質問1: 不正解
あなたはソリューションアーキテクトとして、DynamoDBを利用したデータソリューションを構築しています。このソリューションでは、毎週定期的なタイミングでDynamoDBからセッションデータを取得して、レポート生成処理に送信する必要があります。
この要件を満たすための方法を選択してください。
DynamoDBイベントにより定期的にDynamoDBからデータを取得する。
AWS DataPipelineにより定期的にDynamoDBからデータを取得する。 (正解)
AWS Data Workflowにより定期的にDynamoDBからデータを取得する。
DynamoDBストリームにより定期的にDynamoDBからデータを取得する。 (不正解)
説明
オプション2が正解となります。AWS Data Pipeline は、データの移動と変換を自動化するサービスです。AWS Data Pipeline はデータ駆動型のワークフローを定義して、タスクの正常な完了をトリガーにして、次のタスクを実行できます。AWS Data Pipeline はDynamoDBに設定することが可能であり、定期的なデータ取得タスクを設定させることができます。
オプション1は不正解です。DynamoDBイベントという機能はありません。
オプション3は不正解です。AWS Data Workflowというサービスはありません。
オプション4は不正解です。DynamoDBストリームを有効化することで、DynamoDBテーブルへのデータ登録や更新などのイベントをトリガーとして、Lambda関数などを実行して処理することができます。これにより、DynamoDBのデータを取得することも可能ですが、定期的にデータ取得するような処理ではなく、イベント起動になってしまうため、要件に合致していません。
質問2: 不正解
ある企業は、問合せコール時に適切な担当者に通話をルーティングする音声応答システムを構築しています。 このシステムは、マルチAZ配置構成のEC2インスタンスを利用し、Auto Scalingグループ、ALB、およびRDSインスタンスが構成されています。 顧客データを保護するために、EC2インスタンスが固有のプロファイル認証情報を利用してRDSデータベースにアクセスできるようにする必要があります。
この要件を満たすための方法を選択してください。
IAMデータベース認証の付与 (正解)
SSL認証によるRDSへの暗号化接続
EC2インスタンスにRDSアクセス権限が設定されたIAMポリシーを付与する。 (不正解)
EC2インスタンスにRDSアクセス権限が設定されたSTSを付与する。
説明
オプション1が正解となります。EC2インスタンスがIAMデータベース認証を利用してDB インスタンスにアクセスが可能です。この認証方法では、DB インスタンスに接続するときにパスワードではなく、認証トークンを使用します。認証トークンはAmazon RDS がリクエストに応じて生成する一意の文字列であり、AWS 署名バージョン 4 を使用して生成されます。各トークンには 15 分の有効期間があります。認証トークンは IAM を使用して外部的に管理されるため、ユーザー認証情報をデータベースに保存する必要はありません。
オプション2は不正解です。SSLは今回のような認証ではなく、あくまでも通信プロトコルとしてトラフィックデータの暗号化を行うためのものです。データ転送時のデータ保護に用いられます。
オプション3は不正解です。EC2インスタンスにIAMポリシーを設定するのではなく、IAMデータベース認証ではIAMロールを使用して設定を行います。
オプション4は不正解です。AWS Security Token Service (AWS STS) を使用して一時的セキュリティ認証を付与することができます。これは固有のプロファイル認証情報を通しての認証という要件に合致しません。
質問6: 不正解
ある企業はオンプレミスネットワークとAWSの両方に、システムをホストしています。 あなたはソリューションアーキテクトとして、Active Directoryの資格情報を使用して、全ユーザーが両方の環境のリソースにアクセスできる設定を行っています。
この要件を満たすための方法を選択してください。
IAMグループを資格情報に連携する。
AWS Cognitoによる認証を利用する。
AWS OrganizationsのActive Directory機能を利用する。 (不正解)
SAMLフェデレーションを利用する。 (正解)
説明
オプション4が正解となります。SAML(Security Assertion Markup Language)はインターネット上で、IDやパスワードなどの認証情報を連携するためのXMLベースの仕様です。SAMLは主にエンタープライズアプリケーション間の認証で使われています。SAMLはMicrosoft Active Directoryを使用しているため、AWSクラウドへのAPIアクセス用にSAMLベースのフェデレーションを設定できます。
AWS Single Sign-Onなどのサービスを利用することで、SAMLによる認証の仕組みを実現することが可能です。AWS SSO は SAML IdP 機能を AWS Managed Microsoft AD または AWS SSO ディレクトリに追加します。それにより、ユーザーは、AWS マネジメントコンソール やサードパーティー製アプリケーションなど、SAML をサポートするサービスへの SSO が可能になります。
オプション1は不正解です。IAMグループはActive Directoryの認証は利用できないため、要件に合致しません。
オプション2は不正解です。AWS Cognitoはウェブアプリケーションやモバイルアプリケーションの認証、許可、ユーザー管理を実装できるサービスです。AWS Cognitoはアプリケーションの認証機能に利用するサービスであり、IAMやAD連携したユーザー管理に利用するものではありません。
オプション3は不正解です。AWS OrganizationsにActive Directory機能はありません。
質問7: 不正解
あなたはソリューションアーキテクトとして、WEBアプリケーションを構築しています。この アプリケーションは、読込処理および書込処理のためにRDSインスタンスを頻繁に使用しています。 システムの信頼性、可用性、およびパフォーマンスを維持するために、DBインスタンスのプロセスまたはスレッドがCPUとメモリをどのように使用しているかを常時モニタリングする必要があります。
この要件を満たすモニタリング方法を選択してください。
CloudWatchでCPU利用率をモニタリングする。 (不正解)
CloudWatchでモニタリングするためのシナリオを設定する。
RDSの拡張モニタリングを有効化する。 (正解)
CloudWatch エージェントをインスタンスに設定して、詳細なモニタリングを有効化する。
