AWS-DOP-C02 日本語版 - AWS練習問題集

AWS 認定 DevOps エンジニア – プロフェッショナルは、AWS 上の分散アプリケーションシステムのプロビジョニング、運用、管理に関する高度な専門知識を示し、仲間や関係者、同僚からの信頼と信用を強化するものです。これらの適格なプロフェッショナルがいる組織は、安全でコンプライアンスに準拠した、高い可用性とスケーラビリティを持つシステムを迅速に提供することができます。

■AWS-DOP-C02-(JP) All

/363

AWS-DOP-C02-(JP) All

1 / 363

No.1
ある会社には、Application Load Balancer (ALB) への HTTP API 呼び出しを行うモバイルアプリケーションがあります。ALB はリクエストを AWS Lambda 関数にルーティングします。アプリケーションのさまざまなバージョンが常に使用されており、その中には一部のユーザーによってテストされているバージョンも含まれます。アプリケーションのバージョンは、API へのすべてのリクエストとともに送信されるユーザーエージェントヘッダーで定義されます。
最近 API に一連の変更が加えられた後、会社はアプリケーションに問題があることに気づきました。会社は、使用中のアプリケーションのバージョンごとに、レスポンスコードによって各 API 操作のメトリクスを収集する必要があります。DevOps エンジニアは、ユーザーエージェントヘッダーとレスポンスコードから API 操作名、バージョン情報を抽出するために Lambda 関数を変更しました。
DevOps エンジニアは、必要なメトリクスを収集するために、どの追加のアクションセットを実行する必要がありますか?

A. Lambda 関数を変更して、API 操作名、レスポンスコード、バージョン番号を Amazon CloudWatch Logs ロググループへのログラインとして書き込みます。 API 操作名ごとにメトリクスを増分する CloudWatch Logs メトリクスフィルターを設定します。応答コードとアプリケーションバージョンをメトリクスのディメンションとして指定します。

B. Lambda 関数を変更して、API 操作名、応答コード、バージョン番号をログ行として Amazon CloudWatch Logs ロググループに書き込みます。CloudWatch Logs Insights クエリを設定して、ログ行から CloudWatch メトリクスを入力します。応答コードとアプリケーションバージョンをメトリクスのディメンションとして指定します。

C. ALB アクセスログを Amazon CloudWatch Logs ロググループに書き込むように設定します。Lambda 関数を変更して、API 操作名、応答コード、バージョン番号を応答メタデータとして ALB に応答します。API 操作名ごとにメトリクスを増分する CloudWatch Logs メトリクスフィルターを設定します。応答コードとアプリケーションバージョンをメトリクスのディメンションとして指定します。

D. Lambda 関数で AWS X-Ray 統合を設定します。Lambda 関数を変更して、API 操作名、応答コード、バージョン番号を含む X-Ray サブセグメントを作成します。 X-Ray Insights を設定して、各 API 操作名の集計メトリックを抽出し、そのメトリックを Amazon CloudWatch に公開します。メトリックのディメンションとして、応答コードとアプリケーションバージョンを指定します。

答え A

説明

オプション A - このオプションは、必要なメトリクスを収集する最も効率的な方法です。追加のインフラストラクチャを必要とせず、簡単に実装できます。

オプション B - このオプションはオプション A よりも複雑で、CloudWatch Logs Insights クエリを構成する必要があります。これはセットアップに時間がかかり、クエリが最適化されていないと効率が悪くなる可能性がある。

オプションC - このオプションはALBのアクセスログをCloudWatch Logsに書き込むように設定する必要がある。これはリクエストに追加のレイテンシーを追加する可能性がある。

オプションD - このオプションは、AWS X-Ray統合を構成する必要があります。これはより複雑なソリューションであり、このケースでは必要ない。

2 / 363

No.2
ある企業が顧客にアプリケーションを提供しています。アプリケーションには、AWS Lambda 関数を呼び出す Amazon API Gateway REST API があります。初期化時に、Lambda 関数は Amazon DynamoDB テーブルから大量のデータをロードします。データロードプロセスにより、8 ～ 10 秒の長いコールドスタート時間が発生します。DynamoDB テーブルには DynamoDB Accelerator (DAX) が設定されています。
顧客から、アプリケーションがリクエストに応答するのに断続的に長い時間がかかるという報告があります。アプリケーションは 1 日を通して何千ものリクエストを受け取ります。日中は、アプリケーションは 1 日の他のどの時間よりも 10 倍多くのリクエストを経験します。1 日の終わり近くになると、アプリケーションのリクエスト量は通常の合計の 10% に減少します。
DevOps エンジニアは、1 日中いつでも Lambda 関数のレイテンシーを削減する必要があります。
これらの要件を満たすソリューションはどれですか?

A. Lambda 関数でプロビジョニングされた同時実行を同時実行値 1 で設定します。DynamoDB テーブルの DAX クラスターを削除します。

B. Lambda 関数で予約された同時実行を同時実行値 0 で設定します。

C. Lambda 関数でプロビジョニングされた同時実行を設定します。プロビジョニングされた同時実行値を最小 1、最大 100 に設定して、Lambda 関数で AWS Application Auto Scaling を設定します。

D. Lambda 関数で予約された同時実行を設定します。予約された同時実行最大値 100 で、API Gateway API で AWS Application Auto Scaling を設定します。

回答: C

説明:
1 日中 Lambda 関数のレイテンシーを短縮するには、Lambda 関数でプロビジョニングされた同時実行を同時実行値 1 で設定し、Lambda 関数でプロビジョニングされた同時実行を最小 1、最大 100 に設定して AWS Application Auto Scaling を設定するのが最善の解決策です (オプション C)。

プロビジョニングされた同時実行により、Lambda 関数で常に一定数のインスタンスが利用可能になり、コールドスタート時間が短縮されます。プロビジョニングされた同時実行値を最小 1、最大 100 に設定することで、Lambda 関数はトラフィックの急激な増加に対応でき、トラフィックが少ない期間にはスケールダウンできるため、コストを最小限に抑えることができます。

3 / 363

No.3
ある会社では、Apache Web サーバーを使用した Java-Apache Tomcat アプリケーションのアプリケーションデプロイメントを自動化するために AWS CodeDeploy を採用しています。開発チームは概念実証から開始し、開発者環境用のデプロイメントグループを作成し、アプリケーション内で機能テストを実行しました。完了後、チームはステージングと本番環境用の追加のデプロイメントグループを作成します。
現在のログレベルは Apache 設定内で構成されていますが、チームはデプロイメントの発生時にこの構成を動的に変更して、グループごとに異なるアプリケーションリビジョンを持たずに、デプロイメントグループに応じて異なるログレベル構成を設定できるようにしたいと考えています。
これらの要件を、管理オーバーヘッドを最小限に抑え、デプロイメントグループごとに異なるスクリプトバージョンを必要とせずに満たすにはどうすればよいでしょうか。

A. デプロイメントグループに応じて Amazon EC2 インスタンスにタグを付けます。次に、メタデータサービスと EC2 API を呼び出してインスタンスが属するデプロイメントグループを識別するスクリプトをアプリケーションリビジョンに配置します。この情報を使用して、ログレベル設定を構成します。appspec.yml ファイルの AfterInstall ライフサイクルフックの一部としてスクリプトを参照します。

B. CodeDeploy 環境変数 DEPLOYMENT_GROUP_ NAME を使用して、インスタンスが属するデプロイメントグループを識別するスクリプトを作成します。この情報を使用して、ログレベル設定を構成します。このスクリプトは、appspec.yml ファイルの BeforeInstall ライフサイクルフックの一部として参照します。

C. 各環境の CodeDeploy カスタム環境変数を作成します。次に、この環境変数をチェックしてインスタンスが属するデプロイメントグループを識別するスクリプトをアプリケーションリビジョンに配置します。この情報を使用して、ログレベル設定を構成します。このスクリプトは、appspec.yml ファイルの ValidateService ライフサイクルフックの一部として参照します。

D. CodeDeploy 環境変数 DEPLOYMENT_GROUP_ID を使用して、インスタンスが属するデプロイメントグループを識別し、ログレベル設定を構成するスクリプトを作成します。このスクリプトは、appspec.yml ファイルの Install ライフサイクルフックの一部として参照します。

回答: B

説明:
ドキュメント: https://docs.aws.amazon.com/codedeploy/latest/userguide/reference-appspec-file-structure-hooks.html に、「デプロイメント内の Start、Install、TestTraffic、AllowTraffic、および End イベントはスクリプト化できないため、この図では灰色で表示されています」という注記があります。これが D ではない理由です。

https://aws.amazon.com/blogs/devops/using-codedeploy-environment-variables/

if [ "$DEPLOYMENT_GROUP_NAME" == "Staging" ]
then
sed -i -e 's/LogLevel warn/LogLevel debug/g' /etc/httpd/conf/httpd.conf
fi

4 / 363

No.4
ある会社では、開発者にアカウント内のすべての Amazon Elastic Block Store (Amazon EBS) ボリュームにタグを付けて、希望するバックアップ頻度を示すように求めています。この要件には、バックアップを必要としない EBS ボリュームも含まれます。この会社では、希望するバックアップ頻度に対応する none、dally、weekly の値を持つ Backup_Frequency というカスタムタグを使用しています。監査の結果、開発者が EBS ボリュームにタグを付けていないことが時々あることがわかりました。
DevOps エンジニアは、別の値が指定されていない限り、会社が少なくとも毎週バックアップを実行できるように、すべての EBS ボリュームに常に Backup_Frequency タグが付いていることを確認する必要があります。
これらの要件を満たすソリューションはどれですか?

A. アカウントに AWS Config を設定します。Backup Frequency タグが適用されていないすべての Amazon EC2 リソースに対してコンプライアンスエラーを返すカスタムルールを作成します。カスタム AWS Systems Manager Automation ランブックを使用して、毎週の値が指定された Backup_Frequency タグを適用する修復アクションを設定します。

B. アカウントに AWS Config を設定します。バックアップ頻度タグが適用されていない EC2::Volume リソースに対してコンプライアンス失敗を返すマネージドルールを使用します。カスタム AWS Systems Manager Automation ランブックを使用して、毎週の値を指定した Backup_Frequency タグを適用する修復アクションを設定します。

C. アカウントで AWS CloudTrail をオンにします。EBS CreateVolume イベントに反応する Amazon EventBridge ルールを作成します。毎週の値を指定した Backup_Frequency タグを適用するカスタム AWS Systems Manager Automation ランブックを設定します。ルールのターゲットとしてランブックを指定します。

D. アカウントで AWS CloudTrail をオンにします。EBS CreateVolume イベントまたは EBS ModifyVolume イベントに反応する Amazon EventBridge ルールを作成します。毎週の値を指定した Backup_Frequency タグを適用するカスタム AWS Systems Manager Automation ランブックを設定します。ルールのターゲットとしてランブックを指定します。

回答: B

説明:

オプション A - 機能しますが、カスタムルールを使用します。

オプション B - 既存のマネージドルールを使用するため、オプション A よりも簡単です。

オプション C - 新しいボリュームにのみ適用され、既存のリソースには対応しません。

オプション D - C よりも優れていますが、すべての EBS ボリュームをチェックしてコンプライアンスを強制するという要件を完全には満たしていません。
ベストアンサーは B です。

オプション B --> EC2::Volume リソースの AWS 構成マネージドルール + カスタム SSM 自動化ドキュメント
オプション A ではありません --> すべての EC2::Instance のカスタム構成ルール + マネージド SSM 自動化ドキュメントと記載されているため
オプション C と D ではありません --> API アクションのログ記録用の cloudtrail と記載されているため

5 / 363

No.5
ある会社では、アプリケーションのデータストアとして Amazon Aurora クラスターを使用しています。Aurora クラスターは、単一の DB インスタンスで構成されています。アプリケーションは、クラスターのインスタンスのエンドポイントを使用して、データベースの読み取りおよび書き込み操作を実行します。
会社は、今後のメンテナンス期間中にクラスターに更新を適用するようにスケジュールを設定しました。メンテナンス期間中、クラスターは中断を最小限に抑えて利用できる状態を維持する必要があります。
これらの要件を満たすために、DevOps エンジニアは何をすべきでしょうか?

A. Aurora クラスターにリーダーインスタンスを追加します。書き込み操作に Aurora クラスターのエンドポイントを使用するようにアプリケーションを更新します。読み取り用に Aurora クラスターのリーダーエンドポイントを更新します。

B. Aurora クラスターにリーダーインスタンスを追加します。クラスターのカスタム ANY エンドポイントを作成します。読み取りおよび書き込み操作に Aurora クラスターのカスタム ANY エンドポイントを使用するようにアプリケーションを更新します。

C. Aurora クラスターでマルチ AZ オプションをオンにします。書き込み操作に Aurora クラスターのエンドポイントを使用するようにアプリケーションを更新します。読み取り用に Aurora クラスターのリーダーエンドポイントを更新します。

D. Aurora クラスターでマルチ AZ オプションをオンにします。クラスターのカスタム ANY エンドポイントを作成します。読み取りおよび書き込み操作に Aurora クラスターのカスタム ANY エンドポイントを使用するようにアプリケーションを更新します

回答: A

説明:
B と D は不正解です。Aurora クラスターはクラスターエンドポイントと読み取りエンドポイントを提供しますが、カスタム ANY エンドポイントの作成はサポートしていません。
C と D は不正解です。Amazon Aurora のマルチ AZ オプションは DB インスタンスの作成時に設定する必要があるためです。
したがって、A が正解です。

プロビジョニング後にリーダーインスタンスを追加することは、作成時にマルチ AZ を設定することと同じです。プライマリに障害が発生した場合、リーダーインスタンスは自動的に読み取りと書き込みの両方を行うように昇格されます。
さらに、クラスターリーダーエンドポイントを使用する場合は、リーダーインスタンスを読み取りアクティビティに使用することもできます。このエンドポイントは、リージョンに近いユーザー/アプリケーションに提供してパフォーマンスを向上させることができます。

6 / 363

No.6
ある企業は、アカウント間で共有するすべての AMI を暗号化する必要があります。DevOps エンジニアは、暗号化されていないカスタム AMI が構築されているソースアカウントにアクセスできます。また、DevOps エンジニアは、Amazon EC2 Auto Scaling グループが AMI から EC2 インスタンスを起動するターゲットアカウントにもアクセスできます。DevOps エンジニアは、AMI をターゲットアカウントと共有する必要があります。
企業は、ソースアカウントに AWS Key Management Service (AWS KMS) キーを作成しました。
要件を満たすために、DevOps エンジニアが実行する必要がある追加の手順はどれですか? (3 つ選択してください)。

A. ソースアカウントで、暗号化されていない AMI を暗号化された AMI にコピーします。コピーアクションで KMS キーを指定します。

B. ソースアカウントで、暗号化されていない AMI を暗号化された AMI にコピーします。コピーアクションで、デフォルトの Amazon Elastic Block Store (Amazon EBS) 暗号化キーを指定します。

C. ソースアカウントで、ターゲットアカウントの Auto Scaling グループのサービスにリンクされたロールに権限を委任する KMS 権限を作成します。

D. ソースアカウントで、キーポリシーを変更して、ターゲットアカウントに権限を作成する権限を付与します。ターゲットアカウントで、Auto Scaling グループのサービスにリンクされたロールに権限を委任する KMS 権限を作成します。

E. ソースアカウントで、暗号化されていない AMI をターゲットアカウントと共有します。

F. ソースアカウントで、暗号化された AMI をターゲットアカウントと共有します。

回答: A、D、F

説明:

Share encrypted AMI across AWS accounts

オプション A - KMS を使用しているため、B にすることはできません

オプション D - 権限は一時的なものであるため、アカウントと共有する必要があります

オプション F - AMI をターゲットと共有します

7 / 363

No.7
ある会社では、AWS CodePipeline パイプラインを使用してアプリケーションのリリースを自動化しています。一般的なパイプラインは、ビルド、テスト、デプロイの 3 つのステージで構成されています。この会社では、各ステージのスクリプトを実行するために個別の AWS CodeBuild プロジェクトを使用してきました。しかし、現在ではパイプラインのデプロイステージを処理するために AWS CodeDeploy を使用したいと考えています。
この会社ではアプリケーションを RPM パッケージとしてパッケージ化しており、Amazon EC2 インスタンスのフリートにアプリケーションをデプロイする必要があります。EC2 インスタンスは EC2 Auto Scaling グループにあり、共通の AMI から起動されます。
これらの要件を満たすために、DevOps エンジニアが実行する必要がある手順の組み合わせはどれですか? (2 つ選択してください)。

A. CodeDeploy エージェントがインストールされた共通 AMI の新しいバージョンを作成します。EC2 インスタンスの IAM ロールを更新して、CodeDeploy へのアクセスを許可します。

B. CodeDeploy エージェントがインストールされた共通 AMI の新しいバージョンを作成します。アプリケーションのデプロイスクリプトを含み、CodeDeploy へのアクセスを許可する AppSpec ファイルを作成します。

C. CodeDeploy でアプリケーションを作成します。インプレースデプロイメントタイプを設定します。デプロイメントターゲットとして Auto Scaling グループを指定します。EC2 Image Builder を使用して新しい AMI を作成するためのステップを CodePipeline パイプラインに追加します。新しく作成した AMI をデプロイするように CodeDeploy を設定します。

D. CodeDeploy でアプリケーションを作成します。インプレースデプロイメントタイプを設定します。デプロイメントターゲットとして Auto Scaling グループを指定します。CodePipeline パイプラインを更新して、CodeDeploy アクションを使用してアプリケーションをデプロイします。

E. CodeDeploy でアプリケーションを作成します。インプレースデプロイメントタイプを設定します。共通の AMI から起動される EC2 インスタンスをデプロイメントターゲットとして指定します。CodePipeline パイプラインを更新して、CodeDeploy アクションを使用してアプリケーションをデプロイします。

回答: A、D

説明:

オプション A - AMI を再構築し、EC2 インスタンスの IAM ロールを更新して、CodeDeploy へのアクセスを許可する必要があります。

オプション B - 誤りです。appspec は権限とは関係ありません。

オプション C - 正しくありません。新しい RPM を AMI にデプロイします。RPM をインストールするたびに新しい AMI を作成する必要はありません。

オプション D - ASG をターゲットにする

オプション E - インスタンスが ASG 上にあると記載されているため、正しくありません。

8 / 363

No.8
ある会社のセキュリティチームは、すべての外部アプリケーションロードバランサー (ALB) と Amazon API Gateway API を AWS WAF ウェブ ACL に関連付けることを要求しています。この会社には数百の AWS アカウントがあり、それらはすべて AWS Organizations 内の単一の組織に含まれています。この会社は組織用に AWS Config を設定しました。監査中に、この会社は AWS WAF ウェブ ACL に関連付けられていない外部向けの ALB をいくつか見つけました。
DevOps エンジニアが将来の違反を防ぐために実行する必要がある手順の組み合わせはどれですか (2 つ選択してください)。

A. AWS Firewall Manager をセキュリティアカウントに委任します。

B. Amazon GuardDuty をセキュリティアカウントに委任します。

C. AWS Firewall Manager ポリシーを作成して、新しく作成された ALB と API Gateway API に AWS WAF ウェブ ACL をアタッチします。

D. Amazon GuardDuty ポリシーを作成して、新しく作成された ALB と API Gateway API に AWS WAF ウェブ ACL をアタッチします。

E. AWS Config マネージドルールを設定して、新しく作成された ALB と API Gateway API に AWS WAF ウェブ ACL をアタッチします。

回答: A、C

説明:
WAF が表示されている場合は、AWS Firewall Manager を思い浮かべる必要があります。

GuardDuty は検出結果のみを投稿するため、検出結果は除外できます。

私の知る限り、Config は通知のみを行います。

9 / 363

No.9
ある会社では、AWS Key Management Service (AWS KMS) キーと手動キーローテーションを使用して、規制コンプライアンス要件を満たしています。セキュリティチームは、90 日経過してもキーがローテーションされていない場合に通知を受け取りたいと考えています。
これを実現するソリューションはどれですか?

A. キーが 90 日以上経過した場合に Amazon Simple Notification Service (Amazon SNS) トピックに発行するように AWS KMS を設定します。

B. Amazon EventBridge イベントを設定して、AWS Lambda 関数を起動し、AWS Trusted Advisor API を呼び出して Amazon Simple Notification Service (Amazon SNS) トピックに発行します。

C. キーが 90 日以上経過した場合に Amazon Simple Notification Service (Amazon SNS) トピックに発行する AWS Config カスタムルールを開発します。

D. キーが 90 日以上経過した場合に Amazon Simple Notification Service (Amazon SNS) トピックに発行するように AWS Security Hub を設定します。

回答: C

説明:

オプション A - KMS ではこの機能が提供されていないため、これは当てはまりません。

オプション C - Config ルールが通知します。

これはカスタムルールである必要があります。ルール「access-keys-rotated」は、KMS キーではなくアクセスキーをチェックします。

実際には、これに対するマネージドルールがあります:
https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html
いずれにしても、そのようなチェックがないため、信頼できるアドバイザーは使用できません。また、KMS にはこのアクションがなく、セキュリティハブはアクティブなチェックを実行せず、イベントに反応するだけです。

10 / 363

10.

No.10
セキュリティレビューにより、AWS CodeBuild プロジェクトが、認証されていないリクエストを使用して Amazon S3 バケットからデータベースポピュレーションスクリプトをダウンロードしていることが判明しました。セキュリティチームは、このプロジェクトに対して S3 バケットへの認証されていないリクエストを許可していません。
この問題を最も安全な方法で修正するにはどうすればよいですか?

A. CodeBuild プロジェクト設定の AllowedBuckets セクションにバケット名を追加します。AWS CLI を使用してデータベースポピュレーションスクリプトをダウンロードするようにビルド仕様を更新します。

B. S3 バケット設定を変更して、HTTPS 基本認証を有効にし、トークンを指定します。ビルド仕様を更新して、cURL を使用してトークンを渡し、データベースポピュレーションスクリプトをダウンロードします。

C. バケットポリシーを使用して、S3 バケットから認証されていないアクセスを削除します。CodeBuild プロジェクトのサービスロールを変更して、Amazon S3 アクセスを含めます。AWS CLI を使用して、データベースポピュレーションスクリプトをダウンロードします。

D. バケットポリシーを使用して、S3 バケットから認証されていないアクセスを削除します。AWS CLI を使用して、IAM アクセスキーとシークレットアクセスキーを使用して、データベースポピュレーションスクリプトをダウンロードします。

回答: C

説明:
オプション C - バケットポリシーを使用して、S3 バケットから認証されていないアクセスを削除します。
CodeBuild プロジェクトのサービスロールを変更して、Amazon S3 アクセスを含めます。

11 / 363

11.

No.11
eコマース企業が新しいプラットフォームのホストとしてAWSを選択しました。同社のDevOpsチームはAWS Control Towerランディングゾーンの構築を開始しました。DevOpsチームはAWS IAM Identity Center (AWS Single Sign-On)内のアイデンティティストアを外部アイデンティティプロバイダー (IdP) に設定し、SAML 2.0を設定しました。
DevOpsチームは、最小権限の原則を適用する堅牢な権限モデルを求めています。このモデルでは、チームがチーム自身のリソースのみを構築および管理できるようにする必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (3つ選択してください)

A. 必要な権限を含むIAMポリシーを作成します。aws:PrincipalTag条件キーを含めます。

B. 権限セットを作成します。必要な権限を含むインラインポリシーを添付し、aws:PrincipalTag条件キーを使用して権限の範囲を指定します。

C. IdPにグループを作成します。ユーザーをグループに配置します。グループをIAM Identity Centerのアカウントと権限セットに割り当てます。

D. IdP でグループを作成します。ユーザーをグループに配置します。グループを OU と IAM ポリシーに割り当てます。

E. IAM Identity Center でアクセス制御の属性を有効にします。ユーザーにタグを適用します。タグをキーと値のペアとしてマップします。

F. IAM Identity Center でアクセス制御の属性を有効にします。IdP の属性をキーと値のペアとしてマップします。

回答: B、C、F

説明:
私なら BCF にします。理由について大したコメントはできませんが、職場でアイデンティティセンターの設定を管理し、私見ではこれらが正しいと思います。IdP にはタグではなく属性があり、たとえば IdP の属性に頼る必要があります。また、ほとんどの場合、権限セットを扱うので、権限セットに関する 3 つの回答で完全な回答になります。このために IAM を直接使用したり、タグを使用したりすることはありません。

これはここに明確に記載されています:
https://aws.amazon.com/blogs/aws/new-attributes-based-access-control-with-aws-single-sign-on/
答えは、BCF - 権限セット + IDP 属性マッピング + グループです
たとえば、IDP 属性が Dep/hr のユーザーは、この特定のタグを持つインスタンスを削除できます。

12 / 363

12.

No.12
e コマース会社が、注文履歴ページで注文の処理ステータスが反映されるのに遅延が発生しているという報告を受けています。注文処理システムは、予約された同時実行を使用する AWS Lambda 関数で構成されています。Lambda 関数は、Amazon Simple Queue Service (Amazon SQS) キューからの注文メッセージを処理し、処理された注文を Amazon DynamoDB テーブルに挿入します。DynamoDB テーブルでは、読み取りおよび書き込み容量の自動スケーリングが有効になっています。
この遅延を解決するために、DevOps エンジニアはどのアクションを実行する必要がありますか? (2 つ選択してください)

A. SQS キューの approximateAgeOfOldestMessage メトリックを確認します。 Lambda 関数の同時実行制限を増やします。

B. SQS キューの approximateAgeOfOldestMessage メトリックを確認します。SQS キューの再ドライブポリシーを構成します。

C. SQS キューの NumberOfMessagesSent メトリックを確認します。SQS キューの可視性タイムアウトを増やします。

D. DynamoDB テーブルの WriteThrottleEvents メトリックを確認します。テーブルのスケーリングポリシーの最大書き込み容量ユニット (WCU) を増やします。

E. Lambda 関数の Throttles メトリックを確認します。Lambda 関数のタイムアウトを増やします。

回答: A、D

説明:

オプション A - approximateAgeOfOldestMessage を確認し、それに応じて同時実行を増やします。

オプション D - throttleevent (拒否されたリクエストの数) を確認し、それに応じて最大書き込みを増やします。

13 / 363

13.

No.13
ある会社には、単一の AWS リージョンで数百の Amazon EC2 インスタンスを実行する単一の AWS アカウントがあります。アカウントでは、1 時間ごとに新しい EC2 インスタンスが起動および終了します。アカウントには、1 週間以上実行されている既存の EC2 インスタンスも含まれます。
会社のセキュリティポリシーでは、実行中のすべての EC2 インスタンスで EC2 インスタンスプロファイルを使用する必要があります。EC2 インスタンスにインスタンスプロファイルが添付されていない場合、EC2 インスタンスは IAM 権限が割り当てられていないデフォルトのインスタンスプロファイルを使用する必要があります。
DevOps エンジニアがアカウントを確認し、インスタンスプロファイルなしで実行されている EC2 インスタンスを発見しました。確認中に、DevOps エンジニアは、新しい EC2 インスタンスがインスタンスプロファイルなしで起動されていることも確認しました。
どのソリューションを使用すれば、リージョン内の既存および将来のすべての EC2 インスタンスにインスタンスプロファイルが添付されるようになりますか?

A. EC2 RunInstances API 呼び出しに反応する Amazon EventBridge ルールを設定します。デフォルトのインスタンスプロファイルを EC2 インスタンスにアタッチするために AWS Lambda 関数を呼び出すルールを設定します。

B. ec2-instance-profile-attached AWS Config マネージドルールを、トリガータイプが構成変更であるように設定し、AWS Systems Manager Automation ランブックを呼び出して、デフォルトのインスタンスプロファイルを EC2 インスタンスにアタッチする自動修復アクションを設定します。

C. EC2 StartInstances API 呼び出しに反応する Amazon EventBridge ルールを設定します。デフォルトのインスタンスプロファイルを EC2 インスタンスにアタッチするために AWS Systems Manager Automation ランブックを呼び出すルールを設定します。

D. iam-role-managed-policy-check AWS Config マネージドルールを、トリガータイプが構成変更であるように設定し、AWS Lambda 関数を呼び出して、デフォルトのインスタンスプロファイルを EC2 インスタンスにアタッチする自動修復アクションを設定します。

回答: B

説明: WS Config、具体的には、構成変更トリガータイプが "ec2-instance-profile-attached" マネージドルールを使用します。このルールは、インスタンスプロファイルの EC2 インスタンスへのアタッチを監視するのに役立ちます。インスタンスプロファイルがアタッチされていないインスタンスが見つかった場合に応答するように、AWS Config 内で自動修復アクションを設定できます。修復アクションでは、AWS Systems Manager Automation ランブックが実行され、それらのインスタンスにデフォルトのインスタンスプロファイルがアタッチされます。

14 / 363

14.

No.14
DevOps エンジニアは、AWS Lambda 関数を使用するサーバーレスアプリケーションの継続的なデプロイパイプラインを構築しています。この会社は、デプロイの失敗による顧客への影響を軽減したいと考えています。また、問題を監視したいと考えています。
これらの要件を満たすデプロイステージ構成はどれですか?

A. AWS Serverless Application Model (AWS SAM) テンプレートを使用して、サーバーレスアプリケーションを定義します。AWS CodeDeploy を使用して、Canary10Percent15Minutes デプロイ設定タイプで Lambda 関数をデプロイします。Amazon CloudWatch アラームを使用して、関数の健全性を監視します。

B. AWS CloudFormation を使用して新しいスタック更新を公開し、すべてのリソースに Amazon CloudWatch アラームを含めます。開発者が AWS CloudFormation の変更セットを検証および承認できるように、AWS CodePipeline 承認アクションを設定します。

C. AWS CloudFormation を使用して、スタックの更新ごとに新しいバージョンを公開し、すべてのリソースに Amazon CloudWatch アラームを含めます。AWS::Lambda::Alias リソースの RoutingConfig プロパティを使用して、スタックの更新中にトラフィックルーティングを更新します。

D. AWS CodeBuild を使用して、Lambda 関数にテスト用のサンプルイベントペイロードを追加します。関数の新しいバージョンを公開し、Amazon CloudWatch アラームを含めます。本番環境エイリアスを更新して、新しいバージョンを指すようにします。アラームが ALARM 状態にあるときにロールバックが発生するように設定します。

回答: A

説明:
認定に関するヒント: Lambda と CloudFormation に関する質問の 99% は、SAM に関連する回答です。

顧客への影響の軽減: Canary デプロイメント (Canary10Percent15Minutes) を使用した AWS CodeDeploy は、新しいバージョンを段階的にロールアウトします。最初はトラフィックの 10% が新しいバージョンに転送され、すべてが順調に進んだ場合、残りのトラフィックは 15 分かけて移行されます。この慎重な展開により、リスクと顧客への影響が最小限に抑えられます。

モニタリング: Amazon CloudWatch アラームを設定して、関数エラー、レイテンシー、その他の重要なメトリクスを追跡できます。何か問題が発生した場合、すぐに対応できます。

15 / 363

15.

No.15
アプリケーションを実行するために、DevOps エンジニアはパブリックサブネットでパブリック IP アドレスを使用して Amazon EC2 インスタンスを起動します。ユーザーデータスクリプトは、アプリケーションの成果物を取得し、起動時にインスタンスにインストールします。アプリケーションのセキュリティ分類が変更されたため、インスタンスはインターネットにアクセスせずに実行する必要があります。インスタンスは正常に起動し、正常として表示されますが、アプリケーションはインストールされていないようです。
新しいルールに準拠しながらアプリケーションを正常にインストールするには、次のどれが必要ですか?

A. Elastic IP アドレスがアタッチされたパブリックサブネットでインスタンスを起動します。アプリケーションがインストールされて実行されたら、スクリプトを実行して、後で Elastic IP アドレスの関連付けを解除します。

B. NAT ゲートウェイを設定します。EC2 インスタンスをプライベートサブネットにデプロイします。プライベートサブネットのルートテーブルを更新して、NAT ゲートウェイをデフォルトルートとして使用します。

C. アプリケーション成果物を Amazon S3 バケットに公開し、S3 の VPC エンドポイントを作成します。 EC2 インスタンスに IAM インスタンスプロファイルを割り当てて、S3 バケットからアプリケーション成果物を読み取れるようにします。

D. アプリケーションインスタンスのセキュリティグループを作成し、成果物リポジトリへの送信トラフィックのみを許可します。インストールが完了したら、セキュリティグループルールを削除します。

回答: C

説明:
初期化時にパッケージをダウンロードするだけなので、B と C の両方を使用できます。したがって、インターネットに継続的にアクセスする必要はありません。したがって、S3 を使用するのが安価で最適です。

16 / 363

16.

No.16
開発チームは、AWS CodeCommit を使用してアプリケーションコードのバージョン管理を行い、AWS CodePipeline を使用してソフトウェアのデプロイメントを調整しています。チームは、パイプラインがコード変更を統合するためのトリガーとして、リモートメインブランチを使用することを決定しました。開発者はコード変更を CodeCommit リポジトリにプッシュしましたが、10 分経ってもパイプラインが反応しないことに気づきました。
この問題のトラブルシューティングを行うには、次のどのアクションを実行する必要がありますか?

A. メインブランチがパイプラインをトリガーするための Amazon EventBridge ルールが作成されていることを確認します。

B. CodePipeline サービスロールに CodeCommit リポジトリへのアクセス許可があることを確認します。

C. 開発者の IAM ロールに CodeCommit リポジトリへのプッシュアクセス許可があることを確認します。

D. Amazon CloudWatch Logs の CodeCommit エラーが原因でパイプラインが起動に失敗したかどうかを確認します。

回答: A

説明:

オプション A - CodePipeline が CodeCommit リポジトリからトリガーするために EventBridge ルールは必須ではありません。CodePipeline は EventBridge を必要とせず、CodeCommit と直接統合します。

オプション B - 原因として考えられます。新しいコードがプッシュされたときにパイプラインの実行を開始するために、CodePipeline サービスロールには CodeCommit リポジトリへのアクセス許可が必要です。

オプション C - 開発者がコード変更を CodeCommit リポジトリにプッシュできた場合、CodeCommit に関する IAM ロールのアクセス許可はおそらく問題ありません。これは問題ではありません。

オプション D - パイプラインが起動しなかった場合、CloudWatch Logs から情報を得ることができます。ただし、これらのログは、パイプラインが実際に起動しようとして失敗した場合にのみ存在します。パイプラインが起動しなかった場合、ログをチェックしても役に立ちません。

17 / 363

17.

No.17
ある会社の開発者は、Amazon EC2 インスタンスをリモートワークステーションとして使用しています。この会社は、ユーザーが EC2 セキュリティグループを作成または変更して、無制限のインバウンドアクセスを許可する可能性があることを懸念しています。
DevOps エンジニアは、ユーザーが無制限のセキュリティグループルールを作成したことを検出するソリューションを開発する必要があります。このソリューションは、セキュリティグループルールの変更をほぼリアルタイムで検出し、無制限のルールを削除し、セキュリティチームにメール通知を送信する必要があります。DevOps エンジニアは、入力からセキュリティグループ ID をチェックし、無制限のアクセスを許可するルールを削除し、Amazon Simple Notification Service (Amazon SNS) を通じて通知を送信する AWS Lambda 関数を作成しました。
要件を満たすために、DevOps エンジニアは次に何をすべきでしょうか?

A. SNS トピックによって呼び出されるように Lambda 関数を設定します。SNS トピックの AWS CloudTrail サブスクリプションを作成します。セキュリティグループ変更イベントのサブスクリプションフィルターを設定します。

B. Lambda 関数を呼び出すための Amazon EventBridge スケジュールルールを作成します。 1 時間ごとに Lambda 関数を実行するスケジュールパターンを定義します。

C. デフォルトのイベントバスをソースとする Amazon EventBridge イベントルールを作成します。EC2 セキュリティグループの作成および変更イベントに一致するようにルールのイベントパターンを定義します。Lambda 関数を呼び出すようにルールを構成します。

D. すべての AWS サービスからのイベントをサブスクライブする Amazon EventBridge カスタムイベントバスを作成します。カスタムイベントバスによって呼び出されるように Lambda 関数を構成します。

回答: C

説明:

オプション A - Lambda は Eventbridge によって呼び出される必要があります。ここでは、事後通知を送信するために SNS が使用されます。

オプション B - スケジュールどおりではなく、イベントが発生したときにアクションを実行する必要があります。質問では「ほぼリアルタイム」が必要ですが、1 時間は「ほぼリアルタイム」ではありません。

オプション D - すべての AWS サービスからのイベントをサブスクライブすると、多大なコストが発生します。 AWS イベントはデフォルトのイベントバスで発生するため、カスタムイベントバスは必要ありません

18 / 363

18.

No.18
DevOps エンジニアが、Web サービスをデプロイするための AWS CloudFormation テンプレートを作成しています。Web サービスは、Application Load Balancer (ALB) の背後にあるプライベートサブネット内の Amazon EC2 インスタンスで実行されます。DevOps エンジニアは、サービスが IPv6 アドレスを持つクライアントからのリクエストを受け入れることができることを確認する必要があります。
DevOps エンジニアは、IPv6 クライアントが Web サービスにアクセスできるように、CloudFormation テンプレートで何をする必要がありますか?

A. EC2 インスタンスの VPC とプライベートサブネットに IPv6 CIDR ブロックを追加します。IPv6 ネットワークのルートテーブルエントリを作成し、IPv6 をサポートする EC2 インスタンスタイプを使用して、各 EC2 インスタンスに IPv6 アドレスを割り当てます。

B. 各 EC2 インスタンスに IPv6 Elastic IP アドレスを割り当てます。ターゲットグループを作成し、EC2 インスタンスをターゲットとして追加します。ALB のポート 443 にリスナーを作成し、ターゲットグループを ALB に関連付けます。

C. ALB をネットワークロードバランサー (NLB) に置き換えます。VPC と NLB のサブネットに IPv6 CIDR ブロックを追加し、NLB に IPv6 Elastic IP アドレスを割り当てます。

D. VPC と ALB のサブネットに IPv6 CIDR ブロックを追加します。ポート 443 にリスナーを作成し、ALB でデュアルスタック IP アドレスタイプを指定します。ターゲットグループを作成し、EC2 インスタンスをターゲットとして追加します。ターゲットグループを ALB に関連付けます。

回答: D

説明:
「IPv6 をサポートするには、Application Load Balancer または Network Load Balancer を「デュアルスタック」IP アドレスタイプで設定します。つまり、クライアントは IPv4 アドレスと IPv6 アドレスの両方を使用してロードバランサーと通信できます。デュアルスタック IP アドレスタイプでは、ロードバランサーの DNS 名によって IPv4 アドレスと IPv6 アドレスの両方が提供され、それぞれ A レコードと AAAA レコードが作成されます。」

https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/scaling-the-dual-stack-network-design-in-aws.html

19 / 363

19.

No.19
ある会社では、AWS Organizations と AWS Control Tower を使用して、会社のすべての AWS アカウントを管理しています。この会社は、エンタープライズサポートプランを使用しています。
DevOps エンジニアは、Account Factory for Terraform (AFT) を使用して新しいアカウントをプロビジョニングしています。新しいアカウントがプロビジョニングされると、DevOps エンジニアは、新しいアカウントのサポートプランが Basic Support プランに設定されていることに気付きます。DevOps エンジニアは、新しいアカウントをエンタープライズサポートプランでプロビジョニングするためのソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS Config 適合パックを使用して、account-part-of-organizations AWS Config ルールをデプロイし、準拠していないアカウントを自動的に修正します。

B. AWS Lambda 関数を作成して、AWS サポートがアカウントをエンタープライズサポートプランに追加するためのチケットを作成します。Lambda 関数に support:ResolveCase 権限を付与します。

C. control_tower_parameters 入力に値を追加して、AWSEnterpriseSupport パラメータを組織の管理アカウント番号として設定します。

D. AFT デプロイメント入力構成で aft_feature_enterprise_support 機能フラグを True に設定します。AFT を再デプロイして変更を適用します。

回答: D

説明:
https://docs.aws.amazon.com/controltower/latest/userguide/aft-feature-options.html#enterprise-support-option

D. AFT デプロイメント入力構成で aft_feature_enterprise_support 機能フラグを True に設定します。AFT を再デプロイして変更を適用します。

AWS Organizations は、複数の AWS アカウントの管理に役立つサービスです。AWS Control Tower は、安全で準拠したマルチアカウントの AWS 環境を簡単にセットアップして管理できるサービスです。Account Factory for Terraform (AFT) は、Terraform テンプレートを使用して新しいアカウントをプロビジョニングする AWS Control Tower 機能です。

エンタープライズサポートプランで新しいアカウントをプロビジョニングするには、DevOps エンジニアは AFT デプロイメント入力構成で aft_feature_enterprise_support 機能フラグを True に設定できます。このフラグにより、新しくプロビジョニングされたアカウントのエンタープライズサポートプランが有効になります。

20 / 363

20.

No.20
ある会社の DevOps エンジニアは、メンテナンス期間中にメンテナンスタスクを実行するために AWS Systems Manager を使用しています。この会社には、AWS Health からの通知後に再起動が必要な Amazon EC2 インスタンスがいくつかあります。DevOps エンジニアは、これらの通知を修正するための自動化ソリューションを実装する必要があります。DevOps エンジニアは、Amazon EventBridge ルールを作成します。
DevOps エンジニアは、これらの要件を満たすために EventBridge ルールをどのように構成する必要がありますか?

A. AWS Health のイベントソース、EC2 のサービス、およびインスタンスのメンテナンスを示すイベントタイプを構成します。Systems Manager ドキュメントをターゲットにして、EC2 インスタンスを再起動します。

B. Systems Manager のイベントソース、およびメンテナンス期間を示すイベントタイプを構成します。Systems Manager ドキュメントをターゲットにして、EC2 インスタンスを再起動します。

C. AWS Health のイベントソース、EC2 のサービス、およびインスタンスのメンテナンスを示すイベントタイプを設定します。メンテナンスウィンドウ中に EC2 インスタンスを再起動するための自動化タスクを登録する、新しく作成された AWS Lambda 関数をターゲットにします。

D. EC2 のイベントソース、およびインスタンスのメンテナンスを示すイベントタイプを設定します。メンテナンスウィンドウ中に EC2 インスタンスを再起動するための自動化タスクを登録する、新しく作成された AWS Lambda 関数をターゲットにします。

回答: A

説明:
AWS トレーニングと認定では、模擬試験で A が正解です。

オプション A が最も適していると思われます:

AWS Health をイベントソースとして設定すると、EC2 インスタンスに関連する通知が確実にキャプチャされます。

Systems Manager ドキュメントをターゲットにして EC2 インスタンスを再起動すると、インスタンスの再起動などの自動化タスクに対する Systems Manager の機能と一致します。

オプション B は、メンテナンスウィンドウに関連する Systems Manager イベントに焦点を当てており、EC2 インスタンスのメンテナンスのために AWS Health によってトリガーされる通知と直接一致しない可能性があります。

21 / 363

21.

No.21
ある会社では、社内の品質管理アプリケーションをすべてコンテナ化しています。この会社は Amazon EC2 インスタンスで Jenkins を実行していますが、これにはパッチ適用とアップグレードが必要です。コンプライアンス担当者は、会社の知的財産が含まれているため、DevOps エンジニアにビルド成果物の暗号化を開始するよう依頼しました。
これを最も保守しやすい方法で実現するには、DevOps エンジニアは何をすべきでしょうか?

A. EC2 インスタンスで AWS Systems Manager を使用してパッチ適用とアップグレードを自動化し、Amazon EBS ボリュームをデフォルトで暗号化します。

B. Jenkins を Amazon ECS クラスターにデプロイし、デフォルトの暗号化が有効になっている Amazon S3 バケットにビルド成果物をコピーします。

C. ビルドアクションで AWS CodePipeline を活用し、AWS Secrets Manager を使用して成果物を暗号化します。

D. 成果物の暗号化を備えた AWS CodeBuild を使用して、EC2 インスタンスで実行されている Jenkins インスタンスを置き換えます。

回答: D

説明:
この質問では、どのソリューションが最も保守しやすいかを知りたいと考えています。現在の環境について提供された情報に惑わされないことが重要です。重要なのは、彼らが尋ねる質問だけです。質問は、どのソリューションが最も「保守」しやすいかを尋ねています。質問では、あるソリューションから別のソリューションへの移行が容易かどうか、または環境の他の部分と同様にコンテナを活用するように求められていません。

マネージドサービスである AWS CodeBuild では、パッチ適用やアップグレードは必要ありません。Amazon S3 を使用する AWS CodeBuild は、自動アーティファクト暗号化を提供します。したがって、このソリューションは、リストされているすべてのソリューションの中で最も保守が簡単です。

https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html
https://docs.aws.amazon.com/codebuild/latest/userguide/security-encryption.html

22 / 363

22.

No.22
IT チームは、社内の他のユーザーがアプリケーションを迅速かつ確実にデプロイおよび終了できるように、AWS CloudFormation テンプレートを構築しました。テンプレートは、アプリケーションをインストールするためのユーザーデータスクリプトと、アプリケーションが実行中に静的 Web ページを提供するために使用する Amazon S3 バケットを含む Amazon EC2 インスタンスを作成します。
CloudFormation スタックを削除すると、すべてのリソースが削除されるはずです。しかし、チームは、スタックの削除中に CloudFormation がエラーを報告し、スタックによって作成された S3 バケットが削除されないことに気付きました。
チームは、すべてのリソースがエラーなしで削除されるように、最も効率的な方法でエラーを解決するにはどうすればよいですか?

A. S3 バケットリソースに DelelionPolicy 属性を追加し、値 Delete を設定すると、スタックが削除されたときにバケットが強制的に削除されます。

B. AWS Lambda 関数を使用してカスタムリソースを追加し、DependsOn 属性で S3 バケットと IAM ロールを指定します。RequestType が Delete の場合にバケットからすべてのオブジェクトを削除する Lambda 関数を記述します。

C. 削除されなかったリソースを特定します。手動で S3 バケットを空にしてから削除します。

D. EC2 および S3 バケットリソースを単一の AWS OpsWorks Stacks リソースに置き換えます。スタックが EC2 インスタンスと S3 バケットを作成および削除するためのカスタムレシピを定義します。

回答: B

説明:
B が正解です:
- S3 を削除できないため、S3 を確認する必要があります
- ACF には、削除、保持、スナップショットなど、いくつかの削除ポリシーオプションがあります。S3 の場合、削除フラグがあっても、すべてのオブジェクトが削除された場合にのみ S3 を削除できます
A: 間違い - 削除ポリシーに削除フラグを追加しても、S3 の削除を強制することはできません
C: タスクを手動で実行しないでください
D: AWS OpsWorks にスワップしないでください

23 / 363

23.

No.23
ある会社には、eu-west-1 リージョンの Amazon S3 バケットで構成された AWS CodePipeline パイプラインがあります。パイプラインは、同じリージョンに AWS Lambda アプリケーションをデプロイします。パイプラインは、AWS CodeBuild プロジェクトのビルドアクションと AWS CloudFormation のデプロイアクションで構成されます。
CodeBuild プロジェクトは、aws cloudformation package AWS CLI コマンドを使用して、Lambda 関数コードの .zip ファイルと CloudFormation テンプレートを含む成果物を構築します。CloudFormation のデプロイアクションは、CodeBuild プロジェクトのビルドアクションの出力成果物から CloudFormation テンプレートを参照します。
会社は、eu-west-1 のパイプラインを使用して、Lambda アプリケーションを us-east-1 リージョンにもデプロイしたいと考えています。DevOps エンジニアは、aws cloudformation package コマンドを使用して us-east-1 の追加の出力成果物を生成するように、すでに CodeBuild プロジェクトを更新しています。
これらの要件を満たすために、DevOps エンジニアはどの追加手順の組み合わせを実行する必要がありますか? (2 つ選択してください)

A. CloudFormation テンプレートを変更して、Lambda 関数コードの zip ファイルの場所のパラメータを含めます。パイプラインで us-east-1 の新しい CloudFormation デプロイアクションを作成します。新しいデプロイアクションを設定して、us-east-1 アーティファクトの場所をパラメータオーバーライドとして渡します。

B. パイプラインで us-east-1 の新しい CloudFormation デプロイアクションを作成します。新しいデプロイアクションを設定して、us-east-1 出力アーティファクトの CloudFormation テンプレートを使用します。

C. us-east-1 に S3 バケットを作成します。S3 バケットポリシーを設定して、CodePipeline に読み取りおよび書き込みアクセスを許可します。

D. us-east-1 に S3 バケットを作成します。eu-west-1 の S3 バケットから us-east-1 の S3 バケットへの S3 クロスリージョンレプリケーション (CRR) を設定します。

E. パイプラインを変更して、us-east-1 の S3 バケットをアーティファクトストアとして含めます。パイプラインに us-east-1 用の新しい CloudFormation デプロイアクションを作成します。us-east-1 出力アーティファクトから CloudFormation テンプレートを使用するように、新しいデプロイアクションを構成します。

回答: C、E

説明:
以下のとおりです。新しいリージョンに S# バケットが必要なので、C です。この新しいバケットにアーティファクトを出力する必要があるので、E です。
https://docs.aws.amazon.com/codepipeline/latest/userguide/actions-create-cross-region.html

シナリオ:
- RegionA (eu-west-1 リージョン) にパイプラインがあります
- RegionA (eu-west-1 リージョン) にデプロイアクションがあります
要件:
- RegionB (us-east-1 リージョン) にデプロイする必要があります
- 上記の RegionA パイプラインを引き続き使用します (eu-west-1 リージョン)

24 / 363

24.

No.24
ある会社が 1 つの Amazon EC2 インスタンスでアプリケーションを実行します。アプリケーションのメタデータは Amazon S3 に保存され、インスタンスが再起動された場合に取得する必要があります。インスタンスが応答しなくなった場合、インスタンスは自動的に再起動または再起動する必要があります。
これらの要件を満たすソリューションはどれですか?

A. StatusCheckFailed メトリックの Amazon CloudWatch アラームを作成します。回復アクションを使用してインスタンスを停止および起動します。インスタンスが再び起動して実行されているときに、S3 イベント通知を使用してメタデータをインスタンスにプッシュします。

B. AWS OpsWorks を設定し、自動修復機能を使用してインスタンスを停止および起動します。OpsWorks のライフサイクルイベントを使用して、Amazon S3 からメタデータをプルし、インスタンスで更新します。

C. 障害が発生した場合に EC2 Auto Recovery を使用してインスタンスを自動的に停止および起動します。インスタンスが再び起動して実行されているときに、S3 イベント通知を使用してメタデータをインスタンスにプッシュします。

D. AWS CloudFormation を使用して、EC2 リソースの UserData プロパティを含む EC2 インスタンスを作成します。UserData にコマンドを追加して、Amazon S3 からアプリケーションメタデータを取得します。

回答: B

説明:
Amazon CloudWatch の回復アクションと EC2 自動回復はどちらも、インスタンスステータスチェックの失敗ではなく、システムステータスチェックの失敗に対応するように設計されています。システムステータスチェックの失敗は基盤となるハードウェアの問題を示しますが、インスタンスステータスチェックの失敗は多くの場合、インスタンス内の問題 (OS レベルの問題など) に関連しています。

システムレベルとインスタンスレベルの両方の問題による無応答を処理することが要件である場合、オプション A も C も要件を完全に満たすことはできません。その場合、自動修復機能を備えた AWS OpsWorks (オプション B) の方が適している可能性があります。OpsWorks ではより複雑なヘルスチェックを設定でき、システムレベルとインスタンスレベルの両方の問題から回復できるためです。

したがって、両方のタイプの無応答を処理する場合は、オプション B が最も包括的なソリューションになります。

B: が正解です。AWS OpsWorks 自動修復は、EC2 の健全性を監視します。障害が発生した場合は、EC2 を再起動し、S3 から EC2 にデータをプルします
A: S3 をトリガーする方法が言及されておらず、S3 はそれ自体ではトリガーされないため、正しくありません
C: S3 をトリガーする方法が言及されておらず、S3 はそれ自体ではトリガーされないため、正しくありません
D: クラウドフォーメーションはデプロイのみで、このタスクは opswork に関するものです

25 / 363

25.

No.25
ある会社には複数の AWS アカウントがあります。この会社は、AWS Toolkit for Microsoft Azure DevOps と統合された AWS IAM Identity Center (AWS Single Sign-On) を使用しています。アクセス制御機能の属性は、IAM Identity Center で有効になっています。
属性マッピングリストには 2 つのエントリが含まれています。部門キーは ${path:enterprise.department} にマッピングされています。costCenter キーは ${path:enterprise.costCenter} にマッピングされています。
既存のすべての Amazon EC2 インスタンスには、会社の 3 つの部門 (d1、d2、d3) に対応する部門タグがあります。DevOps エンジニアは、一致する属性に基づいてポリシーを作成する必要があります。ポリシーは、管理作業を最小限に抑え、各 Azure AD ユーザーに、ユーザーのそれぞれの部門名でタグ付けされた EC2 インスタンスのみへのアクセスを許可する必要があります。
これらの要件を満たすために、DevOps エンジニアはカスタム権限ポリシーにどの条件キーを含める必要がありますか?

A. "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": ["department"] } }

B. "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } }

C. "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } }

D. "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": ["d1", "d2", "d3"] } }

回答: C

説明:
C が正解です。EC2 の部門タグがユーザー (プリンシパルタグ) の部門タグと同じ場合は、アクセスを許可します。
A: 構文が間違っています。StringEquals のみにする必要があります
B: AWS ではなく、EC2 のタグをチェックしています。
D: このような構成の場合、すべてのケースが一致し、部門に関係なく、すべての EC2 にアクセスできます。

26 / 363

26.

No.26
ある会社が AWS アカウントでセキュリティ監査アプリケーションをホストしています。監査アプリケーションは、IAM ロールを使用して他の AWS アカウントにアクセスします。すべてのアカウントは、AWS Organizations 内の同じ組織にあります。
最近のセキュリティ監査で、監査対象の AWS アカウントのユーザーが監査アプリケーションの IAM ロールを変更または削除できることが明らかになりました。会社は、信頼できる管理者 IAM ロール以外のエンティティによる監査アプリケーションの IAM ロールの変更を防ぐ必要があります。
これらの要件を満たすソリューションはどれですか?

A. 監査アプリケーションの IAM ロールの変更に対する拒否ステートメントを含む SCP を作成します。信頼された管理者 IAM ロールが変更を行えるようにする条件を含めます。 SCP を組織のルートにアタッチします。

B. 信頼された管理者 IAM ロールによる監査アプリケーションの IAM ロールの変更に対する許可ステートメントを含む SCP を作成します。他のすべての IAM プリンシパルによる変更に対する拒否ステートメントを含めます。監査アプリケーションが IAM ロールを持つ各 AWS アカウントの IAM サービスに SCP をアタッチします。

C. 監査アプリケーションの IAM ロールの変更に対する拒否ステートメントを含む IAM アクセス許可境界を作成します。信頼された管理者 IAM ロールが変更を行えるようにする条件を含めます。アクセス許可境界を監査対象の AWS アカウントにアタッチします。

D. 監査アプリケーションの IAM ロールの変更に対する拒否ステートメントを含む IAM アクセス許可境界を作成します。信頼された管理者 IAM ロールが変更を行えるようにする条件を含めます。アクセス許可境界を AWS アカウントの監査アプリケーションの IAM ロールにアタッチします。

回答: A

説明:
SCP (サービスコントロールポリシー) は、組織レベルで権限を制限するための最適な方法です。この場合、監査アプリケーションで使用される IAM ロールへの変更を制限するために使用されますが、信頼できる管理者は引き続き変更を加えることができます。オプション C と D は、IAM 権限の境界がアカウント自体ではなく IAM エンティティ (ユーザー、グループ、およびロール) に適用され、アカウント内のすべての IAM エンティティに適用する必要があるため、それほど効果的ではありません。

27 / 363

27.

No.27
ある会社には、Go で書かれたオンプレミスアプリケーションがあります。DevOps エンジニアは、アプリケーションを AWS に移行する必要があります。会社の開発チームは、ブルー/グリーンデプロイメントを有効にし、A/B テストを実行したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. アプリケーションを Amazon EC2 インスタンスにデプロイし、インスタンスの AMI を作成します。AMI を使用して、Auto Scaling グループで使用される自動スケーリング起動構成を作成します。Elastic Load Balancing を使用してトラフィックを分散します。アプリケーションに変更が加えられると、新しい AMI が作成され、EC2 インスタンスの更新が開始されます。

B. Amazon Lightsail を使用してアプリケーションをデプロイします。アプリケーションを zip 形式で Amazon S3 バケットに保存します。この zip バージョンを使用して、アプリケーションの新しいバージョンを Lightsail にデプロイします。Lightsail のデプロイオプションを使用して、デプロイを管理します。

C. AWS CodeArtifact を使用してアプリケーションコードを保存します。AWS CodeDeploy を使用して、アプリケーションを Amazon EC2 インスタンスのフリートにデプロイします。 Elastic Load Balancing を使用して、トラフィックを EC2 インスタンスに分散します。アプリケーションに変更を加える場合は、新しいバージョンを CodeArtifact にアップロードし、新しい CodeDeploy デプロイメントを作成します。

D. AWS Elastic Beanstalk を使用してアプリケーションをホストします。アプリケーションの圧縮バージョンを Amazon S3 に保存します。その場所を使用して、アプリケーションの新しいバージョンをデプロイします。Elastic Beanstalk を使用してデプロイメントオプションを管理します。

回答: D

説明:
D. AWS Elastic Beanstalk を使用してアプリケーションをホストします。アプリケーションの圧縮バージョンを Amazon S3 に保存します。その場所を使用して、アプリケーションの新しいバージョンをデプロイします。Elastic Beanstalk を使用してデプロイメントオプションを管理します。

AWS Elastic Beanstalk は、ブルー/グリーンデプロイメントや A/B テストを必要とするユースケースに適した、Web アプリケーションをデプロイするためのプラットフォームを提供します。Elastic Beanstalk は、Go を含むさまざまなプログラミング言語やフレームワークで記述されたアプリケーションをデプロイできます。 Elastic Beanstalk はブルー/グリーンデプロイメントをサポートしており、トラフィックを切り替える前にアプリケーションの新しいバージョンを別の環境にデプロイできます。これにより、アプリケーションの新しいバージョンを完全に展開する前に A/B テストを実行できます。Elastic Beanstalk では、デプロイメント戦略、インスタンスタイプ、自動スケーリングオプションなどのデプロイメントオプションを管理することもできます。

28 / 363

28.

No.28
開発者は 50 台の Amazon EC2 Linux サーバーのフリートを管理しています。サーバーは Amazon EC2 Auto Scaling グループの一部であり、負荷分散には Elastic Load Balancing も使用しています。
時々、ELB HTTP ヘルスチェックに失敗した後に一部のアプリケーションサーバーが終了されます。開発者は問題の根本原因分析を実行したいのですが、アプリケーションログにアクセスする前にサーバーが終了しています。
ログ収集を自動化するにはどうすればよいですか?

A. Auto Scaling ライフサイクルフックを使用して、インスタンスを Pending:Wait 状態にします。 EC2 インスタンスの終了が成功した場合に Amazon CloudWatch アラームを作成し、SSM Run Command スクリプトを呼び出してログを収集し、Amazon S3 にプッシュし、ログが収集されたらライフサイクルアクションを完了する AWS Lambda 関数をトリガーします。

B. Auto Scaling ライフサイクルフックを使用して、インスタンスを Terminating:Wait 状態にします。EC2 インスタンス終了ライフサイクルアクションの AWS Config ルールを作成し、スクリプトを呼び出してログを収集し、Amazon S3 にプッシュし、ログが収集されたらライフサイクルアクションを完了するステップ関数をトリガーします。

C. Auto Scaling ライフサイクルフックを使用して、インスタンスを Terminating:Wait 状態にします。EC2 インスタンスの終了が成功した場合に Amazon CloudWatch サブスクリプションフィルターを作成し、スクリプトを呼び出してログを収集し、Amazon S3 にプッシュし、ログが収集されたらライフサイクルアクションを完了する CloudWatch エージェントをトリガーします。

D. Auto Scaling ライフサイクルフックを使用して、インスタンスを Terminating:Wait 状態にします。 EC2 インスタンス終了ライフサイクルアクション用の Amazon EventBridge ルールを作成し、SSM 実行コマンドスクリプトを呼び出してログを収集し、Amazon S3 にプッシュして、ログが収集されたらライフサイクルアクションを完了する AWS Lambda 関数をトリガーします。

回答: D

説明:
D. Auto Scaling ライフサイクルフックを使用して、インスタンスを終了中:待機状態にします。EC2 インスタンス終了ライフサイクルアクション用の Amazon EventBridge ルールを作成し、SSM 実行コマンドスクリプトを呼び出してログを収集し、Amazon S3 にプッシュして、ログが収集されたらライフサイクルアクションを完了する AWS Lambda 関数をトリガーします。

このソリューションでは、Auto Scaling ライフサイクルフックを使用して、終了前にインスタンスを待機状態にすることができます。これにより、インスタンスが終了する前にログを収集する機会が提供されます。このソリューションでは、EC2 インスタンス終了ライフサイクルアクション用の Amazon EventBridge ルールを使用して、SSM 実行コマンドスクリプトを実行する AWS Lambda 関数をトリガーできます。スクリプトは、ライフサイクルアクションを完了してインスタンスを終了させる前に、ログを収集してAmazon S3にプッシュすることができます。

29 / 363

29.

No.29
ある会社には、AWS Organizations に組織があります。この組織には、エンタープライズアプリケーションを含むワークロードアカウントが含まれています。この会社は、運用アカウントからユーザーを一元管理しています。ワークロードアカウントにユーザーを作成することはできません。この会社は最近運用チームを追加し、運用チームのメンバーに各ワークロードアカウントへの管理者アクセスを提供する必要があります。
このアクセスを提供するには、どのアクションの組み合わせが必要ですか? (3 つ選択してください)。

A. 運用アカウントに SysAdmin ロールを作成します。ロールに AdministratorAccess ポリシーをアタッチします。信頼関係を変更して、ワークロードアカウントからの sts:AssumeRole アクションを許可します。

B. 各ワークロードアカウントに SysAdmin ロールを作成します。ロールに AdministratorAccess ポリシーをアタッチします。信頼関係を変更して、運用アカウントからの sts:AssumeRole アクションを許可します。

C. 運用アカウントに Amazon Cognito ID プールを作成します。SysAdmin ロールを認証済みロールとしてアタッチします。

D. 運用アカウントで、運用チームのメンバーごとに IAM ユーザーを作成します。

E. オペレーションアカウントで、SysAdmins という名前の IAM ユーザーグループを作成します。各ワークロードアカウントの SysAdmin ロールに対して sts:AssumeRole アクションを許可する IAM ポリシーを追加します。すべてのオペレーションチームメンバーをグループに追加します。

F. オペレーションアカウントに Amazon Cognito ユーザープールを作成します。各オペレーションチームメンバーに対して Amazon Cognito ユーザーを作成します。

回答: B、D、E

説明:
Cognito のあらゆるもの。削除しても安全です (アプリケーション ID 管理にのみ使用されます)
ステップ 1: 各ワークロードアカウントに各ロールを作成します。オペレーションアカウントのオペレーションユーザーを介して、sts:AssumeRole のみに信頼関係を設定します
ステップ 2: 説明不要: ユーザーがロールを引き受けたら必要な権限はすべて設定します
ステップ 3: 完了

30 / 363

30.

No.30
ある会社が AWS Organizations の組織内に複数のアカウントを持っています。会社の SecOps チームは、組織内のいずれかのアカウントが Amazon S3 バケットのブロックパブリックアクセス機能をオフにした場合、Amazon Simple Notification Service (Amazon SNS) 通知を受け取る必要があります。DevOps エンジニアは、AWS アカウントの操作に影響を与えずにこの変更を実装する必要があります。実装では、組織内の個々のメンバーアカウントが通知をオフにできないようにする必要があります。
これらの要件を満たすソリューションはどれですか?

A. 委任された Amazon GuardDuty 管理者アカウントとなるアカウントを指定します。組織全体のすべてのアカウントで GuardDuty をオンにします。GuardDuty 管理者アカウントで、SNS トピックを作成します。SecOps チームのメールアドレスを SNS トピックにサブスクライブします。同じアカウントで、GuardDuty の検出結果のイベントパターンと SNS トピックのターゲットを使用する Amazon EventBridge ルールを作成します。

B. SNS トピックを作成し、SecOps チームのメールアドレスを SNS トピックにサブスクライブする AWS CloudFormation テンプレートを作成します。テンプレートに、s3:PutBucketPublicAccessBlock の CloudTrail アクティビティのイベントパターンと SNS トピックのターゲットを使用する Amazon EventBridge ルールを含めます。CloudFormation StackSets を使用して、組織内のすべてのアカウントにスタックをデプロイします。

C. 組織全体で AWS Config をオンにします。委任された管理者アカウントで、SNS トピックを作成します。SecOps チームのメールアドレスを SNS トピックにサブスクライブします。各アカウントで s3-bucket-level-public-access-prohibited AWS Config マネージドルールを使用し、AWS Systems Manager ドキュメントを使用して SNS トピックにイベントを発行して SecOps チームに通知する適合パックをデプロイします。

D. 組織全体で Amazon Inspector をオンにします。Amazon Inspector 委任された管理者アカウントで、SNS トピックを作成します。SecOps チームのメールアドレスを SNS トピックにサブスクライブします。同じアカウントで、S3 バケットのパブリックネットワーク公開にイベントパターンを使用し、SNS トピックにイベントを発行して SecOps チームに通知する Amazon EventBridge ルールを作成します。

回答: C

説明:
* AWS AWS Systems Manager Automation は、Amazon Simple Notification Service 用の定義済みランブック (例: AWS-PublishSNSNotification) を提供します - https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-aws-publishsnsnotification.html
* 複数の AWS リージョンとアカウントで自動化を実行する (https://docs.aws.amazon.com/systems-manager/latest/userguide/running-automations-multiple-accounts-regions.html)

B は古いアプローチのようです。 CloudFormation スタックセットでは、各アカウントがリソース構成 (SNS など) を変更できるため、ドリフトが発生する可能性があります。そのため、AWS システムマネージャーの自動化を使用して複数のリージョンで AWS 組織を完全に活用し、委任された管理者アカウント (または管理アカウント) を持つ複数のアカウントを活用する C を選択します。

31 / 363

31.

No.31
ある企業がコンテナベースのアプリケーションを Amazon EKS に移行し、自動メール通知を確立したいと考えています。各メールアドレスに送信される通知は、EKS コンポーネントに関連する特定のアクティビティに関するものです。ソリューションには、Amazon SNS トピックと、受信したログイベントを評価して適切な SNS トピックにメッセージを公開する AWS Lambda 関数が含まれます。
これらの要件をサポートするログ記録ソリューションはどれですか?

A. Amazon CloudWatch Logs を有効にして EKS コンポーネントをログに記録します。Lambda をサブスクリプションフィードの送信先として、各コンポーネントの CloudWatch サブスクリプションフィルターを作成します。

B. Amazon CloudWatch Logs を有効にして EKS コンポーネントをログに記録します。Lambda を呼び出す Amazon EventBridge イベントにリンクされた CloudWatch Logs Insights クエリを作成します。

C. EKS コンポーネントの Amazon S3 ログ記録を有効にします。Lambda をサブスクリプションフィードの送信先として、各コンポーネントの Amazon CloudWatch サブスクリプションフィルターを設定します。

D. EKS コンポーネントの Amazon S3 ログ記録を有効にします。AWS Lambda を送信先として、S3 PUT オブジェクトイベント通知を設定します。

回答: A

説明:
Amazon EKS は CloudWatch Logs と統合して、クラスター内のサービスの状態と実行に関する詳細なログを提供します。CloudWatch サブスクリプションフィルターを使用して、特定のログイベントを CloudWatch Logs グループから Lambda 関数にルーティングできます。その後、Lambda 関数はイベントを処理し、適切な Amazon SNS トピックに通知を発行できます。

32 / 363

32.

No.32
ある会社が Amazon Elastic Container Service (Amazon ECS) クラスターを実装してワークロードを実行しています。会社のアーキテクチャでは、クラスター上で複数の ECS サービスを実行します。アーキテクチャには、フロントエンドにアプリケーションロードバランサーが含まれ、複数のターゲットグループを使用してトラフィックをルーティングします。
DevOps エンジニアは、アプリケーションログとアクセスログを収集する必要があります。次に、DevOps エンジニアは、ほぼリアルタイムの分析のためにログを Amazon S3 バケットに送信する必要があります。
これらの要件を満たすために、DevOps エンジニアが実行する必要がある手順の組み合わせはどれですか? (3 つ選択してください)。

A. AWS から Amazon CloudWatch Logs コンテナインスタンスをダウンロードします。このインスタンスをタスクとして設定します。ログ記録タスクを含めるようにアプリケーションサービス定義を更新します。

B. ECS インスタンスに Amazon CloudWatch Logs エージェントをインストールします。ECS タスク定義のログ記録ドライバーを awslogs に変更します。

C. Amazon EventBridge を使用して、60 秒ごとに実行され、Amazon CloudWatch Logs create-export-task コマンドを実行する AWS Lambda 関数をスケジュールします。次に、出力をログ記録 S3 バケットに指定します。

D. ALB でアクセスログ記録を有効にします。次に、ALB をログ記録 S3 バケットに直接指定します。

E. ECS サービスが使用するターゲットグループでアクセスログ記録を有効にします。次に、ログをログ記録 S3 バケットに直接送信します。

F. ログ記録 S3 バケットを宛先とする Amazon Kinesis Data Firehose 配信ストリームを作成します。次に、Kinesis Data Firehose 用の Amazon CloudWatch Logs サブスクリプションフィルターを作成します。

回答: B、D、F

説明:
オプション B は正解です。ECS タスク定義のログ記録ドライバーを awslogs に変更すると、ログが Amazon CloudWatch Logs に送信されます。その後、ログを Amazon S3 バケットに転送できます。

オプション D は正解です。Application Load Balancer (ALB) でアクセスログ記録を有効にすると、S3 バケットに直接送信できるアクセスログを収集できます。

オプション F は正解です。CloudWatch Logs から Amazon S3 バケットにほぼリアルタイムでログを直接配信できる Amazon Kinesis Data Firehose 配信ストリームを作成できるからです。

33 / 363

33.

No.33
電子健康記録を使用する会社が、Amazon Linux オペレーティングシステムで Amazon EC2 インスタンス群を実行しています。患者のプライバシー要件の一環として、会社は EC2 インスタンスで実行されているオペレーティングシステムとアプリケーションのパッチの継続的なコンプライアンスを確保する必要があります。
デフォルトおよびカスタムリポジトリを使用して、オペレーティングシステムとアプリケーションのパッチの展開を自動化するにはどうすればよいですか?

A. AWS Systems Manager を使用して、カスタムリポジトリを含む新しいパッチベースラインを作成します。run コマンドを使用して AWS-RunPatchBaseline ドキュメントを実行し、パッチを検証してインストールします。

B. AWS Direct Connect を使用して企業リポジトリを統合し、Amazon CloudWatch のスケジュールされたイベントを使用してパッチを展開してから、CloudWatch ダッシュボードを使用してレポートを作成します。

C. yum-config-manager を使用して /etc/yum.repos.d の下にカスタムリポジトリを追加し、yum-config-manager-enable を実行してリポジトリをアクティブ化します。

D. AWS Systems Manager を使用して、企業リポジトリを含む新しいパッチベースラインを作成します。実行コマンドを使用して AWS-AmazonLinuxDefaultPatchBaseline ドキュメントを実行し、パッチを検証してインストールします。

回答: A

説明:
AWS-AmazonLinuxDefaultPatchBaseline: 適用するパッチと回避するパッチを定義します。
AWS-RunPatchBaseline: インスタンスで実際にパッチ適用プロセスを実行するコマンドを提供します。

D: AWS-AmazonLinuxDefaultPatchBaseline: このベースラインの名前には「default」が含まれています。これは定義済みのベースラインであり、カスタムリポジトリでは機能しません。

34 / 363

34.

No.34
ある会社では、AWS CodePipeline を使用してリリースパイプラインを自動化しています。パイプラインでは、ブルー/グリーンデプロイメントモデルを使用してアプリケーションを Amazon Elastic Container Service (Amazon ECS) にデプロイするために AWS CodeDeploy が使用されています。この会社では、トラフィックを移行する前にアプリケーションのグリーンバージョンをテストするスクリプトを実装したいと考えています。これらのスクリプトは 5 分以内に完了します。これらのテスト中にエラーが見つかった場合は、アプリケーションをロールバックする必要があります。
これらの要件を満たす戦略はどれですか?

A. ソースステージとデプロイステージの間に CodePipeline パイプラインにステージを追加します。AWS CodeBuild を使用してランタイム環境を作成し、buildspec ファイルでコマンドをビルドしてテストスクリプトを呼び出します。エラーが見つかった場合は、aws deploy stop-deployment コマンドを使用してデプロイを停止します。

B. ソースステージとデプロイステージの間に CodePipeline パイプラインにステージを追加します。このステージを使用して、テストスクリプトを実行する AWS Lambda 関数を呼び出します。エラーが見つかった場合は、aws deploy stop-deployment コマンドを使用してデプロイを停止します。

C. CodeDeploy AppSpec ファイルにフックセクションを追加します。AfterAllowTestTraffic ライフサイクルイベントを使用して AWS Lambda 関数を呼び出し、テストスクリプトを実行します。エラーが見つかった場合は、エラーで Lambda 関数を終了してロールバックを開始します。

D. CodeDeploy AppSpec ファイルにフックセクションを追加します。AfterAllowTraffic ライフサイクルイベントを使用してテストスクリプトを呼び出します。エラーが見つかった場合は、aws deploy stop-deployment CLI コマンドを使用してデプロイを停止します。

回答: C

説明:
CodeDeploy AppSpec ファイルにフックセクションを追加します。AppSpec ファイルは、CodeDeploy を使用してアプリケーションを Amazon ECS にデプロイする方法を記述した YAML ファイルです。AfterAllowTestTraffic ライフサイクルイベントを使用してテストスクリプトを実行できます。このイベントは、アプリケーションの新しいバージョンがデプロイされた後、トラフィックが新しいバージョンに移行する前にトリガーされます。

AfterAllowTestTraffic ライフサイクルイベントで、AWS Lambda 関数を呼び出してテストスクリプトを実行します。Lambda 関数は、Python、Node.js、Java など、Lambda でサポートされている任意のプログラミング言語で記述できます。

テストスクリプトでエラーが検出された場合は、エラーコードで Lambda 関数を終了します。これにより、デプロイが失敗し、CodeDeploy によってロールバックが開始されます。

C は正解です。高度な機能のために、Lambda を使用してスクリプトを開始できます。
A と B は間違いです。どちらもデプロイステージの前にテストスクリプトをトリガーします。
D は間違いです。デプロイを停止するだけで、ロールバックは行いません。

35 / 363

35.

No.35
ある会社では、複数のリソースで使用される Amazon S3 バケットの前で、ファイルゲートウェイモードで AWS Storage Gateway を使用しています。業務が始まる朝、ユーザーには前日の夜にサードパーティによって処理されたオブジェクトが表示されません。DevOps エンジニアが S3 バケットを直接確認すると、データはそこにありますが、Storage Gateway には表示されていません。
どのソリューションを使用すれば、更新されたサードパーティのファイルがすべて朝に利用可能になりますか?

A. 夜間の Amazon EventBridge イベントを設定して、AWS Lambda 関数を呼び出して Storage Gateway の RefreshCache コマンドを実行します。

B. サードパーティに、AWS Transfer for SFTP を使用して S3 バケットにデータを入れるように指示します。

C. Storage Gateway をボリュームゲートウェイモードで実行するように変更します。

D. S3 Same-Region Replication を使用して、S3 バケットで直接行われた変更を Storage Gateway に複製します。

回答: A

説明:
AWS Storage Gateway のファイルゲートウェイモードは、オンプレミスサーバーと Amazon S3 間のブリッジを提供します。ファイルゲートウェイは、オンプレミス環境で頻繁にアクセスされるファイルをキャッシュして、低レイテンシーのアクセスを提供します。ただし、S3 バケットのデータが別のサービスによって変更された場合、キャッシュは自動的に更新されません。したがって、更新されたすべてのサードパーティのファイルが朝に利用可能であることを保証するために、Amazon EventBridge によってトリガーされる AWS Lambda 関数を使用して、Storage Gateway の RefreshCache コマンドを実行できます。これにより、キャッシュが最新の変更で更新されます。

36 / 363

36.

No.36
DevOps エンジニアは、S3 クロスリージョンレプリケーション機能を使用して、プライベートバケットポリシーで S3 バケット内に保存されている機密の Amazon S3 オブジェクトをバックアップする必要があります。オブジェクトは、別の AWS リージョンとアカウントのターゲットバケットにコピーする必要があります。
このレプリケーションを有効にするには、どのアクションの組み合わせを実行する必要がありますか? (3 つ選択してください)

A. ソースアカウントでレプリケーション IAM ロールを作成します

B. ターゲットアカウントでレプリケーション I AM ロールを作成します。

C. ソースバケットポリシーにステートメントを追加して、レプリケーション IAM ロールがオブジェクトをレプリケートできるようにします。

D. レプリケーション IAM ロールがオブジェクトをレプリケートできるように、ターゲットバケットポリシーにステートメントを追加します。

E. ソースバケットにレプリケーションルールを作成して、レプリケーションを有効にします。

F. ターゲットバケットにレプリケーションルールを作成して、レプリケーションを有効にします。

回答: A、D、E

説明:
S3 クロスリージョンレプリケーション (CRR) は、異なる AWS リージョンのバケット間でデータを自動的にレプリケートします。CRR を有効にするには、ソースバケットにレプリケーション設定を追加して、宛先バケット、IAM ロール、暗号化タイプ (オプション) を指定する必要があります。また、ソースバケットと宛先バケットの両方でレプリケーションアクションを実行するためのアクセス許可を IAM ロールに付与する必要があります。さらに、宛先ストレージクラスを選択して、S3 レプリケーション時間制御 (S3 RTC) や S3 バッチレプリケーションなどの追加のレプリケーションオプションを有効にすることもできます。

37 / 363

37.

No.37
ある会社には、AWS Organizations の組織の一部である複数のメンバーアカウントがあります。セキュリティチームは、すべての Amazon EC2 セキュリティグループとそのインバウンドルールおよびアウトバウンドルールを確認する必要があります。セキュリティチームは、組織の管理アカウントで AWS Lambda 関数を使用して、メンバーアカウントからこの情報をプログラムで取得したいと考えています。
これらの要件を満たすアクセス変更の組み合わせはどれですか? (3 つ選択してください)

A. メンバーアカウントのユーザーが管理アカウントの IAM ロールを引き受けられるように、信頼関係を作成します。

B. 管理アカウントのユーザーがメンバーアカウントの IAM ロールを引き受けられるように、信頼関係を作成します。

C. AmazonEC2ReadOnlyAccess 管理ポリシーにアクセスできる IAM ロールを各メンバーアカウントに作成します。

D. 管理アカウントの IAM ロールの ARN に対して sts:AssumeRole アクションを許可するために、各メンバーアカウントに I AM ロールを作成します。

E. 管理アカウントに、メンバーアカウントの IAM ロールの ARN に対して sts:AssumeRole アクションを許可する I AM ロールを作成します。

F. 管理アカウントに、AmazonEC2ReadOnlyAccess 管理ポリシーにアクセスできる IAM ロールを作成します。

回答: B、C、E

説明:
(B) 信頼関係により、IAM エンティティ (ユーザー、グループ、またはロール) がロールを引き受けることができます。この場合、管理アカウントのエンティティは、メンバーアカウントでロールを引き受ける必要があります。

(E) 管理アカウントに、メンバーアカウントの IAM ロールの ARN に対して sts:AssumeRole アクションを実行する権限を持つ IAM ロールを作成する必要があります。これにより、このロールを引き受けるエンティティは、メンバーアカウントのロールに切り替えて、それらのロールの権限に従ってアクションを実行できます。

38 / 363

38.

No.38
宇宙探査会社が複数の衛星からテレメトリデータを受信します。Amazon API Gateway を介して小さなデータパケットを受信し、Amazon Simple Queue Service (Amazon SQS) 標準キューに直接配置します。カスタムアプリケーションがキューにサブスクライブされ、データを標準形式に変換します。
衛星が生成するデータに不整合があるため、アプリケーションがデータを変換できない場合があります。このような場合、メッセージは SQS キューに残ります。DevOps エンジニアは、失敗したメッセージを保持し、科学者がレビューして将来の処理に使用できるようにするソリューションを開発する必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS Lambda を設定して SQS キューをポーリングし、Lambda 関数を呼び出してキューメッセージが有効かどうかを確認します。検証に失敗した場合は、有効でないデータのコピーを Amazon S3 バケットに送信して、科学者がデータを確認して修正できるようにします。データが修正されたら、修正されたデータで再生 Lambda 関数を使用して、SQS キュー内のメッセージを修正します。

B. SQS 標準キューを SQS FIFO キューに変換します。Amazon EventBridge スケジュールを使用して、10 分ごとに SQS キューをポーリングするように AWS Lambda を設定します。Lambda 関数を呼び出して、SentTimestamp 値が 5 分以上経過したメッセージを特定し、データをアプリケーションの出力場所と同じ場所にプッシュして、キューからメッセージを削除します。

C. SQS デッドレターキューを作成します。最大受信数を 1 に設定し、デッドレターキュー ARN を新しく作成したキューの ARN に設定するリドライブポリシーを追加して、既存のキューを変更します。科学者に、デッドレターキューを使用して無効なデータを確認するように指示します。このデータは後で再処理します。

D. 各衛星にちなんで名付けられた異なる SQS 仮想キューにメッセージを送信するように API Gateway を設定します。変換できないデータに対して新しい仮想キューを使用するようにアプリケーションを更新し、メッセージを新しい仮想キューに送信します。科学者に、仮想キューを使用して無効なデータを確認するよう指示します。このデータは後で再処理します。

回答: C

説明:
SQS デッドレターキューを作成します。最大受信数を 1 に設定し、デッドレターキュー ARN を新しく作成したキューの ARN に設定する再ドライブポリシーを含めることで、既存のキューを変更します。科学者に、デッドレターキューを使用して無効なデータを確認するよう指示します。このデータは後で再処理します。

39 / 363

39.

No.39
ある会社がインフラストラクチャのデプロイに AWS CloudFormation を使用したいと考えています。この会社には厳格なタグ付けとリソースの要件があり、デプロイを 2 つのリージョンに制限したいと考えています。開発者は同じアプリケーションの複数のバージョンをデプロイする必要があります。
会社のポリシーに従ってリソースがデプロイされることを保証するソリューションはどれですか?

A. AWS Trusted Advisor チェックを作成して、承認されていない CloudFormation StackSets を見つけて修正します。

B. Cloud Formation ドリフト検出操作を作成して、承認されていない CloudFormation StackSets を見つけて修正します。

C. 承認された CloudFormation テンプレートを使用して CloudFormation StackSets を作成します。

D. 承認された CloudFormation テンプレートを使用して AWS Service Catalog 製品を作成します。

回答: D

説明:
AWS Service Catalog を使用すると、クラウドリソースを一元管理して、CloudFormation または Terraform 構成で記述された Infrastructure as Code (IaC) テンプレートの大規模なガバナンスを実現できます。AWS Service Catalog を使用すると、コンプライアンス要件を満たしながら、顧客が必要なクラウドリソースを迅速にデプロイできるようにすることができます。
https://aws.amazon.com/servicecatalog/

他の回答の他のすべてのサービスは関連していません。

40 / 363

40.

No.40
ある企業では、社内向け Web アプリケーションの可用性を高める必要があります。アーキテクチャは、1 つの Amazon EC2 Web サーバーインスタンスと、更新とパブリックデータへのアクセスのためのアウトバウンドインターネットアクセスを提供する 1 つの NAT インスタンスで構成されています。
高可用性を実現するために、企業はどの組み合わせのアーキテクチャ調整を実施する必要がありますか? (2 つ選択してください)

A. 複数のアベイラビリティゾーンにまたがる EC2 Auto Scaling グループに NAT インスタンスを追加します。ルートテーブルを更新します。

B. 複数のアベイラビリティゾーンにまたがる追加の EC2 インスタンスを作成します。Application Load Balancer を追加して、それらの間で負荷を分割します。

C. EC2 インスタンスの前に Application Load Balancer を設定します。ホスト障害時に EC2 インスタンスを回復するように Amazon CloudWatch アラームを設定します。

D. 各アベイラビリティゾーンで NAT インスタンスを NAT ゲートウェイに置き換えます。ルートテーブルを更新します。

E. NAT インスタンスを、複数のアベイラビリティゾーンにまたがる NAT ゲートウェイに置き換えます。ルートテーブルを更新します。

回答: B、D

説明:
NAT ゲートウェイは複数の AZ にまたがりません。HA のために AZ ごとに作成する必要があります。

41 / 363

41.

No.41
DevOps エンジニアは、AWS CodePipeline を使用して、アプリケーションの構築、検証、ステージング、テスト、およびデプロイを行うマルチステージパイプラインを構築しています。テストステージとデプロイステージの間には、手動の承認ステージが必要です。開発チームは、ほぼリアルタイムの通知を必要とする Webhook サポートを備えたカスタムチャットツールを使用しています。
DevOps エンジニアは、パイプラインアクティビティと承認リクエストのステータス更新をチャットツールに投稿するには、どのように設定すればよいですか?

A. CodePipeline パイプライン実行状態の変更でフィルターする Amazon CloudWatch Logs サブスクリプションを作成します。サブスクリプションイベントを Amazon Simple Notification Service (Amazon SNS) トピックに発行します。チャット Webhook URL を SNS トピックにサブスクライブし、サブスクリプションの検証を完了します。

B. AWS CloudTrail イベントによって呼び出される AWS Lambda 関数を作成します。CodePipeline パイプライン実行状態の変更イベントが検出されると、イベントの詳細をチャット Webhook URL に送信します。

C. CodePipeline パイプライン実行状態の変更をフィルタリングする Amazon EventBridge ルールを作成します。イベントを Amazon Simple Notification Service (Amazon SNS) トピックに発行します。イベントの詳細をチャット Webhook URL に送信する AWS Lambda 関数を作成します。関数を SNS トピックにサブスクライブします。

D. 各ステージの最後にイベントの詳細をチャット Webhook URL に送信するようにパイプラインコードを変更します。パイプライン環境に基づいて各パイプラインが異なる URL に送信できるように、URL をパラメータ化します。

回答: C

説明:
DevOps エンジニアは、CodePipeline パイプライン実行状態の変更をフィルタリングする Amazon EventBridge ルールを作成して、パイプラインアクティビティと承認リクエストのステータス更新をチャットツールに投稿するように設定する必要があります。イベントは Amazon Simple Notification Service (Amazon SNS) トピックに発行し、イベントの詳細をチャット Webhook URL に送信する AWS Lambda 関数を作成する必要があります。関数は SNS トピックにサブスクライブする必要があります。オプション C が正解です。

オプション A は、EventBridge の代わりに CloudWatch Logs を使用することを提案しているため、不正解です。これは、このユースケースに最適なソリューションではありません。オプション B は、CodePipeline イベントの代わりに CloudTrail を使用することを提案しているため、不正解です。これは無関係です。オプション D は、パイプラインコードを変更する必要はなく、不必要な複雑さを追加するため、不正解です。

試験のヒント: この問題がイベントまたはアクションに関連していると思われる場合 --> EventBridge

42 / 363

42.

No.42
ある会社のアプリケーション開発チームは、Linux ベースの Amazon EC2 インスタンスを要塞ホストとして使用しています。要塞ホストへのインバウンド SSH アクセスは、関連付けられているセキュリティグループで定義されている特定の IP アドレスに制限されています。会社のセキュリティチームは、セキュリティグループルールが変更されて、任意の IP アドレスからの SSH アクセスが許可された場合に通知を受け取りたいと考えています。
この要件を満たすために、DevOps エンジニアは何をすべきでしょうか?

A. ソースが aws.cloudtrail でイベント名が AuthorizeSecurityGroupIngress の Amazon EventBridge ルールを作成します。 Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとして定義します。

B. Amazon GuardDuty を有効にし、AWS Security Hub でセキュリティグループの検出結果を確認します。GuardDuty イベントと一致するカスタムパターンを使用して Amazon EventBridge ルールを設定し、出力が NON_COMPLIANT になるようにします。Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとして定義します。

C. 制限付き SSH マネージドルールを使用して AWS Config ルールを作成し、セキュリティグループが無制限の着信 SSH トラフィックを許可しないかどうかを確認します。自動修復を設定して、Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを発行します。

D. Amazon Inspector を有効にします。Common Vulnerabilities and Exposures-1.1 ルールパッケージを含めて、要塞ホストに関連付けられているセキュリティグループを確認します。Amazon Inspector を設定して、Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを発行します。

回答: C

説明:

オプション C - A は、セキュリティグループ内のあらゆる変更に対して通知を送信します。質問では、0.0.0.0/0 が許可されている場合にのみ通知を送信することが明確に示されています。したがって、C にする必要があります。

43 / 363

43.

No.43
DevOps チームは、オンプレミスで実行され、Amazon API Gateway エンドポイントのバックエンドとして機能する API を管理しています。顧客から応答レイテンシーが高いという苦情が寄せられており、開発チームは Amazon CloudWatch の API Gateway レイテンシーメトリクスを使用してこれを検証しました。原因を特定するには、チームは追加のレイテンシーを発生させることなく関連データを収集する必要があります。
これを実現するには、どのアクションを実行する必要がありますか? (2 つ選択してください)。

A. CloudWatch エージェントをサーバー側にインストールし、エージェントが関連ログを CloudWatch にアップロードするように構成します。

B. API Gateway で AWS X-Ray トレースを有効にし、アプリケーションを変更してリクエストセグメントをキャプチャし、各リクエスト中にそれらのセグメントを X-Ray にアップロードします。

C. API Gateway で AWS X-Ray トレースを有効にし、アプリケーションを変更してリクエストセグメントをキャプチャし、X-Ray デーモンを使用してセグメントを X-Ray にアップロードします。

D. オンプレミスアプリケーションを変更して、各リクエストでログ情報を API Gateway に送り返します。

E. オンプレミスアプリケーションを変更して、API サービスリクエストに関連する統計データを計算して CloudWatch メトリクスにアップロードします。

回答: A、C

説明:

A と C: CloudWatch ログエージェントを使用してアプリケーションログを収集し、AWS X-ray を使用してリクエスト (トレース) に関する情報を収集します。

B は不正解です。メッセージを X-RAY に直接送信するようにアプリケーションを変更すると、アプリケーションのレイテンシが増大します。そのタスクを実行するには、X-RAY デーモンを使用する方がよいでしょう。

44 / 363

44.

No.44
ある企業には、MySQL 互換の Amazon Aurora Multi-AZ DB クラスターをデータベースとして使用しているアプリケーションがあります。災害復旧のために、クロスリージョンリードレプリカが作成されています。DevOps エンジニアは、障害発生時にレプリカがプライマリデータベースインスタンスになるように、レプリカの昇格を自動化したいと考えています。
これを実現するソリューションはどれですか。

A. ヘルスチェックを使用してレイテンシベースの Amazon Route 53 CNAME を設定し、プライマリエンドポイントとレプリカエンドポイントの両方を指すようにします。 Amazon SNS トピックを AWS CloudTrail からの Amazon RDS 障害通知にサブスクライブし、そのトピックを使用して、レプリカインスタンスをプライマリとして昇格する AWS Lambda 関数を呼び出します。

B. プライマリデータベースインスタンスを指す Aurora カスタムエンドポイントを作成します。このエンドポイントを使用するようにアプリケーションを構成します。AWS CloudTrail を構成して、レプリカインスタンスを昇格する AWS Lambda 関数を実行し、カスタムエンドポイントを新しく昇格したインスタンスを指すように変更します。

C. アプリケーションの AWS CloudFormation テンプレートを変更してレプリカを昇格し、テンプレートを適用してスタックを更新し、アプリケーションを新しく昇格したインスタンスにポイントする AWS Lambda 関数を作成します。障害イベントが発生した後にこの Lambda 関数を呼び出す Amazon CloudWatch アラームを作成します。

D. Aurora エンドポイントを AWS Systems Manager パラメータストアに保存します。データベース障害を検出し、レプリカインスタンスを昇格して AWS Systems Manager パラメータストアに保存されているエンドポイント URL を更新する AWS Lambda 関数を実行する Amazon EventBridge イベントを作成します。データベース接続が失敗した場合にパラメータストアからエンドポイントをリロードするようにアプリケーションをコーディングします。

回答: D

説明:
障害発生時にリードレプリカをプライマリインスタンスに自動的に昇格するには、障害を検出し、AWS Lambda 関数を呼び出してレプリカインスタンスを昇格する必要があります。これは、Amazon EventBridge を使用して実現できます。

オプション A は正しくありません。ヘルスチェックで CNAME を使用すると、リードレプリカを自動的に昇格させることはできません。また、AWS CloudTrail からの Amazon RDS 障害通知に Amazon SNS トピックをサブスクライブしても、レプリカを昇格させることはできません。

オプション B は正しくありません。リードレプリカを昇格させるのにカスタムエンドポイントは不要だからです。また、AWS CloudTrail を使用して AWS Lambda 関数を実行し、レプリカインスタンスを昇格させても、アプリケーションエンドポイントを自動的に更新して、新しく昇格したインスタンスを指すようにすることはできません。

45 / 363

45.

No.45
ある企業は、Amazon EBS ストレージでバックアップされた Amazon EC2 インスタンスを使用してステージング Web サイトをホストしています。この企業は、EC2 インスタンスでネットワーク接続の問題や停電が発生した場合に、データ損失を最小限に抑えて迅速に復旧したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. 最小、最大、および必要な容量を 1 に設定して、インスタンスを EC2 Auto Scaling グループに追加します。

B. EC2 インスタンスがシャットダウンまたは終了したときに EBS ボリュームをデタッチするためのライフサイクルフックを使用して、インスタンスを EC2 Auto Scaling グループに追加します。

C. StatusCheckFailed システムメトリックの Amazon CloudWatch アラームを作成し、インスタンスを復旧するための EC2 アクションを選択します。

D. StatusCheckFailed インスタンスメトリックの Amazon CloudWatch アラームを作成し、インスタンスを再起動するための EC2 アクションを選択します。

回答: C

説明:

Amazon CloudWatch は、リソース使用率、アプリケーションパフォーマンス、および運用の健全性に関するシステム全体の可視性を提供します。システムステータスチェックが失敗した場合、基盤となる EC2 システムに問題があることが示唆され、修復には AWS の関与が必要になる可能性があります。システムステータスチェックの「このインスタンスを回復する」アクションは、基盤となる問題が原因でインスタンスが損傷した場合に、自動的にインスタンスを回復します。

46 / 363

46.

No.46
ある企業は、AWS 開発ツールを使用して、現在の bash デプロイメントスクリプトを置き換えたいと考えています。現在、この企業は、アプリケーションロードバランサー (ALB) の背後にある Amazon EC2 インスタンスのグループに LAMP アプリケーションをデプロイしています。デプロイメント中、この企業はコミットされたアプリケーションのユニットテスト、サービスの停止と開始、ロードバランサーでのインスタンスの登録解除と再登録、およびファイル権限の更新を行います。この企業は、AWS サービスの使用への移行を通じて、同じデプロイメント機能を維持したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. AWS CodeBuild を使用してアプリケーションをテストします。AWS CodeDeploy の appspec.yml ファイルによって呼び出される bash スクリプトを使用してサービスを再起動し、ALB でのインスタンスの登録解除と登録を行います。appspec.yml ファイルを使用して、カスタムスクリプトを使用せずにファイル権限を更新します。

B. AWS CodePipeline を使用して、アプリケーションを AWS CodeCommit リポジトリから AWS CodeDeploy に移動します。CodeDeploy のデプロイメントグループを使用してアプリケーションをテストし、ALB でインスタンスの登録を解除して再登録し、サービスを再起動します。appspec.yml ファイルを使用して、カスタムスクリプトなしでファイル権限を更新します。

C. AWS CodePipeline を使用して、アプリケーションのソースコードを AWS CodeCommit リポジトリから AWS CodeDeploy に移動します。CodeDeploy を使用してアプリケーションをテストします。CodeDeploy の appspec.yml ファイルを使用して、カスタムスクリプトなしでサービスを再起動し、権限を更新します。AWS CodeBuild を使用して、ALB でインスタンスの登録を解除して再登録します。

D. AWS CodePipeline を使用して、AWS CodeBuild をトリガーしてアプリケーションをテストします。AWS CodeDeploy の appspec.yml ファイルによって呼び出される bash スクリプトを使用してサービスを再起動します。AWS CodeDeploy デプロイメントグループのインスタンスを ALB で登録解除して再登録します。appspec.yml ファイルを更新して、カスタムスクリプトなしでファイル権限を更新します。

回答: D

説明:

オプション D - D は A よりも優れています。CodeBuild から CodeDeploy に実行を移動するには、CodePipeline を含める必要があります。

オプション D も実行可能なソリューションです。AWS CodePipeline を使用して AWS CodeBuild をトリガーし、アプリケーションをテストしてから、AWS CodeDeploy の appspec.yml ファイルによって呼び出される bash スクリプトを使用してサービスを再起動し、ALB でインスタンスの登録を解除して再登録し、ファイルのアクセス許可を更新することを提案しています。このアプローチは、会社が必要とするすべてのデプロイメント機能もカバーします。

47 / 363

47.

No.47
ある会社では、Amazon EC2 とオンプレミス構成でアプリケーションを実行しています。DevOps エンジニアは、両方の環境にわたってパッチ適用を標準化する必要があります。会社のポリシーでは、パッチ適用は営業時間外にのみ行うように定められています。
これらの要件を満たすアクションの組み合わせはどれですか? (3 つ選択してください)。

A. Systems Manager ハイブリッドアクティベーションを使用して、物理マシンを AWS Systems Manager に追加します。

B. EC2 インスタンスに IAM ロールをアタッチして、AWS Systems Manager で管理できるようにします。

C. オンプレミスのマシンが AWS Systems Manager とやり取りできるように、IAM アクセスキーを作成します。

D. AWS Systems Manager Automation ドキュメントを実行して、1 時間ごとにシステムにパッチを適用します。

E. Amazon EventBridge のスケジュールされたイベントを使用して、パッチウィンドウをスケジュールします。

F. AWS Systems Manager メンテナンスウィンドウを使用して、パッチウィンドウをスケジュールします。

回答: A、B、F

説明:

A: AWS システムマネージャーでハイブリッドを有効にする

B: システムマネージャーが EC2 インスタンスを管理するための IAM ロールを作成する

F: メンテナンスウィンドウを使用して、営業時間外にパッチ適用をスケジュールする

C: オンプレミス用の IAM アクセスキーがないため、正しくありません

D: 1 時間ごとにパッチ適用を実行しないでください

E: AWS にはパッチ適用をスケジュールするための独自のサービスがあるため、Eventbridge を使用しないでください

48 / 363

48.

No.48
ある企業が新しいアプリケーションをホストするために AWS を選択しました。この企業は、マルチアカウント戦略を実装する必要があります。DevOps エンジニアが AWS Organizations で新しい AWS アカウントと組織を作成します。DevOps エンジニアは、組織の OU 構造も作成し、AWS Control Tower を使用してランディングゾーンを設定します。
DevOps エンジニアは、ユーザーが AWS Control Tower Account Factory を通じて作成する新しいアカウントのリソースを自動的にデプロイするソリューションを実装する必要があります。ユーザーが新しいアカウントを作成すると、ソリューションは OU またはアカウント用にカスタマイズされた AWS CloudFormation テンプレートと SCP を適用して、アカウントに関連付けられているすべてのリソースを自動的にデプロイする必要があります。すべての OU は AWS Control Tower に登録されています。
どのソリューションが最も自動化された方法でこれらの要件を満たしますか?

A. AWS Service Catalog を AWS Control Tower で使用します。AWS Service Catalog でポートフォリオと製品を作成します。これらのリソースをプロビジョニングするための詳細な権限を付与します。AWS CLI と JSON ドキュメントを使用して SCP をデプロイします。

B. 必要なテンプレートを使用して CloudFormation スタックセットをデプロイします。自動デプロイを有効にします。必要なアカウントにスタックインスタンスをデプロイします。SCP をデプロイするために、CloudFormation スタックセットを組織の管理アカウントにデプロイします。

C. CreateManagedAccount イベントを検出するための Amazon EventBridge ルールを作成します。AWS Service Catalog を、新しいアカウントにリソースをデプロイするためのターゲットとして設定します。AWS CLI と JSON ドキュメントを使用して SCP をデプロイします。

D. AWS Control Tower (CfCT) ソリューションのカスタマイズをデプロイします。 AWS CodeCommit リポジトリをソースとして使用します。リポジトリで、CloudFormation テンプレートと SCP JSON ドキュメントを含むカスタムパッケージを作成します。

回答: D

説明:
CfCT ソリューションは、質問で述べられている目的にぴったり合うように設計されています。リソースのプロビジョニングを自動化し、Control Tower 環境で作成されたすべての AWS アカウントにカスタム設定を適用する方法を提供することで、AWS Control Tower の機能を拡張します。これにより、Control Tower Account Factory を介して新しいアカウントがプロビジョニングされるときに、企業は追加のアカウントのカスタマイズを実装できます。

CloudFormation テンプレートと SCP は CodeCommit リポジトリに追加でき、新しいアカウントが作成されると自動的にデプロイされます。これにより、リソースと SCP を新しいアカウントにデプロイするために手動介入を必要としない、高度に自動化されたソリューションが提供されます。

https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html

49 / 363

49.

No.49
米国に拠点を置くオンライン小売企業は、今後 6 か月以内にヨーロッパとアジアに事業を拡大する予定です。現在、同社の製品は、Application Load Balancer の背後にある Amazon EC2 インスタンスで実行されています。インスタンスは、複数のアベイラビリティーゾーンにまたがる Amazon EC2 Auto Scaling グループで実行されます。すべてのデータは、Amazon Aurora データベースインスタンスに保存されます。
製品が複数のリージョンにデプロイされる場合、同社はすべてのリージョンで単一の製品カタログを希望しますが、コンプライアンスのために、顧客情報と購入は各リージョンに保持する必要があります。
アプリケーションの変更を最小限に抑えて、これらの要件を満たすにはどうすればよいでしょうか?

A. 製品カタログには Amazon Redshift を使用し、顧客情報と購入には Amazon DynamoDB テーブルを使用します。

B. 製品カタログには Amazon DynamoDB グローバルテーブルを使用し、顧客情報と購入にはリージョンテーブルを使用します。

C. 製品カタログには Aurora のリードレプリカを使用し、顧客情報と購入には各リージョンで追加のローカル Aurora インスタンスを使用します。

D. 製品カタログには Aurora を使用し、顧客情報と購入には Amazon DynamoDB グローバルテーブルを使用します。

回答: C

説明:

オプション C - 製品カタログのリードレプリカを備えた Aurora を使用すると、すべてのリージョンで単一の製品カタログを使用できます。Aurora リードレプリカをさまざまなリージョンに設定して、各リージョンから製品カタログへの低レイテンシーアクセスを提供できます。さらに、顧客情報と購入用に各リージョンに追加のローカル Aurora インスタンスをデプロイすることで、企業は各リージョンで顧客データと購入を保持するという要件に準拠できます。

50 / 363

No.50
ある企業は、グローバルにアクセス可能な API スタックに適切に設計された設計を実装しています。この設計では、北米とヨーロッパのユーザーに対して高い信頼性と高速な応答時間の両方を確保する必要があります。
API スタックには、次の 3 つの層が含まれます。

50. Amazon API Gateway -

AWS Lambda -

Amazon DynamoDB -

どのソリューションが要件を満たしますか?

A. ヘルスチェックを使用して、Amazon Route 53 が北米とヨーロッパの API Gateway API を指すように設定します。そのリージョンの Lambda 関数にリクエストを転送するように API を設定します。Lambda 関数が、Lambda 関数と同じリージョンの DynamoDB テーブルのデータを取得および更新するように設定します。

B. レイテンシーベースのルーティングとヘルスチェックを使用して、Amazon Route 53 が北米とヨーロッパの API Gateway API を指すように設定します。そのリージョンの Lambda 関数にリクエストを転送するように API を設定します。DynamoDB グローバルテーブルのデータを取得および更新するように Lambda 関数を設定します。

C. 北米の API Gateway を指すように Amazon Route 53 を設定し、ヨーロッパに災害復旧 API を作成し、両方の API がそのリージョンの Lambda 関数にリクエストを転送するように設定します。DynamoDB グローバルテーブルからデータを取得します。5 分ごとに北米の API のヘルスをチェックする Lambda 関数をデプロイします。障害が発生した場合は、災害復旧 API を指すように Route 53 を更新します。

D. レイテンシーベースのルーティングを使用して、北米の API Gateway API を指すように Amazon Route 53 を設定します。ユーザーに最も近いリージョンの Lambda 関数にリクエストを転送するように API を設定します。DynamoDB テーブルのデータを取得して更新するように Lambda 関数を設定します。

回答: B

説明:
要件は、北米とヨーロッパにいるユーザーに対して高い信頼性と高速な応答時間の両方を確保することです。この要件を満たすには、レイテンシーベースのルーティングを備えた Amazon Route 53 を使用して、ユーザーを最も近い API Gateway エンドポイントに誘導します。さらに、ヘルスチェックを使用して各エンドポイントのヘルスを監視し、トラフィックを正常でないエンドポイントから遠ざけることができます。

高い信頼性を維持するために、AWS Lambda を使用して API リクエストを処理できます。Lambda は自動的にスケーリングされるため、インフラストラクチャのプロビジョニングやメンテナンスについて心配する必要はありません。低レイテンシーのアクセスと自動スケーリングを提供するため、DynamoDB をデータベースとして使用することもできます。

51 / 363

51.

No.51
急成長中の企業が、AWS 開発環境に対する開発者の需要に合わせて拡張したいと考えています。開発環境は、AWS マネジメントコンソールで手動で作成されます。ネットワークチームは、AWS CloudFormation を使用してネットワークインフラストラクチャを管理し、Amazon VPC とすべてのサブネットのスタック出力値をエクスポートします。開発環境には、Application Load Balancer、Amazon EC2 Auto Scaling グループ、セキュリティグループ、Amazon DynamoDB テーブルなどの共通の標準があります。
需要に対応するために、DevOps エンジニアは開発環境の作成を自動化したいと考えています。アプリケーションをサポートするために必要なインフラストラクチャは拡大することが予想されるため、デプロイされたインフラストラクチャを簡単に更新する方法が必要です。CloudFormation を使用して、開発環境のテンプレートを作成します。
これらの要件を満たし、開発者に一貫性のある AWS 環境を迅速に提供するアプローチはどれですか?

