1 解决

26 浏览

• 甜甜甜心 2021-04-04

<{p}>保护最近打开的 AWS 账户的 AWS 账户根用户的最安全方法是什么？ （选择两项。）<{/p}>

Security

1 解决

98 浏览

• 突突死这帮狗奏 2021-04-04

<{p}>一家公司已在所有区域启用 Amazon GuardDuty 作为其安全监控策略的一部分。在其中一个 VPC 中，该公司托管了一个用作 FTP 服务器的 Amazon EC2 实例，来自多个位置的大量客户端与之联系。由于每小时发生大量连接，GuardDuty 将其识别为暴力攻击。该发现已被标记为误报。但是，GuardDuty 不断提出这个问题。已要求安全工程师改进<{/p}><{p}>信噪比。工程师需要确保更改不会损害潜在异常行为的可见性。<{/p}><{p}> <{/p}><{p}>安全工程师如何解决这个问题？<{/p}>

Security

1 解决

85 浏览

• 青云 2021-04-04

<{p}>一家公司在 VPC 中的 Amazon EC2 实例上托管关键业务应用程序。 VPC 使用默认的 DHCP 选项集。安全工程师需要记录内部资源在 VPC 中进行的所有 DNS 查询。安全工程师还必须创建一个随时间推移最常见的 DNS 查询列表。<{/p}><{p}> <{/p}><{p}>哪种解决方案可以满足这些要求？<{/p}>

Security

1 解决

86 浏览

• Mr.李 2021-04-04

<{p}>一家公司想要使用 AWS Systems Manager Patch Manager 来修补运行 Amazon Linux 2 的 Amazon EC2 实例。EC2 实例在单个 AWS 账户中运行。账户中的任何 EC2 实例都不允许 Internet 连接。<{/p}><{p}>安全工程师已在 Patch Manager 中配置相关设置。安全工程师现在需要确保 EC2 实例可以连接到 Systems Manager 端点。<{/p}><{p}> <{/p}><{p}>安全工程师必须采取哪些步骤组合才能满足这些要求？ （选择三个。）<{/p}>

Security

1 解决

37 浏览

• 宇轩 2021-04-04

<{p}>公司的安全工程师必须记录特定 AWS Lambda 函数何时被调用。日志必须包含调用该函数的 AWS 委托人。外部资源和公司开发人员使用多种语言（如 Python、Node.js 和 Golang）交付 Lambda 函数代码。安全工程师使用 AWS 账户的默认配置创建了 AWS CloudTrail 跟踪。<{/p}><{p}> <{/p}><{p}>哪种解决方案能够以最少的运营开销满足这些要求？<{/p}>

Security

1 解决

14 浏览

• 新年 2021-04-04

<{p}>一家公司发布了一种新的软件即服务 (SaaS) 应用程序，该应用程序得到了最终用户的广泛采用。 rds-storage-encrypted AWS Config 托管规则生成警报，通知公司的安全团队有关不合规的资源。不合规资源是作为新发布的应用程序的一部分部署的 Amazon RDS for MySQL 数据库。安全团队如何解决对最终用户的应用程序可用性影响最小的不合规问题？<{/p}>

Security

1 解决

81 浏览

• qingyun 2021-04-04

<{p}>某公司计划使用 AWS CodeDeploy 将代码同时部署到 VPC 中的多个 Amazon EC2 实例。该公司需要允许CodeDeploy服务与VPC中的实例进行通信，而无需通过公共互联网进行CodeDeploy API操作。<{/p}><{p}> <{/p}><{p}>安全工程师应该怎么做才能满足这个要求？<{/p}>

Security

1 解决

59 浏览

• 新年 2021-04-04

<{p}>一家公司将 Amazon RDS 快照发送到两个账户，作为其灾难恢复 (DR) 计划的一部分。快照必须加密。但是，每个帐户都需要能够在发生 DR 事件时解密快照。<{/p}><{p}> <{/p}><{p}>哪种解决方案可以满足这些要求？<{/p}>

Security

1 解决

90 浏览

• hyz860210 2021-04-04

<{p}>一家公司要求其所有 Amazon RDS 资源都不能公开访问。安全工程师需要为此要求设置监控，并且如果任何 RDS 资源不合规，则必须收到近乎实时的通知。<{/p}><{p}> <{/p}><{p}>安全工程师应该采取哪些步骤组合来满足这些要求？ （选择三个。）<{/p}>

Security

1 解决

116 浏览

• RENO 2021-04-04

<{p}>安全团队已收到来自 Amazon GuardDuty 的警报，称 AWS CloudTrail 日志记录已被禁用。安全团队的账户启用了 AWS Config、Amazon Inspector、Amazon Detective 和 AWS Security Hub。安全团队想要确定谁禁用了 CloudTrail 以及在禁用 CloudTrail 时执行了哪些操作。<{/p}><{p}> <{/p}><{p}>安全团队应该如何获取这些信息？<{/p}>

Security

1 解决

94 浏览

• 宇轩 2021-04-04

<{p}>一名安全工程师在为客户公司提供托管和服务的母公司工作。母公司在 AWS Organizations 中为所有客户公司账户维护一个组织。母公司在创建新帐户时将任何新帐户添加到组织中。母公司目前使用 IAM 用户来管理客户公司帐户。随着更多客户账户的添加，IAM 账户的管理需要更多时间。安全工程师必须设计一个解决方案，以减少母公司在客户帐户的管理和访问配置上花费的时间。<{/p}><{p}> <{/p}><{p}>安全工程师应该采取哪些步骤组合来满足这些要求？ （选择两项。）<{/p}>