説明
オプション3が正解となります。DBインスタンス上のさまざまなプロセスまたはスレッドがCPUをどのように使用しているかを常時モニタリングするためには、RDSの拡張モニタリングを有効化することが必要です。これにより、DBインスタンスのOSのリアルタイムメトリックスが確認できるようになります。 RDSコンソールを使用してDBインスタンスのメトリクスを表示でき、CloudWatch Logsからの拡張モニタリングを利用することができます。 デフォルトでは、拡張モニタリングメトリクスは30日間CloudWatch Logsに保存されます。
オプション1は不正解です。Amazon CloudWatchはデータベースインスタンスのCPU使用率を監視可能ですが、デフォルトではRDSインスタンスの各データベースプロセスによって消費されるCPU帯域幅と合計メモリの割合が提供されません。
オプション2は不正解です。CloudWatchにモニタリング用のシナリオを設定するといった機能はありません。
オプション4は不正解です。CloudWatch エージェントではなく、CloudWatch Logsを利用することが必要です。CloudWatch エージェントは Amazon EC2 インスタンスとオンプレミスサーバーからメトリクスとログを収集する機能です。
質問9: 不正解
あなたはソリューションアーキテクトとして、サーバレスアプリケーションを構築しています。AWS LambdaとAPI Gatewayにより作成されたAPIを使用して、Twitterに最近のニュースを配信します。新聞広告を出稿することがきまり、今後、数日間で訪問者と新規ユーザーが大幅に増加すると予想されます。
最小の努力で実行することができる性能向上施策を選択してください。
LambdaとAPI Gatewayの統合したアプリケーションにAuto Scalingを適用する。 (不正解)
API Gatewayのスロットリング制限設定とキャッシュを有効化する。 (正解)
Lambda関数のスケーリング機能を有効化する。
API Gatewayのスケーリング機能を有効化する。
説明
このシナリオでは、一時的な高負荷発生に備えて、Amazon API Gatewayの処理性能を向上させることが求められます。そのためには、APIゲートウェイのスロットリング制限設定とキャッシュを有効化することで実現することが可能です。したがって、オプション2が正解となります。
API Gatewayはグローバルおよびサービスコールを含むさまざまなレベルでスロットルを提供します。スロットリング制限設定はリクエストが多すぎるために バックエンドサービスが処理しきれなくなることを防ぎます。たとえば、API所有者は自分のREST APIの特定のメソッドに対して毎秒1,000リクエストのレート制限を設定し、数秒間で毎秒2,000リクエストのバーストを処理するようにAmazon API Gatewayを設定することもできます。 Amazon API Gatewayは1秒あたりのリクエスト数を追跡 し、制限を超えたリクエストは429 HTTPレスポンスを受け取ります。
Amazon API Gatewayキャッシュをプロビジョニングして、そのサイズをギガバイトで指定することで、API呼び出しにキャッシュを追加できます。キャッシュは、APIの特定の段階用にプロビジョニングされています。これによりパフォーマンスが向上し、バックエンドに送信されるトラフィックが減少します。キャッシュ設定を使用すると、キャッシュキーの作成方法と各メソッドに保存されるデータの有効期間(TTL)を制御できます。
オプション1は不正解です。LambdaとAPI Gatewayの統合したアプリケーションにAuto Scalingを適用することはできません。AutoScalingはEC2インスタンスなどのサーバーをスケーリングさせる機能です。
オプション3と4は不正解です。LambdaやAPI Gatewayにスケーリング機能を有効化するという設定はありません。
質問11: 不正解
会社はDockerにホストされたWEBアプリケーションを開発しました。このアプリケーションのバージョン更新を効率的に行うことが必要であり、あなたはリソースのプロビジョニング、負荷分散、オートスケーリング、監視、クラスターのコンテナ配置などのタスクを自動的に処理することが求められています。
この要件を達成するためにAWSサービスを選択してください。
Fargate
Amazon ECS (不正解)
Elastic BeanStalk (正解)
OpsWorks
説明
AWS Elastic Beanstalk はECSなどのDocker サービスと連携して、容量のプロビジョニング、負荷の分散、スケーリング、およびアプリケーションの状態の監視の詳細を自動化することができます。したがって、オプション3が正解となります。
AWS Elastic Beanstalkによるデプロイタスクの自動化設定では、WEBアプリケーションを Docker コンテナからデプロイできます。Docker コンテナを使用すると、独自のランタイム環境を定義でき、Docker コンテナは自己完結型で、これにはすべての設定情報と、ウェブアプリケーションが実行する必要のあるソフトウェアが含まれています。
オプション1は不正解です。FargateはECSまたはEKSを利用する際に選択できる起動タイプとなるコンピュートエンジンです。要件に合致した対応が可能なサービスではありません。
オプション2は不正解です。ECSはDocker形式でのアプリケーション開発環境を構築することができるオーケストレーションサービスです。これを利用してAWSリソースの展開は可能ですが、リソースのプロビジョニング、負荷分散、オートスケーリング、監視、クラスター全体でのコンテナ配置などのタスクの自動化にはElastic Beanstalkとの連携が必要です。
オプション4は不正解です。OpsWorksはDocker向けサービスではありません。
質問14: 不正解
ある企業において、リレーショナルデータベースのストレージレイヤーをAWS上で構築しています。このデータベースソリューションでは多数のトランザクション処理が発生することが予想されており、ランダムI/O遅延が発生することが懸念されています。あなたはソリューションアーキテクトとして、データベース設定によって性能を向上させるように依頼を受けました。なるべく運用負荷をかけないことが求められます。
次のうちどのデータベースを使った方式を選択するべきでしょうか。
DynamoDBでリレーショナルデータベースのエミュレートを実施する。
ElastiCacheによるキャッシュ処理により高速処理を実現する (不正解)
EC2インスタンスにプロビジョンドIOPSを設定して、データベースをインストールして利用する
RDSを利用してインスタンスタイプの性能を変更する (正解)
説明
