SCS-C03 Korean無料問題集「Amazon AWS Certified Security

質問 1

한 회사의 개발자들이 AWS Lambda 함수 URL을 사용하여 함수를 직접 호출하고 있습니다. 회사는 개발자들이 프로덕션 계정에 인증되지 않은 함수를 구성하거나 배포할 수 없도록 해야 합니다. 회사는 AWS Organizations를 사용하여 이 요구 사항을 충족하고자 합니다. 이 솔루션은 개발자에게 추가적인 작업을 요구하지 않아야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?

（A）SCP를 사용하여 lambda:FunctionUrlAuthType 조건 키 값이 AWS_IAM인 모든 lambda:CreateFunctionUrlConfig 및 lambda:UpdateFunctionUrlConfig 작업을 허용합니다.

（B）개발자가 다른 도메인에서 함수를 호출할 때 CORS(교차 출처 리소스 공유)를 지원하도록 모든 함수 URL을 구성하도록 요구합니다.

（C）SCP를 사용하여 lambda:FunctionUrlAuthType 조건 키 값이 NONE인 모든 lambda:CreateFunctionUrlConfig 및 lambda:UpdateFunctionUrlConfig 작업을 거부합니다.

（D）AWS WAF 위임 관리자 계정을 사용하여 프로덕션 계정에서 함수를 사용하는 계정의 OU를 기반으로 함수 URL에 대한 인증되지 않은 액세스를 보고 차단할 수 있습니다.

正解：C 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 2

한 회사의 보안 엔지니어가 사고 대응 계획의 일환으로 Amazon EC2 인스턴스에 대한 격리 절차를 설계하고 있습니다. 보안 엔지니어는 회사 포렌식 팀의 트래픽을 제외한 모든 트래픽을 차단하기 위해 특정 인스턴스를 격리해야 합니다. 회사의 각 EC2 인스턴스는 고유한 보안 그룹에 속해 있습니다. EC2 인스턴스는 VPC의 서브넷에 배포되며, 하나의 서브넷에는 여러 인스턴스가 포함될 수 있습니다.
보안 엔지니어는 EC2 격리 절차를 테스트하기 위해 대상 인스턴스에 SSH 세션을 엽니다. 이 절차는 공격자가 대상 인스턴스에 접근하는 상황을 시뮬레이션합니다. 보안 엔지니어는 기존 보안 그룹 규칙을 제거하고 포렌식 팀이 대상 인스턴스의 22번 포트에 접근할 수 있도록 보안 그룹 규칙을 추가합니다.
이러한 변경 후에도 보안 엔지니어는 SSH 연결이 여전히 활성화되어 있고 사용 가능한 상태임을 확인합니다. 보안 엔지니어가 대상 인스턴스의 공용 IP 주소로 ping 명령을 실행하면 ping 명령이 차단됩니다.
보안 엔지니어는 대상 인스턴스를 격리하기 위해 무엇을 해야 할까요?

（A）대상 인스턴스의 서브넷과 연결된 네트워크 ACL을 생성합니다. 인바운드 규칙 세트의 맨 위에 0.0.0.0/0에서 들어오는 모든 트래픽을 차단하는 규칙을 추가합니다. 아웃바운드 규칙 세트의 맨 위에 0.0.0.0/0으로 나가는 모든 트래픽을 차단하는 규칙을 추가합니다.

（B）모든 인바운드 및 아웃바운드 트래픽을 차단하는 호스트 수준 방화벽 규칙을 추가하는 AWS Systems Manager 문서를 생성합니다. 대상 인스턴스에서 해당 문서를 실행합니다.

（C）보안 그룹에 0.0.0.0/0에서 들어오는 트래픽을 모든 포트에 대해 허용하는 인바운드 규칙을 추가합니다. 보안 그룹에 0.0.0.0/0으로 나가는 트래픽을 모든 포트에 대해 허용하는 아웃바운드 규칙을 추가합니다. 그런 다음 이 규칙들을 즉시 삭제합니다.

（D）포트 22 보안 그룹 규칙을 제거합니다. 포렌식 팀이 대상 인스턴스에 액세스할 수 있도록 AWS Systems Manager Session Manager 연결을 허용하는 인스턴스 역할 정책을 연결합니다.

