【全999問】AWS認定ソリューションアーキテクトアソシエイト【AWS Certified Solutions Architect - Professional】SAP-C02の練習問題集と解析

2024年8月28日 15:05

#１．あなたの会社のポリシーは、保存されている機密データを暗号化することを求めています。EBSデータボリュームに保存されているデータを保護するためのオプションを検討しています。このボリュームはEC2インスタンスにアタッチされています。
次のうち、どのオプションがデータを保存時に暗号化することを可能にしますか？（3つ選んでください。）

A. サードパーティのボリューム暗号化ツールを実装する
B. サーバー上で稼働しているすべてのサービスに対してSSL/TLSを実装する
C. データをEBSに保存する前にアプリケーション内で暗号化する
D. ファイルシステムレベルでネイティブのデータ暗号化ドライバーを使用してデータを暗号化する
E. EBSボリュームはデフォルトで暗号化されているので何もしない

正解:

A. サードパーティのボリューム暗号化ツールを実装する
C. データをEBSに保存する前にアプリケーション内で暗号化する
D. ファイルシステムレベルでネイティブのデータ暗号化ドライバーを使用してデータを暗号化する

解説:

EBSボリュームの暗号化にはいくつかの方法がありますが、B（SSL/TLS）はデータの転送中に保護を提供するものであり、保存時の暗号化には適用されません。また、Eの「EBSボリュームは暗号化がデフォルトでは有効になっていない」ため、正しくありません。したがって、正解はA、C、Dとなります。Aではサードパーティのツールを使用してボリューム全体を暗号化でき、Cではアプリケーションレベルでデータを暗号化し、Dではファイルシステムレベルで暗号化が可能です。

#２．お客様は、SSL対応のWebアプリケーションをAWSにデプロイしており、EC2サービス管理者がインスタンスにログインする権限とAPIコールを行う権限を持つ一方で、セキュリティ担当者がアプリケーションのX.509証明書（秘密鍵を含む）を維持し、専有アクセスを持つようにしたいと考えています。
次のオプションのうち、どれが適切ですか？

A. 証明書をセキュリティ担当者が所有するS3バケットにアップロードし、WebサーバーのEC2ロールからのみアクセスできるようにする。
B. Webサーバーを設定して、起動時にセキュリティ担当者が管理するCloudHSMから証明書を取得する。
C. Webサーバー上でシステム権限を設定して、証明書へのアクセスをセキュリティ担当者のみに制限する。
D. IAMポリシーを設定して、証明書ストアへのアクセスをセキュリティ担当者のみに許可し、ELBでSSLを終了する。

正解:

B. Webサーバーを設定して、起動時にセキュリティ担当者が管理するCloudHSMから証明書を取得する。

解説:

Bの「CloudHSMから証明書を取得する」は、セキュリティ担当者が証明書の管理を行い、Webサーバーが起動時に証明書を取得する方法です。これにより、証明書の秘密鍵がセキュリティ担当者の管理下に置かれ、EC2サービス管理者からはアクセスできなくなります。

#3 ．あなたは最近、都市部の騒音と空気質を測定するセンサーを開発しているスタートアップ企業に参加しました。会社は、100台のセンサーを使用したパイロット展開を3ヶ月間実施しており、各センサーは1分ごとに1KBのセンサーデータをAWSでホストされたバックエンドにアップロードしています。
パイロット中に、データベースのピークIOPSが10であることを測定し、データベースには毎月平均で3GBのセンサーデータを保存しました。
現在の展開には、EC2インスタンスを使用したロードバランスとオートスケーリングのインジェストレイヤーと、500GBの標準ストレージを持つPostgreSQL RDSデータベースが含まれています。
パイロットは成功と見なされ、CEOは潜在的な投資家の注目を集めました。ビジネスプランでは、少なくとも10万台のセンサーの展開が必要で、バックエンドでサポートする必要があります。また、年ごとの改善を比較するために、センサーデータを少なくとも2年間保存する必要があります。
資金調達を確保するために、プラットフォームがこれらの要件を満たし、さらにスケーリングの余地を残す必要があります。
どのセットアップが要件を満たしますか？

A. インジェストレイヤーにSQSキューを追加して、RDSインスタンスへの書き込みをバッファリングする。
B. データをDynamoDBテーブルに取り込み、古いデータをRedshiftクラスターに移動する。
C. RDSインスタンスを96TBのストレージを持つ6ノードのRedshiftクラスターに置き換える。
D. 現在のアーキテクチャを維持し、RDSストレージを3TB、IOPSを10Kにアップグレードする。

正解:

B. データをDynamoDBテーブルに取り込み、古いデータをRedshiftクラスターに移動する。

解説:

Bの「データをDynamoDBテーブルに取り込み、古いデータをRedshiftクラスターに移動する」は、要求されるスケーラビリティとデータ保存の要件に最も適しています。DynamoDBは高いスケーラビリティとパフォーマンスを提供し、Redshiftは大規模なデータ分析に適しており、長期間のデータ保存と分析が可能です。

Aの「インジェストレイヤーにSQSキューを追加して、RDSインスタンスへの書き込みをバッファリングする」は、スケーラビリティの問題を解決するものではなく、データ保存容量やパフォーマンスの向上には限界があります。
Cの「RDSインスタンスを96TBのストレージを持つ6ノードのRedshiftクラスターに置き換える」は、RDSからRedshiftへの完全な移行を意味しますが、RedshiftはOLAPデータベースであり、OLTPデータベースのニーズには適していません。
Dの「現在のアーキテクチャを維持し、RDSストレージを3TB、IOPSを10Kにアップグレードする」は、ストレージとIOPSの増加により一時的には対応できるかもしれませんが、データの長期保存とスケーラビリティの要件には十分ではありません。

#４．Web会社が、デプロイされたVPCに侵入検知および防止システム（IDS/IPS）を実装しようとしています。このプラットフォームは、VPC内で動作している数千のインスタンスにスケールする能力を持っている必要があります。
これらの目標を達成するために、どのようにアーキテクチャを設計すべきでしょうか？

A. モニタリングソフトウェアを備えたインスタンスを設定し、Elastic Network Interface（ENI）をプロミスキャスモードで設定して、VPC全体のトラフィックを監視する。
B. 2番目のVPCを作成し、プライマリアプリケーションVPCからのすべてのトラフィックを、スケーラブルな仮想化されたIDS/IPSプラットフォームが存在する2番目のVPCを通じてルーティングする。
C. VPC内で稼働するサーバーを設定し、ホストベースの「route」コマンドを使用して、すべてのトラフィックをスケーラブルな仮想化されたIDS/IPSプラットフォームに送信する。
D. 各ホストを設定して、すべてのネットワークトラフィックを収集し、そのトラフィックをIDS/IPSプラットフォームに送信して検査する。

正解:

B. 2番目のVPCを作成し、プライマリアプリケーションVPCからのすべてのトラフィックを、スケーラブルな仮想化されたIDS/IPSプラットフォームが存在する2番目のVPCを通じてルーティングする。

解説:

Bの「2番目のVPCを作成し、プライマリアプリケーションVPCからのすべてのトラフィックを、スケーラブルな仮想化されたIDS/IPSプラットフォームが存在する2番目のVPCを通じてルーティングする」は、スケーラブルなIDS/IPSをVPC全体のトラフィックに適用するための最も効果的な方法です。これにより、スケールの問題を解決し、全体のトラフィックを効率的に監視することができます。

Aの「モニタリングソフトウェアを備えたインスタンスを設定し、ENIをプロミスキャスモードで設定する」は、トラフィックのスニッフィングには役立ちますが、数千のインスタンスを効率的にスケールするには適していません。
Cの「ホストベースの「route」コマンドを使用して、すべてのトラフィックをIDS/IPSプラットフォームに送信する」は、設定と管理が複雑で、スケーラビリティの問題が生じる可能性があります。
Dの「各ホストを設定して、すべてのネットワークトラフィックを収集し、IDS/IPSプラットフォームに送信する」は、トラフィックの収集と転送に関するオーバーヘッドが大きく、スケーリングには適していません。

#５．会社がAmazon Simple Storage Service (S3)にデータを保存しています。会社のセキュリティポリシーでは、データが保存時に暗号化されている必要があります。
次の方法のうち、どれがこれを実現できますか？（3つ選んでください。）

A. Amazon S3のサーバーサイド暗号化でAWS Key Management Service（KMS）管理キーを使用する。
B. Amazon S3のサーバーサイド暗号化で顧客提供キーを使用する。
C. Amazon S3のサーバーサイド暗号化でEC2キーペアを使用する。
D. Amazon S3バケットポリシーを使用して、データへのアクセスを制限する。
E. データをAmazon S3に取り込む前に、クライアントサイドで自分のマスターキーを使用して暗号化する。
F. SSLを使用して、Amazon S3へのデータ転送中に暗号化する。

正解:

A. Amazon S3のサーバーサイド暗号化でAWS Key Management Service（KMS）管理キーを使用する。
B. Amazon S3のサーバーサイド暗号化で顧客提供キーを使用する。
E. データをAmazon S3に取り込む前に、クライアントサイドで自分のマスターキーを使用して暗号化する。

解説:

Aの「Amazon S3のサーバーサイド暗号化でAWS Key Management Service（KMS）管理キーを使用する」は、S3に保存されたデータをサーバーサイドで暗号化する方法で、AWSが管理するキーを使用します。

Bの「Amazon S3のサーバーサイド暗号化で顧客提供キーを使用する」は、顧客が提供するキーでS3のサーバーサイド暗号化を実施する方法です。これにより、顧客が管理するキーでデータを暗号化できます。

Eの「データをAmazon S3に取り込む前に、クライアントサイドで自分のマスターキーを使用して暗号化する」は、データをS3にアップロードする前にクライアントサイドで暗号化する方法です。これにより、データがS3に保存される前に暗号化されます。

Cの「Amazon S3のサーバーサイド暗号化でEC2キーペアを使用する」は、EC2のキーペアはS3のサーバーサイド暗号化には使用できません。キーペアはEC2インスタンスへのアクセス用であり、データ暗号化には適用されません。
Dの「Amazon S3バケットポリシーを使用して、データへのアクセスを制限する」は、データのアクセス制御には役立ちますが、保存時の暗号化を提供するものではありません。
Fの「SSLを使用して、Amazon S3へのデータ転送中に暗号化する」は、データ転送中の暗号化を提供しますが、保存時の暗号化には関係ありません。

#６．貴社は大量の航空画像データをS3にアップロードしました。以前は、オンプレミス環境で専用のサーバー群を使用してデータを処理し、Rabbit MQというオープンソースのメッセージングシステムを使用してサーバーにジョブ情報を送信していました。処理後、データはテープに保存され、オフサイトに発送されていました。マネージャーからは、現在の設計を維持し、AWSのアーカイブストレージとメッセージングサービスを活用してコストを最小限に抑えるよう指示されました。
どれが正しいですか？

A. SQSを使用してジョブメッセージを渡し、CloudWatchアラームを使ってEC2ワーカーインスタンスがアイドル状態になったときに終了させる。データが処理された後、S3オブジェクトのストレージクラスをReduced Redundancy Storageに変更する。
B. キューの深さによってトリガーされるオートスケールワーカーをセットアップし、SQSのメッセージを処理するためにスポットインスタンスを使用する。データが処理された後、S3オブジェクトのストレージクラスをReduced Redundancy Storageに変更する。
C. キューの深さによってトリガーされるオートスケールワーカーをセットアップし、SQSのメッセージを処理するためにスポットインスタンスを使用する。データが処理された後、S3オブジェクトのストレージクラスをGlacierに変更する。
D. SNSを使用してジョブメッセージを渡し、CloudWatchアラームを使ってスポットワーカーインスタンスがアイドル状態になったときに終了させる。データが処理された後、S3オブジェクトのストレージクラスをGlacierに変更する。

正解:

C. キューの深さによってトリガーされるオートスケールワーカーをセットアップし、SQSのメッセージを処理するためにスポットインスタンスを使用する。データが処理された後、S3オブジェクトのストレージクラスをGlacierに変更する。

解説:

Cの「キューの深さによってトリガーされるオートスケールワーカーをセットアップし、SQSのメッセージを処理するためにスポットインスタンスを使用する。データが処理された後、S3オブジェクトのストレージクラスをGlacierに変更する」は、コスト効率の良い方法であり、AWSのサービスを適切に活用しています。スポットインスタンスはコストを削減し、SQSはメッセージングのためのスケーラブルなソリューションを提供します。データ処理後にS3オブジェクトのストレージクラスをGlacierに変更することで、アーカイブコストを大幅に削減できます。

Aの「SQSを使用してジョブメッセージを渡し、CloudWatchアラームを使ってEC2ワーカーインスタンスがアイドル状態になったときに終了させる。データが処理された後、S3オブジェクトのストレージクラスをReduced Redundancy Storageに変更する」は、Reduced Redundancy Storageは冗長性が低く、データの長期保存には不適切です。Glacierの方がアーカイブ用途には適しています。
Bの「キューの深さによってトリガーされるオートスケールワーカーをセットアップし、SQSのメッセージを処理するためにスポットインスタンスを使用する。データが処理された後、S3オブジェクトのストレージクラスをReduced Redundancy Storageに変更する」は、ストレージクラスをReduced Redundancy Storageに変更する点が不適切です。Glacierの方が適切です。
Dの「SNSを使用してジョブメッセージを渡し、CloudWatchアラームを使ってスポットワーカーインスタンスがアイドル状態になったときに終了させる。データが処理された後、S3オブジェクトのストレージクラスをGlacierに変更する」は、SNSはメッセージングのトリガーとして適していません。SQSの方がジョブメッセージのキューイングには適しています。

#７．非常に大規模なeコマースサイトの全体的なセキュリティ態勢を強化するために雇われました。彼らは、VPC内で構築された多層アプリケーションを運用しており、Web層とアプリ層の前にELBを使用し、静的アセットはS3から直接提供しています。動的データにはRDSとDynamoDBを使用し、毎晩S3にアーカイブしてEMRでさらに処理しています。彼らは、疑わしいログエントリを発見し、誰かが不正アクセスを試みているのではないかと疑っています。
このような攻撃に対するコスト効果が高く、スケーラブルな緩和策を提供するアプローチはどれですか？

A. DirectConnectパートナーの場所でスペースを借り、1G DirectConnect接続をVPCに確立し、その後、インターネット接続を自分のスペースに確立して、ハードウェアWeb Application Firewall（WAF）でトラフィックをフィルタリングし、その後、トラフィックをDirectConnect接続を介してVPC内のアプリケーションに渡すことを推奨する。
B. 以前に特定された悪意のあるソースIPをWeb層サブネットのINBOUND DENY NACLとして追加する。
C. 新しいELBを作成し、ホストベースのWAFを実行するEC2インスタンスのAutoScalingグループを作成してWAF層を追加する。Route 53を新しいWAF層ELBに解決するようにリダイレクトし、その後、WAF層が現在のWeb層にトラフィックを渡すようにする。Web層のセキュリティグループは、WAF層のセキュリティグループからのトラフィックのみを許可するように更新する。
D. Web層ELBからTLS 1.2以外をすべて削除し、高度なプロトコルフィルタリングを有効にする。これにより、ELB自体がWAF機能を実行するようになる。

正解:

C. 新しいELBを作成し、ホストベースのWAFを実行するEC2インスタンスのAutoScalingグループを作成してWAF層を追加する。Route 53を新しいWAF層ELBに解決するようにリダイレクトし、その後、WAF層が現在のWeb層にトラフィックを渡すようにする。Web層のセキュリティグループは、WAF層のセキュリティグループからのトラフィックのみを許可するように更新する。

解説:

Cの「新しいELBを作成し、ホストベースのWAFを実行するEC2インスタンスのAutoScalingグループを作成してWAF層を追加する。Route 53を新しいWAF層ELBに解決するようにリダイレクトし、その後、WAF層が現在のWeb層にトラフィックを渡すようにする。Web層のセキュリティグループは、WAF層のセキュリティグループからのトラフィックのみを許可するように更新する」は、攻撃から保護するためのスケーラブルでコスト効果の高いアプローチです。WAFを追加することで、悪意のあるトラフィックを事前にフィルタリングし、Web層に対してのみ信頼できるトラフィックを通過させることができます。

Aの「DirectConnectパートナーの場所でスペースを借り、1G DirectConnect接続をVPCに確立し、その後、インターネット接続を自分のスペースに確立して、ハードウェアWAFでトラフィックをフィルタリングする」は、高額なコストがかかり、複雑な設定が必要です。
Bの「以前に特定された悪意のあるソースIPをWeb層サブネットのINBOUND DENY NACLとして追加する」は、特定のIPアドレスをブロックする方法ですが、トラフィック全体をフィルタリングするには限界があります。
Dの「Web層ELBからTLS 1.2以外をすべて削除し、高度なプロトコルフィルタリングを有効にする」は、通信のセキュリティを向上させますが、WAFの機能は提供しません。

