4/25
質問4: 正解
あなたはソリューションアーキテクトとして、社内のCI/CD環境の構築を上司から依頼されました。自動でワークロードを設定することを考えていますが、上司からは一部のワークロードはElastic Beanstalkを利用することが望ましいと指示を受けています。よって、どのワークロードにElastic Beanstalkを適用するべきかを検討することになりました。
Elastic Beanstalkを利用すべきワークロードを選択してください。(2つ選択してください。)
RDSを利用したWEBアプリケーション (正解)
エンタープライズデータウェアハウスのワークロード
実行時間の長いワーカープロセス (正解)
静的WEBサイトの表示
深夜に1回実施されるBatch処理
説明
Elastic Beanstalk は自動的にデプロイメントの詳細 (容量のプロビジョニング、負荷分散、Auto Scaling、アプリケーションのヘルスモニタリングなど) を処理します。Elastic BeanstalkのユースケースとしてはWEBアプリケーションやワーカー環境などの構築によく用いられます。したがって、WEBアプリケーションを展開する際にElastic Beanstalkを利用しますので、オプション1が正解となります。
また、実行時間の長いワーカープロセスをElastic Beanstalkのワーカー環境の作成で展開することができますので、オプション3が正解となります。
オプション2は不正解です。エンタープライズデータウェアハウスのワークロードには、Redshiftによる設定や、SQSとの連携などで設定することが最適です。
オプション4は不正解です。静的ウェブサイトはS3やEC2インスタンスをシンプルに利用することが最適です。
オプション5は不正解です。深夜に1回実施されるBatch処理は、AWS Batchなどの機能を利用してシンプルに構成できる機能です。Elastic BeansStalkで想定するワーカープロセスは複雑なタスク内容をワーカーアプリケーションとして実装する際に利用します。「実行時間の長いワーカープロセス」などは最適ですが、「深夜に1回実施されるBatch処理」には別の仕組みを利用することが求められます。
質問7: 正解
あるソリューションアーキテクトが構築しているシステムはEC2インスタンス、クラシックロードバランサ、オートスケーリング、およびRoute53で構成されます。会社からの要求により、このアーキテクチャはBlue/Greenデプロイメントを確実に導入できるようにすることが求められています。
この要件に基づいてRoute53で設定するべきルーティングポリシーを選択してください。
レイテンシールーティング
加重ルーティング (正解)
マルチバリュールーティング
フェイルオーバールーティング
位置情報ルーティング
シンプルルーティング
説明
Blue/Greenデプロイメントとは、異なるバージョンのアプリケーションを実行する環境をそれぞれ1つずつ、つまり計2つ作成し、それらの環境間でトラフィックを移動(ブルー⇒グリーンへ移動)させることによって、アプリケーションの新バージョンをリリースするために利用される技術です。Blue Greenの展開に加重ルーティングを設定します。加重ルーティングは新しいバージョンのソフトウェアのテストに適しています。したがって、オプション2が正解となります。
加重ルーティングを使用すると複数のリソースを単一のドメイン名(example.com)またはサブドメイン名(acme.example.com)に関連付けて、各リソースにルーティングされるトラフィック量を選択できます。 これは負荷分散や新しいバージョンのソフトウェアのテストなどさまざまな目的に役立ちます。加重を調整しながら、Blue/Greenデプロイメントに必要な様々なテストを実施することが可能です。
その他のオプションは不正解です。Blue/Greenデプロイメントに利用できるのは加重ルーティングだけとなります。
質問9: 不正解
ある会社のアプリケーションはバックエンドのデータレイヤーにDynamoDB、フロントエンド開発にJavascriptを使用するように構築されています。 アプリケーションの使用中に、データレイヤーのDynamoDB領域に一時的なアクセス集中があることが分かりました。
費用効果が高くスケーラブルなアーキテクチャを提供する構成を選択してください(2つ選択してください。)
DynamoDBをマルチAZ構成で起動し、グローバルセカンダリーインデックスを付与する。
SQSメッセージからDynamoDBに書込むように連携して、一時的なアクセス集中に対応できるように構成する。 (正解)
DynamoDBの書き込みキャパシティを増強して、一時的なアクセス集中に対応できるように構成する。 (不正解)
DynamoDBにAuto Scalingを適用して、一時的なアクセス集中に対応できるように構成する。 (正解)
説明
オプション2が正解となります。DynamoDBはスケーラブルですが、費用対効果の高いソリューションを探しているため、SQSによるメッセージング構成にすることで問題に記載されている状況の管理に役立ちます。SQSを使用するとクラウドアプリケーションのコンポーネントを分離して調整することが簡単で費用対効果が良くなります。SQSを利用することで、キューイングによってDynamoDBへの処理負荷を下げることができます。
オプション4が正解となります。DynamoDBにAuto Scalingを設定することで、一時的な負荷に対して処理性能をスケーリングすることで高負荷に対応することができます。
オプション1は不正解です。DynamoDBをマルチAZ構成で起動する機能はないため不適格です。また、「グローバルセカンダリーインデックスを付与する」と複雑なクエリ処理ができるようになります。
オプション3は不正解です。DynamoDBの書き込みキャパシティを増強して、一時的なアクセス集中に対応できるように構成することは可能ですが、単純にスケールアップをする対応のため利用料が高額になります。よって、SQSを構成した方がコスト最適に対応できます。
質問10: 不正解
B社の開発グループではAWSで構築しているアプリケーションで負荷テストを行っています。 RDS MySQL DBインスタンスをテストしている間、100%のCPU使用率に達すると、アプリケーションは応答しなくなることが分かりました。 このアプリケーションは読み取り処理が重いようです。
この問題を解決するためにデータ層を拡張する最適な方法はどれですか(2つ選択してください)。
RDS DBインスタンスにAuto Scalingグループを設定し、CloudWatchでCPU利用状況に応じてスケーリングを行う。 (不正解)
RDS DBインスタンスにリードレプリカを追加して、アプリケーションの読み込み負荷を分散する。 (正解)
複数のRDS DBインスタンスを構築し、データをShardingする。 (正解)
RDS DBインスタンスに対してマルチAZ構成を有効にする。
説明
オプション2は正解となります。Amazon RDSリードレプリカは、データベース(DB)インスタンスのパフォーマンスと耐久性を強化します。このレプリケーション機能を使用すると、読み取りが多いデータベースワークロードに対して、単一のDBインスタンスの容量制限を超えて弾力的にスケールアウトすることが容易になります。
