スポンサーリンク

【AWS】ソリューションアーキテクトアソシエイト無料問題。

AWS
スポンサーリンク

今回の記事はAWS認定資格のソリューションアーキテクトアソシエイトの無料問題をご紹介する記事です。ソリューションアーキテクトアソシエイトの資格勉強を行っている方は是非対策に役立ててください。

試験でよく問われる用語をまとめた記事も記載しておりますので下記参照ください。

【AWS】ソリューションアーキテクトアソシエイト用語一覧

Amazon公式のソリューションアーキテクト認定資格ページは下記です。

AWS認定 ソリューションアーキテクト アソシエイト

スポンサーリンク

ソリューションアーキテクトアソシエイト無料問題

問題1

AWSサービスを利用する上でサービスがどこで稼働しているかによって、「AZサービス」「リージョンサービス」「グローバルサービス」に分かれます。下記で正しい組み合わせはどれか?(2つ回答)

  1. EC2はグローバルサービスである
  2. CroudFrontはグローバルサービスである
  3. AutoScalingはリージョンサービスである
  4. Route53はリージョンサービス
  5. VPCはAZサービスである
解答解説を見る

正解:2,3

アベイラビリティゾーンサービスにはEC2/RDS/サブネットなどが含まれます。
リージョンサービスにはVPC/AutoScaling/DynamoDBなどが含まれます。
グローバルサービスにはRoute53/Cloud Front/S3(データはリージョンに保存)などが含まれます。
実際このような問題は出ないので問題0にしています。

問題2

ある会社は同一リージョンに属する外部ベンダーの保有するAWSアカウントのVPC内で稼働しているアプリから、データを連携し、自社のAWSアカウントが保有するVPC内のアプリに連携する必要があります。可能な限りセキュアなデータ連携を実現できるにはどのサービスが最適でしょうか?

  1. IAMロールでVPC間を接続するポリシーを設定し、VPCにロールを付与する。
  2. IAMグループを一つ作成し、ベンダー側と自社側でそれぞれのユーザをIAMグループに登録するクロスアカウント設定を実施。アカウント共有を行うことで、VCPを共有するように設定する。
  3. VPCピアリングを利用してVPC間を接続する。
  4. DirectConectをお互いの企業のVPCに接続し、VPC間を接続する。
解答解説を見る

正解:3

VPCピアリングを利用すると、同一リージョン内のVPCと接続し、同じネットワーク内のように自由にデータ連携などを行うことが可能です。似た機能にプライベートリンクという機能があります。データを一方向のみに渡す場合、こちらも有用です。違いのまとめは下記サイトを参照ください。
VPCピアリングとプライベートリンクの違い

1と2のIAMロールではVPC間の接続は制御できません。また、2のクロスアカウント設定は他の組織に対しては利用できません。
4の DirectConnectはオンプレミスとVPC間を接続するサービスのため不適です。

問題3

AWSに自社用のデータベースと連携するWebアプリをリリースする予定です。その際の設定として最もセキュアなものはどれか?

  1. アプリケーションサーバとデータベースサーバの両方をパブリックサブネットに設置する。NATゲートウェイをパブリックサブネットに設置し、ルートテーブルをデータベースサーバのサブネットに設定する。
  2. アプリケーションサーバをパブリックサブネットに設置し、データベースサーバをプライベートサブネットに設置する。NATゲートウェイをパブリックサブネットに設置し、ルートテーブルをデータベースサーバのサブネットに設定する。
  3. アプリケーションサーバをパブリックサブネットに設置し、データベースサーバをプライベートサブネットに設置する。NATゲートウェイをプライベートサブネットに設置し、ルートテーブルをデータベースサーバのサブネットに設定する。
  4. アプリケーションサーバとデータベースサーバを共にプライベートサブネットに設置する。VPNを使ってプライベートサブネットにアクセスするように設定する。
解答解説を見る

正解:4

パブリックサブネットにサービスが出ている場合、どうしてもインターネットからのアクセスを考慮する必要があります。NATゲートウェイを使用することで対応はできますが、アプリケーションサーバ。データベースサーバ共にプライベートサブネットに配置した方がセキュリティは高くなります。そこにVPNを使ってアクセスすることで、インターネットを経由することなくアクセスが可能となります。そのため、4が正解となります。
NATゲートウェイはパブリックサブネットに設置します。

問題4

AWS上でドキュメント共有アプリを構築しています。このアプリにはユーザがHTTP通信でドキュメントをS3にアップロードします。社内データの取り扱いに関してよりセキュリティ強化を行うということで、ドキュメントは保存後、どんなユーザも変更も削除もできないようにすると取り決められました。この場合、最適な対応はどれに当たるでしょうか?

  1. S3バケットにボールトロックを設定する。
  2. S3オブジェクトロックのガバナンスモードを設定する。
  3. S3バケットからGlacierにドキュメントを移動し、ボールとロックを設定する。
  4. S3オブジェクトロックのコンプライアンスモードを設定する。
解答解説を見る

正解:4

S3オブジェクトロックのコンプライアンスモードを設定することで、管理者を含むすべてのユーザがオブジェクト削除をできないようにできます。 1のボールとロックはGlacierに設定するものです。
2のオブジェクトロックのガバナンスモードは管理者が削除することができるので不適です。
3のボールトロックポリシーはオブジェクトの操作を制御するポリシーです。削除できないようにすることはできません。

問題5

企業はAWSでアプリケーションをCroudFrontを使って全世界に配信しています。1週間前よりアプリのレイテンシーが高くなっていることユーザから通知され気づくことができました。原因を特定したところ、特定のIPアドレスから異常な数のアクセスがあることがわかりました。適切な対応はどれでしょうか?

  1. 原因はDDoS攻撃のため、特定のIPアドレスを遮断することが必要です。CroudFlontにACLを設定し、特定のIPを遮断するルールを付与する。
  2. 原因はDDoS攻撃のため、特定のIPアドレスを遮断することが必要です。CroudFlontにWAFを設定し、特定のIPを遮断するルールを付与する。
  3. 原因はMITB攻撃のため、特定のIPアドレスを遮断することが必要です。CroudFlontにACLを設定し、特定のIPを遮断するルールを付与する。
  4. 原因はMITB攻撃のため、特定のIPアドレスを遮断することが必要です。CroudFlontにWAFを設定し、特定のIPを遮断するルールを付与する。
解答解説を見る

正解:2

CroudFlontにWAF(WebApplicationFirewall)を設定し、IPアドレスを遮断する方法はよく問われます。DDoS攻撃も試験の中で、いくつか対策手法を問われることがあるので押さえておきましょう。MITB攻撃はユーザーのWebブラウザと接続先のWebサイトとの間で交わされる通信を乗っ取り、不正な操作を行う攻撃のことで、今回の攻撃手法とは違います。
2のオブジェクトロックのガバナンスモードは管理者が削除することができるので不適です。
3のボールトロックポリシーはオブジェクトの操作を制御するポリシーです。削除できないようにすることはできません。

問題6

企業はAWSのEC2でアプリをホストしています。このEC2インスタンスにIP制限をかける必要があり、セキュリティグループを設定することにしました。セキュリティグループを設定した際に、現在稼働しているアプリにIP制限が適用されるタイミングとして正しいものはどれか?

  1. EC2インスタンスを一度停止し、再度起動させたあとに適用される。
  2. EC2インスタンスはそのままで、300秒後に設定が反映される。
  3. EC2インスタンスのコンソール画面で、リフレッシュボタンを押下した後に反映される。
  4. セキュリティグループの反映は設定した後瞬時に反映される。
解答解説を見る

正解:4

セキュリティグループなどの設定はすぐに反映されます。EC2インスタンスを再起動などは必要ありません。

問題7

企業はAWSに高度な計算処理を実行するアプリケーションを展開予定です。その際に最適なインスタンスファミリーを選択する必要があります。下記選択肢の中で最も最適なインスタンスはどれでしょうか?

  1. 高速コンピューティングインスタンス
  2. 汎用インスタンス
  3. ストレージ最適化インスタンス
  4. メモリ最適化インスタンス
解答解説を見る

正解:1

EC2インスタンスの名前とインスタンスの特徴はおさえておきましょう。

  • 汎用:A1・M5・T3
    バランスが取れたインスタンス。クラスタープレイスメントグループによる設定可能。
  • コンピュータ最適化:C5・C6g
    高パフォーマンスが必要なアプリ用。
  • メモリ最適化:X1・R5
    メモリ内の大きいデータセットを処理するのに最適。
  • 高速コンピューティング:P3・G4
    高い計算能力。
  • ストレージ最適化:I3・D2・H1
    ローカルストレージの大規模データセットに対する高い読み取り能力。

問題8

ある企業は月末に、データベースの稼働状況のレポートを取得するアプリを使用しています。このアプリをAWSのEC2インスタンスに展開予定で、タスク終了は10分程度です。このレポート取得タスクは2〜3年必要な作業で、EC2インスタンスに他のタスクはありません。最もコストが安くなるインスタンスの契約はどれでしょうか?

  1. リザーブドインスタンスを契約する。
  2. オンデマンドインスタンスを契約する。
  3. リザーブドインスタンスを契約し、saving planを適用する。
  4. オンデマンドインスタンスを契約し、キャパシティー予約を設定する。
解答解説を見る

正解:4

企業は月末数分のみの稼働でインスタンスを使用する予定です。2〜3年の中長期利用となっており、リザーブドインスタンスのsaving planは適用可能ですが、月一度数分の利用の場合はオンデマンドインスタンスのキャパシティ予約の方がコストが低いです。リザーブドインスタンスは常に稼働しているアプリをホストする場合などにオンデマンドインスタンスよりもコスト面で優れます。

問題9

ある企業はWEBアプリをAWS上に展開しています。このアプリは不規則的な急激な負荷上昇がモニタリングされています。そのため、負荷に応じて段階的にスケーリングを設定することにしました。この要件を満たすAuto Scalingの設定方法はどれでしょうか?

  1. 簡易スケーリング
  2. スケジュールスケーリング
  3. 手動スケーリング
  4. ステップスケーリング
解答解説を見る

正解:4

今回の要件では負荷に応じて段階的にスケーリングを行うということなので、ステップスケーリングが最適です。
ステップスケーリングは複数の閾値を設定して、段階的なスケーリングが可能です。
1の手動スケーリングは手動でスケーリングを実施することです。これは常にスケーリングを実施する人を当てる必要がありあまり採用されません。
スケジュールスケーリングは規則的・周期的にスケーリングができます。
簡易スケジューリングは1段階の閾値を決めてスケーリングできます。

問題10

企業は2つのコンポーネント間の連携をAWS上で実現する方式を検討しています。「データ登録」をトリガーとして、複数のEC2インスタンスを利用して処理サーバーでデータ処理を並列で実行予定です。この「データ登録」は多数発生する可能性がありますが、重複で実行されてはいけません。この要件を満たすためにはどの組み合わせが正しいでしょうか?

  • Amazon SNSによるプッシュ通知で、リクエストをAmazon SQSキューに送信。キュー内のリクエストメッセージをEC2インスタンスがポーリングするように設定し、データ処理を並列処理。
  • Amazon SQSキューにリクエストを送信。キュー内のリクエストメッセージをLambda関数により、データ処理を並列処理。
  • Amazon SNSによるプッシュ通知で、リクエストをLambda関数に送信。Lambda関数により、データ処理を並列処理。
  • Amazon SNSによるプッシュ通知で、リクエストをEC2インスタンスに送信。EC2インスタンスにより処理を並列処理。
解答解説を見る

正解:1

今回の要件ではデータ登録をトリガーとして、複数インスタンスに処理を重複なく並列処理させる必要があります。
こういったジョブの並列処理はSQSとSNSまたはAmazon MQが利用されます。
キューがある場合、1度は確実に処理がなされる必要があるので、インスタンスから また、ステップスケーリングは複数の閾値を設定して、段階的なスケーリングが可能です。
1の手動スケーリングは手動でスケーリングを実施することです。これは常にスケーリングを実施する人を当てる必要がありあまり採用されません。
スケジュールスケーリングは規則的・周期的にスケーリングができます。
簡易スケジューリングは1段階の閾値を決めてスケーリングできます。

問題11

ある企業はAWSで業務アプリを展開しています。インスタンスはHTTPとHTTPSそれぞれの通信を別のインスタンスで処理するようなインスタンスのグループをALBのターゲットグループに構成しています。すべての通信をHTTPSに統一したい場合、適切な対応はどれか?

  1. HTTP通信をHTTPS通信に変換するALBのリスナールールを設定する。
  2. HTTP通信をHTTPS通信にリダイレクトするALBのリスナールールを設定する。
  3. HTTPS通信のみを許可するように、ALBのネットワークACLを設定する。
  4. セキュリティグループをインスタンスに設定し、HTTP通信を遮断する。
解答解説を見る

正解:2

今回の要件では、ALBにより、HTTP通信をHTTPSにリダイレクトする必要があります。そのため、ALBにリスナールールでリダイレクトのルールを設定するのが適切です。
1の変換はできません。3のACLはALBに設定することはできません。また、通信を遮断するのはダメです。4のセキュリティグループはインスタンスには設定可能ですが、通信を遮断するのは望ましくありません。

問題12

ある企業はAWSを利用し、ファイルストレージを構築予定です。現在企業が利用しているファイルストレージサービスは、オンプレ環境のSMBプロトコルでデータ転送を行うファイルサーバです。最も構築コストが低く簡易に利用できるAWSストレージはどれか?

  1. Amazon EBS
  2. Amazon EFS
  3. Amazon S3
  4. Amazon FSx
解答解説を見る

正解:4

SMBプロトコルを使ってアクセス可能なファイルストレージはAmazon FSx for Windowsのみです。
Amazon EBSは、EC2と共に使用するために設計されたブロックストレージです。
Amazon EFSは、NFSv4プロトコルを利用するファイルストレージです。
Amazon S3はSFTPプロトコルを利用するストレージサービスです。

問題13

ある企業は複数のインスタンスを起動し、インスタンス間で通信が発生するアプリを展開しています。アプリは低レイテンシーと高スループットを実現する必要があります。下記選択肢の対応としてはどれが最も適した対応でしょうか?

  1. 複数のAZにまたがるAuto Scalingグループでインスタンスを起動する。
  2. クラスタープレイスメントグループでEC2インスタンスを起動する。
  3. パーティションプレイスメントグループでEC2インスタンスを起動する。
  4. スプレッドプレイスメントグループでEC2インスタンスを起動する。
解答解説を見る

正解:3

プレイスメントグループは、複数のインスタンスを論理的にグループ化し、パフォーマンスの向上や耐障害性を高める機能です。

  • クラスタープレイスメントグループ:単一AZ内でネットワーク性能の引き上げを行う
  • パーティションプレイスメントグループ:同一リージョン内でハードウェア障害対策
  • スプレッドプレイスメントグループ:同一リージョン内でハードウェア障害対策

1のAuto Scalingは耐障害性を高める手法なため今回の要件には合いません。

問題14

ある企業はAWSのVPC内で複数のインスタンスを稼働させ、アプリを展開している。VPCにはネットワークインターフェイスがアタッチされており、インスタンスへリクエストが到達する構成です。企業はインスタンスにアクセスするIPトラフィック情報を管理したいと考えています。
管理面を考慮し、最も適した構成を作成するにはどうすればいいか?(2つ選択してください。)

  1. AWS CloudTrailを利用し、ログ取得を有効化する。
  2. ネットワークインターフェースに対してVPCフローログを有効化する。
  3. ネットワークインターフェイスの手前にNLBを設置し、NLBのログを有効化する。
  4. インスタンスにCloudWatchをインストールする。
  5. AWS Logsを対象のインスタンスに対して有効化する。
解答解説を見る

正解:2,4

ネットワークインターフェイスに対してVPCフローログを有効化することで、IPトラフィック情報をキャプチャ可能です。さらに、インスタンスにCloudWatchをインストールすることで、ログを収集することができます。
1のCloudTrailはユーザーログを取得し、不正を監視するサービスです。EC2インスタンスのログは取得できません。
3のNLBでアクセスログは出力可能ですが、TLSリスナーのログのみとなっています。そのため今回の要件には合致しません。
5のAWS Logsというサービスはありません。

問題15

企業はAWSにアプリを構築しています。インスタンスに障害が発生した場合、別の待機インスタンスに処理を継続させる構成になっています。アプリ運用開始してしばらく経過後、インスタンス障害により、トラフィックが自動で別インスタンスに切り替えられました。しかし、アプリ処理は継続されず停止しました。IPアドレスが変更され、アプリの処理継続ができなくなったことが原因のようです。解決策はどれか?

  1. Route53のルーティングレコードを書き換え、ホスト名を待機系のIPアドレスに向け直す。
  2. IPフローティングで、待機系インスタンスにIPアドレスの付け替えを実施する。
  3. NLBによってインスタンスのトラフィックを待機系インスタンスに向ける。
  4. AutoScalingによってインスタンスのスケーリングを実施する。
解答解説を見る

正解:2

今回の要件では、アプリ処理は継続性があるため、待機系インスタンスへの切り替えは即座に実施される必要があります。そのため、IPフローティングを用いるのが最適です。1や3のNLBやRoute53でもインスタンス切り替えは可能ですが、一定のダウンタイムが発生します。
AutoScalingは可用性を向上させることはできますが、特定のIPの割り当てなどはできません。

問題16

企業はオンプレで稼働しているアプリをAWSに移行予定です。アプリはストレージにアップロードされたファイルを初めの1週間は低頻繁で読み込みます。低頻度ですが、アプリの使用上、データ取り出しは60秒以内に行えることが望ましいです。1週間をすぎると、アプリからの読み取りは無くなりますが、稀に監査や調査によりファイルを取り出す必要があります。この監査や調査は不定期ですが、実施の際はデータの取り出しは数分で可能なことが望ましいです。この企業はAWSに移行する点で可用性よりもコスト面を重視しております。最適な構成はどれか?(2つ選択)

  1. 最初の1週間はS3ストレージのStandardクラスを採用する。
  2. 最初の1週間はS3ストレージのStandard-IAクラスを採用する。
  3. 最初の1週間はS3ストレージのOne Zone-IAクラスを採用する。
  4. ライフサイクルルールにより1週間後にGlacier Deep Archiveにデータを移行する設定をする。
  5. ライフサイクルルールにより1週間後にGlacier Flexible Retrieval(迅速取り出しモード)にデータを移行する設定をする。
  6. ライフサイクルルールにより1週間後にGlacier Instant Retrievalにデータを移行する設定をする。
解答解説を見る

正解:3,5

S3とGlacierのストレージタイプと特徴は下記のようになっています。

  • Glacier Instant Retrieval
    迅速なデータ取り出しが可能。
  • Glacier Flexible Retrieval
    標準で3~5時間、迅速取り出しモードで2~5分でデータ取り出し可能。
  • Glacier Deep Archive
    標準で9時間以上〜12時間以内でデータ取り出し可能。
  • S3 Standard
    標準ストレージ。迅速なデータ取り出しが可能。
  • S3 Standard-IA
    低頻度アクセス用。迅速なデータ取り出しが可能。
  • S3 One Zone-IA
    低頻度アクセス用。迅速なデータ取り出しが可能。単一AZにデータを保存させることで、可用性は失われるがその分コストが安い。

今回の要件上、最初の1週間は低頻度ですが、60秒以内にデータを取り出す必要があります。そのため、IA系を利用します。IA系はデータ取り出し時に課金されるため高頻度の取り出しが発生する場合は不向きですが、今回は利用すべきです。IA系の中でもOne Zone-IAはデータの可用性が必要ない場合に使用でき、選択肢の中のS3ストレージの中では最も安いです。
次に1週間後からはアプリからのデータ取り出しはなくなるため、さらに低頻度なアクセスになります。そのため、S3バケットにライフサイクルポリシーを設定し、Glacierにデータを移行します。取り出し要件は数分なので、5のGlacier Flexible Retrieval(迅速取り出しモード)が最適です。

問題17

AWS上で稼働する配送管理アプリの伝票データを出力するアプリがあります。伝票は出荷後もしばらくの間保存しておく必要があります。伝票自体はS3ストレージに保存され、誰でもアクセス可能です。事務処理が全て完了した伝票に関しては削除しても問題ないですが、未完了の伝票は削除されてはいけません。この場合、S3にどの対応をすることが最も簡易的でしょうか?

  1. S3バケットにボールトロックを設定する。
  2. S3バケットのスナップショットを定期的に自動取得する。
  3. S3バケットのバージョニング機能を有効化する。
  4. S3にデータを蓄積し、別リージョンにもS3を作成する。その後CORSを設定する。
解答解説を見る

正解:3

バージョニングはバケットに保存されたファイルが誤って削除された場合、前のバージョンに戻すことで、復元することができます。
1のボールトロックはバケットのファイル全てが削除できるため不適です。
2のS3バケットのスナップショットはライフサイクルルールによって取得することはできません。
4のCORSは別リージョンなどからのアクセスを有効化するだけで、削除したファイルを復元することはできません。

問題18

企業はAWSで業務用Webアプリを稼働させる予定です。このアプリは専用端末からEC2インスタンスに画像をアップロードし、APIを利用してS3バケットに保存する仕様予定となっております。セキュリティ要件上セキュアな構成が求められております。どの選択肢が最も適切でしょうか?

  1. AWS VPNを利用して端末からEC2へ画像をアップロード。その後、S3エンドポイント経由でS3にファイルを転送する。
  2. AWS VPNを利用して端末からEC2へ画像をアップロード。その後、APIゲートウェイ経由でS3にファイルを転送する。
  3. AWS Direct Connectを利用して端末からEC2へ画像をアップロード。その後、S3エンドポイント経由でS3にファイルを転送する。
  4. AWS Direct Connectを利用して端末からEC2へ画像をアップロード。その後、APIゲートウェイ経由でS3にファイルを転送する。
解答解説を見る

正解:3

AWS VPNとAWS Direct Connectでは専用線経由のDirect Connectの方がよりセキュアです。
また、インスタンスが存在するVPCにS3エンドポイントを設定することで、インターネットを経由せずにS3にアクセス可能です。

問題19

企業では複数のインスタンスに対してWEBアプリを展開しています。1つのインスタンスから別リージョンのS3バケットのオブジェクトにアクセスするために、VPCエンドポイントを使用する予定です。この仕様でコンテンツをシェアする場合の適切な構成はどれか?

  1. S3のCORSを設定し、対象リージョンにS3バケットを共有する。
  2. S3のCRRを設定し、対象リージョンにS3バケットをレプリケーションする。
  3. S3 transfer accelerationを有効化し、対象リージョンにS3バケットを共有する。
  4. 異なるリージョン間の対象となるVPCとVPCピアリングを設定し、対象リージョンにS3バケットを共有する。
解答解説を見る

正解:2

2のCRR(クロスリージョンレプリケーション)を使うと、リードレプリカを別リージョンに設置可能。
VPCエンドポイントを利用することから、VPCエンドポイントからデータを参照できるように、エンドポイントを設定しているリージョン内に参照用のS3バケット(リードレプリカ)を設置する必要があります。
1のCORS(クロスオリジンリソースシェアリング)を利用すると、ブラウザが異なるオリジン(ドメイン)のリソースにアクセスするためのスクリプトを許可します。例えば、東京リージョン内のサイトがオレゴンリージョンのS3バケットにアクセスして、画像をダウンロードするなど。
3のS3 transfer accelerationは海外リージョンなど、送信元から遠く離れたS3へのデータ転送をAWSのエッジロケーションとネットワークプロトコルの最適で高速化するサービスです。世界中からアップロードが行われたり、大陸間で定期的にGBからTBなどの大きなデータを転送する場合に使用します。
4のVPCピアリングでVPC間ネットワークを設定しても、S3バケットをシェアはできません。

問題20

企業はS3バケットに大量のデータを格納しています。S3バケットのデータ量増加に伴い、データを検索するソリューションを模索しています。データ検索は、簡易的に実行でき、なおかつ効率的なソリューションで、オブジェクト全体ではなく、オブジェクトデータのサブセットを取得したいと考えています。どのソリューションが最も適切でしょうか?

  1. S3 Select
  2. Amazon Redshift Spectrum
  3. CloudSearch
  4. Amazon Athena
解答解説を見る

正解:1

オブジェクトのサブセットを取得できるサービスは1のS3 Selectのみです。
Redshift、Athenaでは全体的なレポートを取得できます。
CloudSearchはウェブサイトやアプリに検索機能を簡単に追加できます。

問題21

企業はS3バケット重要機密データを保存しております。S3バケットのデータは暗号化されている必要があります。必要な対応として適切な対応はどれか?(2つ選択)

  1. Cloud HSMを利用してデータを暗号化する。
  2. S3バケットのデフォルト暗号化設定でデータを暗号化する。
  3. AWS KSMを利用してデータを暗号化する。
  4. SSL認証を利用してデータを暗号化する。
  5. VPCの暗号化設定を有効化し、データを暗号化する。
解答解説を見る

正解:2,3

S3バケットのデータを暗号化する方法はS3のデフォルト暗号化を利用するか、AWS KMSを利用してカスタマーキーによってデータを暗号化するかの2択です。
1のCloud HSMはクラウドベースのハードウェアセキュリティモジュール。安全性の高いハードウェアベースの暗号化保存機能を利用して、暗号化キーを簡単に生成して使用できるようになります。
4のSSLではデータ転送を暗号化できます。VPCに暗号化設定はないです。

問題22

企業はAWSのS3バケットを利用してデータを保存しています。アメリカにある全く別の企業とS3バケットを利用してデータを共有予定です。この際、構成として最も適切な構成はどれか?

  1. S3バケットにアクセス許可を設定するバケットポリシーを設定する。
  2. S3バケットにCORSを設定する。
  3. S3バケットにクロスアカウントアクセスを設定し、リクエスタ支払い機能を有効化する。
  4. S3バケットのCRRを有効化して、ヨーロッパ企業のS3バケットとレプリケーションする。
解答解説を見る

正解:3

今回の要件では、S3バケットの共有設定を実施するためにクロスアカウントアクセスを有効にする必要があります。また、各企業は他企業のためS3を利用した分だけ各企業アカウントに支払いがいくようにリクエスタ支払い機能を設定する必要があります。
1,2,3それぞれはS3バケットの共有までは可能ですが、支払いがS3バケットを保有する企業になってしまうため不適です。

問題23

企業はオンプレ環境に静的Webサイトを運用しています。このサイトをAWSに移行すると決まり、構成を考えています。このサイトは全世界にユーザが存在しており、サイトを遅延なく表示させる必要があります。適切な構成はどれか?(2つ選択)

  1. 静的サイトをS3から配信するよう、静的ウェブホスティングをS3バケットに構成する。
  2. ユーザからリクエストがあると、EC2に作成した RestAPIを経由して静的サイトを返すアプリを構成する。
  3. S3バケットを複数リージョンにレプリケートし、各リージョンにて配信設定をする。
  4. Amazon CloudFrontを構成し、S3バケットをオリジンとして設定する。
  5. Route53を利用して、各リージョンに遅延ルーティングするように構成する
解答解説を見る

正解:1,4

今回の要件では、全世界にユーザがいる静的サイトの運用という点、遅延を削減するという点が重要です。
1のAmazon S3バケットでは静的WEBホスティングを利用することができます。静的ウェブホスティング機能を有効化し、Index.htmlを公開可能です。さらに遅延を削減するためには、cloud frontを利用して、配信設定を行う構成が必要です。
2のEC2でRestAPIを構成することも可能ですが、遅延を避ける構成が求められているため、S3とCloudFrontを構成するのが適切です。
3のレプリケーションで複数リージョンにサイトを展開することも可能ですが、冗長な構成なため避けるべきです。
5のルーティングに遅延ルーティングというルールはありません。

問題24

企業はAWSでアプリを展開しています。このアプリ内ではEC2とELBで構成されています。ELBに証明書を設定し、通信をHTTPSに設定しています。証明書は有効期限があり、14日前に運用チームにメールが来るような構成を取ることを決めました。どの構成が正しいでしょうか?

  1. ACM証明書の有効期限をチェックするAWS Configルールを作成し、14日後に期限が切れる証明書がある場合、Amazon CloudWatchアラートにメッセージを送信する。
  2. ACM証明書の有効期限をチェックするAmazon EventBridgeルールを作成し、14日後に期限が切れる証明書がある場合、Amazon SNSメッセージを送信する。
  3. ACM証明書の有効期限をチェックするAmazon EventBridgeルールを作成し、AWS Lambda関数を呼び出すように設定する。その後、LambdaからAmazon SNSにメッセージを送信する。
  4. ACM証明書の有効期限をチェックするAWS Configルールを作成し、14日後に期限が切れる証明書がある場合、AWS Lambda関数を呼び出すように設定する。その後、LambdaからCloudWatchアラートにメッセージを送信する。
解答解説を見る

正解:2

ACMで管理する証明書は数年に一度更新が必要です。
1,3,4のようにLambdaを介する意味はありません。EventBridge/Configは直接SNSへメッセージを送信できます。

問題25

企業は、AWSとオンプレ環境を専用回線で接続しており、双方のリソースを共有し処理を実行可能です。そこで、双方の環境を利用して処理を実行する処理フローやデータ連携方法を構成する必要があります。最適な構成はどれか?(2つ選択せよ)

  1. Amazon SQSを利用し、オンプレサーバとEC2をポーリングするキュー処理を構成する。
  2. API Gatewayを利用し、APIリクエストをオンプレとAWSへ振り分けるよう構成する。
  3. AWS SWFを利用し、オンプレサーバとEC2を利用したワークフローを作成する。
  4. AWS Step Functionsを利用し、オンプレサーバとEC2を利用したワークフローを作成する。
解答解説を見る

正解:1,4

今回の要件ではオンプレとAWSで分散アーキテクチャを構成する必要があります。そういった要件に使用できるのは、SQSでのキューによるポーリング処理と、Step Functionsでの分散アプリケーションコンポーネントを利用したワークフローです。
2のAPI GatewayはAPIリクエストの振り分けは可能ですが、処理フローを作成することはできません。
3のSWFはStep Functions以前の古いサービスで利用が推奨されていません。

問題26

企業は、サーバレスアプリを展開しています。API Gateway経由でAWS Lambda関数を呼び出す構成となっており、Lambda関数ではデータをAurora MySQLに保存する処理を実施しております。Aurora MySQLのアップグレード時を実施する必要があります。アップグレード処理が完了するまでLambda関数はDBに接続できなくなりその時間のデータ保存ができません。このデータを一時的に保存するにはどのような構成が最適か?

  1. Amazon RDSプロキシを設定し、RDSプロキシをデータ登録時に使用するようにLambdaを実装する。
  2. Lambdaのローカルストレージにデータを保持し、アップグレード後にローカルストレージをスキャンし、データをAuroraに保存。
  3. Lambdaの実行時間を上限まで増やす。その上で、このLambda関数でデータベースへの接続に失敗した場合の再試行処理を実装する。
  4. Lambdaが取得したデータをAmazon SQSキューに保存。別のLambda関数によって、キューをスキャンし、データをAuroraに保存する。
解答解説を見る

正解:4

DBのダウンタイム時のデータの取り扱いに関する問題。Lambda関数でDBへデータが登録できない期間中のデータを保持する仕組みが必要。そのため、SQSを利用して、キューにデータを保存し、アップグレード後にキューを監視する別のLamnda関数がDBへデータを保存する仕組みを取ればよい。
1のRDSプロキシに接続するようにLambda関数を構成しても、アップグレード時に接続できないことは変わりません。
2のローカルストレージはエフェメラルストレージといい、関数実行中のメモリのような扱い。再試行処理時にはデータは失われているため不適。 3の再試行処理でデータを再度登録することはできるが、再度失敗する可能性もあるので不適。

今回の記事は以上です。他にもAWS関連やその他技術系の記事を記載しています。興味ある方はサイト内見て行ってください。

本記事を読んでいただき感謝です。サイトを訪れていただいた方はプログラミング勉強中かと思いますのでプログラミング勉強のコツを合わせてご紹介。

スポンサーリンク
スポンサーリンク
スポンサーリンク
スポンサーリンク

ブログに関しては500円程度かかりますが、それ以外は無料です。知識の吸収と並行してアウトプットは非常に効率が良いです。テックアカデミーに関しては講座レベルが高いにも関わらず、無料体験や人気口座も大幅値下げがあるので、重点的に学びたいものを無料体験してみてください。

転職時にも、エンジニアからテックアカデミー・Paizaは認知度が高いので、未経験入社採用を行う際履歴書で目に留まります。特にPaizaのスキルレベルA・SなどはIT業界でも評価されます。

テックアカデミー・Paizaの無料登録ができる期間中にぜひご利用してみてください。私も活用経験ありです。

AWS
スポンサーリンク
シェアする
スポンサーリンク
ともぶろぐ
スポンサーリンク

コメント

タイトルとURLをコピーしました