# AWS Certified Security – Specialty  **考試總攬** AWS Certified Security – Specialty 可驗證在 AWS 雲端建立和實作安全解決方案方面的專業知識。本認證也會證明您已了解專門的資料分類和 AWS 資料保護機制；資料加密方法和實施加密方法的 AWS 機制；以及安全的網際網路通訊協定和實作通訊協定的 AWS 機制。 **考試概觀**  **考古題** https://www.examtopics.com/exams/amazon/aws-certified-security-specialty-scs-c02/view/ **考古題筆記** 2. AWS Certificate Manager(ACM)　＝＞可存放自訂SSL憑證 3. 受感染的EC2如何不斷線轉移：收集資訊 -> 隔離 -> 分離 -> 快照 B. 子網路新增後就無法變更 D. 舊方法，成本較高 F. Systems Manager適用於EC2備份無法自動更新備份快照。 4. B. cloudFormation Guard，評估和驗證 cfn 模板。只需要新增一個驗證步驟即可發送SNS；cfn-guard 作為 CI/CD 管道的一部分來停止部署不合規資源 5. IPsec 加密：AWS Site-to-Site VPN、Direct Connect C. AWS VPN CloudHub - 連接多個站點的中心化解決方案。D. VPC Peering - 將AWS 內的 VPC 與 VPC 連接起來。E. NAT 閘道 - 公網或私有 NAT 閘道，公網類型用於Internet，私有NAT網關通常用於VPC之間或VPC與Transit Gateway之間的通訊。 6. AWS Backup and Cron Job schedule 使用 AWS Backup 為 Amazon DynamoDB 設定計畫備份[https://aws.amazon.com/tw/blogs/database/set-up-scheduled-backups-for-amazon-dynamodb-using-aws-backup/](https://) 7. 關鍵字：應盡可能使用原生AWS功能。 AD Connector 只提供連接，不提拱管理使用者 8. *WAF 保護端口 443 / 80。RDP 是不同的端口，與第 7 層和 WAF 無關 D 將阻止與 Ec2 電腦的任何連接，這不是您想要的，安全群組在端點層級更容易。* 9. Detective 搭配 GuardDuty 整合快速且有關連性。 A. 唯讀登入不應允許使用者新增 DenyAllPolicy C. 使用admin添加DenyAllPolicy是非常侵入性的 D. 使用 AWS CloudTrail Insights 和 AWS CloudTrail Lake 未與 GuardDuty（與 AWS Detective 相對）集成，因此可能缺乏相關性 10. 編輯 S3 儲存桶策略 (bucket policy) 以允許跨帳戶存取。 11. Security Hub > eventbridge > SNS 12. Key point：keep system logs and application logs for 7 years. 保留期(Desired Retention) CloudWatch agent -> CloudWatch Logs, IAM role to launch template -> CloudWatch Logs 13. "NumericLessThan": {"aws:MultiFactorAuthAge": "7200"} 此條件確保僅當 MFA 會話期限小於 7200 秒（2 小時）時才允許執行該操作 14. key:自動修復生產帳戶中的事件，透過SNS通知事件。  https://www.youtube.com/watch?v=RGNMkhaT_GY 15. key：使用 AWS Organizations 和 AWS IAM Identity Center，「只能使用特定的 AWS 區域」 SCP 控制哪個組織節點可以在哪個區域上運作，且營運開銷最少。 當使用組織和預防區域時，SCP 是最佳實踐。 IAM 規則可以做到這一點，但效果不佳。 16. key：資料在傳輸和靜態時必須受到保護。 唯一談到DBS加密的選項 TLS certificates from AWS Certificate Manager (ACM) 17.Key：預先配置的 IP 位址允許清單 >>> 私網 NAT GW F 是錯誤的，因為 ALB 應該位於公共子網路中。 