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 3

한 회사가 매장 수를 늘리고 있습니다. 각 신규 매장이 문을 여는 날, 회사는 해당 매장 전용 웹 애플리케이션을 출시하려고 합니다. 각 매장의 애플리케이션은 비운영 환경과 운영 환경을 가지며, 각 환경은 별도의 AWS 계정에 배포될 예정입니다.
해당 회사는 AWS Organizations를 사용하고 있으며, 이러한 계정만을 위해 사용되는 OU(조직 단위)를 보유하고 있습니다.
이 회사는 대부분의 개발 작업을 외부 개발팀에 위탁합니다. 보안 엔지니어는 각 팀이 회사의 AWS 리소스 배포 계획을 준수하는지 확인해야 합니다. 또한 보안 엔지니어는 배포 계획에 대한 접근 권한을 필요한 개발자에게만 제한해야 합니다. 보안 엔지니어는 이미 해당 배포 계획을 구현하는 AWS CloudFormation 템플릿을 생성했습니다.
보안 엔지니어는 요구 사항을 가장 안전한 방식으로 충족하기 위해 다음에 무엇을 해야 할까요?

（A）조직의 관리 계정에 AWS 서비스 카탈로그 포트폴리오를 생성합니다. CloudFormation 템플릿을 업로드합니다. 포트폴리오의 제품 목록에 템플릿을 추가합니다. 포트폴리오를 OU와 공유합니다.

（B）CloudFormation CLI를 사용하여 CloudFormation 템플릿에서 모듈을 생성합니다. CloudFormation 레지스트리에 모듈을 비공개 확장으로 등록합니다. 확장을 게시합니다. OU에서 확장에 대한 액세스를 허용하는 SCP를 생성합니다.

（C）조직의 관리 계정에 AWS 서비스 카탈로그 포트폴리오를 생성합니다. CloudFormation 템플릿을 업로드합니다. 포트폴리오의 제품 목록에 템플릿을 추가합니다. OU 계정의 사용자가 포트폴리오에 교차 계정으로 액세스할 수 있도록 허용하는 신뢰 정책이 있는 IAM 역할을 생성합니다. AWSServiceCatalogEndUserFullAccess 관리형 정책을 해당 역할에 연결합니다.

（D）CloudFormation CLI를 사용하여 CloudFormation 템플릿에서 모듈을 생성합니다. CloudFormation 레지스트리에 모듈을 비공개 확장으로 등록합니다. 확장을 게시합니다. 확장을 OU와 공유합니다.

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 4

한 회사가 인증 기관(CA)을 사용하여 코드 서명 인증서를 발급하는 코드 서명 애플리케이션을 개발해야 합니다. 이 솔루션은 AWS KMS(Key Management Service) 비대칭 키를 사용해야 합니다. 또한, 규정 준수를 위해 KMS 키의 생성, 출처 및 사용에 대한 변경 불가능한 증거를 수집하고 저장해야 합니다. 이 정보는 내부 감사자에게 제공되어야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

（A）S3 객체 잠금이 활성화된 Amazon S3 버킷을 생성합니다. 모든 kms.amazonaws.com CreateKey 이벤트에 대해 이벤트 선택기와 로그 파일 유효성 검사가 활성화된 AWS CloudTrail 트레일을 생성합니다.
CreateKey 이벤트를 S3 버킷으로 전송하도록 이벤트 선택기를 구성합니다. KMS 키를 생성합니다.
이벤트 선택기를 업데이트하여 KMS 키 ARN을 참조하는 API 호출을 필터링하도록 합니다. 감사 담당자에게 S3 버킷에 대한 액세스 권한을 제공합니다.

（B）KMS 키 사용량을 추적하기 위해 사용자 지정 메트릭으로 Amazon CloudWatch Logs Insights를 설정합니다. 실시간 모니터링 기능을 갖춘 CloudWatch 대시보드를 사용하여 메트릭을 시각화합니다. CloudWatch 알람을 구성합니다. 구독 필터를 사용하여 감사자가 검토할 수 있도록 데이터를 별도의 계정으로 복제합니다.

（C）감사자가 접근할 수 있는 Amazon DynamoDB 테이블을 생성합니다. Amazon EventBridge 규칙이 호출하는 AWS Lambda 함수를 생성합니다. KMS API 호출을 모니터링하도록 EventBridge 규칙을 구성합니다. KMS 키 ARN을 참조하는 모든 API 호출을 필터링하도록 EventBridge 규칙을 구성합니다.
Lambda 함수가 API 호출 내용을 DynamoDB 테이블에 저장하도록 구성합니다.

