AWS-SAP-C02 日本語

回答: A
説明: すべてのオプションで、質問に含まれていない共有サービス VPC について言及されています。これは、cloud.example.com の Route 53 に使用されます。

オプション A - すべての VPC をプライベート ホスト ゾーンに関連付けると、cloud.example.com を解決できます。インバウンド解決により、オンプレミス リソースが cloud.example.com に解決できます。接続の最後の部分により、オンプレミスが接続して cloud.example.com に解決できます。

オプション B - この状況では Active Directory が機能していないため、Amazon EC2 条件付きフォワーダーはこの状況には適用されません。

オプション C - アウトバウンドリゾルバー (クラウドからオンプレミスへ) に依存しているため、機能しません。

オプション D - 他の VPC がプライベート ゾーンに接続されていないため、機能しません。さらに、共有サービス VPC のみが Transit Gateway に接続されているため、接続は完全ではありません。

回答:C
説明:
オプション A - 新しいリージョンにフェイルオーバーする方法は提供されませんが、API ゲートウェイがクライアントに最も近いリージョンから応答する方法は提供されます

オプション B - メイン リージョンが正常な場合、名前解決によって接続可能なリージョンが 2 つ提供されるため、新しいリージョンにフェイルオーバーする方法は提供されません

オプション C - Route 53 フェイルオーバー レコードとヘルス モニタリング、および別のリージョンでの展開を使用して、新しいリージョンにフェイルオーバーする方法を提供します

オプション D - メイン リージョンが正常な場合、名前解決によって接続可能なリージョンが 2 つ提供されるため、新しいリージョンにフェイルオーバーする方法は提供されません

回答: D
説明:
オプション A - このオプションは実際には会社全体に AWS Config を展開しますが、これは彼らが行っていることとはまったく逆です

オプション B - このオプションは機能しません。組織のルートに Deny SCP があるため、Onboarding で Allow SCP を指定しても AWS Config は制限されたままです

オプション C - このオプションは新しいビジネス ユニットで AWS Config へのアクセスを許可し、その他すべてへのアクセスを制限します。ただし、新しい AWS サービスを追加するには、SCP を定期的に更新する必要があります

オプション D - このオプションでは、更新を必要とせずに各 OU に適切なレベルのアクセスを適用します。オンボーディングでは AWS Config にアクセスでき、プロダクションではアクセスできず、会社の Deny SCP が移動された後、ルートで FullAWSAccess が確立されます。

回答: C
説明:
オプション A - 階層を拡大できますが、NLB はそのように負荷分散の決定を行いません

オプション B - Aurora ライターに対して Aurora 自動スケーリングはありません

オプション C - 階層を拡大できますが、スティッキー セッションを使用する ALB によって一貫したユーザー エクスペリエンスが提供されます

オプション D - Aurora ライターに対して Aurora 自動スケーリングはありません

注: アプリケーションは Web ベースであるため、ALB を選択しても問題ありません。

回答:D
説明:
オプション A - CloudFront 関数はヘッダーを変更できますが、リクエスト処理に限定されており、レスポンス ヘッダーを変更することはできません。
これは、User-Agent ヘッダーに基づいてレスポンス ヘッダーを削除するという要件を完全には満たしていません。

オプション B - API Gateway は、User-Agent に基づく動的なヘッダー削除をネイティブにサポートしていません。また、API Gateway REST API は過剰で高価です。

オプション C - レスポンス マッピング テンプレートの柔軟性は限られています。また、パフォーマンス最適化のためのエッジ キャッシュもありません。

オプション D - Lambda@Edge はエンド ユーザーの近くで実行され、レイテンシーが短縮されるため、パフォーマンスが向上します。Lambda@Edge はより複雑なロジックも処理でき、User-Agent に基づいてヘッダーを変更するのに常に適しています。

回答:C、D
説明:
オプション A - CORS は S3 バケットへのアカウント間アクセスに対応していません

オプション B - バケット ポリシーにプリンシパルがないため、このオプションは機能しません

オプション C - このオプションは、User_DataProcessor へのアクセスを許可する有効な S3 バケット ポリシーを提供します

オプション D - これらの権限により、User_DataProcessor はバケットからオブジェクトを取得できます

オプション E - このオプションは有効な IAM ポリシーではないため、機能しません

回答: B
説明:
オプション A - このオプションは機能しない可能性があります。AWS Lambda はコンテナを実行するための安価なオプションを提供しますが、実行時間については何も言及されていないため、懸念される可能性があります。つまり、AWS Lambda は 15 分の実行時間しか提供しません。

オプション B - このオプションは機能します。ALB、ECR、ECS、Fargate を組み合わせることで、実行ソリューションが提供されます。

オプション C - このオプションは機能します。ALB、ECR、EKS、Fargate で実行ソリューションが提供されます。

オプション D - このオプションは機能します: Beanstalk はコンテナの実行に ECS に依存します。https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/create_deploy_docker_ecs.html を参照してください。

回答: B
説明:
オプション A - このオプションは必要に応じて機能しません: 最も近いリージョンがアプリケーションのバックアップ リージョンである場合、クライアントはエラーを受け取ります

オプション B - このオプションは必要に応じてアクティブ/パッシブ戦略を実装します: ヘルス チェックが失敗すると、Route 53 はバックアップ リージョンに解決し、Lambda 関数はバックアップ リージョンが機能するためのリソースを持っていることを確認します

オプション C - このオプションはアクティブ/アクティブ戦略を実装します

オプション D - このオプションは必要に応じて機能しません: クライアントは 50% の確率でエラーを受け取ります

回答: A、D、F
説明:

A. Elastic Load Balancer (ELB) を使用してトラフィックを複数の EC2 インスタンスに分散すると、インスタンスの 1 つが使用できなくなった場合でもアプリケーションが引き続き使用可能になります。最小容量が 2 つのインスタンスである Auto Scaling グループの一部としてインスタンスを構成することで、トラフィックを処理する正常なインスタンスが常に少なくとも 1 つあることを保証できます。

B. EC2 無制限モードというものはありません

c.フェイルオーバー先が提供されない

D. DB インスタンスを変更して、2 つのアベイラビリティ ゾーンにまたがるマルチ AZ 配置を作成すると、障害発生時にデータベースが引き続き利用可能になることが保証されます。障害発生時には、トラフィックは自動的にセカンダリ アベイラビリティ ゾーンに転送されるため、ダウンタイムが短縮されます。

E. フェイルオーバー先が提供されない

F. ElastiCache for Redis クラスターのレプリケーション グループを作成し、マルチ AZ を有効にすると、障害発生時にインメモリ データ ストアが引き続き利用可能になることが保証されます。これにより、トラフィックは自動的にセカンダリ アベイラビリティ ゾーンに転送されるため、ダウンタイムが短縮されます。

回答:A、E
説明:
オプション A - このオプションは、次の点で役立ちます。高可用性の場所からカスタム エラー ページを公開できます。
オプション B - このオプションには多くの設定が必要です。
オプション C - DNS を変更すると、すべてのトラフィックがパブリックにアクセス可能な Web ページにリダイレクトされるため、このオプションは機能しない可能性があります。
オプション D - このオプションには多くの設定が必要です。
オプション E - このオプションは、次の点で役立ちます。エラーが発生したときにカスタム エラー ページを表示します。

回答:　B、D
説明:
A - 質問に複数の VP が記載されていないため、正しくないようです。トランジットゲートウェイは関係ありません。
B - AWS Organizations 管理アカウントからリソース共有を有効にします。これは、リソース共有の作成を許可するために必要です。
C - リソース共有により、他のアカウントが共有 VPC 内にリソースを作成できるようになるため、これは必要ありません。
D - インフラストラクチャ チームは、インフラストラクチャ アカウントの AWS Resource Access Manager でリソース共有を作成できます。これにより、組織内の他のアカウントと VPC を共有できるようになります。
E - リソース共有により、他のアカウントがプレフィックス リストを必要とせずに共有 VPC 内にリソースを作成できるようになるため、これは必要ありません。

回答: A
説明:
オプション A - インターフェイス VPC エンドポイントは、会社の VPC 内から SaaS サービスへのローカル アクセスを提供します。さらに、SaaS VPC へのトラフィックと SaaS VPC からのアクセスは、インターネットではなく AWS ネットワークを通過します。これはプライベート トラフィックと見なされます。

オプション B - このオプションは機能しない可能性があります。各 VPC の CIDR ブロックが重複するかどうかについては何も述べられていません。さらに、サイト間 VPN の帯域幅制限が問題になるかどうかについても何も述べられていません。

オプション C - このオプションは機能しない可能性があります。各 VPC の CIDR ブロックが重複するかどうかについては何も述べられていません。

オプション D - このオプションは機能しません。PrivateLink エンドポイント サービスは、AWS サービスへのアクセスを容易にするために使用されます。

回答: A
説明:
A - AWS Systems Manager はオンプレミス サーバーと EC2 インスタンスの両方でパッチを管理し、パッチ コンプライアンス レポートを生成できます。AWS OpsWorks と Amazon Inspector はパッチ管理用に特別に設計されていないため、このユース ケースには最適な選択肢ではありません。Amazon EventBridge ルールと AWS X-Ray を使用してパッチ コンプライアンス レポートを生成することは、パッチ管理レポート用に設計されていないため、実用的なソリューションではありません。
https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-on-premises.html

オプション B - 質問に Chef または Puppet が記載されていないため、このオプションは適用されません。さらに、どちらも直接パッチ管理を実行しません。

