【全999問(901~1000)】AWS認定ソリューションアーキテクトアソシエイト【AWS Certified Solutions Architect - Professional】SAP-C02の練習問題集と解析
◐901.会社がアプリケーションをAWSクラウドに移行しています。各アプリケーションは移行後にそれぞれのAWSアカウントに配置されます。アプリケーションはAmazon EC2 Linuxインスタンスでホストされ、シェルでの管理アクセスが必要です。会社の管理者はAWS CLIを使用して、自分のラップトップからAWSおよびEC2インスタンスと対話したいと考えています。会社はSSHアクセスキーが失われたり公開されたりするリスクを懸念しており、長期的なキーの使用を避けたいと考えています。どの組み合わせのステップを推奨しますか?
選択肢: A. 各アプリケーションのサブアカウントとクロスアカウントロールを作成します。ユーザーを作成し、クロスアカウントロールをユーザーに割り当てます。ユーザーに初期認証情報を提供します。
B. AWS Single Sign-Onを構成し、ユーザーを作成します。アプリケーションアカウントへのアクセスが必要なユーザーに対して、パーミッションセットを割り当てます。ユーザーに初期認証情報を提供します。
C. AWS Organizationsで全機能を有効にして組織を作成し、各アプリケーションをホストするためのサブアカウントを作成します。
D. AWS Lambda関数を作成し、30日ごとにユーザーアクセスキーをローテーションします。
E. AWS Lambda関数を作成し、30日ごとにEC2インスタンスのSSHキーをローテーションします。
正解: B
解説: AWS Systems Manager Session Managerを使用することで、SSHキーを使用せずにEC2インスタンスへのシェルアクセスを得ることができます。これにより、長期的なキーの管理やリスクを回避できます。また、AWS SSOを使用することで、ユーザーのアクセス管理を一元化し、認証のセキュリティを高めることができます。
◐902.会社が新しいポリシーを導入し、従業員が自宅からリモートで作業できるように、VPNを使用して接続することを許可しています。会社は複数のAWSアカウントにVPCをホストしており、現在、これらのアプリケーションはAWS Site-to-Site VPN接続を通じて会社のオンプレミスオフィスネットワークからアクセス可能です。会社の主要なAWSアカウントには、他のAWSアカウントのVPCとピアリング接続が確立されています。ソリューションアーキテクトは、従業員が自宅で作業する際に使用できるスケーラブルなAWS Client VPNソリューションを設計する必要があります。どの解決策が最もコスト効率が良いでしょうか?
選択肢: A. 各AWSアカウントにClient VPNエンドポイントを作成し、内部アプリケーションへのアクセスを許可するために必要なルーティングを構成します。
B. 主要なAWSアカウントにClient VPNエンドポイントを作成し、内部アプリケーションへのアクセスを許可するために必要なルーティングを構成します。
C. 主要なAWSアカウントにClient VPNエンドポイントを作成し、各AWSアカウントに接続されたトランジットゲートウェイをプロビジョニングし、内部アプリケーションへのアクセスを許可するために必要なルーティングを構成します。
D. 主要なAWSアカウントにClient VPNエンドポイントを作成し、Client VPNエンドポイントとAWS Site-to-Site VPNの接続を確立します。
正解: B
解説: 主要なAWSアカウントにClient VPNエンドポイントを作成し、必要なルーティングを構成することで、複数のAWSアカウントにホストされている内部アプリケーションへのアクセスを確保しながら、コストを最小限に抑えることができます。これにより、全てのVPCに対して個別にClient VPNエンドポイントを作成する必要がなく、管理の手間も削減されます。
◐903.会社のソリューションアーキテクトがAWS上でアプリケーションの災害復旧(DR)ソリューションを設計しています。アプリケーションはPostgreSQL 11.7をデータベースとして使用しています。会社には30秒のRPO(Recovery Point Objective)があり、ソリューションアーキテクトはプライマリーデータベースをus-east-1リージョンに、フェイルオーバーデータベースをus-west-2リージョンに設置する必要があります。
最小限のアプリケーション変更でこれらの要件を満たすためには、ソリューションアーキテクトは何をすべきですか?
