한글_AWS Certified Security - Specialty SCS-C02.pdf

Full Transcript

3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

- 전문가 검증, 온라인, 무료.

사용자 정의 보기 설정

주제 1 - 시험 A

질문 1 주제 1

한 회사에는 더 큰 이미지에서 이미지 썸네일을 생성하는 AWS Lambda 함수가 있습니다. Lambda 함수에는 동일한 AWS 계정의 Amazon
S3 버킷에 대한 읽기 및 쓰기 액세스 권한이 필요합니다.

어떤 솔루션이 Lambda 함수에 이러한 액세스를 제공합니까? (2개를 선택하세요.)

A. 프로그래밍 방식으로만 액세스할 수 있는 IAM 사용자를 생성합니다. 새 액세스 키 쌍을 생성합니다. 액세스 키 ID와 보안 액세스

키를 사용하여 Lambda 함수에 환경 변수를 추가합니다. Amazon S3와 통신하는 동안 런타임에 환경 변수를 사용하도록 Lambda 함
수를 수정합니다.

B. Amazon EC2 키 페어를 생성합니다. AWS Secrets Manager에 프라이빗 키를 저장합니다. Secrets Manager에서 프라이빗 키를 검색

하고 Amazon S3와 통신하는 동안 프라이빗 키를 사용하도록 Lambda 함수를 수정합니다.

C. Lambda 함수에 대한 IAM 역할을 생성합니다. S3 버킷에 대한 액세스를 허용하는 IAM 정책을 연결합니다.

D. Lambda 함수에 대한 IAM 역할을 생성합니다. 액세스를 허용하려면 S3 버킷에 버킷 정책을 연결하세요. 함수의 IAM 역할을 주체

로 지정합니다.

E. 보안 그룹을 생성합니다. 보안 그룹을 Lambda 함수에 연결합니다. 보안 그룹 ID를 통해 S3 버킷에 대한 액세스를 허용하는 버킷

정책을 연결합니다.

정답: BE

커뮤니티 투표 분배
CD (100%)

질문 #2 주제 1

보안 엔지니어가 example.com이라는 새 웹 사이트를 구성하고 있습니다. 보안 엔지니어는 사용자에게 HTTPS를 통해 example.com에
연결하도록 요구하여 웹사이트와의 통신을 보호하려고 합니다.
다음 중 SSL/TLS 인증서를 저장하기 위한 유효한 옵션은 무엇입니까?

A. AWS Key Management Service(AWS KMS)에 저장된 사용자 지정 SSL 인증서

B. Amazon CloudFront에 저장되는 기본 SSL 인증서

C. AWS Certificate Manager(ACM)에 저장된 사용자 지정 SSL 인증서

D. Amazon S3에 저장되는 기본 SSL 인증서

정답: C

커뮤니티 투표 분배
C (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 1/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #3 주제 1

보안 엔지니어는 회사의 Amazon EC2 인스턴스에서 잠재적인 보안 이벤트를 조사하고 대응하기 위한 프로세스를 개발해야 합니다. 모
든 EC2 인스턴스는 Amazon Elastic Block Store(Amazon EBS)의 지원을 받습니다. 회사는 AWS Systems Manager를 사용하여 모든 EC2 인스
턴스를 관리하고 모든 EC2 인스턴스에 Systems Manager 에이전트(SSM 에이전트)를 설치했습니다.
보안 엔지니어가 개발하는 프로세스는 AWS 보안 모범 사례를 준수해야 하며 다음 요구 사항을 충족해야 합니다.
손상된 EC2 인스턴스의 휘발성 메모리와 비휘발성 메모리는 법의학 목적으로 보존되어야 합니다.
손상된 EC2 인스턴스의 메타데이터는 해당 사고 티켓 정보로 업데이트되어야 합니다.
손상된 EC2 인스턴스는 조사 중에 온라인 상태를 유지해야 하지만 맬웨어 확산을 방지하기 위해 격리되어야 합니다.
휘발성 데이터를 수집하는 동안의 모든 조사 활동은 프로세스의 일부로 캡처되어야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하려면 보안 엔지니어가 수행해야 하는 단계 조합은 무엇입니까? (3개를 선택하
세요.)

A. 손상된 EC2 인스턴스에 대한 관련 메타데이터를 수집합니다. 종료 방지 기능을 활성화합니다. 액세스를 제한하기 위해 인스턴

스의 보안 그룹을 업데이트하여 인스턴스를 격리합니다. 인스턴스가 구성원으로 속한 Auto Scaling 그룹에서 인스턴스를 분리합
니다. ELB(Elastic Load Balancing) 리소스에서 인스턴스 등록을 취소합니다.

B. 손상된 EC2 인스턴스에 대한 관련 메타데이터를 수집합니다. 종료 방지 기능을 활성화합니다. 모든 원본 및 대상 트래픽을 거부

하는 격리 서브넷으로 인스턴스를 이동합니다. 액세스를 제한하려면 인스턴스를 서브넷과 연결하세요. 인스턴스가 구성원으로
속한 Auto Scaling 그룹에서 인스턴스를 분리합니다. ELB(Elastic Load Balancing) 리소스에서 인스턴스 등록을 취소합니다.

C. 시스템 관리자 Run Command를 사용하여 휘발성 데이터를 수집하는 스크립트를 호출합니다.

D. 손상된 EC2 인스턴스에 대한 Linux SSH 또는 Windows 원격 데스크톱 프로토콜(RDP) 세션을 설정하여 휘발성 데이터를 수집하는

스크립트를 호출합니다.

E. 후속 조사를 위해 손상된 EC2 인스턴스의 EBS 볼륨에 대한 스냅샷을 생성합니다. 관련 메타데이터 및 사건 티켓 정보로 인스턴

스에 태그를 지정합니다.

F. 손상된 EC2 인스턴스의 EBS 볼륨 스냅샷을 생성하기 위해 Systems Manager State Manager 연결을 생성합니다. 관련 메타데이터

및 사건 티켓 정보로 인스턴스에 태그를 지정합니다.

정답: 기원전

커뮤니티 투표 분배
에이스 (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 2/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #4 주제 1

회사는 AWS Organizations에 조직을 가지고 있습니다. 회사는 조직에서 AWS CloudFormation StackSets를 사용하여 다양한 AWS 디자인
패턴을 환경에 배포하려고 합니다. 이러한 패턴은 Amazon EC2 인스턴스, Elastic Load Balancing(ELB) 로드 밸런서, Amazon RDS 데이터
베이스, Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터 또는 Amazon Elastic Container Service(Amazon ECS) 클러스터로 구성됩
니다.
현재 회사 개발자는 자체 CloudFormation 스택을 생성하여 전반적인 제공 속도를 높일 수 있습니다. 공유 서비스 AWS 계정의 중앙 집
중식 CI/CD 파이프라인은 각 CloudFormation 스택을 배포합니다.
회사 보안팀에서는 이미 내부 기준에 따라 각 서비스에 대한 요구사항을 제시해 놓았습니다. 내부 기준을 준수하지 않는 자원이 있는
경우, 보안팀에 통보를 받아 적절한 조치를 취해야 합니다. 보안 팀은 개발자가 현재와 동일한 전체 전송 속도를 유지할 수 있는 기능
을 제공하는 알림 솔루션을 구현해야 합니다.
어떤 솔루션이 운영상 가장 효율적인 방식으로 이러한 요구 사항을 충족합니까?

A. Amazon Simple 알림 서비스(Amazon SNS) 주제를 생성합니다. 보안팀의 이메일 주소로 SNS 주제를 구독하세요. CI/CD 파이프라

인의 빌드 단계 전에 모든 CloudFormation 템플릿에서 aws cloudformation verify-template AWS CLI 명령을 실행할 사용자 지정 AWS
Lambda 함수를 생성합니다. 문제가 발견되면 SNS 주제에 알림을 게시하도록 CI/CD 파이프라인을 구성합니다.

B. Amazon Simple 알림 서비스(Amazon SNS) 주제를 생성합니다. 보안팀의 이메일 주소로 SNS 주제를 구독하세요. 각 리소스 구성

에 대해 CloudFormation Guard에서 사용자 지정 규칙을 생성합니다. CI/CD 파이프라인의 빌드 단계 전에 CloudFormation 템플릿에서
cfn-guard 명령을 실행하도록 Docker 이미지를 구성합니다. 문제가 발견되면 SNS 주제에 알림을 게시하도록 CI/CD 파이프라인을

구성합니다.

C. Amazon Simple Notification Service(Amazon SNS) 주제와 Amazon Simple Queue Service(Amazon SQS) 대기열을 생성합니다. 보안팀

의 이메일 주소로 SNS 주제를 구독하세요. 공유 서비스 AWS 계정에 Amazon S3 버킷을 생성합니다. S3 버킷에 새 객체가 추가되면
SQS 대기열에 게시할 이벤트 알림을 포함합니다. 개발자가 CloudFormation 템플릿을 S3 버킷에 넣도록 요구합니다. SQS 대기열 깊

이에 따라 자동으로 확장되는 EC2 인스턴스를 시작합니다. CloudFormation Guard를 사용하여 템플릿을 스캔하고 문제가 없는 경우
템플릿을 배포하도록 EC2 인스턴스를 구성합니다. 문제가 발견되면 SNS 주제에 알림을 게시하도록 CI/CD 파이프라인을 구성합니
다.

D. 개발자가 각 AWS 계정에 배포할 수 있는 표준 리소스 세트를 포함하는 중앙 집중식 CloudFormation 스택 세트를 생성합니다. 보

안 요구 사항을 충족하도록 각 CloudFormation 템플릿을 구성합니다. 새로운 리소스 또는 구성의 경우 CloudFormation 템플릿을 업
데이트하고 검토를 위해 보안 팀에 템플릿을 보냅니다. 검토가 완료되면 개발자가 사용할 수 있도록 저장소에 새 CloudFormation
스택을 추가합니다.

