골드에그

• A. 프로그래밍 방식의 액세스 권한만 있는 IAM 사용자를 생성합니다. 새 액세스 키 페어를 생성합니다. 액세스 키 ID 및 보안 액세스 키를 사용하여 Lambda 함수에 환경 변수를 추가합니다. Amazon S3와 통신하는 동안 런타임에 환경 변수를 사용하도록 Lambda 함수를 수정합니다.
• B. Amazon EC2 키 페어를 생성합니다. AWS Secrets Manager에 프라이빗 키를 저장합니다. Secrets Manager에서 프라이빗 키를 검색하고 Amazon S3와 통신하는 동안 프라이빗 키를 사용하도록 Lambda 함수를 수정합니다.
• C. Lambda 함수에 대한 IAM 역할을 생성합니다. S3 버킷에 대한 액세스를 허용하는 IAM 정책을 연결합니다.
• D. Lambda 함수에 대한 IAM 역할을 생성합니다. S3 버킷에 버킷 정책을 연결하여 액세스를 허용합니다. 함수의 IAM 역할을 보안 주체로 지정합니다.
• E. 보안 그룹을 생성합니다. 보안 그룹을 Lambda 함수에 연결합니다. 보안 그룹 ID를 통해 S3 버킷에 대한 액세스를 허용하는 버킷 정책을 연결합니다.

정답 : C, D

해설 : IAM 역할을 생성해서 버킷 정책과 연결한다.

• A. AWS Key Management Service(AWS KMS)에 저장된 사용자 지정 SSL 인증서
• B. Amazon CloudFront에 저장된 기본 SSL 인증서
• C. AWS Certificate Manager(ACM)에 저장된 사용자 지정 SSL 인증서
• D. Amazon S3에 저장된 기본 SSL 인증서

정답 : C

해설 : ACM 은 SSL 인증서를 배포하고 관리하는 전용 서비스이다.

• A. 손상된 EC2 인스턴스에 대한 관련 메타데이터를 수집합니다. 종료 방지 기능을 활성화합니다. 액세스를 제한하도록 인스턴스의 보안 그룹을 업데이트하여 인스턴스를 격리합니다. 인스턴스가 속해 있는 모든 Auto Scaling 그룹에서 인스턴스를 분리합니다. Elastic Load Balancing(ELB) 리소스에서 인스턴스를 등록 취소합니다.
• B. 손상된 EC2 인스턴스에 대한 관련 메타데이터를 수집합니다. 종료 방지 기능을 활성화합니다. 인스턴스를 모든 소스 및 대상 트래픽을 거부하는 격리 서브넷으로 이동합니다. 인스턴스를 서브넷과 연결하여 액세스를 제한합니다. 인스턴스가 속해 있는 모든 Auto Scaling 그룹에서 인스턴스를 분리합니다. Elastic Load Balancing(ELB) 리소스에서 인스턴스를 등록 취소합니다.
• C. Systems Manager Run Command를 사용하여 휘발성 데이터를 수집하는 스크립트를 호출합니다.
• D. 손상된 EC2 인스턴스에 대한 Linux SSH 또는 Windows 원격 데스크톱 프로토콜(RDP) 세션을 설정하여 휘발성 데이터를 수집하는 스크립트를 호출합니다.
• E. 후속 조사를 위해 손상된 EC2 인스턴스의 EBS 볼륨에 대한 스냅샷을 생성합니다. 관련 메타데이터 및 인시던트 티켓 정보로 인스턴스에 태그를 지정합니다.
• F. Systems Manager State Manager 연결을 생성하여 손상된 EC2 인스턴스의 EBS 볼륨 스냅샷을 생성합니다. 관련 메타데이터 및 인시던트 티켓 정보로 인스턴스에 태그를 지정합니다.

