最新のCyberArk Secret-Sen Practice Test Questions, CyberArk Sentry - Secrets Manager Exam Dumps [Q22-Q36].

説明
Conjur CLIは、ユーザがコマンドラインからConjur REST APIを操作するためのツールなので、これが正解です。Conjur CLIは、Windows、Red Hat Enterprise Linux、macOSオペレーティングシステム、およびDockerコンテナで実行できます。Conjur CLIは、実行ファイルのダウンロード、パッケージマネージャの使用、Dockerイメージのプルなど、さまざまな方法でインストールできます。Conjur CLI は Conjur Enterprise 12.9 またはそれ以降のバージョンをサポートしています。この回答は、CyberArk Secrets Manager ドキュメント1 および CyberArk Secrets Manager トレーニングコース2 に基づいています。
その他のオプションは、Conjur CLIでは真ではありません。Conjur CLIは、Conjur Leaderノードからだけでなく、Conjurサーバにネットワークアクセスできるマシンから実行できます。Conjur Leaderノードは、Conjurデータベースとポリシーエンジンの読み取り/書き込み操作を実行し、Conjur UIとAPIエンドポイントをホストするノードです。ユーザはConjur REST APIにHTTPリクエストを送信するために、curl、Postman、またはWebブラウザなどの他のツールを使用することもできます。
Conjur CLIは、ロール、ポリシー、シークレット、監査レコードなどのConjurリソースを管理するためのConjur REST APIを実装しています。Conjur CLIは、Conjur REST APIエンドポイントに対応する一連のコマンドを提供し、ユーザがConjurリソースに対してさまざまな操作を実行できるようにします。

説明
デュアルアカウントとは、システム、データベース、アプリケーションにアクセスするために、同一の権限を持つ2つのアカウントを使用するパスワード管理方法である。ある時点で1つのアカウントがアクティブで、もう1つは非アクティブである。アクティブなアカウントは、パスワードのローテーションの間、変更されずに残りますが、非アクティブなアカウントは、猶予期間の後にパスワードが変更されます。こうすることで、アプリケーションは、パスワードの期限切れや変更による遅延やエラーを経験することなく、常にアクティブなアカウントを使用することができます。デュアル・アカウントを使用する利点は、特に高負荷でクリティカルなアプリケーションにおいて、ビジネスの継続性とターゲット・リソースへのシームレスなアクセスを保証することである。参考文献デュアル・アカウントの管理, デュアル・アカウントの設定

説明
CyberArk データ保管庫の金庫内のアカウントに加えられた変更を Conjur ホストのアクセスに反映させる最もメンテナンスフリーな方法は、金庫用のシンクロナイザによって作成されたコンシューマグループ/ロールをホストに付与することです。これにより、ホストは金庫内のすべてのシークレットに対する読み取り権限と実行権限をコンシューマー グループ/ロールから継承し、手動による介入やポリシーの変更を必要とせずに、金庫内の新規または更新されたシークレットに自動的にアクセスできるようになります。コンシューマ グループ/ロールは、CyberArk の保管庫と Conjur の間でシークレットを同期するサービスである Vault Conjur Synchronizer によって作成されます。Synchronizer は Conjur の各 Safe に対してポリシーブランチを作成し、Safe 内のすべてのシークレットに対して読み取り権限と実行権限を持つコンシューマグループ/ロールを割り当てます。また、Synchronizer は Safe ごとに委任ポリシーを作成し、Safe の管理者が他のユーザー、ホスト、グループ、またはレイヤー12 に権限を付与できるようにします。
他のオプションは、Conjur ホストのアクセスが CyberArk データ保管庫の金庫内のアカウントに加えられた変更を確実に反映するための最もメンテナンスフリーな方法ではありません。PATCH/updateを使用してホストのポリシーを更新してロードする自動化スクリプトを作成することは可能ですが、スクリプトが常に実行され、金庫内の変更と最新であることを確認するための追加の労力とメンテナンスが必要です。yamiアンカー[&]およびワイルドカード(*)構文を使用して権限付与のリストを管理すると、ポリシーの記述が簡素化される可能性がありますが、新しい秘密がセーフに追加または削除されるたびにポリシーを手動で編集してロードする必要があります。PVWAは人間のユーザを管理するために設計されており、Conjurホストを管理するために設計されていないため、PVWAを使用してConjurホストIDをセーフのメンバーとして追加することは不可能であり、推奨されない可能性があります。参考文献: = Vault Conjur Synchronizer 1, Synchronizer Policy Structure 秘密に対する権限の付与 2, Safe 内のすべての秘密に対するロール権限の付与 Privileged Access Manager - Self-Hosted 3, Privileged Web Access (PVWA)

