【全999問(701~800)】AWS認定ソリューションアーキテクトアソシエイト【AWS Certified Solutions Architect - Professional】SAP-C02の練習問題集と解析
◐701.会社は、何千ものセンサーが毎分Amazon Simple Queue Service (Amazon SQS) キューにデータを書き込むセンサーデータ収集パイプラインを構築しています。キューはAWS Lambda関数によって処理され、センサーデータから標準的なメトリクスを抽出します。データをAmazon CloudWatchに送信し、個々のセンサーメトリクスや集約メトリクスを表示し、CloudWatch Logs Insightsを使用してセンサーログデータを対話的にクエリできるようにする必要があります。この要件を最も費用効果の高い方法で満たすソリューションはどれですか?
選択肢:
A. 処理済みデータをCloudWatchの埋め込みメトリック形式でCloudWatch Logsに書き込みます。
B. 処理済みデータをCloudWatch Logsに書き込みます。次に、PutMetricData API呼び出しを使用してデータをCloudWatchに書き込みます。
C. 処理済みデータを構造化形式でCloudWatch Logsに書き込みます。CloudWatchメトリックフィルタを作成してログを解析し、センサーを一意に識別するためのディメンションでメトリクスをCloudWatchに公開します。
D. AWS Lambda用のCloudWatch Logsエージェントを設定します。センサーを一意に識別するタグ付きのstatsd形式で各センサーメトリクスを出力します。処理済みデータをCloudWatch Logsに書き込みます。
正解: C
解説:
CloudWatch Logsに処理済みデータを構造化形式で書き込み、CloudWatchメトリックフィルタを使用してログを解析する方法は、センサーデータを効率的にCloudWatchメトリクスとして公開し、個々のセンサーを一意に識別するためのディメンションを持たせることができます。
◐702.カーレンタル会社がモバイルアプリにデータを提供するためにサーバーレスのREST APIを構築しました。APIはAmazon API Gateway API(リージョナルエンドポイント)、AWS Lambda関数、Amazon Aurora MySQL Serverless DBクラスターで構成されています。最近、APIがパートナーのモバイルアプリに公開され、リクエスト数が大幅に増加し、データベースのメモリエラーが断続的に発生しています。APIトラフィックの分析では、クライアントが短期間に同じクエリのHTTP GETリクエストを複数回送信していることが判明しました。トラフィックは営業時間中に集中し、特に休日やイベント時にスパイクが発生しています。会社は、追加の使用をサポートしつつ、コスト増加を最小限に抑えたいと考えています。
選択肢:
A. API Gatewayのリージョナルエンドポイントをエッジ最適化エンドポイントに変換します。プロダクションステージでキャッシュを有効にします。
B. Amazon ElastiCache for Redisキャッシュを実装し、データベース呼び出しの結果をキャッシュに保存します。Lambda関数を修正してキャッシュを使用します。
C. Aurora Serverless DBクラスターの設定を変更し、利用可能なメモリの最大量を増加させます。
D. API Gatewayのプロダクションステージでスロットリングを有効にします。レートとバースト値を設定して、受信コールを制限します。
正解: A
解説:
API Gatewayをエッジ最適化エンドポイントに変換し、キャッシュを有効にすることで、リクエストがエッジロケーションでキャッシュされ、同じクエリに対する複数のHTTP GETリクエストの負荷が軽減されます。これにより、データベースへの負荷が減り、コスト効率も向上します。
◐703.ある企業がAWSへの大規模な移行を完了しました。各ビジネスユニットをサポートする開発チームは、AWS Organizations内で独自のアカウントを持っています。中央のクラウドチームは、アクセスできるサービスやリソースを管理し、全チームの運用戦略を策定しています。一部のチームは、アカウントのサービスクォータに近づいています。クラウドチームは、自動化され効率的に運用できるソリューションを作成して、サービスクォータの監視を行う必要があります。監視は15分ごとに行い、利用率が80%を超えた場合にアラートを送信する必要があります。
選択肢:
A. AWS Configのスケジュールされたルールを作成し、AWS Lambda関数をトリガーしてGetServiceQuota APIを呼び出します。サービスの利用率が80%を超えた場合、Amazon Simple Notification Service (Amazon SNS)トピックにメッセージを公開してクラウドチームにアラートを送信します。必要なリソースを各アカウントにデプロイするAWS CloudFormationテンプレートを作成します。
B. Amazon EventBridge (Amazon CloudWatch Events)ルールを作成し、AWS Lambda関数をトリガーしてAWS Trusted Advisorのサービスリミットチェックを更新し、最新の利用率とサービスリミットデータを取得します。現在の利用率が80%を超えた場合、Amazon Simple Notification Service (Amazon SNS)トピックにメッセージを公開してクラウドチームにアラートを送信します。AWS CloudFormation StackSetsを作成し、必要なリソースをすべてのOrganizationsアカウントにデプロイします。
C. Amazon CloudWatchアラームを作成し、AWS Lambda関数をトリガーしてAmazon CloudWatch GetInsightRuleReport APIを呼び出し、最新の利用率とサービスリミットデータを取得します。現在の利用率が80%を超えた場合、Amazon Simple Email Service (Amazon SES)通知を公開してクラウドチームにアラートを送信します。AWS CloudFormation StackSetsを作成し、必要なリソースをすべてのOrganizationsアカウントにデプロイします。
D. Amazon EventBridge (Amazon CloudWatch Events)ルールを作成し、AWS Lambda関数をトリガーしてAWS Trusted Advisorのサービスリミットチェックを更新し、最新の利用率とサービスリミットデータを取得します。現在の利用率が80%を超えた場合、Amazon Pinpointを使用してクラウドチームにアラートを送信します。必要なリソースを各アカウントにデプロイするAWS CloudFormationテンプレートを作成します。
正解: A
解説:
このソリューションは、AWS ConfigとLambdaを組み合わせて、指定された時間間隔でGetServiceQuota APIを呼び出すことで、効率的に各サービスのクォータを監視します。利用率が80%を超えた場合に、SNSを使用してクラウドチームにアラートを送信し、CloudFormationを使って全アカウントにこの設定をデプロイすることで、運用が容易になります。
◐704.ある企業が、アプリケーションサービスをコンテナ化して、複数のパブリックIPを持つAmazon EC2インスタンスにデプロイしています。Apache KafkaクラスターがEC2インスタンスにデプロイされ、PostgreSQLデータベースがAmazon RDS for PostgreSQLに移行されています。企業は、新製品バージョンのリリース時にプラットフォーム上での注文の大幅な増加を見込んでいます。運用のオーバーヘッドを削減し、新製品のリリースをサポートするために、現在のアーキテクチャにどのような変更を加えるべきでしょうか?
選択肢: A. EC2 Auto ScalingグループをApplication Load Balancerの背後に作成します。DBインスタンスに追加のリードレプリカを作成します。Amazon Kinesisデータストリームを作成し、アプリケーションサービスをデータストリームに構成します。静的コンテンツをAmazon S3から直接保存および配信します。
B. EC2 Auto ScalingグループをApplication Load Balancerの背後に作成します。DBインスタンスをMulti-AZモードでデプロイし、ストレージ自動スケーリングを有効にします。Amazon Kinesisデータストリームを作成し、アプリケーションサービスをデータストリームに構成します。静的コンテンツをAmazon S3から直接保存および配信します。
C. アプリケーションを、Application Load Balancerの背後にあるEC2インスタンスで作成されたKubernetesクラスターにデプロイします。DBインスタンスをMulti-AZモードでデプロイし、ストレージ自動スケーリングを有効にします。Amazon Managed Streaming for Apache Kafkaクラスターを作成し、アプリケーションサービスをクラスターに構成します。静的コンテンツをAmazon S3に保存し、Amazon CloudFrontディストリビューションを介して配信します。
