회사는 키에 대한 암호화 독점 액세스를 생성, 저장 및 관리하는 안전한 방법을 원합니다. 다음 중 이 용도로 사용할 수 있는 것은?
선택 해주세요:

• A.KMS 및 일반 KMS 암호화 키 사용
• B.KMS 사용 및 외부 키 자료 사용
• C.S3 서버 측 암호화 사용
• D.Cloud HSM 사용

Comment: *

Name: *

Email: *

Verification: *

애플리케이션은 EC2 인스턴스에서 실행되도록 설계되었습니다. 애플리케이션은 S3 버킷과 함께 작동해야 합니다. 보안 관점에서 EC2 인스턴스/애플리케이션을 구성하는 이상적인 방법은 무엇입니까?
선택 해주세요:

• A.AWS 액세스 키를 사용하여 자주 교체되도록 합니다.
• B.해당 S3 버킷에만 특정 액세스 권한이 있는 애플리케이션에 IAM 사용자를 할당합니다.
• C.IAM 역할 할당 및 EC2 인스턴스에 할당
• D.IAM 그룹을 할당하고 EC2 인스턴스에 할당합니다.

Correct Answer: C

설명
AWS 백서의 아래 다이어그램은 S3 버킷에 대한 액세스 권한이 있는 역할을 할당하는 최상의 보안 사례를 보여줍니다.

다른 AWS 리소스의 리소스에 대한 액세스 권한을 부여할 때 사용자, 그룹 또는 액세스 키를 사용하는 것은 잘못된 보안 관행이기 때문에 옵션 A,B 및 D는 유효하지 않습니다.
보안 모범 사례에 대한 자세한 내용은 다음 URL을 참조하십시오.
https://d1.awsstatic.com/whitepapers/Security/AWS Security Best Practices.pdl 정답은 다음과 같습니다. IAM 역할을 할당하고 EC2 인스턴스에 할당 전문가에게 피드백/쿼리 제출

Comment: *

Name: *

Email: *

Verification: *

회사는 별도의 가용 영역에 있는 각 인스턴스와 함께 3개의 Amazon EC2 인스턴스를 구성하고 있습니다. EC2 인스턴스는 포트 80 및 443에 대한 아웃바운드 인터넷 트래픽에 대한 투명한 프록시로 사용되므로 프록시는 회사의 보안 정책에 따라 특정 인터넷 대상으로 가는 트래픽을 차단할 수 있습니다. 보안 엔지니어는 다음을 완료했습니다.
* EC2 인스턴스에 프록시 소프트웨어를 설정합니다.
* 프록시 EC2 인스턴스를 기본 경로로 사용하도록 프라이빗 서브넷의 라우팅 테이블을 수정했습니다.
* 프록시 EC2 인스턴스 보안 그룹에서 인바운드 포트 80 및 443 TCP 프로토콜을 여는 보안 그룹 규칙을 만들었습니다.
그러나 프록시 EC2 인스턴스는 트래픽을 인터넷으로 성공적으로 전달하지 않습니다.
보안 엔지니어는 프록시 EC2 인스턴스가 트래픽을 인터넷으로 라우팅하도록 하려면 어떻게 해야 합니까?

• A.모든 프록시 EC2 인스턴스를 클러스터 배치 그룹에 넣습니다.
• B.프록시 EC2 인스턴스에서 소스 및 대상 확인을 비활성화합니다.
• C.프록시 EC2 인스턴스 보안 그룹의 모든 인바운드 포트를 엽니다.
• D.프록시 EC2 인스턴스의 IP 주소로 설정된 VPC의 DHCP 도메인 이름 서버 옵션을 변경합니다.

Comment: *

Name: *

Email: *

Verification: *

개발자는 연결 정보 및 로깅 설정을 저장하기 위해 환경 변수가 필요한 AWS Lambda 함수를 생성하고 있습니다. 개발자는 Lambda 환경 변수 보안을 위한 회사 표준을 준수하기 위해 정보 보안 부서에서 제공하는 AWS KMS 고객 마스터 키(CMK>)를 사용해야 합니다.
이 구성이 작동하려면 다음 중 어떤 것이 필요합니까? (2개를 선택하십시오.)

• A.Lambda 함수 실행 역할에는 AWS IAM 정책에 추가된 kms:Decrypt- 권한이 있어야 합니다.
• B.KMS 키 정책은 개발자가 KMS 키를 사용할 수 있는 권한을 허용해야 합니다.
• C.개발자에게 할당된 AWS IAM 정책에는 kmseGcnerate-DataKcy 권한이 추가되어 있어야 합니다.
• D.Lambda 실행 역할에는 AWS IAM 정책에 추가된 kms:Encrypt 권한이 있어야 합니다.
• E.개발자는 VPC에 대한 Lambda 액세스를 구성해야 합니다. --vpc-config 파라미터를 사용하여 VPC에 대한 Lambda 액세스를 구성해야 합니다.

Comment: *

Name: *

Email: *

Verification: *

회사는 최근 웹 서버에서 콘텐츠를 제공하지 못하게 하는 DDoS 공격을 경험했습니다. 웹 사이트는 정적이며 사용자가 다운로드하는 HTML, CSS 및 PDF 파일만 호스팅합니다.
이미지에 표시된 아키텍처를 기반으로 진행 중인 운영 오버헤드를 최소화하면서 향후 공격으로부터 사이트를 보호하는 가장 좋은 방법은 무엇입니까?

• A.EC2 인스턴스 앞에서 Application Load Balancer를 시작합니다. Application Load Balancer 앞에 Amazon CloudFront 배포를 생성합니다.
• B.새 서브넷에서 두 번째 Amazon EC2 인스턴스를 시작합니다. 두 인스턴스 모두 앞에서 Application Load Balancer를 시작합니다.
• C.모든 파일을 Amazon S3 버킷으로 이동합니다. 버킷 앞에 CloudFront 배포를 생성하고 웹 서버를 종료합니다.
• D.모든 파일을 Amazon S3 버킷으로 이동합니다. 웹 서버가 S3 버킷의 파일을 제공하도록 합니다.

Comment: *

Name: *

Email: *

Verification: *