AWS testB1

質問12: 不正解
B社はAWSを利用したデータベースを構築するための要件を確認しています。あなたはソリューションアーキテクトとして、データベース要件から最適なAWSサービスを選択することになりました。この会社ではデータベース環境を自社内で管理することが要件となっています。
この要件を満たすデータベース構築方法を選択してください。
RDSを利用してデータベースを構築する。
DynamoDBを利用してデータベースを構築する。


(不正解)
Auroraを選択してデータベースを構築する。
EC2インスタンスを利用してデータベースを構築する。


(正解)
説明
自社でデータベース環境を管理するためには、EC2インスタンスを使用してDBを構築することで、基盤となるデータベースインスタンスを完全に制御することが必要です。したがって、オプション4が正解となります。

オプション1と2と3は不正解です。RDS/DynamoDB/Auroraはマネージド型サービスのため、データベースを構成するインフラ環境を自社内で管理できません。

質問16: 不正解
C社では現在Amazon Aurora MySQLデータベースによるデータ管理を行っています。当該データベースに保存されているデータは業務上で非常に重要であるため、災害発生時に対処するため別リージョンでデータを利用できるようにする必要があります。そのため、このデータベースの稼働率は99%以上のSLAが設けられています。
最も回復性が速い方式で、この要件を達成する方法を選択してください。
AuroraのマルチAZ構成による高速フェールオーバーを実施する。
AuroraデータベースのマルチAZ構成を有効化する。


(不正解)
Auroraデータベースのリードレプリカを複数作成する。


(正解)
Auroraデータベースのスナップショットを作成する。
説明
オプション3が正解となります。AuroraはプライマリーとなるDBクラスターが設置されているリージョンとは異なるリージョンにリードレプリカを作成することができます。 この方法を採用すると、障害回復機能を向上させて、読み取り操作をユーザーに近いリージョンに拡張しつつ、元のリージョンから別のリージョンへの移行を容易にすることができます。

オプション1は不正解です。AuroraのマルチAZ構成による高速フェイルオーバーはAuroraのinnodb_read_onlyグローバル変数によりMasterとSlaveの接続先を変更する方法です。これを利用するためには、レプリカを用意する必要があります。これにより、AZ障害に対して数分のダウンタイムも回避できます。しかしながら、この設定はリージョン障害には対応できません。
オプション2は不正解です。AuroraのマルチAZ構成により、データセンター障害が発生した場合にも1~2分の停止で事業継続させることができます。しかしながら、この設定はリージョン障害には対応できません。
オプション4は不正解です。Auroraデータベースのバックアップやスナップショットを作成して別リージョンにおいて回復させることも可能ですが、この回復方法は時間を要するため不正解です。

質問19: 不正解
あなたはソリューションアーキテクトとして150 GBのデータベースを持つビッグデータ処理用のアプリケーションをAWS上にホストしたいと考えています。 このアプリケーションは頻繁に使用され、高いスループット処理性能を必要としており、今後も読み書きが増加する傾向にあります。
最も費用対効果の高いEBSのストレージタイプを選択してください。
プロビジョンドIOPS SSD


(不正解)
汎用SSD
スループット最適化HDD


(正解)
コールドHDD
説明
このシナリオでは、アプリケーションは頻繁に使用され、高いスループット性能が必要であること。その上で、最も費用対効果が高いストレージタイプを選択することが求められています。高いスループット性能が必要という時点で、プロビジョンドIOPSまたはスループット最適化HDDを選択することになります。このケースのように、コスト最適を達成するためには、スループット最適化HDDを利用することが必要です。
プロビジョンドIOPS SSDボリュームは、I / O負荷の高いワークロード、特にストレージパフォーマンスと一貫性に左右されるデータベースワークロードのニーズを満たすように設計されています。スループット最適HDDは高いスループット性能を誇りますが、プロビジョンドIOPS SSDに比較して安いものの性能は劣ります。コスト最適を優先させる場合はこちらを選択します。したがって、オプション3が正解となります。
スループット最適化HDDはコスト効率の良いHDDを利用してビッグデータやログデータ処理といった用途で使える、高いスループットを安定的に発揮するEBSです。コスト最適とスループット性能の両方を保持することが可能です。