https://www.examtopics.com/discussions/amazon/view/69095-exam-aws-certified-security-specialty-topic-1-question-299/ 18. BDF 19. 無法將 ELB 存取日誌傳送至 CloudWatch Logs，而只能傳送至 S3 20. 21. Athena 將查詢結果傳送至 s3 儲存桶 > Macie 可以掃描 s3 儲存桶 使用 macie 進行敏感資料發現、使用 Athena 進行 API 搜尋 22. 任何政策中的訪問拒絕都會涵蓋任何單一允許 23. AWS Shield Advanced 專為防止 DDoS 攻擊而設計 24. 可以使用 CloudWatch Logs Insights 搜尋 2018 年 11 月 5 日或之後傳送至 CloudWatch Logs 的日誌資料。 A 不是答案，因為 macie 用於掃描 s3 儲存桶中的 PII。 25. 安全群組是有狀態的，因此自動允許出站規則，而 NACL 是無狀態的，因此答案將為 D，因為我們需要在 VPC 的 NACL 中允許出站規則。 26. s3 的生命週期策略和 Dynamo DB 的 TTL 27. MFA & 建立IAM創建密鑰 A 不正確，因為 root 使用者建立存取金鑰並不可取 B 不正確，因為為其他使用者啟用 MFA 不會以任何方式幫助 root 使用者。 C 是不正確的，因為不應為 root 使用者建立存取金鑰 28. AWS Service Catalog 可以集中管理AWS資源，能確保一致性和和規性 29. ABAC(基於標籤的策略控制) 隨著原則的變化，總是更新可信策略並不好，而是正確標示 IAM 原則。 30. WAF 可以保護 CloudFront、R53 和 ALB，無法直接附加到 EC2 執行個體的安全性群組。 31. 使用預設的 VPC DNS 解析器，GuardDuty 僅處理 DNS 日誌。所有其他類型的 DNS 解析器都不會產生基於 DNS 的結果 32. <連續和推送掃描> 使用 Amazon Inspector。將結果推送到 Security Hub。 33. GuardDuty + EventBridge + SNS => AWS Security Hub 沒有任何掃描功能 34. https://www.linkedin.com/pulse/permission-policy-vs-trust-aws-rupesh-tiwari/  35. AWS Service Catalog 建立自訂 AMI 可讓組織管理、管理和自動化跨其 AWS 帳戶預置 IT 服務，管理和預先配置已批准產品的配置，用來限制僅能用的軟體。 36. GuardDuty 的 suppression rule 是一組條件，透過自動歸檔(automatically archiving)與指定條件匹配的新結果來過濾結果。 https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html 37. 啟用KMS加密，需要寵新建立ECR儲存庫。 AWS Systems Manager 代理程式清單，不包含任何有關漏洞的資訊。 38. IAM permissions boundary policy(IAM 權限邊界策略) 定義基於身分的策略可以授予 IAM 實體（使用者或角色）的最大權限。它本質上充當安全網，防止用戶和角色超出其預期權限。 https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_bound 39. 組織端建立追蹤在組織端，就不用在每個帳戶中手動建立和監控追蹤。 40. GuardDuty(安全監控服務) 從以下來源擷取資料來源：AWS CloudTrail 日誌、VPC 串流日誌和DNS 日誌https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html 只有GuardDuty 會偵測所有選項中的例外和異常活動。 41. (爭議)必須在 IAM Identity Center 指派您的權限集的每個 AWS 帳戶中建立具有相同名稱的 IAM 原則 在使用 IAM 政策分配權限集之前，您必須準備您的會員帳戶。您的會員帳戶中的 IAM 策略的名稱必須與您的管理帳戶中的策略名稱匹配，區分大小寫。如果您的成員帳戶中不存在該策略，IAM Identity Center 將無法分配權限集。”  42. C、D都可以，但D更便宜。 Parameter Store 建立 SecureString 參數不收取任何費用。 