| 질문 | 한 조직에서 애플리케이션 서버가 Amazon EC2 인스턴스에서 실행되는 3계층 웹 애플리케이션을 배포하려고 합니다. 1. EC2 인스턴스는 Amazon RDS DB 인스턴스에 대한 SQL 연결을 인증하는 데 사용할 자격 증명에 액세스해야 합니다. 2. AWS Lambda 함수는 동일한 데이터베이스 자격 증명을 사용하여 RDS 데이터베이스에 쿼리를 발행해야 합니다. 3. EC2 인스턴스와 Lambda 함수가 액세스할 수 있도록 자격 증명을 저장해야 합니다. 4. 다른 액세스는 허용되지 않습니다. 5. 액세스 로그는 자격 증명에 액세스한 시기와 액세스한 사람을 기록해야 합니다. 보안 엔지니어는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까? |
| 보기 | A. AWS Key Management Service(AWS KMS)에 데이터베이스 자격 증명을 저장합니다. 역할의 신뢰 정책에서 EC2 및 Lambda 서비스 보안 주체를 사용하여 AWS KMS에 대한 액세스 권한이 있는 IAM 역할을 생성합니다. EC2 인스턴스 프로파일에 역할을 추가합니다. 인스턴스 프로필을 EC2 인스턴스에 연결합니다. 실행을 위해 새 역할을 사용하도록 Lambda를 설정합니다. B. 데이터베이스 자격 증명을 AWS KMS에 저장합니다. 역할의 신뢰 정책에서 EC2 및 Lambda 서비스 보안 주체를 사용하여 KMS에 대한 액세스 권한이 있는 IAM 역할을 생성합니다. EC2 인스턴스 프로파일에 역할을 추가합니다. 인스턴스 프로필을 EC2 인스턴스 및 Lambda 함수에 연결합니다. C. AWS Secrets Manager에 데이터베이스 자격 증명을 저장합니다. 역할의 신뢰 정책에서 EC2 및 Lambda 서비스 보안 주체를 사용하여 Secrets Manager에 대한 액세스 권한이 있는 IAM 역할을 생성합니다. EC2 인스턴스 프로파일에 역할을 추가합니다. 인스턴스 프로필을 EC2 인스턴스 및 Lambda 함수에 연결합니다. D. AWS Secrets Manager에 데이터베이스 자격 증명을 저장합니다. 역할의 신뢰 정책에서 EC2 및 Lambda 서비스 보안 주체를 사용하여 Secrets Manager에 대한 액세스 권한이 있는 IAM 역할을 생성합니다. EC2 인스턴스 프로파일에 역할을 추가합니다. 인스턴스 프로필을 EC2 인스턴스에 연결합니다. 실행을 위해 새 역할을 사용하도록 Lambda를 설정합니다. |
| 정답 | D |
| 풀이 | A. Lambda 함수에 적합한 방법이 아닙니다. Lambda 함수를 실행하려면 인스턴스 프로파일과 연결된 IAM 역할을 사용해야 합니다. B. EC2 인스턴스와 Lambda 함수가 자격 증명에 액세스하려면 각각의 인스턴스 프로파일과 연결된 IAM 역할이 필요합니다. 이 답변은 Lambda 함수에 적합한 방법이 아닙니다. C. EC2 인스턴스 프로파일을 Lambda 함수에 연결하지 않기 때문에 Lambda 함수가 자격 증명에 액세스할 수 없습니다. D. AWS Secrets Manager에 데이터베이스 자격 증명을 저장하고 IAM 역할을 생성하여 EC2 인스턴스와 Lambda 함수에 액세스 권한을 부여합니다. EC2 인스턴스 프로파일에 역할을 추가하고, 인스턴스 프로파일을 EC2 인스턴스에 연결하고 Lambda 함수를 실행하는 데 새 역할을 사용하도록 설정합니다. 이것은 EC2 인스턴스와 Lambda 함수 모두에게 자격 증명을 제공하고 모든 로그인을 기록하며, 그러므로 위 요구 사항을 충족시키는 올바른 답변입니다. |
| 질문 | 회사에 가져온 키 자료가 포함된 고객 마스터 키(CMK)가 있습니다. 회사 정책에 따라 모든 암호화 키는 매년 교체해야 합니다. 위의 정책을 구현하기 위해 무엇을 할 수 있습니까? |