Security

1 解决

83 浏览

• 何小帅 2021-04-04

<{p}>一家公司不小心删除了 Amazon Elastic Block Store (Amazon EBS) 支持的 Amazon EC2 实例的私钥。安全工程师需要重新获得对该实例的访问权限。<{/p}><{p}> <{/p}><{p}>哪种步骤组合可以满足此要求？ （选择两项。）<{/p}>

Security

1 解决

45 浏览

• ToopBook 2021-04-04

<{p}>一家公司在其 AWS 账户中使用 Amazon Macie、AWS Firewall Manager、Amazon Inspector 和 AWS Shield Advanced。公司要<{/p}><{p}>如果帐户发生 DDoS 攻击，则接收警报。<{/p}><{p}> <{/p}><{p}>哪种解决方案可以满足此要求？<{/p}>

Security

1 解决

113 浏览

• 蓝色多瑙河 2021-04-04

<{p}>一家国际公司在韩国建立了一个新的商业实体。该公司还建立了一个新的 AWS 账户来包含韩国地区的工作负载。公司已在 ap-northeast-2 区域的新账户中设置工作负载。工作负载由三个 Amazon EC2 实例的 Auto Scaling 组组成。在此区域中运行的所有工作负载必须保留系统日志和应用程序日志 7 年。安全工程师必须实施解决方案，以确保在扩展活动期间每个实例的日志数据都不会丢失。该解决方案还必须仅将日志保留所需的 7 年期限。<{/p}><{p}> <{/p}><{p}>安全工程师应该采取哪些步骤组合来满足这些要求？ （选择三个。）<{/p}>

Security

1 解决

54 浏览

• y0000z 2021-04-04

<{p}>一位安全工程师正在尝试使用 Amazon EC2 Image Builder 创建 EC2 实例的映像。安全工程师已将管道配置为将日志发送到 Amazon S3 存储桶。当安全工程师运行管道时，构建失败并出现以下错误：“AccessDenied: Access Denied status code: 403”。<{/p}><{p}>安全工程师必须通过实施符合最低权限访问最佳实践的解决方案来解决错误。<{/p}><{p}> <{/p}><{p}>哪些步骤组合可以满足这些要求？ （选择两项。）<{/p}>

Security

1 解决

35 浏览

• tousu 2021-04-04

<{p}>安全工程师正尝试将基于 Linux 的容器映像推送到 us-east-1 区域中的 Amazon Elastic Container Registry (Amazon ECR) 存储库。安全工程师在过去 4 小时内使用 aws ecr get-login-password AWS CLI 命令检索了身份验证令牌。安全工程师已确认具有将容器映像推送到存储库的正确权限。<{/p}><{p}>当安全工程师尝试推送容器镜像时，安全工程师收到以下错误：“无基本身份验证凭据”。<{/p}><{p}> <{/p}><{p}>安全工程师应该如何解决这个错误？<{/p}>

Security

1 解决

53 浏览

• 至尊黄铜 2021-04-04

<{p}>一家公司正在设计一种解决方案，以提供来自 Amazon Cloud Front 分配的内容，该分配将以 Amazon S3 存储桶为源。安全工程师需要使用 AWS Key Management Service (KMS) 客户托管密钥而不是 S3 托管密钥来加密静态 S3 数据。该解决方案必须最大限度地减少运营开销。<{/p}><{p}> <{/p}><{p}>安全工程师应该采取哪些步骤组合来满足这些要求？ （选择三个。）<{/p}>

Security

1 解决

117 浏览

• 人间小菊花 2021-04-04

<{p}>一家公司为其所有公共端点使用 HTTPS。第三方证书颁发机构 (CA) 颁发证书。公司导入证书并将证书附加到 Elastic Load Balancer 或 Amazon CloudFront 分配。该公司还使用第三方 DNS 托管提供商。证书即将到期。该公司希望迁移到具有自动续订功能的 AWS Certificate Manager (ACM)。当公司<{/p}><{p}>在 DNS 验证期间添加 CNAME 记录，证书状态更改为失败。<{/p}><{p}> <{/p}><{p}>这个问题的根本原因是什么？<{/p}>

Security

1 解决

82 浏览

• kid 2021-04-04

<{p}>一家公司正在迁移其基于 Amazon EC2 的应用程序以使用实例元数据服务版本 2 (IMDSv2)。安全工程师需要确定是否有任何 EC2 实例仍在使用实例元数据服务版本 1 (IMDSv1)。<{/p}><{p}> <{/p}><{p}>安全工程师应该如何确认不再使用 IMDSv1 端点？<{/p}>

Security

1 解决

56 浏览

• MrCheng 2021-04-04

<{p}>一家公司有一个由 Amazon CloudFront 提供服务的单页应用程序 (SPA)。 Amazon S3 存储桶是 CloudFront 分配的来源。该公司正在使用 Amazon Cognito 进行身份验证。<{/p}><{p}>外部安全审查显示，未经身份验证的用户可以从 index.html 中的 SPA 下载应用程序源代码并查看<{/p}><{p}>SPA 的内部细节。安全工程师需要实施一种解决方案，以避免将源代码暴露给未经身份验证的用户。<{/p}><{p}> <{/p}><{p}>哪种解决方案可以满足这些要求？<{/p}>

Security