정답: A

커뮤니티 투표 분배
B (79%) A (21%)

질문 #5 주제 1

한 회사가 기존 시스템 중 하나를 온프레미스 데이터 센터에서 AWS로 마이그레이션하고 있습니다. 애플리케이션 서버는 AWS에서 실
행되지만 규정 준수를 위해 데이터베이스는 온프레미스 데이터 센터에 남아 있어야 합니다. 데이터베이스는 네트워크 대기 시간에
민감합니다. 또한 온프레미스 데이터 센터와 AWS 간에 이동하는 데이터에는 IPsec 암호화가 있어야 합니다.
이러한 요구 사항을 충족하는 AWS 솔루션 조합은 무엇입니까? (2개를 선택하세요.)

A. AWS 사이트 간 VPN

B. AWS 다이렉트 커넥트

C. AWS VPN 클라우드허브

D. VPC 피어링

E. NAT 게이트웨이

정답: AB

커뮤니티 투표 분배
AB (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 3/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #6 주제 1

한 회사에 수십 개의 Amazon DynamoDB 테이블을 사용하여 데이터를 저장하는 애플리케이션이 있습니다. 감사관은 해당 테이블이 회
사의 데이터 보호 정책을 준수하지 않는다는 사실을 발견했습니다.
회사의 보존 정책에는 모든 데이터를 매월 두 번(매월 15일 자정에 한 번, 매월 25일 자정에 한 번) 백업해야 한다고 명시되어 있습니
다. 회사는 백업본을 3개월 동안 보관해야 합니다.
이러한 요구 사항을 충족하려면 보안 엔지니어가 수행해야 하는 단계 조합은 무엇입니까? (2개를 선택하세요.)

A. DynamoDB 주문형 백업 기능을 사용하여 백업 계획을 생성하십시오. 3개월 후에 백업이 만료되도록 수명 주기 정책을 구성합니

다.

B. AWS DataSync를 사용하여 백업 계획을 생성합니다. 3개월의 보관 기간이 포함된 백업 규칙을 추가합니다.

C. AWS Backup을 사용하여 백업 계획을 생성합니다. 3개월의 보관 기간이 포함된 백업 규칙을 추가합니다.

D. cron 일정 표현식을 사용하여 백업 빈도를 설정합니다. 각 DynamoDB 테이블을 백업 계획에 할당합니다.

E. 속도 일정 표현식을 사용하여 백업 빈도를 설정합니다. 각 DynamoDB 테이블을 백업 계획에 할당합니다.

정답: DC

커뮤니티 투표 분배
CD (100%)

질문 #7 주제 1

회사에는 다중 계정 인증 및 권한 부여를 위한 확장 가능한 솔루션을 구현하기 위한 보안 엔지니어가 필요합니다. 솔루션에는 추가적
인 사용자 관리 아키텍처 구성 요소가 도입되어서는 안 됩니다. 기본 AWS 기능을 최대한 많이 사용해야 합니다. 보안 엔지니어는 모든
기능이 활성화되고 AWS IAM Identity Center(AWS Single Sign-On)가 활성화된 AWS Organizations를 설정했습니다.
보안 엔지니어가 작업을 완료하려면 어떤 추가 단계를 수행해야 합니까?

A. AD Connector를 사용하여 AWS 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 생성하십시오. AD Connector 그룹을

AWS 계정에 할당하고 직원의 직무 및 액세스 요구 사항에 따라 IAM 역할에 연결합니다. 직원들에게 AWS Directory Service 사용자

포털을 사용하여 AWS 계정에 액세스하도록 지시하십시오.

B. IAM Identity Center 기본 디렉터리를 사용하여 AWS 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 생성합니다. 직

원의 직무 및 액세스 요구 사항에 따라 AWS 계정에 그룹을 할당하고 권한 세트에 연결합니다. 직원들에게 IAM Identity Center 사용
자 포털을 사용하여 AWS 계정에 액세스하도록 지시하십시오.

C. IAM Identity Center 기본 디렉터리를 사용하여 AWS 계정에 액세스해야 하는 모든 직원에 대한 사용자 및 그룹을 생성합니다. IAM

ID 센터 그룹을 모든 계정에 있는 IAM 사용자에 연결하여 기존 권한을 상속합니다. 직원들에게 IAM Identity Center 사용자 포털을 사

용하여 AWS 계정에 액세스하도록 지시하십시오.

D. Microsoft Active Directory용 AWS Directory Service를 사용하여 AWS 계정에 액세스해야 하는 모든 직원을 위한 사용자 및 그룹을 생

성합니다. 생성된 디렉터리에서 AWS Management Console 액세스를 활성화하고 IAM Identity Center를 통합 계정 및 권한 세트에 대
한 정보 소스로 지정합니다. 직원들에게 AWS Directory Service 사용자 포털을 사용하여 AWS 계정에 액세스하도록 지시하십시오.

정답: B

커뮤니티 투표 분배
B (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 4/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #8 주제 1

한 회사에서 Amazon GuardDuty를 배포했으며 이제 잠재적인 위협에 대한 자동화를 구현하려고 합니다. 회사는 회사 AWS 환경의
Amazon EC2 인스턴스에서 발생하는 RDP 무차별 대입 공격부터 시작하기로 결정했습니다. 보안 엔지니어는 조사 및 잠재적인 해결이

이루어질 때까지 의심스러운 인스턴스로부터 감지된 통신을 차단하는 솔루션을 구현해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 이벤트를 Amazon Kinesis 데이터 스트림으로 보내도록 GuardDuty를 구성합니다. Amazon Simple 알림 서비스(Amazon SNS)를 통

해 회사에 알림을 보내는 Apache Flink용 Amazon Kinesis Data Analytics 애플리케이션을 사용하여 이벤트를 처리합니다. 의심스러운
인스턴스와 주고받는 트래픽을 차단하는 규칙을 네트워크 ACL에 추가합니다.

B. 이벤트를 Amazon EventBridge로 보내도록 GuardDuty를 구성합니다. AWS WAF 웹 ACL을 배포합니다. Amazon Simple 알림 서비스

(Amazon SNS)를 통해 회사에 알림을 보내고 웹 ACL 규칙을 추가하여 의심스러운 인스턴스와 주고받는 트래픽을 차단하는 AWS

Lambda 함수로 이벤트를 처리합니다.

C. AWS Security Hub를 활성화하여 GuardDuty 결과를 수집하고 이벤트를 Amazon EventBridge로 보냅니다. AWS 네트워크 방화벽을

배포합니다. 네트워크 방화벽 방화벽 정책에 규칙을 추가하여 의심스러운 인스턴스와 주고받는 트래픽을 차단하는 AWS Lambda
함수를 사용하여 이벤트를 처리합니다.

D. AWS Security Hub를 활성화하여 GuardDuty 결과를 수집합니다. Amazon Kinesis 데이터 스트림을 Security Hub의 이벤트 대상으로

구성합니다. 의심스러운 인스턴스의 보안 그룹을 연결을 허용하지 않는 보안 그룹으로 대체하는 AWS Lambda 함수를 사용하여 이
벤트를 처리합니다.

정답: A

커뮤니티 투표 분배
C (74%) D (26%)

질문 #9 주제 1

회사에는 프로덕션 애플리케이션을 호스팅하는 AWS 계정이 있습니다. 회사는 Amazon GuardDuty가 계정에서
Impact:IAMUser/AnomalousBehavior 결과를 감지했다는 이메일 알림을 받습니다. 보안 엔지니어는 이 보안 사고에 대한 조사 플레이북

을 실행해야 하며 애플리케이션에 영향을 주지 않고 정보를 수집하고 분석해야 합니다.
이러한 요구 사항을 가장 빠르게 충족할 수 있는 솔루션은 무엇입니까?

A. 읽기 전용 자격 증명을 사용하여 AWS 계정에 로그인합니다. 사용된 IAM 자격 증명에 대한 자세한 내용은 GuardDuty 조사 결과를

검토하세요. IAM 콘솔을 사용하여 IAM 보안 주체에 DenyAll 정책을 추가합니다.

B. 읽기 전용 자격 증명을 사용하여 AWS 계정에 로그인합니다. GuardDuty 결과를 검토하여 결과를 시작한 API 호출을 확인합니다.

Amazon Detective를 사용하여 상황에 맞는 API 호출을 검토하세요.

C. 관리자 자격 증명을 사용하여 AWS 계정에 로그인합니다. 사용된 IAM 자격 증명에 대한 자세한 내용은 GuardDuty 조사 결과를 검

토하세요. IAM 콘솔을 사용하여 IAM 보안 주체에 DenyAll 정책을 추가합니다.

D. 읽기 전용 자격 증명을 사용하여 AWS 계정에 로그인합니다. GuardDuty 결과를 검토하여 결과를 시작한 API 호출을 확인합니다.

AWS CloudTrail Insights 및 AWS CloudTrail Lake를 사용하여 상황에 맞는 API 호출을 검토하세요.

정답: B

커뮤니티 투표 분배
B (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 5/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #10 주제 1

회사 A에는 계정 A라는 AWS 계정이 있습니다. 회사 A는 최근 계정 B라는 AWS 계정이 있는 회사 B를 인수했습니다. 회사 B는 파일을
Amazon S3 버킷에 저장합니다. 관리자는 계정 A의 사용자에게 계정 B의 S3 버킷에 대한 전체 액세스 권한을 부여해야 합니다.

관리자가 계정 A의 사용자가 계정 B의 S3 버킷에 액세스하도록 IAM 권한을 조정한 후에도 사용자는 여전히 S3 버킷에 있는 모든 파일
에 액세스할 수 없습니다. S3 버킷.
이 문제를 해결하려면 어떤 솔루션이 필요합니까?