オプション C - Inspector はオンプレミス リソースのレポートを生成します

オプション D - 質問に Chef または Puppet が言及されていないため、このオプションは適用されません。さらに、X-Ray は適用されます。

回答: B
説明:
オプション A - このオプションは機能しない可能性があります。ASG の終了を防ぐと、さらに問題が発生する可能性があります。インスタンスが異常な状態になった場合にスクリプトが実行される保証はありません。

B - ログ ファイルを Amazon S3 にコピーするスクリプトを含む AWS Systems Manager ドキュメントを作成します。Auto Scaling グループからライフサイクル イベントを検出する Auto Scaling ライフサイクル フックと Amazon EventBridge ルールを作成します。 autoscaling:EC2_INSTANCE_TERMINATING 遷移で AWS Lambda 関数を呼び出して、AWS Systems Manager API SendCommand 操作を呼び出してドキュメントを実行し、ログ ファイルをコピーして、Auto Scaling グループに CONTINUE を送信してインスタンスを終了します。このアプローチでは、Auto Scaling ライフサイクル フックを使用して、インスタンスが終了する前にログ ファイルを S3 にコピーするスクリプトを実行し、終了したインスタンスからすべてのログ ファイルがコピーされるようにします。

オプション C - このオプションは、問題を解決しないため機能しません。15 分以内にインスタンスを終了すると、ログ ファイルが失われます。

オプション D - このオプションは機能しない可能性があります。ASG 終了イベントを検出するために EventBridge に依存しません。また、質問で他のアクションについては何も述べられていませんが、ABANDON を送信したために他のアクションが実行されないため、さらに問題が発生する可能性があります。

回答: C、E
説明:
オプション A - このオプションは機能しません - 新しい VPC でアドレス名の解決を解決できません

オプション B - このオプションは機能しますが、すべての DNS 名がアカウント A のプライベートゾーンに保存される会社のアーキテクチャに違反します

C. アカウント A のプライベートホストゾーンをアカウント B の新しい VPC に関連付ける承認を作成します。
この手順が必要なのは、DNS レコードを解決するには、アカウント B の VPC をアカウント A のプライベートホストゾーンに関連付ける必要があるためです。

オプション D - 会社のアーキテクチャを壊す

E. アカウント B の新しい VPC をアカウント A のホストゾーンに関連付けます。アカウント A の関連付け承認を削除します。
この手順が必要なのは、アカウント B で関連付けが完了した後、アカウント A で関連付け承認を削除する必要があるためです。

回答: C
説明:
オプション A - このオプションは機能しない可能性があり、安価ではありません。コストが増加し、スケーラビリティが制限されます。EFS はビデオ用の高価なストレージソリューションです。

オプション B - このオプションは機能しない可能性があります。アプリケーションがステートフルかステートレスか、ALB にクライアントスティッキネスがあるかどうかについては何も言及されていないため、インスタンスストアを使用すると一貫性のないユーザーエクスペリエンスになる可能性があります。S3 は安価なストレージオプションです。

C - Amazon CloudFront は、低レイテンシーと高速データ転送でユーザーにコンテンツを配信するために使用できるコンテンツ配信ネットワーク (CDN) です。ブログサイト用に CloudFront ディストリビューションを設定し、それを S3 バケットに向けると、ビデオをユーザーに近いエッジ ロケーションにキャッシュできるため、バッファリングやタイムアウトの問題が軽減されます。さらに、S3 はスケーラブルなストレージ用に設計されており、大量のユーザー トラフィックを処理できます。ビデオを EFS から S3 に移行すると、Web サイトのパフォーマンスとスケーラビリティも向上します。

オプション D - このオプションは機能する可能性がありますが、安価ではありません。すべてのコンテンツを CloudFront に移動すると、キャッシュの期間中はエッジ キャッシュから提供されるため、使用率が高いときに問題が緩和されます。ただし、使用パターンに関する質問には何も記載されていません。つまり、古いコンテンツではパフォーマンスの問題が再び発生します。さらに、EFS は S3 と比較してビデオ ファイル用の高価なストレージ ソリューションです。

回答: A
説明:
オプション A - このソリューションは、各接続に新しいプライベート仮想インターフェイスを作成し、両方のプライベート仮想インターフェイスを Direct Connect ゲートウェイに接続することで、同じリージョンに冗長 Direct Connect 接続を提供します。次に、Direct Connect ゲートウェイを単一の VPC に接続します。このソリューションにより、同じ Direct Connect 接続のペアを介して接続を提供しながら、会社が他のリージョンに拡張することもできます。
Direct Connect Gateway を使用すると、異なるアカウントおよび異なるリージョンの複数の VPC とオンプレミス ネットワークを単一の Direct Connect 接続に接続できます。
自動フェイルオーバーおよびルーティング機能も提供されます。

オプション B - このオプションは機能しません: 新しいリージョンへの拡張は許可されず、冗長リンクも作成されません

オプション C - このオプションは機能しません: パブリック仮想インターフェイスを使用しても、VPC リソースはオンプレミスに接続されません

オプション D - このオプションは機能する可能性がありますが、複数の手順が欠落しています: 各 VPC には独自の Transit Gateway が必要です。各 Transit Gateway は、Direct Connect ゲートウェイとの関連付けを介して接続します。各 Direct Connect 接続は、Transit VIF を使用して Direct Connect ゲートウェイに接続します

回答: C
説明:
A - ECS は、生の EC2 と比較して運用上のオーバーヘッドを削減しますが、インフラストラクチャの管理 (クラスター管理、ネットワーク、スケーリングなど) は依然として必要です。
ECS と Auto Scaling を管理する代わりに、AWS Lambda は SQS キューを処理して Amazon Rekognition を呼び出すことができるため、メンテナンスのオーバーヘッドが削減されます。

B - このユースケースでは EFS は不要でコストがかかります。
Amazon S3 はビデオを保存するのに適したオプションです

C - このソリューションは、運用オーバーヘッドを削減できる AWS が提供する複数のマネージド サービスを使用することで要件を満たします。Web アプリケーションを Amazon S3 でホストすると、可用性と拡張性が高くなり、さまざまなトラフィックを処理できるようになります。アップロードされたビデオは S3 に保存され、Lambda 関数をトリガーする S3 イベント通知を使用して処理されます。Lambda 関数は Amazon Rekognition API を呼び出してビデオを分類します。イベント通知の処理には SQS を使用でき、マネージド サービスでもあります。
このソリューションでは、EC2 インスタンス、EBS ボリューム、カスタム ソフトウェアを管理する必要がなくなります。さらに、この場合、Lambda 関数を使用すると、SQS キューを処理するための追加サーバーを管理する必要がなくなり、運用オーバーヘッドが削減されます。

D - Elastic Beanstalk は展開を簡素化しますが、EC2 インスタンスと Auto Scaling に依存しているため、運用オーバーヘッドが増加します。また、Beanstalk ワーカー環境では、キューを処理するために EC2 インスタンスが必要です。

回答:　B
説明:
オプション A - この作業により、Lambda 関数を以前のバージョンに戻すことができますが、元に戻すということはすべての関数が元に戻ることを意味します。これにより、エラーを検出して元に戻すために必要な時間が最小限に抑えられるわけではありません。

オプション B - AWS Serverless Application Model (SAM) は、サーバーレス アプリケーションの構築、テスト、デプロイに役立つフレームワークです。内部で CloudFormation を使用しているため、CloudFormation テンプレートの作成、更新、デプロイのプロセスを簡素化できます。CodeDeploy は、オンプレミスのインスタンスや Lambda 関数を含むあらゆるインスタンスへのコード デプロイを自動化するサービスです。
AWS SAM を使用すると、組み込みの CodeDeploy を使用して Lambda 関数の新しいバージョンをデプロイし、トラフィックを徐々に新しいバージョンに移行し、トラフィック前とトラフィック後のテスト関数を使用してコードを検証できます。
また、問題が発生した場合にロールバックをトリガーする CloudWatch アラームを定義することもできます。
これにより、デプロイ プロセスがより高速かつ効率的になり、エラーが特定されたときのロールバック プロセスもより信頼性が高くなります。これにより、デプロイの速度が向上し、エラーが特定されたときの検出と復元の時間が短縮されます。

オプション C - このオプションでは、エラーの検出と復元に必要な時間が最小限に抑えられるわけではありません。現在のプロセスのみが自動化されます。

オプション D - このオプションでは、エラーを検出して元に戻すために必要な時間が最小限に抑えられません。CloudFormation がオリジンを切り替えるのに時間がかかり、関数のデプロイとテストの現在のプロセスについては何も行われていません。

回答: A
説明:
オプション A - このオプションは機能し、S3 One Zone は大量のドキュメント用の安価なストレージソリューションです。会社が取得時間は問題ないと言っているとしても、Glacier Deep Archive は Web ホスティングには使用できません。

オプション B - このオプションは機能しない可能性があります。クライアント VPN がプライベート サブネットに接続しているかどうかについての質問には何も記載されていません。さらに、EFS は大量のドキュメントを保管するための安価なストレージ ソリューションではない可能性があります。

オプション C - このオプションは機能しない可能性があります。クライアント VPN がプライベート サブネットに接続しているかどうかについての質問には何も記載されていません。さらに、EBS Cold HDD は大量のドキュメントを保管するための安価なストレージ ソリューションではない可能性があります。

オプション D - このオプションは機能しません。S3 Deep Glacier Vaults は静的ホスティング用に構成できません。アーカイブにアクセスするためのアプリケーションを作成する必要があります。

