を制御します。
B. IAM マーケットプレイスから EC2 ベースのファイアウォール製品を起動し、その製品に必要なルールを実装します。
C. オペレーティング システムに組み込まれたホストベースのファイアウォールを使用して、必要なルールを実装します。
D. IAM WAF ルールを構成して、必要なルールを実装します。
正解:C
質問 4:
ある企業は、IAM Key Management Service (IAM KMS) CMK によるサーバー側の暗号化を使用して、Amazon S3 に機密文書を保存しています。新しい要件では、これらのドキュメントに使用される CMK は S3 アクションにのみ使用できることが義務付けられています。
この要件を満たすために、企業は主要なポリシーにどのステートメントを追加する必要がありますか?
A.
B.
正解:A
質問 5:
ある会社は、機密データセットを Amazon S3 に移行することを計画しています。セキュリティ エンジニアは、データが保存時に暗号化されていることを確認する必要があります。暗号化ソリューションは、企業がキー ストレージや暗号化プロセスを管理する必要なく、独自のキーを生成できるようにする必要があります。
セキュリティ エンジニアはこれを達成するために何を使用する必要がありますか?
A. 顧客提供のキーによるサーバー側の暗号化 (SSE-C)
B. Amazon S3 で管理されたキーを使用したサーバー側の暗号化 (SSE-S3)
C. IAM KMS 管理の CMK を使用したクライアント側の暗号化
D. IAM KMS で管理されたキー (SSE-KMS) を使用したサーバー側の暗号化
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
会社には、IAM で実行されている複数のワークロードがあります。従業員は、オンプレミスの ADFS と SSO を使用して認証し、IAM 管理コンソールにアクセスする必要があります。開発者は、既存のレガシー ウェブ アプリケーションを Amazon EC2 インスタンスに移行しました。従業員はインターネット上のどこからでもこのアプリケーションにアクセスする必要がありますが、現在、アプリケーションに組み込まれている認証システムはありません。
セキュリティ エンジニアは、アプリケーションを変更せずに、このシステムへの従業員のみのアクセスをどのように実装する必要がありますか?
A. Amazon Cognito ID プールを定義してから、コネクタを Active Directory サーバーにインストールします。アプリケーション インスタンスで Amazon Cognito SDK を使用して、Active Directory のユーザー名とパスワードを使用して従業員を認証します。
B. Amazon EC2 のリバース プロキシのオーセンティケーターとして IAM Lambda カスタム オーソライザーを作成します。
Amazon EC2 のセキュリティ グループが Lambda 関数からのアクセスのみを許可するようにします。
C. アプリケーションを Application Load Balancer (ALB) の背後に配置します。ALB の認証として Amazon Cognito を使用します。SAML ベースの Amazon Cognito ユーザー プールを定義し、ADFS に接続します。
D. マスター アカウントに IAM SSO を実装し、ID プロバイダーとして ADFS にリンクします。EC2 インスタンスをマネージド リソースとして定義し、リソースに IAM ポリシーを適用します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
Example Corp. の経理部門は、コストの最適化を支援するために、Example Corp. の IAM アカウントを監視するために、サードパーティの会社である AnyCompany を雇うことを決定しました。
Example Corp. のセキュリティ エンジニアは、必要な Example Corp. IAM リソースへのアクセスを AnyCompany に提供する任務を負っています。エンジニアは IAM ロールを作成し、AnyCompany の IAM アカウントにこのロールを引き受ける権限を付与しました。
顧客が AnyCompany に連絡するとき、検証のためにロール ARN を提供します。エンジニアは、AnyCompany の他の顧客の 1 人が Example Corp. のロール ARN を推測し、会社のアカウントを侵害する可能性があることを懸念しています。
この結果を防ぐために、エンジニアはどのような手順を実行する必要がありますか?
A. AnyCompany から IP 範囲を要求し、IAM:SourceIp を含む条件をロールの信頼ポリシーに追加します。
B. IAM:MultiFactorAuthPresent を使用してロールの信頼ポリシーに条件を追加して、2 要素認証を要求します。
C. AnyCompany から外部 ID を要求し、 sts:Externald を含む条件をロールの信頼ポリシーに追加します。
D. IAM ユーザーを作成し、一連の長期認証情報を生成します。資格情報を AnyCompany に提供します。
IAM アクセス アドバイザーでアクセスを監視し、資格情報を定期的にローテーションするように計画します。
正解:C
質問 8:
ある会社は、IAM Organization を使用して 50 の IAM アカウントを管理しています。財務スタッフ メンバーは、FinanceDept IAM アカウントに IAM IAM ユーザーとしてログインします。スタッフ メンバーは、MasterPayer IAM アカウントの統合請求情報を読み取る必要があります。MasterPayer IAM アカウントで他のリソースを表示できないようにする必要があります。請求への IAM アクセスが MasterPayer アカウントで有効になっています。
次のアプローチのうち、不要なアクセス許可を付与せずに必要なアクセス許可を財務スタッフに付与する方法はどれですか?