A. 계정 B에서 계정 A의 사용자가 계정 B의 S3 버킷에 액세스할 수 있도록 버킷 ACL을 생성합니다.

B. 계정 B에서 계정 A의 사용자가 계정 B의 S3 버킷에 있는 모든 객체에 액세스할 수 있도록 객체 ACL을 생성합니다.

C. 계정 B에서 계정 A의 사용자가 계정 B의 S3 버킷에 액세스할 수 있도록 허용하는 버킷 정책을 생성합니다.

D. 계정 B에서 계정 A의 사용자가 계정 B의 S3 버킷에 액세스할 수 있도록 허용하는 사용자 정책을 생성합니다.

정답: A

커뮤니티 투표 분배
C (100%)

질문 #11 주제 1

한 회사가 AWS Security Hub의 중요한 결과에 대한 이메일 알림을 받고 싶어합니다. 회사에는 이 기능을 지원하는 기존 아키텍처가 없
습니다.
어떤 솔루션이 요구 사항을 충족합니까?

A. 중요한 Security Hub 결과를 식별하기 위해 AWS Lambda 함수를 생성하십시오. Amazon Simple 알림 서비스(Amazon SNS) 주제를

Lambda 함수의 대상으로 생성합니다. 게시된 메시지를 받으려면 SNS 주제에 대한 이메일 엔드포인트를 구독하세요.

B. Amazon Kinesis Data Firehose 전송 스트림을 생성합니다. Amazon EventBridge와 전송 스트림을 통합합니다. 중요한 Security Hub

결과를 탐지하는 필터가 있는 EventBridge 규칙을 생성합니다. 결과를 이메일 주소로 보내도록 전송 스트림을 구성합니다.

C. 중요한 Security Hub 결과를 탐지하기 위해 Amazon EventBridge 규칙을 생성합니다. EventBridge 규칙의 대상으로 Amazon Simple

알림 서비스(Amazon SNS) 주제를 생성합니다. 게시된 메시지를 받으려면 SNS 주제에 대한 이메일 엔드포인트를 구독하세요.

D. 중요한 Security Hub 결과를 탐지하기 위해 Amazon EventBridge 규칙을 생성합니다. EventBridge 규칙의 대상으로 Amazon Simple

Email Service(Amazon SES) 주제를 생성합니다. Amazon SES API를 사용하여 메시지 형식을 지정합니다. 메시지 수신자가 될 이메일

주소를 선택하세요.

정답: D

커뮤니티 투표 분배
C (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 6/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #12 주제 1

한 국제 기업이 한국에 새로운 사업체를 설립했습니다. 또한 회사는 한국 지역의 워크로드를 포함하기 위해 새로운 AWS 계정을 개설
했습니다. 회사는 ap-northeast-2 리전의 새 계정에 워크로드를 설정했습니다. 워크로드는 Amazon EC2 인스턴스의 세 가지 Auto Scaling
그룹으로 구성됩니다. 이 리전에서 작동하는 모든 워크로드는 시스템 로그와 애플리케이션 로그를 7년 동안 보관해야 합니다.
보안 엔지니어는 확장 활동 중에 각 인스턴스에 대한 로깅 데이터가 손실되지 않도록 솔루션을 구현해야 합니다. 또한 솔루션은 필요
한 기간인 7년 동안만 로그를 보관해야 합니다.
이러한 요구 사항을 충족하려면 보안 엔지니어가 수행해야 하는 단계 조합은 무엇입니까? (3개를 선택하세요.)

A. Auto Scaling 그룹이 시작하는 모든 EC2 인스턴스에 Amazon CloudWatch 에이전트가 설치되어 있는지 확인하십시오. CloudWatch

에이전트 구성 파일을 생성하여 필요한 로그를 Amazon CloudWatch Logs에 전달합니다.

B. 원하는 로그 그룹의 로그 보존 기간을 7년으로 설정합니다.

C. Auto Scaling 그룹이 사용하는 시작 구성 또는 시작 템플릿에 IAM 역할을 연결합니다. Amazon CloudWatch Logs에 로그를 전달하

는 데 필요한 권한을 제공하도록 역할을 구성합니다.

D. Auto Scaling 그룹이 사용하는 시작 구성 또는 시작 템플릿에 IAM 역할을 연결합니다. Amazon S3에 로그를 전달하는 데 필요한

권한을 제공하도록 역할을 구성합니다.

E. Auto Scaling 그룹이 시작하는 모든 EC2 인스턴스에 로그 전달 애플리케이션이 설치되어 있는지 확인하십시오. 로그를 주기적으

로 번들링하고 로그를 Amazon S3에 전달하도록 로그 전달 애플리케이션을 구성합니다.

F. 7년 후에 객체가 만료되도록 대상 S3 버킷에 Amazon S3 수명 주기 정책을 구성합니다.

정답: ABC

커뮤니티 투표 분배
ABC (86%) 14%

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 7/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #13 주제 1

보안 엔지니어가 AWS API 작업을 보호하기 위한 IAM 정책을 설계하고 있습니다. 정책은 IAM 사용자가 AWS 프로덕션 계정의 특정 서
비스에 액세스할 수 있도록 MFA(다단계 인증)를 시행해야 합니다. 각 세션은 2시간 동안만 유효해야 합니다. IAM 정책의 현재 버전은
다음과 같습니다.

이러한 요구 사항을 충족하기 위해 보안 엔지니어가 IAM 정책에 추가해야 하는 조건 조합은 무엇입니까? (2개를 선택하세요.)

A. "부울": {"aws:MultiFactorAuthPresent": "true"}

B. "부울": {"aws:MultiFactorAuthPresent": "false"}

C. "NumericLessThan": {"aws:MultiFactorAuthAge": "7200"}

D. "NumericGreaterThan": {"aws:MultiFactorAuthAge": "7200"}

E. "NumericLessThan": {"MaxSessionDuration": "7200"}

정답: AD

커뮤니티 투표 분배
교류(100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 8/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #14 주제 1

회사는 AWS Organizations를 사용하고 여러 AWS 계정에 걸쳐 프로덕션 워크로드를 보유하고 있습니다. 보안 엔지니어는 프로덕션 워
크로드가 포함된 모든 계정에서 의심스러운 동작을 사전에 모니터링하는 솔루션을 설계해야 합니다.
솔루션은 프로덕션 계정 전반에 걸쳐 사고 해결을 자동화해야 합니다. 또한 이 솔루션은 중요한 보안 결과가 탐지되면 Amazon Simple
알림 서비스(Amazon SNS) 주제에 알림을 게시해야 합니다. 또한 솔루션은 모든 보안 사고 로그를 전용 계정으로 보내야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 각 프로덕션 계정에서 Amazon GuardDuty를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 GuardDuty 로그를 집계

합니다. AWS Lambda 함수를 직접 호출하도록 GuardDuty를 구성하여 사고를 해결합니다. SNS 주제에도 알림을 게시하도록 Lambda
함수를 구성합니다.

B. 각 프로덕션 계정에서 AWS Security Hub를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 Security Hub 결과를 집계

합니다. AWS Config 및 AWS Systems Manager를 사용하여 사고를 해결합니다. SNS 주제에도 알림을 게시하도록 Systems Manager를
구성합니다.

C. 각 프로덕션 계정에서 Amazon GuardDuty를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 GuardDuty 로그를 집계

합니다. GuardDuty 결과에서 사용자 지정 AWS Lambda 함수를 호출하기 위해 Amazon EventBridge를 사용하여 사고를 해결합니다.
SNS 주제에도 알림을 게시하도록 Lambda 함수를 구성합니다.

D. 각 프로덕션 계정에서 AWS Security Hub를 활성화합니다. 전용 로깅 계정에서 각 프로덕션 계정의 모든 Security Hub 결과를 집계

합니다. Amazon EventBridge를 사용하여 Security Hub 결과에서 사용자 지정 AWS Lambda 함수를 호출하여 사고를 해결합니다. SNS
주제에도 알림을 게시하도록 Lambda 함수를 구성합니다.

정답: D

커뮤니티 투표 분배
C (100%)

질문 #15 주제 1

한 회사에서 개발팀을 위한 다중 계정 구조를 설계하고 있습니다. 회사는 AWS Organizations와 AWS IAM Identity Center(AWS Single Sign-
On)를 사용하고 있습니다. 회사는 개발 팀이 특정 AWS 리전만 사용할 수 있도록 하고 각 AWS 계정이 특정 AWS 서비스에만 액세스할

수 있도록 솔루션을 구현해야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. IAM ID 센터를 사용하여 필요한 리전 및 서비스에만 액세스할 수 있도록 Condition, Resource 및 NotAction 요소가 포함된 IAM 정책

설명으로 서비스 연결 역할을 설정하십시오.

B. 개발자의 사용이 허용되지 않는 지역에서는 AWS Security Token Service(AWS STS)를 비활성화합니다.

C. 필요한 지역 및 서비스에만 액세스할 수 있도록 Condition, Resource 및 NotAction 요소를 포함하는 SCP를 생성합니다.

D. 각 AWS 계정에 대해 IAM Identity Center에 대한 맞춤형 자격 증명 기반 정책을 생성합니다. 필요한 지역 및 서비스에만 액세스하

도록 허용하려면 Condition, Resource 및 NotAction 요소가 포함된 문을 사용하세요.