オプション3は正解となります。Shardingはデータベース内の複数のテーブルにデータを分割するための一般的な概念です。水平分割(horizontal partitioning)とも。 リクエスト増加などで単一のマスターDBの運用で限界がある場合に、 一定のルールに従いデータを複数のDBに振り分けることでアクセスを分散させることができます。
オプション1は不正解です。2019年6月より、RDSのストレージに対するAuto Scalingが利用可能となりました。これにより、増加するデータベースのワークロードに応じてストレージ容量がダウンタイムなしで自動的にスケールされます。しかしながら、あくまでのストレージ容量のスケーリングのため、本案件には適してません。
オプション4は不正解です。マルチAZ構成は一方のAZのRDSが停止した際にもう一方のRDS DBに移行することが出来るという冗長化構成であって、もしものときにシステムを停止させないために取る構成です。読み取り速度の性能が向上することはありません。
質問11: 不正解
ある会社はELBから結合されたログファイルを分析できるようにアプリケーションを構築しています。あなたはソリューションアーキテクトとして、AWS環境でログを収集し、ログファイル分析を実施するための構成を検討しているところです。
この要求に最適なサービスを選択してください。
S3に対してELBログファイルを収集し、EMRでログ解析を実施する。 (正解)
DynamoDBにログファイルを収集し、RDSでログスクリプトの解析を実施する。 (不正解)
EC2のEBSでログファイルを蓄積し、ログ解析ソフトウェアをインストールして実行する。
S3に対してELBログファイルを収集し、Kinesis Analyticsでログ解析を実施する。
説明
オプション1が正解となります。ログファイルの収集場所としてはS3が適切です。ログ解析としてはEMRを利用します。Amazon EMRは、動的にスケーラブルなAmazon EC2インスタンス全体で膨大な量のデータ処理を簡単、高速、そして費用対効果の高いものにするマネージドHadoopフレームワークを提供します。Web インデックス作成、データマイニング、ログファイル分析、機械学習、財務分析、科学シミュレーション、バイオインフォマティクス研究などのアプリケーションに対して、データ集約型のタスクを実行することができます。
オプション2は不正解です。RDSはリレーショナルデータベースとしてクエリ処理には向いていますが、ログ解析には向いていません。
オプション3は不正解です。EC2インスタンスにログ解析ソフトウェアをインストールして利用することは可能ですが、EBSとEC2インスタンスだけで実行するのは最適なソリューションとはいえません。AWSにおいてログ解析可能なサービスが利用可能であり、EC2インスタンスでそうしたソフトウェアを利用して解析するというのは非効率です。また、EBSボリュームよりもS3にログファイルを蓄積することがAWSではコスト最適であり、S3のユースケースとしても最適です。
オプション4は不正解です。Kinesis Analyticsを利用することでストリーミングデータを標準SQLでリアルタイムなデータ処理を行うことができますが、ログ解析には向いていません。
質問18: 正解
ある企業ではEC2インスタンスとRDSで構成したWEBアプリケーションを利用しています。ITセキュリティ部門がセキュリティー規定を更新したことで、新たな対応が求めら、あなたはソリューションアーキテクトとして対策を検討しているところです。要件の一つとして、EC2インスタンス用に作成されたEBSボリューム上のすべてのデータを暗号化する対応が必要です。
この要件を満たすために利用すべきサービスを選択してください。
AWS Certificate Manager
AWS KMS (正解)
IAMアクセスキー
STS
説明
オプション2が正解となります。AWS Key Management Service (KMS) を使用することで、キーを簡単に作成・管理し、幅広い AWS のサービスやアプリケーションで暗号化の使用を制御できるようになります。EBSに対応しており、KMSによりEBSに保存されたデータを暗号化することができます。
オプション1は不正解です。AWS Certificate Manager では、AWS の各種サービスで使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、およびデプロイを簡単に行えます。EBSボリューム上のすべてのデータを暗号化することはできません。
オプション3は不正解です。アクセスキーはIAM ユーザーまたは AWS アカウントのルートユーザー の長期的な認証情報です。アクセスキーを使用して、AWS CLI または AWS API にプログラムでリクエストに署名することができます。これによりEBSボリューム上のすべてのデータを暗号化することはできません。
オプション4は不正解です。STSはAWS のサービスへのアクセスに使用できる一時的な限定権限認証情報を利用するサービスです。これによりEBSボリューム上のすべてのデータを暗号化することはできません。
質問20: 正解
あなたはソリューションアーキテクトとして、自社で一時的なセキュリティ認証情報をユーザーに発行する必要があるモバイルアプリケーションを開発しています。会社は認証情報の漏洩などのリスクが高いアプリケーションであることを考慮して、高いセキュリティ要求を求めています。
要件を満たすために、選択するべきAWSサービスはどれでしょうか?
AWS STS (正解)
AWS Config
AWS Trusted Advisor
AWS KMS
説明
オプション1が正解となります。AWSセキュリティトークンサービス(AWS STS)を使用して、信頼されたユーザーを作成し、AWSリソースへのアクセスを制御できる一時的なセキュリティ認証情報を提供することができます。 一時的な認証情報は、「アクセスキー」と「シークレットアクセスキー」、「セッショントークン」の3つから成り立っています。
オプション2は不正解です。AWS Config はAWS リソースの設定を評価、監査、審査できるサービスです。Configでは、AWS リソースの設定が継続的にモニタリングおよび記録され、望まれる設定に対する記録された設定の評価を自動的に実行できます。今回の要件には不正解です。
オプション3は不正解です。AWS Trusted AdvisorはAWS 環境を最適化することで、コスト削減、パフォーマンスの向上、セキュリティの向上に役立つオンラインリソースです。今回の要件には不正解です。
オプション4は不正解です。AWS Key Management Service (KMS) を使用することで、キーを簡単に作成・管理し、幅広い AWS のサービスやアプリケーションで暗号化の使用を制御できるようになります。今回の要件には不正解です。
質問22: 正解
S3に静的コンテンツを保存した上で、CloudFrontを利用したグローバル配信を実施しています。全社的な経費削減の一環として、あなたはマネージャーより、この配信アーキテクチャーのコスト削減を依頼されました。
CloudFront配信処理のコスト削減効果のある方法はどれでしょうか?
