SAA-C03版模擬試験④ #ふりかえり

SAA-C03版模擬試験④

問題1: 不正解
あなたはソリューションアーキテクトとして、Amazon EC2インスタンスを利用したWEBアプリケーションを構築しています。このアプリケーションは確実に3年間は利用することになりますが、その処理負荷や方式に応じてインスタンスファミリーやOSを切り替える可能性があります。

最も費用対効果が高いEC2インスタンスの購入方法を選択してください。

説明
オプション４が正解となります。リザーブドインスタンス（コンバーティブル）はリザーブド期間中にインスタンスファミリー／OS ／テナンシー／支払オプションの変更が可能なリザーブドインスタンスの購入方式です。今回のケースでは処理負荷や方式に応じてインスタンスファミリーやOSを切り替える可能性があるため、コンバーティブルを選択します。

オプション１は不正解です。リザーブドインスタンス（スタンダード）は、インスタンスの予約期間中にインスタンスファミリー／OS ／テナンシー／支払オプションの変更は不可能です。

オプション２は不正解です。スケジュールドリザーブドインスタンスは日次、週次、月次と３パターンの定期利用に基づいて割引購入ができる仕組みですが、現在は利用できません。

オプション３は不正解です。3年契約のキャパシティー予約を実施して、オンデマンドインスタンスを購入することでも割引を適用できます。しかしながら、このケースでは前払いを実施していないため、割引率がリザーブドインスタンスよりも低くなるため、最も費用対効果が高いという要件に合致しません。

【参照】

リザーブドインスタンスのタイプ (提供しているクラス) - Amazon Elastic Compute Cloud

問題4: 不正解
ある企業では2つのVPC（VPC-AとVPC-B）を利用してアプリケーションを運用しています。これらのVPCは互いにVPCピアリングを行っています。 VPC-Aはプライベートサブネットのみを含み、VPC-Bはパブリックサブネットのみを含みます。同社は、単一のDirect Connect接続と仮想インターフェイスを使用してオンプレミスネットワークとVPC-Aを接続しています。

オンプレミスネットワークとVPC-Aの接続のフォールトトレランスを向上させる対策を選択してください。（2つ選択してください。）

説明
VPCピアリング接続はエッジ間ルーティングをサポートしていません。つまり、ピアリング関係となっているVPC-Aに次のような接続があったとしても、それらの接続に対してはVPC-Bはピアリング接続先を拡張することはできません。

企業ネットワークへのVPN接続またはAWS Direct Connect接続
インターネットゲートウェイを介したインターネット接続
NATデバイスを介したプライベートサブネット内のインターネット接続
AWSサービス（S3など）へのVPCエンドポイント
（IPv6）ClassicLink接続。

したがって、VPC-Aとオンプレミスネットワーク間の接続を冗長化するためにVPC-Bにオンプレミス環境への接続を追加することでは十分な対応にはならないことになります。たとえば、VPC AとVPC Bがピアリング接続されており、かつ、VPC AにDirect Connect接続が構成されている場合は、VPC Bに配置されたインスタンスはDirect Connect接続へと直接に通信することはできません。

同様に、Direct Connect側のリソースはその接続を使用して直接にVPC Bにアクセスすることはできません。したがって、オプション１と４のようにVPC-Bとオンプレミス側を接続することはVPC-Bへの接続を構成するだけであり、Direct ConnectとVPC-A間の接続を冗長化することはできないことになります。

これを解決するためには、VPC-Aに対して新規で別のDirect ConnectまたはVPNを構成する必要があります。したがって、オプション２と３が正解となります。

【参照】

サポートされていない VPC ピア接続設定 - Amazon Virtual Private Cloud

問題7: 不正解
ある企業では、Amazon S3を利用して社内ストレージを構築しようとしています。この企業ではセキュリティポリシーにより、データ暗号化を実施する必要があります。あなたはソリューションアーキテクトとして、SSE-KMSを利用して暗号化を実施しましたが、一部データの暗号化に失敗したことで、データ登録ができていないとの報告がありました。

この問題の原因と思われる事象を選択してください。

説明
オプション３が正解となります。Amazon S3ではバケットポリシーによってデータアップロードリクエストを評価してアクセス許可を実施した上で、データアップロード時の暗号化が適用されます。その際に、バケットの暗号化設定を有効化していても、暗号化情報なしの PUT リクエストを拒否するバケットポリシーがある場合は、そのPUT リクエストは拒否されます。つまり、暗号化情報なしの PUT リクエストによってデータアップロードを実施していた場合はデータアップロードに失敗してしまいます。PUTリクエストヘッダーに暗号化情報が含まれている場合、Amazon S3 はPUTリクエストの暗号化情報を使用してオブジェクトを Amazon S3 に保存する前に暗号化することが必要となります。

オプション１は不正解です。デフォルト暗号化を実施すると指定されたバケット全体で登録されるオブジェクトが暗号化されます。バケット内においてデフォルト暗号化で範囲を指定することはできません。

オプション２は不正解です。SSE-KMSの暗号化キーの指定を失敗すると、暗号化自体の設定が有効化されないため、一部データの暗号化失敗の理由にはなりません。

オプション４は不正解です。データ保存自体の失敗で暗号化が一部されないということはありません。このケースではデータの保存自体が失敗となる可能性があります。

【参照】

Amazon S3 のデフォルトバケット暗号化の有効化 - Amazon Simple Storage Service

問題9: 不正解
ある会社は、オンプレミス環境にあるインフラストラクチャをAWSに移行しようと計画しています。オンプレミス環境では、NFSを利用したファイルシステムに200GBのデータを保存するSFTPサーバーを利用しています。あなたはソリューションアーキテクトとして、Amazon EFSファイルシステムとEC2インスタンスを利用した構成を設計しています。

この移行に最適な構成方法はどれでしょうか。（2つ選択してください。）

説明
オプション２が正解となります。このシナリオでは、オンプレミス環境にあるNFSファイルシステムとSFTPサーバーの構成をAWS環境に移行することが求められています。AWSでは、NFS形式のファイルシステムとして、Amazon EFSを利用できます。オンプレミス環境にあるNFSストレージデータをEFSに移行するには、オンプレミス環境にあるファイルシステムにAWS DataSyncエージェントをインストールして、AWS DataSyncを介してデータ移行を実施する必要があります。

AWS DataSync は、オンプレミスと AWS ストレージサービス間のデータ移動を自動化するサービスです。Network File System (NFS) 共有、Server Message Block (SMB) 共有、Hadoop Distributed File System (HDFS)、セルフマネージドオブジェクトストレージ、AWS Snowcone、Amazon Simple Storage Service (Amazon S3) バケット、Amazon Elastic File System (Amazon EFS) ファイルシステム、Amazon FSx for Windows File Server ファイルシステム、Amazon FSx for Lustre ファイルシステム、Amazon FSz for OpenZFS ファイルシステム、そして Amazon FSx for NetApp ONTAP ファイルシステムとの間でデータを移動できます。

オプション３が正解となります。Amazon EFSは特定のアヴェイラビリティゾーンに限定せずにVPCに配置して利用するファイルシステムです。そのため、Amazon EFSにアクセスするEC2インスタンスは同じVPC内に配置することが望ましい配置となります。Amazon EFS ファイルシステムを作成して使用するには、次の手順を実施します。

１．Amazon EFS ファイルシステムを作成します。

２．Amazon EC2 リソースを作成し、インスタンスを起動して、ファイルシステムをマウントします。

３．AWS DataSync を使用して EFS ファイルシステムにファイルを転送します。

４．リソースをクリーンアップし、AWS アカウントを保護します。

オプション１は不正解です。Amazon EFSは特定のアヴェイラビリティゾーンに限定せずにVPCに配置して利用するファイルシステムです。

オプション４は不正解です。CloudWatchエージェントではなく、AWS DataSyncエージェントをオンプレミス環境のファイルシステム側にインストールして、AWS DataSyncを介してデータ移行を実施する必要があります。

オプション５は不正解です。Server Migration Serviceエージェントではなく、AWS DataSyncエージェントをオンプレミス環境のファイルシステム側にインストールして、AWS DataSyncを介してデータ移行を実施する必要があります。

【参照】

AWS DataSync（シンプルかつ高速なオンラインデータ転送）| AWS (amazon.com)

問題10: 不正解
ある企業では、複数のEC2インスタンスで実行されているLinuxサーバー群があります。社内監査担当者がIT監査を実施しており、レポート用にこれらのサーバーから生成されたアプリケーションログファイルを収集・解析したいと考えています。サーバー数を考慮するとログファイルは大量になる予定で、高パフォーマンスな解析性能が求められます。

この要件を満たすためには、次のどのサービスを使用するのが最適でしょうか。

説明
オプション２が正解となります。Amazon EMRは、Apache HadoopやApache SparkなどのビッグデータフレームワークをAWS上に構成して、ビッグデータやストリーミングデータのデータ処理およびデータ分析プロセスを構築できるプラットフォームです。 Amazon EMRを使用して、Amazon S3やAmazon DynamoDBなどのAWSデータストアやデータベースとの間で大量のデータを処理することができます。したがって、Amazon EMRはAmazon S3バケットに保存された大量のログファイルを処理して、分析するのに最適なサービスです。

Amazon EMRにおいてSparkソフトウェアをセットアップすると、EMRFS を使用して Amazon S3 内のデータに直接アクセスできます。Spark ではSparkSQL などの複数のインタラクティブクエリモジュールがサポートされます。

オプション１は不正解です。Glacierは大量データのアーカイブ保存用のストレージです。ここにアプリケーションログファイルを保存してしまうと、そのデータを解析できなくなってしまうため、正しくありません。

オプション３は不正解です。S3 Selectは大量のログファイルを解析するのには向いていないため、より解析性能が高いAmazon EMRを選択することが必要となります。Amazon S3 SelectはシンプルなSQLステートメントを使用してAmazon S3オブジェクトのコンテンツをフィルタリングし、必要なデータのサブセットのみを取得できます。

オプション４は不正解です。アプリケーションログファイルは大量のデータとなるため、DynamoDBではなくS3を利用する方がコスト最適となります。また、すでにAWSではデータ解析用の様々なサービスが提供されているため、Lambda関数によるデータ解析処理をコーディングすることは可能ですが、非効率です。

【参照】

Amazon EMR ファイルシステム S3

Amazon EMR とは - Amazon EMR

問題11: 不正解
あなたはソリューションアーキテクトとして、AWSの東京リージョンにおいてWEBアプリケーションを構築しています。アプリケーションのインフラストラクチャ構成としては、WEBサーバーとアプリケーションサーバーにEC2インスタンスを利用して、ELBによるロードバランシングを設定しています。その際のセキュリティ要件として、クライアントとELB間のデータ保護が徹底される必要があります。

この要件を満たす最適なソリューションを選択してください。（2つ選択してください。）

説明
このシナリオでは、ELBを利用したEC2インスタンスベースのアーキテクチャに対して、クライアントとELB間のデータ保護を実施する方法が問われています。クライアントとELB間のデータ保護というのはデータ通信の暗号化であるため、HTTPS通信を実施するための設定が必要となります。

オプション１が正解となります。AWS Certificate Managerを利用してSSL/TLS 証明を発行して、その証明書をELBに設定することで、無料でSSL通信が可能なWEBサイト通信を利用できます。これによって、クライアントとELB間でHTTPS通信を実施することができます。

オプション２が正解となります。ALBを利用してリスナー設定にHTTPS(443)を追加して、SSL/TLS 証明書をダウンロードすることで、ACMのSSL/TLS 証明書をALBに設定することが出来ます。ALBにおいてHTTPS リスナーを使用するためには、ALBに SSL/TLS 証明書を少なくとも 1 つデプロイする必要があります。ALBはSSL/TLS 証明書を使用してフロントエンド接続を終了してから、ターゲットにリクエストを送信する前に、クライアントからのリクエストを復号します。

オプション３は不正解です。ALBのリスナー設定にはSSL接続という設定はありません。ALBのリスナー設定にHTTPS(443)を追加して、SSL/TLS 証明書をダウンロードすることで、SSL/TLS 証明書を設定する必要があります。