정답: C

커뮤니티 투표 분배
C (86%) 14%

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 9/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #16 주제 1

한 회사에서 전자상거래 애플리케이션을 개발 중입니다. 애플리케이션은 Amazon EC2 인스턴스와 Amazon RDS MySQL 데이터베이스
를 사용합니다. 규정 준수를 위해 전송 중인 데이터와 저장 중인 데이터를 안전하게 보호해야 합니다. 회사에는 운영 오버헤드와 비용
을 최소화하는 솔루션이 필요합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. Application Load Balancer와 함께 AWS Certificate Manager(ACM)의 TLS 인증서를 사용하십시오. EC2 인스턴스에 자체 서명된 인증

서를 배포합니다. 데이터베이스 클라이언트 소프트웨어가 Amazon RDS에 대한 TLS 연결을 사용하는지 확인하십시오. RDS DB 인스
턴스의 암호화를 활성화합니다. EC2 인스턴스를 지원하는 Amazon Elastic Block Store(Amazon EBS) 볼륨에서 암호화를 활성화합니
다.

B. Application Load Balancer와 함께 타사 공급업체의 TLS 인증서를 사용합니다. EC2 인스턴스에 동일한 인증서를 설치합니다. 데이

터베이스 클라이언트 소프트웨어가 Amazon RDS에 대한 TLS 연결을 사용하는지 확인하십시오. 애플리케이션 데이터의 클라이언
트 측 암호화에는 AWS Secrets Manager를 사용하십시오.

C. AWS CloudHSM을 사용하여 EC2 인스턴스에 대한 TLS 인증서를 생성합니다. EC2 인스턴스에 TLS 인증서를 설치합니다. 데이터

베이스 클라이언트 소프트웨어가 Amazon RDS에 대한 TLS 연결을 사용하는지 확인하십시오. 애플리케이션 데이터의 클라이언트
측 암호화를 위해 CloudHSM의 암호화 키를 사용합니다.

D. AWS WAF와 함께 Amazon CloudFront를 사용하십시오. 원본 EC2 인스턴스에 HTTP 연결을 보냅니다. 데이터베이스 클라이언트 소

프트웨어가 Amazon RDS에 대한 TLS 연결을 사용하는지 확인하십시오. 데이터가 RDS 데이터베이스에 저장되기 전에 애플리케이
션 데이터의 클라이언트 측 암호화를 위해 AWS Key Management Service(AWS KMS)를 사용합니다.

정답: A

커뮤니티 투표 분배
A (100%)

질문 #17 주제 1

보안 엔지니어가 한 회사와 협력하여 전자상거래 애플리케이션을 설계하고 있습니다. 애플리케이션은 ALB(Application Load Balancer)
뒤의 Auto Scaling 그룹에서 실행되는 Amazon EC2 인스턴스에서 실행됩니다. 애플리케이션은 데이터베이스로 Amazon RDS DB 인스턴
스를 사용합니다.
인터넷에서 필요한 유일한 연결은 애플리케이션에 대한 HTTP 및 HTTPS 트래픽입니다. 애플리케이션은 미리 구성된 IP 주소 허용 목
록의 트래픽만 허용하는 외부 결제 공급자와 통신해야 합니다. 회사는 환경이 확장됨에 따라 외부 결제 제공업체와의 통신이 중단되
지 않도록 해야 합니다.
이러한 요구 사항을 충족하기 위해 보안 엔지니어는 어떤 작업 조합을 권장해야 합니까? (3개를 선택하세요.)

A. 사용 중인 모든 가용 영역에 대해 각 프라이빗 서브넷에 NAT 게이트웨이를 배포합니다.

B. DB 인스턴스를 퍼블릭 서브넷에 배치합니다.

C. DB 인스턴스를 프라이빗 서브넷에 배치합니다.

D. EC2 인스턴스를 퍼블릭 서브넷에 배치하도록 Auto Scaling 그룹을 구성합니다.

E. EC2 인스턴스를 프라이빗 서브넷에 배치하도록 Auto Scaling 그룹을 구성합니다.

F. 프라이빗 서브넷에 ALB를 배포합니다.

정답: DEF

커뮤니티 투표 분배
에이스 (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 10/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #18 주제 1

회사는 여러 AWS CloudFormation 스택을 사용하여 애플리케이션 제품군의 배포를 처리합니다. 회사의 애플리케이션 개발 팀 리더는
일부 팀 구성원이 스택을 배포하려고 할 때 권한 오류로 인해 스택 배포가 실패한다는 사실을 발견했습니다. 그러나 다른 팀 구성원은
스택을 성공적으로 배포할 수 있습니다.
팀 구성원은 팀 구성원의 직무에 필요한 특정 권한 세트가 있는 역할을 맡아 계정에 액세스합니다. 모든 팀 구성원은 스택에서 작업을
수행할 수 있는 권한을 갖습니다.
스택의 일관된 배포를 가장 안전하게 보장하는 단계 조합은 무엇입니까? (3개를 선택하세요.)

A. 필요한 권한이 필요한 각 서비스를 포함하는 복합 주체가 있는 서비스 역할을 만듭니다. sts:AssumeRole 작업을 허용하도록 역

할을 구성합니다.

B. 서비스 주체로 cloudformation.amazonaws.com이 있는 서비스 역할을 생성합니다. sts:AssumeRole 작업을 허용하도록 역할을 구

성합니다.

C. 필요한 각 권한 집합에 대해 해당 권한을 허용하는 역할에 별도의 정책을 추가합니다. 각 정책의 리소스 필드에 각

CloudFormation 스택의 ARN을 추가합니다.

D. 필요한 각 권한 집합에 대해 해당 권한을 허용하는 역할에 별도의 정책을 추가합니다. 해당 정책의 리소스 필드에 권한이 필요

한 각 서비스의 ARN을 추가합니다.

E. 서비스 역할을 사용하도록 각 스택을 업데이트합니다.

F iam:PassRole 작업을 허용하도록 각 구성원 역할에 정책을 추가합니다. 정책의 리소스 필드를 서비스 역할의 ARN으로 설정합니

다.

정답: DEA

커뮤니티 투표 분배
BD (67%) BDE (33%)

질문 #19 주제 1

한 회사는 리프트 앤 시프트 접근 방식을 사용하여 온프레미스 데이터 센터에서 AWS 클라우드로 마이그레이션했습니다. 회사는 온
프레미스 VM을 Amazon EC2 인스턴스로 마이그레이션했습니다. 이제 회사는 EC2 인스턴스에서 실행되는 일부 구성 요소를 유사한 기
능을 제공하는 관리형 AWS 서비스로 교체하려고 합니다.
처음에 회사는 EC2 인스턴스에서 실행되는 로드 밸런서 소프트웨어에서 AWS Elastic Load Balancer로 전환할 예정입니다. 보안 엔지니
어는 이 전환 후에 모든 로드 밸런서 로그가 중앙 집중화되고 감사를 위해 검색 가능하도록 확인해야 합니다. 또한 보안 엔지니어는
어떤 암호가 사용 중인지 표시하기 위해 메트릭이 생성되었는지 확인해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. Amazon CloudWatch Logs 로그 그룹을 생성하십시오. 로그 그룹에 로그를 보내도록 로드 밸런서를 구성합니다. CloudWatch Logs

콘솔을 사용하여 로그를 검색합니다. 필요한 지표에 대한 로그에 CloudWatch Logs 필터를 생성합니다.

B. Amazon S3 버킷을 생성합니다. S3 버킷에 로그를 보내도록 로드 밸런서를 구성합니다. Amazon Athena를 사용하여 S3 버킷에 있

는 로그를 검색합니다. 필요한 지표에 대해 S3 로그 파일에 Amazon CloudWatch 필터를 생성합니다.

C. Amazon S3 버킷을 생성합니다. S3 버킷에 로그를 보내도록 로드 밸런서를 구성합니다. Amazon Athena를 사용하여 S3 버킷에 있

는 로그를 검색합니다. 필요한 지표에 대한 Athena 쿼리를 생성합니다. 지표를 Amazon CloudWatch에 게시합니다.

D. Amazon CloudWatch Logs 로그 그룹을 생성합니다. 로그 그룹에 로그를 보내도록 로드 밸런서를 구성합니다. AWS Management

Console을 사용하여 로그를 검색합니다. 필요한 지표에 대한 Amazon Athena 쿼리를 생성합니다. 지표를 Amazon CloudWatch에 게시

합니다.

정답: B

커뮤니티 투표 분배
C (53%) A (35%) 12%

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 11/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #20 주제 1

회사는 AWS Organizations를 사용하여 단일 AWS 지역에서 다중 계정 AWS 환경을 관리합니다. 조직의 마스터 계정 이름은 Management-
01입니다. 회사는 조직의 모든 계정에서 AWS Config를 활성화했습니다. 회사에서는 security-01이라는 계정을 AWS Config의 위임된 관

리자로 지정했습니다.
모든 계정은 AWS Config 집계자를 사용하여 각 계정 규칙의 규정 준수 상태를 AWS Config 위임 관리자 계정에 보고합니다. 각 계정 관
리자는 각 계정의 고유한 규정 준수 요구 사항을 처리하기 위해 계정 자체의 AWS Config 규칙을 구성하고 관리할 수 있습니다.
보안 엔지니어는 조직의 모든 기존 및 향후 AWS 계정에 10개의 AWS Config 규칙 세트를 자동으로 배포하는 솔루션을 구현해야 합니
다. 솔루션은 계정 생성 중에 AWS Config를 자동으로 활성화해야 합니다.
이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (2개를 선택하세요.)

A. 10개의 필수 AWS Config 규칙이 포함된 AWS CloudFormation 템플릿을 생성합니다. security-01 계정에서 CloudFormation StackSets

를 사용하여 템플릿을 배포합니다.

B. 10개의 필수 AWS Config 규칙이 포함된 적합성 팩을 생성합니다. security-01 계정에서 적합성 팩을 배포합니다.

C. 10개의 필수 AWS Config 규칙이 포함된 적합성 팩을 생성합니다. Management-01 계정에서 적합성 팩을 배포합니다.

D. AWS Config를 활성화할 AWS CloudFormation 템플릿을 생성합니다. security-01 계정에서 CloudFormation StackSets를 사용하여 템

플릿을 배포합니다.