エッジロケーションによるファイル圧縮処理を実施する。 (正解)
CloudFrontによるキャッシ保持期間を短縮する。
オリジンサーバーに設定したS3による配信コンテンツの圧縮処理を実施する。
Lambda@エッジによるファイル圧縮処理を実施する。
説明
ビューワーがリクエストヘッダーに Accept-Encoding: gzip を含めるようのリクエストした場合は、CloudFront が自動的に特定のタイプのファイルを圧縮し圧縮ファイルを供給するように設定できます。コンテンツが圧縮されるとファイルが小さくなるため、ダウンロード時間が短縮されます。場合によっては、オリジナルの 4 分の 1 以下のサイズになることがあります。特に、JavaScript および CSS ファイルでは、ダウンロード時間が短縮されると、ユーザーにウェブページが表示されるまでの時間が短縮されます。また、CloudFront のデータ転送コストは供給されたデータの総量に基づくので、圧縮ファイルを供給すると、非圧縮ファイルを供給するよりもコストが安くなります。
オプション1が正解となります。オリジンからファイルを取得するときに、CloudFront は各エッジロケーションでファイルを圧縮します。コンテンツを圧縮するように CloudFront を設定すると、既にエッジロケーションにあるファイルは圧縮しません。
オプション2は不正解です。CloudFrontによるキャッシ保持期間を短縮してしまうと、キャッシュの有効期限が短くなり、オリジンサーバーからのファイル取得が多くなることで逆にコストが上がる可能性があります。
オプション3は不正解です。S3による配信コンテンツの圧縮処理という機能はありません。
オプション4は不正解です。Lambda@エッジによるファイル圧縮処理ではなく、CloudFrontのgzip圧縮によってエッジロケーションでファイル圧縮を実施します。
質問24: 不正解
あなたはソリューションアーキテクトとして、自社内で高可用性とフォールトトレランスを考慮して新しいアプリケーションの設計をしています。現在社内では大量のファイルデータを格納するためにAmazon S3を利用しています。あなたはセキュリティー担当者として、万が一のためにアベイラビリティーゾーンが失われた場合でも、ファイルは適切な場所にあり、アクセス可能となるように対応を依頼されました。
この要件を達成するために、最適な方法を選択してください。
S3のバックアップをGlacierにコピーする。
AWS Storage Gatewayを利用してゲートウェイストアを設定する。
S3のクロスリージョンレプリケーションを有効化する。 (不正解)
S3はデフォルトで高可用であるため対応は必要ない。 (正解)
説明
S3はデフォルトで高可用に設定しており、またAZに依存してないため対応は必要はありません。したがって、オプション4が正解となります。
オプション1は不正解です。S3はマネージド型サービスのバックアップなどもAWS側で実施されていますので、Glacierにコピーを実施する必要はありません。
オプション2は不正解です。AWS Storage Gatewayを利用したゲートウェイストアの設定については、オンプレミス側との連携に利用します。
オプション3は不正解です。S3のクロスリージョンレプリケーションはリージョン間を跨いでデータを冗長化する構成を提供します。既存のS3の冗長構成を更に強化することができますが、プライマリーのリージョンに問題があっても大丈夫な構成ですので「AZが失われた場合」という要件には必要となりません。
質問26: 不正解
E社のWEBアプリケーションは以下のようなAWSリソースで構成されています。
ELBのターゲットグループを構成して複数AZにEC2インスタンスを設置して制御しています。 一定の負荷が上昇すると追加のEC2インスタンスがオートスケーリンググループを介して起動されます。また、EC2インスタンスがインターネットからアップデートファイルをダウンロードするために使用されるNATインスタンスがあります。
NATインスタンスが利用する帯域が高帯域幅であるため、代わりにNATゲートウェイを使用することが決定されました。
この要件を満たす最適な実装方式を選択してください。
NATインスタンスからNATゲートウェイに移行して、NATゲートウェイをプライベートサブネットに設定する。 (不正解)
NATインスタンスからNATゲートウェイに移行して、NATゲートウェイをパブリックサブネットに設定する。 (正解)
NATインスタンスをパブリックサブネットに移行して、NATゲートウェイを設定しなおす。
NATインスタンスをプライベートサブネットに移行して、NATゲートウェイを設定しなおす。
説明
オプション2が正解となります。NATインスタンスからNATゲートウェイに移行して、NATゲートウェイをパブリックサブネットに設置することで実現できます。NATゲートウェイはパブリックサブネット側に設置して、プライベートサブネット側のルートテーブルにルートを設定することで構成することができます。
ネットワークアドレス変換 (NAT) ゲートウェイを使用して、プライベートサブネットのインスタンスからインターネットや他の AWS サービスに接続できるようにすることができます。逆にインターネットからはこれらのインスタンスとの接続を開始できないようにすることができます。
オプション1は不正解です。NATゲートウェイをプライベートサブネットに設置することはできません。パブリックサブネットに設置し、プライベート側にはルーティング設定を実施します。
オプション3と4は不正解です。NATインスタンスとNATゲートウェイを同時に利用する必要はありません。
質問27: 不正解
CloudFormationテンプレートにおいて、VPCとサブネットを構成した上で、ネットワークACLを利用した通信設定を行っています。このネットワークでは、パブリックサブネット内に対して制限なくHTTPによるアウトバウンドの通信許可設定が必要です。加えて、IPアドレス172.28.10.1のクライアントPCからFTPによるデータ転送用のインバウンド接続を実施する必要があります。
正しいCloudFormationテンプレ―トの記述内容はどれでしょうか?(2つ選択してください。)
NetworkAcl
RuleNumber: 100
RuleAction: allow
Egress: true
CidrBlock: 0.0.0.0/0
PortRange:
From: 22
To: 22 (不正解)
NetworkAcl
RuleNumber: 110
RuleAction: allow
Egress: true
CidrBlock: 0.0.0.0/0
PortRange:
From: 80
To: 80 (正解)
NetworkAcl
RuleNumber: 120
RuleAction: allow
Egress: false
CidrBlock:172.28.10.1
PortRange:
From: 20
To: 20 (正解)
NetworkAcl