| 보기 | A. CMK에 대해 매년 자동 키 교체를 활성화합니다. B. AWS 명령줄 인터페이스를 사용하여 기존 CMK를 매년 교체하는 AWS Lambda 함수를 생성합니다. C. 새 키 구성 요소를 기존 CMK로 가져오고 CMK를 수동으로 교체합니다. D. 새 CMK를 생성하고 여기에 새 키 구성 요소를 가져오고 키 별칭이 새 CMK를 가리키도록 합니다. |
| 정답 | D |
| 풀이 | 새 CMK를 생성하고 가져온 키 자료를 추가한 다음, 키 별칭을 새 CMK로 변경하는 방법으로 매년 교체 정책을 구현할 수 있습니다. 이렇게 하면 애플리케이션에서 CMK ID나 ARN에 대한 참조를 업데이트할 필요가 없으며, 기존 암호화된 데이터도 영향을 받지 않습니다. A는 자동으로 키를 교체하는 방법이지만 모든 CMK에 대해 적용되지는 않습니다. B는 매년 자동으로 CMK를 교체하는 방법이지만, 기존 애플리케이션에서 사용 중인 CMK ID나 ARN에 대한 참조를 업데이트해야 하므로 잘못된 답입니다. C는 새로운 키 구성 요소를 기존 CMK에 가져와야 하므로, 현재 CMK의 키 구성 요소를 업데이트하는 것과 동일한 결과를 가져올 것입니다. 또한, CMK를 수동으로 교체하면 다른 AWS 서비스와의 통합에 대한 영향도 고려해야 합니다. |
문제13
| 질문 | 수도 유틸리티 회사는 여러 Amazon EC2 인스턴스를 사용하여 수질을 모니터링하는 2,000개의 IoT(사물 인터넷) 필드 디바이스에 대한 업데이트를 관리합니다. 이러한 장치에는 각각 고유한 액세스 자격 증명이 있습니다. 운영 안전 정책에서는 특정 자격 증명에 대한 액세스를 독립적으로 감사할 수 있어야 합니다. 자격 증명 저장소를 관리하는 가장 비용 효율적인 방법은 무엇입니까? |
| 보기 | A. AWS Systems Manager를 사용하여 보안 문자열 매개변수로 자격 증명을 저장합니다. AWS KMS 키를 사용하여 보호합니다. B. AWS Key Management System을 사용하여 자격 증명을 암호화하는 데 사용되는 마스터 키를 저장합니다. 암호화된 자격 증명은 Amazon RDS 인스턴스에 저장됩니다. C. AWS Secrets Manager를 사용하여 자격 증명을 저장합니다. D. 서버 측 암호화를 사용하여 Amazon S3의 JSON 파일에 자격 증명을 저장합니다. |
| 정답 | C |
| 풀이 | 정답은 A입니다. AWS Systems Manager를 사용하여 보안 문자열 매개변수로 자격 증명을 저장하고 AWS KMS 키를 사용하여 보호할 수 있습니다. 이 방법은 비용 효율적이고, 액세스 감사를 위해 CloudTrail을 사용할 수 있으며, 안전하고 간단한 방법으로 액세스 자격 증명을 관리할 수 있습니다. B는 Amazon RDS 인스턴스에 암호화된 자격 증명을 저장하는 것이므로 이 경우에는 IoT 필드 디바이스에 대한 고유한 액세스 자격 증명을 감사할 수 없습니다. C는 AWS Secrets Manager를 사용하여 자격 증명을 저장하는 것이므로 비용이 비싸고 복잡할 수 있습니다. D는 서버 측 암호화를 사용하여 Amazon S3의 JSON 파일에 자격 증명을 저장하는 것이므로 이 경우에는 CloudTrail을 사용하여 액세스 감사를 수행할 수 없으며, 안전하지 않은 방법으로 자격 증명을 저장하는 것입니다. |
문제14
| 질문 | 조직은 Linux Amazon EC2 인스턴스에 배포된 에이전트와 함께 Amazon CloudWatch Logs를 사용하고 있습니다. 에이전트 구성 파일을 확인했으며 푸시할 애플리케이션 로그 파일이 올바르게 구성되었습니다. 검토 결과 특정 인스턴스의 로깅이 누락되었음을 확인했습니다. 문제를 해결하려면 어떤 조치를 취해야 합니까? (두 가지를 선택하세요.) |
