問題一覧
1
あなたの会社は顧客の多様なニーズに応じてカスタムメイドの自転車を販売している自転車メーカーです。 現在の製造プロセスは自転車を組み立てるために世界最高水準の製品評価システムを導入したプロセスを実行しており、利用するデータが豊富にあり、複雑なプロセスとなっています。 製品の品質評価においては、人による評価とシステムによる自動評価が混合していますが、出来る限りのプロセスの自動化が求められています。プロセスでは子プロセスを作成して、画像識別による一時的な評価と人の目による二次的評価を実施した上で、親プロセスに評価結果を返信する流れが必要です。 この要件を満たすためのAWSを活用したソリューションアーキテクチャを選択してください。
5.Amazon SWFを利用して、評価プロセスと複雑なデータの移動を管理する品質評価プロセスを導入する。プレイスメントグループに入れたG2インスタンス群を利用して、製品検品AIソリューションを構築する。
2
大手印刷会社はWEBアプリケーションをオンプレミス環境にホストしています。サーバーの老朽化によってリプレースが必要になっており、新しいサーバーに切り替えるタイミングでAWSに移行することを決定しました。 オンプレミス環境では各種サーバーにおいて、DB2、SAP、Windowsオペレーティングシステムサーバー(仮想化サーバーとして利用)などのライセンスを使用しており、これらのライセンスごとAWSに移行する予定です。これらのライセンス管理ではライセンス数に応じた契約管理を実施しています。数年に1回ライセンス監査を受けることが決定しており、その管理と違反チェックが必要不可欠です。 この要件を満たすための移行方法とライセンス管理方法を選択してください。
2.AWS SMSを利用してEC2インスタンスにライセンスソフトウェアをインストールして移行を実施する。その上で、AWS License Managerによりライセンスルールを定義して、ライセンス対象となるソフトウェアをインストールしたEC2インスタンスに適用する。AWS License Managerコンソールを利用してライセンス利用状況を追跡する。
3
B社はサードパーティのWEBアプリケーションを使用したいと考えています。このアプリケーションを利用するためには、B社のアカウント内で実行されているEC2インスタンスへのAPI経由によるアクセスを実施するアクセス権が必要となります。B社のセキュリティポリシーによると、WEBアプリケーションの提供ベンダーが使用する資格情報はそのベンダーのみが利用できるように限定することが必要です。したがって、第三者による目的外利用ができない形式で権限を付与することが必須となります。 これらの条件をすべて満たす方法を選択してください。
1.WEBアプリケーションが必要とする権限のみに限定したアクセス権限を付与したIAMポリシーを設定して、それに基づいたクロスアカウントアクセスが可能となるIAMロールを作成し、WEBアプリケーションに設定する。
4
大手商社では社内用業務WEBアプリケーションをAWS上で構築しています。 このサイトはパブリックサブネットに設置されたWebサーバーとして機能する一連のオンデマンドEC2インスタンスで構成されています。これらのEC2インスタンスはインターネットを経由して更新プログラムや重要なセキュリティパッチを取得して運用されていますが、その際はパッチ更新や社内WEBサイトからのアクセスなど特定のURLからのアクセスに限定したいと考えています。したがって、特定のURLからのリクエストのみに限定したアクセスができるようEC2インスタンスを設定する必要があります。 このシナリオに対応する最適なアーキテクチャは次のうちどれですか?
4.新しいプロキシサーバーを設置して、WEBアプリケーションによって提供される特定URLからのアクセスのみを許可する構成となるようにVPCのルート設定を変更する。
5
あなたの会社はニュースメディア配信アプリケーションをAWSにホストしています。このWEBアプリケーションは東京リージョンに展開されており、EC2インスタンスを利用したワイヤレスセンサーの管理サーバーとLinux バックエンドサーバーにより構成されています。ユーザー情報を保存するためのJavaフロントエンド、バックエンド、MySQLデータベースが利用されています。現在、最近発生した東京リージョンでのAZ障害によって、バックエンドサーバーが停止するというトラブルを受けて、その可用性を高める対応を行っています。バックエンドサーバーは1つのAZで利用されていることや、NATゲートウェイも同じAZのみに展開されていることで、AZ障害に耐えられなかったことが障害の大きな原因となっています。バックエンドサーバーのEC2インスタンスは、インターネットに接続してパッチをダウンロードすることが必要で、 セキュリティ上の理由からジャンプホストへのSSHポートのみを開くことが要件となっています。 これらの要件に対応するために、最もコスト効率がよく最適なアーキテクチャを選択してください。
3.東京リージョンの2つのアベイラビリティゾーンにおいてパブリックサブネットとプライベートサブネットを構成して、NATゲートウェイを各パブリックサブネットに設置する。バックエンドサーバーも複数AZに展開して、内部ELBによる分散処理とAutoScalingを設定する。次にBastionホストをパブリックサブネットに配置し、BastionホストセキュリティグループからのインバウンドトラフィックのSSHアクセス(ポート22)を許可する。
6
大手メディア企業はAWSにおいてユーザー間でニュースコンテンツを共有する新しいWEBサービスをリリースしました。 このWebサービスは、2つのパブリックサブネットと2つのプライベートサブネットを持つVPC(10.0.0.0/16)内に設置されています。 プライベートサブネットからのインターネットへの返信処理用のNATゲートウェイが各パブリックサブネットに配置されています。データベース用のEC2インスタンスは、NATゲートウェイに関連付けたルートテーブルを持つプライベートサブネットに配置されています。社内で将来的な展開を見据えて、IPv6によるIP管理が実施されることになりました。したがって、このアプリケーションにおいても、IPv6を利用した構成に変更することが求められています。 IPv6の追加に必要なAWSでの設定方法を選択してください。(3つ選択してください。)
2.カスタムネットワーク ACL ルールを作成して、サブネットに出入りするトラフィックの流れを制御している場合は、IPv6 トラフィックのルールを含める, 3.IPv6 CIDR ブロックをVPC およびサブネットと関連付ける。, 4.パブリックサブネットに関連付けたインターネットゲートウェイに IPv6 トラフィックをすべてルーティングするルートを作成する。プライベートサブネットにはEgress-only インターネットゲートウェイにインターネット経由の IPv6 トラフィックをすべてルーティングするルートを作成する。
7
大手印刷会社はWEBアプリケーションをオンプレミス環境で利用しています。オンプレミスサーバーの老朽化によるリプレースが必要になっており、新サーバーに切り替えるタイミングでAWSに移行することを決定しました。現在、VMware環境内の高度にカスタマイズされたWindows VMによる仮想環境を利用したアプリケーションが実行されています。 この移行は週末の土日2日間で実施する制約があり、効率的で迅速な対応が不可欠となっています。 この要件を踏まえて、最もコスト効率がよく最適な移行方法を選択してください。(2つ選択してください。)
3.移行対象となるオンプレミス環境のVMwareサーバーに対して、AWS SMS用のコネクターをインストールする。その上で、AWS Server Migration Serviceを利用して、このコネクターを利用してAmazon EC2に仮想マシンをインポートする。, 4.EC2インスタンスを起動してVM Import/Exportを利用して、オンプレミス環境と同じサーバー構成をセッティングすることで、AWS側でサーバー構成を復元する。