A. テンプレートのリソースセクションで Fn::ImportValue 組み込み関数を使用して、仮想プライベートクラウド (VPC) とサブネットの値を取得します。開発環境には CloudFormation StackSets を使用し、Count 入力パラメータを使用して必要な環境の数を指定します。 UpdateStackSet コマンドを使用して、既存の開発環境を更新します。

B. ネストされたスタックを使用して、共通のインフラストラクチャコンポーネントを定義します。エクスポートされた値にアクセスするには、TemplateURL を使用してネットワークチームのテンプレートを参照します。Virtual Private Cloud (VPC) とサブネットの値を取得するには、ルートテンプレートの Parameters セクションで Fn::ImportValue 組み込み関数を使用します。CreateChangeSet コマンドと ExecuteChangeSet コマンドを使用して、既存の開発環境を更新します。

C. ネストされたスタックを使用して、共通のインフラストラクチャコンポーネントを定義します。ネストされたスタックのリソースで Fn::ImportValue 組み込み関数を使用して、Virtual Private Cloud (VPC) とサブネットの値を取得します。CreateChangeSet コマンドと ExecuteChangeSet コマンドを使用して、既存の開発環境を更新します。

D. ルートテンプレートの Parameters セクションで Fn::ImportValue 組み込み関数を使用して、Virtual Private Cloud (VPC) とサブネットの値を取得します。CloudFormation ネストされたスタックで作成する必要がある順序で開発リソースを定義します。CreateChangeSet コマンドと ExecuteChangeSet コマンドを使用して、既存の開発環境を更新します。

回答: C

説明:

オプション A - ネストされたスタックについては言及されていません。

オプション B - AWS ドキュメントによると、パラメータでは組み込み関数を使用できないため、B は誤りです。

https://repost.aws/knowledge-center/cloudformation-template-validation

オプション C - ネストされたスタックと、ネストされたスタックのリソースで Fn::ImportValue 組み込み関数を使用します。

オプション D - Fn::ImportValue 組み込み関数は、子テンプレートで親テンプレートから値をインポートするために使用されます。したがって、他のすべてのテンプレートのユニバーサル親テンプレートであるルートテンプレートでは使用しないでください。

52 / 363

52.

No.52
ある会社では、AWS Organizations を使用して複数のアカウントを管理しています。情報セキュリティポリシーでは、暗号化されていないすべての Amazon EBS ボリュームを非準拠としてマークする必要があります。DevOps エンジニアは、ソリューションを自動的にデプロイし、このコンプライアンスチェックが常に存在するようにする必要があります。
どのソリューションがこれを実現しますか?

A. EBS 暗号化が有効になっているかどうかを確認する AWS Inspector ルールを定義する AWS CloudFormation テンプレートを作成します。このテンプレートを、社内のすべてのアカウントで共有されている Amazon S3 バケットに保存します。Amazon S3 の CloudFormation テンプレートを指すアカウント作成スクリプトを更新します。

B. EBS 暗号化が有効になっているかどうかを確認する AWS Config 組織ルールを作成し、AWS CLI を使用してルールをデプロイします。組織全体で AWS Config の停止と削除を禁止する SCP を作成して適用します。

C. Organizations に SCP を作成します。条件式を使用して、EBS ボリュームで暗号化されていない Amazon EC2 インスタンスの起動を防止するポリシーを設定します。すべての AWS アカウントに SCP を適用します。Amazon Athena を使用して AWS CloudTrail 出力を分析し、ec2:RunInstances アクションを拒否するイベントを探します。

D. 単一の信頼できるアカウントからすべてのアカウントに IAM ロールをデプロイします。AWS CodePipeline を使用して、IAM ロールを引き受けるための AWS Lambda のステージを含むパイプラインを構築し、アカウント内のすべての EBS ボリュームを一覧表示します。 Amazon S3 にレポートを公開します。

回答: B

説明:
ConfigRuleName プロパティに暗号化ボリュームを指定して CloudFormation テンプレートをデプロイすると、AWS Config は自動的に環境をスキャンし、暗号化されていない EBS ボリュームをチェックします。

オプション A は不正解です。AWS Inspector ルールは、EC2 インスタンス上のアプリケーションの動作を分析するために使用されるものであり、EBS ボリュームの暗号化をチェックするものではないためです。

53 / 363

53.

No.53
ある会社が、多数のアカウントにわたるすべての Amazon EC2 インスタンスの脆弱性スキャンを実行しています。アカウントは AWS Organizations 内の組織内にあります。各アカウントの VPC は、共有トランジットゲートウェイに接続されています。VPC は、中央の出力 VPC を介してインターネットにトラフィックを送信します。この会社は、委任された管理者アカウントで Amazon Inspector を有効にし、すべてのメンバーアカウントのスキャンを有効にしています。
DevOps エンジニアは、Amazon Inspector の「スキャンしていない」タブに一部の EC2 インスタンスがリストされていることを発見しました。
この問題を解決するために、DevOps エンジニアが実行する必要があるアクションの組み合わせはどれですか? (3 つ選択してください)。

A. Amazon Inspector がスキャンしていない EC2 インスタンスに AWS Systems Manager Agent がインストールされ、実行されていることを確認します。

B. 対象の EC2 インスタンスを、ポート 443 で AWS Systems Manager サービスエンドポイントへのアウトバウンド通信を許可するセキュリティグループに関連付けます。

C. DevOps エンジニアが使用している IAM ロールに、inspector:StartAssessmentRun 権限を付与します。

D. Amazon Inspector がスキャンしていない EC2 インスタンスの EC2 Instance Connect を設定します。

E. 対象の EC2 インスタンスを、AWS Systems Manager との通信権限を付与するインスタンスプロファイルに関連付けます。

F. マネージドインスタンスのアクティベーションを作成します。アクティベーションコードとアクティベーション ID を使用して、EC2 インスタンスを登録します。

回答: A、B、E

説明:
https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html

オプション C では、DevOps エンジニアが使用している IAM ロールに、inspector:StartAssessmentRun 権限を付与することを提案しています。ただし、IAM ロールにはデフォルトで必要な権限がすでに付与されている可能性があるため、これは Amazon Inspector によってインスタンスがスキャンされない問題とは関係ない可能性があります。

したがって、この場合、A、B、E の方が適切な選択です。これには、インスタンスが AWS Systems Manager と通信できることを確認するために必要な手順が含まれており、Amazon Inspector がインスタンスをスキャンするために必要です。

54 / 363

54.

No.54
開発チームは、アプリケーションのバージョン管理に AWS CodeCommit を使用しています。開発チームは、CI/CD インフラストラクチャに AWS CodePipeline、AWS CodeBuild、および AWS CodeDeploy を使用しています。CodeCommit では、開発チームは最近、コードベースで長時間実行テストに合格しなかったプルリクエストをマージしました。開発チームはコードベースのブランチにロールバックを実行する必要があり、その結果、時間と労力が無駄になりました。
DevOps エンジニアは、CodeCommit でプルリクエストのテストを自動化して、プルリクエストのレビューの一環として、レビュー担当者が自動化されたテストの結果をより簡単に確認できるようにする必要があります。
この要件を満たすために、DevOps エンジニアは何をすべきですか?

A. pullRequestStatusChanged イベントに反応する Amazon EventBridge ルールを作成します。アプリケーションのテストを実行する CodeBuild アクションを使用して CodePipeline パイプラインを呼び出す AWS Lambda 関数を作成します。開発者がコードレビューでバッジを確認できるように、プルリクエストにコメントとして CodeBuild バッジを投稿するように Lambda 関数をプログラムします。

B. pullRequestCreated イベントに反応する Amazon EventBridge ルールを作成します。アプリケーションのテストを実行する CodeBuild アクションを使用して CodePipeline パイプラインを呼び出す AWS Lambda 関数を作成します。テスト結果が完了したら、プルリクエストにコメントとして CodeBuild テスト結果を投稿するように Lambda 関数をプログラムします。

C. pullRequestCreated イベントと pullRequestSourceBranchUpdated イベントに反応する Amazon EventBridge ルールを作成します。アプリケーションのテストを実行する CodeBuild アクションを使用して CodePipeline パイプラインを呼び出す AWS Lambda 関数を作成します。開発者がコードレビューでバッジを確認できるように、プルリクエストにコメントとして CodeBuild バッジを投稿するように Lambda 関数をプログラムします。

D. pullRequestStatusChanged イベントに反応する Amazon EventBridge ルールを作成します。アプリケーションのテストを実行する CodeBuild アクションを使用して CodePipeline パイプラインを呼び出す AWS Lambda 関数を作成します。テスト結果が完了したら、CodeBuild テスト結果をプルリクエストのコメントとして投稿するように Lambda 関数をプログラムします。

回答: C

説明:
以下の #3 をご覧ください。
https://container-devsecops.awssecworkshops.com/04-testing/

C は、コードレビュー担当者がプルリクエストレビューの一環として自動テストの結果をより簡単に確認できるようにする答えです
pullRequestStatusChanged イベントは、プルリクエストのステータスが変わるたびにトリガーされます。これには、次のような遷移が含まれます: Open から Closed (プルリクエストがマージされるか、クローズとしてマークされる)
Closed から Open (プルリクエストが再度オープンされる)
pullRequestCreated イベントは、CodeCommit リポジトリで新しいプルリクエストが作成されるたびにトリガーされます。
pullRequestSourceBranchUpdated イベントは、オープンプルリクエストのソースブランチに更新 (新しいコミット) がプッシュされるたびにトリガーされます。

55 / 363

55.

No.55
ある企業が、単一の AWS アカウントの本番環境 VPC にアプリケーションをデプロイしました。このアプリケーションは人気があり、使用率が高くなっています。同社のセキュリティチームは、アプリケーションのデプロイに AWS WAF などの追加のセキュリティを追加したいと考えています。ただし、アプリケーションの製品マネージャーはコストを懸念しており、セキュリティチームが追加のセキュリティが必要であることを証明できない限り、変更を承認したくありません。
セキュリティチームは、アプリケーションの需要の一部は、拒否リストに載っている IP アドレスを持つユーザーから来ている可能性があると考えています。セキュリティチームは、DevOps エンジニアに拒否リストを提供します。拒否リストに載っている IP アドレスのいずれかがアプリケーションにアクセスした場合、セキュリティチームは、アプリケーションに追加のセキュリティが必要であることを文書化できるように、ほぼリアルタイムで自動通知を受け取りたいと考えています。DevOps エンジニアは、本番環境 VPC の VPC フローログを作成します。
DevOps エンジニアは、これらの要件を最もコスト効率よく満たすために、どの追加手順を実行する必要がありますか?

A. Amazon CloudWatch Logs でロググループを作成します。承認されたトラフィックをキャプチャし、データをロググループに送信するように VPC フローログを設定します。拒否リストの IP アドレス用の Amazon CloudWatch メトリクスフィルターを作成します。メトリクスフィルターを入力として CloudWatch アラームを作成します。期間を 5 分に設定し、アラームのデータポイントを 1 に設定します。Amazon Simple Notification Service (Amazon SNS) トピックを使用して、セキュリティチームにアラーム通知を送信します。

B. ログファイル用の Amazon S3 バケットを作成します。すべてのトラフィックをキャプチャし、データを S3 バケットに送信するように VPC フローログを設定します。拒否リストの IP アドレスの S3 バケット内のすべてのログファイルを返すように Amazon Athena を設定します。Athena からデータを受け入れ、セキュリティチームがアクセスできるダッシュボードとしてデータを公開するように Amazon QuickSight を設定します。アクセス成功のしきい値アラートを 1 に設定します。アラートしきい値に達したときに、できるだけ頻繁にセキュリティチームに自動的に通知するようにアラートを設定します。

C. ログファイル用の Amazon S3 バケットを作成します。承認されたトラフィックをキャプチャし、データを S3 バケットに送信するように VPC フローログを設定します。ログファイル用の Amazon OpenSearch Service クラスターとドメインを設定します。AWS Lambda 関数を作成して、S3 バケットからログを取得し、ログをフォーマットして、OpenSearch Service クラスターにログをロードします。Lambda 関数が 5 分ごとに実行されるようにスケジュールします。OpenSearch Service でアラートと条件を設定し、拒否リストの IP アドレスからのアクセスが検出されたときに Amazon Simple Notification Service (Amazon SNS) トピックを通じてセキュリティチームにアラートを送信します。

D. Amazon CloudWatch Logs にロググループを作成します。クエリ結果を保持する Amazon S3 バケットを作成します。すべてのトラフィックをキャプチャしてデータをロググループに送信するように VPC フローログを設定します。AWS Lambda に Amazon Athena CloudWatch コネクタをデプロイします。コネクタをロググループに接続します。拒否リストの IP アドレスからのすべての承認済みトラフィックを定期的にクエリし、その結果を S3 バケットに保存するように Athena を設定します。S3 バケットに新しいオブジェクトが追加されたときに Amazon Simple Notification Service (Amazon SNS) トピックを通じてセキュリティチームに自動的に通知するように S3 イベント通知を設定します。

回答: A

説明:
要件を最もコスト効率よく満たすには、DevOps エンジニアは Amazon CloudWatch Logs にロググループを作成し、VPC フローログを設定して、承認されたトラフィックをキャプチャし、そのデータをロググループに送信する必要があります。次に、拒否リストの IP アドレス用の Amazon CloudWatch メトリクスフィルターを作成し、そのメトリクスフィルターを入力として CloudWatch アラームを作成します。期間を 5 分に設定し、アラームするデータポイントを 1 に設定します。最後に、Amazon Simple Notification Service (Amazon SNS) トピックを使用して、セキュリティチームにアラーム通知を送信します。

オプション A が正解です。要件を満たすコスト効率の高いソリューションを提供します。CloudWatch アラームは、拒否リストの IP アドレスからのトラフィックが検出されると、ほぼリアルタイムでセキュリティチームに通知します。これにより、セキュリティチームはアプリケーションに追加のセキュリティが必要であることを文書化できます。このソリューションでは、会社がすでに使用している AWS サービスを使用するだけでよく、追加のサービスやツールは必要ありません。

56 / 363

56.

No.56
DevOps エンジニアは、AWS CodePipeline を使用して、次の手順で Web サービスのデプロイを自動化しました。
1. AWS CodeBuild プロジェクトがデプロイアーティファクトをコンパイルし、ユニットテストを実行します。
2. AWS CodeDeploy デプロイグループが、ステージング環境の Amazon EC2 インスタンスに Web サービスをデプロイします。
3. CodeDeploy デプロイグループが、本番環境の EC2 インスタンスに Web サービスをデプロイします。
品質保証 (QA) チームは、本番環境へのデプロイが行われる前に、ビルドアーティファクトを検査する権限を要求します。QA チームは、手動テストを実施するために内部侵入テストツールを実行したいと考えています。このツールは、REST API 呼び出しによって呼び出されます。
DevOps エンジニアがこの要求を満たすために実行する必要があるアクションの組み合わせはどれですか (2 つ選択してください)。

A. パイプラインのテストアクションとデプロイアクションの間に手動承認アクションを挿入します。

B. コンパイルステージの buildspec.yml ファイルを変更して、完了前に手動承認を要求します。

C. CodeDeploy デプロイメントグループを更新して、続行するには手動承認が必要になります。

D. パイプラインを更新して、侵入テストツールの REST API を直接呼び出します。

E. パイプラインを更新して、侵入テストツールの REST API を呼び出す AWS Lambda 関数を呼び出します。

回答: A、E

説明:
手動承認アクション (A) により、QA チームはビルド成果物を検査し、実稼働環境へのデプロイメントを進める前に社内の侵入テストツールを実行できます。

AWS Lambda 関数 (E) を使用すると、侵入テストツールの REST API を自動的に呼び出すことができます。これにより、パイプライン内でテストを自動的に実行できます。これは、テストプロセスの一貫性を確保し、プログラムで実行できるため、手動の手順が削減されるため、有益です。

57 / 363

57.

No.57
ある企業が AWS リージョンで Web アプリケーションをホストしています。災害復旧の目的で、2 番目のリージョンがスタンバイとして使用されています。災害復旧の要件では、セッションデータはリージョン間でほぼリアルタイムで複製され、リクエストの 1% がセカンダリリージョンにルーティングされてシステムの機能が継続的に検証される必要があります。さらに、メインリージョンでサービスが中断された場合、トラフィックはセカンダリリージョンに自動的にルーティングされ、セカンダリリージョンはすべてのトラフィックを処理できるようにスケールアップできる必要があります。
DevOps エンジニアはこれらの要件をどのように満たすべきでしょうか?

A. 両方のリージョンで、アプリケーションを AWS Elastic Beanstalk にデプロイし、セッションデータに Amazon DynamoDB グローバルテーブルを使用します。ヘルスチェック付きの Amazon Route 53 加重ルーティングポリシーを使用して、トラフィックをリージョン全体に分散します。

B. 両方のリージョンで、アプリケーションを Auto Scaling グループで起動し、セッションデータに DynamoDB を使用します。ヘルスチェック付きの Route 53 フェイルオーバールーティングポリシーを使用して、トラフィックをリージョン全体に分散します。

C. 両方のリージョンで、Amazon API Gateway によって公開される AWS Lambda にアプリケーションをデプロイし、セッションデータ用にリージョン間レプリケーションを備えた Amazon RDS for PostgreSQL を使用します。クライアント側のロジックを使用して Web アプリケーションをデプロイし、API Gateway を直接呼び出します。

D. 両方のリージョンで、Auto Scaling グループでアプリケーションを起動し、セッションデータ用に DynamoDB グローバルテーブルを使用します。リージョン間で Amazon CloudFront の加重分散を有効にします。Amazon Route 53 DNS レコードを CloudFront 分散にポイントします。

回答: A

説明:
CloudFront でフェイルオーバーを行うことはできますが、加重ルーティングを行うことはできません。CloudFront で自動フェイルオーバーがどのように機能するかについては、次のリンクを参照してください。

https://disaster-recovery.workshop.aws/en/services/networking/cloudfront/cloudfront-origin-group.html

B と C は DynamoDB グローバルテーブルではありません

D - Route53 を使用しません

58 / 363

58.

No.58
ある会社が Amazon EC2 インスタンスでアプリケーションを実行しています。同社は、一連の AWS CloudFormation スタックを使用してアプリケーションリソースを定義しています。開発者は、ラップトップでアプリケーションをビルドしてテストし、ビルド出力と CloudFormation スタックテンプレートを Amazon S3 にアップロードすることで更新を実行します。開発者の同僚は、開発者が CloudFormation スタックの更新を実行し、アプリケーションの新しいバージョンを EC2 インスタンスにインストールする前に変更を確認します。
開発者が各 EC2 インスタンスを新しいアプリケーションで更新すると、デプロイメントプロセスでエラーが発生しやすく、時間がかかります。同社は、アプリケーションまたはリソースを変更する前に最終的な手動承認手順を維持しながら、アプリケーションのデプロイメントプロセスを可能な限り自動化したいと考えています。
同社はすでに、アプリケーションのソースコードと CloudFormation テンプレートを AWS CodeCommit に移行しています。また、アプリケーションをビルドしてテストするための AWS CodeBuild プロジェクトも作成しています。
どの手順の組み合わせが、同社の要件を満たしますか? (2 つ選択してください)。

A. AWS CodeDeploy でアプリケーショングループとデプロイメントグループを作成します。EC2 インスタンスに CodeDeploy エージェントをインストールします。

B. AWS CodeDeploy でアプリケーションリビジョンとデプロイメントグループを作成します。CodeDeploy で環境を作成します。EC2 インスタンスを CodeDeploy 環境に登録します。

C. AWS CodePipeline を使用して CodeBuild ジョブを呼び出し、CloudFormation 更新を実行し、手動承認ステップのために一時停止します。承認後、AWS CodeDeploy デプロイメントを開始します。

D. AWS CodePipeline を使用して CodeBuild ジョブを呼び出し、各アプリケーションスタックの CloudFormation 変更セットを作成し、手動承認ステップのために一時停止します。承認後、CloudFormation 変更セットを実行し、AWS CodeDeploy デプロイメントを開始します。

E. AWS CodePipeline を使用して CodeBuild ジョブを呼び出し、各アプリケーションスタックの CloudFormation 変更セットを作成し、手動承認ステップのために一時停止します。承認後、AWS CodeDeploy デプロイメントを開始します。

回答: A、D

説明:

オプション A - このステップでは、アプリケーションのデプロイメントに AWS CodeDeploy を使用する環境を設定します。CodeDeploy は、EC2 インスタンスにインストールされたエージェントを使用してデプロイメントタスクを実行します。

オプション D - このオプションでは、CodePipeline を使用してプロセスをオーケストレーションします。CodeBuild は、アプリケーションの構築とテストに使用されます。CloudFormation は、インフラストラクチャの更新を変更セットとして準備するために使用されます。変更を適用する前に、手動の承認手順が挿入されます。承認後、CloudFormation 変更セットが適用され、CodeDeploy が呼び出されて、アプリケーションの新しいバージョンが EC2 インスタンスにデプロイされます。

59 / 363

59.

No.59
DevOps エンジニアは、アプリケーションロードバランサー (ALB) の背後にある Amazon EC2 インスタンスで実行される Web アプリケーションを管理しています。インスタンスは、複数のアベイラビリティゾーンにまたがる EC2 Auto Scaling グループで実行されます。エンジニアは、次のデプロイメント戦略を実装する必要があります。
元のフリートと同じ容量のインスタンスの 2 番目のフリートを起動します。
2 番目のフリートが起動されている間、元のフリートを変更せずに維持します。
2 番目のフリートが完全にデプロイされたら、トラフィックを 2 番目のフリートに移行します。
移行後 1 時間で元のフリートを自動的に終了します。
これらの要件を満たすソリューションはどれですか?

A. ALB の保持ポリシーが 1 時間に設定された AWS CloudFormation テンプレートを使用します。Amazon Route 53 レコードを更新して、新しい ALB を反映させます。

B. 2 つの AWS Elastic Beanstalk 環境を使用して、元の環境から新しい環境へのブルー/グリーンデプロイメントを実行します。アプリケーションバージョンライフサイクルポリシーを作成して、元の環境を 1 時間で終了します。

C. ブルー/グリーンデプロイメント構成で構成されたデプロイメントグループで AWS CodeDeploy を使用するデプロイメントグループ内の元のインスタンスを 1 時間の待機期間で終了するオプションを選択します。

D. 構成を不変に設定した AWS Elastic Beanstalk を使用します。ALB の削除ポリシーを 1 時間に設定する Resources キーを使用して .ebextension を作成し、アプリケーションをデプロイします。

回答: C

説明:

オプション B - 2 つの AWS Elastic Beanstalk 環境を使用して元の環境から新しい環境へのブルー/グリーンデプロイメントを実行すると、2 番目のインスタンスフリートは起動されません。代わりに、新しい環境が作成され、アプリケーションバージョンがそこにデプロイされます。また、元の環境を 1 時間で終了するには、アプリケーションバージョンライフサイクルポリシーを使用する必要があります。

オプション D - 設定を Immutable に設定して AWS Elastic Beanstalk を使用し、ALB の削除ポリシーを 1 時間に設定する .ebextension を作成すると、2 番目のインスタンスフリートは起動されず、2 番目のフリートが起動されている間、元のフリートは変更されずに維持されます。さらに、.ebextension アプローチは、AWS でリソースを削除する推奨方法ではありません。

したがって、正しいオプションは C です。つまり、ブルー/グリーンデプロイメント設定で構成されたデプロイメントグループで AWS CodeDeploy を使用し、1 時間の待機期間でデプロイメントグループ内の元のインスタンスを終了するオプションを選択します。

60 / 363

60.

No.60
ビデオ共有会社が Amazon S3 にビデオを保存しています。同社はビデオアクセスリクエストの急増を確認しましたが、どのビデオが最も人気があるかはわかりません。同社は、ビデオファイルの一般的なアクセスパターンを特定する必要があります。このパターンには、特定の日に特定のファイルにアクセスするユーザーの数と、特定のファイルに対するプルリクエストの数が含まれます。
どうすれば、最小限の労力でこれらの要件を満たすことができますか?

A. S3 サーバーアクセスログを有効にします。アクセスログを Amazon Aurora データベースにインポートします。Aurora SQL クエリを使用してアクセスパターンを分析します。

B. S3 サーバーアクセスログを有効にします。Amazon Athena を使用して、ログファイルを含む外部テーブルを作成します。Athena を使用して、アクセスパターンを分析します。

C. すべての S3 オブジェクトアクセスイベントに対して AWS Lambda 関数を呼び出します。ユーザー、S3 バケット、ファイルキーなどのファイルアクセス情報を Amazon Aurora データベースに書き込むように Lambda 関数を設定します。Aurora SQL クエリを使用してアクセスパターンを分析します。

D. すべての S3 オブジェクトアクセスイベントに対して Amazon CloudWatch Logs ログメッセージを記録します。ユーザー、S3 バケット、ファイルキーなどのファイルアクセス情報を Amazon Kinesis Data Analytics for SQL アプリケーションに書き込むように CloudWatch Logs ログストリームを設定します。スライディングウィンドウ分析を実行します。

答え: B

説明:
Athena はこのようなユースケース向けに設計されているため、これが答えです
AWS Athena は、標準 SQL を使用して Amazon Simple Storage Service (S3) に保存されたデータを分析できるサーバーレスのインタラクティブクエリサービスです。

61 / 363

61.

No.61
開発チームは、AWS CloudFormation スタックを使用してアプリケーションをデプロイしたいと考えています。ただし、開発者 IAM ロールには、AWS CloudFormation テンプレートで指定されているリソースをプロビジョニングするために必要な権限がありません。DevOps エンジニアは、開発者がスタックをデプロイできるようにするソリューションを実装する必要があります。ソリューションは、最小権限の原則に従う必要があります。
これらの要件を満たすソリューションはどれですか?

A. 開発者が必要なリソースをプロビジョニングできるようにする IAM ポリシーを作成します。ポリシーを開発者 IAM ロールにアタッチします。

B. AWS CloudFormation へのフルアクセスを許可する IAM ポリシーを作成します。ポリシーを開発者 IAM ロールにアタッチします。

C. 必要な権限を持つ AWS CloudFormation サービスロールを作成します。開発者 IAM ロールに cloudformation:* アクションを付与します。スタックのデプロイ中に新しいサービスロールを使用します。

D. 必要な権限を持つ AWS CloudFormation サービスロールを作成します。開発者 IAM ロールに iam:PassRole 権限を付与します。スタックのデプロイ中に新しいサービスロールを使用します。

回答: D

説明:
D が正解です。必要な権限を持つ Cloud Formation のロールを作成する必要があります。次に、このロールを CF に渡すことができるように、iam:PassRole 権限を dev IAM ロールに追加します。
A: ACF に必要な権限の作成については触れられていません。また、dev に権限を付与すべきではありません。
B: フルアクセスを許可することは、最小権限ポリシーに反します。
C: dev に iam:PassRole 権限を付与することについては触れられていません。

62 / 363

62.

No.62
本番アカウントには、手動でログインした Amazon EC2 インスタンスを 24 時間以内に終了する必要があるという要件があります。本番アカウントのすべてのアプリケーションは、Amazon CloudWatch Logs エージェントが設定された Auto Scaling グループを使用しています。
このプロセスを自動化するにはどうすればよいですか?

A. AWS Step Functions アプリケーションに CloudWatch Logs サブスクリプションを作成します。ログインイベントを生成した EC2 インスタンスにタグを追加し、インスタンスを廃止対象としてマークするように AWS Lambda 関数を設定します。 Amazon EventBridge ルールを作成して、このタグを持つすべてのインスタンスを終了する 2 番目の Lambda 関数を 1 日に 1 回呼び出します。

B. ログインイベントによって呼び出される Amazon CloudWatch アラームを作成します。運用チームがサブスクライブしている Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信し、運用チームに 24 時間以内に EC2 インスタンスを終了してもらいます。

C. ログインイベントによって呼び出される Amazon CloudWatch アラームを作成します。Amazon Simple Queue Service (Amazon SQS) キューに送信するようにアラームを設定します。ワーカーインスタンスのグループを使用してキューからのメッセージを処理し、Amazon EventBridge ルールが呼び出されるようにスケジュールします。

D. AWS Lambda 関数への CloudWatch Logs サブスクリプションを作成します。ログインイベントを生成した EC2 インスタンスにタグを追加し、インスタンスを廃止対象としてマークするように関数を設定します。このタグを持つすべてのインスタンスを終了する毎日の Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。

回答: D

説明:
D. AWS Lambda 関数への CloudWatch Logs サブスクリプションを作成します。ログインイベントを生成した EC2 インスタンスにタグを追加し、インスタンスを廃止対象としてマークするように関数を設定します。このタグを持つすべてのインスタンスを終了する毎日の Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。

A: ステップ関数を使用する場合、「2 番目の Lambda 関数を呼び出す Amazon EventBridge ルール」を含める必要はありません
B: この方法では、ポリシー違反の Ec2 は手動で終了されるため、24 時間以内に終了されることを保証できません
C: インスタンスの終了については言及されていません

63 / 363

63.

No.63
ある会社では、AWS Organizations で組織のすべての機能を有効にしています。この組織には 10 個の AWS アカウントがあります。この会社はすべてのアカウントで AWS CloudTrail をオンにしています。この会社は、今後 1 年間で組織内の AWS アカウントの数が 500 に増加すると予想しています。この会社は、これらのアカウントに複数の OU を使用する予定です。
この会社は、組織内の既存の各 AWS アカウントで AWS Config を有効にしています。DevOps エンジニアは、組織で今後作成されるすべての AWS アカウントに対して AWS Config を自動的に有効にするソリューションを実装する必要があります。
この要件を満たすソリューションはどれですか?

A. 組織の管理アカウントで、CreateAccount API 呼び出しに反応する Amazon EventBridge ルールを作成します。このルールを設定して、組織の AWS Config への信頼できるアクセスを可能にする AWS Lambda 関数を呼び出します。

B. 組織の管理アカウントで、AWS Config を有効にする AWS CloudFormation スタックセットを作成します。Organizations を通じてアカウントが作成されたときにスタックセットが自動的にデプロイされるように設定します。

C. 組織の管理アカウントで、適切な AWS Config API 呼び出しを許可して AWS Config を有効にする SCP を作成します。SCP をルートレベルの OU に適用します。

D. 組織の管理アカウントで、CreateAccount API 呼び出しに反応する Amazon EventBridge ルールを作成します。ルールを設定して、AWS Systems Manager Automation ランブックを呼び出して、アカウントの AWS Config を有効にします。

回答: B

説明:
質問では、今後のすべてのアカウントに対して「AWS Config を自動的に有効にする」ソリューションを求めています。AWS 組織では、他のアカウントのリソースをプロビジョニングまたは構成するために、ACF を使用します

A、C、D: ACF について言及なし

組織で作成される今後のすべての AWS アカウントに対して AWS Config を自動的に有効にする正しいソリューションは、オプション B です。組織の管理アカウントで、AWS CloudFormation スタックセットを作成して AWS Config を有効にします。Organizations を通じてアカウントが作成されたときに、スタックセットが自動的にデプロイされるように構成します。

オプション C は不正解です。適切な AWS Config API 呼び出しを許可する SCP を作成して AWS Config を有効にし、その SCP をルートレベルの OU に適用することを提案していますが、組織内で今後作成されるすべての AWS アカウントに対して AWS Config を自動的に有効にすることを具体的には示していません。

64 / 363

64.

No.64
ある会社には多くのアプリケーションがあります。会社内のさまざまなチームが、複数の言語とフレームワークを使用してアプリケーションを開発しました。アプリケーションは、オンプレミスおよびさまざまなオペレーティングシステムのさまざまなサーバーで実行されます。各チームには独自のリリースプロトコルとプロセスがあります。会社は、これらのアプリケーションのリリースとメンテナンスの複雑さを軽減したいと考えています。
会社は、これらのアプリケーションを含むテクノロジースタックを AWS に移行しています。会社は、ソースコードの集中管理、一貫性のある自動配信パイプライン、および基盤となるインフラストラクチャでのメンテナンスタスクを可能な限り少なくしたいと考えています。
これらの要件を満たすために、DevOps エンジニアは何をすべきですか?

A. すべてのアプリケーションに対して 1 つの AWS CodeCommit リポジトリを作成します。各アプリケーションのコードを異なるブランチに配置します。ブランチをマージし、AWS CodeBuild を使用してアプリケーションを構築します。 AWS CodeDeploy を使用して、アプリケーションを 1 つの集中アプリケーションサーバーにデプロイします。

B. アプリケーションごとに 1 つの AWS CodeCommit リポジトリを作成します。AWS CodeBuild を使用して、アプリケーションを 1 つずつビルドします。AWS CodeDeploy を使用して、アプリケーションを 1 つの集中アプリケーションサーバーにデプロイします。

C. アプリケーションごとに 1 つの AWS CodeCommit リポジトリを作成します。AWS CodeBuild を使用して、アプリケーションを 1 つずつビルドし、サーバーごとに 1 つの AMI を作成します。AWS CloudFormation StackSets を使用して、これらの AMI を使用して Amazon EC2 フリートを自動的にプロビジョニングおよびデコミッションします。

D. アプリケーションごとに 1 つの AWS CodeCommit リポジトリを作成します。AWS CodeBuild を使用して、Amazon Elastic Container Registry (Amazon ECR) 内のアプリケーションごとに 1 つの Docker イメージを構築します。AWS CodeDeploy を使用して、AWS Fargate が管理するインフラストラクチャ上の Amazon Elastic Container Service (Amazon ECS) にアプリケーションをデプロイします。

回答: D

説明:
オプション D は、ソースコードの集中管理、一貫性のある自動配信パイプライン、および最小限のメンテナンスタスクの要件を満たすための最適な選択肢です。
オプション D は、各アプリケーションが独自のリポジトリとビルドプロセスを持つことができる一方で、コンテナ化を使用して一貫性のある自動配信パイプラインを作成し、AWS Fargate が管理するインフラストラクチャ上の Amazon ECS に簡単にデプロイできるため、最適な選択肢です。このアプローチでは、スケーラビリティとメンテナンスの容易さも実現されます。

65 / 363

65.

No.65
ある会社のアプリケーションは現在、単一の AWS リージョンにデプロイされています。最近、この会社は別の大陸に新しいオフィスを開設しました。新しいオフィスのユーザーは、高いレイテンシーを経験しています。この会社のアプリケーションは、Application Load Balancer (ALB) の背後にある Amazon EC2 インスタンスで実行され、Amazon DynamoDB をデータベースレイヤーとして使用しています。インスタンスは、複数のアベイラビリティーゾーンにまたがる EC2 Auto Scaling グループで実行されます。DevOps エンジニアは、アプリケーションの応答時間を最小限に抑え、両方のリージョンのユーザーの可用性を向上させることを任されています。
レイテンシーの問題に対処するには、どのアクションの組み合わせを実行する必要がありますか? (3 つ選択してください)

A. クロスリージョンレプリケーションを有効にして、新しいリージョンに新しい DynamoDB テーブルを作成します。

B. 新しい ALB と Auto Scaling グループのグローバルリソースを作成し、新しい ALB がトラフィックを新しい Auto Scaling グループに転送するように構成します。

C. 新しいリージョンに新しい ALB と Auto Scaling グループのリソースを作成し、新しい ALB がトラフィックを新しい Auto Scaling グループに転送するように構成します。

D. Amazon Route 53 レコード、ヘルスチェック、レイテンシーベースのルーティングポリシーを作成して、ALB にルーティングします。

E. Amazon Route 53 エイリアス、ヘルスチェック、フェイルオーバールーティングポリシーを作成して、ALB にルーティングします。

F. DynamoDB テーブルをグローバルテーブルに変換します。

回答: C、D、F

説明:
C. 新しいリージョンに新しい ALB と Auto Scaling グループリソースを作成し、新しい ALB を設定してトラフィックを新しい Auto Scaling グループに転送します。これにより、ユーザーとアプリケーションサーバー間のネットワークホップが削減され、新しいリージョンのユーザーはより低いレイテンシーでアプリケーションにアクセスできるようになります。

D. Amazon Route 53 レコード、ヘルスチェック、レイテンシーベースのルーティングポリシーを作成して、ALB にルーティングします。これにより、Route 53 はユーザーと ALB 間のレイテンシーに基づいて、ユーザートラフィックを最も近い正常な ALB にルーティングできるようになります。

F. DynamoDB テーブルをグローバルテーブルに変換します。これにより、両方のリージョンでテーブルへの読み取りと書き込みが低レイテンシーで実行可能になり、アプリケーションの全体的な応答時間が向上します

66 / 363

66.

★No.66
DevOps エンジニアは、既存の AWS アカウントセットにコアセキュリティコントロールセットを適用する必要があります。アカウントは AWS Organizations 内の組織内にあります。個々のチームは、AdministratorAccess AWS 管理ポリシーを使用して個々のアカウントを管理します。すべてのアカウントに対して。AWS CloudTrail と AWS Config は、利用可能なすべての AWS リージョンでオンにする必要があります。個々のアカウント管理者は、ベースラインリソースを編集または削除することはできません。ただし、個々のアカウント管理者は、自分の CloudTrail 証跡と AWS Config ルールを編集または削除できる必要があります。
どのソリューションが、これらの要件を最も効率的に運用できるでしょうか。

A. 標準アカウントリソースを定義する AWS CloudFormation テンプレートを作成します。CloudFormation StackSets を使用して、組織の管理アカウントからすべてのアカウントにテンプレートをデプロイします。スタックポリシーを設定して、Update:Delete アクションを拒否します。

B. AWS Control Tower を有効にします。既存のアカウントを AWS Control Tower に登録します。個々のアカウント管理者に CloudTrail と AWS Config へのアクセス権を付与します。

C. AWS Config 管理アカウントを指定します。AWS CloudFormation StackSets を使用して、すべてのアカウントに AWS Config レコーダーを作成します。AWS Config 管理アカウントを使用して、組織に AWS Config ルールをデプロイします。組織の管理アカウントに CloudTrail 組織証跡を作成します。SCP を使用して、AWS Config レコーダーの変更または削除を拒否します。

D. 標準アカウントリソースを定義する AWS CloudFormation テンプレートを作成します。Cloud Formation StackSets を使用して、組織の管理アカウントからすべてのアカウントにテンプレートをデプロイします。プリンシパルが組織の管理アカウントの管理者でない限り、CloudTrail リソースまたは AWS Config リソースの更新または削除を防止する SCP を作成します。

67 / 363

No.67
ある会社では、AWS Organizations 内の組織に AWS アカウントがあります。AWS Config は各 AWS アカウントで手動で設定されています。この会社は、組織内のすべてのアカウントに対して AWS Config を一元的に設定するためのソリューションを実装する必要があります。また、このソリューションでは、リソースの変更を中央のアカウントに記録する必要があります。
これらの要件を満たすために、DevOps エンジニアが実行する必要があるアクションの組み合わせはどれですか (2 つ選択してください)。

67.

A. AWS Config の委任管理者アカウントを設定します。組織内の AWS Config への信頼されたアクセスを有効にします。

B. AWS Config の委任管理者アカウントを設定します。組織の管理アカウントで AWS Config のサービスにリンクされたロールを作成します。

C. AWS Config アグリゲータを作成するための AWS CloudFormation テンプレートを作成します。組織内のすべてのアカウントにテンプレートをデプロイするように CloudFormation スタックセットを設定します。

D. 組織の管理アカウントで AWS Config 組織アグリゲータを作成します。組織内のすべての AWS アカウントとすべての AWS リージョンからのデータ収集を設定します。

E. 委任された管理者アカウントに AWS Config 組織アグリゲータを作成します。組織内のすべての AWS アカウントとすべての AWS リージョンからのデータ収集を構成します。

回答: A、E

説明:
https://aws.amazon.com/blogs/mt/org-aggregator-delegated-admin/
A - 信頼を有効にすると、サービスにリンクされたロールが作成されますが、その逆は行われません。
E - 委任されたアカウントは AWS 構成を管理するアカウントであるため、すべてのデータを一元的に収集する必要があります。

68 / 363

68.

No.68
ある企業は、Amazon EC2 でホストされているコンテンツ共有 Web アプリケーションをサーバーレスアーキテクチャに移行したいと考えています。現在、同社は、EC2 インスタンスの新しい Auto Scaling グループと新しい Elastic Load Balancer を作成し、Amazon Route 53 の加重ルーティングポリシーを使用してトラフィックを移動することで、アプリケーションへの変更を展開しています。
同社は、新しいサーバーレスアプリケーションに Amazon API Gateway と AWS Lambda を使用する予定です。企業は、新しいアプリケーションで動作するようにデプロイメントプロセスを更新する必要があります。また、ユーザーベース全体に機能を展開する前に、少数のユーザーで新機能をテストする機能も保持する必要があります。
これらの要件を満たすデプロイメント戦略はどれですか?

A. AWS CDK を使用して API Gateway と Lambda 関数をデプロイします。コードを変更する必要がある場合は、AWS CloudFormation スタックを更新し、API と Lambda 関数の新しいバージョンをデプロイします。カナリアリリース戦略には、Route 53 フェイルオーバールーティングポリシーを使用します。

B. AWS CloudFormation を使用して、Lambda 関数バージョンを使用して API Gateway と Lambda 関数をデプロイします。コードを変更する必要がある場合は、新しい Lambda コードで CloudFormation スタックを更新し、カナリアリリース戦略を使用して API バージョンを更新します。テストが完了したら、新しいバージョンをプロモートします。

C. AWS Elastic Beanstalk を使用して API Gateway と Lambda 関数をデプロイします。コードを変更する必要がある場合は、API と Lambda 関数の新しいバージョンをデプロイします。Elastic Beanstalk ブルー/グリーンデプロイメントを使用して、トラフィックを徐々にシフトします。

D. AWS OpsWorks を使用して、サービスレイヤーに API Gateway を、カスタムレイヤーに Lambda 関数をデプロイします。コードを変更する必要がある場合は、OpsWorks を使用してブルー/グリーンデプロイを実行し、トラフィックを徐々に移行します。

回答: B

説明:

オプション A - 間違い: Canary または Blue/Green を使用しません。

オプション B - オプション B は、会社の新しいサーバーレスアーキテクチャのデプロイ戦略を提供します。これにより、会社は、新機能をユーザーベース全体に展開する前に、少数のユーザーで新機能をテストする能力を維持できます。AWS CloudFormation を使用すると、会社は Lambda 関数バージョンを使用して API Gateway と Lambda 関数をデプロイできます。コードを変更する必要がある場合は、新しい Lambda コードで CloudFormation スタックを更新し、カナリアリリース戦略を使用して API バージョンを更新できます。テストが完了したら、新しいバージョンを昇格できます。

オプション C - 間違い: Beanstalk はサーバーレスデプロイメントプラットフォームではありません

オプション D - 間違い: 関係ありません。OpsWork は構成管理プラットフォームであり、状況はアプリケーションのデプロイメント/AWS リソースプロビジョニングプラットフォームを要求しています

69 / 363

69.

No.69
開発チームは、AWS CodeCommit、AWS CodePipeline、AWS CodeBuild を使用してアプリケーションを開発およびデプロイします。コードの変更はプルリクエストによって送信されます。開発チームはプルリクエストを確認してマージし、パイプラインがアプリケーションをビルドしてテストします。
時間の経過とともに、プルリクエストの数が増えてきました。パイプラインは、テストの失敗により頻繁にブロックされます。このブロックを防ぐために、開発チームは、プルリクエストがマージされる前に、各プルリクエストでユニットテストと統合テストを実行したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. ユニットテストと統合テストを実行するための CodeBuild プロジェクトを作成します。CodeCommit 承認ルールテンプレートを作成します。テンプレートを構成して、CodeBuild プロジェクトの正常な呼び出しを必須にします。プロジェクトの CodeCommit リポジトリに承認ルールを添付します。

B. CodeCommit からの pullRequestCreated イベントに一致する Amazon EventBridge ルールを作成します。ユニットテストと統合テストを実行するための CodeBuild プロジェクトを作成します。 CodeBuild プロジェクトを、イベントからの CodeCommit リポジトリとブランチ情報を含むカスタムイベントペイロードを含む EventBridge ルールのターゲットとして設定します。

C. CodeCommit からの pullRequestCreated イベントに一致する Amazon EventBridge ルールを作成します。ビルドがプルリクエストから開始された場合は、デプロイ手順を実行しないように既存の CodePipeline パイプラインを変更します。イベントからの CodeCommit リポジトリとブランチ情報を含むカスタムペイロードでパイプラインを実行するように EventBridge ルールを設定します。

D. ユニットテストと統合テストを実行する CodeBuild プロジェクトを作成します。プルリクエストが作成または更新されたときに一致する CodeCommit 通知ルールを作成します。通知ルールを設定して、CodeBuild プロジェクトを起動します。

回答: B

説明:
プルリクエストがマージされる前に各プルリクエストでユニットテストと統合テストを実行するには、pullRequestCreated イベントをリッスンし、CodeBuild プロジェクトを実行してテストを実行するソリューションが最も適切なオプションです。

オプション B は、CodeCommit からの pullRequestCreated イベントに一致する Amazon EventBridge ルールを作成し、CodeBuild プロジェクトを設定してユニットテストと統合テストを実行し、イベントからの CodeCommit リポジトリとブランチ情報をカスタムペイロードとして渡すソリューションについて説明しています。

したがって、オプション B が正解です。

70 / 363

70.

No.70
ある会社には、Amazon EC2 インスタンスのフリートで実行されるアプリケーションがあります。アプリケーションは頻繁に再起動する必要があります。再起動が必要な場合、アプリケーションログにはエラーメッセージが含まれます。アプリケーションログは、Amazon CloudWatch Logs のロググループに公開されます。
ログに再起動関連のエラーメッセージが多数含まれている場合、Amazon CloudWatch アラームは Amazon Simple Notification Service (Amazon SNS) トピックを通じてアプリケーションエンジニアに通知します。アプリケーションエンジニアは、SNS トピックから通知を受け取った後、インスタンスでアプリケーションを手動で再起動します。
DevOps エンジニアは、インスタンスを再起動せずにインスタンスでのアプリケーションの再起動を自動化するソリューションを実装する必要があります。
どのソリューションが、これらの要件を最も運用効率の高い方法で満たしますか?

A. インスタンス上のアプリケーションを再起動するスクリプトを実行する AWS Systems Manager Automation ランブックを設定します。 SNS トピックを設定して、ランブックを起動します。

B. インスタンス上のアプリケーションを再起動する AWS Lambda 関数を作成します。 SNS トピックのイベントの宛先として Lambda 関数を設定します。

C. インスタンス上のアプリケーションを再起動するスクリプトを実行する AWS Systems Manager Automation ランブックを設定します。ランブックを起動する AWS Lambda 関数を作成します。 SNS トピックのイベントの宛先として Lambda 関数を設定します。

D. インスタンス上のアプリケーションを再起動するスクリプトを実行する AWS Systems Manager Automation ランブックを設定します。 CloudWatch アラームが ALARM 状態になったときに反応する Amazon EventBridge ルールを設定します。ランブックをルールのターゲットとして指定します。

回答: D

説明:
C と D はどちらも独自の方法で正しくシンプルであるため、議論の余地がありますが、各アプローチのコンポーネントの数を見てみましょう:

C: CW -> SNS -> LAMBDA -> SSM (4)

D: CW -> EVENTBRIDGE -> SSM (3)

C には維持する必要がある追加のコンポーネント (SNS) があり、このオプションにはいくつかのコーディングが含まれており、これも維持する必要があります。

オプション C で SNS が既に作成されている場合でも、通知を削除して Lambda 呼び出しを構成するためにそこに移動する必要があります。

オプション D はコンポーネントが少なく、カスタマイズの必要性も少なくなります。

71 / 363

71.

No.71
ある会社の DevOps エンジニアは、すべてのユーザーが AWS IAM Identity Center (AWS Single Sign-On) を使用する AWS 環境をサポートしています。この会社は、新しい IAM ユーザーの認証情報をすぐに無効にし、セキュリティチームに通知を受信したいと考えています。
これらの要件を満たすために、DevOps エンジニアが実行する必要がある手順の組み合わせはどれですか? (3 つ選択してください)。

A. AWS CloudTrail の IAM CreateUser API 呼び出しに反応する Amazon EventBridge ルールを作成します。

B. AWS CloudTrail の IAM GetLoginProfile API 呼び出しに反応する Amazon EventBridge ルールを作成します。

C. EventBridge ルールのターゲットとなる AWS Lambda 関数を作成します。Lambda 関数を設定して、アクセスキーを無効にし、IAM ユーザーに関連付けられているログインプロファイルを削除します。

D. EventBridge ルールのターゲットとなる AWS Lambda 関数を作成します。Lambda 関数を設定して、IAM ユーザーに関連付けられているログインプロファイルを削除します。

E. EventBridge ルールのターゲットである Amazon Simple Notification Service (Amazon SNS) トピックを作成します。セキュリティチームのグループメールアドレスをトピックに登録します。

F. Lambda 関数のターゲットである Amazon Simple Queue Service (Amazon SQS) キューを作成します。セキュリティチームのグループメールアドレスをキューに登録します。

回答: A、C、E

説明:
ACE は正解です。<新しい IAM ユーザーの認証情報を無効にする> は、ユーザーに関連するすべてのアクセスキーとプロファイルを無効にすることを意味します。<セキュリティチームが通知を受信する> は SNS を意味します
B: GetLoginProfile API は、新しいユーザーの作成と同じではありません
D: プロファイルだけでなく、ユーザーに関連するすべてのアクセスキーとプロファイルを削除する必要があります
F: SQS ではなく SNS が必要です

72 / 363

72.

No.72
ある会社が継続的デリバリーパイプラインを設定したいと考えています。この会社は、アプリケーションコードをプライベート GitHub リポジトリに保存しています。この会社は、アプリケーションコンポーネントを Amazon Elastic Container Service (Amazon ECS)、Amazon EC2、および AWS Lambda にデプロイする必要があります。パイプラインは手動承認アクションをサポートする必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS CodePipeline を Amazon ECS、Amazon EC2、Lambda とともにデプロイプロバイダーとして使用します。

B. AWS CodePipeline を AWS CodeDeploy とともにデプロイプロバイダーとして使用します。

C. AWS CodePipeline を AWS Elastic Beanstalk とともにデプロイプロバイダーとして使用します。

D. AWS CodeDeploy を GitHub 統合とともに使用してアプリケーションをデプロイします。

回答: B

説明:
「パイプラインは手動承認アクションをサポートする必要があります。」という用語があるためです。
パイプラインなしでは不可能です。

codePipeline と codeDeploy による ECS のデプロイソリューション

CodeDeploy アプリケーションとデプロイグループ (ECS コンピューティングプラットフォーム) を作成します

https://docs.aws.amazon.com/codepipeline/latest/userguide/tutorials-ecs-ecr-codedeploy.html#tutorials-ecs-ecr-codedeploy-deployment

73 / 363

73.

No.73
ある会社には、Auto Scaling グループ内の Amazon EC2 インスタンスで実行されるアプリケーションがあります。アプリケーションが起動すると、アプリケーションはリクエストの処理を開始する前に Amazon S3 バケットからデータを処理する必要があります。
S3 バケットに保存されるデータのサイズは増大しています。Auto Scaling グループが新しいインスタンスを追加すると、アプリケーションがリクエストを処理できるようになる前に、データをダウンロードして処理するのに数分かかるようになりました。会社は、新しい EC2 インスタンスがリクエストを処理できるようになるまでの時間を短縮する必要があります。
アプリケーションの起動時間を短縮する最も費用対効果の高い方法はどれですか?

A. Auto Scaling グループのウォームプールを設定し、停止状態のウォームされた EC2 インスタンスを設定します。Auto Scaling グループで autoscaling:EC2_INSTANCE_LAUNCHING ライフサイクルフックを設定します。アプリケーションを変更して、アプリケーションがリクエストを処理する準備ができたときにライフサイクルフックを完了します。

B. Auto Scaling グループの最大インスタンス数を増やします。 Auto Scaling グループで autoscaling:EC2_INSTANCE_LAUNCHING ライフサイクルフックを設定します。アプリケーションがリクエストを処理する準備ができたときにライフサイクルフックを完了するようにアプリケーションを変更します。

C. 実行状態のウォームアップされた EC2 インスタンスを使用して Auto Scaling グループのウォームプールを設定します。Auto Scaling グループで autoscaling:EC2_INSTANCE_LAUNCHING ライフサイクルフックを設定します。アプリケーションがリクエストを処理する準備ができたときにライフサイクルフックを完了するようにアプリケーションを変更します。

D. Auto Scaling グループの最大インスタンス数を増やします。Auto Scaling グループで autoscaling:EC2_INSTANCE_LAUNCHING ライフサイクルフックを設定します。アプリケーションがリクエストを処理する準備ができたときにライフサイクルフックを完了し、新しいインスタンスをスタンバイ状態にするようにアプリケーションを変更します。

回答: A

説明:
オプション A が最もコスト効率の高いソリューションです。停止状態の EC2 インスタンスのウォームプールを構成することで、企業は新しいインスタンスがリクエストに対応できるようになるまでの時間を短縮できます。Auto Scaling グループが新しいインスタンスを起動すると、停止した EC2 インスタンスをウォームプールからアタッチできます。その後、データのダウンロードと処理を待つことなく、インスタンスをすぐに起動できます。これにより、アプリケーションの全体的な起動時間が短縮されます。

オプション C も EC2 インスタンスのウォームプールを使用するソリューションですが、インスタンスは実行状態です。つまり、現在リクエストに対応していないにもかかわらず、インスタンスはすでに実行されており、コストが発生しています。これはコスト効率のよいソリューションではありません。

74 / 363

74.

No.74
ある企業は、AWS CodeBuild プロジェクトを使用してアプリケーションを構築およびパッケージ化しています。パッケージは、複数の AWS アカウントにデプロイされる前に、共有 Amazon S3 バケットにコピーされます。
buildspec.yml ファイルには、次の内容が含まれています:

バージョン: 0.2
フェーズ:
ビルド:
コマンド:
- go build -o myapp
post_build:
コマンド:
- aws s3 cp --acl authenticated-read myapp s3://artifacts/

DevOps エンジニアは、AWS アカウントを持つユーザーなら誰でもアーティファクトをダウンロードできることに気付きました。
DevOps エンジニアは、これを阻止するためにどのような手順を踏む必要がありますか?

A. post_build コマンドを変更して --acl public-read を使用し、関連する AWS アカウントのみに読み取りアクセスを許可するバケットポリシーを構成します。

B. 認証済みユーザーのセットを関連する AWS アカウントのみとして定義し、読み取り専用アクセスを許可する S3 バケットのデフォルト ACL を構成します。

C. 関連する AWS アカウントに読み取りアクセスを許可し、プリンシパル「*」への読み取りアクセスを拒否する S3 バケットポリシーを作成します。

D. post_build コマンドを変更して --acl authenticated-read を削除し、関連する AWS アカウントのみに読み取りアクセスを許可するバケットポリシーを設定します。

回答: D

説明:
「--acl authenticated-read」は、認証されたすべてのユーザーが S3 バケットを読み取ることができることを意味します。これを削除し、明示的にアクセスを許可するバケットポリシーを設定する必要があります。

75 / 363

75.

No.75
ある会社が、AWS でホストされるサーバーレス Web アプリケーションを開発しました。このアプリケーションは、Amazon S3、Amazon API Gateway、複数の AWS Lambda 関数、および Amazon RDS for MySQL データベースで構成されています。この会社は、AWS CodeCommit を使用してソースコードを保存しています。ソースコードは、AWS Serverless Application Model (AWS SAM) テンプレートと Python コードの組み合わせです。
セキュリティ監査と侵入テストにより、データベースへの認証用のユーザー名とパスワードが CodeCommit リポジトリ内にハードコードされていることが明らかになりました。DevOps エンジニアは、ハードコードされたシークレットを自動的に検出して防止するソリューションを実装する必要があります。
これらの要件を満たす最も安全なソリューションは何ですか?

A. Amazon CodeGuru Profiler を有効にします。ハンドラー関数を @with_lambda_profiler() で装飾します。推奨レポートを手動で確認します。シークレットを安全な文字列として AWS Systems Manager パラメータストアに書き込みます。SAM テンプレートと Python コードを更新して、パラメータストアからシークレットを取得します。

B. CodeCommit リポジトリを Amazon CodeGuru Reviewer に関連付けます。コードレビューで推奨事項を手動で確認します。シークレットを保護するオプションを選択します。SAM テンプレートと Python コードを更新して、AWS Secrets Manager からシークレットを取得します。

C. Amazon CodeGuru Profiler を有効にします。ハンドラー関数を @with_lambda_profiler() で装飾します。推奨事項レポートを手動で確認します。シークレットを保護するオプションを選択します。SAM テンプレートと Python コードを更新して、AWS Secrets Manager からシークレットを取得します。

D. CodeCommit リポジトリを Amazon CodeGuru Reviewer に関連付けます。コードレビューで推奨事項を手動で確認します。シークレットを文字列として AWS Systems Manager パラメータストアに書き込みます。SAM テンプレートと Python コードを更新して、パラメータストアからシークレットを取得します。

回答: B

説明:
ハードコードされたシークレットを自動的に検出して防止するという要件を満たす最も安全なソリューションは、AWS CodeGuru Reviewer を使用してコードでハードコードされたシークレットを確認し、SAM テンプレートと Python コードを更新して AWS Secrets Manager からシークレットを取得することです。

正解はオプション B です。CodeCommit リポジトリを Amazon CodeGuru Reviewer に関連付けることで、コードレビュー中にハードコードされたシークレットがないかコードをチェックできます。ハードコードされたシークレットが検出されると、CodeGuru Reviewer は、AWS Secrets Manager などの安全なストレージサービスからシークレットを取得するようにコードを更新することを推奨します。DevOps エンジニアは、シークレットを保護するオプションを選択し、コードにハードコードする代わりに、SAM テンプレートと Python コードを更新して AWS Secrets Manager からシークレットを取得できます。

76 / 363

76.

No.76
ある会社では、重要なドキュメントを保存するために Amazon S3 バケットを使用しています。会社は、一部の S3 バケットが暗号化されていないことを発見しました。現在、会社の IAM ユーザーは、暗号化せずに新しい S3 バケットを作成できます。会社は、すべての S3 バケットを暗号化する必要があるという新しい要件を実装しています。
DevOps エンジニアは、既存のすべての S3 バケットとすべての新しい S3 バケットでサーバー側の暗号化が有効になっていることを確認するソリューションを実装する必要があります。 S3 バケットが作成されたらすぐに、新しい S3 バケットで暗号化を有効にする必要があります。デフォルトの暗号化タイプは、256 ビットの Advanced Encryption Standard (AES-256) である必要があります。
これらの要件を満たすソリューションはどれですか?

A. Amazon EventBridge のスケジュールされたルールによって定期的に呼び出される AWS Lambda 関数を作成します。Lambda 関数をプログラムして、現在のすべての S3 バケットの暗号化ステータスをスキャンし、暗号化構成がないすべての S3 バケットのデフォルトの暗号化として AES-256 を設定します。

B. s3-bucket-server-side-encryption-enabled AWS Config マネージドルールを設定してアクティブ化します。AWS-EnableS3BucketEncryption AWS Systems Manager Automation ランブックを修復アクションとして使用するようにルールを構成します。再評価プロセスを手動で実行して、既存の S3 バケットが準拠していることを確認します。

C. Amazon EventBridge イベントルールによって呼び出される AWS Lambda 関数を作成します。新しい S3 バケットの作成に一致するイベントパターンを使用してルールを定義します。Lambda 関数をプログラムして、EventBridge イベントを解析し、イベントから S3 バケットの設定を確認し、デフォルトの暗号化として AES-256 を設定します。

D. s3:x-amz-server-side-encryption 条件キーの値が AES-256 以外の場合に s3:CreateBucket アクションを拒否する IAM ポリシーを設定します。会社のすべての IAM ユーザーに対して IAM グループを作成します。IAM ポリシーを IAM グループに関連付けます。

回答: B

説明:
B は既存のバケットと新しいバケットの両方に対応します。

C は新しいバケットの作成時にトリガーされ、既存のバケットはイベントによって処理されません。

77 / 363

77.

No.77
DevOps エンジニアが、AWS で実行されている会社のサービスとしてのソフトウェア (SaaS) Web アプリケーションの継続的な開発戦略を設計しています。アプリケーションとセキュリティ上の理由から、このアプリケーションをサブスクライブしているユーザーは、それぞれ専用の Auto Scaling グループと Amazon EC2 インスタンスのフリートを持つ複数のアプリケーションロードバランサー (ALB) に分散されています。アプリケーションにはビルドステージは必要ありません。アプリケーションが AWS CodeCommit にコミットされると、アプリケーションはすべての ALB、Auto Scaling グループ、および EC2 フリートへの同時デプロイをトリガーする必要があります。
最も少ない構成でこれらの要件を満たすアーキテクチャはどれですか?

A. 各 ALB-Auto Scaling グループのペアに対して作成された固有の AWS CodeDeploy アプリケーションとデプロイグループを使用して、アプリケーションを並行してデプロイする単一の AWS CodePipeline パイプラインを作成します。

B. 単一の AWS CodeDeploy アプリケーションと単一のデプロイグループを使用してアプリケーションをデプロイする単一の AWS CodePipeline パイプラインを作成します。

C. 各 ALB-Auto Scaling グループペアに対して、単一の AWS CodeDeploy アプリケーションと一意のデプロイメントグループを使用してアプリケーションを並列にデプロイする単一の AWS CodePipeline パイプラインを作成します。

D. 各 ALB-Auto Scaling グループペアに対して、同じ ALB-Auto Scaling グループペアに対して作成された AWS CodeDeploy アプリケーションとデプロイメントグループを使用してアプリケーションをデプロイする AWS CodePipeline パイプラインを作成します。

回答: C

説明:

オプション C - この場合は、1 つの CodeDeploy アプリケーションと複数のデプロイメントグループを使用できます。

C が正解です: <アプリケーションは同時デプロイメントをトリガーする必要があります> は並列デプロイメントを意味します

B と D: 並列デプロイメントについては言及されていません

A: <各 ALB-Auto Scaling グループペアに対して作成された一意の AWS CodeDeploy アプリケーションとデプロイメントグループ> は、サイトごとに複数の AWS CodeDeploy アプリケーションとデプロイメントグループがあることを意味しますが、これは不要です。

78 / 363

78.

No.78
ある会社が Amazon S3 バケットから静的 Web サイトをホストしています。この Web サイトは、example.com で顧客に提供されています。同社は、TTL が 1 日の Amazon Route 53 加重ルーティングポリシーを使用しています。同社は、既存の静的 Web サイトを動的 Web アプリケーションに置き換えることを決定しました。動的 Web アプリケーションは、Amazon EC2 インスタンス群の前でアプリケーションロードバランサー (ALB) を使用します。
顧客への本番リリースの日に、同社は重みが 255、TTL が 1 時間の ALB を指す追加の Route 53 加重 DNS レコードエントリを作成します。2 日後、DevOps エンジニアは、顧客が example.com に移動すると以前の静的 Web サイトが表示されることがあることに気付きました。
DevOps エンジニアは、会社が example.com の動的コンテンツのみを提供していることをどのように確認すればよいでしょうか?

A. 静的 Web サイトコンテンツを含む S3 バケットから、以前のバージョンを含むすべてのオブジェクトを削除します。

B. S3 バケットを指す加重 DNS レコードエントリを更新します。重みを 0 に適用します。変更をすぐに反映するには、ドメインリセットオプションを指定します。

C. S3 バケットのウェブページリダイレクトリクエストを、ALB にリダイレクトするホスト名で設定します。

D. example.com ホストゾーンから S3 バケットを指す重み付けされた DNS レコードエントリを削除します。DNS の伝播が完了するまで待ちます。

回答: D

説明: B は不正解です。

Route 53 は、最初は重み付けがゼロでないレコードのみを考慮します (存在する場合)。

重みが 0 より大きいすべてのレコードが正常でない場合、Route 53 は重み付けがゼロのレコードを考慮します。

79 / 363

No.79
ある会社では、テストプロセスを自動化するために AWS CodePipeline を実装しています。実行状態が失敗したときに通知を受け取りたいと考え、Amazon EventBridge で次のカスタムイベントパターンを使用しました:

{
"source": [
"aws.codepipeline"
],
"detail-type": [
"CodePipeline アクション実行状態の変更"
],
"detail": {
"state" [
"FAILED"
],
"type": {
"category": ["Approval"]
}
}
}

79. このイベントパターンに一致するイベントの種類はどれですか?

A. すべてのパイプラインで失敗したデプロイおよびビルドアクション

B. すべてのパイプラインで拒否または失敗したすべての承認アクション

C. すべてのパイプラインでのすべてのイベント

D. すべてのパイプラインで承認アクション

回答: B

説明:
このサンプルイベントパターンを使用して、すべてのパイプラインで拒否または失敗したすべての承認アクションをキャプチャします。

https://docs.aws.amazon.com/codepipeline/latest/userguide/detect-state-changes-cloudwatch-events.html

80 / 363

80.

No.80
Auto Scaling グループ内の一連の Amazon EC2 インスタンスで実行されるアプリケーションでは、動作するために構成ファイルが必要です。インスタンスは AWS CloudFormation を使用して作成および維持されます。DevOps エンジニアは、インスタンスの起動時に最新の構成ファイルを使用し、CloudFormation テンプレートが更新されたときに、構成ファイルへの変更が最小限の遅延ですべてのインスタンスに反映されることを望んでいます。会社のポリシーでは、アプリケーション構成ファイルを AWS インフラストラクチャ構成ファイルとともにソース管理で維持する必要があります。
どのソリューションでこれを実現できますか?

A. CloudFormation テンプレートで、AWS Config ルールを追加します。ルールの InputParameters プロパティに設定ファイルのコンテンツを配置し、Scope プロパティを EC2 Auto Scaling グループに設定します。設定の更新をポーリングするために、テンプレートに AWS Systems Manager Resource Data Sync リソースを追加します。

B. CloudFormation テンプレートで、EC2 起動テンプレートリソースを追加します。設定ファイルのコンテンツを起動テンプレートに配置します。インスタンスの起動時に実行されるように cfn-init スクリプトを設定し、設定の更新をポーリングするように cfn-hup スクリプトを設定します。

C. CloudFormation テンプレートで、EC2 起動テンプレートリソースを追加します。設定ファイルのコンテンツを起動テンプレートに配置します。設定の更新をポーリングするために、テンプレートに AWS Systems Manager Resource Data Sync リソースを追加します。

D. CloudFormation テンプレートで、CloudFormation init メタデータを追加します。設定ファイルのコンテンツをメタデータに配置します。インスタンスの起動時に実行されるように cfn-init スクリプトを設定し、設定の更新をポーリングするように cfn-hup スクリプトを設定します。

回答: D

説明:
AWS::CloudFormation::Init タイプを使用して、cfn-init ヘルパースクリプトの Amazon EC2 インスタンスにメタデータを含めます。テンプレートが cfn-init スクリプトを呼び出す場合、スクリプトは AWS::CloudFormation::Init メタデータキーをルートとするリソースメタデータを検索します。参照:
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-init.html

81 / 363

81.

No.81
ある会社では、Amazon CloudWatch Logs にログを保存するアプリケーションを管理しています。この会社は、ログを Amazon S3 バケットにアーカイブしたいと考えています。ログは 90 日後にはほとんどアクセスされず、10 年間保持する必要があります。
DevOps エンジニアは、これらの要件を満たすためにどの組み合わせの手順を実行する必要がありますか? (2 つ選択してください)。

A. CloudWatch Logs サブスクリプションフィルターを構成して、AWS Glue を使用してすべてのログを S3 バケットに転送します。

B. CloudWatch Logs サブスクリプションフィルターを構成して、Amazon Kinesis Data Firehose を使用してすべてのログを S3 バケットにストリーミングします。

C. CloudWatch Logs サブスクリプションフィルターを構成して、すべてのログを S3 バケットにストリーミングします。

D. S3 バケットのライフサイクルポリシーを構成して、90 日後にログを S3 Glacier に移行し、3,650 日後にログを期限切れにします。

E. S3 バケットのライフサイクルポリシーを構成して、90 日後にログを Reduced Redundancy に移行し、3,650 日後にログを期限切れにします。

回答: BD

説明:
Amazon Kinesis Data Firehose は、ストリーミングデータを S3 にロードするプロセスを簡素化し、自動スケーリング、バッファリング、再試行を提供します。

82 / 363

82.

No.82
ある会社が新しいアプリケーションを開発しています。このアプリケーションは、コンピューティング層に AWS Lambda 関数を使用しています。会社は、Lambda 関数への変更にカナリアデプロイメントを使用する必要があります。障害が報告された場合は、自動ロールバックを実行する必要があります。
会社の DevOps チームは、このソリューションのインフラストラクチャアズコード (IaC) と CI/CD パイプラインを作成する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

A. アプリケーション用の AWS CloudFormation テンプレートを作成します。AWS::Lambda::Function リソースタイプを使用して、テンプレート内の各 Lambda 関数を定義します。テンプレートで、AWS::Lambda::Version リソースタイプを使用して、Lambda 関数のバージョンを含めます。CodeSha256 プロパティを宣言します。最新バージョンの Lambda 関数を参照する AWS::Lambda::Alias リソースを設定します。

B. アプリケーションの AWS Serverless Application Model (AWS SAM) テンプレートを作成します。AWS::Serverless::Function リソースタイプを使用して、テンプレート内の各 Lambda 関数を定義します。関数ごとに、AutoPublishAlias プロパティと DeploymentPreference プロパティの設定を含めます。デプロイメント設定タイプを LambdaCanary10Percent10Minutes に設定します。

C. AWS CodeCommit リポジトリを作成します。AWS CodePipeline パイプラインを作成します。パイプラインを開始する新しいソースステージで CodeCommit リポジトリを使用します。AWS Serverless Application Model (AWS SAM) テンプレートをデプロイするための AWS CodeBuild プロジェクトを作成します。テンプレートとソースコードを CodeCommit リポジトリにアップロードします。CodeCommit リポジトリで、SAM アプリケーションをビルドおよびデプロイするためのコマンドを含む buildspec.yml ファイルを作成します。

D. AWS CodeCommit リポジトリを作成します。AWS CodePipeline パイプラインを作成します。パイプラインを開始する新しいソースステージで CodeCommit リポジトリを使用します。 DeploymentPreference タイプが Canary10Percent10Minutes のカナリアデプロイメント用に設定された AWS CodeDeploy デプロイメントグループを作成します。AWS CloudFormation テンプレートとソースコードを CodeCommit リポジトリにアップロードします。CodeCommit リポジトリで、CloudFormation テンプレートをデプロイするためのコマンドを含む appspec.yml ファイルを作成します。

E. すべての Lambda 関数に対して Amazon CloudWatch 複合アラームを作成します。Lambda の評価期間とディメンションを設定します。エラーが検出された場合、またはデータが不十分な場合にアラームが ALARM 状態になるように設定します。

F. 各 Lambda 関数に対して Amazon CloudWatch アラームを作成します。エラーが検出された場合、アラームが ALARM 状態になるように設定します。評価期間、各 Lambda 関数とバージョンのディメンション、および Errors メトリクスで名前空間を AWS/Lambda に設定します。

回答: BCF

説明:
BCF は正しいです:
A は正しくありません: <インフラストラクチャをコードとして作成する必要がある (IaC)> は、ACF よりも AWS SAM を優先することを意味します。 ACF は AWS インスタンスのデプロイに使用され、IaC には使用されません
D は誤りです: AWS SAM については言及されていません
E は誤りです: <すべての Lambda 関数に対する Amazon CloudWatch 複合アラーム> ですが、すべての Lambda 関数に対して 1 つのアラームではなく、各 Lambda 関数に対してアラームが必要です

83 / 363

83.

No.83
DevOps エンジニアが、Amazon EC2 インスタンスに関連付けられた AWS CodeDeploy デプロイメントグループに会社のアプリケーションの新しいバージョンをデプロイしています。しばらくすると、デプロイメントが失敗します。エンジニアは、特定のデプロイメント ID に関連付けられたすべてのイベントが Skipped ステータスになっており、デプロイメントグループに関連付けられたインスタンスにコードがデプロイされていないことに気付きました。
この失敗の正当な理由は何ですか? (2 つ選択してください)。

A. ネットワーク構成により、EC2 インスタンスが NAT ゲートウェイまたはインターネットゲートウェイ経由でインターネットにアクセスできず、CodeDeploy エンドポイントにアクセスできません。

B. アプリケーションのデプロイをトリガーした IAM ユーザーに、CodeDeploy エンドポイントを操作する権限がありません。

C. ターゲット EC2 インスタンスが CodeDeploy エンドポイントに適切に登録されていません。

D. 適切な権限を持つインスタンスプロファイルが、ターゲット EC2 インスタンスにアタッチされていませんでした。

E. appspec.yml ファイルがアプリケーションリビジョンに含まれていませんでした。

回答: AD

説明:

A.
CodeDeploy が機能するには、EC2 インスタンスが CodeDeploy エンドポイントに到達してデプロイメントアーティファクトをダウンロードする必要があります。EC2 インスタンスのネットワーク構成で NAT ゲートウェイまたはインターネットゲートウェイ経由でインターネットにアクセスできない場合、インスタンスは CodeDeploy エンドポイントに到達できず、デプロイメントが失敗します。

D.
EC2 インスタンスが CodeDeploy デプロイメントグループの一部である場合、CodeDeploy とやり取りしてデプロイメントアーティファクトをダウンロードするために必要な権限を持つ、関連付けられた IAM インスタンスプロファイルが必要です。適切な権限を持つインスタンスプロファイルがターゲット EC2 インスタンスに添付されていない場合、インスタンスにはデプロイメントプロセスを完了するために必要な権限がないため、デプロイメントは失敗します。

84 / 363

No.84
ある企業では、すべての Amazon EC2 インスタンスは、企業のセキュリティチームが作成した AMI から起動する必要があるというガイドラインがあります。毎月、セキュリティチームは、承認された最新の AMI を含む電子メールメッセージをすべての開発チームに送信します。
開発チームは、AWS CloudFormation を使用してアプリケーションをデプロイします。開発者が新しいサービスを開始するとき、セキュリティ部門から送信された最新の AMI を自分のメールから検索する必要があります。DevOps エンジニアは、セキュリティチームが開発チームに AMI ID を提供するために使用するプロセスを自動化したいと考えています。

84. これらの要件を満たす最もスケーラブルなソリューションは何ですか?

A. セキュリティチームに、CloudFormation を使用して AMI の新しいバージョンを作成し、スタックの出力セクションの一部として暗号化された Amazon S3 オブジェクトに AMI ARN をリストするように指示します。開発者に、クロススタック参照を使用して暗号化された S3 オブジェクトをロードし、最新の AMI ARN を取得するように指示します。

B. セキュリティチームに、CloudFormation スタックを使用して AWS CodePipeline パイプラインを作成し、新しい AMI を構築して、パイプライン出力の一部として暗号化された Amazon S3 オブジェクトに最新の AMI ARN を配置するように指示します。開発者に、独自の CloudFormation テンプレート内でクロススタック参照を使用して、S3 オブジェクトの場所と最新の AMI ARN を取得するように指示します。

C. セキュリティチームに、Amazon EC2 Image Builder を使用して新しい AMI を作成し、AMI ARN を AWS Systems Manager パラメータストアにパラメータとして配置するように指示します。開発者に、CloudFormation スタックで SSM タイプのパラメータを指定して、パラメータストアから最新の AMI ARN を取得するように指示します。

D. セキュリティチームに、Amazon EC2 Image Builder を使用して新しい AMI を作成し、すべての開発チームが通知を受信できるように Amazon Simple Notification Service (Amazon SNS) トピックを作成するように指示します。開発チームが通知を受け取ったら、最新の AMI ARN で CloudFormation スタックを更新する AWS Lambda 関数を作成するように指示します。

回答: C

説明:
C が正解です: <セキュリティチームが開発チームに AMI ID を提供するために使用するプロセスを自動化する> および <最もスケーラブルなソリューション> は、AMI を構築して共有を自動化するためのパイプライン (イメージビルダー) が必要であることを意味します
A および B: EC2 イメージビルダーについては言及されていませんが、EC2 イメージの構築ではコードパイプラインよりも優れています
D: これを手動で行う必要があります

85 / 363

85.

No.85
アプリケーションは、Application Load Balancer (ALB) の背後にある Amazon EC2 インスタンスで実行されます。DevOps エンジニアは、AWS CodeDeploy を使用して新しいバージョンをリリースしています。デプロイメントは AllowTraffic ライフサイクルイベント中に失敗しますが、失敗の原因はデプロイメントログに示されません。
原因は何でしょうか?

A. appspec.yml ファイルに、AllowTraffic ライフサイクルフックで実行される無効なスクリプトが含まれています。

B. デプロイメントを開始したユーザーには、ALB と対話するために必要な権限がありません。

C. ALB ターゲットグループに指定されたヘルスチェックが正しく構成されていません。

D. ALB ターゲットグループの一部である EC2 インスタンスに CodeDeploy エージェントがインストールされていません。

答え: C

説明:
答えは C です
こちらを参照してください: https://docs.aws.amazon.com/codedeploy/latest/userguide/troubleshooting-deployments.html#troubleshooting-deployments-allowtraffic-no-logs

86 / 363

86.

No.86
ある会社には 20 のサービスチームがあります。各サービスチームは、独自のマイクロサービスを担当しています。各サービスチームは、マイクロサービス用に個別の AWS アカウントと、192.168.0.0/22 CIDR ブロックを持つ VPC を使用しています。会社は、AWS アカウントを AWS Organizations で管理しています。
各サービスチームは、Application Load Balancer の背後にある複数の Amazon EC2 インスタンスでマイクロサービスをホストしています。マイクロサービスは、パブリックインターネットを介して相互に通信します。会社のセキュリティチームは、マイクロサービス間のすべての通信はプライベートネットワーク接続を介して HTTPS を使用する必要があり、パブリックインターネットを経由してはならないという新しいガイドラインを発行しました。
DevOps エンジニアは、これらの義務を果たし、各サービスチームの変更回数を最小限に抑えるソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS Organizations に新しい AWS アカウントを作成します。このアカウントに VPC を作成し、AWS Resource Access Manager を使用してこの VPC のプライベートサブネットを組織と共有します。共有プライベートサブネットを使用する新しいネットワークロードバランサー (NLB) と EC2 インスタンスを起動するようにサービスチームに指示します。マイクロサービス間の通信には NLB DNS 名を使用します。

B. 各マイクロサービス VPC にネットワークロードバランサー (NLB) を作成します。AWS PrivateLink を使用して、各 AWS アカウントに NLB の VPC エンドポイントを作成します。他の各 AWS アカウントで各 VPC エンドポイントへのサブスクリプションを作成します。マイクロサービス間の通信には VPC エンドポイント DNS 名を使用します。

C. 各マイクロサービス VPC にネットワークロードバランサー (NLB) を作成します。各マイクロサービス VPC 間に VPC ピアリング接続を作成します。ピアリングリンクを使用するには、各 VPC のルートテーブルを更新します。マイクロサービス間の通信には NLB DNS 名を使用します。

D. AWS Organizations で新しい AWS アカウントを作成します。このアカウントにトランジットゲートウェイを作成し、AWS Resource Access Manager を使用して組織とトランジットゲートウェイを共有します。各マイクロサービス VPC で、共有トランジットゲートウェイへのトランジットゲートウェイアタッチメントを作成します。トランジットゲートウェイを使用するには、各 VPC のルートテーブルを更新します。各マイクロサービス VPC にネットワークロードバランサー (NLB) を作成します。マイクロサービス間の通信には NLB DNS 名を使用します。

回答: B

説明:
B は正解です。異なる個別の AWS アカウントにある 20 のサービスチームすべてが同じ CIDR ブロックを使用しているため、CIDR が重複しています。

D は、トランジットゲートウェイを使用するために各 VPC のルートテーブルを更新する必要があるが、それらはすべて同じ CIDR ブロックを持っているため、続行できないと述べています。Arnaud92 リンクで共有されているように、トランジットゲートウェイを使用する前提条件は、「VPC 間で重複しない CIDR ブロック」です。

87 / 363

87.

No.87
Amazon EC2 インスタンスが VPC で実行されており、制限された Amazon S3 バケットからオブジェクトをダウンロードする必要があります。DevOps エンジニアがオブジェクトをダウンロードしようとすると、AccessDenied エラーが表示されます。
このエラーの原因として考えられるものは何ですか? (2 つ選択してください)。

A. S3 バケットのデフォルトの暗号化が有効になっています。

B. S3 バケットポリシーにエラーがあります。

C. オブジェクトが S3 Glacier に移動されています。

D. IAM ロールの設定にエラーがあります。

E. S3 のバージョン管理が有効になっています。

回答: BD

説明:
ただし、エラーではありません。設定ミスです。

88 / 363

88.

No.88
ある企業が、AWS 上の独自のエンタープライズインメモリデータストアにグリッドシステムを使用したいと考えています。このシステムは、Linux ベースのディストリビューションの複数のサーバーノードで実行できます。ノードが追加または削除されるたびに、システムはクラスター全体を再構成できる必要があります。ノードを追加または削除する場合、/etc/cluster/nodes.config ファイルを更新して、そのクラスターの現在のノードメンバーの IP アドレスをリストする必要があります。
会社は、クラスターに新しいノードを追加するタスクを自動化したいと考えています。
DevOps エンジニアは、これらの要件を満たすために何ができますか?

A. AWS OpsWorks Stacks を使用して、そのクラスターのサーバーノードをレイヤー化します。/etc/cluster/nodes.config ファイルのコンテンツを入力し、レイヤーの現在のメンバーを使用してサービスを再起動する Chef レシピを作成します。そのレシピを Configure ライフサイクルイベントに割り当てます。

B. ファイル nodes.config をバージョン管理に入れます。クラスターノードの Amazon EC2 タグ値に基づいて、AWS CodeDeploy デプロイ構成とデプロイグループを作成します。クラスターに新しいノードを追加する場合は、タグ付けされたすべてのインスタンスでファイルを更新し、バージョン管理でコミットします。新しいファイルをデプロイして、サービスを再起動します。

C. Amazon S3 バケットを作成し、/etc/cluster/nodes.config ファイルのバージョンをアップロードします。その S3 ファイルをポーリングして頻繁にダウンロードする crontab スクリプトを作成します。Monit や systemd などのプロセスマネージャーを使用して、新しいファイルが変更されたことが検出されたときにクラスターサービスを再起動します。クラスターにノードを追加するときは、ファイルの最新のメンバーを編集します。新しいファイルを S3 バケットにアップロードします。

D. クラスターの現在のセキュリティグループのすべてのメンバーを一覧表示し、クラスターに新しいインスタンスが追加されるたびに /etc/cluster/nodes.config ファイルを自動的に更新するユーザーデータスクリプトを作成します。

回答: A

説明:
構成管理ツールも使用します。この場合は Opsworks (Chef/Puppet) です。

89 / 363

89.

No.89
DevOps エンジニアは、オンプレミスデータを Amazon S3 バケットに移行するデータアーカイブプロジェクトに取り組んでいます。DevOps エンジニアは、1 か月以上経過したオンプレミスデータを Amazon S3 に段階的にアーカイブするスクリプトを開発します。Amazon S3 に転送されたデータは、オンプレミスの場所から削除されます。スクリプトは S3 PutObject 操作を使用します。
コードレビュー中に、DevOps エンジニアは、スクリプトが Amazon S3 にデータが正常にコピーされたかどうかを確認していないことに気付きました。DevOps エンジニアは、転送中にデータが破損しないようにスクリプトを更新する必要があります。スクリプトは、オンプレミスデータを削除する前に、MD5 チェックサムを使用してデータの整合性を確認する必要があります。
スクリプトのどのソリューションがこれらの要件を満たしますか? (2 つ選択してください)。

A. 返された応答で VersionId を確認します。返された VersionId を MD5 チェックサムと比較します。

B. Content-MD5 パラメータ内に MD5 チェックサムを含めます。オペレーション呼び出しの戻りステータスをチェックして、エラーが返されたかどうかを確認します。

C. タグ付けパラメータ内に URL クエリパラメータとしてチェックサムダイジェストを含めます。

D. 返されたレスポンスで ETag を確認します。返された ETag を MD5 チェックサムと比較します。

E. メタデータパラメータ内にチェックサムダイジェストを名前と値のペアとして含めます。アップロード後、S3 HeadObject オペレーションを使用してオブジェクトからメタデータを取得します。

回答: BD

説明:
B. 説明: S3 PutObject オペレーションを使用する場合、リクエストの Content-MD5 パラメータにオブジェクトの MD5 チェックサムを含めることができます。Amazon S3 はオブジェクトの MD5 チェックサムを計算し、提供されたチェックサムと比較します。チェックサムが一致しない場合、Amazon S3 はデータ整合性チェックが失敗したことを示すエラーレスポンスを返します。このようにして、データが破損することなく Amazon S3 に正常にコピーされたことを確認できます。

D. 説明: S3 PutObject オペレーションを使用すると、レスポンスに ETag が返されます。これは、Amazon S3 に保存されたオブジェクトの MD5 チェックサムです。アップロードを実行した後、返された ETag をローカルで計算した MD5 チェックサムと比較できます。一致した場合、データは破損することなく正常に転送されたことを意味します。一致しない場合は、データの整合性の問題を示しているため、適切なアクションを実行できます。

90 / 363

90.

No.90
ある会社では、AWS CodePipeline パイプラインを使用して、週に数回 Amazon API Gateway API に更新をデプロイしています。更新プロセスの一環として、会社は API Gateway コンソールから API の JavaScript SDK をエクスポートし、その SDK を Amazon S3 バケットにアップロードします。
会社は、S3 バケットをオリジンとして使用する Amazon CloudFront ディストリビューションを設定しました。その後、Web クライアントは CloudFront ディストリビューションのエンドポイントを使用して SDK をダウンロードします。DevOps エンジニアは、新しい API のデプロイ中に新しい SDK を自動的に使用できるようにするソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか。

A. API のデプロイ段階の直後に CodePipeline アクションを作成します。アクションを設定して AWS Lambda 関数を呼び出します。Lambda 関数を設定して、API Gateway から SDK をダウンロードし、SDK を S3 バケットにアップロードし、SDK パスの CloudFront 無効化を作成します。

B. API のデプロイ段階の直後に CodePipeline アクションを作成します。アクションを設定して、CodePipeline と API Gateway の統合を使用して SDK を Amazon S3 にエクスポートします。CodePipeline と Amazon S3 の統合を使用して SDK パスのキャッシュを無効化する別のアクションを作成します。

C. aws.apigateway からの UpdateStage イベントに反応する Amazon EventBridge ルールを作成します。AWS Lambda 関数を呼び出して、API Gateway から SDK をダウンロードし、SDK を S3 バケットにアップロードし、CloudFront API を呼び出して SDK パスの無効化を作成するようにルールを設定します。

D. aws.apigateway からの CreateDeployment イベントに反応する Amazon EventBridge ルールを作成します。 AWS Lambda 関数を呼び出して API Gateway から SDK をダウンロードし、SDK を S3 バケットにアップロードし、S3 API を呼び出して SDK パスのキャッシュを無効にするようにルールを設定します。

回答: A

説明:
A は正解です: <AWS CodePipeline パイプラインを使用する> ということは、CodePipeline が必要であることを意味します。

C と D: CodePipeline については言及されていません。

B: <API Gateway との CodePipeline 統合を使用して SDK を Amazon S3 にエクスポートするアクションを設定する>: codepipeline はタスクを実行するために他のツールを呼び出す必要があります。API Gateway との統合はありません。

91 / 363

91.

No.91
ある会社が、API 経由で受信した注文を処理する AWS Lambda 関数を開発しました。この会社は、AWS CodeDeploy を使用して、CI/CD パイプラインの最終段階として Lambda 関数をデプロイしています。
DevOps エンジニアは、デプロイ後数秒間、注文 API が断続的に失敗することに気づきました。調査の結果、DevOps エンジニアは、Lambda 関数が呼び出される前にデータベースの変更が完全に伝播していないことが原因であると考えています。
DevOps エンジニアは、これをどのように克服すればよいでしょうか。

A. トラフィックが新しいバージョンの Lambda 関数に流れる前に、必要なデータベースの変更をテストして待機する BeforeAllowTraffic フックを AppSpec ファイルに追加します。

B. 新しいバージョンの Lambda 関数が応答できるようにする前に、トラフィックが保留中のデータベースの変更を待機するようにする AfterAllowTraffic フックを AppSpec ファイルに追加します。

C. AppSpec ファイルに BeforeInstall フックを追加して、Lambda 関数の新しいバージョンをデプロイする前に、必要なデータベースの変更をテストして待機します。

D. AppSpec ファイルに ValidateService フックを追加して、着信トラフィックを検査し、データベースなどの依存サービスがまだ準備ができていない場合はペイロードを拒否します。

回答: A

説明:
私の調査では、Lambda デプロイ用の CodeDeploy AppSpec ifecycle イベントフックは 2 つしかありません。
BeforeAllowTraffic # トラフィックがデプロイされた Lambda 関数バージョンに移行する前にタスクを実行するために使用します。
AfterAllowTraffic # すべてのトラフィックがデプロイされた Lambda 関数バージョンに移行した後にタスクを実行するために使用します。

A: (はい) 準備ができるまでトラフィックをリダイレクトしない
B: (いいえ) 準備ができるまでトラフィックをブロックする
C: (いいえ) Lambda のイベントフックは該当なし
D: (いいえ) Lambda のイベントフックは該当なし

92 / 363

92.

No.92
ある会社では、Amazon EC2 インスタンスでアプリケーションをテストするために、単一の AWS アカウントを使用しています。この会社は、AWS アカウントで AWS Config をオンにし、restricted-ssh AWS Config マネージドルールを有効化しました。
この会社では、アカウント内のセキュリティグループが restricted-ssh ルールに準拠していない場合に、リアルタイムでカスタマイズされた通知を提供する自動監視ソリューションを必要としています。カスタマイズされた通知には、準拠していないセキュリティグループの名前と ID が含まれている必要があります。
DevOps エンジニアは、アカウントで Amazon Simple Notification Service (Amazon SNS) トピックを作成し、適切な担当者をトピックにサブスクライブします。
これらの要件を満たすために、DevOps エンジニアは次に何をすべきでしょうか?

A. restricted-ssh ルールの AWS Config 評価結果 NON_COMPLIANT に一致する Amazon EventBridge ルールを作成します。 EventBridge ルールの入力トランスフォーマーを設定します。EventBridge ルールを設定して、SNS トピックに通知を発行します。

B. AWS Config を設定して、restricted-ssh ルールのすべての評価結果を SNS トピックに送信します。SNS トピックのフィルターポリシーを設定して、通知に NON_COMPLIANT というテキストが含まれる通知のみをサブスクライバーに送信します。

C. Amazon EventBridge ルールを作成し、restricted-ssh ルールの AWS Config 評価結果が NON_COMPLIANT であることを確認します。EventBridge ルールを設定して、SNS トピックで AWS Systems Manager Run Command を呼び出し、通知をカスタマイズして SNS トピックに通知を発行します。

D. Amazon EventBridge ルールを作成し、AWS Config 評価結果が NON_COMPLIANT であることを確認します。restricted-ssh ルールの入力トランスフォーマーを設定します。EventBridge ルールを設定して、SNS トピックに通知を発行します。

回答: A

説明:
A は正解です: <カスタマイズされた通知を提供する自動監視ソリューションが必要> および <Amazon Simple Notification Service (Amazon SNS) トピックを作成> は、すでに SNS があることを意味します。eventbridge でアラームをトリガーし、SNS に通知を送信する必要があります
B: イベントブリッジについては言及されていません
C: SNS トピックで AWS Systems Manager Run Command を使用して通知をカスタマイズします。この手順は不要です
D: <すべての AWS Config 評価結果が NON_COMPLIAN に一致>: 制限付き SSH ルールのみで NON_COMPLIANT に一致する必要があります

93 / 363

93.

No.93
ある企業では、データとアプリケーションに対して常に 2 時間の RPO と 10 分の RTO が必要です。アプリケーションは、MySQL データベースと Amazon EC2 Web サーバーを使用します。開発チームには、フェイルオーバーと災害復旧の戦略が必要です。
これらの要件を満たすデプロイメント戦略の組み合わせはどれですか? (2 つ選択してください)

A. 複数のリージョンにまたがる 1 つのアベイラビリティーゾーンに Amazon Aurora クラスターを作成し、データストアとして使用します。災害が発生した場合は、Aurora の自動復旧機能を使用します。

B. 2 つのリージョンに Amazon Aurora グローバルデータベースを作成し、データストアとして使用します。障害が発生した場合は、セカンダリリージョンをアプリケーションのプライマリとして昇格します。

C. 複数のリージョンにまたがる Amazon Aurora マルチマスタークラスターを作成し、データストアとして使用します。ネットワークロードバランサーを使用して、異なるリージョンのデータベーストラフィックのバランスを取ります。

D. 2 つのリージョンにアプリケーションを設定し、両方のリージョンのアプリケーションロードバランサーを指す Amazon Route 53 フェイルオーバーベースのルーティングを使用します。ヘルスチェックを使用して、特定のリージョンの可用性を判断します。各リージョンの Auto Scaling グループを使用して、需要に基づいて容量を調整します。

E. 2 つのリージョンにアプリケーションを設定し、Application Load Balancer の背後にあるマルチリージョン Auto Scaling グループを使用して、需要に基づいて容量を管理します。災害が発生した場合は、Auto Scaling グループの必要なインスタンス数を調整して、フェイルオーバーリージョンのベースライン容量を増やします。

回答: BD

説明:
B と D は正解です。<フェイルオーバーと災害復旧の戦略が必要> は、グローバルテーブルまたは DB クラスターと Route53 フェイルオーバーポリシーを意味します
A と C: これらのオプションでは、Amazon Aurora クラスターを複数のリージョンにまたがることについて言及しています。これは正しくありません。クラスターは、リージョンではなく、複数の AZ にまたがることができます。複数のリージョンにまたがることができる唯一の Aurora ソリューションは、複数のクラスターを含むグローバルテーブルです。
E: Route 53 フェイルオーバーベースのルーティングについては言及されていません

94 / 363

94.

No.94
ある企業には、5 つの独立した AWS Lambda 関数で構成されるアプリケーションがあります。
DevOps エンジニアは、AWS CodePipeline と AWS CodeBuild を使用して、各 Lambda 関数を順番にビルド、テスト、パッケージ化、デプロイする CI/CD パイプラインを構築しました。パイプラインは Amazon EventBridge ルールを使用して、アプリケーションのソースコードに変更が加えられた後、パイプラインが可能な限り迅速に開始されるようにします。
数か月間パイプラインを使用した後、DevOps エンジニアはパイプラインの完了に時間がかかりすぎることに気付きました。
パイプラインの速度を最適に改善するには、DevOps エンジニアは何を実装する必要がありますか?

A. パイプライン内の CodeBuild プロジェクトを変更して、利用可能なネットワークスループットが高いコンピューティングタイプを使用します。

B. ビルドを並列実行するための対称マルチプロセッシング構成を含むカスタム CodeBuild 実行環境を作成します。

C. 同じ runOrder を指定して、各 Lambda 関数のアクションを並列実行するように CodePipeline 構成を変更します。

D. 各 CodeBuild プロジェクトを VPC 内で実行するように変更し、専用インスタンスを使用してスループットを向上させます。

回答: C

説明:
並列実行:
CodePipeline 設定を変更して、各 Lambda 関数のアクションを同じ runOrder で並列に実行することで、複数の Lambda 関数を同時にビルドしてデプロイできるようになり、パイプラインの全体的な速度が大幅に向上します。

RunOrder:
CodePipeline の runOrder パラメータを使用すると、アクションの実行順序を指定できます。複数のアクションの runOrder が同じ場合は、それらを並列に実行できます。

95 / 363

95.

No.95
ある会社では、AWS CloudFormation スタックを使用して、アプリケーションに更新をデプロイしています。スタックはさまざまなリソースで構成されています。リソースには、AWS Auto Scaling グループ、Amazon EC2 インスタンス、Application Load Balancer (ALB)、および独立したスタックを起動して維持するために必要なその他のリソースが含まれます。CloudFormation スタックの更新以外でのアプリケーションリソースの変更は許可されていません。
最近、この会社は AWS CLI を使用してアプリケーションスタックを更新しようとしました。スタックは更新に失敗し、次のエラーメッセージが表示されました。「エラー: デプロイメントと CloudFormation スタックのロールバックの両方が失敗しました。次のリソースの更新に失敗したため、デプロイメントは失敗しました: [AutoScalingGroup]。」
スタックのステータスは UPDATE_ROLLBACK_FAILED のままです。
この問題を解決するには、どのソリューションを使用しますか?

A. ALB 用に設定されているサブネットマッピングを更新します。aws cloudformation update-stack-set AWS CLI コマンドを実行します。

B. スタックを更新するために必要なアクセス許可を付与して、IAM ロールを更新します。 aws cloudformation continue-update-rollback AWS CLI コマンドを実行します。

C. アカウントの EC2 インスタンス数のクォータ増加のリクエストを送信します。aws cloudformation cancel-update-stack AWS CLI コマンドを実行します。

D. Auto Scaling グループリソースを削除します。aws cloudformation rollback-stack AWS CLI コマンドを実行します。

回答: B

説明:
https://repost.aws/knowledge-center/cloudformation-update-rollback-failed
更新が失敗した後にスタックが UPDATE_ROLLBACK_FAILED 状態で停止している場合、スタックに対して実行できるアクションは ContinueUpdateRollback または DeleteStack 操作のみです。

96 / 363

96.

No.96
ある会社が Amazon EC2 インスタンスを使用する新しいアプリケーションをデプロイしています。この会社には、アプリケーションログと AWS アカウント API アクティビティをクエリするソリューションが必要です。
これらの要件を満たすソリューションはどれですか?

A. Amazon CloudWatch エージェントを使用して、EC2 インスタンスから Amazon CloudWatch Logs にログを送信します。AWS CloudTrail を設定して、API ログを Amazon S3 に配信します。CloudWatch を使用して、両方のログセットをクエリします。

B. Amazon CloudWatch エージェントを使用して、EC2 インスタンスから Amazon CloudWatch Logs にログを送信します。AWS CloudTrail を設定して、API ログを CloudWatch Logs に配信します。CloudWatch Logs Insights を使用して、両方のログセットをクエリします。

C. Amazon CloudWatch エージェントを使用して、EC2 インスタンスから Amazon Kinesis にログを送信します。AWS CloudTrail を設定して、API ログを Kinesis に配信します。Kinesis を使用して、データを Amazon Redshift にロードします。Amazon Redshift を使用して、両方のログセットをクエリします。

D. Amazon CloudWatch エージェントを使用して、EC2 インスタンスから Amazon S3 にログを送信します。AWS CloudTrail を使用して、API ログを Amazon S3 に配信します。Amazon Athena を使用して、Amazon S3 の両方のログセットをクエリします。

回答: B

説明:
B が正解です
A - CloudWatch はクエリツールではないため、誤りです。
C - CloudWatch エージェントはログを直接 Kinesis に送信できないため、誤りです。CloudWatch ログから送信する必要があります
D - CloudWatch エージェントはログを直接 S3 に送信できないため、誤りです。CloudWatch ログから firehorse へ、そして S3 へ送信する必要があります

97 / 363

97.

No.97
ある企業は、EC2 インスタンスのセキュリティを確保したいと考えています。インスタンスに新しい脆弱性が見つかった場合は通知を受け取り、インスタンスのすべてのログインアクティビティの監査証跡も取得したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. AWS Systems Manager を使用して、EC2 インスタンスの脆弱性を検出します。Amazon Kinesis Agent をインストールして、システムログをキャプチャし、Amazon S3 に配信します。

B. AWS Systems Manager を使用して、EC2 インスタンスの脆弱性を検出します。Systems Manager Agent をインストールして、システムログをキャプチャし、CloudTrail コンソールでログインアクティビティを表示します。

C. Amazon CloudWatch を設定して、EC2 インスタンスの脆弱性を検出します。AWS Config デーモンをインストールして、システムログをキャプチャし、AWS Config コンソールで表示します。

D. Amazon Inspector を設定して、EC2 インスタンスの脆弱性を検出します。Amazon CloudWatch Agent をインストールして、システムログをキャプチャし、Amazon CloudWatch Logs で記録します。

回答: D

説明:
Aamzon Inspector は、Amazon EC2、AWS Lambda 関数、Amazon ECR などの AWS ワークロードで、ソフトウェアの脆弱性と意図しないネットワーク露出をほぼリアルタイムで検出します。

98 / 363

98.

No.98
ある会社が Auto Scaling グループの Amazon EC2 インスタンスでアプリケーションを実行しています。最近、EC2 インスタンスが正常に起動しない問題が発生し、サポートチームが問題を発見するまでに数時間かかりました。サポートチームは、EC2 インスタンスが正常に起動しない場合は常に電子メールで通知されることを希望しています。
これを実現するには、どのアクションを実行すればよいですか?

A. Auto Scaling グループにヘルスチェックを追加して、インスタンスのステータスが損なわれるたびに AWS Lambda 関数を呼び出します。

B. インスタンスの起動に失敗するたびに Amazon SNS トピックに通知を送信するように Auto Scaling グループを構成します。

C. AttachInstances Auto Scaling API 呼び出しが失敗したときに AWS Lambda 関数を呼び出す Amazon CloudWatch アラームを作成します。

D. Amazon EC2 でステータスチェックアラームを作成し、ステータスチェックの失敗が発生するたびに Amazon SNS トピックに通知を送信します。

回答: B

説明:
おそらく B:
https://aws.amazon.com/blogs/aws/auto-scaling-notifications-recurrence-and-more-control/
"EC2_INSTANCE_LAUNCH_ ERROR"

99 / 363

99.

No.99
ある会社では、AWS Organizations を使用して AWS アカウントを一元管理しています。この会社は、AWS CloudFormation StackSets を使用して各メンバーアカウントで AWS Config を有効にしています。この会社は、AWS Config の Organizations で信頼されたアクセスを設定し、メンバーアカウントを AWS Config の委任管理者アカウントとして設定しています。
DevOps エンジニアは、新しいセキュリティポリシーを実装する必要があります。このポリシーでは、現在および将来のすべての AWS メンバーアカウントに、中央アカウントから管理される修復アクションを含む AWS Config ルールの共通ベースラインの使用を義務付ける必要があります。メンバーアカウントにアクセスできる管理者以外のユーザーは、各メンバーアカウントに展開されているこの AWS Config ルールの共通ベースラインを変更できないようにする必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS Config ルールと修復アクションを含む CloudFormation テンプレートを作成します。CloudFormation StackSets を使用して、Organizations 管理アカウントからテンプレートを展開します。

B. AWS Config ルールと修復アクションを含む AWS Config 適合パックを作成します。 CloudFormation StackSets を使用して、Organizations 管理アカウントからパックをデプロイします。

C. AWS Config ルールと修復アクションを含む CloudFormation テンプレートを作成します。AWS Config を使用して、委任された管理者アカウントからテンプレートをデプロイします。

D. AWS Config ルールと修復アクションを含む AWS Config 適合パックを作成します。AWS Config を使用して、委任された管理者アカウントからパックをデプロイします。

回答: D

説明:
オプション D. AWS Config ルールと修復アクションを含む AWS Config 適合パックを作成します。AWS Config を使用して、委任された管理者アカウントからパックをデプロイします。

適合パックは、アカウントとリージョン、および AWS Organizations の組織全体で単一のエンティティとして簡単にデプロイできる AWS Config ルールと修復アクションのコレクションです。これらのパックは中央のアカウントから作成および管理され、アカウントの安全で準拠した姿勢を確立するのに役立ちます。管理者以外のユーザーは、適合パック内の AWS Config ルールを表示できますが、変更することはできません。したがって、AWS Config 適合パックは、必要な制御およびセキュリティポリシーを実現するのに適しています。

その他のオプションは、Config ルールの導入には実行可能ですが、メンバーアカウントの管理者以外のユーザーによるベースライン AWS Config ルールの変更を本質的に防止するものではありません。

100 / 363

100.

No.100
DevOps エンジニアは、Amazon EC2 で実行される大規模な商用 Web サイトを管理しています。この Web サイトでは、Amazon Kinesis Data Streams を使用して Web ログを収集および処理しています。DevOps エンジニアは、Amazon EC2 で実行される Kinesis コンシューマーアプリケーションを管理しています。
データが突然増加すると、Kinesis コンシューマーアプリケーションが遅れ、レコードが処理される前に Kinesis データストリームがレコードをドロップします。DevOps エンジニアは、ストリーム処理を改善するソリューションを実装する必要があります。
これらの要件を最も効率的に満たすソリューションはどれですか。

A. Kinesis コンシューマーアプリケーションを変更して、ログを Amazon S3 に永続的に保存します。Amazon EMR を使用して、Amazon S3 でデータを直接処理し、顧客の洞察を導き出します。結果を Amazon S3 に保存します。

B. Amazon CloudWatch GetRecords.IteratorAgeMilliseconds メトリックに基づいて EC2 インスタンスを追加して、Kinesis コンシューマーアプリケーションを水平方向に拡張します。Kinesis データストリームの保持期間を延長します。

C. Kinesis コンシューマーアプリケーションを AWS Lambda 関数として実行するように変換します。Lambda 関数がデータストリームを処理するためのイベントソースとして Kinesis データストリームを構成します。

D. Kinesis データストリームのシャード数を増やして、全体的なスループットを向上させ、コンシューマーアプリケーションがデータをより速く処理できるようにします。

回答: B

説明:
答えは B です。理由:
数時間前に、DOP-C02 試験を終えたばかりです。
私のスコアは 1000 ポイントです。
この質問が出ました。B を選択します。

101 / 363

101.