정답 : A, C, E

• A. AD Connector를 사용하여 AWS 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 생성합니다. AD Connector 그룹을 AWS 계정에 할당하고 직원의 직무 및 액세스 요구 사항에 따라 IAM 역할에 연결합니다. 직원들에게 AWS Directory Service 사용자 포털을 사용하여 AWS 계정에 액세스하도록 지시합니다.
• B. IAM Identity Center 기본 디렉터리를 사용하여 AWS 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 생성합니다. AWS 계정에 그룹을 할당하고 직원의 직무 및 액세스 요구 사항에 따라 권한 집합에 연결합니다. 직원에게 IAM Identity Center 사용자 포털을 사용하여 AWS 계정에 액세스하도록 지시합니다.
• C. IAM Identity Center 기본 디렉터리를 사용하여 AWS 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 생성합니다. IAM Identity Center 그룹을 모든 계정에 있는 IAM 사용자에게 연결하여 기존 권한을 상속합니다. 직원에게 IAM Identity Center 사용자 포털을 사용하여 AWS 계정에 액세스하도록 지시합니다.
• D. Microsoft Active Directory용 AWS 디렉터리 서비스를 사용하여 AWS 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 생성합니다. 생성된 디렉터리에서 AWS Management Console 액세스를 활성화하고 IAM Identity Center를 통합 계정 및 권한 집합에 대한 정보 소스로 지정합니다. 직원들에게 AWS Directory Service 사용자 포털을 사용하여 AWS 계정에 액세스하도록 지시합니다.

• A. 이벤트를 Amazon Kinesis 데이터 스트림으로 전송하도록 GuardDuty를 구성합니다. Amazon Simple Notification Service(Amazon SNS)를 통해 회사에 알림을 보내는 Amazon Kinesis Data Analytics for Apache Flink 애플리케이션을 사용하여 이벤트를 처리합니다. 네트워크 ACL에 규칙을 추가하여 의심스러운 인스턴스에서 들어오고 나가는 트래픽을 차단합니다.
• B. 이벤트를 Amazon EventBridge로 전송하도록 GuardDuty를 구성합니다. AWS WAF 웹 ACL을 배포합니다. Amazon Simple Notification Service(Amazon SNS)를 통해 회사에 알림을 보내고 의심스러운 인스턴스에서 들어오고 나가는 트래픽을 차단하는 웹 ACL 규칙을 추가하는 AWS Lambda 함수를 사용하여 이벤트를 처리합니다.
• C. AWS Security Hub를 활성화하여 GuardDuty 결과를 수집하고 이벤트를 Amazon EventBridge로 보냅니다. AWS Network Firewall을 배포합니다. 의심스러운 인스턴스에서 들어오고 나가는 트래픽을 차단하기 위해 Network Firewall 방화벽 정책에 규칙을 추가하는 AWS Lambda 함수를 사용하여 이벤트를 처리합니다.
• D. AWS Security Hub를 활성화하여 GuardDuty 결과를 수집합니다. Amazon Kinesis 데이터 스트림을 Security Hub의 이벤트 대상으로 구성합니다. 의심스러운 인스턴스의 보안 그룹을 연결을 허용하지 않는 보안 그룹으로 대체하는 AWS Lambda 함수로 이벤트를 처리합니다.

• A. 읽기 전용 자격 증명을 사용하여 AWS 계정에 로그인합니다. 사용된 IAM 자격 증명에 대한 자세한 내용은 GuardDuty 결과를 검토하십시오. IAM 콘솔을 사용하여 IAM 보안 주체에 DenyAll 정책을 추가합니다.
• B. 읽기 전용 자격 증명을 사용하여 AWS 계정에 로그인합니다. GuardDuty 결과를 검토하여 어떤 API 호출이 결과를 시작했는지 확인합니다. Amazon Detective를 사용하여 컨텍스트에서 API 호출을 검토합니다.
• C. 관리자 자격 증명을 사용하여 AWS 계정에 로그인합니다. 사용된 IAM 자격 증명에 대한 자세한 내용은 GuardDuty 결과를 검토하십시오. IAM 콘솔을 사용하여 IAM 보안 주체에 DenyAll 정책을 추가합니다.
• D. 읽기 전용 자격 증명을 사용하여 AWS 계정에 로그인합니다. GuardDuty 결과를 검토하여 어떤 API 호출이 결과를 시작했는지 확인합니다. AWS CloudTrail Insights 및 AWS CloudTrail Lake를 사용하여 컨텍스트에서 API 호출을 검토합니다.