オプション4が正解となります。RDSのインスタンスタイプにおいてIOPS性能が高いタイプを選択して高性能な処理が行えるように設定することで、ランダムI/O遅延を防ぐことができます。また、必要に応じてリードレプリカを増強させるのも良いでしょう。
オプション1は不正解です。DynamoDBはI/O性能が高いNoSQL型のデータベースの代表的なAWSサービスですが、リレーショナルデータベースをエミュレートすることはできません。
オプション2は不正解です。ElastiCacheは高速データ処理に向いていますが、NoSQL型のデータベースの代表的なAWSサービスです。こちらもリレーショナルデータベースとして利用することはできません。
オプション3は不正解です。EC2インスタンスにおいてIOPS性能が高いインスタンスを設定して、データベースに利用することも可能ですが、マネージドサービスではないため運用負荷が高いため通常はRDSを利用します。
質問16: 不正解
ある企業では、1年間だけ利用するアプリケーションをEC2インスタンスにホストして構築したいと考えています。期間はちょうど365日間だけのキャンペーンシステムに利用されることになります。
最もコスト最適なインスタンスタイプを選択してください。
リザーブドインスタンス (正解)
スケジュールドリザーブドインスタンス
スポットインスタンス
オンデマンドインスタンス (不正解)
説明
オプション1が正解となります。リザーブドインスタンスは「1年間」「3年間」と期間を決めてEC2インスタンスを「Reserved(予約)」する事で通常にEC2インスタンスを立ち上げるよりも格安にインスタンスを使うことができます。初期予算によって「全額前払い」「一部前払い」「前払いなし」とプランを選択して賢く使えます。したがって、1年間の利用期間が想定されているため、1年のリザーブドインスタンス購入をすることで、通常よりもコストを抑えることができます。
オプション2は不正解です。スケジュールドリザーブドインスタンスは日次、週次、月次と3パターンのスケジューリングされた買い方ができます。月一回だけバッチ処理で利用したいなどの要望に利用できます。今回のような1年間の利用に対しては通常のリザーブドインスタンスの方が適しています。しかしながら、スケジュールドリザーブドインスタンスは現在利用できないようになっています。代わりにキャパシティー予約を利用する必要性があります。
オプション3は不正解です。スポットインスタンスはオンデマンド価格より低価で利用できる未使用の EC2 インスタンスです。スポットインスタンス では未使用の EC2 インスタンスを割引で購入できるため、Amazon EC2 のコストを大幅に削減できます。
オプション4は不正解です。オンデマンドインスタンスは利用時間に応じて、決められた料金を支払う通常のインスタンス利用形態です。これも選択可能ですが、コスト最適は達成できません。
質問17: 不正解
ある企業では請求処理のアウトソーシング事業を行っています。請求情報はCSVデータ形式でストレージに保管され、SQLクエリ処理をおこなった上で、処理後のデータが30日間だけ保存されます。データ処理後はこのデータは必要ありません。
コスト最適なストレージタイプと処理方法を選択してください。
RDSによるクエリ処理を実施後、30日後に削除するライフサイクルポリシーを設定する
S3バケットにデータを保存して、DynamoDBを利用してデータ解析し、30日後に削除するライフサイクルポリシーを設定する (不正解)
S3バケットにデータを保存して、Amazon Athenaを利用してデータ解析し、30日後に削除するライフサイクルポリシーを設定する (正解)
Glacierに保存して Redshiftでデータ解析を実施後、30日後に削除するライフサイクルポリシーを設定する
説明
オプション3が正解となります。Amazon Athenaを利用することでAmazon S3 から直接データに対してクエリ処理が可能となります。その際には実行するクエリに対してのみ料金が発生し、各クエリでスキャンされるデータ量に基づいて課金されます。データの圧縮、分割、列形式への変換を行うと、大幅なコスト削減とパフォーマンス向上を実現でき、データ処理コストを抑えることができます。
オプション1は不正解です。RDSは一般的なリレーショナルデータベースとしてデータを中長期処理するために利用されます。データ処理を行って、短期間でデータを削除するといったライフサイクル管理には向いていません。
オプション2は不正解です。DynamoDBはNoSQL型のデータベースであるため、SQLクエリ処理は実行できません。
オプション4は不正解です。Glacierはデータの中長期保存用のストレージタイプであり、解析用のデータを蓄積して解析を実施するといった高頻度のデータ利用には向いていません。また最低保持期間が90日と設定されているため、コスト最適となりません。
質問27: 不正解
あなたはソリューションアーキテクトとして、画像識別APIを利用した予測分析システムを構築しています。この画像識別APIにアクセスして予測する処理は数分程度で完了する予定です。予測分析の処理結果はDynamoDBに保持します。この予測分析処理は外部APIを利用しているためハードウェアは必要なく、処理するデータ容量も大きくありません。
この要件を満たす実装方法を選択してください。
DynamoDBストリームが動的に予測分析アプリケーションから処理結果を取得する (不正解)
Lambda関数で画像識別APIに連携して、分析処理を進める。 (正解)
Amazon Kinesis Data Analyticsにより予測分析を実施する。
Athenaを利用して画像識別APIに連携して、分析処理を進める。
説明
オプション2が正解となります。予測分析処理アプリケーションは外部の画像識別APIを利用して構成され、処理するデータ容量も大きくありません。そのため、画像識別APIを呼び出して解析を実行するLambda関数を作成することで、EC2インスタンスなどのサーバーを用いることなく、コスト効率が良いアプリケーションを構築することが可能です。
オプション1は不正解です。DynamoDBストリームはDynamoDBテーブルの変更イベントをトリガーにして、Lambda関数などを起動する際に利用します。したがって、DynamoDBストリームがデータ処理を動的に実行するといった処理を実現することはできません、今回の要件では、DynamoDBは処理結果データの保存に利用します。
オプション3は不正解です。Amazon Kinesis Data Analyticsを利用すると、ストリーミングデータをリアルタイムで分析することができますが、本件では適用できません。これはIoTなどのストリーミングデータを対象としており、画像解析データなどの解析には不向きです。