#８．あなたの会社は、ペットの健康的なライフスタイルを促進するためにバイオメトリック情報を収集する次世代ペットカラーの開発を進めています。各カラーは、2秒ごとに30KBのバイオメトリックデータをJSON形式で収集プラットフォームに送信し、そのデータを処理して分析し、ペットの飼い主や獣医に健康トレンド情報をWebポータルを通じて提供します。経営陣からは、以下の要件を満たす収集プラットフォームのアーキテクチャを設計するよう指示されました。 ✑ インバウンドのバイオメトリックデータのリアルタイム分析を提供する ✑ バイオメトリックデータの処理が高い耐障害性を持ち、弾力的で並列であることを保証する ✑ 分析処理の結果はデータマイニングのために保存されるべきである

以下のアーキテクチャの中で、収集プラットフォームの初期要件を満たすものはどれですか？

A. S3を利用してインバウンドセンサーデータを収集し、データパイプラインを使ってS3からデータを日次で分析し、結果をRedshiftクラスターに保存する。
B. Amazon Kinesisを利用してインバウンドセンサーデータを収集し、Kinesisクライアントでデータを分析し、結果をEMRを使用してRedshiftクラスターに保存する。
C. SQSを利用してインバウンドセンサーデータを収集し、Amazon KinesisでSQSからデータを分析し、結果をMicrosoft SQL Server RDSインスタンスに保存する。
D. EMRを利用してインバウンドセンサーデータを収集し、Amazon KinesisでEMRからデータを分析し、結果をDynamoDBに保存する。

正解:

B. Amazon Kinesisを利用してインバウンドセンサーデータを収集し、Kinesisクライアントでデータを分析し、結果をEMRを使用してRedshiftクラスターに保存する。

解説:

Bの「Amazon Kinesisを利用してインバウンドセンサーデータを収集し、Kinesisクライアントでデータを分析し、結果をEMRを使用してRedshiftクラスターに保存する」は、以下の要件を満たしています：

リアルタイム分析: Kinesisはストリームデータのリアルタイム収集と処理が可能です。
耐障害性、弾力性、並列処理: KinesisとEMRはスケーラブルで、並列処理をサポートします。
データの保存: Redshiftはデータマイニングに適したデータウェアハウスソリューションです。
Aの「S3を利用してインバウンドセンサーデータを収集し、データパイプラインを使ってS3からデータを日次で分析し、結果をRedshiftクラスターに保存する」は、データのリアルタイム処理には適しておらず、バッチ処理がメインです。
Cの「SQSを利用してインバウンドセンサーデータを収集し、Amazon KinesisでSQSからデータを分析し、結果をMicrosoft SQL Server RDSインスタンスに保存する」は、SQSはメッセージングサービスであり、リアルタイム分析にはKinesisの方が適しています。また、RDSもスケーラビリティに制限があります。
Dの「EMRを利用してインバウンドセンサーデータを収集し、Amazon KinesisでEMRからデータを分析し、結果をDynamoDBに保存する」は、EMRは主にデータ処理に使用されるため、データの収集にはKinesisの方が適しています。また、DynamoDBはNoSQLデータベースであり、大量の分析データの保存にはRedshiftの方が適している可能性があります。

#９．VPCのインターネット接続を設計しています。Webサーバーはインターネットで利用可能でなければなりません。アプリケーションは高可用性のアーキテクチャを持つ必要があります。
どの代替案を検討すべきですか？（2つ選んでください。）

A. VPC内にNATインスタンスを構成し、NATインスタンスを経由するデフォルトルートを作成してすべてのサブネットに関連付けます。NATインスタンスのパブリックIPアドレスを指すDNS Aレコードを構成します。
B. CloudFrontディストリビューションを構成し、オリジンをWebサーバーのプライベートIPアドレスに設定します。CloudFrontディストリビューションに対してRoute 53 CNAMEレコードを構成します。
C. すべてのWebサーバーをELBの背後に配置します。Route 53 CNAMEレコードをELBのDNS名を指すように構成します。
D. すべてのWebサーバーにEIPを割り当てます。すべてのEIPを含むRoute 53レコードセットを構成し、ヘルスチェックとDNSフェイルオーバーを設定します。
E. ELBにEIPを設定します。すべてのWebサーバーをELBの背後に配置します。Route 53 AレコードをEIPを指すように構成します。

正解:

C. すべてのWebサーバーをELBの背後に配置します。Route 53 CNAMEレコードをELBのDNS名を指すように構成します。
B. CloudFrontディストリビューションを構成し、オリジンをWebサーバーのプライベートIPアドレスに設定します。CloudFrontディストリビューションに対してRoute 53 CNAMEレコードを構成します。

解説:

Cの「すべてのWebサーバーをELBの背後に配置します。Route 53 CNAMEレコードをELBのDNS名を指すように構成します」は、ELB（Elastic Load Balancer）は高可用性とスケーラビリティを提供し、複数のWebサーバーのトラフィックを負荷分散できます。Route 53のCNAMEレコードをELBのDNS名に設定することで、Webサーバーの可用性とスケーラビリティを確保できます。
Bの「CloudFrontディストリビューションを構成し、オリジンをWebサーバーのプライベートIPアドレスに設定します。CloudFrontディストリビューションに対してRoute 53 CNAMEレコードを構成します」は、CloudFrontを使用することでWebサーバーへのアクセスを最適化し、低レイテンシでコンテンツを配信できます。プライベートIPアドレスをCloudFrontのオリジンとして設定することで、Webサーバーがインターネットに直接公開されなくてもコンテンツ配信が可能になります。
Aの「VPC内にNATインスタンスを構成し、NATインスタンスを経由するデフォルトルートを作成してすべてのサブネットに関連付けます。NATインスタンスのパブリックIPアドレスを指すDNS Aレコードを構成します」は、NATインスタンスはプライベートサブネットのインターネットアクセスを提供しますが、Webサーバー自体の可用性には対応しません。また、NATインスタンスの使用はスケーラビリティの面で制限があります。
Dの「すべてのWebサーバーにEIPを割り当てます。すべてのEIPを含むRoute 53レコードセットを構成し、ヘルスチェックとDNSフェイルオーバーを設定します」は、EIPを各サーバーに割り当てることで管理が複雑になり、スケーラビリティの問題が生じる可能性があります。
Eの「ELBにEIPを設定します。すべてのWebサーバーをELBの背後に配置します。Route 53 AレコードをEIPを指すように構成します」は、ELBはスケーラブルなロードバランサーであり、EIPをELBに設定することはできません。ELB自体には動的なDNS名があり、静的なEIPは必要ありません。

#１０ ．チームには、開発、テスト、プロダクション環境にデプロイする必要があるTomcatベースのJavaアプリケーションがあります。調査の結果、開発者ツールとの統合が優れているためElastic Beanstalkを使用し、管理が簡単なためRDSを使用することに決定しました。QAチームリーダーは、毎晩、プロダクションデータのサニタイズセットを環境にロールする必要があると指摘しました。同様に、他のソフトウェアチームもVPC内のEC2インスタンスを通じてそのリストアデータにアクセスしたいと考えています。
上記の要件を満たすための最適な永続性とセキュリティのセットアップは次の通りです。

A. Elastic Beanstalkの定義の一部としてRDSインスタンスを作成し、アプリケーションサブネット内のホストからのアクセスを許可するようにセキュリティグループを変更します。
B. RDSインスタンスを別に作成し、そのIPアドレスをアプリケーションのDB接続文字列に追加します。セキュリティグループを変更して、VPC内のホストからのアクセスを許可します。
C. RDSインスタンスを別に作成し、そのDNS名をアプリのDB接続文字列に環境変数として渡します。クライアントマシン用のセキュリティグループを作成し、それをRDSインスタンスのセキュリティグループのDBトラフィックの有効なソースとして追加します。
D. RDSインスタンスを別に作成し、そのDNS名をアプリのDB接続文字列に環境変数として渡します。セキュリティグループを変更して、アプリケーションサブネット内のホストからのアクセスを許可します。

正解:

C. RDSインスタンスを別に作成し、そのDNS名をアプリのDB接続文字列に環境変数として渡します。クライアントマシン用のセキュリティグループを作成し、それをRDSインスタンスのセキュリティグループのDBトラフィックの有効なソースとして追加します。
D. RDSインスタンスを別に作成し、そのDNS名をアプリのDB接続文字列に環境変数として渡します。セキュリティグループを変更して、アプリケーションサブネット内のホストからのアクセスを許可します。

解説:

Cの「RDSインスタンスを別に作成し、そのDNS名をアプリのDB接続文字列に環境変数として渡します。クライアントマシン用のセキュリティグループを作成し、それをRDSインスタンスのセキュリティグループのDBトラフィックの有効なソースとして追加します」は、以下の理由で最適です：
- セキュリティ: RDSインスタンスへのアクセスを特定のセキュリティグループに制限することで、VPC内の他のサービスやソフトウェアチームが安全にアクセスできます。
- スケーラビリティ: 環境変数としてDNS名を使用することで、アプリケーションのデプロイ先に応じて接続設定を簡単に変更できます。
Dの「RDSインスタンスを別に作成し、そのDNS名をアプリのDB接続文字列に環境変数として渡します。セキュリティグループを変更して、アプリケーションサブネット内のホストからのアクセスを許可します」は、同様にセキュリティを確保し、アプリケーションサブネット内のホストからのアクセスを許可することで要件を満たします。ただし、他のチームがVPC内でアクセスする場合には、セキュリティグループを適切に設定することが重要です。
Aの「Elastic Beanstalkの定義の一部としてRDSインスタンスを作成し、アプリケーションサブネット内のホストからのアクセスを許可するようにセキュリティグループを変更します」は、RDSインスタンスをElastic Beanstalkに組み込むことで可用性やスケーラビリティが制限される可能性があります。
Bの「RDSインスタンスを別に作成し、そのIPアドレスをアプリケーションのDB接続文字列に追加します。セキュリティグループを変更して、VPC内のホストからのアクセスを許可します」は、RDSインスタンスのIPアドレスは変更される可能性があるため、DNS名を使用する方が信頼性があります。また、直接IPアドレスを使用する方法は柔軟性が低く、管理が複雑になる可能性があります。
Eの「ELBにEIPを設定します。すべてのWebサーバーをELBの背後に配置します。Route 53 AレコードをEIPを指すように構成します」は、ELBはスケーラブルなサービスでEIPを設定することはできません。ELBは動的なDNS名を持ち、静的なEIPを使用する必要はありません。

#１１ ．あなたの会社には、オンプレミスの多層PHPウェブアプリケーションがあり、最近、会社の発表によりウェブトラフィックが急増したため、ダウンタイムが発生しました。今後、同様の発表が続くため、同様の予測不能な急増が予想されており、インフラストラクチャの能力を迅速に向上させ、予期せぬトラフィック増加に対応できる方法を模索しています。アプリケーションは現在、ロードバランサーと複数のLinux Apacheウェブサーバーからなるウェブ層と、Linuxサーバー上にホストされたMySQLデータベースを持つデータベース層の2層で構成されています。短期間で必要な改善を達成しつつ、サイトの完全な機能を提供するためのシナリオは次のうちどれですか？

A. フェイルオーバー環境：S3バケットを作成し、ウェブサイトホスティング用に設定します。DNSをRoute53に移行し、ゾーンファイルインポートを使用してRoute53 DNSフェイルオーバーを活用し、S3ホストウェブサイトへのフェイルオーバーを設定します。
B. ハイブリッド環境：AMIを作成し、それを使用してEC2でウェブサーバーを起動します。Auto Scalingグループを作成し、AMIを使用してウェブ層を着信トラフィックに基づいてスケーリングします。Elastic Load Balancingを利用して、オンプレミスのウェブサーバーとAWSでホストされているサーバー間のトラフィックをバランスさせます。
C. オンプレミス環境からのトラフィックをオフロード：CloudFrontディストリビューションを設定し、CloudFrontをカスタムオリジンからオブジェクトをキャッシュするように設定します。オブジェクトのキャッシュ動作をカスタマイズするオプションを選択し、キャッシュ内にオブジェクトが存在するTTLを選択します。
D. AWSへの移行：VM Import/Exportを使用して、オンプレミスのウェブサーバーをAMIに迅速に変換します。Auto Scalingグループを作成し、インポートされたAMIを使用して、着信トラフィックに基づいてウェブ層をスケーリングします。RDSリードレプリカを作成し、RDSインスタンスとオンプレミスMySQLサーバー間でレプリケーションを設定してデータベースを移行します。

正解:

B. ハイブリッド環境：AMIを作成し、それを使用してEC2でウェブサーバーを起動します。Auto Scalingグループを作成し、AMIを使用してウェブ層を着信トラフィックに基づいてスケーリングします。Elastic Load Balancingを利用して、オンプレミスのウェブサーバーとAWSでホストされているサーバー間のトラフィックをバランスさせます。

解説:

Bのハイブリッド環境は、オンプレミス環境を維持しつつAWSのスケーラビリティを活用するための最適なアプローチです。これにより、予期せぬトラフィックの急増に迅速に対応でき、既存のインフラストラクチャに依存しすぎることなく、必要に応じてAWS上で追加のリソースを自動的にスケールアップすることができます。

Aのフェイルオーバー環境は、主に災害対策として機能しますが、短期間のトラフィック急増に対応するためのソリューションではありません。
CのCloudFrontディストリビューションを使用したオフロードは、静的コンテンツのキャッシュには有効ですが、動的なウェブアプリケーション全体のスケーラビリティには不十分です。
DのAWSへの移行は、長期的な戦略としては有効ですが、短期間での対応としては過度に複雑であり、即座のスケーラビリティを提供するものではありません。

#１２ ．あなたはAWS Direct Connectを実装しています。AWS Direct Connectリンクを通じて、Amazon S3などのAWSパブリックサービスエンドポイントを使用する予定です。他のインターネットトラフィックは、既存のインターネットサービスプロバイダーへのリンクを使用させたいと考えています。Amazon S3などのサービスにアクセスするために、AWS Direct Connectをどのように正しく構成すればよいでしょうか？

A. AWS Direct Connectリンクにパブリックインターフェースを構成します。Amazon S3を指す静的ルートをAWS Direct Connectリンク経由で構成し、BGPを使用してAWSにデフォルトルートをアドバタイズします。
B. AWS Direct Connectリンクにプライベートインターフェースを作成します。Amazon S3を指す静的ルートをAWS Direct Connectリンク経由で構成し、VPC内のネットワークへの特定のルートを構成します。
C. AWS Direct Connectリンクにパブリックインターフェースを作成します。BGPルートを既存のルーティングインフラストラクチャに再配布し、AWSにネットワークの特定ルートをアドバタイズします。
D. AWS Direct Connectリンクにプライベートインターフェースを作成します。BGPルートを既存のルーティングインフラストラクチャに再配布し、AWSにデフォルトルートをアドバタイズします。

正解:

C. AWS Direct Connectリンクにパブリックインターフェースを作成します。BGPルートを既存のルーティングインフラストラクチャに再配布し、AWSにネットワークの特定ルートをアドバタイズします。

解説:

AWS Direct Connectを使用して、パブリックサービスエンドポイント（例：Amazon S3）にアクセスする場合、Cのようにパブリックインターフェースを作成し、BGP（Border Gateway Protocol）ルートを既存のルーティングインフラストラクチャに再配布する方法が正解です。これにより、AWSのパブリックサービスに特定のルートが設定され、他のインターネットトラフィックは既存のISPリンクを介してルーティングされます。

Aのデフォルトルートのアドバタイズは、すべてのトラフィックがAWS経由でルーティングされる可能性があるため、要件を満たしません。
BとDのプライベートインターフェースは、VPC内のプライベートサービスにアクセスするために使用されますが、パブリックサービスエンドポイントへのアクセスには適していません。

#１３ ．あなたのアプリケーションは、2つのアベイラビリティゾーン（AZ）に展開されたAuto ScalingグループのWeb/アプリケーションサーバーの前にELB（Elastic Load Balancer）を使用しており、データの永続性のためにMulti-AZ RDSインスタンスを使用しています。データベースのCPU使用率はしばしば80%以上で、データベースのI/O操作の90%は読み取りです。性能向上のために、頻繁に使用されるDBクエリの結果をキャッシュするために、最近単一ノードのMemcached ElastiCacheクラスターを追加しました。今後数週間で全体的なワークロードは30%増加すると予想されています。この予想される追加の負荷に対応するために、高可用性を維持するためにアーキテクチャに変更が必要ですか？なぜですか？