回答: A
説明:
オプション A - AWS IAM Identity Center (AWS SSO) を使用すると、SAML 2.0 を使用してオンプレミスの Active Directory サービスに接続できます。これにより、System for Cross-domain Identity Management (SCIM) v2.0 プロトコルを使用して自動プロビジョニングを有効にできます。これにより、ユーザー ID を 1 か所で管理できます。

オプション B - このオプションは機能しますが、ユーザー ID 管理と認証が Identity Center に結び付けられるため、質問で会社が実行したいことと異なります。

オプション C - AWS では、ユーザーではなくアカウント間の IAM ロールをプロビジョニングするため、このオプションは機能しません。

オプション D - これは OpenID ベースであり、MS AD ではサポートされません。

回答: B
説明:
オプション A - このオプションでは、アプリケーションで問題を引き起こしている少数のクライアントではなく、すべてのクライアントの再試行ごとに再試行に時間がかかります。

オプション B - API スロットリングは、API へのリクエストのレートを制御するために使用できる手法です。これは、少数のクライアントが大量のリクエストを行ってエラーが発生している状況で役立ちます。API ゲートウェイ レベルで使用プランを通じて API スロットリングを実装することで、ソリューション アーキテクトはクライアントが実行できるリクエストの数を制限でき、エラーの数を減らすのに役立ちます。
クライアント アプリケーションがコード 429 応答をエラーなしで処理することが重要です。これにより、顧客に表示されるエラーの数を減らすことで、顧客エクスペリエンスが向上します。さらに、エラーによって API の評判が損なわれるのを防ぐことができます。

オプション C - このオプションは、現在の問題とは関係ありません

オプション D - このオプションでは、ボリュームの増加を管理する容量の問題があるものと想定していますが、クライアントの数が少ないためにエラーが発生することを考えると、予約された同時実行では問題の原因に対処できません

回答: A
説明:
A: 遅延読み込みは、すべてのジョブで使用されるデータのサブセットのみであるため、コスト効率に優れています
B: ボリュームを使用する EC2 インスタンスが数百ありますが、これは不可能です (1 つの EBS ボリュームには、接続できる Nitro インスタンスが 16 個に制限されています)
C: バッチ処理では、ロードされるデータが多すぎます
D: ストレージゲートウェイはオンプレミスのデータアクセスに使用されます。AWS にゲートウェイをインストールできるかどうかはわかりませんが、Amazon はこれを決して推奨しません

回答: C
説明:
オプション A - 各 EC2 インスタンスに Elastic IP アドレスを作成するため、管理が難しくなり、必要な DNS 名のアクセス性が得られません。
オプション B - パブリック IP アドレスを持つ Amazon ECS クラスターを使用しますが、他の企業による許可リストに必要な固定 IP アドレスが提供されない可能性があります。
オプション C - TCP などの非 http ポートは、NLB にすぐにヒントを与える必要があります (ALB はここには適合しません)。EC2 の IP アドレスを共有することは適切ではありません。
個々の EC2 インスタンスからのものでも、ECS クラスターからのものでも。これにより A、B、D が排除され、実際、EC2 インスタンスの前にある / に関連付けられている NLB のアドレスを共有する必要があります。
オプション D - HTTP/HTTPS トラフィック用に設計されたアプリケーション ロード バランサー (ALB) を使用しますが、TCP ベースのサービスには最適ではない可能性があります。さらに、ECS クラスター内の各ホストにパブリック IP アドレスを作成する必要がありますが、これは複雑になる可能性があり、許可リストに必要な固定 IP アドレスが提供されない可能性があります。

回答: D
説明:
オプション A - このオプションは機能しない可能性があります。停止中にバッチ ジョブが SLA を満たすのに十分な処理能力が提供されない可能性があります。さらに、4 台のサーバーではバッチ ジョブの SLA を満たすのに十分な容量が提供されません

オプション B - このオプションは機能しない可能性があります。オンデマンド インスタンスに影響する停止が発生した場合、バッチ ジョブの SLA を満たすのに十分な処理能力がない可能性があります

オプション C - このオプションは、長期的なコミットメントを行わないという要件を満たしません

オプション D - このオプションは機能します。バッチ ジョブの SLA を満たし、1 回限りのジョブの処理を継続するのに十分な処理能力があります

回答: A
説明:
オプション A - このオプションは機能します。このオプションは、シークレット マネージャーの自動ローテーション機能を利用し、シークレットのローテーション中の運用オーバーヘッドを削減します。つまり、CloudTrail はシークレットがローテーションされたことを表示します。

オプション B - このオプションは機能しません。パラメータ ストアには RotationSchedule という機能はありません。

オプション C - このオプションは機能する可能性がありますが、オーバーヘッドが増加します。ローテーションは 90 日のスケジュールでトリガーされますが、シークレットがローテーションされテストされたことを検証するには、より多くの作業が必要になります。つまり、CloudTrail ログには、ラムダ関数がトリガーされたことのみが表示されます。

オプション D - このオプションは機能しません。パラメータ ストアには RotationSchedule という機能はありません。

回答: A、C
説明:
オプション A - このオプションは機能する可能性があります。REST API は HTTPS 経由で実行でき、統合タイプ DynamoDB が可能です。

オプション B - このオプションは機能しません。HTTP API は DynamoDB の統合タイプをサポートしていません。

オプション C - このオプションは機能します。HTTP API は Lambda 関数との統合をサポートしています。

オプション D - このオプションは機能しません。Lambda@Edge は CloudFront の機能です。

オプション E - このオプションは機能しません。NLB ターゲット グループは Lambda 関数をターゲットにできますが、NLB はサーバーレス ソリューションではありません (VPC にデプロイされます)。

回答: C、E、F
説明:
A: 不正解です。理由:
サーバーのメンテナンスが必要です。
スケーリングを手動で処理する必要があります。
サーバーレス ソリューションに比べて運用上の労力が高くなります。
OS の更新とセキュリティ パッチの管理が必要です。

B: 不正解です。理由:
単純なリダイレクトには過剰です。
ターゲット グループの管理が必要です。
サーバーレス ソリューションに比べてコストが高くなります。
必要以上に複雑なセットアップです。

C: AWS Lambda 関数を作成することで、ソリューション アーキテクトは JSON ドキュメントを使用して各ドメインのターゲット URL を検索し、適切なリダイレクト URL で応答できます。この方法では、ソリューションはリダイレクトを処理するために Web サーバーに依存する必要がなくなり、運用上の労力が軽減されます。

D (カスタム ドメインの API ゲートウェイ) - 不正解です。

単純なリダイレクトには必要以上に複雑です。

追加のコスト レイヤーが必要です。

別のドメイン管理が必要になります。

このユース ケースには、より優れたソリューションが存在します。

E: Amazon CloudFront ディストリビューションを作成することで、ソリューション アーキテクトは、各ドメインのターゲット URL を検索し、適切なリダイレクト URL で応答できる Lambda@Edge 関数をデプロイできます。この方法では、CloudFront がリダイレクトを処理できるため、運用上の労力が軽減されます。

F: ACM を使用して SSL 証明書を作成し、ドメインをサブジェクト代替名として含めることで、ソリューション アーキテクトは、リダイレクト サービスが会社で必要な HTTP リクエストと HTTPS リクエストの両方を処理できることを保証できます。

回答: A
説明:
A: コスト配分に使用するには、タグを組織レベル (管理アカウント) でアクティブ化する必要があります。
管理アカウントレベルの AWS コストと使用状況レポート (CUR) では、すべてのアカウントのコストを確認できます。
管理アカウントは、組織全体の統合請求レポートと詳細なコストレポートを生成できます。
タグベースのコスト配分は、組織レベルで設定すると最も正確になります。

B: メンバーアカウントでタグを個別にアクティブ化するのは非効率的です。
Lambda を使用してコストを計算するのは不要なオーバーヘッドです。
アカウント間で不整合が生じる可能性があります。
組織レベルのレポートが利用できる場合は、必要以上に複雑です。

C: メンバーアカウントでタグを個別にアクティブ化するのは非効率的です。
適切なコスト配分には、組織レベルのタグのアクティブ化が必要です。
統合コスト管理のために AWS Organizations の全機能を活用しません。

D: AWS Trusted Advisor は、詳細なコスト配分レポート用に設計されていません。
クロスアカウント課金に必要な詳細なコスト内訳を提供できません。
CUR が提供する正確なコスト配分機能を提供しません。

回答: A、C
説明:
オプション A - これは、AWS Resource Access Manager を使用してトランジットゲートウェイをメンバーアカウントと共有することです。これにより、管理アカウントはメンバーアカウントとリソースを共有できます。

オプション B - 不正解です。理由:
AWS Organizations サービスコントロールポリシー (SCP) は、リソース共有ではなく、アクセス許可の境界とアクセス制御に使用されます。
SCP はアクセス許可を許可/拒否することしかできず、アカウント間のリソース共有を促進することはできません。
アカウント間のリソース共有には、AWS RAM (Resource Access Manager) が必要です。

オプション C - これは、管理アカウントから AWS CloudFormation スタックセットを起動することです。これにより、メンバーアカウントに新しい VPC と VPC トランジットゲートウェイアタッチメントが自動的に作成され、トランジットゲートウェイ ID を使用して管理アカウントのトランジットゲートウェイにアタッチメントが関連付けられます。新しいメンバー アカウントで新しい VPC とトランジット ゲートウェイ アタッチメントを作成するこの自動化により、プロセスを合理化し、運用上の労力を削減できます。

