質問2: 正解
あるソリューションアーキテクトは、A社のWebアプリケーションをホストしているEC2インスタンスの拡張を検討しています。ユーザー数は今後数カ月で倍増すると予想されるので、ユーザー数の増加に柔軟に対応するアーキテクチャ構成とする必要があります。
ユーザー増加に対応するための方法はどれでしょうか。(2つ選択してください)
EC2インスタンスのスポットインスタンスを利用して増加量に対応する。
EC2インスタンスの前にElastiCacheを利用してデータ量に対応する。
ELBのターゲットグループに予測される負荷処理が可能なEC2インスタンスを設置してロードバランシングさせる。 (正解)
EC2インスタンスの後ろにDynamoDBを設置してユーザー増加に対応する。
処理が可能なEC2インスタンスをELB配下に設置して、Route53でルーティングさせる。 (正解)
説明
このシナリオでは、AWS上のEC2インスタンスにホストされたアプリケーションにおいて、ユーザー数の増加に柔軟に対応するアーキテクチャ構成を達成するために利用するべきAWSサービスの組合せが求められています。このケースで利用するべきサービスは、ELB、AutoScaling、Route53、SQSが典型的なユースケースとして利用されます。
ELBはアプリケーションに弾力性を追加するための最も理想的なソリューションの1つです。また、Route53にルーティングポリシーを作成して加重ルーティングなどを使用すると複数のリソースを単一のDNS名に関連付けることができます。したがって、オプション3と5が正解となります。
オプション1は不正解です。スポットインスタンスを利用することでコストを下げれますが、ユーザー数の増加に柔軟に対応するアーキテクチャ構成を達成することはできません。むしろ不測の停止の発生可能性によりシステムの不安定化を招きかねません。
オプション2は不正解です。ElastiCacheはRDSなどのデータベース処理の高速処理化などで利用するべき構成であり、今回の要件には合致していません。
オプション4は不正解です。DynamoDBもセッションデータなどの高速処理などに向いていますが、今回の要件には合致していません。
質問4: 不正解
あなたはソリューションアーキテクトとしてRDSのデータに対して、Lambdaを連携したデータ処理を実行するサーバレスアプリケーションを開発しています。RDSのコネクション接続を最適にする必要があります。
この要件を満たす最適なソリューションを選択してください。
Lambda関数をSQSによるポーリング処理と連携してRDSへのデータ処理を分散化する。 (不正解)
LambdaをRDSに連携して、データ処理を実施する関数を作成する。
RDSのスティッキーセッションを有効化する。
RDSプロキシを利用する。 (正解)
説明
オプション4が正解となります。RDS Proxyは、アプリケーションとRDSデータベースの間の仲介役として機能します。RDS Proxyは、必要となるデータベースへのコネクションプールを確立および管理し、アプリケーションからのデータベース接続を少なく抑える機能です。RDS Proxyは、Lambda関数からデータベースに直接流れるすべてのデータベーストラフィックを処理します。
Lambda関数は、データベースインスタンスではなくRDS Proxyと対話します。RDS Proxyは、Lambda関数の同時実行によって作成された大量の同時接続をスケーリングするために必要なコネクションをプーリングします。これにより、Lambdaアプリケーションは、Lambda関数呼び出しごとに新しいコネクションを作成するのではなく、既存のコネクションを再利用できます。
オプション1は不正解です。Lambda関数をSQSによるポーリング処理と連携してRDSへのデータ処理を分散化するといった構成は非効率です。
オプション2は不正解です。Lambda関数は同時実行されることでコネクションを多数確立することになりますが、RDS Proxyを利用しないとデータセッションが効率的に継続させることができません。
オプション3は不正解です。RDSのスティッキーセッションという機能はありません。
質問5: 正解
あるソリューションアーキテクトは、予定外のプライマリDBの機能停止が起こった場合に備えて、障害対応可能なアーキテクチャ方式への変更を検討しています。 現在データベースはRDSのPostgreSQLを利用していますが、このDBを自動的にセカンダリDBに切り替えることが要件となっています。
自動フェールオーバーを実行する際に、どのレコードが利用されるでしょうか?
CNAME (正解)
TXT
MX
A
DNAME
説明
オプション1が正解となります。CNAMEレコードとは、DNSで定義されるドメインについての情報の種類の一つで、あるドメイン名やホスト名の別名を定義するレコードです。 自ドメインの特定のサブドメインやホスト名について、それと同等とみなす別の名前を任意に設定することができます。RDSの自動フェイルオーバーをルーティングする際はCNAMEレコードが切り替わって、フェールオーバーを実行しています。
オプション2は不正解です。TXTレコードは、ホスト名に関連付けるテキスト情報(文字列)を定義するレコードです。
オプション3は不正解です。MXレコードは、対象ドメイン宛のメール配送先ホスト名を定義するレコードです。
オプション4は不正解です。A(Address)レコードは、ホスト(FQDN)とサーバーを識別するグローバルIPアドレスの関連づけを定義するレコードです。
オプション5は不正解です。DNAMEは別のドメインに対してDNS名の部分木全体をマッピングする機能を提供するレコードです。
質問6: 不正解
あなたはソリューションアーキテクトとして、S3を利用したコンテンツ共有の仕組みを構築しています。このコンテンツ共有を利用するユーザーからのアクセスに限定する必要があり、インスタンスのIPアドレスからのみオブジェクトにアクセスできるようにする設定することが要件となっています。
この要件を達成するためのソリューションを選択してください。(2つ選択してください。)
CloudFrontを利用したOAIによるホワイトリストによるIP制限を実施する。 (正解)
S3に特定IPアドレスへのアクセスに限定したセキュリティグループを設定する。
CloudFrontにおける Referer制限を実施する。 (不正解)
事前署名付きURLを利用したコンテンツ共有を実装する。
CloudFrontを設定してWAFの IP ホワイトリストを実施する。 (正解)
説明
オプション1が正解となります。CloudFront 署名付き URL または署名付き Cookie を作成して Amazon S3 バケット内のファイルへのアクセスを制限してから、オリジンアクセスアイデンティティ (OAI) という特別な CloudFront ユーザーを作成して配布に関連付けます。次に、CloudFront が OAI を使用してファイルにアクセスしてユーザーに提供できるようにアクセス許可を構成します。たとえば、ユーザーがコンテンツにアクセスできなくなる日時の制御や、コンテンツへのアクセスに使用できる IP アドレスの制御が可能です。
オプション5が正解となります。CloudFront のディストリビューションに AWS WAF で作成した Web ACL を関連付け、IP ホワイトリストによるアクセス制限を行うことができます。AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) を作成した後で、ディストリビューションをウェブ ACL に関連付けます。
オプション2は不正解です。S3にセキュリティグループを設定することはできません。
オプション3は不正解です。CloudFrontにおける Referer制限はWAFを設定しないと実施できません、WAFのWEB ACLによる制御をReferer制限と呼びます。
オプション4は不正解です。S3の事前署名付き URL を作成した場合、そのURLの有効期限内での特定プロジェクトの共有ができます。これはオブジェクトを制限付きで共有する際に利用する機能です。
質問7: 不正解
あるソリューションアーキテクトは、VPCのプライベートサブネットに2つのWebサーバーを設置し、パブリックサブネットとしているネットワーク内に1つのELB(インターネット向け)とNATインスタンスを設置しています。しかしながら、インターネットから踏み台サーバーにSSH接続を試みたところ、返信がかえってきませんでした。
次のうち、最も可能性が高い原因と言える内容はどれでしょうか(2つ選択してください)
ルートテーブルがインターネットゲートウェイを構成できていない。 (正解)
WEBサーバーをプライベートサブネットではなくパブリックサブネットに設置する必要がある。
Elastic IPアドレスが設定されておらず名前解決に失敗している。 (不正解)
パブリックIPアドレスが適切なインスタンスに付与されていない。 (正解)
パブリックサブネットにNATゲートウェイを設置する。
説明
踏み出しサーバーがパブリックサブネットに設置されておりますが、アクセスができないようです。したがって、想定される回答としては、インターネットゲートウェイの設定に不備があることや、IPアドレスの付与などが考えられます。回答においてインターネットゲートウェイの設定に関わる内容は1と4のため、それが正解となります。
オプション2は不正解です。WEBサーバーをプライベートサブネットではなくパブリックサブネットに設置すると、システム構成自体を変更することになり不適切です。今回は現状の構成での接続方法の原因を特定することが必要です。
オプション3は不正解です。インターネットアクセスにはElastic IPアドレスを付与する必要はありません。Elastic IPアドレスは固定したIPアドレスがシステム連携などに必要な際に利用します。
オプション5は不正解です。WEBサーバーがインターネットアクセスには既にNATインスタンスが設定されており、NATゲートウェイは必要ありません。
質問8: 正解
A社ではCI/CD環境を整備して、アプリケーション開発を効率的に実施する体制を必要としており、AWSを利用した環境自動化サービスを利用することが最適と考えています。あなたはソリューションアーキテクトとして、CloudFormationを利用してテンプレートを作成しています。
次の要素のうちテンプレート作成の際に必須要素となるものはどれでしょうか?