オプション1は不正解です。プロビジョンドIOPS SSDボリュームは、I / O負荷の高いワークロード、特にストレージパフォーマンスと一貫性に左右されるデータベースワークロードのニーズを満たすように設計されています。これはスループット最適化HDDよりもコスト効率が悪いため、今回の要件には合致しません。
オプション2は不正解です。汎用HDDはビッグデータ処理などの特定の用途ではなく、一般的なWEBサーバー用のストレージなどに利用する汎用性の高いボリュームです。
オプション4は不正解です。コールドHDDはあまりアクセスしないデータに最適なEBSボリュームです。このタイプはスループット性能やIOパフォーマンスが他のタイプに比較して劣っています。

質問22: 不正解
A社ではAWS上に本番環境やテスト環境などを別々に用意した開発体制を整備しています。あなたはソリューションアーキテクトとして、AWSリソースのスタックベースの展開モデルを用意する対応を行っています。 アプリケーションのサーバーやデータベースに対して異なるレイヤーが必要とされています。
この要件を満たすための適切な対応を選択してください。
OpsWorksを利用してアプリケーションのレイヤーごとのスタックを定義する。


(正解)
CloudFormationを利用してアプリケーションのレイヤーごとのスタックを定義する。


(不正解)
CodePipelineを利用してアプリケーションのレイヤーごとのスタックを定義する。
Elastic Beanstalkを利用してアプリケーションのレイヤーごとのスタックを定義する。
説明
オプション1が正解となります。AWS OpsWorks Stacksを使用すると、AWSおよびオンプレミスでアプリケーションとサーバーを管理できます。 OpsWorks Stacksを使用すると、負荷分散、データベース、アプリケーションサーバーなど、さまざまなレイヤーを含むスタックとしてアプリケーションをモデル化できます。

オプション2は不正解です。スタックベースで異なるレイヤーを用意するにはCloudFormationよりもOpsWorksで詳細な設定をすることが望ましいです。
オプション3は不正解です。CodePipeline は完全マネージド型の継続的デリバリーサービスで、アプリケーションとインフラストラクチャの迅速で効率的なアップデートのためのリリースを自動化します。CodePipelineはアプリケーションレイヤー設定ができません。
オプション4は不正解です。Elastic Beanstalk は、Java、.NET、PHP、Node.js、Python、Ruby、Go および Docker を使用して開発されたウェブアプリケーションやサービスを、Apache、Nginx、Passenger、IIS など使い慣れたサーバーでデプロイおよびスケーリングするためのサービスです。Elastic Beanstalk はアプリケーションレイヤー設定ができません。

質問25: 不正解
あなたは運用管理者としてAWSでホストされた一連のアプリケーションの運用を行っています。この会社ではAPIゲートウェイを導入してアプリケーション間連携に利用することになりました。そのため、あなたはAPI Gateway権限管理を実施し、開発者、IT管理者、およびユーザーに適切なレベルの権限を与えて管理する必要があります。
これらの権限管理を実施するために最適な設定方法を選択してください。
STSを利用した異なるユーザーへのアクセス権限許可を実施する。


(不正解)
IAMポリシーを利用した異なるユーザーへのアクセス権限許可を実施する。


(正解)
AWS Configを利用した異なるユーザーへのアクセス権限許可を実施する。
IAMアクセスキーを利用した異なるユーザーへのアクセス権限許可を実施する。
説明
オプション2が正解となります。このシナリオでは、開発者、IT管理者、およびユーザーに適切なレベルのAPIに対するアクセス許可を与えるため、API Gatewayに対するアクセス権限の設定方法が問われています。Amazon API Gatewayへのアクセスを IAM アクセス権限で制御することができます。API の呼び出し等を API コール元に許可するためには、 IAM ポリシーを作成して設定することが必要です。