• A. 계정 B에서 버킷 ACL을 생성하여 계정 A의 사용자가 계정 B의 S3 버킷에 액세스할 수 있도록 합니다.
• B. 계정 B에서 객체 ACL을 생성하여 계정 A의 사용자가 계정 B의 S3 버킷에 있는 모든 객체에 액세스할 수 있도록 합니다.
• C. 계정 B에서 계정 A의 사용자가 계정 B의 S3 버킷에 액세스할 수 있도록 허용하는 버킷 정책을 생성합니다.
• D. 계정 B에서 계정 A의 사용자가 계정 B의 S3 버킷에 액세스할 수 있도록 허용하는 사용자 정책을 생성합니다.

• A. AWS Lambda 함수를 생성하여 중요한 Security Hub 결과를 식별합니다. Lambda 함수의 대상으로 Amazon Simple Notification Service(Amazon SNS) 주제를 생성합니다. 이메일 엔드포인트를 SNS 주제에 구독하여 게시된 메시지를 수신합니다.
• B. Amazon Kinesis Data Firehose 전송 스트림을 생성합니다. 전송 스트림을 Amazon EventBridge와 통합합니다. 중요한 Security Hub 결과를 감지하는 필터가 있는 EventBridge 규칙을 생성합니다. 결과를 이메일 주소로 보내도록 전송 스트림을 구성합니다.
• C. Amazon EventBridge 규칙을 생성하여 중요한 Security Hub 결과를 탐지합니다. Amazon Simple Notification Service(Amazon SNS) 주제를 EventBridge 규칙의 대상으로 생성합니다. 이메일 엔드포인트를 SNS 주제에 구독하여 게시된 메시지를 수신합니다.
• D. Amazon EventBridge 규칙을 생성하여 중요한 Security Hub 결과를 탐지합니다. Amazon Simple Email Service(Amazon SES) 주제를 EventBridge 규칙의 대상으로 생성합니다. Amazon SES API를 사용하여 메시지 형식을 지정합니다. 메시지를 받을 이메일 주소를 선택합니다.

• A. 오토 스케일링이 시작하는 모든 EC2 인스턴스에 Amazon CloudWatch 에이전트가 설치되어 있는지 확인합니다. CloudWatch 에이전트 구성 파일을 생성하여 필요한 로그를 Amazon CloudWatch Logs에 전달합니다.
• B. 원하는 로그 그룹의 로그 보존 기간을 7년으로 설정합니다.
• C. 오토 스케일링에서 사용하는 시작 구성 또는 시작 템플릿에 IAM 역할을 연결합니다. Amazon CloudWatch Logs에 로그를 전달하는 데 필요한 권한을 제공하도록 역할을 구성합니다.
• D. 오토 스케일링에서 사용하는 시작 구성 또는 시작 템플릿에 IAM 역할을 연결합니다. 로그를 Amazon S3에 전달하는 데 필요한 권한을 제공하도록 역할을 구성합니다.
• E. 오토 스케일링이 시작하는 모든 EC2 인스턴스에 로그 전달 애플리케이션이 설치되어 있는지 확인합니다. 로그를 주기적으로 번들로 묶어 Amazon S3에 전달하도록 로그 전달 애플리케이션을 구성합니다.
• F. 대상 S3 버킷에서 7년 후에 객체를 만료하도록 Amazon S3 수명 주기 정책을 구성합니다.