説明
CyberArk Sentry Secrets Managerのドキュメントによると、オートフェイルオーバーとは、リーダーに障害が発生した場合にスタンバイノードをリーダーノードに自動的に昇格させる機能です。オートフェイルオーバーにはクォーラム（クラスタ内で利用可能で同期しているノードの過半数）が必要です。クォーラムは、一度に1つのノードしかリーダーに昇格できないことを保証し、スプリットブレイン・シナリオを防止します。各オプションには、ロードバランサーと4つのノードのネットワーク図が示されています。各図の下のテキストは、クォーラムがあるかどうかを示しています。オプションCは、4つのノードのうち3つのクォーラムがあり、スタンバイノードの1つをリーダーに昇格させることができるため、自動フェイルオーバーが発生する唯一の例です。オプションAは、クォーラムがなく、4ノード中2ノードしか利用できないため、自動フェイルオーバーは発生しません。オプションBは、クォーラムがないため、オートフェイルオーバーがありません。オプションDはクォーラムがないため、オートフェイルオーバーは行われません。参考文献1: オートフェイルオーバー 2: オートフェイルオーバーの設定

説明

リーダーに障害が発生した場合、手動フェイルオーバーを実行して、スタンドバイの 1 つを新しいリーダーに昇格させることができます。手動フェイルオーバーの手順は以下のとおりです：
すべてのスタンドバイとフォロワのレプリケーションを一時停止し、最適なフェイルオーバー候補を特定します。この手順により、フェイルオーバー処理中にデータが失われたり破損したりすることがなくなります。最適なフェイルオーバー候補は、最も高度なレプリケーション タイムラインを持つスタンバイであり、これはリーダーからの最新データを持っていることを意味します。
フェイルオーバー候補を新しいリーダにプロモートします。この手順により、フェイルオーバー候補の役割がスタンバイからリーダーに変更され、それに応じて構成が更新されます。新しいリーダーは、クライアントからの書き込み要求を受け付け、データを他のノードにレプリケートできるようになります。
レプリケーションを復元します。このステップでは、新しいリーダーと他のノード間のレプリケーション接続を再確立し、他のスタンバイとフォロワーのレプリケーションを新しいリーダーに再ベースします。これにより、すべてのノードが同じデータを持ち、新しいリーダーと同期していることが保証されます。
参考文献手動フェイルオーバーの設定手順については、CyberArk Conjur Enterprise ドキュメントの「Configure Manual Failover」セクションで詳しく説明しています。問題の画像も同じソースから引用しています。

説明
Conjurはノードとクライアント間の認証にTLS証明書を使用する。これらの証明書はConjurによって自己署名されるか、サードパーティのCAからインポートされる。すべての証明書は
Conjurコンテナの/opt/conjur/etc/sslディレクトリ。このディレクトリには以下のファイルが含まれる：
ca.crt：すべてのConjurノード証明書を検証するために使用されるCA証明書。これは自己署名されたConjur CA証明書またはインポートされたサードパーティCA証明書である。
server.crt：ConjurノードがHTTPSおよびmTLS接続に使用するサーバ証明書。この証明書には、CNとSANフィールドにノードとロードバランサのDNS名が含まれています。
server.key：サーバ証明書に対応する秘密鍵。
cert.pem：サーバ証明書ファイルへのシンボリックリンク。
key.pem：サーバ鍵ファイルへのシンボリックリンク。
参考文献証明書アーキテクチャ、証明書要件、証明書のローテーション 詳細はこちら：

説明
Secrets ProviderとSecretlessは、シークレットアクセスにConjurを採用するために必要なKubernetesアプリケーションコードの変更を最小限に抑えることができる2つのソリューションです。Secrets ProviderはKubernetesのジョブまたはデプロイメントで、アプリケーションポッドと並行してinitコンテナまたはアプリケーションコンテナとして実行される。Conjurからシークレットを取得し、マウントされた共有ボリューム内の1つ以上のファイルに書き込みます。ローカルファイルの読み込みは一般的でプラットフォームに依存しない方法なので、アプリケーションはコードを変更することなくファイルから秘密を消費できます。Secretlessは、アプリケーションと同じポッド内で別のコンテナとして実行されるサイドカープロキシです。データベースやウェブサービスのような保護されたリソースへのアプリケーションのリクエストを傍受し、Conjurからの秘密をリクエストに注入します。Secretlessが認証と認可を行うので、アプリケーションはコード内で秘密を扱う必要はありません。参考文献CyberArk Secrets Provider for Kubernetes, Secretless Broker