オプション1は不正解です。STSは一時的な認証許可をあたえる機能であり、中長期的なアクセス権限を付与するためには不適切です。
オプション3は不正解です。AWS Configにはアクセス権限を付与する機能はありません。
オプション4は不正解です。IAMアクセスキーではなく、IAMユーザーやIAMロールによる権限管理が必要となります
質問32: 不正解
次のIAMポリシーでEC2インスタンスに対する権限設定を行っています。

{
“Version”: “2012-10-17”,
“Statement”: [
{
“Action”: “ec2:*”,
“Effect”: “Allow”,
“Resource”: “*”
},
{
“Effect”: “Deny”,
“Action”: [
“ec2:*ReservedInstances*”,
“ec2:TerminateInstances”
],
“Resource”: “*”
}
]
}

この設定内容として正しい内容を選択してください。
リザーブドインスタンスの操作が許可されている。
EC2インスタンスに対する全ての操作が許可されている。
全てのEC2インスタンスを終了することができない。


(正解)
全てのリザーブドインスタンスに対してのみインスタンスを終了することができない。


(不正解)
説明
このIAMポリシーでは、EC2の全てのアクションを許可していますが、「リザーブドインスタンス関連の全ての操作」および「全てのインスタンスに関する終了操作」を禁じています。

前半のステートメントでは、全てのEC2に対して、許可を行っています。これはフルアクセス権限となっています。

{
“Action”: “ec2:*”,
“Effect”: “Allow”,
“Resource”: “*”
},

後半のステートメントでは、「リザーブドインスタンスのあらゆるアクション」と「全てのEC2インスタンスの終了させるアクション」に限定して、拒否する設定がされています。

“Effect”: “Deny”,
“Action”: [
“ec2:*ReservedInstances*”,
“ec2:TerminateInstances”
],
“Resource”: “*”

結果的に、この設定では、「リザーブドインスタンスに対するあらゆるアクション」と、「全てのEC2インスタンスに対してインスタンス終了処理」ができないことになり、オプション3が正解となります。

質問34: 不正解
次のバケットポリシーでS3バケットに対する権限設定を行っています。

{
“Version”: “2012-10-17”,
“Id”: “S3PolicyId1”,

“Statement”: [

{
“Sid”: “IPAllow”,
“Effect”: “Deny”,
“Principal”: “*”,
“Action”: “s3:*”,
“Resource”: “arn:aws:s3:::examplebucket/*”,
“Condition”: {
“NotIpAddress”: {“aws:SourceIp”: “54.240.143.0/24”}

}
}
]
}

この設定内容として正しい内容を選択してください。
このS3バケットに対して、指定された IP アドレス範囲から全てのアクションが実行可能である。
このS3バケットに対して、指定された IP アドレス範囲以外から全てのアクションが実行可能である。


(不正解)
このS3バケットに対して、指定された IP アドレス範囲からのアクセスが拒否されている。
このS3バケットに対して、指定された IP アドレス範囲以外からのアクセスが拒否されている。


(正解)
説明
このバケットポリシーでは、以下の前半のステートメントによって、examplebucketに対する全てのユーザーからの全てのアクションを拒否しています。

“Effect”: “Deny”,

“Principal”: “*”,

“Action”: “s3:*”,

“Resource”: “arn:aws:s3:::examplebucket/*”,

後半のステートメントにおいて、許可されたIP アドレスの範囲として 54.240.143.0/24 を指定しています。Condition ブロックでは、NotIpAddress 条件と aws:SourceIpを使用しています。ここではNotIpAddress 条件を利用しているため、54.240.143.0/24 以外のIPアドレスを指定しています。

