見出し画像

【全999問(301~400)】AWS認定ソリューションアーキテクトアソシエイト【AWS Certified Solutions Architect - Professional】SAP-C02の練習問題集と解析

合格トンカツ

◐301.1つのElastic Load Balancerが2つのEC2インスタンスに接続されるCloudFormationテンプレートを作成しました。スタック作成時にロードバランサーのDNSが返されるようにするためには、テンプレートのどのセクションを編集すべきですか?

選択肢:

A. Parameters
B. Outputs
C. Mappings
D. Resources

正解: B

解説:
CloudFormationテンプレートで特定のリソース(この場合はElastic Load Balancer)の情報をスタック作成後に取得したい場合、Outputs セクションを使用します。OutputsセクションにDNS名を指定することで、スタックの作成後にElastic Load BalancerのDNS名が返されるようにできます。

◐302.CloudFormationにおいて、Amazon Elastic Block StoreをAmazon EC2インスタンスにマッピングしたい場合、どのようにすればよいですか?

選択肢:

A. you reference the logical IDs to associate the block stores with the instance
(ブロックストアをインスタンスに関連付けるために論理IDを参照する)

B. you reference the physical IDs of the instance along with the resource type
(リソースタイプと共にインスタンスの物理IDを参照する)

C. you reference the instance IDs of the block store along with the resource properties
(リソースプロパティと共にブロックストアのインスタンスIDを参照する)

D. you reference the physical IDs of both the block stores and the instance
(ブロックストアとインスタンスの両方の物理IDを参照する)

正解: A

解説:
CloudFormationでAmazon Elastic Block Store (EBS) をAmazon EC2インスタンスにマッピングする場合、EBSボリュームとEC2インスタンスの両方をCloudFormationテンプレート内でリソースとして定義します。その際、EBSボリュームをインスタンスにアタッチするために、論理IDを使用してそれらの関連を確立します。論理IDは、テンプレート内でリソースを一意に識別するために使用され、物理IDではなくリソース間の関連を管理するために適しています。

◐303.ある組織がEC2インスタンスでアプリケーションをホストしており、複数の開発者が更新を行うためにアクセスする必要があります。組織はインスタンスアクセスに関連するセキュリティのベストプラクティスを実装する予定です。次のうち、セキュリティの向上に役立たない推奨事項はどれですか?

選択肢:

A. すべてのユーザーに対してパスワードベースのログインを無効にします。すべてのユーザーは、自分の鍵を使用してインスタンスに安全に接続する必要があります。
B. IAMポリシーを作成し、IAMユーザーのみが自身のSSHキーを使用してEC2インスタンスに接続できるようにします。
C. アプリケーションの設定のためにEC2インスタンスへの接続が不要になった場合、個々のユーザーのアクセス権を取り消す手順を作成します。
D. OSの最新パッチを適用し、常に更新を維持します。

正解: B

解説:
選択肢Bの「IAMポリシーを作成し、IAMユーザーのみが自身のSSHキーを使用してEC2インスタンスに接続できるようにする」という提案は、セキュリティの向上には役立ちません。これは、IAM自体がSSHキーを管理する仕組みを持っていないためです。AWS IAMはインスタンスのアクセス制御ではなく、AWSサービスへのアクセス管理を行うためのものであり、EC2インスタンスへのSSHアクセスには直接関連しません。その他の選択肢(A, C, D)は、インスタンスのセキュリティを向上させるためのベストプラクティスです。

◐304.ユーザーが2つのセキュリティグループを設定しており、それぞれ以下のようなトラフィックを許可しています:

  1. SecGrp1:

    • ポート80のインバウンドトラフィックを0.0.0.0/0から許可

    • ポート22のインバウンドトラフィックを0.0.0.0/0から許可

  2. SecGrp2:

    • ポート22のインバウンドトラフィックを10.10.10.1/32から許可

両方のセキュリティグループが同じインスタンスに関連付けられている場合、以下のうちどの記述が正しいですか?