Metadata
Outputs
Resources (正解)
Properties
Description
説明
オプション3が正解となります。CloudFormationテンプレートでは基本的にResourcesのみが必須項目となります。
CloudFormationの設定要素の中で、Properties/Outputs/Description/Metadataは必須ではなくオプショナルで設定する要素です。必ずしも設定しなくても、テンプレートを作成することができます。
質問11: 不正解
あなたの会社ではVPC上でEC2インスタンスにELBとAutoScalingを設定したアプリケーションを開発しています。このアプリケーションは国内に限定したアクセスが実施されるようにセキュリティを強化する必要があります。
特定の国からのみのアクセスを許可する設定方法はどれでしょうか?(2つ選択してください。)
セキュリティグループを利用した地理的制限を利用する。 (不正解)
ネットワークACLを利用した地理的制限を利用する。
Route53の位置情報ルーティングを利用する。 (正解)
CloudFrontの地域制限を利用する。 (正解)
インターネットゲートウェイの地域制限 を利用する。
説明
オプション3が正解となります。Route53の位置情報ルーティングは地理データベースと接続元IPアドレスを照合しクライアントに地域ごとの異なるレコードを返すDNSの構成です。これによって特定地域のみにルーティングする設定が可能です。
オプション4が正解となります。地域制限 (地理的ブロッキング) を使用すると、CloudFront ウェブディストリビューションを通じて配信しているコンテンツについて、特定地域のユーザーによるアクセスを回避できます。
その他のオプションは全て間違った設定方式や存在しない設定方式であるため、正しくありません。
質問12: 不正解
あなたはソリューションアーキテクトとして、マイクロサービス設計により疎結合化されたアーキテクチャをAWS上で実現したいと考えています。SQSのキューイングを利用してコンポーネント間の連携をする際に、処理されなかったキューを保持しなければならない要件が発生しました。なるべく長い期間キューを保持しておきたいと考え、SQSでの対応期間を調べることにしました。
SQSのキューは最大何日まで保持できるでしょうか。
12日
10日 (不正解)
14日 (正解)
16日
説明
SQS は最長メッセージ保持期間を超えるキューに残っているメッセージを自動的に削除します。 デフォルトのメッセージ保持期間は 4 日間です。設定を変更することで、最大14日まで保持できます。
したがって、オプション3が正解となります。
質問13: 不正解
あるメディア企業は、ユーザーが作成した写真をウェブサイトにアップロードする写真投稿アプリケーションを作成しました。 このWebアプリケーションはS3を利用しているため、S3 APIを呼び出すことが必要です。
最高レベルのセキュリティを維持しながら、API認証を実現する方法を選択してください。
API認証情報を利用しないでIAMロールを設定したEC2インスタンスからS3にアクセスする。 (正解)
API認証情報をAWS KMSで暗号化した上でS3に保存する (不正解)
AWS Certificate Manager (ACM)にAPI認証情報を保存・管理する。
API認証情報を利用しないでIAMグループを設定したユーザーからS3にアクセスする。
説明
オプション1が正解となります。API認証情報を保持することで、漏洩リスクがどうしても発生してしまいます。そのため、API認証情報を利用しない方式をとることが推奨されています。AWS認証情報を作成および配布する代わりに、IAMロールを使用してAPIリクエストを作成するためのアクセス許可を委任することができます。
オプション2は不正解です。API認証情報そのものをS3に保存することは実施しません。これは暗号化をしていたとしても不適切な管理となります。
オプション3は不正解です。AWS Certificate Manager (ACM)にAPI認証情報を保存する機能はありません。
オプション4は不正解です。IAMグループを設定したユーザーからS3にアクセスするのではなく、IAMロールを使用してAPIリクエストを作成するためのアクセス許可を委任することができます。
質問15: 正解
あなたはソリューションアーキテクトとして、現在構築しているシステムについてEC2インスタンスの負荷を考えてAutoScalingサービスを設定する必要があります。このシステムは特定の期間に高負荷が予定されており、かつ、一定の処理負荷になった場合にもスケーリングを自動で実行することが求められています。
この要件を満たすオートスケーリングの設定オプションを選択してください。(2つ選択してください)。
静的オートスケーリング
スケジューリングによるオートスケーリング (正解)
動的オートスケーリング (正解)
マニュアルスケジューリングによるオートスケーリング
説明
静的オートスケーリング以外はオプションで設定することができます。動的オートスケーリングを設定することで、一定のCPU利用に応じてスケーリングを実行します。したがって、オプション3が正解となります。
また、このシナリオでは、特定の期間に高負荷が予定されているため、あらかじめスケーリング実施期間を設定することが可能となります。スケジューリングによるオートスケーリングを設定することで、特定の期間にスケーリングを実行します。したがって、オプション2も正解となります。
オプション1は不正解です。静的オートスケーリングはオプションで設定することができないため、要件に合致していません。
オプション4は不正解です。マニュアルスケジューリングという内容のスケーリング方式はありません。
質問17: 不正解
ある企業では 一部のレガシーサーバーをデータセンター内で運用していますが、AWSへの大規模移行を実施することになりました。あなたはソリューションアーキテクトとして、VPN接続を利用してデータセンターとAWSとを接続する必要があります。
VPN接続を確立するために何をする必要がありますか?
Direct Connectを利用して接続する (不正解)
カスタマーゲートウェイに静的ルートテーブルを構成する (正解)
NATゲートウェイを構築してパブリックサブネットにルートテーブルを構成する
Route53によってVPNの接続設定を実施する
説明
オプション2が正解となります。カスタマーゲートウェイに静的ルートテーブルを構成することでVPN接続を設定できます。
Amazon VPC VPN 接続では、データセンター (またはネットワーク) を Amazon VPC 仮想プライベートクラウド (VPC) にリンクします。カスタマーゲートウェイは、その接続の作業者側のアンカーです。物理的アプライアンスにすることも、ソフトウェア的アプライアンスにすることもできます。VPN 接続の AWS 側のアンカーは、仮想プライベートゲートウェイと呼ばれます。
オプション1は不正解です。Direct Connectは専用線サービスですので、VPN接続のためには利用すると非効率です。
オプション3は不正解です。NATゲートウェイはVPN接続には無関係のゲートウェイです。
オプション4は不正解です。Route53もVPN接続には利用できません。
質問18: 不正解
あなたはSQSを利用してEC2インスタンスに処理を実行させるアプリ構成を実施しています。しかしながら、EC2インスタンスはSQSキューからメッセージを取得し、メッセージの処理を開始してからクラッシュしてしまいました。
この後、SQSのキューメッセージはどうなるでしょうか。
メッセージはクラッシュ後に削除される。
もし可視性タイムアウトが設定されていれば、その時間内で同じEC2インスタンスにて再度処理が実行されるまでキューが残る。 (不正解)
もし可視性タイムアウトが設定されており有効期限を過ぎれば、別のEC2インスタンスでキューが取得される。 (正解)
デフォルトでメッセージはデッドキューに移動される。
説明
オプション3が正解となります。可視性タイムアウトが設定されている場合は有効期限内は他のEC2インスタンスでは処理されませんが、有効期限を過ぎれば別のEC2インスタンスでキューが取得されることになります。
メッセージが受信された直後は、メッセージはキューに残ったままです。他のコンシューマーが同じメッセージを再処理しないように、Amazon SQS は可視性タイムアウトを設定しています。Amazon SQS では、この時間内に他のコンシューマーが同じメッセージを受信したり処理したりすることはできません。メッセージのデフォルトの可視性タイムアウトは 30 秒です。最小値は 0 秒、最大スケールは 12 時間です。
オプション1は不正解です。メッセージはクラッシュ後に削除されることはありません。
オプション2は不正解です。その時間内で同じEC2インスタンスにて再度処理が実行されるまで残るのではなく、その時間を過ぎてもキューは残り、別のEC2インスタンスでキューが取得されることになります。
オプション4は不正解です。デフォルトでメッセージはデッドキューに移動されるのではなく、別途設定が必要です。
質問19: 正解
次のIAMポリシーでAWSリソースに対する権限設定を行っています。
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Allow”,
“Action”: [
“ec2:GetConsoleScreenshot”
],
“Resource”: [
“*”
]
},
{
“Effect”: “Allow”,
“Action”: [
“s3:ListBucket”
],
“Resource”: [
“arn:aws:s3:::developer”
]
}
]
}
この設定内容として正しい内容を選択してください。
developerバケットにアクセスできる。
developerバケット内のアイテムに関する情報が閲覧できる。 (正解)
EC2インスタンスのコンソール画面にアクセスできる。
developerバケットにアイテムリストデータをアップデートできる。
説明
このポリシーでは、最初のステートメントによりユーザーは実行中の Amazon EC2 インスタンスのスクリーンショットを取得できます。このスクリーンショットは EC2 のトラブルシューティングに役立つ場合があります。
{
“Effect”: “Allow”,
“Action”: [
“ec2:GetConsoleScreenshot”
],
“Resource”: [
“*”
]
},
次のステートメントでは、Amazon S3 developerバケット内のアイテムに関する情報の表示も許可されます。
{
“Effect”: “Allow”,
“Action”: [
“s3:ListBucket”
],
“Resource”: [
“arn:aws:s3:::developer”
]
}
したがって、developerバケット内のアイテムに関する情報が閲覧できるが正解となり、オプション2が正解となります。
質問20: 正解
ある企業は金融機関の高度なセキュリティポリシーに対応するため、暗号化キーの管理においてHSM(Hardware Security Module)を使用しています。HSMはEC2インスタンス用のキーを生成するためにのみ使用されます。 そうした中で誰かが無効なパスワードを使用して管理者として3回ログインしようとした後、HSMはゼロ化されて、暗号化キーが消去されてしまいました。 鍵のコピーは他の場所に保存されていません。
HSMに保管した鍵の新しいコピーを入手するにはどうすればよいですか。
コピーを有していない場合は、新しいキーは取得不可能である (正解)
AWSサポートに依頼することでHSMから復元できる
HSMのスナップショットを利用してキーを復元する
AWS KMSを利用してコピーを作成する
説明
オプション1が正解となります。HSMはゼロ化してキーをロスとしてしまうと、コピーを有していない場合は新しいキーは取得不可能となります。
AWS CloudHSM は、クラウドベースのハードウェアセキュリティモジュール (HSM) です。これにより、AWS クラウドで暗号化キーを簡単に生成して使用できるようになります。CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理できます。
オプション2は不正解です。AWSサポートに依頼しても復元することはできません。
オプション3は不正解です。HSMのスナップショットというものは存在しません。
オプション4は不正解です。AWS KMSを利用してコピーを作成することはできません。
質問21: 不正解
あるソリューションアーキテクトは、バックアップおよびアーカイブインフラストラクチャの構成でAmazon Simple Storage Service(S3)とAmazon Glacierを利用したいと考えています。 この統合をサポートするためにサードパーティ製のソフトウェアを使用することを計画しており、サードパーティ製ソフトウェアの入ったEC2インスタンスのIPアドレスからのアクセスを「regular-backup」という名前のAmazon S3バケットのみに制限したいと考えています。
この要件を満たすためにどのような対応が必要でしょうか。
バケットポリシーの設定で「regular-backup」をアーカイブするGlacierのAPIのアクセスを制限する。
IAMロールの設定で「regular-backup」のS3 APIのアクセスを制限する。 (正解)
バケットポリシーの設定で「regular-backup」のS3 APIのアクセスを制限する。 (不正解)
IAMロールの設定で「regular-backup」をアーカイブするGlacier APIのアクセスを制限する。
説明
オプション2が正解となります。IAMロールを使用してS3バケットへの特定のアクセスを必要とするEC2インスタンスにアクセス権限を付与することができます。バケットポリシーでもアクセス制御ができますが、特定のユーザー単位でのアクセス制御を主としており、特定IPアドレスが付与されたEC2インスタンスからのアクセス制御にはIAMロールの方が最適です。
オプション1と3は不正解です。バケットポリシーの設定ではなく、IAMロールによってEC2インスタンスのアクセスを特定のアクセスに絞る方が最適です。リソース間のアクセス制御にはIAMロールを利用することができます。バケットポリシーでは、そのポリシーを指定したバケットへのアクセスをIPアドレスで限定することは可能ですが、他のバケットに対してもいちいちポリシーを設定することが必要となり、設定が煩雑になってしまいます。
オプション4は不正解です。Glacier APIではなく、S3 APIのアクセスを制限することが必要です。
質問22: 不正解
あなたは新規にAWSアカウントを作成して、AWSを利用してインフラを構築することになりました。その際にAPIを介してオンプレミスのシステムと連携することになり、API管理が必要となります。APIアクセスキーは、AWSへのプログラムによる呼び出しを行うために必要です。
APIアクセスキーの利用方法として正しいものはどれでしょうか(3つ選択してください)。
AWS CLI (正解)
AWSマネージメントコンソール (不正解)
Windows Powershell用AWSツール (正解)
APIからの直接HTTP CALL (正解)
説明
アクセスキーを作成するとステータスはアクティブになり、ユーザーがAWS CLI、Tools for Windows PowerShellおよびAPI呼び出しに対してアクセスキーを使用できます。
したがって、オプション1と3と4が正解となります。
質問23: 不正解
あなたのWEBアプリケーションはデータ共有をS3を介して実施します。ブラウザでAjax通信を行って、Webページを生成したドメイン以外へのHTTPリクエストを実施することが要件となっています。しかしながら、そのまま実装すると、悪意を持った第三者からの攻撃を受けるリスクが高くなる可能性があります。
この問題を解決するために、最小の労力で実施できる実装方法を選択してください。
Amazon S3 Transfer Accelerationの利用
S3のCORSを有効化する。 (正解)
事前署名付きURLを利用したコンテンツ共有を実装する。
STSによる一時認証情報を利用する。 (不正解)
説明
ブラウザでAjax通信を使用してアプリケーション構築を実施した場合は、同一生成元ポリシーによってWebページを生成したドメイン以外へのHTTPリクエストができません。データ共有をするためには、ユーザー情報に対するセキュリティを確保するために各ブラウザで実装されている同一生成元ポリシーをあえて無視することが必要となり、悪意を持った第三者からの攻撃を受けるリスクが高くなる可能性があります。
そこでS3のCross-Origin Resource Sharing (CORS) を有効化します。CORSは、特定のドメインにロードされたクライアントウェブアプリケーションが異なるドメイン内のリソースと通信する方法を定義します。CORS のサポートにより、Amazon S3 を使用して機能豊富なクライアント側ウェブアプリケーションを構築し、Amazon S3 リソースに対するクロスオリジンアクセスを選択的に許可することができます。したがって、オプション2が正解となります。
オプション1は不正解です。Amazon S3 Transfer Acceleration を使用すると、クライアントと S3 バケットの間で、長距離にわたるファイル転送を高速、簡単、安全に行えるようになります。
オプション3は不正解です。S3の事前署名付き URL を作成した場合、そのURLの有効期限内での特定プロジェクトの共有ができます。これはアクセス制御全般を実施するのではなく、オブジェクトの制限付き共有で利用するものです。
オプション4は不正解です。STSによる一時認証情報によって、S3へのアクセス許可を設定することはアプリ機能として可能ではありますが、CORSを利用する方が容易に実装が可能です。
質問24: 正解
あなたはソリューションアーキテクトです。現在EC2インスタンスに接続されているEBSボリュームをあるリージョンから別のリージョンに移動させたいと考えています。
これを達成するための方法は選択してください。
対象のEBSのスナップショットを作成して別リージョンでEBSボリュームを複製する。 (正解)
対象のEBSのディタッチして別リージョンのEC2インスタンスにアタッチする。
新しいEBSボリュームを移動先リージョンに作成して、ディスク内容をコピーする。
新しいEBSボリュームを移動先リージョンに作成して、対象EBSのバックアップを復元する。
説明
オプション1が正解となります。Amazon EBS を使用すると、Amazon S3 に格納するボリュームのポイントインタイムスナップショットを作成できます。スナップショットを作成し、Amazon S3 へのコピーを完了すると 、1 つの AWS リージョンから別のリージョン、または同じリージョン内にスナップショットをコピーできます。その上で移動先リージョン内でEBSボリュームを複製することができます。
オプション2は不正解です。EBS自体は別リージョンに移動して利用することができません。
オプション3は不正解です。新しいEBSボリュームを移動先リージョンに作成して、ディスク内容をコピーするのではなく、スナップショットから新しいEBSを起動することが必要です。
オプション4は不正解です。新しいEBSボリュームを移動先リージョンに作成して、バックアップを復元するのではなく、スナップショットから新しいEBSを起動することが必要です。
質問25: 正解
AWS Secure Token Service (STS)において「あるサービス」を利用することで、オンプレミスアプリケーションを使用しているユーザーに対して、組織の認証システムを使用してシングルサインオン環境を提供することができます。
どのサービスを使用することでシングルサインオンを実現できるでしょうか?