“Condition”: {

“NotIpAddress”: {“aws:SourceIp”: “54.240.143.0/24”}

}

したがって、このバケットへのリクエストが指定された IP アドレス範囲以外である場合に、この S3 バケット内のオブジェクトに対するアクセスが拒否されます。よって、オプション4が正解となります。

質問39: 不正解
あなたの会社はオンプレミス環境からAWSへの移行を決定しました。現在は火曜日であり、移行は業務時間に影響を与えないように今週末の金曜日夜から月曜日朝にかけて72時間でデータ移行を完了させる必要があります。移行データ容量は10TBであり、安全な通信によって移行データを保護することが必要です。
この条件を満たす移行方式を選択してください。
Snowballによるデータ移行の実施
Direct Connect接続によるデータ転送の実施


(不正解)
AWS サイト間 VPNを利用したVPN接続によるデータ転送


(正解)
Storage Gatewayによるデータ移行の実施
説明
オプション3が正解となります。Amazon VPC で起動するインスタンスは、デフォルトではオンプレミスネットワークと交信できません。したがって、データセンターやオフィスのネットワークを AWS サイト間 VPN (Site-to-Site VPN) 接続によってAWSと接続することが必要です。その際に、インターネットプロトコルセキュリティ (IPsec) 通信を使用して 2 点間に暗号化された VPN トンネルを作成することができます。
このシナリオでは、移行データ量と移行スケジュールから移行方式を選択しています。現在が火曜日であり、週末にデータ転送を実施する条件を鑑みると、Direct ConnectやSnowballを発注して移行を週末に実施することは困難です。なぜならば、AWS側との調整する時間が必要となり、この時点からAWSにこれらの機器を発注しても間に合いません。唯一即時に実施できる手段がVPN接続設定です。また、10TBのデータ転送はVPN接続による転送によって72時間で完了させることができます。

オプション1は不正解です。SnowballはAWSから借りてくる機器を利用します。データ量が多い場合には便利ですが、今回のように短時間の少量のデータ移行には向いていません。
オプション2は不正解です。Direct Connectは物理的にAWS側と専用線接続の設定が必要です。これはAWSへの申請と設定などが必要不可欠となり、準備が間に合わない可能性があります。
オプション4は不正解です。Storage GatewayはS3とオンプレミスストレージ間のデータ転送やバックアップ構成に利用します。ストレージのデータ移行にも利用可能ですが、今回はストレージのみがデータ移行対象となっていないため不適切です。

質問41: 不正解
あなたはソリューションアーキテクトとして、業務解析システムを構築しています。このシステムでは初期ストレージ容量が8 TBの高可用性リレーショナルデータベースが必要です。要件として データ量が毎日10 GBずつ増加することが予測されています。また、予想トラフィック量に対処するためには、データ処理向けに並列処理が必要があります。
この要件を満たすためのサービスを選択してください。
DynamoDB
RDS
Aurora


(不正解)
Redshift


(正解)
説明
オプション4が正解となります。業務解析システム用のデータベースにはRedshiftが最適です。Redshiftは大量データの保存や並列処理によるパフォーマンス向上が可能であり、要件を満たすことができます。Redshiftはクラウド内で完全に管理されたペタバイト規模のリレーショナルデータベース型のデータウェアハウスサービスです。 Redshiftは数百ギガバイトのデータからペタバイト以上に拡張できます。 Redshift はテーブルの行をコンピューティングノードに分配するので、データを並列処理できます。 Redshift は各テーブルに対して適切な分散キーを選択することにより、データの分配を最適化して、ワークロードを分散し、ノード間のデータの移動を最小限にできます。