オプション４は不正解です。ALBを利用してリスナー設定することだけでは、自動的にSSL/TLS 証明書は設定されないため間違いです。ACMによってSSL/TLS 証明書を発行して、ALBに設定することが必要です。

オプション５は不正解です。AWS Certificate Managerを利用できないリージョンが一部あり、その場合は、SSL/TLS 証明を発行・管理するために、IAMを利用します。今回は東京リージョンであるため、AWS Certificate Managerを利用できます。

【参照】

ACM を使用して複数のドメインの証明書を ELB にアップロードする (amazon.com)

ACMで証明書を発行してELBの証明書を入れ替える手順 | DevelopersIO (classmethod.jp)

Application Load Balancer 用の HTTPS リスナーを作成する - Elastic Load Balancing (amazon.com)

問題17: 不正解
ある企業ではDynamoDBを利用して顧客のセッションデータを管理しています。現在、ユーザーがデータベースにアクセスした際に陳腐化したデータが表示されるというクレームが届いています。あなたはソリューションアーキテクトとして、データ不整合の発生原因をつきとめて、対策するように依頼されました。利用しているDynamoDBテーブルを調査したところ、データ処理自体は問題なく実行されており、データ処理プロセスには問題はありませんでした。

こうしたデータ不整合の原因に対する解決策を選択してください。

説明
このシナリオでは、DynamoDBテーブルのデータ参照時に古いデータが反映されるという不整合が発生していますが、利用しているDynamoDBテーブルを調査したところ、データ処理自体は問題なく実行されており、データ処理プロセス自体には問題がない状況です。したがって、このトラブルは、データモデルの整合性に起因しているものと考えられます。

オプション３が正解となります。Amazon DynamoDBテーブルからデータを読み込む際に、ユーザーはその読み込み処理実行時に結果整合性のある読み込みを利用するか、強い整合性モデルを利用するかを指定できます。結果整合性モデルを選択すると、読み込みスループットが最大限に向上します。ただし、結果整合性モデルによるデータ読み込みでは最新の書き込み結果が反映されない可能性があります。したがって、今回の場合も更新したデータが反映される前に読込をしてしまい陳腐化したデータが閲覧されたものと考えられます。

解決策としては、結果整合性モデルを強い整合性モデルに変更することです。DynamoDBテーブルでは強い整合性のある読み込みリクエストを実施する機能が提供されています。これを利用して、データ参照時に古いデータが反映されないようにデータ読み込みを実施することができます。

データ整合性とはデータベースやストレージ内のデータへの書き込みリクエストと読み取りリクエストが重複して実行されたとしてもデータ内容が同じ内容を維持できるDB処理性能のことです。主に強い整合性モデルと結果整合性モデルのどちらかが適用されます。

・強い整合性モデル：強い整合性モデルではデータの更新の際にデータベースをロックすることによって、過去のデータが読み取られないようにしてデータの一貫性（Consistency）を担保します。ロックされる期間が長いほどその間のデータベース・アクセスがブロックされ、可用性（Availability）を犠牲にすることになります。

・結果整合性モデル：結果整合性モデルはデータの更新でデータベースがロックされることはないため、可用性とスケーラビリティを維持することができます。その代わり、データ更新時に読み取りリクエストが発生した場合は、データの整合性が担保されません。

オプション１は不正解です。DynamoDBにはレプリケーション設定を有効化するという機能はありませんが、グローバルテーブルを設定することで複数リージョンでテーブルを同期することができます。しかしながら、これは古いデータを読み取る可能性を抑止することはできません。

オプション２は不正解です。DynamoDBのDAXを有効化することでインメモリDBを利用した高速処理を実施することができるようになります。これはパフォーマンスを向上させることはできますが、古いデータを読み取る可能性を抑止することはできません。

オプション４は不正解です。DynamoDBのクラスターを増強するとパフォーマンスが向上しますが、結果整合性モデルを利用している限りは古いデータを読み取る可能性を抑止することはできません。

【参照】

読み込み整合性 - Amazon DynamoDB

問題18: 不正解
あなたはソリューションアーキテクトとして、AWSにホストされたデータ処理基盤においてメッセージ応答機能およびデータ解析機能を実装しています。サービスは1日に最大数万件におよぶメッセージを受信可能として、これらのデータはすべて、Amazon EMRに送信されてデータ解析が実施されます。メッセージが失われず、重複されず、メッセージが到着と同じ順序でAmazon EMRで処理されることが要件となっています。

この要件を満たすため方法を選択してください。

説明
オプション４が正解となります。満たすべき要件は、データが欠落しないこと、耐久性があること、およびデータを到着順にストリーミングすることです。Kinesisがこうした要件に基づいたデータ転送を可能にします。 Kinesis Data Streamsは一連のデータレコードを持つシャードのセットであり、各データレコードにはKinesis Data Streamsによって割り当てられたシーケンス番号が付与されるため、メッセージが失われず、重複されず、到着と同じ順序で伝送することが可能です。

【Kinesis Data Streamsの特徴】

■バッチ間隔を60秒に設定など、バッチサイズまたはバッチ間隔を指定できる。

■Kinesis data stream のデータ保持期間はデフォルト24 時間で、最大値は 168時間に設定できる。

■配信ストリームは自動的にスケーリングされ1 つのシャードは 1 秒あたり最大 1 MB のデータを取り込むことができ (パーティションキーを含む)、書き込みは 1 秒あたり 1,000 レコードを取りこみできる。

■送信先にアップロードされたデータをKMS暗号化キーを指定して、自動的に暗号化を実施する。

■コンソールや Amazon CloudWatch からメトリクスを参照できる。

■送信データ量とデータ形式の変換に対してのみ料金が発生する。

オプション１は不正解です。Amazon SQSのデフォルトのキュー設定は単なる標準キューのことです。FIFO（先入れ先出し）キューではないため、そのメッセージの順番が保証されません。さらに、標準キューは重複送信されないことを保証しません。

オプション２は不正解です。 Amazon SNSはメール通知などのメッセージ通知を実施する機能です。今回のケースのような1日に最大数万件にも及ぶ大量のメッセージを処理できない場合があります。また、標準トピックではデータが受信された順序で送信されることを保証しません。

オプション３は不正解です。AWS Data PipilineはAWSのサービス間のデータの統合・処理を自動化するサービスです。AWS Data Pipilineはデータ移行などに利用するサービスであり、メッセージの送受信に利用するものではないため、今回の要件に合致していません。

【参照】

Amazon Kinesis Data Streams とは何ですか? - Amazon Kinesis Data Streams

問題20: 不正解
A社では東京リージョンに業務インフラアーキテクチャをホストしています。あなたはソリューションアーキテクトとして、社内で利用しているWEBサーバーとなるEC2インスタンスに対して、IPアドレス単位でのヘルスチェックを実施して、複数の IP アドレスに DNSレスポンスを分散することが必要です。

この要件を満たすDNSの設定方法を選択してください。

説明
オプション２が正解となります。複数値回答ルーティングにより、Amazon Route 53 が DNS クエリに対する応答として複数の値 (ウェブサーバーの IP アドレスなど) を返すように設定できます。複数値回答ルーティングは各リソースが正常かどうかを確認するため、Route 53 は正常なリソースに値のみを返すことができます。したがって、IPアドレス単位での正常・非正常を判断してルーティングすることが可能となります。

これはロードバランサーに置き換わるものではありませんが、Route53が設定したインスタンスのトラフィックが正常であることをヘルスチェックした上で複数の IP アドレスを返すことができ、DNS を使用してアベイラビリティーとロードバランシングを向上させることができます。

オプション１は不正解です。位置情報ルーティングはユーザーの位置に基づいてトラフィックをルーティングする場合に使用します。

オプション３は不正解です。フェールオーバールーティングはアクティブ・パッシブフェイルオーバーを構成する場合に使用します。個々のEC２インスタンスに対する正常・非正常を評価して、ルーティングすることもできますが、セカンダリーのインスタンスとプライマリーのインスタンスを設定した場合のみに可能となります。その際にIPアドレスに基づいたEC2インスタンスベースのヘルスチェックはできないため、要件に合致しないため不正解となります。

オプション４は不正解です。レイテンシールーティングは複数の AWS リージョンにリソースがあり、レイテンシーの最も小さいリージョンにトラフィックをルーティングする場合に使用します。

【参照】

複数値ルーティングポリシーとシンプルルーティングポリシーを理解する (amazon.com)

問題22: 不正解
ある企業は、AWSとオンプレミス環境をDirect Connectで接続しており、両方の環境においてサーバーやデータベースなどの複数のリソースを有しています。あなたはソリューションアーキテクトとして、双方の環境にあるリソースを利用する処理プロセスを実行するフローやデータ連携方式を整備するように依頼されました。

この要件を満たすために利用すべきサービスの仕組みを選択してください（2つ選択してください。）

説明
このシナリオでは、AWSとオンプレミスの両方の環境にあるリソースによって構成されるサーバーによる分散アーキテクチャを構築することが求められており、両方の環境に適用可能なAWSサービスを選択することが必要となります。分散アーキテクチャーとはコンポーネントまたはレイヤーを分離して、コンポーネント単位で機能を提供したり、並列でタスク処理できるようにするアーキテクチャのことです。これはコンポーネントが相互に接続しながら独立して実行できるようにするコンピューティングアーキテクチャーとなります。

オプション１と２が正解となります。AWSサービスの中でAmazon SQSおよびAWS Step Functionsは、AWSで分散アーキテクチャを作成するために使用できるサービスです。

Amazon SQSはEC2インスタンスなどのサーバー間のキューメッセージ通信のためのメッセージングサービスです。信頼性が高く、スケーラビリティの高いホスト型キューを提供します。 Amazon SQSを使用してコンポーネント間のやり取りをキューを介して分離することで、分散アプリケーションコンポーネント間でデータを移動したり、タスクを並列処理することができます。

AWS Step Functionsは分散アプリケーションコンポーネントを利用したワークフローを構成するためのサービスです。Step Functions を使って、複数の AWS Lambda 関数を組み合わせて、応答性の高いサーバーレスアプリケーションやマイクロサービスをワークフロー化することができます。また、Amazon EC2 インスタンス、コンテナ、またはオンプレミスサーバーで実行されるデータとサービスのオーケストレーションを行うこともできます

オプション３は不正解です。API Gatewayを利用してオンプレミスサーバーとEC2インスタンスへと適用しても、ワークプロセスを構築することはできません。API GatewayはあくまでもAPIリクエストによってサーバーへのアクセスを可能にするだけです。

オプション４は不正解です。SWFはStep Functions以前の古いサービスです。現在はAWS上のワークフロー作成にはStep Functionsの利用が推奨されています。一部の用途を除いてSWFの利用は推奨されていません。

【参照】

AWS Step Functions（分散アプリケーションの調整）| AWS (amazon.com)

[アップデート] Amazon SQS が VPC エンドポイントに対応！VPN 経由でオンプレミスからアクセスしてみた | DevelopersIO (classmethod.jp)

問題23: 不正解
ある企業は、AWSにホストされた画像共有アプリケーションを運用しています。ストレージ層にAmazon S3バケットを使用して、それをオリジンとしたAmazon CloudFrontディストリビューションを構成して、すべてのファイルを配信したいと考えています。その際は、S3 オブジェクトURLに直接アクセスできないようにする必要があります。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。（２つ選択してください。）

説明
オプション４は正解となります。このシナリオでは、S3バケットのコンテンツをCloudFrontディストリビューションを介してグローバルに配信する際に、S3 オブジェクトURLに直接アクセスできないようにすることが求められています。そのためには、CloudFront側でオリジンアクセスアイデンティティ（OAI）を割り当てて、そのOAIにのみS3バケット内への読み取り権限があるようにS3バケットポリシーを設定します。こうすることで、OAIのみがS3バケットにアクセスできる設定となり、外部のユーザーからはS3バケットにアクセスできなくなります。したがって、外部ユーザーやアプリケーションはCloudFrontを介してのみS3バケットのコンテンツにアクセスすることになります。他のユーザーはOAIを利用できないため、S3バケットにはアクセスできません。