43. IAM Access Analyzer (IAM 存取分析器) => 組織 SCP https://aws.amazon.com/tw/blogs/aws/new-use-aws-iam-access-analyzer-in-aws-organizations/ 44. AD Config 追蹤偏差，並拍攝快照來加密目前的 RDS。 https://www.examtopics.com/discussions/amazon/view/60595-exam-aws-certified-security-specialty-topic-1-question-275/ 若要以最短停機時間加密未加密的資料庫執行個體，請遵循下列步驟： 1. 加密從未加密資料庫執行個體之讀取複本擷取的未加密快照。 2. 從加密快照還原新的資料庫執行個體，以部署新的加密資料庫執行個體。 3. 使用 MySQL 複寫將來源變更同步至新的加密資料庫執行個體。 4. 確認新的加密資料庫執行個體與來源資料庫執行個體同步。 5. 切換您的連線，然後將流量重新導向至新的資料庫執行個體。 45. 建立一個具有有限權限的新 AWS 帳戶。允許新帳戶存取加密 EBS 快照的 KMS 金鑰。定期將加密快照複製到新帳戶。 46. 不需要 SSH 連接埠 22，因為 Systems Manager 的 Session Manager (會話管理器)可以提供安全團隊對 EC2 執行個體所需的必要存取權限。 47. 最低成本，更改現有的 CloudTrail 48. 若要阻止使用者直接存取 Application Load Balancer 並僅允許透過 CloudFront 進行訪問，請完成以下進階步驟： 設定 CloudFront 以將自訂 HTTP 標頭新增至傳送至 Application Load Balancer 的請求中。將 Application Load Balancer 設定為僅轉送包含自訂 HTTP 標頭的請求。 （可選）需要 HTTPS 以提高此解決方案的安全性。 49. 要調查某個使用者並尋找 IAM 使用者在過去一段時間內建立了哪些資源，可以使用 CloudTrail 工具。 50. secrets manager 更機密 51. 52. Amazon S3 Glacier 中建立文件庫。在 S3 Glacier 中建立滿足所有法規要求的保管庫鎖定策略(Vault Lock policy https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock-policy.html 53. 從身分識別服務提供者下載更新的 SAML 元資料文件，然後在 AWS 中更新 54. 透過 SAML 身分提供者 (IdP) 登入 ， Amazon Cognito 作為 ALB 的身份驗證 https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-configuring-federation-with-saml-2-0-idp.html 55. 56. AWS Audit Manager 可協助您根據選取的框架收集證據。 在 AWS Audit Manager 中新增手動證據 57. 題目：將AWS 服務的使用限制在 us-east-1 區域 "Action" AWS：根據請求的區域拒絕存取 AWS "NotAction" https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-requested-region.html 58. 設定 OAC 以將對 S3 儲存桶的存取權限限制為僅 CF 分配。 當您將 OAI 與 CloudFront 指派關聯時，會充當該指派的偽用戶，並且您可以設定 S3 儲存桶權限以僅向該 OAI 授予存取權限。這允許 CloudFront 代表最終用戶從 S3 儲存桶獲取和提供對象，而無需直接從 S3 儲存桶存取對象。 59. putlogevent 需要日誌流。所以它是createlogstream。 60. 該問題試圖欺騙選擇 Macie，因為數據包含敏感數據，但 Macie 會發現數據並對數據進行分類，並將結果發送到 SecurityHub 或 EventBridge 以執行可能需要的任何操作，不會刪除物件。另一件事是，S3 物件生命週期用於 2 個角色，即物件的轉換和過期。 61. 私鑰不見，停機，使用公鑰 62. EventBridge 以 3 種不同的方式與SecurityHub 整合。1. 所有結果（SH 導入） 2. 自訂操作的結果（SH 自訂操作） 3. 自訂操作的見解(SH Insights) https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automate-remediation-for-aws-security-hub-standard-findings.html 63. C. 