No.101
ある会社が最近、AWS Organizations の新しい組織に新しい AWS Control Tower ランディングゾーンを作成しました。ランディングゾーンは、AWS Foundations の Center for Internet Security (CIS) ベンチマークに準拠している必要があります。
会社のセキュリティチームは、AWS Security Hub を使用してすべてのアカウントのコンプライアンスを確認したいと考えています。集約された Security Hub の検出結果を表示できるのは、セキュリティチームのみです。さらに、特定のユーザーは、組織内の自分のアカウントの検出結果を表示できる必要があります。アカウントの作成後、すべてのアカウントを Security Hub に登録する必要があります。
どの手順の組み合わせが最も自動化された方法でこれらの要件を満たしますか? (3 つ選択してください)。

A. 組織の管理アカウントで Security Hub の信頼できるアクセスをオンにします。AWS Control Tower を使用して新しいセキュリティアカウントを作成します。新しいセキュリティアカウントを Security Hub の委任管理者アカウントとして設定します。新しいセキュリティアカウントで、Security Hub に AWS Foundations 標準の CIS ベンチマークを提供します。

B. 組織の管理アカウントで Security Hub の信頼できるアクセスをオンにします。管理アカウントから、Security Hub に CIS Benchmarks for AWS Foundations 標準を提供します。

C. 必要な権限を含む AWS IAM Identity Center (AWS Single Sign-On) 権限セットを作成します。CreateAccountAssignment API オペレーションを使用して、セキュリティチームのユーザーを権限セットと委任されたセキュリティアカウントに関連付けます。

D. セキュリティチームに所属していないユーザーによる Security Hub へのアクセスを明示的に拒否する SCP を作成します。

E. Security Hub で、自動有効化をオンにします。

F. 組織の管理アカウントで、CreateManagedAccount イベントに反応する Amazon EventBridge ルールを作成します。Security Hub CreateMembers API オペレーションを使用して Security Hub に新しいアカウントを追加する AWS Lambda 関数を作成します。Lambda 関数を呼び出すように EventBridge ルールを設定します。

回答: ACE
説明:
回答が ACE である理由:
数時間前に DOP-C02 試験を終えたばかりです。
私のスコアは 1000 ポイントです。
この質問が出てきましたが、私はACEを選びます。

102 / 363

102.

No.102
ある会社が、AWS Organizations 内の組織内にある AWS アカウントでアプリケーションを実行しています。アプリケーションは Amazon EC2 インスタンスと Amazon S3 を使用します。
この会社は、既存の AWS アカウントと今後作成するすべての AWS アカウントで、侵害の可能性がある EC2 インスタンス、疑わしいネットワークアクティビティ、異常な API アクティビティを検出したいと考えています。会社がこれらのイベントのいずれかを検出すると、既存の Amazon Simple Notification Service (Amazon SNS) トピックを使用して、調査と修復のために運用サポートチームに通知を送信したいと考えています。
AWS のベストプラクティスに従って、これらの要件を満たすソリューションはどれですか?

A. 組織の管理アカウントで、AWS アカウントを Amazon GuardDuty 管理者アカウントとして設定します。GuardDuty 管理者アカウントで、会社の既存の AWS アカウントをメンバーとして GuardDuty に追加します。GuardDuty 管理者アカウントで、GuardDuty イベントに一致し、一致するイベントを SNS トピックに転送するイベントパターンを含む Amazon EventBridge ルールを作成します。

B. 組織の管理アカウントで、Amazon GuardDuty を設定して、招待によって新しく作成された AWS アカウントを追加し、既存の AWS アカウントに招待を送信します。GuardDuty の招待を受け入れ、Amazon EventBridge ルールを作成する AWS CloudFormation スタックセットを作成します。GuardDuty イベントに一致し、一致するイベントを SNS トピックに転送するイベントパターンを使用してルールを設定します。組織内のすべての AWS アカウントにデプロイするように CloudFormation スタックセットを設定します。

C. 組織の管理アカウントで、AWS CloudTrail 組織証跡を作成します。組織内のすべての AWS アカウントで組織証跡をアクティブ化します。組織内の各アカウントで VPC フローログを有効にする SCP を作成します。組織用に AWS Security Hub を設定します。Security Hub イベントに一致し、一致するイベントを SNS トピックに転送するイベントパターンを使用して、Amazon EventBridge ルールを作成します。

D. 組織の管理アカウントで、AWS アカウントを AWS CloudTrail 管理者アカウントとして設定します。CloudTrail 管理者アカウントで、CloudTrail 組織証跡を作成します。会社の既存の AWS アカウントを組織の証跡に追加します。組織内の各アカウントで VPC フローログを有効にする SCP を作成します。組織用に AWS Security Hub を設定します。Security Hub イベントに一致し、一致するイベントを SNS トピックに転送するイベントパターンを含む Amazon EventBridge ルールを作成します。

回答: A

説明:
A です:
このソリューションは、すべての要件を満たしています:

潜在的に侵害された EC2 インスタンス、疑わしいネットワークアクティビティ、異常な API アクティビティを検出: Amazon GuardDuty は、悪意のあるまたは許可されていない動作を継続的に監視する脅威検出サービスです。AWS CloudTrail、Amazon VPC フローログ、DNS ログからのイベントを分析して、そのようなアクティビティを検出します。

運用サポートチームに通知を送信: GuardDuty の検出結果に一致する Amazon EventBridge ルールを作成し、それを SNS トピックに転送すると、疑わしいアクティビティが検出されるたびに通知を生成できます。

将来の AWS アカウントをカバー: AWS Organizations で GuardDuty 管理者アカウントを指定すると、既存および将来のすべての AWS アカウントで GuardDuty を管理できます。これにより、組織で作成された新しいアカウントはすべて GuardDuty によって自動的にカバーされるようになります。

103 / 363

103.

No.103
ある会社の DevOps エンジニアは、マルチアカウント環境で作業しています。この会社では、AWS Transit Gateway を使用して、すべての送信トラフィックをネットワーク運用アカウントにルーティングしています。ネットワーク運用アカウントでは、すべてのアカウントトラフィックは、トラフィックがインターネットゲートウェイに送られる前に、検査のためにファイアウォールアプライアンスを通過します。
ファイアウォールアプライアンスは、ログを Amazon CloudWatch Logs に送信し、イベントの重大度として CRITICAL、HIGH、MEDIUM、LOW、INFO を含めます。セキュリティチームは、CRITICAL イベントが発生した場合にアラートを受信したいと考えています。
これらの要件を満たすために、DevOps エンジニアは何をすべきでしょうか?

A. ファイアウォールの状態を監視するために、Amazon CloudWatch Synthetics カナリアを作成します。ファイアウォールが CRITICAL 状態に達した場合、または CRITICAL イベントをログに記録した場合は、CloudWatch アラームを使用して Amazon Simple Notification Service (Amazon SNS) トピックに通知を発行します。セキュリティチームのメールアドレスをトピックに登録します。

B. CRITICAL イベントの検索を使用して、Amazon CloudWatch メトリクスフィルターを作成します。検出結果のカスタムメトリクスを公開します。カスタムメトリクスに基づく CloudWatch アラームを使用して、Amazon Simple Notification Service (Amazon SNS) トピックに通知を公開します。セキュリティチームのメールアドレスをトピックに登録します。

C. ネットワークオペレーションアカウントで Amazon GuardDuty を有効にします。フローログを監視するように GuardDuty を設定します。CRITICAL である GuardDuty イベントによって呼び出される Amazon EventBridge イベントルールを作成します。Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとして定義します。セキュリティチームのメールアドレスをトピックに登録します。

D. AWS Firewall Manager を使用して、すべてのアカウントに一貫したポリシーを適用します。CRITICAL である Firewall Manager イベントによって呼び出される Amazon EventBridge イベントルールを作成します。Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとして定義します。セキュリティチームのメールアドレスをトピックに登録します。

回答: B

説明:
ファイアウォールアプライアンスからのログは、すでに Amazon CloudWatch Logs に送信されています。したがって、指定された要件を満たすための最適な方法は、CRITICAL イベントの検索を使用して Amazon CloudWatch メトリックフィルターを作成することです

104 / 363

104.

No.104
会社がチームに分かれています。各チームには AWS アカウントがあり、すべてのアカウントは AWS Organizations 内の組織内にあります。各チームは、AWS アカウントに対する完全な管理権限を保持する必要があります。また、各チームは、会社が使用を承認した AWS サービスのみにアクセスできる必要があります。AWS サービスは、リクエストと承認のプロセスを通じて承認を得る必要があります。
DevOps エンジニアは、これらの要件を満たすためにアカウントをどのように構成する必要がありますか?

A. AWS CloudFormation StackSets を使用して、各アカウントで IAM ポリシーをプロビジョニングし、制限された AWS サービスへのアクセスを拒否します。各アカウントで、ポリシーがアカウントの IAM プリンシパルにアタッチされるように AWS Config ルールを構成します。

B. AWS Control Tower を使用して、組織内の OU にアカウントをプロビジョニングします。 AWS Control Tower を設定して、AWS IAM Identity Center (AWS シングルサインオン) を有効にします。IAM Identity Center を設定して、管理アクセスを提供します。制限された AWS サービスのユーザーロールに拒否ポリシーを含めます。

C. すべてのアカウントを組織内の新しい最上位 OU の下に配置します。制限された AWS サービスへのアクセスを拒否する SCP を作成します。SCP を OU にアタッチします。

D. 承認された AWS サービスへのアクセスのみを許可する SCP を作成します。SCP を組織のルート OU にアタッチします。FullAWSAccess SCP を組織のルート OU から削除します。

回答: D

説明:
A = ローカルアカウント管理者はこれを変更できます。
B = ローカル管理者には管理者権限があります。複雑です。
C = その他すべてに対する暗黙の許可 = 要件に違反します。
D = 各サービスを承認したいので、ホワイトリストベースの SCP 設定にする必要があります。
回答は D です。

105 / 363

105.

No.105
DevOps エンジニアが AWS CloudFormation カスタムリソースを使用して AD Connector をセットアップしました。AWS Lambda 関数が実行され、AD Connector が作成されましたが、CloudFormation は CREATE_IN_PROGRESS から CREATE_COMPLETE に移行していません。
エンジニアはこの問題を解決するためにどのアクションを実行する必要がありますか?

A. Lambda 関数コードが正常に終了したことを確認します。

B. Lambda 関数コードが事前署名された URL に応答を返すことを確認します。

C. Lambda 関数 IAM ロールにスタック ARN に対する cloudformation:UpdateStack 権限があることを確認します。

D. Lambda 関数 IAM ロールに AWS アカウントに対する ds:ConnectDirectory 権限があることを確認します。

回答: B

説明:
B. Lambda 関数コードが事前署名された URL に応答を返すことを確認します。
説明:
CloudFormation でカスタムリソースを使用する場合、リソース作成の処理を担当する AWS Lambda 関数は、CloudFormation によって提供される署名済み URL に応答を送信する必要があります。この応答は、カスタムリソース作成プロセスの完了ステータスを CloudFormation に通知します。

この場合、Lambda 関数は AD コネクタを正常に作成したため、エンジニアは Lambda 関数コードに署名済み URL に応答を送信するロジックが含まれていることを確認する必要があります。この応答には、成功ステータスと、作成された AD コネクタの ARN やその他の詳細などの関連データが示されている必要があります。

106 / 363

106.

No.106
ある会社では、ソースコード管理に AWS CodeCommit を使用しています。開発者は、さまざまな機能ブランチに変更を適用し、変更が本番環境の準備ができたら、プルリクエストを作成してそれらの変更をメインブランチに移動します。
開発者は、変更をメインブランチに直接プッシュできないようにする必要があります。会社では、開発者の IAM ロールに AWSCodeCommitPowerUser 管理ポリシーを適用し、開発者は AWS アカウントのすべてのリポジトリでメインブランチに直接変更をプッシュできるようになりました。
開発者がメインブランチに直接変更をプッシュする機能を制限するには、会社として何をすべきでしょうか?

A. GitPush および PutFile アクションの拒否ルールを含む追加のポリシーを作成します。ポリシーステートメントに、メインブランチを参照する条件で特定のリポジトリに対する制限を含めます。

B. IAM ポリシーを削除し、AWSCodeCommitReadOnly マネージドポリシーを追加します。ポリシーステートメントに、メインブランチを参照する条件で特定のリポジトリに対する GitPush および PutFile アクションの許可ルールを追加します。

C. IAM ポリシーを変更します。ポリシーステートメントに、メインブランチを参照する条件で特定のリポジトリに対する GitPush および PutFile アクションの拒否ルールを含めます。

D. GitPush および PutFile アクションの許可ルールを含む追加のポリシーを作成します。ポリシーステートメントに、機能ブランチを参照する条件で特定のリポジトリに対する制限を含めます。

回答: A

説明:

A は可能です!
C が正しいと思われる場合は、AWS によって管理されるポリシーは変更できないことを知っておく必要があります。

107 / 363

107.

No.107
ある会社では、Application Load Balancer (ALB) の背後にある Amazon EC2 インスタンスで実行される Web アプリケーションを管理しています。EC2 インスタンスは、複数のアベイラビリティーゾーンにまたがる Auto Scaling グループで実行されます。アプリケーションは、Amazon RDS for MySQL DB インスタンスを使用してデータを保存しています。この会社は、ALB を指すエイリアスレコードを使用して Amazon Route 53 を設定しました。
会社の新しいガイドラインでは、RTO が 4 時間、RPO が 15 分の、地理的に隔離された災害復旧 (DR) サイトが必要です。
アプリケーションスタックへの変更を最小限に抑えながら、これらの要件を満たす DR 戦略はどれですか?

A. 別のアベイラビリティーゾーンで Amazon RDS 以外のすべてのレプリカ環境を起動します。新しいアベイラビリティーゾーンに RDS リードレプリカを作成し、新しいスタックがローカル RDS DB インスタンスを指すように構成します。ヘルスチェックを使用してフェイルオーバールーティングポリシーを構成することで、新しいスタックを Route 53 レコードセットに追加します。

B. 別の AWS リージョンで Amazon RDS 以外のすべてのレプリカ環境を起動します。新しいリージョンに RDS リードレプリカを作成し、新しいスタックをローカル RDS DB インスタンスを指すように構成します。ヘルスチェックを使用してレイテンシールーティングポリシーを構成し、新しいスタックを Route 53 レコードセットに追加します。

C. 別の AWS リージョンで Amazon RDS 以外のすべてのレプリカ環境を起動します。停止が発生した場合は、プライマリリージョンから DR リージョンに最新の RDS スナップショットをコピーして復元します。Route 53 レコードセットを調整して、DR リージョンの ALB を指します。

D. 別の AWS リージョンで Amazon RDS 以外のすべてのレプリカ環境を起動します。新しいリージョンに RDS リードレプリカを作成し、新しい環境をローカル RDS DB インスタンスを指すように構成します。ヘルスチェックを使用してフェイルオーバールーティングポリシーを構成し、新しいスタックを Route 53 レコードセットに追加します。停止が発生した場合は、リードレプリカをプライマリに昇格します。

回答: D

説明:
D が正解です。フェイルオーバーポリシーは、トラフィックをバックアップリージョンの ALB にルーティングします。

108 / 363

108.

No.108
大企業が AWS にウェブアプリケーションをデプロイしています。アプリケーションは、Application Load Balancer の背後にある Amazon EC2 インスタンスで実行されます。インスタンスは、複数のアベイラビリティゾーンにまたがる Auto Scaling グループで実行されます。アプリケーションは、Amazon RDS for Oracle DB インスタンスと Amazon DynamoDB にデータを格納します。開発、テスト、および本番用に別々の環境があります。
デプロイ中にパスワード認証情報を取得する最も安全で柔軟な方法は何ですか?

A. AWS Systems Manager SecureString パラメータからアクセスキーを取得して AWS サービスにアクセスします。Systems Manager SecureString パラメータからデータベース認証情報を取得します。

B. EC2 IAM ロールを使用して EC2 インスタンスを起動して AWS サービスにアクセスします。AWS Secrets Manager からデータベース認証情報を取得します。

C. AWS Systems Manager プレーンテキストパラメータからアクセスキーを取得して AWS サービスにアクセスします。Systems Manager SecureString パラメータからデータベース認証情報を取得します。

D. EC2 IAM ロールを使用して EC2 インスタンスを起動して AWS サービスにアクセスします。データベースのパスワードを、アプリケーションの成果物とともに暗号化された構成ファイルに保存します。

回答: B

説明:
B が正解です。<パスワード認証情報を取得する> は、AWS SSM とシークレットマネージャーを検討する必要があることを意味します。ただし、<最も安全な> は、シークレットマネージャーを選択する必要があることを意味します。シークレットマネージャーはコストはかかりますが、より安全です
A、C、D: シークレットマネージャーについて言及されていません

109 / 363

109.

No.109
セキュリティチームは、会社の AWS アカウントで機密性の高いセキュリティ問題を検出するために AWS CloudTrail を利用しています。DevOps エンジニアは、AWS アカウントで無効になっている CloudTrail を自動的に修復するソリューションを必要としています。
CloudTrail ログ配信のダウンタイムを最小限に抑えるソリューションは何ですか?

A. CloudTrail StopLogging イベントの Amazon EventBridge ルールを作成します。AWS SDK を使用して、StopLogging が呼び出されたリソースの ARN で StartLogging を呼び出す AWS Lambda 関数を作成します。Lambda 関数の ARN を EventBridge ルールのターゲットとして追加します。

B. AWS 管理の CloudTrail 対応 AWS Config ルールをデプロイし、1 時間の定期的な間隔を設定します。AWS Config ルールのコンプライアンス変更の Amazon EventBridge ルールを作成します。AWS SDK を使用して、StopLogging が呼び出されたリソースの ARN で StartLogging を呼び出す AWS Lambda 関数を作成します。 Lambda 関数の ARN を EventBridge ルールのターゲットとして追加します。

C. 5 分ごとにスケジュールされたイベントの Amazon EventBridge ルールを作成します。AWS SDK を使用して AWS アカウントの CloudTrail 証跡で StartLogging を呼び出す AWS Lambda 関数を作成します。Lambda 関数の ARN を EventBridge ルールのターゲットとして追加します。

D. 5 分ごとに実行されるスクリプトを使用して t2.nano インスタンスを起動し、AWS SDK を使用して現在のアカウントの CloudTrail をクエリします。CloudTrail 証跡が無効になっている場合は、スクリプトで証跡を再度有効にします。

回答: A

説明:
A.
古いが貴重なリンク:
https://aws.amazon.com/blogs/mt/monitor-changes-and-auto-enable-logging-in-aws-cloudtrail/

110 / 363

110.

No.110
ある企業は AWS CodeArtifact を使用して Python パッケージを一元的に保存しています。 CodeArtifact リポジトリは、次のリポジトリポリシーで構成されます:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"codeartifact:DescribePackageVersion",
"codeartifact:DescribeRepository",
"codeartifact:GetPackageVersionReadme",
"codeartifact:GetRepositoryEndpoint",
"codeartifact:ListPackageVersionAssets",
"codeartifact:ListPackageVersionDependencies",
"codeartifact:ListPackageVersions",
"codeartifact:ListPackages",
"codeartifact:ReadFromRepository"
],
"Effect": "Allow",
"Resource": "*",
"Principal": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-xxxxxxxxxxx"
]
}
}
}
]
}

開発チームは、AWS Organizations の組織内のアカウントで新しいプロジェクトを構築しています。開発チームは、組織の CodeArtifact リポジトリにすでに保存されている Python ライブラリを使用したいと考えています。開発チームは、AWS CodePipeline と AWS CodeBuild を使用して新しいアプリケーションを構築します。開発チームがアプリケーションの構築に使用する CodeBuild ジョブは、VPC で実行するように設定されています。コンプライアンス要件のため、VPC にはインターネット接続がありません。
開発チームは、CodeArtifact の VPC エンドポイントを作成し、CodeBuild buildspec.yaml ファイルを更新します。ただし、開発チームはリポジトリから Python ライブラリをダウンロードできません。
開発チームが CodeArtifact を使用できるようにするために、DevOps エンジニアが実行する必要がある手順の組み合わせはどれですか? (2 つ選択してください)。

A. Amazon S3 ゲートウェイエンドポイントを作成します。CodeBuild ジョブを実行しているサブネットのルートテーブルを更新します。

B. リポジトリポリシーのプリンシパルステートメントを更新して、CodeBuild プロジェクトが使用するロールの ARN を含めます。

C. AWS Resource Access Manager (AWS RAM) を使用して、CodeArtifact リポジトリを組織と共有します。

D. CodeBuild プロジェクトが使用するロールを更新して、ロールに CodeArtifact リポジトリを使用するための十分な権限が付与されるようにします。

E. リポジトリをホストするアカウントを、組織内の CodeArtifact の委任管理者として指定します。

回答: AD

説明:
次の理由から、答えは AD だと思います:
「AWS CodeArtifact は複数のアベイラビリティーゾーンで動作し、アーティファクトデータとメタデータを Amazon S3 と Amazon DynamoDB に保存します。暗号化されたデータは、複数の施設と各施設の複数のデバイスに冗長的に保存されるため、可用性と耐久性が高くなります。」
https://aws.amazon.com/codeartifact/features/
インターネット接続がない場合、S3 にアクセスするにはゲートウェイエンドポイントが必要になります。

111 / 363

111.

No.111
ある会社では、一連の個別の Amazon CloudFormation テンプレートを使用して、マルチリージョンアプリケーションをデプロイしています。これらのテンプレートは、特定の順序でデプロイする必要があります。この会社は、テンプレートに予想よりも多くの変更を加えており、新しいテンプレートをより効率的にデプロイしたいと考えています。さらに、データエンジニアリングチームには、テンプレートのすべての変更を通知する必要があります。
これらの目標を達成するには、会社が何をすべきでしょうか?

A. AWS Lambda 関数を作成し、必要な順序で CloudFormation テンプレートをデプロイします。スタックポリシーを使用して、データエンジニアリングチームに通知します。

B. CloudFormation テンプレートを Amazon S3 でホストします。Amazon S3 イベントを使用して、CloudFormation の更新と Amazon SNS 通知を直接トリガーします。

C. CloudFormation StackSets を実装し、ドリフト検出を使用して、データエンジニアリングチームへの更新アラートをトリガーします。

D. デプロイに CloudFormation のネストされたスタックとスタックセットを活用します。Amazon SNS を使用して、データエンジニアリングチームに通知します。

回答: D

説明:
回答は D です。理由:
数時間前に、DOP-C02 試験を終えたばかりです。
私のスコアは 1000 ポイントです。
この質問が出ました。D を選択します。

112 / 363

112.

No.112
DevOps エンジニアが CI/CD パイプラインを実装し、Web アプリケーションをプロビジョニングする AWS CloudFormation テンプレートをデプロイしました。Web アプリケーションは、Application Load Balancer (ALB)、ターゲットグループ、Amazon Linux 2 AMI を使用する起動テンプレート、Amazon EC2 インスタンスの Auto Scaling グループ、セキュリティグループ、および Amazon RDS for MySQL データベースで構成されています。起動テンプレートには、アプリケーションをインストールして起動するスクリプトを指定するユーザーデータが含まれています。
アプリケーションの初期デプロイは成功しました。DevOps エンジニアは、ユーザーデータを使用してアプリケーションのバージョンを更新するために変更を加えました。CI/CD パイプラインは、テンプレートの新しいバージョンをデプロイしました。ただし、ALB のヘルスチェックが失敗しています。ヘルスチェックにより、すべてのターゲットが異常とマークされました。
調査中、DevOps エンジニアは、CloudFormation スタックのステータスが UPDATE_COMPLETE になっていることに気付きました。ただし、DevOps エンジニアが EC2 インスタンスの 1 つに接続して /var/log/messages を確認すると、Apache Web サーバーが構成エラーのために正常に起動できなかったことに気付きました。
DevOps エンジニアは、ユーザーデータの実行が正常に完了しなかった場合に CloudFormation のデプロイメントが失敗することをどのように確認できますか?

A. cfn-signal ヘルパースクリプトを使用して、CloudFormation に成功または失敗を通知します。CloudFormation テンプレート内で WaitOnResourceSignals 更新ポリシーを使用します。更新ポリシーに適切なタイムアウトを設定します。

B. UnhealthyHostCount メトリックの Amazon CloudWatch アラームを作成します。ターゲットグループに適切なアラームしきい値を含めます。CloudFormation に成功または失敗を通知するターゲットとして、Amazon Simple Notification Service (Amazon SNS) トピックを作成します。

C. AWS::AutoScaling::LifecycleHook リソースを使用して、Auto Scaling グループにライフサイクルフックを作成します。CloudFormation に成功または失敗を通知するためのターゲットとして、Amazon Simple Notification Service (Amazon SNS) トピックを作成します。ライフサイクルフックに適切なタイムアウトを設定します。

D. Amazon CloudWatch エージェントを使用して、cloud-init ログをストリーミングします。適切な呼び出しタイムアウトを持つ AWS Lambda 関数を含むサブスクリプションフィルターを作成します。SignalResource API オペレーションを使用して CloudFormation に成功または失敗を通知するように Lambda 関数を設定します。

回答: A

説明:
ユーザーデータスクリプトが正常に終了しなかった場合に CloudFormation のデプロイが失敗するようにするには、AWS CloudFormation の CreationPolicy、cfn-signal、および待機条件リソースを組み合わせて使用できます。これらのメカニズムは、ユーザーデータスクリプトの実行を含むインスタンス作成プロセスの成功または失敗について CloudFormation に通知できます。

113 / 363

113.

No.113
ある会社には、複数の AWS アカウントで実行されるデータ取り込みアプリケーションがあります。アカウントは AWS Organizations 内の組織内にあります。会社はアプリケーションを監視し、アプリケーションへのアクセスを統合する必要があります。現在、会社は複数の Auto Scaling グループの Amazon EC2 インスタンスでアプリケーションを実行しています。データは機密情報であるため、EC2 インスタンスはインターネットにアクセスできません。エンジニアは必要な VPC エンドポイントをデプロイしました。EC2 インスタンスは、アプリケーション専用に構築されたカスタム AMI を実行します。
アプリケーションの保守とトラブルシューティングを行うには、システム管理者が EC2 インスタンスにログインできる必要があります。このアクセスは自動化され、一元的に制御される必要があります。会社のセキュリティチームは、インスタンスがアクセスされるたびに通知を受け取る必要があります。
これらの要件を満たすソリューションはどれですか?

A. ユーザーが EC2 インスタンスにログインするたびにセキュリティチームに通知を送信する Amazon EventBridge ルールを作成します。EC2 Instance Connect を使用してインスタンスにログインします。AWS CloudFormation を使用して Auto Scaling グループをデプロイします。 cfn-init ヘルパースクリプトを使用して、外部アクセス用の適切な VPC ルートをデプロイします。カスタム AMI を再構築して、カスタム AMI に AWS Systems Manager Agent が含まれるようにします。

B. NAT ゲートウェイとインターネットにアクセスできる要塞ホストをデプロイします。要塞ホストからのすべての EC2 インスタンスへの着信トラフィックを許可するセキュリティグループを作成します。すべての EC2 インスタンスに AWS Systems Manager Agent をインストールします。アクセスの監視と監査には、Auto Scaling グループのライフサイクルフックを使用します。Systems Manager Session Manager を使用してインスタンスにログインします。Amazon CloudWatch Logs のロググループにログを送信します。監査用にデータを Amazon S3 にエクスポートします。S3 イベント通知を使用して、セキュリティチームに通知を送信します。

C. EC2 Image Builder を使用してカスタム AMI を再構築します。最新バージョンの AWS Systems Manager Agent をイメージに含めます。Auto Scaling グループを設定して、すべての EC2 インスタンスに AmazonSSMManagedInstanceCore ロールをアタッチします。Systems Manager Session Manager を使用してインスタンスにログインします。Amazon S3 へのセッション詳細のログ記録を有効にします。新しいファイルのアップロードに関する S3 イベント通知を作成し、Amazon Simple Notification Service (Amazon SNS) トピックを通じてセキュリティチームにメッセージを送信します。

D. AWS Systems Manager Automation を使用して、カスタム AMI に Systems Manager Agent を組み込みます。AWS Config を設定して SCP をルート組織アカウントにアタッチし、EC2 インスタンスが Systems Manager に接続できるようにします。Systems Manager Session Manager を使用してインスタンスにログインします。Amazon S3 へのセッション詳細のログ記録を有効にします。新しいファイルのアップロードに関する S3 イベント通知を作成し、Amazon Simple Notification Service (Amazon SNS) トピックを通じてセキュリティチームにメッセージを送信します。

回答: C

説明: EC2 にインターネットアクセスがないため、C と D が残りの選択肢です

C が正解です
EC2 Image Builder を使用してカスタム AMI を再構築し、最新バージョンの AWS Systems Manager Agent をイメージに含めることで、Auto Scaling グループを設定して AmazonSSMManagedInstanceCore ロールをすべての EC2 インスタンスにアタッチできます。これにより、Systems Manager Session Manager を使用してインスタンスにログインできます。 Amazon S3 へのセッション詳細のログ記録を有効にし、新しいファイルのアップロードに関する S3 イベント通知を作成して、Amazon Simple Notification Service (Amazon SNS) トピック 2 を通じてセキュリティチームにメッセージを送信できます。

114 / 363

114.

No.114
ある会社では、Amazon S3 を使用して独自の情報を保存しています。開発チームは、新しいプロジェクト用のバケットを毎日作成しています。セキュリティチームは、既存および将来のすべてのバケットで暗号化、ログ記録、バージョン管理が有効になっていることを確認したいと考えています。さらに、バケットはパブリックに読み取りまたは書き込みアクセスできないようにする必要があります。
これらの要件を満たすために、DevOps エンジニアは何をすべきでしょうか?

A. AWS CloudTrail を有効にし、AWS Lambda を使用して自動修復を構成します。

B. AWS Config ルールを有効にし、AWS Systems Manager ドキュメントを使用して自動修復を構成します。

C. AWS Trusted Advisor を有効にし、Amazon EventBridge を使用して自動修復を構成します。

D. AWS Systems Manager を有効にし、Systems Manager ドキュメントを使用して自動修復を構成します。

回答: B

説明:
B が正解です: <既存および将来のすべてのバケットで暗号化、ログ記録、バージョン管理が有効になっていることを確認する> には、AWS 構成が必要です。
A、C、D: AWS 構成について言及されていません

115 / 363

115.

No.115
DevOps エンジニアが、AWS でイメージバッチ処理クラスターを実装する最も安価な方法を調査しています。アプリケーションは Docker コンテナでは実行できず、Amazon EC2 で実行する必要があります。バッチジョブは NFS ボリュームにチェックポイントデータを保存し、中断を許容できます。汎用 EC2 Linux イメージからクラスターソフトウェアを構成するには 30 分かかります。
最もコスト効率の高いソリューションは何ですか?

A. チェックポイントデータに Amazon EFS を使用します。ジョブを完了するには、EC2 Auto Scaling グループとオンデマンド料金モデルを使用して、EC2 インスタンスを一時的にプロビジョニングします。

B. チェックポイントデータに EC2 インスタンスで GlusterFS を使用します。バッチジョブを実行するには、EC2 インスタンスを手動で構成します。ジョブが完了したら、インスタンスを手動でシャットダウンします。

C. チェックポイントデータに Amazon EFS を使用します。EC2 フリートを使用して EC2 スポットインスタンスを起動し、ユーザーデータを使用して起動時に EC2 Linux インスタンスを構成します。

D. チェックポイントデータに Amazon EFS を使用します。 EC2 フリートを使用して EC2 スポットインスタンスを起動します。クラスターのカスタム AMI を作成し、インスタンスを作成するときに最新の AMI を使用します。

回答: D

説明:
D の方が C よりも優れているとお考えだと思います。D では EC2 インスタンスの運用が速くなりますが、C ではソフトウェアのインストールに 30 分かかるため、使用開始前にコスト効率が高くなります。

116 / 363

116.

No.116
ある会社が最近、オンプレミスから AWS にレガシーアプリケーションを移行しました。アプリケーションは、Amazon API Gateway の背後にあるアプリケーションロードバランサーの背後にある Amazon EC2 インスタンスでホストされています。この会社は、アプリケーションの新しいバージョンを展開する際に、ユーザーが受ける中断を最小限に抑えたいと考えています。また、問題が発生した場合に更新を迅速にロールバックできるようにしたいと考えています。
アプリケーションへの変更を最小限に抑えながら、これらの要件を満たすソリューションはどれですか?

A. 既存の環境と並行して、別の環境として変更を導入します。カナリアリリースのデプロイメントを使用して、ユーザートラフィックの小さなサブセットを新しい環境に送信するように API Gateway を構成します。

B. 既存の環境と並行して、別の環境として変更を導入します。アプリケーションの DNS エイリアスレコードを更新して、新しい環境を指すようにします。

C. 既存の Application Load Balancer の背後にある別のターゲットグループとして変更を導入します。段階的にユーザートラフィックを新しいターゲットグループにルーティングするように API Gateway を構成します。

D. 既存の Application Load Balancer の背後にある別のターゲットグループとして変更を導入します。すべてのトラフィックを Application Load Balancer にルーティングするように API Gateway を構成し、Application Load Balancer がトラフィックを新しいターゲットグループに送信します。

回答: A

説明:
オプション A も、アプリケーションへの変更を最小限に抑えて要件を満たすことができる有効なアプローチです。

オプション A では、変更は既存の環境と並行して、別の環境として導入されます。この新しい環境を使用して、アプリケーションの新しいバージョンをデプロイできます。 API Gateway をカナリアリリースデプロイメントを使用するように構成すると、ユーザートラフィックの小さなサブセットが新しい環境に送られ、トラフィックの大部分は引き続き、現在のバージョンのアプリケーションをホストしている既存の環境にルーティングされます。

117 / 363

117.

No.117
ある会社が 100 GB のログデータを .csv 形式で Amazon S3 バケットに保存しています。SQL 開発者はこのデータをクエリし、グラフを生成して視覚化したいと考えています。SQL 開発者は、.csv ファイルからメタデータを保存するための効率的で自動化された方法も必要としています。
どの手順の組み合わせが、最小限の労力でこれらの要件を満たしますか? (3 つ選択してください)。

A. AWS X-Ray でデータをフィルタリングしてデータを視覚化します。

B. Amazon QuickSight でデータをフィルタリングしてデータを視覚化します。

C. Amazon Athena でデータをクエリします。

D. Amazon Redshift でデータをクエリします。

E. AWS Glue Data Catalog を永続的なメタデータストアとして使用します。

F. Amazon DynamoDB を永続的なメタデータストアとして使用します。

回答: BCE

説明: BCE。Glue Data Catalog は、S3 バケットをクロールしてテーブルメタデータを保存できます。次に、Athena でデータカタログを直接呼び出します。データのパーティションが表示されます。

Athena は DynamoDB を直接処理しません。したがって、F は除外されます。

118 / 363

118.

No.118
ある企業が、複数の AWS リージョンとアベイラビリティーゾーンにまたがって AWS 上に企業インフラストラクチャを展開しています。インフラストラクチャは Amazon EC2 インスタンスに展開され、AWS IoT Greengrass デバイスに接続されています。企業は、本社にあるオンプレミスサーバーに追加のリソースを展開しています。
企業は、リソースの保守と更新に伴うオーバーヘッドを削減したいと考えています。同社の DevOps チームは、AWS Systems Manager を使用して、パッチの自動管理と適用を実装する予定です。DevOps チームは、リソースが展開されているリージョンで Systems Manager が利用できることを確認しています。Systems Manager は、本社に近いリージョンでも利用できます。
DevOps チームは、EC2 インスタンス、IoT デバイス、オンプレミスインフラストラクチャ全体で自動パッチおよび構成管理を実装するために、どの手順の組み合わせを実行する必要がありますか。 (3 つ選択してください)

A. すべての EC2 インスタンス、AWS IoT Greengrass デバイス、オンプレミスサーバーにタグを適用します。Systems Manager Session Manager を使用して、タグ付けされたすべてのデバイスにパッチをプッシュします。

B. Systems Manager Run Command を使用して、EC2 インスタンス、AWS IoT Greengrass デバイス、オンプレミスサーバーのパッチ適用をスケジュールします。

C. Systems Manager Patch Manager を使用して、Systems Manager メンテナンスウィンドウタスクとして EC2 インスタンス、AWS IoT Greengrass デバイス、オンプレミスサーバーのパッチ適用をスケジュールします。

D. Amazon EventBridge を設定して、パッチベースラインの更新について Systems Manager Patch Manager を監視します。Systems Manager Run Command をイベントに関連付けて、すべての EC2 インスタンス、AWS IoT Greengrass デバイス、オンプレミスサーバーのパッチアクションを開始します。

E. Systems Manager の IAM インスタンスプロファイルを作成します。AWS アカウント内のすべての EC2 インスタンスにインスタンスプロファイルをアタッチします。AWS IoT Greengrass デバイスとオンプレミスサーバーの場合は、Systems Manager の IAM サービスロールを作成します。

F. マネージドインスタンスのアクティベーションを生成します。アクティベーションコードとアクティベーション ID を使用して、オンプレミス環境の各サーバーに Systems Manager Agent (SSM Agent) をインストールします。AWS IoT Greengrass IAM トークン交換ロールを更新します。ロールを使用して、すべての IoT デバイスに SSM Agent をデプロイします。

回答: CEF

説明:
私も B ではなく E を選択します。

E が正しい理由: 「この投稿の前の段階で、IAM サービスロールを作成する SSM Agent コンポーネントを作成してデプロイしました。AWS IoT Greengrass ドキュメントに従って SSM エージェントをデプロイしたとします。その場合、IAM サービスロールの名前は SSMServiceRole にする必要があります。」

B が間違っている理由: 回答 C は Systems Manager パッチマネージャーを呼び出しますが、それ自体が Systems Manager Run Command を使用しているため、B は冗長です。さらに、ここでは、Run Command はパッチ適用のスケジュール設定ではなく、自動スクリプトの実行に使用すると説明されています。「セッションマネージャーを使用してエッジデバイスへのリモートログインを開き、パッチマネージャーを使用してパッチを適用し、Run Command を通じて自動スクリプトを実行する方法を説明します」

上記の引用元: https://aws.amazon.com/blogs/mt/how-to-centrally-manage-aws-iot-greengrass-devices-using-aws-systems-manager/?force_isolation=true

119 / 363

119.

No.119
ある会社が、Application Load Balancer の背後にある Amazon EC2 インスタンスで実行される Web アプリケーションをテストしています。インスタンスは、複数のアベイラビリティーゾーンにまたがる Auto Scaling グループで実行されます。この会社では、新しいソフトウェアをデプロイするときに、不変インスタンスを使用したブルー/グリーンデプロイプロセスを使用しています。
テスト中、ユーザーはランダムなタイミングでアプリケーションから自動的にログアウトされます。また、テスターは、アプリケーションの新しいバージョンがデプロイされると、すべてのユーザーがログアウトされると報告しています。開発チームは、スケーリングイベントとアプリケーションのデプロイ全体でユーザーがログインしたままになるようにするソリューションを必要としています。
ユーザーがログインしたままになるようにする最も運用効率の高い方法は何ですか?

A. ロードバランサーでスマートセッションを有効にし、既存のセッションを確認するようにアプリケーションを変更します。

B. ロードバランサーでセッション共有を有効にし、セッションストアから読み取るようにアプリケーションを変更します。

C. ユーザーセッション情報を Amazon S3 バケットに保存し、バケットからセッション情報を読み取るようにアプリケーションを変更します。

D. ユーザーセッション情報を Amazon ElastiCache クラスターに保存するようにアプリケーションを変更します。

回答: D

説明:
D が正解です: <テスト中、ユーザーはランダムなタイミングでアプリケーションから自動的にログアウトされます>: 原因は、ユーザーのセッションを保存するデータストレージがないことです。ユーザーセッションを保存するには、セッションデータストレージが必要です

120 / 363

120.

No.120
DevOps エンジニアは、既存の 3 層アプリケーションのブルー/グリーンデプロイメントを構成する必要があります。アプリケーションは Amazon EC2 インスタンス上で実行され、Amazon RDS データベースを使用します。EC2 インスタンスは、Application Load Balancer (ALB) の背後で実行され、Auto Scaling グループ内にあります。
DevOps エンジニアは、ブルー環境用の起動テンプレートと Auto Scaling グループを作成しました。DevOps エンジニアは、グリーン環境用の起動テンプレートと Auto Scaling グループも作成しました。各 Auto Scaling グループは、一致するブルーまたはグリーンのターゲットグループにデプロイされます。ターゲットグループでは、EC2 インスタンスにロードされるソフトウェア (ブルーまたはグリーン) も指定します。 ALB は、トラフィックをブルー環境のターゲットグループまたはグリーン環境のターゲットグループに送信するように設定できます。www.example.com の Amazon Route 53 レコードは ALB を指します。
デプロイメントでは、ブルー環境の EC2 インスタンス上のソフトウェアとグリーン環境の EC2 インスタンス上に新しくデプロイされたソフトウェアの間でトラフィックを一度に移動する必要があります。
DevOps エンジニアはこれらの要件を満たすために何をする必要がありますか?

A. グリーン環境の Auto Scaling グループのローリング再起動を開始して、グリーン環境の EC2 インスタンスに新しいソフトウェアをデプロイします。ローリング再起動が完了したら、AWS CLI コマンドを使用して ALB を更新し、グリーン環境のターゲットグループにトラフィックを送信します。

B. AWS CLI コマンドを使用して ALB を更新し、グリーン環境のターゲットグループにトラフィックを送信します。次に、グリーン環境の Auto Scaling グループのローリング再起動を開始して、グリーン環境の EC2 インスタンスに新しいソフトウェアをデプロイします。

C. 起動テンプレートを更新して、グリーン環境のソフトウェアをブルー環境の EC2 インスタンスにデプロイします。両方の環境でターゲットグループと Auto Scaling グループを変更しないでください。ブルー環境の EC2 インスタンスのローリング再起動を実行します。

D. グリーン環境の Auto Scaling グループのローリング再起動を開始して、グリーン環境の EC2 インスタンスに新しいソフトウェアをデプロイします。ローリング再起動が完了したら、ALB 上のグリーン環境のエンドポイントを指すように Route 53 DNS を更新します。

回答: A

説明:
A は正解です。ALB は 1 つしかないため、D にはなりません。ALB は、ブルー環境のターゲットグループまたはグリーン環境のターゲットグループにトラフィックを送信するように設定できます。ブルーまたはグリーンへのトラフィックルートは、ロードバランサーで設定する必要があります。この場合は、ターゲットグループを更新します。

121 / 363

121.

No.121
ある会社が、ビルドアカウントで AWS CodePipeline と AWS CodeBuild を使用して新しいパイプラインを構築しています。パイプラインは 2 つのステージで構成されています。最初のステージは、AWS Lambda 関数をビルドしてパッケージ化する CodeBuild ジョブです。2 番目のステージは、開発環境アカウントと本番環境アカウントという 2 つの異なる AWS アカウントで動作するデプロイメントアクションで構成されています。デプロイメントステージでは、CodePipeline が呼び出す AWS CloudFormation アクションを使用して、Lambda 関数に必要なインフラストラクチャをデプロイします。
DevOps エンジニアは CodePipeline パイプラインを作成し、Amazon S3 用の AWS Key Management Service (AWS KMS) AWS 管理キー (aws/s3 キー) を使用してビルド成果物を暗号化するようにパイプラインを構成します。成果物は S3 バケットに保存されます。パイプラインを実行すると、CloudFormation アクションはアクセス拒否エラーで失敗します。
このエラーを解決するために、DevOps エンジニアはどのアクションの組み合わせを実行する必要がありますか? (2 つ選択してください。)

A. 成果物用に各 AWS アカウントに S3 バケットを作成します。パイプラインが S3 バケットに書き込めるようにします。各 AWS アカウントの S3 バケットにアーティファクトをコピーする CodePipeline S3 アクションを作成します。CloudFormation アクションを更新して、本番アカウントのアーティファクト S3 バケットを参照します。

B. カスタマー管理の KMS キーを作成します。KMS キーポリシーを構成して、CloudFormation アクションで使用される IAM ロールが復号化操作を実行できるようにします。パイプラインを変更して、カスタマー管理の KMS キーを使用してアーティファクトを暗号化します。

C. AWS 管理の KMS キーを作成します。KMS キーポリシーを構成して、開発アカウントと本番アカウントが復号化操作を実行できるようにします。パイプラインを変更して、KMS キーを使用してアーティファクトを暗号化します。

D. 開発アカウントと本番アカウントで、CodePipeline の IAM ロールを作成します。CloudFormation 操作を実行する権限と、アーティファクト S3 バケットからオブジェクトを取得して復号化する権限を持つロールを構成します。CodePipeline アカウントで、ロールを使用するように CodePipeline CloudFormation アクションを構成します。

E. 開発アカウントと本番アカウントで、CodePipeline の IAM ロールを作成します。ロールに CloudFormation 操作を実行する権限と、アーティファクト S3 バケットからオブジェクトを取得して復号化する権限を設定します。CodePipeline アカウントで、アーティファクト S3 バケットポリシーを変更してロールのアクセスを許可します。ロールを使用するように CodePipeline CloudFormation アクションを設定します。

回答: BE

説明:
C = AWS KMS の基礎。AWS 管理の KMS キーポリシーを変更できません。クロスアカウントアクセスなし = 機能しません。なぜこれについて議論されているのかわかりません。準学士レベルの基礎。

122 / 363

122.

No.122
ある会社では、AWS Organizations の組織を使用して複数の AWS アカウントを管理しています。会社の開発チームは、回復力要件を満たすために AWS Lambda 関数を使用したいと考えており、VPC にデプロイされている Lambda 関数で動作するようにすべてのアプリケーションを書き直しています。開発チームは、組織のアカウント A で共有ストレージとして Amazon Elastic File System (Amazon EFS) を使用しています。
同社は、Lambda で Amazon EFS を引き続き使用したいと考えています。会社のポリシーでは、すべてのサーバーレスプロジェクトをアカウント B にデプロイする必要があります。
DevOps エンジニアは、既存の EFS ファイルシステムを再構成して、Lambda 関数が既存の EFS アクセスポイントを介してデータにアクセスできるようにする必要があります。
これらの要件を満たすために、DevOps エンジニアはどの手順の組み合わせを実行する必要がありますか? (3 つ選択してください)。

A. EFS ファイルシステムポリシーを更新して、アカウント B にアカウント A の EFS ファイルシステムのマウントと書き込みのアクセス権を付与します。

B. SCP を作成して、Amazon EFS のきめ細かな制御でアクセス許可のガードレールを設定します。

C. アカウント B に新しい EFS ファイルシステムを作成します。AWS Database Migration Service (AWS DMS) を使用して、アカウント A とアカウント B のデータを同期させます。

D. VPC と EFS ファイルシステムにアクセスする権限を持つ Lambda 実行ロールを更新します。

E. アカウント A をアカウント B に接続するための VPC ピアリング接続を作成します。

F. アカウント B の Lambda 関数を設定して、アカウント A の既存の IAM ロールを引き継ぎます。

回答: ADE

説明:
最初は A、E、F を考えました。しかし、ドキュメントを読んだ後、A、D、E が正解だという結論に達しました。
E: https://docs.aws.amazon.com/lambda/latest/dg/configuration-filesystem.html#configuration-filesystem-cross-account
A、D: https://docs.aws.amazon.com/lambda/latest/dg/configuration-filesystem.html#configuration-filesystem-permissions

123 / 363

123.

No.123
あるメディア企業は、AWS アカウントに数千の Amazon EC2 インスタンスを持っています。この企業は、チームのコミュニケーションと重要な更新のために Slack と共有メール受信トレイを使用しています。DevOps エンジニアは、AWS でスケジュールされたすべての EC2 メンテナンス通知を Slack チャネルと共有受信トレイに送信する必要があります。ソリューションには、インスタンスの名前と所有者のタグが含まれている必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS Trusted Advisor を AWS Config と統合します。カスタム AWS Config ルールを設定して、AWS Lambda 関数を呼び出して Amazon Simple Notification Service (Amazon SNS) トピックに通知を発行します。Slack チャネルエンドポイントと共有受信トレイをトピックにサブスクライブします。

B. Amazon EventBridge を使用して AWS Health イベントを監視します。メンテナンスイベントが Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとするように設定します。AWS Lambda 関数を SNS トピックにサブスクライブして、Slack チャネルと共有受信トレイに通知を送信します。

C. EC2 メンテナンス通知を Slack チャネルと共有受信トレイに送信する AWS Lambda 関数を作成します。Amazon CloudWatch メトリクスを使用して EC2 ヘルスイベントを監視します。メンテナンス通知を受信したときに Lambda 関数を呼び出す CloudWatch アラームを設定します。

D. AWS サポートと AWS CloudTrail の統合を設定します。CloudTrail ルックアップイベントを作成して AWS Lambda 関数を呼び出し、EC2 メンテナンス通知を Amazon Simple Notification Service (Amazon SNS) に渡します。Amazon SNS を設定して、Slack チャネルと共有受信トレイをターゲットにします。

回答: B

説明:
B が正解です。<AWS でスケジュールされたすべての EC2 メンテナンス通知を Slack チャネルと共有受信トレイに送信する必要がある> は SNS を意味します
C: SNS については言及されていません
A: AWS の信頼できるアドバイザーはここでは関係ありません
D: AWS サポートはサポートプランです。ここでは関係ありません。AWS Cloud Trail も同様です

124 / 363

124.

No.124
AWS CodePipeline パイプラインはコードリリースプロセスを実装しています。パイプラインは AWS CodeDeploy と統合されており、各 CodePipeline ステージで複数の Amazon EC2 インスタンスにアプリケーションのバージョンをデプロイします。
最近のデプロイ中に、CodeDeploy の問題によりパイプラインが失敗しました。DevOps チームは、デプロイ中の監視と通知を改善して解決時間を短縮したいと考えています。
問題が発見されたときに通知を作成するには、DevOps エンジニアは何をする必要がありますか?

A. CodePipeline と CodeDeploy に Amazon CloudWatch Logs を実装し、コードデプロイの問題を評価する AWS Config ルールを作成し、デプロイの問題を関係者に通知する Amazon Simple Notification Service (Amazon SNS) トピックを作成します。

B. CodePipeline と CodeDeploy に Amazon EventBridge を実装し、コードデプロイの問題を評価する AWS Lambda 関数を作成し、デプロイの問題を関係者に通知する Amazon Simple Notification Service (Amazon SNS) トピックを作成します。

C. AWS CloudTrail を実装して CodePipeline および CodeDeploy API 呼び出し情報を記録し、AWS Lambda 関数を作成してコードデプロイメントの問題を評価し、Amazon Simple Notification Service (Amazon SNS) トピックを作成して関係者にデプロイメントの問題を通知します。

D. CodePipeline および CodeDeploy 用の Amazon EventBridge を実装し、Amazon Inspector 評価ターゲットを作成してコードデプロイメントの問題を評価し、Amazon Simple Notification Service (Amazon SNS) トピックを作成して関係者にデプロイメントの問題を通知します。

回答: B

説明:
B が正解です。<デプロイメント中の監視と通知> は、eventbridge と SNS を意味します
A: cloudwatchlog はここでは関係ありません。これは、AWS サービスの継続的な監視に使用されます
C: cloudtrail はアカウントアクティビティの監視用です
D: Inspector は脅威の検出用です

125 / 363

125.

No.125
あるグローバル企業が、AWS Control Tower を使用して複数の AWS アカウントを管理しています。この企業は、社内アプリケーションとパブリックアプリケーションをホストしています。
この企業内の各アプリケーションチームには、アプリケーションホスティング用の独自の AWS アカウントがあります。アカウントは、AWS Organizations 内の組織に統合されています。AWS Control Tower メンバーアカウントの 1 つは、アプリケーションチームがそれぞれのターゲット AWS アカウントにアプリケーションをデプロイするために使用する CI/CD パイプラインを備えた集中型 DevOps アカウントとして機能します。デプロイ用の IAM ロールは、集中型 DevOps アカウントに存在します。
アプリケーションチームは、アプリケーションをアプリケーション AWS アカウントの Amazon Elastic Kubernetes Service (Amazon EKS) クラスターにデプロイしようとしています。デプロイ用の IAM ロールは、アプリケーション AWS アカウントに存在します。デプロイは、集中型 DevOps アカウントに設定されている AWS CodeBuild プロジェクトを通じて行われます。CodeBuild プロジェクトは、CodeBuild に IAM サービスロールを使用します。CodeBuild からクロスアカウント EKS クラスターに接続しようとしたときに、デプロイが Unauthorized エラーで失敗しています。
このエラーを解決するソリューションはどれですか?

A. アプリケーションアカウントのデプロイメント IAM ロールを、集中型 DevOps アカウントとの信頼関係を持つように構成します。sts:AssumeRole アクションを許可するように信頼関係を構成します。アプリケーションアカウントのデプロイメント IAM ロールを、EKS クラスターへの必要なアクセス権を持つように構成します。ロールを適切なシステム権限にマップするように EKS クラスターの aws-auth ConfigMap を構成します。

B. 集中型 DevOps アカウントのデプロイメント IAM ロールを、アプリケーションアカウントとの信頼関係を持つように構成します。sts:AssumeRole アクションを許可するように信頼関係を構成します。集中型 DevOps アカウントのデプロイメント IAM ロールを、CodeBuild への必要なアクセス権を持つように構成します。

C. 集中型 DevOps アカウントのデプロイメント IAM ロールを、アプリケーションアカウントとの信頼関係を持つように構成します。sts:AssumeRoleWithSAML アクションを許可するように信頼関係を構成します。集中型 DevOps アカウントのデプロイメント IAM ロールを、CodeBuild への必要なアクセス権を持つように構成します。

D. アプリケーションアカウントのデプロイメント IAM ロールを、AWS Control Tower 管理アカウントとの信頼関係を持つように構成します。sts:AssumeRole アクションを許可するように信頼関係を構成します。アプリケーションアカウントのデプロイメント IAM ロールを、EKS クラスターへの必要なアクセス権を持つように構成します。ロールを適切なシステム権限にマップするように EKS クラスター aws-auth ConfigMap を構成します。

回答: A

説明:
A. アプリケーションアカウントのデプロイメント IAM ロールを、集中型 DevOps アカウントとの信頼関係を持つように構成します。sts:AssumeRole アクションを許可するように信頼関係を構成します。アプリケーションアカウントのデプロイメント IAM ロールを、EKS クラスターへの必要なアクセス権を持つように構成します。ロールを適切なシステム権限にマップするように EKS クラスター aws-auth ConfigMap を構成します。

オプション B、C、および D は正しくありません。集中型 DevOps アカウントのデプロイメント IAM ロールはアプリケーションアカウントを信頼する必要がなく、その逆であるためです。オプション C の sts:AssumeRoleWithSAML アクションは、SAML 2.0 準拠の ID プロバイダーからのフェデレーションに使用され、このシナリオでは必要ありません。最後に、対話は DevOps アカウントとアプリケーションアカウントの間で直接行われるため、オプション D のように AWS Control Tower 管理アカウントとの信頼関係を持つ必要はありません。

126 / 363

126.

No.126
規制の厳しい企業では、DevOps エンジニアは緊急時以外は Amazon EC2 インスタンスにログインしてはならないというポリシーがあります。DevOps エンジニアがログインした場合は、発生から 15 分以内にセキュリティチームに通知する必要があります。
これらの要件を満たすソリューションはどれですか?

A. 各 EC2 インスタンスに Amazon Inspector エージェントをインストールします。Amazon EventBridge 通知をサブスクライブします。AWS Lambda 関数を呼び出して、メッセージがユーザーログインに関するものかどうかを確認します。そうである場合は、Amazon SNS を使用してセキュリティチームに通知を送信します。

B. 各 EC2 インスタンスに Amazon CloudWatch エージェントをインストールします。すべてのログを Amazon CloudWatch Logs にプッシュするようにエージェントを設定し、ユーザーログインを検索する CloudWatch メトリクスフィルターを設定します。ログインが見つかった場合は、Amazon SNS を使用してセキュリティチームに通知を送信します。

C. Amazon CloudWatch Logs を使用して AWS CloudTrail を設定します。CloudWatch Logs を Amazon Kinesis にサブスクライブします。 AWS Lambda を Kinesis に接続して、ログにユーザーログインが含まれているかどうかを解析して判断します。含まれている場合は、Amazon SNS を使用してセキュリティチームに通知を送信します。

D. 各 Amazon EC2 インスタンスにスクリプトを設定し、すべてのログを Amazon S3 にプッシュします。S3 イベントを設定して AWS Lambda 関数を呼び出します。この関数は、実行する Amazon Athena クエリを呼び出します。Athena クエリはログインを確認し、Amazon SNS を使用して出力をセキュリティチームに送信します。

回答: B

説明:
B が正解です。<セキュリティチームに通知する必要がある> は SNS を意味します
A: 無関係です。インスペクターは脆弱性スキャン用です
C: クラウドトレイルはアカウントアクティビティの監視用です
D: このオプションでは手動スクリプトを使用しますが、無関係です

127 / 363

127.

No.127
ある会社が、重要なビジネスアプリケーション用の AWS CloudFormation テンプレートを更新しました。更新されたテンプレートのエラーが原因でスタック更新プロセスが失敗し、AWS CloudFormation は自動的にスタックロールバックプロセスを開始しました。その後、DevOps エンジニアは、アプリケーションがまだ使用できず、スタックが UPDATE_ROLLBACK_FAILED 状態にあることを発見しました。
スタックロールバックを正常に完了するには、DevOps エンジニアがどのアクションの組み合わせを実行する必要がありますか? (2 つ選択してください)。

A. AWSCloudFormationFullAccess IAM ポリシーを AWS CloudFormation ロールにアタッチします。

B. AWS CloudFormation ドリフト検出を使用して、スタックリソースを自動的に回復します。

C. AWS CloudFormation コンソールまたは AWS CLI から ContinueUpdateRollback コマンドを発行します。

D. スタックの期待値に合わせてリソースを手動で調整します。

E. 元のテンプレートを使用して、既存の AWS CloudFormation スタックを更新します。

回答: CD
説明:
はい C と D
C. AWS CloudFormation コンソールまたは AWS CLI から ContinueUpdateRollback コマンドを発行します。このコマンドにより、CloudFormation は一時停止した時点からロールバックプロセスを続行できます。このコマンドを使用すると、CloudFormation はリソースを以前の状態に復元し、更新中に作成されたリソースを削除します。

D. スタックの期待値に合わせてリソースを手動で調整します。これには、更新の失敗の根本原因を特定して修正することが含まれます。これには、リソース構成の変更やスタック内の依存関係や不整合の解決が含まれる場合があります。

128 / 363

128.

No.128
開発チームは、ローカルでアーティファクトを手動で構築し、Amazon S3 バケットに配置します。アプリケーションには、デプロイメントが発生したときにクリアする必要があるローカルキャッシュがあります。チームはこれを行うためのコマンドを実行し、Amazon S3 からアーティファクトをダウンロードして、アーティファクトを解凍してデプロイメントを完了します。
DevOps チームは、CI/CD プロセスに移行し、障害が発生したときにデプロイメントを停止してロールバックするチェックを組み込みたいと考えています。そのためには、チームがデプロイメントの進行状況を追跡する必要があります。
どのアクションの組み合わせでこれを実現できますか? (3 つ選択してください)

A. 開発者がコードをコードリポジトリにチェックインできるようにします。Amazon EventBridge を使用して、メインブランチにプルするたびに、AWS Lambda 関数を呼び出してアーティファクトを構築し、Amazon S3 に保存します。

B. キャッシュをクリアするカスタムスクリプトを作成します。AppSpec ファイルの BeforeInstall ライフサイクルフックでスクリプトを指定します。

C. キャッシュをクリアするスクリプトを含む各 Amazon EC2 インスタンスのユーザーデータを作成します。デプロイしたら、アプリケーションをテストします。成功しなかった場合は、再度デプロイします。

D. AWS CodePipeline を設定してアプリケーションをデプロイします。開発者がパイプラインのソースとしてコードをコードリポジトリにチェックインできるようにします。

E. AWS CodeBuild を使用してアーティファクトを構築し、Amazon S3 に配置します。AWS CodeDeploy を使用して、アーティファクトを Amazon EC2 インスタンスにデプロイします。

F. AWS Systems Manager を使用して、Amazon S3 からアーティファクトを取得し、すべてのインスタンスにデプロイします。

回答: BDE

説明:
(B) これにより、アプリケーションの新しいバージョンがインストールされる前に、ローカルキャッシュがクリアされることが保証されます。AppSpec (アプリケーション仕様) ファイルは、AWS CodeDeploy に固有のファイルです。AWS CodeDeploy で実行するデプロイアクションを定義します。

(D) これにより、ビルドとデプロイのプロセスを自動化できます。AWS CodePipeline は、リリースパイプラインを自動化して、高速で信頼性の高いアプリケーションとインフラストラクチャの更新を行うのに役立つ、完全に管理された継続的デリバリーサービスです。

(E) これにより、ビルドプロセスを自動化し、アプリケーションが一貫した環境でビルドされることが保証されます。AWS CodeBuild は、ソースコードをコンパイルし、テストを実行し、デプロイ可能なソフトウェアパッケージを生成する、完全に管理されたビルドサービスです。AWS CodeDeploy は、Amazon EC2、AWS Fargate、AWS Lambda、オンプレミスサーバーなどのさまざまなコンピューティングサービスへのソフトウェアのデプロイを自動化します。

129 / 363

No.129
DevOps エンジニアは、Amazon Linux でホストされているプロジェクトに取り組んでいますが、セキュリティレビューに合格しませんでした。DevOps マネージャーは、AWS CodeBuild プロジェクトの会社の buildspec.yaml ファイルをレビューし、推奨事項を提供するように依頼されました。 buildspec.yaml ファイルは次のように構成されています:

env:
variables:
AWS_ACCESS_KEY_ID: AKIAJF7BREFWJBA4GHXNA
AWS_SECRET_ACCESS_KEY: ORj3ns3At2mIh404Atm0+zHxZqz7cNaVMLYRehcI
AWS_DEFAULT_REGION: us-east-1
DB_PASSWORD: cuj5RptFa3va

phases:
build:
commands:
- aws s3 cp s3://db-deploy-bucket/my.cnf.template /tmp/my.cnf
- sed -i '' s/DB_PW/${DB_PASSWORD}/ /tmp/my.cnf
- aws s3 cp s3://db-deploy-bucket/instance.key /tmp/instance.key
- chmod 600 /tmp/instance.key
- scp -i /tmp/instance.key /tmp/my.cnf root@10.25.15.23:/etc/my.cnf
- ssh -i /tmp/instance.key root@10.25.15.23 /etc/init.d/mysqld restart

129. AWS セキュリティのベストプラクティスに準拠するために、どのような変更を推奨しますか? (3 つ選択してください)

A. コンテナを終了する前に一時ファイルを削除するためのビルド後コマンドを追加して、他の CodeBuild ユーザーがそれらを参照できないようにします。

B. 必要な権限で CodeBuild プロジェクトロールを更新し、環境変数から AWS 認証情報を削除します。

C. DB_PASSWORD を SecureString 値として AWS Systems Manager パラメータストアに保存し、環境変数から DB_PASSWORD を削除します。

D. 環境変数を「db-deploy-bucket」Amazon S3 バケットに移動し、ダウンロードするビルド前ステージを追加して、変数をエクスポートします。

E. AWS Systems Manager の実行コマンドではなく、scp コマンドと ssh コマンドをインスタンスに直接使用します。

F. XOR に続いて Base64 を使用して環境変数をスクランブルし、インストールするセクションを追加してから、ビルドフェーズで XOR と Base64 を実行します。

回答: BCE

説明:
BCE は正解です
A は間違いです。CodeBuild は、そのように次のビルド用にファイルを保持しません。ビルドが完了すると、ファイルは削除されます。

130 / 363

130.

No.130
ある会社にレガシーアプリケーションがあります。DevOps エンジニアは、レガシーアプリケーションのデプロイ可能な成果物を構築するプロセスを自動化する必要があります。ソリューションでは、将来のデプロイで参照できるように、デプロイ可能な成果物を既存の Amazon S3 バケットに保存する必要があります。
これらの要件を最も運用効率の高い方法で満たすソリューションはどれですか。

A. レガシーアプリケーションのすべての依存関係を含むカスタム Docker イメージを作成します。カスタム Docker イメージを新しい Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存します。カスタム Docker イメージを使用してデプロイ可能なアーティファクトを構築し、そのアーティファクトを S3 バケットに保存するように、新しい AWS CodeBuild プロジェクトを設定します。

B. 新しい Amazon EC2 インスタンスを起動します。レガシーアプリケーションのすべての依存関係を EC2 インスタンスにインストールします。EC2 インスタンスを使用してデプロイ可能なアーティファクトを構築し、そのアーティファクトを S3 バケットに保存します。

C. カスタム EC2 Image Builder イメージを作成します。イメージにレガシーアプリケーションのすべての依存関係をインストールします。イメージから新しい Amazon EC2 インスタンスを起動します。新しい EC2 インスタンスを使用してデプロイ可能なアーティファクトを構築し、そのアーティファクトを S3 バケットに保存します。

D. 複数のアベイラビリティーゾーンで実行される AWS Fargate プロファイルを使用して、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを作成します。レガシーアプリケーションのすべての依存関係を含むカスタム Docker イメージを作成します。カスタム Docker イメージを新しい Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存します。EKS クラスター内のカスタム Docker イメージを使用して、デプロイ可能なアーティファクトを構築し、そのアーティファクトを S3 バケットに保存します。

回答: A

説明:
レガシーアプリケーションのデプロイ可能なアーティファクトを構築し、それを既存の Amazon S3 バケットに保存するプロセスを自動化するための最も運用効率の高いソリューションは次のとおりです。

A. このソリューションは、Docker によるコンテナ化を活用します。これにより、一貫性のある分離されたビルドが可能になり、アプリケーションの依存関係の管理が容易になります。AWS CodeBuild を使用すると、カスタム Docker イメージを使用してスケーラブルで自動化されたビルドが可能になり、プロセスの効率と信頼性が向上します。その後、デプロイ可能なアーティファクトを既存の S3 バケットに保存して、将来の参照やデプロイに使用できます。

131 / 363

131.

No.131
ある会社が Docker コマンドを実行して AWS CodeBuild プロジェクトでコンテナイメージを構築します。コンテナイメージが構築された後、CodeBuild プロジェクトはコンテナイメージを Amazon S3 バケットにアップロードします。CodeBuild プロジェクトには、S3 バケットにアクセスする権限を持つ IAM サービスロールがあります。
DevOps エンジニアは、コンテナイメージを保存するために、S3 バケットを Amazon Elastic Container Registry (Amazon ECR) リポジトリに置き換える必要があります。DevOps エンジニアは、CodeBuild プロジェクトと同じ AWS リージョンに ECR プライベートイメージリポジトリを作成します。DevOps エンジニアは、新しい ECR リポジトリを操作するために必要な権限で IAM サービスロールを調整します。DevOps エンジニアは、buildspec.yml ファイルで使用される docker build コマンドと docker push コマンドに新しいリポジトリ情報を配置します。
CodeBuild プロジェクトがビルドジョブを実行すると、ジョブが ECR リポジトリにアクセスしようとするとジョブが失敗します。
ECR リポジトリへのアクセスに失敗する問題を解決するソリューションはどれですか?

A. buildspec.yml ファイルを更新し、aws ecr get-login-password AWS CLI コマンドを使用して認証トークンを取得し、ECR リポジトリにログインします。docker login コマンドを更新し、認証トークンを使用して ECR リポジトリにアクセスします。

B. CodeBuild プロジェクトに SECRETS_MANAGER タイプの環境変数を追加します。環境変数に、CodeBuild プロジェクトの IAM サービスロールの ARN を含めます。buildspec.yml ファイルを更新し、新しい環境変数を使用して docker login コマンドでログインし、ECR リポジトリにアクセスします。

C. ECR リポジトリを公開イメージリポジトリに更新します。IAM サービスロールにアクセスを許可する ECR リポジトリポリシーを追加します。

D. buildspec.yml ファイルを更新し、AWS CLI を使用して ECR 操作の IAM サービスロールを引き受けます。IAM サービスロールにアクセスを許可する ECR リポジトリポリシーを追加します。

回答: A

説明:
(A) Docker が Amazon Elastic Container Registry (ECR) リポジトリと通信する場合、認証が必要です。AWS CLI (コマンドラインインターフェイス) の助けを借りて、Docker クライアントを Amazon ECR レジストリに認証できます。具体的には、「aws ecr get-login-password」コマンドを使用して認証トークンを取得し、そのトークンを使用して Docker の「docker login」コマンドを使用してレジストリに認証できます。ECR リポジトリからのイメージのプッシュまたはプルを試みる前に、buildspec.yml ファイルでこれらの手順を実行する必要があります。

132 / 363

132.

No.132
ある会社が従業員の IAM アクセスを手動でプロビジョニングしています。会社は、手動プロセスを自動化プロセスに置き換えたいと考えています。会社には、外部の SAML 2.0 ID プロバイダー (IdP) で構成された既存の Active Directory システムがあります。
会社は、従業員が既存の企業認証情報を使用して AWS にアクセスできるようにしたいと考えています。既存の Active Directory システムのグループは、AWS Identity and Access Management (IAM) での権限管理に使用できる必要があります。 DevOps エンジニアが、会社の AWS アカウントで AWS IAM Identity Center (AWS Single Sign-On) の初期設定を完了しました。
要件を満たすために、DevOps エンジニアは次に何をすべきでしょうか?

A. 外部 IdP をアイデンティティソースとして設定します。SCIM プロトコルを使用して、ユーザーとグループの自動プロビジョニングを設定します。

B. AWS Directory Service をアイデンティティソースとして設定します。SAML プロトコルを使用して、ユーザーとグループの自動プロビジョニングを設定します。

C. AD Connector をアイデンティティソースとして設定します。SCIM プロトコルを使用して、ユーザーとグループの自動プロビジョニングを設定します。

D. 外部 IdP をアイデンティティソースとして設定します。SAML プロトコルを使用して、ユーザーとグループの自動プロビジョニングを設定します。

回答: A

説明:
(A) AWS SSO (シングルサインオン) は、SAML 2.0 を使用して外部 ID プロバイダーと統合し、SCIM (System for Cross-domain Identity Management) プロトコルを使用して、接続されたディレクトリからユーザーとグループを自動的に同期できます。したがって、DevOps エンジニアは、外部 IdP を ID ソースとして設定し、SCIM プロトコルを使用してユーザーとグループの自動プロビジョニングを設定する必要があります。これにより、既存の Active Directory システムのグループが AWS Identity and Access Management (IAM) の権限管理に使用できるようになり、従業員は既存の企業認証情報を使用して AWS にアクセスできるようになります。

133 / 363

133.

No.133
ある会社では、デジタルワークロードを実行するために AWS を使用しています。会社内の各アプリケーションチームには、アプリケーションホスティング用の独自の AWS アカウントがあります。アカウントは、AWS Organizations の組織に統合されています。
この会社は、組織全体でセキュリティ標準を適用したいと考えています。セキュリティの設定ミスによる非準拠を回避するために、この会社は AWS CloudFormation の使用を強制しています。運用サポートチームは、AWS マネジメントコンソールを使用して運用環境のリソースを変更し、アプリケーション関連の問題をトラブルシューティングして解決できます。
DevOps エンジニアは、非準拠につながる AWS サービスの設定ミスをほぼリアルタイムで特定するソリューションを実装する必要があります。このソリューションは、特定後 15 分以内に問題を自動的に修正する必要があります。また、このソリューションは、正確なタイムスタンプを使用して、一元化されたダッシュボードで非準拠のリソースとイベントを追跡する必要があります。
開発オーバーヘッドが最も少ないソリューションはどれですか?

A. CloudFormation ドリフト検出を使用して、非準拠のリソースを特定します。CloudFormation のドリフト検出イベントを使用して、修正用の AWS Lambda 関数を呼び出します。 Lambda 関数を設定して、ログを Amazon CloudWatch Logs ロググループに発行します。追跡にロググループを使用するように Amazon CloudWatch ダッシュボードを設定します。

B. AWS アカウントで AWS CloudTrail をオンにします。Amazon Athena を使用して CloudTrail ログを分析し、非準拠のリソースを特定します。AWS Step Functions を使用して、Athena のクエリ結果を追跡し、ドリフトを検出し、AWS Lambda 関数を呼び出して修復します。追跡のために、Athena をデータソースとして使用する Amazon QuickSight ダッシュボードを設定します。

C. すべての AWS アカウントで AWS Config の設定レコーダーをオンにして、非準拠のリソースを特定します。すべての AWS アカウントで --no-enable-default-standards オプションを使用して AWS Security Hub を有効にします。AWS Config マネージドルールとカスタムルールを設定します。AWS Config 適合パックを使用して自動修復を設定します。追跡のために、指定された Security Hub 管理者アカウントで Security Hub のダッシュボードを設定します。

D. AWS アカウントで AWS CloudTrail をオンにします。Amazon CloudWatch Logs を使用して CloudTrail ログを分析し、非準拠のリソースを特定します。ドリフト検出には CloudWatch Logs フィルターを使用します。Amazon EventBridge を使用して、修復用の Lambda 関数を呼び出します。フィルタリングされた CloudWatch ログを Amazon OpenSearch Service にストリーミングします。追跡用に OpenSearch Service にダッシュボードを設定します。

回答: C

説明:
C の方が優れたソリューションです。AWS CloudFormation ドリフト検出は、AWS リソースの実際の構成が、CloudFormation スタックテンプレートで定義されている想定構成と一致しているかどうかを識別するのに役立ちます。これはコンプライアンスと一貫性を維持するための強力なツールですが、それだけではセキュリティ構成ミスによる非コンプライアンスを完全に防ぐことはできません。そこで、AWS config を使用してサービス構成を継続的に監視し、さらに aggregator を使用してすべての aws config データを aws organization 内のすべてのメンバーアカウントから Security Hub に収集して、一元化されたダッシュボードを提供する必要があります。

134 / 363

134.

No.134
ある会社では、AWS Organizations を使用して AWS アカウントを管理しています。組織ルートには、Environments という名前の OU があります。Environments OU には、それぞれ Development と Production という名前の 2 つの子 OU があります。
環境 OU と子 OU には、デフォルトの FullAWSAccess ポリシーが設定されています。DevOps エンジニアは、開発 OU から FullAWSAccess ポリシーを削除し、Amazon EC2 リソースに対するすべてのアクションを許可するポリシーに置き換える予定です。
このポリシーの置き換えの結果はどうなるでしょうか?

A. 開発 OU のすべてのユーザーは、すべてのリソースに対するすべての API アクションが許可されます。

B. 開発 OU のすべてのユーザーは、EC2 リソースに対するすべての API アクションが許可されます。その他のすべての API アクションは拒否されます。

C. 開発 OU のすべてのユーザーは、すべてのリソースに対するすべての API アクションが拒否されます。

D. 開発 OU のすべてのユーザーは、EC2 リソースに対するすべての API アクションが拒否されます。その他のすべての API アクションは許可されます。

回答: B

説明:
重要な点は、「SCP 継承は許可ポリシーと拒否ポリシーで異なる動作をする」ということです。許可されたポリシーは、子に許可ポリシーがない場合のみ継承されます。許可ポリシーが設定されると、そのポリシーで定義されたアクションのみが許可され、親 OU から「許可」ポリシーは継承されません。継承されるのは、すべての上位にある非表示のポリシーである暗黙の拒否ポリシーです。

次のリンクの表を確認してください:
https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/

135 / 363

135.

No.135
ある企業が災害復旧機能を検討しており、日常業務をセカンダリ AWS リージョンに切り替える機能を求めています。この企業は、プライマリリージョンでソース管理ツールとして AWS CodeCommit を使用しています。
DevOps エンジニアは、この企業がセカンダリリージョンでコードを開発できるようにする必要があります。この企業がセカンダリリージョンを使用する必要がある場合、開発者はローカル Git 構成にリモート URL を追加できます。
これらの要件を満たすソリューションはどれですか?

A. セカンダリリージョンに CodeCommit リポジトリを作成します。プライマリリージョンの CodeCommit リポジトリからセカンダリリージョンの CodeCommit リポジトリへの Git ミラー操作を実行する AWS CodeBuild プロジェクトを作成します。CodeBuild プロジェクトを呼び出す AWS Lambda 関数を作成します。プライマリリージョンの CodeCommit リポジトリのマージイベントに反応する Amazon EventBridge ルールを作成します。Lambda 関数を呼び出すように EventBridge ルールを設定します。

B. セカンダリリージョンに Amazon S3 バケットを作成します。プライマリリージョンの CodeCommit リポジトリの Git ミラー操作を実行し、その結果を S3 バケットにコピーする AWS Fargate タスクを作成します。Fargate タスクを開始する AWS Lambda 関数を作成します。CodeCommit リポジトリのマージイベントに反応する Amazon EventBridge ルールを作成します。Lambda 関数を呼び出すように EventBridge ルールを設定します。

C. セカンダリリージョンに AWS CodeArtifact リポジトリを作成します。ソースアクションにプライマリリージョンの CodeCommit リポジトリを使用する AWS CodePipeline パイプラインを作成します。パイプラインにクロスリージョンステージを作成し、CodeCommit リポジトリのコンテンツをパッケージ化して、プルリクエストが CodeCommit リポジトリにマージされたときにそのコンテンツを CodeArtifact リポジトリに保存します。

D. セカンダリリージョンに AWS Cloud9 環境と CodeCommit リポジトリを作成します。プライマリリージョンの CodeCommit リポジトリを AWS Cloud9 環境のリモートリポジトリとして設定します。セカンダリリージョンの CodeCommit リポジトリを AWS Cloud9 環境に接続します。

回答: A

説明:
このソリューションは、会社のすべての要件を満たしています:

開発者は、ローカル Git 構成にリモート URL を追加して、セカンダリリージョンでコードを開発できます。

自動化されています: プライマリリージョンの CodeCommit リポジトリでマージイベントが発生するたびに、EventBridge ルールによって Lambda 関数が自動的に呼び出されます。

信頼性があります: CodeBuild プロジェクトは Git を使用して、プライマリリージョンの CodeCommit リポジトリの完全なコピーがセカンダリリージョンに作成されるようにします。

136 / 363

136.

No.136
DevOps チームは、Amazon RDS Multi-AZ DB クラスターを本番データベースに使用するアプリケーションのコードリビジョンをマージしています。DevOps チームは、継続的インテグレーションを使用して、アプリケーションが機能することを定期的に検証しています。DevOps チームは、変更が本番データベースにデプロイされる前に、変更をテストする必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS CodeBuild のビルドスペックファイルを使用して、本番データベースのスナップショットから DB クラスターを復元し、統合テストを実行し、検証後に復元されたデータベースを削除します。

B. アプリケーションを本番環境にデプロイします。検証が失敗した場合に実行するデータベースアクティビティをキャプチャするために、データ制御言語 (DCL) 操作の監査ログを設定します。

C. アプリケーションをデプロイする前に、DB クラスターのスナップショットを作成します。AWS CloudFormation の DB インスタンスで Update requires:Replacement プロパティを使用して、アプリケーションをデプロイし、変更を適用します。

D. DB クラスターがマルチ AZ デプロイであることを確認します。更新を適用したアプリケーションをデプロイします。検証が失敗した場合は、スタンバイインスタンスにフェイルオーバーします。

回答: A

説明: A は、そのような結果を招くことなくテストを実行できるソリューションです

137 / 363

137.

No.137
ある会社が自社の VPC でマルチテナント環境を管理しており、対応する AWS アカウントに Amazon GuardDuty を設定しています。この会社は、すべての GuardDuty の検出結果を AWS Security Hub に送信しています。
疑わしいソースからのトラフィックによって、多数の検出結果が生成されています。DevOps エンジニアは、GuardDuty が新しい疑わしいソースを検出したときに、VPC 全体のトラフィックを自動的に拒否するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?

A. GuardDuty 脅威リストを作成します。リストを参照するように GuardDuty を設定します。脅威リストを更新する AWS Lambda 関数を作成します。GuardDuty からの新しい Security Hub の検出結果に応じて実行されるように Lambda 関数を設定します。

B. カスタムルールグループを含む AWS WAF Web ACL を設定します。カスタムルールグループにブロックルールを作成する AWS Lambda 関数を作成します。GuardDuty からの新しい Security Hub の検出結果に応じて実行されるように Lambda 関数を設定します。

C. AWS ネットワークファイアウォールでファイアウォールを設定します。ファイアウォールポリシーにドロップアクションルールを作成する AWS Lambda 関数を作成します。GuardDuty からの新しい Security Hub の検出結果に応じて実行されるように Lambda 関数を設定します。

D. GuardDuty 抑制ルールを作成する AWS Lambda 関数を作成します。GuardDuty からの新しい Security Hub の検出結果に応じて実行されるように Lambda 関数を設定します。

回答: C

説明:
C が正解です。ネットワークファイアウォールのみが VPC レベルでトラフィックをブロックできます。
A はリストを更新するだけで、ブロックアクションは実行しません
B- WAF と Web ACL は、VPC 全体ではなく、API/VPC エンドポイント/Cloudfront ディストリビューションの HTTPS トラフィックのみをブロックできます

138 / 363

138.

No.138
ある企業は、AWS Secrets Manager を使用して、AWS Lambda 関数が使用する機密 API キーのセットを保存します。Lambda 関数が呼び出されると、Lambda 関数は API キーを取得し、外部サービスへの API 呼び出しを行います。 Secrets Manager のシークレットは、デフォルトの AWS Key Management Service (AWS KMS) キーで暗号化されます。
DevOps エンジニアは、インフラストラクチャを更新して、Lambda 関数の実行ロールのみが Secrets Manager の値にアクセスできるようにする必要があります。ソリューションでは、最小権限の原則を適用する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. Secrets Manager のデフォルトの KMS キーを更新して、Lambda 関数の実行ロールのみが復号できるようにします。

B. Secrets Manager を信頼し、Lambda 関数の実行ロールが復号できるようにする KMS カスタマー管理キーを作成します。新しいカスタマー管理キーを使用するように Secrets Manager を更新します。

C. Secrets Manager を信頼し、アカウントのルートプリンシパルが復号できるようにする KMS カスタマー管理キーを作成します。新しいカスタマー管理キーを使用するように Secrets Manager を更新します。

D. Lambda 関数の実行ロールに、リソースレベルでスコープ設定された KMS 権限があることを確認します。 KMS キーが Secrets Manager シークレットを暗号化できるように権限を設定します

E. Lambda 関数の実行ロールからすべての KMS 権限を削除します

回答: BD

説明:
B と D は正解です: <インフラストラクチャを更新して、Lambda 関数の実行ロールのみに権限が付与されるようにする> とは、Lambda の IAM ロールに十分な権限があり、KMS ポリシーで Lambda の IAM ロールが許可されていることを確認する必要があることを意味します
A: デフォルトキーを更新できません
C: <アカウントのルートプリンシパルが復号化できるようにします> これは、最小権限のプリンシパルに対して行われます

139 / 363

139.

No.139
ある会社の DevOps エンジニアが、Amazon Simple Notification Service (Amazon SNS) トピックからの通知を処理する AWS Lambda 関数を作成しています。Lambda 関数は通知メッセージを処理し、通知メッセージの内容を Amazon RDS Multi-AZ DB インスタンスに書き込みます。
テスト中に、データベース管理者が誤って DB インスタンスをシャットダウンしました。データベースがダウンしている間、その間に配信された SNS 通知メッセージのいくつかが失われました。
DevOps エンジニアは、今後通知メッセージが失われないようにする必要があります。
この要件を満たすソリューションはどれですか? (2 つ選択してください)

A. RDS Multi-AZ DB インスタンスを Amazon DynamoDB テーブルに置き換えます。

B. Lambda 関数の送信先として Amazon Simple Queue Service (Amazon SQS) キューを設定します。

C. SNS トピックの Amazon Simple Queue Service (Amazon SQS) デッドレターキューを設定します。

D. Amazon Simple Queue Service (Amazon SQS) キューを SNS トピックにサブスクライブします。SQS キューからのメッセージを処理するように Lambda 関数を設定します。

E. SNS トピックを Amazon EventBridge イベントバスに置き換えます。新しいイベントバスで EventBridge ルールを設定し、各イベントに対して Lambda 関数を呼び出します。

回答: CD

説明:
今後通知メッセージが失われないようにするという要件を満たす 2 つのソリューションは次のとおりです。

このソリューションにより、Lambda 関数が使用できない場合や RDS DB インスタンスがダウンしている場合でも、通知メッセージが SQS キューに配信されます。その後、Lambda 関数は独自のペースで SQS キューからのメッセージを処理できます。

C. SNS トピックの Amazon Simple Queue Service (Amazon SQS) デッドレターキューを設定します。

このソリューションにより、RDS DB インスタンスに配信できない通知メッセージが失われることがなくなります。代わりに、それらはデッドレターキューに移動されます。DevOps エンジニアは、デッドレターキューからのメッセージを手動で処理できます。

140 / 363

140.

No.140
ある会社には、Amazon EC2 インスタンスで実行されるアプリケーションがあります。この会社は、AWS CodePipeline パイプラインを使用して、アプリケーションを複数の AWS リージョンにデプロイします。パイプラインは、リージョンごとにステージが設定されています。各ステージには、リージョンごとに AWS CloudFormation アクションが含まれています。
パイプラインがアプリケーションをリージョンにデプロイするとき、会社はパイプラインが次のリージョンに移動する前に、アプリケーションが正常な状態にあることを確認したいと考えています。Amazon Route 53 レコードセットは、各リージョンのアプリケーション用に構成されています。DevOps エンジニアは、アプリケーションがデプロイされているリージョンごとに、Amazon CloudWatch アラームに基づく Route 53 ヘルスチェックを作成します。
要件を満たすために、DevOps エンジニアは次に何をすべきでしょうか?

A. CloudWatch アラームの状態を確認する AWS Step Functions ワークフローを作成します。アラームが ALARM 状態の場合にエラーで終了するように Step Functions ワークフローを構成します。各リージョンのデプロイステージの間にパイプラインに新しいステージを作成します。新しいステージごとに、Step Functions ワークフローを呼び出すアクションを含めます。

B. 自動ロールバックで CloudFormation テンプレートをデプロイするように AWS CodeDeploy アプリケーションを構成します。CodeDeploy アプリケーションのインスタンスのヘルスチェックとして CloudWatch アラームを構成します。パイプラインから CloudFormation アクションを削除します。各リージョンのパイプラインステージに CodeDeploy アクションを作成します。

C. アプリケーションがデプロイされているリージョンごとに新しいパイプラインステージを作成します。新しいステージの CloudWatch アラームアクションを構成して、CloudWatch アラームの状態を確認し、アラームが ALARM 状態の場合にエラーで終了するようにします。

D. EC2 インスタンスの CloudWatch エージェントを構成して、アプリケーションのステータスを Route 53 ヘルスチェックに報告します。アプリケーションがデプロイされているリージョンごとに新しいパイプラインステージを作成します。 CloudWatch アラームが ALARM 状態の場合にエラーで終了するように CloudWatch アラームアクションを設定します。

回答: A

説明:
CloudWatch アラームアクションというものはありません。アラームで実行できるのは、SNS トピックに通知を送信することだけです。EventBridge (CloudWatch ログイベント) または Step Functions を使用してアクションを実行できます。

141 / 363

141.

No.141
ある会社では、Amazon CloudWatch を使用して Amazon EC2 インスタンスを監視する予定です。NetworkPacketsIn メトリクスの平均が 12 時間の時間枠で少なくとも 3 時間 5 未満になった場合、EC2 インスタンスを停止する必要があります。会社は 1 時間ごとにメトリクスを評価する必要があります。評価期間中に NetworkPacketsIn メトリクスのデータが欠落している場合でも、EC2 インスタンスは引き続き実行する必要があります。
DevOps エンジニアは、NetworkPacketsIn メトリクスの CloudWatch アラームを作成します。DevOps エンジニアは、しきい値を 5、評価期間を 1 時間に設定します。
これらの要件を満たすために、DevOps エンジニアが実行する必要がある追加のアクションのセットはどれですか?

A. アラームするデータポイントの値を 12 のうち 3 に設定します。欠落したデータをしきい値の違反として扱うようにアラームを設定します。アラームが ALARM 状態になったときにインスタンスを停止する AWS Systems Manager アクションを追加します。

B. アラームするデータポイントの値を 12 個中 3 個に設定します。アラームを設定して、欠落したデータをしきい値を超えていないものとして扱います。アラームが ALARM 状態になったときにインスタンスを停止する EC2 アクションを追加します。

C. アラームするデータポイントの値を 12 個中 9 個に設定します。アラームを設定して、欠落したデータをしきい値を超えているものとして扱います。アラームが ALARM 状態になったときにインスタンスを停止する EC2 アクションを追加します。

D. アラームするデータポイントの値を 12 個中 9 個に設定します。アラームを設定して、欠落したデータをしきい値を超えていないものとして扱います。アラームが ALARM 状態になったときにインスタンスを停止する AWS Systems Manager アクションを追加します。

回答: B

説明:
B: これが理由です https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/UsingAlarmActions.html#AddingStopActions

142 / 363

142.

No.142
ある会社が、AWS Organizations 内の組織内にある 500 個の AWS アカウントを管理しています。会社は、すべてのアカウントで多数の未接続の Amazon Elastic Block Store (Amazon EBS) ボリュームを発見しました。会社は、調査のために未接続の EBS ボリュームに自動的にタグを付けたいと考えています。
DevOps エンジニアは、すべての AWS アカウントに AWS Lambda 関数をデプロイする必要があります。7 日以上未接続になっているすべての EBS ボリュームにタグを付けるには、Lambda 関数を 30 分ごとに実行する必要があります。
どのソリューションが最も運用効率の高い方法でこれらの要件を満たしますか?

A. 組織の委任管理者アカウントを構成します。Lambda 関数を含む AWS CloudFormation テンプレートを作成します。 CloudFormation StackSets を使用して、委任された管理者アカウントから組織内のすべてのメンバーアカウントに CloudFormation テンプレートをデプロイします。委任された管理者アカウントに Amazon EventBridge イベントバスを作成し、各メンバーアカウントで 30 分ごとに Lambda 関数を呼び出します。

B. 組織のメンバーアカウントにクロスアカウント IAM ロールを作成します。AWSLambda_FullAccess ポリシーと AWSCloudFormationFullAccess ポリシーをロールにアタッチします。Lambda 関数と Amazon EventBridge スケジュールルールを含む AWS CloudFormation テンプレートを作成し、Lambda 関数を 30 分ごとに呼び出します。組織の管理アカウントに、ロールを引き受けて CloudFormation テンプレートをメンバーアカウントにデプロイするカスタムスクリプトを作成します。

C. 組織の委任された管理者アカウントを設定します。Lambda 関数と Amazon EventBridge スケジュールルールを含む AWS CloudFormation テンプレートを作成し、Lambda 関数を 30 分ごとに呼び出します。 CloudFormation StackSets を使用して、委任された管理者アカウントから組織内のすべてのメンバーアカウントに CloudFormation テンプレートをデプロイします

D. 組織のメンバーアカウントにクロスアカウント IAM ロールを作成します。AmazonS3FullAccess ポリシーと AWSCodeDeployDeployerAccess ポリシーをロールにアタッチします。AWS CodeDeploy を使用して、組織の管理アカウントから Lambda 関数をデプロイするロールを引き受けます。メンバーアカウントで Amazon EventBridge のスケジュールされたルールを構成して、30 分ごとに Lambda 関数を呼び出します。

回答: C

説明:
C が正解です: <Lambda 関数は、すべての EBS ボリュームにタグを付けるために 30 分ごとに実行する必要があります>: イベントブリッジと Lambda を組み合わせて使用する必要があります
A: <. 委任された管理者アカウントに Amazon EventBridge イベントバスを作成して Lambda 関数を呼び出します>: イベントを監視するには、委任された管理者のアカウントではなく、各メンバーアカウントにイベントブリッジが必要です
B および D: これらのオプションでは、すべてのメンバーアカウントに IAM ロールが作成されますが、これは誤りです

143 / 363

143.

No.143
ある会社の本番環境では、AWS CodeDeploy ブルー/グリーンデプロイメントを使用してアプリケーションをデプロイしています。このデプロイメントには、Amazon Linux 2 を実行するインスタンスを起動する Amazon EC2 Auto Scaling グループが含まれています。
コードリポジトリには機能する appspec.yml ファイルがあり、次のテキストが含まれています:

version: 0.0
os: linux
files:
- source: /
destination: /var/www/html/application

DevOps エンジニアは、置換インスタンスがリクエストトラフィックの処理を開始する前に、スクリプトがインスタンスにライセンスファイルをダウンロードしてインストールするようにする必要があります。DevOps エンジニアは、appspec.yml ファイルにフックセクションを追加します。
DevOps エンジニアは、ライセンスファイルをダウンロードしてインストールするスクリプトを実行するためにどのフックを使用する必要がありますか?

A. AfterBlockTraffic

B. BeforeBlockTraffic

C. BeforeInstall

D. DownloadBundle

回答: C

説明:
C が正解です。ブルー/グリーンデプロイメントの場合、Before install は、<置換インスタンス> がリクエストトラフィックの処理を開始する前に実行されるフックの 1 つです。
A と B: これらのフックは、置換インスタンスがリクエストトラフィックの処理を開始した後に実行されます。これらは、最後の 3 つのステップのうちの 2 つである元のインスタンスからのフックです。
D: ブルー/グリーンデプロイメントにはこのようなフックはありません。

144 / 363

144.

No.144
ある会社には、AWS Lambda 関数を含むアプリケーションがあります。Lambda 関数は、AWS CodeCommit リポジトリに保存されている Python コードを実行します。最近、Python コードのエラーが原因で、本番環境で障害が発生しました。エンジニアは、将来的に本番環境に不具合がリリースされるのを防ぐために、Lambda 関数の単体テストを作成しました。
会社の DevOps チームは、既存の AWS CodePipeline パイプラインに単体テストを統合するソリューションを実装する必要があります。ソリューションは、会社が閲覧できるユニットテストに関するレポートを生成する必要があります。
これらの要件を満たすソリューションはどれですか?

A. CodeCommit リポジトリを Amazon CodeGuru Reviewer に関連付けます。新しい AWS CodeBuild プロジェクトを作成します。CodePipeline パイプラインで、新しい CodeBuild プロジェクトを使用するテストステージを構成します。CodeCommit リポジトリに buildspec.yml ファイルを作成します。buildspec yml ファイルで、CodeGuru レビューを実行するアクションを定義します。

B. 新しい AWS CodeBuild プロジェクトを作成します。CodePipeline パイプラインで、新しい CodeBuild プロジェクトを使用するテストステージを構成します。CodeBuild レポートグループを作成します。CodeCommit リポジトリに buildspec.yml ファイルを作成します。buildspec.yml ファイルで、ビルドフェーズセクションで JUNITXML の出力を使用してユニットテストを実行するアクションを定義します。新しい CodeBuild レポートグループにアップロードされるテストレポートを構成します。

C. 新しい AWS CodeArtifact リポジトリを作成します。新しい AWS CodeBuild プロジェクトを作成します。 CodePipeline パイプラインで、新しい CodeBuild プロジェクトを使用するテストステージを構成します。元の CodeCommit リポジトリに appspec.yml ファイルを作成します。appspec.yml ファイルで、ビルドフェーズセクションで CUCUMBERJSON の出力を使用してユニットテストを実行するアクションを定義します。新しい CodeArtifact リポジトリに送信するテストレポートを構成します。

D. 新しい AWS CodeBuild プロジェクトを作成します。CodePipeline パイプラインで、新しい CodeBuild プロジェクトを使用するテストステージを構成します。新しい Amazon S3 バケットを作成します。CodeCommit リポジトリに buildspec.yml ファイルを作成します。buildspec yml ファイルで、フェーズセクションで HTML の出力を使用してユニットテストを実行するアクションを定義します。レポートセクションで、テストレポートを S3 バケットにアップロードします。

回答: B

説明:
B が正解です。ユニットテストには codebuild が必要です
A: codeguru はコード分析用であり、ユニットテスト用ではありません
C: このオプションではレポートを CodeArtifact リポジトリにプッシュすると書かれていますが、これは誤りです
D: このオプションではレポートを S3 にプッシュすると書かれていますが、これは誤りです。レポートは codebuild レポートグループにアップロードする必要があります

145 / 363

145.

No.145
ある会社が AWS Organizations で複数の AWS アカウントを管理しています。会社のセキュリティポリシーでは、メンバーアカウントの AWS アカウントルートユーザー認証情報を使用してはならないと規定されています。会社はルートユーザー認証情報へのアクセスを監視しています。
最近のアラートでは、メンバーアカウントのルートユーザーが Amazon EC2 インスタンスを起動したことが示されています。DevOps エンジニアは、メンバーアカウントのルートユーザーが AWS サービス API 呼び出しを実行できないようにする SCP を組織のルートレベルで作成する必要があります。
これらの要件を満たす SCP はどれですか。

A { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": ( "arn:aws:iam::*:root" ) } } ] }

B { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

C { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

D { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "", "Resource": "*", "Principal": "root" } ] }

回答: C

説明:
C であるべきだと思います
https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html#bp_member-acct_use-scp

146 / 363

146.

No.146
ある会社では AWS を使用しており、予測可能なトラフィックパターンを持つ重要なコンピューティングインフラストラクチャを含む VPC を所有しています。この会社は、Amazon CloudWatch Logs のロググループに公開される VPC フローログを設定しています。
この会社の DevOps チームは、VPC フローログのモニタリングソリューションを設定して、VPC へのネットワークトラフィックの異常を時間の経過とともに特定する必要があります。モニタリングソリューションが異常を検出した場合、会社はその異常への対応を開始する必要があります。
DevOps チームは、これらの要件を満たすためにモニタリングソリューションをどのように設定する必要がありますか?

A. Amazon Kinesis データストリームを作成します。ロググループをデータストリームにサブスクライブします。データストリーム内のログ異常を検出するように Amazon Kinesis Data Analytics を設定します。データストリームの出力として使用する AWS Lambda 関数を作成します。異常が見つかった場合にデフォルトの Amazon EventBridge イベントバスに書き込むように Lambda 関数を設定します。

B. Amazon S3 バケットにイベントを配信する Amazon Kinesis Data Firehose 配信ストリームを作成します。ロググループを配信ストリームにサブスクライブします。Amazon Lookout for Metrics を設定して、S3 バケット内のデータに異常がないか監視します。Lookout for Metrics の異常検出に応じて実行する AWS Lambda 関数を作成します。Lambda 関数を設定して、デフォルトの Amazon EventBridge イベントバスにパブリッシュします。

C. 異常を検出するための AWS Lambda 関数を作成します。Lambda 関数が異常を検出した場合に、Lambda 関数を設定して、デフォルトの Amazon EventBridge イベントバスにイベントをパブリッシュします。Lambda 関数をロググループにサブスクライブします。

D. Amazon Kinesis データストリームを作成します。ロググループをデータストリームにサブスクライブします。ログの異常を検出するための AWS Lambda 関数を作成します。Lambda 関数が異常を検出した場合に、Lambda 関数を設定して、デフォルトの Amazon EventBridge イベントバスに書き込みます。Lambda 関数をデータストリームのプロセッサとして設定します。

回答: B

説明:
B だと思います。Amazon Lookout for metrics は S3 バケットから異常を検出し、Lambda をトリガーできます
https://aws.amazon.com/lookout-for-metrics/

147 / 363

147.

No.147
AnyCompany は AWS Organizations を使用して複数の AWS アカウントを作成および管理しています。AnyCompany は最近、小規模な会社である Example Corp を買収しました。買収プロセス中に、Example Corp の単一の AWS アカウントが Organizations の招待を通じて AnyCompany の管理アカウントに参加しました。AnyCompany は、新しいメンバーアカウントを Example Corp 専用の OU に移動しました。
AnyCompany の DevOps エンジニアには、メンバーアカウントにアクセスするために OrganizationAccountAccessRole という名前のロールを引き受ける IAM ユーザーがいます。このロールは、フルアクセスポリシーで設定されています。DevOps エンジニアが AWS マネジメントコンソールを使用して Example Corp の新しいメンバーアカウントでロールを引き受けようとすると、DevOps エンジニアは次のエラーメッセージを受け取ります: 「1 つ以上のフィールドに無効な情報があります。情報を確認するか、管理者に問い合わせてください。」
どのソリューションが DevOps エンジニアに新しいメンバーアカウントへのアクセスを提供しますか?

A. 管理アカウントで、DevOps エンジニアの IAM ユーザーに、新しいメンバーアカウントで OrganizationAccountAccessRole IAM ロールを引き受ける権限を付与します。

B. 管理アカウントで、新しい SCP を作成します。SCP で、DevOps エンジニアの IAM ユーザーに、新しいメンバーアカウントのすべてのリソースへのフルアクセスを付与します。新しいメンバーアカウントを含む OU に SCP をアタッチします。

C. 新しいメンバーアカウントで、OrganizationAccountAccessRole という名前の新しい IAM ロールを作成します。AdministratorAccess AWS 管理ポリシーをロールにアタッチします。ロールの信頼ポリシーで、管理アカウントにロールを引き受ける権限を付与します。

D. 新しいメンバーアカウントで、OrganizationAccountAccessRole IAM ロールの信頼ポリシーを編集します。管理アカウントにロールを引き受ける権限を付与します。

回答: C

説明:
C が正解です: <Example Corp の新規メンバーアカウントでロールを引き受ける> は、このロールが適切に構成されていない (または作成されていない) ことを意味します
A: ロールを引き受けることについてのみ言及しており、作成については言及していません。
B: scp はここでは何の関係もありません
D: 信頼関係の作成についてのみ言及しています

148 / 363

148.

No.148
DevOps エンジニアは、レガシー REST API と統合するアプリケーションを設計しています。アプリケーションには、Amazon Kinesis データストリームからレコードを読み取る AWS Lambda 関数があります。Lambda 関数は、レコードをレガシー REST API に送信します。
Lambda 関数が Kinesis データストリームから送信するレコードの約 10% にデータエラーがあり、手動で処理する必要があります。Lambda 関数のイベントソース構成には、障害時の送信先として Amazon Simple Queue Service (Amazon SQS) デッドレターキューがあります。DevOps エンジニアは、レコードをバッチで処理するように Lambda 関数を構成し、障害が発生した場合に再試行を実装しました。
テスト中に、DevOps エンジニアは、デッドレターキューに、データエラーがなく、レガシー REST API によってすでに処理されているレコードが多数含まれていることに気付きました。DevOps エンジニアは、デッドレターキューに送信されるエラーのないレコードの数を減らすために、Lambda 関数のイベントソースオプションを構成する必要があります。
これらの要件を満たすソリューションはどれですか?

A. 再試行回数を増やす。

B. エラーが発生したときにバッチを分割するように設定を構成する。

C. シャードあたりの同時バッチ数を増やす。

D. レコードの最大経過期間を短縮する。

回答: B

説明:
AWS Lambda を使用して Kinesis データストリームからレコードを消費する場合、関数はレコードをバッチで処理できます。デフォルトでは、バッチ内のレコードが処理に失敗すると、バッチ全体がデッドレターキューに送信されます。
エラーのないレコードがデッドレターキューに送信されないようにするには、エラーが発生したときにバッチを分割するように Lambda 関数のイベントソースオプションを構成する必要があります。この設定は batchWindow と呼ばれ、Lambda 関数のイベントソースマッピングで構成できます。
batchWindow が TRIM_HORIZON に設定されている場合、Lambda 関数はエラーの原因となった最初のレコードでバッチを分割し、失敗したレコードのみをデッドレターキューに送信します。バッチ内の残りのエラーのないレコードは、引き続き関数によって処理されます。

149 / 363

149.

No.149
ある会社では、Amazon DynamoDB からデータを読み取るマイクロサービスを AWS Lambda で実行しています。Lambda コードは、テストが成功した後、開発者によって手動でデプロイされます。会社では現在、テストとデプロイを自動化し、クラウドで実行する必要があります。さらに、各マイクロサービスの新しいバージョンへのトラフィックは、デプロイ後に徐々に移行する必要があります。
すべての要件を満たし、開発者の速度を最大限に高めるソリューションはどれですか?

A. AWS CodePipeline 構成を作成し、テストに合格した後にパイプラインをトリガーするコミット後フックを設定します。AWS CodeDeploy を使用して、トラフィックの割合と間隔を指定する Canary デプロイ構成を作成します。

B. テストコードがプッシュされたときにトリガーされる AWS CodeBuild 構成を作成します。AWS CloudFormation を使用して、新しい Lambda バージョンをデプロイし、トラフィックの移行率と間隔を指定する AWS CodePipeline 構成をトリガーします。

C. AWS CodePipeline 構成を作成し、コードがプッシュされたときにトリガーされるソースコードステップを設定します。AWS CodeBuild を使用してテストを実行するようにビルドステップを設定します。デプロイする AWS CodeDeploy 構成を設定し、CodeDeployDefault.LambdaLinear10PercentEvery3Minutes オプションを選択します。

D. AWS CLI を使用して、テストに合格した後にコードを Amazon S3 バケットにアップロードするコミット後フックを設定します。新しいバージョンをデプロイする Lambda 関数を実行する S3 イベントトリガーを設定します。Lambda 関数の間隔を使用して、必要な割合で時間の経過とともにコードをデプロイします。

回答: C

説明:
このソリューションには、次の利点があります。

自動化: コードのプッシュからテストとデプロイまでのプロセス全体が自動化されるため、手作業が削減され、開発者の速度が向上します。

統合: AWS CodePipeline、CodeBuild、および CodeDeploy を使用することで、シームレスに連携するように設計されたフルマネージドサービスを活用できます。
増分デプロイ: CodeDeployDefault.LambdaLinear10PercentEvery3Minutes オプションにより、トラフィックがマイクロサービスの新しいバージョンにスムーズかつ制御された方法で移行され、ダウンタイムや中断のリスクが最小限に抑えられます。

150 / 363

150.

No.150
ある会社が、AWS Lambda と Amazon API Gateway を利用したサーバーレスアーキテクチャを使用する Web およびモバイルアプリケーションを構築しています。この会社は、AWS CodeCommit リポジトリの適切な環境ブランチにプッシュされるコードに基づいて、バックエンドの Lambda デプロイメントを完全に自動化したいと考えています。
デプロイメントには、次のものが必要です。
• テストと本番用の別々の環境パイプライン
• テスト環境のみで実行される自動デプロイメント
これらの要件を満たすには、どの手順を実行する必要がありますか?