| 보기 | A. EC2 실행 명령을 사용하여 "awslogs" 서비스가 모든 인스턴스에서 실행 중인지 확인합니다. B. 에이전트가 사용하는 권한이 로그 그룹/스트림 생성을 허용하고 로그 이벤트를 넣을 수 있는지 확인합니다. C. /var/cwlogs/rejects.log를 검토하여 유효하지 않은 타임 스탬프로 인해 애플리케이션 로그 항목이 거부되었는지 확인합니다. D. 신뢰 관계가 서비스 "cwlogs.amazonaws.com"에 Amazon S3 스테이징 버킷에 객체를 쓸 수 있는 권한을 부여하는지 확인합니다. E. 애플리케이션 서버의 시간대가 UTC인지 확인합니다. |
| 정답 | A, B |
| 풀이 | CloudWatch Logs를 사용할 때, 로그 데이터를 쓰려면 IAM 역할이나 IAM 사용자에게 해당 작업을 수행할 수 있는 권한이 필요합니다. 따라서 누락된 로그가 있는 EC2 인스턴스에서는 로그 그룹 및 로그 스트림 생성 및 쓰기 작업에 대한 권한을 확인해야 합니다. 또한 "awslogs" 서비스가 모든 인스턴스에서 실행 중인지 확인해야 합니다. 따라서 A와 B가 정답입니다. |
문제15
| 질문 | 보안 엔지니어는 보안 사고 발생 시 사고 대응 팀이 사용자의 IAM 권한 변경 사항을 감사할 수 있는 솔루션을 설계해야 합니다. 이것이 어떻게 이루어질 수 있습니까? |
| 보기 | A. AWS Config를 사용하여 사고 전후에 사용자에게 할당된 IAM 정책을 검토하십시오. B. AWS CLI를 통해 GenerateCredentialReport를 실행하고 감사 목적으로 매일 Amazon S3에 출력을 복사합니다. C. AWS CloudFormation 템플릿을 S3에 복사하고 템플릿의 변경 사항을 감사합니다. D. Amazon EC2 Systems Manager를 사용하여 이미지를 배포하고 AWS CloudTrail 로그에서 변경 사항을 검토합니다. |
| 정답 | A |
| 풀이 | AWS Config 규칙을 생성하면 IAM 권한 변경 사항에 대한 기록을 검토하고 이전 상태와 비교하여 변경 내용을 파악할 수 있습니다. B의 경우, GenerateCredentialReport는 AWS 계정에 대한 자격 증명 사용 보고서를 생성할 수 있습니다. 그러나 이는 사용자가 IAM 정책을 변경하는 것을 추적하지 않습니다. C의 경우, AWS CloudFormation은 AWS 리소스를 배포하기 위한 인프라를 코드로 정의하는 서비스이며, IAM 정책 변경 사항을 추적하기 위한 기본 기능을 제공하지 않습니다. D의 경우, Amazon EC2 Systems Manager는 EC2 인스턴스 및 온프레미스 서버를 관리하기 위한 서비스입니다. IAM 정책 변경 사항 추적을 위한 기능을 제공하지 않습니다. CloudTrail은 사용자 계정에서 AWS API 작업 활동에 대한 로그를 생성합니다. 그러나 CloudTrail은 IAM 정책 변경 사항 추적을 위한 별도의 지원을 제공하지 않습니다. 따라서, IAM 권한 변경 사항을 감사하기 위해서는 AWS Config를 사용하는 것이 가장 적절합니다. |
문제16
| 질문 | 회사에는 Amazon EC2 인스턴스 간의 수신, 송신 및 통신을 관리하는 복잡한 연결 규칙이 있습니다. 규칙이 너무 복잡해서 보안 그룹 및 네트워크 액세스 제어 목록(네트워크 ACL)의 최대 수 제한 내에서 구현할 수 없습니다. 회사에서 추가 비용을 들이지 않고 필요한 모든 네트워크 규칙을 구현할 수 있는 메커니즘은 무엇입니까? |
