問題15
不正解
AWSの責任共有モデルにおいて、AWS側で実行される管理内容を選択してください。(2つ選択)
アカウント内のIAM管理
Your selection is correct
インフラのパッチ適用
Correct selection
インフラの構成管理
アクセスキー管理
Your selection is incorrect
プロビジョニング管理
全体的な説明
AWSの責任共有モデルではインフラストラクチャレイヤーと顧客レイヤーの両方に適用される責任範囲を規定しています。AWSは主に物理的なインフラストラクチャの管理を実施し、ユーザーはAWSサービスの使用範囲で独自のコントロールを実施する必要があります。以下のような管理はAWS側で実施されます。
✔パッチ管理:AWSはインフラストラクチャへのバッチ管理やマネージド型サービスへのパッチ適用を担当します。
✔構成管理:AWSは物理的なインフラ構成を維持します。
したがって、オプション2と3が正解となります。
オプション1は不正解です。IAMはアカウント内のユーザー管理を実施する機能であり、IAM操作権限を有した管理者アカウントを利用して、ユーザーがアカウント内のIAM管理は実施することが必要です。
オプション4は不正解です。アクセスキーとはIAMユーザーに付与される認証用のキーのことです。アクセスキーを利用してAWS CLIなどの捜査権限を設定することができます。アクセスキーの管理はアクセスキーを付与されたユーザーに委ねられています。
オプション5は不正解です。リソースやアプリケーションのプロビジョニングをする場合、ユーザーがAWS Config、Elastic Beanstalk やCloudFormationなどを利用して管理することが必要です。
【参照】
責任共有モデル | AWS (amazon.com)
ドメイン
責任共有モデル
問題19
不正解
AWSの責任共有モデルにおいて、ユーザー側で実行されるべき管理タスクはどれでしょうか。(2つ選択)
Your selection is correct
パスワードポリシーの設定
Your selection is incorrect
EC2のホストサーバーのパッチ管理
Correct selection
ネットワークトラフィック保護
物理アクセス制御
仮想化領域の管理
全体的な説明
AWSの責任共有モデルにおいて、AWS側はAWS クラウドで提供されるすべてのサービスを実行するインフラストラクチャの保護についての責任を負っています。このインフラストラクチャはハードウェア、ソフトウェア、ネットワーキング、AWS クラウドのサービスを実行する施設で構成されます。
一方でユーザー側の責任範囲は、選択した AWS クラウドのサービスに応じて異なります。利用するサービスに応じて、ユーザーが実行すべきセキュリティ作業が決定されます。
たとえば、Amazon EC2は Infrastructure as a Service (IaaS)に分類されているため、EC2向けのトラフィック制御はセキュリティグループを設定したり、ユーザー側で実行する必要があります。具体的には、ユーザーはOSから上のレイヤーに対するセキュリティを確保しなければなりません。
・OSやミドルウェアの脆弱性対応
・適切なネットワーク設定
・アプリケーション
・データの暗号化
・ネットワークトラフィック保護
・パスワードルールの設定
したがって、オプション1と3が正解となります。
オプション2と4と5は不正解です。仮想サーバーのパッチ管理、物理アクセス制御、仮想化領域の管理はすべてインフラ管理となるためAWSのデータセンターで実行されています。したがって、ユーザー側で管理不可能です。
【参照】
責任共有モデル | AWS (amazon.com)
ドメイン
責任共有モデル
問題22
不正解
あなたが展開しようとしてるアプリケーションは東京リージョンに配置されています。DR戦略の一環として、地域が災害に襲われても稼働を維持する構成が求められています。どの展開方式が良いでしょうか?