E. AWS Config를 활성화할 AWS CloudFormation 템플릿을 생성합니다. Management-01 계정에서 CloudFormation StackSets를 사용하여

템플릿을 배포합니다.

정답: AD

커뮤니티 투표 분배
BE (95%) 5%

질문 #21 주제 1

회사에는 단일 Amazon EC2 인스턴스에서 실행되는 레거시 애플리케이션이 있습니다. 보안 감사에 따르면 애플리케이션은 동일한
AWS 계정에서 이름이 DOC-EXAMPLE-BUCKET1인 Amazon S3 버킷에 액세스하기 위해 코드 내에서 IAM 액세스 키를 사용해 왔습니다. 이

액세스 키 쌍에는 이 S3 버킷의 모든 객체에 대한 s3:GetObject 권한이 있습니다. 애플리케이션이 Amazon EC2의 다른 AWS 리소스에 액
세스하기 위한 회사의 보안 정책을 준수하지 않기 때문에 회사는 해당 애플리케이션을 오프라인으로 전환합니다.
보안 엔지니어는 모든 AWS 리전에서 AWS CloudTrail이 켜져 있는지 확인합니다. CloudTrail은 DOC-EXAMPLE-BUCKET2라는 S3 버킷으로
로그를 전송하고 있습니다. 이 S3 버킷은 DOC-EXAMPLE-BUCKET1과 동일한 AWS 계정에 있습니다. 그러나 CloudTrail은 Amazon
CloudWatch Logs로 로그를 전송하도록 구성되지 않았습니다.

회사는 지난 60일 동안 IAM 액세스 키를 사용하여 DOC-EXAMPLE-BUCKET1의 객체에 액세스했는지 알고 싶어합니다. 개체에 액세스한
경우 회사는 텍스트 파일(.txt 확장자)인 개체에 개인 식별 정보(PII)가 포함되어 있는지 알고 싶어합니다.
이 정보를 수집하기 위해 보안 엔지니어는 어떤 단계 조합을 수행해야 합니까? (2개를 선택하세요.)

A. Amazon CloudWatch Logs Insights를 사용하여 PII를 포함하고 액세스 키에 사용할 수 있었던 DOC-EXAMPLE-BUCKET1의 모든 객체

를 식별하십시오.

B. Amazon OpenSearch Service를 사용하여 PII가 포함된 객체에 액세스하기 위해 액세스 키를 사용한 API 호출에 대해 DOC-EXAMPLE-

BUCKET2의 CloudTrail 로그를 쿼리합니다.

C. Amazon Athena를 사용하여 PII가 포함된 객체에 액세스하기 위해 액세스 키를 사용한 API 호출에 대해 DOC-EXAMPLE-BUCKET2의

CloudTrail 로그를 쿼리합니다.

D. AWS Identity and Access Management Access Analyser를 사용하여 DOC-EXAMPLE-BUCKET1에 PII가 포함된 객체에 액세스하기 위해

액세스 키를 사용한 모든 API 호출을 식별합니다.

E. PII를 포함하고 액세스 키에 사용할 수 있는 DOC-EXAMPLE-BUCKET1의 모든 객체를 식별하도록 Amazon Macie를 구성합니다.

정답: AE

커뮤니티 투표 분배
CE (91%) 9%

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 12/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #22 주제 1

보안 엔지니어는 모든 사용자의 액세스를 거부하는 Amazon S3 버킷 정책을 생성합니다. 며칠 후 보안 엔지니어는 다른 직원 한 명에
게 읽기 전용 액세스를 허용하는 추가 명령문을 버킷 정책에 추가합니다. 정책을 업데이트한 후에도 해당 직원은 액세스 거부 메시지
를 받습니다.
이 액세스 거부의 원인은 무엇입니까?

A. 버킷의 ACL을 업데이트해야 합니다.

B. IAM 정책은 사용자가 버킷에 액세스하는 것을 허용하지 않습니다.

C. 버킷 ​정책이 적용되는 데 몇 분 정도 걸립니다.

D. 허용 권한이 거부로 인해 무시됩니다.

정답: D

커뮤니티 투표 분배
D (100%)

질문 #23 주제 1

회사는 AWS 계정에서 Amazon Macie, AWS Firewall Manager, Amazon Inspector 및 AWS Shield Advanced를 사용하고 있습니다. 회사는 계정
에 대해 DDoS 공격이 발생할 경우 경고를 받기를 원합니다.
이 요구 사항을 충족하는 솔루션은 무엇입니까?

A. Macie를 사용하여 활성 DDoS 이벤트를 탐지하십시오. Macie 결과에 응답하는 Amazon CloudWatch 경보를 생성합니다.

B. Amazon Inspector를 사용하여 리소스를 검토하고 DDoS 공격에 취약한 모든 리소스에 대해 Amazon CloudWatch 경보를 호출합니

다.

C. 활성 DDoS 이벤트에 대한 Firewall Manager 지표를 모니터링하는 Amazon CloudWatch 경보를 생성합니다.

D. 활성 DDoS 이벤트에 대한 Shield Advanced 지표를 모니터링하는 Amazon CloudWatch 경보를 생성합니다.

정답: D

커뮤니티 투표 분배
D (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 13/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #24 주제 1

회사는 Apache 웹 서버에서 웹 애플리케이션을 호스팅합니다. 애플리케이션은 Auto Scaling 그룹에 있는 Amazon EC2 인스턴스에서 실
행됩니다. 회사는 1년 후에 만료되도록 회사가 구성한 Amazon CloudWatch Logs 그룹에 Apache 웹 서버 로그를 보내도록 EC2 인스턴스
를 구성했습니다.
최근 이 회사는 Apache 웹 서버 로그에서 특정 IP 주소가 웹 애플리케이션에 의심스러운 요청을 보내고 있음을 발견했습니다. 보안 엔
지니어는 지난 주의 Apache 웹 서버 로그를 분석하여 IP 주소가 보낸 요청 수와 IP 주소가 요청한 해당 URL을 확인하려고 합니다.
최소한의 노력으로 이러한 요구 사항을 충족하려면 보안 엔지니어가 무엇을 해야 합니까?

A. CloudWatch Logs 그룹 데이터를 Amazon S3로 내보냅니다. Amazon Macie를 사용하여 특정 IP 주소 및 요청된 URL에 대한 로그를

쿼리합니다.

B. 로그 그룹을 Amazon OpenSearch Service 클러스터로 스트리밍하도록 CloudWatch Logs 구독을 구성합니다. OpenSearch 서비스를

사용하여 특정 IP 주소 및 요청된 URL에 대한 로그를 분석합니다.

C. CloudWatch Logs Insights 및 사용자 지정 쿼리 구문을 사용하여 특정 IP 주소 및 요청된 URL에 대한 CloudWatch 로그를 분석합니

다.

D. CloudWatch Logs 그룹 데이터를 Amazon S3로 내보냅니다. AWS Glue를 사용하여 특정 IP 주소가 포함된 로그 항목에 대해서만 S3

버킷을 크롤링합니다. AWS Glue를 사용하여 결과를 확인하세요.

정답: A

커뮤니티 투표 분배
C (100%)

질문 #25 주제 1

회사의 VPC와 온프레미스 데이터 센터 간의 연결을 보호하는 동안 보안 엔지니어는 온프레미스 호스트(IP 주소 203.0.113.12)에서
Amazon EC2 인스턴스(IP 주소 172.31.16.139)로 ping 명령을 보냈습니다. ping 명령이 응답을 반환하지 않았습니다. VPC의 흐름 로그에

는 다음이 표시됩니다.

ping이 작동하려면 어떤 작업을 수행해야 합니까?

A. EC2 인스턴스의 보안 그룹에서 인바운드 ICMP 트래픽을 허용합니다.

B. EC2 인스턴스의 보안 그룹에서 아웃바운드 ICMP 트래픽을 허용합니다.

C. VPC의 NACL에서 인바운드 ICMP 트래픽을 허용합니다.

D. VPC의 NACL에서 아웃바운드 ICMP 트래픽을 허용합니다.

정답: A

커뮤니티 투표 분배
D (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 14/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #26 주제 1

한 회사는 AWS Lambda, Amazon S3, Amazon Simple 알림 서비스(Amazon SNS) 및 Amazon DynamoDB를 사용하여 애플리케이션을 개발했
습니다. 외부 애플리케이션은 회사의 S3 버킷에 객체를 넣고 날짜와 시간으로 객체에 태그를 지정합니다. Lambda 함수는 날짜 및 시
간 태그를 기반으로 회사의 S3 버킷에서 주기적으로 데이터를 가져오고 추가 처리를 위해 특정 값을 DynamoDB 테이블에 삽입합니다.
데이터에는 개인 식별 정보(PII)가 포함됩니다. 회사는 S3 버킷 및 DynamoDB 테이블에서 30일보다 오래된 데이터를 제거해야 합니다.
가장 효율적인 운영 효율성으로 이 요구 사항을 충족하는 솔루션은 무엇입니까?

A. S3 객체에 TTL S3 플래그를 추가하도록 Lambda 함수를 업데이트하십시오. TTL S3 플래그를 사용하여 30일보다 오래된 객체를

만료하는 S3 수명 주기 정책을 생성합니다.

B. 30일보다 오래된 객체를 만료시키는 S3 수명 주기 정책을 생성합니다. DynamoDB 테이블에 TTL 속성을 추가하도록 Lambda 함수

를 업데이트합니다. TTL 속성을 기준으로 30일보다 오래된 항목을 만료하려면 DynamoDB 테이블에서 TTL을 활성화합니다.

C. 30일보다 오래된 객체를 만료하고 모든 접두사를 S3 버킷에 추가하는 S3 수명 주기 정책을 생성합니다. 30일이 지난 항목을 삭

제하려면 Lambda 함수를 업데이트하세요.