RuleNumber: 120
RuleAction: allow
Egress: false
CidrBlock:172.28.10.1
PortRange:
From: 22
To: 22
NetworkAcl
RuleNumber: 110
RuleAction: allow
Egress: true
CidrBlock: 172.28.10.1
PortRange:
From: 80
To: 80 (不正解)
NetworkAcl
RuleNumber: 110
RuleAction: allow
Egress: false
CidrBlock: 0.0.0.0/0
PortRange:
From: 80
To: 80
説明
オプション2が正解となります。このネットワークでは、パブリックサブネット内に対して制限なくHTTPによるアウトバウンドの通信許可設定が必要なため、HTTPによるアウトバウンドトラフィック通信をネットワークACLで許可する設定が必要です。そのためには、 PortRange:で80ポートの設定をすることが必要です。また、パブリックなアクセスを許可するためにフルオープン(0.0.0.0/0)のIPアドレス範囲を許可します。Egress: trueとすることでアウトバウンドトラフィック設定となります。
オプション3が正解となります。IPアドレス172.28.10.1からFTPによる接続を許可するためには、172.28.10.1に対するポート20でのアクセス許可を設定することが必要です。FTPはポートレンジでデータ転送用の20番ポートを使用します。データ制御には21番ポートを利用します。今回はデータ転送向けのポート番号をカスタムポートで設定します。 Egress: falseとすることで、インバウンドトラフィックの設定となります。
オプション1と4は不正解です。22番ポートはSSH接続用であるため、本件には必要ありません。
オプション5は不正解です。HTTPに対しては制限なく、アクセス可能としているため、172.28.10.1に指定は必要ありません。
オプション6は不正解です。 Egress: falseとすることでインバウンド設定となります。本件ではHTTPに対するアウトバウンド設定が問われています。
質問30: 不正解
ある企業のセキュリティ部門はAWSアカウントを利用することで自社リソースを保護する方法を検討しています。 セキュリティ要件として、保管中およびAWSに転送中のデータを保護するための方策を取る必要があります。
この要件を満たすサービスはどれでしょうか(3つ選択してください)。
EC2インスタンスにアタッチされた全てのEBSボリュームを暗号化する。 (正解)
S3においてSSE-S3を実施する。 (正解)
自社リソースをプライベートサブネットに移行して、ネットワークACLによるアクセス制御を実施する。 (不正解)
EBSのIOPSボリュームを利用して、暗号化を実現する。
SSL/HTTPSプロトコルを利用してELBに接続する。 (正解)
説明
オプション1が正解となります。EC2インスタンス側の暗号化には、利用しているEBSボリュームの有効化を実施する必要があります。EBSはAWS KMSなどと連携して、容易にデータを暗号化することができます。
オプション2が正解となります。Amazon S3の保存データを保護するには、次の選択肢があります。
■サーバーサイド暗号化を使用する – オブジェクトをデータセンターのディスクに保存する前にAmazon S3で暗号化し、オブジェクトをダウンロードするときに復号化するように要求します。S3のデフォルト暗号化を有効化する際に、SSE-S3とSSE-KMSのどちらかの暗号化形式を選択することが出来ます。
■クライアントサイド暗号化を使用する –データをクライアントサイドで暗号化し、暗号化されたデータをAmazon S3にアップロードできます。この場合は、暗号化プロセス、暗号化キー、および関連ツールを管理します。
オプション5は正解となります。暗号化された接続にSSL / TLSプロトコルを使用するロードバランサ(SSLオフロードとも呼ばれる)を作成できます。この機能により、ロードバランサーとHTTPSセッションを開始するクライアント間、およびロードバランサーとEC2インスタンス間の接続のトラフィック暗号化が有効になります。
オプション3は不正解です。ネットワークACLはあくまでアクセス制御に利用される機能であり、暗号化を達成する方法ではありません。
オプション4は不正解です。EBSのIOPSボリュームを利用して、暗号化を実施するといった手順は必要ありません。どのボリュームタイプであっても暗号化を有効化することで実施可能です。
質問31: 不正解
次のIAMポリシーでAWSリソースに対する権限設定を行っています。
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Sid”: “Stmt1487980617000”,
“Effect”: “Allow”,
“Action”: [
“codebuild:*”,
“codecommit:*”,
“codedeploy:*”
],
“Resource”: [
“arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project”,
“arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo”,
“arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App”,
“arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*”
]
}
]
}
この設定内容として正しい内容を選択してください。
全てのCodeBuild、CodeCommitおよび CodeDeploy リソースにフル権限を有している。
全てのCodeBuild、CodeCommitおよび CodeDeploy リソースを閲覧することができる。
arn:aws:codebuild:us-east-2:123456789012:project/my-demo-projectのCodeBulidに対するフル権限を有している。 (正解)
新しいCodeBuild、CodeCommitおよび CodeDeployリソースを構築することができる。 (不正解)
説明
このポリシーでは、以下の特定のリソースに限った権限設定が行われており、
“Resource”: [
“arn:aws:codebuild:us-east-2:123456789012:project/my-demo-project”,
“arn:aws:codecommit:us-east-2:123456789012:MyDemoRepo”,
“arn:aws:codedeploy:us-east-2:123456789012:application:WordPress_App”,
“arn:aws:codedeploy:us-east-2:123456789012:instance/AssetTag*”