オプション５も正解となります。オリジンアクセスコントロール (OAC) は2022年12月より利用可能になったOAIに代わる新機能です。OAIと同様にオリジンアクセスコントロール (OAC) をCloudFrontディストリビューションに割り当てて、OACにのみ読み取り権限があるようにS3バケットポリシーを設定することができます。CloudFrontはOACを介してS3バケットのコンテンツにアクセスすることになります。OAIと比較すると、OAC は以下のような機能をサポートしており、機能が強化されています。

・すべての AWS リージョンのすべての Amazon S3 バケット (2022 年 12 月以降に開始されたオプトインリージョンを含む)

・AWS KMS による Amazon S3 サーバー側の暗号化 (SSE-KMS)

・Amazon S3 に対する動的なリクエスト (PUT と DELETE)

オプション１は不正解です。各S3バケットにCloudFrontに対してのみ読み取りを許可するバケットポリシーを設定する際は、OAIまたはOACを介した設定が必要です。CloudFrontディストリビューションエンドポイントを設定することはできません。

オプション２は不正解です。読み取り権限を付与したIAMロールを作成して、CloudFrontに割り当てるだけでは、CloudFrontからAmazon S3へのアクション権限が付与されるだけです。これによって、S3バケットへのアクセスをCloudFrontのみに制限することはできません。

オプション３は不正解です。各S3バケットにCloudFrontへのアクセスのみに読み取り権限を付与するバケットポリシーを設定する際には、OAIまたはOACを介した設定が必要です。CloudFrontディストリビューションIDをプリンシパルとしたS3バケットポリシーを設定することはできません。

【参照】

Amazon S3 オリジンへのアクセスの制限 - Amazon CloudFront

問題25: 不正解
ある企業は、AWSにホストされたEBSボリュームEC2インスタンスサーバーによって構成された画像共有アプリケーションを運用しています。このアプリケーションでは、ユーザーが写真とタイトルなどの写真に付随するデータをアップロードすると、その画像を解析して最適なフォルダに自動的に保存します。

このアプリケーションのユーザー数が急増しており、処理負荷が高まっているため、ソリューションアーキテクトはパフォーマンスを調整する必要があります。これらのユーザーの同時アクセス数の増減は不規則であり、予測が難しいようです。

これらの要件を満たすために、現在のアプリケーションをどのように改善すればよいでしょうか。

説明
オプション３が正解となります。AWS Lambdaを使用して写真を処理して、処理後の写真をAmazon S3バケットに保存し、写真の付加情報となるメタデータをDynamoDBに保存することで、要件を達成することができます。

写真や動画などのコンテンツデータを保存する先としては、Amazon S3バケットが最もコスト効率よく保存することができる最適なストレージです。また、Amazon S3のオブジェクトIDと関連づけた上で写真のメタデータをDynamoDBテーブルに保存することができます。DynamoDBテーブルはNoSQL型データベースであるため、メタデータの保存と処理に優れています。

写真データの処理にはLambda関数を利用します。Lambda関数はコーディング次第で写真などのデータ変換処理を実施することが可能です。また、Rekognition APIを呼び出して画像識別モデルを組み込むことも可能です。

今回はユーザーの同時アクセス数の増減が不規則となっているため、リクエスト負荷の予測が難しいケースとなっています。リクエストに応じてLambda関数は並列起動されるため、アプリケーション処理負荷に耐えることができます。また、実行数と実行時間にのみ課金されるため、EC2インスタンスを利用して処理するよりも、コスト効率も良いです。

オプション１と４は不正解です。Amazon Kinesis Data Streamsを使用して写真を処理するといった仕組みは作れません。Amazon Kinesis Data Streamsはあくまでもストリームデータをリアルタイム処理するために利用する機能です。

オプション２は不正解です。Amazon Kinesis Data Firehoseは写真を処理することには向いていません。Amazon Kinesis Data FirehoseはLambda関数と連携して、データのELT処理を実行できますが、あくまでもストリームデータの配信に利用する機能です。ストリームデータを変換しつつ、Amazon S3バケットなどに配信します。

【参照】

ブラウザから Amazon S3 への写真のアップロード - AWS SDK for JavaScript

Amazon DynamoDB でサポートされるデータ型と命名規則 - Amazon DynamoDB

問題26: 不正解
ある会社は現在データセンターで運用している全てのアプリケーションをAWSに移行するつもりです。そのためには、全データを保存するためのブロックストレージが必要であり、EBSボリュームを使用することにしました。しかしながら、EBSボリュームがワークロードに適しているのか、上司に理解されていないため説明を求められました。

EBSを選択するべき利点を説明してください。（2つ選択してください。）

説明
このシナリオでは、Amazon EBSのストレージとしての特徴の理解度合いが問われています。このタイプの質問では、Amazon EBSやAmazon S3、Amazon EFSなどのAWSのストレージサービスの特徴を理解して、他のストレージと異なっている点などを覚えておく必要があります。

オプション１が正解となります。Amazon EBSはEC2インスタンスを起動する際に用途に応じてボリュームサイズやボリュームタイプを設定します。さらに、EBSボリュームの編集画面において、それぞれを変更することができることが利点の一つです。

オプション２が正解となります。単一のEC2インスタンスのEBSボリュームは、インスタンス用のシステムドライブやデータベースアプリケーション用のストレージなどの頻繁に更新が必要なデータのプライマリストレージとして使用できます。また、継続的なディスクスキャンを実行するスループット重視のアプリケーションにも使用できます。これらのEBSボリュームはEC2インスタンスの稼働期間とは無関係に維持されます。

オプション３は不正解です。アベイラビリティーゾーンでEBSボリュームを作成すると、そのゾーン内でのみ自動的に複製が生成されますが、別のAWSリージョンには複製されません。

オプション４は不正解です。EBSボリュームは同じアベイラビリティーゾーン内のEC2インスタンスにしかアタッチできないため、正しくありません。

【参照】

Amazon EBS（EC2 ブロックストレージボリューム）| AWS

EBS ボリュームへの変更のリクエスト - Amazon Elastic Compute Cloud

EBS でボリュームサイズ/タイプ変更時のパフォーマンスを検証してみた | DevelopersIO (classmethod.jp)

問題28: 不正解
ある企業がAWSにホストされた新たなアプリケーションを開発しています。このアプリケーションはALBの背後で実行されている複数のAmazon EC2インスタンスを利用し、Amazon RDS MySQLデータベースとAmazon S3にデータを保存しています。この会社は、グローバルに顧客を有しており、全世界の多数のユーザーからアクセスされると予想されています。しかしながら、社内規定に基づいて、特定の国からのアクセスを防止する必要があります。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。

説明
オプション４が正解となります。このシナリオでは、特定の国からアプリケーションへのアクセスを防止する機能が必要となっています。地理的な一致条件に基づいてトラフィックをブロックするルールを設定したAWS WAFのウェブACLを作成して、ALBに関連付けることで、特定の国からのアクセスをブロックすることが可能です。

AWS WAFのウェブアクセスコントロールリスト (ウェブ ACL) を使用すると、適用したWEBサーバーが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できます。以下のようにアクセス元を特定してコントロールが可能です。

・リクエストの IP アドレスの送信元

・リクエストの送信元の国

・リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致

・リクエストの特定の部分のサイズ

・悪意のある SQL コードまたはスクリプトの検出

オプション１と２は不正解です。特定の国のCIDR範囲から発生するトラフィックを拒否するセキュリティグループやネットワークACLを設定することはできません。CIDR範囲では国の特定ができないためです。また、セキュリティグループやネットワークACLでは特定の国を排除するような設定ができません。

オプション３は不正解です。ALBには、地理的な一致条件に基づいてトラフィックをブロックするルールをALBルールといった機能はありません。

【参照】

ウェブアクセスコントロールリスト (ウェブ ACL) - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced (amazon.com)

問題29: 不正解
ある企業が、Amazon EC2インスタンス上でアプリケーションを運用しています。このアプリケーションでは、利用ユーザーの個人情報などの重要なデータをAmazon S3バケットに保存しています。ソリューションアーキテクトは、このアプリケーションを実行するEC2インスタンスからセキュアな通信方法でS3バケットにアクセスできるように設定する必要があります。S3バケットポリシーはデフォルト設定で利用されています。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。（2つ選択してください。）

説明
オプション１が正解となります。EC2インスタンスはVPC内に配置されるサービスですが、Amazon S3はVPC外のリージョンに直接配置されるサービスです。したがって、VPC内外の通信設定がない場合はインターネットを介してお互いに通信を実施します。

今回はEC2インスタンスとAmazon S3バケットとの間でセキュアな通信設定が必要となるため、VPCにVPCゲートウェイエンドポイントを設置して、Amazon S3バケットに通信するルートを設定して、AWSネットワークを通じた安全な通信ができるように構成します。

VPCゲートウェイエンドポイントは、VPCにゲートウェイを設置することで、インターネットを介さずに、VPC内のサービスとVPC外（AWS通信網内）のサービスの通信を実現する機能です。ゲートウェイエンドポイントは、VPC にインターネットゲートウェイや NAT デバイスを必要とせずに、Amazon S3 および DynamoDB への信頼性の高い接続を提供します。

オプション５が正解となります。EC2インスタンスがAmazon S3バケットにアクセスするには、そのための権限が必要となります。S3 アクセス許可を付与したIAMロールを作成し、このIAMロールをEC2インスタンスに付与することで、EC2インスタンスはAmazon S3バケットへのアクセスが許可されます。

オプション２は不正解です。VPCゲートウェイエンドポイントはEC2インスタンスが配置されているアベイラビリティゾーンに構成するのではなく、VPCに構成します。

オプション３は不正解です。S3バケットポリシーで特定のEC2インスタンスやアカウントへのアクセスを許可することで、より安全な接続を実施することが可能です。今回はデフォルトのS3バケットポリシーによってすべてのアクセスが許可されている状態であるため、追加のS3バケットポリシーの設定はオプショナルとなります。しかしながら、今回はセキュアな通信方法でこのバケットにアクセスできるようにすることが要件であり、これはVPCゲートウェイエンドポイントによって達成されているため、追加のバケットポリシーの設定は必要ありません。

オプション４は不正解です。S3 アクセス許可を付与したIAMポリシーを作成し、それをIAMロールに設定することが必要です。その上で、IAMロールをEC2インスタンスに割り当てます。

【参照】

ゲートウェイ VPC エンドポイント - Amazon Virtual Private Cloud

EC2 インスタンスに S3 バケットへのアクセス権を付与する (amazon.com)

問題30: 不正解
ある企業は、オンプレミス環境にあるアプリケーションをAWSに移行することを計画しています。このアプリケーションでは、100,000 IOPS以上の高性能なI/O処理が必要であるため、それに最適なEC2インスタンスとストレージを選択する必要があります。また、データ処理後に大量のデータを保存することになるため、耐久性が非常に高いストレージも必要です。これらの保存されたデータへのアクセス頻度は予測がつきません。

この要件を満たすために、どのようなAWSサービスを利用しますか。

説明
EC2インスタンスを利用したアプリケーションやワークロードを実行する際は、その処理性能の要件に応じてインスタンスタイプと付随するボリュームタイプを選択することが必要となります。最適なインスタンスタイプとEBSボリューム（またはインスタンスストア）の組み合わせによって、アプリケーションの非機能要件で求められる性能を発揮させることができるようになります。今回は、EC2インスタンスタイプの選択は求められていないため、要件に合致した最適なEBSボリュームタイプのみが問われています。加えて、ここでは要件に応じてAmazon S3とGlacierの最適なストレージタイプを選択するための知識も問われます。

オプション１が正解となります。このシナリオでは、100,000 以上の高性能なI/O処理が必要であるため、io2 Block Expressを利用します。io2 Block Expressでは、ボリュームあたりの最大 IOPSが256,000まで可能な高性能なストレージです。そのほかのプロビジョンド IOPSでは、ボリュームあたりの最大 IOPSは64,000までが限界となっています。

また、大量のデータを保存する耐久性が非常に高いストレージにはAmazon S3バケットが最適です。その中で、データのアクセス頻度は予測がつかない場合はAmazon S3 Intelligent-Tiering クラスを利用します。 S3 Intelligent-Tiering は、アクセスパターンが変化するときに 2 つのアクセス階層間 (高頻度アクセスと低頻度アクセス) でデータを自動的に移動してコスト最適化を達成するストレージクラスです。これによって、アクセスパターンが不明なオブジェクトデータを最適なストレージ層に自動的に割り振って、コスト最適を達成してくれます。