選択肢: A. データベースをAmazon RDS for PostgreSQLに移行し、us-east-1でプライマリインスタンスをセットアップします。us-west-2でリードレプリカを設定し、RDSデータベースの管理RPOを30秒に設定します。
B. データベースをAmazon RDS for PostgreSQLに移行し、us-east-1でプライマリインスタンスをセットアップします。us-west-2のアベイラビリティーゾーンにスタンバイレプリカを設定し、RDSデータベースの管理RPOを30秒に設定します。
C. データベースをAmazon Aurora PostgreSQLグローバルデータベースに移行し、プライマリリージョンをus-east-1、セカンダリーリージョンをus-west-2に設定します。Auroraデータベースの管理RPOを30秒に設定します。
D. データベースをAmazon DynamoDBに移行し、us-east-1でグローバルテーブルをセットアップし、us-west-2にレプリカテーブルを作成します。
正解: C
解説:
C. Amazon Aurora PostgreSQLグローバルデータベースを使用すると、グローバルに分散されたデータベースを持ち、RPOを30秒に設定することができます。これにより、アプリケーションの最小限の変更で災害復旧ソリューションを提供できます。他の選択肢は、要件に対するRPOの要件やリージョン間のデータ同期に関して最適ではありません。
◐904.マルチプレイヤーオンラインゲームを設計している会社が、ユーザーベースをヨーロッパ外に拡大したいと考えています。会社はゲームのライブおよびインタラクティブセッションを維持するために大量のUDPトラフィックを転送しており、急速な拡張計画があります。ユーザーに最適化されたオンライン体験を提供するために、どのアーキテクチャが最も低いレイテンシーで要件を満たすでしょうか?
選択肢: A. 単一のAWSリージョン内にMulti-AZ環境を設定し、Amazon CloudFrontを使用してユーザーセッションをキャッシュします。
B. 複数のAWSリージョンに環境を設定し、AWS Global Acceleratorでアクセラレーターを作成し、異なるリージョンからエンドポイントを追加します。
C. 複数のAWSリージョンに環境を設定し、Amazon Route 53を使用してレイテンシーベースのルーティングを選択します。
D. 単一のAWSリージョン内にMulti-AZ環境を設定し、AWS Lambda@Edgeを使用してユーザーに近い場所でセッションを更新します。
正解: B
解説: AWS Global Acceleratorを使用して、複数のリージョンに配置されたエンドポイントからトラフィックを最適化することで、ユーザーに対して最も低いレイテンシーを提供できます。Global Acceleratorは、ユーザーの最寄りのAWSグローバルネットワークに接続し、最適なパスを選択してトラフィックをルーティングするため、UDPトラフィックのパフォーマンスが向上し、オンライン体験が最適化されます。
◐905.会社はAWS Control Towerを使用してマルチアカウントAWS環境を設定しています。AWS Control Towerが作成する各AWSアカウントには独自のVPCがあります。会社は多くのマイクロサービスと統合するアプリケーションを開発しており、特定のアカウントにアプリケーションをホストすることに決定しました。マイクロサービスはAmazon EC2インスタンスで展開し、複数のAWSアカウントにわたって実装します。マイクロサービス間の高い相互接続性が必要です。アプリケーションがマイクロサービスとプライベートに通信できるようにし、コストと運用のオーバーヘッドを最小限に抑えたソリューションはどれですか?