8
あなたの会社はAWSでニュースメディア配信アプリケーションをホストしています。このWEBアプリケーションはアプリケーションサーバーとしてEC2インスタンスを利用し、ELBとAuto-Scalingグループを設定しています。さらにユーザー情報を保存するためのMySQLデータベースが利用されています。会社は現在のMySQLからPosgreSQLへとデータベースを移行することを決定し、あなたはソリューションアーキテクトとして、データベース移行方法を検討しています。 上記の移行要件に対して最適な移行方法を選択してください。(3つ選択してください。)
2.Amazon Database Migration ServiceによりMySQLからPostgreSQLへの移行タスクを設定して実行する。テーブルマッピングを利用して移行対象テーブルや移行方式を詳細にタスクとして設定することができる。, 4.Amazon Database Migration ServiceによりMySQLからPostgreSQLへの移行タスクを設定して実行する。DMSコンソールを利用して移行対象テーブルや移行方式を詳細にタスクとして設定することができる。, 5.Amazon Database Migration ServiceによりMySQLからPostgreSQLへの移行タスクを設定して実行する。JSONファイルを利用して移行対象テーブルや移行方式を詳細にタスクとして設定することができる。
9
新規事業用アプリケーションを構築しているベンチャー企業では、RDS MySQLを利用した顧客管理データベースを構築しています。そこでは、多数の顧客の基本情報や、これまでの売買記録などが保存されており、今後の分析などに利用される予定です。あなたはソリューションアーキテクトとしてRDS上に保存されたデータにアクセスしてデータ処理を実行するLambda関数のサーバレスアプリケーションを開発しています。その際にはRDSのコネクション接続を最適にする必要があります。 この要件を満たす最適なソリューションを選択してください。
4.RDSプロキシによるコネクション接続によって、Lambda関数による効率的な非同期並列実行を可能にするデータ処理アプリケーションを構築する。
10
グローバルな国際決済サービスを提供するスタートアップ企業は、iOSおよびAndroidモバイルで利用できる飲食店クーポンモバイルアプリを展開しています。現在、このアプリに費用対効果の高いロケーションベースのアラート機能を追加開発しています。この追加機能では、GPSを利用して、近隣店舗に近づいた際にその店舗を紹介するチャットボットによるレコメンデーションやクーポン提示が行われるサービスを提供します。 これらの要件を満たすための最適なAWSアーキテクチャ設計パターンを選択してください。
2.ユーザーのGPSから取得したロケーション情報をDynamoDBに定期的に格納する。その上で、オンデマンドEC2インスタンスがロケーション情報のマッチとレコメンデーションのアルゴリズムを起動して、最適なクーポン情報を別のDynamoDB店舗テーブルから取得する。このEC2インスタンス処理はSQSによるキューイング処理によって並列で実行し、かつSQSキューの深さに応じたAutoScalingに基づいて負荷を軽減する。店舗情報は処理結果をインベントとしてLambda関数によって、Amazon Lexに通知される。
11
B銀行はAWSとオンプレミスサイトを併用したハイブリッドアーキテクチャを採用しており、AWS Storage Gatewayのボリュームゲートウェイを使用し、iSCSIを介したハイブリッド構成のデータ共有システムを利用しています。最近になって、セキュリティチームは、データ共有システムのネットワークに対するDDoS攻撃や不正アクセスなどの攻撃や不正傍受が多発していることを発見しました。 あなたは銀行のソリューションアーキテクトとして、どのような対策を実施するべきでしょうか。
4.iSCSI接続を実施するためにCHAP(Challenge Handshake Authentication Protocol)を構成し、iSCSIとイニシエーター接続を認証する。
12
画像識別を利用したアプリケーション開発を得意とするベンチャー企業は動物画像検索アプリを開発しています。 このアプリケーションでは、ユーザーが動物写真などをアップロードすることで、類似した動物を画像検索できます。または、一連の写真をアップロードして、特定の画像が利用された時間を検索することもできます。チームはアプリケーションの開発と運用を低コストに実施するため、マネージド型のAWSサービスを利用して、このアプリケーションを実行したいと考えています。 可用性と安定性を確保しながら、この要件を実装するのに最も効率的なソリューションを選択してください。
2.Lambdaファンクションを利用してRekognition APIを呼び出して、JSONフォーマットで情報を取得する。Lambdaファンクションが取得した画像をS3に保存して、エンドユーザー側の端末に表示させるプロセスを実装する。
13
あなたの会社はAWSでアプリケーションをホストして社内システムとして利用しています。セキュリティ強化の一環として、会社は利用するVPCに侵入検知・防止システムを実装することを依頼されました。 このシステムにはVPC内で実行されている数百にも及ぶインスタンスを拡張できる機能が必要であり、現在VPCは12個も起動しているため、それらをまとめてモニタリングする効率的な方法が不可欠となります。 上記の要件を満たすために、どのようにソリューションを設計する必要がありますか?
3.AWS Transit Gatewayを導入して、各VPCのコネクションをまとめる。その上で、スケーラブルな仮想化 IDS/IPS プラットフォームを設置する。このAWS Transit Gatewayに集約される全トラフィックをルーティングを IDS/IPS を利用してして検査する。
14
C社は現在オンプレミスネットワークでホストされているインフラとアプリケーション全般をAWSクラウドに移行することを決定しました。ここにはタイムリーかつ費用対効果の高い方法でS3バケットに移動する必要がある合計150TBのデータがあります。 既存のインターネット回線の空き容量を使用してデータをAWSにアップロードするのためには、1週間以上かかり途中で回線異常などでうまくいかない可能性があるため不適切と判断しました。 データ移行において最も最適な方法を選択してください。
5.Snowball Edge Storage Optimized を2つ利用してデータ移行を実施する。
15
A社は3層ウェブアプリケーションとなっているニュースサイトを運用しています。現在このアプリケーションはオンプレミス環境にデプロイされており、スケーラビリティと弾力性を高めるためにAWSに移行することを決定しました。Web層とアプリケーション層を組み合わせた読み取り専用のニュースレポートサイトと、予測不可能な大規模なトラフィック要求を受け取るデータベース層があり、トラフィック変動に自動的に対応する必要があります。この構成はできるだけシンプルなモデルが必要です。 次の中から、これらの要件を満たす最適なAWSサービスの設定方法を選択してください。
2.ステートレスインスタンスを使用してELBとAutoScalingグループを設定する。Webサーバーの読み取り操作にElastiCache Memcachedを使用してCloudWatchでモニタリングを実施する。最後にRDSのリードレプリカを使用する。
16
あなたはソリューションアーキテクトとして、モバイルアプリケーションを構築しています。このアプリケーションではユーザーがS3バケット内のデータを利用する際に一時認証を利用しています。具体的にはSTSを利用して一時的な認証情報を取得し、ユーザーに渡す構成としてます。しかしながら、一部の一時認証情報のアクセス権限が間違っており、必要なリソースへのアクセスが提供されていないことが判明しました。 一時認証によって付与されたアクセス権を取り消すにはどうすればよいですか?