撤銷 IAM 角色的活動會話權限。更新 S3 儲存桶策略以拒絕對 IAM 角色的存取。從 EC2 執行個體設定檔中刪除 IAM 角色。 64. AWS Secrets Manager 支援自動輪調。 AWS CloudHSM 是額外的開銷，問題指定應將其保持在最低限度 65. Route 53 Resolver query logging( Route 53 解析器查詢日誌記錄 可查詢到DNS名稱及記錄 https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html 66. 主體基於身分的策略(RBAC)授予無條件將物件放入 S3 儲存桶的存取權限。 S3 儲存桶的資源策略不會拒絕對 put 物件的存取 67. IP set match rule statement 為AWS WAF的規則 --> 根據一組 IP 位址和位址範圍檢查請求 https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-ipset-match.html 68. <跟角色有關>外部 ID 不正確或缺失 * 不允許審核員先擔任該角色 * 角色 ARN 不正確 69. 70. 71. AWS Signer 全託管程式碼部屬，可拖管金鑰私鑰並配IAM https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html 72. data key caching(資料金鑰快取)有助於提高效能、降低成本，並有助於在金鑰使用量增加時保持在限制範圍內，而不會受到限制 73. https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html#cloudtrail-object-level-tracking 74. 75. 您可以使用 AWS Resource Access Manager (AWS RAM) 與其他帳戶共用 VPC 擁有者帳戶 A 中的子網路和資源 RAM用於共享子網 76. AWS Config 託管規則 (access-keys-rotated)： 此託管規則檢查 IAM 存取金鑰是否已在指定時間 範圍內輪調。透過將其配置為定期運行 24 小時並 將 maxAccessKeyAge 參數設定為 90 天，它將 自動偵測 90 天或以上未輪調的存取金鑰。 Amazon EventBridge 規則： 建立一個 EventBridge 規則，其事件模式與 AWS Config 中的 access-keys-rotated 託管規則的 NON_COMPLIANT 合規類型相符。這可確保 EventBridge 在發現 IAM 存取金鑰不合規時觸發操作。 Amazon SNS 通知： 設定 EventBridge 以在事件模式匹配時向安全團隊發送 SNS 通知。當存取金鑰未在指定時間範圍內輪調時，這將自動通知安全團隊。 77. 78. aws scp 設定組織的權限和限制 79. Secrets Manager 使用 KMS 金鑰安全地儲存 API 金鑰。 80. 更新桶策略：此錯誤訊息表示桶策略有問題。 需要使用新的日誌檔案前綴更新 Amazon S3 控制台中的現有儲存桶策略：確保儲存桶策略正確配置以允許 CloudTrail 將日誌寫入指定位置。 在 CloudTrail 控制台中更新日誌檔案前綴：儲存桶策略更新後，返回 CloudTrail 控制台並在那裡更新日誌檔案前綴，這將確保 CloudTrail 知道 S3 儲存桶中用於儲存日誌檔案的正確目標。 81. 向第三方授予對您的 AWS 資源的存取權限時如何使用外部 ID： sts:ExternalId 條件可確保請求附帶期限的外部 ID 82. CloudWatch Logs Insights 是一項完全託管的服務，可讓您有效率地搜尋和分析日誌資料。 83. Amazon EC2 Image Builder 使用的 IAM 角色需要附加必要的策略才能執行所需的操作。在這種情況下，該角色需要 EC2InstanceProfileForImageBuilder、EC2InstanceProfileForImageBuilderECRContainerBuilds 和 AmazonSSMManagedInstanceCore 等策略 84. 客戶提供的密鑰，客戶管理密鑰可以為匯入的金鑰設定有效期限。 AWS KMS 會在過期後自動刪除金鑰材質。 AWS 金鑰本身無法設定有效期限 85. Systems Manager 提供與 RDS 的集成，並與 Java Try and Catch 結合使用，可以根據需要頻繁地輪換憑證。 