選択肢: A. AWS VPN CloudHubを使用してアプリケーションVPCとすべての他のVPCを接続します。仮想プライベートゲートウェイを使用して、すべてのVPC間のトラフィックフローを提供します。
B. アプリケーションVPCとすべての他のVPC間にVPCピアリング接続を作成します。セキュリティグループとルートテーブルを更新して、すべてのVPC間のトラフィックフローを許可します。
C. アプリケーションアカウントにトランジットゲートウェイを作成します。アプリケーションVPCとすべての他のVPCをトランジットゲートウェイにアタッチします。トランジットゲートウェイルートテーブルを作成して、VPC間のトラフィックをルーティングします。
D. AWS Resource Access Manager(AWS RAM)を使用してアプリケーションVPCを他のAWSアカウントと共有します。共有VPCにマイクロサービスを展開します。
正解: D
解説: AWS Resource Access Manager(AWS RAM)を使用してアプリケーションVPCを他のAWSアカウントと共有することで、マイクロサービスを同じVPC内に展開し、プライベート通信を実現できます。この方法は、VPC間の通信を一元化し、コストと運用のオーバーヘッドを最小限に抑えることができます。
◐906.会社はリフト・アンド・シフト戦略を使用して、複数のオンプレミスWindowsサーバーをAWSに移行しています。Windowsサーバーはus-east-1リージョンのAmazon EC2インスタンスでホストされます。会社のセキュリティポリシーでは、サーバーへの移行ツールのインストールが許可されています。移行データは、転送中と保存中に暗号化する必要があります。アプリケーションはビジネスクリティカルであり、カットオーバーウィンドウと移行によるダウンタイムを最小限に抑えたいと考えています。会社はAmazon CloudWatchとAWS CloudTrailを使用して監視を行いたいと考えています。
どのソリューションがこれらの要件を満たすでしょうか?
選択肢: A. AWS Application Migration Service(CloudEndure Migration)を使用して、WindowsサーバーをAWSに移行します。レプリケーション設定テンプレートを作成し、ソースサーバーにAWS Replication Agentをインストールします。
B. AWS DataSyncを使用して、WindowsサーバーをAWSに移行します。ソースサーバーにDataSyncエージェントをインストールします。ターゲットサーバーのためにブループリントを構成し、レプリケーションプロセスを開始します。
C. AWS Server Migration Service(AWS SMS)を使用して、WindowsサーバーをAWSに移行します。ソースサーバーにSMS Connectorをインストールします。ソースサーバーをAWSにレプリケートし、レプリケートされたボリュームをAMIに変換してEC2インスタンスを起動します。
D. AWS Migration Hubを使用して、WindowsサーバーをAWSに移行します。Migration Hubでプロジェクトを作成し、組み込みのダッシュボードを使用してサーバー移行の進捗状況を追跡します。
正解: D
解説:
D. AWS Migration Hubは、移行プロジェクトの追跡と管理に役立ちます。移行の進捗を一元的に監視し、リフト・アンド・シフトの移行戦略においてカットオーバーウィンドウとダウンタイムを最小限に抑えるためのダッシュボードを提供します。他の選択肢は、要件に合わせたデータの暗号化やダウンタイムの最小化に関する要件を直接満たしていないか、完全に一致していません。
◐907.会社はAWS Cloudで画像処理サービスを運用しています。ユーザーが画像をAmazon S3バケットにアップロードすると、複数のAWS Lambda関数に基づくマイクロサービスが画像に対して異なる処理タスクを実行する必要があります。各タスクの処理は、画像がアップロードされると直ちに開始されなければなりません。この要件を満たすソリューションはどれですか?