4.IAMダッシュボードにおいて、ユーザーに提供した特定のロールを選択して、取り消し処理を実行する。
17
A社では社内アプリケーションに対するDDoS攻撃によって大規模なシステム障害が発生しました。そこで、あなたはソリューションアーキテクトとして、AWSでホストしている自社アプリケーションを保護するためにDDoS攻撃などの外部攻撃を軽減するアーキテクチャを設定しています。具体的に防止するべき攻撃リストは以下の通りです。 ・DDoS攻撃 ・SYNフラッド ・UDPリフレクション攻撃 ・SQLインジェクション ・クロスサイトスクリプティング ・不正IP取得によるアカウントアクセス ・ネットワーク情報の取得 これらの要件を満たすAWSアーキテクチャ設計パターンを選択してください。(3つ選択してください。)
2.Amazon Route 53 のシャッフルシャーディングと anycast ルーティング機能により、DDoS 攻撃を回避しつつ連携してエンドユーザーがアプリケーションにアクセスできるようにする。 , 4.AWS Shield Advancedを利用して高度なDDoS攻撃検出を実施して、アプリケーションレイヤー上のモニタリングを実施する。, 5.AWS WAFを利用してセキュリティルールをカスタマイズして、アプリケーションに対するトラフィックを制御する。
18
あなたはソリューションアーキテクトとして、S3とRDSを利用したデータ共有アプリケーションをAWS上に運用しています。アプリ向けのインフラ構成を展開するためにCloudFormationテンプレートを利用して、画像をS3バケットに保存し、RDSに顧客データを記録するインフラ構成を整備しました。 基本運用期間が終了したため、このアプリケーションはサービスを停止することになりましたが、いつでも再開できるように準備が必要です。したがって、インフラを終了するのと同時にデータを保持する設定を行います。 このシナリオにおいて、要件を満たすAWSアーキテクチャ設計パターンを選択してください。
2.CloudFormationのDeletionPolicy属性により、S3リソース宣言文に対してRetainを設定する。RDSリソースに対しては、Snapshotを設定する。
19
製造業のA社はAWS上にエンタープライズシステムをホストしていましたが、そのシステムが突如停止するという障害が発生しました。あなたが運用責任者として調査したところ、一人のエンジニアが本番環境のEC2インスタンスを誤って終了してしまい、サービス中断を引き起こしたことが判明しました。 また、実稼働するアプリケーションにアクセスできる開発者が多数存在するという事実も同時に判明しました。 この種の障害が再び発生するのを防ぐための適切な対応はどれでしょうか (2つ選択してください。)
1.各環境におけるEC2インスタンスへのタグ設定を行い、開発者にインスタンス削除権限を拒否するリソースレベルでの許可設定を実施する。それによって、開発関係者の権限を所属するグループタグ内でのリソース操作に限定する。, 5.開発環境向けのVPCを新たに設置して、開発者のアカウント権限を開発者向けVPC内に制限する。その上で、IAMポリシーにおいてVPCに分けた権限設定を割り振ることで、開発者グループで利用するVPC内リソースのみの操作に限定する。
20
あなたは美術鑑賞向けSNSサービスを運用するPINTORで働くAWSエンジニアです。PINTORアプリケーションはドメイン名pintor.comでCloudFrontディストリビューションを使用してコンテンツ読み込み時間を短縮する構成をとっています。 配信されるデータは個人情報も多いため、ユーザーへのCloudFrontによるコンテンツ配信においてHTTPS通信を実施することが要件となっています。CloudFrontのビューアリクエストの割合を増やすことにより、パフォーマンスを改善しつつ、コストを抑える対応も依頼されています。 このシナリオにおいて、要件を満たすため設定方法を選択してください。(2つの選択してください。)
1.AWS Certificate Manager によりSSL/TLS認証を生成して、これをCloudFrontに設定することでセキュアHTTPS通信を可能にする, 3.CloudFrontのオリジンサーバー設定において、Cache-control max-age directiveに対してオブジェクトと最適なキャッシュ保持期間を設定する。エッジロケーションでのZIP圧縮によって配信ボリュームを低下させることで、コストを最適化する。
21
A社は顧客管理向けのJavaアプリケーションをAWS上に構築しています。WEBサーバーにEC2インスタンスを利用して、RDSに顧客の構成情報データを蓄積する設計です。EC2インスタンスはストレージを介してデータ処理が多数発生するため、オンデマンドEC2インスタンスのフリートを利用して展開しつつ、高速通信を可能にする構成が必要となります。 要件を満たすために最も費用対効果の高いインスタンス構成は次のうちどれですか?
4.クラスタープレイスメントグループを設定した上で、I3インスタンス群を起動する。その上で、拡張ネットワークを有効化する。
22
B社はモバイルアプリケーションを開発・運用しているソフトウェア企業です。AWS上の複数のEC2インスタンスに対してAutoScalingグループとELBが設定されたアプリケーションを展開しています。 B社のセキュリティポリシーでは、これらのインスタンスから仮想プライベートクラウド内の他のサービスへの全てのアウトバウンド接続はSSL認証が不可欠です。 【B社のVPC構成】 ・VPC A には外部ELB、AutoScaling グループを設定したEC2 インスタンスにホストされたアプリケーションが起動 ・VPC B には 内部 ELB、AutoScaling グループを設定したEC2 インスタンスにホストされたアプリケーションが起動 この構成において、VPC A の EC2 インスタンスから、VPC B の EC2 インスタンスにアクセスするために、一意のSSL認証が利用されることが必要となります。 この要件を達成することができる最適なソリューションを選択してください。
3.AWS ACMを利用してSSL証明書を作成し、EC2インスタンスが配置されているELBに対して設定する。
23
あなたの会社は顧客管理システムとしてAWSパブリッククラウドで2層アプリケーションを構成しています。このアプリケーションではアプリケーションレイヤーではEC2インスタンスによるデータ処理を実施し、データレイヤーではS3にデータを保存しており、EC2インスタンスとAmazon S3との間で毎秒5 Gbpsを超えるデータ送信が発生します。 その際には、プライベートサブネットのアプリケーションレイヤーからAmazon S3にデータを転送しています。また、このEC2インスタンスの処理にはサードパーティーのソフトウェアが利用されているため、定期的にソフトウェアのパッチ更新が必要です。 このアプリケーションに対してデータ処理性能を向上させるソリューションを選択してください。
2.EC2インスタンスとS3バケットへのVPCエンドポイントを利用したデータ通信が可能となる構成とするため、NATゲートウェイを維持して、新規にエンドポイントを作成し、S3バケットポリシーを使用してS3バケットにアクセスできるVPCとVPCエンドポイントを指定する。
24
A社では社内データ共有システムをデータセンターにホストして運用しています。社内データはデータセンターのストレージに保存される仕組みとなっていますが、これらのデータは中長期保存用のため迅速なデータ抽出は必要ありません。現在、このデータ処理のためにオープンソースのメッセージングシステムを利用したジョブ管理を行っています。また、データはテープライブラリによってアーカイブされる構成をオンプレミスで実施しています。 あなたはソリューションアーキテキトとして、これらのシステムをAWSに移行するように依頼されました。 このシナリオにおいて、上記要件を満たすコスト最適なAWSアーキテクチャ設計パターンを選択してください。
4.AutoScalingを設定したスポットインスタンスを処理サーバーとして利用し、メッセージの処理にSQSを使用して連携する。社内データはGlacierに保存する。
25
大手薬局では自社のエンタープライズシステムとして、データセンターをAWSクラウドに拡張するハイブリッドクラウドインフラストラクチャを利用することになりました。そのためには、オンプレミス側とクラウド側で2つの個別のログインアカウントを持ち、複数の資格情報を保存することを避ける必要があります。したがって、社内アカウントを使用して既にサインインしているオンプレミスユーザーが、個別のIAMユーザーを作成せずにAWSリソースを利用する構成が求められています。 このシナリオにおいて、要件を満たすためのAWSアーキテクチャ設計パターンを選択してください。
2.SAML 2.0 IDプロバイダーを使用してユーザーに対して、AWSリソースへのフェデレーションアクセスを提供し、オンプレミス環境からシングルサインオン(SSO)エンドポイントを使用してユーザーを認証し、フェデレーションアクセスを提供する前にアクセストークンを付与する
26
あなたの会社は、Amazon Elastic Container Service(ECS)を使用したDockerベースのエンタープライズアプリケーションと、そのデータを記録するためにマルチAZ構成でリードレプリカを持つRDS MySQLデータベースを利用しています。 データベース層はすでに高可用でスケーラブルに構成されていますが、アプリケーション層にもスケーラビリティを確保することが求められています。 そのため、ECSクラスターに対するオートスケーリング設定を実施することにしました。 このシナリオにおいて、要件を満たすための最適な方法を選択してください。
1.Capacity Provider Reservationを利用してAuto Scalingグループを構成して、ECS Cluster Auto ScalingによるECSクラスターのオートスケーリングを実施する。
27
大手車両メーカA社では複数アカウントで複数部門がAWSを利用しています。社内の統合管理のために全社共通のIT運用部門では、AWS Organizationsを使用して、マルチアカウントおよびマルチリージョンのAWSインフラストラクチャを管理しています。現在、AWSアカウントAとAWSアカウントBとAWSアカウントCという3つのアカウントを管理していますが、アカウントAのユーザーがアカウントBのEC2インスタンスへのアクセスを定期的に実施するタスクが発生しました。あなたはソリューションアーキテクトとして、このクロスアカウント処理が必要となる定期タスクの自動化設定を依頼されました。 上記の要件を満たす有効なソリューションは次のうちどれですか?