A. はい、キャッシュノードが故障した場合にRDSインスタンスが負荷に対応できないため、異なるAZに2つのMemcached ElastiCacheクラスターを展開する必要があります。
B. いいえ、キャッシュノードが故障しても、データベースから同じデータを取得することができ、可用性への影響はありません。
C. いいえ、キャッシュノードが故障しても、自動化されたElastiCacheノードリカバリ機能が可用性への影響を防ぎます。
D. はい、キャッシュノードが故障した場合に負荷に対応するために、RDS DBマスターインスタンスと同じAZに2つのノードを持つMemcached ElastiCacheクラスターを展開する必要があります。

正解:

A. はい、キャッシュノードが故障した場合にRDSインスタンスが負荷に対応できないため、異なるAZに2つのMemcached ElastiCacheクラスターを展開する必要があります。

解説:

現在のアーキテクチャでは、キャッシュノードが単一ノードで構成されているため、そのノードが故障すると、すべてのリクエストがRDSに向かい、負荷が急増する可能性があります。これは、RDSインスタンスのパフォーマンスに悪影響を及ぼす可能性があり、可用性を損なうリスクがあります。

Aのように、異なるAZに冗長化されたMemcachedクラスターを配置することで、キャッシュノードの故障時でもRDSへの負荷を軽減し、アプリケーションの高可用性を維持することができます。

#１４ ．ERPアプリケーションは、単一のリージョン内の複数のアベイラビリティゾーン（AZ）に展開されています。障害が発生した場合、復旧時間目標（RTO）は3時間未満で、復旧ポイント目標（RPO）は15分である必要があります。顧客は、約1.5時間前にデータの破損が発生したことに気付きました。このような障害が発生した場合に、このRTOとRPOを達成するために、どの災害復旧（DR）戦略を使用できますか？

A. 毎時のDBバックアップをS3に取り、トランザクションログを5分ごとにS3に保存する。
B. 2つのアベイラビリティゾーン間で同期データベースのマスター-スレーブレプリケーションを使用する。
C. 毎時のDBバックアップをEC2インスタンスストアボリュームに取り、トランザクションログを5分ごとにS3に保存する。
D. 15分ごとのDBバックアップをGlacierに保存し、トランザクションログを5分ごとにS3に保存する。

正解:

A. 毎時のDBバックアップをS3に取り、トランザクションログを5分ごとにS3に保存する。

解説:

Aの戦略は、データを1時間ごとにバックアップし、トランザクションログを5分ごとにS3に保存することで、必要なRTOとRPOを達成するのに適しています。データの破損が1.5時間前に発生した場合、この戦略では最新のバックアップとトランザクションログを使用して、破損が発生する前の状態に戻すことが可能です。

Bの同期レプリケーションは、リアルタイムのデータ保護を提供しますが、データが破損すると、レプリケートされたスレーブも同様に破損する可能性があり、RPOの要件を満たすことができない場合があります。

Cはインスタンスストアを使用しているため、インスタンスが終了するとデータが失われる可能性があり、RTOとRPOの要件を満たすために信頼性に欠けます。

Dは、Glacierを使用したバックアップがあるため、復元時間が長くなり、RTOを満たすことができません。

#１５ ．Amazon VPCのアプリケーションサーバー用のネットワークインフラを設計しています。ユーザーはインターネットおよびオンプレミスネットワークからすべてのアプリケーションインスタンスにアクセスします。オンプレミスネットワークはAWS Direct Connectリンクを介してVPCに接続されています。上記の要件を満たすようにルーティングをどのように設計しますか？

A. インターネットゲートウェイを経由するデフォルトルートを持つ単一のルーティングテーブルを構成します。AWS Direct Connect顧客ルーターでBGP経由でデフォルトルートを伝播します。このルーティングテーブルをすべてのVPCサブネットに関連付けます。

B. インターネットゲートウェイを経由するデフォルトルートを持つ単一のルーティングテーブルを構成します。AWS Direct Connect顧客ルーターでBGP経由でオンプレミスネットワークの特定のルートを伝播します。このルーティングテーブルをすべてのVPCサブネットに関連付けます。

C. インターネットゲートウェイを介してインターネットに接続するデフォルトルートと、VPNゲートウェイを介してオンプレミスネットワークに接続するデフォルトルートを持つ単一のルーティングテーブルを構成します。このルーティングテーブルをVPC内のすべてのサブネットで使用します。

D. インターネットゲートウェイを経由するデフォルトルートを持つルーティングテーブルと、VPNゲートウェイを経由するデフォルトルートを持つルーティングテーブルの2つを構成します。両方のルーティングテーブルを各VPCサブネットに関連付けます。

正解:

解説:

Bが最適な選択です。VPCで単一のルーティングテーブルを使用し、インターネットゲートウェイを介して外部インターネットへのデフォルトルートを設定します。また、AWS Direct Connect経由でオンプレミスネットワークへの特定のルートを伝播することで、ユーザーはインターネットとオンプレミスネットワークの両方からアプリケーションにアクセスできるようになります。

Aの選択肢はデフォルトルートをオンプレミスネットワークに伝播するため、オンプレミスからのトラフィックが正しくルーティングされない可能性があります。

Cの選択肢は、2つのデフォルトルートを持つルーティングテーブルを使用するため、ルーティングの競合が発生する可能性があります。

Dの選択肢は、各サブネットに複数のルーティングテーブルを関連付けるという設定が、VPCの設計において一般的ではなく、誤った構成です。

#１６ ．S3バケットやオブジェクトへのアクセスを制御するために使用できるものはどれですか？

A. アイデンティティとアクセス管理 (IAM) ポリシー
B. アクセス制御リスト (ACL)
C. バケットポリシー
D. 上記のすべて

正解:

D. 上記のすべて

解説:

S3バケットやオブジェクトへのアクセスは、IAMポリシー、ACLs (アクセス制御リスト)、およびバケットポリシーの3つすべてで制御できます。これにより、複雑なアクセス制御の要件に対応するための柔軟なセキュリティ管理が可能になります。

IAMポリシーは、特定のIAMユーザーやグループに対するアクセス権限を定義します。ACLsは、バケットやオブジェクトレベルでのアクセス制御を提供します。そして、バケットポリシーは、バケット全体に適用されるアクセスルールを設定します。これらを組み合わせることで、細かなアクセス管理が実現されます。

#１７ ．AWSが提供するITインフラストラクチャは、以下のITセキュリティ基準に準拠していますが、それはどれですか？

A. SOC 1/SSAE 16/ISAE 3402 (以前はSAS 70 Type II)、SOC 2、SOC 3
B. FISMA、DIACAP、FedRAMP
C. PCI DSS レベル1、ISO 27001、ITAR、FIPS 140-2
D. HIPAA、Cloud Security Alliance (CSA)、Motion Picture Association of America (MPAA)
E. 上記のすべて

正解:

E. 上記のすべて

解説:

AWSは、非常に幅広いITセキュリティ標準に準拠しており、これにはSOC 1/SSAE 16/ISAE 3402、SOC 2、SOC 3といった監査基準や、FISMA、FedRAMPのような政府のセキュリティ基準が含まれます。また、PCI DSS、ISO 27001、ITAR、FIPS 140-2などの国際的および産業別の標準も含まれています。さらに、HIPAA（医療情報保護）、CSA（クラウドセキュリティアライアンス）、MPAA（映画業界の標準）といった業界固有のセキュリティ要件にも対応しています。これにより、AWSは多岐にわたる業界や用途で使用されるITインフラストラクチャとして非常に高いセキュリティを提供しています。

#１８ ．Auto Scalingのリクエストは、リクエストとユーザーの秘密鍵から計算された _________ 署名で署名されます。

A. SSL
B. AES-256
C. HMAC-SHA1
D. X.509

正解:

C. HMAC-SHA1

解説:

Auto Scalingのリクエストは、HMAC-SHA1 署名で署名されます。HMAC-SHA1は、キー付きハッシュアルゴリズムを使用してメッセージの認証コードを生成するプロセスであり、AWSリクエストの署名に使用されます。これは、リクエストが認証され、改ざんされていないことを確認するための方法です。

#X１９ ．以下のポリシーは、IAMグループにアタッチできます。このポリシーにより、そのグループ内のIAMユーザーは、コンソールを使用して、自分のユーザー名に一致するAWS S3の「ホームディレクトリ」にアクセスできます。

{
"Version": "2012-10-17",
"Statement": [
    {
    "Action": ["s3:*"],
    "Effect": "Allow",
    "Resource": ["arn:aws:s3:::bucket-name"],
    "Condition":{"StringLike":{"s3:prefix":["home/${aws:username}/*"]}}
    },
    {
    "Action":["s3:*"],
    "Effect":"Allow",
    "Resource": ["arn:aws:s3:::bucket-name/home/${aws:username}/*"]
    }
]
}

A. True
B. False

正解:

B. False

解説:

このポリシーには問題があります。具体的には、最初のResourceステートメントがS3バケット全体（arn:aws:s3:::bucket-name）に対するアクセスを許可していますが、このリソースに適用される条件がStringLike条件に限定されているため、意図したアクセス制限が適切に機能しません。条件が適用されるのは、バケット全体ではなく、特定のプレフィックスのみです。この構成では、ユーザーがバケット全体にアクセスできてしまう可能性があるため、意図した制約が適用されません。

そのため、ポリシーは期待通りに動作せず、正しい答えはB. Falseです。

#２０ ．AWSにおける「エラスティシティ（弾力性）」とは何を意味しますか？

A. コンピューティングリソースを簡単にスケールアップでき、遅延を最小限に抑えてスケールダウンできる能力。
B. コンピューティングリソースを簡単にスケールアップおよびスケールダウンできる能力。
C. 将来の需要を見越してクラウドコンピューティングリソースをプロビジョニングする能力。
D. ビジネス継続性のイベントから最小限の摩擦で回復する能力。

正解:

B. コンピューティングリソースを簡単にスケールアップおよびスケールダウンできる能力。

解説:

AWSにおける「エラスティシティ（弾力性）」は、コンピューティングリソースを需要に応じて簡単にスケールアップおよびスケールダウンできる能力を指します。これは、リソースの過剰や不足を防ぎ、コスト効率を高めるために重要です。エラスティシティにより、アプリケーションはリソースを動的に調整でき、ピーク時の需要にも対応できる一方で、通常時にはコストを抑えることができます。

#２１ ．以下はAWSのストレージサービスですか？（2つ選んでください）

A. AWS Relational Database Service (AWS RDS)
B. AWS ElastiCache
C. AWS Glacier
D. AWS Import/Export

正解:

C. AWS Glacier
D. AWS Import/Export

解説:

AWS Glacierは、低コストで長期的なデータアーカイブやバックアップに使用されるストレージサービスです。
AWS Import/Exportは、データをAWSのストレージサービスにインポートしたり、AWSからエクスポートしたりするためのサービスで、主にデータ転送のためのストレージ関連サービスです。
**AWS RDS (Relational Database Service)**は、リレーショナルデータベースを管理するためのサービスで、ストレージサービスとは異なります。
AWS ElastiCacheは、インメモリキャッシュを提供するサービスで、ストレージサービスには分類されません。

#２２ ．AWSは、伝統的なITコンピューティングのランドスケープで他のベンダーとどのように明確に区別されますか？

A. 経験豊富。スケーラブルでエラスティック。セキュア。コスト効率的。信頼性が高い。
B. セキュア。柔軟。コスト効率的。スケーラブルでエラスティック。グローバル。
C. セキュア。柔軟。コスト効率的。スケーラブルでエラスティック。経験豊富。
D. 柔軟。コスト効率的。ダイナミック。セキュア。経験豊富。

正解:

B. セキュア。柔軟。コスト効率的。スケーラブルでエラスティック。グローバル。

解説:

AWSは、以下の特性で他のベンダーと区別されます：

セキュア: AWSは、データの保護とプライバシーを重視し、高度なセキュリティ機能を提供しています。
柔軟: 幅広いサービスとカスタマイズ可能な設定で、様々なニーズに対応できます。
コスト効率的: 使用した分だけ支払うモデルで、コストの最適化が可能です。
スケーラブルでエラスティック: リソースの増減を迅速に行え、需要に応じたスケーリングが可能です。
グローバル: 世界中にデータセンターを持ち、グローバルな展開が可能です。

これらの特性は、AWSを伝統的なITコンピューティングの他のベンダーと差別化します。

#２３ ．4つの500GB EBS Provisioned IOPSボリュームが接続されたEC2インスタンスを起動しました。このEC2インスタンスはEBS最適化されており、EC2とEBS間のスループットは500 Mbpsをサポートしています。4つのEBSボリュームは単一のRAID 0デバイスとして構成されており、各Provisioned IOPSボリュームは4,000 IOPS（4,000 16KBの読み取りまたは書き込み）に設定されており、合計で16,000のランダムIOPSをインスタンスで提供しています。EC2インスタンスは最初、期待される16,000 IOPSのランダム読み取りと書き込み性能を提供します。その後、インスタンスのランダムI/Oパフォーマンスを向上させるために、RAIDにさらに2つの500GB EBS Provisioned IOPSボリュームを追加しました。それぞれのボリュームは元の4つと同じく4,000 IOPSに設定されており、合計で24,000 IOPSのパフォーマンスが期待されます。監視によると、EC2インスタンスのCPU使用率は50%から70%に増加しましたが、インスタンスレベルで測定される総ランダムIOPSは全く増加しません。

問題は何で、どのような解決策がありますか？

A. EBS-Optimizedスループットが利用できるIOPSの合計を制限しているため、より大きなスループットを提供するEBS-Optimizedインスタンスを使用してください。
B. 小さいブロックサイズがパフォーマンスの低下を引き起こし、I/Oスループットが制限されるため、インスタンスデバイスドライバとファイルシステムを64KBブロックで設定してスループットを増加させてください。
C. 標準のEBSインスタンスのルートボリュームがIOPSの合計レートを制限しているため、インスタンスのルートボリュームも500GB 4,000 Provisioned IOPSボリュームに変更してください。
D. 大きなストレージボリュームはより高いProvisioned IOPSレートをサポートするため、6つのEBSボリュームそれぞれのプロビジョニングボリュームストレージを1TBに増やしてください。
E. RAID 0は約4つのデバイスに線形スケールのみ対応するため、4つのEBS Provisioned IOPSボリュームでRAID 0を使用し、各Provisioned IOPS EBSボリュームを6,000 IOPSに増加させてください。

正解:

A. EBS-Optimizedスループットが利用できるIOPSの合計を制限しているため、より大きなスループットを提供するEBS-Optimizedインスタンスを使用してください。

解説:

EBS-Optimizedインスタンスは、EC2とEBS間のスループットを最大限に活用するために設計されていますが、そのスループットには限界があります。現在のインスタンスが提供できるスループットに制限があるため、追加したボリュームのIOPSをフルに活用できない状況が発生しています。より大きなスループットを提供するEBS-Optimizedインスタンスに変更することで、この制限を解消し、24,000 IOPSのパフォーマンスを実現することができます。

#２４ ．あなたの会社は、数百万の機密取引を含む数千の100GBファイルを保存しており、これらのデータは転送中および静止中に暗号化する必要があります。アナリストは、ビジネスの意思決定をサポートするシミュレーションを生成するために、最大5TBのスペースを消費するファイルのサブセットに同時に依存しています。長期保存とデータのオンフライトサブセットをコスト効果的に対応するAWSソリューションを設計する必要があります。

選択肢

A. Amazon Simple Storage Service (S3)をサーバーサイド暗号化で使用し、Amazon EC2のエフェメラルドライブ上でサブセットのシミュレーションを実行します。
B. Amazon S3をサーバーサイド暗号化で使用し、Amazon EC2のメモリ内でサブセットのシミュレーションを実行します。
C. Amazon EMR上でHDFSを使用し、Amazon EC2のエフェメラルドライブ上でサブセットのシミュレーションを実行します。
D. Amazon Elastic MapReduce (EMR)上でHDFSを使用し、Amazon Elastic Compute Cloud (EC2)のメモリ内でサブセットのシミュレーションを実行します。
E. フルデータセットを暗号化されたAmazon Elastic Block Store (EBS)ボリュームに保存し、定期的にスナップショットを取得してEC2ワークステーションにクローンします。

正解

A. Amazon Simple Storage Service (S3)をサーバーサイド暗号化で使用し、Amazon EC2のエフェメラルドライブ上でサブセットのシミュレーションを実行します。

解説

このアプローチは、以下の理由で要件を満たしています：

長期保存: Amazon S3はスケーラブルなストレージソリューションで、サーバーサイド暗号化によりデータを安全に保管できます。
コスト効率: S3は長期間のストレージに適しており、データの量に応じてコストが変動します。
シミュレーションの実行: EC2のエフェメラルドライブを使用することで、サブセットのデータを迅速に処理できます。エフェメラルドライブはEC2インスタンスのストレージとして短期間のデータ保持に適しており、高速なI/O性能を提供します。

