SCS-C02_在线真题试卷与模拟练习_SCS-C02

更新时间：试题数量：购买人数：提供作者：

有效期：个月

章节介绍：共有个章节

我的练习

我的错题
(0道)

我的收藏
(0道)

我的斩题
(0道)

我的笔记
(0道)

专项练习

顺序练习 0 / 0

随机练习 自定义设置练习量

题型乱序 按导入顺序练习

模拟考试 仿真模拟

题型练习 按题型分类练习

易错题 精选高频易错题

学习资料 考试学习相关信息

搜索

题库预览

一家电子商务公司有一个主要在容器上运行的 web 应用程序架构。应用程序容器部署在亚马逊弹性容器服务(亚马逊 ECS)上。应用程序的容器映像存储在 Amazon Elastic container Registry (亚马逊 ECR)中。该公司的安全团队正在对应用程序架构的组件进行审计。安全团队发现了存储在容器存储库中的一些容器映像的问题。

安全团队希望通过实现容器映像的持续扫描和推送扫描来解决这些问题。安全团队需要实现一种解决方案，使这些扫描的任何发现都能在集中的仪表板中可见。安全团队计划使用仪表板来查看这些发现以及他们打算在未来生成的其他与安全相关的发现。安全团队需要从扫描过程中排除特定的存储库。

哪种解决方案能满足这些要求?

某公司使用身份联合认证用户到一个身份帐户(987654321987)，其中用户承担一个名为IdentityRole 的 IAM 角色。然后，用户在目标 AWS 账户(123456789123)中假设一个名为JobFunctionRole 的 IAM 角色来执行他们的工作功能。

用户无法在目标帐户中担任 IAM 角色。身份账户中角色附加的策略为:

（含图）

要让用户在目标账号中承担相应的角色，应该做些什么?

某公司正在使用 AWS 组织来管理人力资源、财务、软件开发和生产部门的多个 AWS 帐户。公司的所有开发人员都是软件开发 AWS 账户的一部分。
公司发现开发人员已经启动了 Amazon EC2 实例，这些实例预先配置了公司未批准使用的软件。该公司希望实现一个解决方案，以确保开发人员只能使用经过批准的软件应用程序启动 EC2 实例，并且只能在软件开发 AWS 帐户中启动。
哪个解决方案能满足这些要求呢?

某公司在所有 AWS 区域启用了亚马逊 GuardDuty，作为其安全监控策略的一部分。在其中一个 vpc 中，该公司托管了一个用作 FTP 服务器的亚马逊 EC2 实例。来自多个位置的大量客户端联系 FTP 服务器。GuardDuty 将此活动识别为暴力攻击，因为每小时都会发生大量连接。
该公司已将这一发现标记为误报，但 GuardDuty 仍在继续提出这个问题。安全工程师必须在不影响公司对潜在异常行为的可见性的情况下提高信噪比。
哪种解决方案能满足这些要求呢?

一家公司在亚马逊 EC2 启动类型的亚马逊弹性容器服务(亚马逊 ECS)上运行内部微服务。
该公司正在使用 Amazon Elastic Container Registry (亚马逊 ECR)私有存储库。
安全工程师需要使用 AWS 密钥管理服务(AWS KMS)对私有存储库进行加密。安全工程师还需要分析容器映像中是否存在任何常见的漏洞和曝光(CVEs)。
哪种解决方案能满足这些要求呢?

一家公司的安全工程师的任务是限制承包商的IAM帐户访问公司的Amazon EC2控制台，而不允许访问任何其他 AWS 服务。承包商的 IAM 帐户不能访问任何其他 AWS 服务，即使IAM 帐户根据 IAM 组成员资格被分配了额外的权限。
安全工程师应该做些什么来满足这些要求?

公司使用 AWS 组织管理多个 AWS 帐户。该公司的安全团队注意到，一些会员账户没有将 AWS CloudTrail 日志发送到集中的 Amazon S3 日志桶。安全团队希望确保为所有现有帐户和将来创建的任何帐户配置至少一条记录。
安全团队应该实施哪一组操作来完成这一任务?

一家公司最近进行了一次安全审计，审计人员发现了多种潜在威胁。这些潜在的威胁可能导致使用模式的变化，比如 DNS 访问峰值、异常的实例流量、异常的网络接口流量和异常的 Amazon S3 API 调用。这些威胁可能来自不同的来源，并且随时可能发生。公司需要实施一种解决方案来持续监控其系统，并近乎实时地识别所有这些传入的威胁。
哪种解决方案能满足这些要求呢?

使用 AWS 组织的公司正在使用 AWS IAM Identity Center(AWS 单点登录)来管理对 AWS帐户的访问。安全工程师正在 IAM Identity Center 中创建自定义权限集。该公司将跨多个帐户使用该权限集。
将 AWS 管理策略和客户管理策略附加到权限集。安全工程师拥有完全的管理权限，并在管理账户中进行操作。
现象描述安全工程师在为一个 IAM Identity Center 用户分配权限集时，如果该用户有多个访问权限，则分配权限集失败。
安全工程师应该如何解决此失败?