86. C 依賴 SAML 來進行 AssumeRoleWithSAML 操作。問題提到可能有 SAML 錯誤。如果 SAML 無法正常運作，則 AssumeRoleWithSAML 操作也會失敗。這意味著安全團隊成員將無法在需要時承擔碎玻璃 IAM 角色 87. 88. https://aws.amazon.com/blogs/compute/orchestrating-a-security-incident-response-with-aws-step-functions/ 使用 AWS Step Functions 協調安全事件回應  89. C 是正確的。因為 SNS 生成時使用了有助於安全性的查找詳細信息，而只有 CloudWatch 生成的警報沒有 SNS 通知那樣的信息。 90. 91. 92. B. 必須允許 CIDR 範圍的出站 NACL 中的臨時連接埠。 93. CFN Guard 定義的規則集有助於防止基礎設施資源安全策略的衍生。 94. 使用 AWS Secrets Manager VPC 終端節點並使用 Lambda 輪調函數輪替金鑰。 https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html 95. 用於減少攻擊面的安全群組，用於掃描和緩解已知漏洞的 Amazon Inspector 96. A 也沒有提到帳號限制，所以 C 是肯定的 將映像檔推送至另一個帳戶的 Amazon ECR 儲存庫，或從其中提取映像檔。首先，您必須建立允許次要帳戶對儲存庫執行 API 呼叫的政策。 97. S3 生命週期規則 98. Resource 元素下缺少「*」 99. 如果您透過 IAM 策略允許某個金鑰，它仍然可以被金鑰策略（這是另一個策略）拒絕，除非您明確允許。 “除非金鑰策略明確允許，否則您不能使用 IAM 策略來允許存取 KMS 金鑰。如果沒有金鑰策略的許可，允許權限的 IAM 策略將不起作用。” KMS策略 蓋到 IAM 允許 100. 101. (C) - Kinesis Data *Streams* 無法傳送到 OpenSearch https://aws.amazon.com/blogs/security/visualizing-amazon-guardduty-findings/ 102. Amazon S3 Object Lock 具備物件級不變性之資料保護，可免受勒索軟體事件的影響，保護物件免遭意外或惡意刪除和覆寫 https://aws.amazon.com/s3/features/object-lock/ 103. 104. SCP 層級 > IAM 層級，SCP 蓋到IAM 105. 106. CloudWatchAgentServerPolicy 的用途 ： 允許 CloudWatch 代理代表策略附加到的 IAM 角色或使用者將指標和日誌發佈到 CloudWatch。 為代理提供存取和管理儲存在 S3 中的自己的設定檔的權限。 此策略授予跨多個 AWS 服務（例如 CloudWatch、S3、KMS 等）的權限，以允許監控代理程式的端對端功能。 107. 108. 因為只需要明確地為 User1、User2 和 User3 選擇主體...另外，無論如何，群組都不能被識別為主體。 在 AWS IAM 中，委託人是經過驗證的 IAM 實體。 IAM 實體只是 IAM 使用者和角色。不是團體。 109. 如果 IAM 憑證報告是在過去 4 小時內產生的，則可能無法反應最新的更改，例如存取金鑰的輪換。為了解決這個問題 https://repost.aws/knowledge-center/config-credential-report 110. 修改 IAM 策略 111. ＠ 112. ＠ 113. a) 當您使用控制台儲存資料庫機密時，Secrets Manager 會自動以正確的 JSON 結構建立它。 c) 秘密管理器已配置為自動輪調。另外，秘密 id 應該是已知的，而不是列出秘密。 d) 不建議透過 public 存取 Secret Manager。 114. 拒絕相關資源被刪除 115. 「在 Secrets Manager 中更新金鑰不會自動更新 CloudFormation 中的金鑰。為了讓 CloudFormation 更新 SecretsManager 動態引用，您必須執行堆疊更新來更新包含動態引用的資源，透過更新包含Secretsmanager 動態引用的資源屬性，或更新資源的另一個屬性。” 116. 我們這裡需要的是 Kinesis Data firehose（現在的 Amazon Data Firehose），而不是 C，而不是 Kinesis Data Streams。 117.