オプション4は不正解です。Amazon Athenaは標準 SQL を使用して S3でのデータの直接分析を簡易化するインタラクティブなクエリサービスです。今回の要件には利用できないため、正しくありません。
質問28: 不正解
あなたはソリューションアーキテクトとして、現在DynamoDBに発生している障害に対応しています。このDynamoDBでは、顧客のセッションデータを大量に処理しています。現在、一時的にセッションデータ処理量が大きくなっており、DynamoDBのスループットが低下していることが分かっています。
この問題を解決するコスト最適な対応方法を選択してください。
DynamoDBのリードレプリカを増設する。 (不正解)
DynamoDB Accelerator(DAX) を有効化してキャッシュ処理を実施する。
DynamoDBのAuto Scalingを有効化して、処理負荷が高まった場合にスケーリングできるようにする。 (正解)
DynamoDB グローバルテーブルを有効化する。
説明
オプション3が正解となります。DynamoDBのAuto Scalingを導入して、テーブルとグローバルセカンダリインデックス(GSI)の容量増加を自動化できます。DynamoDB Auto Scalingはテーブルとインデックスを監視して、アプリケーショントラフィックの変化に応じて自動的にスループットを調整します。 これにより一時的な負荷増加に対して、DynamoDBテーブル処理パフォーマンスの管理が容易になり、アプリケーションの可用性を最大化しつつ、DynamoDBのコストを削減することができます。
[ 参照]
https://docs.aws.amazon.com/ja_jp/amazondynamodb/latest/developerguide/AutoScaling.html
オプション1は不正解です。DynamoDBはそのままではリードレプリカを増やすことができません。後述するDAX を有効化することで、DAXクラスターは、1 つのみのプライマリノードと、0~9 個のリードレプリカノードを構成することができます。
オプション2は不正解です。DynamoDB Accelerator(DAX) を有効化することで、DynamoDBテーブルはミリセカンドからマイクロセカンドへの最大 10 倍のパフォーマンス向上を実現します。DAXはキャッシュを利用しているため特定のデータへの処理が高い場合などに中長期的な性能向上のために対策としては正しいです。しかしながら、キャッシュDBは高コストであるため、コスト最適という要件に合致させるためには、本件ではAuto Scalingによる処理負荷に対するスケーリングを優先して実行します。
オプション4は不正解です。DynamoDB グローバルテーブル は、マルチリージョンにマルチマスターデータベースをデプロイするための完全マネージド型のソリューションです。これにより、高い冗長化を実現することができますが、DynamoDB テーブルのパフォーマンスが向上するわけではありません。
質問30: 不正解
あなたはソリューションアーキテクトとして、AWSを利用したIoTデータ処理ソリューションを構築しています。このソリューションは様々なセンサーデータを取得して、蓄積しつつ、解析する処理を実現します。データを蓄積する際に、データを最適なデータ形式に変換してから保存する必要があります。
この要件を満たす方法を選択してください。(2つ選択してください。)
Amazon Kinesis Data Streamsがデータを取得し、そのストリームデータをLambda関数がデータ処理を実施して、Amazon Kinesis Data Firehoseを介してS3にデータを格納する (正解)
Amazon Kinesis Data Firehoseがデータを取得し、そのストリームデータをLambda関数がデータ処理を実施して、DynamoDBにデータを格納する (不正解)
Amazon Kinesis Data Firehoseがデータの形式を適切に変換してS3にデータを保存する。S3イベントがLambda関数を起動して、DynamoDBにデータを格納する。 (正解)
API GatewayとLambda関数を統合したアプリケーションがデータ処理を実行して、DynamoDBにデータを格納する
Amazon Kinesis Data Firehoseがデータの形式を適切に変換した上で、DynamoDBにデータを格納する。
説明
オプション1は正解となります。センサーデータを処理するためにAmazon Kinesisを利用していきます。Amazon Kinesis Data StreamsとLambdaを連携してデータ処理をサーバレスに実現することが出来ます。Amazon Kinesis Data Streamsがストリーミングデータ処理を実施して、Lambda関数にデータを渡します。その後、Lambda関数がデータに対してデータ変換処理を実施した上で、Amazon Kinesis Data FirehoseがS3にデータを格納します。
オプション3は正解となります。Amazon Kinesis Data Firehoseを利用してデータを所定の形式に変換しつつS3に蓄積できます。その後、S3イベントによりLambda関数を起動して、DynamoDBにデータを移動することができます。
Amazon Kinesis Data Firehose はストリーミングデータをデータレイクやデータストア、分析ツールに配信するサービスです。ストリーミングデータをキャプチャして変換しつつ、Amazon S3、Amazon Redshift、Amazon Elasticsearch Serviceにロードします。DynamoDBに配信することはできません
【参照】
https://docs.aws.amazon.com/ja_jp/firehose/latest/dev/data-transformation.html
オプション2は不正解です。Amazon Kinesis Data FirehoseはDynamoDBにデータを転送することができません。
オプション4は不正解です。API GatewayとLambda関数によりDynamoDBにデータを格納する仕組みをAPI型のサーバレスアプリケーションとして構成することができますが、API処理は本件の要件に求められていません。
オプション5は不正解です。Amazon Kinesis Data Firehoseを利用してデータを所定の形式に変換しつつS3やRedShiftに蓄積することができますが、Amazon Kinesis Data FirehoseはDynamoDBにデータを転送することができません。
質問31: 不正解
あなたはAmazon ECSを利用したマイクロサービスアーキテクチャによるアプリケーションを構築しようとしています。その際に、ECSでトラフィックを制御することが必要です。
この要件を満たす方法を選択してください。
Route53
ELB (正解)
ECSコンテナ―バランサー