Your answer is incorrect
マルチAZでの展開
Correct answer
マルチリージョンでの展開
マルチVPCでの展開
マルチサブネットでの展開
全体的な説明
オプション2が正解です。このシナリオでは、災害時でも稼働可能であることが非機能要件となっています。災害に襲われるとAWSの1つのリージョン(たとえば東京リージョン)が機能しなくなる可能性があります。したがって、リージョン間でデータをレプリケートすることにより、冗長性と耐障害性をさらに高めることが必要となります。オプション2のマルチリージョンが正解となります。
アプリケーションは災害に襲われても稼働を維持することが条件となっています。災害の場合はデータセンター障害ではなく、地域障害となるため、マルチAZでは対応できない可能性があるため、マルチリージョンのみが正解となります。
オプション1は不正解です。AWSグローバルインフラストラクチャは、リージョンとアベイラビリティーゾーン(AZ)によって構成されています。各AWSリージョンは、個別の地理的エリアです。リージョンは更にアベイラビリティーゾーンと呼ばれる複数の分離されたロケーションによって構成されています。マルチAZ構成により、一つのAZが停止しても、稼働を継続できる可用性の高いシステムを構築することが可能です。しかしながら、マルチAZ構成は災害によってリージョン自体が停止した場合には対応できません。
オプション3は不正解です。マルチVPC構成は1つのAZで構成される可能性があるため、単一AZ障害によってアプリケーションが停止する可能性があります。
オプション4は不正解です。マルチサブネット構成は1つのAZで構成される可能性があるため、単一AZ障害によってアプリケーションが停止する可能性があります。
【参照】
災害対策 (DR) を計画する - 信頼性の柱 (amazon.com)
ドメイン
AWSの設計原則
問題34
不正解
あなたの会社はAWSのエンタープライズサポートプランを使用しています。現在、あなたは請求書やアカウントに関する質問への迅速な対応を必要としています。どのサービスを利用するべきでしょうか。
Amazon Trusted Advisor
Correct answer
コンシェルジュチーム
テクニカルアカウントマネージャー
Your answer is incorrect
AWSサポートセンター
全体的な説明
オプション2が正解となります。エンタープライズサポートプランで利用できるコンシェルジュチームにより、ユーザーは請求やアカウントに関する問い合わせ対応が可能です。コンシェルジュチームではユーザーからの請求、アカウントに関するお問い合わせに迅速かつ効率的に回答します。具体的にはコンシェルジュサポートでは以下のような対応を行います。
・AWS請求およびアカウント照会への24時間365日のアクセスを提供する。
・請求の割り当て、レポート、アカウントの統合、およびルートレベルのアカウントセキュリティに関するガイダンスとベストプラクティスを提供する。
・支払いに関する問い合わせ、特定の費用報告に関するトレーニング、サービス制限の支援、一括購入などのサポートを提供する。
オプション1は不正解です。AWS Trusted Advisorはサポートではなく、コスト最適化、セキュリティ、フォールトトレランス、パフォーマンス、サービス制限の5つのカテゴリにわたってベストプラクティスへの対応有無をチェックし、推奨事項を提案するオンラインツールです。
オプション3は不正解です。テクニカルアカウントマネージャー (TAM) はベストプラクティスを使用してソリューションを計画、構築するための支援とガイダンスを提供する技術責任者です。特定分野の専門家へのアクセスを調整したり、AWS の支出、ワークロード最適化などを支援します。
オプション4は不正解です。AWSサポートセンターはAWSサポートへのケース投稿やサポートプランを変更するためのマネジメントコンソールの操作画面です。ここでAWSサポートの設定や情報を収集します。
【参照】
AWS を使用するためのエンタープライズサポート | 24 時間年中無休のテクニカルサポート(15 分の対応時間) | AWS サポート AWS エンタープライズサポート (amazon.com)
カスタマーサポートへの問い合わせ - AWS コストと使用状況レポート (amazon.com)
ドメイン
サポートプラン
問題38
不正解
あなたの会社はアプリケーション内で利用される認証情報をセキュアな方法で保存する必要があります。その際は、できる限り運用オーバーヘッドを最小限に抑える必要があります。
どのAWS サービスを使用すればよいでしょうか?