他の選択肢は次のような理由で適切ではありません：

B: メモリ内でのシミュレーションは高コストでスケーラビリティがありません。
C: HDFSとエフェメラルドライブの組み合わせは長期保存には向いていません。
D: HDFSとメモリ内シミュレーションは高コストで複雑な設定が必要です。
E: EBSボリュームのスナップショットは長期保存には適しているが、頻繁なデータアクセスには不向きです。

#２５ ．顧客は、アクセスログ、アプリケーションログ、セキュリティログなどのログストリームを1つのシステムに統合したいと考えています。統合後、顧客はヒューリスティックに基づいてリアルタイムでこれらのログを分析したいと考えています。時々、顧客は過去12時間から抽出されたデータサンプルを使用してヒューリスティックを検証する必要があります。

選択肢

A. すべてのログイベントをAmazon SQSに送信し、EC2サーバーのAuto Scalingグループを設定してログを消費し、ヒューリスティックを適用します。
B. すべてのログイベントをAmazon Kinesisに送信し、ログに対してヒューリスティックを適用するクライアントプロセスを開発します。
C. Amazon CloudTrailをカスタムログを受信するように設定し、EMRを使用してログにヒューリスティックを適用します。
D. EC2 syslogdサーバーのAuto Scalingグループを設定し、ログをS3に保存し、EMRを使用してログにヒューリスティックを適用します。

正解

B. すべてのログイベントをAmazon Kinesisに送信し、ログに対してヒューリスティックを適用するクライアントプロセスを開発します。

解説

このアプローチは、以下の理由で顧客の要件を満たしています：

リアルタイム分析: Amazon Kinesisはストリーミングデータをリアルタイムで処理するために設計されており、ログイベントをストリーミングデータとして受信し、分析するのに適しています。
スケーラビリティ: Kinesisは大量のデータを扱うためにスケールできるので、ログの量が増えても対応可能です。
データサンプルの検証: Kinesisはデータの保存期間が比較的長いため、過去のデータサンプルにアクセスするのも容易です。

他の選択肢は次のような理由で適切ではありません：

A: SQSはメッセージングキューサービスであり、リアルタイム分析には適していません。メッセージ処理の後にヒューリスティックを適用するためには、追加の設計が必要です。
C: CloudTrailは主にAPIアクティビティのログを収集するもので、一般的なログ分析には適していません。また、CloudTrailとEMRの組み合わせは複雑です。
D: EC2のsyslogdサーバーを使用すると、管理とスケーリングの手間がかかります。S3へのログ保存も分析には適していませんし、EMRを使用する場合でも、Kinesisほどリアルタイム性がありません。

#２６ ．新聞社は、公開ウェブサイトを通じてバックカタログを検索し、個別の新聞ページを取得できるオンプレミスアプリケーションを持っています。古い新聞をJPEG形式でスキャン（約17TB）し、OCRを使用して商用検索製品にデータを提供しています。ホスティングプラットフォームとソフトウェアは寿命が尽きており、アーカイブをAWSに移行し、コスト効率よく、かつ可用性と耐久性を確保するアーキテクチャを設計したいと考えています。

最も適切なアプローチはどれですか？

選択肢

A. S3の削減冗長性を使用してスキャンしたファイルを保存および提供し、商用検索アプリケーションをEC2インスタンスにインストールし、オートスケーリングとElastic Load Balancerで構成します。
B. CloudFormationを使用して環境をモデル化し、Apacheウェブサーバーを実行するEC2インスタンスとオープンソース検索アプリケーションを使用し、複数の標準EBSボリュームをストライプしてJPEGと検索インデックスを保存します。
C. S3の標準冗長性を使用してスキャンしたファイルを保存および提供し、CloudSearchを使用してクエリ処理を行い、Elastic Beanstalkを使用して複数のアベイラビリティゾーンにわたってウェブサイトをホストします。
D. 単一のAZ RDS MySQLインスタンスを使用して検索インデックスを保存し、JPEG画像を保存し、EC2インスタンスを使用してウェブサイトを提供し、ユーザーのクエリをSQLに変換します。
E. CloudFrontダウンロードディストリビューションを使用してJPEGを最終ユーザーに提供し、現在の商用検索製品とJavaコンテナをEC2インスタンスにインストールし、Route53でDNSラウンドロビンを使用します。

正解

C. S3の標準冗長性を使用してスキャンしたファイルを保存および提供し、CloudSearchを使用してクエリ処理を行い、Elastic Beanstalkを使用して複数のアベイラビリティゾーンにわたってウェブサイトをホストします。

解説

このアプローチは以下の理由で最適です：

耐久性と可用性: S3の標準冗長性は高い耐久性（99.999999999%の耐久性）を提供し、複数のアベイラビリティゾーンにデータを分散して保存します。
コスト効率: S3はスケーラブルでコスト効率が高いストレージオプションです。
検索機能: Amazon CloudSearchはフルテキスト検索、フィルタリング、集計などの機能を提供し、検索インデックスを効率的に管理できます。
ウェブホスティング: Elastic Beanstalkを使用することで、ウェブアプリケーションを複数のアベイラビリティゾーンに展開し、スケーリングと管理が容易になります。

他の選択肢についての理由：

A: S3の削減冗長性は耐久性が低いため、標準冗長性の方が適しています。
B: 複数のEBSボリュームをストライプするのはコストがかかり、管理が複雑になる可能性があります。
D: 単一のAZのRDS MySQLインスタンスは可用性の観点から不十分であり、バックアップや高可用性のためにRDSのマルチAZ配置を検討するべきです。
E: 現在の商用検索製品をEC2にインストールする場合、管理やスケーリングの手間がかかります。CloudFrontは適切ですが、全体のアーキテクチャとしてはCの方がより包括的です。

#２７ ．会社は、グローバルなスケーラビリティとパフォーマンスを確保するためにAmazon CloudFrontを利用している複雑なウェブアプリケーションを運用しています。時間が経つにつれて、ユーザーからウェブアプリケーションの速度が遅くなったという報告があります。運用チームは、CloudFrontのキャッシュヒット率が steadily 減少していると報告しています。キャッシュのメトリクスによると、いくつかのURLのクエリ文字列が不規則に並べられており、大文字と小文字が混在していることがあるとされています。

キャッシュヒット率を迅速に向上させるために、どのアクションを取るべきですか？

選択肢

A. Lambda@Edge 関数をデプロイしてパラメータを名前でソートし、すべてを小文字に変換します。CloudFrontのビューアリクエストトリガーを選択して関数を呼び出します。
B. CloudFrontディストリビューションを更新して、クエリ文字列パラメータに基づくキャッシュを無効にします。
C. ロードバランサーの後にリバースプロキシをデプロイし、アプリケーションが発するURLをポストプロセスしてURL文字列を小文字に変換します。
D. CloudFrontディストリビューションを更新して、大文字と小文字を区別しないクエリ文字列処理を指定します。

正解

A. Lambda@Edge 関数をデプロイしてパラメータを名前でソートし、すべてを小文字に変換します。CloudFrontのビューアリクエストトリガーを選択して関数を呼び出します。

解説

このアプローチは、以下の理由で最適です：

キャッシュヒット率の向上: Lambda@Edge 関数を使用してクエリ文字列のパラメータをソートし、小文字に変換することで、キャッシュキーの一貫性を確保できます。これにより、異なる大文字と小文字、並べ替えの違いによるキャッシュミスを減らし、キャッシュヒット率を向上させることができます。
キャッシュの一貫性: クエリ文字列が統一された形式（ソート済みで小文字）に変換されることで、CloudFrontのキャッシュが一貫して利用されるようになります。

他の選択肢についての理由：

B: クエリ文字列パラメータに基づくキャッシュを無効にすると、クエリ文字列がキャッシュキーに含まれなくなりますが、それではキャッシュの効率を最大化するために必要なキャッシュ戦略の最適化が行えません。
C: リバースプロキシでURLを小文字に変換することは可能ですが、CloudFrontでのキャッシュの効果を高めるためには、ビューアリクエストトリガーでURLを正規化する方が直接的です。
D: CloudFrontは現在、クエリ文字列の大文字と小文字を区別する設定は提供していません。このため、大文字と小文字を区別しない処理の設定は存在しません。

#２８ ．開発（Dev）およびテスト環境をAWSに移行し、それぞれの環境に対して別々のAWSアカウントを使用することに決定しました。請求書は、統合請求を使用してマスターAWSアカウントにリンクする予定です。予算内に収めるために、マスターアカウントの管理者がDevおよびテストアカウントのリソースを停止、削除、または終了できるようにしたいと考えています。これを達成するための最適な方法はどれですか？

選択肢

A. マスターアカウントにフル管理者権限を持つIAMユーザーを作成します。Devおよびテストアカウントにクロスアカウントロールを作成し、マスターアカウントにリソースへのアクセス権を付与し、マスターアカウントから権限を継承させます。
B. マスターアカウントにIAMユーザーとクロスアカウントロールを作成し、Devおよびテストアカウントに対してフル管理者権限を付与します。
C. マスターアカウントにIAMユーザーを作成します。Devおよびテストアカウントにフル管理者権限を持つクロスアカウントロールを作成し、マスターアカウントにアクセス権を付与します。
D. アカウントを統合請求でリンクします。これにより、マスターアカウントのIAMユーザーがDevおよびテストアカウントのリソースにアクセスできます。

正解

C. マスターアカウントにIAMユーザーを作成します。Devおよびテストアカウントにフル管理者権限を持つクロスアカウントロールを作成し、マスターアカウントにアクセス権を付与します。

解説

このアプローチは、以下の理由で最適です：

クロスアカウントロールの設定: Devおよびテストアカウントにフル管理者権限を持つクロスアカウントロールを作成し、マスターアカウントに対してリソースにアクセスできるようにします。これにより、マスターアカウントのIAMユーザーがこれらのアカウントのリソースを管理できます。
権限の付与: クロスアカウントロールにより、リソースに対する権限を適切に管理でき、アクセスが制御された状態でリソースを管理することができます。

他の選択肢についての理由：

A: クロスアカウントロールを作成してマスターアカウントに権限を付与するのは正しいですが、IAMユーザーにフル管理者権限を付与するのではなく、クロスアカウントロールを使用することでよりセキュアな管理が可能です。
B: クロスアカウントロールを作成することで、マスターアカウントからDevおよびテストアカウントのリソースにアクセスできますが、適切な管理者権限の設定がされていないため、選択肢Cの方が適切です。
D: 統合請求は請求の統合に関する機能であり、IAMユーザーにリソースへのアクセス権を付与する機能はありません。

#２９ ．アプリケーションがオンプレミスで実行されており、非x86ハードウェアに依存しているため、AWSをデータバックアップに利用したいと考えています。バックアップアプリケーションはPOSIX互換のブロックベースストレージにのみ書き込むことができます。140TBのデータがあり、これを単一のフォルダーとしてファイルサーバーにマウントしたいと考えています。バックアップ中にユーザーがこのデータの一部にアクセスできる必要があります。どのバックアップソリューションがこの使用ケースに最も適切ですか？

選択肢

A. Storage Gatewayを使用し、Gateway Cached volumesを構成する。
B. バックアップソフトウェアを構成して、S3をデータバックアップのターゲットとして使用する。
C. バックアップソフトウェアを構成して、Glacierをデータバックアップのターゲットとして使用する。
D. Storage Gatewayを使用し、Gateway Stored volumesを構成する。

正解

D. Storage Gatewayを使用し、Gateway Stored volumesを構成する。

解説

Storage Gateway - Gateway Stored volumes: このオプションは、バックアップソフトウェアがPOSIX互換のブロックベースのストレージに書き込むという要件に最も適しており、AWSにデータをバックアップするのに最適です。Gateway Stored volumesは、データをAWSに保存しつつ、オンプレミスでそのデータにアクセスできるようにするため、ユーザーがバックアップ中でもデータにアクセスできるようにします。

他の選択肢についての理由：

A: Gateway Cached volumesは、データをAWSにキャッシュし、オンプレミスにはメタデータのみを保持します。これはブロックベースストレージの要件を満たさない可能性があります。
B: S3はオブジェクトストレージであり、POSIX互換のブロックベースストレージではありません。したがって、バックアップアプリケーションの要件を満たしません。
C: Glacierは長期保存向けであり、低頻度のアクセスを想定しています。バックアップ中にデータに迅速にアクセスする必要があるため、Glacierは適切ではありません。

#３０ ．人気のある製品のWebトラフィックを処理するために、最高財務責任者とITディレクターは、2つのアベイラビリティゾーンに均等に分散された10台のm1.largeの高利用率リザーブドインスタンス（RI）を購入しました。Route 53を使用してトラフィックをElastic Load Balancer（ELB）に配信しています。数か月後、製品がさらに人気となり、追加の容量が必要になりました。その結果、2台のc3.2xlargeの中程度の利用率のRIを購入しました。2台のc3.2xlargeインスタンスをELBに登録しましたが、m1.largeインスタンスは100%の容量に達しており、c3.2xlargeインスタンスは顕著な容量の未使用があります。

最もコスト効果が高く、EC2容量を最も効果的に使用するオプションはどれですか？

選択肢

A. AutoscalingグループとLaunch ConfigurationをELBと構成し、CloudWatchでトリガーされた場合に最大10台のオンデマンドm1.largeインスタンスを追加します。c3.2xlargeインスタンスをシャットオフします。
B. ELBを2台のc3.2xlargeインスタンスで構成し、オンデマンドのAutoscalingグループで最大2台の追加のc3.2xlargeインスタンスを使用します。m1.largeインスタンスをシャットオフします。
C. Route 53のレイテンシーベースのルーティングとヘルスチェックを使用して、EC2 m1.largeおよびc3.2xlargeインスタンスに直接トラフィックをルーティングします。ELBをシャットオフします。
D. 各インスタンスタイプのために別々のELBを使用し、Route 53のウェイト付きラウンドロビンでELBに負荷を分配します。

正解

B. ELBを2台のc3.2xlargeインスタンスで構成し、オンデマンドのAutoscalingグループで最大2台の追加のc3.2xlargeインスタンスを使用します。m1.largeインスタンスをシャットオフします。

解説

B: C3.2xlargeインスタンスはm1.largeインスタンスよりも性能が高いため、コスト効率を最大化し、容量の最適化を図るには、m1.largeインスタンスをシャットオフし、c3.2xlargeインスタンスの使用を増やすのが最適です。Autoscalingグループを設定してc3.2xlargeインスタンスの追加を可能にし、ピーク時の需要に応じて自動的にスケールアウトできるようにします。

他の選択肢についての理由：

A: 追加のm1.largeインスタンスは、すでに100%の容量に達しているm1.largeインスタンスの問題を解決しません。また、m1.largeはc3.2xlargeに比べてパフォーマンスが低いため、効率的ではありません。
C: 直接のルーティングはEC2インスタンスの容量の最適化には寄与しません。ELBを使用することで、トラフィックの負荷分散と高可用性が確保されます。
D: 別々のELBを使用することで複雑さが増し、管理の負担が大きくなります。また、Route 53のウェイト付きラウンドロビンは、トラフィックの均等分配が難しい場合があります。

Dも一つの有効な方法ではありますが、最もコスト効果が高く、EC2容量を最も効率的に使用するアプローチとしてはBがより適切です。以下にその理由を説明します。

D. Use a separate ELB for each instance type and distribute load to ELBs with Route 53 weighted round robin.

この方法では、異なるELBを使用して異なるインスタンスタイプにトラフィックを分配しますが、複数のELBを管理する必要があり、運用や設定が複雑になります。Route 53でのウェイト付きラウンドロビンは、トラフィックの分配を制御できますが、容量の最適化やコスト効率を高めるためには、より統合的なアプローチが望ましいです。

B. Configure ELB with two c3.2xlarge instances and use on-demand Autoscaling group for up to two additional c3.2xlarge instances. Shut off m1.large instances.