オプション D - 不正解です。理由
「ピアリング トランジット ゲートウェイ アタッチメント」というものは存在しません。この用語は不正解です。
トランジット ゲートウェイ アタッチメントは、共有にサービスにリンクされたロールを使用しません。
トランジット ゲートウェイ アタッチメントを共有することはできません。共有するのはトランジット ゲートウェイ自体です。
サービスにリンクされたロールを使用してアタッチメントを共有するという概念は根本的に異なります。

オプション E - 不正解です。理由
AWS Service Catalog は、使用が承認された IT サービスのカタログを作成および管理するために使用されます。
AWS アカウント間でリソースを共有するようには設計されておらず、共有することもできません。
Service Catalog は、アカウント内で承認されたリソースをデプロイするのに役立ちますが、アカウント間のリソース共有は処理しません。
AWS RAM は、アカウント間で AWS リソースを共有するための正しいサービスです。

回答: C
説明:

a. 調達マネージャーが各組織単位で共有サービスアカウントを使用するように強制する要件は実装されません。

b. これにより、開発者がプライベートマーケットプレイスを管理できるようになります。

C. 組織内のすべての共有サービスアカウントに procurement-manager-role という IAM ロールを作成し、AWSPrivateMarketplaceAdminFullAccess マネージドポリシーをロールに追加することで、調達マネージャーはプライベートマーケットプレイスを管理するために必要な権限を持つようになります。次に、組織ルートレベルの SCP を作成して、procurement-manager-role というロール以外のすべてのユーザーに対してプライベート マーケットプレイスの管理権限を拒否し、別の組織ルートレベルの SCP を作成して、組織内のすべてのユーザーに対して procurement-manager-role という IAM ロールの作成権限を拒否することで、会社はプライベート マーケットプレイスの管理アクセスを調達マネージャーのみに制限できます。

D. 完全なプライベート マーケットプレイス管理アクセス権を持つ開発者アカウントに procurement-manager-role を配置すると、管理ミスのリスクが高まります。さらに、共有サービス アカウントにのみ SCP を適用しても、組織全体のアクセスを適切に制限することはできません。

回答: B
説明:
オプション A - 個別に拒否する必要がある AWS サービスが数百あるため、各 AWS サービスに明示的な拒否ステートメントを作成することは非現実的で管理不能であり、ポリシーが非常に長くなり、維持が困難になります。さらに、このアプローチでは、新しい AWS サービスがリリースされるたびに継続的な更新が必要になります。
オプション B - 開発者アカウントの OU から FullAWSAccess SCP を削除するのが正しい解決策です。AWS Organizations はこの SCP をデフォルトで適用し、現在開発者がすべてのサービスにアクセスできるようにしているためです。これを削除すると、カスタムポリシーが唯一のアクティブなポリシーになり、SCP はデフォルトで拒否するモデルで動作するため、実質的に EC2、S3、および DynamoDB へのアクセスのみに制限されます。
オプション C - FullAWSAccess SCP を変更してすべてのサービスを明示的に拒否することは不可能です。これは、このポリシーが AWS 管理ポリシーであり、編集できないためです。変更できたとしても、このアプローチは、ポリシーを削除してカスタム SCP にアクセス制限を処理させるよりも効率が悪くなります。
オプション D - SCP の末尾にワイルドカードを使用して明示的な拒否ステートメントを追加すると、既存の許可ステートメントと競合が発生し、許可されたサービス (EC2、S3、および DynamoDB) さえもブロックされる可能性があります。このアプローチは予期しない動作につながる可能性があり、サービス制限を実装するための推奨される方法ではありません。

回答: B
説明:

オプション A - 個別の AWS Lambda 関数を作成し、API Gateway を使用することは、需要に応じて自動的にスケーリングし、サーバー管理を排除し、実際の使用に対してのみ課金される真のサーバーレス アーキテクチャを提供するため、運用オーバーヘッドが最も少ない最適なソリューションです。さらに、API Gateway は、スロットリング、キャッシュ、セキュリティなどの組み込み機能を提供しながら、すべてのルーティングと Lambda 管理を自動的に処理します。

オプション B - コンテナ化された API で Amazon EKS を使用すると、チームは EKS クラスターとコンテナを実行する EC2 インスタンスの両方を管理し、コンテナ オーケストレーションを処理し、Kubernetes イングレス コントローラーを管理し、クラスターのアップグレードとメンテナンスに対処する必要があるため、運用オーバーヘッドが大幅に増加します。このソリューションはスケーラビリティを提供しますが、このユースケースでは不要な複雑さが生じます。

オプション C - Route 53 への Lambda 更新を含む Auto Scaling グループを作成することは、EC2 インスタンスの管理、適切なスケーリング ポリシーの構成、DNS レコードを更新するためのカスタム Lambda 関数の維持が必要になるため、最適ではありません。このアプローチでは、スケーリングが発生したときに DNS の伝播に遅延が生じる可能性があり、Auto Scaling 構成と Lambda 関数の両方を維持するために、より多くの運用上の労力が必要になります。

オプション D - プライベートサブネットの EC2 インスタンスでアプリケーションロードバランサーを使用すると、基本的なスケーラビリティが提供されますが、EC2 インスタンスの管理が必要であり、サーバーレスソリューションほど効率的に変化する負荷を自動的に処理することはできません。これは現在のセットアップよりも安全ですが、運用上のオーバーヘッドを最小限に抑えながら動的スケーリングを行うという基本的なニーズには対応していません。

回答: B

説明:

オプション A - AWS Storage Gateway のファイルゲートウェイオプションの使用は、データ移行ではなくハイブリッドストレージ向けに主に設計されているため、ここでは最適なソリューションではありません。機能する可能性はありますが、既存のファイルサーバーインフラストラクチャを交換する必要がありますが、これはこのユースケースには不要であり、不要な中断を引き起こす可能性があります。

オプション B - これは正しいソリューションです。DataSync はデータ移行用に特別に設計されており、Windows ワークロードに最適な FSx にデータを効率的に転送できるためです。DataSync は Direct Connect 経由で毎日 5 GB の転送を効率的に処理でき、FSx は移行された Windows ワークロードに必要なネイティブ Windows ファイルシステム互換性を提供します。

オプション C - これは不正解です。AWS Data Pipeline はファイルシステムレプリケーションタスク用に設計されていないためです。これは、さまざまな AWS コンピューティングおよびストレージサービス間でデータを処理および移動するのに適しています。さらに、EFS は NFS プロトコルを使用しますが、これは Windows ベースのワークロードには適していません。

オプション D - AWS DataSync はデータ移行に適したサービスですが、EFS は Windows ワークロードに最適ではない NFS プロトコルを使用するため、Amazon EFS と併用するのは誤りです。会社では Windows ベースのワークロードを実行しているため、Amazon FSx の方が適切なストレージターゲットになります。

回答: C

説明:
オプション A - このアプローチでは、トラフィックがリージョン間で分散されますが、アプリケーションが両方のバケットに書き込む必要があるため、複雑さと運用オーバーヘッドが大幅に増加します。アプリケーションは、2 つの場所への書き込みの潜在的な不整合と障害を処理する必要があります。Route 53 の加重ルーティングはトラフィック分散には適していますが、本質的にデータレプリケーションには対応していません。

オプション B - Lambda を使用してオブジェクトをコピーすると、管理レイヤーがもう 1 つ追加されます。Lambda 関数を監視し、コピー中に発生する可能性のあるエラーを処理し、Lambda 関数が適切にスケーリングされるようにする必要があります。オリジングループを使用した CloudFront は良いアイデアですが、レプリケーションの Lambda アプローチでは、不要な運用オーバーヘッドが発生します。

オプション C - S3 クロスリージョンレプリケーション (CRR) または同一リージョンレプリケーション (SRR) は、この目的のために特別に設計されています。バケット間でオブジェクトを自動的に非同期的にコピーし、運用オーバーヘッドを最小限に抑えます。これを CloudFront とオリジングループと組み合わせると、冗長性と静的アセットへの低レイテンシーアクセスの両方が実現します。プライマリが使用できなくなった場合、CloudFront はセカンダリバケットに自動的にフェイルオーバーします。このソリューションでは、手動による介入と管理が最も少なくなります。

オプション D - レプリケーションは正しく使用されますが、このオプションではフェイルオーバー中にアプリケーションコードの変更が必要です。これは、アプリケーションの更新と再デプロイ中に手動による介入とダウンタイムを意味します。目標は運用オーバーヘッドを最小限に抑えることであり、フェイルオーバーのためにコードの変更が必要になると、その目的が達成されません。CloudFront のオリジングループ機能はフェイルオーバーを自動的に処理するため、この手動アプローチは不要で、より複雑になります。

回答: B

説明:
オプション A - Elastic Beanstalk は適していますが、NLB は ALB よりも HTTP/HTTPS トラフィックには適していません。マルチ AZ RDS は適していますが、Aurora の方がパフォーマンスとスケーラビリティに優れています。
オプション B - CloudFormation はインフラストラクチャ アズ コードを提供します。ALB は Web トラフィックに最適です。Aurora Multi-AZ と Retain ポリシーは、HA とデータ保持に最適です。3 つの AZ にまたがることも良い方法です。
オプション C - マルチリージョンのデプロイメントは複雑さを増します。地理的近接性ルーティングは、フェイルオーバーの加重ルーティングよりも適していません。クロスリージョン リードレプリカは読み取りスケーリングには適していますが、プライマリ データベースには適していません。
オプション D - スポットインスタンスはコスト効率に優れていますが、中断される可能性があり、可用性に影響します。スナップショット削除ポリシーは、本番データベースにはリスクがあります。このシナリオでは、ECS は EC2 Auto Scaling よりも管理が複雑です。