SAML2.0 (正解)
IAMユーザー
OpenID Connect
OAuth
説明
SAMLとは、Security Assertion Markup Languageの略称であり、OASISによって策定された異なるインターネットドメイン間でユーザー認証を行うための XML をベースにした標準規格です。AWS STSはSAML(Security Assertion Markup Language)2.0などのオープンスタンダードをサポートしています。これを使用すると、Microsoft AD FSを使用してMicrosoft Active Directoryを活用できます。OPNE IDもサポートしていますが、これはSNSを利用したソーシャルログインを実現するための規格です。シングルサインオンを実現という要件からはSAML2.0を利用することが求められるため、オプション1が正解となります。
AWS の外部システムでユーザー ID を管理し、それらのシステムからサインインするユーザーに AWS タスクの実行や AWS リソースへのアクセスに必要な権限を付与できます。IAM では、2 種類の ID フェデレーションをサポートしています。いずれの場合も、ID は AWS の外部に格納されます。
■エンタープライズ ID フェデレーション
これにより、組織のネットワークのユーザーを認証し、ユーザーが AWS にアクセス可能にすることができます。それらのユーザーのために新しい AWS ID を作成したり、他のユーザー名とパスワードによるサインインを求めたりする必要はありません。これは、一時アクセスに対するシングルサインオン (SSO) アプローチとして知られています。AWS STS は Security Assertion Markup Language (SAML) 2.0 のようなオープンスタンダードをサポートしており、Microsoft AD FS を使用して Microsoft Active Directory を活用できます。また、SAML 2.0 を使用して、ユーザー ID フェデレーション用の独自のソリューションを管理することもできます。
■カスタムフェデレーションブローカー
組織の認証システムを使用して AWS リソースへのアクセスを許可することができます。
■SAML 2.0 を使用したフェデレーション
組織の認証システムと SAML を使用して、AWS リソースへのアクセスを許可することができます。これにより、シングルサインインが実現できます。
■ウェブ ID フェデレーション
ユーザーに一般的なサードパーティー ID プロバイダー (Login with Amazon、Facebook、Google、OpenID Connect (OIDC) 互換の任意のプロバイダーなど) を使用したサインインを求めることができます。ユーザーはそのプロバイダーの認証情報を AWS アカウントのリソースを使用するための一時的なアクセス許可に変換することができます。これは、一時アクセスに対する ウェブ ID フェデレーションアプローチとして知られています。
質問26: 不正解
あなたの会社のアプリケーションはEC2インスタンスにAutoScalingを設定した拡張性の高い構成を実施しています。最近の負荷上昇によって、AutoScalingが起動されましたが、新規インスタンス数の増加によるパフォーマンス向上効果が発揮されるまで遅いことが問題となっています。
この問題を解決しうるソリューションを選択してください。
AutoScalingのステップスケーリングポリシーによってウォームアップ条件を設定する。 (正解)
AutoScalingの簡易スケーリングポリシーによってウォームアップ条件を設定する。
AutoScalingの条件付きスケーリングポリシーによってウォームアップ条件を設定する。
AutoScalingのスケジュールスケーリングポリシーによってウォームアップ条件を設定する。 (不正解)
説明
ステップスケーリングポリシーは、CloudWatchメトリクスから得られる値(CPU使用率やSQSキューサイズなど)の閾値を超えて発せられるアラームに対して、値ベースでスケーリングアクションを個別設定できる機能です。ステップスケーリングポリシーを作成するときは、アラーム超過のサイズに基づいてインスタンス数を動的にスケーリングする 1 つ以上のステップ調整値を指定します。各ステップ調整値は、次のように指定します。
・メトリクス値の下限
・メトリクス値の上限
・スケーリング調整タイプに基づいてスケールする量
CloudWatch は、CloudWatch アラームに関連付けられたメトリクスの統計に基づいて、メトリクスデータポイントを集計します。アラームを超過した場合、適切なスケーリングポリシーがトリガーされます。Amazon EC2 Auto Scaling は集計タイプを (raw メトリクスデータではなく) CloudWatch からの最新のメトリクスデータポイントに適用します。ステップ調整によって定義された上限と下限に対して、この集約メトリクス値を比較することにより、実行するステップ調整が決定されます。
これまでのスケーリングでは、単純にCPU使用率上がったら沢山インスタンスを追加してしまうといった実際のビジネスにフィットしないケースがありました。そこで、50%なら1台追加、60%なら2台追加、70%なら3台追加といった具合に、閾値を超えてアラームから報告される値によってスケールする台数を指定できるようになりました。したがって、オプション1が正解となります。
オプション2は不正解です。簡易スケーリングポリシーは通常のスケーリングに利用されるポリシーであり、細かなステップを調整することができません。
オプション3は不正解です。条件付きスケーリングというポリシーはありません。
オプション4は不正解です。スケジュールされたスケーリングでは、独自のスケーリングスケジュールを設定できます。これは負荷が高まる期間がわかっている際に利用します。
質問27: 正解
あなたはソリューションアーキテクトです。社内システム用にEC2インスタンスを立ち上げて可用性の高いシステム構成を実現することが求められています。そこで、あなたは自社のEC2インスタンスに対してELBを設定して可用性を向上させたいと考えています。ELBにホストされるWebアプリケーションのヘルスチェックを設計するとき、どのような設定をするべきでしょうか。
次のうちから最適な方法を選択してください。
UDPヘルスチェック
TCPヘルスチェック
HTTPヘルスチェック (正解)
TCPとUDPのヘルスチェック
説明
単純なTCPヘルスチェックでは、インスタンス自体は正常であるがWebサーバープロセスがクラッシュしたというシナリオは検出されません。 代わりに、単純な要求に対してWebサーバーがHTTP 200応答を返すことができるかどうかを評価する必要があります。したがって、オプション3のHTTPヘルスチェックを設定することが正解となります。
■UDP/TCPヘルスチェック
トランスポート層レベルで稼動状況を確認するヘルスチェックです。Web/APサーバのTCPポート(またはUDPポート)にリクエストを送信し、応答があれば稼動していると判断します。
■HTTPヘルスチェック
アプリケーション層レベルで稼動状況を確認するヘルスチェックです。Web/APサーバ上で稼動するアプリケーションにHTTPリクエストを送信し、応答が正常であれば稼動していると判断します。
したがって、アプリケーションの稼働が十分かどうかを判断するためにはHTTPヘルスチェックを実行します。
質問29: 不正解
あるソリューションアーキテクトはVPCを新規に作成してEC2インスタンスを設置しようとしてます。 サブネットを設定しインスタンスを起動したところ、インスタンスがDNS名を受け取っていないことに気付きました。
次の中から、解決策となりうる対応を選択してください。
サブネットのCIDRが不適切である。
VPCのCIDRが不適切である。
サブネット構成を変更する必要がある。 (不正解)
VPC構成を変更する必要がある。 (正解)
説明
オプション4が正解となります。VPCのDNS hostnamesオプション有効化されていないと、サブネットで起動されたインスタンスはDNS名を取得できません。 よって、VPC構成の設定を変更することで解決できます。
VPC には、VPC 内で起動したインスタンスがパブリック IP アドレスに対応するパブリック DNS ホスト名を受け取るかどうか、および Amazon DNS サーバーを通じた DNS 解決が VPC に対してサポートされるかどうかを決定する属性があります。これを有効に設定していないと、インスタンスがDNS名を受け取ることができなくなってしまいます。
オプション1は不正解です。サブネットのCIDRが不適切である場合は、そもそもサブネットの作成時にエラーが発生するため、これは無関係です。
オプション2は不正解です。VPCのCIDRが不適切である場合は、そもそもVPCの作成時にエラーが発生するため、これは無関係です。
オプション3は不正解です。サブネット構成ではなく、VPC自体の構成を変更することが必要です。
質問30: 不正解
あるソリューションアーキテクトはS3バケットにクロスリージョンレプリケーションを設定しようとしています。 しかしながら、クロスリージョンレプリケーションのオプションを選択することができず無効になってしまいます。
この問題の根本的な原因として考えられる内容を選択してください。
バージョニングが無効化されている (正解)
クロスリージョンレプリケーションの対象外リージョンである (不正解)
バケットポリシーが不適切である。
パブリックアクセス設定がオープンになっていない。
説明
クロスリージョンレプリケーションを利用するためにはバージョニングが有効化されている必要があります。
S3のクロスリージョンレプリケーションの実行には以下の対応が必要です。
■ソースバケットの所有者は、自分のアカウントに対して送信元と送信先の AWS リージョンを有効にする必要があります。レプリケート先のバケット所有者は、自分のアカウントでレプリケート先リージョンを有効にしている必要があります。
■レプリケート元とレプリケート先の両方のバケットで、バージョニングを有効にする必要があります。
■Amazon S3 には、ユーザーに代わってレプリケート元バケットのオブジェクトをレプリケート先バケットにレプリケートするアクセス許可が必要です。
■ソースバケット所有者がバケット内のオブジェクトを所有していない場合、オブジェクト所有者は、オブジェクトアクセスコントロールリスト ( ACL) を使用して、バケット所有者に READ 権限と READ_ACP 権限を付与する必要があります。
■ソースバケットで Amazon S3 オブジェクトロックが有効になっている場合は、宛先バケットでもオブジェクトロックが有効になっている必要があります。
したがって、オプション1が正解となります。
質問31: 不正解
あなたはソリューションアーキテクトとして、Lambdaを利用してDynamoDBへのデータ登録処理を実行するアプリケーション機能を作成しています。アプリケーションからDynamoDBに登録するデータの最大値を確認した上で、その量を超えた場合にはデータを分割して処理する必要があります。
Lambda関数を呼び出すたびに使用できる一時ボリューム量は最大どのくらいですか?