4.AWS Resource Access Manager (RAM)を利用したリソース共有化を実現する。AWS RAM CLIから、enable-sharing-with-aws-organizationsコマンドを使用して、Trusted Accessを有効化することで、特定の構成変更を自動で反映する設定を行う。
28
あるベンチャー企業ではAWSを利用したCI/CD環境を構築しています。開発環境などは全てDocker形式で展開できるようにしており、Fargate起動タイプを使用するAmazon ECSクラスターを利用しています。今回は社内製品を販売するためのECサイトを構築することになりました。 ECSでの実装において、環境変数を使用して顧客データベースの資格情報をECサイトに提供する必要があります。その際には、資格情報がデータ保持とイメージ転送が安全であることが保障され、かつクラスター自体で表示できないようにセキュリティを徹底することが求められています。また、資格情報の保持にはライフサイクル管理が必要となります。 このシナリオで、上記要件を満たす有効なソリューションは次のうちどれですか?
2.AWS Secrets Managerを利用して資格情報を保持して、AWS KMSを利用して暗号化を実施する。Amazon ECSの実行ロールとAWS Secrets ManagerとAWS KMSへのアクセス許可を付与したIAMロールを作成する。その上で、コンテナーに設定する環境変数の名前とコンテナーに提示する機密データを含むSecrets ManagerシークレットのフルARNで、シークレットを指定して管理を実施する。
29
大手のグローバル会計ファームではAWSにホストされるウェブベースの会計アプリケーションを有しています。現在、このアプリケーションのインターフェースとなるフロントサーバー群はAWSのパブリックサブネット上で利用されており、社内のネットワークからのみAWSサイト間VPN接続によって利用することができます。 会社ではSOHOを推進しており、外部Wifiがある環境であればどこからでもリモートで接続して作業ができる機能を実装することになりました。外部からのアクセスが頻繁に発生することや機密性の高いデータを扱っていることから、セキュリティ性能をできる限り高めることが課題となっています。 このシナリオで、上記要件を満たす有効なソリューションは次のうちどれですか?
1.プライベートサブネットを構成してNATゲートウェイを設定し、パブリックサブネットにあるアプリケーションサーバーをプライベートサブネットに移行する。利用しているVPCのパブリックサブネットにAWS クライアントVPNを構成する。会計アプリの全ユーザーが利用するラックトップPCにOpenVPN ベースの VPN クライアントソフトウェアをインストールする。
30
大手商社はオンプレミス環境において、以前からMicrosoft Active Directoryを使用して、すべての従業員アカウントとデバイスを管理しています。最近になって、経営陣がAWSクラウドを利用したハイブリッドアーキテクチャを採用することを決定しました。新規にAWSにおいてIAM管理を実施することは非効率であるため、既存のWindowsアカウントパスワードを使用して様々なAWSリソースに接続して使用できるように、AWS Directory Serviceの設定を行うことが必要となります。 既存のADワークロードをAWS側に移行しつつ、シングルサインオンの認証ソリューションを選択してください。
1.AWS Directory Serviceを利用して、既存のMS Active DirectoryとAWSリソース管理とを統合し、AWS Managed Microsoft AD を利用してシングルサインオンを実現する。
31
大手商社ではAWSをクラウドソリューションとして導入することが決定され、AWSとオフィスネットワークとを接続することが必要になりました。あなたはソリューションアーキテクトとして、リモートネットワークをAmazon VPC環境に接続するための接続設定を実施しています。 社内の要件は以下の通りです。 ・予測可能で十分なネットワークパフォーマンスを提供する ・安全なIPsec VPN接続を実現する ・コスト効率の良い方法で可用性を達成する。 クライアントの要件を達成することができる最適な接続方式を選択してください。
5.AWS Direct Connectによる専用線接続を実施して、IPSecハードウェアVPNによるプライベートリンクを実施する。
32
フィンテック企業は自社ネットワークとAWSのクラウドインフラストラクチャを接続するハイブリッドクラウドアーキテクチャを採用しました。既存のいくつかのデータベースを高速処理が可能なAWSサービスに移管することから、AWS環境の利用を開始します。その際には、オンプレミス環境のアプリケーションからAWSリソースへとアクセスするための認証方式を実装することが必要となります。社内ではSAML 2.0をサポートしていない社内のID認証システムによってユーザー管理を実施しており、この仕組みを今後も活用していく方針です。 これらの要件を考慮して、最適なソリューション設定を選択してください。(2つ選択してください。)
3.既存の資格情報を使用してユーザーを認証するためのカスタムIDブローカーアプリケーションを作成し、AssumeRole APIを利用して一時的なロールを取得してAWSリソースにアクセスする。, 4.既存の認証情報を使用してユーザーを認証するためのカスタムIDブローカーアプリケーションを作成し、GetFederationTokenを使用してSTSを利用し一時的なアクセス認証情報を取得し、AWSリソースにアクセスする。
33
ある金融機関は自社ネットワークとAWSのクラウドインフラストラクチャを接続するハイブリッドクラウドアーキテクチャを採用しました。現在AWSでは複数のEC2インスタンスをVPCのプライベートサブネットに構成しています。あなたは移行担当者として、ハイブリッドクラウドを実現するためにオンプレミス環境からAWSへの Direct Connect接続を確立する対応を行っています。 Direct Connectリンクを設定してルートをオンプレミス環境に接続しましたが、これを有効化するための設定が別途必要です。 Direct Connectリンクのルートを確立するための最適な設定を選択してください。(2つ選択してください。)
1.仮想プライベートゲートウェイ(VGW)への「ルート伝播(Route Propagation)」を設定する, 3.オンプレミス環境への返信ルートを追加することで、EC2インスタンスが設置されているVPCのプライベートサブネットにあるルートテーブルを更新する。
34
大手ECサービスを運営しているA社は自社のEコマースサイトをAWSにホストしています。このサイトは3つのアベイラビリティーゾーンにわたって展開しているオンデマンドEC2インスタンスとALBで構成されます。最近になって、利用者の増加によって、ECサイトのピーク時に処理落ちが発生したことで、ユーザーからのクレームが多発しています。したがって、あなたはソリューションアーキテキトとして、現在のアーキテクチャの改善を依頼されました。要件としては、負荷のピーク時にはマルチAZに負荷を分散してオートスケール処理ができる必要があります。その際にはスポットインスタンスを上手く利用してコスト最適に実現することが必要です。 このシナリオにおいて、最も費用対効果の高い最適なソリューションを選択してください。
4.スポットフリートを利用した割り当て戦略を実施して、Auto Scalingを設定する。これにより、ピーク時にはAZにまたがってピークロードを処理できるように設定する。
35