回答: C

説明:
オプション A - 個々のメンバー アカウントでスタック セットを作成すると、組織全体で管理するスケーラビリティが損なわれます。ドリフト検出は便利ですが、コア デプロイ方法ではありません。
オプション B - セルフサービス権限では、各アカウントで手動で設定する必要があります。自動デプロイは StackSets の機能ではありません。
オプション C - サービス管理権限を使用して管理アカウントでスタック セットを作成し、組織にデプロイするのが、集中管理に適した方法です。
オプション D - スタックを直接作成するのは StackSets のアプローチではありません。ドリフト検出は別の機能です。

回答: A、D、E

説明:
オプション A - AWS Application Discovery Agent は、必要な詳細 (システム構成、パフォーマンス、プロセス、ネットワーク接続) をキャプチャします。

オプション B - Systems Manager Agent は、移行のための詳細なアプリケーション検出ではなく、運用管理を提供します。

オプション C - Application Manager は、移行のための最初の検出とグループ化ではなく、AWS に移行した後のアプリケーションの管理に役立ちます。

オプション D - AWS Migration Hub は、移行のためにサーバーをアプリケーションにグループ化するのに役立ちます。

オプション E - Migration Hub は、インスタンスタイプの推奨事項とコスト見積もりを生成します。

オプション F - Trusted Advisor は、検出されたオンプレミスのワークロード特性に基づいて、インスタンスタイプに特化したコスト最適化の推奨事項を提供しますが、ここで必要な方法でサーバーサイズデータをインポートしません。

回答: C

説明:
オプション A - NAT インスタンスは管理が必要で、NAT ゲートウェイほど可用性が高くありません。また、コスト効率のよいソリューションでもありません。

オプション B - EC2 インスタンスをパブリック サブネットに移動すると、セキュリティが低下します。

オプション C - S3 ゲートウェイ エンドポイントはトラフィックを AWS ネットワーク内に保持し、データ転送コストを削減してセキュリティを向上させます。これが最もコスト効率が高く安全なオプションです。

オプション D - EFS はファイル システムであり、オブジェクト ストレージではありません。イメージを EFS に移動すると、コストがさらに高くなる可能性があり、S3 からのデータ転送コスト (これがここでの主なコスト要因) が必ずしも削減されるわけではありません。また、運用上の複雑さも増します。

回答: A

説明:
オプション A - アプリケーションの自動スケーリングはピーク時に容量をスケーリングし、予約容量は一定の平均負荷をカバーします。これは変動するワークロードに対して最もコスト効率の高いアプローチです。
オプション B - オンデマンド モードは、ピークがあっても一定の負荷に対してはコストがかかります。予測できないトラフィックに適しています。
オプション C - DAX は読み取りをキャッシュしますが、ワークロードは書き込みが多いです。読み取り容量を減らしてもコストに大きな影響はありません。
オプション D - DAX は書き込みが多いワークロードには効果的ではありません。オンデマンド モードも平均負荷に対してはコスト効率が良くありません。

回答: D
説明:
オプション A - 最大実行時間が 15 分の AWS Lambda の使用を提案します。

オプション B - キュー内のメッセージごとに新しい EC2 インスタンスを作成することを提案しますが、これはコスト効率がよくありません。

オプション C - Amazon EFS を使用することを提案しますが、これは大きなファイルの長期保存には適していません。

オプション D - このオプションでは、Amazon SQS を使用してキューを作成し、既存の Web サーバーを新しいキューに公開するように構成し、EC2 Auto Scaling グループ内の EC2 インスタンスを使用してキューからリクエストをプルし、ファイルを処理することを提案します。EC2 インスタンスは SQS キューの長さに基づいてスケーリングできるため、使用ピーク時にリソースが利用可能になり、ピーク時以外のコストが削減されます。

回答: B

説明:
オプション A - UltraWarm は読み取り専用データに適していますが、Glacier Deep Archive は初期ロードには遅すぎます。ロード中に Glacier に移行すると、複雑さとコストが増加します。
オプション B - データノードを減らし、アクティブな月に UltraWarm を使用すると、コスト効率が高くなります。ライフサイクル ポリシーを使用して、その月の *後* に Glacier Deep Archive に移行するのが、最もコスト効率の高い長期ストレージ ソリューションです。
オプション C - コールド ストレージも別のオプションですが、UltraWarm からコールド ストレージに移行すると、ライフサイクル ポリシーを使用して Glacier に移行する場合に比べて、複雑さとコストが増加します。S3 からデータを削除することは、コンプライアンスの観点からは良い考えではありません。
オプション D - このユース ケースでは、インスタンス バックアップ データ ノードは通常、UltraWarm よりも高価です。Glacier Deep Archive は初期読み込みには遅すぎます。

回答: D

説明:
オプション A - EventBridge ルールを変更して Lambda 関数を追加すると、運用上のオーバーヘッドが増加します。また、ルールが最初から作成されるのを *防止* するのではなく、作成後に修正します。
オプション B - マネージド ルールは役立ちますが、SCP の方が予防的です。また、構成ルールは、大規模な管理が SCP よりも複雑になることがあります。
オプション C - これにより、アクションが 0.0.0.0/0 でない場合にのみ許可されます。これは事実上すべてのアクセスをブロックしますが、制限が厳しすぎます。
オプション D - SCP は集中管理を提供し、問題のあるルールが最初から作成されるのを防ぎます。これは最も安全で、運用上の負担が最も少ないアプローチです。

回答: B

説明:
オプション A - Lambda 関数の URL は、単一の関数の場合、API Gateway よりもシンプルですが、複数のウェブフックの多数の個別の URL を管理するのは複雑になります。

オプション B - API Gateway は、すべてのウェブフックに対して単一のエントリ ポイントを提供し、リクエストを個々の Lambda 関数にルーティングします。これは、最もスケーラブルで管理しやすいサーバーレス アプローチです。

オプション C - App Runner はサーバーレスですが、サービスの管理が依然として必要です。API Gateway + Lambda は、このようなイベント駆動型アーキテクチャではより柔軟で、多くの場合、よりコスト効率に優れています。

オプション D - ECS Fargate はコンテナ オーケストレーション サービスであり、Lambda と同じようにサーバーレスではありません。API Gateway + Lambda と比較して、運用上のオーバーヘッドが追加されます。

回答: D

説明:
オプション A - Agentless Discovery Connector は *依存関係マッピング* 用であり、CPU の詳細、RAM 使用量、OS 情報、実行中のプロセスなどの詳細なサーバーメトリクス用ではありません。データ探索と Glue/S3 Select は、このタイプの分析に適したツールではありません。
オプション B - VM パフォーマンス情報のみをエクスポートするだけでは、要件を満たすには不十分です。Migration Hub で直接インポートして手動で更新することは、1,000 台のサーバーには拡張できません。
オプション C - 1,000 台のサーバーでは、スクリプトの作成と CLI の使用は複雑です。Migration Hub は、詳細なサーバーメトリクスをクエリするようには設計されていません。
オプション D - AWS Application Discovery Agent は、必要な詳細 (CPU、RAM、OS、プロセス) をキャプチャするように設計されています。データ探索と Athena は、クエリと分析の機能を提供します。これは、最も完全でスケーラブルなソリューションです。

回答: A

説明:
オプション A - Elastic IP を持つ NAT ゲートウェイは、プライベート サブネット内のリソースからのアウトバウンド インターネット トラフィックに静的パブリック IP アドレスを提供し、要件を満たします。
オプション B - 出力専用インターネット ゲートウェイは IPv4 ではなく IPv6 トラフィック用です。外部プロバイダーには IPv4 アドレスが必要です。
オプション C - VPC 内の Lambda 関数はインターネット ゲートウェイを直接使用しません。プライベート サブネット内のアウトバウンド インターネット アクセスには NAT ゲートウェイまたは NAT インスタンスが必要です。
オプション D - インターネット ゲートウェイは一般的なインターネット アクセスに必要ですが、プライベート サブネット内の Lambda 関数はそれを直接使用しません。静的パブリック IP を取得するには NAT ゲートウェイが必要です。

回答: B、D

説明:
オプション A - この場合、リーダー エンドポイントの代わりに Aurora データベースのクラスター エンドポイントを使用してもパフォーマンスは向上しません。これは、ソリューション アーキテクトがすでにリード レプリカを使用してプライマリ インスタンスからの読み取りトラフィックをオフロードしているためです。
オプション B - RDS Proxy を使用して Aurora データベースのリーダー エンドポイントへの接続プールを設定すると、データベースへの接続数が減るため、アプリケーションのパフォーマンスが向上します。RDS Proxy は接続プールを管理し、着信接続を利用可能なリード レプリカにルーティングします。これにより、接続管理が容易になり、開いたり閉じたりする必要がある接続の数を減らすことができます。
オプション C - この場合、問題は Lambda 関数を実行しているインスタンスの数ではなく、データベースへの接続数に関連しているため、Lambda Provisioned Concurrency 機能を使用してもパフォーマンスは向上しません。
オプション D - Lambda 関数でデータベース接続を開くコードをイベント ハンドラーの外部に移動すると、データベース接続を複数のリクエスト間で再利用できるため、アプリケーションのパフォーマンスが向上します。これにより、リクエストごとに新しい接続を開いたり閉じたりする必要がなくなり、時間がかかり、リソースを大量に消費する恐れがなくなります。
オプション E - この場合、問題は API Gateway エンドポイントの場所ではなく、データベースへの接続数に関連しているため、API Gateway エンドポイントをエッジ最適化エンドポイントに変更してもパフォーマンスは向上しません。