D. Amazon Elastic Kubernetes Service(Amazon EKS)でアプリケーションをAWS Fargateにデプロイし、Application Load Balancerの背後で自動スケーリングを有効にします。DBインスタンスに追加のリードレプリカを作成します。Amazon Managed Streaming for Apache Kafkaクラスターを作成し、アプリケーションサービスをクラスターに構成します。静的コンテンツをAmazon S3に保存し、Amazon CloudFrontディストリビューションを介して配信します。
正解: B
解説:
B. は最も適切な選択肢です。EC2 Auto Scalingを使用して負荷が増加した場合に自動でインスタンスをスケーリングし、Application Load Balancerでトラフィックを適切に分散します。また、データベースの耐障害性を強化するために、Multi-AZモードでデプロイし、ストレージ自動スケーリングを有効にすることで、データベースの容量が不足するリスクを防ぎます。Amazon Kinesisデータストリームを導入することで、リアルタイムデータのストリーミング処理を効率化し、さらにAmazon S3を使用して静的コンテンツを直接配信することで、コストと管理の手間を削減します。
◐705.会社はAWS Organizationsを使用して複数のAWSアカウントを管理しています。セキュリティ目的で、Organizationsのすべてのメンバーアカウントに、サードパーティのアラートシステムと統合するためのAmazon Simple Notification Service (SNS)トピックを作成する必要があります。ソリューションアーキテクトは、AWS CloudFormationテンプレートを使用してSNSトピックとスタックセットを作成し、CloudFormationスタックのデプロイを自動化しました。Organizationsで信頼されたアクセスは有効化されています。
選択肢:
A. Organizationsメンバーアカウントにスタックセットを作成します。サービス管理の権限を使用します。デプロイオプションを組織にデプロイするように設定します。CloudFormation StackSetsのドリフト検出を使用します。
B. Organizationsメンバーアカウントにスタックを作成します。自己管理の権限を使用します。デプロイオプションを組織にデプロイするように設定します。CloudFormation StackSetsの自動デプロイメントを有効にします。
C. Organizationsのマスターアカウントにスタックセットを作成します。サービス管理の権限を使用します。デプロイオプションを組織にデプロイするように設定します。CloudFormation StackSetsの自動デプロイメントを有効にします。
D. Organizationsのマスターアカウントにスタックを作成します。サービス管理の権限を使用します。デプロイオプションを組織にデプロイするように設定します。CloudFormation StackSetsのドリフト検出を有効にします。
正解: C
解説:
AWS Organizationsを使用して複数のアカウントにCloudFormationスタックセットをデプロイする場合、マスターアカウントでスタックセットを作成し、サービス管理の権限を使用して自動デプロイメントを有効にするのが最適です。これにより、全てのOrganizationsアカウントに対して効率的にCloudFormationスタックをデプロイできます。
◐706.AWSの顧客が、オンプレミスで動作するWebアプリケーションを持っています。このWebアプリケーションは、ファイアウォールの背後にあるサードパーティのAPIからデータを取得します。サードパーティは、各クライアントの許可リストに1つのパブリックCIDRブロックしか受け入れません。顧客は、WebアプリケーションをAWSクラウドに移行したいと考えています。アプリケーションは、VPCのAmazon EC2インスタンスセットの背後にあるApplication Load Balancer(ALB)でホストされます。ALBはパブリックサブネットに配置され、EC2インスタンスはプライベートサブネットに配置されています。NATゲートウェイは、プライベートサブネットにインターネットアクセスを提供しています。
移行後もWebアプリケーションが引き続きサードパーティAPIにアクセスできるようにするには、ソリューションアーキテクトはどのようにすべきでしょうか?