128MB
256MB
512MB (正解)
1GB (不正解)
説明
AWS Lambda では、関数の実行と保存に使用できるコンピューティングおよびストレージリソースの量が制限されます。
■同時実行数:1000
■関数とレイヤーストレージ:75GB
Lambda関数の設定、デプロイ、および実行には、/tmp ディレクトリのストレージを利用しており、AWS Lambdaは512MBが一時ボリュームの最大制限となっています。したがって、オプション3が正解となります。
質問32: 正解
ある動画配信企業では動画を共有するウェブアプリケーションを運営しています。このアプリはプレミアムメンバーと無料メンバーを有しており、プレミアムメンバーと無料メンバーとにアプリアクセスやタスクに関する優先度に差異を設けています。 プレミアムメンバーと無料メンバーの両方によってアップロードされた全動画は、SQSポーリング処理を連携したEC2インスタンスによって処理されます。 ただし、有料課金しているプレミアムメンバーへの処理は、無料のメンバーよりもアクセス優先度を高くする必要があります。
この要件を満たすためにSQSをどのように設定すれば良いでしょうか?
SNS側で優先順位付けした上でメッセージング処理してSQSポーリングを起動する。
Lambdaファンクションでメンバータイプを確認して、キューの優先設定を変更した上でSQSポーリングを起動する。
SQSでプレミアムメンバー用の優先度付きキューを設定して、EC2インスタンスがプレミアムメンバー用キューを優先処理するプログラム処理を行う。 (正解)
SQSのFIFO機能を利用して、優先順位順で処理される順番でメッセージングを処理する。
説明
オプション3が正解となります。このケースのように複数のSQSキューの処理方法を設定することで、業務の優先順位に応じた個別の優先度付きキューを設定することができます。このケースでは、プレミアムメンバーの処理を優先させることで、プレミアムメンバーのSQSキューは最初にEC2インスタンスによってポーリングされ、次にそれらのメッセージが処理されようになります。
優先度付きキューとは、その名の通りキューに優先度が付いたものになります。優先度の高いキューと優先度の低いキューを用意します。クライアント側ではジョブの優先度に応じて、どちらのキューに登録するか決めます。worker側ではジョブを取得するときに、はじめに優先度の高いキューにジョブが登録されているか調べて優先的に実施します。
オプション1は不正解です。SNS側で優先順位付けした上でメッセージング処理という機能はありません。また、SQS側で優先順位ができるためSNSでの優先順位がそもそも必要ありません。
オプション2は不正解です。SQS側で優先順位ができるためLambdaでの優先順位付けが必要ありません。
オプション4は不正解です。SQSのFIFO機能を利用するのではなく、優先順位付キューというのを設定して、ワーカーとクライアント側での設定が必要です。
質問33: 不正解
あるソリューションアーキテキトはVPCに2台のWebサーバーを設置し、ELBを設置した上でインターネットに接続する構成を作りました。 WebサーバーとELBはどちらもVPC内に設置しています。しかしながら、接続テストを試みたところインターネットを介してWebアプリケーションにアクセスすることはできませんでした。
この問題を解決するために何ができるでしょうか。
インターネットゲートウェイを設定してルートテーブルを通す (正解)
インスタンスを再起動する
VPCとサブネットの構成をやり直す
ELBのトラフィック設定でHTTPトラフィックを有効化する (不正解)
説明
VPC内に設置したEC2インスタンスに対してインターネットからアクセスできない場合は、以下のような要因が考えられます。
・インターネットゲートウェイがサブネットに設定されていない。
・ネットワークACLの設定でインターネットアクセス許可が設定されていない。
・セキュリティグループの設定でインターネットアクセス許可が設定されていない。
・パブリックIPアドレスが付与されていない。
以上からオプション1が正解となります。インターネットアクセスができていない可能性があるため、VPCにインターネットゲートウェイが接続されていて、ルートテーブルがサブネットに対して正しく構成されていることを確認する必要があります。
質問34: 正解
あるソリューションアーキテキトは、EC2インスタンスがアップロードされた音声ファイルを処理してテキストファイルを生成する自動転記サービスを構築しています。 テキストファイルが取得されるまで、これら両方のファイルを同じ永続ストレージに保存する必要があります。しかしながら、どのくらいのストレージ容量が必要であるか計算できていません。また、データは頻繁に利用されることが想定されます。
費用対効果が高くスケーラブルなストレージオプションはどれですか。
S3 Standard (正解)
Glacier(迅速)
S3 Standard IA
EFS
説明
オプション1が正解となります。Amazon S3はWebサイトやモバイルアプリ、企業アプリケーション、IoTセンサーやデバイスからのデータなど、あらゆる場所からのデータを保存および取得するためのオブジェクトストレージです。データ容量が無制限に利用することができるため、どのくらいのデータ量を保存するのかが不明な場合でも、保存した利用料金しかとられないため、コスト最適に利用することができます。
S3は様々なストレージタイプから利用要件とコストを比較して、最適なストレージを選択することが必要です。今回の要件では、データは頻繁に利用されることが想定されているため、Standardクラスを利用するのが良いでしょう。
オプション2は不正解です。同じく迅速にデータを取り出す必要があるため、Glacierも不適切になります。Glacierの迅速取り出しは、迅速といえども5分前後のデータ取得時間が必要であるため、頻繁に利用するデータの蓄積には利用されません。
オプション3は不正解です。S3 Standard IAとOne-zone-IAは低頻度アクセス向けのストレージとなります。この問いではアクセス頻度が多いことを要件としていますので不適当です。
オプション4は不正解です。費用対効果が高いということからEFSではなく、より安いS3を利用することになります。
質問35: 正解
ある企業では費用対効果から長期利用が予定されているサーバーに対して複数のリザーブドインスタンスを1年1カ月間継続して利用しています。それらのインスタンスは今後利用がなくなる予定であるため、シャットダウンする必要があります。 アタッチしているボリューム内で使用されているデータは、シャットダウン後も必要とされています。
次のうち、どのようなステップを取るべきでしょうか?(2つ選択してください)。
インスタンスをオンデマンドインスタンスに変更する
リザーブドインスタンスをマーケットで販売する (正解)
インスタンスをスポットインスタンスに変更する
EBSボリュームのスナップショットを取得しインスタンスを停止する (正解)
リザーブドインスタンスを利用停止して、シャットダウンする。
説明
このシナリオでは、1年1カ月以上利用していたリザーブドインスタンスを処分したいことと、そこで利用しているデータは保存したいこと、という2つの要件に対応することが求められています。
オプション2が正解となります。リザーブドインスタンスは1年間か3年間の期間を決めて前払いすることで大幅に割引されるインスタンス購入方式です。1年1カ月利用していたということは、3年間前払いしていることを意味しています。そのため、リザーブドインスタンスをただシャットダウンするだけでは前払い分を損してしまいます。したがって、マーケットプレイスで販売することが必要です。リザーブドインスタンスマーケットプレイスは、期間の長さや価格設定オプションが異なるサードパーティおよびAWSのお客様の未使用の標準リザーブドインスタンスの販売をサポートするプラットフォームです。 たとえば、インスタンスを新しいAWSリージョンに移動した後、新しいインスタンスタイプに変更したとき、期限が切れる前にプロジェクトを終了したとき、ビジネスニーズが変わったとき、または容量が不要な際などに、リザーブドインスタンスを販売できます。
オプション4も正解となります、EBSボリュームのスナップショットを取得しインスタンスを停止することで、データのみを保持することができます。
オプション1は不正解です。リザーブドインスタンスをオンデマンドインスタンスに変更することは通常できません。リザーブドインスタンスを売らないで、切り替えることはできますが、その場合はコストが2重にかかります。
オプション3は不正解です。インスタンスをスポットインスタンスに変更することは通常できません。
オプション5は不正解です。リザーブドインスタンスを利用停止して、シャットダウンするだけでは、前払い分の費用を損してしまいます。
質問36: 不正解
ある企業では、特定のリージョンにEC2インスタンスをホストしています。 このEC2インスタンスは事前に設定されたソフトウェアが実行されています。 今利用しているリージョンに大きな障害が発生した場合に備えて、あなたは障害復旧ソリューションを構築するように依頼されました。
要件を満たすための最適な対応方法はどれでしょうか?