A. 新しい AWS CodePipeline サービスを設定します。各環境に CodeCommit リポジトリを作成します。適切なリポジトリからソースコードを取得するように CodePipeline を設定します。AWS CloudFormation を使用して Lambda 関数をデプロイするためのデプロイ手順を設定します。

B. テスト環境と本番環境用に 2 つの AWS CodePipeline 構成を作成します。本番パイプラインに手動承認手順を設定します。各環境に CodeCommit リポジトリを作成します。適切なリポジトリからソースコードを取得するように各 CodePipeline を設定します。AWS CloudFormation を使用して Lambda 関数をデプロイするためのデプロイ手順を設定します。

C. テスト環境と本番環境用に 2 つの AWS CodePipeline 設定を作成します。本番パイプラインに手動承認ステップを設定します。環境ごとにブランチを持つ CodeCommit リポジトリを 1 つ作成します。リポジトリ内の適切なブランチからソースコードを取得するように各 CodePipeline を設定します。AWS CloudFormation を使用して Lambda 関数をデプロイするためのデプロイ手順を設定します。

D. テスト環境と本番環境用に AWS CodeBuild 設定を作成します。本番パイプラインに手動承認ステップを設定します。環境ごとにブランチを持つ CodeCommit リポジトリを 1 つ作成します。Lambda 関数コードを Amazon S3 バケットにプッシュします。S3 バケットから Lambda 関数をデプロイするためのデプロイ手順を設定します。

回答: C

説明:
C が正解です。<テストと本番用に環境パイプラインを分離する> は codepipeline を意味し、<AWS CodeCommit リポジトリ内の適切な環境ブランチにプッシュされるコード> は code CodeCommit を意味します。
A: テストと開発用に別々の env を作成することについては言及されていません。
B: <環境ごとに CodeCommit リポジトリを作成する> はこれを行うべきではありません。各環境ごとにブランチを作成する必要があります
D: コードパイプラインについては言及されていません

151 / 363

151.

No.151
DevOps エンジニアは、オンプレミスから AWS にアプリケーションを移行するためのソリューションを見つけたいと考えています。アプリケーションは Linux 上で実行されており、適切に機能するには、Apache Tomcat、HAProxy、および Varnish Cache の特定のバージョンで実行する必要があります。アプリケーションのオペレーティングシステムレベルのパラメータを調整する必要があります。ソリューションには、新しいアプリケーションバージョンのデプロイを自動化する方法が含まれている必要があります。インフラストラクチャはスケーラブルである必要があり、障害のあるサーバーは自動的に置き換えられる必要があります。
DevOps エンジニアはどのソリューションを使用する必要がありますか?

A. アプリケーションを、必要なすべてのソフトウェアを含む Docker イメージとして Amazon ECR にアップロードします。AWS Fargate 起動タイプと Auto Scaling グループを使用して、Amazon ECS クラスターを作成します。Amazon ECR をソースとして使用し、Amazon ECS をデプロイプロバイダーとして使用する AWS CodePipeline パイプラインを作成します。

B. アプリケーションコードを、保存した設定ファイルを使用して AWS CodeCommit リポジトリにアップロードし、ソフトウェアを設定してインストールします。 AWS Elastic Beanstalk ウェブサーバー層と、Tomcat ソリューションスタックを使用する負荷分散型環境を作成します。CodeCommit をソースとして使用し、Elastic Beanstalk をデプロイメントプロバイダーとして使用する AWS CodePipeline パイプラインを作成します。

C. アプリケーションコードを .ebextensions ファイルのセットと共に AWS CodeCommit リポジトリにアップロードし、ソフトウェアを設定およびインストールします。Tomcat ソリューションスタックを使用する AWS Elastic Beanstalk ワーカー層環境を作成します。CodeCommit をソースとして使用し、Elastic Beanstalk をデプロイメントプロバイダーとして使用する AWS CodePipeline パイプラインを作成します。

D. アプリケーションコードを appspec.yml ファイルと共に AWS CodeCommit リポジトリにアップロードし、必要なソフトウェアを設定およびインストールします。Amazon EC2 Auto Scaling グループに関連付けられた AWS CodeDeploy デプロイメントグループを作成します。CodeCommit をソースとして使用し、CodeDeploy をデプロイメントプロバイダーとして使用する AWS CodePipeline パイプラインを作成します。

回答: D

説明:
オプション A はサーバーレスで簡単に導入できるため有力な候補ですが、特定のソフトウェアバージョン、OS レベルのチューニング、スケーラブルでフォールトトレラントなインフラストラクチャの必要性を考慮すると、オプション D が最も適切なソリューションです。オプション D は、自動化とスケーラビリティの利点に加えて、ソフトウェア環境とインフラストラクチャ構成に必要な制御を提供します。

152 / 363

152.

No.152
DevOps エンジニアは、EC2 Auto Scaling グループ内の Amazon EC2 インスタンスのフリート全体で AWS CodeDeploy を使用しています。EC2 Auto Scaling と統合されている関連する CodeDeploy デプロイメントグループは、CodeDeployDefault.OneAtATime を使用してインプレースデプロイメントを実行するように構成されています。進行中の新しいデプロイメント中に、エンジニアは、全体のデプロイメントは正常に終了したにもかかわらず、5 つのインスタンスのうち 2 つに以前のアプリケーションリビジョンがデプロイされていることに気付きました。他の 3 つのインスタンスには、最新のアプリケーションリビジョンがあります。
この問題の原因は何でしょうか?

A. 影響を受けた 2 つのインスタンスが新しいデプロイメントを取得できませんでした。

B. AfterInstall ライフサイクルイベントフックが失敗したため、影響を受けるインスタンスで CodeDeploy エージェントが以前のバージョンにロールバックされました。

C. CodeDeploy エージェントは、影響を受ける 2 つのインスタンスにインストールされていませんでした。

D. EC2 Auto Scaling は、新しいデプロイメントがまだ完了していない間に 2 つの新しいインスタンスを起動したため、影響を受けるインスタンスに以前のバージョンがデプロイされました。

回答: D

説明:
D が正解です。インプレースデプロイメントでは、デプロイメント時に利用可能なすべてのエージェントを検索し、アプリのバージョンを更新します。検索後に新しいインスタンスが起動された場合、それらは省略され、利用可能な最新のアプリバージョン (以前のリビジョン) が取得されます。
A と B: これが発生した場合、他の 3 つも影響を受けます
C: コードデプロイエージェントがインストールされていない場合、2 つのインスタンスにバージョンはインストールされません

153 / 363

153.

No.153
セキュリティチームは、開発者が意図せずに Elastic IP アドレスを本番環境の Amazon EC2 インスタンスにアタッチする可能性があることを懸念しています。開発者がインスタンスに Elastic IP アドレスをアタッチすることは許可されません。本番環境のサーバーに Elastic IP アドレスがある場合はいつでも、セキュリティチームに通知する必要があります。
このタスクを自動化するにはどうすればよいでしょうか。

A. Amazon Athena を使用して AWS CloudTrail ログをクエリし、関連付けアドレスの試行がないかどうかを確認します。AWS Lambda 関数を作成して Elastic IP アドレスとインスタンスの関連付けを解除し、セキュリティチームに警告します。

B. 開発者の IAM グループに IAM ポリシーをアタッチして、関連付けアドレスのアクセス許可を拒否します。カスタム AWS Config ルールを作成して、Elastic IP アドレスが本番環境としてタグ付けされたインスタンスに関連付けられているかどうかを確認し、セキュリティチームに警告します。

C. 開発者に関連付けられているすべての IAM グループに、関連付けアドレスのアクセス許可がないことを確認します。スケジュールされた AWS Lambda 関数を作成し、Elastic IP アドレスが本番環境としてタグ付けされたインスタンスに関連付けられているかどうかを確認し、インスタンスに Elastic IP アドレスが関連付けられている場合はセキュリティチームに警告します。

D. AWS Config ルールを作成し、すべての本番環境インスタンスに、関連付けアドレスのアクセス許可を拒否する EC2 IAM ロールがあることを確認します。インスタンスに Elastic IP アドレスが関連付けられているかどうかを確認し、インスタンスに Elastic IP アドレスが関連付けられている場合はセキュリティチームに警告します。

回答: B

説明:
B が正解です: <開発者の IAM グループに IAM ポリシーをアタッチして、関連付けアドレスのアクセス許可を拒否する>: すべてのアドレス関連付けの試行を拒否できることを意味します
A: AWS CloudTrail ログは、ユーザーのアクションを監視するために使用されます。関連付けアドレスの試行は明らかになりますが、AWS Lambda が IP の関連付けを解除するトリガーにはなりません
C: <開発者に関連付けられているすべての IAM グループに関連付けアドレスの権限がないことを確認する>: これは不要であり、オプション B を使用するとより簡単に実行できます。
D: <すべての本番インスタンスに EC2 IAM ロールがあることを確認する>: EC2 のロールを確認する必要はありませんが、開発者のロールを処理する必要があります。

概要: D は無関係ですが、A と C は要件を達成できますが、より多くの労力とリソースを消費します。

154 / 363

No.154
ある企業は AWS Organizations を使用して、各部門に個別の AWS アカウントを作成しています。この企業は、次のタスクを自動化する必要があります:
• Linux AMI を新しいパッチで定期的に更新し、ゴールデンイメージを生成する
• ゴールデンイメージに新しいバージョンの Chef エージェントをインストールする (使用可能な場合)
• 新しく生成された AMI を部門のアカウントに提供する

154. 管理オーバーヘッドが最も少ないソリューションはどれですか?

A. 以前のゴールデンイメージから Amazon EC2 インスタンスを起動するスクリプトを作成します。パッチ更新を適用します。新しいバージョンの Chef エージェントをインストールし、新しいゴールデンイメージを生成してから、AMI のアクセス許可を変更して、新しいイメージのみを部門のアカウントと共有します。

B. Amazon EC2 Image Builder を使用して、基本 Linux AMI と Chef エージェントをインストールするためのコンポーネントで構成されるイメージパイプラインを作成します。AWS Resource Access Manager を使用して、EC2 Image Builder イメージを部門のアカウントと共有します。

C. AWS Systems Manager Automation ランブックを使用して、以前のイメージを使用して Linux AMI を更新します。Chef エージェントを更新するスクリプトの URL を指定します。AWS Organizations を使用して、部門のアカウントの以前のゴールデンイメージを置き換えます。

D. Amazon EC2 Image Builder を使用して、基本 Linux AMI と Chef エージェントをインストールするためのコンポーネントで構成されるイメージパイプラインを作成します。AWS Systems Manager パラメータストアにパラメータを作成し、部門のアカウントから参照できる新しい AMI ID を保存します。

回答: B

説明:
B が正解です: <ゴールデンイメージを生成する> とは、ゴールデンイメージを作成するための自動パイプラインに EC2 イメージビルダーが必要であることを意味します
A と C: EC2 イメージビルダーについては言及されていません
D: このオプションでは、イメージを共有するために SSM を利用しますが、これは正しくありません。アカウント間でリソースを共有するには、AWS リソース共有が必要です

155 / 363

155.

No.155
ある企業では、AWS 上に自動スケーリングを使用するミッションクリティカルなアプリケーションがあります。この企業は、デプロイメントライフサイクルが次のパラメータを満たすことを望んでいます。
• 残りのフリートがトラフィックを処理し続けるように、アプリケーションは一度に 1 つのインスタンスずつデプロイする必要があります。
• アプリケーションは CPU を集中的に使用するため、綿密に監視する必要があります。
• デプロイメントインスタンスの CPU 使用率が 85% を超えると、デプロイメントは自動的にロールバックする必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS CloudFormation を使用して AWS Step Functions ステートマシンと Auto Scaling ライフサイクルフックを作成し、一度に 1 つのインスタンスを待機状態に移行します。AWS Systems Manager オートメーションを使用して各インスタンスに更新をデプロイし、ハートビートタイムアウトを使用して Auto Scaling グループに戻します。

B. AWS CodeDeploy を Amazon EC2 Auto Scaling と共に使用して、CPU 使用率メトリックに関連付けられたアラームを設定します。デプロイメント戦略として CodeDeployDefault OneAtAtime 設定を使用します。アラームしきい値を超えた場合にデプロイメントをロールバックするために、デプロイメントグループ内で自動ロールバックを設定します。

C. 負荷分散と AWS Auto Scaling に AWS Elastic Beanstalk を使用します。CPU 使用率メトリクスに関連付けられたアラームを設定します。1 つのインスタンスの固定バッチサイズでローリングデプロイメントを設定します。拡張ヘルスを有効にして、デプロイメントのステータスを監視し、以前に作成したアラームに基づいてロールバックします。

D. AWS Systems Manager を使用して、Amazon EC2 Auto Scaling でブルー/グリーンデプロイメントを実行します。CPU 使用率メトリクスに関連付けられたアラームを設定します。更新を 1 つずつデプロイします。アラームしきい値を超えた場合にデプロイメントをロールバックするために、Auto Scaling グループ内で自動ロールバックを設定します。

回答: B

説明:
B 正解 - CodeDeployDefault OneAtAtime 構成 (One at a time、AllAtATime ではありません)

156 / 363

156.

No.156
ある会社には、自動デプロイメントパイプラインのコードを作成する開発者が 1 人います。開発者は、プロジェクトごとに Amazon S3 バケットにソースコードを格納しています。同社はチームに開発者を追加したいと考えていますが、コードの競合や作業の損失を懸念しています。また、同社はテスト環境を構築して、テスト用に新しいバージョンのコードをデプロイし、リポジトリでコードが変更されたときに開発者が両方の環境に自動的にデプロイできるようにしたいと考えています。
これらの要件を満たす最も効率的な方法は何ですか?

A. プロジェクトごとに AWS CodeCommit リポジトリを作成し、本番コードにはメインブランチを使用し、テストにデプロイされたコードにはテストブランチを作成します。機能ブランチを使用して新しい機能を開発し、プルリクエストを使用してコードをテストブランチとメインブランチにマージします。

B. テストコード用にプロジェクトごとに別の S3 バケットを作成し、AWS Lambda 関数を使用してテストバケットと本番バケット間のコード変更を促進します。コードの競合を防ぐために、すべてのバケットでバージョン管理を有効にします。

C. プロジェクトごとに AWS CodeCommit リポジトリを作成し、環境ごとに異なるデプロイパイプラインを使用して、本番コードとテストコードにメインブランチを使用します。機能ブランチを使用して新しい機能を開発します。

D. 各 S3 バケットでバージョン管理とブランチを有効にし、本番コードにはメインブランチを使用し、テストにデプロイされたコード用にテストブランチを作成します。開発者が各環境で開発するために各ブランチを使用するようにします。

回答: A

説明:
A は正解です。<開発者は各プロジェクトのソースコードを Amazon S3 バケットに保存しています> および <会社はチームに開発者を追加したいと考えていますが、コードの競合や作業の損失を懸念しています> は、コードコミットが必要であることを意味します
B および D: コードコミットについて言及されていません
C: 本番とテストの両方にメインブランチを使用しないでください

157 / 363

157.

No.157
DevOps エンジニアは、Auto Scaling グループの Application Load Balancer の背後で実行されているすべての Amazon EC2 インスタンスがユーザーリクエストに応答していないことに気付きました。EC2 インスタンスは、ターゲットグループの HTTP ヘルスチェックにも失敗しています。
エンジニアは検査の結果、アプリケーションプロセスがどの EC2 インスタンスでも実行されていないことに気付きました。システムログには、メモリ不足メッセージが多数あります。エンジニアは、潜在的なアプリケーションメモリリークに対処するために、アプリケーションの回復力を向上させる必要があります。問題が発生したときに警告するには、監視と通知を有効にする必要があります。
これらの要件を満たすアクションの組み合わせはどれですか (2 つ選択してください)。

A. Auto Scaling 設定を変更して、ロードバランサーのヘルスチェックに失敗したインスタンスを置き換えます。

B. ターゲットグループのヘルスチェック HealthCheckIntervalSeconds パラメータを変更して、ヘルスチェックの間隔を短縮します。

C. ターゲットグループのヘルスチェックを HTTP から TCP に変更して、アプリケーションがリッスンしているポートが到達可能かどうかを確認します。

D. Amazon CloudWatch ダッシュボード内で、Auto Scaling グループ全体の使用可能なメモリ消費メトリクスを有効にします。メモリ使用率が高い場合にアラームを作成します。アラームが鳴ったときに通知を受け取るために、Amazon SNS トピックをアラームに関連付けます。

E. Amazon CloudWatch エージェントを使用して、Auto Scaling グループ内の EC2 インスタンスのメモリ使用率を収集します。メモリ使用率が高い場合にアラームを作成し、通知を受け取るために Amazon SNS トピックを関連付けます。

回答: AE

説明:
A と E は正解です。障害が発生したインスタンスがある場合は、新しいインスタンスに置き換えて再起動する必要があります。メトリクスを監視するには、CloudWatch エージェントを使用します
B: これは何もしません
C: HTTP から TCP に変更しないでください
D: Cloudwatch はエージェントと連携しますが、このオプションではそのことについては言及されていません

158 / 363

158.

No.158
e コマース会社では、Amazon Elastic Block Store (Amazon EBS) でバックアップされた Amazon EC2 インスタンスを多数使用しています。すべてのインスタンスの手作業を減らすために、DevOps エンジニアは、EC2 インスタンスの廃止イベントがスケジュールされたときに再起動アクションを自動化するタスクを負っています。
これを実現するにはどうすればよいでしょうか?

A. 週に 1 回、廃止がスケジュールされている EC2 インスタンスがあるかどうかをチェックする AWS Systems Manager Automation ランブックを実行するように、スケジュールされた Amazon EventBridge ルールを作成します。インスタンスの廃止がスケジュールされている場合、ランブックはインスタンスを休止状態にします。

B. すべてのインスタンスで EC2 Auto Recovery を有効にします。メンテナンス期間中のみにリカバリが行われるように制限する AWS Config ルールを作成します。

C. 標準の営業時間外の承認されたメンテナンス期間中に、すべての EC2 インスタンスを再起動します。いずれかのインスタンスが EC2 インスタンスのステータスチェックに失敗した場合に通知を送信するように、Amazon CloudWatch アラームを設定します。

D. 廃止がスケジュールされたイベントが発生したときに EC2 インスタンスを停止および起動する AWS Systems Manager Automation ランブックを実行するように、AWS Health Amazon EventBridge ルールを設定します。

回答: D

説明:
D が正解です: <EC2 インスタンスのリタイアイベントがスケジュールされているときに再起動アクションを自動化する>: インスタンスを実行する基盤インフラを修復する必要がある場合でも、このようなアクションが発生します。これに対処するには、インスタンスを停止して起動し、インスタンスを別の物理マシンに再配置するだけです
A: このシナリオでは Hibernate は機能しません
B: これによってもインスタンスが復活します。ただし、AWS 構成ルールでは回復を制限できません。レポートのみで、アクションは行われません
C: このオプションは手動作業であり、自動化されたものではありません

159 / 363

159.

No.159
ある会社が、AWS Control Tower でアプリケーションチームの AWS アカウントを管理しています。個々のアプリケーションチームは、それぞれの AWS アカウントのセキュリティ保護を担当しています。
DevOps エンジニアは、アプリケーションチームがまだ GuardDuty を有効にしていないすべての AWS アカウントで Amazon GuardDuty を有効にする必要があります。DevOps エンジニアは、AWS Control Tower 管理アカウントから AWS CloudFormation StackSets を使用しています。
DevOps エンジニアは、StackSets のデプロイ中に障害が発生しないように CloudFormation テンプレートをどのように構成すればよいですか?

A. AWS Lambda 関数を呼び出す CloudFormation カスタムリソースを作成します。アカウントで GuardDuty がまだ有効になっていない場合は、Lambda 関数を構成して条件付きで GuardDuty を有効にします。

B. CloudFormation テンプレートの Conditions セクションを使用して、GuardDuty がまだ有効になっていないアカウントで GuardDuty を有効にします。

C. CloudFormation Fn::GetAtt 組み込み関数を使用して、GuardDuty がすでに有効になっているかどうかを確認します。 GuardDuty がまだ有効になっていない場合は、CloudFormation テンプレートのリソースセクションを使用して GuardDuty を有効にします。

D. GuardDuty が有効になっていない AWS アカウント ID のリストを手動で検出します。CloudFormation Fn::ImportValue 組み込み関数を使用して、アカウント ID のリストを CloudFormation テンプレートにインポートし、リストされている AWS アカウントのデプロイメントをスキップします。

回答: A

説明:
A は正解です。<CloudFormation テンプレートを構成する> は質問の要件です。デフォルトでは、CloudFormation は Guarduty の有効化をサポートしていません。有効化するには、ACF テンプレートを lambda と組み合わせて使用する必要があります。
A: 完全に正解
B: lambda については言及されていません
C: Fn::GetAtt 組み込み: これはチェックのみに使用されます。lambda を使用して Guarduty を有効にすることについては言及されていません
D: これは機能する可能性があります。ただし、手動のアプローチは推奨されません

160 / 363

160.

No.160
ある企業には AWS Control Tower ランディングゾーンがあります。会社の DevOps チームがワークロード OU を作成します。開発 OU と本番 OU はワークロード OU の下にネストされています。会社は、アプリケーションをデプロイするために会社の AWS アカウントへのフルアクセスをユーザーに付与します。
DevOps チームは、特定の管理 IAM ロールのみが本番 OU 内の AWS アカウントの IAM ロールとポリシーを管理できるようにする必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. 組織ルートの管理 IAM ロールを除外する条件でフルアクセスを拒否する SCP を作成します。

B. FullAWSAccess SCP が組織ルートに適用されていることを確認します。

C. IAM 関連のアクションを許可する SCP を作成します。SCP を開発 OU にアタッチします。

D. 管理 IAM ロールを除外する条件で IAM 関連のアクションを拒否する SCP を作成します。SCP をワークロード OU にアタッチします。

E. 管理 IAM ロールを除外する条件で IAM 関連のアクションを拒否する SCP を作成します。 SCP を本番 OU にアタッチします。

回答: BE

説明:
AWS での SCP 継承の仕組みを理解する必要があります。拒否ポリシーの動作は、許可ポリシーとは異なります。

許可ポリシーは、許可ポリシーがない場合のみ、子に継承されます。

拒否ポリシーは常に子に継承されます。

そのため、デフォルトですべてを許可するようにルートに SCP が常に設定されています。このポリシーを制限すると、他の OU の他のポリシーが何を言っているかに関係なく、組織全体が制限されます。したがって、A ではありません。間違った OU を制限しているため、D ではありません。

161 / 363

161.

No.161
ある会社が、内部セキュリティ侵害をシミュレートするために侵入テスターを雇いました。テスターは、会社の Amazon EC2 インスタンスでポートスキャンを実行しました。会社のセキュリティ対策では、ポートスキャンは検出されませんでした。
会社には、EC2 インスタンスでポートスキャンが実行されたときに自動的に通知を提供するソリューションが必要です。会社は、Amazon Simple Notification Service (Amazon SNS) トピックを作成してサブスクライブします。
要件を満たすために、会社は次に何をすべきでしょうか?

A. Amazon GuardDuty が有効になっていることを確認します。検出された EC2 およびポートスキャンの検出結果に対して Amazon CloudWatch アラームを作成します。アラームを SNS トピックに接続します。

B. Amazon Inspector が有効になっていることを確認します。ポートスキャンを示す検出されたネットワーク到達可能性の検出結果に対して Amazon EventBridge イベントを作成します。イベントを SNS トピックに接続します。

C. Amazon Inspector が有効になっていることを確認します。開いているポートの脆弱性を引き起こす検出された CVE に対して Amazon EventBridge イベントを作成します。イベントを SNS トピックに接続します。

D. AWS CloudTrail が有効になっていることを確認します。AWS Lambda 関数を作成して、CloudTrail ログを分析し、IP アドレス範囲からの異常なトラフィック量を調べます。Lambda 関数を SNS トピックに接続します。

回答: A

説明:
- GuardDuty はリアルタイムの脅威検出とアラートに重点を置いていますが、Inspector は脆弱性スキャンと修復に重点を置いています。
- GuardDuty はバックグラウンドで継続的に動作しますが、Inspector は通常、オンデマンドで実行されるか、特定のワークロードに合わせてスケジュールされます。

162 / 363

162.

No.162
ある会社では、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターでアプリケーションを実行しています。EKS クラスターは、Application Load Balancer を使用して、クラスターで実行されるアプリケーションにトラフィックをルーティングします。
EKS クラスターに移行された新しいアプリケーションのパフォーマンスが低下しています。EKS クラスター内の他のすべてのアプリケーションは、適切な操作を維持しています。新しいアプリケーションは、ユーザートラフィックが Web アプリケーションにルーティングされる前に、デプロイ後すぐに、事前構成された最大数のポッドに水平にスケールアウトします。
EKS クラスター内の Web アプリケーションのスケーリング動作を解決するソリューションはどれですか?

A. EKS クラスターに Horizontal Pod Autoscaler を実装します。

B. EKS クラスターに Vertical Pod Autoscaler を実装します。

C. Cluster Autoscaler を実装します。

D. EKS クラスターに AWS Load Balancer Controller を実装します。

回答: B

説明:
私の意見では、A は正しくありません。「新しいアプリケーションは、デプロイ後すぐに、事前設定された最大ポッド数まで水平にスケールアウトします」とは、Horizontal Pod Autoscaler がすでに実装されているが、パフォーマンスの低下の問題を解決していないことを意味します。これは、リソースの割り当てが不適切であることを示している可能性があります。
しかし、Vertical Pod Autoscaler は、アプリケーションを「適切なサイズ」にするのに役立ちます。
したがって、私にとっては B です。

163 / 363

163.

No.163
ある会社には、AWS Organizations で組織を管理する AWS Control Tower ランディングゾーンがあります。この会社は、会社の要件に基づいた OU 構造を作成しました。会社の DevOps チームは、ソリューションのコアアカウントと、すべての集中型 AWS CloudFormation および AWS Service Catalog ソリューションのアカウントを確立しました。
この会社は、アカウントが AWS Control Tower を通じてリクエストできる一連のカスタマイズを提供したいと考えています。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

A. サービス管理のアクセス許可を使用して、Organizations で CloudFormation の信頼できるアクセスを有効にします。

B. AWSControlTowerBlueprintAccess という名前の IAM ロールを作成します。管理アカウントの AWSControlTowerAdmin ロールがロールを引き受けることを許可する信頼ポリシーを使用してロールを構成します。AWSServiceCatalogAdminFullAccess IAM ポリシーを AWSControlTowerBlueprintAccess ロールにアタッチします。

C. CloudFormation テンプレートごとに Service Catalog 製品を作成します。

D. CloudFormation テンプレートごとに CloudFormation スタックセットを作成します。スタックセットごとに自動デプロイを有効にします。特定の OU をターゲットとする CloudFormation スタックインスタンスを作成します。

E. AWS Control Tower (CfCT) CloudFormation スタックのカスタマイズをデプロイします。

F. 各カスタマイズのリソースを含む CloudFormation テンプレートを作成します。

回答: BCF

説明:
「カスタマイズプロセス用に Account Factory を設定する手順」:
1.「必要なロールを作成します...」
-「ロールの名前は AWSControlTowerBlueprintAccess にする必要があります。」
-「AWSControlTowerBlueprintAccess ロールは、" [...]" に信頼を付与するように設定する必要があります。」
-「AWS Control Tower 管理アカウントの AWSControlTowerAdmin というロール。」
- AWS Control Tower では、AWSServiceCatalogAdminFullAccess という管理ポリシーを AWSControlTowerBlueprintAccess ロールにアタッチする必要があります。 (必要なアクセス許可ポリシー)
2. 「AWS Service Catalog 製品を作成します...」
[...]
https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html
https://docs.aws.amazon.com/controltower/latest/userguide/afc-setup-steps.html

164 / 363

164.

No.164
ある会社が Amazon EC2 インスタンスでワークロードを実行しています。この会社では、AWS アカウント内のすべての EC2 インスタンスでインスタンスメタデータサービスバージョン 2 (IMDSv2) の使用を要求するコントロールが必要です。EC2 インスタンスがインスタンスメタデータサービスバージョン 1 (IMDSv1) の使用を妨げない場合、EC2 インスタンスを終了する必要があります。
これらの要件を満たすソリューションはどれですか?

A. アカウントで AWS Config を設定します。マネージドルールを使用して EC2 インスタンスをチェックします。AWS Systems Manager Automation を使用してインスタンスを終了することで、検出結果を修正するルールを設定します。

B. ec2:MetadataHttpTokens 条件キーが required の値に設定されていない場合に ec2:RunInstance アクションを阻止するアクセス許可境界を作成します。インスタンスの起動に使用された IAM ロールにアクセス許可境界をアタッチします。

C. アカウントで Amazon Inspector を設定します。Amazon Inspector を設定して、EC2 インスタンスの詳細な検査を有効にします。Inspector2 の検出結果に対して Amazon EventBridge ルールを作成します。インスタンスを終了するターゲットとして AWS Lambda 関数を設定します。

D. EC2 インスタンスの起動成功イベントに対して Amazon EventBridge ルールを作成します。イベントを AWS Lambda 関数に送信して、EC2 メタデータを検査し、インスタンスを終了します。

回答: A

説明:
AWS Config は、AWS リソースの構成を評価、監査、および評価できるサービスです。リソースの構成設定を目的の構成と照らし合わせて評価するために使用できるマネージドルールを提供します。
この場合、AWS Config マネージドルール「ec2-imdsv2-check」を使用して、EC2 インスタンスがインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用しているかどうかを評価できます。このルールは、EC2 インスタンスでインスタンスメタデータサービス (IMDS) の HTTP トークンリクエストが有効になっているかどうかを確認します。これは、IMDSv2 を使用するための要件です。
EC2 インスタンスがルールに準拠していない (つまり、IMDSv2 を使用していない) ことが判明した場合、AWS Config は非準拠のリソースを自動的に修正するように設定できます。修正アクションとして、非準拠の EC2 インスタンスを終了するように AWS Systems Manager Automation を設定できます。

165 / 363

165.

No.165
ある会社が、Auto Scaling グループにある Amazon EC2 インスタンスの前で Application Load Balancer を使用するアプリケーションを構築しています。アプリケーションはステートレスです。Auto Scaling グループは、完全に構築済みのカスタム AMI を使用します。EC2 インスタンスにはカスタムブートストラッププロセスはありません。
Auto Scaling グループが使用する AMI は最近削除されました。AMI ID が存在しないため、Auto Scaling グループのスケーリングアクティビティは失敗を示します。
これらの要件を満たすために、DevOps エンジニアが実行する必要がある手順の組み合わせはどれですか? (3 つ選択してください)。

A. 新しい AMI を使用する新しい起動テンプレートを作成します。

B. 新しい起動テンプレートを使用するように Auto Scaling グループを更新します。

C. Auto Scaling グループの必要な容量を 0 に減らします。

D. Auto Scaling グループの必要な容量を 1 増やします。

E. Auto Scaling グループで実行中の EC2 インスタンスから新しい AMI を作成します。

F. EC2 インスタンスが使用するオペレーティングシステムの最新のパブリック AMI をコピーして、新しい AMI を作成します。

回答: ABE

説明:
ABE
E - 既存の EC2 から新しい AMI を作成します (ステートレスなので、これを行うことができます)
A - 新しい AMI を使用した新しい起動テンプレート
B - この新しい起動テンプレートを使用するように自動スケーリングに指示します

166 / 363

166.

No.166
ある会社が、Application Load Balancer (ALB) の背後にある Amazon EC2 インスタンスに Web アプリケーションをデプロイします。会社は、アプリケーションコードを AWS CodeCommit リポジトリに保存します。コードがメインブランチにマージされると、AWS Lambda 関数が AWS CodeBuild プロジェクトを呼び出します。CodeBuild プロジェクトはコードをパッケージ化し、パッケージ化されたコードを AWS CodeArtifact に保存し、AWS Systems Manager Run Command を呼び出して、パッケージ化されたコードを EC2 インスタンスにデプロイします。
以前のデプロイでは、欠陥、パッケージ化されたコードの最新バージョンを実行していない EC2 インスタンス、インスタンス間の不整合が発生しました。
DevOps エンジニアは、より信頼性の高いデプロイメントソリューションを実装するために、どのアクションの組み合わせを実行する必要がありますか? (2 つ選択してください)。

A. CodeCommit リポジトリをソースプロバイダーとして使用する AWS CodePipeline でパイプラインを作成します。アプリケーションのビルドとテストを行うために、CodeBuild プロジェクトを並行して実行するパイプラインステージを構成します。パイプラインで、CodeBuild プロジェクトの出力アーティファクトを AWS CodeDeploy アクションに渡します。

B. CodeCommit リポジトリをソースプロバイダーとして使用する AWS CodePipeline でパイプラインを作成します。アプリケーションのビルドとテストを行うために CodeBuild プロジェクトを実行する個別のパイプラインステージを作成します。パイプラインで、CodeBuild プロジェクトの出力アーティファクトを AWS CodeDeploy アクションに渡します。

C. パッケージ化されたコードを EC2 インスタンスにデプロイするための AWS CodeDeploy アプリケーションとデプロイグループを作成します。デプロイグループの ALB を構成します。

D. Systems Manager ではなく AWS CodeDeploy を使用してビルド、テスト、デプロイのアクションを実行する個別の Lambda 関数を作成します。

E. Amazon S3 バケットを作成します。CodeBuild プロジェクトを変更して、パッケージを CodeArtifact ではなく S3 バケットに保存します。 CodeDeploy のデプロイアクションを使用して、アーティファクトを EC2 インスタンスにデプロイします。

回答: BC

説明:
次の場合は B (シーケンシャルステージ) です:
ビルドステージとテストステージに依存関係があります (テストはビルド出力に依存します)。
制御のために、ステージ間の手動承認またはゲートが必要です。

167 / 363

167.

No.167
ある会社では、AWS Organizations の組織を使用して AWS アカウントを管理しています。この会社の自動化アカウントには、新しい AWS アカウントを作成して構成する CI/CD パイプラインが含まれています。
この会社には、組織内のアカウントにサービスを提供する社内サービスチームのグループがあります。サービスチームは、一連のサービスアカウントから業務を行います。サービスチームは、CreateAccount API 呼び出しによって新しいアカウントが作成されたときに、サービスアカウントで AWS CloudTrail イベントを受信したいと考えています。
この CloudTrail イベントをサービスアカウントと共有するにはどうすればよいでしょうか。

A. 自動化アカウントに Amazon EventBridge ルールを作成し、アカウント作成イベントをサービスアカウントのデフォルトイベントバスに送信します。サービスアカウントのデフォルトイベントバスを更新して、自動化アカウントからのイベントを許可します。

B. サービスアカウントにカスタム Amazon EventBridge イベントバスを作成します。カスタムイベントバスを更新して、自動化アカウントからのイベントを許可します。サービスアカウントに、自動化アカウントからの CloudTrail イベントを直接リッスンする EventBridge ルールを作成します。

C. 自動化アカウントとサービスアカウントにカスタム Amazon EventBridge イベントバスを作成します。自動化アカウントとサービスアカウントにあるカスタムイベントバスを接続する EventBridge ルールとポリシーを作成します。

D. 自動化アカウントにカスタム Amazon EventBridge イベントバスを作成します。カスタムイベントバスをサービスアカウントのデフォルトイベントバスに接続する EventBridge ルールとポリシーを作成します。

回答: A

説明:
A は正解です。アカウント作成イベントが必要であり、このオプションはまさにそれを提供します
B: < CloudTrail イベントを直接リッスンするサービスアカウントに EventBridge ルールを作成します>: これは意味がありません。イベントを送信するには、イベントバスにルールを適用する必要があります
C と D: どちらのオプションも、アカウント作成イベントだけでなく、すべてのイベントを送信します

168 / 363

168.

No.168
DevOps エンジニアが、Amazon Simple Queue Service (Amazon SQS) 標準キューを使用するソリューションを構築しています。ソリューションには、AWS Lambda 関数と Amazon DynamoDB テーブルも含まれています。 Lambda 関数は、SQS キューイベントソースからコンテンツを取得し、そのコンテンツを DynamoDB テーブルに書き込みます。
ソリューションは、Lambda のスケーラビリティを最大限に高め、正常に処理された SQS メッセージが複数回処理されるのを防ぐ必要があります。
これらの要件を満たすソリューションはどれですか?

A. Lambda 関数のイベントソースマッピングを構成するときに、バッチウィンドウを 1 秒に減らします。

B. Lambda 関数のイベントソースマッピングを構成するときに、バッチサイズを 1 に減らします。

C. Lambda 関数のイベントソースマッピングの FunctionResponseTypes リストに ReportBatchItemFailures 値を含めます。

D. Lambda 関数の呼び出しスロットリングを考慮して、Lambda 関数のイベントソースマッピングでキューの可視性タイムアウトを設定します。

答え: C

説明:
C です。こちらが参考になります:

https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#services-sqs-batchfailurereporting

169 / 363

169.

No.169
ある会社には、チームがさまざまなアプリケーションをデプロイするために使用する新しい AWS アカウントがあります。チームは、アプリケーション固有の目的と AWS CloudTrail ログの保存のために、多数の Amazon S3 バケットを作成します。会社は、アカウントに対して Amazon Macie を有効にしています。
DevOps エンジニアは、アカウントの機能を犠牲にすることなく、アカウントの Macie コストを最適化する必要があります。
これらの要件を満たすソリューションはどれですか? (2 つ選択してください)

A. CloudTrail ログを含む S3 バケットを自動検出から除外します。

B. パブリック読み取りアクセス権を持つ S3 バケットを自動検出から除外します。

C. アカウント内のすべての S3 バケットに対して、スケジュールされた毎日の検出ジョブを構成します。

D. 最後に変更された基準に基づいて、S3 オブジェクトを含めるように検出ジョブを構成します。

E. 本番環境のみとしてタグ付けされた S3 オブジェクトを含めるように検出ジョブを構成します。

回答: AD

説明:
A&D
検出ジョブをよりターゲットにするためのオプションには、次のものがあります:
「最終更新」基準を使用してオブジェクトを含める
CloudTrail ログをスキャンしない
ランダムオブジェクトサンプリングの使用を検討する
特定の拡張子、タグ、またはストレージサイズを持つオブジェクトを、環境: 本番などの特定のタグキー/値ペアとともに含める。
S3 バケット内でのオブジェクトの存続期間に基づいてジョブをスケジュールすることを検討する

170 / 363

170.

No.170
ある会社では、AWS Organizations 内の組織を使用して AWS アカウントを管理しています。この会社は最近、スタンドアロンの AWS アカウントを持つ別の会社を買収しました。買収会社の DevOps チームは、両社の AWS アカウントの管理を統合し、アカウントの完全な管理制御を維持する必要があります。DevOps チームは、セキュリティ体制を実装および維持するために、すべてのアカウントの調査結果を収集してグループ化する必要もあります。
これらの要件を満たすために、DevOps チームが実行する必要がある手順の組み合わせはどれですか? (2 つ選択してください)。

A. 買収した会社の AWS アカウントを組織に招待します。完全な管理者権限を持つ SCP を作成します。SCP を管理アカウントにアタッチします。

B. 買収した会社の AWS アカウントを組織に招待します。招待したアカウントに OrganizationAccountAccessRole IAM ロールを作成します。管理アカウントにロールを引き受ける権限を付与します。

C. AWS Security Hub を使用して、すべてのアカウントの検出結果を収集してグループ化します。Security Hub を使用して、アカウントが組織に追加されると新しいアカウントを自動的に検出します。

D. AWS Firewall Manager を使用して、すべてのアカウントの検出結果を収集してグループ化します。組織のすべての機能を有効にします。組織内のアカウントを Firewall Manager の委任管理者アカウントとして指定します。

E. Amazon Inspector を使用して、すべてのアカウントの検出結果を収集してグループ化します。組織内のアカウントを Amazon Inspector の委任管理者アカウントとして指定します。

回答: BC

説明:
B と C は正解です。<両社の AWS アカウントの管理を統合し、アカウントの完全な管理制御を維持する必要がある> は、新しいアカウントを既存の AWS 組織に招待する必要があることを意味します。 <すべてのアカウントの検出結果を収集してグループ化する> はセキュリティハブを意味します
A: <SCP を管理アカウントにアタッチします。>: これは誤りです
D: ファイアウォールマネージャーは、すべての FW を一元管理するために使用され、検出結果を収集してグループ化するためには使用されません
E: インスペクターは脆弱性スキャンにのみ使用されます

171 / 363

171.

No.171
ある会社にアプリケーションと CI/CD パイプラインがあります。CI/CD パイプラインは、AWS CodePipeline パイプラインと AWS CodeBuild プロジェクトで構成されています。CodeBuild プロジェクトは、ビルドプロセスの一環としてアプリケーションに対してテストを実行し、テストレポートを出力します。会社はテストレポートを 90 日間保持する必要があります。
これらの要件を満たすソリューションはどれですか?

A. CodeBuild プロジェクトを含むステージの後に、CodePipeline パイプラインに新しいステージを追加します。レポートを保存するための Amazon S3 バケットを作成します。新しい CodePipeline ステージで、レポートの適切なパスと形式を使用して S3 デプロイアクションタイプを設定します。

B. CodeBuild プロジェクトのビルド仕様ファイルに、レポートの適切なパスと形式を使用してレポートグループを追加します。レポートを保存するための Amazon S3 バケットを作成します。ビルドが完了したらレポートを S3 バケットにコピーする AWS Lambda 関数を呼び出す Amazon EventBridge ルールを設定します。90 日後にオブジェクトを期限切れにする S3 ライフサイクルルールを作成します。

C. CodePipeline パイプラインに新しいステージを追加します。レポートの適切なパスと形式を使用してテストアクションタイプを構成します。CodeBuild プロジェクトのビルドスペックファイルで、レポートの有効期限を 90 日間に設定します。

D. レポートの適切なパスと形式を使用して、CodeBuild プロジェクトのビルドスペックファイルにレポートグループを追加します。レポートを保存するための Amazon S3 バケットを作成します。CodeBuild プロジェクトのビルドスペックファイルで、レポートグループをアーティファクトとして構成します。S3 バケットをアーティファクトの保存先として構成します。オブジェクトの有効期限を 90 日に設定します。

回答: B

説明:
質問のキーワード:
S3 でオブジェクトを期限切れにする方法。

S3 ライフサイクルルールのみがオブジェクトを期限切れにできます。

172 / 363

172.

No.172
ある会社では、Amazon API Gateway リージョナル REST API を使用してアプリケーション API をホストしています。REST API にはカスタムドメインがあります。REST API のデフォルトのエンドポイントは非アクティブ化されています。
会社の社内チームが API を使用します。同社は、API と社内チーム間の相互 TLS を認証の追加レイヤーとして使用したいと考えています。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)

A. AWS Certificate Manager (ACM) を使用してプライベート証明機関 (CA) を作成します。プライベート CA によって署名されたクライアント証明書をプロビジョニングします。

B. パブリック証明機関 (CA) によって署名されたクライアント証明書をプロビジョニングします。証明書を AWS Certificate Manager (ACM) にインポートします。

C. プロビジョニングされたクライアント証明書を Amazon S3 バケットにアップロードします。S3 バケットに保存されているクライアント証明書を信頼ストアとして使用するように、API Gateway 相互 TLS を構成します。

D. プロビジョニングされたクライアント証明書の秘密キーを Amazon S3 バケットにアップロードします。S3 バケットに保存されている秘密キーを信頼ストアとして使用するように、API Gateway 相互 TLS を構成します。

E. ルートプライベート証明機関 (CA) 証明書を Amazon S3 バケットにアップロードします。S3 バケットに保存されているプライベート CA 証明書を信頼ストアとして使用するように、API Gateway 相互 TLS を構成します。

回答: AE

説明:
A. 社内チーム専用であるため。
E. 信頼する CA はトラストストアによって決定されるため。中間 CA がある場合は、それらも S3 バケットに存在する必要があります。

173 / 363

173.

No.173
ある会社では、アイデンティティプロバイダー (IdP) として Microsoft Active Directory 用の AWS Directory Service を使用しています。この会社では、すべてのインフラストラクチャを AWS CloudFormation で定義およびデプロイする必要があります。
DevOps エンジニアは、アプリケーションをホストするために Windows ベースの Amazon EC2 インスタンスのフリートを作成する必要があります。DevOps エンジニアは、EC2 起動テンプレート、IAM ロール、EC2 セキュリティグループ、および EC2 Auto Scaling グループを含む CloudFormation テンプレートを作成しました。DevOps エンジニアは、すべての EC2 インスタンスを AWS Managed Microsoft AD ディレクトリのドメインに結合するソリューションを実装する必要があります。
どのソリューションが、これらの要件を最も効率的に満たしますか?

A. CloudFormation テンプレートで、既存のディレクトリのパラメータを使用して EC2 インスタンスを AWS Managed Microsoft AD ドメインに結合する AWS::SSM::Document リソースを作成します。起動テンプレートを更新して、SSMAssociation プロパティを含め、新しい SSM ドキュメントを使用します。 AmazonSSMManagedInstanceCore および AmazonSSMDirectoryServiceAccess AWS 管理ポリシーを、EC2 インスタンスが使用する IAM ロールにアタッチします。

B. CloudFormation テンプレートで、起動テンプレートを更新して、起動時に伝播する特定のタグを含めます。AWS::SSM::Association リソースを作成し、AWS-JoinDirectoryServiceDomain Automation ランブックを、指定されたタグを持つ EC2 インスタンスに関連付けます。AWS Managed Microsoft AD ディレクトリに参加するために必要なパラメータを定義します。AmazonSSMManagedInstanceCore および AmazonSSMDirectoryServiceAccess AWS 管理ポリシーを、EC2 インスタンスが使用する IAM ロールにアタッチします。

C. 既存の AWS Managed Microsoft AD ドメイン接続の詳細を AWS Secrets Manager に保存します。CloudFormation テンプレートで、AWS::SSM::Association リソースを作成し、AWS-CreateManagedWindowsInstanceWithApproval Automation ランブックを EC2 Auto Scaling グループに関連付けます。Secrets Manager からパラメータの ARN を渡して、ドメインに参加します。 AmazonSSMDirectoryServiceAccess および SecretsManagerReadWrite AWS 管理ポリシーを、EC2 インスタンスが使用する IAM ロールにアタッチします。

D. 既存の AWS Managed Microsoft AD ドメイン管理者認証情報を AWS Secrets Manager に保存します。CloudFormation テンプレートで、EC2 起動テンプレートを更新してユーザーデータを含めます。Secrets Manager から管理者認証情報を取得し、AWS Managed Microsoft AD ドメインに参加するようにユーザーデータを構成します。AmazonSSMManagedInstanceCore および SecretsManagerReadWrite AWS 管理ポリシーを、EC2 インスタンスが使用する IAM ロールにアタッチします。

回答: B

説明:
B が正解です。このタスクには、AWS:SSM::Document を AWS-JoinDirectoryServiceDomain 自動化ランブックとともに使用する必要があります
A: ドメインに参加するためのランブックの名前は記載されていません
C: AWS-CreateManagedWindowsInstanceWithApproval 自動化ランブックは、ドメインに参加するためのものではなく、Windows インスタンスを作成するために使用されます
D: AWS::SSM::Document については記載されていません

174 / 363

174.

No.174
ある会社では、AWS Organizations を使用して AWS アカウントを管理しています。この会社には、子 OU を持つルート OU があります。ルート OU には、すべてのリソースに対するすべてのアクションを許可する SCP があります。子 OU には、Amazon DynamoDB と AWS Lambda のすべてのアクションを許可し、その他のすべてのアクションを拒否する SCP があります。
この会社には、子 OU に vendor-data という名前の AWS アカウントがあります。DevOps エンジニアには、vendor-data アカウントの管理者アクセス IAM ポリシーにアタッチされた IAM ユーザーがあります。 DevOps エンジニアは、ベンダーデータアカウントで Amazon EC2 インスタンスを起動しようとしましたが、アクセス拒否エラーを受け取りました。
DevOps エンジニアは、ベンダーデータアカウントで EC2 インスタンスを起動するためにどの変更を行う必要がありますか?

A. AmazonEC2FullAccess IAM ポリシーを IAM ユーザーにアタッチします。

B. Amazon EC2 のすべてのアクションを許可する新しい SCP を作成します。SCP をベンダーデータアカウントにアタッチします。

C. 子 OU の SCP を更新して、Amazon EC2 のすべてのアクションを許可します。

D. Amazon EC2 のすべてのアクションを許可する新しい SCP を作成します。SCP をルート OU にアタッチします。

回答: C

説明:
C です - 許可は、ルートからアカウントレベルまで明示的に指定する必要があります。OU で指定されていないため、ベンダーアカウントで使用できるようにする唯一の方法は、OU ポリシーを変更することです。

175 / 363

175.

No.175
ある会社のセキュリティポリシーでは、本番環境でセキュリティが強化された AMI を使用することが求められています。DevOps エンジニアは、EC2 Image Builder を使用して、AMI を定期的に構築するパイプラインを作成しました。
DevOps エンジニアは、会社の Auto Scaling グループの起動テンプレートを更新する必要があります。Auto Scaling グループは、Amazon EC2 インスタンスの起動時に最新の AMI を使用する必要があります。
これらの要件を最も効率的に満たすソリューションはどれですか?

A. Image Builder から新しい AMI イベントを受信するように Amazon EventBridge ルールを設定します。最新の AMI ID で Auto Scaling グループの起動テンプレートを更新する AWS Systems Manager Run Command ドキュメントをターゲットにします。

B. Image Builder から新しい AMI イベントを受信するように Amazon EventBridge ルールを設定します。最新の AMI ID で Auto Scaling グループの起動テンプレートを更新する AWS Lambda 関数をターゲットにします。

C. AMI ID に AWS Systems Manager パラメータストアの値を使用するように起動テンプレートを設定します。Image Builder パイプラインを設定して、パラメータストアの値を最新の AMI ID で更新します。

D. Image Builder の配布設定を設定して、起動テンプレートを最新の AMI で更新します。Auto Scaling グループを設定して、起動テンプレートの最新バージョンを使用します。

回答: D

説明:
D が正解です。Image Builder には、EC2 起動テンプレートの更新を可能にする組み込み機能があります。
A: AWS Systems Manager Run Command ドキュメントは、EC2 でスクリプトを実行するために使用され、更新には使用されません。
B: Lambda は、このタスクではなく、他のタスクに使用されます。
C: これは実行可能なオプションのようですが、パラメータストアを使用せずに起動テンプレートを直接更新できます。

176 / 363

176.

No.176
ある会社が、AWS Lambda 関数で Amazon S3 イベントソースを設定しました。この会社では、特定の S3 バケットで新しいオブジェクトが作成されたとき、または既存のオブジェクトが変更されたときに Lambda 関数を実行する必要があります。 Lambda 関数は、受信イベントの S3 バケット名と S3 オブジェクトキーを使用して、作成または変更された S3 オブジェクトのコンテンツを読み取ります。Lambda 関数はコンテンツを解析し、解析したコンテンツを Amazon DynamoDB テーブルに保存します。
Lambda 関数の実行ロールには、S3 バケットからの読み取りと DynamoDB テーブルへの書き込みの権限があります。テスト中に、DevOps エンジニアは、オブジェクトが S3 バケットに追加されたとき、または既存のオブジェクトが変更されたときに Lambda 関数が実行されないことを発見しました。
この問題を解決するソリューションはどれですか?

A. Lambda 関数のメモリを増やして、関数が S3 バケットから大きなファイルを処理できるようにします。

B. Lambda 関数にリソースポリシーを作成し、Amazon S3 に S3 バケットの Lambda 関数を呼び出す権限を付与します。

C. Amazon Simple Queue Service (Amazon SQS) キューを Lambda 関数の OnFailure 宛先として設定します。

D. Lambda 関数の /tmp フォルダにスペースをプロビジョニングして、関数が S3 バケットから大きなファイルを処理できるようにします。

回答: B

説明:
B: 正解: Lambda リソースベースのポリシーに権限を追加して、S3 が Lambda を呼び出すことを許可する
A: メモリが不足している場合でも、Lambda は実行されます。このケースは、Lambda がまったく実行されない場合についてです
C: ここではデッドレターキューに SQS は必要ありません
D: Lambda はテストでは実行されません。これは、問題がディスク領域にないことを証明しています。テストでは、テスターは通常、大きなオブジェクトを使用しないからです

177 / 363

No.177
ある会社が、2 つの AWS リージョンに重要なアプリケーションをデプロイしました。アプリケーションは、両方のリージョンでアプリケーションロードバランサー (ALB) を使用します。会社には、両方の ALB 用の Amazon Route 53 エイリアス DNS レコードがあります。
会社は、Amazon Route 53 アプリケーションリカバリコントローラを使用して、アプリケーションが 2 つのリージョン間でフェイルオーバーできるようにします。Route 53 ARC 構成には、両方のリージョンのルーティング制御が含まれています。会社は、Route 53 ARC を使用して、四半期ごとの災害復旧 (DR) テストを実行します。
最新の DR テスト中に、DevOps エンジニアが誤って両方のルーティング制御をオフにしました。会社では、少なくとも 1 つのルーティング制御が常にオンになっていることを確認する必要があります。

177. これらの要件を満たすソリューションはどれですか?

A. Route 53 ARC で、新しいアサーション安全ルールを作成します。アサーション安全ルールを 2 つのルーティング制御に適用します。しきい値 1 の ATLEAST タイプでルールを設定します。

B. Route 53 ARC で、新しいゲーティング安全ルールを作成します。アサーション安全ルールを 2 つのルーティングコントロールに適用します。しきい値が 1 の OR タイプでルールを設定します。

C. Route 53 ARC で、新しいリソースセットを作成します。リソースセットを AWS::Route53::HealthCheck リソースタイプで設定します。2 つのルーティングコントロールの ARN をターゲットリソースとして指定します。リソースセットの新しい準備チェックを作成します。

D. Route 53 ARC で、新しいリソースセットを作成します。リソースセットを AWS::Route53RecoveryReadiness::DNSTargetResource リソースタイプで設定します。2 つの Route 53 エイリアス DNS レコードのドメイン名をターゲットリソースとして追加します。リソースセットの新しい準備チェックを作成します。

回答: A

説明:
A が正解です。少なくとも 1 つのゲートが常に開いていることを確認するアサーションルールです。このルールは基本的に、ユーザーが実行できないか、実行のみ許可するものです。
B: このゲーティングルールは基本的に、ARC セットのオン/オフスイッチです。オフにしたくないコントローラーがある場合は、このルールを指定します。このルールは、質問の目的を達成するのに役立つ可能性があります。ただし、オフにしてはいけないコントローラーの正確な名前を指定する必要があります。一方、質問では、どのコントローラーもオフにできるが、少なくとも 1 つは稼働している必要があることが求められています。したがって、これは適切なオプションではありません。

178 / 363

178.

No.178
ヘルスケアサービス会社は、患者の健康状態を監視するアプリケーションのソフトウェアライセンスのコストが増大していることを懸念しています。この会社は、アプリケーションが Amazon EC2 専用ホストでのみ実行されていることを確認するための監査プロセスを作成したいと考えています。DevOps エンジニアは、コンプライアンスを確保するためにアプリケーションを監査するためのワークフローを作成する必要があります。
エンジニアは、管理オーバーヘッドを最小限に抑えてこの要件を満たすためにどのような手順を踏む必要がありますか?

A. AWS Systems Manager 構成コンプライアンスを使用します。put-compliance-items API アクションへの呼び出しを使用して、ホスト配置構成に基づいて非準拠の EC2 インスタンスのデータベースをスキャンして構築します。Amazon DynamoDB テーブルを使用してこれらのインスタンス ID を保存し、高速アクセスを実現します。 list-compliance-summaries API アクションを呼び出して、Systems Manager からレポートを生成します。

B. EC2 インスタンスで実行されているカスタム Java コードを使用します。チェックするインスタンスの数に応じて、インスタンスの EC2 Auto Scaling を設定します。非準拠の EC2 インスタンス ID のリストを Amazon SQS キューに送信します。別のワーカーインスタンスを設定して、SQS キューからのインスタンス ID を処理し、Amazon DynamoD に書き込みます。AWS Lambda 関数を使用して、キューから取得した非準拠のインスタンス ID を終了し、Amazon SNS のメールトピックに送信して配布します。

C. AWS Config を使用します。リージョンのすべての Amazon EC2 リソースで Config Recording を有効にして、監査するすべての EC2 インスタンスを特定します。「config-rule-change -triggered」ブループリントを使用して、AWS Lambda 関数をトリガーするカスタム AWS Config ルールを作成します。Lambda の assessCompliance() 関数を変更して、インスタンスが EC2 Dedicated Host で実行されていない場合は NON_COMPLIANT 結果を返すようにホストの配置を検証します。 AWS Config レポートを使用して、非準拠のインスタンスに対処します。

D. AWS CloudTrail を使用します。EC2 RunCommand API アクションへのすべての呼び出しを分析して、監査対象のすべての EC2 インスタンスを特定します。インスタンスのホスト配置を分析する AWS Lambda 関数を呼び出します。非準拠のリソースの EC2 インスタンス ID を Amazon RDS for MySQL DB インスタンスに保存します。RDS インスタンスをクエリし、クエリ結果を CSV テキストファイルにエクスポートしてレポートを生成します。

回答: C

説明:
C が正解です。Config を使用するのが正しい方法です。
A: <Amazon DynamoDB テーブルを使用してこれらのインスタンス ID を保存し、高速アクセスを実現する> DynamoDB は主に Web セクションデータの保存に使用され、これらの ID を保存するものではありません。
B: Ec2 でカスタム Java コードを使用しないでください。さらに、このオプションでは非準拠のものを終了すると記載されていますが、これは誤りです。必要なのは監査ワークフローだけです。
D: Cloud Trail はユーザーアクティビティの監査用であり、非準拠の EC2 インスタンスをチェックするためのものではありません。

179 / 363

179.

No.179
DevOps エンジニアは、Ruby ベースのアプリケーションを本番環境にデプロイすることを計画しています。アプリケーションは Amazon RDS for MySQL データベースとやり取りする必要があり、自動スケーリングと高可用性を備えている必要があります。データベースに保存されたデータは重要であり、アプリケーションスタックの状態に関係なく保持される必要があります。
DevOps エンジニアは、自動ロールバックを備えたアプリケーションの自動デプロイ戦略を設定する必要があります。また、このソリューションでは、デプロイが失敗したときにアプリケーションチームに警告する必要があります。
これらの要件を満たす手順の組み合わせはどれですか (3 つ選択してください)。

A. AWS Elastic Beanstalk にアプリケーションをデプロイします。Elastic Beanstalk 構成の一部として Amazon RDS for MySQL DB インスタンスをデプロイします。

B. AWS Elastic Beanstalk にアプリケーションをデプロイします。Elastic Beanstalk の外部に別の Amazon RDS for MySQL DB インスタンスをデプロイします。

C. AWS Elastic Beanstalk 構成で、アプリケーションチームに警告する通知メールアドレスを設定します。

D. AWS Health イベントを監視するために Amazon EventBridge ルールを設定します。 Amazon Simple Notification Service (Amazon SNS) トピックをターゲットとして使用して、アプリケーションチームに警告します。

E. 不変のデプロイメント方法を使用して、新しいアプリケーションバージョンをデプロイします。

F. ローリングデプロイメント方法を使用して、新しいアプリケーションバージョンをデプロイします。

回答: BCE

説明:
BCE
不変のデプロイメントでは、不変の更新を実行して、古いバージョンを実行しているインスタンスと並行して、別の Auto Scaling グループで新しいバージョンのアプリケーションを実行する新しいインスタンスの完全なセットを起動します。不変のデプロイメントにより、部分的に完了したローリングデプロイメントによって発生する問題を防ぐことができます。新しいインスタンスがヘルスチェックに合格しない場合、Elastic Beanstalk はそれらを終了し、元のインスタンスはそのまま残します。

180 / 363

180.

No.180
ある会社が AWS CodePipeline を使用してアプリケーションをデプロイしています。新しいガイドラインによると、変更が本番環境にデプロイされる前に、会社のセキュリティチームのメンバーがアプリケーションの変更を承認する必要があります。承認は記録して保持する必要があります。
これらの要件を満たすアクションの組み合わせはどれですか。 (2 つ選択してください)

A. CodePipeline を設定して、Amazon CloudWatch Logs にアクションを書き込む。

B. CodePipeline を設定して、各パイプラインステージの最後に Amazon S3 バケットにアクションを書き込む。

C. AWS CloudTrail 証跡を作成して、ログを Amazon S3 に配信する。

D. CodePipeline カスタムアクションを作成して、承認のために AWS Lambda 関数を呼び出す。セキュリティチームに CodePipeline カスタムアクションを管理するためのアクセス権を付与するポリシーを作成する。

E. デプロイステップの前に CodePipeline 手動承認アクションを作成する。セキュリティチームに手動承認ステージを承認するためのアクセス権を付与するポリシーを作成する。

回答: CE

説明:
C と E が正解です:

A: Cloudwatch Logs は、EC2 などの AWS リソースからのログを保存するためのものであり、codepipeline のログを保存するためのものではありません。

B: codepipeline アクションを S3 に保存する必要はありません。
C: ユーザーの行動を監視する必要があるため、CloudTrail を使用してログを S3 に保存することをお勧めします
D: 承認のために AWS Lambda を呼び出さないでください
E: これは推奨される方法です

181 / 363

181.

No.181
ある企業では、社内のビジネスチームに、事前に承認された AWS CloudFormation テンプレートのみを使用してリソースを起動することを義務付けています。セキュリティチームは、リソースが想定された状態から逸脱した場合の自動モニタリングを義務付けています。
これらの要件を満たすには、どの戦略を使用する必要がありますか?

A. ユーザーが CloudFormation サービスロールのみを使用して CloudFormation スタックをデプロイできるようにします。CloudFormation ドリフト検出を使用して、リソースが想定された状態から逸脱したことを検出します。

B. ユーザーが CloudFormation サービスロールのみを使用して CloudFormation スタックをデプロイできるようにします。AWS Config ルールを使用して、リソースが想定された状態から逸脱したことを検出します。

C. ユーザーが AWS Service Catalog のみを使用して CloudFormation スタックをデプロイできるようにします。起動制約の使用を強制します。AWS Config ルールを使用して、リソースが想定された状態から逸脱したことを検出します。

D. ユーザーが AWS Service Catalog のみを使用して CloudFormation スタックをデプロイできるようにします。テンプレート制約の使用を強制します。Amazon EventBridge 通知を使用して、リソースが想定された状態から逸脱したことを検出します。

回答: C

説明:
AWS CloudFormation (AWS CloudFormation) スタックの実際の構成が、想定される構成と異なるか、またはずれているかどうかを確認します。スタックの 1 つ以上のリソースが想定される構成と異なる場合、スタックはずれているとみなされます。https://docs.aws.amazon.com/config/latest/developerguide/cloudformation-stack-drift-detection-check.html

182 / 363

182.

No.182
ある会社には、1 つの共有 AWS アカウントで作業する複数の開発グループがあります。グループのシニアマネージャーは、リソースの作成がアカウントのサービス制限に近づいたときに、サードパーティの API 呼び出しを介して警告を受け取りたいと考えています。
どのソリューションが、開発の労力を最小限に抑えてこれを実現しますか?

A. 定期的に実行され、AWS Lambda 関数をターゲットとする Amazon EventBridge ルールを作成します。Lambda 関数内で、AWS 環境の現在の状態を評価し、デプロイされたリソース値をアカウントのリソース制限と比較します。アカウントがサービス制限に近づいている場合は、シニアマネージャーに通知します。

B. AWS Trusted Advisor チェックを更新する AWS Lambda 関数をデプロイし、Lambda 関数を定期的に実行するように Amazon EventBridge ルールを設定します。Trusted Advisor イベントに一致するイベントパターンとターゲット Lambda 関数を使用して、別の EventBridge ルールを作成します。ターゲット Lambda 関数で、上級管理者に通知します。

C. AWS Health Dashboard チェックを更新する AWS Lambda 関数をデプロイし、Lambda 関数を定期的に実行するように Amazon EventBridge ルールを設定します。Health Dashboard イベントに一致するイベントパターンとターゲット Lambda 関数を使用して、別の EventBridge ルールを作成します。ターゲット Lambda 関数で、上級管理者に通知します。

D. 定期的に実行され、AWS サービスの制限ステータスをチェックし、Amazon Simple Notification Service (Amazon SNS) トピックに通知をストリーミングする AWS Config カスタムルールを追加します。上級管理者に通知する AWS Lambda 関数をデプロイし、Lambda 関数を SNS トピックにサブスクライブします。

回答: B

説明:
サービス制限 (および制限にどれだけ近づいているか) を理解することは、AWS デプロイメントを管理する上で重要な部分です。継続的なモニタリングにより、制限に達する前に制限の引き上げをリクエストしたり、リソースをシャットダウンしたりできます。

これを行う最も簡単な方法の 1 つは、AWS Trusted Advisor のサービス制限ダッシュボードを使用することです。このダッシュボードは現在、10 のサービスにわたる 39 の制限をカバーしています。https://aws.amazon.com/blogs/mt/monitoring-service-limits-with-trusted-advisor-and-amazon-cloudwatch/

183 / 363

183.

No.183
DevOps エンジニアがコンテナベースのアーキテクチャを設定しています。エンジニアは、AWS CloudFormation を使用して Amazon ECS クラスターと Amazon EC2 Auto Scaling グループを自動的にプロビジョニングし、EC2 コンテナインスタンスを起動することにしました。CloudFormation スタックを正常に作成した後、エンジニアは、ECS クラスターと EC2 インスタンスが正常に作成され、スタックの作成が完了したにもかかわらず、EC2 インスタンスが別のクラスターに関連付けられていることに気付きました。
この問題を解決するには、DevOps エンジニアは CloudFormation テンプレートをどのように更新すればよいですか?

A. AWS::ECS::Cluster リソースで EC2 インスタンスを参照し、AWS::ECS::Service リソースで ECS クラスターを参照します。

B. UserData プロパティの AWS::AutoScaling::LaunchConfiguration リソースで ECS クラスターを参照します。

C. UserData プロパティの AWS::EC2::Instance リソースで ECS クラスターを参照します。

D. AWS::CloudFormation::CustomResource リソースで ECS クラスターを参照して、EC2 インスタンスを適切な ECS クラスターに登録する AWS Lambda 関数をトリガーします。

回答: B

説明:
このブロックによると、B が正解です
"UserData": {
"Fn::Base64": {
"Fn::Sub": "#!/bin/bash -xe\n echo ECS_CLUSTER=${ECSCluster} >> /etc/ecs/ecs.config\n yum install -y aws-cfn-bootstrap\n /opt/aws/bin/cfn-init -v --stack ${AWS::StackId} --resource ContainerInstances --configsets full_install --region ${AWS::Region} &\n"
}
},
in https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ecs-cluster.html

184 / 363

184.

No.184
DevOps エンジニアは、インフラストラクチャを米国内に設置する必要がある企業にガバナンス制御を実装しています。エンジニアは、使用できる AWS リージョンを制限し、ガバナンスポリシー外のアクティビティが発生した場合にできるだけ早くアラートが送信されるようにする必要があります。米国 (US) 以外の新しいリージョンでは、コントロールが自動的に有効になる必要があります。
これらの要件を満たすアクションの組み合わせはどれですか? (2 つ選択してください)

A. 米国以外のリージョンのすべての非グローバルサービスへのアクセスを拒否する AWS Organizations SCP を作成します。ポリシーを組織のルートにアタッチします。

B. AWS CloudTrail を設定して、ログを Amazon CloudWatch Logs に送信し、すべてのリージョンで有効にします。CloudWatch Logs メトリックフィルターを使用して、米国以外のリージョンのすべてのサービスアクティビティに関するアラートを送信します。

C. AWS サービスアクティビティをチェックする AWS Lambda 関数を使用して、すべてのリージョンにデプロイします。1 時間ごとに Lambda 関数を実行し、米国以外のリージョンでアクティビティが見つかった場合にアラートを送信する Amazon EventBridge ルールを作成します。

D. AWS Lambda 関数を使用して Amazon Inspector にクエリを実行し、米国以外のリージョンでのサービスアクティビティを検索し、アクティビティが見つかった場合はアラートを送信します。

E. aws:RequestedRegion 条件キーを使用して、米国リージョンへのアクセスを制限する SCP を作成します。ポリシーをすべてのユーザー、グループ、およびロールに適用します。

回答: AB

説明:
オプション A では、米国以外のリージョンのすべての非グローバルサービスへのアクセスを拒否する AWS Organizations SCP を作成することを提案しています。これは有効なアプローチです。
オプション B では、ログを Amazon CloudWatch Logs に送信するように AWS CloudTrail を設定し、すべてのリージョンで有効にすることを推奨しています。

185 / 363

No.185
ある会社が、eコマース Web アプリケーションを通じて製品を販売しています。この会社は、製品トランザクションの詳細を円グラフで表示するダッシュボードを必要としています。この会社は、このダッシュボードを会社の既存の Amazon CloudWatch ダッシュボードと統合したいと考えています。
これらの要件を最も効率的に満たすソリューションはどれですか?

185.

A. eコマースアプリケーションを更新して、処理されたトランザクションごとに JSON オブジェクトを CloudWatch ロググループに出力します。CloudWatch Logs Insights を使用してロググループをクエリし、結果を円グラフ形式で視覚化します。結果を目的の CloudWatch ダッシュボードに添付します。

B. eコマースアプリケーションを更新して、処理されたトランザクションごとに JSON オブジェクトを Amazon S3 バケットに出力します。Amazon Athena を使用して S3 バケットをクエリし、結果を円グラフ形式で視覚化します。Athena から結果をエクスポートします。結果を目的の CloudWatch ダッシュボードに添付します。

C. eコマースアプリケーションを更新して、AWS X-Ray を計測に使用するようにします。新しい X-Ray サブセグメントを作成します。処理されたトランザクションごとに注釈を追加します。 X-Ray トレースを使用してデータをクエリし、結果を円グラフ形式で視覚化します。結果を目的の CloudWatch ダッシュボードに添付します。

D. e コマースアプリケーションを更新して、処理されたトランザクションごとに JSON オブジェクトを CloudWatch ロググループに出力します。結果を集約して Amazon DynamoDB に書き込む AWS Lambda 関数を作成します。ログファイルの Lambda サブスクリプションフィルターを作成します。結果を目的の CloudWatch ダッシュボードに添付します。

回答: A

説明:
A は正解です。<製品トランザクションの詳細の円グラフ> は、アプリケーションログを収集してログを分析する必要があることを意味します。推奨される方法は、CloudWatch ログと CloudWatch ログインサイトを使用することです。
B: S3 は使用しないでください。既存の CloudWatch ダッシュボードに簡単に統合できるように、CloudWatch ログを使用する必要があります
C: X-ray はトラブルシューティング用であり、短期的なものであり、長期的なアプリ監視用ではありません
D: Lambda を使用せず、主にセッションデータの保存に使用される Dynamodb に結果を書き込まないでください
https://www.examtopics.com/exams/amazon/aws-certified-devops-engineer-professional-dop-c02/view/1/#

186 / 363

186.

No.186
ある会社がアプリケーションを起動しています。アプリケーションは、承認された AWS サービスのみを使用する必要があります。アプリケーションを実行するアカウントは、1 年未満前に作成され、AWS Organizations OU に割り当てられています。
会社は、新しい Organizations アカウント構造を作成する必要があります。アカウント構造には、AWS アカウントで現在アクティブなサービスのみの使用をサポートする適切な SCP が必要です。会社は、ソリューションで AWS Identity and Access Management (IAM) Access Analyzer を使用します。
これらの要件を満たすソリューションはどれですか?

A. IAM Access Analyzer が識別するサービスを許可する SCP を作成します。アカウントの OU を作成します。アカウントを新しい OU に移動します。新しい SCP を新しい OU に接続します。デフォルトの FullAWSAccess SCP を新しい OU から切り離します。

B. IAM Access Analyzer が識別するサービスを拒否する SCP を作成します。アカウントの OU を作成します。アカウントを新しい OU に移動します。新しい SCP を新しい OU に接続します。

C. IAM Access Analyzer が識別するサービスを許可する SCP を作成します。新しい SCP を組織のルートに接続します。

D. IAM Access Analyzer が識別するサービスを許可する SCP を作成します。アカウントの OU を作成します。アカウントを新しい OU に移動します。新しい SCP を管理アカウントに接続します。デフォルトの FullAWSAccess SCP を新しい OU から切り離します。

回答: A

説明:
A は正解です: <AWS Identity and Access Management (IAM) Access Analyzer> は、一部を許可し、すべてを拒否する最小権限のソリューションです。したがって、許可された権限を無視し、<default FullAWSAccess> を削除する必要があります
B: 最小権限とは、一部を許可し、すべてを拒否し、すべてを許可せず、一部を拒否することです。
C: 前述の手順は効果がありません。ルートにはすでにデフォルトの FullAWSAccess SCP がありました。さらにいくつかのサービスを許可しても何も変わりません
D: <新しい SCP を管理アカウントにアタッチする>: SCP をアカウントにアタッチすることはできません

187 / 363

187.

No.187
ある会社には、共有の単一の AWS アカウントで作業する、異なる事業部門の複数の開発チームがあります。アカウントで作成されるすべての Amazon EC2 リソースには、リソースの作成者を指定するタグが含まれている必要があります。タグ付けは、リソース作成後 1 時間以内に行う必要があります。
DevOps エンジニアは、リソースを作成したユーザー ID とコストセンター ID を含む、作成されたリソースにタグを追加する必要があります。DevOps エンジニアは、コストセンターマッピングを使用して AWS Lambda 関数を構成し、リソースにタグを付けます。DevOps エンジニアは、AWS アカウントに AWS CloudTrail もセットアップします。Amazon S3 バケットには、CloudTrail イベントログが格納されます。
タグ付けの要件を満たすソリューションはどれですか?

A. S3 バケットに S3 イベント通知を作成し、s3:ObjectTagging:Put イベントの Lambda 関数を呼び出します。S3 バケットでバケットのバージョン管理を有効にします。

B. S3 バケットでサーバーアクセスログを有効にします。 S3 バケットで s3:ObjectTagging:* イベントの S3 イベント通知を作成します。

C. Lambda 関数を呼び出す、1 時間ごとに繰り返し実行される Amazon EventBridge スケジュールルールを作成します。Lambda 関数を変更して、S3 バケットからログを読み取ります。

D. Amazon EC2 をイベントソースとして使用する Amazon EventBridge ルールを作成します。CloudTrail によって配信されるイベントに一致するようにルールを設定します。Lambda 関数をターゲットにするようにルールを設定します。

回答: D

説明:
D は正解です。
A と B: 無関係
C: ログの読み取りに lambda を使用するのは、時間がかかるためお勧めできません。

188 / 363

188.

No.188
ある会社が、1 つの AWS アカウントで複数の環境向けのアプリケーションを実行しています。AWS CodePipeline パイプラインは、開発用の Amazon Elastic Container Service (Amazon ECS) クラスターを使用して、Amazon Elastic Container Registry (Amazon ECR) リポジトリからアプリケーションのイメージをテストします。パイプラインは、イメージを本番環境の ECS クラスターに昇格します。
会社は、本番環境クラスターを同じ AWS リージョン内の別の AWS アカウントに移動する必要があります。本番環境クラスターは、プライベート接続を介してイメージをダウンロードできる必要があります。
これらの要件を満たすソリューションはどれですか?

A. Amazon ECR VPC エンドポイントと Amazon S3 ゲートウェイエンドポイントを使用します。別の AWS アカウントで、ECR リポジトリを作成します。本番環境 ECS タスクがメインの AWS アカウントからイメージをプルできるようにリポジトリポリシーを設定します。本番環境 ECS タスク実行ロールに、ECR リポジトリからイメージをダウンロードする権限を設定します。

B. メインの AWS アカウントの本番環境 ECR リポジトリにリポジトリポリシーを設定します。別の AWS アカウントの本番環境 ECS タスクがメインのアカウントからイメージをプルできるようにリポジトリポリシーを設定します。本番環境 ECS タスク実行ロールに、ECR リポジトリからイメージをダウンロードする権限を設定します。

C. メインの AWS アカウントで ECR プライベートイメージレプリケーションを設定します。クロスアカウントレプリケーションをアクティブ化します。別の AWS アカウントの宛先アカウント ID を定義します。

D. Amazon ECR VPC エンドポイントと Amazon S3 ゲートウェイエンドポイントを使用します。メイン AWS アカウントの運用 ECR リポジトリにリポジトリポリシーを設定します。別の AWS アカウントの運用 ECS タスクがメインアカウントからイメージをプルできるようにリポジトリポリシーを構成します。運用 ECS タスク実行ロールに、ECR リポジトリからイメージをダウンロードする権限を設定します。

回答: D

説明:
提供された参照に基づくと、「プライベート接続」要件を除き、「C」と「D」の両方でイメージを配布できるようです。また、同じリージョン内の他のアカウントにリポジトリを複製するのではなく、1 つの ECR リポジトリのみを使用する方が、よりクリーンなソリューションのように思えます。

189 / 363

189.

No.189
ある企業は、AWS アカウント内のすべての既存および新規 VPC のフローログが設定された状態を維持できるようにする必要があります。この企業は、AWS CloudFormation スタックを使用して VPC を管理しています。この企業は、IAM ユーザーが作成するすべての VPC で機能するソリューションを必要としています。
これらの要件を満たすソリューションはどれですか?

A. VPC を作成する CloudFormation スタックに AWS::EC2::FlowLog リソースを追加します。

B. AWS Organizations に組織を作成します。この組織に企業の AWS アカウントを追加します。ユーザーが VPC フローログを変更できないように SCP を作成します。

C. AWS Config をオンにします。VPC フローログがオンになっているかどうかを確認する AWS Config ルールを作成します。VPC フローログをオンにするように自動修復を設定します。

D. VPC フローログの API 呼び出しの使用を拒否する IAM ポリシーを作成します。IAM ポリシーをすべての IAM ユーザーにアタッチします。

回答: C

説明:
C が正解です。これにより、既存および新規のすべての VPC が監視および修復されます
A: AWS::EC2::FlowLog: これはフローログの設定に使用され、監視に使用されません
B: SCP は既存の VPC には対応しません
D: IAM ポリシーはここでは関係ありません

190 / 363

190.

No.190
ある会社のアプリケーションチームは、アプリケーションに AWS CodeCommit リポジトリを使用しています。アプリケーションチームは複数の AWS アカウントにリポジトリを持っています。すべてのアカウントは AWS Organizations 内の組織内にあります。
各アプリケーションチームは、外部 IdP で構成された AWS IAM Identity Center (AWS Single Sign-On) を使用して、開発者 IAM ロールを引き受けます。開発者ロールにより、アプリケーションチームは Git を使用してリポジトリ内のコードを操作できます。
セキュリティ監査により、アプリケーションチームは任意のリポジトリのメインブランチを変更できることが明らかになりました。DevOps エンジニアは、アプリケーションチームが管理するリポジトリのメインブランチのみを変更できるようにするソリューションを実装する必要があります。
これらの要件を満たす手順の組み合わせはどれですか。 (3 つ選択してください。)

A. SAML アサーションを更新して、ユーザーのチーム名を渡します。IAM ロールの信頼ポリシーを更新して、チーム名を含む access-team セッションタグを追加します。

B. Organizations 管理アカウントの各チームに承認ルールテンプレートを作成します。テンプレートをすべてのリポジトリに関連付けます。開発者ロール ARN を承認者として追加します。

C. 各アカウントに承認ルールテンプレートを作成します。テンプレートをすべてのリポジトリに関連付けます。承認ルールテンプレートに "aws:ResourceTag/access-team": "$ ;{aws:PrincipalTag/access-team}" 条件を追加します。

D. CodeCommit リポジトリごとに、関連付けられたチームの名前に値が設定された access-team タグを追加します。

E. SCP をアカウントにアタッチします。次のステートメントを含めます。 { "Effect": "Deny", "Action": [ "codecommit:GitPush", "codecommit:PutFile", "codecommit:Merge*" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "codecommit:References": ["refs/heads/main"] }, "StringNotEquals": { "aws:ResourceTag/access-team": "${aws:PrincipalTag/access-team}" }, "Null": { "codecommit:References": "false" } } }

F. 各アカウントに IAM 権限境界を作成します。次の文を含めます。 { "Effect": "Allow", "Action": [ "codecommit:GitPush", "codecommit: PutFile", "codecommit:Merge*" ], "Resource": "*", "Condition": { "StringEqualsIfExists": { "codecommit: References": ["refs/heads/main"] }, "StringNotEquals": { "aws: ResourceTag/access-team": "$ ; (aws: PrincipalTag/access-team}" }, "Null": { "codecommit: References": "false" } } }

回答: ADE

説明:
A- SAML アサーション
D- リソースにタグを付ける
E- 上記の D で動作しますが、条件はリソースタグに基づいています

191 / 363

191.

No.191
ある会社では、AWS WAF を使用してクラウドインフラストラクチャを保護しています。DevOps エンジニアは、運用チームに AWS WAF からのログメッセージを分析する機能を提供する必要があります。運用チームは、ログ出力の特定のパターンに対してアラームを作成できる必要があります。
どのソリューションが、運用オーバーヘッドを最小限に抑えながらこれらの要件を満たしますか?

A. Amazon CloudWatch Logs ロググループを作成します。適切な AWS WAF Web ACL を設定して、ログメッセージをロググループに送信します。運用チームに CloudWatch メトリックフィルターを作成するように指示します。

B. Amazon OpenSearch Service クラスターと適切なインデックスを作成します。Amazon Kinesis Data Firehose 配信ストリームを設定して、ログデータをインデックスにストリーミングします。OpenSearch ダッシュボードを使用して、フィルターとウィジェットを作成します。

C. ログ出力用の Amazon S3 バケットを作成します。AWS WAF を設定して、ログ出力を S3 バケットに送信します。運用チームに、必要なログメッセージパターンを検出する AWS Lambda 関数を作成するよう指示します。Amazon Simple Notification Service (Amazon SNS) トピックに発行するように Lambda 関数を設定します。

D. ログ出力用の Amazon S3 バケットを作成します。ログ出力を S3 バケットに送信するように AWS WAF を設定します。Amazon Athena を使用して、ログメッセージパターンに適合する外部テーブル定義を作成します。運用チームに、SQL クエリを記述し、Athena クエリ用の Amazon CloudWatch メトリックフィルターを作成するよう指示します。

回答: A

説明:
Amazon CloudWatch Logs にログを送信するには、CloudWatch Logs ロググループを作成します。AWS WAF でログ記録を有効にするときは、ロググループの ARN を指定します。Web ACL のログ記録を有効にすると、AWS WAF はログストリームで CloudWatch Logs ロググループにログを配信します。

https://docs.aws.amazon.com/waf/latest/developerguide/logging-cw-logs.html

192 / 363

192.

No.192
ソフトウェアチームは、AWS CodePipeline を使用して Java アプリケーションのリリースパイプラインを自動化しています。パイプラインは、ソースステージ、ビルドステージ、デプロイステージで構成されています。各ステージには、runOrder 値が 1 のアクションが 1 つ含まれています。
チームは、既存のリリースパイプラインにユニットテストを統合したいと考えています。チームには、すべてのユニットテストに合格したコード変更のみをデプロイするソリューションが必要です。
これらの要件を満たすソリューションはどれですか?

A. ビルドステージを変更します。runOrder 値が 1 のテストアクションを追加します。アクションプロバイダーとして AWS CodeDeploy を使用して、ユニットテストを実行します。

B. ビルドステージを変更します。runOrder 値が 2 のテストアクションを追加します。アクションプロバイダーとして AWS CodeBuild を使用して、ユニットテストを実行します。

C. デプロイステージを変更します。 runOrder 値が 1 のテストアクションを追加します。アクションプロバイダーとして AWS CodeDeploy を使用して、単体テストを実行します。

D. デプロイステージを変更します。runOrder 値が 2 のテストアクションを追加します。アクションプロバイダーとして AWS CodeBuild を使用して、単体テストを実行します。

回答: B

説明:
B は正解です。runorder 値が 2 の場合、アーティファクトをビルドした後に単体テストが実行されます。
A: 単体テストはビルドステップと並行して実行されますが、これは誤りです。ビルドが完了した後にのみテストを実行できます。
C および D: 単体テストはデプロイステップの前には実行されません。

193 / 363

No.193
ある会社では、AWS Organizations の組織を使用して、会社の開発者が使用する複数の AWS アカウントを管理しています。この会社では、転送中のすべてのデータを暗号化する必要があります。
開発者アカウントで作成された複数の Amazon S3 バケットでは、暗号化されていない接続が許可されます。DevOps エンジニアは、組織内のアカウントで作成されたすべての既存の S3 バケットに対して、転送中のデータの暗号化を実施する必要があります。
これらの要件を満たすソリューションはどれですか?

193.

A. AWS CloudFormation StackSets を使用して、各アカウントに AWS ネットワークファイアウォールファイアウォールをデプロイします。AWS 環境からのすべての送信リクエストをファイアウォール経由でルーティングします。ポート 80 のすべての送信リクエストへのアクセスをブロックするポリシーをデプロイします。

B. AWS CloudFormation StackSets を使用して、各アカウントに AWS ネットワークファイアウォールファイアウォールをデプロイします。AWS 環境へのすべての受信リクエストをファイアウォール経由でルーティングします。ポート 80 のすべての受信リクエストへのアクセスをブロックするポリシーをデプロイします。

C. 組織の AWS Config をオンにします。 s3-bucket-ssl-requests-only マネージドルールと AWS Systems Manager Automation ランブックを使用する適合パックをデプロイします。バケットポリシーステートメントを追加するランブックを使用して、aws:SecureTransport 条件キーの値が false の場合に S3 バケットへのアクセスを拒否します。

D. 組織の AWS Config をオンにします。s3-bucket-ssl-requests-only マネージドルールと AWS Systems Manager Automation ランブックを使用する適合パックをデプロイします。バケットポリシーステートメントを追加するランブックを使用して、s3:x-amz-server-side-encryption-aws-kms-key-id 条件キーの値が null の場合に S3 バケットへのアクセスを拒否します。

回答: C

説明:
回答 C 100%。

aws:SecureTransport 条件は、HTTPS (TLS) 経由の暗号化された接続のみを許可します --> これが必要なことです

s3:x-amz-server-side-encryption-aws-kms-key-id --> バケット内のオブジェクトを暗号化するために特定の AWS KMS キーを使用するように要求します。ここでこれは必要ありません!

194 / 363

194.

No.194
ある会社が IAM ポリシーを見直しています。DevOps エンジニアが作成したポリシーの 1 つが、制限が厳しすぎるとフラグが付けられています。このポリシーは、週末に Environment: NonProduction のタグが付けられた Amazon EC2 インスタンスに停止コマンドを発行する AWS Lambda 関数によって使用されています。現在のポリシーは次のとおりです。

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*"
}
]
}
最小権限ポリシーを実現するために、エンジニアはどのような変更を加える必要がありますか? (3 つ選択してください)

A. 次の条件式を追加します。 "Condition": { "StringEquals": { "aws:principaltype": "lambda.amazonaws.com" } }

B. 「Resource」: 「*」を「Resource」: 「arn:aws:ec2:*:*:instance/*」に変更します。

C. 次の条件式を追加します。 "Condition": { "StringNotEquals": { "ec2: ResourceTag/Environment": "Production" } }

D. 次の条件式を追加します。 "Condition": { "StringEquals": { "ec2: ResourceTag/Environment": "NonProduction" } }

E. 「Action」: 「ec2:*」を「Action」: 「ec2:StopInstances」に変更します

F. 次の条件式を追加します。 "Condition" : { "DateGreaterThan" : "aws: CurrentTime" : "$ ; {aws: DateTime: Friday) " "DateLessThan": { "aws: CurrentTime" : "$ ; {aws: DateTime: Monday} " }, } }

回答: B

説明:
B、D、E は正解です:
A: これにより、すべてのラムダ関数がタスクを実行できますが、変更は行われません
B: これにより、EC2 でのみアクションが許可されるため、正解です
C: NonProdction でタグ付けされた Ec2 インスタンスのみでアクションを許可する必要があります。これを使用すると、他のタグにも権限が付与されます
D: 完全に正解
E: 停止アクションのみを許可するため、正解です
F: 無関係

195 / 363

195.

No.195
ある会社が、ログイベントを生成するアプリケーションを開発しています。ログイベントは、10 分の 1 秒ごとに 5 つの異なるメトリックで構成され、大量のデータを生成します。
会社は、ログを Amazon Timestream に書き込むようにアプリケーションを構成する必要があります。会社は、Timestream テーブルに対して毎日クエリを構成します。
どの手順の組み合わせが、これらの要件を満たし、最も高速なクエリパフォーマンスを実現しますか? (3 つ選択してください)

A. バッチ書き込みを使用して、1 回の書き込み操作で複数のログイベントを書き込みます。

B. 各ログイベントを単一の書き込み操作として書き込みます。

C. 各ログを単一測定レコードとして扱います。

D. 各ログを複数測定レコードとして扱います。

E. メモリストアの保持期間をマグネティックストアの保持期間よりも長く設定します。

F. メモリストアの保持期間をマグネティックストアの保持期間よりも短く設定します。

回答: ADF

説明:
E では、メモリストアの保持期間をマグネティックストアの保持期間よりも長く設定することを提案していますが、これは通常、クエリのパフォーマンスを最適化することではなく、より高速にアクセス可能なメモリストアにデータをより長期間保持することを目的としており、最近のデータに頻繁にアクセスする必要があるワークロードには有益です。ただし、説明したシナリオでは、効率的なデータ取り込み方法 (A と D) に重点を置き、保持期間 (F) の役割を理解することで、毎日のクエリで最速のクエリパフォーマンスを実現するためのバランスの取れたアプローチが得られます。

196 / 363

196.

No.196
DevOps エンジニアが、Amazon EC2 インスタンスにアプリケーションをデプロイする AWS CloudFormation テンプレートを作成しました。 EC2 インスタンスは Amazon Linux を実行します。アプリケーションは、ユーザーデータを含むシェルスクリプトを使用して EC2 インスタンスにデプロイされます。EC2 インスタンスには、AmazonSSMManagedinstanceCore 管理ポリシーがアタッチされた IAM ロールを持つ IAM インスタンスプロファイルがあります。
DevOps エンジニアは、CloudFormation テンプレートのユーザーデータを変更して、アプリケーションの新しいバージョンをインストールしました。エンジニアはスタック更新も適用しました。ただし、実行中の EC2 インスタンスではアプリケーションは更新されませんでした。エンジニアは、実行中の EC2 インスタンスにアプリケーションへの変更がインストールされるようにする必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)

A. ユーザーデータコンテンツを、Multipurpose Internet Mail Extensions (MIME) マルチパート形式を使用するように構成します。text/cloud-config セクションで、scripts-user パラメータを always に設定します。

B. cfn-init ヘルパースクリプトを使用するようにユーザーデータコマンドをリファクタリングします。ユーザーデータを更新して、cfn-hup および cfn-init ヘルパースクリプトをインストールおよび構成し、メタデータの変更を監視および適用します。

C. EC2 インスタンスの EC2 起動テンプレートを構成します。新しい EC2 Auto Scaling グループを作成します。Auto Scaling グループを EC2 起動テンプレートに関連付けます。Auto Scaling グループの AutoScalingScheduledAction 更新ポリシーを使用します。

D. ユーザーデータコマンドをリファクタリングして、AWS Systems Manager ドキュメント (SSM ドキュメント) を使用します。ユーザーデータに AWS CLI コマンドを追加して、Systems Manager Run Command を使用して SSM ドキュメントを EC2 インスタンスに適用します。

E. ユーザーデータコマンドをリファクタリングして、AWS Systems Manager ドキュメント (SSM ドキュメント) を使用します。Systems Manager State Manager を使用して、SSM ドキュメントと EC2 インスタンス間の関連付けを作成します。

回答: BE
説明:
B と E は、CloudFormation と AWS Systems Manager の更新の管理と適用の機能を活用して、実行中の EC2 インスタンスにアプリケーションの更新がインストールされるようにするのに最も効果的です。

197 / 363

197.

No.197
ある会社が、AWS を使用するためにアプリケーションをリファクタリングしています。この会社は、特定の AWS アカウントで Amazon S3 API 呼び出しを行う必要がある社内 Web アプリケーションを特定しています。
この会社は、認証に既存の ID プロバイダー (IdP) auth.company.com を使用したいと考えています。IdP は OpenID Connect (OIDC) のみをサポートしています。DevOps エンジニアは、Web アプリケーションから AWS アカウントへのアクセスを保護する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

A. AWS IAM Identity Center (AWS Single Sign-On) を構成します。IdP を構成します。既存の IdP から IdP メタデータをアップロードします。

B. 既存の IP からプロバイダー URL、オーディエンス、および署名を使用して IAM IdP を作成します。

C. 必要な S3 アクションを許可するポリシーを持つ IAM ロールを作成します。sts.amazon.com:aud コンテキストキーが appid_from_idp の場合、OIDC IP がロールを引き受けることができるように、ロールの信頼ポリシーを構成します。

D. 必要な S3 アクションを許可するポリシーを持つ IAM ロールを作成します。auth.company.com:aud コンテキストキーが appid_from_idp の場合、OIDC IP がロールを引き受けることができるように、ロールの信頼ポリシーを構成します。

E. AssumeRoleWithWebIdentity API 操作を使用して一時的な認証情報を取得するように Web アプリケーションを構成します。一時的な認証情報を使用して S3 API 呼び出しを行います。

F. GetFederationToken API 操作を使用して一時的な認証情報を取得するように Web アプリケーションを構成します。一時的な認証情報を使用して S3 API 呼び出しを行います。

回答: BDE

説明:
「IAM ユーザーを作成する代わりに、OpenID Connect (OIDC) フェデレーション ID プロバイダーを使用します。」「IdP を使用すると、AWS の外部でユーザー ID を管理し、これらの外部ユーザー ID にアカウント内の AWS リソースにアクセスする権限を与えることができます。」
B: (はい) 「IAM OIDC ID プロバイダー」「これは、AWS リソースへのアクセスを必要とするモバイルアプリまたは Web アプリケーションを作成するときに便利ですが、カスタムサインインコードを作成したり、独自のユーザー ID を管理したりする必要はありません。」
D: (はい) 「OIDC プロバイダーの場合、aud コンテキストキーを含む OIDC IdP の完全修飾 URL を使用します」例: 「条件」: {"StringEquals": {"server.example.com:aud": "appid_from_oidc_idp"}}"
E: (はい) 「AssumeRoleWithWebIdentity」「Web ベースの IDP を介したフェデレーションでは、一時的なセキュリティ認証情報のセットが返されます」「フェデレーションユーザー」は「パブリック ID プロバイダーで認証」されます。「この操作は、AWS へのアクセスを必要とするクライアントベースの Web アプリケーションに役立ちます。」

198 / 363

198.

No.198
ある会社では、AWS アカウントのすべてのデータベースに Amazon RDS を使用しています。この会社は、監査およびログ記録アカウントを持つランディングゾーンを構築するために AWS Control Tower を使用しています。すべてのデータベースは、コンプライアンス上の理由から、保存時に暗号化する必要があります。会社のセキュリティエンジニアは、会社のアカウントにある非準拠のデータベースに関する通知を受け取る必要があります。
どのソリューションが最も運用効率が高く、これらの要件を満たすでしょうか。

A. AWS Control Tower を使用してオプションの検出コントロール (ガードレール) をアクティブ化し、RDS ストレージが暗号化されているかどうかを判断します。会社の監査アカウントに Amazon Simple Notification Service (Amazon SNS) トピックを作成します。Amazon EventBridge ルールを作成し、AWS Control Tower コントロール (ガードレール) からの非準拠イベントをフィルタリングして SNS トピックに通知します。セキュリティエンジニアのメールアドレスを SNS トピックにサブスクライブします。

B. AWS CloudFormation StackSets を使用して、AWS Lambda 関数をすべてのアカウントにデプロイします。Lambda 関数のコードを記述して、関数がデプロイされているアカウントで RDS ストレージが暗号化されているかどうかを判断します。結果を Amazon CloudWatch メトリクスとして管理アカウントに送信します。Amazon Simple Notification Service (Amazon SNS) トピックを作成します。メトリクスしきい値に達したときに SNS トピックに通知する CloudWatch アラームを作成します。セキュリティエンジニアのメールアドレスを SNS トピックに登録します。

C. すべてのアカウントでカスタム AWS Config ルールを作成し、RDS ストレージが暗号化されているかどうかを判断します。監査アカウントで Amazon Simple Notification Service (Amazon SNS) トピックを作成します。Amazon EventBidge ルールを作成し、AWS Control Tower コントロール (ガードレール) からの非準拠イベントをフィルタリングして SNS トピックに通知します。セキュリティエンジニアのメールアドレスを SNS トピックに登録します。

D. Amazon C2 インスタンスを起動します。AWS CLI を使用して 1 時間ごとに cron ジョブを実行し、各 AWS アカウントで RDS ストレージが暗号化されているかどうかを判断します。結果を RDS データベースに保存します。コンプライアンス違反が検出された場合は、EC2 インスタンスから電子メールメッセージを送信してセキュリティエンジニアに通知します

回答: A

説明:
キーワード: Control Tower
ある会社では、AWS アカウントのすべてのデータベースに Amazon RDS を使用しています。この会社は AWS Control Tower を使用しています

199 / 363

199.

No.199
ある企業がオンプレミスのデータセンターから AWS に移行しています。現在、この企業では、カスタムのオンプレミス Cl/CD パイプラインソリューションを使用してソフトウェアを構築およびパッケージ化しています。
この企業は、アプリケーション固有のパイプラインの作成を容易にするために、ソフトウェアパッケージとそれに依存するパブリックリポジトリを AWS CodeArtifact で利用できるようにしたいと考えています。
CI/CD パイプラインソリューションを更新し、運用オーバーヘッドを最小限に抑えて CodeArtifact を構成するには、どの組み合わせの手順を実行する必要がありますか? (2 つ選択してください)。

A. C1ICD パイプラインを更新して、新しくパッケージ化されたソフトウェアを含む VM イメージを作成します。AWS Import/Export を使用して、VM イメージを Amazon EC2 AMI として利用できるようにします。CodeArtifact アクションを許可する IAM インスタンスプロファイルが添付された AMI を起動します。AWS CLI コマンドを使用して、パッケージを CodeArtifact リポジトリに公開します。

B. AWS Identity and Access Management Roles Anywhere トラストアンカーを作成します。CodeArtifact アクションを許可し、トラストアンカーで信頼関係を持つ IAM ロールを作成します。オンプレミスの CI/CD パイプラインを更新して、新しい IAM ロールを引き受け、パッケージを CodeArtifact に公開します。

C. 新しい Amazon S3 バケットを作成します。PutObject リクエストを許可する署名済み URL を生成します。オンプレミスの CI/CD パイプラインを更新して、署名済み URL を使用してオンプレミスの場所から S3 バケットにパッケージを公開します。put コマンドによってバケットにパッケージが作成されたときに実行される AWS Lambda 関数を作成します。Lambda 関数を構成して、パッケージを CodeArtifact に公開します。

D. パブリックリポジトリごとに、外部接続が構成された CodeArutact リポジトリを作成します。依存リポジトリをアップストリームパブリックリポジトリとして構成します。

E. パブリックリポジトリへの一連の外部接続が構成された Codeartitact リポジトリを作成します。外部接続をリポジトリのダウンストリームになるように構成します。

回答: BD

説明:
B と D は正解です: <ソフトウェアパッケージと依存するパブリックリポジトリを AWS CodeArtifact で利用できるようにしたい >: オンプレミスのアーティファクトを IAM Anywhere Role で CodeArtifact にプッシュし、パブリックリポジトリのアップストリームを作成する必要があります
A: 無関係
B: 正解
C: 無関係
D: 正解
E: CodeArtifact にはダウンストリームがありません

200 / 363

200.

No.200
DevOps チームは、AWS CodePipeline、AWS CodeBuild、AWS CodeDeploy を使用してアプリケーションをデプロイします。アプリケーションは、AWS Lambda 関数と Amazon API Gateway を使用する REST API です。最近のデプロイでエラーが発生し、多くの顧客に影響が出ています。
DevOps チームには、エラーが検出されたときにアプリケーションの最新の安定バージョンに戻すソリューションが必要です。ソリューションは、可能な限り少ない顧客に影響を与える必要があります。
これらの要件を最も運用効率よく満たすソリューションはどれですか?

A. CodeDeploy のデプロイ構成を LambdaAllAtOnce に設定します。デプロイメントグループで自動ロールバックを設定します。API Gateway で HTTP Bad Gateway エラーを検出する Amazon CloudWatch アラームを作成します。アラームの数がアラームしきい値に達したときにロールバックするようにデプロイメントグループを設定します。

B. CodeDeploy でデプロイメント設定を LambdaCanary10Percent10Minutes に設定します。デプロイメントグループで自動ロールバックを設定します。API Gateway で HTTP Bad Gateway エラーを検出する Amazon CloudWatch アラームを作成します。アラームの数がアラームしきい値に達したときにロールバックするようにデプロイメントグループを設定します。

C. CodeDeploy でデプロイメント設定を LambdaAllAtOnce に設定します。デプロイメントグループで手動ロールバックを設定します。デプロイメントが失敗するたびに通知を送信する Amazon Simple Notification Service (Amazon SNS) トピックを作成します。現在のデプロイメントを停止し、最後に成功したデプロイメントを開始する新しい Lambda 関数を呼び出すように SNS トピックを設定します。

D. CodeDeploy でデプロイメント設定を LambdaCanary10Percent10Minutes に設定します。デプロイメントグループで手動ロールバックを設定します。 API Gateway の Amazon CloudWatch ロググループにメトリックフィルターを作成し、HTTP Bad Gateway エラーを監視します。メトリックフィルターを設定して、現在のデプロイメントを停止し、最新の成功したデプロイメントを開始する新しい Lambda 関数を呼び出します。

回答: B

説明:
B が正解です:
A および C: <CodeDeploy to LambdaAllAtOnce>: すべてを一度に置き換えると、ロールバックできなくなります
D: メトリックフィルターは Lambda をトリガーできません。さらに、このオプションは手動作業です

201 / 363

201.

No.201
ある会社が最近、AWS に Web アプリケーションを導入しました。この会社は大規模な販売イベントの準備をしており、Web アプリケーションが需要に合わせて拡張できることを確認する必要があります。
アプリケーションのフロントエンドインフラストラクチャには、Amazon S3 バケットをオリジンとする Amazon CloudFront ディストリビューションが含まれています。バックエンドインフラストラクチャには、Amazon API Gateway API、複数の AWS Lambda 関数、および Amazon Aurora DB クラスターが含まれています。
会社の DevOps エンジニアが負荷テストを実施し、Lambda 関数がピーク時のリクエスト数に対応できることを確認しました。ただし、DevOps エンジニアは、リクエストの最初のバースト中にリクエストのレイテンシーに気付きました。Lambda 関数へのリクエストのほとんどは、データベースへのクエリを生成します。呼び出し時間の大部分は、データベース接続を確立するために使用されます。
どの手順の組み合わせが、アプリケーションに必要なスケーラビリティを提供しますか? (3 つ選択してください)。

A. Lambda 関数の予約同時実行性を高めます。

B. Lambda 関数のプロビジョニング同時実行性を高めます。

C. DB クラスターを Aurora グローバルデータベースに変換します。会社の顧客の所在地に基づいて、AWS リージョンに Aurora レプリカを追加します。

D. Lambda 関数をリファクタリングします。データベース接続を初期化するコードブロックを関数ハンドラーに移動します。

E. Amazon RDS Proxy を使用して、Aurora データベースのプロキシを作成します。Lambda 関数を更新して、データベース接続にプロキシエンドポイントを使用するようにします。

回答: BCE

説明:
A. これはデータベース接続の問題に直接対処するものではなく、使用しない瞬間があるため、コストがかかります
B. 正解です。Lambda 関数のプロビジョニングされた同時実行性を高めます。これにより、Lambda インスタンスがトラフィックのバーストを処理できるようになり、コールドスタートのレイテンシーが削減されます。
C. 正解です。読み取り専用にしたい場合
D. 間違いです。「... 関数ハンドラーに...」とありますが、ベストプラクティスでは関数ハンドラーの外で実行するように指示されています。新しい接続を開始するのは悪いことです。
E. 正解です。ベストプラクティスです。

202 / 363

202.

No.202
ある会社では、複数のアベイラビリティーゾーンにまたがる Web アプリケーションを実行しています。ルーティングには Application Load Balancer (ALB)、アプリケーションには AWS Fargate、アプリケーションデータには Amazon Aurora を使用しています。アプリケーションをデプロイするには、AWS CloudFormation テンプレートを使用します。すべての Docker イメージは、同じ AWS アカウントと AWS リージョンの Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存されています。
DevOps エンジニアは、別のリージョンで災害復旧 (DR) プロセスを確立する必要があります。ソリューションは、8 時間の RPO と 2 時間の RTO を満たす必要があります。Dockerfile から Docker イメージを構築するのに、2 時間以上かかることがあります。
どのソリューションが最もコスト効率よく RTO と RPO の要件を満たしますか?

A. CloudFormation テンプレートと Dockerfile を DR リージョンの Amazon S3 バケットにコピーします。AWS Backup を使用して、Aurora の自動クロスリージョン 1 時間ごとのスナップショットを構成します。 DR の場合は、最新の Docker イメージをビルドし、その Docker イメージを DR リージョンの ECR リポジトリにアップロードします。最新の Aurora スナップショットを含む CloudFormation テンプレートと ECR リポジトリの Docker イメージを使用して、DR リージョンで新しい CloudFormation スタックを起動します。アプリケーションの DNS レコードを更新して、新しい ALB を参照します。

B. CloudFormation テンプレートを DR リージョンの Amazon S3 バケットにコピーします。Aurora 自動バックアップのクロスリージョンレプリケーションを構成します。ECR クロスリージョンレプリケーションを構成します。DR の場合は、最新の Aurora スナップショットを含む CloudFormation テンプレートとローカル ECR リポジトリの Docker イメージを使用して、DR リージョンで新しい CloudFormation スタックを起動します。アプリケーションの DNS レコードを更新して、新しい ALB を参照します。

C. CloudFormation テンプレートを DR リージョンの Amazon S3 バケットにコピーします。Amazon EventBridge を使用して、AWS Lambda 関数をスケジュールし、Aurora データベースと ECR リポジトリの最新の Docker イメージのスナップショットを 1 時間ごとに取得します。スナップショットと Docker イメージを DR リージョンにコピーします。DR の場合は、最新の Aurora スナップショットとローカル ECR リポジトリの Docker イメージを含む CloudFormation テンプレートを使用して、DR リージョンで新しい CloudFormation スタックを起動します。

D. CloudFormation テンプレートを DR リージョンの Amazon S3 バケットにコピーします。DR リージョンに 2 つ目のアプリケーション CloudFormation スタックをデプロイします。Aurora をグローバルデータベースとして再構成します。現在のリージョンで新しいアプリケーションリリースが必要な場合は、両方の CloudFormation スタックを更新します。DR の場合は、新しい ALB を指すようにアプリケーション DNS レコードを更新します。

回答: B

説明:
B が正解です:
A: <最新の Docker イメージをビルドし、その Docker イメージを DR リージョンの ECR リポジトリにアップロードする>: このプロセスには 2 時間以上かかる可能性があり、RTO を満たしません
B: 正解
C: <Aurora データベースの 1 時間ごとのスナップショットを取得する AWS Lambda 関数>: lambda の最大実行時間は 15 分です。 1 時間ごとのタスクを実行できない
D: ECS の Docker イメージについて言及されていない

203 / 363

203.