回答: C

説明:
オプション A - AWS Certificate Manager (ACM) は SSL 証明書のエクスポートをサポートしていません。ACM 証明書は ALB などの AWS サービスでのみ使用でき、EC2 インスタンスに直接インストールすることはできません。

オプション B - CloudFront はトラフィックを EC2 ターゲット グループに直接ルーティングできません。ALB、S3、HTTP エンドポイントなどのオリジンが必要です。この設定では、エンドツーエンドの暗号化は保証されません。

オプション C - ACM は ALB に SSL 証明書を提供しますが、サードパーティの SSL 証明書が EC2 インスタンスにインストールされ、エンドツーエンドの暗号化 (クライアント → ALB → EC2) が保証されます。ALB はポート 443 でリッスンし、トラフィックをポート 443 で EC2 に安全に転送します。

オプション D - ネットワーク ロード バランサー (NLB) は AWS ACM 証明書をサポートしていないため、SSL ターミネーションには NLB と EC2 インスタンスの両方でサードパーティの証明書が必要です。これにより暗号化が実現されますが、ALB ベースのソリューションに比べて不要な複雑さが加わります。

回答: C

説明:
オプション A - このワークロードでは、Lambda で NLB を使用する必要はありません。 NLB は通常 TCP/UDP トラフィックに使用されますが、ALB は HTTP ベースのアプリケーションに適しています。さらに、Aurora Replicas は読み取りのスケーラビリティを目的としており、主要な書き込み操作には適していません。

オプション B - 継続的なレプリケーション用の AWS DMS と、コレクション エンドポイント用の ALB の背後にある EC2 インスタンスは有効ですが、このオプションでは RDS Proxy については触れられていません。RDS Proxy は、データベース接続の管理と接続枯渇による障害の防止に役立ちます。

オプション C - AWS DMS は、移行中のダウンタイムを最小限に抑えます。Aurora Replica は読み取りクエリをオフロードし、集約ジョブのパフォーマンスを向上させます。RDS Proxy はデータベース接続を効率的に管理し、データ取り込みプロセスの障害を防止します。ALB の背後で Lambda を使用すると、管理が簡素化され、自動的にスケールされます。

オプション D - Kinesis Data Firehose はストリーミング取り込みには便利ですが、このワークロードには必要ありません。既存のシステムでは MySQL を使用しているため、Kinesis を導入すると、接続管理の問題が解決されずに不要な複雑さが増します。

回答: B

説明:
オプション A - SSE-S3 は、会社のセキュリティチームが管理するキーではなく、Amazon S3 管理キーを使用します。要件では、SSE-S3 ではサポートされていないカスタマー管理キーの使用が指定されています。

オプション B - デフォルトの暗号化を SSE-KMS に変更すると、すべての新しいオブジェクトで AWS KMS 管理の暗号化キーが使用されるようになります。このキーは、会社のセキュリティチームが制御できます。暗号化されていない PutObject リクエストを拒否するバケットポリシーによって、セキュリティが強化されます。オブジェクトを再アップロードすると、既存のファイルが新しい暗号化要件に準拠していることが保証されます。

オプション C - AWS は GetObject リクエストでの自動暗号化をサポートしていません。暗号化は、オブジェクトが取得されるときではなく、保存されるときに行われます。

オプション D - 「顧客管理キーを使用した AES-256」は有効な S3 暗号化オプションではありません。顧客管理キーを使用した SSE-KMS が正しい選択です。

回答: B

説明:

オプション A - Route 53 フェイルオーバー レコードを使用するため、クライアントのレイテンシーと DNS 解決時間が長くなる可能性があります。オプション C は、アプリケーションの重要なコンポーネントであるロード バランサーに冗長性を提供しないため、正しくありません。オプション D は、最初のリージョンのプライマリ オリジンに問題が発生した場合にアプリケーションに冗長性を提供しないため、正しくありません。

オプション B - ALB、Auto Scaling グループ、EC2 インスタンスを別の AWS リージョンにプロビジョニングすると、アプリケーションの冗長性とフェイルオーバー機能が提供されます。2 番目のリージョンに新しい ALB の 2 番目のオリジンを作成することで、プライマリ オリジンに問題が発生した場合に CloudFront ディストリビューションがトラフィックを正常なオリジンに自動的にルーティングできます。これにより、アプリケーションの可用性と耐障害性が高まります。

オプション C - 単一の ALB は単一障害点であり、ターゲット グループを別のリージョンに配置することもできません

オプション D - D は機能しますが、このコンテキストでは過剰設計です。CloudFront はグローバル サービスであり、2 つのディストリビューションがあっても耐障害性は向上せず、CloudFront と AWS Global Accelerator を組み合わせても意味がありません。

回答: C

説明:

オプション A - JSON ファイルを手動で更新する必要があり、開発者がセキュリティグループルールを手動で更新する必要もあるため、運用上のオーバーヘッドが発生します。

オプション B - 新しい AWS Config マネージドルールを作成する必要があり、各アカウントのセキュリティグループルールを手動で更新する必要もあります。

オプション C - このソリューションでは、すべての内部 IP アドレス範囲を含む VPC プレフィックスリストがトランジットアカウントに作成され、AWS Resource Access Manager を使用して他のすべてのアカウントと共有されます。これにより、IP アドレス範囲を一元管理できるようになり、各アカウントのセキュリティグループルールを手動で更新する必要がなくなります。このソリューションでは、AWS Config を使用してコンプライアンスチェックを実行し、コンプライアンスに準拠していないセキュリティグループを自動的に修正することもできます。

オプション D - トランジットアカウントのセキュリティグループを手動で更新する必要があり、運用上のオーバーヘッドも発生します。

回答: B

説明:

オプション A - メトリクス データを抽出して表形式にまとめる Lambda 関数の開発が必要であり、開発時間が追加されます。

オプション B - AWS Compute Optimizer にオプトインし、ExportLambdaFunctionRecommendations オペレーションを呼び出す Lambda 関数を作成するのが、開発時間が最も短いソリューションです。このオプションでは、組み込みの AWS Compute Optimizer サービスを使用してメトリクス データを抽出し、CSV ファイルとしてエクスポートして、S3 バケットに保存できます。

オプション C - 拡張インフラストラクチャ メトリクスの設定が必要で、開発時間が追加されます。

オプション D - AWS ビジネス サポート プランを購入して Trusted Advisor コンソールを使用する必要があり、開発時間が追加されます。

回答: A、C、F

説明:
A、C、F は、会社のアプリケーションとチームに必要なコスト レポートと分析を提供するため、正解です。

オプション A - アプリケーションとチームを表すユーザー定義のコスト配分タグをアクティブ化すると、会社は特定のアプリケーションとチームにコストを割り当てることができます。これにより、会社は各アプリケーションとチームにどれだけのコストがかかっているかを確認でき、これはコスト予測と予算編成にとって重要です。

オプション B - AWS 生成のコスト配分タグは一部の AWS リソースに対して自動的に作成されますが、会社のアプリケーションとチームに必要なコスト レポートと分析は提供されません。

オプション C - 請求およびコスト管理で各アプリケーションのコスト カテゴリを作成すると、会社はアプリケーションごとにコストをグループ化できます。これにより、各アプリケーションに関連付けられたコストを理解しやすくなり、さまざまなアプリケーションのコストを時間の経過とともに比較しやすくなります。

オプション D - IAM アクセス コントロールは、請求およびコスト管理機能へのアクセスを制限するために使用されますが、要件を満たすように構成する必要はありません。

オプション E - コスト予算を作成すると、会社はコストの予算を設定し、コストが予算を超えたときにアラートを受け取ることができますが、会社のアプリケーションとチームに必要なコスト レポートと分析は提供されません。

オプション F - Cost Explorer を有効にすると、会社はコストと使用状況を時間の経過とともに分析し、カスタム レポートと予測を作成できます。これは、各アプリケーションとチームに関連付けられたコストを理解し、将来のコストを予測するために重要です

回答: B

説明:

オプション B - 顧客所有のパブリック IP アドレス ブロックを AWS アカウントに登録します。アドレス ブロックから Elastic IP アドレスを作成し、VPC 内の NAT ゲートウェイに割り当てます。これにより、NAT ゲートウェイに割り当てられた顧客所有のパブリック IP アドレスを使用して、移行後も Web アプリケーションがサードパーティ API を引き続き呼び出すことができるようになります。これにより、サードパーティ API は、許可リストにある顧客所有の IP アドレスからのトラフィックのみを認識するようになります。
このコンテキストでは、オプション A、C、および D は意味がありません。

回答: C

説明:

オプション C - SCP ポリシーは、cloudtrail 以外のすべてを許可します。SCP は境界ですが、IAM ユーザーに許可を与えません。すべての IAM に対して許可を設定する必要があります。SCP は権限を付与しません。

回答: C

説明:

オプション A - インスタンスには、S3 への書き込み権限と Systems Manager Session Manager 経由でのインスタンスへのアクセス権限を持つ IAM ロールが必要です。