この方法では、c3.2xlargeインスタンスを使用することで、パフォーマンスが高く、効率的に容量を使用できます。m1.largeインスタンスをシャットオフし、c3.2xlargeインスタンスのみでのスケーリングを行うことで、全体的なリソースの使用とコストを最適化できます。オンデマンドのAutoscalingグループを使用することで、需要の変動に応じてスケールアウトが可能になります。

#３１ ．グローバルなオーディエンスをターゲットにしたウェブアプリケーションを複数のAWSリージョンで展開し、ドメイン名 example.com で運用しています。ユーザーに最も近いリージョンからウェブリクエストを提供するために、Route 53のレイテンシーベースのルーティングを使用しています。ビジネスの継続性を確保するために、各リージョンのサーバーのダウンタイムに備え、2つのWebサーバーを別々のアベイラビリティゾーンに配置した2つのウェイテッドレコードセットを設定しました。DRテスト中に、あるリージョンのすべてのWebサーバーを無効にすると、Route 53がすべてのユーザーを別のリージョンに自動的にリダイレクトしないことに気付きました。

何が起こっている可能性がありますか？（2つ選択してください）

A. レイテンシーリソースレコードセットは、ウェイテッドリソースレコードセットと組み合わせて使用することはできません。
B. 無効化されたWebサーバーに関連するウェイテッドリソースレコードセットの1つ以上にHTTPヘルスチェックを設定していない。
C. 無効化されたサーバーがあるリージョンのレイテンシーエイリアスリソースレコードセットの重みの値が、他のリージョンの重みよりも高い。
D. 他のリージョンにある2つの動作中のWebサーバーのうちの1つがHTTPヘルスチェックに合格しなかった。
E. 無効化したサーバーがあるリージョンの example.com に関連付けられたレイテンシーエイリアスリソースレコードセットで、「ターゲットの健康状態を評価」を「はい」に設定していない。

正解:

B. 無効化されたWebサーバーに関連するウェイテッドリソースレコードセットの1つ以上にHTTPヘルスチェックを設定していない。
E. 無効化したサーバーがあるリージョンの example.com に関連付けられたレイテンシーエイリアスリソースレコードセットで、「ターゲットの健康状態を評価」を「はい」に設定していない。

解説:

B: Route 53は、リソースが利用可能かどうかを判断するためにヘルスチェックを使用します。ウェイテッドレコードセットに対してヘルスチェックが設定されていない場合、Route 53はサーバーがダウンしていることを検出できず、引き続きトラフィックをルーティングし続ける可能性があります。
E: レイテンシーに基づくルーティングでは、「ターゲットの健康状態を評価」を有効にする必要があります。この設定が無効になっていると、Route 53はサーバーのダウンを適切に処理できず、トラフィックのルーティングに問題が発生する可能性があります。

#３２ ．あなたのスタートアップは、カスタマイズされたガジェットを販売するための注文処理プロセスを実装したいと考えています。生産には平均で3〜4日かかり、一部の注文は最大で6ヶ月かかることがあります。初日は1日に10件の注文が予想され、6ヶ月後には1日1000件、12ヶ月後には1日10,000件になる見込みです。注文が入ると、整合性が確認され、製造工場での生産、品質管理、パッケージング、発送、支払い処理が行われます。プロセスのどの段階でも製品が品質基準を満たさない場合、従業員はプロセスを再実行することができます。顧客には、注文状況や支払い失敗などの重要な問題についてメールで通知されます。

基本のアーキテクチャには、Elastic Beanstalkを使用したウェブサイトと、顧客データと注文用のRDS MySQLインスタンスがあります。

注文処理プロセスを実装し、メールが確実に配信されるようにするには、どの方法が最適ですか？

A. ビジネスプロセス管理アプリケーションをElastic Beanstalkアプリサーバーに追加し、注文状況の追跡にはRDSデータベースを再利用します。Elastic Beanstalkのインスタンスの1つで顧客にメールを送信します。
B. SWF（Simple Workflow Service）を使用し、アクティビティワーカーのAuto Scalingグループと、最小/最大1のデシダインスタンスのAuto Scalingグループを使用します。デシダインスタンスで顧客にメールを送信します。
C. SWF（Simple Workflow Service）を使用し、アクティビティワーカーのAuto Scalingグループと、最小/最大1のデシダインスタンスのAuto Scalingグループを使用します。SES（Simple Email Service）を使用して顧客にメールを送信します。
D. SQS（Simple Queue Service）キューを使用してすべてのプロセスタスクを管理します。タスクをポーリングし、実行するAuto ScalingグループのEC2インスタンスを使用します。SES（Simple Email Service）を使用して顧客にメールを送信します。

正解:

C. SWF（Simple Workflow Service）を使用し、アクティビティワーカーのAuto Scalingグループと、最小/最大1のデシダインスタンスのAuto Scalingグループを使用します。SES（Simple Email Service）を使用して顧客にメールを送信します。

解説:

C: Amazon SWFは、複雑なビジネスプロセスを管理するためのサービスで、アクティビティワーカーとデシダーの構成を使用して、ワークフローを効率的に処理できます。SES（Simple Email Service）は、メール送信を信頼性高く処理できるサービスで、メール配信の確実性を高めるのに適しています。

他の選択肢の説明:

A: Elastic Beanstalkのインスタンスでメールを送信すると、スケーラビリティや信頼性に問題が生じる可能性があります。ビジネスプロセス管理のアプローチとしては、SWFを使用する方が適切です。
B: SWFでのデシダイングは1インスタンスに設定されていますが、メール送信のためにはSESを使用する方が良いです。EC2インスタンスで直接メールを送信するよりも、SESを利用した方が安定したメール配信が可能です。
D: SQSを使用するのは良いアプローチですが、メールの送信にはSESを使用する方がより適切です。また、SWFを使用することでビジネスプロセス全体をより良く管理できる可能性があります。

#３３ ．大規模かつ予測不可能なトラフィック需要に対応しなければならない、Webアプリケーションとデータベース層を持つニュース報道サイトがあります。このアプリケーションは自動でトラフィックの変動に応じる必要があります。どのAWSサービスを使用すれば、この要件を満たすことができますか？

選択肢:

A. ステートレスなインスタンスをWebとアプリケーション層で使用し、ElastiCache Memcachedで同期させ、Auto Scalingグループで管理し、CloudWatchで監視、データベースにはリードレプリカを持つRDSを使用します。

B. ステートフルなインスタンスをWebとアプリケーション層で使用し、Auto Scalingグループで管理し、CloudWatchで監視、データベースにはリードレプリカを持つRDSを使用します。

C. ステートフルなインスタンスをWebとアプリケーション層で使用し、Auto Scalingグループで管理し、CloudWatchで監視、データベースにはMulti-AZ配置のRDSを使用します。

D. ステートレスなインスタンスをWebとアプリケーション層で使用し、ElastiCache Memcachedで同期させ、Auto Scalingグループで管理し、CloudWatchで監視、データベースにはMulti-AZ配置のRDSを使用します。

正解:

解説:

選択肢Aが最も適切な理由は以下の通りです:

ステートレスなインスタンス: ステートレスインスタンスはスケーリングが容易で、トラフィックの変動に柔軟に対応できます。
ElastiCache Memcached: データベースの負荷を軽減し、データの読み取り速度を向上させます。
Auto Scalingグループ: トラフィックの変動に自動で対応し、インスタンスの数を動的に調整します。
CloudWatch: メトリクスに基づいたスケーリングやモニタリングを実現し、アプリケーションの健全性を保ちます。
RDSリードレプリカ: 読み取り負荷を分散し、パフォーマンスを向上させます。

選択肢BとCは、ステートフルなインスタンスを使用しているため、スケーリングやトラフィックの変動への対応が複雑になります。また、選択肢DはMulti-AZ配置のRDSを使用していますが、読み取り性能の向上にはリードレプリカがより適しています。

#３４ ．写真共有のモバイルアプリケーションを設計しています。このアプリケーションでは、すべての写真を単一のAmazon S3バケットに保存します。ユーザーはモバイルデバイスから直接Amazon S3に写真をアップロードし、自分の写真を直接Amazon S3から閲覧およびダウンロードできるようにします。セキュリティを最も安全な方法で設定したいと考えています。

新しいユーザーが写真共有モバイルアプリケーションに登録したときに、サーバーサイドアプリケーションは何を行うべきですか？

選択肢:

A. IAMユーザーを作成し、適切な権限を持つバケットポリシーを更新します。IAMユーザーのアクセスキーとシークレットキーを生成し、それらをモバイルアプリに保存し、これらの資格情報を使用してAmazon S3にアクセスします。

B. IAMユーザーを作成し、適切な権限を割り当てます。IAMユーザーのアクセスキーとシークレットキーを生成し、それらをモバイルアプリに保存し、これらの資格情報を使用してAmazon S3にアクセスします。

C. AWS Security Token Service (STS) を使用して適切な権限の長期的な資格情報を作成します。これらの資格情報をモバイルアプリに保存し、これを使用してAmazon S3にアクセスします。

D. ユーザーの情報をAmazon RDSに記録し、IAMで適切な権限を持つロールを作成します。ユーザーがモバイルアプリを使用する際に、AWS Security Token Service の「AssumeRole」機能を使用して一時的な資格情報を作成します。これらの資格情報をモバイルアプリのメモリに保存し、Amazon S3にアクセスするために使用します。次回モバイルアプリを実行する際に、新しい資格情報を生成します。

E. ユーザーの情報をAmazon DynamoDBに記録します。ユーザーがモバイルアプリを使用する際に、AWS Security Token Service を使用して適切な権限の一時的な資格情報を作成します。これらの資格情報をモバイルアプリのメモリに保存し、Amazon S3にアクセスするために使用します。次回モバイルアプリを実行する際に、新しい資格情報を生成します。

正解:

解説:

選択肢Dが最も適切な理由は以下の通りです:

一時的な資格情報: AWS Security Token Service (STS) を使用して一時的な資格情報を生成することで、長期的な認証情報の漏洩リスクを回避できます。一時的な資格情報は短期間で期限が切れ、セキュリティが向上します。
AssumeRole: AWSの「AssumeRole」機能により、ユーザーに必要な権限を付与するロールを適切に管理できます。これにより、ユーザーに必要な最小限の権限のみを付与することができ、セキュリティが強化されます。
RDSまたはDynamoDB: ユーザーの情報をRDSやDynamoDBに保存し、ユーザーの状態やセッション管理を効率的に行えます。

選択肢A、B、Cは長期的な資格情報の使用や不十分なセキュリティ対策により、セキュリティリスクが高くなります。選択肢Eも一時的な資格情報を使用する点では適切ですが、RDSよりもDynamoDBが選択された理由について具体的な条件が不足しています。

#３５ ．レガシーアプリケーションをデータセンター内の仮想マシンからAmazon VPCに移行する任務があります。このアプリケーションは、複数のオンプレミスサービスにアクセスする必要があり、アプリケーションを構成した人がもう会社におらず、ドキュメントもありません。このアプリケーションが再構成することなく、VPC内で実行されるようにし、内部の依存関係にアクセスできるようにするためには、どの手法を使用すればよいですか？（3つ選択）

選択肢:

A. VPCと内部サービスがあるネットワークとの間にAWS Direct Connectリンクを設置する。

B. VPN接続を許可するためにインターネットゲートウェイを設定する。

C. VPCインスタンスにElastic IPアドレスを割り当てる。

D. オンプレミスのIPアドレス空間と競合しないIPアドレス空間を設定する。

E. インスタンスが依存関係のIPアドレスを解決できるようにするAmazon Route 53のエントリを作成する。

F. 現在の仮想マシンのVM Importを実行する。

正解:

A. VPCと内部サービスがあるネットワークとの間にAWS Direct Connectリンクを設置する。

D. オンプレミスのIPアドレス空間と競合しないIPアドレス空間を設定する。

E. インスタンスが依存関係のIPアドレスを解決できるようにするAmazon Route 53のエントリを作成する。

解説:

A. AWS Direct Connectリンクを使用することで、VPCとオンプレミスのネットワーク間に専用の高速かつセキュアな接続を確立できます。これにより、VPC内のアプリケーションがオンプレミスのサービスに直接アクセスできるようになります。
D. オンプレミスのIPアドレス空間と競合しないIPアドレス空間を設定することで、アプリケーションがIPアドレスの衝突なくオンプレミスサービスと通信できます。これにより、ネットワークアドレス変換(NAT)やその他の複雑な設定が不要になります。
E. Amazon Route 53で依存関係のIPアドレスを解決するためのエントリを作成することで、アプリケーションが依存するサービスの名前解決を容易にし、内部サービスに対する通信をスムーズに行うことができます。

選択肢BのインターネットゲートウェイやCのElastic IPアドレスは、VPC内での内部ネットワークの設定には直接関係しません。また、FのVM Importは仮想マシンを移行する手段であり、アプリケーションの内部依存関係の解決には寄与しません。

#３６ ．定期的な画像分析アプリケーションがあり、入力ファイルを受け取り、分析を行い、各ファイルの結果を出力します。1日に入力されるファイルの数が多く、一日のうちの数時間に集中しています。現在、入力データと結果をホストするEC2サーバーと大きなEBSボリュームがありますが、処理に1日20時間かかっています。

処理時間を短縮し、ソリューションの可用性を向上させるためには、どのサービスを使用すればよいですか？

選択肢:

A. S3にI/Oファイルを保存し、SQSで処理コマンドを複数のホストに分配し、Auto ScalingでSQSキューの長さに応じてホストのグループサイズを動的に変更する。

B. I/Oファイルを保存するためにEBSでProvisioned IOPS (PIOPS)を使用し、SNSで処理コマンドを複数のホストに分配し、Auto ScalingでSNS通知の数に応じてホストのグループサイズを動的に変更する。

C. S3にI/Oファイルを保存し、SNSで処理コマンドを複数のホストに分配し、Auto ScalingでSNS通知の数に応じてホストのグループサイズを動的に変更する。

D. I/Oファイルを保存するためにEBSでProvisioned IOPS (PIOPS)を使用し、SQSで処理コマンドを複数のホストに分配し、Auto ScalingでSQSキューの長さに応じてホストのグループサイズを動的に変更する。

正解:

解説:

A. S3を使用することで、大量のI/Oファイルをスケーラブルで高可用性のストレージに保存できます。SQSを利用して処理コマンドを複数のホストに分配し、各ホストが並行して処理を行うことができます。Auto Scalingを使用して、SQSキューの長さに応じてホストの数を動的に調整することで、ピーク時の負荷に対応し、処理時間を短縮することができます。
B. EBSのProvisioned IOPS (PIOPS)は高パフォーマンスのストレージを提供しますが、SNSはメッセージ配信に特化しており、処理の分配には適していません。また、SNSは主に通知用であり、処理の分配にはSQSがより適しています。
C. SNSは通知サービスであり、処理コマンドの分配にはSQSが適しています。また、Auto ScalingはSNS通知の数に基づいてホストをスケーリングする機能を提供していません。
D. EBSのProvisioned IOPS (PIOPS)はストレージのパフォーマンスを向上させますが、SQSを使用することで処理コマンドの分配が可能です。ただし、Provisioned IOPSはこのケースでは必要ない可能性があります。S3はスケーラブルなストレージソリューションとして推奨されます。

#３７ ．アプリケーションのストレージレイヤーを設計するように依頼されました。このアプリケーションには少なくとも100,000 IOPSのディスクパフォーマンスが必要です。さらに、ストレージレイヤーは、個々のディスク、EC2インスタンス、またはAvailability Zoneの損失に対してデータ損失なしで耐えられる必要があります。また、ボリュームの容量は少なくとも3 TBでなければなりません。

次の設計のうち、これらの目的を満たすものはどれですか？

選択肢:

A. c3.8xlargeインスタンスをus-east-1でインスタンス化し、4x1TBのEBSボリュームをプロビジョニングしてインスタンスに接続し、RAID 5ボリュームとして構成します。EBSスナップショットは15分ごとに実行します。

B. c3.8xlargeインスタンスをus-east-1でインスタンス化し、3x1TBのEBSボリュームをプロビジョニングしてインスタンスに接続し、RAID 0ボリュームとして構成します。EBSスナップショットは15分ごとに実行します。

C. i2.8xlargeインスタンスをus-east-1aでインスタンス化し、インスタンスに付属の4つの800GB SSDエピhemeralディスクを使用してRAID 0ボリュームを作成します。さらに、3x1TBのEBSボリュームをプロビジョニングし、インスタンスに接続して2つ目のRAID 0ボリュームを構成します。エピhemeralバックボリュームからEBSバックボリュームへの同期ブロックレベルレプリケーションを構成します。

D. c3.8xlargeインスタンスをus-east-1でインスタンス化し、AWS Storage Gatewayをプロビジョニングして3TBのストレージと100,000 IOPSの設定を構成します。ボリュームをインスタンスに接続します。

E. i2.8xlargeインスタンスをus-east-1aでインスタンス化し、インスタンスに付属の4つの800GB SSDエピhemeralディスクを使用してRAID 0ボリュームを作成します。同期ブロックレベルレプリケーションを使用して、同様に構成されたインスタンスにus-east-1bでレプリケーションします。

正解:

解説:

E. i2.8xlargeインスタンスのエピhemeralディスクは高いIOPS性能を提供するため、RAID 0で構成することで大きなストレージ性能を実現できます。さらに、レプリケーションを使用して異なるAvailability Zoneにデータを同期することで、単一のインスタンスやAvailability Zoneの障害に対する耐障害性を確保できます。
A. RAID 5は冗長性を提供しますが、EBSボリュームのパフォーマンスは1ボリュームあたりのIOPSに制限されるため、100,000 IOPSの要件を満たすのは難しいです。また、RAID 5ではパフォーマンスよりも冗長性を重視するため、性能要件に合わない可能性があります。
B. RAID 0はパフォーマンス向上に寄与しますが、単一のEBSボリュームのパフォーマンス制限や耐障害性の問題があります。
C. RAID 0のEBSボリュームは高いIOPSを提供するかもしれませんが、エピhemeralディスクからのレプリケーションの方法が必要です。また、EBSとエピhemeralディスクの複雑な設定が必要で、パフォーマンスや耐障害性の要件を満たすかは不確実です。
D. AWS Storage Gatewayは主にオンプレミスとAWSクラウド間のストレージ接続に使用され、100,000 IOPSのパフォーマンスを直接保証するわけではありません。