Amazon CloudWatch
Correct answer
AWS Secrets Manager
AWS Systems ManagerのOpsCenter
Your answer is incorrect
AWS Key Management Service (AWS KMS)
全体的な説明
オプション2は正解となります。AWS Secrets Managerはデータベースやその他のサービスの認証情報を安全に暗号化してシークレットとして保存・取得する仕組みを提供します。
Secrets Manager を利用することで、コード内のハードコードされた認証情報 (パスワードを含む) を Secrets Manager への API コールに置き換えることで、シークレットをプログラムから取得できるようになります。これを利用して、アプリケーション内で利用される認証情報をセキュアな方法で保存して、取得するような機能を実装できます。
オプション1は不正解です。Amazon CloudWatch はAWS リソースと AWSにホストされたアプリケーションのモニタリングサービスです。EC2インスタンスのモニタリングをダッシュボードに表示させることで、CPU使用率を監視することができます。認証情報をセキュアな方法で保存する機能はありません。
オプション3は不正解です。AWS Systems Manager はAWS でご利用のインフラストラクチャを可視化し、制御するためのサービスです。認証情報をセキュアな方法で保存するためには、パラメーターストアを利用することが必要です。OpsCenterではありません。
オプション4は不正解です。AWS Key Management Service (KMS) は暗号化キーを簡単に作成して管理し、AWS サービスやアプリケーション上で暗号化を実施するためのサービスです。認証情報をセキュアな方法で保存する機能はありません。
【参照】
AWS Secrets Manager(シークレットのローテーション、管理、取得)| AWS (amazon.com)
ドメイン
セキュリティ
問題43
不正解
会社は複数のAWSアカウントを個別に利用しています。AWS Organizations の一括請求機能を使用するメリットはどれでしょうか?(3つ選択)
Your selection is correct
すべてのAWSアカウント間で従量制割引を適用できる。
Your selection is incorrect
複数アカウントのリソースを共有してコストを削減できる。
Correct selection
複数アカウントに対する請求書を一本化できる。
Your selection is correct
複数アカウントの料金を追跡して確認する。
複数アカウントの権限範囲の制御を実施できる。
全体的な説明
AWS Organizations は複数のAWSアカウントの統合管理を実施するサービスです。すべての機能を有効化するか、一括請求機能だけを利用するかを選択できます。すべての機能を有効化することで、すべての AWS アカウント を一元管理できるようになります。すべての機能には一括請求機能も含まれます。
オプション1は正解となります。AWS Organizationsの一括請求により、単一の組織内の複数のAWSアカウントの支払いを統合できます。 Amazon EC2やAmazon S3などの一部のサービスには、ユーザーがサービスをより多く使用する場合に低価格となる従量制割引(ボリュームディスカウント)が設定されています。したがって、複数アカウントのボリュームを統合して請求することによって、コストを削減できる可能性があります。
オプション3は正解となります。一括請求は AWS Organizations の機能です。組織の管理アカウントを使用して、すべてのメンバーアカウントを統合して支払うことができます。
オプション4は正解となります。複数のアカウントでの料金を追跡し、コストと使用状況の統合データをダウンロードできます。
オプション2は不正解です。複数アカウントのリソースを共有するためには、AWS Organizations の「すべての 機能」を利用することが必要です。
オプション5は不正解です。複数アカウントの権限範囲を制御するためには、AWS Organizations の「すべての 機能」を利用することが必要です。
【参照】
特徴 - AWS Organizations | AWS (amazon.com)
ドメイン
運用上の優秀性
問題47
不正解
あなたは運用担当者として、毎月の請求額を1000ドル未満に抑えたいと考えていますが、毎月の請求額が1000ドルに近づいたときに通知を受ける必要があります。どのサービスの組み合わせを利用しますか?
Correct answer
CloudWatchとSNS
CloudWatchとSQS
CloudWatchとMQ
Your answer is incorrect
AWS Billing and Cost Management
全体的な説明
オプション1が正解となります。CloudWatchではコストがしきい値を超えた場合にトリガーされる請求アラームを設定できます。このCloudWatchアラームは、Amazon SNSと連携して実施されます。Amazon SNSにおいてメールアドレスに対する通知を設定することもできます。これにより、リアルタイムでのメール通知を設定することができます。
オプション2は不正解です。CloudWatchとSQSの連携方式はありません。
オプション3は不正解です。CloudWatchとMQの連携方式はありません。
オプション4は不正解です。AWS Billing and Cost Management では請求アラームを有効化する設定が可能ですが、アラーム設定はできません。
【参照】
Amazon SNS 通知の設定 - Amazon CloudWatch
ドメイン
運用上の優秀性
問題53
不正解
次のうち、AWSリソースの全体の構成とそのアクセス時の脅威に対して、リアルタイムのモニタリングを提供するサービスはどれですか? (2つ選択)
Your selection is correct
AWS Config
Correct selection
Amazon GuardDuty
AWS Trusted Advisor