Fargate (不正解)
説明
オプション2が正解です。Amazon ECS はELBのいずれかのタイプのロードバランサ―を使用できます。Application Load Balancer は、HTTP/HTTPS (またはレイヤー 7) トラフィックをルーティングするために使用されます。Network Load Balancer と Classic Load Balancer は、TCP またはレイヤー 4 トラフィックをルーティングするために使用されます。
オプション1は不正解です。Route53はDNSを提供するAWSサービスです。ECSのトラフィックを制御するためには利用されません。
オプション3は不正解です。ECSコンテナ―バランサーという機能はECSにはありません。
オプション4は不正解です。FargateはECSのコンピュートエンジンとなる起動タイプの1つです。これはEC2インスタンスの代わりに利用されるものであり、設定を自動化することができます。これはECSのトラフィックを制御するためには利用されません。
質問33: 不正解
あなたはWEBアプリケーションのプロビジョニング方式を簡易にする仕組みをAWSで実現したいと考えています。要件としては、Auto Scalingを適用してスケーラビリティを確保したWEBアプリケーションを展開できること、Dockerの仕組みを利用して構成したアプリケーションを展開できること、およびアプリケーションのバージョン管理や状態の監視の詳細を自動化できることです。
この要件を満たすために必須となる自動化ツールを選定してください。
Elastic Beanstalk (正解)
ECS (不正解)
ECR
EKS
説明
オプション1が正解です。AWS Elastic BeanstalkはELBと Auto Scalingを利用してスケーラブルのデプロイを自動化することが可能です。また、AWS Elastic Beanstalkはアプリケーションのバージョン管理を自動化することもできます。AWS Elastic BeanstalkはAmazon ECSなどのDockerにホストされたWEBアプリケーションの展開もサポートしています。Elastic Beanstalk で Docker を使用することにより、容量のプロビジョニング、負荷の分散、スケーリング、およびアプリケーションの状態の監視の詳細を自動的に処理するインフラストラクチャが提供されます。したがって、Elastic Beanstalk を利用することでECRとEKSとの連携してDocker経由のアプリケーション展開を設定しつつ、バージョン管理や状態の監視の詳細を自動化することが可能となります。
その他の選択肢は、Dockerを利用したアプリケーション構築向けのサービスであり、DockerでホストしたWEBアプリケーションのプロビジョニング方式を簡易にする仕組みとしては正しくありません。Elastic BeanstalkはECRとECSとEKSは連携することは可能ですが、プロビジョニング用やバージョン管理の自動化にはElastic Beanstalkを利用します。
オプション2は不正解です。ECSは、Docker コンテナをサポートする拡張性とパフォーマンスに優れたコンテナオーケストレーションサービスです。これにより、コンテナ化されたアプリケーションを AWS に簡単に実行およびスケールできます。
オプション3は不正解です。ECRは、完全マネージド型の Docker コンテナレジストリです。このレジストリを使うと、開発者は Docker コンテナイメージを簡単に保存、管理、デプロイできます。
オプション4は不正解です。EKSは、コンテナ化されたアプリケーションのデプロイ、管理、スケールを Kubernetes を使って AWS で簡単に実行できます。
質問35: 不正解
ある企業はAWSにホストされたWEBサービスを運用しています。今後、このサービスをEUに展開する予定です。そのためには、EUのセキュリティ基準( FIPS 140-2 レベル 3 標準)に合致させる必要があります。
この要件を満たす方法を選択してください。
AWS KMS (不正解)
CloudHSM (正解)
AWS Cognito
Amazon Inspector
説明
オプション2が正解となります。AWS CloudHSMを利用した鍵管理により、EUなどの各国の厳しいセキュリティ基準を満たすことができます。AWS CloudHSMは安全なキーストレージや高パフォーマンスの暗号化オペレーションを AWS アプリケーションに対して簡単に追加できるようにするクラウドベースのハードウェアセキュリティモジュール (HSM) です。AWS CloudHSM では不正使用防止策が施された HSM へのシングルテナントアクセスを利用できます。HSM は暗号化モジュール向けの FIPS 140-2 レベル 3 標準に準拠しています。
オプション1は不正解です。AWS Key Management Service (KMS)は暗号化キーを簡単に作成・管理するサービスです。幅広い AWS のサービスやアプリケーションで暗号化を制御できるようになります。しかしながら、KMSだけでは不正使用防止策への準拠を達成することはできません。
オプション3は不正解です。Amazon Cognitoはウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追加できます。今回の用途には利用できません。
オプション4は不正解です。Amazon Inspector は自動化されたセキュリティ評価サービスで、AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させることができます。今回の用途には利用できません。
質問37: 不正解
ある会社では現在利用しているストレージからクラウドベースのストレージへの移行を計画しています。あなたはソリューションアーキテクトとして、ストレージをS3に移行することにしました。保存されるデータはアクセス頻度の低いログファイルなどのコピーが主です。アクセス頻度は低いですが、管理担当者からの依頼に応じて即時にデータを参照できる必要があります。
この要件にあったストレージクラスとして、どれを選択すべきですか。
Standard
One Zone-IA (正解)
Standard-IA (不正解)
Glacier(迅速読取)
説明
オプション2が正解となります。今回はログファイルのコピーを保存するためのストレージを選択します。これはAWSが推奨するONE-ZONE-IAを利用するユースケースの典型例となっております。