#３８ ．あなたは、モバイルの睡眠トラッキングアプリケーションを運営している会社の新しいITアーキテクトです。夜間にアクティブになると、モバイルアプリは1キロバイトのデータポイントを5分ごとにバックエンドに送信します。バックエンドはユーザーの認証を行い、データポイントをAmazon DynamoDBテーブルに書き込みます。毎朝、テーブルをスキャンして、昨夜のデータをユーザーごとに集計し、結果をAmazon S3に保存します。ユーザーには、新しいデータが利用可能であることをAmazon SNSモバイルプッシュ通知で通知し、モバイルアプリで解析して視覚化します。

現在、約10万人のユーザーが主に北米に集中しています。バックエンドシステムのコストを削減するためにアーキテクチャを最適化するように依頼されました。以下の選択肢から、推奨されるものを2つ選んでください。

選択肢:

A. モバイルアプリがAmazon DynamoDBに直接アクセスするようにし、Amazon S3に保存されているJSONファイルを使用しないようにする。

B. データをAmazon Redshiftクラスターに直接書き込み、Amazon DynamoDBとAmazon S3の両方を置き換える。

C. データの書き込みをバッファリングするためにAmazon SQSキューを導入し、Amazon DynamoDBテーブルへのプロビジョニング書き込みスループットを削減する。

D. Amazon ElastiCacheを導入して、Amazon DynamoDBテーブルからの読み取りをキャッシュし、プロビジョニングされた読み取りスループットを削減する。

E. 毎日新しいAmazon DynamoDBテーブルを作成し、そのデータがAmazon S3に保存された後に前日のテーブルを削除する。

正解:

D. Amazon ElastiCacheを導入して、Amazon DynamoDBテーブルからの読み取りをキャッシュし、プロビジョニングされた読み取りスループットを削減する。

解説:

C. Amazon SQSを導入することで、データの書き込みをバッファリングでき、DynamoDBテーブルへの書き込みリクエストを効率的に処理することができます。これにより、DynamoDBのプロビジョニング書き込みスループットを削減し、コストを最適化できます。
D. Amazon ElastiCacheを使用することで、DynamoDBからの読み取りリクエストをキャッシュし、データベースへの負荷を減らすことができます。これにより、DynamoDBの読み取りスループットのコストを削減し、全体のコスト効率を改善できます。
A. DynamoDBに直接アクセスするようにすると、DynamoDBのコストは削減できませんし、JSONファイルをAmazon S3に保存している理由が解決されるわけでもありません。
B. Amazon Redshiftは主にデータウェアハウス用途であり、リアルタイムのデータ書き込みには最適ではないため、DynamoDBとS3を完全に置き換えるのは適切ではありません。
E. 毎日新しいテーブルを作成し、古いテーブルを削除することでストレージコストは削減できるかもしれませんが、データの管理が複雑になり、全体のアーキテクチャのパフォーマンスとコスト効率を改善するわけではありません。

#３９ ．大手不動産仲介業者が、既存のモバイルアプリケーションにコスト効果の高い位置情報ベースのアラート機能を追加するオプションを検討しています。アプリケーションのバックエンドインフラは現在AWS上で稼働しています。サービスにオプトインしたユーザーは、自分の位置に近い不動産オファーについてモバイルデバイスでアラートを受け取ります。アラートが関連性を持つためには、配信時間が数分以内である必要があります。既存のモバイルアプリには米国全体で500万人のユーザーがいます。

以下のアーキテクチャ提案の中で、最も適切なものはどれですか？

選択肢:

A. モバイルアプリケーションは、Elastic Load BalancingとEC2インスタンスを利用してウェブサービスエンドポイントに位置情報を送信します。DynamoDBを使用して関連するオファーを保存および取得します。EC2インスタンスは、モバイルキャリア/デバイスプロバイダーと通信して、アラートをモバイルアプリケーションにプッシュします。

B. AWS DirectConnectまたはVPNを使用してモバイルキャリアとの接続を確立します。EC2インスタンスはキャリア接続を通じてモバイルアプリケーションの位置情報を受信し、RDSを使用して関連するオファーを保存します。EC2インスタンスはモバイルキャリアと通信して、アラートをモバイルアプリケーションにプッシュします。

C. モバイルアプリケーションはSQSを使用してデバイスの位置情報を送信します。EC2インスタンスはDynamoDBから関連するオファーを取得します。AWS Mobile Pushを使用して、オファーをモバイルアプリケーションに送信します。

D. モバイルアプリケーションはAWS Mobile Pushを使用してデバイスの位置情報を送信します。EC2インスタンスはDynamoDBから関連するオファーを取得します。EC2インスタンスはモバイルキャリア/デバイスプロバイダーと通信して、アラートをモバイルアプリケーションにプッシュします。

正解:

解説:

C. AWS SQS（Simple Queue Service）は、高スループットで信頼性の高いメッセージキューを提供し、位置情報データをEC2インスタンスに安全に送信するために使用できます。DynamoDBはスケーラブルで高パフォーマンスなNoSQLデータベースであり、関連するオファーの取得に適しています。AWS Mobile Pushは、モバイルデバイスへのプッシュ通知の送信に特化しており、リアルタイムでのアラート配信に適しています。
A. Elastic Load BalancingとEC2インスタンスを使用する方法も考えられますが、これにより多くのトラフィックが発生し、コストが高くなる可能性があります。また、モバイルデバイスとの通信を直接EC2インスタンスで処理するのは効率的ではありません。
B. AWS DirectConnectやVPNを使用してモバイルキャリアと接続する方法は、コストが高く、設定も複雑です。直接的なキャリア接続は通常、必要ありません。
D. AWS Mobile Pushは、位置情報の送信に使用するには適していません。また、モバイルキャリアとの通信をEC2インスタンスが処理する方法もコストと効率の面で最適ではありません。

#４０ ．現在、AWS US-Eastリージョンでウェブアプリケーションを運営しています。アプリケーションは、オートスケールされたEC2インスタンスとRDS Multi-AZデータベースで実行されています。ITセキュリティコンプライアンス担当者から、EC2、IAM、RDSリソースの変更を追跡する信頼性が高く耐久性のあるログソリューションを開発するように指示されました。このソリューションは、ログデータの完全性と機密性を確保する必要があります。

以下のうち、どのソリューションを推奨しますか？

選択肢:

A. 新しいCloudTrailトレイルを作成し、新しいS3バケットにログを保存します。グローバルサービスオプションを選択し、IAMロール、S3バケットポリシー、およびMFA Deleteを設定します。

B. 新しいCloudTrailを作成し、新しいS3バケットにログを保存します。SNSを設定して、ログファイル配信通知を管理システムに送信します。IAMロールおよびS3バケットポリシーを設定します。

C. 新しいCloudTrailトレイルを作成し、既存のS3バケットにログを保存します。グローバルサービスオプションを選択し、S3 ACLsおよびMFA Deleteを設定します。

D. 3つの新しいCloudTrailトレイルを作成し、それぞれに3つの新しいS3バケットを作成してログを保存します。1つはAWS Management Console用、1つはAWS SDK用、1つはコマンドラインツール用です。IAMロールおよびS3バケットポリシーを設定します。

正解:

解説:

A. CloudTrailトレイルを作成し、新しいS3バケットにログを保存することで、ログの一貫性と完全性を確保できます。グローバルサービスオプションを選択することで、AWSのグローバルサービスに対するアクティビティも記録されます。IAMロールとS3バケットポリシーを設定してアクセス制御を行い、MFA Deleteを設定することで、ログデータの不正削除を防ぐことができます。
B. SNSでログファイル配信通知を設定するのは便利ですが、SNSの利用は完全性や機密性の確保には直接関係しません。また、CloudTrailのトレイルとS3バケットポリシーだけでは、完全なセキュリティ要件を満たすとは限りません。
C. 既存のS3バケットを使用する場合、そのバケットが十分に保護されているか確認する必要があります。S3 ACLsの設定も役立ちますが、MFA Deleteを設定する方が安全です。
D. 複数のCloudTrailトレイルを作成する方法は、管理の複雑さを増す可能性があります。また、通常は1つのトレイルで十分であり、リソースの分散管理は不要です。

#４１ ．部門では、会社のログファイルから定期的な分析レポートを作成しています。すべてのログデータはAmazon S3に収集され、Amazon Elastic MapReduce (EMR)ジョブによって毎日処理され、毎日のPDFレポートとCSV形式の集計テーブルがAmazon Redshiftデータウェアハウスに生成されています。CFOから、このシステムのコスト構造を最適化するように依頼されました。

システムの平均パフォーマンスや生データの整合性を損なうことなく、コストを削減するために、どの選択肢が最も適切ですか？

選択肢:

A. Amazon S3のすべてのデータに対して低冗長性ストレージ（RRS）を使用します。Amazon EMRジョブには、スポットインスタンスとリザーブドインスタンスの組み合わせを使用します。Amazon Redshiftにはリザーブドインスタンスを使用します。

B. PDFおよびCSVデータに対して、Amazon S3で低冗長性ストレージ（RRS）を使用します。EMRジョブにスポットインスタンスを追加します。Amazon Redshiftにはスポットインスタンスを使用します。

C. PDFおよびCSVデータに対して、Amazon S3で低冗長性ストレージ（RRS）を使用します。Amazon EMRジョブにスポットインスタンスを追加します。Amazon Redshiftにはリザーブドインスタンスを使用します。

D. Amazon S3のすべてのデータに対して低冗長性ストレージ（RRS）を使用します。Amazon EMRジョブにスポットインスタンスを追加します。Amazon Redshiftにはリザーブドインスタンスを使用します。

正解:

解説:

C. Amazon S3のPDFおよびCSVデータに対して低冗長性ストレージ（RRS）を使用することで、コストを削減できます。RRSはコストが安価ですが、耐久性が低いため、集計データなどの比較的可用性が求められるデータに適しています。また、EMRジョブにスポットインスタンスを使用することで、コストをさらに削減できます。スポットインスタンスは一時的なリソースとして提供され、通常のオンデマンドインスタンスよりも低価格です。Amazon Redshiftにはリザーブドインスタンスを使用することで、長期間の利用に対してコストを削減できます。リザーブドインスタンスは、予測可能な使用パターンに基づいて大幅なコスト削減を提供します。
A. RRSをすべてのデータに使用するのは、安全性の面でリスクがあるため推奨されません。特に、重要な生データやバックアップに対しては、標準のS3ストレージクラスを使用する方が望ましいです。
B. Amazon Redshiftにスポットインスタンスを使用するのは、性能や安定性の面で問題が発生する可能性があるため、通常はリザーブドインスタンスを使用する方が安定します。
D. すべてのデータにRRSを使用するのは、データの安全性を考慮すると適切ではありません。また、スポットインスタンスをすべてのEMRジョブで使用する場合、ジョブの中断リスクが高くなる可能性があります。

#４２ ．大量のデータをAmazon S3に保存し、Amazon Elastic MapReduce (EMR)を使用して分析しています。現在、cc2.8xlarge インスタンスタイプを使用しており、処理中にCPUがほとんどアイドル状態です。ジョブのランタイムを最もコスト効率よく削減するためには、どの方法が最も適切ですか？

選択肢:

A. Amazon S3により多くの小さなファイルを作成する。

B. タスクグループを導入して、追加の cc2.8xlarge インスタンスを追加する。

C. より小さなインスタンスで、より高い集約I/Oパフォーマンスを持つインスタンスを使用する。

D. Amazon S3により少ない大きなファイルを作成する。

正解:

C. より小さなインスタンスで、より高い集約I/Oパフォーマンスを持つインスタンスを使用する。

解説:

C. cc2.8xlarge インスタンスは高いI/Oパフォーマンスを持つ一方で、CPUリソースがアイドル状態であることから、I/O性能がボトルネックである可能性があります。より小さなインスタンスで、より高い集約I/Oパフォーマンスを持つインスタンス（例: i3 シリーズなど）を使用することで、データの読み書き性能が改善され、ジョブのランタイムを短縮できる可能性があります。また、I/O性能が高いインスタンスを使用することで、全体のジョブ処理時間を短縮し、コスト効率も向上させることができます。
A. より多くの小さなファイルに分割することは、データ処理のオーバーヘッドを増加させ、かえってパフォーマンスを低下させる可能性があります。
B. 追加の cc2.8xlarge インスタンスを追加することで、リソースが増えますが、CPUがアイドル状態である場合、単にインスタンス数を増やすだけではパフォーマンス改善にはつながらない可能性があります。
D. より少ない大きなファイルを作成することで、データの読み込みが効率的に行える場合がありますが、I/O性能の問題には直接対応しないため、根本的な解決にはなりません。

#４３ ．AWSの顧客がAuto ScalingグループのEC2インスタンスで構成されたアプリケーションをデプロイしています。顧客のセキュリティポリシーでは、これらのインスタンスから他のサービスへのすべてのアウトバウンド接続は、特定のインスタンスIDを含む一意のX.509証明書を使用して認証する必要があります。また、X.509証明書は顧客のキー管理サービスによって署名され、認証に信頼される必要があります。

この要件をサポートする構成はどれですか？

選択肢:

A. IAMロールを設定し、署名済み証明書を含むAmazon S3オブジェクトへのアクセスを許可します。Auto Scalingグループを構成して、このロールでインスタンスを起動します。インスタンスは起動時にAmazon S3から証明書を取得します。

B. Auto Scalingグループで使用されるAmazon Machine Image (AMI) に証明書を埋め込みます。起動したインスタンスが、インスタンスに割り当てられたインスタンスIDで証明書署名要求をキー管理サービスに送信します。

C. Auto Scalingグループを構成して、新しいインスタンスの起動を信頼されたキー管理サービスにSNS通知で送信します。キー管理サービスは署名された証明書を生成し、新しく起動したインスタンスに直接送信します。

D. 起動したインスタンスが初回起動時に新しい証明書を生成するように設定します。キー管理サービスがAuto Scalingグループをポーリングして関連付けられたインスタンスを検出し、新しいインスタンスに特定のインスタンスIDを含む証明書署名を送信します。

正解:

解説:

A. IAMロールを使用して、署名済み証明書をAmazon S3から取得する方法は、証明書管理の自動化とセキュリティを保つために最も適しています。インスタンスが起動時に証明書を取得できるため、証明書の管理と配布が効率的に行えます。
B. AMIに証明書を埋め込む方法は、証明書の更新や管理が難しくなるため、最適ではありません。インスタンスごとに一意の証明書が必要ですが、AMIには静的な証明書しか含められないため、要件に合いません。
C. SNS通知を使用して証明書を取得する方法は、リアルタイム性とセキュリティの観点から複雑であり、証明書の生成と配布の管理が難しくなる可能性があります。
D. 起動時にインスタンスが証明書を生成し、キー管理サービスがポーリングして証明書を送信する方法は、管理と同期の複雑さが増す可能性があります。証明書の生成と配布の管理が非効率的であるため、最適ではありません。

#４４ ．あなたの会社は、顧客向けのイベント登録サイトを運営しています。このサイトは、Webとアプリケーションの2つの層、そしてMySQLデータベースで構成された3層アーキテクチャで構築されています。アプリケーションは、通常の運用に6台のWeb層サーバーと6台のアプリケーション層サーバーを必要とし、最小でも65%のサーバー容量で運用可能です。デプロイするリージョンには3つのアベイラビリティゾーン（AZ）が存在します。高可用性を提供するアーキテクチャはどれですか？

選択肢:

A. Web層は2つのAZに展開し、各AZに3台のEC2インスタンスをAuto Scalingグループ内に配置し、ELBの背後に配置します。アプリケーション層も2つのAZに展開し、各AZに3台のEC2インスタンスをAuto Scalingグループ内に配置し、ELBの背後に配置します。MySQLデータベースは1つのAZに展開し、他のAZにはリードレプリカを配置します。

B. Web層は3つのAZに展開し、各AZに2台のEC2インスタンスをAuto Scalingグループ内に配置し、ELBの背後に配置します。アプリケーション層も3つのAZに展開し、各AZに2台のEC2インスタンスをAuto Scalingグループ内に配置し、ELBの背後に配置します。MySQLデータベースは1つのAZに展開し、2つの他のAZにリードレプリカを配置します。

C. Web層は2つのAZに展開し、各AZに3台のEC2インスタンスをAuto Scalingグループ内に配置し、ELBの背後に配置します。アプリケーション層も2つのAZに展開し、各AZに3台のEC2インスタンスをAuto Scalingグループ内に配置し、ELBの背後に配置します。MySQLデータベースはMulti-AZ展開されます。