A. FinanceDept アカウントで財務ユーザー用の IAM グループを作成し、IAM 管理の ReadOnlyAccess IAM ポリシーをグループにアタッチします。
B. ViewBilling 権限を持つ FinanceDept アカウントに IAM IAM ロールを作成し、MasterPayer アカウントの財務ユーザーにそのロールを引き受ける権限を付与します。
C. ViewBilling 権限を持つ MasterPayer アカウントに IAM IAM ロールを作成し、FinanceDept アカウントの財務ユーザーにそのロールを引き受ける権限を付与します。
D. MasterPayer アカウントで金融ユーザー用の IAM グループを作成し、IAM 管理の ReadOnlyAccess IAM ポリシーをグループにアタッチします。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
企業は、IAM アカウントに一連の標準 IAM ロールをデプロイします。IAM の役割は、社内の職務に基づいています。運用効率とセキュリティのバランスをとるために、セキュリティ エンジニアは IAM Organizations SCP を実装して、すべての企業アカウントで重要なセキュリティ サービスへのアクセスを制限しました。
IAM 組織内の会社のすべてのアカウントと OU には、デフォルトの FullIAMAccess SCP がアタッチされています。セキュリティエンジニアは、誰も Amazon GuardDuty と IAM Security Hub を無効にできないようにする必要があります。また、セキュリティ エンジニアは、アカウントで定義されている IAM ポリシーによって付与される他のアクセス許可をオーバーライドしてはなりません。
これらの要件を満たすために、セキュリティ エンジニアはどの SCP を組織のルートに接続する必要がありますか?
A.
B.
C.
D.
正解:B
質問 2:
セキュリティ チームは、従業員が IAM インフラストラクチャで不正なアクションを実行した場合の対応計画を作成しています。彼らは、従業員の IAM アクセス許可がインシデントの一部として変更されたかどうかを判断する手順を含めたいと考えています。
チームは計画でどのような手順を文書化する必要がありますか?
選んでください:
A. Made を使用して、インシデント前の従業員の IAM アクセス許可を調べ、従業員の現在の IAM アクセス許可と比較します。
B. Trusted Advisor を使用して、インシデント前の従業員の IAM 権限を調べ、従業員の現在の IAM 権限と比較します。
C. IAM Config を使用して、インシデント前の従業員の IAM 権限を調べ、従業員の現在の IAM 権限と比較します。
D. CloudTrail を使用して、インシデント前の従業員の IAM アクセス許可を調べ、従業員の現在の IAM アクセス許可と比較します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 3:
企業には、Amazon EC2 インスタンス間のイングレス、エグレス、および通信を管理する複雑な接続ルールがあります。ルールは非常に複雑であるため、セキュリティ グループとネットワーク アクセス コントロール リスト (ネットワーク ACL) の最大数の制限内で実装することはできません。
追加コストを発生させることなく、必要なすべてのネットワーク ルールを企業が実装できるようにするメカニズムは何ですか?
A. NAT ゲートウェイを使用して、要件に応じて入出力を制御します。
B. IAM マーケットプレイスから EC2 ベースのファイアウォール製品を起動し、その製品に必要なルールを実装します。
C. オペレーティング システムに組み込まれたホストベースのファイアウォールを使用して、必要なルールを実装します。
D. IAM WAF ルールを構成して、必要なルールを実装します。
正解:C
質問 4:
ある企業は、IAM Key Management Service (IAM KMS) CMK によるサーバー側の暗号化を使用して、Amazon S3 に機密文書を保存しています。新しい要件では、これらのドキュメントに使用される CMK は S3 アクションにのみ使用できることが義務付けられています。
この要件を満たすために、企業は主要なポリシーにどのステートメントを追加する必要がありますか?
A.
B.
正解:A
質問 5:
ある会社は、機密データセットを Amazon S3 に移行することを計画しています。セキュリティ エンジニアは、データが保存時に暗号化されていることを確認する必要があります。暗号化ソリューションは、企業がキー ストレージや暗号化プロセスを管理する必要なく、独自のキーを生成できるようにする必要があります。
セキュリティ エンジニアはこれを達成するために何を使用する必要がありますか?