No.203
ある会社のアプリケーションは Amazon EC2 インスタンスで実行されています。アプリケーションは、ログインのユーザー名、日付、時刻、ソース IP アドレスを記録するログファイルに書き込みます。ログは Amazon CloudWatch Logs のロググループに公開されます。
会社は前日に発生したイベントの根本原因分析を実行しています。会社は、過去 7 日間の特定のユーザーのログイン数を知る必要があります。
どのソリューションがこの情報を提供しますか?

A. ロググループに CloudWatch Logs メトリックフィルターを作成します。ユーザー名に一致するフィルターパターンを使用します。過去 7 日間のログイン数を合計する CloudWatch メトリックを公開します。

B. ロググループに CloudWatch Logs サブスクリプションを作成します。ユーザー名に一致するフィルターパターンを使用します。過去 7 日間のログイン数を合計する CloudWatch メトリックを公開します。

C. 集計関数を使用して過去 7 日間のユーザー名のログイン回数をカウントする CloudWatch Logs Insights クエリを作成します。ロググループに対してクエリを実行します。

D. CloudWatch ダッシュボードを作成します。ロググループから直接、過去 7 日間のユーザー名のログイン回数をカウントするフィルターパターンを持つ数値ウィジェットを追加します。

回答: C

説明:
C - CloudWatch Logs Insights: このサービスを使用すると、メトリックやサブスクリプションなどの追加のインフラストラクチャを作成せずに、ログデータに対してアドホッククエリを実行できます。
集計関数: count() などの関数は、特定の基準に基づいて発生回数を具体的に計算できます。
ユーザー名と期間によるフィルタリング: クエリをカスタマイズして、特定のユーザー名を含め、過去 7 日間のエントリをフィルタリングできます。

204 / 363

204.

No.204
ある会社に AWS CodeDeploy アプリケーションがあります。このアプリケーションには、単一のタググループを使用してアプリケーションのデプロイメントのインスタンスを識別するデプロイメントグループがあります。単一のタググループ構成は、ApplicationA のデプロイメント用に Environment=Production および Name=ApplicationA タグを持つインスタンスを識別します。
この会社は、Department=Marketing、Environment=Production、および Name=ApplicationB タグを持つ追加の Amazon EC2 インスタンスを起動します。アプリケーションの次の CodeDeploy デプロイメントでは、追加のインスタンスに ApplicationA がインストールされます。DevOps エンジニアは、追加のインスタンスに ApplicationA がインストールされないように、既存のデプロイメントグループを構成する必要があります。
これらの要件を満たすソリューションはどれですか?

A. 現在の単一のタググループを変更して、Environment=Production タグのみを含めます。Name=ApplicationA タグのみを含む別の単一のタググループを追加します。

B. 現在の単一のタググループを変更して、Department=Marketing、Environment=production、および Name=ApplicationA タグを含めます。

C. Department=Marketing タグのみを含む別の単一のタググループを追加します。現在の単一タググループで、Environment=Production および Name=ApplicationA タグを維持します。

D. 現在の単一タググループを変更して、Environment=Production タグのみを含めます。Department=Marketing タグのみを含む別の単一タググループを追加します。

回答: A

説明:
次の概念を理解し、すべてをマッピングするまで、この質問はほとんど理解できませんでした
- 単一タググループ: グループ内の少なくとも 1 つのタグで識別されるインスタンスはすべて、デプロイメントグループに含まれます。(個々のタググループ内の OR 演算子)
- 複数タググループ: 各タググループ内の少なくとも 1 つのタグで識別されるインスタンスが含まれます。(複数のタググループ間の AND 演算子)
https://docs.aws.amazon.com/codedeploy/latest/userguide/instances-tagging.html

205 / 363

205.

No.205
ある会社が、Amazon S3 バケットに生データを保存するアプリケーションを立ち上げています。レポートを生成するには、3 つのアプリケーションがデータにアクセスする必要があります。アプリケーションがデータにアクセスするには、アプリケーションごとに異なる方法でデータを編集する必要があります。
これらの要件を満たすソリューションはどれですか?

A. アプリケーションごとに S3 バケットを作成します。生データの S3 バケットから各アプリケーションの S3 バケットへの S3 Same-Region Replication (SRR) を設定します。各アプリケーションが独自の S3 バケットからデータを使用するように設定します。

B. Amazon Kinesis データストリームを作成します。生データの S3 バケット内のオブジェクト作成イベントによって呼び出される AWS Lambda 関数を作成します。各アプリケーションのデータを編集するように Lambda 関数をプログラムします。Kinesis データストリームにデータを公開します。各アプリケーションが Kinesis データストリームからデータを使用するように設定します。

C. アプリケーションごとに、生データの S3 バケットを宛先として使用する S3 アクセスポイントを作成します。生データの S3 バケット内のオブジェクト作成イベントによって呼び出される AWS Lambda 関数を作成します。各アプリケーションのデータを編集するように Lambda 関数をプログラムします。各アプリケーションの S3 アクセスポイントにデータを保存してください。各アプリケーションが独自の S3 アクセスポイントからデータを使用するように設定します。

D. 生データの S3 バケットを宛先として使用する S3 アクセスポイントを作成します。各アプリケーションに対して、S3 アクセスポイントを使用する S3 オブジェクト Lambda アクセスポイントを作成します。各 S3 オブジェクト Lambda アクセスポイントの AWS Lambda 関数を設定して、オブジェクトが取得されたときにデータを編集します。各アプリケーションが独自の S3 オブジェクト Lambda アクセスポイントからデータを使用するように設定します

回答: D

説明:
D (S3 オブジェクト Lambda アクセスポイントを使用) は、要件に最も適したソリューションです。
S3 オブジェクト Lambda を使用すると、S3 GET リクエストに独自のコードを追加して、取得時にデータを変更および処理できます。このシナリオでは、生データの S3 バケットを宛先として使用する S3 アクセスポイントを作成できます。各アプリケーションに対して、S3 アクセスポイントをソースとして使用する個別の S3 オブジェクト Lambda アクセスポイントを作成します。各 S3 オブジェクト Lambda アクセスポイントの AWS Lambda 関数を設定して、オブジェクトが取得されたときにデータを編集します。
このソリューションにより、各アプリケーションが独自の編集ルールを使用してデータにアクセスでき、取得時に編集が動的に適用されます。

206 / 363

206.

No.206
ある会社では、AWS Control Tower と AWS CloudFormation を使用して AWS アカウントを管理し、AWS リソースを作成しています。この会社では、CloudFormation スタックで S3 バケットを作成するときに、すべての Amazon S3 バケットを AWS Key Management Service (AWS KMS) で暗号化する必要があります。
この要件を満たすソリューションはどれですか?

A. AWS Organizations を使用します。リクエストに、AWS KMS キー (SSE-KMS) を使用したサーバー側暗号化を要求する x-amz-server-side-encryption ヘッダーが含まれていない場合、s3:PutObject 権限を拒否する SCP を添付します。

B. マルチアカウント環境で AWS Control Tower を使用します。CloudFormation フックを使用して、すべての OU でプロアクティブな AWS Control Tower コントロールを構成して有効にします。

C. マルチアカウント環境で AWS Control Tower を使用します。CloudFormation フックを使用して、すべての OU で検出的な AWS Control Tower コントロールを構成して有効にします。

D. AWS Organizations を使用します。 AWS Config 組織ルールを作成し、すべての S3 バケットで KMS 暗号化キーが有効になっているかどうかを確認します。ルールをデプロイします。SCP を作成して適用し、ユーザーがすべての AWS アカウントで AWS Config を停止および削除できないようにします。

回答: B

説明:
プロアクティブコントロール: プロアクティブコントロールは、定義されたポリシーに違反するアクションが発生する前にブロックする予防策です。これにより、CloudFormation スタック内での S3 バケットの作成時に暗号化が自動的に適用されます。

CloudFormation フック: フックにより、Control Tower は CloudFormation スタック操作のポリシーを傍受して適用できるため、リソース作成時に暗号化を適用するのに最適です。

マルチアカウント環境: 要件はすべてのアカウントに適用されるため、Control Tower のマルチアカウント機能により、組織全体で一貫したポリシー適用が保証されます。

207 / 363

207.

No.207
DevOps エンジニアが AWS Lambda 関数を開発しました。Lambda 関数は、特定の CloudFormation スタックでサポートされているすべてのリソースに対して AWS CloudFormation ドリフト検出操作を開始します。その後、Lambda 関数は呼び出しを終了します。
DevOps エンジニアは、1 時間ごとに Lambda 関数を呼び出す Amazon EventBridge のスケジュールされたルールを作成しました。Amazon Simple Notification Service (Amazon SNS) トピックは、AWS アカウントにすでに存在します。DevOps エンジニアは、通知を受信するために SNS トピックをサブスクライブしています。
DevOps エンジニアは、この特定のスタック構成でドリフトが検出されると、できるだけ早く通知を受け取る必要があります。
これらの要件を満たすソリューションはどれですか?

A. 既存の EventBridge ルールを構成して、SNS トピックもターゲットにします。CloudFormation スタックに一致するように SNS サブスクリプションフィルターポリシーを構成します。サブスクリプションフィルターポリシーを SNS トピックにアタッチします。

B. スタックのドリフト検出結果を CloudFormation API に照会する 2 番目の Lambda 関数を作成します。ドリフトが検出された場合、SNS トピックにメッセージをパブリッシュするように 2 番目の Lambda 関数を構成します。既存の EventBridge ルールを調整して、2 番目の Lambda 関数もターゲットにします。

C. すべての CloudFormation スタックのドリフト検出を使用して、アカウントで Amazon GuardDuty を構成します。特定の CloudFormation スタックの GuardDuty ドリフト検出イベントの検出に反応する 2 番目の EventBridge ルールを作成します。SNS トピックを 2 番目の EventBridge ルールのターゲットとして設定します。

D. アカウントで AWS Config を設定します。cloudformation-stack-drift-detection-check マネージドルールを使用します。CloudFormation スタックのコンプライアンス変更イベントに反応する 2 番目の EventBridge ルールを作成します。SNS トピックを 2 番目の EventBridge ルールのターゲットとして設定します。

回答: D

説明:
AWS Config を活用し、Edenbridge について説明しているこのブログを確認することをお勧めします。リンクはこちらです: https://aws.amazon.com/blogs/mt/implementing-an-alarm-to-automatically-detect-drift-in-aws-cloudformation-stacks/"

208 / 363

208.

No.208
ある会社が、複雑なコンテナベースのワークロードを AWS にデプロイしました。ワークロードは、モニタリングに Amazon Managed Service for Prometheus を使用しています。ワークロードは、AWS アカウントの Amazon Elastic Kubernetes Service (Amazon EKS) クラスターで実行されます。
会社の DevOps チームは、会社の Amazon Simple Notification Service (Amazon SNS) トピックを使用してワークロードアラートを受信したいと考えています。SNS トピックは、EKS クラスターと同じ AWS アカウントにあります。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)。

A. Amazon Managed Service for Prometheus のリモート書き込み URL を使用して、SNS トピックにアラートを送信します。

B. ワークロードの各コンテナの可用性を確認するアラートルールを作成します。

C. SNS トピックのアラートマネージャー構成を作成します。

D. SNS トピックのアクセスポリシーを変更します。aps.amazonaws.com サービスプリンシパルに、SNS トピックの sns:Publish 権限と sns:GetTopicAttributes 権限を付与します。

E. Amazon Managed Service for Prometheus が使用する IAM ロールを変更します。ロールに、SNS トピックの sns:Publish 権限と sns:GetTopicAttributes 権限を付与します。

F. EKS クラスターの OpenID Connect (OIDC) プロバイダーを作成します。クラスターサービスアカウントを作成します。IAM ロールを使用して、アカウントに sns:Publish 権限と sns:GetTopicAttributes 権限を付与します。

回答: BCD

説明:
B: (はい) 「AWS マネジメントコンソールを使用して Amazon Managed Service for Prometheus のルールとアラートマネージャーを構成する」手順。

「特定の条件 (expr で定義) が指定された期間 (for) に当てはまる場合にアラートマネージャーが通知を送信するアラートルールを定義します。」
cat << EOF > rules.yaml
groups:
[...]
rules:
- alert: metric:alerting_rule
expr: rate(adot_test_counter0[5m]) > 0.014
for: 5m
EOF

C:(YES) 「SNS トピック」の ARN を使用して、「アラートマネージャー設定」に「SNS レシーバー」を追加します (Q208.5)

D:(YES) 「Amazon Managed Service for Prometheus に、SNS にメッセージを送信する権限を与えます」
「アクセスポリシーを選択し、既存のポリシーに次のポリシーステートメントを追加します。」
[...]
「Principal」: {
「Service」: 「aps.amazonaws.com」
},
「Action」: [
「sns:Publish」
「sns:GetTopicAttributes」

209 / 363

209.

No.209
AWS Organizations 内の会社の組織には、単一の OU があります。会社は、OU アカウントで Amazon EC2 インスタンスを実行します。会社では、各 EC2 インスタンスの認証情報の使用を、認証情報が割り当てられている特定の EC2 インスタンスに制限する必要があります。DevOps エンジニアは、EC2 インスタンスのセキュリティを構成する必要があります。
これらの要件を満たすソリューションはどれですか?

A. VPC CIDR ブロックを指定する SCP を作成します。指定されたブロック内に aws:VpcSourcelp 条件キーの値があるかどうかを確認するように SCP を構成します。同じ SCP チェックで、aws:EC2InstanceSourcePrivatelPv4 と aws:SourceVpc 条件キーの値が同じかどうかを確認します。いずれかの条件が false の場合はアクセスを拒否します。SCP を OU に適用します。

B. aws:EC2InstanceSourceVPC と aws:SourceVpc 条件キーの値が同じかどうかをチェックする SCP を作成します。値が同じでない場合はアクセスを拒否します。同じ SCP チェックで、aws:EC2InstanceSourcePrivateIPv4 と aws:VpcSourceIp 条件キーの値が同じかどうかを確認します。値が同じでない場合はアクセスを拒否します。SCP を OU に適用します。

C. 許容される VPC 値のリストを含む SCP を作成し、aws:SourceVpc 条件キーの値がリスト内にあるかどうかを確認します。同じ SCP チェックで、許容される IP アドレス値のリストを定義し、aws:VpcSourceIp 条件キーの値がリスト内にあるかどうかを確認します。いずれかの条件が false の場合はアクセスを拒否します。組織内の各アカウントに SCP を適用します。

D. aws:EC2InstanceSourceVPC と aws:VpcSourceIp 条件キーの値が同じかどうかをチェックする SCP を作成します。値が同じでない場合はアクセスを拒否します。同じ SCP チェックで、aws:EC2InstanceSourcePrivateIPv4 と aws:SourceVpc 条件キーの値が同じかどうかを確認します。値が同じでない場合はアクセスを拒否します。組織内の各アカウントに SCP を適用します。

回答: B

説明:
B が最も適切なソリューションです:
オプション A は、複数の条件によって不必要な複雑さをもたらし、意図した制限を提供できない可能性があります。
オプション C は、許容値のリストを含む SCP を作成することを提案していますが、維持が困難になる可能性があり、それほど簡単ではありません。
オプション D にはオプション A と同じ問題があり、複数の条件によって複雑さをもたらします。

210 / 363

210.

No.210
ある会社には、単一の AWS アカウントで Linux を実行する Amazon EC2 インスタンスのフリートがあります。この会社は、EC2 インスタンス全体で AWS Systems Manager Automation タスクを使用しています。
最新のパッチサイクル中に、使用可能なディスク容量が不足しているため、いくつかの EC2 インスタンスがエラー状態になりました。DevOps エンジニアは、今後のパッチ適用プロセス中に EC2 インスタンスに十分な使用可能なディスク容量があることを確認する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. すべての EC2 インスタンスに Amazon CloudWatch エージェントがインストールされていることを確認します。

B. 各 EC2 インスタンスにインストールされる cron ジョブを作成して、一時ファイルを定期的に削除します。

C. EC2 インスタンスの Amazon CloudWatch ロググループを作成します。各 EC2 インスタンスにインストールされる cron ジョブを設定して、関連する EC2 インスタンスの CloudWatch ログストリームに使用可能なディスク容量を書き込みます。

D. すべての EC2 インスタンスの使用可能なディスク容量を監視する Amazon CloudWatch アラームを作成します。 Systems Manager Automation タスクに、アラームを安全管理として追加します。

E. 各 EC2 インスタンスのそれぞれの Amazon CloudWatch ログストリームを評価して、すべての EC2 インスタンスで十分なディスク空き容量があるかどうかを定期的に確認する AWS Lambda 関数を作成します。

回答: AD

説明:

A. すべての EC2 インスタンスに Amazon CloudWatch エージェントがインストールされていることを確認します。

Amazon CloudWatch エージェントは、ディスク容量の使用状況などのシステムレベルのメトリクスを収集し、Amazon CloudWatch に送信できます。これにより、各 EC2 インスタンスで使用可能なディスク容量を監視できます。

D. すべての EC2 インスタンスで使用可能なディスク容量を監視する Amazon CloudWatch アラームを作成します。Systems Manager Automation タスクに、アラームを安全管理として追加します。

使用可能なディスク容量を監視する CloudWatch アラームを設定すると、ディスク容量が特定のしきい値を下回ったときにアクションまたは通知をトリガーできます。このアラームを Systems Manager Automation タスクに安全管理として追加すると、十分なディスク空き容量がある場合にのみパッチ適用プロセスが続行されます。

211 / 363

211.

No.211
DevOps エンジニアは、AWS Lambda 関数を使用して Amazon Aurora MySQL DB クラスターをクエリするアプリケーションを構築しています。Lambda 関数は読み取りクエリのみを実行します。Amazon EventBridge イベントは Lambda 関数を呼び出します。
1 秒ごとに Lambda 関数を呼び出すイベントが増えると、データベースのレイテンシーが増加し、データベースのスループットが低下します。DevOps エンジニアは、アプリケーションのパフォーマンスを改善する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)。

A. Amazon RDS Proxy を使用してプロキシを作成します。プロキシを Aurora クラスターのリーダーエンドポイントに接続します。プロキシの最大接続率を設定します。

B. Lambda コード内にデータベース接続プールを実装します。データベース接続プールの最大接続数を設定します。

C. Lambda イベントハンドラーコードの外部でデータベース接続のオープンを実装します。

D. Lambda イベントハンドラーコード内でデータベース接続のオープンとクローズを実装します。

E. Lambda 関数からプロキシエンドポイントに接続します。

F. Lambda 関数から Aurora クラスターのエンドポイントに接続します。

回答: ACE

説明:
Lambda ハンドラーの外部でデータベース接続を開いたり閉じたりすると、接続を効率的に再利用でき、接続プールが実装されます。

212 / 363

212.

No.212
ある会社には、単一の AWS アカウントにデプロイされた AWS CloudFormation スタックがあります。この会社は、イベント通知を Amazon Simple Notification Service (Amazon SNS) トピックに送信するようにスタックを設定しました。
DevOps エンジニアは、スタックの更新が成功した後にのみ特定の CloudFormation スタックインスタンスにタグを適用する自動化ソリューションを実装する必要があります。DevOps エンジニアは、特定のスタックインスタンスにこのタグを適用して更新する AWS Lambda 関数を作成しました。
これらの要件を満たすソリューションはどれですか?

A. Systems Manager が CloudFormation スタックのインスタンスステータスの UPDATE_COMPLETE イベントを検出したときに、AWS Systems ManagerAutomation ランブック AWS-UpdateCloudFormationStack を実行します。ランブックを設定して、Lambda 関数を呼び出します。

B. CloudFormation スタックのインスタンスステータスが UPDATE_COMPLETE の場合にコンプライアンス変更イベントを生成するカスタム AWS Config ルールを作成します。AWS Config を設定して、Lambda 関数を直接呼び出して変更イベントを自動的に修正します。

C. CloudFormation スタックのインスタンスステータスの UPDATE_COMPLETE イベントパターンに一致する Amazon EventBridge ルールを作成します。ルールを設定して Lambda 関数を呼び出します。

D. CloudFormation スタックの設定を調整して、UPDATE_COMPLETE インスタンスステータスイベントの通知のみを SNS トピックに送信します。Lambda 関数を SNS トピックにサブスクライブします。

回答: C

説明:
EventBridge は AWS サービス内の特定のイベントを検出するように設計されており、CloudFormation からの UPDATE_COMPLETE などのイベントに一致するように設定できます。
これにより、UPDATE_COMPLETE イベントが発生するたびに CloudFormation スタックインスタンスにタグを付けるプロセスを自動化できます。
EventBridge ルールによって Lambda 関数がトリガーされ、スタックに必要なタグが適用されます。

213 / 363

213.

No.213
ある会社が 2 つの AWS リージョンにアプリケーションをデプロイします。アプリケーションは、アプリケーションと同じリージョンにある Amazon S3 バケットにオブジェクトを作成して保存します。アプリケーションの両方のデプロイメントは、両方のリージョンのすべてのオブジェクトとそのメタデータにアクセスできる必要があります。同社は S3 バケット間の双方向レプリケーションを構成し、各 S3 バケットで S3 レプリケーションメトリクスを有効にしています。
DevOps エンジニアは、オブジェクトのレプリケーションが失敗した場合にレプリケーションプロセスを再試行するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?

A. 失敗したレプリケーションイベントの S3 イベント通知をリッスンする Amazon EventBridge ルールを作成します。失敗したレプリケーションオブジェクトをダウンロードし、そのオブジェクトに対して PutObject コマンドを宛先バケットに実行する AWS Lambda 関数を作成します。EventBridge ルールを設定して、Lambda 関数を呼び出して、レプリケーションに失敗したオブジェクトを処理します。

B. Amazon Simple Queue Service (Amazon SQS) キューを作成します。失敗したレプリケーション通知を SQS キューに送信するように S3 イベント通知を設定します。失敗したレプリケーションオブジェクトをダウンロードし、そのオブジェクトに対して PutObject コマンドを宛先バケットに実行する AWS Lambda 関数を作成します。処理する通知のキューをポーリングするように Lambda 関数を設定します。

C. 失敗したレプリケーションの S3 イベント通知をリッスンする Amazon EventBridge ルールを作成します。失敗したレプリケーションオブジェクトをダウンロードし、そのオブジェクトに対して PutObject コマンドを宛先バケットに実行する AWS Lambda 関数を作成します。

D. 失敗したレプリケーションの既存のオブジェクトに対して S3 バッチ操作を使用してレプリケーションを再試行する AWS Lambda 関数を作成します。失敗したレプリケーション通知を Lambda 関数に送信するように S3 イベント通知を設定します。

回答: D

説明:
S3 バッチレプリケーションを使用すると、レプリケーション設定が適用される前から存在していたオブジェクト、以前にレプリケートされたオブジェクト、およびレプリケーションに失敗したオブジェクトをレプリケートできます。
https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-batch-replication-batch.html

214 / 363

214.

No.214
ある会社では、アプリケーションのフェイルオーバーを実装する必要があります。アプリケーションには、Amazon CloudFront ディストリビューションと AWS リージョンのパブリックアプリケーションロードバランサー (ALB) が含まれています。会社は、ALB をディストリビューションのデフォルトオリジンとして設定しました。
最近アプリケーションが停止したことを受けて、会社は 0 秒の RTO を望んでいます。会社は、ウォームスタンバイ構成でアプリケーションをセカンダリリージョンにデプロイします。DevOps エンジニアは、HTTP GET リクエストが目的の RTO を満たすように、セカンダリリージョンへのアプリケーションのフェイルオーバーを自動化する必要があります。
これらの要件を満たすソリューションはどれですか?

A. セカンダリ ALB をデフォルトオリジンとする 2 番目の CloudFront ディストリビューションを作成します。フェイルオーバーポリシーと、両方の CloudFront ディストリビューションの [ターゲットのヘルス評価] が [はい] に設定されている Amazon Route 53 エイリアスレコードを作成します。新しいレコードセットを使用するようにアプリケーションを更新します。

B. セカンダリ ALB のディストリビューションに新しいオリジンを作成します。新しいオリジングループを作成します。元の ALB をプライマリオリジンとして設定します。 HTTP 5xx ステータスコードでフェイルオーバーするようにオリジングループを設定します。デフォルトの動作を更新して、オリジングループを使用します。

C. フェイルオーバーポリシーを持ち、両方の ALB のターゲットヘルスの評価が Yes に設定されている Amazon Route 53 エイリアスレコードを作成します。両方のレコードの TTL を 0 に設定します。新しいレコードセットを使用するようにディストリビューションのオリジンを更新します。

D. HTTP 5xx ステータスコードを検出する CloudFront 関数を作成します。関数が 5xx ステータスコードを検出した場合に、セカンダリ ALB に 307 Temporary Redirect エラー応答を返すように関数を設定します。ディストリビューションのデフォルトの動作を更新して、関数にオリジン応答を送信します。

回答: B

説明:
B、
mazon CloudFront はオリジンフェイルオーバーを提供します。プライマリエンドポイントへの特定のリクエストが失敗すると、CloudFront はリクエストをセカンダリエンドポイントにルーティングします。前述のフェイルオーバー操作とは異なり、後続のすべてのリクエストは引き続きプライマリエンドポイントに送信され、フェイルオーバーはリクエストごとに実行されます。

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating

215 / 363

215.

No.215
クラウドチームは、AWS Organizations と AWS IAM Identity Center (AWS Single Sign-On) を使用して、会社の AWS アカウントを管理しています。この会社は最近、研究チームを設立しました。研究チームには、アカウント内のリソースを完全に管理する機能が必要です。研究チームは IAM ユーザーを作成できないようにする必要があります。
クラウドチームは、研究チーム用に IAM Identity Center で Research Administrator 権限セットを作成します。権限セットには、AdministratorAccess AWS 管理ポリシーが添付されています。クラウドチームは、研究チームの誰も IAM ユーザーを作成できないようにする必要があります。
これらの要件を満たすソリューションはどれですか?

A. iam:CreateUser アクションを拒否する IAM ポリシーを作成します。IAM ポリシーを Research Administrator 権限セットに添付します。

B. iam:CreateUser アクション以外のすべてのアクションを許可する IAM ポリシーを作成します。 IAM ポリシーを使用して、リサーチ管理者権限セットの権限境界を設定します。

C. iam:CreateUser アクションを拒否する SCP を作成します。SCP をリサーチチームの AWS アカウントにアタッチします。

D. IAM ユーザーを削除する AWS Lambda 関数を作成します。IAM CreateUser イベントを検出する Amazon EventBridge ルールを作成します。Lambda 関数を呼び出すようにルールを設定します。

回答: C

説明:
IAM ポリシーはアクションを拒否できますが、通常は個々のユーザーまたはロールにアタッチされます。このシナリオでは、リサーチチームのアカウント全体でユーザーの作成を制限する必要があるため、SCP がより適切な選択となります。

216 / 363

216.

No.216
ある企業が新しい AWS アカウントで新しいアプリケーションをリリースします。このアプリケーションには、Amazon Simple Queue Service (Amazon SQS) 標準キューからのメッセージを処理する AWS Lambda 関数が含まれています。Lambda 関数は、結果を Amazon S3 バケットに保存し、さらに下流で処理します。Lambda 関数は、メッセージが発行された後、特定の期間内にメッセージを処理する必要があります。Lambda 関数のバッチサイズは 10 メッセージで、メッセージのバッチ処理には数秒かかります。
アプリケーションのサービス開始初日に負荷が増加すると、キュー内のメッセージが Lambda 関数が処理できる速度よりも高い速度で蓄積されます。一部のメッセージは、必要な処理タイムラインを逃しています。ログには、キュー内の多くのメッセージに無効なデータが含まれていることが示されています。企業は、有効なデータを持つメッセージのタイムライン要件を満たす必要があります。
これらの要件を満たすソリューションはどれですか?

A. Lambda 関数のバッチサイズを増やします。SQS 標準キューを SQS FIFO キューに変更します。AWS リージョンで Lambda の同時実行性の増加をリクエストします。

B. Lambda 関数のバッチサイズを減らします。SQS メッセージのスループットクォータを増やします。AWS リージョンで Lambda の同時実行数の増加をリクエストします。

C. Lambda 関数のバッチサイズを増やします。S3 バケットで S3 Transfer Acceleration を設定します。SQS デッドレターキューを設定します。

D. Lambda 関数のバッチサイズを同じままにします。失敗したバッチ項目を報告するように Lambda 関数を設定します。SQS デッドレターキューを設定します。

回答: D

説明:
デッドレターキューを設定して、サーバーレスアプリケーションのアーキテクチャでスノーボールアンチパターンが発生しないようにします。詳細については、このガイドの「スノーボールアンチパターンの回避」セクションを参照してください。

Lambda 関数のイベントソースマッピングを設定して、失敗したメッセージのみが表示されるようにします。これを行うには、イベントソースマッピングを設定するときに、FunctionResponseTypes リストに値 ReportBatchItemFailures を含める必要があります。 https://docs.aws.amazon.com/prescriptive-guidance/latest/lambda-event-filtering-partial-batch-responses-for-sqs/best-practices-partial-batch-responses.html

217 / 363

217.

No.217
ある会社には、AWS Lambda で実行され、Amazon CloudWatch Logs にログを送信するアプリケーションがあります。Amazon Kinesis データストリームは、CloudWatch Logs のロググループにサブスクライブされています。単一のコンシューマー Lambda 関数がデータストリームからのログを処理し、Amazon S3 バケットにログを保存します。
会社の DevOps チームは、一部のログの処理と取り込み中に高いレイテンシーが発生していることに気付きました。
どの手順の組み合わせでレイテンシーを短縮できますか? (3 つ選択してください)

A. 拡張ファンアウトを備えたデータストリームコンシューマーを作成します。ログを処理する Lambda 関数をコンシューマーとして設定します。

B. Lambda イベントソースマッピングで ParallelizationFactor 設定を増やします。

C. ログを処理する Lambda 関数の予約同時実行を設定します。

D. Kinesis データストリームのバッチサイズを増やします。

E. Lambda イベントソースマッピングの ReportBatchItemFailures 設定をオフにします。

F. Kinesis データストリームのシャード数を増やします。

回答: ABF

説明:
A: Kinesis 拡張ファンアウトは、コンシューマーがシャードあたり最大 2 MB/秒の専用スループットでデータストリームからレコードを受信できるようにする Amazon Kinesis Data Streams の機能です。拡張ファンアウトを使用するコンシューマーは、ストリームからデータを受信している他のコンシューマーと競合する必要がありません。

B: 予約同時実行 - これは、関数に割り当てられる同時インスタンスの最大数を表します。関数に予約同時実行がある場合、他の関数はその同時実行を使用できません。予約同時実行は、最も重要な関数が常に受信リクエストを処理するのに十分な同時実行性を持つようにするのに役立ちます。

F: ストリームのデータ容量は、ストリームに指定したシャードの数によって決まります。ストリームの合計容量は、そのシャードの容量の合計です。

218 / 363

218.

No.218
ある企業は、AWS Organizations 内の自社組織内にある AWS アカウント全体で機密性の高いワークロードを運用しています。この企業は、IP アドレス範囲を使用して、Amazon VPC CIDR ブロックとすべての非クラウドハードウェアの IP アドレスを委任しています。
この企業は、自社の IP アドレス範囲外のプリンシパルが自社のアカウントで AWS アクションを実行できないようにするソリューションを必要としています。
これらの要件を満たすソリューションはどれですか?

A. 組織用に AWS Firewall Manager を設定します。自社の IP アドレス範囲からのソーストラフィックのみを許可する AWS ネットワークファイアウォールポリシーを作成します。ポリシーの範囲を組織内のすべてのアカウントに設定します。

B. Organizations で、自社の IP アドレス範囲外のソース IP アドレスを拒否する SCP を作成します。SCP を組織のルートにアタッチします。

C. 組織用に Amazon GuardDuty を設定します。自社の IP 範囲用に GuardDuty の信頼できる IP アドレスリストを作成します。組織の信頼できる IP リストをアクティブ化します。

D. Organizations で、会社の IP アドレス範囲内のソース IP アドレスを許可する SCP を作成します。SCP を組織のルートにアタッチします。

回答: B

説明:
回答 b
AWS Organizations 内の SCP を使用して、会社の IP アドレス範囲外のソース IP アドレスを拒否し、組織内のすべてのアカウントとリソースのソース IP アドレスに基づいて AWS アクションを一元的に組織全体で制御します。

219 / 363

219.

No.219
ある会社が 2 つの AWS リージョンにアプリケーションをデプロイします。アプリケーションは現在、プライマリリージョンの Amazon S3 バケットを使用してデータを保存しています。
DevOps エンジニアは、両方のリージョンでアプリケーションの可用性が高いことを確認する必要があります。DevOps エンジニアは、セカンダリリージョンに新しい S3 バケットを作成しました。すべての既存および新規オブジェクトは、両方の S3 バケットに存在する必要があります。アプリケーションは、データ損失なしでリージョン間でフェイルオーバーする必要があります。
どの手順の組み合わせが、これらの要件を最も効率的に満たすでしょうか。 (3 つ選択してください)

A. Amazon S3 および S3 バッチオペレーションのサービスプリンシパルが S3 レプリケーションに必要な権限を持つロールを引き受けることを許可する新しい IAM ロールを作成します。

B. AWS Batch サービスプリンシパルが S3 レプリケーションに必要な権限を持つロールを引き受けることを許可する新しい IAM ロールを作成します。

C. ソース S3 バケットに S3 クロスリージョンレプリケーション (CRR) ルールを作成します。Amazon S3 の IAM ロールを使用してターゲット S3 バケットにレプリケートするようにルールを設定します。

D. ソース S3 バケットに双方向レプリケーションルールを作成します。Amazon S3 の IAM ロールを使用してターゲット S3 バケットにレプリケートするようにルールを設定します。

E. AWS Fargate オーケストレーションタイプの AWS Batch ジョブを作成します。AWS Batch の IAM ロールを使用するようにジョブを設定します。 AWS CLI を使用してソース S3 バケットとターゲット S3 バケットの内容を同期するための Bash コマンドを指定します

F. S3 バッチ操作で、ソース S3 バケットの内容をターゲット S3 バケットに複製する操作を作成します。Amazon S3 の IAM ロールを使用するように操作を構成します。

回答: ADF

説明:
ADF、「すべての既存および新規オブジェクトは両方の S3 バケットに存在する必要があります。」これには双方向のレプリケーションが必要です。

220 / 363

220.

No.220
ある会社では、AWS Organizations の組織を使用して複数の AWS アカウントを管理しています。この会社では、インスタンスが特定のタグを受け取ったときに、侵害された Amazon EC2 インスタンスを隔離するために、すべての AWS アカウントで自動化されたプロセスが必要です。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. AWS CloudFormation StackSets を使用して、すべての AWS アカウントに CloudFormation スタックをデプロイします。

B. ec2:* アクションの Deny ステートメントと "aws:RequestTag/isolation": false の条件を持つ SCP を作成します。

C. SCP を組織のルートにアタッチします。

D. IAM ポリシーがアタッチされていない EC2 インスタンスロールを作成する AWS CloudFormation テンプレートを作成します。すべてのトラフィックに対して明示的な Deny ルールを持つセキュリティグループを持つようにテンプレートを構成します。CloudFormation テンプレートを使用して、IAM ロールをインスタンスにアタッチする AWS Lambda 関数を作成します。Lambda 関数を構成して、ネットワーク ACL を追加します。侵害された EC2 インスタンスに特定のタグが適用されたときに Lambda 関数を呼び出す Amazon EventBridge ルールを設定します。

E. IAM ポリシーがアタッチされていない EC2 インスタンスロールを作成する AWS CloudFormation テンプレートを作成します。テンプレートを構成して、インバウンドルールまたはアウトバウンドルールのないセキュリティグループを作成します。CloudFormation テンプレートを使用して、インスタンスに IAM ロールをアタッチする AWS Lambda 関数を作成します。Lambda 関数を構成して、既存のセキュリティグループを新しいセキュリティグループに置き換えます。侵害された EC2 インスタンスに特定のタグが適用されたときに Lambda 関数を呼び出す Amazon EventBridge ルールを設定します。

回答: AE

説明:
B + C は、組織内のすべてのアカウントに対してタグ付けされた EC2 で許可されるアクションがないことを意味しますが、尋ねられているのはタグ付けされた EC2 での分離 (ネットワーク分離を意味する) の必要性でした。したがって、ここでは A + E が適切なオプションです。

221 / 363

221.

No.221
ある会社では、さまざまな事業部門の OU を持つ AWS Organizations を使用して、複数の AWS アカウントを管理しています。この会社は、新しい IP アドレス範囲を使用するように企業ネットワークを更新しています。この会社には、さまざまな AWS アカウントに 10 個の Amazon S3 バケットがあります。S3 バケットには、さまざまな部門のレポートが保存されます。S3 バケット構成では、プライベート企業ネットワーク IP アドレスのみが S3 バケットにアクセスできます。
DevOps エンジニアは、S3 バケットの内容にアクセスする権限を持つ IP アドレスの範囲を変更する必要があります。また、DevOps エンジニアは、会社内の 2 つの OU の権限を取り消す必要もあります。
これらの要件を満たすソリューションはどれですか?

A. すべての S3 バケットの新しい IP アドレス範囲へのアクセスを許可するステートメントと、すべての S3 バケットの古い IP アドレス範囲へのアクセスを拒否するステートメントの 2 つのステートメントを持つ新しい SCP を作成します。 2 つの OU で OrganizationAccountAccessRole ロールの権限境界を設定し、S3 バケットへのアクセスを拒否します。

B. 新しい範囲の IP アドレスのみが S3 バケットにアクセスできるようにするステートメントを含む新しい SCP を作成します。S3 バケットへのアクセスを拒否する別の SCP を作成します。2 番目の SCP を 2 つの OU にアタッチします。

C. すべての S3 バケットで、新しい範囲の IP アドレスのみが S3 バケットにアクセスできるようにするリソースベースのポリシーを設定します。S3 バケットへのアクセスを拒否する新しい SCP を作成します。SCP を 2 つの OU にアタッチします。

D. すべての S3 バケットで、新しい範囲の IP アドレスのみが S3 バケットにアクセスできるようにするリソースベースのポリシーを設定します。2 つの OU で OrganizationAccountAccessRole ロールの権限境界を設定し、S3 バケットへのアクセスを拒否します。

回答: C

説明:
C.
バケットポリシーを使用して、IP アドレスの範囲または VPC エンドポイントから S3 リソースへのアクセスを許可または拒否します。OU への制限は、SCP を使用して行うのが最適です。

222 / 363

222.

No.222
ある会社が複数のチームで AWS を使い始めました。各チームには複数のアカウントと固有のセキュリティプロファイルがあります。会社は AWS Organizations で組織内のアカウントを管理しています。各アカウントには独自の構成とセキュリティ制御があります。
会社の DevOps チームは、予防的制御と検出的制御を使用してすべてのアカウントを管理したいと考えています。DevOps チームは、会社が組織内に新しいアカウントを作成するときに、現在および将来にわたってアカウントのセキュリティを確保する必要があります。
これらの要件を満たすソリューションはどれですか?

A. Organizations を使用して、各チームに適切な SCP がアタッチされた OU を作成します。チームアカウントを適切な OU に配置して、セキュリティ制御を適用します。新しいチームアカウントは適切な OU に作成します。

B. AWS Control Tower ランディングゾーンを作成します。既存のチーム用に AWS Control Tower で OU と適切な制御を構成します。AWS Control Tower の信頼できるアクセスを構成します。各チームの適切なセキュリティポリシーに一致する適切な OU に既存のアカウントを登録します。AWS Control Tower を使用して、新しいアカウントをプロビジョニングします。

C. 組織の管理アカウントに AWS CloudFormation スタックセットを作成します。組織内の各アカウントにすべてのコントロールの設定ルールと修復アクションを含む AWS Config をデプロイするスタックセットを構成します。アカウントが作成されたら、新しいアカウントにデプロイするようにスタックセットを更新します。

D. 組織内のすべての AWS アカウントで AWS Config ルールを管理するように AWS Config を構成します。組織全体に AWS Config ルールと修復アクションを提供する適合パックをデプロイします。

回答: B

説明:
コントロールとは、AWS 環境全体の継続的なガバナンスを提供する高レベルのルールです。わかりやすい言葉で表現されています。AWS Control Tower は、リソースを管理し、AWS アカウントのグループ全体でコンプライアンスを監視するのに役立つ予防的、検出的、およびプロアクティブなコントロールを実装します。https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html

223 / 363

223.

No.223
ある企業は、AWS CodeCommit リポジトリを使用して、ソースコードと対応するユニットテストを保存します。同社は、コードがリポジトリのメインブランチにマージされたときに実行される AWS CodeBuild プロジェクトを含む AWS CodePipeline パイプラインを設定しました。
同社は、CodeBuild プロジェクトでユニットテストを実行することを望んでいます。ユニットテストに合格した場合、CodeBuild プロジェクトは最新のコミットにタグを付ける必要があります。
これらの要件を満たすために、同社は CodeBuild プロジェクトをどのように設定する必要がありますか?

A. CodeCommit リポジトリを実行するためにネイティブ Git を使用するように CodeBuild プロジェクトを設定します。ユニットテストを実行するようにプロジェクトを設定します。コードがユニットテストに合格した場合、タグを作成し、Git タグをリポジトリにプッシュするためにネイティブ Git を使用するようにプロジェクトを設定します。

B. CodeCommit リポジトリを実行するためにネイティブ Git を使用するように CodeBuild プロジェクトを設定します。ユニットテストを実行するようにプロジェクトを設定します。コードがユニットテストに合格した場合、AWS CLI コマンドを使用してリポジトリに新しいリポジトリタグを作成するようにプロジェクトを設定します。

C. CodeCommit リポジトリからコードをコピーするために AWS CLI コマンドを使用するように CodeBuild プロジェクトを設定します。ユニットテストを実行するようにプロジェクトを設定します。コードが単体テストに合格した場合、AWS CLI コマンドを使用してリポジトリに新しい Git タグを作成するようにプロジェクトを設定します。

D. CodeBuild プロジェクトを設定して、AWS CLI コマンドを使用して CodeCommit リポジトリからコードをコピーします。プロジェクトを設定して単体テストを実行します。コードが単体テストに合格した場合、AWS CLI コマンドを使用してリポジトリに新しいリポジトリタグを作成するようにプロジェクトを設定します。

回答: A

説明:
オプション A は、クローン作成とタグ付けに標準の Git 操作を使用することで要件を効果的に満たし、AWS CodePipeline でリポジトリを管理するための効率的で明確なワークフローを保証します。

224 / 363

224.

No.224
DevOps エンジニアが、ある会社の Amazon Elastic Container Service (Amazon ECS) クラスターを管理しています。クラスターは、Auto Scaling グループ内の複数の Amazon EC2 インスタンスで実行されています。DevOps エンジニアは、停止したすべてのタスクをログに記録してエラーを確認するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?

A. タスクの状態変更をキャプチャする Amazon EventBridge ルールを作成します。イベントを Amazon CloudWatch Logs に送信します。停止したタスクを調査するには、CloudWatch Logs Insights を使用します。

B. 埋め込みメトリック形式でログデータを書き込むようにタスクを構成します。ログを Amazon CloudWatch Logs に保存します。ContainerInstanceCount メトリックの変更を監視します。

C. ログを Amazon CloudWatch Logs に保存するように EC2 インスタンスを構成します。EC2 インスタンスのログデータを使用する CloudWatch Contributor Insights ルールを作成します。停止したタスクを調査するには、Contributor Insights ルールを使用します。

D. EC2_INSTANCE_TERMINATING スケールインイベントの EC2 Auto Scaling ライフサイクルフックを構成します。 SystemEventLog ファイルを Amazon S3 に書き込みます。Amazon Athena を使用して、ログファイルにエラーがないかクエリします。

回答: A

説明:
Amazon EventBridge を使用して ECS タスクの状態変更をキャプチャし、これらのイベントを CloudWatch Logs に送信し、CloudWatch Logs Insights の分析機能と組み合わせることで、オプション A は、停止したタスクのエラーをログに記録して調査するための包括的で簡単なソリューションを提供します。

225 / 363

225.

No.225
ある会社が、数百の Amazon EC2 インスタンスにワークロードをデプロイしたいと考えています。会社は、起動テンプレートを使用して、Auto Scaling グループで EC2 インスタンスをプロビジョニングします。
ワークロードは、Amazon S3 バケットからファイルをプルし、データを処理し、結果を別の S3 バケットに格納します。EC2 インスタンスには、最小限の権限が必要であり、一時的なセキュリティ認証情報を使用する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. S3 バケットに適切な権限を持つ IAM ロールを作成します。IAM ロールをインスタンスプロファイルに追加します。

B. 起動テンプレートを更新して、IAM インスタンスプロファイルを含めます。

C. Amazon S3 に対する適切な権限を持つ IAM ユーザーを作成し、秘密鍵とトークンを生成します。

D. トラストアンカーとプロファイルを作成し、プロファイルに IAM ロールをアタッチします。

E. 起動テンプレートを更新し、新しい秘密鍵とトークンを使用するようにユーザーデータを変更します。

回答: AB

説明:
A. この手順により、EC2 インスタンスに S3 バケットにアクセスするために必要な権限が付与されます。IAM ロールには、1 つの S3 バケットからファイルをプルして別の S3 バケットに結果を配置できるポリシーがアタッチされている必要があります。インスタンスプロファイルを使用することで、ロールを EC2 インスタンスに関連付けることができます。
B. この手順により、Auto Scaling グループによって起動された EC2 インスタンスが、適切な権限を持つインスタンスプロファイル (および IAM ロール) を自動的に使用するようになります。
C. このアプローチでは、長期的な認証情報を使用します
D. 「トラストアンカー」という用語は、AWS IAM Identity Center (旧称 AWS Single Sign-On) または AWS Organizations に関連します。Auto Scaling を介して EC2 インスタンスの権限を設定する場合には直接適用されません。
E. ユーザーデータスクリプトに秘密鍵とトークンを保存して使用することは安全ではないため、推奨されません。

226 / 363

226.

No.226
ある会社では、AWS CodeDeploy を使用してソフトウェアのデプロイを自動化しています。デプロイは、次の要件を満たす必要があります。
• デプロイ中にトラフィックを処理できるインスタンスがいくつか必要です。トラフィックはインスタンス間でバランスが取れている必要があり、障害が発生した場合はインスタンスが自動的に修復される必要があります。 • 新しいリビジョンを自動的にデプロイするために、新しいインスタンス群を起動する必要があります。手動プロビジョニングは必要ありません。
• トラフィックは、一度に新しいインスタンスの半分に新しい環境に再ルーティングする必要があります。トラフィックがインスタンスの少なくとも半分に再ルーティングされれば、デプロイは成功します。そうでない場合は失敗します。
• トラフィックを新しいインスタンス群にルーティングする前に、デプロイプロセス中に生成された一時ファイルを削除する必要があります。
• デプロイが成功したら、コストを削減するために、デプロイグループ内の元のインスタンスをすぐに削除する必要があります。
DevOps エンジニアは、これらの要件をどのように満たすことができますか?

A. アプリケーションロードバランサーとインプレースデプロイを使用します。Auto Scaling グループをデプロイグループに関連付けます。 [Auto Scaling グループを自動的にコピーする] オプションを使用し、CodeDeployDefault.OneAtAtime をデプロイ設定として使用します。AWS CodeDeploy にデプロイグループ内の元のインスタンスを終了するように指示し、appspec.yml 内の AllowTraffic フックを使用して一時ファイルを削除します。

B. Application Load Balancer とブルー/グリーンデプロイを使用します。Auto Scaling グループと Application Load Balancer ターゲットグループをデプロイグループに関連付けます。[Auto Scaling グループを自動的にコピーする] オプションを使用し、最小の正常なホストを 50% として定義したカスタムデプロイ設定を作成し、その設定をデプロイグループに割り当てます。AWS CodeDeploy にデプロイグループ内の元のインスタンスを終了するように指示し、appspec.yml 内の BeforeBlockTraffic フックを使用して一時ファイルを削除します。

C. Application Load Balancer とブルー/グリーンデプロイを使用します。Auto Scaling グループと Application Load Balancer ターゲットグループをデプロイグループに関連付けます。[Auto Scaling グループを自動的にコピーする] オプションを使用し、CodeDeployDefault.HalfAtAtime をデプロイ設定として使用します。 AWS CodeDeploy に、デプロイメントグループ内の元のインスタンスを終了するように指示し、appspec.yml 内の BeforeAllowTraffic フックを使用して一時ファイルを削除します。

D. Application Load Balancer とインプレースデプロイメントを使用します。Auto Scaling グループと Application Load Balancer ターゲットグループをデプロイメントグループに関連付けます。[Auto Scaling グループを自動的にコピー] オプションを使用し、デプロイメント構成として CodeDeployDefault.AllatOnce を使用します。AWS CodeDeploy に、デプロイメントグループ内の元のインスタンスを終了するように指示し、appspec.yml 内の BlockTraffic フックを使用して一時ファイルを削除します。

回答: C

説明:
オプション C は、ブルー/グリーンデプロイメント戦略、正しいトラフィックルーティング、適切な一時ファイルのクリーンアップタイミング、および自動インスタンス終了を利用してコストを管理することで、指定されたすべての要件を満たすため、最適な選択です。

オプション B は、次の理由で間違っています。
- カスタムデプロイメント構成が可能で、少なくとも 50% のインスタンスが正常である必要があります。ただし、「半分に再ルーティングする」というのはやや曖昧です。50% のカスタムデプロイメントでは半分が正常な状態を維持することは保証されますが、半分の再ルーティングが明示的に保証されるわけではありません。
- BeforeBlockTraffic フックを使用しますが、これはインスタンスのプロビジョニング後、トラフィックを許可する前に実行される必要があるため、一時ファイルをクリーンアップする適切なタイミングではありません。

227 / 363

227.

No.227
ある企業は、アプリケーションと関連する CI/CD インフラストラクチャを展開するために、マルチアカウント戦略を採用する必要があります。この企業は、すべての機能が有効になっている組織を AWS Organizations に作成しました。この企業は AWS Control Tower を構成し、ランディングゾーンを設定しました。
この企業は、組織内のすべての AWS アカウントで AWS Control Tower コントロール (ガードレール) を使用する必要があります。この企業は、マルチ環境アプリケーション用のアカウントを作成し、すべてのアカウントが初期ベースラインに構成されていることを確認する必要があります。
どのソリューションが、運用オーバーヘッドを最小限に抑えながらこれらの要件を満たしますか?

A. ベースライン構成を使用する AWS Control Tower Account Factory Customization (AFC) ブループリントを作成します。AWS Control Tower Account Factory を使用して、ブループリントを使用して各環境専用の AWS アカウントと CI/CD アカウントをプロビジョニングします。

B. AWS Control Tower Account Factory を使用して、各環境専用の AWS アカウントと CI/CD アカウントをプロビジョニングします。AWS CloudFormation StackSets を使用して、ベースライン構成を新しいアカウントに適用します。

C. Organizations を使用して、マルチ環境の AWS アカウントと CI/CD アカウントをプロビジョニングします。Organizations 管理アカウントで、Organizations アクセスロールを引き受け、ベースライン構成を新しいアカウントに適用する AWS Lambda 関数を作成します。

D. Organizations を使用して、各環境専用の AWS アカウント、監査アカウント、および CI/CD アカウントをプロビジョニングします。AWS CloudFormation StackSets を使用して、ベースライン構成を新しいアカウントに適用します。

回答: A

説明:
キーワード: AWS Control Tower アカウントファクトリーカスタマイズ (AFC)
オプション A は、AWS Control Tower のアカウントファクトリーとカスタマイズ機能を活用して、最小限の運用オーバーヘッドですべての要件を満たすため、最適な選択肢です。このオプションは、アカウントのプロビジョニングとベースライン構成に対して、自動化され、準拠した、一貫性のあるアプローチを提供します。

228 / 363

228.

No.228
DevOps チームが AWS Config でカスタム Lambda ルールを作成しました。このルールは、ecr:* アクションの Amazon Elastic Container Repository (Amazon ECR) ポリシーステートメントを監視します。準拠していないリポジトリが検出されると、Amazon EventBridge は Amazon Simple Notification Service (Amazon SNS) を使用して通知をセキュリティチームにルーティングします。
カスタム AWS Config ルールが評価されると、AWS Lambda 関数は実行に失敗します。
どのソリューションでこの問題を解決できますか?

A. Lambda 関数のリソースポリシーを変更して、関数を呼び出すための AWS Config 権限を付与します。

B. SNS トピックポリシーを変更して、EventBridge が SNS トピックに公開するための設定変更を含めます。

C. Lambda 関数の実行ロールを変更して、カスタム AWS Config ルールの設定変更を含めます。

D. すべての ECR リポジトリポリシーを変更して、必要な ECR API アクションへの AWS Config アクセスを許可します。

回答: A

説明:
Lambda 関数を使用するカスタム AWS Config ルールを作成する場合、AWS Config にはその関数を呼び出す権限が必要です。これは、AWS Config が関数を呼び出すことを明示的に許可するリソースベースのポリシーを Lambda 関数に追加することで行われます。この権限がないと、AWS Config は Lambda 関数をトリガーできず、関数の実行に失敗します。

229 / 363

229.

No.229
開発者は、新しいソフトウェアアズアサービス (SaaS) アプリケーションの概念実証を作成しています。アプリケーションは、AWS Organizations 内の組織の一部である共有開発 AWS アカウントにあります。
開発者は、概念実証の対象となっている AWS サービスに対して、サービスにリンクされた IAM ロールを作成する必要があります。ソリューションでは、開発者がサービスにリンクされたロールのみを作成および構成できるようにする必要があります。
これらの要件を満たすソリューションはどれですか?

A. 組織の管理アカウントに開発者用の IAM ユーザーを作成します。開発者が使用できるように、開発アカウントにクロスアカウントロールを構成します。クロスアカウントロールの範囲を共通サービスに制限します。

B. 開発者を IAM グループに追加します。PowerUserAccess 管理ポリシーを IAM グループにアタッチします。ユーザーアカウントに多要素認証 (MFA) を適用します。

C. Organizations で開発アカウントに SCP を追加します。開発者のアクセスを制限するために、iam:* の拒否ルールを使用して SCP を構成します。

D. 開発者がポリシーとロールを作成できるようにするために必要な IAM アクセスを持つ IAM ロールを作成します。ロールに権限境界を作成してアタッチします。ロールを引き受けるためのアクセスを開発者に付与します。

回答: D

説明:
A. このアプローチでは、管理アカウントにユーザーを作成し、クロスアカウントロールを設定する必要があります。これにより、不要な複雑さと潜在的なセキュリティリスクが追加されます。
B. PowerUserAccess 管理ポリシーは、サービスにリンクされたロールの作成と構成だけにとどまらない幅広い権限を提供します。このアプローチは、開発者の機能をサービスにリンクされたロールの管理に限定するという要件を満たしていません。
C. SCP は組織レベルまたはアカウントレベルで権限ガードレールを設定するために使用されますが、権限を付与するものではありません。アクションを制限するために使用され、iam:* の拒否ルールを使用して SCP を構成すると、開発者が必要なアクションを実行できなくなる可能性があります

D は要件を効果的に満たしています

230 / 363

230.

No.230
ある会社では、AWS Organizations を使用して AWS アカウントを管理しています。この会社は、ルートユーザーがログインしたときに監視システムがアラートを受信するようにしたいと考えています。また、ルートユーザーが生成したログアクティビティを表示するダッシュボードも必要です。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)。

A. マルチアカウントアグリゲータで AWS Config を有効にします。Amazon CloudWatch Logs へのログ転送を設定します。

B. Amazon CloudWatch Logs クエリを使用する Amazon QuickSight ダッシュボードを作成します。

C. ルートユーザーのログインイベントに一致する Amazon CloudWatch Logs メトリックフィルターを作成します。CloudWatch アラームと Amazon Simple Notification Service (Amazon SNS) トピックを設定して、会社の監視システムにアラートを送信します。

D. ルートユーザーのログインイベントに一致する Amazon CloudWatch Logs サブスクリプションフィルターを作成します。イベントを Amazon Simple Notification Service (Amazon SNS) トピックに転送するようにフィルターを設定します。会社の監視システムにアラートを送信するように SNS トピックを設定します。

E. AWS CloudTrail 組織証跡を作成します。組織の証跡を設定して、イベントを Amazon CloudWatch Logs に送信します。

F. CloudWatch Logs Insights クエリを使用する Amazon CloudWatch ダッシュボードを作成します。

回答: CEF

説明:
オプション E: CloudTrail を使用して、ルートユーザーのアクティビティをキャプチャして転送します。

オプション C: ルートユーザーのログインイベントを警告するメトリックフィルターとアラームを設定します。

オプション F: ルートユーザーのアクティビティを視覚化するための CloudWatch ダッシュボードを作成します。

追加メモ:
CloudWatch Logs サブスクリプションフィルター:
- ログイベントをリアルタイムで処理しますが、通常は AWS Lambda や Elasticsearch などの他のサービスにログデータをストリーミングするために使用されます。
- ルートユーザーのログインイベントを警告する特定のタスクには必要ありません。

AWS Config は、ルートユーザーのログインイベントをキャプチャして CloudWatch Logs に転送することに直接関係しません。

231 / 363

231.

No.231
ある会社が AWS Organizations を使用して AWS アカウントを管理しています。DevOps エンジニアは、AWS マネジメントコンソールにアクセスするすべてのユーザーが会社の企業 ID プロバイダー (IdP) を通じて認証されていることを確認する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)

A. 委任された管理者アカウントで Amazon GuardDuty を使用する GuardDuty を使用して、IAM ユーザーのログインを拒否します。

B. AWS IAM Identity Center を使用して、SAML 2.0 で ID フェデレーションを設定します。

C. AWS IAM Identity Center でアクセス許可の境界を作成し、IAM ユーザーのパスワードログインを拒否します。

D. Organizations 管理アカウントで IAM グループを作成し、すべての IAM ユーザーに一貫したアクセス許可を適用します。

E. Organizations で SCP を作成し、IAM ユーザーのパスワード作成を拒否します。

回答: BE

説明:
オプション B: AWS IAM Identity Center を使用して、SAML 2.0 で ID フェデレーションを設定します。

オプション E: SCP を実装して、IAM ユーザーのパスワード作成を拒否し、IdP 認証を適用します。

C - 権限の境界については不正解です
- AWS IAM Identity Center の権限の境界は、IAM エンティティが持つことができる最大の権限を定義しますが、ログイン方法を制御したり、パスワードログインを拒否したりするために使用されるものではありません。
- 権限の境界は、認証方法を制限したり、フェデレーションを強制したりすることはありません。
- 権限の境界は、IAM ユーザーのログインを拒否するためには適用されません。

232 / 363

232.

No.232
ある会社が、Amazon Elastic Kubernetes Service (Amazon EKS) で実行される新しいプラットフォームを導入しました。新しいプラットフォームは、ユーザーが頻繁に更新する Web アプリケーションをホストします。アプリケーション開発者は、アプリケーション用の Docker イメージを構築し、その Docker イメージを手動でプラットフォームにデプロイします。
プラットフォームの使用率は、毎日 500 人以上に増加しています。頻繁な更新、アプリケーション用の更新された Docker イメージの構築、および手動でのプラットフォームへの Docker イメージのデプロイは、すべて管理が困難になっています。
Docker イメージのスキャンで、オペレーティングシステムまたはプログラミング言語パッケージの脆弱性に関する HIGH または CRITICAL の結果が返された場合、会社は Amazon Simple Notification Service (Amazon SNS) 通知を受け取る必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. Dockerfile と Kubernetes デプロイメントファイルを保存する AWS CodeCommit リポジトリを作成します。AWS CodePipeline でパイプラインを作成します。新しいバージョンの Dockerfile がコミットされたときに、Amazon S3 イベントを使用してパイプラインを呼び出します。AWS CodeBuild プロジェクトを開始する手順をパイプラインに追加します。

B. Dockerfile と Kubernetes デプロイメントファイルを保存する AWS CodeCommit リポジトリを作成します。AWS CodePipeline でパイプラインを作成します。新しいバージョンの Dockerfile がコミットされたときにパイプラインを呼び出すには、Amazon EventBridge イベントを使用します。パイプラインにステップを追加して、AWS CodeBuild プロジェクトを開始します。

C. Docker イメージをビルドして、その Docker イメージを Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存する AWS CodeBuild プロジェクトを作成します。ECR リポジトリの基本スキャンをオンにします。Amazon GuardDuty イベントを監視する Amazon EventBridge ルールを作成します。finding-severity-counts パラメータが CRITICAL または HIGH レベルで 0 より大きい場合に、SNS トピックにイベントを送信するように EventBridge ルールを設定します。

D. Docker イメージをビルドして、その Docker イメージを Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存する AWS CodeBuild プロジェクトを作成します。ECR リポジトリの拡張スキャンをオンにします。ECR イメージスキャンイベントを監視する Amazon EventBridge ルールを作成します。 CRITICAL または HIGH レベルで finding-severity-counts パラメータが 0 より大きい場合に SNS トピックにイベントを送信するように EventBridge ルールを設定します。

E. Dockerfile をスキャンする AWS CodeBuild プロジェクトを作成します。プロジェクトを設定して、スキャンが成功した場合は Docker イメージをビルドし、その Docker イメージを Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存します。スキャンで脆弱性が返された場合に通知を提供するように SNS トピックを設定します。

回答: BD

説明:
オプション B:
- Dockerfile と Kubernetes デプロイメントファイルを保存する AWS CodeCommit リポジトリ。
- Dockerfile の新しいバージョンがコミットされたときにパイプラインを呼び出す Amazon EventBridge イベント。

オプション D:
- Docker イメージをビルドし、その Docker イメージを Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存する AWS CodeBuild プロジェクト。
- ECR リポジトリの拡張スキャン。

233 / 363

233.

No.233
ある企業は、AWS Organizations 内の組織内の OU に AWS アカウントをグループ化しています。この企業は、Organizations アカウントの 1 つに Amazon API Gateway API のセットをデプロイしました。API はアカウントの VPC にバインドされており、既存の認証メカニズムはありません。特定の OU 内のプリンシパルのみが API を呼び出す権限を持つことができます。
この企業は、API Gateway インターフェイス VPC エンドポイントに次のポリシーを適用します。
{
"Statement": [
{
"Action": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths": "o-company-org/r-company-root/ou-company-ou"
}
},
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Resource": "*",
"Sid": "RestrictToOU"
}
],
"Version": "2012-10-17"
}
同社はまた、API Gateway リソースポリシーを更新して、インターフェイス VPC エンドポイントを経由しない呼び出しを拒否します。更新後、インターフェイス VPC エンドポイント URL を使用して API を呼び出そうとすると、「ユーザー: 匿名は承認されていません」というエラーメッセージが表示されます。
どの手順の組み合わせでこの問題を解決できますか? (2 つ選択してください)。

A. AWS JAM を承認方法として設定して、すべての API メソッドで IAM 認証を有効にします。

B. 呼び出し元の ID をベアラートークンで渡すトークンベースの AWS Lambda オーソライザーを作成します。

C. 呼び出し元の ID をヘッダー、クエリ文字列パラメータ、ステージ変数、および $cortext 変数の組み合わせで渡すリクエストパラメータベースの AWS Lambda オーソライザーを作成します。

D. Amazon Cognito ユーザープールをオーソライザーとして使用して、API へのアクセスを制御します。

E. 署名バージョン 4 を使用して AWS 認証情報を使用してクライアントリクエストに署名し、リクエスタの ID を確認します。

回答: AE

説明:
Hope はオプション A のタイプミスです。AWS JAM = AWS IAM

オプション A。AWS IAM を認証方法として設定して、すべての API メソッドで IAM 認証を有効にします。
- これにより、API へのすべてのリクエストが IAM 認証情報を使用して認証されるようになり、匿名アクセスの問題に直接対処できます。

オプション E。署名バージョン 4 を使用して AWS 認証情報を使用してクライアントリクエストに署名し、リクエスト元の ID を確認します。
- AWS 署名バージョン 4 を使用すると、リクエストが認証され、特定の組織単位にリンクされた IAM ポリシーに従って承認されます。

234 / 363

234.

No.234
ある企業は、新機能の開発にかかる時間を短縮したいと考えています。この企業は、AWS CodeBuild と AWS CodeDeploy を使用してアプリケーションを構築およびデプロイしています。また、AWS CodePipeline を使用して、各マイクロサービスを独自の CI/CD パイプラインでデプロイしています。
この企業は、新機能のリリースからデプロイが失敗した後の平均回復時間までの時間について、より詳細な可視性を必要としています。
どのソリューションが、最小限の設定作業でこの可視性を提供しますか?

A. 各パイプラインの成功した実行と失敗した実行に関する情報を含む Amazon CloudWatch カスタムメトリクスを作成する AWS Lambda 関数をプログラムします。5 分ごとに Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。メトリクスを使用して CloudWatch ダッシュボードを構築します。

B. 各パイプラインの成功した実行と失敗した実行に関する情報を含む Amazon CloudWatch カスタムメトリクスを作成する AWS Lambda 関数をプログラムします。成功した実行と失敗した実行のたびに Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。メトリクスを使用して CloudWatch ダッシュボードを構築します。

C. 成功した実行と失敗した実行に関する情報を Amazon DynamoDB に書き込む AWS Lambda 関数をプログラムします。成功した実行と失敗した実行のたびに Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。DynamoDB からの情報を表示する Amazon QuickSight ダッシュボードを構築します。

D. 成功した実行と失敗した実行に関する情報を Amazon DynamoDB に書き込む AWS Lambda 関数をプログラムします。5 分ごとに Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。DynamoDB からの情報を表示する Amazon QuickSight ダッシュボードを構築します。

回答: B

説明:
A. 5 分ごとに Lambda 関数を呼び出すのは、イベント駆動型の呼び出しに比べて効率が悪い
B. 最小限の設定作業で必要な可視性が得られる
C と D. DynamoDB と QuickSight を使用すると、より多くの設定が必要になる

235 / 363

235.

No.235
ある会社が、Amazon S3 バケットでホストされる静的ウェブサイトを開発しました。このウェブサイトは、AWS CloudFormation を使用してデプロイされています。 CloudFormation テンプレートは、S3 バケットと、ソースの場所からバケットにコンテンツをコピーするカスタムリソースを定義します。
会社は、Web サイトを新しい場所に移動する必要があると判断したため、既存の CloudFormation スタックを削除して再作成する必要があります。ただし、CloudFormation はスタックをクリーンに削除できなかったと報告します。
最も可能性の高い原因は何ですか。DevOps エンジニアは、この Web サイトと将来のバージョンの Web サイトに対してこの問題をどのように軽減できますか。

A. S3 バケットにアクティブな Web サイト構成があるため、削除に失敗しました。CloudFormation テンプレートを変更して、S3 バケットリソースから WebsiteConfiguration プロパティを削除します。

B. S3 バケットが空でないため、削除に失敗しました。カスタムリソースの AWS Lambda 関数コードを変更して、RequestType が Delete の場合にバケットを再帰的に空にします。

C. カスタムリソースで削除ポリシーが定義されていないため、削除に失敗しました。カスタムリソース定義に、RemoveOnDeletion の値を持つ DeletionPolicy プロパティを追加します。

D. S3 バケットが空でないため、削除に失敗しました。CloudFormation テンプレートの S3 バケットリソースを変更して、Empty の値が設定された DeletionPolicy プロパティを追加します。

回答: B

説明:
デフォルトでは、CloudFormation は空でない S3 バケットを削除できません。スタックの削除を試行したときにバケットにオブジェクトがまだ含まれている場合、スタックの削除は失敗します。

Q では、カスタムリソースが Lambda を使用することは指定されていませんが、ここでは、カスタムリソースがバケットにコンテンツをコピーする役割を担っているため、クリーンアッププロセスの処理にも使用できると想定しても問題ないと思います。

236 / 363

236.

No.236
ある会社では、Amazon EC2 を主要なコンピューティングプラットフォームとして使用しています。DevOps チームは、会社の EC2 インスタンスを監査して、禁止されているアプリケーションが EC2 インスタンスにインストールされているかどうかを確認したいと考えています。
どのソリューションが、これらの要件を最も効率的に満たすでしょうか。

A. 各インスタンスで AWS Systems Manager を設定します。AWS Systems Manager Inventory を使用します。Systems Manager リソースデータ同期を使用して、Amazon S3 バケットに検出結果を同期して保存します。S3 バケットに新しいオブジェクトが追加されたときに実行される AWS Lambda 関数を作成します。禁止されているアプリケーションを識別するように Lambda 関数を設定します。

B. 各インスタンスで AWS Systems Manager を設定します。Systems Manager Inventory を使用します。Systems Manager Inventory からの変更を監視して禁止されているアプリケーションを識別する AWS Config ルールを作成します。

C. 各インスタンスで AWS Systems Manager を設定します。Systems Manager Inventory を使用します。Systems Manager Inventory イベントの AWS CloudTrail で証跡をフィルタリングして、禁止されているアプリケーションを識別します。

D. すべてのアプリケーションインスタンスのログの送信先として Amazon CloudWatch Logs を指定します。すべてのインスタンスで自動スクリプトを実行して、インストールされているアプリケーションのインベントリを作成します。結果を CloudWatch Logs に転送するようにスクリプトを設定します。フィルターパターンを使用してログデータを検索し、禁止されているアプリケーションを識別する CloudWatch アラームを作成します。

回答: B

説明:
オプション B: 各インスタンスで AWS Systems Manager を設定します。Systems Manager Inventory を使用して、Systems Manager Inventory からの変更を監視して禁止されているアプリケーションを識別する AWS Config ルールを作成します。

このアプローチでは、Systems Manager Inventory と AWS Config を活用して、禁止されているアプリケーションを効率的に追跡および識別しながら、運用オーバーヘッドを最小限に抑えます。

237 / 363

237.

No.237
ある企業にイベント駆動型の JavaScript アプリケーションがあります。このアプリケーションは、イベントを発行、消費、ルーティングする分離された AWS マネージドサービスを使用します。アプリケーションのテスト中、イベントは Amazon EventBridge ルールで指定されたターゲットに配信されません。
DevOps チームは、アプリケーションを再デプロイせずにイベントを表示、トラブルシューティング、およびイベントの損失を防ぐための追加機能をアプリケーションテスターに提供する必要があります。
これらの要件を満たすために、DevOps チームはどの手順の組み合わせを実行する必要がありますか? (3 つ選択してください)

A. 標準のテスト環境とプロジェクトを使用して AWS Device Farm を起動し、アプリケーションの特定のビルドを実行します。

B. Amazon S3 バケットを作成します。AWS CloudTrail を有効にします。S3 バケットをストレージの場所として指定する CloudTrail 証跡を作成します。

C. Amazon Simple Queue Service (Amazon SQS) 標準キューをデッドレターキューとして使用するように EventBridge ルールを設定します。

D. Amazon Simple Queue Service (Amazon SQS) FIFO キューをデッドレターキューとして使用するように EventBridge ルールを設定します。

E. Amazon CloudWatch Logs にロググループを作成します。ロググループを EventBridge ルールの追加ターゲットとして指定します。

F. アプリケーションコードベースを更新し、AWS X-Ray SDK トレース機能を使用して、X-Amzn-Trace-Id ヘッダーをサポートするコードをインストルメントします。

回答: BCE

説明:
キーワード: アプリケーションの再デプロイなし。
オプション B: CloudTrail を有効にすると、テスターはイベントアクティビティや AWS サービスとのやり取りを追跡できるようになり、トラブルシューティングに役立ちます。
オプション C: 標準の SQS キューを DLQ として使用すると、失敗したイベントがキャプチャされ、分析または再試行できるようになります。
オプション E: CloudWatch Logs をターゲットとして追加すると、イベント処理が即座にログに記録され、リアルタイムの監視とトラブルシューティングに役立ちます。

238 / 363

238.

No.238
ある企業が、コンテナベースのワークロードを AWS Organizations のマルチアカウント環境に移行しています。この環境は、コンテナ化されたワークロードをデプロイおよび実行するために企業が使用するアプリケーションワークロードアカウントで構成されています。また、この企業は、組織内の共有ワークロード用に共有サービスアカウントもプロビジョニングしています。
この企業は、厳格なコンプライアンス規制に従う必要があります。すべてのコンテナイメージは、任意の環境にデプロイされる前にセキュリティスキャンを受ける必要があります。イメージが重大な脆弱性なしでスキャンに合格すると、下流のデプロイメカニズムで使用できます。デプロイでプレスキャンイメージが使用されないように、プレスキャンイメージとポストスキャンイメージは互いに分離されている必要があります。
DevOps エンジニアは、このプロセスを一元化する戦略を作成する必要があります。
どの手順の組み合わせが、管理オーバーヘッドを最小限に抑えながらこれらの要件を満たすでしょうか。(2 つ選択してください。)

A. 共有サービスアカウントに Amazon Elastic Container Registry (Amazon ECR) リポジトリを作成します。プレスキャンイメージごとに 1 つのリポジトリ、ポストスキャンイメージごとに 1 つのリポジトリです。 Amazon ECR イメージスキャンを、プレスキャンリポジトリへの新しいイメージのプッシュ時に実行するように設定します。リソースベースのポリシーを使用して、プレスキャンリポジトリへの書き込みアクセスと、ポストスキャンリポジトリへの読み取りアクセスを組織に付与します。

B. コンテナイメージを公開する各アカウントに、プレスキャン Amazon Elastic Container Registry (Amazon ECR) リポジトリを作成します。共有サービスアカウントにポストスキャンイメージのリポジトリを作成します。プレスキャンリポジトリへの新しいイメージのプッシュ時に Amazon ECR イメージスキャンを実行するように設定します。リソースベースのポリシーを使用して、ポストスキャンリポジトリへの読み取りアクセスを組織に付与します。

C. イメージのプレスキャンリポジトリからイメージのポストスキャンリポジトリへの各イメージのイメージレプリケーションを設定します。

D. プレスキャンリポジトリごとに AWS CodePipeline でパイプラインを作成します。プレスキャンリポジトリに新しいイメージがプッシュされたときに実行されるソースステージを作成します。アクションプロバイダーとして AWS CodeBuild を使用するステージを作成します。イメージスキャンのステータスを決定し、重大な脆弱性のないイメージをスキャン後のリポジトリにプッシュする buildspec.yaml 定義を記述します。

E. AWS Lambda 関数を作成します。イメージスキャン完了イベントに反応して Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。イメージスキャンのステータスを決定し、重大な脆弱性のないイメージをスキャン後のリポジトリにプッシュする関数コードを記述します。

回答: AE

説明:
管理オーバーヘッドが最も少ない:
=> 共有サービスアカウントに ECR リポジトリを作成する必要があります => A
Lambda 関数を 1 つだけ作成する必要があります => E

D 不正解。複数のパイプラインの作成と管理が伴い、管理オーバーヘッドが大幅に増加するためです

239 / 363

239.

No.239
ある会社では、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを使用して、Web アプリケーションをコンテナにデプロイしています。Web アプリケーションには、特定の認証情報なしでは復号化できない機密データが含まれています。
DevOps エンジニアが認証情報を AWS Secrets Manager に保存しています。シークレットは、AWS Key Management Service (AWS KMS) のカスタマー管理キーによって暗号化されます。サードパーティツールの Kubernetes サービスアカウントにより、アプリケーションでシークレットを利用できるようになります。サービスアカウントは、シークレットにアクセスするために会社が作成した IAM ロールを引き受けます。
サービスアカウントは、Secrets Manager からシークレットを取得しようとしたときに、アクセス拒否 (403 禁止) エラーを受け取ります。
この問題の根本的な原因は何ですか?

A. EKS クラスターにアタッチされている IAM ロールには、Secrets Manager からシークレットを取得するためのアクセス権がありません。

B. カスタマー管理キーのキーポリシーでは、Kubernetes サービスアカウントの IAM ロールがキーを使用することが許可されていません。

C. カスタマー管理キーのキーポリシーでは、EKS クラスターの IAM ロールがキーを使用することが許可されていません。

D. Kubernetes サービスアカウントが引き受けている IAM ロールには、EKS クラスターにアクセスする権限がありません。

回答: B

説明:
Amazon EKS のサービスアカウントが AWS Secrets Manager のシークレットにアクセスしようとする場合、IAM ロールを引き受けてアクセスします。これらのシークレットにアクセスするために必要な権限は次のとおりです:
- Secrets Manager の権限: IAM ロールには、AWS Secrets Manager からシークレットを取得するために必要な権限が必要です。
- KMS キーの権限: IAM ロールには、シークレットを暗号化する AWS KMS キーを使用する権限も必要です。

240 / 363

240.

No.240
ある会社が、製品開発チームをオンプレミスのデータセンターからハイブリッド環境に移行しています。新しい環境では 4 つの AWS リージョンが追加され、開発者は地理的に最も近いリージョンを使用できるようになります。
すべての開発チームが Linux アプリケーションの共有セットを使用します。オンプレミスのデータセンターは、アプリケーションを NetApp ONTAP ストレージデバイスに保存します。ストレージボリュームは、開発オンプレミス VM に読み取り専用でマウントされます。会社は共有ボリューム上のアプリケーションを週に 1 回更新します。
DevOps エンジニアは、すべての新しいリージョンにデータを複製する必要があります。DevOps エンジニアは、重複排除によってデータが常に最新の状態であることを確認する必要があります。また、データはオンプレミスのストレージデバイスの可用性に依存してはなりません。
これらの要件を満たすソリューションはどれですか?

A. オンプレミスのデータセンターに Amazon S3 ファイルゲートウェイを作成します。各リージョンに S3 バケットを作成します。ストレージデバイスから S3 ファイルゲートウェイにデータをコピーする cron ジョブを設定します。各リージョンの S3 バケットに S3 クロスリージョンレプリケーション (CRR) を設定します。

B. 1 つのリージョンに Amazon FSx ファイルゲートウェイを作成します。各リージョンの Amazon FSx for Windows ファイルサーバーにファイルサーバーを作成します。ストレージデバイスから FSx ファイルゲートウェイにデータをコピーするための cron ジョブを設定します。

C. 各リージョンにマルチ AZ Amazon FSx for NetApp ONTAP インスタンスとボリュームを作成します。オンプレミスのストレージデバイスと FSx for ONTAP インスタンス間のスケジュールされた SnapMirror 関係を設定します。

D. 各リージョンに Amazon Elastic File System (Amazon EFS) ファイルシステムを作成します。オンプレミスのデータセンターに AWS DataSync エージェントをデプロイします。DataSync がデータを Amazon EFS に毎日コピーするようにスケジュールを設定します。

回答: C

説明:
オプション C では Amazon FSx for NetApp ONTAP を使用しますが、重複排除の要件やオンプレミスのストレージデバイスの可用性からの独立性には対応していません。さらに、SnapMirror 関係は通常、複数のリージョン間ではなく、同じストレージシステム内でのデータレプリケーションに使用されます。

重複排除、独立性、およびマルチリージョンレプリケーションの特定の要件については、オプション D (Amazon EFS と AWS DataSync を使用) がより適切なソリューションです。

241 / 363

241.

No.241
ある会社には、Amazon S3 バケットに個人識別情報 (PII) を含むデータを保存するアプリケーションがあります。すべてのデータは、AWS Key Management Service (AWS KMS) のカスタマー管理キーで暗号化されています。すべての AWS リソースは、AWS CloudFormation テンプレートからデプロイされています。
DevOps エンジニアは、別の AWS アカウントでアプリケーションの開発環境を設定する必要があります。開発環境の S3 バケットのデータは、本番環境の S3 バケットから週に 1 回更新する必要があります。
会社は、PII を匿名化せずに本番環境から PII を移動してはなりません。各環境のデータは、異なる KMS カスタマー管理キーで暗号化する必要があります。
これらの要件を満たすために、DevOps エンジニアが実行する必要がある手順の組み合わせはどれですか? (2 つ選択してください)。

A. 本番アカウントの S3 バケットで Amazon Macie をアクティブ化します。AWS Step Functions ステートマシンを作成して検出ジョブを開始し、開発アカウントの S3 バケットにファイルをコピーする前にすべての PII を編集します。ステートマシンタスクに、本番アカウントの KMS キーに対する復号化権限を付与します。開発アカウントのステートマシンタスクに、KMS キーに対する暗号化権限を付与します。

B. 本番 S3 バケットと開発 S3 バケット間の S3 レプリケーションを設定します。開発 S3 バケットで Amazon Macie をアクティブ化します。AWS Step Functions ステートマシンを作成して検出ジョブを開始し、ファイルが開発 S3 バケットにコピーされるときにすべての PII を編集します。開発アカウントのステートマシンタスクに、KMS キーに対する暗号化および復号化権限を付与します。

C. 本番 S3 バケットから開発 S3 バケットにファイルをコピーする S3 バッチオペレーションジョブを設定します。開発アカウントで、すべての PII を編集する AWS Lambda 関数を設定します。S3 GET リクエストに Lambda 関数を使用するように S3 オブジェクト Lambda を設定します。開発アカウントの KMS キーに対する暗号化および復号化権限を、Lambda 関数の IAM ロールに付与します。

D. 開発アカウントの CloudFormation テンプレートから開発環境を作成します。 Amazon EventBridge ルールをスケジュールして、AWS Step Functions ステートマシンを週に 1 回起動します。

E. 開発アカウントの CloudFormation テンプレートから開発環境を作成します。Amazon EC2 インスタンスで cron ジョブをスケジュールして、週に 1 回実行し、S3 バッチ操作ジョブを開始します。

回答: AD

説明:
オプション A は、データを開発環境に移動する前に PII を匿名化する必要性に対処します。Amazon Macie を使用すると、本番環境の S3 バケットで PII を識別できます。AWS Step Functions は、データを転送する前にこの PII を編集するワークフローを調整できます。これにより、データ保護要件への準拠が保証されます。アカウント間でデータを移動するときに、データの復号化と暗号化に必要な KMS キーのアクセス許可を提供する必要があります。

オプション D は、データ更新プロセスが自動化され、スケジュールされていることを確認します。Amazon EventBridge を使用して AWS Step Functions ステートマシンを毎週トリガーすると、データ転送と匿名化のプロセスが自動化されます。

242 / 363

242.

No.242
ある会社では、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを使用して機械学習 (ML) アプリケーションをホストしています。ML モデルとコンテナイメージのサイズが大きくなるにつれて、新しいポッドの起動にかかる時間が数分にまで増加しました。
DevOps エンジニアは、起動時間を数秒に短縮する必要があります。また、このソリューションでは、クラスターに最近追加されたノードでポッドが実行される場合の起動時間を数秒に短縮する必要があります。
DevOps エンジニアは、AWS Systems Manager で自動化を呼び出す Amazon EventBridge ルールを作成します。自動化は、新しいイメージがリポジトリにプッシュされると、Amazon Elastic Container Registry (Amazon ECR) リポジトリからコンテナイメージをプリフェッチします。DevOps エンジニアは、クラスターとノードグループに適用するタグも構成します。
要件を満たすために、DevOps エンジニアは次に何をする必要がありますか?

A. EventBridge が Systems Manager を使用して EKS クラスターのコントロールプレーンノードでコマンドを実行できるようにするポリシーを持つ IAM ロールを作成します。コントロールプレーンノードのタグを使用して対応するコンテナイメージをプリフェッチする Systems Manager State Manager の関連付けを作成します。

B. EventBridge が Systems Manager を使用して EKS クラスターのノードでコマンドを実行できるようにするポリシーを持つ IAM ロールを作成します。ノードのマシンサイズを使用して対応するコンテナイメージをプリフェッチする Systems Manager State Manager の関連付けを作成します。

C. EventBridge が Systems Manager を使用して EKS クラスターのノードでコマンドを実行できるようにするポリシーを持つ IAM ロールを作成します。ノードのタグを使用して対応するコンテナイメージをプリフェッチする Systems Manager State Manager の関連付けを作成します。

D. EventBridge が Systems Manager を使用して EKS クラスターのコントロールプレーンノードでコマンドを実行できるようにするポリシーを持つ IAM ロールを作成します。ノードのタグを使用して対応するコンテナイメージをプリフェッチする Systems Manager State Manager の関連付けを作成します。

回答: C

説明:
コントロールプレーンは Kubernetes クラスターを管理しますが、アプリケーションコンテナは実行しません => A と D は誤り
マシンサイズは、イメージをプリフェッチする場所を決定するための実用的または柔軟なアプローチではありません。タグである必要があります => B 誤り

243 / 363

243.

No.243
ある会社のアプリケーションには、ワークロードメトリクスを取得する API があります。会社は、大規模な問題を検出するために、アプリケーションからこれらのメトリクスを監査、分析、視覚化する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

A. ワークロードメトリクスを取得するために API を呼び出す AWS Lambda 関数を呼び出すように Amazon EventBridge スケジュールを設定します。ワークロードメトリクスデータを Amazon S3 バケットに保存します。

B. ワークロードメトリクスを取得するために API を呼び出す AWS Lambda 関数を呼び出すように Amazon EventBridge スケジュールを設定します。ワークロードメトリクスデータを、DynamoDB ストリームが有効になっている Amazon DynamoDB テーブルに保存します。

C. ワークロードメトリクスデータを Amazon S3 バケットにカタログ化するための AWS Glue クローラーを作成します。カタログ化されたデータ用のビューを Amazon Athena に作成します。

D. AWS Glue クローラーを Amazon DynamoDB ストリームに接続して、ワークロードメトリックデータをカタログ化します。カタログ化されたデータ用のビューを Amazon Athena に作成します。

E. Amazon Athena ビューから Amazon QuickSight データセットを作成します。QuickSight 分析を作成して、ワークロードメトリックデータをダッシュボードとして視覚化します。

F. AWS Lambda 関数を呼び出すカスタムウィジェットを含む Amazon CloudWatch ダッシュボードを作成します。Lambda 関数を設定して、Amazon Athena ビューからワークロードメトリックデータをクエリします。

回答: ACE

説明:
オプション A: Amazon EventBridge を使用して、API からワークロードメトリックを取得して Amazon S3 にデータを保存する AWS Lambda 関数をスケジュールすると、データの収集と保存をスケーラブルかつ自動化できます。

オプション C: AWS Glue を使用して Amazon S3 に保存されているデータをカタログ化し、Amazon Athena を使用してクエリできるようにします。この手順では、スキーマを作成してクエリできるようにすることで、データを分析用に準備します。

オプション E: Amazon QuickSight を使用すると、Athena ビューからデータセットを作成し、ダッシュボードでデータを視覚化できます。これにより、ワークロードメトリックを大規模に分析および視覚化できるようになります。

https://aws.amazon.com/blogs/mt/analyzing-amazon-cloudwatch-internet-monitor-measurement-logs-using-amazon-athena-amazon-quicksight/

244 / 363

244.

No.244
DevOps エンジニアがアプリケーションのインフラストラクチャを構築しています。アプリケーションは、Amazon EC2 インスタンスを含む Amazon Elastic Kubernetes Service (Amazon EKS) クラスターで実行する必要があります。EC2 インスタンスは、ストレージバックエンドとして Amazon Elastic File System (Amazon EFS) ファイルシステムを使用する必要があります。Amazon EFS Container Storage Interface (CSI) ドライバーは EKS クラスターにインストールされています。
DevOps エンジニアがアプリケーションを起動すると、EC2 インスタンスは EFS ファイルシステムをマウントしません。
どのソリューションでこの問題を解決できますか? (3 つ選択してください)

A. EKS ノードを Amazon EC2 から AWS Fargate に切り替えます。

B. EFS ファイルシステムのセキュリティグループにインバウンドルールを追加して、EKS クラスターからの NFS トラフィックを許可します。

C. Amazon EFS CSI ドライバーがファイルシステムと対話できるようにする IAM ロールを作成します。

D. AWS DataSync をセットアップして、EFS ファイルシステムと EKS ノード間のファイル転送を構成します。

E. EKS ノードのサブネットに EFS ファイルシステムのマウントターゲットを作成します。

F. EFS ファイルシステムの暗号化を無効にします。

回答: BCE

説明:
B: EFS ファイルシステムのセキュリティグループは、EKS クラスター内の EC2 インスタンスからの NFS ポート (2049) での受信トラフィックを許可する必要があります。このルールがないと、EC2 インスタンスは EFS ファイルシステムと通信できません。

C: EFS CSI ドライバーには、EFS ファイルシステムと対話するための権限が必要です。これには、必要な権限を持つ IAM ロールを作成し、それを EFS CSI ドライバーに関連付けることが含まれます。

E: EFS では、EC2 インスタンスが存在する各サブネットにマウントターゲットが必要です。このマウントターゲットにより、EFS ファイルシステムと EC2 インスタンス間のネットワーク接続が容易になります。

245 / 363

245.

No.245
ある企業が、自社のオンプレミスデータセンター内のオンプレミスデバイスにアプリケーションをデプロイします。同社は、データセンターと同社の AWS アカウントの間で AWS Direct Connect 接続を使用しています。オンプレミスデバイスの初期セットアップ中およびアプリケーションの更新中に、アプリケーションは Amazon Elastic File System (Amazon EFS) ファイルシステムから構成ファイルを取得する必要があります。
オンプレミスデバイスから Amazon EFS へのすべてのトラフィックは、プライベートかつ暗号化されたままである必要があります。オンプレミスデバイスは、AWS アクセスの最小権限の原則に従う必要があります。同社の DevOps チームは、他のデバイスのアクセスに影響を与えずに、単一のデバイスからのアクセスを取り消す機能を必要としています。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)

A. 各デバイスにアクセスキーとシークレットキーを持つ IAM ユーザーを作成します。すべての IAM ユーザーに AmazonElasticFileSystemFullAccess ポリシーをアタッチします。オンプレミスデバイスで AWS CLI を構成して、IAM ユーザーのアクセスキーとシークレットキーを使用します。

B. AWS プライベート証明機関でオンプレミスデバイスごとに証明書を生成します。AWS プライベート CA を参照する IAM Roles Anywhere にトラストアンカーを作成します。 IAM Roles Anywhere を信頼する IAM ロールを作成します。AmazonElasticFileSystemClientReadWriteAccess をロールにアタッチします。IAM ロールの IAM Roles Anywhere プロファイルを作成します。オンプレミスのデバイスで AWS CLI を設定し、aws_signing_helper コマンドを使用して認証情報を取得します。

C. すべてのデバイスのアクセスキーとシークレットキーを持つ IAM ユーザーを作成します。AmazonElasticFileSystemClientReadWriteAccess ポリシーを IAM ユーザーにアタッチします。オンプレミスのデバイスで AWS CLI を設定し、IAM ユーザーのアクセスキーとシークレットキーを使用します。

D. amazon-efs-utils パッケージを使用して EFS ファイルシステムをマウントします。

E. ネイティブ Linux NFS クライアントを使用して EFS ファイルシステムをマウントします。

回答: BD

説明:
B. AWS プライベート証明機関でオンプレミスの各デバイスの証明書を生成します。AWS プライベート CA を参照するトラストアンカーを IAM Roles Anywhere に作成します。IAM Roles Anywhere を信頼する IAM ロールを作成します。 AmazonElasticFileSystemClientReadWriteAccess ポリシーをロールにアタッチします。IAM ロールの IAM Roles Anywhere プロファイルを作成します。オンプレミスのデバイスで AWS CLI を設定し、aws_signing_helper コマンドを使用して認証情報を取得します。
D. amazon-efs-utils パッケージを使用して EFS ファイルシステムをマウントします。

246 / 363

246.

★No.246
DevOps エンジニアは、AWS CodeDeploy と AWS CloudFormation を使用して、アプリケーションの Amazon Elastic Container Service (Amazon ECS) ブルー/グリーンデプロイメントを設定しています。デプロイメント期間中、アプリケーションは高可用性である必要があり、CodeDeploy はすべてのトラフィックが移行されるまで、1 分ごとにトラフィックの 10% をアプリケーションの新しいバージョンに移行する必要があります。
これらの要件を満たすために、DevOps エンジニアは CloudFormation テンプレートにどの構成を追加する必要がありますか?

A. CodeDeployDefault.ECSLinearl OPercentEveryl Minutes デプロイメント構成を含む AppSpec ファイルを追加します。

B. CodeDeployDefault.ECSLinear10PercentEvery1Minutes デプロイメント構成を含む AWS::CodeDeployBlueGreen 変換と AWS::CodeDeploy::BlueGreen フックパラメータを追加します。

C. ECSCanary10Percent5Minutes デプロイメント構成を含む AppSpec ファイルを追加します。

D. ECSCanary10Percent5Minutes デプロイ構成で、AWS::CodeDeployBlueGreen トランスフォームと AWS::CodeDepioy::BlueGreen フックパラメータを追加します。

247 / 363

247.

No.247
ある会社では、AWS Organizations の組織を使用して AWS アカウントを管理しています。会社の DevOps チームは、Organizations API を呼び出して新しい AWS アカウントを作成する AWS Lambda 関数を開発しました。
Lambda 関数は、組織の管理アカウントで実行されます。DevOps チームは、Lambda 関数を管理アカウントから専用の AWS アカウントに移動する必要があります。DevOps チームは、Lambda 関数を新しいアカウントにデプロイする前に、Lambda 関数が Organizations でのみ新しい AWS アカウントを作成できることを確認する必要があります。
これらの要件を満たすソリューションはどれですか?

A. 管理アカウントで、Organizations で新しいアカウントを作成するために必要な権限を持つ新しい IAM ロールを作成します。新しい AWS アカウントの Lambda 実行ロールがそのロールを引き受けられるようにします。 Lambda 関数が新しい AWS アカウントを作成するときにロールを引き受けるように Lambda 関数コードを更新します。Lambda 実行ロールを更新して、新しいロールを引き受ける権限があることを確認します。

B. 管理アカウントで、Organizations の委任管理をオンにします。新しい AWS アカウントに Organizations で新しい AWS アカウントを作成する権限を付与する新しい委任ポリシーを作成します。Lambda 実行ロールに organizations:CreateAccount 権限があることを確認します。

C. 管理アカウントで、Organizations で新しいアカウントを作成するために必要な権限を持つ新しい IAM ロールを作成します。Lambda サービスプリンシパルがロールを引き受けられるようにします。Lambda 関数が新しい AWS アカウントを作成するときにロールを引き受けるように Lambda 関数コードを更新します。Lambda 実行ロールを更新して、新しいロールを引き受ける権限があることを確認します。

D. 管理アカウントで、AWS Control Tower を有効にします。AWS Control Tower の委任管理をオンにします。新しい AWS アカウントが AWS Control Tower で新しい AWS アカウントを作成できるようにするリソースポリシーを作成します。新しい AWS アカウントで AWS Control Tower API を使用するように Lambda 関数コードを更新します。 Lambda 実行ロールに controltower:CreateManagedAccount 権限があることを確認します。

回答: A

説明:
必要な権限を持つ IAM ロールを作成する:
- 管理アカウントで、新しいアカウントを作成するための AWS Organizations API を呼び出す権限を持つ IAM ロールを作成します。

ロールの引き受けを許可する: - この IAM ロールを、新しい AWS アカウントの Lambda 実行ロールが引き受けられるように構成します。これにより、新しいアカウントの Lambda 関数は、必要な権限を取得するためにロールを引き受けることができます。

Lambda 関数と実行ロールを更新する:
- 新しいアカウントの Lambda 関数コードを変更して、新しい AWS アカウントを作成する必要がある場合に、管理アカウントで作成されたロールを引き受けます。また、新しいアカウントの Lambda 実行ロールに、管理アカウントでロールを引き受けるために必要な権限があることを確認します。

248 / 363

248.

No.248
ある企業が単一の AWS リージョンにアプリケーションをデプロイしました。アプリケーションのバックエンドでは、Amazon DynamoDB テーブルと Amazon S3 バケットを使用しています。
この企業は、アプリケーションをセカンダリリージョンにデプロイしたいと考えています。この企業は、DynamoDB テーブルと S3 バケットのデータが両方のリージョンに保持されるようにする必要があります。また、データはリージョン間で即座に伝播する必要があります。
これらの要件を最も効率的に満たすソリューションはどれですか?

A. プライマリリージョンの S3 バケットとセカンダリリージョンの S3 バケット間で双方向の S3 バケットレプリケーションを実装します。DynamoDB テーブルをグローバルテーブルに変換します。セカンダリリージョンを追加のリージョンとして設定します。

B. すべての S3 バケットに対して、プライマリリージョンとセカンダリリージョン間で S3 バッチ操作コピージョブを実装します。DynamoDB テーブルをグローバルテーブルに変換します。セカンダリリージョンを追加のリージョンとして設定します。

C. プライマリリージョンの S3 バケットとセカンダリリージョンの S3 バケット間の双方向 S3 バケットレプリケーションを実装します。両方のリージョンの DynamoDB テーブルで DynamoDB ストリームを有効にします。各リージョンで、DynamoDB ストリームをサブスクライブする AWS Lambda 関数を作成します。Lambda 関数を設定して、他のリージョンの DynamoDB テーブルに新しいレコードをコピーします。

D. すべての S3 バケットに対して、プライマリリージョンとセカンダリリージョン間の S3 バッチ操作コピージョブを実装します。両方のリージョンの DynamoDB テーブルで DynamoDB ストリームを有効にします。各リージョンで、DynamoDB ストリームをサブスクライブする AWS Lambda 関数を作成します。Lambda 関数を設定して、他のリージョンの DynamoDB テーブルに新しいレコードをコピーします。

回答: A

説明:
双方向 S3 バケットレプリケーション:

- 双方向レプリケーションは通常、ほとんどのシナリオでは必要ありません (一般的には一方向レプリケーションで十分です) が、この要件では、両方のリージョンでデータのコピーを保持し、それらを同期させる必要がある場合は、異なるリージョンの S3 バケット間でデータの一貫性を確保するためのレプリケーションルールを実装します。

グローバル DynamoDB テーブル:

- DynamoDB グローバルテーブルは、マルチリージョンの完全に複製されたテーブル専用に設計されています。DynamoDB テーブルをグローバルテーブルに変換し、セカンダリリージョンを追加すると、DynamoDB はリージョン間でのデータのレプリケーションを自動的かつ即座に処理します。これにより、カスタムソリューションを必要とせずに、効率的で一貫性のあるデータレプリケーションが実現します。

249 / 363

249.

No.249
ある会社が、RDS DB インスタンス用に Amazon RDS ストレージの自動スケーリングを設定しました。DevOps チームは、Amazon CloudWatch ダッシュボードで自動スケーリングイベントを視覚化する必要があります。
この要件を満たすソリューションはどれですか?

A. RDS イベントから RDS ストレージ自動スケーリングイベントに反応する Amazon EventBridge ルールを作成します。CloudWatch カスタムメトリクスを発行する AWS Lambda 関数を作成します。Lambda 関数を呼び出すように EventBridge ルールを設定します。CloudWatch ダッシュボードを使用してカスタムメトリクスを視覚化します。

B. 管理イベントが設定された AWS CloudTrail を使用して証跡を作成します。管理イベントを Amazon CloudWatch Logs に送信するように証跡を設定します。RDS ストレージ自動スケーリングイベントに一致するように CloudWatch Logs にメトリクスフィルターを作成します。CloudWatch ダッシュボードを使用してメトリクスフィルターを視覚化します。

C. RDS イベントから RDS ストレージ自動スケーリングイベントに反応する Amazon EventBridge ルールを作成します。CloudWatch アラームを作成します。CloudWatch アラームのステータスを変更するように EventBridge ルールを設定します。CloudWatch ダッシュボードを使用してアラームのステータスを視覚化します。

D. データイベントが設定された AWS CloudTrail を使用して証跡を作成します。データイベントを Amazon CloudWatch Logs に送信するように証跡を設定します。 CloudWatch Logs に、RDS ストレージの自動スケーリングイベントに一致するメトリックフィルターを作成します。CloudWatch ダッシュボードを使用してメトリックフィルターを視覚化します。

回答: A

説明:
AWS CloudTrail は、Auto Scaling サービスに対して行われた API 呼び出しをキャプチャすることで、自動スケーリング操作をログに記録します。つまり、スケールアップ、スケールダウン、スケーリングポリシーの調整など、EC2 インスタンスのスケーリングに関連するすべてのアクションが CloudTrail ログに記録されます。

250 / 363

250.

No.250
ある会社では、アプリケーションにコンテナを使用しています。この会社は、一部のコンテナイメージに必要なセキュリティ設定が欠けていることを知りました。
DevOps エンジニアは、標準のベースイメージを作成するためのソリューションを実装する必要があります。このソリューションでは、ベースイメージを毎週 us-west-2 リージョン、us-east-2 リージョン、および eu-central-1 リージョンに公開する必要があります。
これらの要件を満たすソリューションはどれですか?

A. コンテナレシピを使用してイメージを構築する EC2 Image Builder パイプラインを作成します。パイプラインを設定して、イメージを us-west-2 の Amazon Elastic Container Registry (Amazon ECR) リポジトリに配布します。us-west-2 から us-east-2 へ、および us-east-2 から eu-central-1 へ ECR レプリケーションを設定します。パイプラインを毎週実行するように設定します。

B. AWS CodeBuild プロジェクトを使用してイメージを構築する AWS CodePipeline パイプラインを作成します。AWS CodeDeploy を使用して、イメージを us-west-2 の Amazon Elastic Container Registry (Amazon ECR) リポジトリに公開します。 us-west-2 から us-east-2 へ、および us-east-2 から eu-central-1 への ECR レプリケーションを設定します。パイプラインを毎週実行するように設定します。

C. コンテナレシピを使用してイメージを構築する EC2 Image Builder パイプラインを作成します。3 つのリージョンすべてにある Amazon Elastic Container Registry (Amazon ECR) リポジトリにイメージを配布するようパイプラインを設定します。パイプラインを毎週実行するように設定します。

D. AWS CodeBuild プロジェクトを使用してイメージを構築する AWS CodePipeline パイプラインを作成します。AWS CodeDeploy を使用して、3 つのリージョンすべてにある Amazon Elastic Container Registry (Amazon ECR) リポジトリにイメージを公開します。パイプラインを毎週実行するように設定します。

回答: C

説明:
EC2 Image Builder:
- このサービスは、コンテナイメージの作成と配布を自動化するように設計されています。コンテナレシピの定義とビルドプロセスの自動化をサポートしています。
直接配布:
- EC2 Image Builder は、異なるリージョンの複数の ECR リポジトリにイメージを直接配布するよう設定できます。これは、ベースイメージを us-west-2、us-east-2、eu-central-1 の各リージョンに公開するという要件と一致しています。
週次スケジュール:
- EC2 Image Builder は、毎週実行するようにスケジュール設定でき、定期的な更新の要件を満たします。

251 / 363

251.

No.251
DevOps エンジニアは、AWS アカウント内のすべての Amazon EC2 インスタンスにウイルス対策ソフトウェアをインストールするソリューションを実装する必要があります。EC2 インスタンスは、最新バージョンの Amazon Linux を実行します。
ソリューションはすべてのインスタンスを検出し、ソフトウェアが存在しない場合は AWS Systems Manager ドキュメントを使用してソフトウェアをインストールする必要があります。
これらの要件を満たすソリューションはどれですか?

A. Systems Manager State Manager で関連付けを作成します。すべての管理対象ノードをターゲットにします。関連付けにソフトウェアを含めます。Systems Manager ドキュメントを使用するように関連付けを構成します。

B. アカウント内のすべてのリソースを記録するように AWS Config を設定します。ソフトウェアがすべての EC2 インスタンスにインストールされているかどうかを判断する AWS Config カスタムルールを作成します。非準拠の EC2 インスタンスに対して Systems Manager ドキュメントを使用する自動修復アクションを設定します。

C. Amazon Inspector で Amazon EC2 スキャンをアクティブにして、ソフトウェアがすべての EC2 インスタンスにインストールされているかどうかを判断します。検出結果を Systems Manager ドキュメントに関連付けます。

D. AWS CloudTrail を使用して Runinstances API 呼び出しを検出する Amazon EventBridge ルールを作成します。Systems Manager Inventory でインベントリ収集を構成して、ソフトウェアが EC2 インスタンスにインストールされているかどうかを判断します。Systems Manager インベントリを Systems Manager ドキュメントに関連付けます。

回答: A
説明:
AWS Systems Manager State Manager:
自動検出:
- State Manager を使用すると、EC2 インスタンスを含む AWS リソースの望ましい状態を管理できます。すべての管理対象ノードをターゲットにすることで、Systems Manager の管理下にあるすべての EC2 インスタンスがスコープに含まれるようになります。
ソフトウェアのインストール:
- Systems Manager ドキュメント (SSM ドキュメント) を指定して、ウイルス対策ソフトウェアのインストールに必要な手順を定義できます。関連付けにより、ソフトウェアが不足しているインスタンスにソフトウェアが確実にインストールされます。
継続的なコンプライアンス:
- State Manager は、望ましい状態を継続的に適用できます。つまり、ソフトウェアの存在を定期的に確認し、必要に応じてドキュメントを再適用します。

252 / 363

252.

No.252
ある企業は、本番環境で実行されるコンテナイメージのセキュリティを強化する必要があります。この企業は、コンテナのオペレーティングシステムスキャンとプログラミング言語パッケージの脆弱性スキャンを CI/CD パイプラインに統合したいと考えています。CI/CD パイプラインは、AWS CodeBuild ビルドプロジェクト、AWS CodeDeploy アクション、Amazon Elastic Container Registry (Amazon ECR) リポジトリを含む AWS CodePipeline パイプラインです。
DevOps エンジニアは、CI/CD パイプラインにイメージスキャンを追加する必要があります。CI/CD パイプラインは、CRITICAL および HIGH の検出結果がないイメージのみを本番環境にデプロイする必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)

A. Amazon ECR 基本スキャンを使用します。

B. Amazon ECR 拡張スキャンを使用します。

C. イメージスキャンで CRITICAL または HIGH の検出結果が返されたときに、CI/CD パイプラインに拒否ステータスを送信するように Amazon ECR を構成します。

D. イメージスキャンが完了したときに AWS Lambda 関数を呼び出すように Amazon EventBridge ルールを構成します。 Amazon Inspector のスキャンステータスを消費し、CI/CD パイプラインに承認または拒否ステータスを送信するように Lambda 関数を設定します。

E. イメージスキャンが完了したら AWS Lambda 関数を呼び出すように Amazon EventBridge ルールを設定します。Clair のスキャンステータスを消費し、CI/CD パイプラインに承認または拒否ステータスを送信するように Lambda 関数を設定します。

回答: BD
説明:
B. Amazon ECR 拡張スキャンを使用する
- 包括的な脆弱性チェック: Amazon ECR 拡張スキャンは Amazon Inspector と統合されており、コンテナイメージの徹底的なセキュリティチェックを提供します。基本スキャンではサポートされていない、オペレーティングシステムの脆弱性とプログラミング言語パッケージのアプリケーションレベルの脆弱性の両方をスキャンします。
- Amazon Inspector との統合: 拡張スキャンは Amazon Inspector を活用してより詳細な脆弱性分析を行い、デプロイ前にイメージが安全であることを確認します。
- CRITICAL および HIGH 重大度の検出: 強化されたスキャンオプションは、CRITICAL および HIGH の脆弱性を具体的に識別し、これらの問題のないイメージのみをデプロイするという要件と一致しています。

253 / 363

253.