オプション２は不正解です。プロビジョンド IOPS SSD (io1) Block Expressボリュームというストレージタイプはありません。

オプション３は不正解です。プロビジョンド IOPS SSD (io2) ボリュームでは、ボリュームあたりの最大 IOPSが64,000までが限界となっています。

オプション４は不正解です。プロビジョンド IOPS SSD (io3) ボリュームというストレージタイプはありません。

[ 参照]

Provisioned IOPS SSD ボリューム - Amazon Elastic Compute Cloud

問題33: 不正解
ある企業がAWSのEC2インスタンスにホストされた顧客情報を管理する多層アプリケーションを開発しています。このアプリケーションは、REST APIサービス経由で相互通信するアプリケーション層とMySQLデータベースを利用した顧客情報のデータベース層で構成されています。トランザクションが多発して高負荷になると、それらのトランザクション処理が破棄されないように処理を継続する必要があります。

この要件を満たすために、どのソリューションを利用すればよいでしょうか。

説明
このシナリオでは、REST APIで相互通信するアプリケーション層とMySQLデータベースによるデータベース層で構成されるアプリケーションが高負荷なトランザクション処理を実施しています。要件としては、このアプリケーションのトランザクション処理が高負荷になった場合に、それらのトランザクションが破棄されずに処理を継続するための可用性の高い構成が求められています。

オプション４が正解となります。トランザクションが破棄されずに処理を継続するための可用性の高い構成としては、Amazon SQSキューにリクエストを保持して並列処理できる構成を実現します。SQSキューにリクエストメッセージを保持してEC2インスタンスにポーリング処理させることで、トランザクションは破棄されないように処理を継続することができます。

また、Amazon CloudWatchによってSQSキューサイズを監視して、Amazon EC2インスタンスにAuto Scalingグループによるスケーリングを設定することで、SQSキューのコンシューマーとなるEC2インスタンスのスケーリング構成を実現できます。これによって、負荷向上時に十分な数のインスタンス数を確保して、並列処理を実施することが可能となります。

オプション１と２は不正解です。今回のシナリオではREST APIサービス経由の一般的なサーバーアプリケーションの負荷分散するソリューションが求められています。Lambda関数を利用したサーバレスアプリケーションは簡易でボラティリティの高いアプリケーション処理を実施するのに向いていますが、常時多数の処理が実行されるようなアプリケーションのトランザクション処理には向いていません。

オプション３は不正解です。Amazon SNS FIFOトピックはメッセージ順序が保証されたプッシュ型のメッセージ通知を実施する機能です。これはキューではないため、トランザクションを破棄しないで処理を継続する機能はありません。

【参照】

Amazon SQS に基づくスケーリング - Amazon EC2 Auto Scaling

CloudWatch で Amazon SQS キューのモニタリング - Amazon Simple Queue Service

問題36: 不正解
あるヘルステックベンチャーはAWSにホストされた個人の運動を記録管理するアプリケーションの開発を行っています。あなたはエンジニアとして、Linux EC2インスタンスにアタッチする新しいEBSボリュームを作成して、アタッチしました。

EC2インスタンスにEBSボリュームをアタッチ後に、このEBSボリュームを使用するために必要な設定はどれでしょうか。

説明
このシナリオでは、新規に作成したEBSボリュームをEC2インスタンスにアタッチした後に、そのEBSボリュームの使用を開始するために必要な処理が問われています。

オプション４が正解となります。 EC2インスタンスに追加でアタッチしたボリュームの利用を開始するためには、最初にボリューム内にファイルシステムを作成することが必要となります。EC2インスタンスにはルートデバイス用の EBS ボリューム /dev/xvda が１つ必ずアタッチされています。そこに追加で、/dev/sdf を使用して追加のEBS ボリュームをインスタンスにアタッチすることができます。

追加のEBSボリュームをアタッチした後は、任意のファイルシステムでボリュームをフォーマットしてからマウントすることが必要となります。これによって、他のボリュームにアクセスするのと同じ方法でEBSボリュームにアクセスできるようになり、このファイルシステムに書き込まれたデータはすべてEBSボリュームに書き込まれます。

オプション１は不正解です。EC2インスタンスにアタッチされたEBSボリュームには、EC2インスタンスを介してアクセスされます。したがって、EBSボリュームにはIPアドレスを付与する必要はありません。

オプション２は不正解です。EC2インスタンスにアタッチされたEBSボリュームはインスタンス経由でアクセスされます。したがって、EBSボリュームにはセキュリティグループを設定する必要はありません。セキュリティグループはインスタンスへのアクセス制御に利用されるものです。

オプション３は不正解です。ボリュームに適切なマウントターゲットを設定する必要はありません。マウントターゲットはEFSを設定する際に利用します。

【参照】

Linux で Amazon EBS ボリュームを使用できるようにする - Amazon Elastic Compute Cloud

問題37: 不正解
ある企業が、AWSを利用してアプリケーションを運用しています。このアプリケーションは非常に重要なデータを処理した上で、Amazon S3バケットに保存しています。最近になってIT監査を実施することになり、外部の監査チームにデータの保存状況が適切かどうかを確認してもらうことになりました。

あなたは最小権限の原則に基づいて、監査チームのアカウントに適切なアクセス権限を付与したIAMロールを付与しました。監査チームはS3バケットのデータ保存時のアクセス制御が適切になされているかを確認する予定であり、データそのものを確認する必要はありません。したがって、その監査の際にドキュメントが漏洩しないようにセキュリティを強化する必要があります。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。

説明
このシナリオでは、第三者のAWSアカウントに権限移譲する際の適切な権限設定方法が問われています。一般的な権限移譲の方法としてはIAMロールによって権限を委譲する設定を行いますが、今回は権限委譲の設定そのものが問われているわけではなく、IAMロールによる権限移譲がされていることが前提となっています。

要件としては、第三者の監査チームがS3バケットのデータ保存時のアクセス制御を確認する必要がありますが、その際にドキュメントが漏洩しないようにセキュリティを強化することが求められています。つまり、権限移譲に加えて、監査チームがデータに直接アクセスできないようにしつつも、S3バケットの設定内容を確認できるような設定が必要となります。

オプション４が正解となります。AWS KMSを使用してS3バケットを暗号化して、監査チームのアカウントがKMSキーにアクセスできないようにすることで、S3バケットへのアクセスを許可しつつも、監査チームメンバーはデータそのもにはアクセスできないように設定することができます。Amazon S3 バケットキーは、AWS Key Management Service (SSE−KMS) を使用した Amazon S3 サーバー側の暗号化を実施します。暗号化されたデータはKMSの発行するキーの権限を有していないユーザーからは閲覧できないようになります。

つまり、第三者の監査チームはIAMロールによってS3バケット内にアクセスできますが、データそのものは閲覧ができないようになります。

オプション１は不正解です。S3バケットにおいて、バージョニングとMFA Deleteを有効化することで、S3バケットからデータを削除する際にMFA認証が求められるようになります。これによって、誤ったデータ削除を予防できます。この設定では監査チームがデータにアクセスできるため、要件を達成できません。

オプション２は不正解です。S3バケットにおいて、オブジェクトロックを有効化すると、そのバケット内からデータを削除できなくなります。この設定では監査チームがデータにアクセスできるため、要件を達成できません。

オプション３は不正解です。監査チームの各IAMユーザーアカウントに対して、s3:DeleteObjectアクションを拒否する設定を行うと、削除アクションのみができなくなります。しかしながら、この設定では監査チームがデータにアクセスできるため、要件を達成できません。

【参照】

Amazon S3 バケットキーを使用した SSE−KMS のコストの削減 - Amazon Simple Storage Service

問題38: 不正解
あなたはサーバレス構成を利用したアプリケーションでコスト最適化を目指しています。Lambda関数を利用したアプリケーションを複数実行していますが、その処理の一部分が重複していることがわかりました。

このLambda関数処理を改善するために必要な方法を選択してください。

説明
オプション２が正解となります。Lambda Layerは複数のLambda関数でライブラリを共有できる仕組みであり、Lambda関数間で利用する共通機能などをLayerにまとめて、構成することができます。これまでは同じライブラリを利用するLambda関数が複数あった場合でも、全ての関数内に同じライブラリを含めてパッケージングすることが必要でした。

しかしながら、特定のライブラリをLayerにアップロードしておくことで、個々のLambda関数は共通のLayerを使用して効率的な実装が可能となります。つまり、全ての関数内に同じ機能を含めてパッケージングする必要がなくなります。今回のシナリオでは、複数のLambda関数の処理の一部分が重複しています。これをLambda Layerを利用することで、重複部分を共有化することができます。

オプション１は不正解です。Lambdaエッジを使用すると、サーバー管理を行わなくても、ウェブアプリケーションをグローバルに分散させることで、パフォーマンスを向上させることができます。これは今回の要件とは無関係です。

オプション３は不正解です。InvocationとはLambda関数の名前空間にあるメトリクスです。イベントまたは API 呼び出しに応じて呼び出される関数の回数を測定します。これは今回の要件とは無関係です。

オプション４は不正解です。API Gatewayには、レスポンスキャッシュ機能があり、実行結果をキャッシュすることが可能です。これによりパフォーマンスを向上させることができます。今回の要件とは無関係です。

【参照】

Lambda 関数でのレイヤーの使用 - AWS Lambda (amazon.com)

問題40: 不正解
あなたはAWS上のインフラ展開において、特定のアカウントから複数アカウントにまたがってインフラ展開を自動化させたいと考えています。

この要件を満たすCloudFormationの機能を選択してください。

説明
オプション１が正解となります。CloudFormation スタックセットを利用するとCloudFormation テンプレート内に AWS リソースの設定を定義して、１つのテンプレートにより複数の AWS アカウントやリージョンにリソースを展開できます。クロスアカウントやクロスリージョンにAWSリソースを展開しなければならないケースにおいて、CloudFormationのスタッフセット機能を活用して、一度に複数リージョンにリソースを展開することができます。CloudFormation スタックセットを設定してしまえば、追加のアカウントやリージョンに対しても容易に同じ構成を展開することが可能です。

オプション２は不正解です。CloudFormationテンプレートとはテンプレートからAWSリソースを自動構築するための一連のセット様式のことです。これだけでは複数リージョンにリソースを展開することはできません。

オプション３は不正解です。変更セットはCloudfFormationのテンプレート内容の変更を行う仕組みです。変更セットを使用すると、スタックの変更案が実行中のリソースに与える影響 (たとえば、変更によって重要なリソースが削除されたり置き換えられたりしないか) を確認できます。したがって、スタックを更新する必要がある場合に、変更セットを利用することで変更前に実行中のリソースに与える影響を把握することができるため、安心してスタックを更新できます。

オプション４は不正解です。実際のリソースとCloudFormationテンプレートの内容に乖離があることをドリフトと言います。

【参照】

StackSets の概念 - AWS CloudFormation (amazon.com)

問題43: 不正解
CloudFormationテンプレートにおいてEC2インスタンスに対する通信設定を行っています。このEC2インスタンスはWEBサーバーのフロントエンドとして利用するため、一般的なインターネットから制限なくHTTPリクエストによる通信を許可する設定が必要です。加えて、IPアドレス172.28.10.1のクライアントPCからsshによる接続を実施する必要があります。

プロトコルの設定として正しいCloudFormationテンプレートの記述内容はどれでしょうか？（２つ選択してください。）

説明
このシナリオでは、CloudFormationによるリソース構成の方法が問われていますが、その内容のセキュリティグループの設定方法となっているため、本質的に問われている内容はセキュリティグループの設定方法になります。したがって、CloudFormationテンプレートを利用して要件に従った正しいセキュリティグループの通信制御設定を選択します。

オプション２が正解となります。IPアドレス172.28.10.1からSSHプロトコルによる接続を許可するためには、セキュリティグループにおいて、ターゲットが172.28.10.1のIPアドレスを指定して、SSHのポート22でのアクセス許可を設定することが必要です。セキュリティグループによってSSHプロトコルを設定する場合は、ポートレンジの22番ポートを使用します。 IPアドレスは172.28.10.1/32とサブネットマスクを「/32」と設定することで、特定のIPアドレスを１つ設定することができます。