A. 顧客提供のキーによるサーバー側の暗号化 (SSE-C)
B. Amazon S3 で管理されたキーを使用したサーバー側の暗号化 (SSE-S3)
C. IAM KMS 管理の CMK を使用したクライアント側の暗号化
D. IAM KMS で管理されたキー (SSE-KMS) を使用したサーバー側の暗号化
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
会社には、IAM で実行されている複数のワークロードがあります。従業員は、オンプレミスの ADFS と SSO を使用して認証し、IAM 管理コンソールにアクセスする必要があります。開発者は、既存のレガシー ウェブ アプリケーションを Amazon EC2 インスタンスに移行しました。従業員はインターネット上のどこからでもこのアプリケーションにアクセスする必要がありますが、現在、アプリケーションに組み込まれている認証システムはありません。
セキュリティ エンジニアは、アプリケーションを変更せずに、このシステムへの従業員のみのアクセスをどのように実装する必要がありますか?
A. Amazon Cognito ID プールを定義してから、コネクタを Active Directory サーバーにインストールします。アプリケーション インスタンスで Amazon Cognito SDK を使用して、Active Directory のユーザー名とパスワードを使用して従業員を認証します。
B. Amazon EC2 のリバース プロキシのオーセンティケーターとして IAM Lambda カスタム オーソライザーを作成します。
Amazon EC2 のセキュリティ グループが Lambda 関数からのアクセスのみを許可するようにします。
C. アプリケーションを Application Load Balancer (ALB) の背後に配置します。ALB の認証として Amazon Cognito を使用します。SAML ベースの Amazon Cognito ユーザー プールを定義し、ADFS に接続します。
D. マスター アカウントに IAM SSO を実装し、ID プロバイダーとして ADFS にリンクします。EC2 インスタンスをマネージド リソースとして定義し、リソースに IAM ポリシーを適用します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
Example Corp. の経理部門は、コストの最適化を支援するために、Example Corp. の IAM アカウントを監視するために、サードパーティの会社である AnyCompany を雇うことを決定しました。
Example Corp. のセキュリティ エンジニアは、必要な Example Corp. IAM リソースへのアクセスを AnyCompany に提供する任務を負っています。エンジニアは IAM ロールを作成し、AnyCompany の IAM アカウントにこのロールを引き受ける権限を付与しました。
顧客が AnyCompany に連絡するとき、検証のためにロール ARN を提供します。エンジニアは、AnyCompany の他の顧客の 1 人が Example Corp. のロール ARN を推測し、会社のアカウントを侵害する可能性があることを懸念しています。
この結果を防ぐために、エンジニアはどのような手順を実行する必要がありますか?
A. AnyCompany から IP 範囲を要求し、IAM:SourceIp を含む条件をロールの信頼ポリシーに追加します。
B. IAM:MultiFactorAuthPresent を使用してロールの信頼ポリシーに条件を追加して、2 要素認証を要求します。
C. AnyCompany から外部 ID を要求し、 sts:Externald を含む条件をロールの信頼ポリシーに追加します。
D. IAM ユーザーを作成し、一連の長期認証情報を生成します。資格情報を AnyCompany に提供します。
IAM アクセス アドバイザーでアクセスを監視し、資格情報を定期的にローテーションするように計画します。
正解:C
質問 8:
ある会社は、IAM Organization を使用して 50 の IAM アカウントを管理しています。財務スタッフ メンバーは、FinanceDept IAM アカウントに IAM IAM ユーザーとしてログインします。スタッフ メンバーは、MasterPayer IAM アカウントの統合請求情報を読み取る必要があります。MasterPayer IAM アカウントで他のリソースを表示できないようにする必要があります。請求への IAM アクセスが MasterPayer アカウントで有効になっています。
次のアプローチのうち、不要なアクセス許可を付与せずに必要なアクセス許可を財務スタッフに付与する方法はどれですか?
A. FinanceDept アカウントで財務ユーザー用の IAM グループを作成し、IAM 管理の ReadOnlyAccess IAM ポリシーをグループにアタッチします。
B. ViewBilling 権限を持つ FinanceDept アカウントに IAM IAM ロールを作成し、MasterPayer アカウントの財務ユーザーにそのロールを引き受ける権限を付与します。
C. ViewBilling 権限を持つ MasterPayer アカウントに IAM IAM ロールを作成し、FinanceDept アカウントの財務ユーザーにそのロールを引き受ける権限を付与します。
D. MasterPayer アカウントで金融ユーザー用の IAM グループを作成し、IAM 管理の ReadOnlyAccess IAM ポリシーをグループにアタッチします。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
太田** -
私はSCS-C01日本語版問題集と合わせて購入して、最近にSCS-C01日本語版しけんに合格できました。
試験前もずっと勉強していたので、よかったです。Pass4Test参考書とあとは努力ですね。