選択肢: A. 各マイクロサービスを構成して、Lambda関数を宛先としてS3イベント通知を作成します。
B. Amazon S3のためにAWS CloudTrailイベントログを構成します。CloudTrailを通じてPutObject API呼び出しに一致するイベントパターンを持つAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。ルールのターゲットとして各マイクロサービスのLambda関数を登録します。
C. S3イベント通知に対してPutObjectイベントのイベントパターンを持つAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。ルールのターゲットとしてAmazon Simple Queue Service(Amazon SQS)キューを登録します。SQSキューからマイクロサービスのLambda関数を呼び出します。
D. S3イベント通知を作成し、Amazon Simple Notification Service(Amazon SNS)トピックを宛先として設定します。各マイクロサービスのLambda関数に対してSNSサブスクリプションを作成します。
正解: D
解説: Amazon S3イベント通知を設定し、Amazon SNSトピックを宛先として指定することで、画像がアップロードされるとSNSトピックに通知が送信されます。各マイクロサービスのLambda関数をSNSサブスクリプションとして設定することで、画像がアップロードされると各Lambda関数が直ちに呼び出され、処理が開始されます。これにより、各Lambda関数が画像アップロードに対して即時に反応し、必要な処理を行うことができます。
◐908.会社は複数のAWSアカウントを単一のAWSリージョンで使用しています。ソリューションアーキテクトは、AppDev、AppTest、およびAppProdアカウントで生成されたElastic Load Balancer(ELB)のログを統合するソリューションを設計しています。ログは、中央のAWSアカウントにある既存のAmazon S3バケット(s3-elb-logs)に保存する必要があります。中央アカウントはログ統合専用で、ELBは展開されていません。ELBのログは、保存時に暗号化される必要があります。
どの組み合わせのステップがこのソリューションを構築するのに適していますか?(2つ選択してください)
選択肢: A. s3-elb-logsバケットのS3バケットポリシーを更新し、s3
アクションを中央AWSアカウントIDに許可します。
B. s3-elb-logsバケットのS3バケットポリシーを更新し、s3およびs3アクションをAppDev、AppTest、およびAppProdアカウントIDに許可します。
C. s3-elb-logsバケットのS3バケットポリシーを更新し、s3アクションをAppDev、AppTest、およびAppProdアカウントIDに許可します。
D. ELBのアクセスログを有効にし、S3の保存先をs3-elb-logsバケットに設定します。
E. s3-elb-logs S3バケットに対して、SSE-S3(S3管理型暗号化キー)を使用したサーバーサイド暗号化のデフォルト暗号化を有効にします。
正解: C, E
解説:
C. s3-elb-logsバケットのS3バケットポリシーを更新して、AppDev、AppTest、およびAppProdアカウントIDに対してs3
アクションを許可します。これにより、これらのアカウントからのELBログのアップロードが許可されます。
E. s3-elb-logs S3バケットに対して、SSE-S3を使用したサーバーサイド暗号化のデフォルト暗号化を有効にします。これにより、保存されるログが暗号化され、セキュリティ要件を満たします。
他の選択肢は以下の理由で適切ではありません:
A: s3:PutBucketLogging アクションはバケットロギングの設定に関するものであり、ELBログのアップロードには関係ありません。
B: s3:DeleteObject アクションは不要であり、ELBログのアップロードに必要なアクションは s3:PutObject のみです。
D: ELBのアクセスログの設定は、ログを保存するS3バケットの設定ではなく、ELB側で行う必要がありますが、S3バケットにログを保存するためにはバケットポリシーの設定が必要です。
◐909.医療会社は、一連のAmazon EC2インスタンスでREST APIを実行しています。EC2インスタンスはAuto Scalingグループ内で、Application Load Balancer (ALB) の背後にあります。ALBは3つのパブリックサブネットで動作し、EC2インスタンスは3つのプライベートサブネットで動作しています。会社はALBを唯一のオリジンとするAmazon CloudFrontディストリビューションを展開しています。オリジンのセキュリティを強化するために、ソリューションアーキテクトはどのソリューションを推奨すべきですか?