（D）KMS 키를 참조하는 애플리케이션 작업에 대한 로깅을 구현합니다. 로그에 모든 관련 메타데이터가 포함되도록 합니다. 로그를 Amazon CloudWatch Logs 로그 그룹에 저장합니다.
로그 그룹의 자동 내보내기를 구성하고, 내보낸 파일을 감사 담당자에게 전송합니다.

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 5

한 회사가 네트워크 로드 밸런싱(NLB)의 대상으로 등록된 Amazon EC2 인스턴스를 운영하고 있습니다. 해당 NLB는 보안 그룹과 연결되어 있으며, 이 보안 그룹은 특정 포트를 통해 들어오는 TCP 트래픽을 허용합니다.
10.0.0.0/23에서 22개.
이 회사는 NLB를 동일한 네트워크 ACL 및 라우팅 테이블을 공유하는 두 개의 서브넷에 매핑합니다. 라우팅 테이블에는 0.0.0.0/0에서 인터넷 게이트웨이로 가는 경로가 있습니다. 네트워크 ACL에는 우선순위가 높은 인바운드 규칙이 하나 있습니다.
20은 10.0.0.0/16에서 포트 22로 TCP 트래픽을 허용합니다.
보안 엔지니어는 EC2 인스턴스에 무단 SSH 세션이 있다는 경고를 받았습니다. 무단 세션은 10.0.1.5에서 시작되었습니다. 회사 사고 대응 절차에 따라 무단 SSH 세션은 즉시 차단해야 합니다. 인스턴스는 계속 실행되어야 하며, 메모리도 손상되지 않아야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?

（A）10.0.1.5에서 오는 포트 22의 TCP 트래픽을 거부하기 위해 네트워크 ACL에 우선순위 10의 새 인바운드 규칙을 추가합니다.

（B）AWS 관리 콘솔 또는 AWS CLI를 사용하여 EC2 인스턴스를 다시 시작합니다.

（C）10.0.0.0/16에서 포트 22로 들어오는 TCP 트래픽을 허용하는 보안 그룹 규칙을 제거합니다.

（D）인터넷 게이트웨이로 가는 경로를 제거하도록 라우팅 테이블을 업데이트합니다.

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 6

한 회사가 사용자 파일 저장소로 Amazon S3를 사용하는 PHP 기반 웹 애플리케이션을 운영하고 있습니다. 해당 S3 버킷은 Amazon S3 관리형 키(SSE-S3)를 사용한 서버 측 암호화로 구성되어 있습니다. 새로운 요구 사항에 따라 암호화 키에 대한 완전한 제어 권한이 필요하게 되었습니다.
보안 엔지니어가 이러한 요구 사항을 충족하기 위해 취해야 하는 단계 조합은 무엇입니까? (세 가지를 선택하십시오.)

（A）AWS KMS에서 Amazon S3용 AWS 관리형 키를 생성합니다.

（B）S3 버킷의 SSE-S3 구성을 AWS KMS 관리형 키를 사용하는 서버 측 암호화(SSE-KMS)로 변경합니다.

（C）AWS 키 관리 서비스(AWS KMS)에서 새 고객 관리 키를 생성합니다.

（D）버킷의 모든 S3 객체가 새 암호화 키를 사용하도록 변경합니다.

（E）업로드 전에 PHP SDK가 SSE-S3 키를 사용하도록 구성합니다.

（F）S3 버킷의 SSE-S3 구성을 고객 제공 키를 사용하는 서버 측 암호화(SSE-C)로 변경합니다.

正解：B、C、D 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 7

한 회사가 Amazon CloudFront와 Application Load Balancer(ALB)를 통해 Amazon EKS에서 공개 웹 애플리케이션을 운영하고 있습니다. 보안 엔지니어는 해당 애플리케이션이 5분 이내에 동일한 최종 사용자 IP 주소로부터 10,000건의 요청을 수신할 경우 기존 Amazon SNS 토픽으로 알림을 보내야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?

（A）CloudFront 표준 로깅 및 CloudWatch Logs 메트릭 필터를 구성합니다.