Your selection is incorrect
Amazon Inspector
Amazon Cognito
全体的な説明
オプション1が正解となります。AWS Config はユーザーの AWS リソース構成が企業ポリシーおよびガイドラインと整合しているかを継続的に評価します。Config では、AWS リソースのプロビジョニングや設定のルールを定義します。そして、ルールから逸脱するリソース設定や変更が生じると、自動的に Amazon Simple Notification Service (SNS) 通知がトリガーされるため、コンプライアンスギャップを特定できます。
オプション2が正解となります。Amazon GuardDuty は、悪意のあるアクティビティのために AWS アカウントとワークロードを継続的にモニタリングし、可視化と修復のための詳細なセキュリティ調査結果を提供する脅威検出サービスです。
オプション3は不正解です。AWS Trusted Advisorは、「コスト最適化」、「パフォーマンス」、「セキュリティ」、「フォールトトレーランス」の観点から、ユーザーのAWSリソースを評価して、推奨事項を提供します。
オプション4は不正解です。Amazon Inspector はAmazon EC2 インスタンス、コンテナ、Lambda上のワークロードをネットワークのエクスポージャーがないか継続的に AWS ワークロードをスキャンする自動脆弱性管理サービスです。Amazon Inspector はアプリケーションのデプロイ前と実稼働環境での運用中に、アプリケーションのセキュリティ脆弱性やベストプラクティスからの逸脱を評価することができます。したがって、AWSリソース構成とそのアクセスに対するモニタリングではなく、EC2インスタンスにデプロイされたアプリケーションの脆弱性をモニタリングするサービスであるため、診断対象が異なります。
オプション5は不正解です。Amazon Cognito は、ウェブアプリケーションやモバイルアプリケーションの認証とユーザー管理をサポートしています。コンプライアンスと脆弱性のリアルタイムモニタリング向けのサービスではありません。
【参照】
AWS Config(リソースのインベントリと変更の追跡)| AWS (amazon.com)
Amazon GuardDuty(マネージド型脅威検出サービス)| AWS
開始方法 - Amazon Inspector | AWS
AWS Trusted Advisor (amazon.com)
ドメイン
セキュリティ
問題54
不正解
AWS Marketplace を利用して最適なAWSソリューションを利用したいと考えています。AWS Marketplace では何ができますか?(2つ選択)
AWS Direct Connect 向けのサードパーティーの専用線接続契約を実施する。
Your selection is correct
カスタマイズされた AMI によるソフトウェア構成を購入する。
Correct selection
AWSで利用可能なソリューションを購入する。
Direct Connect Sitelink用の接続設定を購入する。
Your selection is incorrect
リザーブドインスタンスの購入オプションを選択する。
全体的な説明
AWS Marketplace は、AWS 上で実行されるソフトウェアやサービスを購入することができるオンラインソフトウェアストアです。AWS Marketplace では、独立系ソフトウェアベンダー (ISV)、付加価値再販業者 (VAR)、システムインテグレータ (SI) が独自のAWSソフトウェアを販売しています。
オプション2が正解となります。AWS Marketplace では、ベンダーが設定したAMIが販売されており、カスタマイズAMIによるソフトウェア構成を購入することができます。
オプション3が正解となります。AWS Marketplace では、AWSで利用可能なソリューションを購入することができます。
オプション1は不正解です。AWS Marketplaceでは、AWS Direct Connect 向けのサードパーティーの専用線接続契約はできません。
オプション4は不正解です。Direct Connect Sitelink用の接続設定はDirect Connectで実施します。
オプション5は不正解です。リザーブドインスタンスの購入オプションはAWSコスト管理のリザーブドインスタンスの購入ページで実施します。
【参照】
AWS Marketplace - AWS パートナーネットワーク | AWS (amazon.com)
ドメイン
AWS利用ツール
問題57
不正解
ある会社では開発、テスト、本番などの様々なフェーズに分けたシステム環境をAWSに整備しています。リソースを簡単に表示および管理するために各フェーズに応じたカスタムコンソールを作成します。次のどの仕組みを利用する必要がありますか?
Your answer is incorrect
AWSマネジメントコンソール
AWSタグエディター
Correct answer
AWSリソースグループ
AWSカスタマーグループ
全体的な説明
オプション3が正解となります。AWSリソースグループはリソースの管理やタスクの自動化のための管理サービスです。各フェーズや領域のすべてのリソースをグループにすることで、各フェーズに応じたカスタムコンソールで管理することができます。デフォルトでは、AWSマネジメントコンソールはAWSサービスごとに整理されています。ただし、リソースグループを使用すると、プロジェクトと使用するリソースに基づいて情報を整理および統合するカスタムコンソールを作成できます。
オプション1は不正解です。AWSマネジメントコンソールはAWSリソースを操作するためのGUIツールです。
オプション2は不正解です。AWSタグエディターは複数のリソースのタグを一度に追加、編集、削除する際に利用するAWSリソースグループの1つの機能です。これは用途が限定的であるため、正しくありません。
オプション4は不正解です。AWSカスタマーグループという機能はありません。
【参照】
リソースグループとは何ですか。 - AWS Resource Groupsとタグ (amazon.com)
ドメイン
AWS利用ツール