説明
この図は、Secrets Managerクラスタ内のデータベースのレプリケーションステータスを含むJSONオブジェクトを示しています。Secrets Managerは、アプリケーション、DevOpsツール、およびその他のシステムで使用されるシークレットとクレデンシャルを安全に保存および管理するシークレット管理ソリューションです。Secrets Managerは、リーダーノードと1つ以上のフォロワーノードで構成されるクラスタモードで展開できます。リーダーノードはすべての書き込み操作を処理するプライマリノードで、フォロワーノードへのデータのレプリケーションを調整します。
フォロワー・ノードは、リーダー・ノードからのデータを複製し、シークレットの取得やその他の読み取り専用操作を必要とするクライアントやアプリケーションからのリクエストに対応する読み取り専用ノードである。
フォロワーがデータベースの現在のコピーを持っていることを確認するには、検証する必要のあるリーダーからフォロワーへのpgcurrentxlog_locationlocationを比較します。pgcurrentxlog_locationlocationは、データベース内のライトアヘッドログ（WAL）の現在の位置を示すプロパティです。WALは、データベースに加えられた全ての変更を、実際のデータファイルに適用される前に逐次ログファイルに記録する仕組みです。WALは、クラッシュや電源障害が発生した場合のデータベースの耐久性と一貫性を保証します。WALはまた、WALレコードをフォロワー・ノードにストリーミングし、フォロワー・ノードのローカル・データベースに適用することで、リーダー・ノードからフォロワー・ノードへのデータのレプリケーションを可能にする。
リーダとフォロワのpgcurrentxlog_locationlocationを比較することで、WALレコードに関してフォロワがリーダからどの程度遅れているかを判断することができます。pgcurrentxlog_locationlocationの値が同じか非常に近い場合は、フォロワーがデータベースの現在のコピーを持っており、レプリケーションが正常に動作していることを意味します。pgcurrentxlog_locationlocationの値が異なるか大きく離れている場合は、フォロワーが古いデータベースのコピーを持っており、レプリケーションの遅延またはレプリケーションの失敗を意味します。この場合、レプリケーションの問題をトラブルシューティングし、できるだけ早く解決する必要があるかもしれません。
参考文献 = Secrets Managerクラスタのインストール; Secrets Managerクラスタの設定; 書き込み先ログ - PostgreSQLドキュメント

説明
問題の原因は A. フォロワーの DNS 名に基づく証明書がリーダー上に存在しない。これは、シード要求で使用されたフォロワーDNS名と一致する証明書ファイルがリーダーに存在しないため、フォロワーに対して有効なシードファイルを生成できないことを意味する。この結果、Seed Fetcherコンテナログに500エラーが表示されます。この問題を解決するには、Follower DNS名をサブジェクトalt名とする証明書をLeaderにインポートし、シード要求で使用されたFollower DNS名と一致する名前の証明書ファイルのコピーを作成する必要があります1。

説明
エラーメッセージは、Conjur サーバで認証機能ウェブサービスが有効になっていないことを示しています。認証機能を有効にするには、/opt/conjur/etcディレクトリのconjur.confファイルを変更し、CONJUR_AUTHENTICATORS環境変数に認証機能ウェブサービスIDを追加する必要があります。例えば、認証者ウェブサービス ID が authn-k8s/prd-cluster-01 の場合、CONJUR_AUTHENTICATORS の既存の値にカンマ区切りで追加する必要があります。それから、変更を有効にするために Conjur サービスを再起動する必要がある。これで、Conjurサーバーの認証機能が有効になり、KubernetesアプリケーションがFollowerロードバランサーに認証できるようになります。参考Authenticator Webサービスの有効化, Authenticator Webサービスの設定