]
最初のステートメントが、このリソースに限定して、CodeBuild、CodeCommit、および CodeDeploy リソースへのアクセスを許可します。
“Effect”: “Allow”,
“Action”: [
“codebuild:*”,
“codecommit:*”,
“codedeploy:*”
],
これらのリソースは各サービスに固有であるため、一致するサービスでのみ表示されます。いずれのサービスとも一致しないリソースを Action エレメントの含めた場合、そのリソースはすべてのアクション概要に表示されます。
したがって、オプション3が正解となります。
質問33: 不正解
あなたはデータベースエンジニアとして、現在社内で利用されているデータベースをAWSのクラウド環境に移行できないか検討しています。データベースの候補として、Aurora/RDS with PostgreSQL/DynamoDBが挙げられており、用途に応じてデータベースを選択することになりました。
DynamoDBを利用すべきユースケースを選択してください(2つ選択してください)。
CloudFrontで利用したキャッシュデータの蓄積 (不正解)
セッションデータやメタデータの蓄積 (正解)
複数の結合処理が必要なデータの蓄積
Kinesisストリームが処理した一連のデータの蓄積 (正解)
説明
Amazon DynamoDB は、規模に関係なく数ミリ秒台のパフォーマンスを実現する、KVSおよびドキュメントデータベースです。DynamoDBにメタデータ・セッションデータや一連のストリームデータを蓄積することでビッグデータ解析などに利用できます。したがって、オプション2と4が正解となります。
オプション1は不正解です。CloudFrontで利用したキャッシュデータの蓄積はCloudFront側で処理されるものです。
オプション3は不正解です。複数の結合処理が必要なデータの蓄積のようなデータはRDSで処理する方が適切となります。
質問35: 不正解
ある企業では、同じリージョン内に2つのAWSアカウントを利用しています。1つのAWSアカウントではVPC1にホストされている開発環境があり、もう一方のAWSアカウントではVPC2にホストされている開発環境を持っています。 VPC1からVPC2にアクセスする必要があるという要件が発生したため、VPC間連携が必要となりました。
次のうちどの方法を選択するべきでしょうか。
VPCコネクションを設定する。 (不正解)
Direct Connectを利用する
AWS VPNを利用する
VPCエンドポイントを利用する
VPCピアリングを利用する。 (正解)
説明
VPC間連携にはVPCピアリングを利用することで、別アカウントのVPC間で接続することができます。また、VCPピアリング接続を利用すると、VPC間で相互通信が行えます。ピアリング接続により、複数のAWSのコンテンツをまとめたり、複数のAWS間で通信が行えるようになります。
したがって、オプション5が正解となります。
オプション1は不正解です。VPCコネクションという機能はありません。・
オプション2は不正解です。Direct Connectはリージョン間の接続には利用可能ですが、VPC間の接続には利用できません。
オプション3は不正解です。AWS VPNはオンプレミス環境との接続やリージョン間接続に利用されるものです。
オプション4は不正解です。VPCエンドポイントはVPC内からVPC外にあるAWSリソースへのアクセスに利用されるものです。
質問37: 不正解
ある企業はRedshiftをDWHとして利用しています。何らかの理由でRedshiftクラスターがダウンした場合に備えて、障害回復メカニズムを用意する必要があります。要件としては、プライマリクラスターがダウンした場合にクラスターをすぐに利用できるようにすることが求められています。
次のうちどの方法を選択するべきでしょうか。
Redshiftクラスターのクロスリージョンスナップショットを有効化する。 (正解)
CloudFormationを利用してクラスター構成を自動復元化する。
RedshiftクラスターをマルチAZ構成に変更する。 (不正解)
RedshiftクラスターのスナップショットをS3に保存する設定を行う。
説明
オプション1が正解となります。Amazon Redshiftは高速でシンプルかつ費用対効果の高いデータウェアハウスサービスです。小規模利用からペタバイト単位の構造化データまで、複雑な分析クエリを実行でき、スケールアウトも容易に行うことができます。Amazon Redshift データウェアハウスは、ノードと呼ばれるコンピューティングリソースのコレクションであり、これらはクラスターと呼ばれるグループを構成します。各クラスターは、1 つの Amazon Redshift エンジンを実行し、1 つ以上のデータベースを含みます。
Redshiftクラスターのクロスリージョンスナップショットすることで、プライマリクラスターがダウンした場合に備えて即座に利用できる構成を維持することができます。クラスターのスナップショットを自動的に別のリージョンにコピーするように Amazon Redshift を設定できます。スナップショットがクラスターのプライマリリージョンで作成されると、セカンダリリージョンにコピーされます。これらは、それぞれソースリージョンおよびコピー先リージョンと呼ばれます。別のリージョンにスナップショットのコピーは保存することで、プライマリリージョンに影響が及んだ場合に最新のデータからクラスターを復元できるようになります。
オプション2は不正解です。CloudFormationを利用してRedShiftアーキテクチャの構成を自動化することは可能ですが、起動時に設定することになるため、いづれにせよクラスターダウンに備えるためには自動スナップショット取得を有効化する対応が必要となります。
オプション3は不正解です。Amazon Redshift はシングル AZ 配置のみをサポートしています。
オプション4は不正解です。この質問では、RedShiftのクラスターがダウンする場合に備えた設定方法が問われています。そのためには自動スナップショットがクラスターに対して有効にするという設定が必要です。有効にすると実施的にはS3に保存されることになりますが、S3に保存するという操作や設定をユーザー側で実施することはできるわけではないため、設定方法としては誤りになります。
質問38: 不正解
ある企業ではユーザーがアップロードした動画を保存するためにストレージサービスの利用を検討しています。データ量を抑えるために保存後に2ヶ月以上すぎた場合は対象ビデオデータを削除することが求められます。また、保存後のビデオへのアクセスや更新はほとんど発生しません。
この要件を達成するために、費用対効果の高い方法を選択してください。
S3 Standardにビデオを保存してライフサイクルポリシーで削除可能とする。
Glacierにビデオを保存してライフサイクルポリシーで削除可能とする。 (不正解)