S3 One Zone-IA は、アクセスが頻繁ではないデータをコストを押させて保存するのに最適なストレージクラスです。また、データ取り出しは通常の標準クラスと同じように即時に実行可能です。複数AZにデータを保存する標準クラスやStandard-IAとは異なり、S3 One Zone-IA は単一AZにデータを保存することによってコストを節約します。 したがって、データ冗長性は劣るため、バックアップのコピーや再作成可能なデータサマリーなど、アクセスが頻繁ではないデータを低価格に保存するのに向いています。Standard-IAとOne Zone-IAとを選ぶ基準は、保存されるデータの重要度です。ログファイルなどのマスターではないデータは、One Zone-IAを利用することがユースケースとして最適であるため、本件の要件に合致します。
詳細は以下をご参照ください。
https://aws.amazon.com/jp/about-aws/whats-new/2018/04/announcing-s3-one-zone-infrequent-access-a-new-amazon-s3-storage-class/
オプション1は不正解です。S3 Standard クラスはS3の中では最もコストが高い頻繁に利用するデータ向けのストレージです。アクセス頻度は低いデータをコスト最適に保存するには、Infrequency Access(IA)ストレージクラスを利用する方が最適であるため、標準クラスは不正解です。
オプション3は不正解です。Standard-IAは低頻度アクセス用ですが、読み込みはすぐにできるため突然の利用にも対応できます。また、Standardよりも安価に利用可能です。 Amazon S3 Standard-IA は、アクセスが頻繁ではない重要なデータの長期保存に適しています。本件はアクセス頻度の低いログファイルなどのバックアップを保存するため、Standard-IAよりもOne Zone-IA を利用することで、よりコスト最適を達成するこができます。
オプション4は不正解です。Glacier(迅速)はコストが最も安いストレージタイプですが、迅速読取と言ってもアクセスに数分の時間を要するため、依頼をうけて即時にデータを取得するという要件には向いていません。
質問39: 不正解
あなたはソリューションアーキテクトとして、ELBのターゲットグループとAuto Scalingによるスケーリングを設定したLinux EC2インスタンスにホストされたWEBアプリケーションを構築しています。EC2インスタンスはプライベートサブネットに設置して、更に別のプライベートサブネットにはRDSを設置して、WEBサーバーからのデータ処理を行います。しかしながら、クライアントPCからプライベートサブネット内にあるWEBサーバーに直接アクセスを試みソフトウェアの更新を実施しようとしましたが、アクセスできませんでした。
この問題を解決するために考えられる対処方法を選択してください。(2つ選択してください。)
NATゲートウェイをパブリックサブネットに設置して、プライベートサブネット内のWEBサーバーからインターネット側へに返信可能にする。 (正解)
新しいサブネットを設置してインターネットゲートウェイをルートテーブルに設定して、サブネット内に踏み台サーバーを設置する。 (正解)
NATゲートウェイをプライベートサブネットに設置して、プライベートサブネット内のWEBサーバーからインターネット側へに返信可能にする。
NATインスタンスをプライベートサブネットに設置して、プライベートサブネット内のWEBサーバーからインターネット側へに返信可能にする。
WEBサーバーが設置されているプライベートサブネットにインターネットゲートウェイを設定する (不正解)
説明
現在パブリックサブネットが設定されておらず、インターネットからのアクセス可能なインスタンスがない状態となっています。新しいサブネットを設置してインターネットゲートウェイをルートテーブルに設定します。それにより、このサブネットがパブリックサブネットとなります。その上で、NATゲートウェイをこのパブリックサブネットに設置することで、プライベートサブネットにあるEC2インスタンスに対して、クライアントPCからのSSHによる接続処理が可能となります。
したがって、オプション1が正解となります。
NATゲートウェイを使用して、プライベートサブネットのインスタンスからインターネットや他の AWS サービスに接続できますが、インターネットからはプライベートサブネット内のインスタンスと接続を開始できないようにすることができます。また、EC2インスタンスをパブリックサブネットに設置して踏み台サーバーとしてSSH接続先として利用することで、この踏み台サーバーからプライベートサブネット上のWEBサーバーへの接続が可能となります。その際にWEBサーバーからの返信トラフィックはNATゲートウェイを介してアドレス変換された上で返信されます。
クライアントPC < パブリックサブネットの踏み台サーバー < プライベートサブネットのWEBサーバー < NATゲートウェイ < クライアントPC という流れでトラフィックが通信します。
したがって、オプション2が正解となります。
質問45: 不正解
あるソリューションアーキテクトはVPCを新規に作成してEC2インスタンスを設置しているところです。VPCを1つ設置し、プライベートサブネットとパブリックサブネットを2つずつ設定しました。 パブリックサブネットにEC2インスタンスを起動したところ、インスタンスがDNS名を受け取っていないことに気付きました。
この原因として考えられる内容はどれでしょうか。
サブネットのDNS hostnamesオプションが有効化されていない。
VPCのDNS hostnamesオプションが有効化されていない。 (正解)
Route53のDNS hostnamesオプションが有効化されていない。
EC2インスタンスのDNS hostnamesオプションが有効化されていない。 (不正解)
説明
オプション2が正解となります。VPCのDNS hostnamesオプションが有効化されていないと、サブネットで起動されたインスタンスはDNS名を取得できません。
VPC 内で起動したインスタンスがパブリック IP アドレスに対応するパブリック DNS ホスト名を受け取るかどうか、および Amazon DNS サーバーを通じた DNS 解決が VPCに適用されるかは、VPCの操作で決定されます。VPCのDNS hostnamesオプションを有効化するためには、 enableDnsSupport 属性を「 true」 に設定した上で、enableDnsHostnames属性を「true」に設定して、VPC 内のインスタンスがDNS ホスト名を取得可能とします。
質問49: 不正解
あなたはソリューションアーキテクトとして、音楽配信サービスをAWSに構築しています。このアプリケーションでは、バンドID、アルバムID、ソングID、作曲者IDなどのデータが、キーバリューストアとドキュメントモデルデータの両方のデータ形式により、1つのデータベースに保存することが必要です。
どのデータサービスによって、この要件を満たすことができますか?