No.253
ある会社の DevOps チームは、AWS Organizations 内の組織内にある一連の AWS アカウントを管理しています。
この会社では、すべての Amazon EC2 インスタンスが DevOps チームが管理する承認済みの AM を使用するようにするソリューションが必要です。このソリューションでは、承認されていない AMI の使用も修正する必要があります。個々のアカウント管理者は、承認済みの AMI を使用するための制限を削除できないようにする必要があります。
これらの要件を満たすソリューションはどれですか?

A. AWS CloudFormation StackSets を使用して、Amazon EventBridge ルールを各アカウントにデプロイします。Amazon EC2 の AWS CloudTrail イベントに反応し、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信するようにルールを構成します。DevOps チームを SNS トピックにサブスクライブします。

B. AWS CloudFormation StackSets を使用して、approved-amis-by-id AWS Config マネージドルールを各アカウントにデプロイします。承認済み AMI のリストを使用してルールを設定します。非準拠の EC2 インスタンスに対して AWS-StopEC2Instance AWS Systems Manager Automation ランブックを実行するようにルールを設定します。

C. Amazon EC2 の AWS CloudTrail イベントを処理する AWS Lambda 関数を作成します。Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信するように Lambda 関数を設定します。DevOps チームを SNS トピックにサブスクライブします。組織内の各アカウントに Lambda 関数をデプロイします。各アカウントに Amazon EventBridge ルールを作成します。Amazon EC2 の AWS CloudTrail イベントに反応し、Lambda 関数を呼び出すように EventBridge ルールを設定します。

D. 組織全体で AWS Config を有効にします。承認済み AMI のリストを使用して、approved-amis-by-id AWS Config マネージドルールを使用する適合パックを作成します。適合パックを組織全体にデプロイします。非準拠の EC2 インスタンスに対して AWS-StopEC2lnstance AWS Systems Manager Automation ランブックを実行するようにルールを設定します。

回答: D

説明:
A と C. アラートのみで、非準拠のインスタンスを自動的に修復しません
B. CloudFormation StackSets を介して個々のアカウントにデプロイすると、アカウント管理者がルールを変更または削除できるようになります。

254 / 363

254.

No.254
ある会社が、従業員に AWS に対する限定的な権限を与えています。DevOps エンジニアは管理者ロールを引き受けることができます。追跡のために、セキュリティチームは管理者ロールが引き受けられたときにほぼリアルタイムの通知を受け取りたいと考えています。
これを実現するにはどうすればよいでしょうか?

A. AWS Config を設定して、ログを Amazon S3 バケットに発行します。Amazon Athena を使用してログをクエリし、管理者ロールが引き受けられたときにセキュリティチームに通知を送信します。

B. Amazon GuardDuty を設定して、管理者ロールが引き受けられたときに監視し、セキュリティチームに通知を送信します。

C. AWS マネジメントコンソールのサインインイベントイベントパターンを使用して、管理者ロールが引き受けられた場合に Amazon SNS トピックにメッセージを発行する Amazon EventBridge イベントルールを作成します。

D. AWS API 呼び出しを使用して、AWS CloudTrail イベントパターンを使用して、管理者ロールが引き受けられた場合に Amazon SNS トピックにメッセージを発行する AWS Lambda 関数を呼び出す Amazon EventBridge イベントルールを作成します。

回答: D

説明:
オプション D は、AWS CloudTrail、Amazon EventBridge、AWS Lambda、Amazon SNS の機能を活用して、管理者ロールの引き受けに関する追跡とアラートを行う堅牢で効果的なアプローチを提供します。

オプション C は正しくないイベントパターンです: このオプションは、プログラムでロールを引き受けるときに使用する AssumeRole API 呼び出しとは関係のない、AWS マネジメントコンソールのサインインイベントのモニタリングを指定します。CLI または SDK を通じて行われたロールの引き受けは検出されません。

255 / 363

255.

No.255
ある会社では、データとアプリケーションのフェイルオーバーと災害復旧の戦略が必要です。アプリケーションでは、MySQL データベースと Amazon EC2 インスタンスを使用しています。会社では、データとアプリケーションに対して常に最大 RPO 2 時間、最大 RTO 10 分が必要です。
これらの要件を満たす展開戦略の組み合わせはどれですか? (2 つ選択してください)

A. データストアとして複数の AWS リージョンに Amazon Aurora Single-AZ クラスターを作成します。災害が発生した場合は、Aurora の自動復旧機能を使用します。

B. 2 つの AWS リージョンに Amazon Aurora グローバルデータベースをデータストアとして作成します。障害が発生した場合は、セカンダリリージョンをアプリケーションのプライマリに昇格します。セカンダリリージョンの Aurora クラスターエンドポイントを使用するようにアプリケーションを更新します。

C. 複数の AWS リージョンに Amazon Aurora クラスターをデータストアとして作成します。ネットワークロードバランサーを使用して、異なるリージョンのデータベーストラフィックのバランスを取ります。

D. 2 つの AWS リージョンにアプリケーションをセットアップします。両方のリージョンのアプリケーションロードバランサーを指す Amazon Route 53 フェイルオーバールーティングを使用します。各リージョンでヘルスチェックと Auto Scaling グループを使用します。

E. 2 つの AWS リージョンにアプリケーションをセットアップします。両方のリージョンのアプリケーションロードバランサー (ALB) を指すように AWS Global Accelerator を設定します。両方の ALB を単一のエンドポイントグループに追加します。各リージョンでヘルスチェックと Auto Scaling グループを使用します。

回答: BD

説明:
E. Global Accelerator を使用するとフェイルオーバー速度が速くなりますが、この場合は必要ありません。

256 / 363

256.

No.256
開発者は、AWS サーバーレスアプリケーションモデル (AWS SAM) を使用して、AWS Lambda 関数のプロトタイプを作成しています。AWS SAM テンプレートには、Amazon S3 の場所を指す CodeUri プロパティを持つ AWS::Serverless::Function リソースが含まれています。開発者は、CI/CD パイプラインを作成する前に、デプロイ用の正しいコマンドを特定したいと考えています。
開発者は、package.zip という名前の Lambda 関数コードのアーカイブを作成します。開発者は、CodeUri プロパティで指定された S3 の場所に .zip ファイルアーカイブをアップロードします。開発者は sam deploy コマンドを実行し、Lambda 関数をデプロイします。開発者は Lambda 関数コードを更新し、同じ手順を使用して新しいバージョンの Lambda 関数をデプロイします。sam deploy コマンドは失敗し、デプロイする変更がないというエラーが返されます。
どのソリューションが新しいバージョンをデプロイしますか? (2 つ選択してください)。

A. sam deploy コマンドの代わりに aws cloudformation update-stack コマンドを使用します。

B. sam deploy コマンドの代わりに、aws cloudformation update-stack-instances コマンドを使用します。

C. CodeUri プロパティを更新して、ローカルアプリケーションコードフォルダを参照します。sam deploy コマンドを使用します。

D. CodeUri プロパティを更新して、ローカルアプリケーションコードフォルダを参照します。aws cloudformation create-change-set コマンドと aws cloudformation execute-change-set コマンドを使用します。

E. CodeUri プロパティを更新して、ローカルアプリケーションコードフォルダを参照します。aws cloudformation package コマンドと aws cloudformation deploy コマンドを使用します。

回答: CE

説明:
C. CodeUri プロパティを更新して、ローカルアプリケーションコードフォルダを参照します。AWS SAM は、「sam deploy」コマンドの実行中に、コードのパッケージ化と S3 へのアップロードを処理します。
E.
- 「aws cloudformation package」コマンドは、ローカルアーティファクト (Lambda 関数コードなど) をパッケージ化し、S3 バケットにアップロードします。次に、これらのアーティファクトを参照する CloudFormation テンプレートを生成します。
- 「aws cloudformation deploy」コマンドは、生成された CloudFormation テンプレートをデプロイします。

A. 「aws cloudformation update-stack」: パッケージ化のステップがないと、Lambda 関数コードの変更が認識されません
B. スタックセットインスタンスに使用されます
D. ローカルコードが適切にパッケージ化されていないと、変更が正しく検出されない可能性があります。

257 / 363

257.

No.257
ある会社が AWS App Runner でコンテナワークロードを実行しています。DevOps エンジニアは、Amazon Elastic Container Registry (Amazon ECR) で会社のコンテナリポジトリを管理しています。
DevOps エンジニアは、コンテナリポジトリを継続的に監視するソリューションを実装する必要があります。ソリューションは、オペレーティングシステムの脆弱性または言語パッケージの脆弱性を検出したときに、新しいコンテナイメージを作成する必要があります。
これらの要件を満たすソリューションはどれですか?

A. EC2 Image Builder を使用してコンテナイメージパイプラインを作成します。Amazon ECR をターゲットリポジトリとして使用します。ECR リポジトリで拡張スキャンをオンにします。Inspector? 検出イベントをキャプチャする Amazon EventBridge ルールを作成します。イベントを使用してイメージパイプラインを呼び出します。コンテナをリポジトリに再アップロードします。

B. EC2 Image Builder を使用してコンテナイメージパイプラインを作成します。Amazon ECR をターゲットリポジトリとして使用します。コンテナワークロードで Amazon GuardDuty マルウェア保護を有効にします。GuardDuty 検出イベントをキャプチャするための Amazon EventBridge ルールを作成します。イベントを使用してイメージパイプラインを呼び出します。

C. AWS CodeBuild プロジェクトを作成してコンテナイメージを作成します。Amazon ECR をターゲットリポジトリとして使用します。リポジトリの基本スキャンをオンにします。ECR イメージアクションイベントをキャプチャするための Amazon EventBridge ルールを作成します。イベントを使用して CodeBuild プロジェクトを呼び出します。コンテナをリポジトリに再アップロードします。

D. AWS CodeBuild プロジェクトを作成してコンテナイメージを作成します。Amazon ECR をターゲットリポジトリとして使用します。すべての管理対象ノードをスキャンするように AWS Systems Manager Compliance を設定します。設定コンプライアンス状態変更イベントをキャプチャするための Amazon EventBridge ルールを作成します。イベントを使用して CodeBuild プロジェクトを呼び出します。

回答: A

説明:
Amazon ECR リポジトリ設定で拡張スキャンをオンにします。これにより、Amazon Inspector はイメージの脆弱性をスキャンできるようになります。

258 / 363

258.

No.258
ある会社では、AWS Systems Manager ドキュメントを使用して、開発者向けの物理ラップトップをブートストラップしたいと考えています。ブートストラップコードは GitHub に保存されています。DevOps エンジニアはすでに Systems Manager アクティベーションを作成し、登録コードを使用して Systems Manager エージェントをインストールし、すべてのラップトップにアクティベーション ID をインストールしています。
次に実行する必要がある一連の手順はどれですか?

A. Systems Manager ドキュメントを設定して、AWS-RunShellScript コマンドを使用して GitHub から Amazon S3 にファイルをコピーし、次に sourceType が S3 の aws-downloadContent プラグインを使用します。

B. Systems Manager ドキュメントを設定して、インストールアクションで aws-configurePackage プラグインを使用し、Git リポジトリを指定します。

C. Systems Manager ドキュメントを設定して、sourceType が GitHub の aws-downloadContent プラグインとリポジトリの詳細を含む sourceInfo を使用するように構成します。

D. Systems Manager ドキュメントを設定して、aws:softwareInventory プラグインを使用し、Git リポジトリからスクリプトを実行します。

回答: C

説明:
aws:downloadContent
(スキーマバージョン 2.0 以降) リモートの場所から SSM ドキュメントとスクリプトをダウンロードします。GitHub Enterprise リポジトリはサポートされていません。このプラグインは、Linux および Windows Server オペレーティングシステムでサポートされています。

259 / 363

No.259
ある会社の開発チームは、AWS CloudFormation を使用してアプリケーションリソースをデプロイしています。チームは、環境に対するすべての変更に CloudFormation を使用する必要があります。チームは、AWS マネジメントコンソールまたは AWS CLI を使用して直接手動で変更することはできません。
チームは、開発者 IAM ロールを使用して環境にアクセスします。このロールは、AdministratorAccess 管理 IAM ポリシーで設定されています。会社は、次のポリシーがアタッチされた新しい CloudFormationDeployment IAM ロールを作成しました。

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:*",
"lambda:*",
"dynamodb:*"
],
"Resource": "*"
}
]
}

259. 同社は、CloudFormation のみが新しいロールを使用できるようにしたいと考えています。開発チームは、デプロイされたリソースに手動で変更を加えることはできません。

これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

A. AdministratorAccess ポリシーを削除します。ReadOnlyAccess 管理 IAM ポリシーを開発者ロールに割り当てます。開発者が新しいスタックをデプロイするときに、CloudFormationDeployment ロールを CloudFormation サービスロールとして使用するように開発者に指示します。

B. CloudFormationDeployment ロールの信頼ポリシーを更新して、開発者 IAM ロールが CloudFormationDeployment ロールを引き受けられるようにします。

C. iam:PassedToService がに等しい場合に、開発者 IAM ロールが CloudFormationDeployment ロールを取得して渡すことができるように構成します。CloudFormationDeployment ロールを構成して、すべてのリソースに対してすべての cloudformation アクションを許可します。

D. CloudFormationDeployment ロールの信頼ポリシーを更新して、cloudformation.amazonaws.com AWS プリンシパルが iam:AssumeRole アクションを実行できるようにします。

E. AdministratorAccess ポリシーを削除します。 ReadOnlyAccess マネージド IAM ポリシーを開発者ロールに割り当てます。開発者が新しいスタックをデプロイするときに、開発者に CloudFormationDeployment ロールを引き受けるように指示します。

F. CloudFormationDeployment ロールに IAM ポリシーを追加して、すべてのリソースで cloudformation:* を許可します。iam:PassedToService が cloudformation.amazonaws.com に等しい場合、CloudFormationDeployment ロールの ARN に対して iam:PassRole アクションを許可するポリシーを追加します。

回答: ADF

説明:
A. AdministratorAccess ポリシーを削除します。ReadOnlyAccess マネージド IAM ポリシーを開発者ロールに割り当てます。開発者が新しいスタックをデプロイするときに、開発者に CloudFormationDeployment ロールを CloudFormation サービスロールとして使用するように指示します。

D. CloudFormationDeployment ロールの信頼ポリシーを更新して、cloudformation.amazonaws.com AWS プリンシパルが iam:AssumeRole アクションを実行できるようにします。

260 / 363

260.

No.260
ある会社が AWS CloudFormation を使用して Web アプリケーションのインフラストラクチャを開発しています。データベースエンジニアリングチームは CloudFormation テンプレートでデータベースリソースを管理し、ソフトウェア開発チームは別の CloudFormation テンプレートで Web アプリケーションリソースを管理しています。アプリケーションの範囲が拡大するにつれて、ソフトウェア開発チームはデータベースエンジニアリングチームが管理するリソースを使用する必要があります。ただし、両方のチームには、維持したい独自のレビューおよびライフサイクル管理プロセスがあります。また、両方のチームでリソースレベルの変更セットのレビューも必要です。ソフトウェア開発チームは、CI/CD パイプラインを使用してこのテンプレートに変更をデプロイしたいと考えています。
これらの要件を満たすソリューションはどれですか?

A. データベース CloudFormation テンプレートからスタックエクスポートを作成し、それらの参照を Web アプリケーション CloudFormation テンプレートにインポートします。

B. CloudFormation ネストスタックを作成して、両方のスタックでクロススタックリソース参照とパラメータを使用できるようにします。

C. CloudFormation スタックセットを作成して、両方のスタックでクロススタックリソース参照とパラメータを使用できるようにします。

D. Web アプリケーション CloudFormation テンプレートに入力パラメータを作成し、データベーススタックからリソース名と ID を渡します。

回答: A

説明:
B. ネストスタックは、すべてのスタックを 1 つのスタックに結合するため、各チームの独立したライフサイクルとレビュープロセスが複雑になる可能性があります。
C. スタックセットは通常、複数の AWS アカウントとリージョンにまたがるスタックのデプロイに使用されます
D. 機能する可能性がありますが、データベーススタックリソースに変更があるたびにパラメータ値を更新するために手動介入が必要になります。

261 / 363

261.

No.261
ある会社には AWS Organizations に組織があります。DevOps エンジニアは、組織内の異なる OU に属する複数の AWS アカウントを管理する必要があります。アカウント内の IAM ポリシーや Amazon S3 ポリシーを含むすべてのリソースは、AWS CloudFormation を通じてデプロイされます。すべてのテンプレートとコードは、AWS CodeCommit リポジトリで管理されます。最近、一部の開発者が組織内の一部のアカウントから S3 バケットにアクセスできなくなりました。
次のポリシーが S3 バケットにアタッチされています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject*",
"s3:PutObject*"
],
"Principal": {
"AWS": "arn:aws:sts::*:assumed-role/developer-role/access-session"
},
"Resource": [
"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
]
}
]
}
このアクセス問題を解決するために、DevOps エンジニアは何をすべきでしょうか?

A. S3 バケットポリシーを変更します。S3 バケットの S3 ブロックパブリックアクセス設定をオフにします。S3 ポリシーで、aws:SourceAccount 条件を追加します。問題が発生しているすべての開発者の AWS アカウント ID を追加します。

B. IAM 権限境界によって開発者の S3 バケットへのアクセスが拒否されていないことを確認します。IAM 権限境界に必要な変更を加えます。問題が発生している個々の開発者アカウントで AWS Config レコーダーを使用して、アクセスをブロックしている変更を元に戻します。修正を CodeCommit リポジトリにコミットします。変更を適用するには、CloudFormation を介してデプロイを呼び出します。

C. 開発者 OU 内の IAM リソースを誰も変更できないようにする SCP を構成します。S3 ポリシーで、aws:SourceAccount 条件を追加します。問題が発生しているすべての開発者の AWS アカウント ID を追加します。修正を CodeCommit リポジトリにコミットします。変更を適用するには、CloudFormation を介してデプロイを呼び出します。

D. SCP が開発者の S3 バケットへのアクセスをブロックしていないことを確認します。IAM ポリシーのアクセス許可境界が開発者の IAM ユーザーへのアクセスを拒否していないことを確認します。CodeCommit リポジトリの SCP および IAM ポリシーのアクセス許可境界に必要な変更を加えます。CloudFormation を介してデプロイメントを呼び出して変更を適用します。

回答: D

説明:
オプション D は最も包括的で、要件と一致しています:
- SCP と IAM ポリシーの両方が正しく構成されていることを確認します。
- すべての変更に CloudFormation の使用を順守します。
- スケーラブルで管理しやすいアプローチを提供しながら、差し迫った問題に対処します。

262 / 363

262.

No.262
ある会社には、マルチアカウント環境用の AWS Organizations に組織があります。DevOps エンジニアは、組織全体でアプリケーションパッケージ管理を行うための AWS CodeArtifact ベースの戦略を開発しています。会社の各アプリケーションチームには、組織内に独自のアカウントがあります。各アプリケーションチームには、一元化された共有サービスアカウントへの制限付きアクセスもあります。
各アプリケーションチームには、独自のパッケージをダウンロード、公開、およびアクセス権を付与するためのフルアクセスが必要です。アプリケーションチームが使用する一部の共通ライブラリパッケージも、組織全体で共有する必要があります。
これらの要件を満たし、管理オーバーヘッドを最小限に抑えるには、どの手順の組み合わせが適していますか? (3 つ選択してください)。

A. 各アプリケーションチームのアカウントにドメインを作成します。各アプリケーションチームのアカウントに、アプリケーションチームのドメインへの完全な読み取りアクセスと書き込みアクセスを付与します。

B. 共有サービスアカウントにドメインを作成します。組織に読み取りアクセスと CreateRepository アクセスを付与します。

C. 各アプリケーションチームのアカウントにリポジトリを作成します。各アプリケーションチームのアカウントに、独自のリポジトリへの完全な読み取りアクセスと書き込みアクセスを付与します。

D. 共有サービスアカウントにリポジトリを作成します。組織に共有サービスアカウントのリポジトリへの読み取りアクセスを付与します。各アプリケーションチームのリポジトリで、リポジトリをアップストリームリポジトリとして設定します。

E. 共有パッケージを必要とするチームの場合は、他のアプリケーションチームのアカウントからリポジトリへの読み取りアクセスを許可するリソースベースのポリシーを作成します。

F. 他のアプリケーションチームのリポジトリをアップストリームリポジトリとして設定します。

回答: BCD

説明:
B: 共有サービスアカウントに一元化されたドメインを確立し、共通ライブラリへの組織的なアクセスを提供します。
D: 共有サービスアカウントに共通ライブラリのリポジトリを作成し、組織全体の読み取りアクセスを許可し、アップストリームリポジトリを構成します。
C: 各チームのアカウントに個別のリポジトリを作成し、独自のパッケージを管理するためのフルアクセスを付与します。

263 / 363

No.263
ある会社が Amazon EC2 インスタンスにアプリケーションをデプロイします。アプリケーションは Amazon Linux 2 を実行し、AWS CodeDeploy を使用します。アプリケーションのコードリポジトリのファイル構造は次のようになります:
appspec.yml
config/config.txt
application/web

263. appspec.yml ファイルのファイルセクションには次の内容が含まれます:

ファイル:
- ソース: config/config.txt
宛先: /usr/local/src/config.txt
- ソース: /
宛先: /var/www/html

config.txt ファイルのデプロイの結果はどうなるでしょうか?

A. config.txt ファイルは /var/www/html/config/config.txt にのみデプロイされます。

B. config.txt ファイルは /usr/local/src/config.txt と /var/www/html/config/config.txt にデプロイされます。

C. config.txt ファイルは /usr/local/src/config.txt にのみデプロイされます。

D. config.txt ファイルは、/usr/local/src/config.txt と /var/www/html/application/web/config.txt にデプロイされます。

回答: B

説明:
config/config.txt ファイルは、最初のマッピングに基づいて /usr/local/src/config.txt にコピーされます。

ソースディレクトリ全体 (/) も /var/www/html にマッピングされるため、config/config.txt も /var/www/html/config/config.txt にコピーされます。

264 / 363

264.

No.264
ある会社では、パブリックアップストリームリポジトリを使用して AWS CodeArtifact リポジトリを設定しました。会社の開発チームは、会社の内部ネットワークにあるリポジトリからオープンソースの依存関係を使用しています。
会社のセキュリティチームは最近、開発チームが使用しているパッケージの最新バージョンに重大な脆弱性を発見しました。セキュリティチームは、脆弱性を修正するパッチバージョンを作成しました。会社は、脆弱なバージョンがダウンロードされないようにする必要があります。会社は、セキュリティチームがパッチを適用したバージョンを公開できるようにする必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)

A. 影響を受ける CodeArtifact パッケージバージョンのステータスを非公開に更新します。

B. 影響を受ける CodeArtifact パッケージバージョンのステータスを削除済みに更新します。

C. 影響を受ける CodeArtifact パッケージバージョンのステータスをアーカイブに更新します。

D. CodeArtifact パッケージのオリジンコントロール設定を更新して、直接公開を許可し、アップストリーム操作をブロックします。

E. CodeArtifact パッケージのオリジンコントロール設定を更新して、直接公開をブロックし、アップストリーム操作を許可します。

回答: CD

説明:

A - 非公開ではダウンロードが妨げられません

B - 削除済みは、有効なコードアーティファクトパッケージバージョンステータスではありません

C - アーカイブ済みではダウンロードが妨げられます

https://docs.aws.amazon.com/codeartifact/latest/ug/packages-overview.html#package-version-status

265 / 363

265.

No.265
ある会社では、レコードを処理するカスタムビルドのアプリケーションを実行しています。すべてのコンポーネントは、Auto Scaling グループで実行される Amazon EC2 インスタンスで実行されます。各レコードの処理は、コンピューティング集約型のマルチステップのシーケンシャルアクションです。各ステップは常に 5 分以内に完了します。
現在のシステムの制限は、いずれかのステップが失敗すると、アプリケーションがレコードを最初から再処理する必要があることです。会社は、アプリケーションが失敗したステップのみを再処理するようにアーキテクチャを更新したいと考えています。
これらの要件を満たす最も運用効率の高いソリューションは何ですか?

A. レコードを Amazon S3 に書き込む Web アプリケーションを作成します。S3 イベント通知を使用して、Amazon Simple Notification Service (Amazon SNS) トピックに発行します。EC2 インスタンスを使用して Amazon SNS をポーリングし、処理を開始します。中間結果を Amazon S3 に保存して、次のステップに渡します。

B. アプリケーション内のロジックを使用して処理ステップを実行します。アプリケーションコードをコンテナで実行するように変換します。AWS Fargate を使用してコンテナインスタンスを管理します。コンテナが自分自身を呼び出して、あるステップから次のステップに状態を渡すように設定します。

C. レコードを Amazon Kinesis データストリームに渡す Web アプリケーションを作成します。Kinesis データストリームと AWS Lambda 関数を使用して、処理を分離します。

D. レコードを AWS Step Functions に渡す Web アプリケーションを作成します。処理を Step Functions タスクと AWS Lambda 関数に分離します。

回答: D

説明:
Step Functions と Lambda:
- タスクの分離
- エラー処理と再試行ロジック
- 状態管理

266 / 363

266.

No.266
ある会社がオンプレミスの Windows アプリケーションと Linux アプリケーションを AWS に移行しています。この会社は、自動化を使用して Amazon EC2 インスタンスを起動し、オンプレミスの構成をミラーリングします。移行されたアプリケーションは、Windows の場合は SMB、Linux の場合は NFS を使用する共有ストレージにアクセスする必要があります。
この会社は、別の AWS リージョンにパイロットライトの災害復旧 (DR) 環境も作成しています。この会社は、自動化を使用して DR リージョンで EC2 インスタンスを起動および構成します。会社では、ストレージを DR リージョンに複製する必要があります。
これらの要件を満たすストレージソリューションはどれですか?

A. アプリケーションストレージに Amazon S3 を使用します。プライマリリージョンに S3 バケットを作成し、DR リージョンに S3 バケットを作成します。プライマリリージョンから DR リージョンへの S3 クロスリージョンレプリケーション (CRR) を設定します。

B. アプリケーションストレージに Amazon Elastic Block Store (Amazon EBS) を使用します。プライマリリージョンにある EBS ボリュームのスナップショットを作成し、そのスナップショットを DR リージョンに複製するバックアッププランを AWS Backup に作成します。

C. アプリケーションストレージに AWS Storage Gateway のボリュームゲートウェイを使用します。プライマリリージョンから DR リージョンへのボリュームゲートウェイのクロスリージョンレプリケーション (CRR) を設定します。

D. アプリケーションストレージに Amazon FSx for NetApp ONTAP を使用します。DR リージョンに FSx for ONTAP インスタンスを作成します。プライマリリージョンから DR リージョンへの NetApp SnapMirror レプリケーションを設定します。

回答: D

説明:
Amazon FSx for NetApp ONTAP は、ネットワークファイルシステム (NFS)、サーバーメッセージブロック (SMB)、インターネットスモールコンピュータシステムインターフェイス (iSCSI)、および不揮発性メモリエクスプレス (NVMe) プロトコルを使用したデータへのマルチプロトコルアクセスをサポートします
https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html#features-overview

267 / 363

267.

No.267
ある会社のアプリケーションでは、Amazon EC2 オンデマンドインスタンスのフリートを使用してデータの分析と処理を行っています。EC2 インスタンスは Auto Scaling グループにあります。Auto Scaling グループは、Application Load Balancer (ALB) のターゲットグループです。アプリケーションは、中断を許容できない重要なデータを分析します。また、中断に耐えられる重要でないデータも分析します。
重要なデータ分析では、リアルタイムのアプリケーション需要に応じて迅速に拡張する必要があります。重要でないデータ分析では、メモリが消費されます。DevOps エンジニアは、重要なデータのスケールアウト遅延を削減するソリューションを実装する必要があります。ソリューションでは、重要でないデータも処理する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)

A. 重要なデータについては、既存の Auto Scaling グループを変更します。停止状態のウォームプールインスタンスを作成します。ウォームプールのサイズを定義します。詳細なモニタリングが有効になっている起動テンプレートの新しいバージョンを作成します。スポットインスタンスを使用します。

B. 重要なデータについては、既存の Auto Scaling グループを変更します。停止状態のウォームプールインスタンスを作成します。ウォームプールのサイズを定義します。詳細なモニタリングが有効になっている起動テンプレートの新しいバージョンを作成します。オンデマンドインスタンスを使用します。

C. 重要なデータについては、既存の Auto Scaling グループを変更します。ブートストラップスクリプトが正常に完了するようにライフサイクルフックを作成します。インスタンスが登録される前に、インスタンス上のアプリケーションがトラフィックを受け入れる準備ができていることを確認します。詳細なモニタリングが有効になっている起動テンプレートの新しいバージョンを作成します。

D. 重要でないデータについては、起動テンプレートを使用する 2 つ目の Auto Scaling グループを作成します。起動テンプレートを設定して、統合 Amazon CloudWatch エージェントをインストールし、カスタムメモリ使用率メトリクスを使用して CloudWatch エージェントを設定します。スポットインスタンスを使用します。新しい Auto Scaling グループを ALB のターゲットグループとして追加します。重要なデータと重要でないデータの 2 つのターゲットグループを使用するようにアプリケーションを変更します。

E. 重要でないデータについては、2 つ目の Auto Scaling グループを作成します。ターゲット追跡スケーリングポリシーの定義済みメモリ使用率メトリックタイプを選択します。スポットインスタンスを使用します。新しい Auto Scaling グループを ALB のターゲットグループとして追加します。重要なデータと重要でないデータの 2 つのターゲットグループを使用するようにアプリケーションを変更します。

回答: BD

説明:
オプション B (重要なデータの場合): ウォームプールを作成し、オンデマンドインスタンスを使用して迅速なスケーリングを実現し、スケーリングの低レイテンシーのニーズに対応します。

オプション D (重要でないデータの場合): メモリベースのスケーリングポリシーでスポットインスタンスを使用して、重要でないデータを効率的に処理します。

268 / 363

268.

No.268
ある会社が最近、Amazon EC2 インスタンスを使用する Amazon Elastic Kubernetes Service (Amazon EKS) クラスターにアプリケーションを移行しました。この会社は、CPU 使用率に基づいて自動的にスケーリングするようにアプリケーションを構成しました。
アプリケーションは、負荷が大きくなるとメモリエラーを生成します。また、アプリケーションは、増加した負荷を処理するのに十分なスケールアウトを行いません。この会社は、時間の経過とともにアプリケーションのメモリメトリックを収集して分析する必要があります。
これらの要件を満たす手順の組み合わせはどれですか。 (3 つ選択してください)

A. CloudWatchAgentServerPolicy マネージド IAM ポリシーを、クラスターが使用する IAM インスタンスプロファイルにアタッチします。

B. CloudWatchAgentServerPolicy マネージド IAM ポリシーを、クラスターのサービスアカウントロールにアタッチします。

C. 統合 Amazon CloudWatch エージェントをクラスター内の既存の EC2 インスタンスにデプロイして、パフォーマンスメトリクスを収集します。クラスターに追加された新しい EC2 インスタンスの AMI にエージェントを追加します。

D. AWS Distro for OpenTelemetry コレクターを DaemonSet としてデプロイして、パフォーマンスログを収集します。

E. Service ディメンションを使用して、ContainerInsights 名前空間の pod_memory_utilization Amazon CloudWatch メトリクスを分析します。

F. ClusterName ディメンションを使用して、ContainerInsights 名前空間の node_memory_utilization Amazon CloudWatch メトリクスを分析します。

269 / 363

269.

No.269
ある企業のビデオストリーミングプラットフォームの使用は、複数の国で 1 日あたり 10,000 ユーザーから 50,000 ユーザーに増加しました。同社はストリーミングプラットフォームを Amazon Elastic Kubernetes Service (Amazon EKS) にデプロイしています。EKS ワークロードは、ピーク視聴時間中に数千ノードにまでスケールアップします。
同社のユーザーから、不正ログインの発生が報告されています。また、突然の中断やプラットフォームからのログアウトも報告されています。
同社は、プラットフォーム全体のセキュリティ対策を追加したいと考えています。また、同社の AWS 環境全体にわたるリソースの動作とインタラクションの概要ビューも必要です。概要ビューには、ログイン試行、API 呼び出し、およびネットワークトラフィックが表示される必要があります。ソリューションでは、ログ管理のオーバーヘッドを最小限に抑えながら、ネットワークトラフィック分析を可能にする必要があります。また、ソリューションでは、EKS ワークロードに関連する潜在的な悪意のある動作を迅速に調査する必要があります。
これらの要件を満たすソリューションはどれですか?

A. EKS 監査ログモニタリング用に Amazon GuardDuty を有効にします。AWS CloudTrail ログを有効にします。 EKS 監査ログと CloudTrail ログファイルを Amazon S3 バケットに保存します。Amazon Athena を使用して外部テーブルを作成します。Amazon QuickSight を使用してダッシュボードを作成します。

B. EKS 監査ログモニタリング用に Amazon GuardDuty を有効にします。会社の AWS アカウントで Amazon Detective を有効にします。Detective のオプションのソースパッケージから EKS 監査ログを有効にします。

C. Amazon CloudWatch Container Insights を有効にします。AWS CloudTrail ログを有効にします。EKS 監査ログと CloudTrail ログファイルを Amazon S3 バケットに保存します。Amazon Athena を使用して外部テーブルを作成します。Amazon QuickSight を使用してダッシュボードを作成します。

D. EKS 監査ログモニタリング用に Amazon GuardDuty を有効にします。Amazon CloudWatch Container Insights と VPC フローログを有効にします。AWS CloudTrail ログを有効にします。

回答: B

説明:
Amazon Detective は、リソースの時間の経過に伴う動作と相互作用を表すデータ視覚化を生成することで、1 つ以上の AWS アカウントにわたるセキュリティイベントを迅速に分析および調査するのに役立ちます。 Detective は、GuardDuty の検出結果を視覚化します。
https://docs.aws.amazon.com/guardduty/latest/ug/detective-integration.html

Amazon EKS 監査ログは、Detective の動作グラフに追加できるオプションのデータソースパッケージです。
https://docs.aws.amazon.com/detective/latest/userguide/source-data-types-EKS.html

270 / 363

270.

No.270
ある会社では、AWS Organizations を使用して何百もの AWS アカウントを管理しています。この会社には、AWS Identity and Access Management (IAM) を担当するチームがあります。
IAM チームは、AWS IAM Identity Center (AWS Single Sign-On) を実装したいと考えています。IAM チームには、IAM Identity Center を管理するために必要な最小限の権限のみが必要です。IAM チームは、Organizations 管理アカウントへの不要なアクセス権を取得できないようにする必要があります。IAM チームは、既存および新規メンバーアカウントに対して、新しい IAM Identity Center 権限セットと割り当てをプロビジョニングできる必要があります。
これらの要件を満たす手順の組み合わせはどれですか。 (3 つ選択してください)

A. IAM チーム用の新しい AWS アカウントを作成します。新しいアカウントで、IAM Identity Center を有効にします。Organizations 管理アカウントで、新しいアカウントを IAM Identity Center の委任管理者として登録します。

B. IAM チーム用の新しい AWS アカウントを作成します。Organizations 管理アカウントで、IAM Identity Center を有効にします。Organizations 管理アカウントで、新しいアカウントを IAM Identity Center の委任管理者として登録します。

C. IAM Identity Center で、IAM チームのユーザーとグループを作成します。ユーザーをグループに追加します。新しい権限セットを作成します。AWSSSODirectoryAdministrator 管理 IAM ポリシーをグループにアタッチします。

D. IAM Identity Center で、IAM チームのユーザーとグループを作成します。ユーザーをグループに追加します。新しい権限セットを作成します。AWSSSOMemberAccountAdministrator 管理 IAM ポリシーをグループにアタッチします。

E. 権限セットを Organizations 管理アカウントに割り当てます。IAM チームグループが権限セットを使用できるようにします。

F. 新しい AWS アカウントに権限セットを割り当てます。IAM チームグループが権限セットを使用できるようにします。

回答: ADF

説明:
A は、IAM チームが自分のアカウント内で操作し、組織の管理アカウントから権限とアクティビティを分離することを保証します。
D は、より広範なアクセスを許可することなく、メンバーアカウント全体で IAM Identity Center を管理するために必要な権限を IAM チームに提供します。
*AWSSSODirectoryAdministrator ポリシーは、必要以上に広範な権限を付与することに注意してください
F. IAM チームが指定されたアカウント内で必要な権限を持っていることを保証します

B. 「IAM チームは、組織の管理アカウントへの不要なアクセスを取得できないようにする必要があります」 => したがって、B は間違っています
C は最小権限の原則に反しています。
E は、IAM チームが不要なアクセスを取得するのを防ぐために避けるべきです。

271 / 363

271.

No.271
ある企業は、すべての機能が有効になっている AWS Organizations の組織を使用しています。この企業は、プライマリアカウントで AWS Backup を使用し、AWS Key Management Service (AWS KMS) キーを使用してバックアップを暗号化しています。
この企業は、プライマリアカウントで AWS Backup がバックアップするリソースのクロスアカウントバックアップを自動化する必要があります。この企業は、Organizations 管理アカウントでクロスアカウントバックアップを構成します。この企業は、組織に新しい AWS アカウントを作成し、新しいアカウントで AWS Backup バックアップボールトを構成します。この企業は、新しいアカウントで KMS キーを作成してバックアップを暗号化します。最後に、この企業はプライマリアカウントで新しいバックアッププランを構成します。新しいバックアッププランの保存先は、新しいアカウントのバックアップボールトです。
プライマリアカウントで AWS Backup ジョブが呼び出されると、ジョブによってプライマリアカウントにバックアップが作成されます。ただし、バックアップは新しいアカウントのバックアップボールトにコピーされません。
バックアップを新しいアカウントのバックアップボールトにコピーするには、どの手順の組み合わせを実行する必要がありますか。 (2 つ選択してください)

A. 新しいアカウントのバックアップボールトアクセスポリシーを編集して、プライマリアカウントへのアクセスを許可します。

B. プライマリアカウントのバックアップボールトアクセスポリシーを編集して、新しいアカウントへのアクセスを許可します。

C. プライマリアカウントのバックアップボールトアクセスポリシーを編集して、新しいアカウントの KMS キーへのアクセスを許可します。

D. プライマリアカウントの KMS キーのキーポリシーを編集して、新しいアカウントとキーを共有します。

E. 新しいアカウントの KMS キーのキーポリシーを編集して、プライマリアカウントとキーを共有します。

回答: AD

説明:
https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html

宛先アカウントで、バックアップボールトを作成する必要があります。次に、宛先アカウントのバックアップを暗号化するためのカスタマー管理キーと、コピーするリソースに AWS Backup がアクセスできるようにするためのリソースベースのアクセスポリシーを割り当てます。ソースアカウントで、リソースがカスタマー管理キーで暗号化されている場合は、このカスタマー管理キーを宛先アカウントと共有する必要があります。その後、バックアッププランを作成し、AWS Organizations の組織単位の一部である宛先アカウントを選択できます。

272 / 363

272.

No.272
ある会社では、Amazon S3 バケットを使用してイメージを保存するアプリケーションを実行しています。DevOps エンジニアは、S3 バケットに保存されているオブジェクトに対してマルチリージョン戦略を実装する必要があります。会社は、別の AWS リージョンの S3 バケットにフェイルオーバーできる必要があります。いずれかの S3 バケットにイメージが追加されると、そのイメージは 15 分以内に他の S3 バケットに複製される必要があります。
DevOps エンジニアは、S3 バケット間の双方向レプリケーションを有効にします。
要件を満たすために、DevOps エンジニアが次に実行する必要がある手順の組み合わせはどれですか? (3 つ選択してください)。

A. 各レプリケーションルールで S3 レプリケーション時間制御 (S3 RTC) を有効にします。

B. アクティブ/パッシブ構成で S3 マルチリージョンアクセスポイントを作成します。

C. 会社が他のリージョンの S3 バケットにフェイルオーバーする必要がある場合は、AWS API で SubmitMultiRegionAccessPointRoutes オペレーションを呼び出します。

D. 両方の S3 バケットで S3 Transfer Acceleration を有効にします。

E. Amazon Route 53 Recovery Controller でルーティング制御を構成します。アクティブ/パッシブ構成で S3 バケットを追加します。

F. 会社が他のリージョンの S3 バケットにフェイルオーバーする必要がある場合は、AWS API で UpdateRoutingControlStates オペレーションを呼び出します。

回答: ABC

説明:
A. 各レプリケーションルールで S3 レプリケーション時間制御 (S3 RTC) を有効にします。これにより、オブジェクトの 99.99% が 15 分以内にレプリケートされます。

B. アクティブ/パッシブ構成で S3 マルチリージョンアクセスポイントを作成します。これは、異なる AWS リージョンの複数の S3 バケットにわたるデータへのアクセスを管理し、フェイルオーバーを容易にするために重要です。

C. 会社が他のリージョンの S3 バケットにフェイルオーバーする必要がある場合は、AWS API で SubmitMultiRegionAccessPointRoutes オペレーションを呼び出します。このオペレーションは、指定された S3 バケットにトラフィックを誘導するようにルートを更新し、フェイルオーバーを有効にします。

273 / 363

273.

No.273
ある会社では、AWS Cloud Development Kit (AWS CDK) を使用してアプリケーションを定義しています。この会社は、AWS CodePipeline と AWS CodeBuild で構成されるパイプラインを使用して、CDK アプリケーションをデプロイしています。
この会社は、さまざまなインフラストラクチャコンポーネントをテストするために、パイプラインにユニットテストを導入したいと考えています。この会社は、ユニットテストで失敗が発生しなかった場合にデプロイが続行されるようにしたいと考えています。
どのステップの組み合わせがパイプラインでテスト要件を強制しますか? (2 つ選択してください)。

A. CodeBuild ビルドフェーズコマンドを更新して、テストを実行してからアプリケーションをデプロイします。OnFailure フェーズプロパティを ABORT に設定します。

B. CodeBuild ビルドフェーズコマンドを更新して、テストを実行してからアプリケーションをデプロイします。cdk deploy コマンドに --rollback true フラグを追加します。

C. CodeBuild ビルドフェーズコマンドを更新して、テストを実行してからアプリケーションをデプロイします。cdk deploy コマンドに --require-approval any-change フラグを追加します。

D. AWS CDK アサーションモジュールを使用するテストを作成します。 template.hasResourceProperties アサーションを使用して、リソースに期待されるプロパティがあるかどうかをテストします。

E. cdk diff コマンドを使用するテストを作成します。リソースが変更された場合にテストが失敗するように構成します。

回答: AD

説明:
オプション A: <OnFailure フェーズ>
- このオプションでは、デプロイ前にテストを実行するように CodeBuild のビルドフェーズを構成します。OnFailure フェーズプロパティを ABORT に設定すると、テストが失敗した場合にビルドプロセスが停止し、デプロイが続行されなくなります。
- これにより、テストが成功した場合にのみビルドおよびデプロイプロセスが続行されます。これは、アプリケーションの整合性を維持するために重要です。

オプション D: <CDK アサーション>
- このオプションでは、AWS CDK アサーションモジュールを使用してユニットテストを作成します。template.hasResourceProperties アサーションは、CloudFormation テンプレートに期待されるプロパティを持つリソースがあるかどうかを確認し、インフラストラクチャの論理的な正確性を保証します。
- これにより、CloudFormation テンプレートに期待されるプロパティがあるかどうかをチェックすることでユニットテストが強制され、アプリケーションのインフラストラクチャが意図したとおりであることが保証されます。

274 / 363

274.

No.274
ある企業には、アプリケーションロードバランサー (ALB) の背後にある Amazon EC2 インスタンスで実行されるアプリケーションがあります。EC2 インスタンスは複数のアベイラビリティゾーンにあります。アプリケーションは 1 つのアベイラビリティゾーンで誤って構成されていたため、アプリケーションが部分的に停止しました。
DevOps エンジニアは、1 つのアベイラビリティゾーンの異常な EC2 インスタンスが他のアベイラビリティゾーンの正常な EC2 インスタンスに影響を与えないように変更を加えました。DevOps エンジニアは、アプリケーションのフェイルオーバーをテストし、ALB がトラフィックを送信する場所を変更する必要があります。フェイルオーバー中、ALB は障害が発生したアベイラビリティゾーンにトラフィックを送信しないようにする必要があります。
これらの要件を満たすソリューションはどれですか?

A. ALB でゾーン間の負荷分散をオフにします。Amazon Route 53 アプリケーションリカバリコントローラーを使用して、アベイラビリティゾーンからゾーンシフトを開始します。

B. ALB のターゲットグループでクロスゾーン負荷分散をオフにします。Amazon Route 53 アプリケーションリカバリコントローラーを使用して、アベイラビリティーゾーンからゾーンシフトを開始します。

C. ALB の DNS ホスト名を使用する Amazon Route 53 アプリケーションリカバリコントローラーリソースセットを作成します。アベイラビリティーゾーンからリソースセットのゾーンシフトを開始します。

D. ALB のターゲットグループの ARN を使用する Amazon Route 53 アプリケーションリカバリコントローラーリソースセットを作成します。ElbV2TargetGroupsCanServeTraffic ルールを使用する準備チェックを作成します。

回答: A

説明:
私にとって正しい答えは A:「この機能を使用するには、Elastic Load Balancing リソースでクロスゾーン負荷分散をオフにする必要があることに注意してください。」です。
https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.html

275 / 363

275.

No.275
ある会社が AWS ネットワークファイアウォールのフローログを Amazon S3 バケットに送信します。その後、Amazon Athena を使用してフローログを分析します。
フローログが既存の S3 バケットに配信される前に、フローログを変換してデータを追加する必要があります。
これらの要件を満たすソリューションはどれですか?

A. データを変換し、既存の S3 バケットに新しいオブジェクトを書き込む AWS Lambda 関数を作成します。既存の S3 バケットの S3 トリガーを使用して Lambda 関数を設定します。イベントタイプにすべてのオブジェクト作成イベントを指定します。再帰呼び出しを確認します。

B. 既存の S3 バケットで Amazon EventBridge 通知を有効にします。カスタム EventBridge イベントバスを作成します。カスタムイベントバスに関連付けられた EventBridge ルールを作成します。既存の S3 バケットのすべてのオブジェクト作成イベントに反応し、AWS Step Functions ワークフローを呼び出すようにルールを設定します。データを変換し、新しい S3 バケットにデータを書き込むように Step Functions タスクを設定します。

C. デフォルトの EventBridge イベントバスに関連付けられた Amazon EventBridge ルールを作成します。既存の S3 バケットのすべてのオブジェクト作成イベントに反応するようにルールを設定します。ルールのターゲットとして新しい S3 バケットを定義します。イベントをルールターゲットに渡す前に、EventBridge 入力変換を作成してイベントをカスタマイズします。

D. AWS Lambda トランスフォーマーで設定された Amazon Kinesis Data Firehose 配信ストリームを作成します。既存の S3 バケットを宛先として指定します。ネットワークファイアウォールのログ出力先を Amazon S3 から Kinesis Data Firehose に変更します。

回答: D

説明:
Amazon Kinesis Data Firehose:
Kinesis Data Firehose は、リアルタイムのストリーミングデータ配信と変換用に設計されています。データを取り込み、Lambda 関数で処理し、変換されたデータを Amazon S3、Redshift、Elasticsearch などの宛先に配信できます。
https://aws.amazon.com/firehose/faqs/

AWS Lambda Transformer:
Kinesis Data Firehose 内で Lambda 関数をトランスフォーマーとして設定することで、フローログを変換し、ログが既存の S3 バケットに書き込まれる前に必要な追加データを追加するカスタムロジックを実装できます。

276 / 363

276.

No.276
DevOps エンジニアは、Amazon Elastic Container Service (Amazon ECS) サービスの既存の AWS CodePipeline CI/CD ワークフローに統合テストを実装する必要があります。CI/CD ワークフローは、AWS CodeCommit リポジトリから新しいアプリケーションコードを取得し、コンテナイメージを構築します。次に、Cl/CD ワークフローは、新しいイメージタグバージョンを使用してコンテナイメージを Amazon Elastic Container Registry (Amazon ECR) にアップロードします。
統合テストでは、サービスエンドポイントの新しいバージョンにアクセスできること、およびさまざまな API メソッドが正常な応答データを返すことを確認する必要があります。DevOps エンジニアは、サービスをテストするためにすでに ECS クラスターを作成しています。
どのステップの組み合わせが、管理オーバーヘッドを最小限に抑えながらこれらの要件を満たしますか? (3 つ選択してください)

A. パイプラインにデプロイステージを追加します。Amazon ECS をアクションプロバイダーとして設定します。

B. パイプラインにデプロイステージを追加します。AWS CodeDeploy をアクションプロバイダーとして設定します。

C. CodeCommit リポジトリに appspec.yml ファイルを追加します。

D. イメージビルドパイプラインステージを更新して、新しいイメージタグを参照する imagedefinitions.json ファイルを出力します。

E. サービスに対して接続チェックと API 呼び出しを実行する AWS Lambda 関数を作成します。Lambda アクションステージを使用して、Lambda 関数を CodePipeline と統合します。

F. サービスに対して統合テストを実行するスクリプトを作成します。スクリプトを Amazon S3 バケットにアップロードします。S3 アクションステージを使用して、S3 バケット内のスクリプトを CodePipeline と統合します。

回答: ADE

説明:
キーワード: 最も管理オーバーヘッドが少ない

A. パイプラインにデプロイステージを追加します。Amazon ECS をアクションプロバイダーとして設定します。
- コンテナイメージを ECS に直接デプロイし、不要な複雑さを伴わずに、サービスが最新のコードで更新されるようにします。

D. イメージビルドパイプラインステージを更新して、新しいイメージタグを参照するイメージ definitions.json ファイルを出力します。

- ECS が新しいイメージバージョンを認識してデプロイし、自動更新を容易にするために必要です。

E. サービスに対して接続チェックと API 呼び出しを実行する AWS Lambda 関数を作成します。Lambda アクションステージを使用して、Lambda 関数を CodePipeline と統合します。
- AWS Lambda のサーバーレス機能を活用して、統合テストを実行するための管理の少ないソリューションを提供します。

277 / 363

277.

No.277
ある会社では、Windows および Linux の Amazon EC2 インスタンスでアプリケーションを実行しています。インスタンスは、AWS リージョン内の複数のアベイラビリティーゾーンで実行されています。この会社では、各アプリケーションに Auto Scaling グループを使用しています。
この会社では、インスタンス用の耐久性の高いストレージソリューションを必要としています。このソリューションでは、Windows の場合は SMB を使用し、Linux の場合は NFS を使用する必要があります。また、このソリューションのレイテンシーは 1 ミリ秒未満である必要があります。すべてのインスタンスがデータの読み取りと書き込みを行います。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

A. 複数のアベイラビリティーゾーンにターゲットがある Amazon Elastic File System (Amazon EFS) ファイルシステムを作成します。

B. Amazon FSx for NetApp ONTAP マルチ AZ ファイルシステムを作成します。

C. 共有ストレージに使用する汎用 SSD (gp3) Amazon Elastic Block Store (Amazon EBS) ボリュームを作成します。

D. 各アプリケーションの起動テンプレートのユーザーデータを更新して、ファイルシステムをマウントします。

E. 各 Auto Scaling グループでインスタンスの更新を実行します。

F. 各アプリケーションの EC2 インスタンスを更新して、新しいインスタンスが起動されたときにファイルシステムをマウントします。

回答: BDE

説明:
シナリオの要件を満たすには、企業は次の手順を実行する必要があります。

Amazon FSx for NetApp ONTAP マルチ AZ ファイルシステムを作成する (オプション B): Amazon FSx for NetApp ONTAP は SMB (Windows 用) と NFS (Linux 用) の両方をサポートし、1 ミリ秒未満のレイテンシを提供します。また、高可用性と耐久性のためにマルチ AZ 構成もサポートしています。
各アプリケーションの起動テンプレートのユーザーデータを更新してファイルシステムをマウントする (オプション D): これにより、Auto Scaling グループによって起動されるすべての新しいインスタンスにファイルシステムがマウントされます。
各 Auto Scaling グループでインスタンスの更新を実行する (オプション E): これにより、既存のインスタンスが新しい起動テンプレート構成で更新され、ファイルシステムがマウントされます。

278 / 363

278.

No.278
ある企業は、セキュリティチームと DevOps チームが管理する AWS Organizations 内の組織を使用しています。どちらのチームも、AWS IAM Identity Center を使用してアカウントにアクセスします。
各チームに専用のグループが作成されています。DevOps チームのグループには、DevOps という名前の権限セットが割り当てられています。権限セットには、AdministratorAccess 管理 IAM ポリシーが添付されています。権限セットは、組織内のすべてのアカウントに適用されています。
セキュリティチームは、DevOps チームが組織の管理アカウントの IAM Identity Center にアクセスできないようにしたいと考えています。セキュリティチームは、次の SCP を組織のルートに添付しました。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyIAMIdentityCenter",
"Effect": "Deny",
"Action": [
"sso:*",
"sso-directory:*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/AWSReservedSSO_DevOps_*"
]
}
}
}
]
}

ポリシーを実装した後、セキュリティチームは DevOps チームが引き続き IAM Identity Center にアクセスできることを発見しました。
どのソリューションで問題を解決できますか?

A. 組織の管理アカウントで、新しい OU を作成します。組織の管理アカウントを新しい OU に移動します。組織のルートから SCP をデタッチします。SCP を新しい OU にアタッチします。

B. 組織の管理アカウントで、DevOps チームのグループロールの ARN への SCP 条件参照を更新して、組織の管理アカウントの AWS アカウント ID を含めます。

C. IAM Identity Center で、新しいアクセス許可セットを作成します。割り当てられたポリシーにフルアクセスがあることを確認しますが、sso:* アクションと sso-directory:* アクションのアクセス許可は明示的に拒否します。組織の管理アカウントで、DevOps チームのグループロールに割り当てられたアクセス許可セットを更新します。SCP を削除します。

D. IAM Identity Center で、DevOps アクセス許可セットを更新します。割り当てられたポリシーにフルアクセスがあることを確認しますが、sso:* アクションと sso-directory:* アクションの権限は明示的に拒否されます。Deny ステートメントで、aws:SourceAccount グローバル条件コンテキストキーと組織の管理アカウント IDelete を比較する StringEquals 条件を追加します。SCP を削除します。

回答: D

説明:
A と B は機能しません。SCP は管理アカウントには適用されません。
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html
ベストプラクティスは、管理アカウントへのアクセスを制限するか、Identity Centro に別のメンバーアカウントを委任することです。ただし、これらの回答ではそれが選択肢ではないため、権限セットを制限することが次善策です。

279 / 363

279.

No.279
Amazon EC2 Auto Scaling グループは、AMI から作成された EC2 インスタンスを管理します。AMI には AWS Systems Manager Agent がインストールされています。 EC2 インスタンスが Auto Scaling グループに起動されると、EC2 インスタンスにタグが適用されます。
Auto Scaling グループによって起動される EC2 インスタンスには、正しいオペレーティングシステム構成が必要です。
これらの要件を満たすソリューションはどれですか

A. 必要なインスタンス構成を構成する Systems Manager Run Command ドキュメントを作成します。EC2 インスタンスが最新のパッチに準拠していない場合に、Systems Manager Compliance を設定して Run Command ドキュメントを呼び出します。

B. Systems Manager コマンドドキュメントにリンクする Systems Manager State Manager の関連付けを作成します。すぐに実行されるタグクエリを作成します。

C. 必要なインスタンス構成を指定する Systems Manager Run Command タスクを作成します。Systems Manager Maintenance Windows に、毎日実行されるメンテナンスウィンドウを作成します。メンテナンスウィンドウに対して Run Command タスクを登録します。ターゲットを指定します。

D. Auto Scaling グループが適用するのと同じタグを使用する Systems Manager Patch Manager パッチベースラインとパッチグループを作成します。パッチグループをパッチベースラインに登録します。インスタンスにパッチを適用するための Systems Manager コマンドドキュメントを定義します。Systems Manager Run Command を使用してドキュメントを呼び出します。

回答: B

説明:
オプション B: Systems Manager コマンドドキュメントにリンクする Systems Manager State Manager の関連付けを作成します。すぐに実行されるタグクエリを作成します。

理由は次のとおりです。

State Manager を使用すると、インスタンスの一貫した構成を定義および維持できます。コマンドドキュメントにリンクする関連付けを作成することで、インスタンスが起動されるとすぐに目的の構成が適用されることを保証できます。
タグクエリを使用すると、Auto Scaling グループによって適用されるタグに基づいて、正しいインスタンスに構成が適用されます。

280 / 363

280.

No.280
ある会社では、AWS Organizations を使用して AWS アカウントを管理しています。組織のルートには、Department という子 OU があります。Department OU には、Engineering という子 OU があります。デフォルトの FullAWSAccess ポリシーは、ルート、Department OU、および Engineering OU にアタッチされています。
この会社には、Engineering OU に多数の AWS アカウントがあります。各アカウントには、AdministratorAccess IAM ポリシーがアタッチされた管理 IAM ロールがあります。デフォルトの FullAWSAccessPolicy も各アカウントにアタッチされています。
DevOps エンジニアは、Department OU から FullAWSAccess ポリシーを削除する予定です。DevOps エンジニアは、すべての Amazon EC2 API 操作に対する Allow ステートメントを含むポリシーにポリシーを置き換えます。
この変更の結果、管理 1AM ロールの権限はどうなりますか?

A. すべてのリソースに対するすべての API アクションが許可されます。

B. EC2 リソースに対するすべての API アクションが許可されます。その他のすべての API アクションは拒否されます。

C. すべてのリソースに対するすべての API アクションは拒否されます。

D. EC2 リソースに対するすべての API アクションは拒否されます。その他のすべての API アクションは許可されます。

回答: B

説明:
FullAWSAccess ポリシーが EC2 アクションのみを許可するポリシーに置き換えられると、この新しい SCP は境界として機能します。アカウント内の IAM ロールまたはユーザーに、より広範な権限セット (AdministratorAccess など) がある場合でも、SCP によって実行できる内容が制限されます。

281 / 363

281.

No.281
ある会社が AWS Organizations で AWS アカウントを管理しています。この会社には、Amazon CloudWatch Logs データを専用の AWS アカウントの Amazon S3 バケットに送信するソリューションが必要です。このソリューションは、既存および将来のすべての CloudWatch Logs ロググループをサポートする必要があります。
これらの要件を満たすソリューションはどれですか?

A. Organizations のバックアップポリシーを有効にして、すべてのロググループを専用の S3 バケットにバックアップします。会社に属するすべてのアカウントからのアクセスを許可する S3 バケットポリシーを追加します。

B. AWS Backup でバックアッププランを作成します。専用の S3 バケットをバックアップボールトとして指定します。すべての CloudWatch Logs ロググループリソースをバックアッププランに割り当てます。会社に属するすべてのアカウントのバックアッププランにリソース割り当てを作成します。

C. AWS Backup でバックアッププランを作成します。専用の S3 バケットをバックアップボールトとして指定します。既存のすべてのロググループをバックアッププランに割り当てます。会社に属するすべてのアカウントのバックアッププランにリソース割り当てを作成します。ロググループをバックアッププランに割り当てる AWS Systems Manager Automation ランブックを作成します。すべての非準拠ロググループに対する自動修復アクションを含む AWS Config ルールを作成します。ランブックをルールのターゲットとして指定します。

D. 専用の AWS アカウントに CloudWatch Logs の送信先と Amazon Kinesis Data Firehose 配信ストリームを作成します。配信ストリームの送信先として S3 バケットを指定します。すべてのアカウントの既存のすべてのロググループにサブスクリプションフィルターを作成します。CloudWatch Logs PutSubscriptionFilter API オペレーションを呼び出す AWS Lambda 関数を作成します。CreateLogGroup イベントが発生したときに Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。

回答: D

説明:
C は最もエレガントなソリューションのように思えますが、それをサポートするドキュメントを見つけることができませんでした。

オプション D については、次のリンクを見つけました - https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SubscriptionFilters.html#FirehoseExample

282 / 363

282.

No.282
DevOps エンジニアは、AWS Fargate 上の Amazon Elastic Container Service (Amazon ECS) クラスターで実行される Java ベースのアプリケーションを管理しています。アプリケーションには自動スケーリングが設定されていません。
DevOps エンジニアは、Java 仮想マシン (JVM) スレッド数が、アプリケーションをスケールするタイミングを示す優れた指標であると判断しました。アプリケーションはポート 8080 で顧客トラフィックを処理し、ポート 9404 で JVM メトリクスを利用できるようにします。
アプリケーションの使用が最近増加しています。DevOps エンジニアは、アプリケーションの自動スケーリングを設定する必要があります。
どのソリューションが、運用オーバーヘッドが最も少なく、これらの要件を満たしますか? (2 つ選択してください)。

A. Amazon CloudWatch エージェントをコンテナサイドカーとしてデプロイします。ポート 9404 から JVM メトリクスを取得するように CloudWatch エージェントを設定します。アプリケーションをスケールするために、JVM スレッド数メトリクスに CloudWatch アラームを作成します。Fargate にステップスケーリングポリシーを追加して、CloudWatch アラームに基づいてスケールアップおよびスケールダウンします。

B. Amazon CloudWatch エージェントをコンテナサイドカーとしてデプロイします。CloudWatch エージェントの CloudWatch ロググループで、JVM スレッド数メトリクスのメトリクスフィルターを設定します。Fargate でターゲット追跡ポリシーを追加します。スケールターゲットとしてメトリクスフィルターからメトリクスを選択します。

C. Amazon Managed Service for Prometheus ワークスペースを作成します。AWS Distro for OpenTelemetry をコンテナサイドカーとしてデプロイし、ポート 9404 から JVM メトリクスを Prometheus ワークスペースに公開します。ワークスペースのルールを設定して、JVM スレッド数メトリクスを使用してアプリケーションをスケーリングします。Fargate でステップスケーリングポリシーを追加します。スケールアップとスケールダウンを行う Prometheus ルールを選択します。

D. Amazon Managed Service for Prometheus ワークスペースを作成します。AWS Distro for OpenTelemetry をコンテナサイドカーとしてデプロイし、ポート 9404 から JVM メトリクスを取得し、ポート 9404 から JVM メトリクスを Prometheus ワークスペースに公開します。Fargate でターゲット追跡ポリシーを追加します。スケールターゲットとして Prometheus メトリクスを選択します。

回答: AD

説明:
次のリンクに基づくと、A と D はどちらも実行可能です:
https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-step-scaling-policies.html
https://aws.amazon.com/blogs/containers/autoscaling-amazon-ecs-services-based-on-custom-metrics-with-application-auto-scaling/

283 / 363

283.

No.283
ある会社には、単一の AWS リージョンで実行されるアプリケーションがあります。アプリケーションは Amazon Elastic Kubernetes Service (Amazon EKS) クラスターで実行され、Amazon Aurora MySQL クラスターに接続します。アプリケーションは AWS CodeBuild プロジェクトで構築されています。コンテナイメージは Amazon Elastic Container Registry (Amazon ECR) に公開されます。
会社は、コンテナイメージとデータベースのアプリケーションの状態を 2 番目のリージョンに複製する必要があります。
どのソリューションが最も運用効率の高い方法でこれらの要件を満たしますか?

A. ECR コンテナイメージを保持するバケットで Amazon S3 クロスリージョンレプリケーション (CRR) をオンにします。Kubernetes デプロイメントファイルでコンテナイメージの新しい S3 バケットオブジェクト URL を参照して、アプリケーションを 2 番目のリージョンの EKS クラスターにデプロイします。2 番目のリージョンでクロスリージョン Aurora レプリカを構成します。クロスリージョン Aurora レプリカのエンドポイントを使用するように新しいアプリケーションデプロイメントを構成します。

B. ECR リポジトリへのイメージのプッシュに反応する Amazon EventBridge ルールを作成します。EventBridge ルールを設定して、AWS Lambda 関数を呼び出して、イメージを 2 番目のリージョンの新しい ECR リポジトリにレプリケートします。Kubernetes デプロイメントファイルで新しい ECR リポジトリを参照して、アプリケーションを 2 番目のリージョンの EKS クラスターにデプロイします。2 番目のリージョンにクロスリージョン Aurora レプリカを設定します。クロスリージョン Aurora レプリカのエンドポイントを使用するように、新しいアプリケーションデプロイメントを設定します。

C. クロスリージョンレプリケーションをオンにして、ECR リポジトリを 2 番目のリージョンにレプリケートします。Kubernetes デプロイメントファイルで新しい ECR リポジトリを参照して、アプリケーションを 2 番目のリージョンの EKS クラスターにデプロイします。最初のリージョンと 2 番目のリージョンのクラスターを使用して Aurora グローバルデータベースを設定します。Aurora グローバルデータベースで 2 番目のリージョンのクラスターのエンドポイントを使用するように、新しいアプリケーションデプロイメントを設定します。

D. CodeBuild プロジェクトを設定して、コンテナイメージを 2 番目のリージョンの ECR リポジトリにもプッシュします。 Kubernetes デプロイメントファイルで新しい ECR リポジトリを参照して、アプリケーションを 2 番目のリージョンの EKS クラスターにデプロイします。最初のリージョンの Aurora MySQL クラスターからのバイナリログレプリケーションのターゲットとして、2 番目のリージョンの Aurora MySQL クラスターを設定します。2 番目のリージョンのクラスターのエンドポイントを使用するように、新しいアプリケーションデプロイメントを設定します。

回答: C

説明:
これが最も運用効率が高い理由:

• 最小限の管理オーバーヘッド: AWS は、ECR イメージと Aurora データベースの両方のレプリケーションを管理します。追加の Lambda 関数や EventBridge ルールを設定または維持する必要はありません。

• スケーラビリティ: Aurora グローバルデータベースと ECR レプリケーションは、本番環境レベルのシステム向けに設計されており、大規模なワークロードに合わせて拡張できます。

• 信頼性: このソリューションは AWS ネイティブの機能を活用し、エラーや運用中断の可能性を減らします。

284 / 363

284.

No.284
ある会社が、AWS Lambda 関数を使用してデータを処理するサーバーレスアプリケーションを構築しています。
BeginResponse Lambda 関数は、特定のアプリケーションイベントに応答してデータを初期化します。この会社では、BeginResponse Lambda 関数の実行後に多数の Lambda 関数が呼び出されるようにする必要があります。各 Lambda 関数は並列で呼び出され、BeginResponse Lambda 関数の出力のみに依存します。各 Lambda 関数には呼び出しの再試行ロジックがあり、データを失うことなく同時実行を微調整できる必要があります。
どのソリューションがこれらの要件を最も効率的に満たしますか?

A. Amazon Simple Notification Service (Amazon SNS) トピックを作成します。BeginResponse Lambda 関数が実行を終了する前に SNS トピックにパブリッシュするように BeginResponse Lambda 関数を変更します。BeginResponse Lambda 関数の実行後に呼び出す必要があるすべての Lambda 関数を SNS トピックにサブスクライブします。新しい Lambda 関数を SNS トピックにサブスクライブします。

B. BeginResponse Lambda 関数の実行後に実行する必要がある各 Lambda 関数に対して、Amazon Simple Queue Service (Amazon SQS) キューを作成します。各 Lambda 関数を独自の SQS キューにサブスクライブします。Amazon Simple Notification Service (Amazon SNS) トピックを作成します。各 SQS キューを SNS トピックにサブスクライブします。BeginResponse 関数を変更して、実行が終了したら SNS トピックにパブリッシュします。

C. BeginResponse Lambda 関数の実行後に実行する必要がある各 Lambda 関数に対して、Amazon Simple Queue Service (Amazon SQS) キューを作成します。Lambda 関数を SQS キューにサブスクライブします。各 SQS キューに対して、Amazon Simple Notification Service (Amazon SNS) トピックを作成します。SQS キューを SNS トピックにサブスクライブします。関数の実行が終了したら SNS トピックにパブリッシュするように、BeginResponse 関数を変更します。

D. AWS Step Functions 標準ワークフローを作成します。ワークフロー内の状態を設定して、Lambda 関数を順番に呼び出します。Amazon Simple Notification Service (Amazon SNS) トピックを作成します。 BeginResponse Lambda 関数を変更して、Lambda 関数の実行が完了する前に SNS トピックにパブリッシュします。SNS トピックにサブスクライブされ、Step Functions ワークフローを呼び出す新しい Lambda 関数を作成します。

回答: B

説明:
B の動作:

1. BeginResponse 関数: 処理が完了すると、単一の SNS トピックにパブリッシュします。

2. SNS ファンアウト: SNS トピックは、依存する Lambda 関数ごとに 1 つずつ、複数の SQS キューにメッセージを送信します。

3. SQS キューと Lambda: 各 Lambda 関数は、それぞれの SQS キューにサブスクライブされ、メッセージを個別に処理します。

4. 再試行と同時実行: SQS キューは、処理が失敗した場合にメッセージが再試行されるようにし、キューごとに Lambda 同時実行を調整できます。

285 / 363

285.

No.285
ある企業が、複数の AWS リージョンからグローバルに展開された製品を運用しています。同社の DevOps チームは、Amazon API Gateway を使用して、製品をサポートする API を展開する必要があります。
API は冗長的に展開する必要があります。展開では、各企業の場所から独立した可用性を提供する必要があります。展開では、カスタムドメイン URL に応答する必要があり、API ユーザーリクエストのパフォーマンスを最適化する必要もあります。
これらの要件を満たすソリューションはどれですか?

A. us-east-1 リージョンに API Gateway エッジ最適化 API エンドポイントを展開します。API 用の API Gateway カスタムドメインを作成します。API のカスタムドメイン用に、地理的近接性ルーティングポリシーを使用して Amazon Route 53 レコードセットを作成します。地理的バイアスを最大許容値まで増やします。

B. us-east-1 リージョンに API Gateway リージョナル API エンドポイントを展開します。API Gateway API をパブリックアプリケーションロードバランサー (ALB) と統合します。AWS Global Accelerator 標準アクセラレーターを作成します。エンドポイントを AL に関連付けます。カスタムドメイン名をアクセラレータに割り当てられた DNS 名にポイントする Amazon Route 53 エイリアスレコードセットを作成します。

C. 会社の製品がデプロイされているすべての AWS リージョンに API Gateway リージョナル API エンドポイントをデプロイします。デプロイされた API Gateway API 用に、各リージョンに API Gateway カスタムドメインを作成します。デプロイされたすべての API Gateway カスタムドメインのレイテンシールーティングポリシーを持つ Amazon Route 53 レコードセットを作成します。

D. us-east-1 リージョンに API Gateway エッジ最適化 API エンドポイントをデプロイします。Amazon CloudFront ディストリビューションを作成します。代替ドメイン名を使用して CloudFront ディストリビューションを設定します。API Gateway 呼び出し URL をオリジンドメインとして指定します。シンプルなルーティングポリシーを使用して Amazon Route 53 エイリアスレコードセットを作成します。ルーティングポリシーを CloudFront ディストリビューションドメイン名にポイントします。

回答: C

説明:
1. **Amazon API Gateway を複数のリージョンにデプロイする**:
- 冗長性と独立した可用性を確保するために、API Gateway を複数の AWS リージョンにデプロイします。
2. **API Gateway のカスタムドメイン名を設定する**:
- API Gateway でカスタムドメイン名を作成し、各リージョンの API にマッピングします。
3. **グローバル DNS とレイテンシーベースのルーティングに Amazon Route 53 を使用する**:
- Amazon Route 53 を使用してカスタムドメインのグローバル DNS エントリを作成し、レイテンシーベースのルーティングを設定して、ユーザーリクエストを最も近い API Gateway デプロイメントに誘導します。

286 / 363

286.

No.286
DevOps エンジニアは、AWS CodeBuild を使用してソフトウェアパッケージを頻繁に作成します。CodeBuild プロジェクトは、DevOps エンジニアが複数のビルドで使用できる大規模な Docker イメージをビルドします。
DevOps エンジニアは、ビルドのパフォーマンスを向上させ、コストを最小限に抑えたいと考えています。
これらの要件を満たすソリューションはどれですか?

A. Docker イメージを Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存します。CodeBuild 用のローカル Docker レイヤーキャッシュを実装します。

B. 複数のビルドホストで使用できる Amazon S3 バケットに Docker イメージをキャッシュします。 S3 ライフサイクルポリシーを使用してキャッシュを期限切れにします。

C. Docker イメージを Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存します。CodeBuild プロジェクトのランタイム構成を変更して、常に最新のイメージバージョンを使用します。

D. キャッシュされた Docker イメージを含むカスタム AMI を作成します。CodeBuild ビルドで、カスタム AMI から Amazon EC2 インスタンスを起動します。

回答: A

説明:
1. 集中ストレージ用の Amazon ECR:
• Amazon ECR に Docker イメージを保存すると、ビルド間でイメージを維持および再利用できます。これにより、ベースイメージを繰り返し再構築する必要性が減り、ビルドのパフォーマンスが向上します。
• ECR は AWS CodeBuild とシームレスに統合されるため、コンテナイメージを管理するためのスケーラブルでコスト効率の高いソリューションになります。
2. ローカル Docker レイヤーキャッシュ:
• Docker レイヤーキャッシュにより、変更されていないレイヤーの再ダウンロードや再作成が回避されるため、ビルド時間が大幅に短縮されます。
• CodeBuild は、タイプ: LOCAL_DOCKER_LAYER_CACHE によるローカルキャッシュの有効化をサポートしています。このキャッシュにより、中間イメージレイヤーがビルドホスト上にローカルに保存され、後続のビルドが高速化されます。

287 / 363

287.

No.287
最近、大企業が中小企業を買収しました。大企業は、中小企業を AWS Organizations 内の大企業の既存の組織に新しい OU として参加するよう招待しました。
DevOps エンジニアは、中小企業が会社のアプリケーションワークロード用に t3.small Amazon EC2 インスタンスタイプを起動する必要があると判断しました。中小企業は、インスタンスを米国ベースの AWS リージョン内でのみデプロイする必要があります。
DevOps エンジニアは、中小企業が必要なインスタンスタイプのみを起動できるように、中小企業の新しい OU で SCP を使用する必要があります。
これらの要件を満たすソリューションはどれですか?

A. ec2:InstanceType 条件が t3.small と等しくない場合、すべての EC2 インスタンスリソースの ec2:RunInstances アクションを拒否するステートメントを構成します。 aws:RequestedRegion 条件が us-* と等しくない場合、すべての EC2 インスタンスリソースの ec2:RunInstances アクションを拒否する別のステートメントを構成します。

B. ec2:InstanceType 条件が t3.small と等しくない場合に、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを許可するステートメントを設定します。 aws:RequestedRegion 条件が us-* と等しくない場合に、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを許可する別のステートメントを設定します。

C. ec2:InstanceType 条件が t3.small と等しい場合に、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを拒否するステートメントを設定します。 aws:RequestedRegion 条件が us-* と等しい場合に、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを拒否する別のステートメントを設定します。

D. ec2:InstanceType 条件が t3.small と等しい場合に、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを許可するステートメントを設定します。 aws:RequestedRegion 条件が us-* に等しい場合に、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを許可する別のステートメントを構成します。

回答: A

説明:
ec2:InstanceType 条件が t3.small に等しくない場合は、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを拒否します

aws:RequestedRegion 条件が us-* に等しくない場合は、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを拒否します

288 / 363

288.

No.288
DevOps チームがアプリケーションのインフラストラクチャを管理しています。アプリケーションは、Amazon Simple Queue Service (Amazon SQS) キューからのアイテムを処理するために、長時間実行されるプロセスを使用します。アプリケーションは、Auto Scaling グループにデプロイされています。
アプリケーションで最近、アイテムの処理に大幅に時間がかかる問題が発生しました。キューが予想サイズを超えたため、さまざまなビジネスプロセスが正常に機能しなくなりました。アプリケーションは、すべてのログをサードパーティツールに記録します。
チームは現在、アラートに使用する Amazon Simple Notification Service (Amazon SNS) トピックをサブスクライブしています。キューが予想サイズを超えた場合、チームにアラートを送信する必要があります。
どのソリューションがこれらの要件を最も効率的に満たしますか?

A. 1 時間の周期と静的しきい値を持つ Amazon CloudWatch メトリクスアラームを作成し、 approximateNumberOfMessagesDelayed メトリクスの平均が予想値より大きい場合にアラームを発します。アラームを設定して SNS トピックに通知します。

B. 1 時間の周期と静的しきい値を持つ Amazon CloudWatch メトリクスアラームを作成し、 approximateNumberOfMessagesVisible メトリクスの合計が予想値より大きい場合にアラームを発します。アラームを設定して SNS トピックに通知します。

C. approximateNumberOfMessages SQS キュー属性値を取得し、その値を新しい CloudWatch カスタムメトリクスとして公開する AWS Lambda 関数を作成します。 5 分ごとに実行するようにスケジュールされ、Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。新しいカスタムメトリクスの合計が予想値より大きい場合にアラームを鳴らすために、1 時間の期間と静的しきい値を持つ CloudWatch メトリクスアラームを設定します。

D. approximateNumberOfMessagesDelayed SQS キュー属性をチェックし、その値を関数で定義された予想サイズと比較する AWS Lambda 関数を作成します。5 分ごとに実行するようにスケジュールされ、Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。approximateNumberOfMessagesDelayed SQS キュー属性が予想サイズを超えると、SNS トピックに通知を送信します。

回答: B

説明:
CloudWatch アラームと Lambda 関数の間では、CloudWatch アラームの方が運用的です。ここで重要な点は、 approximateNumberOfMessagesVisible は処理されるメッセージの数に対応し、 approximateNumberOfMessagesDelayed は遅延していてすぐに読み取ることができないキュー内のメッセージの数であるということです。それに基づくと、 B になります。

289 / 363

289.

No.289
ある大企業が、複数の AWS アカウントで重要なワークロードを実行しています。AWS アカウントは、すべての機能が有効になっている AWS Organizations で管理されています。同社は、機密の顧客データを Amazon S3 バケットに保存しています。S3 バケットへのアクセスには、複数のレベルの承認が必要です。
同社は、AWS CLI を使用して S3 バケットへのアクセスを監視したいと考えています。また、AWS アカウント内の他のすべての S3 バケットで他のユーザーが実行したさまざまなアクティビティに関する洞察を得て、問題を検出したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. 各 AWS アカウントで Amazon CloudWatch に配信される AWS CloudTrail 証跡を作成します。すべての S3 バケットのデータイベントログを有効にします。すべての AWS アカウントで異常検出を行うために Amazon GuardDuty を使用します。Amazon Athena を使用して、CloudTrail ログから作成されたカスタムメトリクスに対して SQL クエリを実行します。

B. Organizations 管理アカウントで Amazon CloudWatch に配信される AWS CloudTrail 組織証跡を作成します。すべての S3 バケットのデータイベントログを有効にします。すべての AWS アカウントで Amazon CloudWatch 異常検出を使用します。Amazon Athena を使用して、CloudTrail ログから作成されたカスタムメトリックに対して SQL クエリを実行します。

C. Organizations 管理アカウントで Amazon CloudWatch に配信される AWS CloudTrail 組織証跡を作成します。すべての S3 バケットのデータイベントログを有効にします。すべての AWS アカウントで Amazon CloudWatch 異常検出を使用します。Amazon CloudWatch Metrics Insights を使用して、CloudTrail ログから作成されたカスタムメトリックに対して SQL クエリを実行します。

D. 各 AWS アカウントで Amazon CloudWatch に配信される AWS CloudTrail 証跡を作成します。すべての S3 バケットのデータイベントログを有効にします。すべての AWS アカウントで異常検出用のカスタムソリューションを使用します。Amazon CloudWatch Metrics Insights を使用して、CloudTrail ログから作成されたカスタムメトリックに対して SQL クエリを実行します。

回答: C

説明:
Athena は S3 バケットでのみクエリを実行でき、CloudWatch メトリックでは実行できません。

290 / 363

290.

No.290
DevOps チームは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスター上のアプリケーション用のマイクロサービスをデプロイしています。クラスターはマネージドノードグループを使用します。DevOps チームは、特定の CPU 使用率に基づいてマイクロサービスポッドの自動スケーリングを有効にしたいと考えています。DevOps チームは、クラスターに Kubernetes Metrics Server をすでにインストールしています。
どのソリューションが、これらの要件を最も運用効率の高い方法で満たしますか?

A. EKS クラスターのワーカーノードに関連付けられている Auto Scaling グループを編集します。Auto Scaling グループの平均 CPU 使用率が特定のパーセンテージに達したときにスケーリングするターゲット追跡スケーリングポリシーを使用するように Auto Scaling グループを構成します。

B. Kubernetes Horizontal Pod Autoscaler (HPA) と Kubernetes Vertical Pod Autoscaler (VPA) をクラスターにデプロイします。HPA をターゲット CPU 使用率に基づいてスケーリングするように構成します。VPA をレコメンダーモード設定を使用するように構成します。

C. AWS Systems Manager の AWS-UpdateEKSManagedNodeGroup Automation ドキュメントを実行します。NodeGroupDesiredSize、NodeGroupMaxSize、および NodeGroupMinSize の値を、必要なノードサイズの見積もりに基づいて変更します。

D. Kubernetes Horizontal Pod Autoscaler (HPA) と Kubernetes Cluster Autoscaler をクラスターにデプロイします。HPA が目標 CPU 使用率に基づいてスケーリングするように構成します。Cluster Autoscaler が自動検出設定を使用するように構成します。

回答: D

説明:
オプション D が正しい理由:

Horizontal Pod Autoscaler (HPA):
HPA は、観測された CPU またはメモリ使用率、またはカスタムメトリックに基づいて、Kubernetes Deployment、ReplicaSet、または StatefulSet 内の Pod の数を自動的に調整します。
Kubernetes Metrics Server がすでにインストールされている場合、HPA は CPU 使用率メトリックを監視し、目標 CPU 使用率を維持するように Pod をスケーリングできます。
Cluster Autoscaler:
HPA によってポッドの数が増え、クラスターに十分なリソースがない場合、Cluster Autoscaler は管理対象ノードグループにノードを動的に追加します。
自動検出機能により、Cluster Autoscaler は適切なノードグループを自動的に検出し、必要に応じてスケールアップまたはスケールダウンできます。
運用効率:
この組み合わせにより、ポッドは最初にワークロードレベル (HPA) でスケールされ、次に必要な場合にのみインフラストラクチャレベル (Cluster Autoscaler) でスケールされます。このアプローチにより、コストが最小限に抑えられ、最適なリソース使用率が保証されます。

291 / 363

291.

No.291
ある会社には複数の AWS アカウントがあります。この会社は、サードパーティの SAML 2.0 アイデンティティプロバイダー (IdP) と統合された AWS IAM Identity Center を使用しています。
IAM Identity Center では、アクセス制御機能の属性が有効になっています。属性マッピングリストは、IdP の部門キーを ${path:enterprise.department} 属性にマッピングします。既存のすべての Amazon EC2 インスタンスには、会社の 3 つの部門に対応する d1、d2、d3 部門タグがあります。
DevOps エンジニアは、一致する属性に基づいてポリシーを作成する必要があります。ポリシーでは、各ユーザーに、ユーザーのそれぞれの部門名でタグ付けされた EC2 インスタンスのみへのアクセスを許可する必要があります。
これらの要件を満たすために、DevOps エンジニアはカスタム権限ポリシーにどの条件キーを含める必要がありますか?

A. { "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "department" ] } } }

B. { "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } } }

C. { "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } } }

D. { "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": [ "d1", "d2", "d3" ] } } }

回答: C

説明:
aws:PrincipalTag 条件キーでもまったく同じ名前にする必要があります (つまり、「ec2:ResourceTag/CostCenter」: 「${aws:PrincipalTag/CostCenter}」)。

292 / 363

292.

★No.292
セキュリティチームは、AWS CloudTrail を使用して、AWS Organizations 内の同じ組織にある複数のアカウントのすべてのアクションと API 呼び出しを監視したいと考えています。セキュリティチームは、アカウントユーザーがアカウントで CloudTrail をオフにできないようにする必要があります。
この要件を満たすソリューションはどれですか?

A. すべての OU に SCP を適用して、cloudtrail:StopLogging アクションと cloudtrail:DeleteTrail アクションを拒否します。

B. 各アカウントで IAM ポリシーを作成し、cloudtrail:StopLogging アクションと cloudtrail:DeleteTrail アクションを拒否します。

C. ユーザーがアカウントで CloudTrail を無効にしたときにセキュリティチームに通知するように、Amazon CloudWatch アラームを設定します。

D. ユーザーがアカウントで CloudTrail を無効にした場合、AWS Config を使用して CloudTrail を自動的に再度有効にします。

293 / 363

293.

No.293
DevOps エンジニアは、既存の 3 層アプリケーション用にブルー/グリーンデプロイメントを構成する必要があります。アプリケーションは Amazon EC2 インスタンス上で実行され、Amazon RDS データベースを使用します。EC2 インスタンスは、Application Load Balancer (ALB) の背後で実行され、Auto Scaling グループ内にあります。
DevOps エンジニアは、ブルー環境とグリーン環境用に起動テンプレート、Auto Scaling グループ、および ALB ターゲットグループを作成しました。各ターゲットグループは、EC2 インスタンスにロードされるアプリケーションバージョン (ブルーまたはグリーン) を指定します。www.example.com の Amazon Route 53 レコードは ALB を指します。
デプロイメントでは、トラフィックをブルー環境からグリーン環境に一度にすべて移行する必要があります。
これらの要件を満たすソリューションはどれですか?

A. グリーン環境の Auto Scaling グループのローリング再起動を開始して、新しいアプリケーションバージョンをグリーン環境の EC2 インスタンスにデプロイします。ローリング再起動が完了したら、AWS CLI コマンドを使用して ALB を更新し、トラフィックをグリーン環境のターゲットグループに送信します。

B. AWS CLI コマンドを使用して、ALB を更新し、トラフィックをグリーン環境のターゲットグループに送信します。グリーン環境の Auto Scaling グループのローリング再起動を開始して、新しいアプリケーションバージョンをグリーン環境の EC2 インスタンスにデプロイします。

C. 起動テンプレートを更新して、グリーン環境のアプリケーションバージョンをブルー環境の EC2 インスタンスにデプロイします。どちらの環境でも、ターゲットグループまたは Auto Scaling グループを変更しないでください。ブルー環境の EC2 インスタンスのローリング再起動を実行します。

D. グリーン環境の Auto Scaling グループのローリング再起動を開始して、新しいアプリケーションバージョンをグリーン環境の EC2 インスタンスにデプロイします。ローリング再起動が完了したら、ALB 上のグリーン環境のエンドポイントを指すように Route 53 を更新します。

回答: A

説明:
もちろん、「A」です。まず、新しい (つまり「グリーン」) クラスターを新しいバージョンで更新します。その後、ALB のトラフィックを最初のターゲットグループから 2 番目のターゲットグループに移行します。

294 / 363

294.

No.294
ある会社には、Auto Scaling グループの Amazon EC2 インスタンスで実行されるアプリケーションがあります。このアプリケーションは、Amazon Simple Queue Service (Amazon SQS) キューからの大量のメッセージを処理します。
DevOps エンジニアは、アプリケーションが SQS キューからの一連のメッセージを処理するのに数時間かかることに気付きました。Auto Scaling グループの平均 CPU 使用率は、メッセージを処理する際にターゲット追跡スケーリングポリシーのしきい値を超えませんでした。SQS キューを処理するアプリケーションは、ログを「Amazon CloudWatch Logs」に発行します。
DevOps エンジニアは、キューが迅速に処理されるようにする必要があります。
どのソリューションが、運用オーバーヘッドが最も少なく、これらの要件を満たしていますか?

A. AWS Lambda 関数を作成します。各インスタンスのキューメッセージを発行するために、approximateNumberOfMessagesVisible SQS キュー属性と GroupInServiceInstances Auto Scaling グループ属性を使用して、カスタムメトリックを発行するように Lambda 関数を設定します。 Amazon EventBridge ルールをスケジュールして、Lambda 関数を 1 時間ごとに実行します。カスタムメトリックを使用してスケールインおよびスケールアウトする Auto Scaling グループのターゲット追跡スケーリングポリシーを作成します。

B. AWS Lambda 関数を作成します。各インスタンスのキューメッセージを発行するために、approximateNumberOfMessagesVisible SQS キュー属性と GroupInServiceInstances Auto Scaling グループ属性を使用してカスタムメトリックを発行するように Lambda 関数を設定します。Lambda 関数をターゲットとして、アプリケーションログの CloudWatch サブスクリプションフィルターを作成します。カスタムメトリックを使用してスケールインおよびスケールアウトする Auto Scaling グループのターゲット追跡スケーリングポリシーを作成します。

C. Auto Scaling グループのターゲット追跡スケーリングポリシーを作成します。ターゲット追跡ポリシーで、approximateNumberOfMessagesVisible SQS キュー属性と GroupInServiceInstances Auto Scaling グループ属性を使用して、メトリック計算によってインスタンスの数ごとにキュー内のメッセージ数を計算します。計算された属性を使用してスケールインおよびスケールアウトします。

D. SQS キューの approximateNumberOfMessagesVisible 属性を CloudWatch Logs ロググループに記録する AWS Lambda 関数を作成します。Amazon EventBridge ルールをスケジュールして、Lambda 関数を 5 分ごとに実行します。CloudWatch ロググループからのログイベントの数をカウントするメトリックフィルターを作成します。カスタムメトリックを使用してスケールインおよびスケールアウトする Auto Scaling グループのターゲット追跡スケーリングポリシーを作成します。

回答: C

説明:
オプション C が正しい理由:
• ターゲット追跡スケーリングポリシー: 質問では、スケーリングポリシーがキューを迅速に処理するのに役立つ必要があると指定されています。メトリック計算を使用して approximateNumberOfMessagesVisible SQS キュー属性と GroupInServiceInstances Auto Scaling グループ属性を組み合わせると、実際のメッセージ数と使用可能なインスタンスに基づいて効率的にスケーリングできます。
• Auto Scaling との直接統合: このソリューションは Auto Scaling グループのターゲット追跡ポリシーと直接統合されるため、EC2 インスタンスのスケーリングは SQS からのメトリクスに基づいて自動的かつ動的に行われ、メッセージの処理が高速化されます。

295 / 363

295.

★No.295
ある会社には、単一の AWS リージョンで数百の Amazon EC2 インスタンスを実行する単一の AWS アカウントがあります。会社は、1 時間ごとに新しい EC2 インスタンスを起動および終了します。アカウントには、1 週間以上実行されている既存の EC2 インスタンスが含まれます。
会社のセキュリティポリシーでは、実行中のすべての EC2 インスタンスに EC2 インスタンスプロファイルをアタッチする必要があります。会社はデフォルトの EC2 インスタンスプロファイルを作成しました。プロファイルがアタッチされていないすべての EC2 インスタンスには、デフォルトの EC2 インスタンスプロファイルをアタッチする必要があります。
これらの要件を満たすソリューションはどれですか?

A. Amazon EC2 RunInstances API 呼び出しに一致する Amazon EventBridge ルールを設定します。AWS Lambda 関数を呼び出して、デフォルトのインスタンスプロファイルを EC2 インスタンスにアタッチするようにルールを設定します。

B. AWS Config を設定します。AWS Config ec2-instance-profile-attached マネージドルールをデプロイします。AWS Systems Manager Automation ランブックを呼び出して、デフォルトのインスタンスプロファイルを EC2 インスタンスにアタッチする自動修復アクションを設定します。

C. Amazon EC2 StartInstances API 呼び出しに一致する Amazon EventBridge ルールを設定します。AWS Systems Manager Automation ランブックを呼び出して、デフォルトのインスタンスプロファイルを EC2 インスタンスにアタッチするルールを設定します。

D. AWS Config を設定します。AWS Config iam-role-managed-policy-check マネージドルールをデプロイします。AWS Lambda 関数を呼び出して、デフォルトのインスタンスプロファイルを EC2 インスタンスにアタッチする自動修復アクションを設定します。

296 / 363

296.

No.296
ある会社では、AWS Organizations を使用して何百もの AWS アカウントを管理しています。この会社には、AWS Identity and Access Management (IAM) を担当するチームがあります。
IAM チームは、AWS IAM Identity Center を実装したいと考えています。IAM チームには、IAM Identity Center を管理するために必要な最小限の権限のみが必要です。IAM チームは、Organizations 管理アカウントへの不要なアクセス権を取得できないようにする必要があります。IAM チームは、新規および既存のメンバーアカウントに対して、新しい IAM Identity Center の権限セットと割り当てをプロビジョニングできる必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

A. IAM チーム用に新しい AWS アカウントを作成します。新しいアカウントで IAM Identity Center を有効にします。Organizations 管理アカウントで、新しいアカウントを IAM Identity Center の委任管理者として登録します。

B. IAM チーム用に新しい AWS アカウントを作成します。Organizations 管理アカウントで IAM Identity Center を有効にします。Organizations 管理アカウントで、新しいアカウントを IAM Identity Center の委任管理者として登録します。

C. Organizations に SCP を作成します。 Organizations 管理アカウント用に新しい OU を作成し、新しい SCP を OU にリンクします。IAM Identity Center へのすべてのアクセスを拒否するように SCP を構成します。

D. IAM Identity Center で IAM チームの IAM ユーザーと IAM グループを作成します。ユーザーをグループに追加します。新しい権限セットを作成します。AWSSSOMemberAccountAdministrator 管理 IAM ポリシーをグループにアタッチします。

E. 新しい権限セットを Organizations 管理アカウントに割り当てます。IAM チームのグループが権限セットを使用できるようにします。

F. 新しい権限セットを新しい AWS アカウントに割り当てます。IAM チームのグループが権限セットを使用できるようにします。

回答: BDF

説明:

A は誤りです。まず管理アカウントで Identity Center を有効にしてから、委任されたアカウントを作成する必要があります。
C は誤りです。SCP は IdP とは異なります。
E は誤りです。権限セットは、管理アカウントではなくメンバーに割り当てる必要があります。

297 / 363

297.

No.297
ある会社では、2 つのセカンダリ AWS リージョンを持つ Amazon Aurora PostgreSQL グローバルデータベースを使用しています。DevOps エンジニアは、60 秒の RPO を保証するようにデータベースパラメータグループを設定しました。プライマリクラスターへの書き込み操作は、RPO 設定が原因で時々ブロックされます。
DevOps エンジニアは、ブロックされた書き込み操作の頻度を減らす必要があります
これらの要件を満たすソリューションはどれですか?

A. グローバルデータベースにセカンダリクラスターを追加します。

B. グローバルデータベースの書き込み転送を有効にします。

C. グローバルデータベースからセカンダリクラスターの 1 つを削除します。

D. グローバルデータベースの同期レプリケーションを設定します。

回答: C

説明:
Amazon Aurora PostgreSQL グローバルデータベースでブロックされた書き込み操作の頻度を減らすには、特に 60 秒の復旧ポイント目標 (RPO) を使用している場合は、プライマリクラスターとそのセカンダリリージョン間の遅延が 60 秒のしきい値を超えないようにレプリケーションのパフォーマンスを向上させることが目標です。

298 / 363

298.

No.298
ある会社には、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターでホストされている Web アプリケーションがあります。EKS クラスターは、インターネットに接続されたアプリケーションロードバランサーを通じて利用できる AWS Fargate で実行されます。
アプリケーションで安定性の問題が発生しており、応答時間が長くなっています。DevOps エンジニアは、Amazon CloudWatch でオブザーバビリティを設定して、問題をトラブルシューティングする必要があります。ソリューションでは、必要最小限のアクセス許可のみを提供する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)。

A. CloudWatch エージェントを Kubernetes StatefulSet として EKS クラスターにデプロイします。

B. AWS Distro for OpenTelemetry Collector を Kubernetes DaemonSet として EKS クラスターにデプロイします。

C. Amazon EKS のサービスアカウントの IAM ロールを使用して、Kubernetes サービスアカウントを IAM ロールに関連付けます。CloudWatchAgentServerPolicy AWS 管理ポリシーを使用します。

D. Amazon EKS のサービスアカウントの IAM ロールを使用して、Kubernetes サービスアカウントを IAM ロールに関連付けます。CloudWatchAgentAdminPolicy AWS 管理ポリシーを使用します。

E. EKS クラスターの IAM OpenID Connect (OIDC) プロバイダーを構成します。

F. EKS クラスターの EKS コントロールプレーンのログ記録を有効にします。

回答: ACF

説明:
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-EKS.html

- fargate のデーモンセットがありません
- CloudWatchAgentServerPolicy が正しいです
- コントロールプレーンのログ記録

299 / 363

299.

No.299
ある会社が Python ベースのアプリケーションコードを AWS CodeCommit に保存しています。この会社は AWS CodePipeline を使用してアプリケーションをデプロイしています。CodeCommit リポジトリと CodePipeline パイプラインは同じ AWS アカウントにデプロイされています。
会社のセキュリティチームは、コードを本番環境にデプロイする前に、すべてのコードで脆弱性をスキャンすることを要求しています。脆弱性が見つかった場合は、デプロイを停止する必要があります。
これらの要件を満たすソリューションはどれですか?

A. 新しい CodeBuild プロジェクトを作成します。Amazon CodeGuru Security を使用して、コードに対してセキュリティスキャンを実行するようにプロジェクトを設定します。CodeGuru Security が脆弱性を見つけた場合にエラーが発生するように CodeBuild プロジェクトを設定します。CodeGuru Security スキャンを実行するのに十分な権限を持つ新しい IAM ロールを作成します。そのロールを CodeBuild プロジェクトに割り当てます。CodePipeline パイプラインで、デプロイステージの前に新しいステージを追加します。新しいステージのアクションプロバイダーとして AWS CodeBuild を選択します。CodeCommit リポジトリのソースアーティファクトを使用します。アクションを設定して、CodeBuild プロジェクトを使用します。

B. 新しい CodeBuild プロジェクトを作成します。Amazon Inspector を使用して、コードに対してセキュリティスキャンを実行するようにプロジェクトを設定します。Amazon Inspector が脆弱性を見つけた場合にエラーが発生するように CodeBuild プロジェクトを設定します。 Amazon Inspector スキャンを実行するのに十分な権限を持つ新しい IAM ロールを作成します。ロールを CodeBuild プロジェクトに割り当てます。CodePipeline パイプラインで、デプロイメントステージの前に新しいステージを追加します。新しいステージのアクションプロバイダーとして AWS CodeBuild を選択します。CodeCommit リポジトリのソースアーティファクトを使用します。アクションを設定して CodeBuild プロジェクトを使用します。

C. CodePipeline にアタッチされている IAM ロールを更新して、Amazon DevOps Guru を呼び出すのに十分な権限を含めます。CodePipeline パイプラインで、デプロイメントステージの前に新しいステージを追加します。新しいステージのアクションプロバイダーとして DevOps Guru を選択します。CodeCommit リポジトリのソースアーティファクトを使用します。

D. CodePipeline にアタッチされている IAM ロールを更新して、Amazon DevOps Guru を呼び出すのに十分な権限を含めます。CodePipeline パイプラインで、デプロイメントステージの前に新しいステージを追加します。新しいステージのアクションプロバイダーとして CodeGuru Security を選択します。CodeCommit リポジトリのソースアーティファクトを使用します。

答え: A

説明:
Amazon CodeGuru Security は、ML と自動推論を使用して、開発サイクルのあらゆる段階でコードセキュリティの脆弱性を検出、追跡、修正します。

300 / 363

300.

No.300
DevOps エンジニアが Amazon Linux EC2 インスタンスのフリートにアプリケーションをデプロイします。DevOps エンジニアは、フリート全体のシステムメトリクスを監視する必要があります。DevOps エンジニアは、アプリケーションコードのネットワークトラフィックとメモリ使用率の関係を監視したいと考えています。DevOps エンジニアは、60 秒間隔でデータを追跡したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. Amazon CloudWatch 基本モニタリングを使用して、NetworkIn メトリクスと MemoryBytesUsed メトリクスを収集します。CloudWatch でメトリクスをグラフ化します。

B. Amazon CloudWatch 詳細モニタリングを使用して、NetworkIn メトリクスと MemoryBytesUsed メトリクスを収集します。CloudWatch でメトリクスをグラフ化します。

C. Amazon CloudWatch 詳細モニタリングを使用して、NetworkIn メトリクスを収集します。EC2 インスタンスに CloudWatch エージェントをインストールして、mem_used メトリクスを収集します。CloudWatch でメトリクスをグラフ化します。

D. Amazon CloudWatch 基本モニタリングを使用して、組み込みの NetworkIn メトリクスを収集します。 mem_used メトリックを収集するには、EC2 インスタンスに CloudWatch エージェントをインストールします。CloudWatch でメトリックをグラフ化します。

回答: C

説明:
Amazon CloudWatch の詳細モニタリングを使用して、NetworkIn メトリックを収集します。mem_used メトリックを収集するには、EC2 インスタンスに CloudWatch エージェントをインストールします。CloudWatch でメトリックをグラフ化します。

301 / 363

301.

No.301
ある会社では、AWS Systems Manager を使用して、SSM Agent がインストールされている Amazon Linux EC2 インスタンス群を管理しています。すべての EC2 インスタンスは、インスタンスメタデータサービスバージョン 2 (IMDSv2) を使用するように設定されており、同じ AWS アカウントと AWS リージョンで実行されています。会社のポリシーでは、開発者は Amazon Linux のみを使用するように求められています。
会社は、すべての新しい EC2 インスタンスが作成後に Systems Manager によって自動的に管理されるようにしたいと考えています。
どのソリューションがこれらの要件を最も効率的に満たしますか?

A. Systems Manager がロールを引き受けることを許可する信頼ポリシーを持つ IAM ロールを作成します。AmazonSSMManagedEC2InstanceDefaultPolicy ポリシーをロールにアタッチします。ロールを使用するように default-ec2-instance-management-role SSM サービス設定を構成します。

B. AWS Config がセットアップされていることを確認します。EC2 インスタンスに SSM Agent がインストールされているかどうかを検証する AWS Config ルールを作成します。EC2 構成の変更時にルールが実行されるように構成します。 AWS-InstallSSMAgent SSM ドキュメントを実行して SSM エージェントをインストールするルールの自動修復を設定します。

C. Systems Manager Patch Manager を設定します。すべての新しい EC2 インスタンスに SSM エージェントを自動的にインストールするパッチベースラインを作成します。すべての EC2 インスタンスのパッチグループを作成します。パッチベースラインをパッチグループにアタッチします。メンテナンスウィンドウとメンテナンスウィンドウタスクを作成して、SSM エージェントを毎日インストールし始めます。

D. Amazon EC2 がロールを引き受けることを許可する信頼ポリシーを持つ EC2 インスタンスロールを作成します。AmazonSSMManagedInstanceCore ポリシーをロールにアタッチします。AWS Config がセットアップされていることを確認します。ec2-instance-profile-attached マネージド AWS Config ルールを使用して、EC2 インスタンスにロールがアタッチされているかどうかを検証します。EC2 構成の変更時に実行されるようにルールを設定します。AWS-SetupManagedRoleOnEc2Instance SSM ドキュメントを実行してロールを EC2 インスタンスにアタッチするようにルールの自動修復を設定します。

回答: A

説明:
1. 自動ロールの関連付け:
• AWS Systems Manager は、作成時に新しい EC2 インスタンスに自動的にアタッチされるデフォルトのインスタンス管理ロールをサポートしています。
• default-ec2-instance-management-role SSM サービス設定を構成すると、新しい EC2 インスタンスは指定された IAM ロールに自動的に関連付けられます。
2. IAM ロールとポリシー:
• AmazonSSMManagedEC2InstanceDefaultPolicy は、Systems Manager サービス、Amazon S3、AWS Config ログへのアクセスなど、インスタンスを管理するために必要な権限を SSM Agent に提供します。
3. 運用効率:
• このソリューションにより、追加の手動手順や構成変更を必要とせずに、新しい EC2 インスタンスが Systems Manager に自動的に登録されます。
• AWS Config ルール、パッチベースライン、または修復ドキュメントが不要になり、管理プロセスが簡素化されます。

302 / 363

302.

No.302
ある会社が AWS Lambda 関数の Amazon S3 イベントソースを構成しました。会社では、特定の S3 バケットで新しいオブジェクトが作成されたとき、または既存のオブジェクトが変更されたときに Lambda 関数を実行する必要があります。Lambda 関数は、受信イベントの S3 バケット名と S3 オブジェクトキーを使用して、新しいまたは変更された S3 オブジェクトのコンテンツを読み取ります。Lambda 関数はコンテンツを解析し、解析したコンテンツを Amazon DynamoDB テーブルに保存します。
Lambda 関数の実行ロールには、S3 バケットからの読み取りと DynamoDB テーブルへの書き込みの権限があります。テスト中に、DevOps エンジニアは、S3 バケットにオブジェクトが追加されたとき、または既存のオブジェクトが変更されたときに Lambda 関数が実行されないことを発見しました。
これらの問題を解決するソリューションはどれですか?

A. S3 バケットに Lambda 関数を呼び出す権限を S3 バケットに付与する S3 バケットポリシーを作成します。

B. Lambda 関数のリソースポリシーを作成し、S3 バケットで Lambda 関数を呼び出す権限を Amazon S3 に付与します。

C. Amazon Simple Queue Service (Amazon SQS) キューを Lambda 関数の OnFailure 宛先として設定します。SQS キューからのメッセージと S3 イベント通知を処理するように Lambda 関数を更新します。

D. Amazon Simple Queue Service (Amazon SQS) キューを S3 バケットイベント通知の宛先として設定します。SQS キューから読み取る権限を持つように Lambda 関数の実行ロールを更新します。SQS キューからのメッセージを消費するように Lambda 関数を更新します。

回答: B

説明:
1. S3 から Lambda への呼び出し:
• Amazon S3 を設定して AWS Lambda 関数をトリガーする場合、S3 には関数を呼び出すための明示的な権限が必要です。これは、リソースベースのポリシーを Lambda 関数にアタッチすることで行われます。
• このポリシーがないと、S3 イベント通知が設定されていても、S3 には関数を呼び出すために必要な権限がないため、Lambda 関数はトリガーされません。
2. ソリューションの詳細:
• Lambda 関数のリソースポリシーでは、S3 バケットが Lambda 関数を呼び出すことができるように指定します。これは、AWS CLI、AWS SDK、または AWS マネジメントコンソールで直接設定します。

303 / 363

303.