S3 Standard IAにビデオを保存してライフサイクルポリシーで削除可能とする。 (正解)
EFSにビデオを保存してライフサイクルポリシーで削除可能とする。
説明
オプション3が正解となります。今回はアクセス頻度が低いということが要件となっており、Standard(標準)ではなく、低頻度アクセス用のストリームタイプであるIA(Infrequency Access)のストレージを選択することで、Standardよりも値段を抑えることができます。IAは標準とOne-zoneの2つがありますが、重要なデータは標準IAを利用することになります。
オプション1は不正解です。今回はアクセス頻度が低いということが要件となっており、Standard(標準)ではなくInfrequency Accessのストレージを選択することで、Standardよりも値段を抑えることができます。
オプション2は不正解です。アクセスや更新が発生しない場合はS3よりもGlacierにデータを保存します。GlacierはS3よりもコストが低いため長期保存データに向いていますが、データ取得には通常は数時間有するという欠点があります。迅速読取を利用することで1分~5分ほどでデータを取得することができます。しかしながら、Glacierの最低保持期間は90日のため、30日で削除しても90日分の料金を取られてしまうため、コスト最適とはいえません。
オプション4は不正解です。EFS のライフサイクル管理は、費用対効果の高いファイルストレージを自動的に管理します。有効にすると、ライフサイクル管理は 30 日間アクセスされなかったファイルを EFS IA ストレージクラスに自動的に移行します。ライフサイクル管理によってファイルが IA ストレージクラスに移動されると、無期限にデータが残ります。削除をするわけではないため不適切です。
質問41: 不正解
ある企業はS3に蓄積したデータをRedshiftに連携してBIソリューションとして利用するデータ解析アプリケーションを構築しています。自社のセキュリティポリシーに準拠すると、VPCのプライベートサブネット内でのデータ利用に限定して利用する必要があります。
この要件に合致するセキュリティ設定はどれですか(2つ選択してください)。
Redshiftのクラスターに対してセキュリティグループを設定して、RedshiftからS3へのアクセスを許可する。
プライベートサブネットにNATゲートウェイを構築することでプライベートサブネットからS3へのデータ移動を可能にする。 (不正解)
Amazon Redshiftの拡張VPCルーティングを設定する。 (正解)
RedshiftからS3にVPCエンドポイントからアクセスする (正解)
パブリックサブネットにNATゲートウェイを構築することでプライベートサブネットからS3へのデータ移動を可能にする。
説明
Redshiftの拡張VPCルーティングを設定することでVPC内にデータ移動を制御することが可能です。また、VPCエンドポイントを利用したS3アクセスもVPC内のみにデータ移動を制御できます。したがって、オプション3と4が正解となります。
オプション1は不正解です。セキュリティグループはネットワークトラフィックをアクセス許可と拒否を制御するためのものであり、インターネットを通さずにRedshiftからS3へのアクセスを許可するといった制御はできません。
オプション2と5は不正解です。NATゲートウェイはプライベートサブネットにあるインスタンスからインターネットへと接続する際に利用されるものです。インターネットを通さずという要件には合致しません。
質問43: 正解
あるソリューションアーキテクトが会員登録用のWEBサイトを構築しています。会員登録を実施するたびに登録者のモバイルSMSにメッセージを自動配信する仕組みを実現する必要があります。
この要件に適したサービスはどれですか。
Amazon SES
Amazon SNS (正解)
Amazon SQS
Lambda
説明
オプション2が正解となります。Amazon SNS を使用して、SMS 対応デバイスにテキストメッセージを送信できます。電話番号をトピックにサブスクライブし、トピックへメッセージを送信することにより、電話番号へメッセージを直接送信または、一度に複数の電話番号にメッセージを送信できます。
オプション1は不正解です。Amazon SESデジタルマーケティング担当者やアプリケーション開発者がマーケティング、通知、トランザクションに関するEメールを送信できるように設計された、クラウドベースのEメール送信サービスです。SMSには対応していません。
オプション3は不正解です。SQSはキューイングによる並行処理などに利用するものであり、イベント通知などのメッセージ通知としては利用できません。
オプション4は不正解です。Lambda関数によって通知機能をコーディングできなくはありませんが、非常に非効率です。
質問45: 不正解
あるソリューションアーキテクトは、社内システムのEC2インスタンスに対するAuto Scaling処理の最適化を検討しています。現在のスケーリング処理では短期間にスケールアウトとスケールインを繰り返しており、問題となっています。
この状況を改善するためにAuto Scalingの適した設定はどれですか(2つ選択してください)。
Auto Scalingグループの最大インスタンス数を増やすことで処理能力を上げる。 (不正解)
Auto Scalingグループのクールダウンタイマー値を最適化する。 (正解)
Auto ScalingのスケールダウンポリシーのトリガーとなるCloudWatchのアラーム設定を変更する。 (正解)
Auto ScalingグループのELBグループへの設定を実施する。
Auto Scalingのスケジューリングされたスケーリングアクションを設定する (不正解)
説明
このシナリオでは、アプリケーションのスケーリング処理において短期間にスケールアウトとスケールインを繰り返しており、問題となっています。これはスケーリング後に負荷が減少するとすぐにスケールインして、起動したEC2インスタンスを削除してしまうのですが、その後すぐにスケーリングが発生してしまうという事象です。つまり負荷が落ち着いた後にスケールインの開始が早すぎる可能性があります。これに対して、Auto Scalingグループのクールダウンタイマー値によってスケールインを実施しない期間を延長することができます。また、CloudWatchアラームの設定でスケールインの基準値を変更ことでスケールインの発生をおさえることができます。したがって、オプション2と3が正解となります。
オプション1は不正解です。今回の問題は処理能力が低いことではないため「Auto Scalingグループの最大インスタンス数を増やすことで処理能力を上げる。」では対応することはできません。
オプション4は不正解です。ELBのトラフィック処理とは無関係の問題のため「Auto ScalingグループのELBグループへの設定を実施する。」ことで対応することはできません。