| 보기 | A. 필요한 규칙을 구현하도록 AWS WAF 규칙을 구성합니다. B. 운영 체제에 내장된 호스트 기반 방화벽을 사용하여 필요한 규칙을 구현합니다. C. 요구 사항에 따라 NAT 게이트웨이를 사용하여 수신 및 송신을 제어합니다. D. AWS Marketplace에서 EC2 기반 방화벽 제품을 시작하고 해당 제품에서 필요한 규칙을 구현합니다. |
| 정답 | B |
| 풀이 | 운영 체제에 내장된 방화벽을 사용하여 필요한 모든 네트워크 규칙을 구현하는 방법은 추가 비용이 들어가지 않으며, AWS에서 호스팅하는 인프라의 일부이므로 별도의 라이선스 비용도 없습니다. A: AWS WAF는 웹 애플리케이션 방화벽으로, 모든 네트워크 규칙을 구현하는 데 적합하지 않습니다. 또한 AWS WAF를 사용하려면 추가 비용이 들어갈 수 있습니다. C: NAT 게이트웨이를 사용하여 특정 트래픽을 제어할 수 있지만, 모든 네트워크 규칙을 구현하는 데는 적합하지 않습니다. 또한 NAT 게이트웨이는 추가 비용이 들어갈 수 있습니다. D: 방화벽 제품을 시작하여 필요한 모든 네트워크 규칙을 구현할 수 있지만, 추가 비용이 들어갈 수 있습니다. 또한, AWS Marketplace에서 선택한 방화벽 제품이 원하는 모든 기능을 제공하지 않을 수도 있습니다. |
문제17
| 질문 | EC2 FullAccess 권한이 있는 IAM 사용자는 유지 관리 작업을 위해 중지된 Amazon EC2 인스턴스를 봇으로 시작할 수 있습니다. 인스턴스를 시작하면 인스턴스 상태가 'Pending'으로 변경되지만 몇 초 후에 다시 'Stopped'로 전환됩니다. 검사 결과 인스턴스가 고객 마스터 키(CMK)를 사용하여 암호화된 Amazon EBS 볼륨을 연결한 것으로 나타났습니다. 이러한 암호화된 볼륨이 분리되었을 때 IAM 사용자는 EC2 인스턴스를 시작할 수 있었습니다. IAM 사용자 정책은 다음과 같습니다. IAM 사용자 정책에 어떤 추가 항목을 추가해야 합니까? (두 가지를 선택하세요.) |
| 보기 | A. kms:GenerateDataKey B. kms :복호화 C. kms :CreateGrant D. {"Condition": {"Bool": {"kms:ViaService":"ec2.us-west-2.amazonaws.com"}} E. {"Condition": {"Bool": {"kms:GrantIsForAWSResource": true}} |
| 정답 | A, C |
| 풀이 | IAM 사용자에게 할당해야 하는 권한은 해당 암호화 키에 대한 리소스 권한 및 해당 리소스에 대한 AWS KMS 권한을 사용하는 조건문입니다. 이를 나타내기 위해 IAM 정책에 C와 E 항목을 추가해야 합니다. C. kms:CreateGrant: 이 권한은 IAM 사용자가 볼륨 암호화 키에 대한 권한을 할당 할 수 있는 권한을 부여합니다. E. {"Condition": {"Bool": {"kms:GrantIsForAWSResource": true}}: 이 조건은 사용자가 볼륨 암호화 키에 대한 AWS 리소스 권한을 할당 할 수 있는 권한을 부여합니다. A. kms:GenerateDataKey: 이 권한은 암호화된 볼륨의 평문 키를 생성하는 데 필요합니다. B. kms:Decrypt: 이 권한은 암호화된 볼륨의 평문 키로 볼륨을 복호화하는 데 필요합니다. D. {"Condition": {"Bool": {"kms:ViaService":"ec2.us-west-2.amazonaws.com"}}: 이 조건은 KMS 서비스가 EC2에서 호출되는지 여부를 확인하는 데 사용됩니다. |
문제18