オプション B - インスタンスを停止する必要があり、実行中のアプリケーションに影響します。

オプション C - Amazon Data Lifecycle Manager (DLM) を使用して EBS ボリュームのスナップショットを作成すると、インスタンスやその SSH キー ペアにアクセスすることなくボリュームのバックアップを作成できるため、要件を満たします。さらに、DLM を使用すると、特定の間隔でバックアップを実行するようにスケジュール設定でき、スナップショットを S3 バケットにコピーすることもできます。このアプローチは、バックアップが EBS ボリューム レベルで実行されるため、実行中のアプリケーションに影響しません。

オプション D - インスタンスを停止して新しい EC2 インスタンスを作成する必要があり、実行中のアプリケーションに影響します。

回答: B、D、F

説明:

オプション A、C - これらはソース アカウントでポリシーを作成するものですが、データにアクセスしたいユーザーは宛先アカウントにいます。

オプション B - B は​​、宛先アカウントのユーザーがソース バケットにアクセスしてそのコンテンツを一覧表示し、そのオブジェクトを読み取るために必要な権限を持つために必要です。

オプション D - D は、宛先アカウントのユーザーが宛先バケットにアクセスしてコンテンツを一覧表示し、オブジェクトを配置し、オブジェクト ACL を設定するために必要な権限を持つために必要です。

オプション E - これはソース アカウントでコマンドを実行することですが、宛先 S3 バケットにコピーされたオブジェクトにはソース アカウントの権限が残り、宛先アカウントのユーザーはアクセスできないため、適切ではありません。

オプション F - F が必要なのは、aws s3 sync コマンドを宛先アカウントの IAM ユーザー認証情報を使用して実行する必要があるためです。これにより、オブジェクトがコピーされると、宛先アカウントのユーザーに対して適切な権限が付与されます。

回答: B

説明:

オプション A - 必須ガードレールは AWS によって事前定義されており、カスタマイズできません。

オプション B - AWS Control Tower は、ガバナンスとポリシーの適用を実装するために有効にできる「強く推奨されるガードレール」のセットを提供します。これらのガードレールの 1 つは「Amazon RDS インスタンスの暗号化」で、保存時に暗号化されていない RDS DB インスタンスを検出します。このガードレールを有効にして本番環境の OU に適用することで、企業は本番環境の RDS インスタンスの暗号化を強制できるようになります。

オプション C - AWS Config は、RDS インスタンスに必須のガードレールを提供しません。

オプション D - AWS Control Tower は、カスタム SCP (サービス制御ポリシー) と呼ばれる機能を提供しません。代わりにガードレールを使用します。

回答: A

説明:

オプション A - Lambda 関数の新しいデプロイ バージョンごとにエイリアスを作成します。AWS CLI の update-alias コマンドを routing-config パラメータとともに使用して負荷を分散するのが正解です。これは、カナリア リリースをサポートする要件を満たしています。

オプション B - カナリア リリースは可能ですが、アプリケーションの新しいバージョンを別の CloudFormation スタックにデプロイする必要があり、新しいバージョンの Lambda 関数のエイリアスを作成する場合と比べて、より複雑で時間のかかるプロセスになります。

オプション C - カナリア リリースは可能ですが、新しいデプロイされた Lambda 関数ごとにバージョンを作成する必要があり、新しいバージョンの Lambda 関数のエイリアスを作成する場合と比べて、より複雑で時間のかかるプロセスになります。

オプション D - AWS CodeDeploy は、EC2 やオンプレミス サーバーなどのさまざまなコンピューティング サービスへのコード デプロイを自動化できるデプロイ サービスですが、AWS Lambda でのカナリア リリースのルーティング構成はサポートされていません。

回答: B

説明:

オプション A、C、D では、AWS Transfer for SFTP と同じレベルのスケーラビリティと信頼性は得られません。EC2 インスタンスをロード バランサーの背後に配置すると可用性が向上しますが、必ずしもスケーラビリティが向上するわけではなく、会社が SFTP サーバーを管理する必要があります。

オプション B - SFTP サーバーを AWS Transfer for SFTP に移行すると、SFTP ソリューションの信頼性とスケーラビリティが向上します。AWS Transfer for SFTP は、SFTP プロトコルを使用して Amazon S3 との間でファイルを直接転送できる、フルマネージド SFTP サービスです。このサービスを使用することで、企業は SFTP サーバーの管理を AWS にオフロードでき、高可用性、スケーラビリティ、セキュリティが実現します。その後、企業は Route 53 の DNS レコード sftp.example.com を更新して、サーバーのエンドポイント ホスト名を指すようにすることができます。これにより、SFTP サーバーが DNS 上でアクセス可能になります。

オプション C - SFTP サーバーを AWS Storage Gateway のファイル ゲートウェイに移行しても、企業は依然として SFTP サーバーの管理を必要とするため、SFTP ソリューションのスケーラビリティと信頼性が必ずしも向上するわけではありません。

回答: B

説明:

オプション A - AWS DataSync と FSx for Windows File Server を使用してデータストアを複製しますが、アプリケーションのソフトウェアと構成設定は保持されません。

オプション B - VMware vSphere クライアントを使用して、アプリケーションを Open Virtualization Format (OVF) 形式のイメージとしてエクスポートします。Amazon S3 バケットを作成して、イメージを宛先 AWS リージョンに保存します。VM Import 用の IAM ロールを作成して適用します。AWS CLI を使用して EC2 インポートコマンドを実行します。このアプローチにより、ソリューション アーキテクトは、ソフトウェアと構成設定が保持される OVF 形式のイメージとしてアプリケーションをエクスポートし、EC2 インポート コマンドを使用して Amazon EC2 にインポートできます。

オプション C - AWS Storage Gateway を使用して CIFS 共有をエクスポートしますが、アプリケーションのソフトウェアと構成設定は保持されません。

オプション D - AWS Systems Manager と AWS Backup を使用して VM のスナップショットを作成しますが、アプリケーションのソフトウェアと構成設定は保持されません。

回答: A、B

説明:

オプション A - この手順は、アプリケーション コードをコンテナにパッケージ化し、ECS で実行できるようにするために必要です。

オプション B - この手順は、コンテナ化されたアプリケーションを Fargate で実行するために必要です。Fargate は、基盤となるインフラストラクチャのプロビジョニングとスケーリングが不要になる、完全に管理されたコンテナ オーケストレーション サービスです。

オプション C と E は、タイムアウト エラーの問題に対処していないため、正しくありません。AWS Step Functions と Amazon Elastic File System (EFS) は、それぞれワークフローとファイル ストレージの調整と管理に使用できるサービスですが、Lambda 関数のタイムアウトという特定の問題には役立ちません。

オプション D は、AWS Fargate がコンテナ用のサーバーレス コンピューティング エンジンであり、基盤となるインフラストラクチャのプロビジョニングとスケーリングが不要になるため、正しくありません。
つまり、企業は基盤となるインフラストラクチャを管理する必要がなく、それが企業の望みです。

回答: D

説明:

オプション A - オプション A では、EC2 Instance Connect を使用してインスタンスへの安全で監査可能な SSH アクセスを提供しますが、追加のインフラストラクチャと構成が必要です。

オプション B - オプション B では、エンジニアが実行するコマンドの監査を提供しますが、IP ベースのセキュリティ グループ ルールに依存しているため、管理が難しく、IAM ロールを使用する場合ほど安全ではない可能性があります。

オプション C - オプション C では、AWS Config と Firewall Manager を使用してセキュリティ グループ ルールの変更を自動的に修正しますが、IP ベースのセキュリティ グループ ルールに依存しており、インスタンスへの監査可能なアクセス方法は提供されません。

オプション D - この戦略では、IAM ロールと AWS Systems Manager を使用して、インスタンスへの安全で監査可能な SSH アクセスを提供します。IAM ロールはすべての EC2 インスタンスにアタッチされており、インスタンスを Systems Manager で管理できるようにする AmazonSSMManagedInstanceCore 管理ポリシーがアタッチされています。次に、エンジニアはデバイスに AWS Systems Manager Session Manager プラグインをインストールし、Systems Manager からの start-session API 呼び出しを使用してインスタンスにリモートでアクセスします。このアプローチにより、IP ベースのセキュリティグループルールや追加のインフラストラクチャを必要とせずに、インスタンスへの安全で監査可能なアクセスが提供されます。

回答: B、C、F

説明:
IAM よりも SCP の方が適しています。

オプション A - SCP は、管理者が IAM ユーザー/ロールに付与できる権限を制限するために使用されます。SCP では、固定の月間アカウント使用制限を設定できません。

オプション B - AWS Budgets を使用して、アカウント作成プロセスの一環として、各開発者のアカウントに固定の月間予算を作成します。

オプション C - SCP を作成して、コストのかかるサービスやコンポーネントへのアクセスを拒否します。SCP を開発者アカウントに適用します。

オプション D -  機能する可能性はありますが、SCP に関してさらに作業が必要になります

オプション E -  予算アクションではすべての種類のサービスを終了できるわけではありません。実際には 3 種類のアクションがサポートされています。1/ IAM アイデンティティに IAM ポリシーを適用する、2/ OU に SCP を適用する、3/ EC2 および RDS インスタンスを終了する

オプション F -  予算額に達したときに Amazon Simple Notification Service (Amazon SNS) 通知を送信する AWS Budgets アラートアクションを作成します。AWS Lambda 関数を呼び出してすべてのサービスを終了します。

回答: B

説明:

オプション A - オプション A は、Aurora DB クラスターをターゲット アカウントと共有しないため、最適なソリューションではありません。ソース アカウントとターゲット アカウントが同じデータを共有しないため、データの不整合が発生します。