No.303
ある会社が最近、AWS Organizations の組織に AWS Control Tower を設定しました。この会社は、既存のすべての AWS アカウントを AWS Control Tower に登録しました。この会社は、すべての新しい AWS アカウントが AWS Control Tower に自動的に登録されるようにしたいと考えています。
この会社には、新しい AWS アカウントを作成し、アカウント作成の一部として必要なアクションを実行する既存の AWS Step Functions ワークフローがあります。Step Functions ワークフローは、AWS Control Tower と同じ AWS アカウントで定義されています。
これらの要件を満たすために、この会社は Step Functions ワークフローにどのステップの組み合わせを追加する必要がありますか? (2 つ選択してください)。

A. aws.controltower ソースと CreateManagedAccount 詳細タイプを持つ Amazon EventBridge イベントを作成します。新しい AWS アカウントの詳細をイベントの詳細フィールドに追加します。

B. aws.controltower ソースと SetupLandingZone 詳細タイプを持つ Amazon EventBridge イベントを作成します。新しい AWS アカウントの詳細をイベントの詳細フィールドに追加します。

C. 新しい AWS アカウントに AWSControlTowerExecution ロールを作成します。AWS Control Tower 管理者アカウントがロールを引き受けられるようにロールを設定します。

D. 新しい AWS アカウントの詳細を使用して、AWS Service Catalog ProvisionProduct API オペレーションを呼び出します。

E. controltower.amazonaws.com サービス名と新しい AWS アカウントの詳細を使用して、Organizations EnableAWSServiceAccess API オペレーションを呼び出します。

回答: CD

説明:
オプションの詳細:

1. C. AWSControlTowerExecution ロールを作成します:
• AWS Control Tower では、新しいアカウントに AWSControlTowerExecution ロールが必要です。
• このロールにより、AWS Control Tower はアカウントの制御を引き受け、必要なガードレール、ポリシー、および構成を適用できます。
• このロールがないと、AWS Control Tower はアカウントを管理できません。
2. D. AWS Service Catalog ProvisionProduct API オペレーションを呼び出します:
• Account Factory は、AWS Service Catalog を使用して新しいアカウントを作成し、AWS Control Tower に登録します。
• ProvisionProduct API オペレーションにより、Account Factory を通じて新しいアカウントをプログラムでプロビジョニングし、Control Tower ガバナンスへの登録を確実に行うことができます。

304 / 363

304.

No.304
ある会社の Web アプリケーションは、Application Load Balancer (ALB) を使用して、3 つのアベイラビリティーゾーンにまたがる Amazon EC2 インスタンスにトラフィックを誘導します。
この会社は、テストのためにアプリケーションの新しいバージョンを 1 つのアベイラビリティーゾーンにデプロイしました。アプリケーションで問題が検出された場合、この会社は、デプロイがロールバックされるまで、影響を受けるアベイラビリティーゾーンからトラフィックを誘導したいと考えています。ロールバック中もアプリケーションは使用可能であり、静的安定性を維持する必要があります。
これらの要件を最も効率的に満たすソリューションはどれですか?

A. ALB のターゲットグループでクロスゾーン負荷分散を無効にします。ALB でゾーンシフトを開始して、影響を受けるアベイラビリティーゾーンからトラフィックを誘導します。

B. ALB のターゲットグループでクロスゾーン負荷分散を無効にします。影響を受けるアベイラビリティーゾーンに属するターゲットグループ内のインスタンスを手動で削除します。

C. ALB のターゲットグループでクロスゾーン負荷分散を構成して、ALB から設定を継承します。ALB でゾーンシフトを開始して、影響を受けるアベイラビリティゾーンからトラフィックを誘導します。

D. ALB のターゲットグループでクロスゾーン負荷分散を構成して、ALB から設定を継承します。影響を受けるアベイラビリティゾーンに関連付けられているサブネットを削除します。

回答: A

説明:
クロスゾーン負荷分散を無効にする:

クロスゾーン負荷分散を無効にすると、各アベイラビリティゾーンが自身のターゲットのトラフィックのみを処理するようになります。これにより、必要に応じて特定のゾーンからトラフィックを分離できるようになります。
ゾーンシフトを開始する:

AWS は、トラフィックを特定のアベイラビリティゾーンから一時的にシフトするゾーンシフト (AWS Elastic Disaster Recovery または AWS Global Accelerator 経由) を提供しています。これは、ターゲットグループやインスタンス構成を手動で変更することなく自動再ルーティングできるため、運用効率が非常に高くなります。
ゾーンシフトを使用すると、ロールバックまたはテスト中にアプリケーションの高可用性と安定性を維持しながら、トラフィックをすばやくリダイレクトできます。
参照 -https://docs.aws.amazon.com/r53recovery/latest/dg/arc-zonal-shift.html

305 / 363

305.

No.305
ある会社には複数の AWS アカウントがあります。各アカウントで Amazon Connect インスタンスが実行されます。会社は各アカウントでイベント処理に Amazon EventBridge のデフォルトイベントバスを使用しています。
DevOps チームは、すべての Amazon Connect イベントを 1 つの DevOps アカウントで受信する必要があります。
これらの要件を満たすソリューションはどれですか?

A. 各アカウントのデフォルトイベントバスのリソースベースのポリシーを更新して、DevOps アカウントがイベントを再生できるようにします。DevOps アカウントで、Amazon Connect イベントと一致し、他のアカウントのデフォルトイベントバスをターゲットとする EventBridge ルールを設定します。

B. 各アカウントのデフォルトイベントバスのリソースベースのポリシーを更新して、DevOps アカウントがイベントを受信できるようにします。DevOps アカウントで、Amazon Connect イベントと一致し、他のアカウントのデフォルトイベントバスをターゲットとする EventBridge ルールを設定します。

C. DevOps アカウントのデフォルトイベントバスのリソースベースのポリシーを更新します。ポリシーを更新して、アカウントからイベントを受信できるようにします。各アカウントで、Amazon Connect イベントに一致し、DevOps アカウントのデフォルトイベントバスをターゲットとする EventBridge ルールを設定します。

D. DevOps アカウントのデフォルトイベントバスのリソースベースのポリシーを更新します。ポリシーを更新して、アカウントによるイベントの再生を許可します。各アカウントで、Amazon Connect イベントに一致し、DevOps アカウントのデフォルトイベントバスをターゲットとする EventBridge ルールを設定します。

回答: C

説明:

複数の AWS アカウントからの Amazon Connect イベントを 1 つのアカウントの EventBridge イベントバスに一元管理するには、次の手順が必要です。

1. DevOps アカウントの EventBridge イベントバスのリソースベースのポリシーを更新します。

• このポリシーにより、DevOps アカウントのイベントバスは他のアカウントからのイベントを受け入れることができます。

• ポリシーでは、Principal フィールドに送信アカウント ID を指定し、events:PutEvents などのアクションのアクセス許可を付与する必要があります。
2. 各 Amazon Connect アカウントで EventBridge ルールを作成します。
• これらのルールは、特定の Amazon Connect イベント (例: コンタクトイベント、エージェントステータスの更新) と一致し、それらを DevOps アカウントのデフォルトのイベントバスに転送します。

306 / 363

306.

No.306
ある会社が Amazon EC2 ノードグループを使用して Amazon Elastic Kubernetes Service (Amazon EKS) クラスターをデプロイしました。会社の DevOps チームは Kubernetes Horizontal Pod Autoscaler を使用しており、最近、サポートされている EKS クラスター Autoscaler をインストールしました。
DevOps チームは、パフォーマンスのベースラインを確立するために、EKS クラスターのメトリクスとログを収集するソリューションを実装する必要があります。DevOps チームは、特定のメトリクスの初期しきい値セットを作成し、クラスターの使用に合わせてしきい値を更新します。DevOps チームは、初期しきい値セットを超えた場合、または EKS クラスター Autoscaler が正しく機能していない場合、Amazon Simple Notification Service (Amazon SNS) のメール通知を受信する必要があります。
ソリューションは、クラスター、ノード、およびポッドのメトリクスを収集する必要があります。ソリューションでは、Amazon CloudWatch でログをキャプチャする必要もあります。
DevOps チームは、これらの要件を満たすためにどの組み合わせの手順を実行する必要がありますか? (3 つ選択してください)。

A. CloudWatch エージェントと Fluent Bit をクラスターにデプロイします。EKS クラスターに、メトリクスとログを CloudWatch に送信するための適切な権限があることを確認します。

B. AWS Distro for OpenTelemetry をクラスターにデプロイします。EKS クラスターに、メトリクスとログを CloudWatch に送信するための適切な権限があることを確認します。

C. クラスターの CPU、メモリ、ノード障害メトリクスを監視する CloudWatch アラームを作成します。しきい値を超えた場合に DevOps チームに SNS メール通知を送信するようにアラームを設定します。

D. クラスターの CPU、メモリ、ノードメトリクスのメトリクスログフィルターを監視する CloudWatch 複合アラームを作成します。異常が検出されたときに DevOps チームに SNS メール通知を送信するようにアラームを設定します。

E. Autoscaler デプロイメントのログでエラーを監視する CloudWatch アラームを作成します。しきい値を超えた場合に SNS メール通知を DevOps チームに送信するようにアラームを設定します。

F. Autoscaler デプロイメントのメトリクスログフィルターのエラーを監視する CloudWatch アラームを作成します。しきい値を超えた場合に SNS メール通知を DevOps チームに送信するようにアラームを設定します。

回答: ACF

説明:
質問では「メトリクスとログを収集する」ことが求められています。
A である CloudWatch エージェントをインストールする必要があります。
C であるメトリクスを収集する必要があります。
E であるログを収集する必要があります。

307 / 363

307.

No.307
ある会社が、本番環境と災害復旧 (DR) 環境が同じ AWS リージョンにデプロイされていることを発見しました。すべての本番アプリケーションは Amazon EC2 インスタンスで実行され、AWS CloudFormation によってデプロイされます。アプリケーションは、アプリケーションストレージに Amazon FSx for NetApp ONTAP ボリュームを使用します。アプリケーションデータは EC2 インスタンス上には存在しません。
DevOps エンジニアは、必要な AMI を新しい DR リージョンにコピーします。DevOps エンジニアは、リージョンをパラメーターとして受け入れるように CloudFormation コードも更新します。ストレージの RPO は DR リージョンで 10 分である必要があります。
これらの要件を満たすソリューションはどれですか?

A. 両方のリージョンに Amazon S3 バケットを作成します。S3 バケットの S3 クロスリージョンレプリケーション (CRR) を設定します。FSx for ONTAP ボリュームから本番リージョンの S3 バケットに新しいコンテンツをコピーするスケジュールされた AWS Lambda 関数を作成します。

B. AWS Backup を使用して、バックアップボールトと 10 分間隔のカスタムバックアッププランを作成します。DR リージョンをターゲットリージョンとして指定します。本番環境リージョンの EC2 インスタンスをバックアッププランに割り当てます。

C. AWS Lambda 関数を作成して、EC2 インスタンスにアタッチされているインスタンスストアボリュームのスナップショットを作成します。Lambda 関数を設定して、スナップショットを DR リージョンにコピーし、以前のコピーを削除します。10 分ごとに Lambda 関数を呼び出す Amazon EventBridge スケジュールルールを作成します。

D. DR リージョンに FSx for ONTAP インスタンスを作成します。ボリュームレベルの NetApp SnapMirror の 5 分スケジュールを設定して、本番環境リージョンから DR リージョンにボリュームをレプリケートします。

回答: D

説明:
実装手順:
DR リージョンに FSx for ONTAP インスタンスを作成します:

新しい DR リージョンに FSx for NetApp ONTAP インスタンスをデプロイします。
SnapMirror レプリケーションのセットアップ:

本番リージョンの FSx ボリュームから DR リージョンの FSx インスタンスへの SnapMirror を設定します。

10 分の RPO 要件を満たすために、レプリケーションスケジュールを 5 分に設定します。

DR セットアップのテスト:

DR リージョンのレプリケートされたボリュームが一貫していてアクセス可能であることを確認します。

DR 環境がレプリケートされた FSx ボリュームにフェイルオーバーできることを確認します。

CloudFormation の更新:

更新された CloudFormation テンプレートが DR リージョンに EC2 インスタンスをデプロイし、レプリケートされた FSx ボリュームをマウントできることを確認します。

308 / 363

308.

No.308
セキュリティ監査中に、ある企業は、一部のセキュリティグループが 0.0.0.0/0 からの SSH トラフィックを許可していることを発見しました。セキュリティチームは、この問題をできるだけ早く検出して修正するためのソリューションを実装する必要があります。この企業は、AWS Organizations の 1 つの組織を使用して、会社のすべての AWS アカウントを管理しています。
これらの要件を満たすソリューションはどれですか?

A. すべての AWS アカウントに対して AWS Config を有効にします。定期的なトリガーを使用して、vpe-sg-port-restriction-check AWS Config ルールをアクティブ化します。AWS Lambda 関数を作成して、非準拠のルールを修正します。

B. 各 AWS アカウントに AWS Lambda 関数を作成して、すべてのセキュリティグループルールを削除します。セキュリティグループの更新イベントまたは作成イベントに一致する Amazon EventBridge ルールを作成します。各アカウントの Lambda 関数をルールのターゲットとして設定します。

C. すべての AWS アカウントで AWS Config を有効にします。restricted-ssh 構成変更トリガーで実行するカスタム AWS Config ルールを作成します。AWS Lambda 関数を呼び出して非準拠のリソースを修正するようにルールを設定します。

D. 各アカウントに AWS Systems Manager Automation ドキュメントを作成して、すべてのセキュリティグループを検査し、非準拠のルールを削除します。Amazon EventBridge ルールを使用して、Automation ドキュメントを 1 時間ごとに実行します。

回答: C

説明:
このオプションでは、すべてのアカウントで AWS Config を有効にし、restricted-ssh ルールをデプロイし、非準拠のセキュリティグループに対処するための自動修復を設定することで、要件を効率的に満たします。

309 / 363

309.

★No.309
ある会社の DevOps エンジニアは、30 台のオンプレミス VM と 15 台の Amazon EC2 インスタンスにソフトウェアパッケージをインストールする必要があります。
DevOps エンジニアは、すべての VM が監査可能なプロセスでパッケージを受け取り、VM 上の構成のずれが自動的に識別されて警告されるようにする必要があります。この会社は、AWS Direct Connect を使用してオンプレミスデータセンターを AWS に接続しています。
どのソリューションがこれらの要件を最も効率的に満たしますか?

A. VM のリストを週に 1 回反復処理するスクリプトを作成します。スクリプトを構成してパッケージを確認し、パッケージが見つからない場合はパッケージをインストールします。スクリプトを構成して、パッケージが見つからない場合はシステム管理者に電子メールメッセージ通知を送信します。

B. すべての VM に AWS Systems Manager Agent (SSM Agent) をインストールします。SSM Agent を使用してパッケージをインストールします。AWS Config を使用して構成のずれを監視します。Amazon Simple Notification Service (Amazon SNS) を使用してずれが見つかった場合はシステム管理者に通知します。

C. パッケージが環境全体にインストールされているかどうかを確認するスクリプトを作成します。非準拠のすべての VM のリストを作成するようにスクリプトを構成します。非準拠の VM にパッケージをインストールするシステム管理者にリストを送信するようにスクリプトを構成します。

D. 各 VM にログインします。ローカルパッケージマネージャーを使用してパッケージをインストールします。AWS Config を使用して、AWS リソースの構成変更を監視します。オンプレミスのリソースを監視するスクリプトを作成します。

310 / 363

310.

No.310
ある会社には、eu-west-1 リージョンに AWS CodePipeline パイプラインがあります。パイプラインは、Amazon S3 バケットにビルド成果物を保存します。パイプラインは、AWS CloudFormation デプロイアクションを使用して AWS Lambda 関数をビルドおよびデプロイします。
DevOps エンジニアは、Lambda 関数を us-east-1 リージョンにもデプロイするように、既存のパイプラインを更新する必要があります。パイプラインはすでに更新されており、us-east-1 にデプロイする追加の成果物が作成されています。
DevOps エンジニアは、これらの要件を満たすためにどの手順の組み合わせを実行する必要がありますか。 (2 つ選択してください)

A. CloudFormation テンプレートを変更して、Lambda 関数コードの .zip ファイルの場所のパラメータを含めます。パイプラインで us-east-1 の新しい CloudFormation デプロイアクションを作成します。新しいデプロイアクションを設定して、us-east-1 アーティファクトの場所をパラメータオーバーライドとして渡します。

B. パイプラインで us-east-1 の新しい CloudFormation デプロイアクションを作成します。新しいデプロイアクションを設定して、us-east-1 用に作成された追加のアーティファクトの CloudFormation テンプレートを使用します。

C. us-east-1 に S3 バケットを作成します。S3 バケットポリシーを設定して、CodePipeline に読み取りおよび書き込みアクセスを許可します。

E. パイプラインを変更して、us-east-1 の S3 バケットをアーティファクトストアとして含めます。パイプラインで us-east-1 の新しい CloudFormation デプロイアクションを作成します。新しいデプロイアクションを構成して、us-east-1 アーティファクトの CloudFormation テンプレートを使用します。

回答: CE

説明:
正解は「C」と「E」です。
「A」は間違いなく間違っています。既存の CloudFormation テンプレートのパラメータとして新しい Lambda コードの場所を単にバイパスするだけでは不十分だからです。別の Lambda コードの場所だけでなく、別のリージョン、別の VPC ID なども必要です。
そのため、専用の別のテンプレートが 2 つ必要です。

311 / 363

311.

No.311
ある会社では、インフラストラクチャに AWS Cloud Development Kit (AWS CDK) アプリケーションを使用しています。AWS CDK アプリケーションは、AWS Lambda 関数と、その関数にアタッチされた IAM ロールを作成します。また、この会社は AWS Organizations も使用しています。この会社の開発者は、AWS CDK アプリケーションのデプロイロールを引き受けることができます。
この会社のセキュリティチームは、開発者と AWS CDK アプリケーションのデプロイに使用されるロールに、必要以上の権限があることを発見しました。セキュリティチームは、CDK アプリケーションが作成する Lambda 関数にアタッチされたロールに、必要以上の権限があることも発見しました。開発者は、追加の権限を付与する権限を持つことはできません。
どのソリューションが、運用オーバーヘッドを最小限に抑えながら、これらの要件を満たしますか?

A. 開発者ロールと AWS CDK アプリケーションデプロイロールの iam:CreateRole アクションと iam:UpdateRole アクションを拒否する SCP を作成します。開発者が Lambda 関数のプロビジョニングに使用する Lambda 関数にアタッチする新しい IAM ロールを一元的に作成します。

B. IAM 権限境界ポリシーを作成します。 AWS CDK アプリケーションがポリシーで必要とする最大アクションを定義します。アカウントの AWS CDK ブートストラップを更新して、アクセス許可境界を使用します。AWS CDK アプリケーションで、デフォルトのアクセス許可境界がポリシーを使用するように設定を更新します。

C. IAM アクセス許可境界ポリシーを作成します。AWS CDK アプリケーションがポリシーで必要とする最大アクションを定義します。開発者に、AWS CDK アプリケーションコードでロールを作成するときにアクセス許可境界ポリシー名を使用するように指示します。

D. 開発者ロールの iam:CreateRole アクションと iam:UpdateRole アクションを拒否する SCP を作成します。AWS CDK デプロイメントロールに、Lambda 関数に関連付けられたロールを作成するためのアクセス権を付与します。AWS Identity and Access Management Access Analyzer を実行して、Lambda 関数ロールにアクセス許可がないことを確認します。

回答: B

説明:
オプション B では、CDK ワークフローで直接アクセス許可境界を使用することで、作成されたロールが本質的に準拠していることが保証され、IAM Access Analyzer のリアクティブ検証ステップが不要になります。このアプローチにより、運用の複雑さが軽減され、プロアクティブなセキュリティのベストプラクティスと一致します。

312 / 363

312.

No.312
ある企業は、Amazon Elastic Container Registry (Amazon ECR) プライベートレジストリを使用してコンテナイメージを格納しています。
DevOps チームは、コンテナイメージがソフトウェアパッケージの脆弱性について定期的にスキャンされるようにする必要があります。
この要件を満たすソリューションはどれですか?

A. Amazon ECR のプライベートレジストリの拡張スキャンを有効にします。

B. Amazon ECR のプライベートレジストリの基本的な継続スキャンを有効にします。

C. AWS SDK を使用してイメージをスキャンするための AWS System Manager Automation ドキュメントを作成します。新しいイメージが ECR レジストリにプッシュされたときに Automation ドキュメントが実行されるように構成します。

D. AWS SDK を使用して Amazon ECR 内のすべてのイメージをスキャンする AWS Lambda 関数を作成します。毎日 Lambda 関数を呼び出すための Amazon EventBridge ルールを作成します。

回答: A

説明:
Amazon ECR では、2 つのレベルのイメージスキャンが提供されています:
1. 基本スキャン: イメージがリポジトリにプッシュされたときに脆弱性を検出します。
2. 拡張スキャン: 脆弱性が公開されたときの詳細なレポートや自動再スキャンなど、イメージの継続的なスキャンを提供します。

313 / 363

313.

No.313
セキュリティチームは、Amazon EventBridge が特定のイベントに一致したときに AWS Step Functions ワークフローを呼び出すワークフローを設定します。イベントは、複数の AWS サービスによって生成される可能性があります。AWS CloudTrail は、ユーザーアクティビティを記録します。
セキュリティチームは、いくつかの重要なイベントが期待どおりにワークフローを呼び出さないことに気付きました。CloudTrail ログには、欠落したイベントに関連する直接的なエラーは示されていません。
欠落したイベント呼び出しの根本原因を特定するには、どの手順の組み合わせを使用しますか? (3 つ選択してください)。

A. イベントバスで EventBridge スキーマ検出を有効にして、イベントパターンが期待されるスキーマと一致するかどうかを判断します。

B. Amazon CloudWatch を設定して、EventBridge メトリクスと Step Functions メトリクスを監視します。イベントパターンとワークフロー呼び出しの異常に対するアラートを設定します。

C. AWS Lambda ログ記録関数を設定して、EventBridge からのイベントを監視およびログに記録し、処理されたイベントに関する詳細を提供します。

D. Step Functions 実行履歴で、欠落したイベント呼び出しに関連する可能性のある失敗またはタイムアウトのパターンを確認します。

E. EventBridge の失敗した呼び出しのメトリクスを確認し、ルールにアタッチされている IAM 実行ロールに十分な権限があることを確認します。

F. Step Functions ワークフローに、EventBridge によって呼び出される適切な権限があることを確認します。

回答: ABE

説明:
F ではなく E だと思います。EventBridge ルールには、ステップ関数を呼び出す権限が必要な IAM 実行ロールが含まれています。権限はステップ関数側では付与されません (リソースベースのポリシーはありません。https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html を参照してください)。

314 / 363

314.

No.314
ある会社の DevOps エンジニアは、AWS Systems Manager を使用してメンテナンスタスクを実行します。会社には、AWS Health からの通知後に再起動が必要な Amazon EC2 インスタンスがいくつかあります。
DevOps エンジニアは、会社のスケジュールされたメンテナンス期間中に Amazon EventBridge を使用して通知を修正する自動化ソリューションを実装する必要があります。
DevOps エンジニアは、これらの要件を満たすために EventBridge ルールをどのように構成する必要がありますか?

A. AWS Health のイベントソースを構成します。スケジュールされたインスタンスの終了と廃止を示すイベントタイプを構成します。AWS-RestartEC2Instance Systems Manager Automation ランブックをターゲットにして、EC2 インスタンスを再起動します。

B. Systems Manager のイベントソースを構成します。メンテナンスウィンドウを示すイベントタイプを構成します。AWS-RestartEC2Instance Systems Manager Automation ランブックをターゲットにして、EC2 インスタンスを再起動します。

C. AWS Health のイベントソースを構成します。スケジュールされたインスタンスの終了と廃止を示すイベントタイプを構成します。Systems Manager メンテナンスウィンドウタスクを登録して EC2 インスタンスを再起動する、新しく作成された AWS Lambda 関数をターゲットにします。

D. EC2 のイベントソースを構成します。インスタンスの状態通知を示すイベントタイプを構成します。Systems Manager メンテナンスウィンドウタスクを登録して EC2 インスタンスを再起動する、新しく作成された AWS Lambda 関数をターゲットにします。

答え: A

説明:
C. メンテナンスウィンドウタスクを登録する Lambda 関数
• このアプローチは機能する可能性がありますが、ソリューションを不必要に複雑にします。AWS Systems Manager と EventBridge は、カスタム Lambda 関数が不要になるネイティブ統合を提供します。
したがって、答えは A です。

315 / 363

315.

★No.315
DevOps エンジニアは、AWS で Web アプリケーションを構築およびデプロイする AWS CodePipeline パイプラインを管理しています。パイプラインには、ソースステージ、ビルドステージ、およびデプロイステージがあります。適切にデプロイされると、ホームページの URL が要求されたときに、Web アプリケーションは 200 OK HTTP 応答コードで応答します。
CodePipeline がアプリケーションをデプロイした後、ホームページは最近 503 HTTP 応答コードを返しました。DevOps エンジニアは、パイプラインに自動テストを追加する必要があります。自動テストでは、アプリケーションのデプロイ後にアプリケーションが 200 OK HTTP 応答コードを返すことを確認する必要があります。テスト中に応答コードが存在しない場合、パイプラインは失敗する必要があります。DevOps エンジニアは、パイプラインのデプロイステージの後に CheckURL ステージを追加しました。
DevOps エンジニアは、自動テストを実装するために次に何をする必要がありますか?

A. Amazon CloudWatch アクションを使用するように CheckURL ステージを構成します。アプリケーション URL でカナリア合成モニタリングチェックを使用し、成功または失敗を CodePipeline に報告するようにアクションを設定します。

B. URL の応答コードステータスをチェックし、成功または失敗を CodePipeline に報告する AWS Lambda 関数を作成します。CheckURL ステージでアクションを設定して、Lambda 関数を呼び出します。

C. CheckURL ステージを設定して、AWS CodeDeploy アクションを使用します。アプリケーションの URL である入力アーティファクトを使用してアクションを設定し、成功または失敗を CodePipeline に報告します。

D. URL の応答コードステータスをチェックし、成功または失敗を CodePipeline に報告する Amazon API Gateway HTTP API をデプロイします。CheckURL ステージを設定して、AWS Device Farm テストアクションを使用し、API Gateway HTTP API を入力アーティファクトとして提供します。

316 / 363

316.

★No.316
ある会社には、Amazon CloudWatch Logs ロググループにアクセスログをアップロードするアプリケーションがあります。ログ行のフィールドには、応答コードとアプリケーション名が含まれます。
会社は、特定の範囲の応答コードと特定のアプリケーション名によるリクエストの数を追跡する CloudWatch メトリクスを作成したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. CloudWatch Logs ログストリームに応答コード範囲に一致する CloudWatch Logs ログイベントフィルターを作成します。ログイベントフィルターを設定して、メトリクスを増分します。応答コードとアプリケーション名をディメンションとして設定します。

B. CloudWatch Logs ロググループに応答コード範囲に一致する CloudWatch Logs メトリクスフィルターを作成します。メトリクスフィルターを設定して、メトリクスを増分します。応答コードとアプリケーション名をディメンションとして設定します。

C. CloudWatch Logs ログストリームに応答コード範囲に一致するフィルターを使用して CloudWatch Contributor Insights ルールを作成します。応答コードとアプリケーション名をディメンションとして CloudWatch メトリクスを増分するように Contributor Insights ルールを設定します。

D. CloudWatch Logs ロググループに応答コード範囲に一致する CloudWatch Logs Insights クエリを作成します。応答コードとアプリケーション名をディメンションとして CloudWatch メトリクスを増分するように Logs Insights クエリを設定します。

317 / 363

317.

No.317
DevOps エンジニアが、マネージドノードグループを使用して Amazon Elastic Kubernetes Service (Amazon EKS) クラスターをプロビジョニングしました。DevOps エンジニアは、OpenID Connect (OIDC) 発行者をクラスターに関連付けました。
DevOps エンジニアは、クラスター用に Amazon Elastic Block Store (Amazon EBS) 汎用 SSD (gp3) ボリュームを設定しています。DevOps エンジニアは PersistentVolumeClaim (PVC) リクエストを開始しようとしましたが、ボリュームをプロビジョニングできません。この問題のトラブルシューティングを行うために、DevOps エンジニアは kubectl describe pyc コマンドを実行します。DevOps エンジニアは、StorageClass エラーでボリュームをプロビジョニングできませんでした、および EC2:UnauthorizedOperation でボリュームを作成できませんでしたというエラーを受け取ります。
これらのエラーを解決するソリューションはどれですか?

A. 永続ボリュームが取得、一覧表示、監視、作成、および削除操作を実行できるようにする Kubernetes クラスターロールを作成します。クラスターロールを設定して、クラスター内のストレージの取得、一覧表示、および監視操作を許可します。

B. 必要な権限と信頼関係を持つ Amazon EBS コンテナストレージインターフェイス (CSI) ドライバー IAM ロールを作成します。IAM ロールをクラスター内の Amazon EBS CSI ドライバーアドオンにアタッチします。

C. クラスター内の PersistentVolumeClaim オブジェクトに ebs.csi.aws.com/volumeType:gp3 アノテーションを追加します。

D. Kubernetes ストレージクラスオブジェクトを作成します。プロビジョナー値を ebs.csi.aws.com に設定します。Laster で volumeBindingMode 値を WaitForFirstConsumer に設定します。

回答: B

説明:
エラーの根本的な原因は、EC2 で EBS ボリュームを作成するために必要な IAM 権限が EBS CSI ドライバーにないことです。ソリューション B は、適切な IAM ロールを作成して EBS CSI ドライバーにアタッチし、必要な権限を付与することで問題を解決します。

318 / 363

318.

No.318
ある会社が VPC で Amazon EC2 インスタンスのフリートを実行しています。会社の従業員は、リモートデスクトッププロトコル (RDP) を使用して EC2 インスタンスにリモートアクセスします。
会社は、従業員が毎日開始する RDP セッションの数に関するメトリクスを収集したいと考えています。
この要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

A. EC2 インスタンス状態変更通知イベントに反応する Amazon EventBridge ルールを作成します。

B. Amazon CloudWatch Logs ロググループを作成します。ロググループを EventBridge ルールのターゲットとして指定します。

C. VPC フローログにフローログを作成します。

D. Amazon CloudWatch Logs ロググループを作成します。ロググループをフローログの送信先として指定します。

E. ロググループメトリクスフィルターを作成します。

F. ロググループサブスクリプションフィルターを作成します。送信先として EventBridge を使用します。

回答: CDE

説明:

C. VPC フローログにフローログを作成します。

• 理由: VPC フローログは、VPC 内のネットワークインターフェイスとの間のトラフィックに関する情報を取得します。これは、デフォルトで TCP ポート 3389 を使用する RDP セッションを識別して分析するために重要です。

D. Amazon CloudWatch Logs ロググループを作成します。フローログの送信先としてロググループを指定します。
• 理由: キャプチャされた VPC フローログは、分析を可能にするために送信先に保存する必要があります。CloudWatch Logs ロググループを指定すると、ログの集中保存とクエリが可能になります。

E. ロググループメトリックフィルターを作成します。
• 理由: メトリックフィルターを使用すると、フローログから特定のメトリックを抽出できます。ポート 3389 (RDP) を使用してトラフィックをフィルターし、セッションをカウントするメトリックを作成できます。

319 / 363

319.

No.319
ある会社では、Amazon Elastic Kubernetes Service (Amazon EKS) を使用してアプリケーションを実行しています。EKS クラスターは複数のポッドを正常に実行しています。同社はポッドイメージを Amazon Elastic Container Registry (Amazon ECR) に保存しています。
同社は EKS クラスターのポッド ID アクセスを構成する必要があります。同社はすでに、ポッド ID アクセスの権限を使用してノードの IAM ロールを更新しています。
これらの要件を満たすソリューションはどれですか?

A. EKS クラスターの IAM OpenID Connect (OIDC) プロバイダーを作成します。

B. ノードが EKS Auth API にアクセスできることを確認します。EKS クラスターの EKS Pod Identity Agent アドオンを追加して構成します。

C. API_AND-CONFIG_MAP クラスター認証モードを使用する EKS アクセスエントリを作成します。

D. EKS クラスターのポッドが使用する Kubernetes サービスアカウントの AWS Security Token Service (AWS STS) エンドポイントを構成します。

回答: B

説明:
質問ではポッドが irsa を使用しているとは述べられていないため、eks アドオンはポッド ID で問題なく動作するはずです

320 / 363

320.

No.320
ある会社では、すべての機能が有効になっている AWS Organizations 内の組織に複数の AWS アカウントがあります。会社の DevOps 管理者は、会社のすべての AWS アカウントのセキュリティを強化する必要があります。管理者は、すべてのアカウントで使用されている上位のユーザーとロールを特定する必要があります。
どのソリューションがこれらの要件を満たし、最も運用効率が高いでしょうか?

A. AWS CloudTrail に新しい組織証跡を作成します。Amazon CloudWatch Logs にログイベントを送信するように証跡を設定します。userIdentity.arn ログフィールドの CloudWatch Contributor Insights ルールを作成します。CloudWatch Contributor Insights で結果を表示します。

B. AWS Identity and Access Management Access Analyzer を使用して、組織の未使用のアクセス分析を作成します。アナライザーの結果を確認し、各結果にワークロードに必要な意図されたレベルの権限があるかどうかを判断します。

C. AWS CloudTrail に新しい組織証跡を作成します。パーティションプロジェクションを使用する Amazon Athena のテーブルを作成します。Athena テーブルに CloudTrail データをロードします。Athena テーブルをクエリして、上位のユーザーとロールを見つけます。

D. Organizations を使用して、各アカウントのサービスアクセスレポートを生成します。結果から、最終アクセス日とアカウントによる最終アクセスフィールドを取得して、上位のユーザーとロールを見つけます。

回答: C

説明:
Athena のパーティションプロジェクションを使用して、S3 でのログの構造を指定することにより、クエリを最適化できます。これにより、複数の AWS アカウントにわたる CloudTrail ログのクエリプロセスが大幅に効率化されます。

321 / 363

321.

No.321
ある会社には、多数の AWS アカウントを含む多数の Oil を持つ AWS Organizations の組織があります。この組織には、専用の委任管理者 AWS アカウントがあります。
この会社では、1 つの OU 内のアカウントで、AWS CloudFormation スタックで作成または更新されるすべての Amazon Elastic Block Store (Amazon EBS) ボリュームと Amazon Simple Queue Service (Amazon SQS) キューにサーバー側の暗号化を適用する必要があります。
この OU のアカウントで CloudFormation スタック操作を実行する前に、このポリシーを適用するソリューションはどれですか?

A. CloudFormation StackSets への信頼されたアクセスを有効にします。EBS ボリュームと SQS キューにサーバー側の暗号化を適用する CloudFormation フックを作成します。StackSets を使用して、OU 内のアカウント全体にフックをデプロイします。

B. OU 内のすべてのアカウントに AWS Config を設定します。AWS Systems Manager を使用して、OU 内のアカウント全体に EBS ボリュームと SQS キューのサーバー側の暗号化を適用する AWS Config ルールをデプロイします。

C. EBS ボリュームと SQS キューにサーバー側暗号化がない限り、EBS ボリュームと SQS キューの作成を拒否する SCP を作成します。SCP を OU にアタッチします。

D. 委任された管理者アカウントに、EBS ボリュームと SQS キューにサーバー側暗号化が適用されているかどうかを確認する AWS Lambda 関数を作成します。IAM ロールを作成して、OU 内のアカウントへの Lambda 関数アクセスを提供します。

回答: A

説明:
• CloudFormation StackSets を使用すると、組織内の複数の AWS アカウントとリージョンに CloudFormation テンプレートをデプロイできます。CloudFormation StackSets への信頼できるアクセスを有効にすることで、OU 内の複数のアカウントにリソースを管理し、ポリシーを均一に適用できます。
• CloudFormation フックは、スタック操作中に特定のポリシーまたはチェックを適用する方法です。この場合、フックを作成して、CloudFormation スタックで作成または更新されたすべての EBS ボリュームと SQS キューでサーバー側暗号化が有効になっていることを確認できます。
• StackSet と Hook は、指定された OU 内のすべてのアカウントに展開できるため、スタック操作が進行する前にサーバー側の暗号化が自動的に実施され、会社のポリシーを満たすことができます。

322 / 363

322.

No.322
ある会社では、Amazon EC2 上の Amazon Elastic Container Service (Amazon ECS) クラスターで社内アプリケーションを実行しています。ECS クラスターインスタンスは、パブリックインターネットに接続できます。クラスターインスタンスで実行される ECS タスクは、プライベート Amazon Elastic Container Registry (Amazon ECR) リポジトリとパブリック ECR レジストリリポジトリの両方のイメージを使用するように設定されています。
新しいセキュリティポリシーでは、ECS クラスターのインターネットへの直接アクセスを削除することが会社に義務付けられています。会社は、クラスターをホストする VPC から NAT ゲートウェイとインターネットゲートウェイを削除する必要があります。DevOps エンジニアは、ECS クラスターがパブリック ECR レジストリとプライベート ECR リポジトリの両方からイメージをダウンロードできることを保証しなければなりません。パブリック ECR レジストリのイメージは最新の状態にしておく必要があります。イメージの新しいバージョンは、公開後 24 時間以内に ECS クラスターで利用できる必要があります。
どの手順の組み合わせが、運用オーバーヘッドを最小限に抑えながらこれらの要件を満たすでしょうか。 (3 つ選択してください。)

A. パブリック ECR レジストリからダウンロードされるイメージごとに、AWS CodeBuild プロジェクトと新しいプライベート ECR リポジトリを作成します。各プロジェクトを設定して、パブリック ECR リポジトリからイメージをプルし、新しいプライベート ECR リポジトリにイメージをプッシュします。24 時間に 1 回 CodeBuild プロジェクトを呼び出す Amazon EventBridge ルールを作成します。ECS クラスター内の各タスク定義を更新して、新しいプライベート ECR リポジトリを参照します。

B. パブリック ECR レジストリからダウンロードされるイメージごとに、新しい Amazon ECR プルスルーキャッシュルールを作成します。各プルスルーキャッシュルールを呼び出す AWS Lambda 関数を作成します。24 時間に 1 回 Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。ECS クラスター内の各タスク定義を更新して、プルスルーキャッシュからイメージを参照します。

C. パブリック ECR レジストリ用に新しい Amazon ECR プルスルーキャッシュルールを作成します。ECS クラスター内の各タスク定義を更新して、プルスルーキャッシュからイメージを参照します。 VPC からインターネットアクセスを削除する前に、各パブリックイメージがプルスルーキャッシュを通じて少なくとも 1 回ダウンロードされていることを確認します。

D. VPC にあるパブリック ECR リポジトリ用の Amazon ECR インターフェイス VPC エンドポイントを作成します。

E. VPC にあるプライベート ECR リポジトリ用の Amazon ECR インターフェイス VPC エンドポイントを作成します。

F. VPC に Amazon S3 ゲートウェイエンドポイントを作成します。

回答: CEF

説明:
Amazon ECR プルスルーキャッシュルール (オプション C) を使用し、プライベート ECR (オプション E) と S3 (オプション F) に必要な VPC エンドポイントを設定することで、次のことが可能になります。

インターネットアクセスの排除:
VPC から NAT ゲートウェイとインターネットゲートウェイを削除します。

イメージアクセスの維持:
ECS タスクがインターネットアクセスなしでプライベート ECR リポジトリとパブリック ECR リポジトリの両方からイメージをプルできるようにします。

イメージの更新の保証:
プルスルーキャッシュを介して 24 時間以内にパブリックイメージの更新を自動的に受信します。
運用オーバーヘッドを最小限に抑える:
CodeBuild、Lambda、カスタムスクリプトなどの追加サービスによる複雑な設定を回避します。

323 / 363

323.

No.323
ある企業には、AWS CodeBuild を使用してコンテナイメージを作成する継続的インテグレーションパイプラインがあります。作成されたイメージは、Amazon Elastic Container Registry (Amazon ECR) に保存されます。
イメージの脆弱性をチェックして修正するには、時間がかかりすぎます。企業は、イメージの脆弱性を迅速に特定し、セキュリティチームに脆弱性を通知したいと考えています。
どの手順の組み合わせが、運用オーバーヘッドを最小限に抑えながら、これらの要件を満たすでしょうか。(2 つ選択してください。)

A. Amazon ECR の Amazon Inspector 拡張スキャンをアクティブ化します。拡張スキャンを設定して、継続的スキャンを使用します。Amazon Simple Notification Service (Amazon SNS) でトピックを設定します。

B. Amazon Inspector の検出結果に対して Amazon EventBridge ルールを作成します。Amazon Simple Notification Service (Amazon SNS) トピックをルールのターゲットとして設定します。

C. Amazon ECR の AWS Lambda 拡張スキャンをアクティブ化します。拡張スキャンを設定して、継続スキャンを使用します。Amazon Simple Email Service (Amazon SES) でトピックを設定します。

D. 新しい AWS Lambda 関数を作成します。スキャン結果が検出されると、新しい Lambda 関数を呼び出します。

E. すべてのコンテナイメージに対して Amazon ECR のデフォルトの基本スキャンをアクティブ化します。デフォルトの基本スキャンを設定して、継続スキャンを使用します。Amazon Simple Notification Service (Amazon SNS) でトピックを設定します。

回答: AB

説明:
これは、https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html に基づく AB です。

324 / 363

324.

No.324
DevOps 管理者は、会社のコンテナイメージを保存するためのリポジトリを設定しています。管理者は、特定のタグが付いていて 15 日以上経過したコンテナイメージを自動的に削除するライフサイクルルールを設定する必要があります。
どのソリューションが最も運用効率が高く、これらの要件を満たすでしょうか。

A. Amazon Elastic Container Registry (Amazon ECR) にリポジトリを作成します。リポジトリにライフサイクルポリシーを追加して、一致するタグが付いたイメージを 15 日後に期限切れにします。

B. AWS CodeArtifact にリポジトリを作成します。CodeArtifact リポジトリにリポジトリポリシーを追加して、一致するタグが付いた古いアセットを 15 日後に期限切れにします。

C. Amazon S3 にバケットを作成します。バケットライフサイクルポリシーを追加して、一致するタグが付いた古いオブジェクトを 15 日後に期限切れにします。

D. EC2 Image Builder コンテナレシピを作成します。ビルドコンポーネントを追加して、一致するタグが付いたコンテナを 15 日後に期限切れにします。

回答: A

説明:
A. Amazon Elastic Container Registry (Amazon ECR) にリポジトリを作成します。

325 / 363

325.

No.325
ある会社では、データウェアハウスソリューションとして Amazon Redshift を使用しています。この会社は、Redshift ユーザーの変更とユーザーが実行するクエリを表示するダッシュボードを作成したいと考えています。
この要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)

A. Amazon CloudWatch ロググループを作成します。CloudWatch ロググループに書き込む AWS CloudTrail トレイルを作成します。

B. 新しい Amazon S3 バケットを作成します。Redshift クラスターでデフォルトの監査ログを設定します。S3 バケットをターゲットとして設定します。

C. Redshift クラスターデータベース監査ログを設定して、ユーザーアクティビティログを含めます。Amazon CloudWatch をターゲットとして設定します。

D. ログウィジェットを含む Amazon CloudWatch ダッシュボードを作成します。ウィジェットを設定して、Redshift ログからユーザーの詳細を表示します。

E. Amazon Athena を使用して Redshift ログをクエリする AWS Lambda 関数を作成します。Lambda 関数を使用するカスタムウィジェットタイプを持つ Amazon CloudWatch ダッシュボードを作成します。

回答: CD

説明:
ユーザークエリをログに記録するには、Redshift クラスターで追加の設定が必要なユーザーアクティビティログを含める必要があります。B では言及されていないため、C になります。
次に、このログを表示するには、E ではログが S3 上にある必要があるため、D のみのオプションになります。

326 / 363

326.

No.326
ある会社では、AWS Organizations の組織を使用して 500 個の AWS アカウントを管理しています。組織ではすべての機能が有効になっています。AWS アカウントは単一の OU にあります。開発者は、組織のメンバーアカウントのすべてのリソースに対して CostCenter タグキーを使用する必要があります。一部のチームは、Amazon EC2 インスタンスにタグを付ける際に CostCenter タグキーを使用していません。
クラウドチームは、組織のメンバーアカウントのすべての EC2 インスタンスをスキャンするスクリプトを作成しました。EC2 インスタンスに CostCenter タグキーがない場合、スクリプトは AWS アカウント管理者に通知します。この通知を回避するために、一部の開発者はタグ値に任意の文字列を含む CostCenter タグキーを使用しています。
クラウドチームは、組織内のすべての EC2 インスタンスが適切なコストセンター値を持つ CostCenter タグキーを使用していることを確認する必要があります。
これらの要件を満たすソリューションはどれですか?

A. CostCenter タグキーのない EC2 インスタンスの作成を防止する SCP を作成します。すべての EC2 インスタンスの CostCenter タグが既知のコストセンターのリストにある値であることを要求するタグポリシーを作成します。ポリシーを OU にアタッチします。スクリプトを更新して、タグキーとタグ値をスキャンします。スクリプトを変更して、CostCenter タグキーのデフォルトの承認済みタグ値を使用して非準拠のリソースを更新します。

B. CostCenter タグキーのない EC2 インスタンスの作成を防止する SCP を作成します。ポリシーを OU にアタッチします。スクリプトを更新して、タグキーとタグ値をスキャンし、タグ値が有効でない場合は管理者に通知します。

C. CostCenter タグキーのない EC2 インスタンスの作成を防止する SCP を作成します。ポリシーを OU にアタッチします。組織のメンバーアカウントに、有効なコストセンターのリストに CostCenter タグ値を制限する IAM 権限境界を作成します。

D. すべての EC2 インスタンスの CostCenter タグが既知のコストセンターのリストにある値であることを要求するタグポリシーを作成します。ポリシーを OU にアタッチします。空の CostCenter タグキーを EC2 インスタンスに追加する AWS Lambda 関数を設定します。Lambda 関数をターゲットとして、イベントを RunInstances API アクションに一致させる Amazon EventBridge ルールを作成します。

回答: A

説明:
サービス制御ポリシー (SCP): SCP を作成すると、CostCenter タグキーなしで EC2 インスタンスを作成しようとする試みは最初から拒否されます。これにより、組織レベルで要件が適用されます。

タグポリシー: CostCenter タグ値が既知のリストからのものになるように強制するタグポリシーを作成することで、すべての EC2 インスタンスで有効なコストセンター値のみが使用されるようにすることができます。

スクリプトの更新: スクリプトを更新して、タグキーと値をスキャンするだけでなく、準拠していないリソースをデフォルトの承認済みタグ値で更新することで、コンプライアンスを確保し、任意の文字列値の問題を軽減します。

包括的なソリューション: このアプローチは、CostCenter タグの存在とその値の正確さの両方に対処し、問題に対する包括的なソリューションを提供します。

327 / 363

327.

No.327
DevOps エンジニアが AWS CodePipeline のパイプラインを使用します。パイプラインには、Amazon S3 バケットに配信されるシングルページウェブアプリケーションのビルドアクションとデプロイアクションがあります。Amazon CloudFront がウェブアプリケーションを提供します。ビルドアクションは、ウェブアプリケーションのアーティファクトを作成します。
DevOps エンジニアは、S3 バケットを定義し、アプリケーションをホストするように S3 バケットを構成する AWS CloudFormation テンプレートを作成しました。DevOps エンジニアは、S3 アクションの前に CloudFormation デプロイアクションを構成しました。CloudFormation デプロイアクションは S3 バケットを作成します。DevOps エンジニアは、CloudFormation テンプレートから S3 バケットを使用するように S3 デプロイアクションを構成する必要があります。
これらの要件を満たす手順の組み合わせはどれですか (2 つ選択してください)。

A. CloudFormation テンプレートに BucketName という出力を追加します。出力の値を、CloudFormation テンプレートから S3 バケットを参照するように設定します。出力値を、Stackvariables という AWS::SSM::Parameter リソースにエクスポートするように設定します。

B. CloudFormation テンプレートに BucketName という名前の出力を追加します。出力の値が CloudFormation テンプレートの S3 バケットを参照するように設定します。パイプラインで CloudFormation アクションの名前空間を StackVariables に設定します。

C. パイプラインの CloudFormation アクションの出力アーティファクトを、StackVariables という名前の AWS Systems Manager パラメータストアパラメータになるように設定します。アーティファクトに BucketName という名前を付けます。

D. ビルドアクションからのビルドアーティファクトを CodePipeline S3 デプロイアクションへの入力として設定します。StackVariables.BucketName 変数を使用して、デプロイアクションが S3 バケットにデプロイされるように設定します。

E. ビルドアクションからのビルドアーティファクトと AWS Systems Manager パラメータをデプロイアクションへの入力として設定します。StackVariables.BucketName 変数を使用して、デプロイアクションが S3 バケットにデプロイされるように設定します。

回答: BD

説明:
1. CloudFormation テンプレートで BucketName 出力を定義し、パイプラインの CloudFormation アクションの名前空間を StackVariables に設定します。
2. S3 デプロイアクションで StackVariables.BucketName 変数を使用して、ビルドアーティファクトを入力として使用しながら、S3 バケットを動的に指定します。

328 / 363

328.

★No.328
ある会社がリフトアンドシフト戦略を使用してワークロードを AWS に移行しました。この会社には Amazon EC2 インスタンスの Auto Scaling グループがあります。各 EC2 インスタンスは、Web アプリケーション、データベース、および Redis キャッシュを実行します。
ユーザーは、Web アプリケーションの応答時間に大きなばらつきを感じています。Web アプリケーションへのリクエストは、大きな負荷がかかっている単一の EC2 インスタンスに送信されます。この会社は、可用性とパフォーマンスを向上させるために、アプリケーションコンポーネントを分離したいと考えています。
これらの要件を満たすソリューションはどれですか?

A. Web アプリケーション用のネットワークロードバランサーと Auto Scaling グループを作成します。データベースを Amazon Aurora Serverless データベースに移行します。 Redis キャッシュ用の Application Load Balancer と Auto Scaling グループを作成します。

B. Web アプリケーション用の Application Load Balancer と Auto Scaling グループを作成します。データベースを、マルチ AZ 配置の Amazon Aurora データベースに移行します。Redis キャッシュ用の単一のアベイラビリティーゾーンに Network Load Balancer と Auto Scaling グループを作成します。

C. Web アプリケーション用の Network Load Balancer と Auto Scaling グループを作成します。データベースを Amazon Aurora Serverless データベースに移行します。キャッシュ用の Amazon ElastiCache (Redis OSS) クラスターを作成します。ElastiCache (Redis OSS) クラスターのホスト名を含む DNS ターゲットタイプを持つターゲットグループを作成します。

D. Web アプリケーション用の Application Load Balancer と Auto Scaling グループを作成します。データベースを、マルチ AZ 配置の Amazon Aurora データベースに移行します。キャッシュ用の Amazon ElastiCache (Redis OSS) クラスターを作成します。

329 / 363

329.

★No.329
ある企業は AWS Organizations を使用しており、次の要件を満たすガバナンス戦略を実装したいと考えています。
• AWS リソースへのアクセスは、すべてのアカウントで同じ 2 つのリージョンに制限されています。
• AWS サービスは、すべてのアカウントで特定のグループの承認済みサービスに制限されています。
• 認証は Active Directory によって提供されます。
• アクセス許可は職務別に整理されており、各アカウントで同一です。
これらの要件を満たすソリューションはどれですか?

A. 管理アカウントにグループポリシーを持つ組織単位 (OU) を確立し、リージョンと承認済みサービスを制限します。AWS CloudFormation StackSets を使用して、各アカウントの IAM ID プロバイダー認証用の IAM 信頼ポリシーなど、各職務のアクセス許可を持つロールをプロビジョニングします。

B. 管理アカウントにアクセス許可の境界を確立し、リージョンと承認済みサービスを制限します。AWS CloudFormation StackSets を使用して、各アカウントの IAM ID プロバイダー認証用の IAM 信頼ポリシーなど、各職務のアクセス許可を持つロールをプロビジョニングします。

C. 管理アカウントにサービス制御ポリシーを確立し、リージョンと承認済みサービスを制限します。 AWS Resource Access Manager (AWS RAM) を使用して、各アカウントの認証用の AWS IAM Identity Center を含む、各職務機能の権限を持つ管理アカウントロールを共有します。

D. 管理アカウントでサービス制御ポリシーを確立して、リージョンと承認されたサービスを制限します。AWS CloudFormation StackSets を使用して、各アカウントの IAM ID プロバイダー認証用の IAM 信頼ポリシーを含む、各職務機能の権限を持つロールをプロビジョニングします。

330 / 363

330.

No.330
ある会社が、多くの AWS アカウントで異常なログイン試行を検出しました。DevOps エンジニアは、ログイン試行が複数回失敗した場合に会社のセキュリティチームに通知を送信するソリューションを実装する必要があります。DevOps エンジニアは、Amazon Simple Notification Service (Amazon SNS) トピックをすでに作成しており、セキュリティチームを SNS トピックにサブスクライブしています。
どのソリューションが最も少ない運用労力で通知を提供しますか?

A. AWS CloudTrail を設定して、管理イベントを Amazon CloudWatch Logs ロググループに送信します。失敗した ConsoleLogin イベントに一致する CloudWatch Logs メトリックフィルターを作成します。メトリクスフィルターに基づく CloudWatch アラームを作成します。SNS トピックにメッセージを送信するためのアラームアクションを設定します。

B. 管理イベントを Amazon S3 バケットに送信するように AWS CloudTrail を設定します。S3 バケットのログで失敗したログインが見つかった場合に失敗を返す Amazon Athena クエリを作成します。クエリを定期的に実行するための Amazon EventBridge ルールを作成します。クエリが失敗したことを検出し、SNS トピックにメッセージを送信するための 2 番目の EventBridge ルールを作成します。

C. データイベントを Amazon CloudWatch Logs ロググループに送信するように AWS CloudTrail を設定します。失敗した ConsoleLogin イベントに一致する CloudWatch ログメトリクスフィルターを作成します。メトリクスフィルターに基づく CloudWatch アラームを作成します。SNS トピックにメッセージを送信するためのアラームアクションを設定します。

D. データイベントを Amazon S3 バケットに送信するように AWS CloudTrail を設定します。s3:ObjectCreated イベントタイプの Amazon S3 イベント通知を設定します。ConsoleLogin の失敗したイベントでイベントタイプをフィルタリングします。SNS トピックに転送するようにイベント通知を設定します。

答え: A

説明:
「A」は確かに最もエレガントで明白な解決策です。
「B」はうまくいくかもしれませんが、はるかに複雑すぎるようです

331 / 363

331.

No.331
ある会社が Amazon API Gateway を使用して新しい REST API を導入しました。この会社は機密データにアクセスするために API を使用しています。この API には、会社内の特定の VPC からのみアクセスする必要があります。
これらの要件を満たすソリューションはどれですか?

A. API Gateway API にリソースポリシーを作成してアタッチします。特定の VPC ID のみを許可するようにリソースポリシーを設定します。

B. API Gateway API にセキュリティグループを追加します。特定の VPC IP アドレス範囲のみを許可するようにインバウンドルールを設定します。

C. API Gateway API に IAM ロールを作成してアタッチします。特定の VPC ID のみを許可するように IAM ロールを設定します。

D. API Gateway API に ACL を追加します。特定の VPC IP アドレス範囲のみを許可するようにアウトバウンドルールを設定します。

回答: A

説明:
API Gateway はリソースポリシーをサポートしており、VPC ID や IP 範囲などの特定の条件に基づいてアクセスを制限できます。特定の VPC からのアクセスのみを許可するリソースポリシーを API Gateway にアタッチできます。これは、特定の VPC からのアクセスのみを許可するという要件を満たす最も直接的で安全な方法です。

332 / 363

332.

No.332
ある企業は、Application Load Balancer (ALB) に接続された Amazon Elastic Container Service (Amazon ECS) サービスを使用して Web サイトを運営しています。サービスは安定した状態にあり、タスクはリクエストに正常に応答していました。
DevOps エンジニアは、新しいコンテナイメージを使用してタスク定義を更新し、新しいタスク定義をサービスにデプロイしました。DevOps エンジニアは、ALB ヘルスチェックが失敗しているため、サービスが頻繁に停止して新しいタスクを開始していることに気付きました。
DevOps エンジニアは、失敗したデプロイのトラブルシューティングを行うために何をすべきでしょうか?

A. サービスに関連付けられたセキュリティグループが ALB からのトラフィックを許可していることを確認します。

B. サービスの ALB ヘルスチェック猶予期間を延長します。

C. サービスの最小正常パーセント設定を増やします。

D. ALB ヘルスチェック間隔を短縮します。

回答: B

説明:
「A」は誤りです。質問では、エンジニアはタスク定義でイメージを更新しただけであると述べられています。そのため、セキュリティグループに影響を与えることはできませんでした。
「B」は正しい説明かもしれません。新しい Docker コンテナ (新しいイメージに基づく) は起動に時間がかかるためです。そのため、猶予期間を長くすると、最終的にヘルスチェックの結果が成功し、コンテナの再起動がなくなる可能性があります。

回答: B

333 / 363

333.

No.333
電子患者健康記録を使用する会社では、Amazon Linux オペレーティングシステムで Amazon EC2 インスタンス群を実行しています。この会社は、EC2 インスタンスが現在のプライバシー規制に準拠したオペレーティングシステムパッチとアプリケーションパッチを実行していることを継続的に確認する必要があります。この会社は、カスタムリポジトリを使用してアプリケーションパッチを格納しています。
DevOps エンジニアは、オペレーティングシステムパッチとアプリケーションパッチの展開を自動化する必要があります。DevOps エンジニアは、デフォルトのオペレーティングシステムパッチリポジトリとカスタムパッチリポジトリの両方を使用したいと考えています。
どのソリューションが、最小限の労力でこれらの要件を満たしますか?

A. AWS Systems Manager を使用して、デフォルトのオペレーティングシステムリポジトリとカスタムリポジトリを含む新しいカスタムパッチベースラインを作成します。Run コマンドを使用して AWS-RunPatchBaseline ドキュメントを実行し、パッチを検証してインストールします。BaselineOverride API を使用して、新しいカスタムパッチベースラインを構成します。

B. AWS Direct Connect を使用して、カスタムリポジトリを EC2 インスタンスと統合します。Amazon EventBridge イベントを使用してパッチを展開します。

C. yum-config-manager コマンドを使用して、カスタムリポジトリを /etc/yum.repos.d 構成に追加します。yum-config-manager-enable コマンドを実行して、新しいリポジトリをアクティブ化します。

D. AWS Systems Manager を使用して、デフォルトのオペレーティングシステムリポジトリのパッチベースラインとカスタムリポジトリの 2 番目のパッチベースラインを作成します。Run コマンドを使用して AWS-RunPatchBaseline ドキュメントを実行し、パッチを検証してインストールします。BaselineOverride API を使用して、デフォルトのパッチベースラインとカスタムパッチベースラインを構成します。

回答: A

説明:
AWS Systems Manager を使用すると、デフォルトのオペレーティングシステムリポジトリとカスタムリポジトリの両方を含むカスタムパッチベースラインを作成できます。これにより、パッチベースラインの管理が一元化されます。
Systems Manager Run コマンドを使用して AWS-RunPatchBaseline ドキュメントを実行し、パッチの検証とインストールを自動化して、現在のプライバシー規制に準拠することができます。
BaselineOverride API を使用すると、カスタムパッチベースラインを使用してデフォルト設定をオーバーライドする柔軟性が得られ、すべての EC2 インスタンスにわたるパッチ適用プロセスが効率化されます。

334 / 363

334.

★No.334
ある企業は、AWS Organizations 内の組織を使用して複数の AWS アカウントを管理しています。この企業は、組織に対して有効になっているすべての機能を有効にしています。この企業は、ルート OU の下の OU の階層として組織を構成しました。この企業は最近、すべての OU を登録し、すべての AWS アカウントを AWS Control Tower に登録しました。
この企業は、各 AWS アカウントで AWS Control Tower 管理の AWS Config 構成レコーダーをカスタマイズする必要があります。この企業は、既存の AWS アカウントと、今後 AWS Control Tower に登録する新しい AWS アカウントの両方にカスタマイズを適用する必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)。

A. 新しい AWS アカウントを作成します。新しいアカウントで AWS Lambda 関数を作成し、組織内の各 AWS アカウントの AWS Config 構成レコーダーにカスタマイズを適用します。

B. AWS Config 委任管理者として新しい AWS アカウントを作成します。委任管理者アカウントで AWS Lambda 関数を作成し、委任管理者アカウントの AWS Config 構成レコーダーにカスタマイズを適用します。

C. AWS Control Tower 管理アカウントで Amazon EventBridge ルールを構成して、Organizations OU が登録または再登録されたときに AWS Lambda 関数を呼び出します。ルート Organizations OU を再登録します。

D. 組織内の各 AWS アカウントの AWSControlTowerExecution IAM ロールを、AWS Lambda 関数が引き受けられるように構成します。Lambda 関数が AWSControlTowerExecution IAM ロールを引き受けられるように構成します。

E. AWS Lambda 関数が引き受けることができる IAM ロールを AWS Control Tower 管理アカウントに作成します。組織内の任意のアカウントで AWSControlTowerExecution IAM ロールを引き受ける権限を IAM ロールに付与します。新しい IAM ロールを使用するように Lambda 関数を構成します。

F. AWS Control Tower 管理アカウントで Amazon EventBridge ルールを設定し、AWS アカウントが AWS Control Tower で更新または登録されたとき、またはランディングゾーンが更新されたときに AWS Lambda 関数を呼び出します。組織内の各組織 OU を再登録します。

335 / 363

335.

No.335
ある会社では、アプリケーションロードバランサー (ALB) の背後にある Amazon EC2 インスタンスの Auto Scaling グループでアプリケーションを実行しています。EC2 インスタンスは、別の EC2 インスタンスで実行される MySQL データベースにリクエストを行う Docker コンテナを実行します。
DevOps エンジニアは、サーバーレスアーキテクチャを使用するようにアプリケーションを更新する必要があります。
最も少ない変更でこの要件を満たすソリューションはどれですか?

A. EC2 インスタンスで実行されるコンテナと ALB を AWS Lambda 関数に置き換えます。MySQL データベースを、MySQL と互換性のある Amazon Aurora Serverless v2 データベースに置き換えます。

B. EC2 インスタンスで実行されるコンテナを AWS Fargate に置き換えます。MySQL データベースを、MySQL と互換性のある Amazon Aurora Serverless v2 データベースに置き換えます。

C. EC2 インスタンスで実行されるコンテナと ALB を AWS Lambda 関数に置き換えます。MySQL データベースを Amazon DynamoDB テーブルに置き換えます。

D. EC2 インスタンスで実行されるコンテナを AWS Fargate に置き換えます。 MySQL データベースを Amazon DynamoDB テーブルに置き換えます。

回答: B

説明:
「B」は、質問にあるように、最も簡単に実装できるオプションです。

残りのオプションでは、SQL から NoSQL への移行 (複数のコード変更が必要) や Docker コンテナから Lambda への移行 (複数のコード変更が必要) が必要です。

336 / 363

336.

No.336
ある会社では、AWS Organizations の組織を使用して 10 個の AWS アカウントを管理しています。すべての機能が有効になっており、AWS CloudFormation の信頼できるアクセスが有効になっています。
DevOps エンジニアは、CloudFormation を使用して、Organizations 管理アカウントと組織内のすべてのメンバーアカウントに IAM ロールをデプロイする必要があります。
これらの要件を満たす、運用オーバーヘッドが最も少ないソリューションはどれですか?

A. サービス管理権限を持つ CloudFormation StackSet を作成します。ルート OU をデプロイターゲットとして設定します。

B. サービス管理権限を持つ CloudFormation StackSet を作成します。ルート OU をデプロイターゲットとして設定します。 Organizations 管理アカウントに別の CloudFormation スタックをデプロイします。

C. 自己管理権限を持つ CloudFormation StackSet を作成します。ルート OU をデプロイターゲットとして設定します。

D. 自己管理権限を持つ CloudFormation StackSet を作成します。ルート OU をデプロイターゲットとして設定します。Organizations 管理アカウントに別の CloudFormation スタックをデプロイします。

回答: B

説明:
B だと思います。サービス管理権限を持つスタックセットは、管理アカウントにデプロイされません。

「StackSets は、管理アカウントが組織内または組織内の OU 内にある場合でも、組織の管理アカウントにスタックインスタンスをデプロイしません。」
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org

337 / 363

337.

No.337
ある会社では、Amazon S3 バケットに成果物を保存するアプリケーションを実行しています。このアプリケーションには大規模なユーザーベースがあります。このアプリケーションは、大量のオブジェクトを S3 バケットに書き込みます。この会社では、S3 バケットのイベント通知を有効にしています。
アプリケーションが S3 バケットにオブジェクトを書き込む場合、複数の処理タスクを同時に実行する必要があります。この会社の DevOps チームは、処理タスクをオーケストレーションするための AWS Step Functions ワークフローを作成する必要があります。
DevOps チームは、これらの要件を最小の運用オーバーヘッドで満たすために、どのステップの組み合わせを実行する必要がありますか? (2 つ選択してください)。

A. 処理タスクを定義する並列状態を含む標準ワークフローを作成します。処理タスクを定義する並列状態を含む非同期 Express ワークフローを作成します。

B. 処理タスクを定義するマップ状態を含む同期 Express ワークフローを作成します。

C. 新しい S3 オブジェクトが作成されたときに一致する Amazon EventBridge ルールを作成します。AWS Lambda 関数を呼び出すように EventBridge ルールを設定します。 Lambda 関数を設定して、処理ワークフローを開始します。

D. 新しい S3 オブジェクトが作成されたときに一致する Amazon EventBridge ルールを作成します。EventBridge ルールを設定して、処理ワークフローを開始します。

回答: AD

説明:
スペルミスがあり、オプション B がオプション A に含まれています。Express ワークフローではなく、長期実行 (最大 1 年)、耐久性があり、監査可能なワークフローに推奨される標準ワークフローを選択します。Express ワークフローは、IoT データの取り込み、ストリーミングデータの処理と変換、モバイルアプリケーションのバックエンドなどの大量のイベント処理ワークロードに最適で、最大 5 分間実行できます。

338 / 363

338.

No.338
DevOps チームは、Application Load Balancer (ALB) の背後にある Amazon Elastic Container Service (Amazon ECS) クラスターで実行されるアプリケーションをサポートしています。現在、DevOps チームは、AWS CodeDeploy を使用して、ブルー/グリーンの一括戦略でアプリケーションをデプロイしています。最近、アプリケーションの新バージョンによってリクエストの応答時間が大幅に増加したため、DevOps チームはデプロイメントをロールバックする必要がありました。
DevOps チームは、チームがすべてのトラフィックを新バージョンに移行する前に、アプリケーションの新バージョンを監視できるデプロイメント戦略を使用する必要があります。アプリケーションの新バージョンによって応答時間が増加する場合は、デプロイメントをできるだけ早くロールバックする必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. CodeDeploy デプロイメントを変更して、CodeDeployDefault.ECSCanary10Percent5Minutes 構成を使用します。

B. CodeDeploy デプロイメントを変更して、CodeDeployDefault.ECSLinear10PercentEvery3Minutes 構成を使用します。

C. Amazon CloudWatch アラームを作成して、ALB の UnHealthyHostCount メトリックを監視します。メトリックが目的の値よりも高い場合にアラームがアクティブになるように設定します。アラームを CodeDeploy デプロイメントグループに関連付けます。デプロイメントが失敗したときにロールバックするようにデプロイメントグループを変更します。

D. Amazon CloudWatch アラームを作成して、ALB の TargetResponseTime メトリクスを監視します。メトリクスが目的の値よりも高い場合にアラームがアクティブになるように設定します。アラームを CodeDeploy デプロイメントグループに関連付けます。アラームしきい値に達したときにロールバックするようにデプロイメントグループを変更します。

E. Amazon CloudWatch アラームを作成して、ALB の TargetConnectionErrorCount メトリクスを監視します。メトリクスが目的の値よりも高い場合にアラームがアクティブになるように設定します。アラームを CodeDeploy デプロイメントグループに関連付けます。アラームしきい値に達したときにロールバックするようにデプロイメントグループを変更します。

回答: AD

説明:
CodeDeployDefault.ECSCanary10Percent5Minutes を使用したカナリアデプロイメント戦略を使用すると、制御された段階的なデプロイメントが可能になり、新しいバージョンのパフォーマンスを監視できるようになります。同時に、CloudWatch アラームを使用して TargetResponseTime を監視すると、応答時間に関する問題が早期に検出され、以前の安定したバージョンにすばやくロールバックできるようになります。

339 / 363

339.

No.339
セキュリティチームは、AWS リソースの設定を記録し、問題を検出し、検出結果の通知を送信する必要があります。AWS アカウントの主なワークロードは、1 日中に数回スケールインおよびスケールアウトする Amazon EC2 Auto Scaling グループで構成されています。
チームは、Amazon EC2 セキュリティグループが 0.0.0.0/0 のポート 22 のトラフィックを許可した場合、2 日以内に通知を受け取りたいと考えています。また、チームは、AWS リソースの設定のスナップショットを定期的に取得する必要があります。
セキュリティチームは、Amazon Simple Notification Service (Amazon SNS) トピックをすでに作成し、サブスクライブしています。
これらの要件を満たすソリューションはどれですか?

A. AWS アカウントの定期的な記録を使用するように AWS Config を構成します。vpc-sg-port-restriction-check AWS Config マネージドルールをデプロイします。SNS トピックを通知のターゲットとして使用するように AWS Config を構成します。

B. AWS アカウントの設定変更記録を使用するように AWS Config を構成します。 vpc-sg-open-only-to-authorized-ports AWS Config マネージドルールをデプロイします。通知のターゲットとして SNS トピックを使用するように AWS Config を設定します。

C. AWS アカウントの設定変更記録を使用するように AWS Config を設定します。ssh 制限付き AWS Config マネージドルールをデプロイします。通知のターゲットとして SNS トピックを使用するように AWS Config を設定します。

D. セキュリティグループを評価し、SNS トピックにメッセージを公開する AWS Lambda 関数を作成します。Amazon EventBridge ルールを使用して、Lambda 関数が 1 日に 1 回実行されるようにスケジュールします。

回答: C

説明:
設定変更記録: 設定変更記録を使用するように AWS Config を設定すると、変更があるたびに、システムは AWS リソースの設定を継続的に監視および記録します。これにより、リアルタイムのコンプライアンス監視が保証され、検出の遅延が削減されます。

適切なマネージドルール: ssh 制限付き AWS Config マネージドルールは、無制限の SSH (ポート 22) アクセスを許可するセキュリティグループを特にチェックします。このルールは、EC2 セキュリティグループがポート 22 で 0.0.0.0/0 のトラフィックを許可した場合に通知を受けるという要件に直接対処します。

通知の設定: AWS Config を SNS トピックを使用するように構成すると、ルールに違反した場合にセキュリティチームに指定された時間枠内に通知が届きます。AWS Config は、非準拠のリソースが検出されるとすぐに SNS トピックに通知を送信できます。

340 / 363

340.

No.340
ある会社では、Amazon CloudFront ディストリビューションを使用して独自のデータを利用できます。この会社は、IP アドレス範囲の既知のセットを持つ本社のユーザーのみがディストリビューションにアクセスできるようにする必要があります。AWS WAF Web ACL がディストリビューションに関連付けられており、デフォルトのアクションが Count に設定されています。
どのソリューションが、運用オーバーヘッドが最も少なく、これらの要件を満たしますか?

A. 新しい正規表現パターンセットを作成します。正規表現パターンセットを新しいルールグループに追加します。デフォルトのアクションが Block に設定されている新しい Web ACL を作成します。Web ACL を CloudFront ディストリビューションに関連付けます。新しいルールグループに基づいてトラフィックを許可するルールを追加します。

B. 企業オフィスの IP アドレス範囲に一致する AWS WAF IP アドレスセットを作成します。デフォルトのアクションが「許可」に設定されている新しいウェブ ACL を作成します。ウェブ ACL を CloudFront ディストリビューションに関連付けます。IP アドレスセットからのトラフィックを許可するルールを追加します。

C. 新しい正規表現パターンセットを作成します。正規表現パターンセットを新しいルールグループに追加します。既存のウェブ ACL のデフォルトのアクションを許可に設定します。正規表現パターンセットに基づいてトラフィックを許可する優先度 0 のルールを追加します。

D. 企業オフィスの IP アドレス範囲に一致する WAF IP アドレスセットを作成します。既存のウェブ ACL のデフォルトのアクションを「ブロック」に設定します。IP アドレスセットからのトラフィックを許可する優先度 0 のルールを追加します。

回答: D

説明:
既存のウェブ ACL の使用: このアプローチでは、既存のウェブ ACL を活用するため、新しい ACL を作成する必要性が最小限に抑えられ、運用上のオーバーヘッドが削減されます。
IP アドレスセット: 企業オフィスの IP アドレス範囲に一致する WAF IP アドレスセットを作成することで、アクセスを許可する IP アドレスを正確に定義できます。
デフォルトでブロック: デフォルトのアクションをブロックに設定すると、定義された IP アドレスからのトラフィックのみが許可され、セキュリティ要件が満たされます。
高優先度ルール: IP アドレスセットからのトラフィックを許可する高優先度ルール (優先度 0) を追加すると、企業オフィスからの正当なトラフィックがブロックされなくなります。

341 / 363

341.

No.341
ある会社では、同じ AWS アカウントで複数のアプリケーションを実行しています。アプリケーションは Amazon CloudWatch にログを送信します。
データ分析チームは、アプリケーションからパフォーマンスメトリクスとカスタムメトリクスを収集する必要があります。分析チームは、データを Amazon S3 バケットに保存する前に、メトリクスデータを変換する必要があります。分析チームは、CloudWatch 名前空間に追加された新しいメトリクスを自動的に収集する必要があります。
どのソリューションが、運用オーバーヘッドを最小限に抑えながら、これらの要件を満たしますか?

A. アプリケーションと CloudWatch 名前空間からのメトリクスを含めるように CloudWatch メトリクスストリームを構成します。メトリクスを Amazon Data Firehose 配信ストリームに配信するようにメトリクスストリームを構成します。データを変換するために AWS Lambda 関数を呼び出すように Firehose 配信ストリームを構成します。変換されたデータを S3 バケットに送信するように配信ストリームを構成します。

B. すべてのメトリクスを含め、メトリクスを Amazon Data Firehose 配信ストリームに配信するように CloudWatch メトリクスストリームを構成します。データを変換するために AWS Lambda 関数を呼び出すように Firehose 配信ストリームを構成します。変換されたデータを S3 バケットに送信するように配信ストリームを構成します。

C. CloudWatch ログのメトリクスフィルターを設定してカスタムメトリクスを作成します。アプリケーションメトリクスを S3 バケットに配信するように CloudWatch メトリクスストリームを設定します。

D. アプリケーションロググループのサブスクリプションフィルターを設定して、Amazon Data Firehose 配信ストリームをターゲットにします。Firehose 配信ストリームを設定して、AWS Lambda 関数を呼び出してデータを変換します。配信ストリームを設定して、変換されたデータを S3 バケットに送信します。

回答: A

説明:
要件は次のとおりです。

1. CloudWatch からパフォーマンスメトリクスとカスタムメトリクスを収集します。

2. 名前空間に追加された新しいメトリクスを自動的に含めます。

3. メトリクスデータを変換します。

4. 変換されたデータを S3 バケットに保存します。

5. 運用オーバーヘッドを最小限に抑えます。

オプション A: アプリケーションと CloudWatch 名前空間からのメトリクスを含めるように CloudWatch メトリクスストリームを設定します。メトリクスを Amazon Data Firehose 配信ストリームに配信するようにメトリクスストリームを設定します。Firehose 配信ストリームを設定して、AWS Lambda 関数を呼び出してデータを変換します。配信ストリームを構成して、変換されたデータを S3 バケットに送信します。

342 / 363

342.

No.342
ある会社では、HPC プラットフォームを使用してデータの分析ジョブを実行しています。この会社は、AWS CodeBuild を使用してコンテナイメージを作成し、Amazon Elastic Container Registry (Amazon ECR) にイメージを保存します。その後、イメージは Amazon Elastic Kubernetes Service (Amazon EKS) にデプロイされます。
コンプライアンスを維持するために、会社はイメージが Amazon EKS にデプロイされる前にイメージが署名されていることを確認する必要があります。署名キーは定期的にローテーションし、自動的に管理する必要があります。会社は、署名を生成したユーザーを追跡する必要があります。
どのソリューションが、最小限の運用労力でこれらの要件を満たしますか?

A. CodeBuild を使用して、以前に Amazon ECR にプッシュされたイメージを取得します。AWS Signer を使用してイメージに署名します。AWS CloudTrail を使用して、署名を生成したユーザーを追跡します。

B. AWS Lambda を使用して、以前に Amazon ECR にプッシュされたイメージを取得します。Lambda 関数を使用してイメージに署名します。Amazon CloudWatch を使用して、署名を生成したユーザーを追跡します。

C. AWS Lambda を使用して、以前に Amazon ECR にプッシュされたイメージを取得します。AWS Signer を使用してイメージに署名します。Amazon CloudWatch を使用して、署名を生成したユーザーを追跡します。

D. CodeBuild を使用してイメージを構築します。イメージを Amazon ECR にプッシュする前に、AWS Signer を使用してイメージに署名します。AWS CloudTrail を使用して、署名を生成したユーザーを追跡します。

回答: D

説明:
このソリューションは、最小限の運用労力ですべての要件を満たします。理由:

1. AWS Signer によるイメージの署名:

2. 自動化されたキーローテーション:

3. イメージに署名したユーザーを追跡:

4. イメージの作成に CodeBuild を使用する:

5. 最小限の運用労力:

343 / 363

343.

No.343
ある会社では、社内で開発した Python パッケージを保存するために AWS CodeArtifact リポジトリを使用しています。DevOps エンジニアは、AWS CodeDeploy を使用してアプリケーションを Amazon EC2 インスタンスにデプロイする必要があります。アプリケーションは、CodeArtifact リポジトリに保存されている Python パッケージを使用します。BeforeInstall ライフサイクルイベントフックによってパッケージがインストールされます。
DevOps エンジニアは、EC2 インスタンスに CodeArtifact リポジトリへのアクセスを許可する必要があります。
この要件を満たすソリューションはどれですか?

A. CodeArtifact のサービスにリンクされたロールを作成します。ロールを EC2 インスタンスに関連付けます。インスタンスで aws codeartifact get-authorization-token CLI コマンドを使用します。

B. EC2 インスタンスプリンシパルの ReadFromRepository アクションを許可するリソースベースのポリシーを CodeArtifact リポジトリに設定します。

C. EC2 インスタンスが Python パッケージにアクセスできるように、CodeArtifact リポジトリの ACL を設定します。

D. CodeArtifact にアクセスできる IAM ロールを含むインスタンスプロファイルを作成します。インスタンスプロファイルを EC2 インスタンスに関連付けます。インスタンスで aws codeartifact login CLI コマンドを使用します。

回答: D

説明:
D. CodeArtifact にアクセスできる IAM ロールを含むインスタンスプロファイルを作成します。インスタンスプロファイルを EC2 インスタンスに関連付けます。インスタンスで aws codeartifact login CLI コマンドを使用します。

説明:

EC2 インスタンスが CodeArtifact リポジトリにアクセスできるようにするには、EC2 インスタンスに AWS CodeArtifact とやり取りするために必要な IAM 権限が必要です。オプション D が最適なソリューションである理由は次のとおりです。

344 / 363

344.

No.344
ある会社には、Amazon EC2 インスタンスで実行されるデータベースにファイルを保存するファイル読み取りアプリケーションがあります。規制により、会社は毎日特定の時間に EC2 インスタンスからファイルを削除することが義務付けられています。会社は 60 日以上経過したデータベースレコードを削除する必要があります。
データベースレコードの削除は、ファイルの削除後に実行する必要があります。この会社は、ファイルとデータベースレコードを削除するスクリプトを作成しました。この会社は、削除スクリプトが失敗した場合にメール通知を受け取る必要があります。
どのソリューションが、開発の労力を最小限に抑えてこれらの要件を満たしますか?

A. AWS Systems Manager State Manager を使用して、毎日指定された時間に Systems Manager Automation ドキュメントを自動的に呼び出します。Automation ドキュメントを設定して、実行コマンドを使用して削除スクリプトを順番に実行します。Amazon EventBridge ルールを作成し、Amazon Simple Notification Service (Amazon SNS) を使用して会社に失敗通知を送信します。

B. AWS Systems Manager State Manager を使用して、毎日指定された時間に Systems Manager Automation ドキュメントを自動的に呼び出します。Automation ドキュメントを設定して、実行コマンドを使用して削除スクリプトを順番に実行します。Automation ドキュメント内に条件ステートメントを作成し、エラーをチェックする最後のステップとして作成します。Amazon Simple Email Service (Amazon SES) を使用して、会社に失敗通知をメールメッセージとして送信します。

C. 指定された時間に AWS Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。 Lambda 関数のリソースベースのポリシーに、呼び出しに必要な権限を追加します。 Lambda 関数を設定して、削除スクリプトを順番に実行します。 Lambda 関数を設定して、Amazon Simple Notification Service (Amazon SNS) を使用して会社に失敗通知を送信します。

D. 指定された時間に AWS Lambda 関数を呼び出す Amazon EventBridge ルールを作成します。 Lambda 関数のリソースベースのポリシーに、呼び出しに必要な権限を追加します。 Lambda 関数を設定して、削除スクリプトを順番に実行します。 Lambda 関数を設定して、Amazon Simple Email Service (Amazon SES) を使用して、会社に失敗通知をメールメッセージとして送信します。

回答: A

説明:
オプション A は、開発の労力を最小限に抑えて最も効率的なソリューションを提供します。 AWS Systems Manager Automation を使用して削除スクリプトの実行を調整し、Amazon SNS を使用して失敗通知を処理します。これは、SES を使用するよりもシンプルで合理化されています。

345 / 363

345.

No.345
ある企業は、AWS アカウントを管理するためにすべての機能が有効になっている AWS Organizations 内の組織を使用しています。Amazon EQ インスタンスは AWS アカウントで実行されます。
この企業では、現在のすべての EC2 インスタンスでインスタンスメタデータサービスバージョン 2 (IMDSv2) を使用する必要があるとしています。この企業は、IMDSv2 を使用していない EC2 インスタンスから発信される AWS API 呼び出しをブロックする必要があります。
これらの要件を満たすソリューションはどれですか?

A. ec2:MetadataHttpTokens 条件キーが required の値と等しくない場合に ec2:RunInstances アクションを拒否する新しい SCP ステートメントを作成します。SCP を組織のルートにアタッチします。

B. ec2:MetadataHttpPutResponseHopLimit 条件キーの値が 2 より大きい場合に ec2:RunInstances アクションを拒否する新しい SCP ステートメントを作成します。SCP を組織のルートにアタッチします。

C. ec2:RoleDelivery 条件キー値が 2 未満の場合に「*」を拒否する新しい SCP ステートメントを作成します。SCP を組織のルートにアタッチします。

D. ec2:MetadataHttpTokens 条件キー値が required と等しくない場合に拒否する新しい SCP ステートメントを作成します。SCP を組織のルートにアタッチします。

回答: D

説明:
D だと思います。
確かに ec2:MetadataHttpTokens 条件キーを使用する必要がありますが、ec2:RunInstances のみを拒否すると、すでに実行中の EC2 インスタンスは AWS API 呼び出しを実行できます。IMDSv2 を使用していなくてもです。

346 / 363

346.

No.346
DevOps チームは、Auto Scaling グループ内の多数の Amazon EC2 インスタンスで実行されるアプリケーションをサポートしています。DevOps チームは AWS CloudFormation を使用して EC2 インスタンスをデプロイします。アプリケーションで最近問題が発生しました。 1 つのインスタンスが、リクエストの大部分に対してエラーを返しました。EC2 インスタンスは、Amazon EC2 と Elastic Load Balancing の両方のヘルスチェックに対して正常であると応答しました。
DevOps チームは、埋め込みメトリック形式を使用して Amazon CloudWatch でアプリケーションログを収集します。いずれかの EC2 インスタンスが全エラーの半分以上の原因である場合、DevOps チームはアラートを受信する必要があります。
どの手順の組み合わせが、運用オーバーヘッドを最小限に抑えながらこれらの要件を満たしますか? (2 つ選択してください)。

A. インスタンス ID とエラーに基づいて CloudWatch アプリケーションログからログをグループ化する CloudWatch Contributor Insights ルールを作成します。

B. AWS リソースグループにリソースグループを作成します。CloudFormation スタックを使用して、アプリケーションのリソースをグループ化します。アプリケーションを CloudWatch Application Insights に追加します。リソースグループを使用してアプリケーションを識別します。

C. アプリケーションログのメトリクスフィルターを作成し、「エラー」という用語の発生回数をカウントします。METRIC_COUNT 関数を使用してエラーが発生したかどうかを判断する CloudWatch アラームを作成します。CloudWatch アラームを設定して、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信し、DevOps チームに通知します。

D. INSIGHT_RULE_METRIC 関数を使用して、EC2 インスタンスによって報告されたすべてのエラーの半分以上が特定のインスタンスによるものであるかどうかを判断する CloudWatch アラームを作成します。CloudWatch アラームを設定して、Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信し、DevOps チームに通知します。

E. アプリケーションログの CloudWatch サブスクリプションフィルターを作成し、エラーをフィルターして AWS Lambda 関数を呼び出します。Lambda 関数を設定して、インスタンス ID とエラーを Amazon Simple Notification Service (Amazon SNS) トピックに通知し、DevOps チームに通知します。

回答: AD

説明:
A と D は、どの EC2 インスタンスがエラーの原因となっているかを追跡するための合理的かつ自動化された方法を提供します。エラーの割合を高く設定し、このしきい値を超えたときにアラートを送信することで、手動による介入と運用上のオーバーヘッドを最小限に抑えます。

347 / 363

347.

No.347
ある会社では、AWS CloudFormation を使用してアプリケーション環境のデプロイを実行しています。既存の CloudFormation スタックへの最近の更新中にデプロイが失敗しました。DevOps エンジニアは、スタック内の一部のリソースが手動で変更されていることを発見しました。
DevOps エンジニアは、リソースの手動変更を検出し、DevOps リーダーにアラートを送信するソリューションを必要としています。
どのソリューションが、最小限の運用労力でこれらの要件を満たしますか?

A. Amazon Simple Notification Service (Amazon SNS) トピックを作成します。メールアドレスを使用して、DevOps リーダーをトピックにサブスクライブします。CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK 識別子を持つ AWS Config マネージドルールを作成します。NON_COMPLIANT リソースステータスで呼び出される Amazon EventBridge ルールを作成します。SNS トピックをルールターゲットとして設定します。

B. すべての CloudFormation リソースに特定のタグを付けます。 AWS Config ルール開発キットライブラリ (RDKlib) を使用して、特定のタグを持つすべてのリソース変更をチェックする AWS Config カスタムルールを作成します。変更が CloudFormation によって実行されていない場合、タグ付けされたすべてのリソース変更を NON_COMPLIANT としてマークするようにカスタムルールを設定します。NON_COMPUANT リソースステータスで呼び出される Amazon EventBridge ルールを作成します。DevOps リーダーにメールメッセージを送信する AWS Lambda 関数を作成します。Lambda 関数をルールターゲットとして設定します。

C. Amazon Simple Notification Service (Amazon SNS) トピックを作成します。メールアドレスを使用して、DevOps リーダーをトピックにサブスクライブします。CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK 識別子を持つ AWS Config マネージドルールを作成します。COMPLIANT リソースステータスで呼び出される Amazon EventBridge ルールを作成します。SNS トピックをルールターゲットとして設定します。

D. CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK 識別子を持つ AWS Config マネージドルールを作成します。 NON_COMPLIANT リソースステータスで呼び出される Amazon EventBridge ルールを作成します。DevOps リーダーに電子メールメッセージを送信する AWS Lambda 関数を作成します。Lambda 関数をルールのターゲットとして設定します。

回答: A

説明:
主な要件:

1. CloudFormation 管理リソースの手動変更を検出します。

2. このような変更が検出されると、DevOps リーダーにアラートを送信します。

3. 最小限の運用労力でこれを実現します。

348 / 363

348.

No.348
DevOps エンジニアは、AWS Control Tower を使用して複数の AWS アカウントをデプロイし、企業内のさまざまなビジネス、技術、管理部門をサポートしました。セキュリティチームは、DevOps エンジニアに、企業向けの AWS Control Tower ガードレールを自動化してもらう必要があります。ガードレールは、AWS Organizations 内の企業組織の OU 内のすべてのアカウントに適用する必要があります。
セキュリティチームは、バージョン管理機能を備え、必要に応じてレビューおよびロールバックできるソリューションを必要としています。セキュリティチームは、ソリューションの管理を OU 内で維持します。セキュリティチームは、許可されるガードレールの種類を制限し、セキュリティチームによって承認された新しいガードレールのみを許可したいと考えています。
どのソリューションが最も運用効率が高く、これらの要件を満たすでしょうか。

A. ガードレールに合わせた個別の AWS CloudFormation テンプレートを作成します。テンプレートを AWS CodeCommit リポジトリに保存します。組織内の各 OU のテンプレートに、AWS::ControlTower::EnableControl 論理リソースを作成します。セキュリティチームの AWS CodeCommit 変更に対して Amazon EventBridge ルールが呼び出す AWS Code Build プロジェクトを設定します。

B. ガードレールに整合する個別の AWS CloudFormation テンプレートを作成します。テンプレートを AWS CodeCommit リポジトリに保存します。組織内の各アカウントのテンプレートに AWS::ControlTower::EnableControl 論理リソースを作成します。セキュリティチームのアカウントに AWS CodePipeline パイプラインを設定します。セキュリティチームにパイプラインを呼び出すように指示し、パイプラインの開始時にこれらのパラメータを指定します。

C. ガードレールに整合する個別の AWS CloudFormation テンプレートを作成します。テンプレートを AWS CodeCommit リポジトリに保存します。組織内の各 OU のテンプレートに AWS::ControlTower::EnableControl 論理リソースを作成します。セキュリティチームの CodeCommit 変更に対して Amazon EventBridge ルールが呼び出すセキュリティチームのアカウントに AWS CodePipeline パイプラインを設定します。

D. セキュリティチームのアカウントで、Amazon EventBridge ルールが PutObject イベントを Amazon S3 バケットに呼び出す AWS CodePipeline パイプラインを設定します。ガードレールに一致する個別の AWS CloudFormation テンプレートを作成します。テンプレートを S3 バケットに保存します。組織内の各 OU のテンプレートに AWS::ControlTower::EnableControl 論理リソースを作成します。

回答: C

説明:
オプション C は、運用オーバーヘッドを最小限に抑えながら、セキュリティチームのバージョン管理、承認、ロールバックの要件を満たしながら、AWS Control Tower ガードレールを自動化するための最も効率的でスケーラブルなソリューションです。CodeCommit、CodePipeline、EventBridge を使用し、この目的に最適な AWS サービスを活用します。

349 / 363

349.

No.349
ある会社では、Amazon Elastic Kubernetes Service (Amazon EKS) で Web アプリケーションを実行しています。この会社は、Amazon CloudFront を使用してアプリケーションを配布しています。この会社は最近、AWS WAF を有効にしました。この会社は、aws-waf-logs ロググループにログを送信するように Amazon CloudWatch Logs を設定しました。
この会社は、ブロックされたトラフィックに突然の変化があった場合に DevOps エンジニアがアラートを受信できるようにしたいと考えています。この会社は、AWS WAF ログの動作のその他の変化に関するアラートは受信したくないと考えています。この会社は、時間の経過とともに AWS WAF ルールを調整します。
この DevOps エンジニアは現在、この環境の Amazon Simple Notification Service (Amazon SNS) トピックにサブスクライブしています。
これらの要件を満たすソリューションはどれですか?

A. AWS WAF ロググループでブロックされたリクエストの CloudWatch Logs メトリクスフィルターを作成して、カスタムメトリクスを作成します。CloudWatch 異常検出と公開されたカスタムメトリクスを使用して、CloudWatch アラームを作成します。SNS トピックに通知して DevOps エンジニアに警告するようにアラームを設定します。

B. ロググループ用の CloudWatch 異常検出器を作成します。CloudWatch 異常検出器が発行するメトリクスを使用して、CloudWatch アラームを作成します。LogAnomalyPriority メトリクスには高設定を使用します。1 つの異常の静的しきい値が検出されるとアラームがアラーム状態になるように設定します。SNS トピックに通知して DevOps エンジニアに警告するようにアラームを設定します。

C. AWS WAF ロググループでカウントされたリクエストの CloudWatch メトリクスフィルターを作成し、カスタムメトリクスを作成します。1 時間の間にカスタムメトリクスでブロックされたリクエストの合計が、1 時間にブロックされたリクエストの許容数の静的推定値を超えるとアクティブになる CloudWatch アラームを作成します。SNS トピックに通知して DevOps エンジニアに警告するようにアラームを設定します。

D. ロググループ用の CloudWatch 異常検出器を作成します。CloudWatch 異常検出器が発行するメトリクスを使用して、CloudWatch アラームを作成します。LogAnomalyPriority メトリクスには中設定を使用します。 1 時間にわたる異常の合計が予想値を超えた場合にアラームがアラーム状態になるように設定します。SNS トピックに通知して DevOps エンジニアに警告するようにアラームを設定します。

回答: A

説明:
オプション A を選びます
ブロックされたリクエストの突然の変化を検出したい場合、1 時間では検出できません。1 時間では長すぎるからです。また、ブロックされたリクエストがその 1 時間以内にすぐに正常化した場合はどうなるでしょうか。異常検出を使用すると、上限と下限が提供され、静的しきい値の定義と調整から解放されると思います。

350 / 363

350.

No.350
ビデオプラットフォーム会社が、ビデオカタログを AWS に移行しています。同社は、Amazon S3 バケットで MP4 ビデオファイルをホストします。同社は、Amazon CloudFront と Amazon EC2 インスタンスを使用してビデオファイルを提供します。
ユーザーは最初に、ビデオ URL にリダイレクトするフロントエンドアプリケーションに接続します。ビデオ URL には、CloudFront の認証トークンが含まれています。キャッシュは CloudFront ディストリビューションでアクティブ化されます。認証トークンチェックアクティビティは、Amazon CloudWatch に記録する必要があります。
同社は、CloudFront と Amazon S3 上のビデオファイルへの直接アクセスを防ぎ、フロントエンドアプリケーションが提供する認証トークンのチェックを実装したいと考えています。また、同社は、認証トークン署名をチェックするコードの定期的なローリングアップデートを実行したいと考えています。
最も少ない運用労力でこれらの要件を満たすソリューションはどれですか?

A. CloudFront ディストリビューションのトリガーとして、Lambda@Edge で認証トークンチェックを実装します。Lambda@Edge 関数の CloudWatch ログ記録を有効にします。Lambda@Edge 関数を CloudFront ディストリビューションにアタッチします。 CloudFront の継続的デプロイを実装して更新を実行します。

B. CloudFront Functions に認証トークンチェックを実装します。CloudFront 関数の CloudWatch ログ記録を有効にします。CloudFront 関数を CloudFront ディストリビューションにアタッチします。更新を実行するために CloudFront の継続的デプロイを実装します。

C. EC2 インスタンスにインストールされているアプリケーションコードに認証トークンチェックを実装します。EC2 インスタンスに CloudWatch エージェントをインストールします。アプリケーションが CloudWatch エージェントにログを記録するように設定します。2 番目の CloudFront ディストリビューションを実装します。Amazon Route 53 加重ルーティングを使用して、最初の CloudFront ディストリビューションからトラフィックを移行します。

D. CloudFront Functions に認証トークンチェックを実装します。CloudFront 関数の CloudWatch ログ記録を有効にします。CloudFront 関数を CloudFront ディストリビューションにアタッチします。2 番目の CloudFront ディストリビューションを実装します。Amazon Route 53 加重ルーティングを使用して、最初の CloudFront ディストリビューションからトラフィックを移行します。

回答: B

説明:
CloudFront Functions は、エッジで実行される軽量の JavaScript ベースの環境であり、低レイテンシーで高パフォーマンスを実現するように設計されています。認証チェックなどの単純なタスクに最適です。
CloudFront Functions の CloudWatch ログ記録を有効にすると、認証トークンチェックアクティビティがログに記録され、プロセスが可視化されます。
CloudFront の継続的デプロイを実装すると、関数のローリング更新のプロセスが簡素化され、新しいコードを迅速かつシームレスにデプロイできるようになります。

351 / 363

351.

No.351
ある企業は、AWS Organizations の組織を使用して、階層構造で複数の AWS アカウントを管理しています。組織のルートに関連付けられた SCP により、IAM ユーザーを作成できます。
DevOps チームは、あらゆるレベルの権限を持つ IAM ユーザーを作成できる必要があります。開発者も IAM ユーザーを作成できる必要があります。ただし、開発者は新しい IAM ユーザーに過度の権限を付与できないようにする必要があります。開発者は各アカウントで CreateAndManageUsers ロールを持っています。DevOps チームは、他のユーザーが IAM ユーザーを作成できないようにする必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. 組織に SCP を作成し、ユーザーが IAM ユーザーを作成および変更できないようにします。SCP を組織のルートにアタッチします。CreateAndManageUsers ロールを開発者にアタッチします。

B. 組織に SCP を作成し、DeveloperBoundary ポリシーがアタッチされているユーザーに、新しい IAM ユーザーの作成と IAM ユーザーの変更の権限を付与します。 SCP を設定して、ユーザーが新しい IAM ユーザーに PermissionBoundaries ポリシーをアタッチすることを求めます。SCP を組織のルートにアタッチします。

C. 各アカウント内に PermissionBoundaries という名前の IAM 権限ポリシーを作成します。PermissionBoundaries ポリシーを設定して、開発者が新しい IAM ユーザーに付与できる権限の上限を指定します。

D. 各アカウント内に PermissionBoundaries という名前の IAM 権限ポリシーを作成します。PermissionsBoundaries を設定して、PermissionBoundaries ポリシーを持つユーザーが新しい IAM ユーザーを作成できるようにします。

E. 各アカウント内に DeveloperBoundary という名前の IAM 権限ポリシーを作成します。DeveloperBoundary ポリシーを設定して、開発者が PermissionBoundaries ポリシーを権限境界として含めた場合にのみ、開発者が IAM ユーザーを作成し、IAM ユーザーにポリシーを割り当てることができるようにします。DeveloperBoundary ポリシーを各アカウント内の CreateAndManageUsers ロールにアタッチします。

回答: CE

説明:
1. IAM ユーザーの作成:
• DevOps チームと開発者の両方が IAM ユーザーを作成できる必要があります。
2. 権限制御:
• 開発者が作成した IAM ユーザーに過度の権限を付与しないように制限する必要があります。
3. 不正な IAM ユーザーの作成の防止:
• 指定されたロール (DevOps と開発者) のみが IAM ユーザーを作成する必要があります。

これを実現するために、AWS Permissions Boundaries は、開発者が割り当てることができる権限に制限を適用する効果的な方法を提供します。

352 / 363

352.

No.352
ある会社では、AWS Organizations 構造と SCP が明確に定義されたランディングゾーンをデプロイしています。この会社の開発チームは、AWS CloudFormation と AWS Cloud Development Kit (AWS CDK) を使用することでのみ、AWS リソースを作成できます。
DevOps エンジニアは、異なる CloudFormation スタックにデプロイされた Amazon Simple Queue Service (Amazon SQS) キューの構成が異なることに気付きました。また、DevOps エンジニアは、アプリケーションのコスト割り当てタグが常に設定されているわけではないことにも気付きました。
DevOps エンジニアには、タグ付けを強制し、コードの再利用を促進するソリューションが必要です。DevOps エンジニアは、デプロイされた SQS キューの構成が異なることを避ける必要があります。
これらの要件を満たすために、DevOps エンジニアは何をすべきでしょうか?

A. CloudFormation スタックでコスト割り当てタグを強制する Organizations タグポリシーを作成します。開発チームに、CloudFormation を使用して SQS キューを定義するように指示します。開発チームに、CloudFormation StackSets を使用して SQS キューをデプロイするように指示します。

B. SCP を更新して、CloudFormation スタックでコスト割り当てタグを適用します。開発チームに、CloudFormation モジュールを使用して SQS キューを定義するように指示します。開発チームに、CloudFormation スタックを使用して SQS キューをデプロイするように指示します。

C. AWS CDK タグ付けを使用して、CloudFormation StackSets でコスト割り当てタグを適用します。開発チームに、AWS CDK を使用して SQS キューを定義するように指示します。開発チームに、CDK スタックを使用して SQS キューをデプロイするように指示します。

D. AWS CDK タグ付けを使用して、CloudFormation スタックでコスト割り当てタグを適用します。開発チームに、AWS CDK を使用して SQS キューを定義するように指示します。開発チームに、CDK 機能フラグを使用して SQS キューをデプロイするように指示します。

回答: C

説明:
C:
StackSets を介してすべてのアカウントでタグ付けを適用します。
CDK スタックを使用して、同じ構成の SQS をデプロイします。

353 / 363

353.

No.353
DevOps チームが会社の AWS アカウントを管理しています。会社は、特定の AWS リソース設定の変更が自動的に元に戻されるようにしたいと考えています。
この要件を満たすソリューションはどれですか?

A. AWS Config ルールを使用して、リソース設定の変更を検出します。AWS Systems Manager Automation ドキュメントを使用して設定変更を元に戻す修復アクションを設定します。

B. Amazon CloudWatch アラームを使用してリソースメトリクスを監視します。アラームがアクティブ化されたら、Amazon Simple Notification Service (Amazon SNS) トピックを使用して、管理者に通知し、設定変更を手動で元に戻します。

C. AWS CloudFormation を使用して、必要な設定変更をデプロイするスタックを作成します。設定変更を元に戻す必要がある場合は、スタックを更新します。

D. AWS Trusted Advisor を使用して、非準拠の設定を確認します。Trusted Advisor の推奨事項に基づいて、必要な変更を手動で適用します。

説明:
最適なソリューションは A です。AWS Config ルールを使用してリソース設定の変更を監視し、AWS Systems Manager Automation ドキュメントを使用した修復アクションを設定して、準拠していない設定変更を自動的に元に戻します。これにより、特定の AWS リソース設定の変更が自動的に元に戻されるようにする要件を満たす、自動化されたスケーラブルなソリューションが提供されます。

354 / 363

354.

★No.354
ある企業が AWS アカウントでアプリケーションをホストしています。アプリケーションは、機密情報を含むオブジェクトを Amazon S3 バケットに保存します。
企業は、無効な認証情報を使用して行われたために拒否された呼び出しを含む、オブジェクトレベルの S3 API 呼び出しをキャプチャする必要があります。
これらの要件を満たすソリューションはどれですか?

A. アカウントに AWS CloudTrail 証跡を作成します。S3 データイベントのログ記録を有効にします。Amazon CloudWatch にログを記録するように証跡を設定します。

B. 新しい S3 バケットを作成します。アプリケーションの S3 バケットでアクセスログ記録を設定します。アクセスログを新しい S3 バケットに配信します。

C. アカウントの S3 保護を有効にして Amazon GuardDuty を設定します。S3 バケットに関連付けられている検出結果に一致する Amazon EventBridge ルールを作成します。Amazon Simple Queue Service (Amazon SQS) キューをターゲットとして使用するようにルールを設定します。

D. アカウントに AWS CloudTrail 証跡と新しい S3 バケットを作成します。証跡を設定して、S3 の新しいバケットにログを記録します。

355 / 363

355.

★No.355
DevOps 管理者は、会社の Amazon CloudWatch Logs ロググループのセキュリティ管理を担当しています。会社のセキュリティポリシーでは、従業員 ID は、権限のある担当者以外はログに表示できないようにする必要があります。従業員 ID は、Emp-XXXXXX のパターンに従います (各 X は数字)。
監査により、従業員 ID が 1 つのログファイルにあることが判明しました。ログファイルはエンジニアが使用できますが、エンジニアには従業員 ID を表示する権限がありません。エンジニアには現在、アカウント内のすべてのリソースに対する logs:* を許可する AWS IAM Identity Center 権限があります。
管理者は、従業員 ID を含む新しいログエントリが権限のない担当者に表示されないように、従業員 ID をマスクする必要があります。
どのソリューションが最も運用効率が高く、これらの要件を満たすでしょうか。

A. ロググループに新しいデータ保護ポリシーを作成します。Emp-\d{6} カスタムデータ識別子設定を追加します。リソースに対する Action":"logs:Unmask" 権限の拒否アクションを持つ IAM ポリシーを作成します。ポリシーをエンジニアリングアカウントにアタッチします。

B. ロググループに新しいデータ保護ポリシーを作成します。個人データカテゴリに管理データ識別子を追加します。リソースに対する "NotAction":"logs:Unmask" 権限の拒否アクションを持つ IAM ポリシーを作成します。ポリシーをエンジニアリングアカウントにアタッチします。

C. ログファイルエントリを解析し、従業員 ID を削除して、結果を新しいログファイルに書き込む AWS Lambda 関数を作成します。ロググループに Lambda サブスクリプションフィルターを作成し、Lambda 関数を選択します。ロググループに lambda:InvokeFunction 権限を付与します。

D. Amazon S3 バケットを宛先とする Amazon Data Firehose 配信ストリームを作成します。Firehose 配信ストリームを使用するロググループに Firehose サブスクリプションフィルターを作成します。エンジニアリングアカウントの "logs:*" 権限を削除します。S3 バケットに Amazon Macie ジョブを作成します。 Emp-\d{6} カスタム識別子。No.355 DevOps 管理者は、会社の Amazon CloudWatch Logs ロググループのセキュリティ管理を担当しています。会社のセキュリティポリシーでは、従業員 ID は、権限のある担当者以外はログに表示できないようにする必要があります。従業員 ID は、Emp-XXXXXX のパターンに従います。ここで、各 X は数字です。監査により、従業員 ID が 1 つのログファイルにあることが判明しました。ログファイルはエンジニアが使用できますが、エンジニアには従業員 ID を表示する権限がありません。エンジニアには現在、アカウント内のすべてのリソースに対するログ:* を許可する AWS IAM Identity Center 権限があります。管理者は、従業員 ID を含む新しいログエントリが権限のない担当者に表示されないように、従業員 ID をマスクする必要があります。

356 / 363

356.