EC2インスタンスのバックアップを取得して、別リージョンでリカバリーする。
EC2インスタンスのAMIを取得して、別リージョンにコピーする。 (正解)
EC2インスタンスのAMIとEBSボリュームのスナップショットを取得して、別リージョンにコピーする。
EC2インスタンスのスナップショットを取得して、別リージョンにコピーする。 (不正解)
説明
EC2インスタンスのAMIを取得して、別リージョンにコピーすることで、同じ内容のEC2インスタンスを別リージョンに複製できます。実行中または停止したインスタンスのいずれかを使用して、Amazon Machine Image (AMI) を作成することができます。
AMI には次が含まれています。
■1 つまたは複数の EBS スナップショット、または、instance-store-backed AMI、インスタンスのルートボリュームのテンプレート (オペレーティングシステム、アプリケーションサーバー、アプリケーションなど)
■起動許可 (AMI を使用してインスタンスを起動する権限を特定の AWS アカウントに与える)
■インスタンスの起動時にインスタンスにアタッチするボリュームを指定するブロックデバイスマッピング
Amazon マシンイメージ (AMI) は、AWS マネジメントコンソール、AWS Command Line Interface または SDK、または Amazon EC2 API (すべて CopyImage アクションをサポート) を使用して、AWS リージョン内または AWS リージョン間でコピーできます。それにより、別リージョンに定期的にAMIをコピーしてバックアップ体制を整備することが可能です。したがって、オプション2が正解となります。
オプション1は不正解です。インスタンスはバックアップという機能はありません。代わりにAMIを利用します。
オプション3は不正解です。AMIにはスナップショットが含まれているため、EBSとAMIを両方取得する必要はないです。
オプション4は不正解です。スナップショットはEBSに対する内容ですのでEC2インスタンス自体の複製には利用できません。
質問37: 不正解
ある会社ではAmazon ECSを利用して、Docker形式のアプリケーション構築を行っています。新しく構築しているWEBアプリケーションはEC2起動タイプを利用し、データレイヤーにDynamoDBを利用しています。そのため、ECSタスクからDynamoDBへの読み取り処理が必要です。
この構成を実現するための設定方法を選択してください。
ECSの内部にEC2インスタンスとDynamoDBを構成することで、アクセスが可能になる。
DynamoDBへの読取権限を付与したIAMロールをECSタスクに付与する。 (正解)
ECSから起動されたEC2インスタンスにDynamoDBへの読取権限を付与したIAMロールを付与する。 (不正解)
ECSを利用するIAMユーザーに対して、DynamoDBへの読取権限を付与したIAMポリシーを付与する。
説明
オプション2が正解となります。ECSタスクのためのIAMロールの導入によって、EC2コンテナインスタンスではなくECSタスクに直接IAMロールを紐付けることで、基盤をより安全に保つことができます。この手法によって、1つのタスクはS3にアクセスする特定のIAMロールを使いながら、他のタスクはDynamoDBテーブルへにアクセスするIAMロールを使うといった設定が可能になりました。
オプション1は不正解です。ECSの内部にEC2インスタンスとDynamoDBを構成することで、アクセスが可能になるわけではありません。IAMロールが設定されないとアクセス許可は実現できません。
オプション3は不正解です。今までは、Amazon EC2のIAMロールを使う必要がありました。つまり、ECSクラスタのEC2インスタンスに紐付いたIAMポリシーは同一クラスタ内で実行されるタスクが必要な全てのIAMポリシーを含んでいる必要がありました。これは、もし1つのコンテナが特定のS3バケットへのアクセスが必要で、他のコンテナがDynamoDBテーブルへのアクセスが必要であった時、同一のEC2インスタンスに両方のIAM権限を与える必要があることを意味しています。
オプション4は不正解です。IAMユーザーに対するポリシーだけではリソース間の連携はできません。
質問38: 正解
あるソリューションアーキテキトはデータ分析基盤をAWS上に構築しています。 Amazon Kinesis Data Streamsを利用して大量の市場データを取り込んでから、Elastic Map Reduceを使用してデータ分析します。その後、処理結果データはEC2インスタンス上で実行されるCassandraデータベースにインポートされ、その後世界中のトレーダーによってアクセスされます。 データベースボリューム自体は、RAID 0ボリュームにグループ化される2つのEBSボリュームに配置されます。 ピーク時には非常に高い需要が予想され、高速読込処理のパフォーマンスレベルは約25,000のIO処理が必要と予測されています。
この要件に対応するために、どのEC2インスタンスのストレージボリュームを選択するべきでしょうか。
汎用SSD
コールドHDD
マグネティック
ターボIOPS
プロビジョンドIOPS (正解)
説明
オプション4が正解となります。プロビジョンドIOPSはレイテンシーの影響が大きいトランザクションワークロード向けに設計された極めてパフォーマンスの高い SSD ボリュームです。データベースなどの集中的なI / Oアプリケーションをホストする場合は、常にIOPSを優先ストレージオプションとして使用するようにしてください。
オプション1は不正解です。汎用SSDは幅広いトランザクションワークロードに対応できる価格とパフォーマンスのバランスが取れた汎用 SSD ボリュームです。性能的に今回は要件に合致しません。
オプション2は不正解です。コールドHDDはアクセス頻度の低いワークロード向けに設計された極めて低コストの HDD ボリュームです。
オプション3は不正解です。ターボIOPSというストレージボリュームはありません。
質問39: 不正解
あなたはソリューションアーキテクトとして、複数のEC2インスタンスとALBでバランシングさせたWEBアプリケーションを構築しました。最近、WEBアプリケーションに対するアクセスが増加傾向にあり、既存のEC2インスタンス処理が遅れるというトラブルが発生しました。あなたはAuto Scalingを設定して、高負荷時にスケーリングできるように改善することになりました。
Auto Scalingを設定する際の最初のステップとして正しいものを選択してください。
起動テンプレートを作成する。 (不正解)
オートスケーリンググループを設定する。
起動設定を行ってからAMIを生成することになる。
AMIを先に準備する必要がある。 (正解)
説明
AutoScalingを設定する場合、最初に起動テンプレートを設定し、そのあとにAutoScalingグループを設定するという手順になります。さらに起動テンプレートの設定にはAMIが準備されている必要があります。
起動テンプレートの設定では、Amazon EC2 Auto Scaling によって作成される EC2 インスタンスのタイプを指定します。これには使用する Amazon マシンイメージ (AMI) の ID、インスタンスタイプ、キーペア、セキュリティグループ、ブロックデバイスマッピングなどの情報を含めます。したがって、起動テンプレートを設定するためにはAMIが必要となり、オプション4が正解となります。
質問40: 不正解
あなたはソリューションアーキテクトとして、VPCを設定して、インターネットからSSH接続によりサーバーを操作できる構成を準備しています。その際に、NATゲートウェイを設置してプライベートサブネットに設置されたEC2インスタンスに対してパブリックサブネットのEC2インスタンスからSSH接続ができるようにする必要があります。
どのような設定対応が必要でしょうか(2つ選択してください)
NATゲートウェイをプライベートサブネットに設置する。 (不正解)
NATゲートウェイをパブリックサブネットに設置する。 (正解)
EC2インスタンスがあるプライベートサブネットのルートテーブルにNATゲートウェイを設定する (正解)
NATゲートウェイのネットワークACLに対象インスタンスのIPアドレスを設定する (不正解)
EC2インスタンスがあるパブリックサブネットのルートテーブルにNATゲートウェイを設定する
説明
ネットワークアドレス変換 (NAT) ゲートウェイを使用して、プライベートサブネットのインスタンスからはインターネットや他の AWS サービスに接続できますが、インターネットから直接にインスタンスとの接続を開始できないようにすることができます
NATゲートウェイを作成するには、NAT ゲートウェイの常駐先のパブリックサブネットを指定する必要があります。NAT ゲートウェイを作成したら、プライベートサブネットのルートテーブルを更新して、インターネットトラフィックを NAT ゲートウェイに向かわせる必要があります。そのため、プライベートサブネットのルートテーブルにNATゲートウェイを設定します。
したがって、オプション2と3が正解となります。
オプション1は不正解です。NATゲートウェイはパブリックサブネットに設置します。
オプション4は不正解です。NATゲートウェイのネットワークACLに対象インスタンスのIPアドレスを設定することは必要ありません。
オプション5は不正解です。パブリックサブネットではなく、プライベートサブネットのルートテーブルにNATゲートウェイを設定することが必要です。
質問41: 正解
あるソリューションアーキテクトが、社内ドキュメントを格納およびアーカイブするドキュメントシステムを設計しており、Glacierが最適であると判断しました。取り出し要求発生後に10分以内にデータを取得する必要があります。
この要件を満たすGlacierの機能はどれですか?
ボールトロック
迅速取り出し (正解)
大容量取り出し
標準取り出し
説明
オプション2が正解となります。Glacierではアーカイブを取り出す 3 つの機能として、[迅速]、[標準]、[大容量] が用意されています。[迅速] 取り出しを使用してリクエストされたアーカイブは、通常 1~5 分以内に使用可能となり、不定期に発生する、アーカイブのサブセットに対する緊急リクエストの際にデータに迅速にアクセスできます。
[標準] 取り出しの場合、アーカイブは通常、3~5 時間以内に使用可能になります。また、[大容量] 取り出しを使用すれば、ペタバイト規模であっても、0.0025 USD/GB で、データの重要な部分にコスト効率よくアクセスできます。
オプション1のボールトロックは無関係です。S3 Glacier のボールトロックでは、ボールトロックポリシーを使用して、S3 Glacier の各ボールトに対するコンプライアンス管理を簡単にデプロイして適用することができます。ボールトロックポリシーで「write once read many」(WORM) などのコントロールを指定して、ポリシーをロックし、今後編集できないようにします。
質問42: 正解
あるソリューションアーキテクトは、A社のアプリケーションにおいてEBSボリュームを利用してデータを格納しています。会社のセキュリティポリシーが変更され、EBSボリュームにおいて不具合や破損が発生してもデータ消失しないようにデータ保持する仕組みが必要となりました。1つのボリュームで消失したデータは即時に利用できる最も回復性が高い方法が必要となります。
この要件を満たすために最も回復性の高い方法はどれでしょうか。
EBSスナップショットを定期的に取得する。
2つ以上のEBSボリューム間でミラーリングする。 (正解)
対象となるEC2インスタンスのAMIを定期的に取得する
EBSボリュームのレプリケーションを有効化する。
説明
EBSによるデータ保護や保持の方法は様々な方法があり、要件に応じた方法を選択する必要があります。今回のシナリオでは最も回復性がたかく1つのボリュームが故障したとしてもすぐにデータを利用できることが求められています。EBSによりRAID1構成を実施することができます。2つ以上のEBSボリューム間でミラーリングすることで回復性が高いデータ冗長化を達成することが可能です。これにより、EBSボリュームにおいて不具合や破損が発生してもデータ消失しないようにデータ保持することができます。
したがって、オプション2が正解となります。
オプション1は不正解です。最も回復性の高い方法を選択するというのが要件になっています。スナップショットからの復元には、一定時間のシステム停止を要するため、ミラーリングに比較すると回復性が低いため正しくありません。
オプション3は不正解です。対象となるEC2インスタンスのAMIを定期的に取得しても、スナップショットと同様に、復元に一定時間のシステム停止を要するため、ミラーリングに比較すると回復性が低いため正しくありません。
オプション4は不正解です。EBSボリュームのレプリケーションという機能はありません。
質問43: 不正解
あるソリューションアーキテクトは、高可用性のあるデータストア内にJSONファイルを保存して、そのファイルにインデックスを付ける必要があるアプリケーションを構築しています。アプリケーションに対するトラフィック量が多くなった場合においても、データアクセス遅延を一定にするという要件があります。
この要件を満たすために、どのサービス選択するべきでしょうか?