RDS
Aurora (不正解)
DynamoDB (正解)
EMR
説明
オプション3が正解となります。バンドID、アルバムID、ソングID、作曲者IDなどのデータをキーバリューストアとドキュメントモデル形式で保存することができるのはDynamoDBです。DynamoDB は、テーブル内の属性に対してさまざまなデータ型がサポートされています。
DynamoDBが保存できるデータ型は次のように分類できます。
■スカラー型
スカラー型は 1 つの値を表すことができます。スカラー型は、数値、文字列、バイナリ、ブール、および null です。
■ドキュメント型
ドキュメント型は JSON ドキュメントなどの入れ子の属性を持つ複雑な構造を表すことができます。
■セット型
セット型は複数のスカラー値を表すことができます。セット型は、文字セット、数値セット、およびバイナリセットです。
オプション1は不正解です。RDSはリレーショナルデータベースであるため、キーバリューデータを保存するのには向いていません。
オプション2は不正解です。Auroraはリレーショナルデータベースであるため、キーバリューデータを保存するのには向いていません。
オプション4は不正解です。EMRはデータ保存用のサービスではなく、ビッグデータなどの解析に利用されるデータ解析サービスになります。
質問53: 不正解
あなたはソリューションアーキテクトとして、社内のレガシーシステムをクラウド化する案件に携わっています。このレガシーアプリケーションはマルチキャストネットワーキングに依存しており、AWSで確実に起動させるための特別な設定が必要です。
この要件を満たすための方法を選択してください。
VPC拡張ルーティングを有効化する。 (不正解)
VPC間でVPCピアリングを実施する。
仮想オーバレイネットワークをインスタンスのOSレベルで起動させる。 (正解)
Direct Connectを利用する。
説明
オプション3が正解となります。このレガシーアプリケーションはマルチキャストネットワーキングに依存しており、AWSで確実に起動させるためには、仮想オーバレイネットワークをインスタンスのOSレベルで起動させることが求められます。したがって、レガシーアプリケーションを移行するためにオーバーレイマルチキャストを使用することが必要となります。 オーバーレイ・マルチキャストとは,クライアント・パソコンにインストールしたアプリケーション・ソフトでマルチキャスト(1対多通信)を実現する技術です。
マルチキャストは、1対多のデータ配信を可能にするネットワーク機能です。1つ以上の送信元が、通常マルチキャストグループ内に存在する加入者にネットワークパケットを送信できます。 ただし、VPCはマルチキャストまたはブロードキャストネットワーキングをサポートしていないことに注意してください。
オプション1は不正解です。VPC拡張ルーティングはRedshiftの機能です。今回の要件には無関係です。
オプション2は不正解です。VPC間でVPCピアリングを実施することで、2つのVPCを接続することができます。これはこのレガシーアプリケーションはマルチキャストネットワーキングに依存しているアプリケーションをAWSに移行する際には無関係です。
オプション4は不正解です。Direct Connectを利用することでオンプレミス環境とVPCとを専用線接続することができます。これはこのレガシーアプリケーションはマルチキャストネットワーキングに依存しているアプリケーションをAWSに移行する際には無関係です。
質問55: 不正解
あなたはソリューションアーキテクトとして、データ解析用のアプリケーションを構築しています。このアプリケーションは、ローカルストレージ上のTB規模のデータセットに対して順次読込と書込アクセスを必要とするワークロードを実施することが必要です。あなたは、VPCに設定する必要なAWSリソース構成を検討しています。
この要件を満たすためのEC2インスタンスタイプを選択してください。
メモリー最適化インスタンス (不正解)
ストレージ最適化インスタンス (正解)
コンピュート最適化インスタンス
汎用インスタンス
説明
オプション2が正解となります。ストレージ最適化インスタンスは、ローカルストレージ上の非常に大きなデータセットへの高負荷な読込処理および書込処理を必要とするワークロード用に設計されています。これらは、毎秒数万の低遅延のランダムI / O(IOPS)をアプリケーションに提供するように最適化されています。したがって、このインスタンスタイプが要件には最適です。
オプション1は不正解です。メモリ最適化インスタンスは、メモリ内の大規模データセットを処理するワークロードに対して高速パフォーマンスを提供するように設計されているため、要件に合致していません。
オプション3は不正解です。コンピュート最適化インスタンスは、バッチ処理ワークロードやメディアトランスコーディングなどの高性能プロセッサの恩恵を受けるコンピューティングバウンドアプリケーションに最適であるため、要件に合致していません。
オプション4は不正解です。汎用インスタンスは最も基本的なタイプのインスタンスであるため、特殊な要件に合わせたインスタンスを選択する場合には選択しません。
質問57: 不正解
あなたはソリューションアーキテクトとして、会社が利用しているオンプレミスのインフラストラクチャをAWSクラウドネットワークに接続する対応を行っています。
この要件を満たすための方法を選択してください。(2つ選択してください。)
Direct Connect (正解)
VPC Peering (不正解)
VPN (正解)
Snowball
AWS Storage Gateway
説明
AWSのVPCとオンプレミス環境とをネットワーク接続するための方法は、次のようなサービスを利用します。
・Direct Connect
・IPsec VPN接続
・AWS VPN CloudHub
・サードパーティソフトウェアのVPNアプライアンス
したがって、オプション1と3が正解となります。
質問58: 不正解
ある会社では、ELBとAuto Scalingグループを適用しているWEBアプリケーションを運用しています。このアプリケーションのユーザーは世界中にいますが、大多数は日本と韓国からのアクセスです。 社内のコンプライアンス要件のため、日本のユーザーは東京リージョンのサーバーに接続し、韓国のユーザーはソウルのサーバーに接続する必要があります。