D. 객체 태그를 사용하여 30일보다 오래된 객체를 만료하는 S3 수명 주기 정책을 생성합니다. 30일이 지난 항목을 삭제하려면

Lambda 함수를 업데이트하세요.

정답: A

커뮤니티 투표 분배
B (100%)

질문 #27 주제 1

최근 개설된 AWS 계정의 AWS 계정 루트 사용자를 보호하는 가장 안전한 방법은 무엇입니까? (2개를 선택하세요.)

A. AWS Management Console 대신 AWS 계정 루트 사용자 액세스 키를 사용하십시오.

B. AdministratorAccess 관리형 정책이 연결된 AWS IAM 사용자에 대해 다단계 인증을 활성화합니다.

C. AWS KMS를 사용하여 모든 AWS 계정 루트 사용자 및 AWS IAM 액세스 키를 암호화하고 자동 교체를 30일로 설정합니다.

D. AWS 계정 루트 사용자에 대한 액세스 키를 생성하지 마십시오. 대신 AWS IAM 사용자를 생성하십시오.

E. AWS 계정 루트 사용자에 대해 다단계 인증을 활성화합니다.

정답: CE

커뮤니티 투표 분배
드 (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 15/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #28 주제 1

한 회사가 매장 그룹을 확장하고 있습니다. 각각의 새로운 매장이 개장하는 날 회사는 해당 매장에 대한 사용자 정의 웹 애플리케이션
을 시작하려고 합니다. 각 상점의 애플리케이션에는 비프로덕션 환경과 프로덕션 환경이 있습니다. 각 환경은 별도의 AWS 계정에 배
포됩니다. 회사는 AWS Organizations를 사용하며 이러한 계정에만 사용되는 OU를 가지고 있습니다.
회사는 대부분의 개발 작업을 타사 개발 팀에 배포합니다. 보안 엔지니어는 각 팀이 회사의 AWS 리소스 배포 계획을 준수하는지 확인
해야 합니다. 또한 보안 엔지니어는 배포 계획에 대한 액세스를 액세스가 필요한 개발자로만 제한해야 합니다. 보안 엔지니어는 배포
계획을 구현하는 AWS CloudFormation 템플릿을 이미 생성했습니다.
가장 안전한 방식으로 요구 사항을 충족하려면 보안 엔지니어가 다음에 무엇을 해야 합니까?

A. 조직의 마스터 계정에 AWS Service Catalog 포트폴리오를 생성합니다. CloudFormation 템플릿을 업로드합니다. 포트폴리오의 제

품 목록에 템플릿을 추가합니다. 포트폴리오를 OU와 공유합니다.

B. CloudFormation CLI를 사용하여 CloudFormation 템플릿에서 모듈을 생성합니다. CloudFormation 레지스트리에 모듈을 비공개 확

장으로 등록합니다. 확장을 게시합니다. OU에서 확장 프로그램에 대한 액세스를 허용하는 SCP를 만듭니다.

C. 조직의 마스터 계정에 AWS Service Catalog 포트폴리오를 생성합니다. CloudFormation 템플릿을 업로드합니다. 포트폴리오의 제

품 목록에 템플릿을 추가합니다. OU 계정의 사용자에 대해 포트폴리오에 대한 교차 계정 액세스를 허용하는 신뢰 정책이 있는 IAM
역할을 생성합니다. AWSServiceCatalogEndUserFullAccess 관리형 정책을 역할에 연결합니다.

D. CloudFormation CLI를 사용하여 CloudFormation 템플릿에서 모듈을 생성합니다. CloudFormation 레지스트리에 모듈을 비공개 확

장으로 등록합니다. 확장을 게시합니다. OU와 확장을 공유합니다.

정답: A

커뮤니티 투표 분배
A (79%) D (21%)

질문 #29 주제 1

팀은 AWS Secrets Manager를 사용하여 애플리케이션 데이터베이스 암호를 저장하고 있습니다. 계정 내 제한된 수의 IAM 보안 주체만
암호에 액세스할 수 있습니다. 비밀에 대한 액세스가 필요한 보안 주체는 자주 변경됩니다. 보안 엔지니어는 유연성과 확장성을 극대
화하는 솔루션을 만들어야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 비밀에 대한 액세스를 허용하는 인라인 권한 정책으로 IAM 역할을 생성하여 역할 기반 접근 방식을 사용하십시오. 필요에 따라

역할 신뢰 정책의 IAM 보안 주체를 업데이트합니다.

B. Secrets Manager용 VPC 엔드포인트를 배포합니다. 보안 암호에 액세스할 수 있는 IAM 보안 주체를 지정하는 엔드포인트 정책을

생성하고 연결합니다. 필요에 따라 IAM 주체 목록을 업데이트합니다.

C. 리소스 정책을 비밀에 연결하여 태그 기반 접근 방식을 사용합니다. 보안 비밀과 IAM 주체에 태그를 적용합니다.

aws:PrincipalTag 및 aws:ResourceTag IAM 조건 키를 사용하여 액세스를 제어합니다.

D. IAM 정책을 사용하여 기본 거부 접근 방식을 사용하여 비밀에 대한 액세스를 명시적으로 거부합니다. IAM 그룹에 정책을 연결

합니다. 모든 IAM 주체를 IAM 그룹에 추가합니다. 액세스가 필요한 경우 그룹에서 주 구성원을 제거하세요. 액세스가 더 이상 허용
되지 않으면 그룹에 주체를 다시 추가하세요.

정답: C

커뮤니티 투표 분배
C (83%) A (17%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 16/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #30 주제 1

한 회사가 ALB(Application Load Balancer) 뒤에 있는 Amazon EC2 인스턴스에서 웹 애플리케이션을 호스팅하고 있습니다. 응용 프로그
램이 DoS 공격의 대상이 되었습니다. 애플리케이션 로깅에 따르면 요청은 소수의 클라이언트 IP 주소에서 오고 있지만 주소는 정기적
으로 변경됩니다.
회사는 최소한의 지속적인 노력이 필요한 솔루션으로 악성 트래픽을 차단해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. AWS WAF 비율 기반 규칙을 생성하고 이를 ALB에 연결합니다.

B. ALB에 연결된 보안 그룹을 업데이트하여 공격하는 IP 주소를 차단합니다.

C. ALB 서브넷의 네트워크 ACL을 업데이트하여 공격하는 클라이언트 IP 주소를 차단합니다.

D. AWS WAF 비율 기반 규칙을 생성하고 이를 EC2 인스턴스의 보안 그룹에 연결합니다.

정답: A

커뮤니티 투표 분배
A (100%)

질문 #31 주제 1

회사는 AWS Organizations의 조직에 수백 개의 AWS 계정을 가지고 있습니다. 회사는 단일 AWS 지역에서 운영됩니다. 회사에는 조직 내
에 전용 보안 도구 AWS 계정이 있습니다. 보안 도구 계정은 Amazon GuardDuty 및 AWS Security Hub에 대한 조직의 위임된 관리자로 구
성됩니다. 회사는 기존 AWS 계정과 새 AWS 계정에 대해 GuardDuty 및 Security Hub를 자동으로 활성화하도록 환경을 구성했습니다.
회사는 회사의 보안 팀이 보안 이벤트를 감지하고 대응할 수 있는지 확인하기 위해 특정 GuardDuty 결과에 대한 제어 테스트를 수행하
고 있습니다. 보안 팀은 Amazon EC2 인스턴스를 시작하고 테스트 도메인인 example.com에 대해 DNS 요청을 실행하여 DNS 결과를 생
성하려고 시도했습니다. 그러나 GuardDuty 결과는 Security Hub 위임 관리자 계정에서 생성되지 않았습니다.
Security Hub 위임된 관리자 계정에서 결과가 생성되지 않은 이유는 무엇입니까?

A. EC2 인스턴스가 시작된 VPC에 대해서는 VPC 흐름 로그가 활성화되지 않았습니다.

B. EC2 인스턴스가 시작된 VPC에는 사용자 지정 OpenDNS 해석기에 대해 구성된 DHCP 옵션이 있었습니다.

C. 결과가 생성된 AWS 계정에서는 GuardDuty와 Security Hub의 통합이 활성화되지 않았습니다.

D. Security Hub의 교차 지역 집계가 구성되지 않았습니다.

정답: C

커뮤니티 투표 분배
B (87%) 13%

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 17/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #32 주제 1

전자상거래 회사에는 주로 컨테이너에서 실행되는 웹 애플리케이션 아키텍처가 있습니다. 애플리케이션 컨테이너는 Amazon Elastic
Container Service(Amazon ECS)에 배포됩니다. 애플리케이션의 컨테이너 이미지는 Amazon Elastic Container Registry(Amazon ECR)에 저

장됩니다.
회사의 보안 팀은 애플리케이션 아키텍처의 구성 요소에 대한 감사를 수행하고 있습니다. 보안팀은 컨테이너 저장소에 저장된 일부
컨테이너 이미지의 문제를 식별합니다.
보안 팀은 컨테이너 이미지에 대한 지속적인 검색 및 푸시 검색을 구현하여 이러한 문제를 해결하려고 합니다. 보안 팀은 이러한 스캔
에서 얻은 결과를 중앙 대시보드에 표시하는 솔루션을 구현해야 합니다. 보안 팀은 대시보드를 사용하여 향후 생성할 기타 보안 관련
결과와 함께 이러한 결과를 볼 계획입니다. 보안 팀이 검색 프로세스에서 제외해야 하는 특정 저장소가 있습니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. Amazon Inspector를 사용하십시오. 스캔해야 하는 리포지토리와 일치하도록 Amazon ECR에서 포함 규칙을 생성합니다. Amazon

Inspector 결과를 AWS Security Hub로 푸시합니다.

