安全工程師已經遏制了攻擊，並從所有受影響的區域中刪除了所有計算與儲存資源。然而，攻擊者還建立了一把 AWS KMS 金鑰。該 KMS 金鑰的金鑰政策（key policy）明確允許某個 IAM 主體（principal）擁有 kms:* 權限。

該金鑰原本已在前一天被排程刪除（scheduled for deletion），但目前仍處於啟用狀態並可被使用。
該金鑰的 ARN 為：

arn:aws:kms:us-east-2:123456789012:key/mrk-0bb0212cd9864fdea0dcamzo26efb5670

安全工程師必須儘快刪除此金鑰。

哪一種解決方案可以滿足此需求？

只有安全團隊的成員可以管理這些 KMS 金鑰。公司的應用團隊有一個軟體流程，偶爾需要臨時存取這些金鑰。安全團隊需要為應用團隊的軟體流程提供對金鑰的存取權限。

哪種解決方案能以最少的運維開銷滿足這些需求？

該網站正遭受來自某特定 IoT 設備品牌的全球性 DDoS 攻擊，這些設備使用一個獨特的 User-Agent。

一名安全工程師正在建立一個 AWS WAF 的 Web ACL，並將其關聯到該 ALB。

哪一種規則陳述（rule statement）可以在不阻擋合法客戶的情況下，緩解當前攻擊以及未來來自這些 IoT 設備的攻擊？

公司收到電子郵件通知，指出 Amazon GuardDuty 在該帳戶中偵測到一個 Impact:IAMUser/AnomalousBehavior 的發現（finding）。

一名安全工程師需要執行此安全事件的調查流程（investigation playbook），並且必須在不影響應用程式的情況下收集與分析相關資訊。

哪一種解決方案可以最快滿足這些需求？

目前已有一個 AWS WAF Web ACL 關聯至 CloudFront，但用戶端仍然可以直接存取 ALB，從而繞過 WAF。

哪種解決方案可以防止直接存取 ALB？

該安全管理員希望保護公司儲存在 Amazon S3 儲存桶中的資料。同時，也希望降低資料被意外公開的風險，以及減少 S3 儲存桶中物件被錯誤設定的可能性。

哪種解決方案能以最少的運維開銷滿足這些需求？

• 資料庫儲存必須啟用靜態加密（encryption at rest）。
• 必須啟用刪除保護（deletion protection）。
• 資料庫不得公開存取（must not be publicly accessible）。
• 資料庫稽核日誌必須發佈到 Amazon CloudWatch Logs。

一名安全工程師需要實作一個解決方案，以持續監控所有 Aurora MySQL 資源是否符合該政策。
該解決方案必須能夠在任何時間顯示資料庫在每一項政策要求下的合規狀態。

哪一種解決方案可以滿足這些需求？

此解決方案還必須能夠處理波動性的流量模式（volatile traffic patterns）。

哪一種解決方案能夠提供最高的可擴展性（MOST scalability）與最低的延遲（LOWEST latency）？

公司希望讓這些程式碼儲存庫能夠透過 OpenID Connect（OIDC）安全地進行身分驗證，並假設（assume）公司 AWS 帳戶中現有的一個 IAM 角色。

哪一種解決方案可以滿足這些需求？

fleet 中移除。所有 EC2 執行個體都使用同一個名為 ProdFleet 的安全群組。
Amazon GuardDuty 和 AWS Config 已在公司的 AWS 帳戶中啟用。

一名安全工程師需要提供一個解決方案：如果 GuardDuty 產生與加密貨幣相關的發現事件（cryptocurrency finding event），必須阻止該 EC2 執行個體發送對外流量。

安全工程師建立了一個新的安全群組 Isolate，該群組不包含任何對外（outbound）規則。
同時，工程師設定了一個 AWS Lambda 函數，用於將 EC2 執行個體從 ProdFleet 安全群組移除，並將其加入 Isolate 安全群組。還需要哪一個額外步驟才能滿足此需求？

10 分鐘後，仍然沒有任何日誌出現。問題被定位為與 VPC Flow Logs 關聯的 IAM 角色有關。

可能的原因是什麼？

公司同時使用 AWS IAM Identity Center，並整合了一個基於 SAML 的外部身分提供者（IdP）。IAM Identity Center 已被委派（delegated）到其中一個成員帳戶。公司的安全團隊可以存取該委派帳戶。

安全團隊正在調查一名可能正在存取敏感帳戶的惡意內部使用者。
安全團隊需要知道該使用者在過去 7 天內何時登入該組織。

哪一種解決方案可以快速識別這些存取嘗試？

每家門市的應用程式將包含一個非生產環境與一個生產環境。每個環境都會部署在不同的 AWS 帳戶中。

公司使用 AWS Organizations，並建立了一個專門用於這些帳戶的 OU（組織單位）。

公司將大部分開發工作外包給第三方開發團隊。一名安全工程師需要確保每個團隊都遵循公司的 AWS 資源部署計畫。同時，安全工程師還必須將部署計畫的存取權限限制為僅有需要存取的開發人員。

安全工程師已經建立了一個 AWS CloudFormation 範本，用來實作該部署計畫。

為了以最安全的方式滿足需求，安全工程師接下來應該怎麼做？

哪 兩個 動作可以修復此問題？

公司為這些帳戶建立了一個自訂的合規監控服務。該監控服務以 AWS Lambda 函數的形式執行，並由 Amazon EventBridge Scheduler 觸發。

公司需要將此監控服務部署到組織中所有現有與未來的帳戶。
同時，公司必須避免在不必要的情況下使用組織的管理帳戶（management account）。

哪一種解決方案可以滿足這些需求？

公司希望確保員工只能使用公司提供的裝置來存取這些桌面。
一名安全工程師必須設計一個解決方案，同時最小化成本與管理開銷。

哪一種解決方案可以滿足這些需求？

該應用程式以多個 ECS 服務形式執行。這些 ECS 服務各自位於一個面向網際網路的 Application Load Balancer（ALB）的獨立目標群組（target group）中。

該 ALB 是 Amazon CloudFront 發行版（distribution）的來源（origin）。
一個 AWS WAF Web ACL 已關聯至該 CloudFront 發行版。

Web 用戶端透過 CloudFront 發行版存取 ECS 服務。
然而，公司發現 Web 用戶端可以繞過 Web ACL，直接存取 ALB。

哪一種解決方案可以防止 Web 用戶端直接存取 ALB？

公司透過 AWS Organizations 管理數百個 AWS 帳戶，這些帳戶託管不同的微服務。

公司需要為所有帳戶中的所有 AWS 資源日誌實作一個監控解決方案。
該解決方案必須包含對安全相關問題的自動偵測功能。

哪一種解決方案能以最少的運維工作量滿足這些需求？

該 IAM 角色可存取一個 AWS Key Management Service（AWS KMS）客戶管理金鑰（customer managed key）以及一個 Amazon S3 儲存桶。

該金鑰用於存取儲存在 S3 儲存桶中的 2 TB 敏感資料。

一名安全工程師發現該 EC2 執行個體存在潛在漏洞，可能導致敏感資料遭到洩露。
由於還有其他關鍵操作正在進行，安全工程師無法立即關閉該 EC2 執行個體來修補漏洞。

哪一種方法能以最快的方式防止敏感資料被洩露？