オプション４が正解となります。このネットワークでは、パブリックサブネット内に対して制限なくHTTPによる通信を許可する設定が必要なため、HTTPによるインバウンドトラフィック通信をセキュリティグループで許可する設定が必要です。そのためには、 PortRange:で80ポートでの通信許可を設定します。また、パブリックなアクセスを許可するためにフルオープン（0.0.0.0/0）のIPアドレス範囲を設定します。

【参照】

AWS::EC2::SecurityGroupIngress - AWS CloudFormation (amazon.com)

問題44: 不正解
あなたはセキュリティ担当として、AWSで利用しているシステムへのデータ保護の強化を検討しています。セキュリティ要件として、データ保管時とデータ移転時の暗号化を実現することが求められています。ELBとEC2インスタンスとの接続方式において、暗号化が実現できていないこと、及びその後のEC2インスタンスにおける暗号化が達成できていないことがわかっています。

必要な暗号化を実現するサービスはどれでしょうか？（2つ選択してください）

説明
オプション１が正解となります。ACMのSSL / TLS証明書をELBに設定してから、ELBのリスナー設定でHTTPSプロトコルを利用するように変更することが必要です。ELBを利用してHTTPS通信を実現するためには、SSL / TLSプロトコルを使用した暗号化通信を有効化します。この機能により、ロードバランサーとHTTPSセッションを開始するクライアント間接続、およびロードバランサーとEC2インスタンス間接続のトラフィック暗号化が実施されます。

オプション２が正解となります。EC2インスタンス側のデータ暗号化には、インスタンスにアタッチして利用しているストレージサイドの暗号化を実現する必要があります。つまり、EBSボリュームに対して暗号化を有効化する必要があります。

オプション３は不正解です。ELBとECインスタンス間の構成をプライベートサブネット内で実施することで、プライベートサブネット内のEC2インスタンス間のトラフィック制御を実施することが可能ですが、これはデータ暗号化とは無関係です。

オプション４は不正解です。EC2インスタンスにはデータは保存されていないため暗号化を適用することができません。したがって、EC2インスタンスにアタッチされたEBSボリュームに対してAWS KMSを連携させることでEBSボリュームの暗号化を実施します。

オプション５は不正解です。EC2インスタンスの秘密鍵はインスタンスにアクセスする際に認証に利用するキーのことです。これを利用してクライアントソフトウェアからEC2インスタンス内部にアクセスします。このキーをローカルPCにて保持する必要があります。この秘密鍵は暗号化に利用される暗号化キーとは異なるため、暗号化には利用できません。したがって、Amazon S3に保存して、暗号化を有効化するといった設定方法はありません。

【参照】

Application Load Balancer 用の HTTPS リスナーを作成する - Elastic Load Balancing (amazon.com)

Amazon EBS 暗号化 - Amazon Elastic Compute Cloud

問題45: 不正解
ある会社のアプリケーションはAWSで運用されています。WEBサーバーをEC2インスタンスで構築し、ユーザーのセッションデータはDynamoDBテーブルに保存して、データ処理しています。アプリケーション使用中に、DynamoDBテーブル内の特定のデータ領域にアクセス集中が発生し、DynamoDBテーブルへのセッションデータの読取処理が滞る事象が発生するようになりました。この問題を解決するために、最も高速な処理を達成するための対応が求められています。

DynamoDBテーブルへの負荷集中に対して、最も高速な処理を達成する方法を選択してください。

説明
このシナリオでは、DynamoDBテーブルの読み取り処理パフォーマンスを向上させる方策が求められてます。DynamoDBテーブルのパフォーマンスを向上させるためには、Auto Scalingによってキャパシティを向上させる方式が、オンデマンドキャパシティモードを選択して自動的にスケーリングさせる構成にすることが考えられます。しかしながら、今回は特定のデータ領域にアクセス集中していることが原因となっているため、それに対処できる最適な対応を選択します。

オプション３が正解となります。DynamoDB Accelerator(DAX) を有効化することで、1 秒あたりのリクエスト数が数百万件になる処理に対しても、ミリセカンドからマイクロセカンドまでの最大 10 倍のパフォーマンス向上を実現します。今回のケースでは特定のデータへのアクセスが集中しているため、そのデータをキャッシュに保持して、アクセス処理をインメモリキャッシュ上で行うことで、処理性能を大幅に向上させることができます。

【DynamoDB Acceleratorの特徴】

■インメモリキャッシュとして 1桁台のミリ秒単位からマイクロ秒単位まで結果整合性のある読み込みワークロードの応答時間を短縮できます。また、マルチAZ DAXクラスターは、1秒間に数百万件のリクエストを処理できます。

■DAXはDynamoDBを使用するAPIと互換性を持つマネージド型サービスであり、運用上そしてアプリケーションの複雑性を減少させて容易に導入できます。

■読み取りの多いワークロードや急激に増大するワークロードに対して、DAX はスループットを強化したり、読み込みキャパシティーユニットを必要以上にプロビジョニングしないよう設計することで、運用コストを節約できます。

オプション１は不正解です。Amazon SQSを使用するとクラウドアプリケーションのコンポーネントを分離して調整することで処理負荷を軽減することができます。しかしながら、今回の要件は特定のデータ領域への処理が集中しており、最も高速な処理を可能にするためには、DAXによるキャッシュを有効化する方が最適です。

オプション２は不正解です。Amazon SNSによるメッセージングもAmazon SQSと同様に、コンポーネント間の疎結合化を達成することはできますが、今回の要件は特定のデータ領域への処理が集中しており、最も高速な処理を可能にするためには、DAXによるキャッシュを有効化する方が最適です。

オプション４は不正解です。DynamoDBはグローバルにマルチリージョンに展開できる機能がありますが、マルチAZ構成は実現できないため不正解です。

【参照】

Amazon DynamoDB Accelerator (DAX) | AWS

問題46: 不正解
ある会社では、AWS上でeコマースアプリケーションを運用しています。このアプリケーションではWEBサーバーにAmazon EC2インスタンスを利用しており、製品データをAmazon RDS MySQLデータベースに保存しています。製品データが新規にデータベースに保存された際に、複数のターゲットシステムに更新された製品データを非同期で送信する必要があります。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。

説明
このシナリオでは、製品データがAmazon RDS MySQLデータベースに保存された際に、複数のターゲットシステムに更新された製品データを非同期で送信する仕組みが必要とされています。したがって、RDSのデータを非同期で送信するプログラム処理を実装することが必要となります。こうした処理にはEC2インスタンスベースのアプリケーションを利用するか、サーバレスなLambda関数を利用することができます。一般的にコスト最適化が求められる場合はLambda関数を利用する方が求められます。

オプション１は正解となります。AWS Lambda関数を作成して、Amazon RDS DBインスタンスからデータを取得して、複数のターゲットシステムに製品データを非同期で送信する簡易なアプリケーションを構成することができます。定期的にRDSからデータを取得するためには、AWS Lambda関数のスケジュールを設定して、Lambda関数を定期的に実行するように設定します。また、その際はAmazon RDSとの連携には、RDSプロキシを利用します。そうすることで、複数のLambda関数による並列処理が発生してもコネクションを効率的に維持することが可能となります。

オプション２は不正解です。Amazon RDSデータベースに製品データが登録されたことをトリガーにして、Lambda関数を起動する構成はできません。Amazon RDSイベント機能を利用すると、DBの更新などが発生した際にAmazon SNS通知などでメッセージを送ることができます。しかしながら、Amazon RDSイベント機能はAmazon S3イベント通知のようにデータ登録などのDB操作自体をイベントとして利用することができません。今回はLambda関数側でスケジュール設定をして、定期的にデータを取得する仕組みを実装することが求められます。

オプション３と４は不正解です。Amazon RDS イベントを利用することで、DBインスタンスのイベント発生をトリガーとしてLambda関数などの機能を実行することができます。例えば、DB インスタンスが作成または削除されるたびに Amazon EventBridge にイベントを送信して、アクションを実行することができます。しかしながら、データ登録をイベントとして実行することができません。

また、SNSで同期的にメッセージを送信するだけであれば、Amazon SQSは必要ありませんし、SQSでポーリング処理をしたい場合はSNSは必要ありません。ファンアウト構成をしたい場合は、SNSが複数のSQSにメッセージを送信するなど、SNSの送信先を複数設定したい場合などの要件が必要となります。

【参照】

AWS LambdaでAmazon RDS Proxyを使用する | Amazon Web Services ブログ

rate または cron を使用する式をスケジュールする - AWS Lambda (amazon.com)

Amazon RDS イベントでトリガーするルールの作成 - Amazon Relational Database Service

問題47: 不正解
ある企業ではAWSでリアルタイムデータ分析アプリケーションを構築しています。この分析アプリケーションはAWS Lambdaを使用してデータを処理し、結果をJSON形式でS3バケットに保存しています。あなたはソリューションアーキテクトとして、この分析システムの高速化を依頼されました。既存のワークフローを高速化するには、データを別の分析システムに移動せずに、高度なビッグデータ分析を実行できるサービスを使用する必要があります。

この要件を満たすためのサービスを選択してください。（2つ選択してください。）

説明
このシナリオでは、Amazon S3バケットに対するデータ取得やデータ分析に利用する機能やサービスの選択方法が問われています。要件としては、Amazon S3バケット内のデータを利用して、高度なビッグデータ分析を実行することです。Amazon S3では外部のデータ分析機能を利用することで、データを別の分析システムに移動することなく、直接にS3バケット内のデータ分析を実行できます。S3バケットに保存されているデータを直接解析することができる機能／サービスは以下の３つです。

■Amazon S3 Select
Amazon S3 SelectはAmazon S3バケット内のデータを迅速かつ安価に分析できるクエリ実行機能です。単純なSQL式を使用してAmazon S3のオブジェクトからデータのサブセットを取得する機能を提供します。しかしながら、これは簡単なデータ検索やデータ抽出に利用される機能であるため、本件の高度なビッグデータ分析には利用できません。したがって、オプション３は不正解です。

■Amazon Athena
Amazon Athenaは標準的なSQLを使用してAmazon S3のデータを分析できるサーバレス型分析サービスです。Amazon S3のデータをポイントし、スキーマを定義し、標準的なSQL式を定義してクエリを実行できます。ほとんどの結果は数秒以内に配信されます。機械学習を利用した高度な分析も実行できます。したがって、オプション4が正解となります。

■Amazon Redshift
Redshift SpectrumはAmazon S3バケット内に保存されたビッグデータ（エクサバイトの非構造化データ）に対してSQLクエリを実行できるRedshiftの機能です。取得されるデータに基づいてクエリの計算能力を自動的にスケーリングするため、データセットサイズに関係なく、Amazon S3バケットデータに対してクエリを高速に実行できます。したがって、オプション5も正解となります。

オプション１と２は不正解です。DynamoDBとElasticacheはS3バケット内のデータを直接に解析することはできません。S3バケットからデータを移行した上でデータ処理を実行することが必要です。

【参照】

Amazon Redshift Spectrum を使用した外部データのクエリ - Amazon Redshift

Amazon Redshift Spectrum – S3のデータを直接クエリし、エクサバイトまでスケール可能 | Amazon Web Services ブログ

問題48: 不正解
あなたはソリューションアーキテクトとして、マイクロサービス設計により疎結合化されたアーキテクチャをAWS上で実現したいと考えています。Amazon SQSのキューイングを利用してコンポーネント間を連携する際に、処理されなかったキューを4日間保持しなければならない要件があり、Amazon SQSの機能を利用することになりました。

この要件を満たすための最適なAmazon SQSの設定を選択してください。

説明
オプション２が正解となります。Amazon SQSは最長メッセージ保持期間を超えるキューに残っているメッセージを自動的に削除します。デフォルトのメッセージ保持期間は 4 日間です。よって、SQSのキューイングを利用してコンポーネント間の連携をする際に、処理されなかったキューを4日間保持するためには、何も変更せずにデフォルト設定のままで問題ありません。