★No.356
ある会社では、AWS Organizations の組織を使用して多数の AWS アカウントを管理しています。この会社では、組織のすべての機能を有効にしています。この会社は、AWS CloudFormation StackSets を使用してアカウントに設定をデプロイしています。この会社は、AWS Config を使用して Amazon S3 バケットを監視しています。
この会社では、S3 バケットへのすべてのオブジェクトのアップロードで AWS Key Management Service (AWS KMS) 暗号化が使用されるようにする必要があります。
これらの要件を満たすソリューションはどれですか?

A. s3-bucket-server-side-encryption-enabled ルールを含む AWS Config 適合パックを作成します。適合パックをアカウントにデプロイします。Amazon Simple Notification Service (Amazon SNS) トピックをターゲットにするようにルールを設定します。

B. s3:createBucket アクションの拒否ステートメントと、s3:x-amz-server-side-encryption が aws:kms ではない条件ステートメントを含む SCP を作成します。SCP を組織のルートにアタッチします。

C. AWS CloudFormation スタックセットを作成し、AWS CloudTrail トレイルが組織の S3 データイベントをキャプチャできるようにします。スタックセットで、AWS KMS 暗号化を使用しない S3 PutObject イベントに一致する Amazon EventBridge ルールを作成します。Amazon Simple Notification Service (Amazon SNS) トピックをターゲットにするようにルールを設定します。

D. s3:putObject アクションの拒否ステートメントと、s3:x-amz-server-side-encryption が aws:kms ではないという条件を含む SCP を作成します。SCP を組織のルートにアタッチします。

357 / 363

357.

★No.357
ある会社では、Amazon Aurora PostgreSQL DB クラスターを使用して、5 時間ごとにトランザクションデータをデータベースにロードしています。データアナリストは、Aurora PostgreSQL データベースを使用して、短時間実行のクエリを実行したり、複雑な集計クエリを作成したり、データを使用する簡単なレポートを作成したりしています。また、データアナリストは、データの削除や挿入など、手動でデータを更新しています。
データアナリストはパフォーマンスの問題を報告しています。データベースチームは最近、他のクエリをブロックして VACUUM 操作を妨げ、パフォーマンスに影響を与えている長時間実行のアイドルトランザクション接続を特定しました。チームは、これらの潜在的な運用上の問題と、問題を修正するための推奨アクションについて、積極的に通知を受け取りたいと考えています。
会社の AWS アカウントでは、Amazon DevOps Guru を使用して、アカウント内のすべてのアプリケーションを監視しています。
これらの要件を満たすソリューションはどれですか?

A. 既存の Aurora PostgreSQL DB クラスターで Performance Insights と DevOps Guru をオンにします。Amazon Simple Notification Service (Amazon SNS) を使用して、データベースチームに通知を送信するように DevOps Guru を構成します。

B. 既存の Aurora PostrgreSQL DB クラスターで Performance Insights をオンにします。Amazon EventBridge を設定して、既存の Aurora PostgreSQL DB クラスターからイベントを受信します。Amazon Simple Notification Service (Amazon SNS) を使用して、Aurora PostgreSQL DB クラスターがデータベースチームに通知を送信するように設定します。

C. 既存の Aurora PostgreSQL DB クラスターで Performance Insights と DevOps Guru をオンにします。Amazon Simple Email Service (Amazon SES) を使用して、Aurora PostgreSQL DB クラスターがデータベースチームに通知を送信するように設定します。

D. 既存の Aurora PostrgreSQL DB クラスターで Performance Insights をオンにします。Amazon EventBridge を設定して、既存の Aurora PostgreSQL DB クラスターからイベントを受信します。Amazon Simple Notification Service (Amazon SNS) を使用して、DevOps Guru がデータベースチームに通知を送信するように設定します。

358 / 363

358.

★No.358
DevOps エンジニアは、インフラストラクチャを米国内に収容する必要がある企業にガバナンス制御を実装しています。この企業は、すべての機能が有効になっている AWS Organizations の組織に多数の AWS アカウントを持っています。
エンジニアは、会社が使用できる AWS リージョンを制限する必要があります。また、ガバナンスポリシー外のアクティビティが発生した場合は、できるだけ早くアラートが送信されるようにする必要があります。米国外の新しいリージョンでは、コントロールが自動的に有効になっている必要があります。
これらの要件を満たす手順の組み合わせはどれですか? (2 つ選択してください)。

A. aws:RequestedRegion プロパティがすべての米国リージョンのリストと一致しないという条件を持つ組織の SCP 拒否ポリシーを作成します。グローバルサービスのポリシーに例外を含めます。ポリシーを組織のルートにアタッチします。

B. AWS CloudTrail を設定して、ログを Amazon CloudWatch Logs に送信します。すべてのリージョンで CloudTrail を有効にします。CloudWatch Logs メトリックフィルターを使用して、米国以外のリージョンでメトリックを作成します。メトリックが 0 より大きい場合にアラートを送信するように CloudWatch アラームを設定します。

C. AWS サービスアクティビティを確認する AWS Lambda 関数を使用します。Lambda 関数をすべてのリージョンにデプロイします。1 時間ごとに Lambda 関数を実行する Amazon EventBridge ルールを作成します。 Lambda 関数が米国以外の地域でアクティビティを見つけた場合にアラートを送信するようにルールを設定します。

D. AWS Lambda 関数を使用して Amazon Inspector にクエリを実行し、米国以外の地域でのサービスアクティビティを検索します。Amazon Inspector がアクティビティを見つけた場合にアラートを送信するように Lambda 関数を設定します。

E. aws:RequestedRegion プロパティがすべての米国地域のリストと一致するという条件を持つ Organizations SCP 許可ポリシーを作成します。グローバルサービスのポリシーに例外を含めます。ポリシーを組織のルートにアタッチします。

359 / 363

359.

★No.359
ある会社では、Amazon EC2 Auto Scaling グループ内の Amazon EC2 インスタンスでアプリケーションを実行しています。EC2 インスタンスは、Application Load Balancer (ALB) の背後にあります。最近、トラフィックが一部の EC2 インスタンスに転送されたときに、ユーザーがエラーを経験し始めました。
DevOps エンジニアは、Auto Scaling グループが、アプリケーションエラーにもかかわらず、問題のあるインスタンスが正常であると報告していることを発見しました。DevOps エンジニアが問題のあるインスタンスのアプリケーションエラーを解決すると、ユーザーエクスペリエンスは正常に戻ります。
この会社は、アプリケーションエラーが発生していない正常なインスタンスにのみトラフィックがルーティングされるようにしたいと考えています。また、トラフィックルーティング構成が変更された場合にサポートチームに通知が届くようにしたいと考えています。
これらの要件を満たすソリューションはどれですか?

A. Auto Scaling グループを構成して、ELB ヘルスチェックを使用します。AWS Config を有効にします。AWS Config ルールを作成して、新しい Auto Scaling グループが ELB ヘルスチェックを使用するようにします。トラフィックルーティング設定が変更された場合にサポートチームに通知するための Amazon Simple Notification Service (Amazon SNS) トピックを作成します。トピックに通知を送信するように AWS Config ルールを設定します。

B. Auto Scaling グループが EC2 ヘルスチェックを使用するように設定します。AWS Config を有効にします。新しい Auto Scaling グループが EC2 ヘルスチェックを使用するように AWS Config ルールを作成します。トラフィックルーティング設定が変更された場合にサポートチームに通知するための Amazon Simple Notification Service (Amazon SNS) トピックを作成します。トピックに通知を送信するように AWS Config ルールを設定します。

C. Auto Scaling グループが EC2 ヘルスチェックを使用するように設定します。アプリケーションを監視するための Amazon CloudWatch 合成カナリアを作成します。CloudWatch カナリアが失敗したときにトリガーされる CloudWatch アラームを作成します。アラーム状態がアラームになったときにサポートチームに通知するようにアラームを設定します。

D. Auto Scaling グループが ELB ヘルスチェックを使用するように設定します。アプリケーションを監視するための Amazon CloudWatch 合成カナリアを作成します。CloudWatch カナリアが失敗したときにトリガーされる CloudWatch アラームを作成します。アラーム状態がアラームになったときにサポートチームに通知するようにアラームを設定します。

360 / 363

360.

★No.360
DevOps エンジニアは、GitHub コードリポジトリを使用するパイプラインのトラブルシューティングを行う必要があります。パイプラインには、ソースステージ、ビルドステージ、およびデプロイステージが含まれています。パイプラインには、GitHub コードリポジトリへの AWS CodeStar 接続もあります。
ビルドステージでは、AWS CodeBuild ビルドプロジェクトを使用します。ビルドプロジェクトでは、ビルドプロセスの一環として、リポジトリの git クローンを実行する必要があります。
DevOps エンジニアは、ソースステージが正常に動作していることを検証します。ただし、パイプラインが実行されるたびに、ビルドステージが失敗します。
パイプラインでビルドステージが失敗する理由は何ですか?

A. パイプライン内のビルドステージでは、AWS CodeStar 接続アクションを使用する必要があります。

B. GitHub への AWS CodeStar 接続に、正しくない認証情報が含まれています。

C. AWS CodePipeline サービスロールには、AWS CodeStar 接続を使用する権限がありません。

D. AWS CodeBuild サービスロールには、AWS CodeStar 接続を使用する権限がありません。

361 / 363

361.

★No.361
ある会社の DevOps チームは、Node Package Manager (NPM) オープンソースライブラリを使用してアプリケーションを構築しています。DevOps チームは、パブリック NPM リポジトリから NPM ライブラリをダウンロードする AWS CodeBuild プロジェクトでアプリケーション構築プロセスを実行しています。
この会社は、NPM ライブラリをプライベート NPM リポジトリでホストしたいと考えています。また、DevOps チームがライブラリを使用する前に、ライブラリの新しいバージョンをチェックできるようにする必要があります。
どのソリューションが、最小限の運用労力でこれらの要件を満たしますか?

A. npm-store という名前のアップストリームリポジトリを使用して AWS CodeArtifact リポジトリを作成します。NPM のデフォルトソースとして CodeArtifact リポジトリを使用するようにアプリケーション構築プロセスを構成します。AWS CodePipeline パイプラインを作成して、CodeArtifact リポジトリ内のパッケージバージョンに必要なチェックを実行します。障害が発生した場合は、パッケージのステータスを非公開に設定します。

B. CodeBuild プロジェクト構成で Amazon S3 キャッシュを有効にします。 buildspec.yaml 構成ファイルにステップを追加して、キャッシュ内のパッケージバージョンに対して必要なチェックを実行します。

C. ライブラリごとに AWS CodeCommit リポジトリを作成します。必要な NPM ライブラリを適切な CodeCommit リポジトリにクローンします。プライベート CodeCommit リポジトリを使用するように CodeBuild appspec.yaml 構成ファイルを変更します。パッケージバージョンに対して必要なチェックを実行するステップを追加します。

D. ライブラリごとに AWS CodeCommit リポジトリを作成します。必要な NPM ライブラリを適切な CodeCommit リポジトリにクローンします。NPM がプライベート CodeCommit リポジトリを使用するように CodeBuild buildspec.yaml 構成ファイルを変更します。リポジトリへの新しいコミットごとにパッケージバージョンに対して必要なチェックを実行する AWS CodePipeline パイプラインを追加します。障害が発生した場合に最新のコミットに戻るようにパイプラインを構成します。

362 / 363

362.

★No.362
ある会社には、Web インターフェイスを備えた検索アプリケーションがあります。同社は、希望容量 3 の Auto Scaling グループで Amazon CloudFront、Application Load Balancer (ALB)、Amazon EC2 インスタンスを使用しています。同社は、事前作成された AMI を使用しています。アプリケーションは 1 分で起動します。アプリケーションは、Amazon OpenSearch Service クラスターをクエリします。
アプリケーションは、複数のアベイラビリティーゾーンにデプロイされています。コンプライアンス要件のため、アプリケーションには別の AWS リージョンに災害復旧 (DR) 環境が必要です。同社は、DR 環境の継続的なコストを最小限に抑えたいと考えており、RTO と RPO を 30 分未満に抑える必要があります。同社は、DR リージョンに ALB を作成しました。
これらの要件を満たすソリューションはどれですか?

A. CloudFront ディストリビューションに新しい ALB をオリジンとして追加します。オリジンフェイルオーバー機能を設定します。AMI を DR リージョンにコピーします。DR リージョンに起動テンプレートと希望容量 0 の Auto Scaling グループを作成します。DR リージョンに新しい OpenSearch Service クラスターを作成します。クラスターのクラスター間レプリケーションを設定します。

B. DR リージョンに新しい CloudFront ディストリビューションを作成し、新しい ALB をオリジンとして追加します。リージョンフェイルオーバーには Amazon Route 53 DNS を使用します。AMI を DR リージョンにコピーします。DR リージョンに起動テンプレートと、希望容量 0 の Auto Scaling グループを作成します。OpenSearch Service クラスターをスタンバイデプロイメントのマルチ AZ として再構成します。スタンバイノードが DR リージョンにあることを確認します。

C. DR リージョンに新しい CloudFront ディストリビューションを作成し、新しい ALB をオリジンとして追加します。リージョンフェイルオーバーには Amazon Route 53 DNS を使用します。AMI を DR リージョンにコピーします。DR リージョンに起動テンプレートと、希望容量 3 の Auto Scaling グループを作成します。OpenSearch Service クラスターをスタンバイデプロイメントのマルチ AZ として再構成します。スタンバイノードが DR リージョンにあることを確認します。

D. CloudFront ディストリビューションに新しい ALB をオリジンとして追加します。オリジンフェイルオーバー機能を設定します。AMI を DR リージョンにコピーします。 DR リージョンに、希望する容量 3 の起動テンプレートと Auto Scaling グループを作成します。DR リージョンに新しい OpenSearch Service クラスターを作成します。クラスターのクラスター間レプリケーションを設定します。

363 / 363

363.

★No.363
DevOps エンジニアは、AWS アカウント全体のウェブ ACL を管理するために AWS WAF を使用します。DevOps エンジニアは、アカウント内のすべてのアプリケーションロードバランサー (ALB) で AWS WAF が有効になっていることを確認する必要があります。DevOps エンジニアは、各アプリケーションスタックのデプロイプロセスの一環として、AWS CloudFormation テンプレートを使用して個々の ALB と AWS WAF をデプロイします。ALB のデプロイ後に AWS WAF が ALB から削除された場合、AWS WAF は ALB に自動的に追加される必要があります。
どのソリューションがこれらの要件を最も効率的に満たしますか?

A. AWS Config を有効にします。alb-waf-enabled マネージドルールを追加します。AWS Systems Manager Automation ドキュメントを作成して、AWS WAF を ALB に追加します。ルールを編集して自動的に修復します。修復アクションとして Systems Manager Automation ドキュメントを選択します。

B. AWS Config を有効にします。alb-waf-enabled マネージドルールを追加します。 Amazon EventBridge ルールを作成して、すべての AWS Config ConfigurationItemChangeNotification 通知タイプを AWS Lambda 関数に送信します。Lambda 関数を設定して、AWS Config start-resource-evaluation API を検出モードで呼び出します。

C. Amazon EventBridge ルールを設定して、CloudFormation テンプレートで detect-stack-drift API を呼び出す AWS Lambda 関数を定期的に呼び出します。AWS::WAFv2::WebACLAssociation リソースのステータスが drifted の場合、waf.fail_open.enabled を true に設定して ALB 属性を変更するように Lambda 関数を設定します。

D. Amazon EventBridge ルールを設定して、CloudFormation テンプレートで detect-stack-drift API を呼び出す AWS Lambda 関数を定期的に呼び出します。AWS::WAFv2::WebACLAssociation リソースのステータスが drifted の場合、Lambda 関数を設定して、CloudFormation スタックを削除して再デプロイします。

Your score is

■AWS-DOP-C02-(JP)Q1~100

/100

AWS-DOP-C02-(JP)Q1~100

1 / 100

答え A

説明

オプションD - このオプションは、AWS X-Ray統合を構成する必要があります。これはより複雑なソリューションであり、このケースでは必要ない。

2 / 100

A. Lambda 関数でプロビジョニングされた同時実行を同時実行値 1 で設定します。DynamoDB テーブルの DAX クラスターを削除します。

B. Lambda 関数で予約された同時実行を同時実行値 0 で設定します。

D. Lambda 関数で予約された同時実行を設定します。予約された同時実行最大値 100 で、API Gateway API で AWS Application Auto Scaling を設定します。

回答: C

3 / 100

回答: B

https://aws.amazon.com/blogs/devops/using-codedeploy-environment-variables/

if [ "$DEPLOYMENT_GROUP_NAME" == "Staging" ]
then
sed -i -e 's/LogLevel warn/LogLevel debug/g' /etc/httpd/conf/httpd.conf
fi

4 / 100

回答: B

説明:

オプション A - 機能しますが、カスタムルールを使用します。

オプション B - 既存のマネージドルールを使用するため、オプション A よりも簡単です。

オプション C - 新しいボリュームにのみ適用され、既存のリソースには対応しません。

5 / 100

回答: A

6 / 100

A. ソースアカウントで、暗号化されていない AMI を暗号化された AMI にコピーします。コピーアクションで KMS キーを指定します。

C. ソースアカウントで、ターゲットアカウントの Auto Scaling グループのサービスにリンクされたロールに権限を委任する KMS 権限を作成します。

E. ソースアカウントで、暗号化されていない AMI をターゲットアカウントと共有します。

F. ソースアカウントで、暗号化された AMI をターゲットアカウントと共有します。

回答: A、D、F

説明:

Share encrypted AMI across AWS accounts

オプション A - KMS を使用しているため、B にすることはできません

オプション D - 権限は一時的なものであるため、アカウントと共有する必要があります

オプション F - AMI をターゲットと共有します

7 / 100

回答: A、D

説明:

オプション A - AMI を再構築し、EC2 インスタンスの IAM ロールを更新して、CodeDeploy へのアクセスを許可する必要があります。

オプション B - 誤りです。appspec は権限とは関係ありません。

オプション C - 正しくありません。新しい RPM を AMI にデプロイします。RPM をインストールするたびに新しい AMI を作成する必要はありません。

オプション D - ASG をターゲットにする

オプション E - インスタンスが ASG 上にあると記載されているため、正しくありません。

8 / 100

A. AWS Firewall Manager をセキュリティアカウントに委任します。

B. Amazon GuardDuty をセキュリティアカウントに委任します。

C. AWS Firewall Manager ポリシーを作成して、新しく作成された ALB と API Gateway API に AWS WAF ウェブ ACL をアタッチします。

D. Amazon GuardDuty ポリシーを作成して、新しく作成された ALB と API Gateway API に AWS WAF ウェブ ACL をアタッチします。

E. AWS Config マネージドルールを設定して、新しく作成された ALB と API Gateway API に AWS WAF ウェブ ACL をアタッチします。

回答: A、C

説明:
WAF が表示されている場合は、AWS Firewall Manager を思い浮かべる必要があります。

GuardDuty は検出結果のみを投稿するため、検出結果は除外できます。

私の知る限り、Config は通知のみを行います。

9 / 100

A. キーが 90 日以上経過した場合に Amazon Simple Notification Service (Amazon SNS) トピックに発行するように AWS KMS を設定します。

C. キーが 90 日以上経過した場合に Amazon Simple Notification Service (Amazon SNS) トピックに発行する AWS Config カスタムルールを開発します。

D. キーが 90 日以上経過した場合に Amazon Simple Notification Service (Amazon SNS) トピックに発行するように AWS Security Hub を設定します。

回答: C

説明:

オプション A - KMS ではこの機能が提供されていないため、これは当てはまりません。

オプション C - Config ルールが通知します。

これはカスタムルールである必要があります。ルール「access-keys-rotated」は、KMS キーではなくアクセスキーをチェックします。

10 / 100

10.

回答: C

11 / 100

11.

A. 必要な権限を含むIAMポリシーを作成します。aws:PrincipalTag条件キーを含めます。

B. 権限セットを作成します。必要な権限を含むインラインポリシーを添付し、aws:PrincipalTag条件キーを使用して権限の範囲を指定します。

C. IdPにグループを作成します。ユーザーをグループに配置します。グループをIAM Identity Centerのアカウントと権限セットに割り当てます。

D. IdP でグループを作成します。ユーザーをグループに配置します。グループを OU と IAM ポリシーに割り当てます。

E. IAM Identity Center でアクセス制御の属性を有効にします。ユーザーにタグを適用します。タグをキーと値のペアとしてマップします。

F. IAM Identity Center でアクセス制御の属性を有効にします。IdP の属性をキーと値のペアとしてマップします。

回答: B、C、F

12 / 100

12.

A. SQS キューの approximateAgeOfOldestMessage メトリックを確認します。 Lambda 関数の同時実行制限を増やします。

B. SQS キューの approximateAgeOfOldestMessage メトリックを確認します。SQS キューの再ドライブポリシーを構成します。

C. SQS キューの NumberOfMessagesSent メトリックを確認します。SQS キューの可視性タイムアウトを増やします。

D. DynamoDB テーブルの WriteThrottleEvents メトリックを確認します。テーブルのスケーリングポリシーの最大書き込み容量ユニット (WCU) を増やします。

E. Lambda 関数の Throttles メトリックを確認します。Lambda 関数のタイムアウトを増やします。

回答: A、D

説明:

オプション A - approximateAgeOfOldestMessage を確認し、それに応じて同時実行を増やします。

オプション D - throttleevent (拒否されたリクエストの数) を確認し、それに応じて最大書き込みを増やします。

13 / 100

13.

回答: B

14 / 100

14.

回答: A

説明:
認定に関するヒント: Lambda と CloudFormation に関する質問の 99% は、SAM に関連する回答です。

15 / 100

15.

回答: C

16 / 100

16.

A. メインブランチがパイプラインをトリガーするための Amazon EventBridge ルールが作成されていることを確認します。

B. CodePipeline サービスロールに CodeCommit リポジトリへのアクセス許可があることを確認します。

C. 開発者の IAM ロールに CodeCommit リポジトリへのプッシュアクセス許可があることを確認します。

D. Amazon CloudWatch Logs の CodeCommit エラーが原因でパイプラインが起動に失敗したかどうかを確認します。

回答: A

説明:

17 / 100

17.

回答: C

説明:

オプション A - Lambda は Eventbridge によって呼び出される必要があります。ここでは、事後通知を送信するために SNS が使用されます。

18 / 100

18.

回答: D

https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/scaling-the-dual-stack-network-design-in-aws.html

19 / 100

19.

A. AWS Config 適合パックを使用して、account-part-of-organizations AWS Config ルールをデプロイし、準拠していないアカウントを自動的に修正します。

C. control_tower_parameters 入力に値を追加して、AWSEnterpriseSupport パラメータを組織の管理アカウント番号として設定します。

D. AFT デプロイメント入力構成で aft_feature_enterprise_support 機能フラグを True に設定します。AFT を再デプロイして変更を適用します。

回答: D

説明:
https://docs.aws.amazon.com/controltower/latest/userguide/aft-feature-options.html#enterprise-support-option

D. AFT デプロイメント入力構成で aft_feature_enterprise_support 機能フラグを True に設定します。AFT を再デプロイして変更を適用します。

20 / 100

20.

回答: A

説明:
AWS トレーニングと認定では、模擬試験で A が正解です。

オプション A が最も適していると思われます:

AWS Health をイベントソースとして設定すると、EC2 インスタンスに関連する通知が確実にキャプチャされます。

21 / 100

21.

A. EC2 インスタンスで AWS Systems Manager を使用してパッチ適用とアップグレードを自動化し、Amazon EBS ボリュームをデフォルトで暗号化します。

B. Jenkins を Amazon ECS クラスターにデプロイし、デフォルトの暗号化が有効になっている Amazon S3 バケットにビルド成果物をコピーします。

C. ビルドアクションで AWS CodePipeline を活用し、AWS Secrets Manager を使用して成果物を暗号化します。

D. 成果物の暗号化を備えた AWS CodeBuild を使用して、EC2 インスタンスで実行されている Jenkins インスタンスを置き換えます。

回答: D

https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html
https://docs.aws.amazon.com/codebuild/latest/userguide/security-encryption.html

22 / 100

22.

A. S3 バケットリソースに DelelionPolicy 属性を追加し、値 Delete を設定すると、スタックが削除されたときにバケットが強制的に削除されます。

C. 削除されなかったリソースを特定します。手動で S3 バケットを空にしてから削除します。

回答: B

23 / 100

23.

C. us-east-1 に S3 バケットを作成します。S3 バケットポリシーを設定して、CodePipeline に読み取りおよび書き込みアクセスを許可します。

回答: C、E

24 / 100

24.

回答: B

したがって、両方のタイプの無応答を処理する場合は、オプション B が最も包括的なソリューションになります。

25 / 100

25.

A. "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": ["department"] } }

B. "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } }

C. "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } }

D. "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": ["d1", "d2", "d3"] } }

回答: C

26 / 100

26.

回答: A

27 / 100

27.

回答: D

28 / 100

28.

回答: D

29 / 100

29.

C. 運用アカウントに Amazon Cognito ID プールを作成します。SysAdmin ロールを認証済みロールとしてアタッチします。

D. 運用アカウントで、運用チームのメンバーごとに IAM ユーザーを作成します。

回答: B、D、E

30 / 100

30.

回答: C

31 / 100

31.

D. EKS コンポーネントの Amazon S3 ログ記録を有効にします。AWS Lambda を送信先として、S3 PUT オブジェクトイベント通知を設定します。

回答: A

32 / 100

32.

B. ECS インスタンスに Amazon CloudWatch Logs エージェントをインストールします。ECS タスク定義のログ記録ドライバーを awslogs に変更します。

D. ALB でアクセスログ記録を有効にします。次に、ALB をログ記録 S3 バケットに直接指定します。

E. ECS サービスが使用するターゲットグループでアクセスログ記録を有効にします。次に、ログをログ記録 S3 バケットに直接送信します。

回答: B、D、F

オプション D は正解です。Application Load Balancer (ALB) でアクセスログ記録を有効にすると、S3 バケットに直接送信できるアクセスログを収集できます。

33 / 100

33.

C. yum-config-manager を使用して /etc/yum.repos.d の下にカスタムリポジトリを追加し、yum-config-manager-enable を実行してリポジトリをアクティブ化します。

回答: A

34 / 100

34.

回答: C

35 / 100

35.

A. 夜間の Amazon EventBridge イベントを設定して、AWS Lambda 関数を呼び出して Storage Gateway の RefreshCache コマンドを実行します。

B. サードパーティに、AWS Transfer for SFTP を使用して S3 バケットにデータを入れるように指示します。

C. Storage Gateway をボリュームゲートウェイモードで実行するように変更します。

D. S3 Same-Region Replication を使用して、S3 バケットで直接行われた変更を Storage Gateway に複製します。

回答: A

36 / 100

36.

A. ソースアカウントでレプリケーション IAM ロールを作成します

B. ターゲットアカウントでレプリケーション I AM ロールを作成します。

C. ソースバケットポリシーにステートメントを追加して、レプリケーション IAM ロールがオブジェクトをレプリケートできるようにします。

D. レプリケーション IAM ロールがオブジェクトをレプリケートできるように、ターゲットバケットポリシーにステートメントを追加します。

E. ソースバケットにレプリケーションルールを作成して、レプリケーションを有効にします。

F. ターゲットバケットにレプリケーションルールを作成して、レプリケーションを有効にします。

回答: A、D、E

37 / 100

37.

A. メンバーアカウントのユーザーが管理アカウントの IAM ロールを引き受けられるように、信頼関係を作成します。

B. 管理アカウントのユーザーがメンバーアカウントの IAM ロールを引き受けられるように、信頼関係を作成します。

C. AmazonEC2ReadOnlyAccess 管理ポリシーにアクセスできる IAM ロールを各メンバーアカウントに作成します。

D. 管理アカウントの IAM ロールの ARN に対して sts:AssumeRole アクションを許可するために、各メンバーアカウントに I AM ロールを作成します。

E. 管理アカウントに、メンバーアカウントの IAM ロールの ARN に対して sts:AssumeRole アクションを許可する I AM ロールを作成します。

F. 管理アカウントに、AmazonEC2ReadOnlyAccess 管理ポリシーにアクセスできる IAM ロールを作成します。

回答: B、C、E

38 / 100

38.

回答: C

39 / 100

39.

A. AWS Trusted Advisor チェックを作成して、承認されていない CloudFormation StackSets を見つけて修正します。

B. Cloud Formation ドリフト検出操作を作成して、承認されていない CloudFormation StackSets を見つけて修正します。

C. 承認された CloudFormation テンプレートを使用して CloudFormation StackSets を作成します。

D. 承認された CloudFormation テンプレートを使用して AWS Service Catalog 製品を作成します。

回答: D

他の回答の他のすべてのサービスは関連していません。

40 / 100

40.

A. 複数のアベイラビリティゾーンにまたがる EC2 Auto Scaling グループに NAT インスタンスを追加します。ルートテーブルを更新します。

D. 各アベイラビリティゾーンで NAT インスタンスを NAT ゲートウェイに置き換えます。ルートテーブルを更新します。

E. NAT インスタンスを、複数のアベイラビリティゾーンにまたがる NAT ゲートウェイに置き換えます。ルートテーブルを更新します。

回答: B、D

説明:
NAT ゲートウェイは複数の AZ にまたがりません。HA のために AZ ごとに作成する必要があります。

41 / 100

41.

回答: C

試験のヒント: この問題がイベントまたはアクションに関連していると思われる場合 --> EventBridge

42 / 100

42.

回答: C

説明:

43 / 100

43.

A. CloudWatch エージェントをサーバー側にインストールし、エージェントが関連ログを CloudWatch にアップロードするように構成します。

D. オンプレミスアプリケーションを変更して、各リクエストでログ情報を API Gateway に送り返します。

E. オンプレミスアプリケーションを変更して、API サービスリクエストに関連する統計データを計算して CloudWatch メトリクスにアップロードします。

回答: A、C

説明:

A と C: CloudWatch ログエージェントを使用してアプリケーションログを収集し、AWS X-ray を使用してリクエスト (トレース) に関する情報を収集します。

44 / 100

44.

回答: D

45 / 100

45.

A. 最小、最大、および必要な容量を 1 に設定して、インスタンスを EC2 Auto Scaling グループに追加します。

C. StatusCheckFailed システムメトリックの Amazon CloudWatch アラームを作成し、インスタンスを復旧するための EC2 アクションを選択します。

D. StatusCheckFailed インスタンスメトリックの Amazon CloudWatch アラームを作成し、インスタンスを再起動するための EC2 アクションを選択します。

回答: C

説明:

46 / 100

46.

回答: D

説明:

オプション D - D は A よりも優れています。CodeBuild から CodeDeploy に実行を移動するには、CodePipeline を含める必要があります。

47 / 100

47.

A. Systems Manager ハイブリッドアクティベーションを使用して、物理マシンを AWS Systems Manager に追加します。

B. EC2 インスタンスに IAM ロールをアタッチして、AWS Systems Manager で管理できるようにします。

C. オンプレミスのマシンが AWS Systems Manager とやり取りできるように、IAM アクセスキーを作成します。

D. AWS Systems Manager Automation ドキュメントを実行して、1 時間ごとにシステムにパッチを適用します。

E. Amazon EventBridge のスケジュールされたイベントを使用して、パッチウィンドウをスケジュールします。

F. AWS Systems Manager メンテナンスウィンドウを使用して、パッチウィンドウをスケジュールします。

回答: A、B、F

説明:

A: AWS システムマネージャーでハイブリッドを有効にする

B: システムマネージャーが EC2 インスタンスを管理するための IAM ロールを作成する

F: メンテナンスウィンドウを使用して、営業時間外にパッチ適用をスケジュールする

C: オンプレミス用の IAM アクセスキーがないため、正しくありません

D: 1 時間ごとにパッチ適用を実行しないでください

E: AWS にはパッチ適用をスケジュールするための独自のサービスがあるため、Eventbridge を使用しないでください

48 / 100

48.

回答: D

https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html

49 / 100

49.

A. 製品カタログには Amazon Redshift を使用し、顧客情報と購入には Amazon DynamoDB テーブルを使用します。

B. 製品カタログには Amazon DynamoDB グローバルテーブルを使用し、顧客情報と購入にはリージョンテーブルを使用します。

C. 製品カタログには Aurora のリードレプリカを使用し、顧客情報と購入には各リージョンで追加のローカル Aurora インスタンスを使用します。

D. 製品カタログには Aurora を使用し、顧客情報と購入には Amazon DynamoDB グローバルテーブルを使用します。

回答: C

説明:

50 / 100

50. Amazon API Gateway -

AWS Lambda -

Amazon DynamoDB -

どのソリューションが要件を満たしますか?

回答: B

51 / 100

51.

回答: C

説明:

オプション A - ネストされたスタックについては言及されていません。

オプション B - AWS ドキュメントによると、パラメータでは組み込み関数を使用できないため、B は誤りです。

https://repost.aws/knowledge-center/cloudformation-template-validation

オプション C - ネストされたスタックと、ネストされたスタックのリソースで Fn::ImportValue 組み込み関数を使用します。

52 / 100

52.

回答: B

53 / 100

53.

A. Amazon Inspector がスキャンしていない EC2 インスタンスに AWS Systems Manager Agent がインストールされ、実行されていることを確認します。

C. DevOps エンジニアが使用している IAM ロールに、inspector:StartAssessmentRun 権限を付与します。

D. Amazon Inspector がスキャンしていない EC2 インスタンスの EC2 Instance Connect を設定します。

E. 対象の EC2 インスタンスを、AWS Systems Manager との通信権限を付与するインスタンスプロファイルに関連付けます。

回答: A、B、E

説明:
https://docs.aws.amazon.com/inspector/latest/user/scanning-ec2.html

54 / 100

54.

回答: C

説明:
以下の #3 をご覧ください。
https://container-devsecops.awssecworkshops.com/04-testing/

55 / 100

55.

回答: A

56 / 100

56.

A. パイプラインのテストアクションとデプロイアクションの間に手動承認アクションを挿入します。

B. コンパイルステージの buildspec.yml ファイルを変更して、完了前に手動承認を要求します。

C. CodeDeploy デプロイメントグループを更新して、続行するには手動承認が必要になります。

D. パイプラインを更新して、侵入テストツールの REST API を直接呼び出します。

E. パイプラインを更新して、侵入テストツールの REST API を呼び出す AWS Lambda 関数を呼び出します。

回答: A、E

57 / 100

57.

回答: A

https://disaster-recovery.workshop.aws/en/services/networking/cloudfront/cloudfront-origin-group.html

B と C は DynamoDB グローバルテーブルではありません

D - Route53 を使用しません

58 / 100

58.

回答: A、D

説明:

59 / 100

59.

回答: C

説明:

60 / 100

60.

答え: B

61 / 100

61.

A. 開発者が必要なリソースをプロビジョニングできるようにする IAM ポリシーを作成します。ポリシーを開発者 IAM ロールにアタッチします。

B. AWS CloudFormation へのフルアクセスを許可する IAM ポリシーを作成します。ポリシーを開発者 IAM ロールにアタッチします。

回答: D

62 / 100

62.

回答: D

63 / 100

63.

回答: B

A、C、D: ACF について言及なし

64 / 100

64.

回答: D

65 / 100

65.

A. クロスリージョンレプリケーションを有効にして、新しいリージョンに新しい DynamoDB テーブルを作成します。

D. Amazon Route 53 レコード、ヘルスチェック、レイテンシーベースのルーティングポリシーを作成して、ALB にルーティングします。

E. Amazon Route 53 エイリアス、ヘルスチェック、フェイルオーバールーティングポリシーを作成して、ALB にルーティングします。

F. DynamoDB テーブルをグローバルテーブルに変換します。

回答: C、D、F

66 / 100

66.

67 / 100

67.

A. AWS Config の委任管理者アカウントを設定します。組織内の AWS Config への信頼されたアクセスを有効にします。

B. AWS Config の委任管理者アカウントを設定します。組織の管理アカウントで AWS Config のサービスにリンクされたロールを作成します。

回答: A、E

68 / 100

68.

回答: B

説明:

オプション A - 間違い: Canary または Blue/Green を使用しません。

オプション C - 間違い: Beanstalk はサーバーレスデプロイメントプラットフォームではありません

69 / 100

69.

回答: B

したがって、オプション B が正解です。

70 / 100

70.

B. インスタンス上のアプリケーションを再起動する AWS Lambda 関数を作成します。 SNS トピックのイベントの宛先として Lambda 関数を設定します。

回答: D

説明:
C と D はどちらも独自の方法で正しくシンプルであるため、議論の余地がありますが、各アプローチのコンポーネントの数を見てみましょう:

C: CW -> SNS -> LAMBDA -> SSM (4)

D: CW -> EVENTBRIDGE -> SSM (3)

オプション C で SNS が既に作成されている場合でも、通知を削除して Lambda 呼び出しを構成するためにそこに移動する必要があります。

オプション D はコンポーネントが少なく、カスタマイズの必要性も少なくなります。

71 / 100

71.

A. AWS CloudTrail の IAM CreateUser API 呼び出しに反応する Amazon EventBridge ルールを作成します。

B. AWS CloudTrail の IAM GetLoginProfile API 呼び出しに反応する Amazon EventBridge ルールを作成します。

回答: A、C、E

72 / 100

72.

A. AWS CodePipeline を Amazon ECS、Amazon EC2、Lambda とともにデプロイプロバイダーとして使用します。

B. AWS CodePipeline を AWS CodeDeploy とともにデプロイプロバイダーとして使用します。

C. AWS CodePipeline を AWS Elastic Beanstalk とともにデプロイプロバイダーとして使用します。

D. AWS CodeDeploy を GitHub 統合とともに使用してアプリケーションをデプロイします。

回答: B

説明:
「パイプラインは手動承認アクションをサポートする必要があります。」という用語があるためです。
パイプラインなしでは不可能です。

codePipeline と codeDeploy による ECS のデプロイソリューション

CodeDeploy アプリケーションとデプロイグループ (ECS コンピューティングプラットフォーム) を作成します

https://docs.aws.amazon.com/codepipeline/latest/userguide/tutorials-ecs-ecr-codedeploy.html#tutorials-ecs-ecr-codedeploy-deployment

73 / 100

73.

回答: A

74 / 100

74.

バージョン: 0.2
フェーズ:
ビルド:
コマンド:
- go build -o myapp
post_build:
コマンド:
- aws s3 cp --acl authenticated-read myapp s3://artifacts/

A. post_build コマンドを変更して --acl public-read を使用し、関連する AWS アカウントのみに読み取りアクセスを許可するバケットポリシーを構成します。

C. 関連する AWS アカウントに読み取りアクセスを許可し、プリンシパル「*」への読み取りアクセスを拒否する S3 バケットポリシーを作成します。

回答: D

75 / 100

75.

回答: B

76 / 100

76.

回答: B

説明:
B は既存のバケットと新しいバケットの両方に対応します。

C は新しいバケットの作成時にトリガーされ、既存のバケットはイベントによって処理されません。

77 / 100

77.

回答: C

説明:

オプション C - この場合は、1 つの CodeDeploy アプリケーションと複数のデプロイメントグループを使用できます。

C が正解です: <アプリケーションは同時デプロイメントをトリガーする必要があります> は並列デプロイメントを意味します

B と D: 並列デプロイメントについては言及されていません

78 / 100

78.

A. 静的 Web サイトコンテンツを含む S3 バケットから、以前のバージョンを含むすべてのオブジェクトを削除します。

C. S3 バケットのウェブページリダイレクトリクエストを、ALB にリダイレクトするホスト名で設定します。

D. example.com ホストゾーンから S3 バケットを指す重み付けされた DNS レコードエントリを削除します。DNS の伝播が完了するまで待ちます。

回答: D

説明: B は不正解です。

Route 53 は、最初は重み付けがゼロでないレコードのみを考慮します (存在する場合)。

重みが 0 より大きいすべてのレコードが正常でない場合、Route 53 は重み付けがゼロのレコードを考慮します。

79 / 100

{
"source": [
"aws.codepipeline"
],
"detail-type": [
"CodePipeline アクション実行状態の変更"
],
"detail": {
"state" [
"FAILED"
],
"type": {
"category": ["Approval"]
}
}
}

79. このイベントパターンに一致するイベントの種類はどれですか?

A. すべてのパイプラインで失敗したデプロイおよびビルドアクション

B. すべてのパイプラインで拒否または失敗したすべての承認アクション

C. すべてのパイプラインでのすべてのイベント

D. すべてのパイプラインで承認アクション

回答: B

説明:
このサンプルイベントパターンを使用して、すべてのパイプラインで拒否または失敗したすべての承認アクションをキャプチャします。

https://docs.aws.amazon.com/codepipeline/latest/userguide/detect-state-changes-cloudwatch-events.html

80 / 100

80.

回答: D

81 / 100

81.

A. CloudWatch Logs サブスクリプションフィルターを構成して、AWS Glue を使用してすべてのログを S3 バケットに転送します。

B. CloudWatch Logs サブスクリプションフィルターを構成して、Amazon Kinesis Data Firehose を使用してすべてのログを S3 バケットにストリーミングします。

C. CloudWatch Logs サブスクリプションフィルターを構成して、すべてのログを S3 バケットにストリーミングします。

D. S3 バケットのライフサイクルポリシーを構成して、90 日後にログを S3 Glacier に移行し、3,650 日後にログを期限切れにします。

E. S3 バケットのライフサイクルポリシーを構成して、90 日後にログを Reduced Redundancy に移行し、3,650 日後にログを期限切れにします。

回答: BD

82 / 100

82.

回答: BCF

83 / 100

83.

B. アプリケーションのデプロイをトリガーした IAM ユーザーに、CodeDeploy エンドポイントを操作する権限がありません。

C. ターゲット EC2 インスタンスが CodeDeploy エンドポイントに適切に登録されていません。

D. 適切な権限を持つインスタンスプロファイルが、ターゲット EC2 インスタンスにアタッチされていませんでした。

E. appspec.yml ファイルがアプリケーションリビジョンに含まれていませんでした。

回答: AD

説明:

84 / 100

84. これらの要件を満たす最もスケーラブルなソリューションは何ですか?

回答: C

85 / 100

85.

A. appspec.yml ファイルに、AllowTraffic ライフサイクルフックで実行される無効なスクリプトが含まれています。

B. デプロイメントを開始したユーザーには、ALB と対話するために必要な権限がありません。

C. ALB ターゲットグループに指定されたヘルスチェックが正しく構成されていません。

D. ALB ターゲットグループの一部である EC2 インスタンスに CodeDeploy エージェントがインストールされていません。

答え: C

86 / 100

86.

回答: B

87 / 100

87.

A. S3 バケットのデフォルトの暗号化が有効になっています。

B. S3 バケットポリシーにエラーがあります。

C. オブジェクトが S3 Glacier に移動されています。

D. IAM ロールの設定にエラーがあります。

E. S3 のバージョン管理が有効になっています。

回答: BD

説明:
ただし、エラーではありません。設定ミスです。

88 / 100

88.

回答: A

説明:
構成管理ツールも使用します。この場合は Opsworks (Chef/Puppet) です。

89 / 100

89.

A. 返された応答で VersionId を確認します。返された VersionId を MD5 チェックサムと比較します。

C. タグ付けパラメータ内に URL クエリパラメータとしてチェックサムダイジェストを含めます。

D. 返されたレスポンスで ETag を確認します。返された ETag を MD5 チェックサムと比較します。

回答: BD

90 / 100

90.

回答: A

説明:
A は正解です: <AWS CodePipeline パイプラインを使用する> ということは、CodePipeline が必要であることを意味します。

C と D: CodePipeline については言及されていません。

91 / 100

91.

回答: A

92 / 100

92.

回答: A

93 / 100

93.

回答: BD

94 / 100

94.

A. パイプライン内の CodeBuild プロジェクトを変更して、利用可能なネットワークスループットが高いコンピューティングタイプを使用します。

B. ビルドを並列実行するための対称マルチプロセッシング構成を含むカスタム CodeBuild 実行環境を作成します。

C. 同じ runOrder を指定して、各 Lambda 関数のアクションを並列実行するように CodePipeline 構成を変更します。

D. 各 CodeBuild プロジェクトを VPC 内で実行するように変更し、専用インスタンスを使用してスループットを向上させます。

回答: C

95 / 100

95.

A. ALB 用に設定されているサブネットマッピングを更新します。aws cloudformation update-stack-set AWS CLI コマンドを実行します。

C. アカウントの EC2 インスタンス数のクォータ増加のリクエストを送信します。aws cloudformation cancel-update-stack AWS CLI コマンドを実行します。

D. Auto Scaling グループリソースを削除します。aws cloudformation rollback-stack AWS CLI コマンドを実行します。

回答: B

96 / 100

96.

回答: B

97 / 100

97.

回答: D

98 / 100

98.

A. Auto Scaling グループにヘルスチェックを追加して、インスタンスのステータスが損なわれるたびに AWS Lambda 関数を呼び出します。

B. インスタンスの起動に失敗するたびに Amazon SNS トピックに通知を送信するように Auto Scaling グループを構成します。

C. AttachInstances Auto Scaling API 呼び出しが失敗したときに AWS Lambda 関数を呼び出す Amazon CloudWatch アラームを作成します。

D. Amazon EC2 でステータスチェックアラームを作成し、ステータスチェックの失敗が発生するたびに Amazon SNS トピックに通知を送信します。

回答: B

説明:
おそらく B:
https://aws.amazon.com/blogs/aws/auto-scaling-notifications-recurrence-and-more-control/
"EC2_INSTANCE_LAUNCH_ ERROR"

99 / 100

99.

回答: D

100 / 100

100.

回答: B

説明:
答えは B です。理由:
数時間前に、DOP-C02 試験を終えたばかりです。
私のスコアは 1000 ポイントです。
この質問が出ました。B を選択します。

Your score is

■AWS-DOP-C02-(JP)Q101~200

/100

AWS-DOP-C02-(JP)Q101~200

1 / 100

D. セキュリティチームに所属していないユーザーによる Security Hub へのアクセスを明示的に拒否する SCP を作成します。

E. Security Hub で、自動有効化をオンにします。

2 / 100

回答: A

説明:
A です:
このソリューションは、すべての要件を満たしています:

3 / 100

回答: B

4 / 100

回答: D

5 / 100

A. Lambda 関数コードが正常に終了したことを確認します。

B. Lambda 関数コードが事前署名された URL に応答を返すことを確認します。

C. Lambda 関数 IAM ロールにスタック ARN に対する cloudformation:UpdateStack 権限があることを確認します。

D. Lambda 関数 IAM ロールに AWS アカウントに対する ds:ConnectDirectory 権限があることを確認します。

回答: B

6 / 100

回答: A

説明:

A は可能です!
C が正しいと思われる場合は、AWS によって管理されるポリシーは変更できないことを知っておく必要があります。

7 / 100

回答: D

説明:
D が正解です。フェイルオーバーポリシーは、トラフィックをバックアップリージョンの ALB にルーティングします。

8 / 100

B. EC2 IAM ロールを使用して EC2 インスタンスを起動して AWS サービスにアクセスします。AWS Secrets Manager からデータベース認証情報を取得します。

回答: B

9 / 100

回答: A

説明:
A.
古いが貴重なリンク:
https://aws.amazon.com/blogs/mt/monitor-changes-and-auto-enable-logging-in-aws-cloudtrail/

10 / 100

10.

A. Amazon S3 ゲートウェイエンドポイントを作成します。CodeBuild ジョブを実行しているサブネットのルートテーブルを更新します。

B. リポジトリポリシーのプリンシパルステートメントを更新して、CodeBuild プロジェクトが使用するロールの ARN を含めます。

C. AWS Resource Access Manager (AWS RAM) を使用して、CodeArtifact リポジトリを組織と共有します。

D. CodeBuild プロジェクトが使用するロールを更新して、ロールに CodeArtifact リポジトリを使用するための十分な権限が付与されるようにします。

E. リポジトリをホストするアカウントを、組織内の CodeArtifact の委任管理者として指定します。

回答: AD

11 / 100

11.

B. CloudFormation テンプレートを Amazon S3 でホストします。Amazon S3 イベントを使用して、CloudFormation の更新と Amazon SNS 通知を直接トリガーします。

C. CloudFormation StackSets を実装し、ドリフト検出を使用して、データエンジニアリングチームへの更新アラートをトリガーします。

回答: D

説明:
回答は D です。理由:
数時間前に、DOP-C02 試験を終えたばかりです。
私のスコアは 1000 ポイントです。
この質問が出ました。D を選択します。

12 / 100

12.

回答: A

13 / 100

13.

回答: C

説明: EC2 にインターネットアクセスがないため、C と D が残りの選択肢です

14 / 100

14.

A. AWS CloudTrail を有効にし、AWS Lambda を使用して自動修復を構成します。

B. AWS Config ルールを有効にし、AWS Systems Manager ドキュメントを使用して自動修復を構成します。

C. AWS Trusted Advisor を有効にし、Amazon EventBridge を使用して自動修復を構成します。

D. AWS Systems Manager を有効にし、Systems Manager ドキュメントを使用して自動修復を構成します。

回答: B

15 / 100

15.

回答: D

16 / 100

16.

回答: A

説明:
オプション A も、アプリケーションへの変更を最小限に抑えて要件を満たすことができる有効なアプローチです。

17 / 100

17.

A. AWS X-Ray でデータをフィルタリングしてデータを視覚化します。

B. Amazon QuickSight でデータをフィルタリングしてデータを視覚化します。

C. Amazon Athena でデータをクエリします。

D. Amazon Redshift でデータをクエリします。

E. AWS Glue Data Catalog を永続的なメタデータストアとして使用します。

F. Amazon DynamoDB を永続的なメタデータストアとして使用します。

回答: BCE

Athena は DynamoDB を直接処理しません。したがって、F は除外されます。

18 / 100

18.

B. Systems Manager Run Command を使用して、EC2 インスタンス、AWS IoT Greengrass デバイス、オンプレミスサーバーのパッチ適用をスケジュールします。

回答: CEF

説明:
私も B ではなく E を選択します。

上記の引用元: https://aws.amazon.com/blogs/mt/how-to-centrally-manage-aws-iot-greengrass-devices-using-aws-systems-manager/?force_isolation=true

19 / 100

19.

A. ロードバランサーでスマートセッションを有効にし、既存のセッションを確認するようにアプリケーションを変更します。

B. ロードバランサーでセッション共有を有効にし、セッションストアから読み取るようにアプリケーションを変更します。

C. ユーザーセッション情報を Amazon S3 バケットに保存し、バケットからセッション情報を読み取るようにアプリケーションを変更します。

D. ユーザーセッション情報を Amazon ElastiCache クラスターに保存するようにアプリケーションを変更します。

回答: D

20 / 100

20.

回答: A

21 / 100

21.

回答: BE

22 / 100

22.

B. SCP を作成して、Amazon EFS のきめ細かな制御でアクセス許可のガードレールを設定します。

D. VPC と EFS ファイルシステムにアクセスする権限を持つ Lambda 実行ロールを更新します。

E. アカウント A をアカウント B に接続するための VPC ピアリング接続を作成します。

F. アカウント B の Lambda 関数を設定して、アカウント A の既存の IAM ロールを引き継ぎます。

回答: ADE

23 / 100

23.

回答: B

24 / 100

24.

回答: B

25 / 100

25.

回答: A

26 / 100

26.

回答: B

27 / 100

27.

A. AWSCloudFormationFullAccess IAM ポリシーを AWS CloudFormation ロールにアタッチします。

B. AWS CloudFormation ドリフト検出を使用して、スタックリソースを自動的に回復します。

C. AWS CloudFormation コンソールまたは AWS CLI から ContinueUpdateRollback コマンドを発行します。

D. スタックの期待値に合わせてリソースを手動で調整します。

E. 元のテンプレートを使用して、既存の AWS CloudFormation スタックを更新します。

28 / 100

28.

B. キャッシュをクリアするカスタムスクリプトを作成します。AppSpec ファイルの BeforeInstall ライフサイクルフックでスクリプトを指定します。

F. AWS Systems Manager を使用して、Amazon S3 からアーティファクトを取得し、すべてのインスタンスにデプロイします。

回答: BDE

29 / 100

env:
variables:
AWS_ACCESS_KEY_ID: AKIAJF7BREFWJBA4GHXNA
AWS_SECRET_ACCESS_KEY: ORj3ns3At2mIh404Atm0+zHxZqz7cNaVMLYRehcI
AWS_DEFAULT_REGION: us-east-1
DB_PASSWORD: cuj5RptFa3va

29. AWS セキュリティのベストプラクティスに準拠するために、どのような変更を推奨しますか? (3 つ選択してください)

B. 必要な権限で CodeBuild プロジェクトロールを更新し、環境変数から AWS 認証情報を削除します。

C. DB_PASSWORD を SecureString 値として AWS Systems Manager パラメータストアに保存し、環境変数から DB_PASSWORD を削除します。

D. 環境変数を「db-deploy-bucket」Amazon S3 バケットに移動し、ダウンロードするビルド前ステージを追加して、変数をエクスポートします。

E. AWS Systems Manager の実行コマンドではなく、scp コマンドと ssh コマンドをインスタンスに直接使用します。

回答: BCE

30 / 100

30.

回答: A

31 / 100

31.

C. ECR リポジトリを公開イメージリポジトリに更新します。IAM サービスロールにアクセスを許可する ECR リポジトリポリシーを追加します。

回答: A

32 / 100

32.

A. 外部 IdP をアイデンティティソースとして設定します。SCIM プロトコルを使用して、ユーザーとグループの自動プロビジョニングを設定します。

C. AD Connector をアイデンティティソースとして設定します。SCIM プロトコルを使用して、ユーザーとグループの自動プロビジョニングを設定します。

D. 外部 IdP をアイデンティティソースとして設定します。SAML プロトコルを使用して、ユーザーとグループの自動プロビジョニングを設定します。

回答: A

33 / 100

33.

回答: C

34 / 100

34.

A. 開発 OU のすべてのユーザーは、すべてのリソースに対するすべての API アクションが許可されます。

B. 開発 OU のすべてのユーザーは、EC2 リソースに対するすべての API アクションが許可されます。その他のすべての API アクションは拒否されます。

C. 開発 OU のすべてのユーザーは、すべてのリソースに対するすべての API アクションが拒否されます。

D. 開発 OU のすべてのユーザーは、EC2 リソースに対するすべての API アクションが拒否されます。その他のすべての API アクションは許可されます。

回答: B

次のリンクの表を確認してください:
https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/

35 / 100

35.

回答: A

説明:
このソリューションは、会社のすべての要件を満たしています:

開発者は、ローカル Git 構成にリモート URL を追加して、セカンダリリージョンでコードを開発できます。

36 / 100

36.

回答: A

説明: A は、そのような結果を招くことなくテストを実行できるソリューションです

37 / 100

37.

回答: C

38 / 100

38.

A. Secrets Manager のデフォルトの KMS キーを更新して、Lambda 関数の実行ロールのみが復号できるようにします。

E. Lambda 関数の実行ロールからすべての KMS 権限を削除します

回答: BD

39 / 100

39.

A. RDS Multi-AZ DB インスタンスを Amazon DynamoDB テーブルに置き換えます。

B. Lambda 関数の送信先として Amazon Simple Queue Service (Amazon SQS) キューを設定します。

C. SNS トピックの Amazon Simple Queue Service (Amazon SQS) デッドレターキューを設定します。

回答: CD

説明:
今後通知メッセージが失われないようにするという要件を満たす 2 つのソリューションは次のとおりです。

C. SNS トピックの Amazon Simple Queue Service (Amazon SQS) デッドレターキューを設定します。

40 / 100

40.

回答: A

41 / 100

41.

回答: B

説明:
B: これが理由です https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/UsingAlarmActions.html#AddingStopActions

42 / 100

42.

回答: C

43 / 100

43.

version: 0.0
os: linux
files:
- source: /
destination: /var/www/html/application

A. AfterBlockTraffic

B. BeforeBlockTraffic

C. BeforeInstall

D. DownloadBundle

回答: C

44 / 100

44.

回答: B

45 / 100

45.

A { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": ( "arn:aws:iam::*:root" ) } } ] }

B { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

C { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } } ] }

D { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "", "Resource": "*", "Principal": "root" } ] }

回答: C

説明:
C であるべきだと思います
https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html#bp_member-acct_use-scp

46 / 100

46.

回答: B

説明:
B だと思います。Amazon Lookout for metrics は S3 バケットから異常を検出し、Lambda をトリガーできます
https://aws.amazon.com/lookout-for-metrics/

47 / 100

47.

回答: C

48 / 100

48.

A. 再試行回数を増やす。

B. エラーが発生したときにバッチを分割するように設定を構成する。

C. シャードあたりの同時バッチ数を増やす。

D. レコードの最大経過期間を短縮する。

回答: B

49 / 100

49.

回答: C

説明:
このソリューションには、次の利点があります。

自動化: コードのプッシュからテストとデプロイまでのプロセス全体が自動化されるため、手作業が削減され、開発者の速度が向上します。

50 / 100

50.

回答: C

51 / 100

51.

回答: D

52 / 100

52.

A. 影響を受けた 2 つのインスタンスが新しいデプロイメントを取得できませんでした。

C. CodeDeploy エージェントは、影響を受ける 2 つのインスタンスにインストールされていませんでした。

回答: D

53 / 100

53.

回答: B

概要: D は無関係ですが、A と C は要件を達成できますが、より多くの労力とリソースを消費します。

54 / 100

54. 管理オーバーヘッドが最も少ないソリューションはどれですか?

回答: B

55 / 100

55.

回答: B

説明:
B 正解 - CodeDeployDefault OneAtAtime 構成 (One at a time、AllAtATime ではありません)

56 / 100

56.

回答: A

57 / 100

57.

A. Auto Scaling 設定を変更して、ロードバランサーのヘルスチェックに失敗したインスタンスを置き換えます。

B. ターゲットグループのヘルスチェック HealthCheckIntervalSeconds パラメータを変更して、ヘルスチェックの間隔を短縮します。

C. ターゲットグループのヘルスチェックを HTTP から TCP に変更して、アプリケーションがリッスンしているポートが到達可能かどうかを確認します。

回答: AE

58 / 100

58.

回答: D

59 / 100

59.

B. CloudFormation テンプレートの Conditions セクションを使用して、GuardDuty がまだ有効になっていないアカウントで GuardDuty を有効にします。

回答: A

60 / 100

60.

A. 組織ルートの管理 IAM ロールを除外する条件でフルアクセスを拒否する SCP を作成します。

B. FullAWSAccess SCP が組織ルートに適用されていることを確認します。

C. IAM 関連のアクションを許可する SCP を作成します。SCP を開発 OU にアタッチします。

D. 管理 IAM ロールを除外する条件で IAM 関連のアクションを拒否する SCP を作成します。SCP をワークロード OU にアタッチします。

E. 管理 IAM ロールを除外する条件で IAM 関連のアクションを拒否する SCP を作成します。 SCP を本番 OU にアタッチします。

回答: BE

説明:
AWS での SCP 継承の仕組みを理解する必要があります。拒否ポリシーの動作は、許可ポリシーとは異なります。

許可ポリシーは、許可ポリシーがない場合のみ、子に継承されます。

拒否ポリシーは常に子に継承されます。

61 / 100

61.

回答: A

62 / 100

62.

A. EKS クラスターに Horizontal Pod Autoscaler を実装します。

B. EKS クラスターに Vertical Pod Autoscaler を実装します。

C. Cluster Autoscaler を実装します。

D. EKS クラスターに AWS Load Balancer Controller を実装します。

回答: B

63 / 100

63.

A. サービス管理のアクセス許可を使用して、Organizations で CloudFormation の信頼できるアクセスを有効にします。

C. CloudFormation テンプレートごとに Service Catalog 製品を作成します。

E. AWS Control Tower (CfCT) CloudFormation スタックのカスタマイズをデプロイします。

F. 各カスタマイズのリソースを含む CloudFormation テンプレートを作成します。

回答: BCF

64 / 100

64.

回答: A

65 / 100

65.

A. 新しい AMI を使用する新しい起動テンプレートを作成します。

B. 新しい起動テンプレートを使用するように Auto Scaling グループを更新します。

C. Auto Scaling グループの必要な容量を 0 に減らします。

D. Auto Scaling グループの必要な容量を 1 増やします。

E. Auto Scaling グループで実行中の EC2 インスタンスから新しい AMI を作成します。

F. EC2 インスタンスが使用するオペレーティングシステムの最新のパブリック AMI をコピーして、新しい AMI を作成します。

回答: ABE

66 / 100

66.

D. Systems Manager ではなく AWS CodeDeploy を使用してビルド、テスト、デプロイのアクションを実行する個別の Lambda 関数を作成します。

回答: BC

67 / 100

67.

回答: A

68 / 100

68.

A. Lambda 関数のイベントソースマッピングを構成するときに、バッチウィンドウを 1 秒に減らします。

B. Lambda 関数のイベントソースマッピングを構成するときに、バッチサイズを 1 に減らします。

C. Lambda 関数のイベントソースマッピングの FunctionResponseTypes リストに ReportBatchItemFailures 値を含めます。

D. Lambda 関数の呼び出しスロットリングを考慮して、Lambda 関数のイベントソースマッピングでキューの可視性タイムアウトを設定します。

答え: C

説明:
C です。こちらが参考になります:

https://docs.aws.amazon.com/lambda/latest/dg/with-sqs.html#services-sqs-batchfailurereporting

69 / 100

69.

A. CloudTrail ログを含む S3 バケットを自動検出から除外します。

B. パブリック読み取りアクセス権を持つ S3 バケットを自動検出から除外します。

C. アカウント内のすべての S3 バケットに対して、スケジュールされた毎日の検出ジョブを構成します。

D. 最後に変更された基準に基づいて、S3 オブジェクトを含めるように検出ジョブを構成します。

E. 本番環境のみとしてタグ付けされた S3 オブジェクトを含めるように検出ジョブを構成します。

回答: AD

70 / 100

70.

A. 買収した会社の AWS アカウントを組織に招待します。完全な管理者権限を持つ SCP を作成します。SCP を管理アカウントにアタッチします。

回答: BC

71 / 100

71.

回答: B

説明:
質問のキーワード:
S3 でオブジェクトを期限切れにする方法。

S3 ライフサイクルルールのみがオブジェクトを期限切れにできます。

72 / 100

72.

回答: AE

73 / 100

73.

回答: B

74 / 100

74.

A. AmazonEC2FullAccess IAM ポリシーを IAM ユーザーにアタッチします。

B. Amazon EC2 のすべてのアクションを許可する新しい SCP を作成します。SCP をベンダーデータアカウントにアタッチします。

C. 子 OU の SCP を更新して、Amazon EC2 のすべてのアクションを許可します。

D. Amazon EC2 のすべてのアクションを許可する新しい SCP を作成します。SCP をルート OU にアタッチします。

回答: C

75 / 100

75.

回答: D

76 / 100

76.

A. Lambda 関数のメモリを増やして、関数が S3 バケットから大きなファイルを処理できるようにします。

B. Lambda 関数にリソースポリシーを作成し、Amazon S3 に S3 バケットの Lambda 関数を呼び出す権限を付与します。

C. Amazon Simple Queue Service (Amazon SQS) キューを Lambda 関数の OnFailure 宛先として設定します。

D. Lambda 関数の /tmp フォルダにスペースをプロビジョニングして、関数が S3 バケットから大きなファイルを処理できるようにします。

回答: B

77 / 100

77. これらの要件を満たすソリューションはどれですか?

回答: A

78 / 100

78.

回答: C

79 / 100

79.

A. AWS Elastic Beanstalk にアプリケーションをデプロイします。Elastic Beanstalk 構成の一部として Amazon RDS for MySQL DB インスタンスをデプロイします。

B. AWS Elastic Beanstalk にアプリケーションをデプロイします。Elastic Beanstalk の外部に別の Amazon RDS for MySQL DB インスタンスをデプロイします。

C. AWS Elastic Beanstalk 構成で、アプリケーションチームに警告する通知メールアドレスを設定します。

E. 不変のデプロイメント方法を使用して、新しいアプリケーションバージョンをデプロイします。

F. ローリングデプロイメント方法を使用して、新しいアプリケーションバージョンをデプロイします。

回答: BCE

80 / 100

80.

A. CodePipeline を設定して、Amazon CloudWatch Logs にアクションを書き込む。

B. CodePipeline を設定して、各パイプラインステージの最後に Amazon S3 バケットにアクションを書き込む。

C. AWS CloudTrail 証跡を作成して、ログを Amazon S3 に配信する。

回答: CE

説明:
C と E が正解です:

A: Cloudwatch Logs は、EC2 などの AWS リソースからのログを保存するためのものであり、codepipeline のログを保存するためのものではありません。

81 / 100

81.

回答: C

82 / 100

82.

回答: B

83 / 100

83.

A. AWS::ECS::Cluster リソースで EC2 インスタンスを参照し、AWS::ECS::Service リソースで ECS クラスターを参照します。

B. UserData プロパティの AWS::AutoScaling::LaunchConfiguration リソースで ECS クラスターを参照します。

C. UserData プロパティの AWS::EC2::Instance リソースで ECS クラスターを参照します。

回答: B

84 / 100

84.

回答: AB

85 / 100

85.

回答: A

86 / 100

86.

C. IAM Access Analyzer が識別するサービスを許可する SCP を作成します。新しい SCP を組織のルートに接続します。

回答: A

87 / 100

87.

B. S3 バケットでサーバーアクセスログを有効にします。 S3 バケットで s3:ObjectTagging:* イベントの S3 イベント通知を作成します。

回答: D

説明:
D は正解です。
A と B: 無関係
C: ログの読み取りに lambda を使用するのは、時間がかかるためお勧めできません。

88 / 100

88.

回答: D

89 / 100

89.

A. VPC を作成する CloudFormation スタックに AWS::EC2::FlowLog リソースを追加します。

D. VPC フローログの API 呼び出しの使用を拒否する IAM ポリシーを作成します。IAM ポリシーをすべての IAM ユーザーにアタッチします。

回答: C

90 / 100

90.

D. CodeCommit リポジトリごとに、関連付けられたチームの名前に値が設定された access-team タグを追加します。

回答: ADE

説明:
A- SAML アサーション
D- リソースにタグを付ける
E- 上記の D で動作しますが、条件はリソースタグに基づいています

91 / 100

91.

回答: A

https://docs.aws.amazon.com/waf/latest/developerguide/logging-cw-logs.html

92 / 100

92.

回答: B

93 / 100

93.

回答: C

説明:
回答 C 100%。

aws:SecureTransport 条件は、HTTPS (TLS) 経由の暗号化された接続のみを許可します --> これが必要なことです

94 / 100

94.

A. 次の条件式を追加します。 "Condition": { "StringEquals": { "aws:principaltype": "lambda.amazonaws.com" } }

B. 「Resource」: 「*」を「Resource」: 「arn:aws:ec2:*:*:instance/*」に変更します。

C. 次の条件式を追加します。 "Condition": { "StringNotEquals": { "ec2: ResourceTag/Environment": "Production" } }

D. 次の条件式を追加します。 "Condition": { "StringEquals": { "ec2: ResourceTag/Environment": "NonProduction" } }

E. 「Action」: 「ec2:*」を「Action」: 「ec2:StopInstances」に変更します

回答: B

95 / 100

95.

A. バッチ書き込みを使用して、1 回の書き込み操作で複数のログイベントを書き込みます。

B. 各ログイベントを単一の書き込み操作として書き込みます。

C. 各ログを単一測定レコードとして扱います。

D. 各ログを複数測定レコードとして扱います。

E. メモリストアの保持期間をマグネティックストアの保持期間よりも長く設定します。

F. メモリストアの保持期間をマグネティックストアの保持期間よりも短く設定します。

回答: ADF

96 / 100

96.

97 / 100

97.

A. AWS IAM Identity Center (AWS Single Sign-On) を構成します。IdP を構成します。既存の IdP から IdP メタデータをアップロードします。

B. 既存の IP からプロバイダー URL、オーディエンス、および署名を使用して IAM IdP を作成します。

回答: BDE

98 / 100

98.

回答: A

99 / 100

99.

回答: BD

100 / 100

100.

回答: B

Your score is

■AWS-DOP-C02-(JP)Q201~300

/100

AWS-DOP-C02-(JP)Q201~300

1 / 100

A. Lambda 関数の予約同時実行性を高めます。

B. Lambda 関数のプロビジョニング同時実行性を高めます。

C. DB クラスターを Aurora グローバルデータベースに変換します。会社の顧客の所在地に基づいて、AWS リージョンに Aurora レプリカを追加します。

D. Lambda 関数をリファクタリングします。データベース接続を初期化するコードブロックを関数ハンドラーに移動します。

回答: BCE

2 / 100

回答: B

3 / 100

回答: C

4 / 100

B. 現在の単一のタググループを変更して、Department=Marketing、Environment=production、および Name=ApplicationA タグを含めます。

D. 現在の単一タググループを変更して、Environment=Production タグのみを含めます。Department=Marketing タグのみを含む別の単一タググループを追加します。

回答: A

5 / 100

回答: D

6 / 100

回答: B

7 / 100

回答: D

8 / 100

A. Amazon Managed Service for Prometheus のリモート書き込み URL を使用して、SNS トピックにアラートを送信します。

B. ワークロードの各コンテナの可用性を確認するアラートルールを作成します。

C. SNS トピックのアラートマネージャー構成を作成します。

E. Amazon Managed Service for Prometheus が使用する IAM ロールを変更します。ロールに、SNS トピックの sns:Publish 権限と sns:GetTopicAttributes 権限を付与します。

回答: BCD

説明:
B: (はい) 「AWS マネジメントコンソールを使用して Amazon Managed Service for Prometheus のルールとアラートマネージャーを構成する」手順。

C:(YES) 「SNS トピック」の ARN を使用して、「アラートマネージャー設定」に「SNS レシーバー」を追加します (Q208.5)

9 / 100

回答: B

10 / 100

10.

A. すべての EC2 インスタンスに Amazon CloudWatch エージェントがインストールされていることを確認します。

B. 各 EC2 インスタンスにインストールされる cron ジョブを作成して、一時ファイルを定期的に削除します。

回答: AD

説明:

A. すべての EC2 インスタンスに Amazon CloudWatch エージェントがインストールされていることを確認します。

11 / 100

11.

B. Lambda コード内にデータベース接続プールを実装します。データベース接続プールの最大接続数を設定します。

C. Lambda イベントハンドラーコードの外部でデータベース接続のオープンを実装します。

D. Lambda イベントハンドラーコード内でデータベース接続のオープンとクローズを実装します。

E. Lambda 関数からプロキシエンドポイントに接続します。

F. Lambda 関数から Aurora クラスターのエンドポイントに接続します。

回答: ACE

説明:
Lambda ハンドラーの外部でデータベース接続を開いたり閉じたりすると、接続を効率的に再利用でき、接続プールが実装されます。

12 / 100

12.

回答: C

13 / 100

13.

回答: D

14 / 100

14.

回答: B

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating

15 / 100

15.

A. iam:CreateUser アクションを拒否する IAM ポリシーを作成します。IAM ポリシーを Research Administrator 権限セットに添付します。

C. iam:CreateUser アクションを拒否する SCP を作成します。SCP をリサーチチームの AWS アカウントにアタッチします。

回答: C

16 / 100

16.

C. Lambda 関数のバッチサイズを増やします。S3 バケットで S3 Transfer Acceleration を設定します。SQS デッドレターキューを設定します。

回答: D

17 / 100

17.

A. 拡張ファンアウトを備えたデータストリームコンシューマーを作成します。ログを処理する Lambda 関数をコンシューマーとして設定します。

B. Lambda イベントソースマッピングで ParallelizationFactor 設定を増やします。

C. ログを処理する Lambda 関数の予約同時実行を設定します。

D. Kinesis データストリームのバッチサイズを増やします。

E. Lambda イベントソースマッピングの ReportBatchItemFailures 設定をオフにします。

F. Kinesis データストリームのシャード数を増やします。

回答: ABF

18 / 100

18.

B. Organizations で、自社の IP アドレス範囲外のソース IP アドレスを拒否する SCP を作成します。SCP を組織のルートにアタッチします。

D. Organizations で、会社の IP アドレス範囲内のソース IP アドレスを許可する SCP を作成します。SCP を組織のルートにアタッチします。

回答: B

19 / 100

19.

B. AWS Batch サービスプリンシパルが S3 レプリケーションに必要な権限を持つロールを引き受けることを許可する新しい IAM ロールを作成します。

回答: ADF

20 / 100

20.

A. AWS CloudFormation StackSets を使用して、すべての AWS アカウントに CloudFormation スタックをデプロイします。

B. ec2:* アクションの Deny ステートメントと "aws:RequestTag/isolation": false の条件を持つ SCP を作成します。

C. SCP を組織のルートにアタッチします。

回答: AE

21 / 100

21.

回答: C

22 / 100

22.

回答: B

23 / 100

23.

回答: A

24 / 100

24.

回答: A

25 / 100

25.

A. S3 バケットに適切な権限を持つ IAM ロールを作成します。IAM ロールをインスタンスプロファイルに追加します。

B. 起動テンプレートを更新して、IAM インスタンスプロファイルを含めます。

C. Amazon S3 に対する適切な権限を持つ IAM ユーザーを作成し、秘密鍵とトークンを生成します。

D. トラストアンカーとプロファイルを作成し、プロファイルに IAM ロールをアタッチします。

E. 起動テンプレートを更新し、新しい秘密鍵とトークンを使用するようにユーザーデータを変更します。

回答: AB

26 / 100

26.

回答: C

27 / 100

27.

回答: A

28 / 100

28.

A. Lambda 関数のリソースポリシーを変更して、関数を呼び出すための AWS Config 権限を付与します。

B. SNS トピックポリシーを変更して、EventBridge が SNS トピックに公開するための設定変更を含めます。

C. Lambda 関数の実行ロールを変更して、カスタム AWS Config ルールの設定変更を含めます。

D. すべての ECR リポジトリポリシーを変更して、必要な ECR API アクションへの AWS Config アクセスを許可します。

回答: A

29 / 100

29.

C. Organizations で開発アカウントに SCP を追加します。開発者のアクセスを制限するために、iam:* の拒否ルールを使用して SCP を構成します。

回答: D

D は要件を効果的に満たしています

30 / 100

30.

A. マルチアカウントアグリゲータで AWS Config を有効にします。Amazon CloudWatch Logs へのログ転送を設定します。

B. Amazon CloudWatch Logs クエリを使用する Amazon QuickSight ダッシュボードを作成します。

E. AWS CloudTrail 組織証跡を作成します。組織の証跡を設定して、イベントを Amazon CloudWatch Logs に送信します。

F. CloudWatch Logs Insights クエリを使用する Amazon CloudWatch ダッシュボードを作成します。

回答: CEF

説明:
オプション E: CloudTrail を使用して、ルートユーザーのアクティビティをキャプチャして転送します。

オプション C: ルートユーザーのログインイベントを警告するメトリックフィルターとアラームを設定します。

オプション F: ルートユーザーのアクティビティを視覚化するための CloudWatch ダッシュボードを作成します。

AWS Config は、ルートユーザーのログインイベントをキャプチャして CloudWatch Logs に転送することに直接関係しません。

31 / 100

31.

A. 委任された管理者アカウントで Amazon GuardDuty を使用する GuardDuty を使用して、IAM ユーザーのログインを拒否します。

B. AWS IAM Identity Center を使用して、SAML 2.0 で ID フェデレーションを設定します。

C. AWS IAM Identity Center でアクセス許可の境界を作成し、IAM ユーザーのパスワードログインを拒否します。

D. Organizations 管理アカウントで IAM グループを作成し、すべての IAM ユーザーに一貫したアクセス許可を適用します。

E. Organizations で SCP を作成し、IAM ユーザーのパスワード作成を拒否します。

回答: BE

説明:
オプション B: AWS IAM Identity Center を使用して、SAML 2.0 で ID フェデレーションを設定します。

オプション E: SCP を実装して、IAM ユーザーのパスワード作成を拒否し、IdP 認証を適用します。

32 / 100

32.

回答: BD

33 / 100

33.

A. AWS JAM を承認方法として設定して、すべての API メソッドで IAM 認証を有効にします。

B. 呼び出し元の ID をベアラートークンで渡すトークンベースの AWS Lambda オーソライザーを作成します。

D. Amazon Cognito ユーザープールをオーソライザーとして使用して、API へのアクセスを制御します。

E. 署名バージョン 4 を使用して AWS 認証情報を使用してクライアントリクエストに署名し、リクエスタの ID を確認します。

回答: AE

説明:
Hope はオプション A のタイプミスです。AWS JAM = AWS IAM

34 / 100

34.

回答: B

35 / 100

35.

回答: B

36 / 100

36.

回答: B

37 / 100

37.

A. 標準のテスト環境とプロジェクトを使用して AWS Device Farm を起動し、アプリケーションの特定のビルドを実行します。

B. Amazon S3 バケットを作成します。AWS CloudTrail を有効にします。S3 バケットをストレージの場所として指定する CloudTrail 証跡を作成します。

C. Amazon Simple Queue Service (Amazon SQS) 標準キューをデッドレターキューとして使用するように EventBridge ルールを設定します。

D. Amazon Simple Queue Service (Amazon SQS) FIFO キューをデッドレターキューとして使用するように EventBridge ルールを設定します。

E. Amazon CloudWatch Logs にロググループを作成します。ロググループを EventBridge ルールの追加ターゲットとして指定します。

回答: BCE

38 / 100

38.

C. イメージのプレスキャンリポジトリからイメージのポストスキャンリポジトリへの各イメージのイメージレプリケーションを設定します。

回答: AE

D 不正解。複数のパイプラインの作成と管理が伴い、管理オーバーヘッドが大幅に増加するためです

39 / 100

39.

A. EKS クラスターにアタッチされている IAM ロールには、Secrets Manager からシークレットを取得するためのアクセス権がありません。

B. カスタマー管理キーのキーポリシーでは、Kubernetes サービスアカウントの IAM ロールがキーを使用することが許可されていません。

C. カスタマー管理キーのキーポリシーでは、EKS クラスターの IAM ロールがキーを使用することが許可されていません。

D. Kubernetes サービスアカウントが引き受けている IAM ロールには、EKS クラスターにアクセスする権限がありません。

回答: B

40 / 100

40.

回答: C

41 / 100

41.

回答: AD

42 / 100

42.

回答: C

43 / 100

43.

回答: ACE

https://aws.amazon.com/blogs/mt/analyzing-amazon-cloudwatch-internet-monitor-measurement-logs-using-amazon-athena-amazon-quicksight/

44 / 100

44.

A. EKS ノードを Amazon EC2 から AWS Fargate に切り替えます。

B. EFS ファイルシステムのセキュリティグループにインバウンドルールを追加して、EKS クラスターからの NFS トラフィックを許可します。

C. Amazon EFS CSI ドライバーがファイルシステムと対話できるようにする IAM ロールを作成します。

D. AWS DataSync をセットアップして、EFS ファイルシステムと EKS ノード間のファイル転送を構成します。

E. EKS ノードのサブネットに EFS ファイルシステムのマウントターゲットを作成します。

F. EFS ファイルシステムの暗号化を無効にします。

回答: BCE

45 / 100

45.

D. amazon-efs-utils パッケージを使用して EFS ファイルシステムをマウントします。

E. ネイティブ Linux NFS クライアントを使用して EFS ファイルシステムをマウントします。

回答: BD

46 / 100

46.

A. CodeDeployDefault.ECSLinearl OPercentEveryl Minutes デプロイメント構成を含む AppSpec ファイルを追加します。

B. CodeDeployDefault.ECSLinear10PercentEvery1Minutes デプロイメント構成を含む AWS::CodeDeployBlueGreen 変換と AWS::CodeDeploy::BlueGreen フックパラメータを追加します。

C. ECSCanary10Percent5Minutes デプロイメント構成を含む AppSpec ファイルを追加します。

D. ECSCanary10Percent5Minutes デプロイ構成で、AWS::CodeDeployBlueGreen トランスフォームと AWS::CodeDepioy::BlueGreen フックパラメータを追加します。

47 / 100

47.

回答: A

48 / 100

48.

回答: A

説明:
双方向 S3 バケットレプリケーション:

グローバル DynamoDB テーブル:

49 / 100

49.

回答: A

50 / 100

50.

回答: C

51 / 100

51.

52 / 100

52.

A. Amazon ECR 基本スキャンを使用します。

B. Amazon ECR 拡張スキャンを使用します。

53 / 100

53.

回答: D

54 / 100

54.

B. Amazon GuardDuty を設定して、管理者ロールが引き受けられたときに監視し、セキュリティチームに通知を送信します。

回答: D

55 / 100

55.

回答: BD

説明:
E. Global Accelerator を使用するとフェイルオーバー速度が速くなりますが、この場合は必要ありません。

56 / 100

56.

A. sam deploy コマンドの代わりに aws cloudformation update-stack コマンドを使用します。

B. sam deploy コマンドの代わりに、aws cloudformation update-stack-instances コマンドを使用します。

C. CodeUri プロパティを更新して、ローカルアプリケーションコードフォルダを参照します。sam deploy コマンドを使用します。

回答: CE

57 / 100

57.

回答: A

説明:
Amazon ECR リポジトリ設定で拡張スキャンをオンにします。これにより、Amazon Inspector はイメージの脆弱性をスキャンできるようになります。

58 / 100

58.

B. Systems Manager ドキュメントを設定して、インストールアクションで aws-configurePackage プラグインを使用し、Git リポジトリを指定します。

D. Systems Manager ドキュメントを設定して、aws:softwareInventory プラグインを使用し、Git リポジトリからスクリプトを実行します。

回答: C

59 / 100

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:*",
"lambda:*",
"dynamodb:*"
],
"Resource": "*"
}
]
}

59. 同社は、CloudFormation のみが新しいロールを使用できるようにしたいと考えています。開発チームは、デプロイされたリソースに手動で変更を加えることはできません。

これらの要件を満たす手順の組み合わせはどれですか? (3 つ選択してください)

B. CloudFormationDeployment ロールの信頼ポリシーを更新して、開発者 IAM ロールが CloudFormationDeployment ロールを引き受けられるようにします。

D. CloudFormationDeployment ロールの信頼ポリシーを更新して、cloudformation.amazonaws.com AWS プリンシパルが iam:AssumeRole アクションを実行できるようにします。

回答: ADF

D. CloudFormationDeployment ロールの信頼ポリシーを更新して、cloudformation.amazonaws.com AWS プリンシパルが iam:AssumeRole アクションを実行できるようにします。

60 / 100

60.

B. CloudFormation ネストスタックを作成して、両方のスタックでクロススタックリソース参照とパラメータを使用できるようにします。

C. CloudFormation スタックセットを作成して、両方のスタックでクロススタックリソース参照とパラメータを使用できるようにします。

D. Web アプリケーション CloudFormation テンプレートに入力パラメータを作成し、データベーススタックからリソース名と ID を渡します。

回答: A

61 / 100

61.

回答: D

62 / 100

62.

B. 共有サービスアカウントにドメインを作成します。組織に読み取りアクセスと CreateRepository アクセスを付与します。

F. 他のアプリケーションチームのリポジトリをアップストリームリポジトリとして設定します。

回答: BCD

63 / 100

63. appspec.yml ファイルのファイルセクションには次の内容が含まれます:

ファイル:
- ソース: config/config.txt
宛先: /usr/local/src/config.txt
- ソース: /
宛先: /var/www/html

config.txt ファイルのデプロイの結果はどうなるでしょうか?

A. config.txt ファイルは /var/www/html/config/config.txt にのみデプロイされます。

B. config.txt ファイルは /usr/local/src/config.txt と /var/www/html/config/config.txt にデプロイされます。

C. config.txt ファイルは /usr/local/src/config.txt にのみデプロイされます。

D. config.txt ファイルは、/usr/local/src/config.txt と /var/www/html/application/web/config.txt にデプロイされます。

回答: B

説明:
config/config.txt ファイルは、最初のマッピングに基づいて /usr/local/src/config.txt にコピーされます。

ソースディレクトリ全体 (/) も /var/www/html にマッピングされるため、config/config.txt も /var/www/html/config/config.txt にコピーされます。

64 / 100

64.

A. 影響を受ける CodeArtifact パッケージバージョンのステータスを非公開に更新します。

B. 影響を受ける CodeArtifact パッケージバージョンのステータスを削除済みに更新します。

C. 影響を受ける CodeArtifact パッケージバージョンのステータスをアーカイブに更新します。

D. CodeArtifact パッケージのオリジンコントロール設定を更新して、直接公開を許可し、アップストリーム操作をブロックします。

E. CodeArtifact パッケージのオリジンコントロール設定を更新して、直接公開をブロックし、アップストリーム操作を許可します。

回答: CD

説明:

A - 非公開ではダウンロードが妨げられません

B - 削除済みは、有効なコードアーティファクトパッケージバージョンステータスではありません

C - アーカイブ済みではダウンロードが妨げられます

https://docs.aws.amazon.com/codeartifact/latest/ug/packages-overview.html#package-version-status

65 / 100

65.

D. レコードを AWS Step Functions に渡す Web アプリケーションを作成します。処理を Step Functions タスクと AWS Lambda 関数に分離します。

回答: D

説明:
Step Functions と Lambda:
- タスクの分離
- エラー処理と再試行ロジック
- 状態管理

66 / 100

66.

回答: D

67 / 100

67.

回答: BD

68 / 100

68.

A. CloudWatchAgentServerPolicy マネージド IAM ポリシーを、クラスターが使用する IAM インスタンスプロファイルにアタッチします。

B. CloudWatchAgentServerPolicy マネージド IAM ポリシーを、クラスターのサービスアカウントロールにアタッチします。

D. AWS Distro for OpenTelemetry コレクターを DaemonSet としてデプロイして、パフォーマンスログを収集します。

E. Service ディメンションを使用して、ContainerInsights 名前空間の pod_memory_utilization Amazon CloudWatch メトリクスを分析します。

F. ClusterName ディメンションを使用して、ContainerInsights 名前空間の node_memory_utilization Amazon CloudWatch メトリクスを分析します。

69 / 100

69.

回答: B

70 / 100

70.

E. 権限セットを Organizations 管理アカウントに割り当てます。IAM チームグループが権限セットを使用できるようにします。

F. 新しい AWS アカウントに権限セットを割り当てます。IAM チームグループが権限セットを使用できるようにします。

回答: ADF

71 / 100

71.

A. 新しいアカウントのバックアップボールトアクセスポリシーを編集して、プライマリアカウントへのアクセスを許可します。

B. プライマリアカウントのバックアップボールトアクセスポリシーを編集して、新しいアカウントへのアクセスを許可します。

C. プライマリアカウントのバックアップボールトアクセスポリシーを編集して、新しいアカウントの KMS キーへのアクセスを許可します。

D. プライマリアカウントの KMS キーのキーポリシーを編集して、新しいアカウントとキーを共有します。

E. 新しいアカウントの KMS キーのキーポリシーを編集して、プライマリアカウントとキーを共有します。

回答: AD

説明:
https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html

72 / 100

72.

A. 各レプリケーションルールで S3 レプリケーション時間制御 (S3 RTC) を有効にします。

B. アクティブ/パッシブ構成で S3 マルチリージョンアクセスポイントを作成します。

D. 両方の S3 バケットで S3 Transfer Acceleration を有効にします。

E. Amazon Route 53 Recovery Controller でルーティング制御を構成します。アクティブ/パッシブ構成で S3 バケットを追加します。

F. 会社が他のリージョンの S3 バケットにフェイルオーバーする必要がある場合は、AWS API で UpdateRoutingControlStates オペレーションを呼び出します。

回答: ABC

73 / 100

73.

E. cdk diff コマンドを使用するテストを作成します。リソースが変更された場合にテストが失敗するように構成します。

回答: AD

74 / 100

74.

回答: A

75 / 100

75.

回答: D

76 / 100

76.

A. パイプラインにデプロイステージを追加します。Amazon ECS をアクションプロバイダーとして設定します。

B. パイプラインにデプロイステージを追加します。AWS CodeDeploy をアクションプロバイダーとして設定します。

C. CodeCommit リポジトリに appspec.yml ファイルを追加します。

D. イメージビルドパイプラインステージを更新して、新しいイメージタグを参照する imagedefinitions.json ファイルを出力します。

回答: ADE

説明:
キーワード: 最も管理オーバーヘッドが少ない

D. イメージビルドパイプラインステージを更新して、新しいイメージタグを参照するイメージ definitions.json ファイルを出力します。

- ECS が新しいイメージバージョンを認識してデプロイし、自動更新を容易にするために必要です。

77 / 100

77.

A. 複数のアベイラビリティーゾーンにターゲットがある Amazon Elastic File System (Amazon EFS) ファイルシステムを作成します。

B. Amazon FSx for NetApp ONTAP マルチ AZ ファイルシステムを作成します。

C. 共有ストレージに使用する汎用 SSD (gp3) Amazon Elastic Block Store (Amazon EBS) ボリュームを作成します。

D. 各アプリケーションの起動テンプレートのユーザーデータを更新して、ファイルシステムをマウントします。

E. 各 Auto Scaling グループでインスタンスの更新を実行します。

F. 各アプリケーションの EC2 インスタンスを更新して、新しいインスタンスが起動されたときにファイルシステムをマウントします。

回答: BDE

説明:
シナリオの要件を満たすには、企業は次の手順を実行する必要があります。

78 / 100

78.

回答: D

79 / 100

79.

B. Systems Manager コマンドドキュメントにリンクする Systems Manager State Manager の関連付けを作成します。すぐに実行されるタグクエリを作成します。

回答: B

理由は次のとおりです。

80 / 100

80.

A. すべてのリソースに対するすべての API アクションが許可されます。

B. EC2 リソースに対するすべての API アクションが許可されます。その他のすべての API アクションは拒否されます。

C. すべてのリソースに対するすべての API アクションは拒否されます。

D. EC2 リソースに対するすべての API アクションは拒否されます。その他のすべての API アクションは許可されます。

回答: B

81 / 100

81.

回答: D

説明:
C は最もエレガントなソリューションのように思えますが、それをサポートするドキュメントを見つけることができませんでした。

オプション D については、次のリンクを見つけました - https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SubscriptionFilters.html#FirehoseExample

82 / 100

82.

回答: AD

83 / 100

83.

回答: C

説明:
これが最も運用効率が高い理由:

• 信頼性: このソリューションは AWS ネイティブの機能を活用し、エラーや運用中断の可能性を減らします。

84 / 100

84.

回答: B

説明:
B の動作:

1. BeginResponse 関数: 処理が完了すると、単一の SNS トピックにパブリッシュします。

2. SNS ファンアウト: SNS トピックは、依存する Lambda 関数ごとに 1 つずつ、複数の SQS キューにメッセージを送信します。

3. SQS キューと Lambda: 各 Lambda 関数は、それぞれの SQS キューにサブスクライブされ、メッセージを個別に処理します。

4. 再試行と同時実行: SQS キューは、処理が失敗した場合にメッセージが再試行されるようにし、キューごとに Lambda 同時実行を調整できます。

85 / 100

85.

回答: C

86 / 100

86.

A. Docker イメージを Amazon Elastic Container Registry (Amazon ECR) リポジトリに保存します。CodeBuild 用のローカル Docker レイヤーキャッシュを実装します。

D. キャッシュされた Docker イメージを含むカスタム AMI を作成します。CodeBuild ビルドで、カスタム AMI から Amazon EC2 インスタンスを起動します。

回答: A

87 / 100

87.

回答: A

説明:
ec2:InstanceType 条件が t3.small に等しくない場合は、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを拒否します

aws:RequestedRegion 条件が us-* に等しくない場合は、すべての EC2 インスタンスリソースに対して ec2:RunInstances アクションを拒否します

88 / 100

88.

回答: B

89 / 100

89.

回答: C

説明:
Athena は S3 バケットでのみクエリを実行でき、CloudWatch メトリックでは実行できません。

90 / 100

90.

回答: D

説明:
オプション D が正しい理由:

91 / 100

91.

A. { "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "department" ] } } }

B. { "Condition": { "StringEquals": { "aws:PrincipalTag/department": "${aws:ResourceTag/department}" } } }

C. { "Condition": { "StringEquals": { "ec2:ResourceTag/department": "${aws:PrincipalTag/department}" } } }

D. { "Condition": { "ForAllValues:StringEquals": { "ec2:ResourceTag/department": [ "d1", "d2", "d3" ] } } }

回答: C

説明:
aws:PrincipalTag 条件キーでもまったく同じ名前にする必要があります (つまり、「ec2:ResourceTag/CostCenter」: 「${aws:PrincipalTag/CostCenter}」)。

92 / 100

92.

A. すべての OU に SCP を適用して、cloudtrail:StopLogging アクションと cloudtrail:DeleteTrail アクションを拒否します。

B. 各アカウントで IAM ポリシーを作成し、cloudtrail:StopLogging アクションと cloudtrail:DeleteTrail アクションを拒否します。

C. ユーザーがアカウントで CloudTrail を無効にしたときにセキュリティチームに通知するように、Amazon CloudWatch アラームを設定します。

D. ユーザーがアカウントで CloudTrail を無効にした場合、AWS Config を使用して CloudTrail を自動的に再度有効にします。

93 / 100

93.

回答: A

94 / 100

94.

回答: C

95 / 100

95.

96 / 100

96.

E. 新しい権限セットを Organizations 管理アカウントに割り当てます。IAM チームのグループが権限セットを使用できるようにします。

F. 新しい権限セットを新しい AWS アカウントに割り当てます。IAM チームのグループが権限セットを使用できるようにします。

回答: BDF

説明:

97 / 100

97.

A. グローバルデータベースにセカンダリクラスターを追加します。

B. グローバルデータベースの書き込み転送を有効にします。

C. グローバルデータベースからセカンダリクラスターの 1 つを削除します。

D. グローバルデータベースの同期レプリケーションを設定します。

回答: C

98 / 100

98.

A. CloudWatch エージェントを Kubernetes StatefulSet として EKS クラスターにデプロイします。

B. AWS Distro for OpenTelemetry Collector を Kubernetes DaemonSet として EKS クラスターにデプロイします。

E. EKS クラスターの IAM OpenID Connect (OIDC) プロバイダーを構成します。

F. EKS クラスターの EKS コントロールプレーンのログ記録を有効にします。

回答: ACF

説明:
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/deploy-container-insights-EKS.html

- fargate のデーモンセットがありません
- CloudWatchAgentServerPolicy が正しいです
- コントロールプレーンのログ記録

99 / 100

99.

答え: A

説明:
Amazon CodeGuru Security は、ML と自動推論を使用して、開発サイクルのあらゆる段階でコードセキュリティの脆弱性を検出、追跡、修正します。

100 / 100

100.

回答: C

Your score is

■AWS-DOP-C02-(JP)Q301~363

/63

AWS-DOP-C02-(JP)Q301~363

1 / 63

回答: A

2 / 63

A. S3 バケットに Lambda 関数を呼び出す権限を S3 バケットに付与する S3 バケットポリシーを作成します。

B. Lambda 関数のリソースポリシーを作成し、S3 バケットで Lambda 関数を呼び出す権限を Amazon S3 に付与します。

回答: B

3 / 63

D. 新しい AWS アカウントの詳細を使用して、AWS Service Catalog ProvisionProduct API オペレーションを呼び出します。

E. controltower.amazonaws.com サービス名と新しい AWS アカウントの詳細を使用して、Organizations EnableAWSServiceAccess API オペレーションを呼び出します。

回答: CD

説明:
オプションの詳細:

4 / 63

回答: A

説明:
クロスゾーン負荷分散を無効にする:

5 / 63

回答: C

説明:

複数の AWS アカウントからの Amazon Connect イベントを 1 つのアカウントの EventBridge イベントバスに一元管理するには、次の手順が必要です。

1. DevOps アカウントの EventBridge イベントバスのリソースベースのポリシーを更新します。

• このポリシーにより、DevOps アカウントのイベントバスは他のアカウントからのイベントを受け入れることができます。

6 / 63

回答: ACF

7 / 63

回答: D

説明:
実装手順:
DR リージョンに FSx for ONTAP インスタンスを作成します:

新しい DR リージョンに FSx for NetApp ONTAP インスタンスをデプロイします。
SnapMirror レプリケーションのセットアップ:

本番リージョンの FSx ボリュームから DR リージョンの FSx インスタンスへの SnapMirror を設定します。

10 分の RPO 要件を満たすために、レプリケーションスケジュールを 5 分に設定します。

DR セットアップのテスト:

DR リージョンのレプリケートされたボリュームが一貫していてアクセス可能であることを確認します。

DR 環境がレプリケートされた FSx ボリュームにフェイルオーバーできることを確認します。

CloudFormation の更新:

8 / 63

回答: C

9 / 63

10 / 63

10.

C. us-east-1 に S3 バケットを作成します。S3 バケットポリシーを設定して、CodePipeline に読み取りおよび書き込みアクセスを許可します。

回答: CE

11 / 63

11.

回答: B

12 / 63

12.

A. Amazon ECR のプライベートレジストリの拡張スキャンを有効にします。

B. Amazon ECR のプライベートレジストリの基本的な継続スキャンを有効にします。

回答: A

13 / 63

13.

A. イベントバスで EventBridge スキーマ検出を有効にして、イベントパターンが期待されるスキーマと一致するかどうかを判断します。

C. AWS Lambda ログ記録関数を設定して、EventBridge からのイベントを監視およびログに記録し、処理されたイベントに関する詳細を提供します。

D. Step Functions 実行履歴で、欠落したイベント呼び出しに関連する可能性のある失敗またはタイムアウトのパターンを確認します。

E. EventBridge の失敗した呼び出しのメトリクスを確認し、ルールにアタッチされている IAM 実行ロールに十分な権限があることを確認します。

F. Step Functions ワークフローに、EventBridge によって呼び出される適切な権限があることを確認します。

回答: ABE

14 / 63

14.

答え: A

15 / 63

15.

16 / 63

16.

17 / 63

17.

C. クラスター内の PersistentVolumeClaim オブジェクトに ebs.csi.aws.com/volumeType:gp3 アノテーションを追加します。

回答: B

18 / 63

18.

A. EC2 インスタンス状態変更通知イベントに反応する Amazon EventBridge ルールを作成します。

B. Amazon CloudWatch Logs ロググループを作成します。ロググループを EventBridge ルールのターゲットとして指定します。

C. VPC フローログにフローログを作成します。

D. Amazon CloudWatch Logs ロググループを作成します。ロググループをフローログの送信先として指定します。

E. ロググループメトリクスフィルターを作成します。

F. ロググループサブスクリプションフィルターを作成します。送信先として EventBridge を使用します。

回答: CDE

説明:

C. VPC フローログにフローログを作成します。

19 / 63

19.

A. EKS クラスターの IAM OpenID Connect (OIDC) プロバイダーを作成します。

B. ノードが EKS Auth API にアクセスできることを確認します。EKS クラスターの EKS Pod Identity Agent アドオンを追加して構成します。

C. API_AND-CONFIG_MAP クラスター認証モードを使用する EKS アクセスエントリを作成します。

D. EKS クラスターのポッドが使用する Kubernetes サービスアカウントの AWS Security Token Service (AWS STS) エンドポイントを構成します。

回答: B

説明:
質問ではポッドが irsa を使用しているとは述べられていないため、eks アドオンはポッド ID で問題なく動作するはずです

20 / 63

20.

回答: C

21 / 63

21.

回答: A

22 / 63

22.

D. VPC にあるパブリック ECR リポジトリ用の Amazon ECR インターフェイス VPC エンドポイントを作成します。

E. VPC にあるプライベート ECR リポジトリ用の Amazon ECR インターフェイス VPC エンドポイントを作成します。

F. VPC に Amazon S3 ゲートウェイエンドポイントを作成します。

回答: CEF

インターネットアクセスの排除:
VPC から NAT ゲートウェイとインターネットゲートウェイを削除します。

23 / 63

23.

D. 新しい AWS Lambda 関数を作成します。スキャン結果が検出されると、新しい Lambda 関数を呼び出します。

回答: AB

説明:
これは、https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-enhanced.html に基づく AB です。

24 / 63

24.

D. EC2 Image Builder コンテナレシピを作成します。ビルドコンポーネントを追加して、一致するタグが付いたコンテナを 15 日後に期限切れにします。

回答: A

説明:
A. Amazon Elastic Container Registry (Amazon ECR) にリポジトリを作成します。

25 / 63

25.

A. Amazon CloudWatch ロググループを作成します。CloudWatch ロググループに書き込む AWS CloudTrail トレイルを作成します。

B. 新しい Amazon S3 バケットを作成します。Redshift クラスターでデフォルトの監査ログを設定します。S3 バケットをターゲットとして設定します。

C. Redshift クラスターデータベース監査ログを設定して、ユーザーアクティビティログを含めます。Amazon CloudWatch をターゲットとして設定します。

D. ログウィジェットを含む Amazon CloudWatch ダッシュボードを作成します。ウィジェットを設定して、Redshift ログからユーザーの詳細を表示します。

回答: CD

26 / 63

26.

回答: A

27 / 63

27.

回答: BD

28 / 63

28.

29 / 63

29.

30 / 63

30.

答え: A

説明:
「A」は確かに最もエレガントで明白な解決策です。
「B」はうまくいくかもしれませんが、はるかに複雑すぎるようです

31 / 63

31.

A. API Gateway API にリソースポリシーを作成してアタッチします。特定の VPC ID のみを許可するようにリソースポリシーを設定します。

B. API Gateway API にセキュリティグループを追加します。特定の VPC IP アドレス範囲のみを許可するようにインバウンドルールを設定します。

C. API Gateway API に IAM ロールを作成してアタッチします。特定の VPC ID のみを許可するように IAM ロールを設定します。

D. API Gateway API に ACL を追加します。特定の VPC IP アドレス範囲のみを許可するようにアウトバウンドルールを設定します。

回答: A

32 / 63

32.

A. サービスに関連付けられたセキュリティグループが ALB からのトラフィックを許可していることを確認します。

B. サービスの ALB ヘルスチェック猶予期間を延長します。

C. サービスの最小正常パーセント設定を増やします。

D. ALB ヘルスチェック間隔を短縮します。

回答: B

33 / 63

33.

B. AWS Direct Connect を使用して、カスタムリポジトリを EC2 インスタンスと統合します。Amazon EventBridge イベントを使用してパッチを展開します。

回答: A

34 / 63

34.

35 / 63

35.

C. EC2 インスタンスで実行されるコンテナと ALB を AWS Lambda 関数に置き換えます。MySQL データベースを Amazon DynamoDB テーブルに置き換えます。

D. EC2 インスタンスで実行されるコンテナを AWS Fargate に置き換えます。 MySQL データベースを Amazon DynamoDB テーブルに置き換えます。

回答: B

説明:
「B」は、質問にあるように、最も簡単に実装できるオプションです。

36 / 63

36.

A. サービス管理権限を持つ CloudFormation StackSet を作成します。ルート OU をデプロイターゲットとして設定します。

C. 自己管理権限を持つ CloudFormation StackSet を作成します。ルート OU をデプロイターゲットとして設定します。

回答: B

説明:
B だと思います。サービス管理権限を持つスタックセットは、管理アカウントにデプロイされません。

37 / 63

37.

B. 処理タスクを定義するマップ状態を含む同期 Express ワークフローを作成します。

回答: AD

38 / 63

38.

A. CodeDeploy デプロイメントを変更して、CodeDeployDefault.ECSCanary10Percent5Minutes 構成を使用します。

B. CodeDeploy デプロイメントを変更して、CodeDeployDefault.ECSLinear10PercentEvery3Minutes 構成を使用します。

回答: AD

39 / 63

39.

回答: C

40 / 63

40.

回答: D

41 / 63

41.

回答: A

説明:
要件は次のとおりです。

1. CloudWatch からパフォーマンスメトリクスとカスタムメトリクスを収集します。

2. 名前空間に追加された新しいメトリクスを自動的に含めます。

3. メトリクスデータを変換します。

4. 変換されたデータを S3 バケットに保存します。

5. 運用オーバーヘッドを最小限に抑えます。

42 / 63

42.

回答: D

説明:
このソリューションは、最小限の運用労力ですべての要件を満たします。理由:

1. AWS Signer によるイメージの署名:

2. 自動化されたキーローテーション:

3. イメージに署名したユーザーを追跡:

4. イメージの作成に CodeBuild を使用する:

5. 最小限の運用労力:

43 / 63

43.

B. EC2 インスタンスプリンシパルの ReadFromRepository アクションを許可するリソースベースのポリシーを CodeArtifact リポジトリに設定します。

C. EC2 インスタンスが Python パッケージにアクセスできるように、CodeArtifact リポジトリの ACL を設定します。

回答: D

説明:

44 / 63

44.

回答: A

45 / 63

45.

C. ec2:RoleDelivery 条件キー値が 2 未満の場合に「*」を拒否する新しい SCP ステートメントを作成します。SCP を組織のルートにアタッチします。

回答: D

46 / 63

46.

A. インスタンス ID とエラーに基づいて CloudWatch アプリケーションログからログをグループ化する CloudWatch Contributor Insights ルールを作成します。

回答: AD

47 / 63

47.

回答: A

説明:
主な要件:

1. CloudFormation 管理リソースの手動変更を検出します。

2. このような変更が検出されると、DevOps リーダーにアラートを送信します。

3. 最小限の運用労力でこれを実現します。

48 / 63

48.

回答: C

49 / 63

49.

回答: A

50 / 63

50.

回答: B

51 / 63

51.

回答: CE

これを実現するために、AWS Permissions Boundaries は、開発者が割り当てることができる権限に制限を適用する効果的な方法を提供します。

52 / 63

52.

回答: C

説明:
C:
StackSets を介してすべてのアカウントでタグ付けを適用します。
CDK スタックを使用して、同じ構成の SQS をデプロイします。

53 / 63

53.

D. AWS Trusted Advisor を使用して、非準拠の設定を確認します。Trusted Advisor の推奨事項に基づいて、必要な変更を手動で適用します。

54 / 63

54.

D. アカウントに AWS CloudTrail 証跡と新しい S3 バケットを作成します。証跡を設定して、S3 の新しいバケットにログを記録します。

55 / 63

55.

56 / 63

56.

57 / 63

57.

58 / 63

58.

59 / 63

59.

60 / 63

60.

A. パイプライン内のビルドステージでは、AWS CodeStar 接続アクションを使用する必要があります。

B. GitHub への AWS CodeStar 接続に、正しくない認証情報が含まれています。

C. AWS CodePipeline サービスロールには、AWS CodeStar 接続を使用する権限がありません。

D. AWS CodeBuild サービスロールには、AWS CodeStar 接続を使用する権限がありません。

61 / 63

61.

62 / 63

62.

63 / 63

63.

Your score is