オプション5は不正解です。特定の時間帯にスケーリングが発生することが分かっている場合は、「Auto Scalingのスケジューリングされたスケーリングアクションを設定する」ことが望ましいですが、本件の内容とは異なるため不適切です。
質問50: 不正解
ある会社では現在利用しているデータストレージからクラウドベースのデータストレージに移行することを検討しています。そこで、あなたはソリューションアーキテクトとして、ストレージをS3に移行し、データをバケットに格納しようとしています。各バケットには個々の顧客にちなんで名前が付けられており、その後にランダムな一連の文字と数字を付与しています。 S3へのデータ登録後にはそのデータが顧客に送信された後であるため、S3に格納後はデータが変更されることはほとんどありません。ただし、場合によっては、特定のファイルをすばやく更新する必要があります。これは、数か月さらには数年後に行われることもあります。その場合は、すぐにこのデータにアクセスして変更を加える必要がありますが、ストレージコストは低く抑える必要があります。データが失われると、データは簡単には復元できません。
この要件にあったS3のストレージクラスとして、どれを選択すべきですか。
Standard
Standard-IA (正解)
One Zone-IA
Glacier(迅速読取) (不正解)
説明
オプション2が正解となります。Standard-IAは低頻度アクセス用ですが、読み込みはすぐにできるため、突然の利用にも対応できます。かつStandardよりも安価に利用可能です。Standard-IAは低頻度アクセスですが、重要なデータを保存する際に適したストレージタイプです。
オプション1は不正解です。Standardは最も費用がかかるストレージタイプであり、コスト最適を達成できません。
オプション3は不正解です。S3 One Zone-IA は、アクセスが頻繁ではないデータをレジリエンスが低い単一アベイラビリティーゾーンに保存することによってコストを節約します。 Amazon S3 Standard-IA は、アクセスが頻繁ではないマスターデータの長期保存に適しています。バックアップのコピーや再作成可能なデータサマリーなど、アクセスが頻繁ではない他のデータについては、S3 One Zone-IA がより低価格です。しかしながら、S3 One Zone-IAはデータ消失を絶対防ぎたいような重要なデータの保存には向いていないため不適切です。
オプション4は不正解です。Glacier(迅速読取)はコストは最もかかりませんが、迅速とはいえアクセスに数分の時間を要するため不適切です。
質問52: 正解
AWSを利用してメッセージキューを利用したコンポーネント間の連携処理を構築する際にSNSとSQSを利用することがあります。このSNSとSQSの機能は似ているのですが、ユースケースに違いがあります。
SNSとSQSの違いについて正しい内容を選択してください。
SQSはトピックに関するメッセージをユーザーに送信し、SNSはタスクを管理する
SQSがプッシュベースのメッセージサービスで、SNSはプル(ポーリング)する。
SQSとSNSは基本的に同じサービスであり、対象ユースケースに応じて最適化されている。
SQSはキューをポーリングするメッセージシステムである。 (正解)
説明
オプション4が正解となります。Amazon SQS はポーリング形式のメッセージシステムで、ワーカーノードはキューをポーリングする必要があります。分散型アプリケーションによって使用されるメッセージキューサービスで、ポーリングモデルを通じてメッセージを交換し、コンポーネントの送受信を切り離すために使用することができます。FIFO設定をすることで順番通りにメッセージ処理をすることが可能です。
オプション1は不正解です。これはSNSの特徴です。
オプション2は不正解です。SNSはプッシュベースのメッセージサービスで、SQSはプル(ポーリング)ベースのメッセージサービスとなるため、オプション2は逆の内容となっています。
オプション3は不正解です。SQSとSNSは似ていますが異なるサービスです。
質問53: 不正解
A社のデータ分析アプリケーションはKinesisを使って大きなデータフィードを取り込み、Elastic Map Reduce(EMR)を使ってこれらのフィード分析を行い、結果をカスタムMySQLデータベースに保存します。カスタムMySQLデータベースは、3つのボリューム、ルート/ブートボリューム、そしてRAID-0セットにストライプされた2つの追加ボリュームを持つEC2インスタンスでホストされています。最近データベースが異常停止したことで、いくつかの重要なデータを失うというトラブルが発生しました。よって、あなたはソリューションアーキテクトとして、バックアップを取る必要があると判断しました。このアプリケーションは営業時間内にのみ使用されています。
3つのボリュームすべてのスナップショットを取るために、最適なバックアップ方式はどれでしょうか。
既存のEC2インスタンスのリードレプリカを作成してから、起動しているEC2インスタンスではなくリードレプリカからスナップショットを取得する。 (不正解)
既存のRAID 0ボリュームにさらに2つのボリュームを追加し、それらのボリュームをミラーリングしてRAID 10を作成する。その上で、2つの新しいボリュームだけをスナップショットを取得する。
EC2インスタンスを停止し、各EC2インスタンスボリュームのスナップショットを個別に作成する。スナップショットが完了したら、EC2インスタンスを起動し、関連するすべてのボリュームが再マウントされていることを確認する (正解)
EC2インスタンスの実行中に、各ボリュームのスナップショットを個別に作成する
説明
オプション3が正解となります。3つのボリュームすべてのスナップショットを取るためには、EC2インスタンスを停止して静止点を設けた上で、各EC2インスタンスのスナップショットを個別に作成する必要があります。したがって、EC2インスタンスを停止し、各EC2インスタンスボリュームのスナップショットを個別に作成します。スナップショット作成が完了したら、EC2インスタンスを起動し、関連するすべてのボリュームが再マウントされていることを確認することが最適な対応となります。
オプション1は不正解です。リードレプリカからスナップショットを取得するといった機能はありません。
オプション2は不正解です。2つの新しいボリュームだけをスナップショットを取得するだけでは、データバックアップとしては不十分となってしまいます。
オプション4は不正解です。EC2インスタンスの実行中ではなく、停止中または利用されていない夜間などにスナップショットを取得することが望ましいです。
質問54: 不正解
あなたはAWSアカウントにルートアカウントを作成して、新しくユーザー管理を始めることにしました。まずはIAMユーザーとIAMグループを作成して、各メンバーに最適な権限を付与する必要があります。IAMによって新しいユーザを作成したときに、特定のセキュリティ認証情報を生成することができます。
この有効なセキュリティ認証情報はどれですか?