一家公司拥有数千个 AWS Lambda 函数。在检查 Lambda 函数时，安全工程师发现敏感信息存储在环境变量中，并且可以在 Lambda 控制台中以明文形式查看。这些敏感信息的值只有几个字符长。
解决这个安全问题最经济有效的方法是什么?

一位安全工程师正在使用 AWS 组织，并希望优化 scp。安全工程师需要确保 scp 符合最佳实践。
安全工程师应该采取哪种方法来满足这一要求?

一家公司最近从一个安全事件中恢复过来，该事件需要从快照中恢复 Amazon EC2 实例。
该公司使用 AWS 密钥管理服务(AWS KMS)客户管理的密钥来加密所有 Amazon 弹性块存储(Amazon EBS)快照。
该公司对其灾难恢复程序和备份策略进行差距分析。安全工程师需要实现一种解决方案，以便在 AWS 帐户受到威胁并且 EBS 快照被删除时，公司可以恢复 EC2 实例。
哪个解决方案能满足这个要求呢?

一家公司的安全工程师正在为 Amazon EC2 实例设计一个隔离过程，作为事件响应计划的一部分。安全工程师需要隔离一个目标实例，以阻止任何进出目标实例的流量，除了来自公司取证团队的流量。公司的每个 EC2 实例都有自己专用的安全组。EC2 实例部署在 VPC的子网中。一个子网中可以包含多个实例。
安全工程师正在测试 EC2 隔离的过程，并打开到目标实例的 SSH 会话。这个过程开始模拟攻击者对目标实例的访问。安全工程师删除现有的安全组规则，并添加安全组规则，以使取证团队能够访问端口 22 上的目标实例。
在这些更改之后，安全工程师注意到 SSH 连接仍然是活动的和可用的。当安全工程师向目标实例的公网 IP 地址运行 ping 命令时，ping 命令被阻塞。
安全工程师应该如何隔离目标实例?

一家初创公司正在使用单个 AWS 帐户，该帐户在单个 AWS 区域中拥有资源。该任务指导安全工程师配置同一区域内的 AWS CloudTrail 路径，通过 AWS CLI 向 Amazon S3 桶下发日志文件。
由于扩张，公司在多个区域增加了资源。安全工程师注意到来自新区域的日志没有到达 S3桶。
安全工程师应该怎么做才能以最少的操作开销来解决这个问题?

某公司在其 AWS 账户中发现账单异常。一名安全顾问调查了这一异常情况，发现一名 30天前离开公司的员工仍然可以访问该账户。该公司过去没有监控过该账户的活动。
安全顾问需要尽快确定哪些资源已经被员工部署或重新配置。
哪种解决方案能够满足这些需求?

安全工程师正在检查 AWS CloudFormation 模板是否存在漏洞。安全工程师找到一个具有默认值的参数，该参数以明文形式公开应用程序的 API 密钥。该参数在整个模板中被引用多次。安全工程师必须在保持引用模板中值的能力的同时替换该参数。
哪种解决方案能够以最安全的方式满足这些要求?

一家公司有几拍字节的数据。公司必须将这些数据保存 7 年，以符合监管要求。该公司的合规团队要求一名安全官员制定一项策略，防止任何人更改或删除数据。
哪种解决方案最经济有效地满足这一要求?

一家公司为其 AWS 帐户使用第三方身份提供者和基于 saml 的 SSO。第三方身份提供商续签过期的签名证书后，用户在尝试登录时看到如下提示:
Error: Response Signature Invalid (Service: AWSSecurityTokenService; 状态码 :400; 错误码:invaliddentitytoken)
安全工程师需要提供一个解决方案来纠正错误并最小化操作开销。
哪种解决方案符合这些要求?

一家公司在 AWS 上运行多个工作负载。员工需要使用本地 ADFS 和 SSO 进行身份验证才能访问 AWS 管理控制台。开发人员将现有的遗留 web 应用程序迁移到 Amazon EC2 实例。
员工需要从互联网上的任何地方访问这个应用程序，但目前，应用程序中没有内置的身份验证系统。
安全工程师应该如何在不更改应用程序的情况下实现员工对该系统的仅限访问?

一家公司正在使用 AWS 对存储在 Amazon S3 桶中的数据运行一个长时间运行的分析过程。该流程在Auto Scaling组中的Amazon EC2实例上运行。EC2实例部署在不能访问internet的 VPC 的私有子网中。EC2 实例和 S3 桶在同一个 AWS 帐户中。

EC2 实例通过具有默认访问策略的 S3 网关端点访问 S3 桶。每个 EC2 实例都与一个实例配置文件角色相关联，该角色具有一个策略，该策略明确允许仅针对所需的 S3 桶执行S3:GetObject 操作和 S3:PutObject 操作。

公司了解到一个或多个 EC2 实例受到威胁，并且正在将数据泄露到 AWS 组织中公司组织外部的 S3 桶中。安全工程师必须实现一个解决方案来阻止这种数据泄露，并保持 EC2 处理作业的正常运行。

哪种解决方案能满足这些要求呢?

1 2 3 4 5 6