Security

Question 1

Como fazer para dar acesso a um usuário de usar KMS?

Answer 1

1) Fazer com que a Key Policies permita esse usuário
2) IAM Policy permite API call

Question 2

Que tamanho máximo o segredo pode ter usando KMS?

Answer 2

4KB

Question 3

Quais as formas de segurança possiveis para o Kinesis Data Streams?

Answer 3

1) SSL in Flight
2) AWS KMS
3) SSE-C, o cliente tem que escrever código
4) Supporta VPC End-point
5) KCL precisa ter acesso R/W no DynamoDB

Question 4

Quais as formas de segurança possiveis para o Kinesis Data Firehose?

Answer 4

1) IAM Role para acessar Redshift, Opensearch, S3 e SPLUNK
2) AWS KMS
3) VPC Endpoint

Question 5

Quais as formas de segurança possiveis para o Kinesis Data Analytics?

Answer 5

IAM role so it can read from Kinesis Data Streams

Question 6

Quais as formas de segurança possiveis para o SQS?

Answer 6

1) HTTPS Endpoint
2) AWS KMS
3) IAM Policies must allow SQS
4) SQS queue access policy

Question 7

Quais as formas de segurança possiveis para o IoT?

Answer 7

1) IoT Policies: Attach to X.509 ou Cognito
2) Policies podem ser atribuidas a grupos de devices, não só 1
3) Attach Roles on the Rules Engine para rodar

Question 8

Quais as formas de segurança possiveis para o DynamoDB?

Answer 8

1) TLS in flight
2) KMS for base table and secundary index
3) Access Table/API/DAX using IAM
4) DynamoDB streams are also encrypted

Question 9

Quais as formas de segurança possiveis para o RDS?

Answer 9

1) VPC provides Network Isolation
2) Security Groups control access to the RDS Instance
3) KMS
4) SSL in Flight
5) IAM policies
6) IAM Authentication SOMENTE é suportado no PostgreSQl e MySQL
7) o RDS é quem diz que usuário acessa o que
8) MSSQL e ORACLE possuem a tecnologia Transparent Data Encryption)

Question 10

Quais os mecanismos de seguranca de Glue Data Catalog?

Answer 10

KMS e Resource Policies. Similar a S3 de quem pode acessar

Question 11

Quantos security groups tem para o EMR? Quais?

Answer 11

2 - 1 para o Primary Node outro para os outros nodes falarem entre si.

Question 12

Quais criptografias estão disponiveis para o EMRFS?

Answer 12

SSE-S3, SSE-KMS, Client side. SSE-C NÃO é suportado.
TLS para in-transit

Question 13

Quais criptografias estão disponiveis para disco local no cluster EMR?

Answer 13

EC2 Instance Store Encrypt: NVMe ou LUKS encryp
EBS Volume: KMS. Pode usar LUKS, mas ele não encripta o root
TLS para in transit

Question 14

Qual mecanismos de segurança para o Opensearch/Elasticsearch?

Answer 14

VPC Isolation
ES Policy
KMS
SSL in-transit
IAM or Cognito Base authN

Question 15

Quais os recursos de segurança para o Redshift?

Answer 15

VPC Isolation
Cluster security group
SSL in flight
KMS ou HSM(Device) (IMPORTANTE)
Support SSE-S3
IAM roles to access other resources
Usando comando COPY ou UNLOAD, precisa referenciar o IAM role ou colar a credential access key e secret cred key

Question 16

Quais mecanismos de segurança do Athena?

Answer 16

IAM policy
Data in S3, então: IAM Policy, ACLs, Bucket Policies
S3 based encrypt: SSSE-S3, KMS, SSE-C, Client Side
TLS in-transit

Question 17

Quais os mecanismos de segurança do Quicksights?

Answer 17

Standard Edit: IAM users, email authN
Enterprise: AD, Federate, MFA, Encryption in SPICE
IMPORTANTE: ROW LEVEL Security pra dar acesso a usuários de forma granuilar

Question 18

Podemos usar policy tags nas databeses, tabelas e colunas no Lake formation para restringir acesso. V ou F?

Answer 18

VERDADEIRO.

Question 19

O que é o KMS Key Rotation e como funciona?

Answer 19

Pode ser Manual ou Automatico e a chave muda 1vez por ano.
O cliente que gerencia sua propria chave nesse caso.
A nova chave tem o mesmo CMK ID

Question 20

Que formas de AuthN uma Third party Federated pode assumir?

Answer 20

SAML: Active Directory
Cognito: Se quiser dar acesso a um bucket S3, Conginto é a boa
Custom ID Broker (Complicado de Implementar): USAR APENAS se a applicação não for compativel com SAML

LDAP, SSO, OpenID, Cognito, usando Federação não é preciso criar IAM user

Question 21

Quais formas de compressão são suportadas no comando COPY para o Redshift?

Answer 21

GZIP, izop e bzip2

Question 22

Quanto a politicas avançadas, quais os 3 tipos de $aws: XXXX que podemos usar para restringir acesso?

Answer 22

username: restringir usuários a tabelas ou buckets
PrincipalType: user, account, federate ou assumed role
PrincipalTag/Department: to restrict user Tags

Se for Federado:

FederatedProvider: limita quem é o fornecedor da authenticação Cognito, Amazon…
,${www.amazon.com:user_id}, se for usar o user_id da Amazon ou ${cognito-identity.amazon.com:sub} se for cognito

Question 23

Sobre GSI e LSI, quando que cada um pode ser implementado?

Answer 23

LSI só na criação da tabela
GSI pode ser acrescentado/alterado depois - altera PK (HASH ou HASH+RANGE)