EFS
DynamoDB (正解)
CloudFront (不正解)
RedShift
説明
オプション2が正解となります。DynamoDBはJSON形式のファイルの保存が可能であり、トラフィック量が多くても低レイテンシーを保つNoSQL型のデータベースサービスです。
オプション1は不正解です。EFSは高可用なストレージですので、JSONファイルは保存できますが、そのファイルにインデックスをつけるといった処理には向いていません。
オプション3は不正解です。CloudFrontは、データ、動画、アプリケーション、および API をすべて開発者にとって使いやすい環境で、低レイテンシーの高速転送により世界中の視聴者に安全に配信する高速コンテンツ配信ネットワーク (CDN) サービスです。
オプション4は不正解です。Redshiftはデータ解析に用いるDWH型のデータベースのため不適切です。
質問44: 正解
あるソリューションアーキテクトは、Amazon S3バケットに対するオブジェクトの読み取りと書き取りを実行するアプリケーションを設計しています。このアプリケーションは運用されると、読み取りと書き取りのトラフィック量が増大すると予想されています。
Amazon S3のパフォーマンスを最大化する対応方法を選択してください。
S3のデフォルト設定により対応が可能である。
Standard-IAストレージクラスを使用する
各オブジェクトの現在の日付をプレフィックスとして付与する。 (正解)
Amazon S3バケットにおいてバージョニングを有効化する。
説明
オプション3が正解となります。Amazon S3 は、プレフィックスを利用して日付ベースでアップロードを分散することで少なくとも 3,500 リクエスト/秒、データの取得で 5,500 リクエスト /秒をサポートできるようにパフォーマンスを自動的に向上させることができます。
オプション1は不正解です。デフォルト設定だけではデータの取得で 読み取りと書き取りのトラフィック量が増大に対応することができないため、不正解です。
オプション2は不正解です。Standard-IAストレージクラスはアクセス頻度が低いデータ向けのストレージタイプであるため、高頻度アクセスにはむしろ向いていません。
オプション4は不正解です。バージョニングを使用して、S3バケットに格納されたあらゆるオブジェクトのあらゆるバージョンを、格納、取得、復元することができます。
質問45: 正解
B社は自社の製造支援アプリケーションに対して、製造拠点からファイルをアップロードするレポート共有化機能を追加開発しています。アップロードされた2GBの各ファイルからメタデータを抽出することになり、ファイル当たりの処理時間は数秒かかります。何時間もの間に更新が発生する場合もあれば、更新が全く発生しないこともあり、ファイルの更新頻度は予測できません。
最も費用対効果の高い方法でこのワークロードを処理する方法を選択してください。
ファイルをAmazon S3バケットに格納して、S3のイベント通知をトリガーとしてLambdaファンクションを実行し、メタデータを処理する。 (正解)
ファイルをEBSボリュームに格納して、EC2インスタンスでメタデータ処理ロジックを実行する。
SQSを使用してファイルを格納して、EC2インスタンスでメタデータ処理ロジックを実行する。
Kinesisストリームを利用して、データ処理パイプラインを構築する。
説明
オプション1が正解となります。このシナリオでは、レポートファイルが2GBとサイズが大きいため、大規模なデータ蓄積が求められます。また、その大量のデータからメタデータを取得して、高速で処理する性能も必要です。最適な保存先としてはS3が候補として最適です。S3イベントを利用することで、ファイルをAmazon S3バケットに格納した際にS3のイベント通知をトリガーとしてLambdaファンクションを実行し、メタデータを処理することで、EC2インスタンスを利用する場合よりも安価に実行環境を作ることができます。回答にはありませんが、メタデータの格納先としてはDynamoDBが考えられます。
オプション2は不正解です。EBSとEC2インスタンスを利用して処理する仕組みを作れなくはないですが、Lambda関数と比較して高コストになってしまいます。
オプション3は不正解です。SQSはメッセージ機能ですので、これを使用してファイルを格納するのには向いていません。
オプション4は不正解です。Kinesisストリームはストリーミングデータの処理に利用しますので、不適切です。
質問46: 不正解
あるソリューションアーキテクトは、写真保存向けのWEBアプリケーションを構築しています。既に数十万人のユーザーを保有しており、1人あたり数千枚の画像データを保存しています。画像がすぐに取り出されることはほとんどないため、コスト効果を考えてデータを保存する必要があります。しかしながら、まれにデータ取り出し要求が発生します。その際は数分で取り出す必要があります。
この要件を満たす費用対効果の高いストレージを選択してください。
S3-Standard
S3-Standard IA (不正解)
EFS
S3 RRS
Glacier (正解)
説明
このシナリオでは、データ取り出しが滅多に発生しないものの、発生した際は数分で取り出すことができる画像保存先となるコスト最適なストレージタイプを選ぶ必要があります。画像が取り出されることがほとんどないため、S3よりもGlacierの迅速取り出し設定をすることで、コストを安くデータ保存の要件を達成できます。また、Glacierは迅速取り出しを設定することで、数分での取り出しが可能です。したがって、オプション5が正解となります。
オプション1は不正解です。S3の標準的なストレージタイプであり、Glacierよりも値段が高いです。
オプション2は不正解です。Standard-IAは低頻度アクセス用ですが、読み込みはすぐにできるため、突然の利用にも対応できます。かつStandardよりも安価に利用可能です。 しかしながら、Glacierよりもコストが高いため、Glacierの利用を優先します。
オプション3は不正解です。EFSはコストがS3よりも高いため不適切です。また、インターネットアクセスができないため要件に見合っていません。
オプション4は不正解です。RRSは一時的なデータ保存に利用するもので、最も冗長性が低いS3ストレージです。長期保存するのには向いていません。
質問47: 不正解
あなたはEC2インスタンスから接続して利用するストレージを選択しているところです。このストレージにはデータ転送が多数発生し、数百万の IOPS、一貫したミリ秒未満のレイテンシーという高速パフォーマンスが必要です。
この要件を満たすストレージを選択してください。
Amazon FSx for Windows (正解)
EBSのプロビジョンドIOPSボリューム (不正解)
EFS
S3 Standard
Amazon FSx for Lustre
説明
Amazon FSx for Windows ファイルサーバーでは、フルマネージド型のネイティブ Microsoft Windows ファイルシステムが提供されるため、共有ファイルストレージを必要とする Windows ベースのアプリケーションを AWS へ簡単に移行できます。SSD ストレージに構築される Amazon FSx は、ファイルシステム当たり最大 2 GB/秒のスループット、数百万の IOPS、一貫したミリ秒未満のレイテンシーという高速パフォーマンスを実現しています。ワークロードに適したパフォーマンスを実現できるよう、ユーザーは、スループットレベルをファイルシステムのサイズとは別個に選択できます。DFS 名前空間を使用することで、数百ペタバイトのデータ全体で、最大で毎秒数十ギガバイトのスループットに数百万の IOPS まで、パフォーマンスをスケールアップできます。したがって、オプション1が正解となります。
オプション2は不正解です。EBSのプロビジョンドIOPSボリュームは最大 64,000 IOPS までの一貫したベースラインパフォーマンスを提供し、ボリュームあたり最大 1,000 MB/秒のスルー プットを実現するように設計されています。数百万の IOPSは実現できません。
オプション3は不正解です。高負荷のワークロードにおいて、Amazon EFS は 10 GB/秒 を超えるパフォーマンス、および 500,000 超の IOPS をサポートできます。数百万の IOPSは実現できません。
オプション4は不正解です。S3は高いIOPSを実現するためではなく、高可用で高耐久性のある保存用のストレージとして利用します。
オプション5は不正解です。Amazon FSx for Lustre は、世界で最も人気のある高性能ファイルシステムの起動と実行を簡単かつ費用対効果の高いものにします。機械学習、高性能コンピューティング (HPC)、ビデオ処理、財務モデリングなど、速度が重要なワークロードに使用します。Amazon FSx for Lustreはスーパーコンピューターなどに利用するファイルシステムであり、超高性能な仕様であり、今回の回答にはなりません。
質問48: 不正解
あるソリューションアーキテクトはAWSにおいて、社内データ共有アプリケーションを構築しています。EC2インスタンス間で同時にデータ共有をして、整合性を保ったデータ利用が可能であることが要件となっています。このデータは消失が発生しないように、高可用なストレージタイプが必要不可欠です。またデータアクセスはインターネットから直接アクセスすることはなく、EC2インスタンスからのアクセスのみとなります。
この要件を満たすストレージレイヤーとして、どれを選択するべきでしょうか。
Amazon EBS
Amazon S3 (不正解)
Amazon Glacier
Amazon EC2インスタンスストア
Amazon EFS (正解)
説明
オプション5が正解となります。このシナリオでは、インスタンス間で同時にデータ共有をして、整合性を保ったデータ利用が可能であり、高可用なストレージタイプを選択することが求められます。Amazon EFS はEC2インスタンスと組み合わせて使用するファイルストレージサービスです。Amazon EFS にはファイルシステムインターフェイスとファイルシステムのアクセスセマンティクス (強い整合性やファイルのロックなど) が用意されており、最大数千の EC2インスタンスからの同時アクセスが可能なストレージが提供されます。 またS3との相違点として、EFSはインターネットからの直接のアクセスが不可能な点が異なります。
オプション1は不正解です。EBSは1つのインスタンスにしかアタッチができないため、インスタンス間のデータ共有ストレージとして機能しません。
オプション2と3は不正解です。S3ストレージタイプには強い整合性やファイルのロックといった性能がありません。
オプション4は不正解です。インスタンスストアも1つのインスタンスにしかアタッチができないため、インスタンス間のデータ共有ストレージとして機能しません。また一時データ保存用であるため利用方法も間違っています。
質問49: 正解
グローバルコンサルティングファームでは、各プロジェクトで得た成果を世界中のコンサルタントと共有する仕組みをAWSを利用して構築しています。世界中からドキュメントをアップロードするための効率的な仕組みが必要です。
この要件に合致したソリューションを選択してください。
CloudFrontを利用したエッジ処理の実施
Route53による位置情報ルーティング
Amazon S3 Transfer Accelerationの利用 (正解)
Amazon S3 マルチパートアップロードの利用
説明
オプション3が正解となります。Amazon S3 Transfer Acceleration を使用すると、クライアントと S3 バケットの間で、長距離にわたるファイル転送を高速、簡単、安全に行えるようになります。Transfer Acceleration では、Amazon CloudFront の世界中に分散したエッジロケーションを利用しています。エッジロケーションに到着したデータは、最適化されたネットワークパスで Amazon S3 にルーティングされます。
オプション1は不正解です。CloudFrontを利用したエッジ処理はコンテンツ配信を効率的にする方法であり、アップデートには利用できません。
オプション2は不正解です。Route53による位置情報ルーティングは ユーザーの位置に基づいてトラフィックをルーティングする場合に使用します。
オプション4は不正解です。マルチパートアップロード API を使用すると、大容量オブジェクトをいくつかに分けてアップロードできるようになります。この API では、新しい大容量オブジェクトをアップロードしたり、既存オブジェクトのコピーを作成したりできます
質問50: 正解
あるソリューションアーキテクトは、iSCSIデバイスを利用して安価にストレージエリアネットワークを構築しようとしています。iSCSIデバイスには要件があり、レガシーアプリケーションにはローカルストレージをプライマリーとして必要としています。
この要件を満たすサービスを選択してください。
S3を構成する。
ストレージゲートウェイのキャッシュ型ボリュームを構成する。
ストレージゲートウェイの保管型ボリュームを構成する。 (正解)
Glacierを構成する。
説明
オプション3が正解となります。レガシーアプリケーションにはローカルストレージをプライマリーとして必要とする場合は、ストレージゲートウェイの保管型ボリュームを選択します。
ストレージゲートウェイの保管型ボリュームを使用すると、プライマリデータをローカルに保存する一方で、そのデータを非同期に AWS にバックアップします。保管型ボリュームを使用することにより、オンプレミスのアプリケーションがそのデータセット全体に低レイテンシーでアクセスできます。同時に、耐久性のあるオフサイトのバックアップが提供されます。ストレージボリュームを作成し、それを iSCSI デバイスとしてオンプレミスのアプリケーションサーバーからマウントできます。保管型ボリュームに書き込まれたデータは、オンプレミスのストレージハードウェアに保管されます。このデータはEBSスナップショットとして Amazon S3 に非同期でバックアップされます。