選択肢:

A. It is not possible to have more than one security group assigned to a single instance
(1つのインスタンスに複数のセキュリティグループを割り当てることはできない)

B. It is not possible to create the security group with conflicting rules. AWS will reject the request
(矛盾するルールを持つセキュリティグループを作成することはできない。AWSはリクエストを拒否する)

C. It allows inbound traffic for everyone on both ports 22 and 80
(ポート22および80で全員のインバウンドトラフィックを許可する)

D. It allows inbound traffic on port 22 for IP 10.10.10.1 and for everyone else on port 80
(ポート22でIP 10.10.10.1のインバウンドトラフィックを許可し、ポート80では全員のインバウンドトラフィックを許可する)

正解: C

解説:
AWSセキュリティグループでは、1つのインスタンスに複数のセキュリティグループを割り当てることが可能です。また、セキュリティグループのルールは許可されたトラフィックの範囲を広げる方向に合算されます。このため、SecGrp1でポート22と80の両方について全てのIPアドレスからのアクセスが許可されているため、SecGrp2の制限的なルール(IP 10.10.10.1のみ)があっても、SecGrp1のルールが優先され、結果としてポート22および80で全てのIPアドレスからのインバウンドトラフィックが許可されます。

◐305.国際的な存在感を必要とするウェブサイトを次のようにセットアップしています:

  • 30台のEC2インスタンスでホスティングされている

  • 世界中の15のリージョンに分散されている。各リージョンには2つのインスタンスがある

  • すべてのインスタンスはパブリックホストゾーンにある

15のリージョンのうち1つが長時間にわたってネットワーク接続を失った場合に、最低限のダウンタイムで可用性を維持するために、次のうちどの方法が最適ですか?(2つ選択してください)

選択肢:

A. Create a Route 53 Latency Based Routing Record set that resolves to an Elastic Load Balancer in each region and has the Evaluate Target Health flag set to true.
(各リージョンのElastic Load Balancerに解決するRoute 53レイテンシーベースのルーティングレコードセットを作成し、Evaluate Target Healthフラグをtrueに設定する)

B. Create a Route 53 failover routing policy and configure an active-passive failover.
(Route 53フェイルオーバールーティングポリシーを作成し、アクティブ-パッシブフェイルオーバーを設定する)

C. Create a Route 53 Failover Routing Policy and assign each resource record set a unique identifier and a relative weight.
(Route 53フェイルオーバールーティングポリシーを作成し、各リソースレコードセットに一意の識別子と相対的な重みを割り当てる)

D. Create a Route 53 Geolocation Routing Policy that resolves to an Elastic Load Balancer in each region and has the Evaluate Target Health flag set to false.
(各リージョンのElastic Load Balancerに解決するRoute 53ジオロケーションルーティングポリシーを作成し、Evaluate Target Healthフラグをfalseに設定する)

正解: AB

解説:
A: Route 53のレイテンシーベースのルーティングを使用して、各リージョンのElastic Load Balancerにトラフィックを送ることで、ユーザーに最も低いレイテンシーを提供することができます。Evaluate Target Healthフラグをtrueに設定することで、ターゲットのヘルスチェックが有効になり、正常なインスタンスにのみトラフィックが送られるようになります。

B: フェイルオーバールーティングポリシーを使用してアクティブ-パッシブフェイルオーバーを設定することで、一つのリージョンがダウンした場合に、他のリージョンにトラフィックを自動的に切り替えることができます。これにより、障害が発生してもウェブサイトの可用性を維持することができます。

これらの方法を組み合わせることで、特定のリージョンがネットワーク接続を失った場合でも、ユーザーへの影響を最小限に抑え、可用性を高めることができます。

◐306.ユーザーがIPアドレス10.20.30.40/32からSSHポートでEC2インスタンスにアクセスしています。このIPアドレスのみからアクセスできるようにインスタンスを設定する安全な方法はどれですか?