| 질문 | 보안 관리자에게는 Amazon S3에서 호스팅되는 웹 사이트가 있습니다. 관리자에게 부여된 요구 사항은 다음과 같습니다. ✑ 사용자는 Amazon CloudFront 배포를 사용하여 웹 사이트에 액세스할 수 있습니다. ✑ 사용자는 Amazon S3 URL을 사용하여 웹 사이트에 직접 액세스할 수 없습니다. 이러한 요구 사항을 지원하는 구성은 무엇입니까? (두 가지를 선택하세요.) |
| 보기 | A. 원본 액세스 ID를 CloudFront 배포와 연결합니다. B. S3 버킷 정책에서 "Principal": "cloudfront.amazonaws.com" 조건을 구현합니다. C. 원본 액세스 ID만 버킷 콘텐츠에 액세스할 수 있도록 S3 버킷 권한을 수정합니다. D. 의도한 CloudFront 배포를 통해서만 S3 버킷에 액세스할 수 있도록 보안 그룹을 구현합니다. E. VPC 엔드포인트를 통해서만 액세스할 수 있도록 S3 버킷 정책을 구성하고 CloudFront 배포를 지정된 VPC에 배치합니다. |
| 정답 | |
| 풀이 |
문제19
| 질문 | 보안 엔지니어가 매일 AWS Lambda 함수를 호출하는 Amazon CloudWatch 이벤트를 생성했습니다. Lambda 함수는 Amazon S3의 AWS CloudTrail 로그를 확인하는 Amazon Athena 쿼리를 실행하여 지난 30일 동안 IAM 사용자 계정 또는 자격 증명이 생성되었는지 감지합니다. Athena 쿼리 의 결과는 동일한 S3 버킷에 생성됩니다. 엔지니어는 AWS 콘솔을 통해 Lambda 함수의 테스트 실행을 실행하고 함수가 성공적으로 실행됩니다. 몇 분 후 엔지니어는 '권한 부족' 오류 메시지와 함께 Athena 쿼리가 실패했음을 알게 됩니다. 보안 엔지니어 및 Lambda 함수의 IAM 권한은 다음과 같습니다. 오류의 원인은 무엇입니까? |
| 보기 | A. Lambda 함수에는 Athena 쿼리 실행을 시작할 권한이 없습니다. B. 보안 엔지니어는 Athena 쿼리 실행을 시작할 권한이 없습니다. C. Athena 서비스는 Lambda를 통한 호출을 지원하지 않습니다. D. Lambda 함수에 CloudTrail S3 버킷에 액세스할 수 있는 권한이 없습니다. |
| 정답 | |
| 풀이 |
문제20
| 질문 | 회사는 유효하지 않거나 악의적인 콘텐츠에 대해 IP 패킷 데이터를 검사할 것을 요구합니다. 다음 중 이 요구 사항을 충족하는 접근 방식은 무엇입니까? (두 가지를 선택하세요.) |
| 보기 | A. Amazon EC2에서 프록시 솔루션을 구성하고 이를 통해 모든 아웃바운드 VPC 트래픽을 라우팅합니다. EC2 인스턴스의 프록시 소프트웨어 내에서 검사를 수행합니다. B. VPC 내의 각 EC2 인스턴스에서 호스트 기반 에이전트를 구성합니다. 호스트 기반 에이전트 내에서 검사를 수행합니다. C. VPC의 모든 서브넷에 대해 VPC 흐름 로그를 활성화합니다. Amazon CloudWatch Logs 내의 흐름 로그 데이터에서 검사를 수행합니다. D. ELB(Elastic Load Balancing) 액세스 로그를 구성합니다. ELB 액세스 로그 파일 내의 로그 데이터에서 검사를 수행합니다. E. VPC 내의 각 EC2 인스턴스에서 CloudWatch Logs 에이전트를 구성합니다. CloudWatch Logs 내의 로그 데이터에서 검사를 수행합니다. |
| 정답 | |
| 풀이 |
'자격증 공부 > AWS Security specialty' 카테고리의 다른 글
| [AWS Secyrity Specialty] 문제풀이-3 (0) | 2023.03.31 |
|---|---|
| [AWS Secyrity Specialty] 문제풀이-1 (0) | 2023.02.27 |
| [AWS Secyrity Specialty] 자격증 공부 준비 (0) | 2023.02.22 |