この要件を満たすための方法を選択してください。
CloudFrontのエッジロケーションを利用する。
Route53の位置情報ルーティングを設定する。 (正解)
S3のクロスリージョンレプリケーションの設定を有効化する。
Route53の地理的近接性ルーティングを設定する。 (不正解)
説明
オプション2が正解となります。Route53の位置情報ルーティングを使用すると、ユーザーの位置情報、つまりDNSクエリの発信位置に基づいてトラフィックを処理するリソースを選択できます。 たとえば、ヨーロッパからのすべてのクエリをノルウェー地域のELBロードバランサーにルーティングして、アジア地域のクエリは東京リージョンのELBロードバランサ―にルーティングを設定することができます。
オプション1は不正解です。CloudFrontのエッジロケーションを利用するとコンテンツ配信をユーザーの近接リソースから配信することができますが、位置情報に基づいたルーティングを実現することにはなりません。
オプション3は不正解です。S3のクロスリージョンレプリケーションを利用しても、位置情報に基づいたルーティングを実現することにはなりません。
オプション4は不正解です。Route 53 コンソールで地理的近接性ルーティングによりユーザーとリソース間の物理的な距離に基づいてトラフィックをルーティングできます。地理的近接性ルーティングはAWSリソース位置とユーザーの距離の2点に応じたトラフィック制御により、リージョン範囲を区分けすることが可能です。地理的近接性に基づくため国を指定するといった対応ではありません。したがって、ヨーロッパからのすべてのクエリをフランクフルトの ELB ロードバランサーにルーティングするといった処理には位置情報ルーティングを使用する方が最適です。
質問59: 不正解
A社は自社のエンタープライズシステムの可用性を向上させるためにマルチAZ配置のRDSデータベースを利用しています。本日、このRDSのプライマリーDBに障害が発生しました。
障害後の状況として正しい説明を選択してください。
CNAMEレコードがプライマリーからセカンダリーに移行する。 (正解)
プライマリーDBがリブートする
RDSのセカンダリーDBが構成される。 (不正解)
スケーリングが実行される。
説明
オプション1が正解となります。マルチAZ構成のAmazon RDSでは、プライマリデータベースのインスタンスがダウンした場合に管理者の介入なしにデータベース操作をできるだけ早く再開できるように、フェールオーバーが自動的に処理されます。 フェイルオーバーすると、Amazon RDSはDBインスタンスのCNAMEレコードをスタンバイから切り替えて、新しいプライマリに昇格します。
質問60: 不正解
あなたはソリューションアーキテクトとして、医療情報共有システムを構築しています。データのプライバシー保護のために、Health Insurance Portability and Accountability Act(HIPAA)に準拠するよう求められています。 そのため、Amazon S3にバックアップまたは保存される全データは暗号化する必要があります。
これらの要件を満たすためのデータ保護施策を選択してください。
S3バケットのAES-256を利用する。 (正解)
S3バケットのAES-128を利用する。 (不正解)
S3バケットのCORSオプションを有効化する。
S3バケットのCSEを有効化する。
説明
法に相互に排他的な3つのオプションがあります。
・Amazon S3管理キーでサーバーサイド暗号化を使用する(SSE-S3)
・AWS KMS管理キーを使用したサーバーサイド暗号化を使用する(SSE-KMS)
・顧客提供のキーを使用してサーバーサイド暗号化を使用する(SSE-C)
SSE-S3はAES-256暗号化を使用した暗号化方式です。SSE-Cはユーザーがユーザー自身の暗号化キーを使用することを可能にします。よって、AES-256を利用するという選択が正しいです。
オプション2は不正解です。S3バケットの暗号化ではAES-128を利用していません。
オプション3は不正解です。S3バケットのCORSオプションを有効化することで、Amazon S3 リソースに対するクロスオリジンアクセスを選択的に許可することができますが、これは暗号化とは無関係です。
オプション4は不正解です。S3バケットのCSE(クライアントサイド暗号化)を有効化するといった設定はなく、AWS SDK が提供するS3ファイルのクライアントサイドの暗号化(CSE)を実現するなどの対応が必要となります。
質問63: 不正解
あなたはミッションクリティカルなアプリケーションにDisaster Recoveryの仕組みを構築したいと考えています。コスト最適にDRを実現するために、利用可能なアプリケーションの最小バージョンを準備しておくように依頼されました。
次のDR方式のなかで最適な方法を選択してください。
マルチサイト構成
バックアップ&リストア (不正解)
パイロットライト (正解)
ホットスタンバイ
説明
オプション3が正解となります。利用可能であるアプリケーションの最小バージョンを準備しておくことをパイロットライトのこと呼びます。パイロットライトではサーバーなどセッティングされた構成を他のリージョンなどに準備しておいて、非常に稼働させて利用することができます。
パイロットライトという用語は、最小限のバージョンの環境が常にクラウドで実行されているDRシナリオを表すためによく使用されます。AWSでは、AWSでシステムの最も重要なコア要素を設定して実行することでパイロットライトを維持できます。 回復時には、重要なコアを中心に本格的な本番環境を迅速にプロビジョニングできます。
オプション1は不正解です。マルチサイトの場合は、起動しているサーバー構成を準備して、マルチリージョンやマルチAZ構成を利用する構成のことです。
オプション2は不正解です。これはスナップショットやAMIを別リージョンに保持しておくことです。これは最もコストがかからないDR対応として利用されます。
オプション4は不正解です。これは稼働可能な状態となっているインフラを準備し、アクティブにするだけで切り替えることができるスタンバイ構成のことです。