Architektura bezpieczeństwa
Pytanie 1: Które stwierdzenia poprawnie opisują grupy zabezpieczeń w ramach VPC? (Wybierz trzy)
A. domyślna grupa zabezpieczeń zezwala tylko na ruch przychodzący
B. grupy bezpieczeństwa to stanowe zapory ogniowe
C. obsługiwane są tylko reguły zezwalające
D. obsługiwane są reguły zezwalania i odmawiania
E. grupy zabezpieczeń są powiązane z interfejsami sieciowymi
Pytanie 2: Jakie trzy elementy są wymagane do skonfigurowania reguły grupy zabezpieczeń?
A. typ protokołu
B. Nazwa VPC
C. numer portu
D. źródłowy adres IP
E. docelowy adres IP
F. opis
Pytanie 3: Jakie dwa typy źródłowych adresów IP są dozwolone w regule grupy zabezpieczeń?
A. tylko bloki CIDR z maską podsieci /16
B. źródłowy adres IP 0.0.0.0/0
C. pojedynczy źródłowy adres IP z maską podsieci /24
D. identyfikator grupy bezpieczeństwa
E. Adres IPv6 z prefiksem /64
Pytanie 4: Jakie protokoły muszą być włączone, aby uzyskać zdalny dostęp do instancji EC2 opartych na systemie Linux i Windows?
O. SSH, ICMP, Telnet
B. SSH, HTTP, RDP
C. SSH, HTTP, SSL
D. SSH, RDP, ICMP
Pytanie 5: Odróżnić sieciowe listy ACL od grup zabezpieczeń w ramach VPC? (Wybierz trzy)
A. Filtry ACL na poziomie podsieci
B. Lista ACL opiera się wyłącznie na regułach odmowy
C. Lista ACL jest stosowana do instancji i podsieci
D. Lista ACL jest bezstanowa
E. ACL obsługuje listę numerowaną do filtrowania
Pytanie 6: Co stanie się z uprawnieniami zabezpieczeń dzierżawy po przyznaniu roli IAM? (Wybierz dwa)
A. najemca dziedziczy tylko uprawnienia przypisane tymczasowo do roli IAM
B. dodać uprawnienia bezpieczeństwa roli IAM do istniejących uprawnień
C. poprzednie uprawnienia bezpieczeństwa nie są już ważne
D. poprzednie uprawnienia bezpieczeństwa zostaną usunięte, chyba że zostaną ponownie skonfigurowane
E. najemca dziedziczy tylko uprawnienia do odczytu przypisane do roli IAM
Pytanie 7: Gdzie są przyznawane uprawnienia IAM do wywoływania i wykonywania funkcji Lambda w celu uzyskania dostępu do S3? (Wybierz dwa)
A. S3 bucket
B. Instancja EC2
C. Funkcja lambda
D. Rola IAM
E. mapowanie zdarzeń
Pytanie 8: Masz programistów pracujących nad kodem aplikacji, którzy potrzebują tymczasowego dostępu do chmury AWS do godziny. Jakie jest najłatwiejsze rozwiązanie internetowe firmy AWS, które zapewnia dostęp i minimalizuje ryzyko naruszenia bezpieczeństwa?
A. ACL
B. grupa bezpieczeństwa
C. Grupa IAM
D. STS
E.EFS
Pytanie 9: Jakie dwie metody są używane do żądania tymczasowych poświadczeń w oparciu o usługę tokenu zabezpieczającego AWS (STS)?
A. Federacja tożsamości internetowej
B.LDAP
C. Tożsamość IAM
D. dynamiczna lista ACL
E. rotacja klucza prywatnego
Pytanie 10: Jakie dwa komponenty są wymagane do umożliwienia żądania uwierzytelnienia SAML do AWS Identity and Access Management (IAM)?
A. klucze dostępu
B. token sesji
C. Jednokrotne logowanie
D. dostawca tożsamości (IdP)
E. Podmiot dostawca SAML
Pytanie 11: Jakie są dwa powody wdrożenia Origin Access Identity (OAI) podczas włączania CloudFront?
A. uniemożliwić użytkownikom usuwanie obiektów w segmentach S3
B. łagodzić rozproszone ataki typu "odmowa usługi" (DDoS)
C. uniemożliwić użytkownikom dostęp do obiektów z adresem URL Amazon S3
D. uniemożliwić użytkownikom dostęp do obiektów za pomocą adresu URL CloudFront
E. zastąpić uprawnienia IAM uwierzytelnianiem klientów w Internecie
Pytanie 12: Jakie rozwiązania są zalecane w celu ograniczenia ataków DDoS? (Wybierz trzy)
A. zapora sieciowa oparta na hoście
B. elastyczny moduł równoważenia obciążenia
C. WAF
D. SSL/TLS
E. Gospodarz bastionu
F. Brama NAT
Pytanie 13: Jakie funkcje są wymagane, aby uniemożliwić użytkownikom obejście zabezpieczeń AWS CloudFront? (Wybierz trzy)
A. Gospodarz bastionu
B. podpisany adres URL
C. Biała lista adresów IP
D. podpisane pliki cookies
E. tożsamość dostępu do źródła (OAI)
Pytanie 14: Jaka jest zaleta zasad opartych na zasobach w przypadku dostępu dla wielu kont?
A. uprawnienia konta zaufanego nie są zastępowane
B. uprawnienia konta zaufanego zostają zastąpione
C. Polityki oparte na zasobach są łatwiejsze do wdrożenia
D. konto zaufane zarządza wszystkimi uprawnieniami
Pytanie 15: Wybierz trzy wymagania dotyczące konfiguracji hosta Bastionu?
A. EIP
B. Zezwolenie na ruch przychodzący SSH
C. trasa domyślna
D. Grupa dzienników CloudWatch
E. VPN
F. Automatyczne skalowanie
Pytanie 16: Jaką regułę należy dodać do grupy bezpieczeństwa przypisanej do docelowej instancji montowania, która umożliwi dostęp EFS z instancji EC2?
A. Typ = EC2, protokół = IP, port = 2049, źródło = identyfikator zdalnej grupy zabezpieczeń
B. Typ = EC2, protokół = EFS, port = 2049, źródło = 0.0.0.0/0
C. Typ = NFS, protokół = TCP, port = 2049, źródło = identyfikator zdalnej grupy zabezpieczeń
D. Typ = NFSv4, protokół = UDP, port = 2049, źródło = identyfikator zdalnej grupy zabezpieczeń
Pytanie 17: Które stwierdzenie poprawnie opisuje IAM architektura?
A. Zabezpieczenia IAM są ujednolicone dla poszczególnych regionów i replikowane w oparciu o wymagania konta dzierżawy AWS
B. Zabezpieczenia IAM są definiowane dla każdego regionu dla ról tylko na koncie dzierżawy AWS
C. Bezpieczeństwo IAM jest globalnie ujednolicone w całej chmurze AWS dla konta dzierżawy AWS
D. Zabezpieczenia IAM są definiowane oddzielnie dla poszczególnych regionów, a dla konta dzierżawy AWS włączone są zabezpieczenia międzyregionalne
Pytanie 18: Jakie są dwie zalety zarządzania klientami? klucze szyfrujące (CMK)?
A. tworzyć i zmieniać klucze szyfrujące
B. Szyfr AES-128 dla danych w stanie spoczynku
C. audyt kluczy szyfrujących
D. szyfruje przesyłane dane wyłącznie w celu szyfrowania po stronie serwera
Pytanie 19: Jaka funkcja nie jest dostępna w Zaufanym Doradcy AWS?
A. optymalizacja kosztów
B. najlepsze praktyki w zakresie infrastruktury
C. ocena podatności
D. monitorować metryki aplikacji
Pytanie 20: Co jest potrzebne do wykonania polecenia Ping z instancji źródłowej do instancji docelowej?
A. Sieciowa lista ACL: nie wymagana
Grupa zabezpieczeń: zezwalaj na ruch wychodzący ICMP w źródłowych/docelowych instancjach EC2
B. Sieciowa lista ACL: zezwala na przychodzące/wychodzące ICMP w podsieciach źródłowych/docelowych
Grupa bezpieczeństwa: nie wymagana
C. Sieciowa lista ACL: zezwól na ICMP
przychodzące/wychodzące w podsieciach źródłowych/docelowych
Grupa zabezpieczeń: zezwalaj na ruch wychodzący ICMP w źródłowej instancji EC2
Grupa zabezpieczeń: zezwalaj na ruch przychodzący ICMP w docelowej instancji EC2
D. Sieciowa lista ACL: zezwala na przychodzący/wychodzący protokół TCP w podsieciach źródłowych/docelowych
Grupa zabezpieczeń: zezwalaj na ruch przychodzący TCP i ICMP w źródłowej instancji EC2
Pytanie 21: Jakie dwa kroki są wymagane, aby przyznać uprawnienia między kontami między kontami AWS?
A. utwórz użytkownika IAM
B. dołącz politykę zaufania do S3
C. stworzyć politykę przejściową
D. dołącz do roli politykę zaufania
E. utwórz rolę IAM
Pytanie 22: Skonfigurowałeś grupę zabezpieczeń, aby zezwalać na ruch przychodzący ICMP, SSH i RDP, i przypisałeś tę grupę zabezpieczeń do wszystkich instancji w podsieci. Nie ma dostępu do żadnych instancji opartych na systemie Linux ani Windows i nie można pingować żadnych instancji. Sieciowa lista ACL dla podsieci jest skonfigurowana tak, aby zezwalać na cały ruch przychodzący do podsieci. Jaka jest najbardziej prawdopodobna przyczyna?
A. lokalne reguły zapory
B. reguły ruchu wychodzącego dla grupy zabezpieczeń i sieciowej listy ACL
C. reguły ruchu wychodzącego sieciowej listy ACL
D. reguły wychodzące grupy bezpieczeństwa
E. Wymagany host bastionu
Pytanie 23: Jakie trzy techniki zapewniają bezpieczeństwo uwierzytelniania na woluminach S3?
A. zasady dotyczące kubełków
B. sieciowa lista ACL
C. Zarządzanie tożsamością i dostępem (IAM)
D. szyfrowanie
E. AES25
Pytanie 24: Które stwierdzenie poprawnie opisuje obsługę szyfrowania AWS obiektów S3?
A. dzierżawcy zarządzają szyfrowaniem obiektów S3 po stronie serwera
B. Amazon zarządza szyfrowaniem obiektów S3 po stronie serwera
C. szyfrowanie obiektów S3 po stronie klienta nie jest obsługiwane
D. Wiadra S3 są tylko szyfrowane
E. SSL jest obsługiwany tylko w przypadku pamięci masowej Glacier
Pytanie 25: Jaka metoda uwierzytelniania zapewnia federacyjne logowanie jednokrotne (SSO) dla aplikacji w chmurze?
A. ADS
B. ISE
C. RADIUS
D.TACACS
E. SAML
Pytanie 26: W oparciu o model bezpieczeństwa Amazon, za jaką konfigurację infrastruktury i związane z nią bezpieczeństwo odpowiadają najemcy, a nie Amazon AWS? (Wybierz dwa)
A. dedykowany serwer w chmurze
B. hiperwizor
C. poziom systemu operacyjnego
D. poziom aplikacji
E. przełącznik fizyczny poprzedzający
Pytanie 27: Jakie uwierzytelnienie zabezpieczające jest wymagane przed konfiguracją lub modyfikacją instancji EC2? (Wybierz trzy)
A. uwierzytelnianie na poziomie systemu operacyjnego
B. Uwierzytelnianie instancji EC2 za pomocą kluczy asymetrycznych
C. uwierzytelnianie na poziomie aplikacji
D. Nazwa użytkownika i hasło Telnetu
E. Połączenie sesji SSH/RDP
Pytanie 28: Jaka funkcja jest częścią Zaufanego doradcy Amazon?
A. zgodność z bezpieczeństwem
B. narzędzie do rozwiązywania problemów
C. Narzędzie konfiguracyjne EC2
D. certyfikaty bezpieczeństwa
Pytanie 29: Jakie są dwie najlepsze praktyki zarządzania kontami w Amazon AWS?
A. nie używaj konta root do typowych zadań administracyjnych
B. utwórz jedno konto AWS z wieloma użytkownikami IAM z uprawnieniami roota
C. utwórz wiele kont AWS z wieloma użytkownikami IAM na jedno konto AWS
D. używaj konta root do wszystkich zadań administracyjnych
E. utwórz wiele kont użytkowników root w celu zapewnienia nadmiarowości
Pytanie 30: Jaka funkcja AWS jest zalecana do optymalizacji bezpieczeństwa danych?
A. Uwierzytelnianie wieloskładnikowe
B. nazwa użytkownika i zaszyfrowane hasło
C. Uwierzytelnianie dwuskładnikowe
D. SAML
E. Sfederowany LDAP
Pytanie 31: Jaka klasa uprawnień umożliwia instancji EC2 dostęp do obiektu pliku w zasobniku S3?
A. Użytkownik
B. root
C. rola
D grupa
Pytanie 32: Jakie są trzy zalecane rozwiązania zapewniające ochronę i łagodzenie skutków ataków typu rozproszona odmowa usługi (DDoS)?
A. grupy bezpieczeństwa
B. CloudWatch
C. szyfrowanie
D. WAF
E. replikacja danych
F. Automatyczne skalowanie
Pytanie 33: Jakie są trzy zalecane najlepsze praktyki podczas konfigurowania usług zabezpieczeń związanych z zarządzaniem tożsamością i dostępem (IAM)?
A. Zablokuj lub usuń klucze dostępu root, jeśli nie są potrzebne
B. Grupy uprawnień nie są zalecane ze względu na bezpieczeństwo przechowywania
C. utwórz użytkownika IAM z uprawnieniami administratora
D. udostępniaj swoje hasło i/lub klucze dostępu wyłącznie członkom swojej grupy
E. usuń dowolne konto AWS, do którego klucze dostępu są nieznane
Pytanie 34: Jakie dwie funkcje tworzą strefy bezpieczeństwa pomiędzy instancjami EC2 w ramach VPC?
A. grupy bezpieczeństwa
B. Wirtualna brama bezpieczeństwa
C. sieciowa lista ACL
D. WAF
Pytanie 35: Która usługa AWS zapewnia usługi oceny podatności na zagrożenia dla najemców w chmurze?
A. Amazon WAF
B. Inspektor Amazona
C. Logika chmury Amazon
D. Zaufany doradca Amazon
Pytanie 36: Jakie są dwie główne różnice między AD Connector a Simple AD dla usług katalogowych w chmurze?
A. Prosta usługa AD wymaga lokalnego katalogu ADS
B. Simple AD jest w pełni zarządzane i konfigurowane w ciągu kilku minut
C. Łącznik AD wymaga lokalnego katalogu ADS
D. Simple AD jest bardziej skalowalny niż AD Connector
E. Simple AD zapewnia lepszą integrację z IAM
01. Odpowiedź (B, C, E)
02. Odpowiedź (A, C, D)
03. .Odpowiedź (B,D)
04. Odpowiedź (D)
05. Odpowiedź (A, D, E)
06. Odpowiedź (A, C)
07. Odpowiedź (A, D)
08. Odpowiedź (D)
09. Odpowiedź (A, C)
10. Odpowiedź (D, E)
11. Odpowiedź (B, C)
12. Odpowiedź (B, C, E)
13. Odpowiedź (B, D, E)
14. Odpowiedź (A)
15. Odpowiedź (A, B, D)
16. Odpowiedź (C)
17. Odpowiedź (C)
18. Odpowiedź (A, C)
19. Odpowiedź (C)
20. Odpowiedź (C)
21. Odpowiedź (D, E)
22. Odpowiedź (C)
23. Odpowiedź (A, B, C)
24. Odpowiedź (B)
25. Odpowiedź (E)
26 Odpowiedź (C, D)
27. Odpowiedź (A, B, E)
28. Odpowiedź (A)
29. Odpowiedź (A, C)
30. Odpowiedź (A)
31. Odpowiedź (C)
32. Odpowiedź (A, B, D)
33. Odpowiedź (A, C, E)
34. Odpowiedź (A, B)
35. Odpowiedź (B)
36. Odpowiedź (B, C)