説明
CyberArk Sentry Secrets Manager のドキュメント1 によると、ディザスタリカバリサイトへの手動フェイルオーバー後にプライマリサイトにフェイルバックする手順は以下のとおりです：
DRサイトで、docker stop コマンドを使用してConjurリーダー・ノードを停止する。
プライマリ・サイトで、evoke seed leaderコマンドを使用して新しいリーダー・ノードのシードを生成する。
という名前のファイルを作成します。これにより、カレントディレクトリに .tar というファイルが作成される。
プライマリサイトで、scpコマンドを使用して、Leaderシードファイルを新しいLeaderサーバーにコピーする。
.tar :.tar
新しいLeaderサーバーで、停止したコンテナと同じ名前で新しいコンテナを作成し、docker run -name -d -restart=alwaysコマンドを使ってLeaderシードファイルをロードする。
-v /var/log/conjur:/var/log/conjur -v /opt/conjur/backup:/opt/conjur/backup -p "443:443" -p "5432:5432"
-p "1999:1999" cyberark/conjur:latest seed fetch .tar 新しいLeaderサーバー上で、コマンドevoke configure leaderを使用してConjur Leaderノードを設定する。
-h -p <管理者パスワード
新しいLeaderサーバー上で、evoke vault sync set コマンドを使用して、新しいConjur Leaderを指すようにVault Conjur Synchronizerを再設定します。
<conjur-パスワード
DRサイトで、evoke seed standbyコマンドを使用して新しいスタンバイ・ノードのシードを生成します。
という名前のファイルを作成する。これにより、カレントディレクトリに .tar というファイルが作成される。
DRサイトで、scpコマンドを使用してスタンバイ・シード・ファイルを新しいスタンバイ・サーバーにコピーします。
.tar :.tar
新しいスタンバイサーバーで、先ほど停止したコンテナと同じ名前で新しいコンテナを作成し、docker run -name -d -restart=always というコマンドでスタンバイのシードファイルをロードする。
-v /var/log/conjur:/var/log/conjur -v /opt/conjur/backup:/opt/conjur/backup -p "443:443" -p "5432:5432"
-p "1999:1999" cyberark/conjur:latest seed fetch .tar 新しいスタンバイ・サーバーで、コマンドevoke cluster enを使用してノードをクラスターに再登録します。
。
他のオプションは、不要か正しくないため、正しくありません。ライセンスは両方のサイトで有効であるため、新しいライセンスファイルを CyberArk に問い合わせる必要はありません。新しい Conjur Leader を指すように Vault Conjur Synchronizer を再設定することは、DR サイトではなく新しい Leader サーバーで行うべきステップです。
サイトAのスタンバイをリーダーに昇格させるために自動フェイルオーバーをトリガーすることはできません。スタンバイ・ノードは手動フェイルオーバーを認識していないため、昇格要求を受け入れません。

説明
= CyberArk Sentry Secrets Manager のドキュメントによると、replace メソッドは既存のポリシー ブランチを新しいポリシー ファイルで上書きするために使用されます。このメソッドは、アノテーション、権限、属性の変更など、既存のリソースに変更を加える場合に適しています。replace メソッドは、リソースに関連付けられた既存のデータと秘密を保持しますが、新しいポリシー ファイルで定義されていないリソースはすべて削除します。したがって、Conjur ホストの認証の注釈を変更するには、replace メソッドが最適です。
append メソッドは、既存のリソースに影響を与えることなく、既存のポリシーブランチに新しいリソースまたはデータを追加するために使用されます。このメソッドは、新しいホスト、グループ、変数、シークレットを作成するのに適していますが、既存のものを変更するのには適していません。append メソッドは、アノテーションなどの既存のリソースへの変更を無視し、 新しいリソースやデータのみを読み込みます。
deleteメソッドは、他のリソースに影響を与えることなく、既存のポリシーブランチからリソースまたはデータを削除するために使用されます。このメソッドはホスト、グループ、変数、または秘密を削除するのに適していますが、それらを変更するのには適していません。delete メソッドはポリシーファイルに定義されているリソースやデータを削除し、 ポリシーファイルに定義されていないリソースやデータは無視します。
update メソッドは、リソース自体に影響を与えることなく、既存のリソースに関連付けられたデータや秘密を変更するために使用されます。このメソッドは、変数またはシークレットの値を変更するのに適していますが、リソースのアノテーション、パーミッション、または属性を変更するのには適していません。update メソッドは、ポリシー ファイルで定義されているデータまたはシークレットのみをロードし、ポリシー ファイルで定義されていないリソースまたはデータは無視されます。参照: = 注釈リファレンス | CyberArk Docs; ポリシーのロードモード | CyberArk Docs; ポリシー - docs.cyberark.com

説明

参考文献
CyberArk Sentry Secrets Manager
ドキュメンテーション: https://docs.cyberark.com/Portal/Content/Resources/_TopNav/cc_Portal.htm CyberArk Sentry Secrets Manager コース資料: https://training.cyberark.com/learn CyberArk ホワイトペーパーおよびテクニカルリソース: https://www.cyberark.com/resources/home/cyberark-secrets-manager 認証フローは、要求者が認証情報を Conjur に提示することから始まります。これは、ユーザ名とパスワード、API キー、またはその他のサポートされる方法のいずれかです。
Conjur は提示されたクレデンシャルを内部データベースで検証する。クレデンシャルが有効な場合、Conjurは短期間のアクセストークンを生成し、リクエスタに返す。
リクエスタは、Conjurリソースにアクセスするための後続のリクエストすべてにアクセストークンを含める。これにより、Conjurは要求者を識別し、設定されたポリシーに基づいて特定の秘密や機能へのアクセスを許可します。
最後に、各リクエストは、そのポリシーで定義されたConjur RBAC (Role-Based Access Control)ルールに対して評価される。これらのルールは、どのユーザーとロールが特定のリソースにアクセスでき、どのようなアクションを実行できるかを決定します。これらのルールに準拠したリクエストのみがアクセスを許可される。

説明
CCP Web Service をアップグレードする正しい手順は、D. CCP Web Service をアンインストールして再インストールすることです。CCP Web Service は、アプリケーションが REST API 呼び出しを使用して CyberArk Vault から秘密を取得できるようにする、CyberArk Central Credential Provider (CCP) のコンポーネントです。CCP Web Service をアップグレードするには、まず Windows Server Manager またはコントロールパネルから既存の CCP Web Service をアンインストールし、CyberArk Web サイトから最新のインストールパッケージを使用して CCP Web Service を再インストールする必要があります。インストール・パッケージには、クレデンシャル・プロバイダと CCP Web Service コンポーネントの両方が含まれており、AimWebService.msi ファイルを実行して CCP Web Service をインストールする必要があります。また、CCP Web サービスが正しい構成と権限を持っていること、および CCP サーバから CyberArk CRL（証明書失効リスト）が開いていることを確認する必要があります。
他のオプションは、CCP Web Service をアップグレードするための正しいプロセスではありません。CLIから "sudo yum update aimprv "を実行するのは、Linux上のクレデンシャル・プロバイダをアップデートするコマンドであり、Windows上のCCP Webサービスをアップデートするコマンドではありません。Credential Provider インストーラ実行ファイルをダブルクリックし、upgrade を選択すると、CCP Web Service ではなく、Windows 上の Credential Provider をアップグレードする処理が実行される。AimWebService.msiをダブルクリックしてアップグレードを選択しても、CCP Webサービスはアップグレードオプションをサポートしていないため、有効なオプションではありません。参考文献 = セントラルクレデンシャルプロバイダ(CCP)のアップグレード - CyberArk、セクション "セントラルクレデンシャルプロバイダ(CCP)のアップグレード" セントラルクレデンシャルプロバイダWebサービスの構成 - CyberArk、セクション "セントラルクレデンシャルプロバイダWebサービスの構成"

説明
Conjurフォロワーはリーダーの読み取り専用の複製であり、認証、認可、シークレット検索のクライアント要求に応えることができる。しかし、フォロワーはシークレット、ポリシー、ロールの作成、更新などの書き込み操作を行うことはできません。リーダーが利用できなくなると、フォロワーは最新のデータと同期できなくなり、最終的に陳腐化します。高可用性とデータの一貫性を確保するために、顧客は自動フェイルオーバクラスタを拡張して、各データセンターにスタンドバイを含める必要があります。スタンドバイもリーダーのレプリカですが、レプリケーションとプロモーションに参加することができます。1台のスタンバイは同期レプリケーション用に構成されており、リーダーと同じアップデートを同時に受信します。他のスタンバイは非同期レプリケーションに設定されており、リーダーからの更新を定期的に受信しますが、リアルタイムでは受信しません。リーダーに障害が発生した場合、同期スタンバイが自動的に昇格して新しいリーダーになり、非同期スタンバイの1つが新しい同期スタンバイになることができる。このようにして、顧客は、書き込み要求に対応し、異なるデータセンターにあるフォロワーと同期できる、常に最新のリーダーが存在することを保証できる。参考文献フォロワーのセットアップ、自動フェイルオーバークラスターのセットアップ、Conjurアーキテクチャとデプロイメントリファレンス