オプション１は不正解です。SQSキュー内のデータ保持期間は4日間がデフォルトで設定されています。

オプション３は不正解です。SQSのデッドレターキューはデータ保持期間を設定する機能ではありません。デッドレターキューは、キューにおいて正常に処理 (消費) できなかったメッセージを、デッドレターキューとして設定した別のキューに移動して保存できる機能です。メッセージ処理エラーに対する解析やメッセージ喪失を防ぐ際に利用されます。

オプション４は不正解です。Amazon SQSキューにメッセージが受信された直後は、メッセージはキューに残ったままです。したがって、他のコンシューマーが同じメッセージを再び処理しないように、Amazon SQS は可視性タイムアウトを設定します。これはメッセージのデータ保持期間とは無関係な機能です。

【参照】

Amazon SQS の基本的なアーキテクチャ - Amazon Simple Queue Service

問題49: 不正解
あなたはソリューションアーキテクトとして、DynamoDBを利用したアプリケーションを構築しています。その際のデータ処理として次のような仕様に対応するように依頼されました。 DynamoDBテーブルのデータが変更された場合にメタデータを変更する必要があります。

DynamoDBテーブルで変更された内容を確認できるようにする設定はどれでしょうか？

説明
DynamoDBストリームを使用すると、DynamoDBテーブルへのデータの変更点が履歴として残るようになります。これをモニタリングすることで、DynamoDBテーブルデータの変更管理を実施できます。DynamoDBストリームはデフォルトでは24時間保存されます。つまり、過去24時間以内にテーブル内のデータに対して行われた変更のストリームすべてにアクセス可能ですが、24時間経過したストリームデータは削除されます。

DynamoDBストリームを有効化して、その変更イベントをトリガーにしてLambda関数を実行することができます。これを利用して、Lambda関数によって、DynamoDBテーブルへのデータ登録時にメタデータを取得する処理を自動化することが可能です。よって、オプション１が正解となります。

オプション２は不正解です。CloudWatch を使用して Amazon DynamoDB をモニタリングすることで、DynamoDB から raw データを収集し、ほぼリアルタイムにDynamoDBのメトリクスに加工することができます。しかしながら、これはDynamoDBテーブルのデータが変更された場合にメタデータを保存する処理には利用できません。

オプション３は不正解です。DynamoDBのモニタリング機能ではテーブル内のデータに対する変更点を取得することはできません。

オプション４は不正解です。DynamoDBログを有効化するといった機能はないため、正しくありません。

【参照】

DynamoDB Streams の変更データキャプチャ - Amazon DynamoDB

問題50: 不正解
あなたはAWSの運用責任者として、AWSマネジメントコンソールによって開発ユーザーへのアクセス権限を付与する設定を実施しています。会社の方針により、IDフェデレーションによるアクセス制御の使用が義務付けられています。現在、Active Directory内のグループを使用して、開発ユーザーへの権限が割り当てられています。

IDフェデレーションとロールベースのアクセス制御をAWSで使用する方法を選択してください（2つ選択してください。）

説明
このシナリオでは、オンプレミス環境にある既存のActive DirectoryをAWSで活用するために、IDフェデレーションとロールベースのアクセス制御をAWSで使用する方法が問われています。AWS Directory ServiceにはMicrosoft Active Directoryと同様の機能を提供しており、Microsoft Active Directoryと連携することができます。要件に従って、AWS Directory Serviceの最適な設定を選択することが必要です。

今回の要件を達成するためには、AWS Directory Service AD Connectorを使用します。AD Connector はディレクトリへのリクエストをオンプレミス環境のMicrosoft Active Directoryにリダイレクトする際に使用するディレクトリゲートウェイです。これを利用してIAMによる認証情報とMicrosoft Active Directoryを連携させることができます。

AWS Directory Service へのアクセスにはIAM認証情報が必要です。IAMと AWS Directory Service を使用して、AWSリソースにアクセスできるユーザーを制御することで、 AD ConnectorはIAMポリシーのアクセス許可に基づいて、AWSリソースへのアクセスを実行できます。既存の IAM ロールを AWS Directory Service ユーザーまたはグループに割り当てることができます。 AWS Directory Service AD Connectorを介して、Active DirectoryからユーザーまたはグループにIAMロールを割り当てることで、要件を達成することが可能です。

したがって、オプション２と３が正解となります。

AWS マネジメントコンソールへの Identity and Access Management (IAM) ロールベースのアクセスを使用して、アマゾンウェブサービス (AWS) リソースを管理できます。これを行うには、 AD Connector または AWS Directory Service for Microsoft Active Directoryのいずれかを使用します。

オプション１は不正解です。AWS Directory Service Simple ADはAWSが提供するフルマネージド型ディレクトリサービスです。新規にAWS上にActive Directoryを作成する際に利用します。

オプション４は不正解です。Active DirectoryからユーザーまたはグループにIAMロールを割り当てることで、ロールを設定します。

オプション５は不正解です。Active DirectoryからユーザーまたはグループにIAMロールを割り当てることで、ロールを設定します。

【参照】

オンプレミス Active Directory ユーザー向けに AWS マネジメントコンソールへのアクセス権を付与する (amazon.com)

問題52: 不正解
ある企業は大規模なデータセットに対する複雑なクエリを処理するオンライン分析処理（OLAP）アプリケーションのデータレイヤーにAmazon Redshiftを使用しています。 Redshiftクラスターに対して複数のクエリ処理を実施する際は、それらのクエリ処理の実行順序を定義しなければならないという要件があります。

次のどのサービスを利用することが最適でしょうか？

説明
このシナリオでは、Amazon Redshiftクラスターにクエリ処理を定義する際の最適な方法が問われています。Redshiftクラスターでは複数のクエリ処理を実施する際は、それらのクエリ処理の実行順序を定義することができます。

オプション１が正解となります。RedshiftのWork Load Management（WLM）は、Redshiftのクエリ処理に対して割り当てるRedshiftのリソースを指定する機能です。WLMを利用することでクエリ処理をキューに登録して実行順序を定義することが可能となります。その設定手順としては以下の通りです。

事前にWLMのクエリタスクをキューとして準備します。そのキューに対して割り当てるメモリの割合、並列度、タイムアウトの時間を指定することでクエリに対するリソース配分を決定したり、長時間実行されるクエリを止めてクラスタリソースを無駄遣いしないようにすることができます。

オプション２は不正解です。Amazon RDSはリレーショナルデータとして業務システムで利用されるデータ向けに利用します。これはデータウェアハウスとしては利用できないため、オンライン分析のデータベースとしては利用できません。

オプション３は不正解です。Lambda関数やAmazon SQSを作成して、Redshiftに対するリクエストメッセージをキューに格納してクエリ処理を並列化することはできますが、これだけでは実行順序を定義することはできません。すでに用意されているWLMを利用する方が効率的です。

【参照】

ワークロード管理 - Amazon Redshift

問題54: 不正解
ある会社はレガシーアプリケーションをオンプレミスのデータセンターからAWSクラウドに移行することになりました。この会社のアプリケーションは、バックエンドにハードコーディングされた静的IPアドレスが必要となっており、外部システムとの連携時に利用されています。アプリケーションサーバーはEC2インスタンスに移行する予定ですが、上記のアプリケーションの仕様などによって、AWSのELBを利用することが難しいことがわかりました。

ELBを利用せずに高可用性とフォールトトレランスを適用する方法を選択してください。（2つ選択してください。）

説明
このシナリオでは、バックエンドにハードコーディングされた静的IPアドレスを必要としているため、ELBではない方法でトラフィック分散による高可用性とフォールトトレランスを構成する方法が求められています。

そのためには、仮想のElastic IPアドレスを使用してEC2インスタンスに付与することが望ましいです。Elastic IPを使用してから、EC2インスタンスの状態をチェックするカスタムスクリプトを作成します。これにより、インスタンスが応答を停止した場合、スクリプトはElastic IPアドレスをスタンバイEC2インスタンスに切り替えることができます。

こうした構成によって、ELBを利用せずに高可用性とフォールトトレランスを適用することが可能となります。また、EC2インスタンスにElastic IPを適用してプロキシサーバーを設置することで、外部システムとの連携時にIPアドレスを特定して連携することが可能となります。

したがって、オプション１と２が正解となります。

オプション３と５は不正解です。Route53の複数値回答ルーティングやヘルスチェック機能はELBに代わる機能ではないため正しくありません。Route53をEC2インスタンスに構成して、ルーティング方式によってリソースを高可用にすることは可能です。しかしながら、今回はELBの代わりにバックエンドにハードコーディングされた静的IPアドレスを利用した構成が必要です。したがって、Elastic IPアドレスを利用したアプリケーション設定が可能になる方法が回答となります。

オプション４は不正解です。ELBの利用が制限されているため、AutoScalingをそのまま適用することができません。まずはオプション１と２の対応が必要不可欠です。

問題56: 不正解
あなたの会社ではAWS Organizationsを利用したOU単位でのSCPによるアクセス管理を実施しています。SCPを有効化して、既存のSCP設定はそのまま利用します。あなたは更に新しいSCPを作成して、EC2インスタンスの全権限を許可する設定をOUに追加しました。

この場合のOU内のメンバーアカウントの権限状況を説明してください。

説明
AWS OrganizationsのSCPを有効化すると、デフォルトでメンバーアカウントが属するOUに対して「FullAWSAccess」が付与されます。この「FullAWSAccess」が付与されているOU内のメンバーアカウントでは、全てのリソースに対する全ての操作が明示的に許可されている状態となります。

そこにホワイトリスト形式（特定の操作の許可を与えるポリシー）で特定のリソースに対する許可を与えても、「FullAWSAccess」が付与されているため、結局は全てのリソースに対する許可が継続します。

このように特定の権限範囲に限定するSCPを新規にOUに設定する場合は、そのSCPをアタッチした後に「FullAWSAccess」をデタッチしなければ機能しません。したがって、オプション４が正解となります。

【参照】

SCP を使用した戦略 - AWS Organizations (amazon.com)

問題57: 不正解
ある企業はAWSにホストしてアプリケーションを運用しています。このアプリケーションでは異なるサブネットに展開されている2つのオンデマンドEC2インスタンスを利用しています。１つのEC2インスタンスはデータベースを実行し、もう一方のEC2インスタンスはデータベースと接続するためのWebサーバーです。WEBサーバーはパブリックサブネットに配置されており、インターネットからのアクセスができるように設定されています。もう一方のデータベースサーバーはプライベートサブネットに配置されています。あなたはソリューションアーキテクトとして、データ処理が正常に動作するために、これら2つのEC2インスタンスが互いに通信できるかどうかを確認する必要があります。

EC2インスタンス間の通信を確立するための確認事項を選択してください。（2つ選択してください。）

説明
このシナリオでは、パブリックサブネットに配置されているインスタンスから、プライベートサブネットに配置されているインスタンスに対して互いに通信できる正しい設定方法を理解しているかどうかが問われています。同じVPC内の異なるサブネットに展開されている２つのインスタンスが通信するためには、サブネットの通信を制御するネットワークACLと、インスタンスの通信を制御するセキュルティグループの両方の通信設定が適切になされていることが必要です。

オプション２が正解となります。EC2インスタンス間の通信を確立するためには、Webサーバーとデータベースサーバーが通信できるようにセキュリティグループが正しく設定する必要があります。

オプション５が正解となります。2つのサブネットに配置されたリソースに必要なプロトコル通信が許可されるようにネットワークACLを正しく設定する必要があります。

オプション１は不正解です。ネットワークACLはサブネットとVPCに対するプロトコル通信の許可と拒否を設定するためのファイアウォールです。そのネットワークACLはインスタンスへの通信許可を設定することはできません。2つのサブネットに対するプロトコル通信が許可されるようにネットワークACLを正しく設定する必要があります。

オプション３は不正解です。2つのEC2インスタンスに対してパブリックIPアドレスが付与されていない場合でも、プライベートIPアドレスによって通信が可能です。

オプション４は不正解です。EC2インタンス間が通信するために、それらが同じプレイスメントグループにいる必要はありません。プレイスメントグループとはEC2インスタンス間の通信を高速化するためのグループです。これは通信パフォーマンスを向上させるためのオプショナルの仕組みでしかありません。