オプション2は不正解です。キャッシュ型ボリュームを使用することで、頻繁にアクセスされるデータはローカルのストレージゲートウェイに保持しながら、Amazon S3 をプライマリデータストレージとして使用できます。キャッシュ型ボリュームは、オンプレミスのストレージインフラストラクチャをスケールする必要性を最小限に抑えます。
オプション1と4は不正解です。S3はGlacierを構成するだけでは、iSCSIデバイスに対応したオンプレミス環境のストレージとの統合は実現できません。
質問51: 不正解
ある企業ではCLBとEC2インスタンスにより構成されるアプリケーションをAWSにホストしています。 EC2プロキシはインスタンスをバックエンドするコンテンツ管理に利用していますが、現状ではアプリケーションは適切に拡張できない可能性があり、あなたはソリューションアーキテクトとして拡張対応を検討しています。
次のうちでプロキシインスタンスとバックエンドインスタンスを適切にスケーリングできる方法はどれでしょうか(2つ選択してください)。
CLBをALBに変更する。 (不正解)
CLBをNLBに変更する。
バックエンドサーバーにAuto Scalingを適用する。 (正解)
プロキシサーバーにAuto Scalingを適用する。 (正解)
説明
オプション3と4が正解となります。スケーリングの要件がわかり次第、AWSが提供するオートスケーリングサービスによりプロキシサーバーとバックエンドインスタンスの両方を拡張できます。AutoScaling は、安定した予測可能なパフォーマンスを可能な限り低コストで維持するためにアプリケーションをモニタリングし、容量を自動で調整します。
ロードバランサ―だけでは対応できないため、1と2は不正解です。
質問52: 正解
ある企業はシンプルなアートイベントページを運営しています。あなたはソリューションアーキテクトとして現在利用しているpintor.comというドメインの静的ウェブサイトの設定を行っています。このWEBサイトでトラフィックが適切に調整されていることを確認する必要があります。
この要件を満たすコスト最適なサービス設定を選択してください(2つ選択してください)。
静的ウェブサイトをE2インスタンスで構築する。
静的ウェブサイトをS3で構築する。 (正解)
ドメイン登録したRoute53のNSレコードを利用する。 (正解)
API GatewayによるAPIアクセスを利用する。
説明
オプション2が正解となります。静的ウェブサイトを Amazon S3 でホスティングできます。静的ウェブサイトでは、個々のウェブページの内容は静的コンテンツです。これはEC2インスタンスを利用する場合よりもコストを抑えてWEBサイトを構築することができます。
オプション3が正解となります。このWEBサイトでトラフィックが適切に調整されるためには Route53ホストゾーンのネームサーバーレコードがドメインレジストラーに入力されていることを確認する必要があります。
オプション1は不正解です。静的ウェブサイトをE2インスタンスで構築することは可能ですが、コスト最適ではありません。
オプション4は不正解です。静的ウェブサイトのアクセスにはAPI GatewayによるAPIアクセスは必要がありません。
質問53: 不正解
ある企業はデータベースとしてRDSを使用しています。 企業の事業継続性計画(BCP)としてデータベースを高可用にする必要があります。要件としては別サイトにバックアップとなるDBを別で用意して、かつメインのDBが停止した際に即座に切り替えて、予備のDBを利用できるようにする必要があります。
次のうちどれを使用すれば、この要件を満たすことができます。
マルチAZ構成を有効にして別リージョンにセカンダリーDBを構築する。
リードレプリカを生成して別リージョンにセカンダリーDBを構築する。 (不正解)
マルチAZ構成を有効にして別AZにセカンダリーDBを構築する。 (正解)
リードレプリカを生成にして別AZにセカンダリーDBを構築する。
説明
オプション3が正解となります。マルチAZ構成を有効にすることで、別AZにセカンダリーDBを構築することができ、フェイルオーバー構成を作ることが出来ます。フェイルオーバーによって、プライマリーDBが停止しても即座にセカンダリーDBへと移行することができます。
オプション1は不正解です。マルチAZ構成を有効にしても別リージョンにセカンダリーDBは構築できません。
オプション2は不正解です。リードレプリカを別AZに生成することはできますが、別リージョンにセカンダリーDBを構築する機能はありません。
オプション4は不正解です。リードレプリカを別AZに生成は可能ですが、それがセカンダリーDBとなるわけではありません。
質問54: 正解
ある企業はECサイトを運営しています。あなたはソリューションアーキテクトとして、同サイトの顧客行動分析を行おうとしており、Webサイト上の顧客のクリック・ストリームデータを分析する機能が必要です。分析要件として顧客がクリックしたページと表示された広告順序が分かる必要があります。また、このデータは、顧客がサイトをクリックするときに広告のクリックスルーを増やすべく、ページレイアウトを変更するためにリアルタイムで利用されます。
データのキャプションと分析の要件を満たす、AWSサービスの設定方法はどれでしょうか?
Amazon Kinesis Data Streamsに対してセッションごとにWebクリックをプッシュし、KCLワーカーを利用して分析を行う (正解)
WEBクリックログをS3に蓄積し、EMRを利用して分析する。
Amazon SQSに対してセッションごとにWebクリックをプッシュし、Lambdaファンクションを利用して分析を行う
クリックイベントを直接にRedshiftに書き込みを行い、SQLにより分析する。
説明
オプション1が正解となります。Amazon Kinesis Data Streamsを使用すると、特別なニーズに合わせてストリーミングデータを処理または分析するカスタムアプリケーションを構築できます。
Amazon Kinesis アプリケーションは複数のアプリケーションインスタンスを持つことができ、KCLワーカーは各アプリケーションインスタンスに対応する処理ユニットです。レコードプロセッサは、Amazon Kinesis Data Streamsのシャードからのデータを処理する処理ユニットです。1 つのワーカーは 1 つまたは複数のレコードプロセッサにマッピングされます。1 つのレコードプロセッサは 1 つのシャードに対応し、そのシャードからのデータレコードを処理します。
オプション2は不正解です。WEBクリックログをS3に蓄積するためには、Lambda関数などを利用した何らかの蓄積する仕組みを構築する必要があります。また、S3からEMRに連携しての処理ではリアルタイム分析処理は困難です。
オプション3は不正解です。Amazon SQSに対してセッションごとにWebクリックをプッシュするという仕組みはSQS単体ではできません。また、Lambdaファンクションを利用して分析を行うのはコーディング次第では可能ですが、Kinesisを利用する方が適切であり、独自にコーディングすることは非効率です。
オプション4は不正解です。RedshiftはDWHとして蓄積されたデータのBI処理に利用するため、リアルタイム分析には不適切です。
質問55: 不正解
あるソリューションアーキテクトは、プライベートサブネット内のEC2インスタンスがEFSにアクセスする仕組みを構築しています。そのためにはAZにおいてアクセスポイントとなる設定が必要不可欠です。
AZにおいて何を設定してアクセスする必要がありますか?
VPCエンドポイントを通してEFSにアクセスする。 (不正解)
ネットワークACLを通してEFSにアクセスする。
VPCピアリング接続を通してEFSにアクセスする。
マウントターゲットを通してEFSにアクセスする。 (正解)
説明
オプション4が正解となります。VPC 内の Amazon EFS ファイルシステムにアクセスするには、マウントターゲットが必要です。Amazon EFS ファイルシステムの場合:
・アベイラビリティーゾーンごとに 1 つのマウントターゲットを作成できます。
・VPC のアベイラビリティーゾーンに複数のサブネットがある場合、それらのサブネットの 1 つのみにマウントターゲットを作成できます。アベイラビリティーゾーンのすべての EC2 インスタンスは、1 つのマウントターゲットを共有できます。
質問56: 正解
あなたはソリューションアーキテクトとしてログ解析の仕組みをAWS上で構築しています。アーキテクチャ構成として、1分ごとにログ情報を送信し続けるマシンで構成される仕組みが必要で、 マシンの数は最大で2000まで達します。こうした膨大なデータを蓄積したうえで、後続のデータ解析処理ができる仕組みを構築することが要件となっています。
これらの要件を満たすに最適なサービス設定方法を選択してください。
DynamoDBにDAXクラスターを準備してリアルタイムに高速処理をすすめる。
Amazon Data Kinesis FirehoseでS3へのログ配信を実施して蓄積した上で、ログ解析処理を後続処理で実施する。 (正解)
ログ解析ワーク環境をElastic Beanstalkで複数構築して処理する。
Kenesis Analyticsを利用して随時解析する。
説明
オプション2が正解となります。ログ解析は後続処理で実行するため、まずはKinesis FirehoseでS3へのログ配信を実施して蓄積した上で、ログ解析処理を後続処理で実施することが望ましいです。
オプション1は不正解です。「DynamoDBにDAXクラスターを準備してリアルタイムに高速処理」は、リアルタイム処理を必要としていないため、今回の要件にあっていません。
オプション3は不正解です。Elastic Beanstalkの利用により、ワーカー環境を複数容易に構築することができますが、データの高速処理とは無関係です。
オプション3は不正解です。Kenesis Analyticsだけではデータを蓄積して分析ができないため、処理が不十分となります。
質問57: 正解
大手IT企業ではAWSを中心とした開発を進めており、多数のインフラ構成を有しています。既にVPCを16個利用しており、各支店間に跨いで利用されています。これらのVPC間ではVPCピアリングを実施していましたが、これ以上のVPC増設にはVPCピアリングだけでは管理が非効率になってしまいます。
このVPC構成におけるVPC間連携と管理を効率化するソリューションを選択してください。
VPCメッシュ設定
VPCハブアンドスポークス設定
AWS Transit Gatewayの利用 (正解)
VPCハブネットワーク設定
説明
オプション3が正解となります。AWS Transit Gateway を使用すれば、中央のゲートウェイからネットワーク上にある Amazon VPC、オンプレミスのデータセンター、リモートオフィスそれぞれに単一の接続を構築して管理することができます。Transit Gateway がハブの役割を果たし、トラフィックがスポークのように接続されたネットワーク間をどのようにルーティングするかをすべて制御します。このようなハブアンドスポーク型では、各ネットワークを Transit Gateway にのみ接続する必要があり、他のすべてのネットワークに接続する必要がないため、大幅に管理を簡略化して運用コストを削減できます。新たに VPC を追加する場合は、Transit Gateway に接続するだけで、同じ Transit Gateway に接続されている他のネットワークにも自動的につながります。このように接続が簡単なため、成長に合わせてネットワークを難なくスケールできます。
その他のオプションは全て間違った設定方式や、存在しない設定方式であるため、正しくありません。
質問58: 正解
あなたはソリューションアーキテクトです。Dockerコンテナを利用したCI/CDを実現する開発環境をAWSで実現しようとしています。そこで、あなたは必要なコンテナーオーケストレーションツールをバッチ処理に使用することを計画しています。 重要なデータと重要でないデータの両方に対してバッチ処理することが要件となっています。この環境は数年利用する予定です。
この要件を満たすコスト最適な対応はどれでしょうか。
全てのベースとなるインスタンスに対してリザーブドインスタンスとECSオーケストレーションを利用する。
全てのベースとなるインスタンスに対してリザーブドインスタンスとスポットインスタンスを組合せて利用し、コンテナーオーケストレーション向けにECSを利用する。 (正解)
全てのベースとなるインスタンスに対してコンテナーオーケストレーションを利用し、リサーブドインスタンスのためのKubernetsを利用する。
全てのベースとなるインスタンスに対してリザーブドインスタンスとスポットインスタンスを組合せて利用し、コンテナーオーケストレーション向けにECRを利用する。
説明
クリティカルと非クリティカルの両方の負荷があるため、コストを最小限に抑えるために、クリティカルではないワークロードにスポットインスタンスを使用することでコスト最適化できます。この環境は数年利用することが想定されているため、クリティカルなワークロードについては、インスタンスに対してリザーブドインスタンスを設定することでコスト最適な構成を達成することができます。また、Amazono ECSは、Docker コンテナをサポートする拡張性とパフォーマンスに優れたコンテナオーケストレーションサービスです。これにより、コンテナ化されたアプリケーションを AWS で簡単に実行およびスケールできます。したがって、オプション2が正解となります。
オプション1は不正解です。全てのベースとなるインスタンスに対してリザーブドインスタンスを利用することでは、コスト最適は達成できません。リザーブドインスタンスとスポットインスタンスを組合せて利用することで、コスト最適な価格に調整します。
オプション3は不正解です。KubernetsはEKSを構成する要素であり、リサーブドインスタンスのためのKubernetsを利用するという構成は不適切な説明となっています。
オプション4は不正解です。ECRはDockerイメージを格納するレポジトリサービスであり、コンテナオーケストレーションにはECRまたはEKSを利用することが必要です。
質問59: 不正解
あるソリューションアーキテクトはデータベースシステムをAWSで構築しています。100TBという膨大なデータをAWSに保存するためデータはAWS Snowballを使用してエクスポートし、データ層に保存する必要があります。 データベースには、ビジネスインテリジェンスアプリケーションからのクエリを実行する機能が必要です。各項目のサイズはおよそ500KBです。
この要件を満たすデータベースサービスを選択してください。
DynamoDB
RDS
Redshift (正解)
Aurora (不正解)
説明
オプション3が正解となります。ビジネスインテリジェンスアプリケーション(BIアプリケーション)はデータウェアハウスと連携して業務データ解析などを実行するシステムです。AWSでDWHを実現する際は、Amazon Redshiftが最適です。
Amazon Redshiftはクラウド内で完全に管理されたペタバイト規模のデータウェアハウスサービスです。 数百ギガバイトのデータから始めて、ペタバイト以上に拡張できます。 データウェアハウスを作成する最初のステップは、Amazon Redshiftクラスターと呼ばれる一連のノードを起動することです。 クラスターをプロビジョニングした後、データセットをアップロードしてからデータ分析クエリを実行できます。
質問60: 不正解
あなたはソリューションアーキテクトとしてEC2インスタンスの状態の変更発生などをモニタリングする方法を模索しています。要件としてはインスタンスの状態を監視し、各状態の変化が発生した時点をトリガーとして、データベースに変更状況を記録する必要があります。
次のうち、この要件を満たすのに役立つ設定を選択してください。(2つ選択してください)。
CloudWatch イベントを利用してインスタンスの状態変化をモニタリングする。 (正解)
CloudWatch Logsを利用してインスタンスの状態ログをモニタリングする。 (不正解)
Lambdaファンクションを利用して状態記録をDynamoDBに蓄積する。 (正解)
SQSを利用してインスタンスの状態ログをプーリング処理できるようにする。
説明
Cloudwatchイベントを使用して、アプリケーションの可用性の問題発生時やリソースの変更時などのシステムイベントに自動的に対応できます。AWS サービスからのイベントは、ほぼリアルタイムに CloudWatch イベント に提供されます。簡単なルールを記述して、注目するイベントと、イベントがルールに一致した場合に自動的に実行するアクションを指定できます。 設定時にイベントソースとイベントタイプを選択できます。 その後、AWS Lambda関数をターゲットとして使用し、それを使用してレコードをDynamoDBテーブルに格納することができます。したがって、オプション1と3が正解となります。
Amazon CloudWatch Events は、AWSリソースの変更を示すシステムイベントのほぼリアルタイムのストリームを提供します。すぐに設定できる簡単なルールを使用して、ルールに一致したイベントを 1 つ以上のターゲット関数またはストリームに振り分けることができます。オペレーションの変更が発生すると、CloudWatch イベント はその変更を認識します。
CloudWatch イベント を使用して、cron 式や rate 式により特定の時間に自己トリガーする自動化されたアクションをスケジュールすることもできます。よって、Lambd関数と連携して、後ろの処理を自動化することが可能です。
オプション2は不正解です。Amazon CloudWatch Logs を使用して、EC2インスタンス、AWS CloudTrail、Route 53、およびその他のソースのログファイルの監視、保存、アクセスができます。たとえば、CloudWatch Logs はアプリケーションログに存在するエラーの数をトラッキングし、エラー率が指定のしきい値を超えたときに管理者に通知を送ることができます。これはログファイルに基づいた監視であり、状態イベントの監視と通知とは異なるため不適切です。
オプション4は不正解です。この対応はCloudwatchイベントで実施可能であり、SQSを利用してインスタンスの状態ログをプーリング処理できるようにする必要はありません。
質問61: 正解
あるソリューションアーキテクトは、EC2インスタンスを介して特定のデータをEBSボリュームに保存しようとしています。そのデータはあまり参照されることはありませんが、消すことはできない大切なデータです。
選択するべきEBSボリュームタイプはどれでしょうか。
汎用SSD
プロビジョンドIOPS
コールドHDD (正解)
スループット最適HDD
説明
オプション3が正解となります。あまり参照されることはないが、消すことはできない大切なデータを保存するという要件から、EBSのコールドHDDが最適です。コールドHDDはアクセス頻度の低いワークロード向けに設計された極めて低コストの HDD ボリュームです。
オプション1は不正解です。汎用SSDは幅広いトランザクションワークロードに対応できる価格とパフォーマンスのバランスが取れた汎用 SSD ボリュームです。あまり参照されることはないが、消すことはできない大切なデータを保存する要件には合致しません。
オプション2は不正解です。プロビジョンドIOPSはレイテンシーの影響が大きいトランザクションワークロード向けに設計された極めてパフォーマンスの高い SSD ボリュームです。コストが高いですが最も高い性能が期待できます。コストが高いため、あまり参照されることはないが、消すことはできない大切なデータを保存する要件には合致しません。
オプション4は不正解です。スループット最適化HDDは高いスループットを必要とするアクセス頻度の高いワークロード向けの低コストの HDD ボリュームであり、こちらもスループットで高い性能が期待しつつ、プロビジョンドIOPS SSDよりも低コストで実現することができます。あまり参照されることはないが、消すことはできない大切なデータを保存する要件には合致しません。
質問62: 不正解
あるソリューションアーキテクトは、AWS上でウェブアプリケーションを構築しようとしています。アーキテクチャとしてはパブリックサブネットにEC2インスタンスを作成し、 OracleデータベースをホストするEC2インスタンスに接続する予定です。セキュリティを確保するための仕組みを十分に確保することが求められています。
この要件を満たす対応はどれでしょうか(2つ選択してください)。
OracleをホストしたEC2インスタンスをプライベートサブネットに設置する。 (正解)
データベースに対してセキュリティグループを設定し、内部アクセスのみに制限する。 (正解)
EC2インスタンスをOracleデータベースと同じパブリックサブネットに設置してデータ接続を高速化する。
IAMロールをEC2インスタンスに設定して、データベースアクセスを制限する。 (不正解)
説明
最も安全な方法は、データベースをプライベートサブネットに配置することです。 その上でアクセスをWebサーバーからのみ許可されていることを確認してください。パブリックサブネットはインターネットアクセスが可能となるため、特別な要件がない限りはデータベースのセキュリティ上はプライベートサブネットに配置することが望ましいです。
そのため正解はオプション1と2です。OracleをホストしたEC2インスタンスをプライベートサブネットに設置して、データベースに対してセキュリティグループを設定し、内部アクセスのみに制限することで対応します。
オプション3は不正解です。データベースはセキュリティ上、プライベートサブネットに配置することが望ましいです。
オプション4は不正解です。IAMロールではなく、セキュリティグループによって制御することが必要です。ここで問われているのはEC2インスタンスからDBへのトラフィック通信設定を許可する接続方式の設定方法です。IAMロールはリソース間のアクセス権限許可を実施する際の権限設定であり、EC2インスタンスからDBへのトラフィック通信を制御することができないため、対応としては不正解となります。
質問63: 正解
ある企業はAWSにWebアプリケーションを構築してようとしています。 このWEBアプリケーションでは高速でセッションデータを格納して、そのデータを出来る限りに高速で処理するためのデータストアが必要とされています。
どのデータベースサービスを利用するべきでしょうか。
RDS
ELB
Aurora
ElastiCache (正解)
説明
このシナリオでは、高速でセッションデータを格納して、そのデータを出来る限りに高速で処理するためのデータストアが要件となっており、高性能なデータベースが必要です。したがって、オプション4が正解となります。ElastiCacheは高スループットで待ち時間の短いインメモリデータストアからデータを取得することで、データ集約型のアプリケーションを構築するか、既存のアプリケーションのパフォーマンスを向上させます。ユースケースとして、セッションデータの高速処理には最適なデータベースです。
オプション1は不正解です。RDSはリレーショナルデータベースとしてSQLを利用した業務データなどのデータベース構築に用いられます。セッションデータの高速処理には向いていません。
オプション2は不正解です。ELBはトラフィックを制御するロードバランサ―です。
オプション3は不正解です。AuroraはリレーショナルデータベースとしてSQLを利用した業務データなどのデータベース構築に用いられます。RDSの中でも高性能ではあるものの、やはりセッションデータの高速処理には向いていません。
質問64: 正解
あるソリューションアーキテクトは、企業内でEC2インスタンスからDynamoDBテーブルにアクセスするJavaベースのアプリケーションを構築しています。 現在このEC2インスタンスはプロダクションベースでユーザにサービスを提供しています。
EC2インスタンスがDynamoDBテーブルにアクセスするための安全な方法は次のうちどれですか。
IAMロールを設定して、EC2インスタンスにDynamoDBへのアクセス権限を付与する。 (正解)
KMSを利用して、EC2インスタンスにDynamoDBへのアクセス権限を付与する。
IAMグループを設定して、EC2インスタンスにDynamoDBへのアクセス権限を付与する。
セキュリティグループを設定して、EC2インスタンスにDynamoDBへのアクセス権限を付与する。
説明
オプション1が正解となります。EC2インスタンスからAWSリソースへの安全なアクセスを常に確保するために、必ずEC2インスタンスにロールを割り当てるようにしてください。AWS のサービスとして [EC2] を選択して、ロールのアクセス許可ポリシーとして [AmazonDynamoDBFullAccess] を選択します。そして、このIAM ロールをEC2インスタンスにアタッチすることで、EC2インスタンスにDynamoDBへのアクセスが設定できます。
質問65: 不正解
あなたはソリューションアーキテクトとして、DynamoDBとやり取りするアプリケーションを構築しています。 DynamoDBテーブル内のアイテムが変更されると、関連付けられているアプリケーションに対してデータエントリが作成されるという要件があります。
この要件を満たすためのAWSサービスの設定方法はどれでしょうか。(2つ選択してください)
Lambda関数を利用して、DynamoDBをスケジュールに従ってモニタリングする。 (正解)
SQSを利用して、モニタリング指示をスケジュールする。 (不正解)
DynamoDBストリームを有効化して、DynamoDBテーブルの変更をモニタリングする。 (正解)
CloudWatchログを設定して、DynamoDBテーブルの変更をモニタリングする。 (不正解)
説明
オプション1が正解となります。Lambdaファンクションを利用して、DynamoDBをスケジュールに従ってモニタリングする仕組みを構築することも可能です。例えば、CloudWatch Events とAWS Lambdaを連携して、Lambda関数をイベントスケジュールに従って実行します。Lambda 関数は、DescribeTable API を使って、リージョン内のすべての DynamoDB テーブルのサイズなどを確認します。Lambda 関数はテーブルサイズ情報を、カスタム CloudWatch メトリックに格納するといった処理を行います。
オプション3が正解となります。DynamoDBストリームを使用してDynamoDBテーブルへの変更を監視できます。DynamoDB ストリーム は、DynamoDB テーブル内の項目レベルの変更の時系列シーケンスをキャプチャし、この情報を最大 24 時間ログに保存します。アプリケーションは、このログにアクセスし、データ項目の変更前および変更後の内容をほぼリアルタイムで参照できます。
オプション2は不正解です。SQSではなく、CloudWatch Events とLambda関数を利用することが必要です。
オプション4は不正解です。CloudWatchログではなく、CloudWatch Events とAWS Lambdaを連携することが必要です。