（B）속도 기반 규칙으로 AWS WAF 웹 ACL을 구성합니다. 이를 CloudFront와 연결합니다. SNS에 알림을 보내도록 CloudWatch 알람을 생성합니다.

（C）ASN 일치 규칙 및 CloudWatch 알람을 사용하여 AWS WAF 웹 ACL을 구성합니다.

（D）VPC 흐름 로그 및 CloudWatch 로그 메트릭 필터를 구성합니다.

正解：B 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 8

한 회사가 AWS 계정에서 Amazon Macie, AWS Firewall Manager, Amazon Inspector 및 AWS Shield Advanced를 사용하고 있습니다. 이 회사는 계정에 대한 DDoS 공격이 발생할 경우 알림을 받고 싶어합니다.
어떤 솔루션이 이 요구 사항을 충족할까요?

（A）활성 DDoS 이벤트를 감지하기 위해 AWS Firewall Manager 메트릭을 모니터링하는 Amazon CloudWatch 알람을 생성합니다.

（B）Amazon Macie를 사용하여 활성 DDoS 이벤트를 감지하고 Macie의 감지 결과에 따라 대응하는 Amazon CloudWatch 알람을 생성합니다.

（C）활성 DDoS 이벤트에 대한 AWS Shield Advanced 메트릭을 모니터링하는 Amazon CloudWatch 알람을 생성합니다.

（D）Amazon Inspector를 사용하여 리소스를 검토하고 DDoS 공격에 취약한 리소스에 대해 Amazon CloudWatch 경보를 호출하세요.

正解：C 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 9

한 회사가 애플리케이션을 실행하는 대규모 Amazon Linux 2 Amazon EC2 인스턴스를 보유하고 있습니다.
해당 애플리케이션은 민감한 데이터를 처리하며 다음과 같은 규정 준수 요건을 충족해야 합니다.
- EC2 인스턴스에 대한 원격 액세스 관리 포트는 내부 또는 외부로 노출될 수 없습니다.
- 모든 원격 세션 활동은 감사 로그에 기록되어야 합니다.
- EC2 인스턴스에 대한 모든 원격 액세스는 인증을 거쳐야 합니다.
AWS IAM Identity Center에서 인증되었습니다.
- 회사 DevOps 팀은 문제 해결을 위해 가끔 EC2 인스턴스 중 하나에 연결해야 합니다.
어떤 솔루션이 규정 준수 요건을 충족하면서 EC2 인스턴스에 원격으로 액세스할 수 있도록 해줄까요?

（A）EC2 인스턴스의 AMI에서 EC2 인스턴스 연결을 활성화합니다. 적절한 보안 그룹 규칙을 구성합니다. DevOps 팀이 EC2 인스턴스 연결에 액세스할 수 있도록 EC2 콘솔 액세스 권한을 부여합니다.

（B）AWS Systems Manager에 대한 액세스 권한을 부여하는 EC2 인스턴스 역할을 할당합니다. Systems Manager 세션 관리자에 대한 액세스 권한을 부여하는 IAM 정책을 생성합니다. 해당 정책을 DevOps 팀의 IAM 역할에 할당합니다.

（C）계정 수준에서 EC2 시리얼 콘솔에 대한 액세스 권한을 부여합니다. DevOps 팀의 IAM 역할이 EC2 시리얼 콘솔에 액세스할 수 있도록 허용하는 IAM 정책을 생성합니다.

（D）AWS Systems Manager Automation 런북을 사용하여 EC2 인스턴스에 대한 원격 액세스 포트를 엽니다. 런북 실행을 허용하려면 EC2 인스턴스에 역할을 연결합니다.

正解：B 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 10

기업은 단일 보안 계정을 사용하여 모든 계정의 모든 Amazon S3 버킷에 있는 민감한 데이터의 목록을 작성해야 합니다.

（A）Trusted Advisor와 함께 Inspector를 사용하세요.

（B）Trusted Advisor와 함께 Macie를 사용하세요.

（C）Amazon Macie 및 Security Hub 관리 권한을 위임합니다.

（D）Security Hub와 함께 Amazon Inspector를 사용하세요.