【参照】

セキュリティグループ - Amazon Virtual Private Cloud

ネットワーク ACL を使用してサブネットへのトラフィックを制御する - Amazon Virtual Private Cloud

問題60: 不正解
ある企業はAWS上にホストされたWEBアプリケーションを開発しています。セキュリティを高めるために、プライベートサブネット内にLinux EC2インスタンスを配置してWEBサーバーを構成しました。さらにVPCのパブリックサブネットのLinux EC2インスタンスを利用した踏み台サーバーを配置しています。社内ネットワークにあるPC端末から踏み台サーバー経由でアプリケーションサーバーに接続する必要があります。このアクセスを許可するためのセキュリティグループ設定が必要です。

この要件を満たすために、どのようにセキュリティグループを設定すればよいでしょうか。（2つ選択してください。）

説明
オプション２は正解となります。このシナリオでは、社内ネットワークにあるローカルPCなどからSSHクライアントソフトウェアを利用して、パブリックサブネット内にあるLinux EC2インスタンスを利用した踏み台サーバーにアクセスして、それを経由して、プライベートサブネット内にあるアプリケーションサーバーに接続するセキュリティグループの設定方法が問われています。

社内ネットワークにあるローカルPCから踏み台サーバーにアクセスするためには、社内IP範囲（CIDR）からポート22番のインバウンドアクセスのみを許可するセキュリティグループを踏み台サーバーインスタンスに設定することが必要です。セキュリティグループはステートフルなファイアーウォールであるため、インバウンドアクセスを許可するだけで、アウトバウンドトラフィックも許可することができます。そして、SSH接続には22番ポートの許可が必要です。

オプション５は正解となります。踏み台サーバーにアクセス出来たら、その踏み台サーバーからプライベートサブネット内にあるアプリケーションサーバーにアクセスする必要があります。そのためには、アプリケーションサーバーに踏み台サーバーのプライベートIPアドレスからのポート22番のインバウンドアクセスのみを許可するセキュリティグループを設定します。こうすることで、踏み台サーバーからのアクセスのみを許可するセキュリティが高いアクセス制御が可能となります。

オプション１と４は不正解です。アウトバウンドアクセスではなく、インバウンドアクセスを許可します。セキュリティグループはインバウンドアクセスを許可するだけで、アウトバウンドトラフィックも許可することができます。

オプション３は不正解です。SSH接続にはポート80番ではなく、22番ポートの許可が必要です。

【参照】

セキュリティグループの操作 - Amazon Elastic Compute Cloud

問題63: 不正解
あなたはソリューションアーキテクトとして、AWS上でアプリケーションを構築しています。構成として、VPCに2つのパブリックサブネットと2つのプライベートサブネットを設置しており、プライベートサブネット側にEC2インスタンスベースのMYSQLを導入し、パブリックサブネット側にEC2インスタンスベースのWEBサーバーを導入しています。

外部からSSHを利用してデータベースサーバーを更新するための構成を選択してください。（2つ選択してください。）

説明
オプション３が正解となります。このシナリオのEC2インスタンスがインターネットを介して通信するためには、VPCに設置されたインターネットゲートウェイへの通信ルートが確保されていることが必須となります。したがって、パブリックサブネットとなるサブネットのルートテーブルにおいて、インターネットゲートウェイへのルートが設定されている必要があります。また、プライベートサブネットのルートテーブルにはNATへのルート設定を行うことが必要です。

オプション４が正解となります。NATゲートウェイをパブリックサブネットに設置して、プライベートサブネットのルートテーブルにNATゲートウェイへのルートを設定することで、プライベートサブネット上のインスタンスからの返信が可能となります。

オプション１は不正解です。NATゲートウェイはパブリックサブネットに設置して、プライベートサブネットのルートテーブル内でルートを指定するべきゲートウェイです。

オプション２は不正解です。外部からデータベースにアクセスするためにデータベースサーバーにElastic IPを設定する必要は必ずしもありません。

オプション５は不正解です。プライベートサブネットにNATを設置して、パブリックサブネットのルートテーブルのNATゲートウェイへのルートを設定するのでは、逆の設定となっています。パブリックサブネットにNATを設置して、プライベートサブネットのルートテーブルにNATゲートウェイへのルート設定を行います。

【参照】

NAT ゲートウェイ - Amazon Virtual Private Cloud

問題64: 不正解
ある企業は、AWS上にWEBアプリケーションを構成しています。このアプリケーションは複数のアベイラビリティゾーンに跨るAmazon EC2インスタンス群がALBターゲットグループに構成されています。このアプリケーションは、EC2インスタンスのCPU使用率が50％を超えると、パフォーマンスが低下することがわかっています。パフォーマンス低下を防ぐためにソリューションが必要です。したがって、アプリケーションの負荷が変化しても Auto Scaling グループの CPU 使用率を約 30% あたりを自動で維持することが求められています。

この要件を満たすために、最も容易に達成できるソリューションはどれでしょうか。

説明
オプション２は正解となります。このシナリオでは、EC2インスタンスのCPU使用率が50％を超えた場合にパフォーマンスが低下することを防ぐことが必要です。そのため、今回はALBのターゲットグループにAuto Scalingグループを設定して、ターゲットトラッキングポリシーを設定して、動的スケーリングを実施します。ターゲットトラッキングポリシーは、CPU平均使用率や平均ネットワーク入力などのしきい値を指定して、それを維持できる台数にインスタンスをスケールしてくれます。つまり、CPU使用率30％をターゲットに設定してスケーリングを実行することが可能となります。

ターゲットトラッキングポリシーを使用することで、キャパシティーが増加すると減少し、キャパシティーが減少すると増加するメトリクスを使用すると、ターゲット追跡を使用してインスタンス数を比例的にスケールアウトしたり、インスタンス数を増やすことができます。これにより、Amazon EC2 Auto Scaling がアプリケーションの需要曲線に厳密に従うことが保証されます。ステップスケーリングのように、細かい段階ごとの定義が不要であり、ターゲットのキャパシティを自動で調整してくれるのがターゲット追跡スケーリングポリシーのメリットとなります。

オプション１は不正解です。EC2の簡易スケーリングポリシーは動的スケーリングオプションの１つです。上限しきい値および下限しきい値を設定して、その閾値を超過した場合にスケーリングを実施します。ほとんどの場合、単一のスケーリング調整があっても、簡易スケーリングポリシーよりもステップスケーリングポリシーが適しており、あまり利用されることはありません。

オプション３は不正解です。EC2 Auto Scalingのステップスケーリングポリシーは動的スケーリングオプションの１つです。上限しきい値および下限しきい値を複数指定して、設定した閾値に基づいて複数回にわたって段階的にスケーリングができるように設定します。ステップスケーリングではステップの段階的な設定をユーザー側で細かく定義する必要があり、ターゲットトラッキングポリシーよりも設定が難しいため、最も容易に達成できるソリューションという要件に反しています。

オプション４は不正解です。この設定はCPU使用率などの閾値をベースにスケーリングをすることができません。EC2 Auto Scalingのスケジュールされたスケーリングポリシーは特定の時間帯にスケーリングするように時間帯を設定します。例えば、毎週、ウェブアプリケーションへのトラフィックが水曜日に増え始め、木曜日は高いままで、金曜日に減り始めるとします。この場合は、水曜日にキャパシティーを増やし、金曜日に減らすように Amazon EC2 Auto Scalingのスケジュールを設定できます。

【参照】

ターゲット追跡スケーリングポリシー - Amazon Elastic Container Service

Amazon EC2 Auto Scaling のステップおよび簡易スケーリングポリシー - Amazon EC2 Auto Scaling

Auto Scaling ターゲット追跡ポリシー VS ステップスケーリングポリシー (zenn.dev)

SAA-C03版模擬試験④ - 結果
Chart

Pie chart with 4 slices.
End of interactive chart.
6回目の試み
問題4: 不正解
ある企業では2つのVPC（VPC-AとVPC-B）を利用してアプリケーションを運用しています。これらのVPCは互いにVPCピアリングを行っています。 VPC-Aはプライベートサブネットのみを含み、VPC-Bはパブリックサブネットのみを含みます。同社は、単一のDirect Connect接続と仮想インターフェイスを使用してオンプレミスネットワークとVPC-Aを接続しています。

オンプレミスネットワークとVPC-Aの接続のフォールトトレランスを向上させる対策を選択してください。（2つ選択してください。）

企業ネットワークへのVPN接続またはAWS Direct Connect接続
インターネットゲートウェイを介したインターネット接続
NATデバイスを介したプライベートサブネット内のインターネット接続
AWSサービス（S3など）へのVPCエンドポイント
（IPv6）ClassicLink接続。

【参照】

サポートされていない VPC ピア接続設定 - Amazon Virtual Private Cloud

この要件を満たすために利用すべきサービスの仕組みを選択してください（2つ選択してください。）

【参照】

AWS Step Functions（分散アプリケーションの調整）| AWS (amazon.com)

[アップデート] Amazon SQS が VPC エンドポイントに対応！VPN 経由でオンプレミスからアクセスしてみた | DevelopersIO (classmethod.jp)

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。（２つ選択してください。）

・すべての AWS リージョンのすべての Amazon S3 バケット (2022 年 12 月以降に開始されたオプトインリージョンを含む)

・AWS KMS による Amazon S3 サーバー側の暗号化 (SSE-KMS)

・Amazon S3 に対する動的なリクエスト (PUT と DELETE)

【参照】

Amazon S3 オリジンへのアクセスの制限 - Amazon CloudFront

これらの要件を満たすために、現在のアプリケーションをどのように改善すればよいでしょうか。

【参照】

ブラウザから Amazon S3 への写真のアップロード - AWS SDK for JavaScript

Amazon DynamoDB でサポートされるデータ型と命名規則 - Amazon DynamoDB

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。

・リクエストの IP アドレスの送信元

・リクエストの送信元の国

・リクエストの一部に含まれる文字列一致または正規表現 (regex) 一致

・リクエストの特定の部分のサイズ

・悪意のある SQL コードまたはスクリプトの検出

オプション３は不正解です。ALBには、地理的な一致条件に基づいてトラフィックをブロックするルールをALBルールといった機能はありません。

【参照】

ウェブアクセスコントロールリスト (ウェブ ACL) - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced (amazon.com)

この要件を満たすために、どのようなAWSサービスを利用しますか。

オプション２は不正解です。プロビジョンド IOPS SSD (io1) Block Expressボリュームというストレージタイプはありません。

オプション３は不正解です。プロビジョンド IOPS SSD (io2) ボリュームでは、ボリュームあたりの最大 IOPSが64,000までが限界となっています。

オプション４は不正解です。プロビジョンド IOPS SSD (io3) ボリュームというストレージタイプはありません。

[ 参照]

Provisioned IOPS SSD ボリューム - Amazon Elastic Compute Cloud

問題32: 正解
あなたの会社はプロ野球の試合に関するデータ解析サービスを開発しています。解析に利用するデータは永続的に保存されて、データの保存先は可用性・拡張性に優れている必要があります。また、このデータ解析にはSQLクエリを利用しているため、データベースはリレーショナルデータベースであることも必須です。サービスリリースはシーズン開幕直前を予定しており、試合日には数100万件を超えるクエリが発生すると予測されています。また、ダウンタイムが発生した場合には瞬時にフェールオーバーが実行できることが要件となっています。

これらの要件を満たす最も費用対効果の高いソリューションを選択してください。

説明
今回のケースのように可用性が高い数百万のクエリを処理できるデータベースとしてはAmazon Auroraを利用します。Auroraは標準的な RDS for MySQL と比べて 5 倍のスループット、標準的な RDS for PostgreSQL と比べて 3 倍のスループットを実現することができます。

Auroraはクラスターが3つのAZに分散されて構成されており、初めから高い可用性を担保することが可能です。今回はダウンタイムが発生した場合には瞬時にフェールオーバーが実行できることが要件となっているため、Auroraレプリカを構成することが必要です。フェールオーバーの実行時間はAmazon Aurora レプリカを作成している場合は開始から終了までに通常 30 秒以内に完了します。Amazon Aurora レプリカを作成していない場合はフェイルオーバーは 15 分以内（通常は１0分未満程度）で完了することになります。したがって、Auroraクラスターを実装して、Auroraレプリカを構成することが最適となります。オプション３が正解となります。

