기업에서 타사 SaaS 애플리케이션을 사용하려고 합니다. SaaS 애플리케이션은 엔터프라이즈 계정 내에서 실행되는 Amazon EC2 리소스를 검색하기 위해 여러 API 명령을 실행할 수 있는 액세스 권한이 있어야 합니다. 기업에는 환경에 대한 외부 액세스를 요구하는 내부 보안 정책이 있어야 하며 최소 권한 원칙을 준수해야 하며 SaaS 공급업체가 사용하는 자격 증명을 다른 제3자가 사용할 수 없도록 하는 통제가 있어야 합니다. 다음 중 이 모든 조건을 충족하는 것은?
선택 해주세요:

• A.AWS Management 콘솔에서 보안 자격 증명 페이지로 이동하여 계정에 대한 액세스 및 보안 키를 검색합니다.
• B.엔터프라이즈 계정 내에서 1AM 사용자 생성 SaaS 애플리케이션에 필요한 작업만 허용하는 1AM 사용자에게 사용자 정책을 할당합니다. 사용자에 대한 새 액세스 및 비밀 키를 만들고 이러한 자격 증명을 SaaS 공급자에게 제공합니다.
• C.교차 계정 액세스를 위한 1AM 역할 생성은 SaaS 제공자의 계정이 역할을 맡도록 허용하고 SaaS 애플리케이션에 필요한 작업만 허용하는 정책을 할당합니다.
• D.EC2 인스턴스에 대한 1AM 역할을 생성하고, SaaS 애플리케이션이 작동하는 데 필요한 작업만 허용하는 정책을 할당하고, 애플리케이션 인스턴스를 시작할 때 사용할 SaaS 공급자에게 역할 ARN을 제공합니다.

Correct Answer: C

AWS 블로그의 아래 다이어그램은 자신의 계정에 있는 서비스에 대해 다른 계정에 액세스 권한이 부여되는 방법을 보여줍니다.

오전 1시 사용자 또는 오전 1시 액세스 키를 사용해서는 안 되므로 옵션 A와 B는 유효하지 않습니다. 교차 계정 액세스를 위한 역할을 생성해야 하기 때문에 옵션 D는 유효하지 않습니다. 외부 계정에 대한 액세스 허용에 대한 자세한 내용은 아래 URL을 참조하십시오.
|https://aws.amazon.com/blogs/apn/how-to-best-architect-your-aws-marketplace-saas-subscription-across-multiple-aws-accounts; 정답은 다음과 같습니다. 교차 계정 액세스를 위한 1AM 역할 생성은 SaaS 제공자의 계정이 역할을 맡도록 허용하고 SaaS 애플리케이션에 필요한 작업만 허용하는 정책을 할당합니다.
전문가에게 피드백/쿼리 제출

Comment: *

Name: *

Email: *

Verification: *

귀하의 CTO는 귀하의 AWS 계정 보안에 대해 매우 걱정하고 있습니다. 해커가 귀하의 계정을 완전히 도용하는 것을 어떻게 방지할 수 있습니까?
선택 해주세요:

• A.루트 계정과 모든 관리자에 대해 짧지만 복잡한 암호를 사용합니다.
• B.AWS 1AM Geo-Lock을 사용하고 거주하는 도시 이외의 사람이 로그인하지 못하도록 합니다.
• C.모든 사용자 및 계정, 특히 루트 계정에서 MFA를 사용합니다.
• D.AWS 계정 생성 후 루트 계정 비밀번호를 기록하거나 기억하지 마세요.

Correct Answer: C

설명
다단계 인증은 AWS 계정에 보안 계층을 하나 더 추가할 수 있습니다. 보안 자격 증명 대시보드로 이동하더라도 항목 중 하나는 루트 계정에서 MFA를 활성화하는 것입니다.

좋은 암호 정책이 필요하기 때문에 옵션 A는 유효하지 않습니다. 옵션 B는 암호 정책이 없기 때문에 유효하지 않습니다.
1AM Geo-Lock 옵션 D는 권장되지 않으므로 유효하지 않습니다. MFA에 대한 자세한 내용은 아래 URL을 방문하십시오.
http://docs.aws.amazon.com/IAM/latest/UserGuide/id
자격 증명 mfa.htmll
정답은 모든 사용자와 계정, 특히 루트 계정에서 MFA를 사용하는 것입니다.
전문가에게 피드백/쿼리 제출

Comment: *

Name: *

Email: *

Verification: *

이전에 회사의 Amazon S3 버킷에 승인되지 않은 변경이 있었습니다. 보안 엔지니어는 회사의 S3 버킷에 대한 구성 변경 사항을 기록하도록 AWS Config를 구성했습니다. 엔지니어는 S3 구성이 변경되고 있지만 Amazon SNS 알림이 전송되지 않는다는 것을 발견했습니다. 엔지니어는 이미 SNS 주제의 구성을 확인했으며 구성이 유효한지 확인했습니다.
보안 엔지니어는 문제를 해결하기 위해 어떤 단계 조합을 취해야 합니까? (2개를 선택하십시오.)

• A.AWS Config가 버킷의 변경 사항을 기록할 수 있도록 S3 버킷에 연결된 정책을 구성합니다.
• B.보안 엔지니어의 IAM 사용자에게 모든 AWS Config 작업을 허용하는 연결된 정책이 있는지 확인합니다.
• C.AWSConfigRole 관리형 정책을 AWS Config 역할에 할당
• D.AWS Config가 버킷에 대한 변경 사항을 기록할 수 있도록 S3 버킷 ACL을 구성합니다.
• E.AmazonS3ReadOnryAccess 관리형 정책을 IAM 사용자에게 연결합니다.

Comment: *

Name: *

Email: *

Verification: *

AWS 계정에 여러 S3 버킷이 정의되어 있습니다. 이러한 S3 버킷에 외부 AWS 계정에 대한 액세스 권한을 부여해야 합니다. 다음 중 외부 계정에 대한 권한을 정의할 수 있는 것은 무엇입니까? 아래 주어진 옵션에서 2개의 답변을 선택하십시오. 선택하십시오:

• A.오전 1시 정책
• B.버킷 ACL
• C.오전 1시 사용자
• D.버킷 정책

Correct Answer: B,D

설명
AWS 보안 백서는 액세스 제어 유형과 제어 권한을 부여할 수 있는 수준을 제공합니다.

버킷에 대한 외부 액세스의 경우 버킷 정책 또는 버킷 ACL을 사용해야 하기 때문에 옵션 A 및 C가 올바르지 않습니다. 스토리지 서비스 역할에 대한 보안에 대한 자세한 정보는 아래 URL을 참조하십시오.
https://d1.awsstatic.com/whitepapers/Security/Security Storage Services Whitepaper.pdf 정답은 다음과 같습니다. 버킷 ACL, 버킷 정책 전문가에게 피드백/쿼리 제출

Comment: *

Name: *

Email: *

Verification: *

귀사에는 AWS 클라우드에서 호스팅되는 온프레미스 서버와 서버가 있는 하이브리드 환경이 있습니다. 그들은 서버 패치를 위해 Systems Manager를 사용할 계획입니다. 다음 중 이것이 작동하기 위한 전제 조건은 무엇입니까? 선택 해주세요:

• A.온프레미스 서버가 Hyper-V에서 실행되고 있는지 확인합니다.
• B.1AM 서비스 역할이 생성되었는지 확인
• C.1AM 사용자가 생성되었는지 확인
• D.온프레미스 서버에 대해 1AM 그룹이 생성되었는지 확인합니다.

Comment: *

Name: *

Email: *

Verification: *