オプション1は不正解です。DynamoDBはNoSQL型データベースであり、高可用性リレーショナルデータベースという要件に合致していません。

オプション2は不正解です。RDSはリレーショナルデータベースですが、業務解析システムとして利用できません。RDSはリードレプリカを構成することで、読込処理を並列化することはできますが、データ解析を並行分散処理ができません。
オプション3は不正解です。Aurora MySQL 並列クエリは、データ集約的なクエリの処理に関連する I/O と計算の一部を並列処理することができます。しかしながら、業務解析システムという要件を鑑みると、AuroraよりもRedshiftが最適であるため、そちらが優先されるシナリオとなります。
質問43: 不正解
ある会社はデータ保存用ストレージとしてS3を利用して、S3オブジェクトをユーザーに提供するアプリケーションを運用しています。 あなたはアプリケーションの管理担当者として、最近、このアプリケーションの提供するデータのURLリンクが無断に利用されていることを発見しました。この問題に対して、あなたは永続的に外部リンクを利用できないように対応する必要があります。
この要件に必要なサービスを選択してください。
署名付きURLを付与してオブジェクトでデータ配信を行う。
AWS WAFによるリンクのReferer制限を行う。


(正解)
署名付きCookiesを付与してオブジェクトでデータ配信を行う。


(不正解)
S3へのアクセス処理を暗号化することで、配信を制限する。
説明
S3にCloudFrontによるコンテンツ配信を構成して、AWS WAF を利用してReferer制限を実装することができます。AWS WAF は、CloudFront に転送される HTTP および HTTPS リクエストをモニタリングして、コンテンツへのアクセスを制御可能にするウェブアプリケーションファイアウォールです。AWS WAFのReferer制限によって直接にURLリンクを参照することを制限することができます。したがって、オプション2が正解となります。

オプション1と3は不正解です。今回は外部の直接リンク設定を不許可にする設定を求めている問題となっています。署名付きCookieや署名付きURLはアクセス権限の制限をすることができますが、リンク自体を利用することは可能です。あくまでもリンクにアクセスする権限を制限するということになるため、利用方法が異なります。しかしながら、直接リンクを禁止することはできないため、正しくありません。
オプション4は不正解です。S3へのアクセス処理を暗号化することで、配信を制限するといった対応はできません。

質問50: 不正解
あなたは、AWS上にトランザクション処理をしつつ、コンテンツを配信する2層Webアプリケーションを構築しています。データ層では、オンライントランザクション処理(OLTP)データベースを利用しています。 WEB層では柔軟でスケーラブルなアーキテクチャ構成を実現する必要があります。
この要件を満たすための最適な方法を選択してください。
EC2インスタンスにELBとAuto Scalingグループを設定する。


(正解)
RDSのマルチAZ構成を設定する。
EC2インスタンスをマルチAZに展開してRoute53によるフェイルオーバールーティングを実施する


(不正解)
EC2インスタンスを予測キャパシティよりも多く設置する
説明
オプション1が正解となります。AWSで柔軟でスケーラブルなサーバー処理を実現するために、EC2インスタンスに対してAuto ScalingとELBを設定することで達成することができます。ELBがトラフィックを複数インスタンスに分散することで冗長性を高め、かつAutoScalingが高負荷時のスケーリングを自動で実行してくれます。

オプション2は不正解です。WEB層において柔軟でスケーラブルなアーキテクチャ構成を実現することが要件ですので、データベース層にあるRDSのマルチAZ構成の設定は正しくありません。
オプション3は不正解です。Route53によるフェイルオーバールーティングは要件に合致していません。フェイルオーバールーティングは耐障害性を向上させますが、パフォーマンスを向上させるわけではありません。
オプション4は不正解です。EC2インスタンスを予測キャパシティよりも多く設置するというのは、柔軟な構成という要件に合致しないため正しくありません。

質問56: 不正解
あなたはソリューションアーキテクトとして、動画データのトランスコーディングのために、自社システムからAWSに動画データを送信するワークフローを開発しています。 SQSからトランスコードジョブを引き出すEC2ワーカーインスタンスを使用してこの仕組みを構築する予定です。
この仕組みを実現するためのSQSの説明として正しいものを選択してください。
SQSはワーカーインスタンスのヘルスチェックを提供する。
SQSは水平スケーリングが実現できる。