選択肢: A. AWS Secrets Managerにランダムな文字列を保存します。自動的な秘密のローテーションのためにAWS Lambda関数を作成します。CloudFrontを構成して、オリジンリクエストのカスタムHTTPヘッダーとしてランダムな文字列を挿入します。AWS WAFウェブACLルールを作成し、カスタムヘッダーの文字列一致ルールを設定します。ウェブACLをALBに関連付けます。
B. AWS WAFウェブACLルールを作成し、CloudFrontサービスのIPアドレス範囲のIP一致条件を設定します。ウェブACLをALBに関連付けます。ALBを3つのプライベートサブネットに移動します。
C. AWS Systems Manager Parameter Storeにランダムな文字列を保存します。文字列の自動ローテーションのためにParameter Storeを構成します。CloudFrontを構成して、オリジンリクエストのカスタムHTTPヘッダーとしてランダムな文字列を挿入します。カスタムHTTPヘッダーの値を検査し、ALBでアクセスをブロックします。
D. AWS Shield Advancedを構成します。CloudFrontサービスのIPアドレス範囲からの接続を許可するセキュリティグループポリシーを作成します。ポリシーをAWS Shield Advancedに追加し、そのポリシーをALBにアタッチします。
正解: B
解説: AWS WAFウェブACLルールを使用して、CloudFrontサービスのIPアドレス範囲からのリクエストのみを許可するIP一致条件を設定することで、ALBのオリジンにアクセスできるのはCloudFrontからのリクエストのみになります。これにより、ALBが直接インターネットからアクセスされることを防ぎ、オリジンのセキュリティを強化することができます。また、ALBをプライベートサブネットに移動することで、さらなるセキュリティが提供されます。
◐910.会社はAWS Step Functionsを使用して機械学習モデルの夜間再訓練を自動化しています。ワークフローは複数のステップで構成されており、各ステップはAWS Lambdaを使用しています。各ステップが失敗すると、全体のワークフローも失敗します。レビューにより、再訓練が複数の夜連続して失敗し、会社がその失敗に気付いていないことが判明しました。ソリューションアーキテクトは、再訓練プロセスのすべての失敗に対して通知が送信されるようにワークフローを改善する必要があります。
どの組み合わせのステップがこの要件を満たすために必要ですか?(3つ選択してください)
選択肢: A. Amazon Simple Notification Service (Amazon SNS)トピックを作成し、チームのメールリストをターゲットにする「Email」タイプのサブスクリプションを作成します。
B. 「Email」という名前のタスクを作成し、入力引数をSNSトピックに転送します。
C. 「ErrorEquals": [ "States.ALL" ] および "Next": "Email" のステートメントを持つすべてのTask、Map、Parallel状態にCatchフィールドを追加します。
D. Amazon Simple Email Service (Amazon SES)に新しいメールアドレスを追加し、メールアドレスを検証します。
E. 「Email」という名前のタスクを作成し、入力引数をSESメールアドレスに転送します。
F. 「ErrorEquals": [ "States.Runtime" ] および "Next": "Email" のステートメントを持つすべてのTask、Map、Parallel状態にCatchフィールドを追加します。
正解: A, B, C
解説:
A. Amazon SNSトピックを作成し、チームのメールリストをターゲットにするサブスクリプションを作成します。これにより、通知がメールで送信されます。
B. 「Email」という名前のタスクを作成し、入力引数をSNSトピックに転送します。これにより、失敗時にSNS通知がトリガーされます。
C. 「ErrorEquals": [ "States.ALL" ] および "Next": "Email" のステートメントを持つすべてのTask、Map、Parallel状態にCatchフィールドを追加します。これにより、すべての失敗をキャッチし、SNS通知が送信されるようになります。
他の選択肢は以下の理由で適切ではありません:
D. SESはメール送信のためのサービスであり、SNS通知の構成には不要です。
E. SESではなく、SNSを使用して通知を送信します。SESは主にメールの送受信に使用されるため、ここでは不適切です。
F. 「States.Runtime」ではなく、すべてのエラーに対応する「States.ALL」を使用する必要があります。
この記事が気に入ったらサポートをしてみませんか?