選択肢: A. 顧客所有のパブリックIPアドレスブロックをVPCに関連付けます。VPC内のパブリックサブネットでパブリックIPアドレス指定を有効にします。
B. 顧客所有のパブリックIPアドレスブロックをAWSアカウントに登録します。アドレスブロックからElastic IPアドレスを作成し、それをVPCのNATゲートウェイに割り当てます。
C. 顧客所有のIPアドレスブロックからElastic IPアドレスを作成します。静的Elastic IPアドレスをALBに割り当てます。
D. 顧客所有のパブリックIPアドレスブロックをAWSアカウントに登録します。Elastic IPアドレスをアドレスブロックから作成し、AWS Global Acceleratorをセットアップします。ALBをアクセラレータエンドポイントとして設定します。
正解: D
解説:
D. AWS Global Acceleratorを使用して、顧客所有のElastic IPアドレスを設定し、そのアドレスを利用してサードパーティAPIに接続するのが最も効果的な解決策です。Global Acceleratorを使用することで、静的なIPアドレスをALBにマッピングでき、サードパーティ側で設定されたCIDRブロックとの互換性を確保します。
◐707.ある会社がAmazon WorkSpacesを使用してDesktop as a Service (DaaS)を提供し、従業員がオンプレミスのファイルやサービスにアクセスできるようにしたいと考えています。Active Directoryベースの認証が必要であり、ネットワーク接続は既存のAWS Direct Connect接続を通じて提供されます。ソリューションの要件は以下の通りです:
Active Directoryの資格情報を使用してオンプレミスのファイルやサービスにアクセスする。
Active Directoryの資格情報は会社外に保存しない。
WorkSpacesに接続した後、エンドユーザーはシングルサインオン(SSO)を使用してオンプレミスのファイルやサービスにアクセスできる。
選択肢:
A. WorkSpaces VPC内にAWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)を作成し、Active Directory Migration Tool (ADMT)を使用してユーザーをオンプレミスのActive DirectoryからAWS Managed Microsoft ADにコピーします。信頼関係を設定して、AWS Managed Microsoft ADのユーザーがオンプレミスのリソースにアクセスできるようにします。
B. オンプレミスのActive Directoryにサービスアカウントを作成し、AD Connectorをオンプレミスにデプロイしてサービスアカウントで通信します。WorkSpaces VPCからオンプレミスのAD Connectorへの必要なTCPポートを開けます。
C. オンプレミスのActive Directoryにサービスアカウントを作成し、WorkSpaces VPC内にAD Connectorを作成します。このサービスアカウントを使用してオンプレミスのActive Directoryと通信します。
D. WorkSpaces VPC内にAWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)を作成し、オンプレミスのActive DirectoryからのユーザーがAWS Managed Microsoft ADにアクセスできるように一方向の信頼を設定します。AWS Managed Microsoft ADをWorkSpacesのディレクトリとして使用します。オンプレミスのADFSサーバーからAWS IAMにIDプロバイダーを作成し、このIDプロバイダーを使用してユーザーがWorkSpacesを実行できるようにします。
正解: D
解説:
選択肢Dは、オンプレミスのActive Directoryからの一方向の信頼関係を設定し、オンプレミスのActive Directoryの資格情報をAWS Managed Microsoft ADに提供せず、シングルサインオン(SSO)もサポートします。また、資格情報を会社外に保存せずに、オンプレミスのADFSを使用してIDプロバイダーを設定することで、セキュリティ要件を満たします。
◐708.ある会社は、Amazon S3でデータレイクを管理しており、複数のAWSアカウントにまたがる何百ものアプリケーションがこれにアクセスする必要があります。情報セキュリティポリシーでは、S3バケットへのアクセスはパブリックインターネットを介して行わず、各アプリケーションには必要最小限の権限のみを付与する必要があるとしています。これらの要件を満たすために、ソリューションアーキテクトは、各アプリケーションに対して特定のVPCに制限されたS3アクセスポイントを使用する計画を立てています。
選択肢:
A. S3バケットを所有するAWSアカウントにアプリケーションごとにS3アクセスポイントを作成し、各アクセスポイントがアプリケーションのVPCからのみアクセス可能に設定します。バケットポリシーを更新し、アクセスはアクセスポイント経由でのみ行うようにします。
B. 各アプリケーションのVPCにAmazon S3用のインターフェースエンドポイントを作成し、エンドポイントポリシーでS3アクセスポイントへのアクセスを許可します。S3エンドポイントに対してVPCゲートウェイアタッチメントを作成します。