オプション１と２は不正解です。ダウンタイムが発生した場合には瞬時にフェールオーバーが実行できることが要件となっているため、Auroraレプリカを構成することが必要です。

オプション２と４は不正解です。Auroraの構成がマルチリージョン構成となっており、正しくありません。AuroraはAuroraレプリカのみを別リージョンに構成することでマルチリージョンに展開することが可能ですが、これはDR対策として別リージョンでのデータ維持が必要な場合か、別リージョンでの読み取り処理が発生している場合に効果的な構成となります。今回はそのような要件がないため、マルチAZ構成が正解となります。

【参照】

Amazon Aurora（高性能マネージドリレーショナルデータベース）| AWS

Amazon Aurora でのレプリケーション - Amazon Aurora

この要件を満たすために、どのソリューションを利用すればよいでしょうか。

【参照】

Amazon SQS に基づくスケーリング - Amazon EC2 Auto Scaling

CloudWatch で Amazon SQS キューのモニタリング - Amazon Simple Queue Service

問題35: 正解
次のIAMポリシーでDynamoDBに対する権限設定を行っています。

{

"Version": "2012-10-17",

"Statement": [

    {

        "Effect": "Allow",

        "Action": [

            "dynamodb:DeleteItem",

            "dynamodb:GetItem",

            "dynamodb:PutItem",

            "dynamodb:UpdateItem"

        ],

        "Resource": [

            "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"

        ],

        "Condition": {

            "ForAllValues:StringEquals": {

                "dynamodb:LeadingKeys": [

                    "${cognito-identity.amazonaws.com:sub}"

                ]

            }

        }

    }

]

}

この設定内容として正しい内容を選択してください。

説明
このポリシーでは、ユーザーの Amazon Cognito ID に基づいて行レベルで Amazon DynamoDBのmyDynamoTable にアクセスできます。前半のステートメントでは、myDynamoTableに対して、Delete、Get、Put、Updateの４つの操作を許可しています。

        "Effect": "Allow",

        "Action": [

            "dynamodb:DeleteItem",

            "dynamodb:GetItem",

            "dynamodb:PutItem",

            "dynamodb:UpdateItem"

        ],

        "Resource": [

            "arn:aws:dynamodb:us-west-1:123456789012:table/myDynamoTable"

        ],

次に条件文では、 Amazon Cognito ID を有している場合に限定しています。

        "Condition": {

            "ForAllValues:StringEquals": {

                "dynamodb:LeadingKeys": [

                    "${cognito-identity.amazonaws.com:sub}"

                ]

            }

        }

したがって、オプション２が正解となります。Amazon Cognito IDがあれば、myDynamoTableへのアクセスが許可されることになります。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。

つまり、第三者の監査チームはIAMロールによってS3バケット内にアクセスできますが、データそのものは閲覧ができないようになります。

【参照】

Amazon S3 バケットキーを使用した SSE−KMS のコストの削減 - Amazon Simple Storage Service

このLambda関数処理を改善するために必要な方法を選択してください。

【参照】

Lambda 関数でのレイヤーの使用 - AWS Lambda (amazon.com)

問題42: 正解
あなたはソリューションアーキテクトとして、AWSでプロビジョンドIOPS（io1）ボリュームを作成しています。このボリュームのサイズは10 GiBです。

IOPSボリュームに設定する正しいプロビジョニング値を選択してください。

説明
このシナリオでは、EBSボリュームを設定する際の正しいIOPSのプロビジョニング値を計算するための知識が問われています。EBSボリュームはそのタイプに応じて様々なIOPSのプロビジョニング値を達成することができます。その際に要件に応じて、最適なサイズを利用する必要があります。

IOPSボリュームサイズの範囲は4 GiBから16 TiBです。さらに、IOPSボリュームのNitroシステムインスタンスファミリを利用するとボリュームあたり100 IOPSから最大64,000 IOPS、他のインスタンスファミリでは最大32,000 IOPSまでプロビジョニングできます。

プロビジョンドIOPSボリュームのIOPS性能とボリュームサイズ（GiB単位）の最大比は50：1で設定できます。たとえば、100 GiBボリュームは、最大5,000 IOPSでプロビジョニングできます。サポートされているインスタンスタイプでは、サイズが1,280 GiB以上のボリュームであれば、最大64,000 IOPS（50×1,280 GiB = 64,000）までプロビジョニングできます。

したがって、このシナリオでは、10×50という計算となり500IOPSでプロビジョニングができるようになります。

【参照】

Amazon EBS プロビジョンド IOPS ボリュームのパフォーマンスを最適化する

新登場した AWS Provisioned IOPS SSD (io2) EBS ボリュームを io1 や gp2 と比較する - Qiita

プロトコルの設定として正しいCloudFormationテンプレートの記述内容はどれでしょうか？（２つ選択してください。）

【参照】

AWS::EC2::SecurityGroupIngress - AWS CloudFormation (amazon.com)

必要な暗号化を実現するサービスはどれでしょうか？（2つ選択してください）

【参照】

Application Load Balancer 用の HTTPS リスナーを作成する - Elastic Load Balancing (amazon.com)

Amazon EBS 暗号化 - Amazon Elastic Compute Cloud

IDフェデレーションとロールベースのアクセス制御をAWSで使用する方法を選択してください（2つ選択してください。）

したがって、オプション２と３が正解となります。

オプション４は不正解です。Active DirectoryからユーザーまたはグループにIAMロールを割り当てることで、ロールを設定します。

オプション５は不正解です。Active DirectoryからユーザーまたはグループにIAMロールを割り当てることで、ロールを設定します。

【参照】

オンプレミス Active Directory ユーザー向けに AWS マネジメントコンソールへのアクセス権を付与する (amazon.com)

次のどのサービスを利用することが最適でしょうか？

【参照】

ワークロード管理 - Amazon Redshift

問題53: 正解
あるコンサルティング企業は、グローバルにオフィスを展開しています。同社は多数のユーザーからの知見を共有するためにAWS上にナレッジデータベースを構築しようとしています。

同社は設立から50年分のコンサルティングレポートがPDFファイルに記録されています。これらはグローバルにファイルをアップロードとダウンロードができる必要があります。グローバルに利用されるために、このデータベースシステムは24時間365日利用されるようです。また、ファイルを効率的に検索できるように、文字フレーズによる検索機能が必要です。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。

説明
オプション１が正解となります。このシナリオでは、ドキュメント共有アプリケーションにおいてPDFファイルを大量に保存して共有しつつ、フレーズによる検索機能を実装する必要があります。Amazon S3バケットにドキュメントデータを保存・共有してから、Amazon OpenSearch Serviceと連携することで、ドキュメント共有アプリケーションにフレーズ検索機能を実装することができます。

Amazon OpenSearch Service は Amazon Elasticsearch Service の後継であり、OpenSearch およびレガシーの Elasticsearch OSSなどの検索ソフトウェアを利用して、AWS上に検索ソリューションを実現することができます。Amazon RDSやAmazon S3と連携して、そのデータを検索する仕組みを実装できます。

OpenSearch はログ分析、リアルタイムのアプリケーションモニタリング、クリックストリーム分析などのユースケース向けのオープンソースな検索および分析エンジンです。

オプション２は不正解です。Amazon Athena はサーバレスなクエリ分析サービスでAmazon S3 内のデータに対してSQLクエリを実行できるサービスです。しかしながら、SQLではフレーズ検索はできません。

オプション３は不正解です。Amazon S3 SelectはSQL クエリを使用して、コンマ区切り値 (CSV) ファイルとしてAmazon S3上のデータを抽出できるS3のネイティブ機能です。SQLではフレーズ検索はできません。

オプション４は不正解です。Amazon RedshiftはS3をデータレイクストレージとして構成して、SQL クエリを使用した分析を行えます。SQLではフレーズ検索はできません。

【参照】

Amazon OpenSearch Service とは？ - Amazon OpenSearch Service

ELBを利用せずに高可用性とフォールトトレランスを適用する方法を選択してください。（2つ選択してください。）

したがって、オプション１と２が正解となります。

この場合のOU内のメンバーアカウントの権限状況を説明してください。

【参照】

SCP を使用した戦略 - AWS Organizations (amazon.com)

問題58: 正解
ある企業は2層アプリケーションを開発しています。このアプリケーションはEC2インスタンスによって構成されており、HTTPS接続を利用します。WEB層では、パブリックサブネット内のAmazon EC2インスタンスにホストされたWEBサーバーを利用する予定です。データベース層では、プライベートサブネット内のAmazon EC2インスタンスに対してMicrosoft SQL Serverをインストールして構成します。２つのサーバー間でセキュリティグループを使ったアクセス制御を設定する必要があります。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。（2つ選択してください。）

説明
オプション１が正解となります。このシナリオでは、EC2インスタンスを利用したWEBサーバーとデータベースサーバー間の通信を可能にするために、適切なセキュリティグループを使ったアクセス制御設定が求められています。

最初にWEBサーバーへのインターネットからのアクセスを許可するために、443番ポートで0.0.0.0からのインバウンドトラフィックを許可するセキュリティグループをウェブ層のEC2インスタンスに設定します。セキュリティグループはステートフルなファイアーウォールであるため、インバウンドアクセスを許可するだけで、アウトバウンドトラフィックも許可することができます。そして、HTTPS接続には443番ポートの許可が必要です。

オプション３も正解となります。次にウェブサーバーからMicrosoft SQL Serverへのアクセスを許可するには、WEBサーバーのセキュリティグループIDをターゲットにして、1433番ポートのバウンドトラフィックを許可するセキュリティグループをDBインスタンスに設定します。Microsoft SQL Serverは1433番ポートでの接続許可が必要となります。

オプション２と４と５は不正解です。アウトバウンドアクセスではなく、インバウンドアクセスを許可します。セキュリティグループはインバウンドアクセスを許可するだけで、アウトバウンドトラフィックも許可することができます。

オプション５は不正解です。1433番ポートでデータベース層に設定したセキュリティグループIDを設定するのではなく、ウェブ層に設定したセキュリティグループIDからのインバウンドトラフィックを許可するセキュリティグループをDBインスタンスに設定することが必要です。

【参照】

HTTP ポートまたは HTTPS ポートで Amazon EC2 インスタンスに接続する

Amazon RDS DB インスタンスへの接続 - Amazon Relational Database Service

問題61: 正解
あるソリューションアーキテクトはAWS上のコンテナ内で実行される業務アプリケーションを設計しています。このアプリケーションは高可用性が担保されている必要があります。また、Dockerコンテナ化されたワークロードを利用する必要があります。その際は、コンピューティングエンジンの構成管理のオーバーヘッドを削減することが必要となります。

この要件を満たすために、ソリューションアーキテクトはどうすればよいでしょうか。

説明
オプション２が正解となります。このシナリオでは、Dockerコンテナベースのアプリケーションの高可用性を担保しつつ、そのコンピューティングエンジンの構成管理のオーバーヘッドを削減することが必要となります。AWSではAmazon ECSを利用してDockerコンテナベースのアプリケーションを開発することができます。その際に、AWS Fargate起動タイプを選択することで、コンテナベースのインフラストラクチャのプロビジョニングと管理をサーバレスに自動化することが可能です。AWS Fargate は、Amazon ECS ワークロードをサーバーレスでホスティングするための手段を提供します。

オプション１は不正解です。Amazon EC2インスタンスを使用し、Dockerソフトウェアをインスタンスにインストールして、独自にDocker環境を利用することは可能ですが、一からユーザー側でセットアップして管理する必要があるため、非常に非効率です。これはインフラストラクチャのプロビジョニングと管理オーバーヘッドを抑制するという要件に合致していません。

オプション２と３は不正解です。EC2起動タイプでは通常のEC２インスタンスをAamzon ECSオーケストレーションのコンピューティングエンジンに利用します。したがって、インスタンスの設定が必要となります。管理オーバーヘッドを抑制するためにDocker上でEC2インスタンスを管理しないようにするには、Fargate起動タイプを使用する必要があります。

【参照】

Amazon ECS 起動タイプ - Amazon Elastic Container Service