• A. "부울": {"aws:MultiFactorAuthPresent": "true"}
• B. "부울": {"aws:MultiFactorAuthPresent": "false"}
• C. "숫자보다 적음": {"aws:MultiFactorAuthAge": "7200"}
• D. "숫자보다 큼": {"aws:MultiFactorAuthAge": "7200"}
• E. "숫자보다 적음": {"최대 세션 기간": "7200"}

• A. 각 프로덕션 계정에서 Amazon GuardDuty를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 GuardDuty 로그를 집계합니다. AWS Lambda 함수를 직접 호출하도록 GuardDuty를 구성하여 인시던트를 해결합니다. SNS 주제에도 알림을 게시하도록 Lambda 함수를 구성합니다.
• B. 각 프로덕션 계정에서 AWS Security Hub를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 Security Hub 결과를 집계합니다. AWS Config 및 AWS Systems Manager를 사용하여 인시던트를 해결합니다. SNS 주제에도 알림을 게시하도록 Systems Manager를 구성합니다.
• C. 각 프로덕션 계정에서 Amazon GuardDuty를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 GuardDuty 로그를 집계합니다. Amazon EventBridge를 사용하여 GuardDuty 결과에서 사용자 지정 AWS Lambda 함수를 호출하여 인시던트를 해결합니다. SNS 주제에도 알림을 게시하도록 Lambda 함수를 구성합니다.
• D. 각 프로덕션 계정에서 AWS Security Hub를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 Security Hub 결과를 집계합니다. Amazon EventBridge를 사용하여 Security Hub 결과에서 사용자 지정 AWS Lambda 함수를 호출하여 인시던트를 해결합니다. SNS 주제에도 알림을 게시하도록 Lambda 함수를 구성합니다.

• A. IAM Identity Center를 사용하면 Condition, Resource 및 NotAction 요소가 포함된 IAM 정책 설명으로 서비스 연결 역할을 설정하여 필요한 리전 및 서비스에만 액세스할 수 있습니다.
• B. 개발자가 사용할 수 없는 리전에서 AWS Security Token Service(AWS STS)를 비활성화합니다.
• C. Condition(조건), Resource(리소스) 및 NotAction(NotAction) 요소를 포함하는 SCP를 생성하여 필요한 리전 및 서비스에만 액세스할 수 있도록 합니다.
• D. 각 AWS 계정에 대해 IAM Identity Center에 대한 맞춤형 자격 증명 기반 정책을 생성합니다. Condition, Resource 및 NotAction 요소를 포함하는 문을 사용하여 필요한 리전 및 서비스에만 액세스를 허용합니다.

• A. Application Load Balancer에서 AWS Certificate Manager(ACM)의 TLS 인증서를 사용합니다. EC2 인스턴스에 자체 서명된 인증서를 배포합니다. 데이터베이스 클라이언트 소프트웨어가 Amazon RDS에 대한 TLS 연결을 사용하는지 확인합니다. RDS DB 인스턴스의 암호화를 활성화합니다. EC2 인스턴스를 지원하는 Amazon Elastic Block Store(Amazon EBS) 볼륨에서 암호화를 활성화합니다.
• B. Application Load Balancer와 함께 타사 공급업체의 TLS 인증서를 사용합니다. EC2 인스턴스에 동일한 인증서를 설치합니다. 데이터베이스 클라이언트 소프트웨어가 Amazon RDS에 대한 TLS 연결을 사용하는지 확인합니다. 애플리케이션 데이터의 클라이언트 측 암호화를 위해 AWS Secrets Manager를 사용합니다.
• C. AWS CloudHSM을 사용하여 EC2 인스턴스에 대한 TLS 인증서를 생성합니다. EC2 인스턴스에 TLS 인증서를 설치합니다. 데이터베이스 클라이언트 소프트웨어가 Amazon RDS에 대한 TLS 연결을 사용하는지 확인합니다. CloudHSM의 암호화 키를 사용하여 애플리케이션 데이터를 클라이언트 측 암호화합니다.
• D. Amazon CloudFront를 AWS WAF와 함께 사용합니다. 오리진 EC2 인스턴스로 HTTP 연결을 전송합니다. 데이터베이스 클라이언트 소프트웨어가 Amazon RDS에 대한 TLS 연결을 사용하는지 확인합니다. 데이터를 RDS 데이터베이스에 저장하기 전에 애플리케이션 데이터의 클라이언트 측 암호화를 위해 AWS Key Management Service(AWS KMS)를 사용합니다.

정답 : A