カスタマーキー
アクセスキー IDとシークレットアクセスキー (正解)
PEMキー
アクセスキーIDとPEMキー (不正解)
説明
オプション2が正解となります。IAMによって新しいユーザを作成した際に、アクセスキー IDとシークレットアクセスキーによりセキュリティ認証を生成します。
アクセスキーは、IAM ユーザーまたは AWS アカウントのルートユーザー の長期的な認証情報です。アクセスキーを使用して、AWS CLI または AWS API (直接または AWS SDK を使用) にプログラムでリクエストに署名することができます。アクセスキーは、アクセスキー IDとシークレットアクセスキーの 2 つの部分から構成されます。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。
オプション1は不正解です。カスタマーキーはデータ暗号化に利用するキーです。
オプション3と4は不正解です。PEMキーはEC2インスタンスにアクセスする際に利用します。
質問55: 正解
あなたは大手石油ガス会社のソリューションアーキテクトです。会社はAWS上で本番環境を運用しており、VPCを利用しています。 VPCには3つのサブネットがあり、そのうちの1つはパブリックで、他の2つはプライベートです。パブリックサブネットにはオートスケーリンググループを設定している複数のEC2インスタンスが設置されています。すべてのEC2インスタンスは同じセキュリティグループに属します。あなたの会社は、カスタムポートを使用してモバイル機器に接続する新しいアプリケーションを作成しました。このアプリケーションは運用環境にロールアウトされており、このポートをインターネットに接続する必要があります。
この要件のためにどのような手順を踏む必要がありますか。
既存のセキュリティグループのポートを開くと即時に変更される。 (正解)
既存のネットワークアクセス制御リストのポートを開くと数分後に変更される
既存のネットワークアクセス制御リストのポートを有効化することでアクセスできるようになる。
関連するTTL(Time To Live)が期限切れになるとすぐに、EC2インスタンスはこのポートを介して通信できるようになる。
説明
オプション1が正解となります。既存のセキュリティグループのポートを開いてインターネットからのアクセスを可能にします。この場合の変更は即時に反映されます。ポートの範囲: TCP、UDP、またはカスタムの場合、許可するポートの範囲。1 つのポート番号 (22 など)、または一定範囲のポート番号 (7000-8000 など) を指定できます。
ACLを利用したEC2インスタンスが設置されているサブネット自体の制御も可能ですが、この場合も変更は即時反映されるためオプション2は不正解です。
有効化という操作はないため、オプション3も不正解となります。
オプション4は不正解です。セキュリティグループの設定変更時にTTL(Time To Live)が設定されることはありません。
質問57: 不正解
あなたは社内のデータストレージ容量が限界に近いことと、セキュリティを高めることを目的としてS3を利用して大量のデータ蓄積を行いたいと考えています。現在のデータストレージには個人個人のユーザーがアクセスしてデータを保存することができるため、誤ってデータを削除するといったミスが発生することがあり、その場合は運用担当者がデータベースからの復元を試みる必要がありました。したがって、S3を利用してこうしたミスを防いでデータを保護したいと考えています。
S3バケットのデータ保護向けのバージョン管理についての正しい説明はどれでしょうか?(2つ選択してください。)
デフォルトで利用されている (不正解)
スナップショットを生成する
最も正しいバージョンファイルを上書きする
削除ファイルを復元する (正解)
単一ファイルの複数バージョンを保存する (正解)
説明
削除されたオブジェクトを復元するには、オブジェクトが削除される前にオブジェクトを含むバケットでS3のバージョニングが有効になっている必要があります。このバージョニング機能では、単一ファイルの複数バージョンを保存します。また、削除バージョンを削除することでファイルを復元することが可能です。したがって、オプション4と5が正解となります。
オプション1は不正解です。バージョニングはデフォルトで利用されていません。
オプション2は不正解です。バージョニングはスナップショットを生成する機能ではありません。
オプション3は不正解です。最も正しいバージョンファイルを上書きするのではなく、各バージョンを個別に作成していきます。
質問59: 不正解
ある会社は、AWSでホストされている現在のリソースに対する災害復旧計画を考案することが求められています。彼らはコストを最小限に抑えたいと考えていますが、他のリージョンで必要になったときに同じインフラストラクチャを起動できるようにしたいと考えています。
最低コストを念頭に置いて、この要件をどのように達成できますか。
CloudFormationによる既存システム構成を準備しておく。 (正解)
Opsworksによる既存システム構成を準備しておく。 (不正解)
同じインフラストラクチャーを別のリージョンに構築する。
別のリージョンにパイロットライトなインフラストラクチャーを準備しておく。
説明
オプション1が正解となります。CloudFormationによる既存システム構成を準備しておくことで容易に同じインフラ環境を準備することができ、かつコストがかかりません。よって、最低コストという要件であれば、これを選択します。適切なAMIなどの指定によって、EC2インスタンスやEBSデータの内容も継承しつつ、インフラを復元することができます。
オプション2は不正解です。OpsWorksは独自の設定管理システムを運用したり、そのインフラストラクチャを管理したりする際に利用される、複雑な設定や自動管理をするために用いられるサービスであり、求められているサービスではないためです。また利用も簡単ではありません。
オプション3と4は不正解です。同じインフラストラクチャーを別のリージョンに構築することや、別のリージョンにパイロットライトなインフラストラクチャーを準備しておくことでもBCP対応は可能です。しかしながら、インフラを維持するコストが発生してしまい、コスト最小化の要求にこたえられていません。
質問61: 不正解
あなたの会社ではS3を利用して社内情報共有を行っています。セキュリティ規定に基づいてS3に格納されているデータを暗号化したいと考えていますが、暗号化キーの複雑な管理を実施したくありません。よって、会社側でキーの作成も含めて全く暗号化キー管理が必要がない方式でデータ暗号化を実現したいと考えています。
この要件を満たす暗号化メカニズムは次のうちどれですか。
SSE-KMS (不正解)
SSE-C
SSE-S3 (正解)
CSE
説明
オプション3が正解となります。SSE-S3はAmazon S3がデータとマスターの暗号化キーを管理する方式であるため、暗号化と複合化はS3によって自動で管理されます。SSE-S3はS3バケットの設定画面で選択するだけで、データの暗号化を実施してくれます。
オプション1は不正解です。 SSE-KMSを利用することでマネージド型でキー管理を楽に実施できますが、AWSがデータキーを管理しAWS KMSでマスターキーを作成して管理するといった対応があり、全く何もしないわけではないため不正解です。
オプション2は不正解です。SSE-Cは暗号化キーを管理する必要があります。
オプション4は不正解です。CSE-Cはクライアント内で暗合したオブジェクトをS3に登録する方式です。暗号化されたオブジェクトはユーザー以外に複合化が不可能となります。
質問63: 正解
あるソリューションアーキテクトはEC2インスタンスをオンデマンドでスケールアウトするためのオートスケーリンググループを作成しようとしています。 起動時にEC2インスタンスがソフトウェアと共にプレインストールされるように設定する必要があります。
この要件を達成するための方法はどれでしょうか(2つ選択してください )。
適切なインストール用のBashスクリプトを加える。 (正解)
ゴールデンイメージを作成して、起動設定を設定する。 (正解)
起動設定にソフトウェアインストール設定を加える。
EC2インスタンスの起動と共に常に最新のソフトウェアが反映するようにEBSのスナップショットで複製してアタッチする。
説明
オプション1が正解となります。Bashスクリプトでソフトウェアのインストールを仕込んでおくことで、EC2インスタンス起動時に自動でソフトウェアインストールや初期設定を行ってくれます。
オプション2は正解となります。起動設定においてソフトウェアがインストールされた最新の状態のAMI(ゴールデンイメージ)を作成しておくことで、そのAMIを利用すれば最適なEC2インスタンスが起動できるように準備しておくことができます。
オプション3は不正解です。起動設定におけるソフトウェアインストール設定といった機能はEC2マネージメントコンソールにはありません。
オプション4は不正解です。スナップショットはある時点のデータ断面でしかないため、EC2インスタンスの起動と共に常に最新のソフトウェアを反映するようにEBSのスナップショットで複製するといった対応は不可能です。