(正解)
SQSは命令順序を順守するため当該処理に最適である。


(不正解)
SQSによりスケジューリングに沿った処理が実行可能である。
説明
オプション2が正解となります。SQSはキューによってシステム処理を分散させて負荷分散を可能にします。これはAWSリソースの水平方向のスケーリングに役立ちます。SQSキューによって複数EC2インスタンスによる並行処理が可能となり、負荷分散や処理プロセスの最適化を達成することができます。

オプション1は不正解です。SQSはワーカーインスタンスの状態をヘルスチェックしたりしません。
オプション3は不正解です。この動画処理においてキューの順序はとくに重要視されていないため、要件としては含まれていません。
オプション4は不正解です。SQSはスケジュールに沿ったキューイングを実施しません。
質問63: 不正解
あなたはソリューションアーキテクトとして、AWS上でアプリケーションを構築しています。このアプリケーションはVPCのサブネットにパブリックIPを付与したEC2インスタンスをセットアップしています。 しかし、あなたはインターネットを介してEC2インスタンスに接続することができませんでした。 セキュリティグループは正しく設定されているようです。
インターネットからEC2インスタンスに接続するために何をするべきでしょうか?
ルートテーブルに正しいルート設定を行う。


(正解)
Elastic IPをEC2インスタンスに設定する。


(不正解)
セカンダリーIPアドレスをEC2インスタンスに設定する。
NATゲートウェイを設定する。
説明
このEC2インスタンスがインターネットからのアクセス可能にするためには、セキュリティグループとネットワークACLが適切な許可設定にされていること、および設置されているサブネットのルートテーブルにインターネットゲートウェイへのエントリがあることを確認する必要があります。したがって、オプション1が正解となります。

オプション2は不正解です。インターネットからアクセスするためにはElastic IPは必須ではありません。
オプション3は不正解です。インターネットからアクセスするためにはセカンダリーIPは必須ではありません。
オプション4は不正解です。NATゲートウェイはプライベートサブネットにあるEC2インスタンスへのアクセスに利用しますので、正しくありません。

質問64: 不正解
ある企業では社員のユーザープロファイルとアクセスログをS3に保存しています。これらのデータのアップロードや変更を日常的に実施されるため、ユーザーが誤ってS3バケット内のオブジェクトを削除してしまう懸念があります。 そのため予防策を実施することが必要ですが、業務に影響を与えてはいけません。
S3バケット内のオブジェクトの誤った削除を防ぐため最適な方法を選択してください(2つ選択してください。)
S3バケットにおけるバージョニング機能を有効化する。


(正解)
S3バケットにおける暗号化を有効化する。
S3バケットにあるMFA認証を有効化する。


(正解)
S3バケットの設定をデータ削除不可とする。


(不正解)
S3バケットにIAMロールによる削除拒否を設定する。
説明
S3バケットに対してMFA認証を有効化することで、ユーザーは削除処理を実施しようとすると毎回MFA認証が求められるため、操作ミスによる削除を防ぐことができます。さらにバージョニング機能を有効化することで削除されたファイルを戻すことが出来ます。したがって、オプション1と3が正解となります。

オプション2は不正解です。S3バケットにおける暗号化を有効化することで、データ保護を強化できますが、データ削除を防ぐことにはなりません。
オプション4は不正解です。S3バケットは初期設定でオブジェクトを削除できない設定が可能ですが、これは初期設定時のみに利用可能です。既に利用しているS3バケットの設定を変更することはできません。また、データ削除の操作が必要なケースもあるため、本ケースでは不適切です。
オプション5は不正解です。IAMロールではなくIAMユーザーによって、アクセス権限の設定を行う必要があります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする