見出し画像

AWS認定アドバンストネットワーキング-スペシャリティ【ANS-C01版】100題 問題集全問解答+全問解説付き

AWS認定アドバンストネットワーキング-スペシャリティ【ANS-C01版】の過去問100題を全問解答+全問解説付き

AWS Certified Advanced Networking - Specialty(ANS-C01) の最新の問題になります。

筆者が実際に受験して、問題を収集し解答とその解説を全問付けております。
問題数は合計100題。
実際に受験し、重複問題や類似問題を削除しています。
この100問の問題の解答を理解できれば、ほぼ間違いなく、合格すると思います。

ここから問題と解答/解説になります。

100題、全問解答+全問解説付きになります。

1.

セキュリティグループとNACLで構成されたVPCでWebサーバーを実行している複数のAmazonElastic Compute Cloud(EC2)インスタンスがあります。インスタンス上のすべてのネットワークトラフィック(ACCEPT / REJECT)のレイヤー7プロトコルレベルのログを確認する必要があります。このタスクを完了するには何を有効にする必要がありますか?


A. インスタンスレベルでのパケットスニッフィング
B. VPCレベルでのパケットスニッフィング
C. VPCレベルでのCloudWatchログ
D. サブネットレベルでのVPCフローログ



正解:A

解説:

A. インスタンスレベルでのパケットスニッフィング 解説: 正解です。インスタンスレベルでのパケットスニッフィングは、そのインスタンスを通過するトラフィックをキャプチャし、分析することを可能にします。これにはレイヤー7プロトコルレベルの情報が含まれることがあり、通常は専門的な監視ツールを使って行われます。AWSでは、この目的のためにサードパーティのネットワーク監視ツールやパケットキャプチャツールをEC2インスタンスにインストールすることができます。

B. VPCレベルでのパケットスニッフィング 解説: VPCレベルでのパケットスニッフィングは、全VPCのトラフィックをキャプチャするという意味であり、レイヤー7の情報を直接得る手段ではありません。また、AWSの標準サービスとしてVPC全体にわたるパケットスニッフィング機能は提供されていません。セキュリティ上の理由から、ユーザーがAWSのインフラストラクチャ全体に対してパケットスニッフィングを行うことは許可されていないため、これは不正解です。

C. VPCレベルでのCloudWatchログ 解説: AWS CloudWatchは、メトリクス収集、ログ収集、アラーム設定などの管理サービスです。しかし、CloudWatchログはネットワークトラフィックのレイヤー7プロトコルレベルの情報を収集するものではありません。したがって、CloudWatchログを有効にしても、求められているトラフィックのレイヤー7プロトコルレベルのログを得ることはできません。

D. サブネットレベルでのVPCフローログ 解説: VPCフローログはAWSの機能で、VPCのネットワークインターフェイスを通過するIPトラフィックに関する情報をキャプチャし、それをCloudWatch LogsやAmazon S3に保存することができます。しかし、VPCフローログはレイヤー7の詳細な情報を提供するものではなく、ACCEPT/REJECTの決定だけでなく、元と宛先のIPアドレス、パケットサイズ、プロトコル番号などのレイヤー3とレイヤー4レベルの情報を記録します。レイヤー7プロトコルレベルのログを必要としているため、これも不正解です。


2.

次のオプションから、HTTPプロトコルの実装を正しく説明している回答を選択してください

A. 定義上、HTTPはコネクションレス型プロトコルであるため、TCPを利用します
B. 定義上、HTTPは接続指向のプロトコルであるため、TCPを利用します
C. 定義上、HTTPはコネクションレス型プロトコルであるため、UDPを利用します
D. 定義上、HTTPは、適切なHTTPヘッダーを指定することにより、コネクションレス型またはコネクションレス型のいずれかに構成できます。



正解:B

解説:

A. 定義上、HTTPはコネクションレス型プロトコルであるため、TCPを利用します この選択肢は誤っています。HTTPは、コネクションレス型プロトコルではなく、実際には接続指向のプロトコルです。これはHTTPが通信の確立のためにTCP/IPプロトコルの接続を利用することを意味します。

B. 定義上、HTTPは接続指向のプロトコルであるため、TCPを利用します この選択肢は正しいです。HTTP(Hypertext Transfer Protocol)は接続指向のプロトコルであり、信頼性の高いデータ転送を提供するTCP(Transmission Control Protocol)を使用しています。HTTPはクライアントとサーバー間でセッションを確立し、データ交換が完了するまで接続を維持します。

C. 定義上、HTTPはコネクションレス型プロトコルであるため、UDPを利用します この選択肢は誤っています。HTTPはコネクションレス型プロトコルではないため、UDP(User Datagram Protocol)を通常は使用しません。UDPは接続の確立が必要ないコネクションレスの通信で使用されますが、HTTPの信頼性のある通信には適していません。

D. 定義上、HTTPは、適切なHTTPヘッダーを指定することにより、コネクションレス型またはコネクションレス型のいずれかに構成できます。 この選択肢も誤っています。HTTPはプロトコルとしての基本的な性質をHTTPヘッダーを使って変更することはできません。HTTP/1.1では「keep-alive」メカニズムによってTCP接続を再利用することができますが、これはプロトコルがコネクションレスになるわけではなく、単に効率化のために接続を持続させるものです。

したがって、適切な回答はBです。


3.

会社のネットワークエンジニアはDNSトラフィックを評価および監視する必要があります会社はAmazonRouteを使用しています
53パブリックホストゾーンのDNSサービスとして将来の分析のためにすべてのDNSクエリをキャプチャする必要がありますこれらの要件を満たすために、ネットワークエンジニアは何をする必要がありますか?


A. AWS CloudTrailを使用して、Route53が受信するクエリに関する情報をAmazonCloudWatch LogsInsightsにログに記録します
B. AWS WAFを使用して、Route53が受信するクエリに関する情報をAmazonCloudWatchLogsに記録します
C. VPC Flow Logsを使用して、Route53が受信するクエリに関する情報をAmazonCloudWatch LogsInsightsに記録します
D. Route 53クエリログを使用して、Route53が受信するクエリに関する情報をAmazonCloudWatchLogsに記録します



正解:D

解説:

A. AWS CloudTrailを使用して、Route 53が受信するクエリに関する情報をAmazon CloudWatch Logs Insightsにログに記録します AWS CloudTrailは主にAWSアカウントのガバナンス、コンプライアンス、運用監視、およびリスク監査をサポートするサービスです。CloudTrailはAWSマネージメントコンソールのアクション、API呼び出し、その他のAWSサービスのイベントを記録しますが、Route 53のDNSクエリの内容を直接キャプチャするものではありません。

B. AWS WAFを使用して、Route 53が受信するクエリに関する情報をAmazon CloudWatch Logsに記録します この選択肢は誤っています。AWS WAFはウェブアプリケーションファイアウォールであり、特定のHTTP(S)リクエストを監視し、定義した条件に基づいて許可またはブロックすることができます。しかし、DNSクエリはHTTPリクエストではないため、Route 53のDNSクエリをキャプチャするためにAWS WAFを使用することはできません。

C. VPC Flow Logsを使用して、Route 53が受信するクエリに関する情報をAmazon CloudWatch Logs Insightsに記録します VPC Flow Logsは、AWS Virtual Private Cloud (VPC) 内のネットワークインタフェースを通過するIPトラフィックの情報をキャプチャします。Route 53のDNSクエリは、VPC内の特定のネットワークインタフェースを介していない限り、VPC Flow Logsでキャプチャされることはありません。一般的にRoute 53のクエリはVPCフローログではなく、Route 53固有のログを使用して監視されます。

D. Route 53クエリログを使用して、Route 53が受信するクエリに関する情報をAmazon CloudWatch Logsに記録します Route 53 クエリログはRoute 53のDNSクエリをログに記録するための機能です。この機能を使用すると、Route 53が受信するすべてのDNSクエリをキャプチャして、Amazon CloudWatch Logsにログとして保存できます。これにより、将来の分析のために必要なデータを収集できます。この選択肢が最も適切で、要件を満たすためにネットワークエンジニアが取るべきステップです。


4,

あなたの会社はNTPサーバーを使用してシステム間で時刻を同期しています。同社は、LinuxおよびWindowsシステムの複数のバージョンを実行しています。NTPサーバーに障害が発生したことがわかり、インスタンスに代替NTPサーバーを追加する必要があります。
実行中のインスタンスを再起動せずに情報を伝達するには、NTPサーバーの更新をどこに適用する必要がありますか?
A. DHCPオプションセット
B. インスタンスユーザーデータ
C. cfn-initスクリプト
D. インスタンスメタデータ



正解:A

解説:

A. DHCPオプションセットは、AWS内でEC2インスタンスがネットワーク上で自動的に設定を取得する際に使用される設定の集まりです。これにはNTPサーバーのアドレスを含めることができます。インスタンスは通常、起動時やネットワークの変更があったときにDHCPから設定を取得するため、既存のインスタンスは、インターフェースが再起動された時(例えば、インスタンスが停止されずにネットワークインターフェースがデタッチされて再アタッチされた場合)に新しいDHCPオプションセットの設定を取得します。ただし、この方法は即時にすべてのインスタンスに影響を与えるわけではなく、ネットワークリースが更新されるのを待つ必要があります。

B. インスタンスユーザーデータは、インスタンスの起動時にのみ実行されるスクリプトや設定情報を提供するために使用されます。NTPサーバーの情報を更新するためには、インスタンスが起動されるたびに適用されるため、実行中のインスタンスには影響しません。

C. cfn-initスクリプトは、AWS CloudFormationによってインスタンスが起動する際に、メタデータに基づいてソフトウェアのインストールやスタートアップスクリプトの実行などの設定を行うために使用されます。既に実行中のインスタンスには影響を与えないため、この選択肢はNTPサーバーの更新には適用されません。

D. インスタンスメタデータは、実行中のEC2インスタンスに関する情報を提供するサービスです。NTPサーバーの情報のような設定をインスタンスに伝達するために使用することはできません。


5.
AWSのVPCにおいて、インターネットゲートウェイ(IGW)を使用する場合、どのようなルートテーブルの設定が必要ですか?

A. ルートテーブルに、IGWをターゲットとするデフォルトルート(0.0.0.0/0)を追加する。
B. ルートテーブルに、VPCのCIDRブロックをターゲットとするルートを追加する。
C. ルートテーブルに、VPC内のサブネットのCIDRブロックをターゲットとするルートを追加する。
D. ルートテーブルに、IGWをターゲットとするVPCピアリング接続のルートを追加する。

解答: A

解説:
A. IGWを使用してVPCからインターネットにアクセスするには、ルートテーブルにIGWをターゲットとするデフォルトルート(0.0.0.0/0)を追加する必要があります。これにより、VPC内のリソースからインターネットへのトラフィックがIGWに向けられます。

B. VPCのCIDRブロックをターゲットとするルートは、VPC内の通信には使用されますが、インターネットへのアクセスには使用されません。

C. サブネットのCIDRブロックをターゲットとするルートは、サブネット内の通信には使用されますが、インターネットへのアクセスには使用されません。

D. VPCピアリング接続のルートは、別のVPCとの通信に使用されます。IGWを使用してインターネットにアクセスする場合には必要ありません。


6.

あなたの会社は、クラウドでADデータをホストするための安価なソリューションを必要としています。ADのすべての機能を必要とするわけではありませんが、WorkSpacesで使用できる必要があります。最善の解決策は何ですか?正しい答えを選びなさい:


A. ADコネクタ
B. ホストされたMicrosoft AD
C. シンプルAD
D. ADサーバーをM3.largeインスタンスにデプロイします



正解:C

解説:

A. ADコネクタは、既存のオンプレミスActive DirectoryとAWSクラウドリソースとの間でディレクトリ統合を提供するAWSサービスです。これにより、オンプレミスのADを使用してAWSリソースへのアクセスを管理できますが、これ自体がADデータをホストするソリューションではありません。

B. ホストされたMicrosoft ADは、AWS上でフルマネージドの実際のMicrosoft Active Directoryを提供します。これは、Active Directoryに依存する複雑なアプリケーションや、グループポリシーやActive Directory連携などフルセットの機能が必要な場合に適していますが、コストはシンプルADよりも高いです。

C. シンプルADは、Samba 4をベースにしたフルマネージドなディレクトリサービスで、基本的なActive Directory機能を提供します。ADのすべての機能を必要としない場合に、安価な選択肢として適しており、AWS WorkSpacesを含む多くのAWSサービスと統合することができます。費用効率と基本的な機能を考慮すると、このオプションが最も適していると考えられます。

D. オンプレミスのADサーバーと同様にAWS上にADサーバーをデプロイすることは可能ですが、これにはM3.largeインスタンスよりも適したインスタンスタイプがありますし、必要に応じてより小さなインスタンスや異なるファミリーを選択することもできます。しかしながら、これは一般的にコストが高くなり、また管理のオーバーヘッドも考慮する必要があります。クラウドでADデータをホストするための安価なソリューションという要件には適していないため、最善の解決策とは言えません。


7.
AWSのDirect Connectを使用する際、Virtual Interface (VIF) を作成する必要があります。次のうち、プライベートVIFの特徴として正しいものはどれですか?

A. プライベートVIFは、Direct Connectを介してお客様のオンプレミスネットワークとAWSのパブリックサービス(Amazon S3など)を接続するために使用される。
B. プライベートVIFは、Direct Connectを介してお客様のオンプレミスネットワークとお客様のVPC内のリソースを接続するために使用される。
C. プライベートVIFは、802.1Qトランキングを使用して、複数のVPCを単一の物理接続で接続することができる。
D. プライベートVIFは、IPsecトンネルを使用して、お客様のオンプレミスネットワークとAWS間のセキュアな接続を提供する。

解答: B

解説:
A. パブリックVIFは、Direct Connectを介してお客様のオンプレミスネットワークとAWSのパブリックサービスを接続するために使用されます。プライベートVIFは、お客様のVPC内のリソースに接続するために使用されます。

B. プライベートVIFは、Direct Connectを介してお客様のオンプレミスネットワークとお客様のVPC内のリソースを接続するために使用されます。これにより、オンプレミスとVPC間の安全な接続が確立されます。

C. トランジットVIFは、802.1Qトランキングを使用して、複数のVPCを単一の物理接続で接続することができます。プライベートVIFは、単一のVPCへの接続に使用されます。

D. IPsecトンネルは、AWS Site-to-Site VPN接続で使用されます。Direct ConnectのプライベートVIFは、専用の物理接続を使用してセキュアな接続を提供します。


8.
AWS VPCでプライベートサブネットにあるインスタンスがインターネットにアクセスできるようにするために、以下のうち最も適切な方法はどれですか?

A. プライベートサブネットにInternet Gateway(IGW)をアタッチする。
B. プライベートサブネットにElastic IP(EIP)を割り当てる。
C. プライベートサブネットにNAT Gateway(NGW)を配置する。
D. プライベートサブネットにVirtual Private Gateway(VGW)を設定する。

解答: C

解説:
A. Internet Gateway(IGW)は、VPCとインターネット間の通信を可能にしますが、プライベートサブネットに直接アタッチすることはできません。IGWはパブリックサブネットに関連付ける必要があります。

B. Elastic IP(EIP)は、インスタンスにパブリックIPアドレスを割り当てるために使用されますが、プライベートサブネットのインスタンスにEIPを割り当てても、インターネットへのアクセスは提供されません。

C. NAT Gateway(NGW)は、プライベートサブネットのインスタンスがインターネットにアクセスできるようにするために最も適切な方法です。NGWをパブリックサブネットに配置し、プライベートサブネットのルートテーブルを更新して、インターネット宛てのトラフィックをNGWに向けます。

D. Virtual Private Gateway(VGW)は、オンプレミスネットワークとVPC間のVPN接続を確立するために使用されます。VGWは、プライベートサブネットのインスタンスにインターネットアクセスを提供するためのソリューションではありません。


9.

組織は、AmazonEMRサービスを使用して機密情報を処理したいと考えています。情報はオンプレミスデータベースに保存されます。処理の出力は、お客様が所有するAmazon S3バケットにアップロードされる前に、AWSKMSを使用して暗号化されます。現在の構成には、オンプレミスネットワークへのVPN接続を備えたパブリックサブネットとプライベートサブネットを備えたVPSが含まれています。セキュリティ組織は、AmazonEC2インスタンスをパブリックサブネットで実行することを許可していません。
組織の目標を達成するための最もシンプルで安全なアーキテクチャは何ですか?


A. 既存のVPCを使用し、AmazonS3エンドポイントを使用してプライベートサブネットでAmazonEMRを設定します。
B. 既存のVPSとNATゲートウェイを使用し、AmazonS3エンドポイントを使用してプライベートサブネットでAmazonEMRを設定します。
C. IGWを使用せずに新しいVPSを作成し、AmazonS3エンドポイントを使用してプライベートサブネットでVPNとAmazonEMRを設定します。
D. IGWなしで新しいVPSを作成し、AmazonS3エンドポイントとNATゲートウェイを備えたプライベートサブネットでVPNとAmazonEMRを設定します。



正解:B

解説:

A. この選択肢は、既存のVPC内のプライベートサブネットでAmazon EMRを設定すると述べています。Amazon S3エンドポイントはVPC内のリソースがインターネットを経由せずにAmazon S3と通信するために使用されます。しかし、EMRがインターネットにアクセスするためにNATゲートウェイが必要な場合、この選択肢だけでは不完全です。

B. 既存のVPCを使用し、プライベートサブネット内のAmazon EMRがインターネットアクセスを必要とするサービスに到達するためにNATゲートウェイを利用し、Amazon S3エンドポイントを使用してS3サービスとの通信をプライベートに保つアーキテクチャを提案しています。これは、インターネットアクセスを必要とするが、EMRクラスターを直接インターネットに露出させたくないシナリオに適しています。

C. この選択肢は、インターネットゲートウェイ(IGW)を使用せずに新しいVPCを作成し、プライベートサブネットでVPNを介してオンプレミスネットワークに接続し、Amazon S3エンドポイントを使用すると提案しています。これは、EMRが外部と通信する必要がある場合には適切ではありません。

D. IGWなしで新しいVPCを作成し、プライベートサブネットにNATゲートウェイとVPNを設定し、Amazon S3エンドポイントを使用するというアプローチです。これは、EMRクラスターがインターネットアクセスを必要とする場合や、オンプレミスネットワークと通信する必要がある場合には有効な選択ですが、既存のVPCを利用しないため、最もシンプルなアーキテクチャとは言えません。

正解のBは、セキュリティの要件(パブリックサブネットでのEC2実行の禁止)に適合し、EMRインスタンスが必要なサービスに安全にアクセスするために必要なコンポーネント(NATゲートウェイとS3エンドポイント)を含んでいます。


10.
AWS Transit Gateway(TGW)を使用する際、以下のうちTGWのルートテーブルに関する正しい説明はどれですか?

A. TGWのルートテーブルは、VPCごとに自動的に作成され、カスタマイズすることはできない。
B. TGWのルートテーブルは、アタッチされたVPCのCIDRブロックを自動的に伝播し、他のルートを手動で追加することはできない。
C. TGWのルートテーブルは、アタッチされたVPCのCIDRブロックを自動的に伝播せず、すべてのルートを手動で追加する必要がある。
D. TGWのルートテーブルは、アタッチされたVPCのCIDRブロックを自動的に伝播し、必要に応じて他のルートを手動で追加することができる。

解答: D

解説:
A. TGWのルートテーブルは自動的に作成されませんが、ユーザーが作成し、カスタマイズすることができます。

B. TGWのルートテーブルは、アタッチされたVPCのCIDRブロックを自動的に伝播しますが、他のルートを手動で追加することも可能です。

C. TGWのルートテーブルは、アタッチされたVPCのCIDRブロックを自動的に伝播します。すべてのルートを手動で追加する必要はありません。

D. TGWのルートテーブルは、アタッチされたVPCのCIDRブロックを自動的に伝播し、必要に応じて他のルートを手動で追加することができます。これにより、柔軟なルーティング設定が可能になります。

ここから先は

57,363字
この記事のみ ¥ 2,000

この記事が気に入ったらサポートをしてみませんか?