B. 컨테이너 이미지의 ECR 기본 검색을 사용합니다. 스캔해야 하는 리포지토리와 일치하도록 Amazon ECR에서 포함 규칙을 생성합

니다. 결과를 AWS Security Hub로 푸시합니다.

C. 컨테이너 이미지의 ECR 기본 스캐닝을 사용합니다. 스캔해야 하는 리포지토리와 일치하도록 Amazon ECR에서 포함 규칙을 생

성합니다. 결과를 Amazon Inspector로 푸시합니다.

D. Amazon Inspector를 사용하십시오. 스캔해야 하는 리포지토리와 일치하도록 Amazon Inspector에서 포함 규칙을 생성합니다.

Amazon Inspector 결과를 AWS Config로 푸시합니다.

정답: A

커뮤니티 투표 분배
A (85%) B (15%)

질문 #33 주제 1

회사에는 단일 AWS 계정이 있으며 Amazon EC2 인스턴스를 사용하여 애플리케이션 코드를 테스트합니다. 회사는 최근 인스턴스가 손
상되었음을 발견했습니다. 인스턴스가 악성 코드를 제공하고 있었습니다. 인스턴스를 분석한 결과, 해당 인스턴스는 35일 전에 손상
된 것으로 나타났습니다.
보안 엔지니어는 심각도가 높은 결과에 대해 이메일 배포 목록을 통해 손상된 인스턴스에 대해 회사의 보안 팀에 자동으로 알리는 지
속적인 모니터링 솔루션을 구현해야 합니다. 보안 엔지니어는 가능한 한 빨리 솔루션을 구현해야 합니다.
이러한 요구 사항을 충족하려면 보안 엔지니어가 수행해야 하는 단계 조합은 무엇입니까? (3개를 선택하세요.)

A. AWS 계정에서 AWS Security Hub를 활성화합니다.

B. AWS 계정에서 Amazon GuardDuty를 활성화합니다.

C. Amazon Simple 알림 서비스(Amazon SNS) 주제를 생성합니다. 보안 팀의 이메일 배포 목록에서 해당 주제를 구독하세요.

D. Amazon Simple Queue Service(Amazon SQS) 대기열을 생성합니다. 보안 팀의 이메일 배포 목록을 대기열에 등록하세요.

E. 심각도가 높은 GuardDuty 결과에 대한 Amazon EventBridge 규칙을 생성합니다. 주제에 메시지를 게시하도록 규칙을 구성합니다.

F. 심각도가 높은 Security Hub 결과에 대한 Amazon EventBridge 규칙을 생성합니다. 큐에 메시지를 게시하도록 규칙을 구성합니다.

정답: 기원전

커뮤니티 투표 분배
기원전 (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 18/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #34 주제 1

회사는 자격 증명 연동을 사용하여 사용자를 자격 증명 계정(987654321987)으로 인증합니다. 여기서 사용자는 IdentityRole이라는 IAM
역할을 맡습니다. 그런 다음 사용자는 대상 AWS 계정(123456789123)에서 JobFunctionRole이라는 IAM 역할을 맡아 직무를 수행합니다.
사용자는 대상 계정에서 IAM 역할을 맡을 수 없습니다. ID 계정의 역할에 연결된 정책은 다음과 같습니다.

사용자가 대상 계정에서 적절한 역할을 맡을 수 있도록 하려면 어떻게 해야 합니까?

A. 자격 증명 계정의 역할에 연결된 IAM 정책을 다음과 같이 업데이트합니다.

B. 대상 계정의 역할에 대한 신뢰 정책을 다음과 같이 업데이트합니다.

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 19/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

C. ID 계정의 역할에 대한 신뢰 정책을 다음과 같이 업데이트합니다.

D. 대상 계정의 역할에 연결된 IAM 정책을 다음과 같이 업데이트합니다.

정답: D

커뮤니티 투표 분배
B (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 20/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #35 주제 1

한 회사는 AWS Organizations를 사용하여 인사, 재무, 소프트웨어 개발 및 생산 부서의 여러 AWS 계정을 관리하고 있습니다. 회사의 모
든 개발자는 소프트웨어 개발 AWS 계정의 일부입니다.
회사는 개발자가 회사에서 사용을 승인하지 않은 소프트웨어로 사전 구성된 Amazon EC2 인스턴스를 시작한 것을 발견했습니다. 회사
는 개발자가 승인된 소프트웨어 애플리케이션과 소프트웨어 개발 AWS 계정에서만 EC2 인스턴스를 시작할 수 있도록 하는 솔루션을
구현하려고 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 소프트웨어 개발 계정에서 승인된 소프트웨어만 포함하는 사전 구성된 인스턴스의 AMI를 생성하십시오. AWS CloudFormation

템플릿의 조건 섹션에 AMI ID를 포함하여 AWS 리전을 기반으로 적절한 AMI를 시작합니다. 개발자에게 CloudFormation 템플릿을 제
공하여 소프트웨어 개발 계정에서 EC2 인스턴스를 시작하세요.

B. 소프트웨어 개발 계정에서 EC2 RunInstances API 이벤트가 발생할 때 실행되는 Amazon EventBridge 규칙을 생성합니다. AWS

Systems Manager Run Command를 규칙의 대상으로 지정합니다. 개발자가 시작하는 인스턴스에 승인된 모든 소프트웨어를 설치하

는 스크립트를 실행하도록 Run Command를 구성합니다.

C. 승인된 소프트웨어만 포함된 적절한 AMI와 함께 EC2 제품이 포함된 AWS Service Catalog 포트폴리오를 사용합니다. 소프트웨어

개발 계정에서 제품을 출시하려면 개발자에게 서비스 카탈로그 포트폴리오에만 액세스할 수 있는 권한을 부여하세요.

D. 마스터 계정에서 승인된 소프트웨어만 포함하는 사전 구성된 인스턴스의 AMI를 생성합니다. AWS CloudFormation StackSets를 사

용하여 조직의 모든 AWS 계정에서 AMI를 시작합니다. 개발자에게 마스터 계정 내에서 스택 세트를 시작할 수 있는 권한을 부여합
니다.

정답: A

커뮤니티 투표 분배
C (100%)

질문 #36 주제 1

한 회사는 보안 모니터링 전략의 일환으로 모든 AWS 리전에서 Amazon GuardDuty를 활성화했습니다. 회사는 VPC 중 하나에서 FTP 서
버로 작동하는 Amazon EC2 인스턴스를 호스팅합니다. 여러 위치의 많은 수의 클라이언트가 FTP 서버에 연결합니다. GuardDuty는 매시
간 발생하는 연결 수가 많기 때문에 이 활동을 무차별 대입 공격으로 식별합니다.
회사는 이 결과를 오탐지로 표시했지만 GuardDuty는 계속해서 문제를 제기하고 있습니다. 보안 엔지니어는 잠재적인 변칙적 행동에
대한 회사의 가시성을 손상시키지 않으면서 신호 대 잡음비를 개선해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. FTP 서버가 배포된 지역의 GuardDuty에서 FTP 규칙을 비활성화합니다.

B. FTP 서버를 신뢰할 수 있는 IP 목록에 추가합니다. 알림 수신을 중지하려면 GuardDuty에 목록을 배포하세요.

C. GuardDuty에서 억제 규칙을 생성하여 지정된 기준과 일치하는 새 결과를 자동으로 보관하여 결과를 필터링합니다.

D. 새로운 발생이 보고될 때마다 결과를 삭제할 수 있는 적절한 권한이 있는 AWS Lambda 함수를 생성합니다.

정답: C

커뮤니티 투표 분배
C (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 21/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #37 주제 1

회사는 Amazon EC2 시작 유형을 사용하여 Amazon Elastic Container Service(Amazon ECS)에서 내부 마이크로서비스를 실행하고 있습니
다. 이 회사는 Amazon Elastic Container Registry(Amazon ECR) 프라이빗 리포지토리를 사용하고 있습니다.
보안 엔지니어는 AWS Key Management Service(AWS KMS)를 사용하여 프라이빗 리포지토리를 암호화해야 합니다. 또한 보안 엔지니어
는 일반적인 CVE(취약성 및 노출)에 대해 컨테이너 이미지를 분석해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 기존 ECR 리포지토리에서 KMS 암호화를 활성화합니다. ECS 컨테이너 인스턴스의 사용자 데이터에서 Amazon Inspector 에이전

트를 설치합니다. CVE 규칙을 사용하여 평가를 실행합니다.

B. KMS 암호화 및 ECR 검색을 활성화하여 ECR 리포지토리를 다시 생성합니다. 다음번 이미지 푸시 후 스캔 보고서를 분석합니다.

C. KMS 암호화 및 ECR 검색을 활성화하여 ECR 리포지토리를 다시 생성합니다. ECS 컨테이너 인스턴스에 AWS Systems Manager 에

이전트를 설치합니다. 재고 보고서를 실행합니다.

D. 기존 ECR 리포지토리에서 KMS 암호화를 활성화합니다. AWS Trusted Advisor를 사용하여 ECS 컨테이너 인스턴스를 확인하고 현

재 CVE 목록과 비교하여 결과를 확인합니다.

정답: B

커뮤니티 투표 분배
B (100%)

질문 #38 주제 1

한 회사의 보안 엔지니어는 다른 AWS 서비스에 대한 액세스를 제공하지 않고 회사의 Amazon EC2 콘솔에 대한 계약자의 IAM 계정 액
세스를 제한하는 임무를 맡았습니다. IAM 그룹 멤버십에 따라 IAM 계정에 추가 권한이 할당된 경우에도 계약자의 IAM 계정은 다른
AWS 서비스에 액세스할 수 없어야 합니다.

이러한 요구 사항을 충족하려면 보안 엔지니어가 무엇을 해야 합니까?