選択肢:
A. セキュリティグループでポート22をIPアドレス10.20.30.40に対して開く
B. セキュリティグループでポート22をIPアドレス10.20.30.0に対して開く
C. セキュリティグループでポート22をIPアドレス10.20.30.40/32に対して開く
D. セキュリティグループでポート22をIPアドレス10.20.30.40/0に対して開く

正解:C.

解説:
選択肢Cは、特定のIPアドレス(10.20.30.40/32)からのみSSHアクセスを許可するための正しい方法です。この設定により、セキュリティグループがIPアドレス10.20.30.40からのポート22(SSH)へのアクセスのみを許可し、他のIPアドレスからのアクセスをブロックします。選択肢Aは、CIDR表記が不足しており、選択肢BとDは適切な範囲ではないため、安全な設定とは言えません。

◐307.インスタンスにタグを割り当てる際、以下の選択肢のうち、有効ではないタグキー/バリューペアはどれですか?

選択肢:

  • A. Key : "aws" Value:"aws"

  • B. Key: "aws

    1. " Value: "instanceAnswer: Aws"

  • C. Key: "Name

    1. " Value: "instanceAnswer: Aws"

  • D. Key : "nameAnswer: Aws" Value:"aws

    1. "

正解:B.

解説:
AWSタグのキーには「aws:」というプレフィックスを使用することが推奨されておらず、特定の予約済みプレフィックスとして扱われるため、カスタムタグで「aws:」で始まるキーは無効です。選択肢Bのタグキーはこのルールに違反しているため無効です。

◐308.通常のAmazon S3 APIを使用して、EC2スナップショットにアクセスできますか?

選択肢:

  • A. はい、スナップショットがS3に保存されるように選択した場合、S3 APIを使用してアクセスできます。

  • B. いいえ、スナップショットはAmazon EBS APIを通じてのみ利用可能です。

  • C. はい、すべてのスナップショットはS3に保存されるため、S3 APIを使用してアクセスできます。

  • D. いいえ、スナップショットはAmazon EC2 APIを通じてのみ利用可能です。

正解:D.

解説:
EC2スナップショットは、Amazon EC2 APIまたはAmazon EBS APIを使用して管理およびアクセスされます。スナップショットデータは内部的にはS3に保存されますが、通常のAmazon S3 APIを使用して直接アクセスすることはできません。したがって、EC2スナップショットにアクセスするには、EC2 APIを使用する必要があります。

◐309.あるユーザーがAWS AMIを作成しました。このユーザーは、AMIを友人だけに利用可能にし、それ以外の誰にもアクセスできないようにしたいと考えています。この場合、ユーザーはどのように管理すればよいでしょうか?

選択肢:

  • A. AMIをコミュニティと共有し、誰かがAMIを起動する前に承認ワークフローを設定する。

  • B. AMIを特定のユーザーと共有することはできません。

  • C. AMIを友人のAWSアカウントIDと共有する。

  • D. AMIを友人のAWSログインIDと共有する。

正解:
C. AMIを友人のAWSアカウントIDと共有する。

解説:
AWS AMIを特定のユーザーと共有する場合、ユーザーは共有相手のAWSアカウントIDを指定してAMIを共有できます。これにより、指定されたアカウントIDを持つユーザーのみがそのAMIにアクセスできます。AWSログインID(Dの選択肢)はAMIの共有に使用できません。

◐310.ユーザーが現在実行中のインスタンスと同じ設定で複数のEC2インスタンスを起動しようとしています。ユーザーが「Launch more like this」オプションを選択した場合、以下のパラメータのうち、Amazon EC2が起動ウィザードでコピーしないものはどれですか?

選択肢:
A. Termination protection
B. Tenancy setting
C. Storage
D. Shutdown behavior

正解: C

解説: 選択肢Cの「ストレージ」は、起動ウィザードで「Launch more like this」オプションを選択してもコピーされないパラメータです。その他のパラメータ(終了保護、テナンシー設定、シャットダウン動作)はコピーされますが、ストレージの設定は手動で再設定する必要があります。

ここから先は

39,997字
この記事のみ ¥ 500

ログイン

この記事が気に入ったらサポートをしてみませんか?