C. 各アプリケーションのVPCにAmazon S3用のゲートウェイエンドポイントを作成し、エンドポイントポリシーでS3アクセスポイントへのアクセスを許可します。アクセスポイントにアクセスするために使用するルートテーブルを指定します。
D. 各AWSアカウントにアプリケーションごとのS3アクセスポイントを作成し、それらのアクセスポイントをS3バケットにアタッチします。各アクセスポイントがアプリケーションのVPCからのみアクセス可能に設定します。バケットポリシーを更新し、アクセスはアクセスポイント経由でのみ行うようにします。
E. データレイクのVPCにAmazon S3用のゲートウェイエンドポイントを作成し、S3バケットへのアクセスを許可するエンドポイントポリシーを設定します。バケットにアクセスするために使用するルートテーブルを指定します。
正解: A および C
解説:
Aは、S3アクセスポイントを作成し、アプリケーションのVPCに制限することで、セキュリティ要件に沿った適切なアクセス制御を実現します。また、バケットポリシーを更新して、アクセスをアクセスポイント経由に限定することにより、パブリックインターネット経由のアクセスを防ぎます。
Cは、ゲートウェイエンドポイントを使用することで、インターネットを経由せずにVPC内からS3バケットにアクセスできます。エンドポイントポリシーを使用してアクセス権を制御できるため、セキュリティを維持しながら最小限の権限を付与できます。
◐709.ある会社がAWS上でアプリケーションを運用しており、新たにソフトウェア・アズ・ア・サービス(SaaS)のデータベンダーに契約しました。ベンダーは、REST APIを介してデータを提供しており、そのAPIはAWS環境内でホストされています。ベンダーはAPIへの複数の接続オプションを提供しており、会社と最適な接続方法を検討しています。会社のAWSアカウントはインターネットへのアウトバウンドアクセスを許可していませんが、ベンダーのサービスは会社のアプリケーションと同じリージョン内にあります。ソリューションアーキテクトは、APIが会社のVPC内で高可用性を持つように接続を実装する必要があります。
選択肢:
A. ベンダーの公開APIアドレスに接続する
B. ベンダーのVPCと会社のVPC間でVPCピアリング接続を使用して接続する
C. AWS PrivateLinkを使用してVPCエンドポイントサービス経由でベンダーに接続する
D. ベンダーが提供するパブリックバスティオンホストに接続し、APIトラフィックをトンネリングする
正解: D
解説:
Dは、会社のVPCがインターネットへのアウトバウンドアクセスを持っていない場合の接続手段として適切です。ベンダーが提供するパブリックバスティオンホストを使用し、そのホストを通じてAPIトラフィックをトンネリングすることで、インターネット経由での接続が可能になります。この方法は、会社のセキュリティポリシーとインターネットアクセス制限に適応するための手段となります。
◐710.会社がAmazon EC2インスタンスで実行され、パブリック向けのアプリケーションロードバランサー(ALB)の背後でAuto ScalingグループがあるWebアプリケーションを開発しています。特定の国のユーザーのみがアプリケーションにアクセスできるようにしたいと考えています。また、アクセスリクエストがブロックされた際のログ記録も必要です。メンテナンスが最小限で済む解決策を求めています。
選択肢:
A. IPSetを作成し、指定された国に属するIP範囲のリストを含めます。AWS WAFウェブACLを作成し、IPSetに含まれないIP範囲からのリクエストをブロックするルールを構成します。ルールをウェブACLに関連付け、ウェブACLをALBに関連付けます。
B. AWS WAFウェブACLを作成し、指定された国からのリクエスト以外をブロックするルールを構成します。ルールをウェブACLに関連付け、ウェブACLをALBに関連付けます。
C. AWS Shieldを構成し、指定された国からのリクエスト以外をブロックします。AWS ShieldをALBに関連付けます。
D. セキュリティグループルールを作成し、指定された国に属するIP範囲からのポート80および443のアクセスを許可します。セキュリティグループをALBに関連付けます。
正解: A
解説:
Aは、指定された国からのIP範囲をIPSetとしてAWS WAFで管理し、そのIP範囲に含まれないリクエストをブロックするルールを設定する方法です。AWS WAFを使用すると、IPアドレスのリストに基づいてアクセスを制御し、ブロックされたリクエストのログを簡単に記録することができます。これにより、メンテナンスが最小限で済みます。
Bは国別の制御が可能ですが、IPアドレスリストを持たずに国別の制限を行うためには、AWS WAFのGeoMatch条件を使用する必要があり、より複雑な設定が求められる場合があります。
CはAWS ShieldはDDoS攻撃からの保護に使用されるため、特定の国からのリクエスト制御には適していません。
Dはセキュリティグループでの制御であり、ALBに関連付けることでアクセス制御が行えますが、指定された国からのIP範囲のリスト管理やログ記録は行えません。
この記事が気に入ったらサポートをしてみませんか?