D. Web層は3つのAZに展開し、各AZに2台のEC2インスタンスをAuto Scalingグループ内に配置し、ELBの背後に配置します。アプリケーション層も3つのAZに展開し、各AZに2台のEC2インスタンスをAuto Scalingグループ内に配置し、ELBの背後に配置します。MySQLデータベースはMulti-AZ展開されます。

正解:

解説:

D. この構成は高可用性を提供します。Web層とアプリケーション層が3つのAZに展開されており、各AZに2台のEC2インスタンスが配置されているため、1つのAZが障害に陥った場合でも他のAZでサービスを継続できます。また、Multi-AZ RDSはデータベースの高可用性を提供し、1つのAZで問題が発生してもデータベースは他のAZで利用可能です。
A. Web層とアプリケーション層が2つのAZに展開されており、MySQLデータベースも単一のAZに配置されているため、AZの障害に対する耐性が不十分です。
B. Web層とアプリケーション層が3つのAZに展開されており、リードレプリカが設定されていますが、リードレプリカは書き込み処理には対応できないため、データベースの高可用性としては不完全です。
C. Web層とアプリケーション層が2つのAZに展開されているため、1つのAZの障害に対する耐性が不足していますが、Multi-AZ RDSは高可用性を提供します。

#４５ ．お客様は、いくつかのWebサーバー、いくつかのアプリケーションサーバー、および小さな（50GBの）Oracleデータベースで構成されるエンタープライズアプリケーションをAWSに展開したいと考えています。情報は、データベースとさまざまなサーバーのファイルシステムの両方に保存されます。バックアップシステムは、データベースのリカバリー、サーバー全体のリストア、ディスク全体のリストア、個々のファイルのリストアをサポートし、リカバリー時間は最大で2時間以内である必要があります。データベースにはRDS Oracleを使用することに決定しました。どのバックアップアーキテクチャがこれらの要件を満たしますか？

選択肢:

A. RDSの自動日次DBバックアップを使用してバックアップを行います。EC2インスタンスはAMIを使用してバックアップし、ファイルレベルのバックアップはS3に対して伝統的なエンタープライズバックアップソフトウェアを使用して提供します。

B. RDSはMulti-AZデプロイメントを使用してバックアップします。EC2インスタンスはAMIを使用してバックアップし、ファイルシステムデータはS3にコピーしてファイルレベルのリストアを提供します。

C. RDSデータベースを自動日次DBバックアップでバックアップします。EC2インスタンスはEBSスナップショットを使用してバックアップし、ファイルレベルのバックアップはAmazon Glacierに対して伝統的なエンタープライズバックアップソフトウェアを使用して提供します。

D. RDSデータベースをS3にOracle RMANを使用してバックアップします。EC2インスタンスはAMIを使用してバックアップし、個々のボリュームのリストアにはEBSスナップショットを補足します。

正解:

解説:

A. この構成は、RDSの自動バックアップ機能を利用して、データベースのバックアップとリカバリーをサポートします。EC2インスタンスはAMIを使用してバックアップすることで、サーバー全体のリストアが可能です。ファイルレベルのバックアップにはS3を利用し、伝統的なエンタープライズバックアップソフトウェアを使用することで、個別ファイルのリストアもサポートされます。リカバリー時間は2時間以内で対応可能です。
B. Multi-AZ RDSデプロイメントは高可用性を提供しますが、バックアップとリカバリー要件には直接関係しません。ファイルシステムデータのバックアップがS3にコピーされることでファイルレベルのリストアは可能ですが、AMIを使用してもサーバー全体のリストアには対応できません。
C. EBSスナップショットを使用することで、EC2インスタンスのボリュームのバックアップが可能ですが、Amazon Glacierは長期アーカイブ用であり、迅速なリストアを必要とするファイルレベルのバックアップには適していません。
D. Oracle RMANをS3に使用してバックアップするのは不適切です。RMANは通常、オンプレミスのOracle環境で使用されるため、AWSのバックアップソリューションとしては一般的ではありません。AMIとEBSスナップショットの組み合わせは良い選択ですが、RMANを使用する必要はありません。

#４６ ．あなたの会社は東京に本社があり、世界中に支社を持っており、AWSで日本、ヨーロッパ、アメリカにマルチリージョンの展開をしている物流ソフトウェアを使用しています。この物流ソフトウェアは3層アーキテクチャで、現在はデータの永続化にMySQL 5.6を使用しています。各リージョンにそれぞれ独自のデータベースが展開されています。

本社リージョンでは、毎時バッチ処理を実行して、すべてのリージョンからデータを読み取り、クロスリージョンのレポートを計算して、すべてのオフィスにメールで送信しています。このバッチ処理は、迅速に物流を最適化するためにできるだけ早く完了する必要があります。要件を満たすためのデータベースアーキテクチャをどのように構築しますか？

選択肢:

A. 各リージョンの展開には、リージョン内にマスターがあり、本社リージョンにリードレプリカを持つRDS MySQLを使用する。

B. 各リージョンの展開には、リージョン内にマスターがあり、毎時EBSスナップショットを本社リージョンに送信するMySQL on EC2を使用する。

C. 各リージョンの展開には、リージョン内にマスターがあり、毎時RDSスナップショットを本社リージョンに送信するRDS MySQLを使用する。

D. 各リージョンの展開には、リージョン内にマスターがあり、S3を使用してデータファイルを毎時本社リージョンにコピーするMySQL on EC2を使用する。

E. Direct Connectを使用して、すべてのリージョンのMySQL展開を本社リージョンに接続し、バッチ処理のネットワーク遅延を削減する。

正解:

A. 各リージョンの展開には、リージョン内にマスターがあり、本社リージョンにリードレプリカを持つRDS MySQLを使用する。

解説:

A. この構成では、各リージョンのRDS MySQLインスタンスに対して、リージョン内にマスターを持ち、本社リージョンにはリードレプリカを配置します。リードレプリカを使用することで、データの読み取りが本社リージョンで迅速に行え、クロスリージョンのバッチ処理のパフォーマンスを向上させることができます。これにより、データの転送が最適化され、必要なクロスリージョンレポートを素早く生成できます。
B. EBSスナップショットを使用してデータをコピーする方法は、バックアップやディザスタリカバリーには適していますが、毎時スナップショットを取ることは非効率的で、バッチ処理には向いていません。
C. RDSスナップショットを使ってデータを本社リージョンに送信する方法も、バックアップやディザスタリカバリーには適していますが、毎時スナップショットを取ることは非効率的であり、データ取得の即時性が求められるクロスリージョンレポートの生成には適しません。
D. S3を使用してデータファイルをコピーする方法は、ファイル転送には適していますが、MySQLのデータベースの整合性やリアルタイム性を保つためには適していません。
E. Direct Connectを使用することでネットワーク遅延を削減できますが、データの整合性を保証する方法や、リードレプリカを用いたデータ取得の即時性を提供する方法ではありません。

#４７ ．ウェブデザイン会社は現在、250人の顧客が大きなグラフィックファイルをアップロードおよびダウンロードするために複数のFTPサーバーを運営しています。彼らはこのシステムをAWSに移行して、よりスケーラブルにしたいと考えていますが、顧客のプライバシーを維持し、コストを最小限に抑えたいと考えています。どのAWSアーキテクチャを推奨しますか？

選択肢:

A. 顧客にFTPクライアントの代わりにS3クライアントを使用するように依頼します。単一のS3バケットを作成し、顧客ごとにIAMユーザーを作成します。IAMユーザーを、バケット内のサブディレクトリにアクセスするためのIAMポリシーを持つグループに追加します。

B. Reduced Redundancy Storageがオンになった単一のS3バケットを作成し、顧客にFTPクライアントの代わりにS3クライアントを使用するように依頼します。各顧客ごとにバケットを作成し、バケットポリシーを設定してその顧客だけがアクセスできるようにします。

C. FTPサーバーの自動スケーリンググループを作成し、スケーリングポリシーを設定して、ネットワークトラフィックが指定の閾値を下回った場合に自動的にスケールインします。各インスタンスの起動スクリプトで、S3から中央のFTPユーザーリストを読み込みます。

D. Requester Paysがオンになった単一のS3バケットを作成し、顧客にFTPクライアントの代わりにS3クライアントを使用するように依頼します。各顧客ごとにバケットを作成し、バケットポリシーを設定してその顧客だけがアクセスできるようにします。

正解:

解説:

A. この構成は、顧客ごとにIAMユーザーを作成し、それぞれに適切なサブディレクトリへのアクセスを許可するポリシーを設定することで、顧客のプライバシーを維持します。S3を利用することで、スケーラブルでコスト効率の良いストレージソリューションを提供でき、FTPサーバーの管理コストを削減できます。また、IAMポリシーでアクセス制御が可能です。
B. Reduced Redundancy Storageは現在推奨されていないため、標準ストレージクラス（S3 Standard）を使用するのが良いでしょう。また、顧客ごとにバケットを作成するのは管理が複雑になり、コストも増加する可能性があります。
C. FTPサーバーの自動スケーリングは、スケーラビリティを提供しますが、S3を使用することでFTPサーバーを完全に廃止し、よりコスト効率よくスケールすることができます。また、S3はファイルのアップロードとダウンロードに最適化されており、セキュリティとスケーラビリティも提供します。
D. Requester Paysオプションは、リクエスターがデータ転送料を負担するもので、顧客にとって追加のコストが発生する可能性があります。顧客ごとにバケットを作成するのも管理が複雑になります。

#４８ ．本番環境のミラーイメージを別のリージョンに作成して災害復旧の目的で使用したいと考えています。次のうち、別のリージョンで再作成する必要がないAWSリソースはどれですか？（2つ選んでください。）

選択肢:

A. Route 53 Record Sets

B. IAM Roles

C. Elastic IP Addresses (EIP)

D. EC2 Key Pairs

E. Launch configurations

F. Security Groups

正解:

A. Route 53 Record Sets
B. IAM Roles

解説:

Route 53 Record Sets (A): Route 53のレコードセットはグローバルサービスであり、AWSアカウント内でリージョンに依存せずに管理されます。別のリージョンでのミラーイメージを作成する際には、Route 53のレコードセットは再作成の必要がなく、DNS設定はグローバルに適用されます。
IAM Roles (B): IAMロールはAWSアカウント内で管理され、特定のリージョンに依存しません。異なるリージョンで同じ設定を使用することができますが、ロールの設定やポリシーはアカウント全体で共通して利用されるため、別のリージョンで再作成する必要はありません。
Elastic IP Addresses (C): Elastic IPアドレスはリージョンごとに割り当てられ、異なるリージョンに同じEIPを移動することはできません。別のリージョンで新たにEIPを割り当てる必要があります。
EC2 Key Pairs (D): EC2のキーペアはリージョンごとに作成され、異なるリージョンで再作成する必要があります。キーの管理と利用には新しいリージョンでの設定が必要です。
Launch configurations (E): ランチコンフィグは特定のリージョンに関連しており、別のリージョンで同様の設定を持つ新しいランチテンプレートやランチコンフィグを作成する必要があります。
Security Groups (F): セキュリティグループはリージョンに依存しないため、異なるリージョンで再作成する必要があります。セキュリティグループはリソースのネットワークアクセスを制御するため、環境をミラーリングする際には再設定が必要です。

#４９ ．あなたの会社は現在、オンプレミスデータセンターで2層のウェブアプリケーションを運用しています。過去2ヶ月でいくつかのインフラ障害が発生し、かなりの財務的損失が出ました。CIOはアプリケーションをAWSに移行することに強く同意しています。別の会社の役員からの承認を得るために作業している間、CIOはビジネス継続性を改善するための災害復旧計画を策定するように求めています。彼は4時間の復旧時間目標（RTO）と1時間以下の復旧ポイント目標（RPO）を指定しており、2週間以内にこのソリューションを実装するように求めています。データベースは200GBのサイズで、インターネット接続は20Mbpsです。コストを最小限に抑えつつ、これをどのように実施しますか？

選択肢:

A. EBSバックアップのプライベートAMIを作成し、アプリケーションの新規インストールを含めます。CloudFormationテンプレートを開発し、AMIおよび必要なEC2、AutoScaling、およびELBリソースを含めて、複数のアベイラビリティゾーンにわたってアプリケーションを展開します。VPN接続を通じて、オンプレミスデータベースからAWSのデータベースインスタンスにトランザクションを非同期で複製します。

B. EC2インスタンスを使用して、複数のアベイラビリティゾーンにわたってAuto Scalingグループ内にアプリケーションをデプロイします。VPN接続を通じて、オンプレミスデータベースからAWSのデータベースインスタンスにトランザクションを非同期で複製します。

C. EBSバックアップのプライベートAMIを作成し、アプリケーションの新規インストールを含めます。データセンター内にスクリプトを設定して、ローカルデータベースを毎時バックアップし、暗号化してS3バケットにマルチパートアップロードを使用してコピーします。

D. アプリケーションの平均負荷をサポートできるコンピュート最適化EC2インスタンスにアプリケーションをインストールします。オンプレミスデータベースからAWSのデータベースインスタンスへのトランザクションを同期的に複製するために、Direct Connect接続を使用します。

正解:

解説:

選択肢Aは、CloudFormationテンプレートを使用してインフラストラクチャをデプロイするアプローチですが、トランザクションの非同期複製は、データの整合性を保ちながらRTOとRPOを満たすのが難しい場合があります。
選択肢Bは、Auto Scalingグループと複数のアベイラビリティゾーンにわたってEC2インスタンスをデプロイし、VPN接続を使用して非同期的にデータを複製します。この方法は、スケーラビリティと高可用性を提供し、RTOとRPOの要件を満たす可能性が高いです。
選択肢Cは、EBSバックアップのAMIを使用し、ローカルデータベースを毎時バックアップしてS3にコピーしますが、データベースの復旧に関する要件に完全には応じられない可能性があります。
選択肢Dは、Direct Connectを使用して同期的にトランザクションを複製しますが、Direct Connectの設定とコストが高いため、コスト効果が薄いです。

#５０ ．企業は、サードパーティのSaaSアプリケーションを使用したいと考えています。このSaaSアプリケーションは、企業アカウント内で実行されているAmazon EC2リソースを発見するためにいくつかのAPIコマンドを発行する必要があります。企業には、外部のアクセスが最小権限の原則に従う必要があり、SaaSベンダーが使用する認証情報が他の第三者によって使用されないようにするための制御が必要な内部セキュリティポリシーがあります。これらの条件をすべて満たすには、どの方法が適切ですか？

選択肢:

A. AWS Management Consoleから「セキュリティ認証情報」ページに移動し、アカウントのアクセスキーとシークレットキーを取得します。

B. 企業アカウント内にIAMユーザーを作成し、そのIAMユーザーにSaaSアプリケーションに必要なアクションのみを許可するユーザーポリシーを割り当て、新しいアクセスキーとシークレットキーを作成してこれらの認証情報をSaaSプロバイダーに提供します。

C. クロスアカウントアクセス用のIAMロールを作成し、SaaSプロバイダーのアカウントがそのロールを引き受けることを許可し、そのポリシーにSaaSアプリケーションに必要なアクションのみを許可します。

D. EC2インスタンス用のIAMロールを作成し、SaaSアプリケーションが動作するために必要なアクションのみを許可するポリシーを割り当て、そのロールARNをSaaSプロバイダーに提供し、アプリケーションインスタンスの起動時に使用します。

正解:

解説:

選択肢Aは、アカウント全体のアクセスキーとシークレットキーを提供する方法であり、最小権限の原則に従っていません。これにより、SaaSプロバイダーがアカウント内のすべてのリソースにアクセスできる可能性があります。
選択肢Bは、IAMユーザーを作成して最小限の権限を付与する方法ですが、この方法ではユーザーの認証情報が漏洩するリスクがあり、より良い方法が存在します。
選択肢Cは、クロスアカウントアクセス用のIAMロールを作成し、そのロールをSaaSプロバイダーが引き受ける形でアクセスを提供する方法です。この方法では、ロールのポリシーで最小限の権限を設定し、SaaSプロバイダーに必要なアクセス権のみを付与できます。また、認証情報が他の第三者に使用されるリスクが低くなります。
選択肢Dは、EC2インスタンス用のIAMロールを使用しますが、SaaSアプリケーションがEC2インスタンスとして実行されることが前提となるため、SaaSプロバイダーの要求に完全には合致しない可能性があります。

#５１ ．顧客は、Amazon Elastic Compute Cloud (EC2)上にホストされたウェブアプリケーションがあるAWSリージョンに、10GBのAWS Direct Connect接続を持っています。アプリケーションは、ACID（Atomicity, Consistency, Isolation, Durability）ではなく、BASE（Basic Available, Soft state, Eventual consistency）モデルを使用するオンプレミスのメインフレームデータベースに依存しています。データベースが書き込みのボリュームを処理できないため、アプリケーションが望ましくない動作を示しています。コストを最小限に抑えつつ、オンプレミスのデータベースリソースの負荷を軽減するにはどうすればよいでしょうか？

