AWS Certified Security - Specialty

결제 마이크로서비스용 AWS CloudFormation 템플릿을 검토하던 보안 엔지니어는 PaymentApiToken이라는 매개변수의 기본값에 운영 API 토큰이 평문으로 노출되어 있음을 발견했으며, 이 토큰은 템플릿 전반에서 12회(예: Lambda 환경 변수, API Gateway 헤더, ECS 작업 정의) 참조되고 있어 템플릿에서 평문을 제거하면서도 스택 작업 동안 12곳 모두에서 값을 참조할 수 있어야 하고, 비밀은 저장 시 암호화되고 스택 이벤트나 로그에 노출되지 않으며 60일마다 자동 로테이션을 지원해야 하는 요구 사항이 있다; 이 요구 사항을 가장 안전하게 충족하는 해결책은 무엇인가?

한 글로벌 에듀테크 회사는 AWS Organizations로 15개의 AWS 계정을 운영하며, 조직 수준에서 AWS Identity and Access Management (IAM) Access Analyzer를 활성화해 공개 또는 교차 계정 접근을 탐지하고 있습니다. 보안팀은 새로 생성되는 IAM 또는 리소스 정책으로 인해 ACTIVE 상태의 Access Analyzer 탐지 항목이 발생할 때마다, 외부 주체(external principal)를 차단하도록 IAM 역할의 신뢰 정책에 명시적 Deny를 추가해 접근을 자동으로 교정하고, 5분 이내에 security-ops@example.com으로 이메일 알림을 보내는 자동화 워크플로를 요구합니다. 이 요구 사항을 충족하기 위해 보안 엔지니어가 구현해야 할 단계 조합은 무엇입니까? (세 가지 선택)

한 미디어 분석 회사는 동일한 VPC의 다른 워크로드와 함께 배치된 세 개의 프라이빗 서브넷에 걸쳐 최소 6대, 목표 9대 용량으로 구성된 Auto Scaling 그룹의 Amazon EC2 인스턴스에서 애플리케이션 로드 밸런서 뒤 지연 시간에 민감한 수집 API를 운영합니다. 보안 팀은 동일 리전에서 Amazon GuardDuty 탐지기를 활성화하고 AWS Security Hub와 연동했습니다. 팀은 비정상적인 egress 트래픽 급증(예: 심각도 5 이상인 GuardDuty 찾기 유형 Behavior:EC2/TrafficVolumeUnusual)을 탐지하고, AWS 모범 사례에 부합하면서 애플리케이션과 서브넷의 다른 리소스에 대한 영향을 최소화하는 초기 격리 조치를 자동으로 수행하는 방안을 구현해야 합니다. 어떤 해결책이 이러한 요구 사항을 충족합니까?

한 핀테크 회사는 us-east-1과 eu-west-1에 걸쳐 12개의 AWS 계정을 운영하며 IMDSv1이 활성화된 레거시 배스천 호스트(EC2 인스턴스 i-0abcfed12345, VPC vpc-0f12abcd)에서 인스턴스 프로필 자격 증명이 유출되었다고 의심하고 있습니다; 조직 단위의 AWS CloudTrail 조직 트레일이 활성화되어 있고, VPC 플로우 로그는 Amazon CloudWatch Logs로 전송되며, Amazon GuardDuty는 위임 관리자 계정으로 활성화되어 있고, AWS Audit Manager는 PCI 증적 수집에 사용됩니다. 보안 팀은 2025-07-04 02:10–03:05 UTC 시간 창 내에 도난된 임시 자격 증명이 외부 AWS 계정에서 회사 환경의 리소스에 접근하는 데 사용되었는지 확인해야 합니다. 이 정보를 가장 직접적으로 제공하는 해결책은 무엇입니까?

한 온라인 리테일 마켓플레이스는 회사의 감사 계정에서 AWS Security Hub와 통합되는 서드파티 SaaS 컨테이너 취약점 스캐너를 사용합니다. us-east-1에서 이 서드파티 제품의 HIGH 또는 CRITICAL 심각도 레이블을 가진 신규 발견 항목이 Security Hub로 가져와질 때 60초 이내에 자동으로 대응 워크플로가 트리거되고, 서버를 관리하지 않으면서 분당 최대 500건의 급증 트래픽을 처리할 수 있어야 합니다. 이러한 요구 사항을 충족하는 해결책은 무엇입니까?