正解：C 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 11

한 기업에서 수백 개의 AWS 계정에 걸쳐 자동 감지 기능을 갖춘 중앙 집중식 로그 모니터링 시스템이 필요합니다.
어떤 솔루션이 최소한의 운영 노력으로 이러한 요구 사항을 충족합니까?

（A）GuardDuty 관리자 계정을 지정하고 보호 기능을 활성화합니다.

（B）Kinesis로 스트림 로그를 전송하고 Lambda로 처리합니다.

（C）CloudTrail 로그를 중앙 집중화하고 Athena를 사용하여 쿼리합니다.

（D）CloudWatch 로그를 중앙 집중화하고 Inspector를 사용합니다.

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 12

한 회사가 EU-West-1 리전에서 애플리케이션을 운영하고 있습니다. 이 애플리케이션은 AWS Key Management Service(AWS KMS) 고객 관리형 키를 사용하여 민감한 데이터를 암호화합니다. 이 회사는 애플리케이션을 EU-North-1 리전에 배포할 계획입니다. 보안 엔지니어는 새로운 리전에 배포될 애플리케이션을 위한 키 관리 솔루션을 구현해야 합니다. 이때 애플리케이션 코드 변경을 최소화해야 합니다.
보안 엔지니어는 이러한 요구 사항을 충족하기 위해 AWS KMS 구성에서 어떤 변경을 해야 할까요?

（A）eu-north-1에 새 고객 관리 키를 할당합니다. eu--1에 대한 별칭을 생성합니다. 애플리케이션 코드가 eu--1에 대한 별칭을 가리키도록 변경합니다.

（B）해당 리전에 배포된 애플리케이션에서 사용할 새 고객 관리 키를 eu-north-1에 할당합니다.

（C）eu-north-1에 새 고객 관리 키를 할당합니다. 두 키에 동일한 별칭 이름을 생성합니다.
키 별칭을 사용하도록 애플리케이션 배포를 구성합니다.

（D）eu-west-1의 키 정책을 업데이트합니다. eu-north-1의 애플리케이션이 eu-west-1의 애플리케이션과 동일한 고객 관리 키를 사용하도록 지정합니다.

正解：C 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 13

한 회사가 협업 애플리케이션을 사용하고 있습니다. 보안 엔지니어는 해당 애플리케이션에 대해 us-west-2 리전의 AWS Security Hub에서 자동 알림을 구성해야 합니다. 보안 엔지니어는 Security Hub에서 새로운 탐지 사항이 감지될 때마다 애플리케이션 내 채널로 알림을 받고 싶어합니다.
보안 엔지니어는 메시지를 애플리케이션에서 요구하는 형식으로 변환하는 AWS Lambda 함수를 생성합니다. 이 Lambda 함수는 또한 해당 메시지를 애플리케이션의 API로 전송합니다. 보안 엔지니어는 Lambda 함수를 대상으로 지정하는 Amazon EventBridge 규칙을 구성합니다.
EventBridge 규칙을 구현한 후 채널에서 Security Hub로부터 지속적으로 알림이 수신되기 시작합니다. 이러한 알림 중 상당수는 조치가 필요 없는 Amazon Inspector 알림입니다. 보안 엔지니어는 Amazon Inspector 알림 수신을 중지하려고 합니다.
어떤 솔루션이 최소한의 운영 노력으로 이 요구 사항을 충족할까요?

（A）EventBridge 규칙의 이벤트 패턴에서 ProductArn 속성 값을 다음과 같이 수정합니다.
"anything-but": ["arn:aws:securityhub:us-west-2::product/ aws/inspector"].

（B）Amazon Inspector를 제외한 모든 서비스의 결과를 EventBridge 이벤트 버스로 자동으로 전송하는 Security Hub 사용자 지정 작업을 생성합니다.

（C）Amazon Inspector에서 발생하는 이벤트의 패턴 일치 항목을 찾고 결과를 숨기도록 Lambda 함수 코드를 업데이트합니다.

（D）애플리케이션으로 메시지를 전송하기 위해 Amazon Simple Notification Service(Amazon SNS) 토픽을 생성합니다. 토픽 구독에 필터 정책을 설정하여 product/aws/inspector 문자열이 포함된 메시지를 거부합니다.

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

SCS-C03 Korean 無料問題集「Amazon AWS Certified Security - Specialty (SCS-C03 Korean Version)」

弊社を連絡する

関連リンク

トップ試験