選択肢:

A. Amazon Elastic Map Reduce (EMR)のS3DistCpを、オンプレミスのデータベースとAWS上のHadoopクラスタとの間の同期メカニズムとして使用します。

B. アプリケーションを修正してAmazon SQSキューに書き込み、ワーカープロセスを開発してキューをオンプレミスのデータベースにフラッシュします。

C. アプリケーションを修正してDynamoDBを使用し、EMRクラスタにフィードし、マップ関数を使用してオンプレミスのデータベースに書き込みます。

D. RDSリードレプリカデータベースをAWSでプロビジョニングし、Data Pipelineを使用して2つのデータベースを同期します。

正解:

B. アプリケーションを修正してAmazon SQSキューに書き込み、ワーカープロセスを開発してキューをオンプレミスのデータベースにフラッシュします。

解説:

選択肢Aは、S3DistCpとHadoopクラスタの使用を提案していますが、これは主に大規模データのコピーや処理に適しており、オンプレミスのデータベースの負荷を軽減するには適していません。
選択肢Bは、アプリケーションからAmazon SQSキューにデータを書き込み、ワーカープロセスを使用してキューのデータをオンプレミスのデータベースにフラッシュする方法です。これにより、データのバッチ処理が可能となり、オンプレミスのデータベースへの書き込み負荷を分散させることができ、コスト効果の高い解決策となります。
選択肢Cは、DynamoDBとEMRを使用する方法ですが、DynamoDBはACIDトランザクションをサポートしないため、BASEモデルのデータベースとの同期には適していません。
選択肢Dは、RDSリードレプリカとData Pipelineを提案していますが、これはリードレプリカを使用して書き込み負荷を軽減するための方法であり、オンプレミスのデータベースの負荷を減らすには適していません。

#５２ ．あなたは、寿命が近づいているレガシーのウェブアプリケーションの管理を任されています。アプリケーションの環境には以下の制限があります:

VMの単一10GB VMDKがほぼ満杯。
仮想ネットワークインターフェースが10Mbpsのドライバを使用しており、100MbpsのWAN接続が完全に未活用。
現在、カスタマイズされたWindows VMがVMware環境で稼働している。
インストールメディアがない。

このアプリケーションはミッションクリティカルで、RTO（回復時間目標）が8時間、RPO（回復点目標）が1時間です。ビジネス継続要件を満たしながら、できるだけ早くAWSに移行するにはどうすればよいでしょうか？

選択肢:

A. EC2 VM Import Connector for vCenterを使用して、VMをEC2にインポートします。

B. Import/Exportを使用して、VMをEBSスナップショットとしてインポートし、EC2にアタッチします。

C. S3を使用してVMのバックアップを作成し、そのデータをEC2にリストアします。

D. ec2-bundle-instance APIを使用して、VMのイメージをEC2にインポートします。

正解:

A. EC2 VM Import Connector for vCenterを使用して、VMをEC2にインポートします。

解説:

選択肢Aは、EC2 VM Import Connector for vCenterを使用してVMをEC2にインポートする方法を提案しています。これにより、既存のVMの設定とデータを維持しながら、AWS環境に迅速に移行できます。VMware環境からの移行をサポートするため、最も適切なソリューションです。
選択肢Bは、Import/Exportを使用してEBSスナップショットを作成し、EC2にアタッチする方法ですが、VMのインポートには不適切であり、スナップショットの作成は主にデータの移行に使用されます。
選択肢Cは、S3を使用してVMのバックアップを作成し、そのデータをEC2にリストアする方法ですが、VMの完全な移行には適していません。S3はバックアップストレージとしては有効ですが、VMの移行には不向きです。
選択肢Dは、ec2-bundle-instance APIを使用してVMのイメージをEC2にインポートする方法ですが、このAPIは古く、現在ではEC2 VM Import/Exportが推奨されています。

#５３ ．AWSの顧客が公開ブログウェブサイトを運営しています。サイトのユーザーは毎月200万件のブログエントリをアップロードします。平均ブログエントリのサイズは200KBです。ブログエントリへのアクセス率は、公開から6か月後にほぼ無視できるレベルに低下し、公開から1年後にはユーザーがブログエントリにアクセスすることはほとんどありません。さらに、ブログエントリは公開から最初の3か月間に高い更新率を持ちますが、6か月後には更新が全くなくなります。顧客はCloudFrontを使用してユーザーのロード時間を改善したいと考えています。

次のうち、顧客にどのような推奨をしますか？

選択肢:

A. エントリを2つの異なるバケットに複製し、S3アクセスをCloudFrontアイデンティティのみに制限した2つの異なるCloudFrontディストリビューションを作成します。

B. 「US Europe」価格クラスのCloudFrontディストリビューションを作成し、US/Europeのユーザー用に、残りのユーザー用に「All Edge Locations」の別のCloudFrontディストリビューションを作成します。

C. S3アクセスをCloudFrontアイデンティティのみに制限したCloudFrontディストリビューションを作成し、ブログエントリの位置をアップロード月ごとにS3でパーティション分けし、CloudFrontビヘイビアに使用します。

D. CloudFrontディストリビューションを作成し、Restrict Viewer Accessを有効にして、Forward Query stringをtrueに設定し、TTLを0に設定します。

正解:

解説:

選択肢Aは、2つの異なるバケットを使用し、CloudFrontアイデンティティのみに制限された2つのディストリビューションを作成する方法ですが、ブログエントリの管理が複雑になるため、効率的ではありません。
選択肢Bは、異なる価格クラスのCloudFrontディストリビューションを作成する方法ですが、ユーザーの地理的なアクセスに応じた最適化にはなりますが、ブログエントリの更新やアクセスパターンには対応していません。
選択肢Cは、S3アクセスをCloudFrontアイデンティティのみに制限し、アップロード月ごとにS3でパーティション分けしてCloudFrontビヘイビアを設定する方法です。これにより、古いブログエントリのキャッシュポリシーを適切に設定し、リソースの効率的な利用とパフォーマンスの最適化が可能です。
選択肢Dは、CloudFrontのTTLを0に設定し、Query stringを常に転送する方法ですが、これではキャッシュの効率が悪くなり、パフォーマンスが低下する可能性があります。

#５４ ．URLホワイトリストシステムを実装して、EC2でホストされたアプリケーションから特定のドメインへのアウトバウンドHTTPS接続を制限したいと考えています。プロキシソフトウェアを実行する単一のEC2インスタンスをデプロイし、VPC内のすべてのサブネットおよびEC2インスタンスからのトラフィックを受け入れるように構成しました。プロキシを、ホワイトリスト設定で定義したドメインへのトラフィックのみを通過させるように構成しています。すべてのインスタンスは毎晩10分間のメンテナンスウィンドウで新しいソフトウェアの更新を取得し、各更新は約200MBであり、VPC内の500台のインスタンスが定期的に更新を取得します。数日後、いくつかのマシンがメンテナンスウィンドウ内にすべての更新を正常にダウンロードできないことに気付きました。ダウンロードURLはプロキシのホワイトリスト設定に正しくリストされており、インスタンスでWebブラウザを使用して手動でアクセスすることはできます。

何が起こっている可能性がありますか？（2つ選択してください。）

選択肢:

A. プロキシを実行しているEC2インスタンスがサイズ不足のため、ネットワークスループットが全インスタンスが更新をダウンロードするのに十分でない可能性があります。

B. プロキシをプライベートサブネット内の十分にサイズされたEC2インスタンスで実行しているが、そのネットワークスループットがサイズ不足のEC2インスタンスで実行されているNATによって制限されている可能性があります。

C. 更新ソフトウェアの場所へのネットワークトラフィックをプロキシに向けるように設定されていないサブネットのルートテーブルが構成されている可能性があります。

D. プロキシを実行しているEC2インスタンスに十分なストレージが割り当てられていないため、ネットワークバッファが満杯になり、いくつかのリクエストが失敗している可能性があります。

E. プロキシをパブリックサブネットで実行しているが、必要なネットワークスループットをサポートするために十分なEIPを割り当てていない可能性があります。

正解:

解説:

選択肢A: プロキシを実行しているEC2インスタンスのサイズが不足している場合、全インスタンスのトラフィックを処理するためのネットワークスループットが不足し、すべての更新をダウンロードするのに十分な速度が確保できない可能性があります。これは、メンテナンスウィンドウ内にすべての更新をダウンロードするのに影響を与えます。

選択肢B: プロキシがプライベートサブネットにあり、ネットワークスループットがNATによって制限されている場合、プロキシのアウトバウンドトラフィックが制限され、更新のダウンロードに問題が生じる可能性があります。NATインスタンスがサイズ不足であれば、全体のトラフィック処理能力が低下します。

選択肢C: サブネットのルートテーブル設定が不適切である場合、更新ソフトウェアの場所へのトラフィックがプロキシを経由せず直接アクセスされる可能性がありますが、問題は主にネットワークスループットに関連しているため、これが直接の原因ではない可能性があります。

選択肢D: ストレージの不足は、ネットワークバッファが満杯になる原因となる可能性がありますが、ここでの問題はトラフィックの処理能力に関するものであり、ストレージの問題が直接の原因とは考えにくいです。

選択肢E: パブリックサブネットでEIPの不足がネットワークスループットに影響を与える可能性がありますが、通常、EIPの不足はプロキシの処理能力には直接影響しないため、この選択肢は最も可能性が低いです。

#５５ ．Company Bは、モバイルデバイス向けの新しいゲームアプリを立ち上げています。ユーザーは、データキャプチャを簡素化するために、既存のソーシャルメディアアカウントでゲームにログインします。Company Bは、モバイルアプリからプレイヤーデータとスコア情報を直接DynamoDBテーブル「Score Data」に保存し、ゲームの進行状況データを「Game State」S3バケットに保存したいと考えています。DynamoDBおよびS3へのデータ保存に最適なアプローチはどれですか？

選択肢:

A. EC2インスタンスを起動し、Score Data DynamoDBテーブルおよびGame State S3バケットへのアクセスを提供するEC2ロールを設定し、モバイルアプリとWebサービスを通じて通信します。

B. Webアイデンティティ連携を使用して、Score Data DynamoDBテーブルおよびGame State S3バケットへのアクセスを提供するロールを引き受ける一時的なセキュリティクレデンシャルを使用します。

C. Amazonアカウントでログインする「Login with Amazon」を使用して、モバイルアプリにScore Data DynamoDBテーブルおよびGame State S3バケットへのアクセスを提供します。

D. モバイルアプリに配布するために、Score Data DynamoDBテーブルおよびGame State S3バケットへのアクセスを提供するIAMユーザーのアクセス資格情報とロールを使用します。

正解:

解説:

選択肢A: EC2インスタンスを使用するアプローチは、アプリケーションのスケーラビリティを確保するためには不適切です。モバイルアプリの数が増加すると、EC2インスタンスの管理とスケーリングが複雑になる可能性があります。

選択肢B: 一時的なセキュリティクレデンシャルを使用して、Webアイデンティティ連携でDynamoDBおよびS3へのアクセスを提供する方法は、モバイルアプリがスケーラブルに動作するのに適しています。ユーザーがソーシャルメディアアカウントで認証されると、アプリは一時的なセキュリティクレデンシャルを使用してAWSリソースにアクセスできます。これにより、アプリのセキュリティが強化され、スケーラブルなアクセス管理が実現します。

選択肢C: 「Login with Amazon」は、ユーザーの認証を提供しますが、DynamoDBおよびS3へのアクセス制御には直接関与しません。モバイルアプリがAWSリソースにアクセスするためには、適切なセキュリティクレデンシャルが必要です。

選択肢D: IAMユーザーのアクセス資格情報をモバイルアプリに配布することは、セキュリティリスクが高い方法です。資格情報が漏洩する可能性があり、アプリのセキュリティが脅かされる可能性があります。

このため、選択肢Bが最も適切なアプローチです。

#５６ ．会社はAWS上でソーシャルメディアサイトの大規模な公開発表の準備をしています。ウェブサイトは、複数のアベイラビリティゾーンに展開されたEC2インスタンス上で稼働しており、Multi-AZ RDS MySQL Extra Large DBインスタンスを使用しています。サイトは、1秒あたりの小さな読み取りおよび書き込みが高頻度で行われ、最終的な整合性モデルに依存しています。包括的なテストの結果、RDS MySQLで読み取り競合が発生していることがわかりました。この要件を満たすための最良のアプローチはどれですか？（2つ選択）

選択肢:

A. 各アベイラビリティゾーンで実行されるElastiCacheインメモリキャッシュを展開する

B. シャーディングを実装して複数のRDS MySQLインスタンスに負荷を分散する

C. RDS MySQLインスタンスのサイズを増加させ、プロビジョンドIOPSを実装する

D. 各アベイラビリティゾーンにRDS MySQLリードレプリカを追加する

正解:

A. 各アベイラビリティゾーンで実行されるElastiCacheインメモリキャッシュを展開する

D. 各アベイラビリティゾーンにRDS MySQLリードレプリカを追加する

解説:

選択肢A: ElastiCacheを使用して、インメモリキャッシュを各アベイラビリティゾーンに展開することで、頻繁な読み取りリクエストをキャッシュし、RDS MySQLの読み取り負荷を軽減することができます。これにより、読み取りのパフォーマンスが向上し、RDSの読み取り競合を減少させることができます。

選択肢B: シャーディングは、データベースの負荷を複数のインスタンスに分散するための有効な方法ですが、実装が複雑で、管理の負担が増します。シャーディングは、高いトランザクション数や大規模なデータベースに対して適切ですが、既存の設定に対してすぐに適用するには複雑すぎる場合があります。

選択肢C: インスタンスサイズを増加させることやプロビジョンドIOPSを使用することは、I/O性能を向上させるのに役立ちますが、読み取り競合の根本的な解決にはつながりません。また、コストも高くなる可能性があります。

選択肢D: 各アベイラビリティゾーンにRDS MySQLリードレプリカを追加することで、読み取りリクエストを分散させ、RDS MySQLの読み取り競合を軽減することができます。リードレプリカは、読み取り専用の負荷分散に効果的です。

したがって、選択肢Aと選択肢Dの組み合わせが、読み取り競合を解決するために最も効果的なアプローチです。

#５７ ．単一のVPC内で顧客のウェブアプリケーションの侵入検知防止（IDS/IPS）ソリューションを設計しています。インターネットからのトラフィックに対してIOS IPS保護を実装するオプションを検討しています。どのオプションを考慮すべきですか？（2つ選択）

選択肢:

A. VPC内の各インスタンスにIDS/IPSエージェントを実装する

B. 各サブネットにインスタンスを設定し、ネットワークインターフェイスカードをプロミスキャスモードに切り替えてネットワークトラフィックを分析する

C. ウェブアプリケーションの前にSSLリスナーを持つElastic Load Balancingを実装する

D. ウェブサーバーの前にリバースプロキシレイヤーを実装し、各リバースプロキシサーバーにIDS/IPSエージェントを構成する

正解:

A. VPC内の各インスタンスにIDS/IPSエージェントを実装する

D. ウェブサーバーの前にリバースプロキシレイヤーを実装し、各リバースプロキシサーバーにIDS/IPSエージェントを構成する

解説:

選択肢A: VPC内の各インスタンスにIDS/IPSエージェントを実装することで、個々のインスタンスでトラフィックを監視し、異常や攻撃の兆候を検出することができます。これにより、インスタンスレベルでのセキュリティが強化されますが、管理やスケーリングが複雑になる可能性があります。

選択肢B: 各サブネットのインスタンスをプロミスキャスモードに設定してネットワークトラフィックを分析することは、トラフィックの監視には有効ですが、プロミスキャスモードのサポートが限られている場合や、パフォーマンスに影響を与える可能性があります。

選択肢C: Elastic Load BalancingのSSLリスナーは、トラフィックの暗号化には有効ですが、IDS/IPS機能を直接提供するものではありません。トラフィックのセキュリティ強化には寄与しますが、IDS/IPS保護の実装には適していません。

選択肢D: リバースプロキシレイヤーをウェブサーバーの前に配置し、各リバースプロキシサーバーにIDS/IPSエージェントを構成することで、リバースプロキシレイヤーでトラフィックを監視し、攻撃の兆候を検出することができます。これにより、セキュリティの集中管理が可能になります。

したがって、選択肢Aと選択肢Dの組み合わせが、ネットワークトラフィックに対するIDS/IPS保護を実装するために最も効果的なアプローチです。

#５８ ．

#５９ ．

#４２ ．

#X ．

#X ．
#X ．

#X ．

#X ．
#X ．

#X ．

#X ．
#X ．

#X ．

この記事が気に入ったらサポートをしてみませんか？