A. 계약자의 IAM 사용자에 대해 Amazon EC2 액세스를 허용하는 인라인 IAM 사용자 정책을 생성합니다.

B. Amazon EC2 액세스를 허용하는 IAM 권한 경계 정책을 생성합니다. 계약자의 IAM 계정을 IAM 권한 경계 정책과 연결합니다.

C. Amazon EC2 액세스를 허용하는 정책이 연결된 IAM 그룹을 생성합니다. 계약자의 IAM 계정을 IAM 그룹과 연결합니다.

D. EC2를 허용하고 다른 모든 서비스를 명시적으로 거부하는 IAM 역할을 생성합니다. 계약자에게 항상 이 역할을 맡도록 지시하십

시오.

정답: A

커뮤니티 투표 분배
B (94%) 6%

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 22/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #39 주제 1

회사는 AWS Organizations를 사용하여 여러 AWS 계정을 관리합니다. 회사의 보안 팀은 일부 회원 계정이 AWS CloudTrail 로그를 중앙 집
중식 Amazon S3 로깅 버킷으로 전송하지 않는다는 사실을 발견했습니다. 보안 팀은 모든 기존 계정과 향후 생성되는 모든 계정에 대
해 하나 이상의 추적이 구성되어 있는지 확인하려고 합니다.
이를 달성하기 위해 보안 팀은 어떤 조치를 구현해야 합니까?

A. 새 추적을 생성하고 CloudTrail 로그를 Amazon S3로 보내도록 구성하십시오. 추적이 삭제되거나 중지되면 Amazon EventBridge를

사용하여 알림을 보냅니다.

B. 모든 계정에 AWS Lambda 함수를 배포하여 기존 추적이 있는지 확인하고 필요한 경우 새 추적을 생성합니다.

C. 조직 마스터 계정의 기존 추적을 편집하고 조직에 적용합니다.

D. cloudtrail:Delete* 및 cloudtrail:Stop* 작업을 거부하는 SCP를 생성합니다. 모든 계정에 SCP를 적용합니다.

정답: C

커뮤니티 투표 분배
C (100%)

질문 #40 주제 1

최근 한 회사에서 보안 감사를 실시했는데, 감사관은 여러 가지 잠재적인 위협을 식별했습니다. 이러한 잠재적인 위협은 DNS 액세스
피크, 비정상적인 인스턴스 트래픽, 비정상적인 네트워크 인터페이스 트래픽, 비정상적인 Amazon S3 API 호출과 같은 사용 패턴 변화
를 일으킬 수 있습니다. 위협은 다양한 소스에서 발생할 수 있으며 언제든지 발생할 수 있습니다. 회사는 시스템을 지속적으로 모니터
링하고 들어오는 모든 위협을 거의 실시간으로 식별할 수 있는 솔루션을 구현해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. AWS CloudTrail 로그, VPC 흐름 로그 및 DNS 로그를 활성화합니다. Amazon CloudWatch Logs를 사용하면 중앙 집중식 계정에서 이

러한 로그를 관리할 수 있습니다.

B. AWS CloudTrail 로그, VPC 흐름 로그 및 DNS 로그를 활성화합니다. Amazon Macie를 사용하여 중앙 집중식 계정에서 이러한 로그

를 모니터링하세요.

C. 중앙 집중식 계정에서 Amazon GuardDuty를 활성화합니다. GuardDuty를 사용하여 AWS CloudTrail 로그, VPC 흐름 로그 및 DNS 로그

를 관리합니다.

D. 중앙 집중식 계정에서 Amazon Inspector를 활성화합니다. Amazon Inspector를 사용하여 AWS CloudTrail 로그, VPC 흐름 로그 및

DNS 로그를 관리합니다.

정답: C

커뮤니티 투표 분배
C (100%)

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 23/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #41 주제 1

AWS Organizations를 사용하는 회사는 AWS IAM Identity Center(AWS Single Sign-On)를 사용하여 AWS 계정에 대한 액세스를 관리하고 있

습니다. 보안 엔지니어가 IAM Identity Center에서 사용자 지정 권한 집합을 생성 중입니다. 회사는 여러 계정에 걸쳐 설정된 권한을 사
용합니다. AWS 관리형 정책과 고객 관리형 정책이 권한 세트에 연결됩니다. 보안 엔지니어는 모든 관리 권한을 가지며 마스터 계정에
서 운영됩니다.
보안 엔지니어가 여러 계정에 대한 액세스 권한이 있는 IAM Identity Center 사용자에게 권한 집합을 할당하려고 하면 할당이 실패합니
다.
이 오류를 해결하려면 보안 엔지니어는 어떻게 해야 합니까?

A. 권한 집합이 할당된 모든 계정에서 고객 관리형 정책을 생성합니다. 고객 관리형 정책에 각 계정에 동일한 이름과 동일한 권한

을 부여합니다.

B. 권한 세트에서 AWS 관리형 정책 또는 고객 관리형 정책을 제거합니다. 제거된 정책을 포함하는 두 번째 권한 집합을 만듭니다.

사용자에게 별도로 권한 집합을 적용합니다.

C. AWS 관리형 정책과 고객 관리형 정책의 논리를 평가합니다. 배포하기 전에 권한 집합의 정책 충돌을 해결하세요.

D. 사용자에게 새 권한 집합을 추가하지 마십시오. 대신, AWS 관리형 정책과 고객 관리형 정책을 포함하도록 사용자의 기존 권한

세트를 편집하십시오.

정답: A

커뮤니티 투표 분배
A (75%) C (25%)

질문 #42 주제 1

회사에는 수천 개의 AWS Lambda 함수가 있습니다. 보안 엔지니어는 Lambda 기능을 검토하는 동안 중요한 정보가 환경 변수에 저장되
어 있으며 Lambda 콘솔에서 일반 텍스트로 볼 수 있다는 사실을 발견했습니다. 민감한 정보의 값은 몇 자에 불과합니다.
이 보안 문제를 해결하는 가장 비용 효율적인 방법은 무엇입니까?

A. 환경 변수에 대한 액세스를 숨기려면 Lambda 콘솔에서 IAM 정책을 설정하십시오.

B. AWS Step Functions를 사용하여 환경 변수를 저장합니다. 런타임 시 환경 변수에 액세스합니다. IAM 권한을 사용하여 환경 변수

에 대한 액세스를 액세스가 필요한 Lambda 함수로만 제한합니다.

C. AWS Secrets Manager에 환경 변수를 저장하고 런타임에 액세스합니다. IAM 권한을 사용하여 액세스가 필요한 Lambda 함수로만

암호에 대한 액세스를 제한합니다.

D. AWS Systems Manager Parameter Store에 환경 변수를 보안 문자열 매개변수로 저장하고 런타임에 액세스합니다. IAM 권한을 사

용하여 매개변수에 대한 액세스를 액세스가 필요한 Lambda 함수로만 제한합니다.

정답: D

커뮤니티 투표 분배
D (86%) 14%

https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ 24/70
3/10/24, 5:59 PM AWS Certified Security - Specialty SCS-C02 시험문제 - 무료 Q&A, 페이지 1 | 시험주제

질문 #43 주제 1

보안 엔지니어는 AWS Organizations를 사용하고 있으며 SCP를 최적화하려고 합니다. 보안 엔지니어는 SCP가 모범 사례를 준수하는지
확인해야 합니다.
이 요구 사항을 충족하려면 보안 엔지니어가 어떤 접근 방식을 취해야 합니까?

A. AWS IAM Access Analyser를 사용하여 정책을 분석하십시오. 정책 유효성 검사 결과를 봅니다.

B. 조직의 모든 계정에 대한 AWS Trusted Advisor 점검을 검토합니다.

C. AWS 감사 관리자를 설정합니다. 모든 계정에 대해 모든 AWS 리전에 대한 평가를 실행합니다.

D. Amazon Inspector 에이전트가 모든 계정의 모든 Amazon EC2 인스턴스에 설치되어 있는지 확인하십시오.

정답: A

커뮤니티 투표 분배
A (89%) 11%

질문 #44 주제 1

한 회사는 애플리케이션용 데이터베이스 엔진으로 MySQL용 Amazon RDS를 사용합니다. 최근 보안 감사에서 미사용 데이터 암호화에
대한 회사 정책을 준수하지 않는 RDS 인스턴스가 밝혀졌습니다. 회사의 보안 엔지니어는 모든 기존 RDS 데이터베이스가 서버 측 암호
화를 사용하여 암호화되고 향후 정책 위반이 감지되는지 확인해야 합니다.
이를 달성하기 위해 보안 엔지니어는 어떤 단계 조합을 취해야 합니까? (2개를 선택하세요.)

A. 암호화되지 않은 RDS 데이터베이스 생성을 감지하는 AWS Config 규칙을 생성합니다. AWS Config 규칙 규정 준수 상태 변경 시 트

리거할 Amazon EventBridge 규칙을 생성하고 Amazon Simple 알림 서비스(Amazon SNS)를 사용하여 보안 운영 팀에 알립니다.

B. AWS System Manager State Manager를 사용하여 RDS 데이터베이스 암호화 구성 드리프트를 감지합니다. 상태 변경을 추적하는

Amazon EventBridge 규칙을 생성하고 Amazon Simple 알림 서비스(Amazon SNS)를 사용하여 보안 운영 팀에 알립니다.

C. 암호화되지 않은 기존 RDS 데이터베이스에 대한 읽기 전용 복제본을 생성하고 프로세스에서 복제본 암호화를 활성화합니다.

복제본이 활성화되면 이를 독립형 데이터베이스 인스턴스로 승격하고 암호화되지 않은 데이터베이스 인스턴스를 종료합니다.

D. 암호화되지 않은 RDS 데이터베이스의 스냅샷을 찍습니다. 스냅샷을 복사하고 프로세스에서 스냅샷 암호화를 활성화합니다. 새