あなたはソリューションアーキテキトとして、大手商社の事業継続性計画(BCP)の実行対応に携わっています。この会社のBCPガイドラインでは障害復旧時間(RTO)は1時間で、目標復旧時点(RPO)は15分前とされています。このBCPに準拠するために、例えば災害が発生したことで停電などが発生し、午後2時にサーバーが停止した場合において推定される障害復旧時間とデータ損失はどうなるでしょうか。 このシナリオにおいて想定される障害復旧時点とデータ損失範囲のセットとして正しい回答を選択してください。
2.障害復旧時点は1:45 データ損失範囲は1:45-2:00
36
会社は社内の業務システムをEC2インスタンスとELBとDynamoDBを使用して構築しています。DynamoDBの設定時にUser_IDの主キーを持つTRANSACTIONSというテーブルを作成し、問題なく、IDの主キーに基づいてデータを照会できるように構成しました。このDynamoDBテーブルを利用して、ユーザーのアクセス頻度に応じて対象顧客をセグメンテーションした上で、その利用データを集計する機能が必要となります。その際にはUser_IDというパーティションキーに関連付けて絞り込み検索をすることが求められています。 上記の要件を満たすためにDynamoDBの構成方法を選択してください。
1.利用頻度をローカルセカンダリーインデックスとして利用するTRANSACTIONSテーブルを再構成する。
37
ある会社では企業のアプリケーションログファイルから定期的な分析レポートを作成する監査用ログシステムを運用しています。すべてのログデータはAmazon S3バケットに収集され、その後、毎日のAmazon EMRジョブによって分析が実行されます。日次レポートと集計テーブルをCSV形式で生成し、別のS3バケットに保存してから、Amazon Redshiftのデータウェアハウスに転送します。分析に利用するデータの使用頻度は不確実で、データ管理のライフサイクルポリシーをうまく設定できません。このシステムは今後も継続して利用することになるため、あなたはパフォーマンスやデータの整合性を損なうことなくコストを削減するよう依頼されました。 この要件を満たして、コストを削減する方法として最適なオプションはどれでしょうか。(3つ選択してください。)
2.Redshift向けにはリザーブドインスタンスを利用する, 3.EMRのコアノードとマスターノードにリザーブドインスタンスを利用して、タスクノードにはスポットインスタンスを設定する。, 4.Amazon S3 Intelligent Tieringをストレージクラスとして選択する。
38
あなたの会社では複数部門と支社でAWSサービスを利用しています。これらの部門ごとにAWSアカウントを作成しており、各アカウントは、その特定アカウントのみのルートアクセス権を持つシステム管理者によって管理されています。あなたはセキュリティ責任者から、全社統一でAWSアカウントを統合することで内部統制を強化しつつ、コスト削減を行うように依頼されました。個々のアカウントまたはアカウントのグループに対して特定のAWSサービスを許可または拒否することにより、複数のAWSアカウント全体でポリシーを集中管理する必要があります。 この要件を満たして、効率的かつ最適な方法となるオプションはどれでしょうか。(2つ選択してください。)
1.AWS Organizationsを利用して、組織単位(OU)を作成して各部門にOUを設定する。サービス管理ポリシー(SCP)をアタッチして各メンバーアカウントが利用するAWSサービスリストの拒否・許可設定を実施する。, 4.OU内のアカウントのユーザーまたはロールに対して IAM ポリシーを追加して、ユーザーレベルでのアクセス権限を付与する
39
あなたの会社は個人がいらなくなった物品を売り買いできるC to C専門のモバイルフリマサイトをAWSに構築しています。このモバイルフリマサイトでは、複数のAWSリージョン上にバックエンドAPIを起動しており、ユーザーに最も近いリージョンで販売および取引が処理されるようにルーティングされています。このアプリケーションを東京リージョンから東南アジアにも展開することになり、トランザクションがシンガポールリージョンにも自動的に複製されるようにレプリケーション構成を実現することが必要です。 次のうち、この要件を達成できるDynamoDBでのアーキテクチャを選択してください。(2つ選択してください。)
1.東京リージョン内のDynamoDBテーブルの Streamsを有効化する。DynamoDBテーブルをシンガポールリージョン内にも作成する。, 4.該当する全てのリージョンに作成されたDynamoDBテーブルに対してグローバルテーブルを設定することで、これらのDynamoDBテーブル間のデータ変更を自動的にレプリケートする。
40
大手ITソリューション企業A社ではAWS Organizationsを使用して複数の組織単位(OU)にグループ化されたさまざまなチームや部門を有しています。年度ITセキュリティ監査を実施したところ、一部のメンバーアカウント内において、許可されていないサードパーティのユーザーアカウントが作成されていました。該当アカウントの責任者からは、API連携を実施する際に必要な対応であり、問題のないものと確認されましたが、今後は許可のない外部アカウントの登録は拒否される必要があります。こうした違反をモニタリングして早期に発見することや、事前に予防することが求められています。 これらの要件に対応するため、最適なAWSソリューションを選択してください。(2つ選択してください。)
1.AWS ConfigによりAWS Organizationsのコンプライアンス状況をモニタリングして、SNSトピックとCloudWatch Eventsを利用して、変更に関する通知を設定する。, 3.Amazon CloudTrailを利用してAWS Organizationsへの全APIコールをモニタリングする。その上で、CloudWatch EventsとSNSを利用して、通知を実施する。
41
あなたは画像編集ソフトウェア企業A社で働いているソリューションアーキテクトです。開発部門では複数のAmazon S3バケットを使用して、さまざまなデジタル画像編集用の高解像度メディアファイルを保存しています。別のAWSアカウントを利用している運用部門において、このS3バケット内のデータを利用した既存アプリケーションとの連携機能が運用されることになりました。そのため、運用部門からS3バケットから複数のオブジェクトを頻繁に取得するケースが多くなっていますが、そのデータ転送コストが開発部門に請求されていることが問題となっています。 次のうちで、運用部門による利用コストを最適化するための対応を選択してください。
3.バケットのリクエスタ支払い設定を実施することで、データ利用料に応じた価格設定をユーザーに実施する。
42
あなたの会社はレガシーシステムをアップグレードする際にAWSへの移行を決定し、オンプレミスネットワークをAWSクラウドに移行することになりました。このネットワークは以下のように構成されています。 ・VPC(10.0.0.0 / 16) ・パブリックサブネット(10.0.0.0 /24) ・プライベートサブネット(10.0.1.0 /24) このネットワークに新しいパブリックサブネット(10.0.0.0 /16)を追加しようとしています。 この新しいパブリックサブネットを追加した場合にどうなりますか?
1.CIDRブロック10.0.0.0 / 16を持つ新しいサブネットと、先に作ったサブネットとの間にオーバーラップエラーが発生する。
43
あなたの会社ではデータセンターを利用して社内インフラを運用しています。オンプレミスのデータセンターではホワイトリストに登録した信頼できるIPアドレスを使用するサプライチェーンアプリケーションをホストしています。最近になって、経営陣はこのアプリケーションを含めてオンプレミス環境のインフラをAWSへと移行することを決定しました。その際にオンプレミス環境で利用しているIPアドレスを変更することなく、VPCに移行することが求められています。 この要件を満たす最も費用対効果の高い方法は次のうちどれですか?
2.アドレス範囲を地域インターネットレジストリに登録し、Registry Data Access Protocol (RDAP) を利用して自己署名付きの X509 証明書を発行する。
44
あなたは大手ITソリューション企業のAWSエンジニアとして勤務しています。現在のクライアントから、オンプレミスネットワークをAWSクラウドに接続するハイブリッドクラウドアーキテクチャを実現するために、必要な対応を準備するように依頼されました。この会社ではオンプレミス環境において、サードパーティーの SAML IdPを利用したログインを実施しています。 この要件に対応するため、最適なAWSソリューションの設定方法を選択してください。(2つ選択してください。)
4.IAMロールを作成して、データセンターを利用したフェデレーションユーザーへのAWSリソースへのアクセス権限を割り当てる。, 5.AWS マネジメントコンソールまたはAWS CLIを使用して、IAM SAML 2.0 ID プロバイダーをAWSに作成する。
45
あなたは趣味の写真とその解説を共有することができる写真共有アプリケーションをAWSを利用して構築しています。このアプリケーションは、ELBとAutoScalingが設定された複数のECインスタンスがアプリケーションサーバーとして利用され、写真保存用にS3ストレージが利用され、文字情報を保存するためにAmazon DynamoDBが利用されています。あなたはアプリケーションサーバーからDynamoDBテーブルへの連携処理を実装しているところです。このアプリケーションへのモバイル認証を実施して、DynamoDBへのアクセスすることが必要ですが、機能を比較検討したところAmazon Cognitoを利用しない方式をとることになりました。 この要件を満たすことができるソリューションを選択してください。
1.Web IdP(Amazon、Facebook、Google、またはその他のOIDC互換IdPでログイン)に登録して、AssumeRoleWithWebIdentity APIを呼び出すことで認証を実現する。次にIAMロールでDynamoDBアクセスの適切な許可設定を実施する。
46
大手金融機関ではAWSにおいて決済管理システムや顧客管理ポータルを運用しています。同社の運用グループはWindowsおよびLinux EC2インスタンスの毎月のパフォーマンスチェックを行っています。金融関連システムということもあり、実稼働環境で実行されている200を超えるオンデマンドEC2インスタンスを利用しています。各インスタンスからメモリ使用量、ディスク容量、その他のメトリックなどのさまざまなシステム詳細情報のログを収集し分析することが必要です。 この要件を満たす、最適なAWSソリューションを選択してください。
2.CloudWatch エージェントを各EC2インスタンスにインストールして設定し、ログデータを自動取得する。次にCloudWatch Logs Insightsを利用してログ情報を分析・可視化する。
47
あなたの会社ではLambda関数を使用したサーバーレスアーキテクチャによるアプリケーションを運用しています。そこで、あなたはソリューションアーキテクトとして、Lambda関数を使ったシステムコンポーネントの設計・実装を担当しています。WEB上でLambda関数を実行して、別のVPC内のホストされているデータベースに処理結果を保存する機能を構築しました。このLambda関数を実行してVPC内のプライベートサブネットにあるデータベースにアクセスを試みましたが、Lambda関数は動作を停止してしまいました。 この問題を解決するために必要な対応を選択してください。 (2つ選択してください)
2.Lambdaファンクションのセキュリティグループのアウトバウンドトラフィックの許可設定を適切なものに変更する。 , 3.VPCにNATゲートウェイを追加する。
48
B金融機関はフィンテック事業として新しい仮想通貨取引システムを運用しています。あなたは開発担当者として、今年リリースしたモバイルから仮想通貨取引に参加できるアプリケーションをサーバレスアーキテクチャにより実装しています。このモバイルアプリケーションはグローバルに何10万人ものユーザーを抱えており、CloudFrontによってコンテンツが配信されることで最適な配信構成を実現していましたが、最近になってHTTP 504エラーが発生しているようです。また、特にログイン時にはコンテンツ表示に時間がかかっているようです。 この問題を解決するための最も費用対効果の高いAWSソリューションを選択してください。(2つ選択してください。)
1.ユーザーに近い場所での認証プロセスを実施し、CloudFrontを利用したコンテンツ配信処理プロセスを実行するためにLamdba Edgeを利用する。 , 3.2つのオリジンサーバーによるオリジングループを作成して、オリジンフェイルオーバーを構成する。1つをプライマリオリジン、もう1つはセカンダリーオリジンとして、プライマリオリジンに障害が発生したときにCloudFrontが自動的な切替対象とする。
49
A社は動画再生アプリケーションをAWSにホストして構築しています。このアプリケーションでは動画データをS3に保存しつつ、EC2インスタンスによる動画処理を実施し、グローバルにユーザーに利用してもらう配信プラットフォームであるため、CloudFrontを前面に設定しています。あなたはソリューションアーキテクトとして、動画配信のセキュリティ制御を実装しているところです。要件としては、暗号化によって配信用データと保存データを保護する必要があります。また、直接S3バケットへのアクセスを制限することも必要です。 これらのアプリケーション要件を踏まえて最適なソリューションを選択してください。
1.Advanced Encryption Standard (AES-256)を利用して保存中のデータとストリーミング用のトランスコーディングしたデータを暗号化する。次にCloudFrontにOrigin Access Identityを利用して、CloudFrontからのみコンテンツを利用できるように設定する。
50
A社では多層WebアプリケーションをオンプレミスからAWSへと移行したところです。現在、WEB層においてプレースメントグループを構成している9つのEC2インスタンスが実行されています。最近になってEC2インスタンスの処理負荷が増加したことを受けて、このプレイスメントグループに対して2つの新しいインスタンスを追加することになりました。 どのようにしてプレイスメントグループにEC2インスタンスを追加できますか?
4.一旦プレイスメントグループ停止した上で、既存のEC2インスタンスと同じインスタンスタイプを新規に2つ追加してから、プレイスメントグループにあるEC2インスタンスを再起動する。
51
あなたの会社はIoTデータによる農業データ管理システムを運用しています。このシステムは、毎日の実行タスクとして、その日の農地のかかる土壌および水分データを取得して、最適な育成環境であるかを管理しつつ、機械学習によって最適な設定をレコメンデーションしています。この機能を実施するためには、リアルタイム土壌分析処理と、リアルタイム栄養素分析処理の2つのトランザクション処理を実施することが必要とされています。2つのトランザクション機能が効率的にデータを処理できるように、2つの処理には同じトランザクションデータが確実に配信されて、シリアル順でデータ順序が保証されている必要があります。 これらのアプリケーション要件を踏まえて最適なソリューションを選択してください。
3.Amazon Kinesis Data Streamsを利用して、2つのトランザクション処理に同じデータを渡して別々の時間帯に実行させる。
52
あなたはAWSを利用したネットワーク構成を実装しています。DHCP(Dynamic Host Configuration Protocol)は、構成情報をTCP / IPネットワーク上のホストに提供しています。DHCPオプションの最初のセットを作成してAmazonのDNSサーバーを利用してVPCに関連付けましたが、エラーが発生してしまいました。 この問題を解決するため最適なソリューションを選択してください。
1.新しいDHCPオプションを作成して、 domain-name-servers=AmazonProvidedDNS を指定してVPCに関連付けを実施する。
53
大手ソフトウェア会社はエンドユーザーが作成および取得できるスケジュールをモバイルで作成・共有・コミュニケーションできるタスク管理アプリケーションサービスを開発しています。日々のデータはDynamoDBテーブルに蓄積される構成となっています。あなたはソリューションアーキテクトとして、アプリケーションのデータ処理において新規サーバレス機能を実装しています。この機能では、APIゲートウェイからLambda関数を呼び出すことで、DynamoDBテーブルのデータを取得してデータ集計を行います。実装にはLambda関数によるDynamoDBテーブルへのアクセスが必要となり、Lambda関数に対してIAMロールを設定することが求められ、現在設定をしているところです。 このLamdba関数のアクセス権限を適切に設定するためのプロセスを選択して下さい。(2つ選択してください。)
3.add-permission AWS Lambdaコマンドを実行して、Amazon API Gatewayサービスプリンシパル(apigateway.amazonaws.com)にLambda関数を呼び出すアクセス許可を付与する。, 4.LamdbaからDynamoDBのアクセス許可を設定するためインラインポリシーのActionには 「dynamodb:GetItem」と「dynamodb:PutItem」を含める
54
A銀行は金融システム向けのAWSクラウド環境を構築しています。会社にはシステム開発・運用の各段階を分けるために3つの統合された請求先アカウントがあります。利用しているアカウントは開発、テスト、本番環境用の3つのAWSアカウントです。開発アカウントは、AZ:ap-northeast-1dでインスタンスタイプがm4.largeの3つのリザーブドインスタンスを購入しました。ただし、開発アカウントで実行されているインスタンスはありませんが、AZ:ap-northeast-1dにある本番環境アカウントで実行されている5つのm4.largeインスタンスが既に利用されています。 この状況でリザーブドインスタンスの価格割引の恩恵をうけることができるAWSアカウントはどれでしょうか?
2.開発アカウントが購入したリザーブドインスタンスを設置しているAZ:ap-northeast-1dで、インスタンスを起動している本番環境アカウントが統合請求による価格割引の恩恵を受けることができる。
55
あなたは新しいSNSアプリケーションをAWSにホストして構築しています。このアプリケーションでは日常の写真などを共有したりメッセージを発信したりすることができます。アプリケーションは2つのアベイラビリティーゾーンにデプロイされたEC2インスタンスに対してAuto ScalingグループとELBを使用したオーソドックスな構成となっており、静的なコンテンツを配信するためにCloudFrontを使用しています。このSNSサイトはHTTPS / SSLを利用していないため、Google検索ランキングが低くなっていることが問題となっており、あなたは改善することになりました。 ユーザーとCloudFront間の通信にHTTPSを利用するためのAWS側での設定方式を選択してください。(3つ選択してください。)
2.CloudFrontでViewer Protocol Policyとして HTTPS Onlyを設定する。, 3.CloudFrontでViewer Protocol PolicyとしてRedirect HTTP to HTTPSを設定する。, 5.CloudFrontのViewer Protocol Policyの設定でSSL / TLS証明書を利用できる設定にする。
56
あなたの会社は画像診断アプリや顔認証システムの構築など画像AIや画像分析などを得意としたベンチャー企業です。現在開発している顔認証システムは、オンデマンドEC2インスタンスを複数利用してELBとAuto Scalingグループを構成しています。 エラーを引き起こしている特定のインスタンスが1つあり、これを迅速に終了する必要があります。 AWS CLIを使用して、グループのサイズを更新せずに指定されたAuto Scalingグループからインスタンスを終了するコマンド操作を選択してください。
1.terminate-instance-in-auto-scaling-group --instance-id YOUR-INSTANCE-ID --no-should-decrement-desired-capacity
57
大手不動産会社ではAWSを利用した不動産ポータルサイトを構築しています。このポータルサイトでは、パブリックサブネットに設定されたEC2インスタンスベースのWebサーバーが、全IPアドレスからトラフィックを受信できるに設定されています。さらに追加で1つのバックエンド処理を実行することが必要です。このバックエンド接続では、EC2インスタンスが選択したIP範囲からのみSSHトラフィックを受信することが必要です。これらの処理は全て1つのEC2インスタンス上で実現することが必要です。したがって、1つのEC2インスタンスに対して、バックエンド処理用のIPアドレスとインターネットからの通信トラフィック制御用のIPアドレスの2つのパブリックIPアドレスを利用することが要件となっています。 この要件を満たすための、最適なソリューションを選択してください。
1.2つのElastic Network Interfaces(ENI)を作成してEC2インスタンスに設定する。それにより、ENIの1つをインターネットトラフィック用に、もう1つをバックエンド処理用に利用する。
58
ある衣料品ブランドは複数のEC2インスタンスとELBを使用したeコマースアプリケーションを構築しています。 このWebアプリケーションは複数のデバイスプラットフォームをサポートしており、モバイルやPC端末など多様なデバイスからアクセスして利用される予定です。このモバイルアプリケーション上でSSLによるセキュアな通信方式を設定することが必要となっています。 この要件を満たすためにSSL通信のセットアップ方法を選択してください。
3.デバイス毎に個別のELBを作成してSSL証明書をデバイス管理したELB毎に設定する。
59
A社はAWS上にインフラストラクチャを構成してAIベースの交通監視アプリケーションを構築しています。このシステムは都市の安全管理で使用されるため、間違った情報を利用したり、途中で障害が発生して不必要なダウンタイムが発生すると大きな問題となりかねません。よって、システムダウンを極力回避するために可用性と耐障害性を高める必要があります。アプリケーションの処理には複数のEC2インスタンスサーバーを利用して並行処理を実施できるようにして、データベース処理にはSQLクエリ処理が必要となります。 この要件に対応するための最も適切なアーキテクチャはどれですか?
2.ELBを使用して、これらのEC2インスタンスにアプリケーションの着信トラフィックを分散し、SQSによりタスク処理を並列化する。EC2インスタンスに Auto Scalingを使用して、SQSキューサイズに応じてEC2インスタンスをスケーリングする。データベースはAuroraを利用してマルチマスター構成として、最後にRoute53のAliasレコードでELBを指定する。
60
あなたの会社はフィンテックベンチャー企業です。この会社では新しいタイプのAI保険を開発・販売しており、この保険をAPIで提供するアプリケーションをAWSで構築しています。このアプリケーションはIPv4 CIDRブロック10.0.0.0/24のVPCに設置していましたが、IPアドレスが枯渇してしまいました。したがって、現在のVPC CIDR範囲を拡張するが必要です。 この要件に対応するための最も適切なアーキテクチャはどれですか?
2.4つのセカンダリーIPv4のCIDRブロックを追加することで既存のVPCを拡張させる。
61
あなたはヘルステック企業のエンジニアとして健康管理アプリケーションをAWS上に構築しています。このアプリケーションはELBとAutoScalingグループに設定された複数のEC2インスタンスにホストされています。機密性の高い健康記録データは、EC2インスタンスによって処理されて、EBSに保存されます。会社ではセキュリティコンプライアンスの一環として、クラウドインフラストラクチャに保存されているすべてのデータを適切に保護および暗号化することが義務付けられており、あなたはソリューションアーキテクトとして、暗号化方式を検討しているところです。 健康管理データの暗号化方法として正しいソリューションを選択してください。
2.EBSボリュームにデータ保存される前の段階でデータ暗号化を実施する。, 3.AWS KMSを利用してEBSボリュームの暗号化を実施する。
62
あなたの会社は顧客管理用のWEBアプリケーションを運用しているソフトウェア企業です。この会社ではハイブリッドアーキテクチャを採用することになり、先だってデータベースをAmazon RDSに移行することができました。そのため、オンプレミス環境にあるWEBアプリケーションがLDAP(Lightweight Directory Access Protocol)サーバーによる認証を行いつつ、AWS上にあるRDSの顧客データにアクセスすることが必要です。 この要件を実現するために最適なアーキテクチャを選択してください。
2.IDブローカーによってLDAPによるユーザー認証を実施し、STSから一時的なセキュリティトークンを取得し、IAMフェデレーションユーザー認証情報を使用してRDSにアクセスする。
63
大手金融機関A社では複数部門でAWSアカウントを保有し、様々なAWSリソースを利用しています。あなたはIT運用部門の責任者として、複数アカウントを管理するためにAWS Organizationsを利用した統合管理・一括請求の仕組みを設定しています。組織内のすべてのリソースを適切に管理するには、すべてのアカウントでリソースが作成されたときにタグが常に追加されるようにする必要があります。 この要件を実現するために最適なソリューションを選択してください。 (2つ選択してください。)
1.AWS Service CatalogからデプロイされたAWSリソースにポートフォリオ、製品、ユーザーを識別するためのタグが自動的に付与されるように設定する。 , 2.CloudFormationテンプレート内のリソース設定に自動的に適切なタグを設定するように構成する。
64
あなたの会社は不動産情報サイトを運用する不動産テック企業です。このサイトでは仲介業者を介さずに物件の内見予約が出来る”内見くん”などのアプリケーションをAWSを利用して構築しています。このアプリケーションは2つのAZに展開された8のEC2インスタンスによって構成されています。このアプリケーションに対して、負荷テストを実施したところ、ユーザーセッションは両方のAZのEC2インスタンスに均等に分散していましたが、負荷テストツールのトラフィックは1つのAZにあるEC2インスタンスのみを利用しており、負荷分散が達成されていないようです。 この問題を対処するための最適なソリューションを選択してください。(2つ選択してください。)
1.ELBで利用しているスティッキーセッションの設定を非有効化することでEC2インスタンスへの負荷分散を均等化する。, 4.グローバルに分散化したクライアントやサーバーからのリクエスト送信ができるサードパーティーの負荷分散テストを利用する。
65
B社ではCloudFormationを利用した環境構築の自動化を行っています。あなたはエンジニアとしてスタック全体の起動に失敗した場合に自動的にロールバックするCloudFormationテンプレートを準備する必要があります。 アプリケーションスタックを適切に実行するには、最初に前提条件パッケージをインストールする必要があります。このCloudFormationの展開が完了するには約1時間ほどかかる場合があります。 この要件を満たすために、CloudFormationテンプレートに何を追加する必要がありますか?
3.CreationPolicy属性のResourceSignalパラメーターで、2時間のTimeoutプロパティを追加する。
66
あなたはソリューションアーキテクトとして、S3を利用したコンテンツ共有の仕組みを構築しています。このコンテンツ共有を利用するユーザーからのアクセスに限定する必要があり、特定のIPアドレスからのみオブジェクトにアクセスできるように設定することが要件となっています。 この要件を達成するためのソリューションを選択してください。
1.バケットポリシーにCloudFrontのOAIを設定して、CloudFrontのWAF設定によってIP制限を実施する。
67
ベンチャー企業ではAWSを利用してアプリケーション開発を実施しています。あなたは社内の運用担当者として、インターネットを介してVPCに接続し、パブリックサブネットとプライベートサブネットの両方で実行されている全てのEC2インスタンスを管理しています。Microsoft Remote Desktop Protocol(RDP)アクセスによるリモートアクセスを実現したいと考えていますが、EC2インスタンスへのインターネットアクセスを制限して安全なものにするため、Bastionホストを利用したインターネットアクセスを構成する必要があります。 この要件を満たすBastionホストの展開シナリオを選択してください。
3.Bastionホストをパブリックサブネットに配置し、会社のIPアドレスからのRDPアクセスをフルオープン(0.0.0.0/0)で許可して、(RD)ゲートウェイサーバーを設置する。
68
B社はグローバルに展開しているEコマースサイトを運営しているグローバル企業です。このEコマースサイトはグローバルに対応するためにマルチリージョンにEC2インスタンスを設置しています。社内のコンプライアンス規定に適合するためには、B社では世界中のリージョンに展開されたEC2インスタンス全てのパフォーマンスを監視する必要があります。 複数リージョンのEC2インスタンスを監視するためにCloudWatchをどのようにセットアップしますか?
1.異なる複数リージョンからのメトリクスを単一のCloudWatchにより取得して、一つのダッシュボードに表示させる。
69
あなたはソリューションアーキテクトとして、社内用モバイルで閲覧できるデータ共有システムをAWS上に構築しています。 このシステムは、ユーザーが直接アップロードしたデータを単一のAmazon S3バケットに保存し、ユーザーはAmazon S3バケットから直接自分がアップロードしたデータを表示およびダウンロードすることができます。社員数1万ものユーザーが存在するため、データにアクセスする際だけ一時的に可能な限り安全にデータにアクセスできる必要があります。 このモバイルアプリのユーザー登録フローにおける最適なソリューションを選択してください。(2つ選択してください。)
2.IAMロールを作成して許可設定を与える。モバイル向けのAmazon CognitoからSTSを実行することで、モバイルアプリに対する一時利用資格を作成する。これらの資格情報はモバイルアプリのメモリ内に保存され、S3へのアクセスに利用される。, 4.IAMロールを作成して許可設定を与える。STS AssumeRoleを利用してモバイルアプリに対する一時利用資格を作成する。これらの資格情報はモバイルアプリのメモリ内に保存され、S3へのアクセスに利用される。
70
金融機関の決済システムは、同じアベイラビリティゾーン(AZ)に、2つの異なるサブネットに対して設置された2つのグループに分類されたEC2インスタンス群にホストされます。1つのEC2インスタンス群はデータベースを実行しており、もう1つのEC2インスタンス群はデータベースからデータを取得するWebサーバーとして機能しています。このWEBアプリケーションが正しく機能するためには、各EC2インスタンス群内での通信パフォーマンスを最適なものとした上で、それぞれのEC2インスタンスの一連のグループが相互に接続できることを確認する必要があります。また、インスタンスに関連付けられたセキュリティ構成の変更履歴を追跡する必要があります。 次の仕組みの中で、どれがこの要件を満たすことができますか?
3.各インスタンス群においてプレイスメートグループを設定してインスタンス間の通信処理を最適化する。ネットワークACLにより2つのサブネット間の通信を可能にして、セキュリティグループの設定によって、適切なインスタンス間の処理が行えるように設定する。その上で、AWS Configを利用してEC2インスタンスへのセキュリティ構成に関わる変更履歴を追跡可能とする。
71
アメリカに本社を持つメディア企業A社は、グローバルにニュースを配信している英語ニュースサイトをAWS上で運用しています。各記事には多数の画像が含まれ、そのコンテンツは少なくとも200語以上あります。新しい記事は最初の1か月間で最も閲覧されており、記者は公開後最初の1か月間は頻繁に記事を更新する傾向があります。このデータベースにはRDS MySQLを利用しており、ニュース記事のデータ処理にはクエリ処理が多数利用されるため、リレーショナルモデルが必要不可欠です。最近になって、このニュースメディアの利用者が急増しており、コンテンツの読込時間が長いというクレームが発生するようになりました。 この問題を解決するために最も効果的な高パフォーマンスなソリューションの仕組みを選択してください。
4.RDSからスナップショットを取得して、それを利用してAuroraデータベースエンジンで再度DBをAuroraベースで起動しなおす。その上で、マルチクラスター展開と15個のリードレプリカを起動させることで、データ処理性能を向上させる。また、CloudFrontによる配信処理を設定する。
72
Fintech企業B社はビットコインなどの仮想通貨を売買できる仮想通貨取引プラットフォーム事業を開始しました。取引実行データの分析においてRedshiftクラスターを実行しています。あなたはソリューションアーキテクトとして、Redshiftの災害対応の構成を検討しています。要件は以下の通りです。 ・リージョン内のAZが停止した際に即時に対応できる構成とする。 ・リージョン自体が停止したい際には1日で回復できる構成とする。 このRedshiftクラスターの回復ニーズに合致した最適な構成を選択してください。(2つ選択してください。)
1.自動スナップショットを有効化して、プライマリーのRedshiftクラスターから自動スナップショットコピーを実施し、DR用Redshiftクラスターへと適用する。, 5.2 つの Amazon Redshift データウェアハウスクラスターをそれぞれ別のアベイラビリティーゾーンに配置し、同じ Amazon S3 入力ファイルセットからデータをロードする。
73
ある銀行はALBの背後にある複数のアベイラビリティーゾーンにまたがるAmazon EC2インスタンスのAuto ScalingグループでホストされるWEBアプリケーションを立ち上げています。 HTTPおよびHTTPSトラフィックを許可するために、ALBおよびEC2インスタンスの両方のネットワークACLとセキュリティグループを構成して、ポート80および443でのインバウンドトラフィックを許可しました。しかしながら、インターネットからWEBアプリケーションへと接続することができませんでした。 この問題を解決するために最適なソリューションを選択してください。
4.ポート1024〜65535のアウトバウンドトラフィックを許可することにより、ネットワークACLで一時ポートを許可する。
74
金融機関のC社ではフィンテック企業として、様々な金融サービスを展開しています。現在あなたが開発しているオンライン決済プラットフォームは、Auto ScalingグループとELBを設定したEC2インスタンスにホストされています。運用においてはAWS Systems Managerを使用してEC2インスタンスのグループを監視およびタスク処理することになりました。これらのインスタンスにメンテナンスやOSパッチなどのバッチ操作がある場合は、Systems Managerを使用してこれらのアクティビティを自動的に実施する設定が必要です。 EC2インスタンスに対してSystems Managerの自動化で実行できるタスクを選択してください。 (2つ選択してください。)
2.AWS Systems Manager エージェントにタスクスクリプトを定義して、EC2インスタンスにインストールする。 Systems Manager Automation を利用して自動化ワークフローを構成する。 , 4.Systems Managerコンソールで自動化の進行状況と実行の詳細を監視して、CloudWatchイベントを使用して自動化タスクとワークフローに関する通知を受け取る
75
大手商社では海外展開に向けて、AWSの既存リソースの一部を別リージョンに移行する対応を行っています。 まず実行すべきタスクは、すべてのAmazon Machine Image(AMI)を東京リージョンからシンガポールリージョンにコピーすることです。しかしながら、AMIをコピーするだけでは該当EC2インスタンスにアクセスすることができません。シンガポールリージョンに向けてコピーされたAMIを起動する際には最適なPEMキーを指定して起動することが必要となります。この会社では管理方針としてPEMキーを単一のキーで一元的に利用することが求められています。 AMIがリージョン間でPEMキーを移行する方式はどれでしょうか?(2つ選択してください。)
1.OSなどのライセンス認証情報はAMIによってリージョン全体にコピーされるが、PEMキーはコピーされないため、AWS CLIを利用してPEMキーをインポートする必要がある。 , 4.OSなどのライセンス認証情報はAMIによってリージョン全体にコピーされるが、PEMキーはコピーされないため、EC2コンソールを利用してPEMキーをインポートする必要がある。