オプション B - このソリューションでは、AWS Resource Access Manager (RAM) と自動バックアップを組み合わせて使用​​し、ダウンタイムを最小限に抑えながら、Lambda 関数と Aurora データベースをターゲット アカウントに移行します。

このソリューションでは、Lambda 関数のデプロイ パッケージがソース アカウントからダウンロードされ、ターゲット アカウントで新しい Lambda 関数を作成するために使用されます。 Aurora DB クラスターは AWS RAM を使用してターゲット アカウントと共有され、ターゲット アカウントには Aurora DB クラスターのクローンを作成する権限が付与されるため、ターゲット アカウントに Aurora データベースの新しいコピーを作成できます。このアプローチでは、ターゲット アカウントはクローンされた Aurora データベースを使用でき、元の Aurora データベースはソース アカウントで引き続き使用されるため、ダウンタイムを最小限に抑えながらデータをターゲット アカウントに移行できます。

オプション C - オプション C は、データの移行方法が指定されておらず、ソース アカウントとターゲット アカウントが同じデータを共有していないためダウンタイムが発生するため、最適なソリューションではありません。

オプション D - オプション D は、Lambda 関数の移行方法が指定されておらず、ソース アカウントとターゲット アカウントが同じデータを共有していないためデータの不整合が発生するため、最適なソリューションではありません。

回答: A

説明:

オプション A - このソリューションは、高可用性とスケーラビリティという会社の要件を満たし、長期的な管理オーバーヘッドを削減するため、最もコスト効率の高いオプションであると考えられます。

オプション B - オプション B では、SQS キューを作成し、イベント通知を送信するように S3 を設定します。次に、データ処理スクリプトは SQS キューをポーリングし、SQS メッセージが識別する S3 オブジェクトを処理します。このオプションも高可用性とスケーラビリティを提供しますが、SQS キューや EC2 Auto Scaling グループなどの追加リソースが必要になるため、Lambda を使用するよりもコスト効率が低くなります。

オプション C - データ処理スクリプトをコンテナ イメージに移行して EC2 インスタンスで実行する場合でも、企業は基盤となる EC2 インスタンスを管理する必要があり、Lambda を使用する場合ほどコスト効率が高くない可能性があります。

オプション D - データ処理スクリプトを AWS Fargate 上の Amazon ECS で実行されるコンテナ イメージに移行する場合でも、企業は基盤となるインフラストラクチャを管理する必要があり、Lambda を使用する場合ほどコスト効率が高くない可能性があります。さらに、Fargate RunTask API 操作を呼び出す Lambda 関数を追加することで、複雑さが増します。

回答: C

説明:
選択肢 A、B、および D は、アクティブ/パッシブ フェイルオーバーに必要な構成が含まれていないため、us-west-1 リージョンの災害復旧環境とフェイルオーバー ルーティング ポリシーの要件を完全に満たしていません。

オプション A - us-east-1 と us-west-1 の VPC はピアリングされており、Auto Scaling グループと Application Load Balancer (ALB) は両方のリージョンの複数のアベイラビリティーゾーンに拡張されています。ただし、明示的なフェイルオーバー ルーティング ポリシーは構成されていないため、停止が発生した場合にアプリケーションが us-west-1 リージョンにフェイルオーバーする方法は明確ではありません。

オプション B - us-east-1 と us-west-1 の VPC は別々であり、構成は両方のリージョンに複製されていますが、明示的なフェイルオーバー ルーティング ポリシーは構成されていないため、停止が発生した場合にアプリケーションが us-west-1 リージョンにフェイルオーバーする方法は明確ではありません。

オプション C - 選択肢 C は、アプリケーションの高可用性とユーザー トラフィックに合わせて動的にスケーリングする要件を満たし、アクティブ/パッシブ フェイルオーバーを通じて us-west-1 リージョンに災害復旧環境を実装します。
選択肢 C では、会社は us-east-1 に VPC を作成し、us-west-1 に VPC を作成し、両方の VPC に Application Load Balancer (ALB) と Auto Scaling グループを設定します。ALB は各 VPC の複数のアベイラビリティーゾーンにまたがり、Auto Scaling グループはこれらのアベイラビリティーゾーンに EC2 インスタンスをデプロイします。Auto Scaling グループは ALB の背後に配置され、ユーザートラフィックに合わせてインスタンスを自動的にスケーリングできます。
Amazon Route 53 ホストゾーンも作成され、ALB ごとに個別のレコードが作成されます。レコードごとにヘルスチェックが有効になり、フェイルオーバールーティングポリシーが構成されます。これにより、2 つのリージョン間でアクティブ/パッシブフェイルオーバーが可能になり、アプリケーションの高可用性が確保されます。

オプション D - 選択肢 D は選択肢 A に似ており、us-east-1 と us-west-1 の VPC がピアリングされ、Auto Scaling グループと Application Load Balancer (ALB) が両方のリージョンの複数のアベイラビリティーゾーンにまたがって拡張されます。ただし、明示的なフェイルオーバー ルーティング ポリシーは構成されていないため、停止が発生した場合にアプリケーションが us-west-1 リージョンにフェイルオーバーする方法は明確ではありません。

回答: D

説明:

オプション A、B - AWS Orgs でのみ AWS IdC 機能をオンにしません。統合課金またはすべての機能のいずれかです

オプション C - 要件はオンプレミス AD に基づいてユーザーをログインすることです。これには、ローカルドメイン/ディレクトリと双方向の信頼を持つ AWS マネージド AD は必要ありません。AD コネクタで十分であり、安価です

オプション D - このオプションでは、最初に AWS Organizations のすべての機能を有効にし、次に AD コネクタを作成して、会社のオンプレミス Active Directory に接続するための構成を行います。次に、IAM Identity Center (AWS SSO) を構成し、AD コネクタを ID ソースとして設定して、IT サポート担当者が既存の Active Directory 認証情報を使用してコンソールにアクセスできるようにします。最後に、権限セットを作成し、会社の Active Directory 内の既存のグループにマッピングします。このソリューションは、AWS Directory Service に新しいディレクトリを作成する必要がないため、コスト効率も高くなります。

回答: A、D

説明:

オプション A - S3 バケットで S3 Transfer Acceleration を有効にします。アップロードに Transfer Acceleration エンドポイントを使用するようにアプリを構成します。

オプション B - 各リージョンでアップロードを受信するように S3 バケットを構成し、S3 クロスリージョンレプリケーションを使用してファイルをディストリビューション S3 バケットにコピーすると、データの耐久性と可用性が向上する可能性がありますが、オーストラリアからのアップロードが遅いという問題は解決されません。

オプション C - レイテンシーベースのルーティングを備えた Amazon Route 53 は、ネットワークレイテンシーに基づいてアップロードを最も近い S3 バケットリージョンにルーティングできますが、アップロード速度の高速化や信頼性の向上は保証されません。

オプション D - ビデオファイルをチャンクに分割するようにアプリを構成します。マルチパートアップロードを使用して、ファイルを Amazon S3 に転送します。

オプション E - アップロード前にファイルにランダムなプレフィックスを追加しても、アップロードのパフォーマンスや信頼性は向上しません。

回答: B

説明:

オプション A - Aurora MySQL Serverless を使用しても問題は解決しません。また、サーバーレス V1 は HA に適していません。単一インスタンス（リードレプリカなし）を実行している場合は、同じ AZ に新しい DB インスタンスを作成しようとします

オプション B - RDS Proxy は、接続のプールに加えて、アプリケーションの接続を維持しながらスタンバイ DB インスタンスに自動的に接続することで、データベース障害に対するアプリケーションの耐性を高め、フェイルオーバーを検出してスタンバイ インスタンスにリクエストをルーティングすることで、フェイルオーバー時間を最大 66% 短縮します

オプション C - Aurora クラスターの作成と移行は不要で、RDS Proxy で十分です

オプション D - これには多くの作業が必要です

回答: C

説明:

オプション A - Amazon MQ キューを設定し、各デバイスをキューに接続すると、キューを管理し、各デバイスが適切に認証および接続されていることを確認するために、かなりの運用オーバーヘッドが必要になります。

オプション B と D では、Lambda オーソライザーを備えたネットワークロードバランサー (NLB) または相互 TLS 証明書オーソライザーを備えた Amazon API Gateway HTTP API を使用し、EC2 インスタンスで MQTT ブローカーを実行すると、AWS IoT Core を使用する場合と比較して、運用上の複雑さとオーバーヘッドが増加します。

オプション C - AWS IoT Core は、インターネットに接続されたデバイスと AWS クラウド間の安全な双方向通信を可能にするフルマネージドサービスです。MQTT プロトコルをサポートし、組み込みのデバイス認証とアクセス制御が含まれています。 AWS IoT Core を使用することで、企業は各デバイスの X.509 証明書を簡単にプロビジョニングおよび管理し、最小限の運用オーバーヘッドでデバイスをサービスに接続できます。

回答: C

説明:

難しい質問です。質問にはヒントがあります - 「IAM ロールに新しい制限を適用する」 (オプション B で述べたように、これは IAM ポリシーではないことに注意してください)。最初に承認されたリソースを含むポリシーを作成し、そのロールをエンジニアに適用すると、適用されます。したがって、C が正解です。(B には適用がなく、B は不正解です)。
C は正解で、B ではありません。AWS CloudFormation は、ユーザーに代わってそれらのリソースを作成、変更、削除する呼び出しを行います。ユーザーと AWS CloudFormation サービスの間で権限を分離するには、サービスロールを使用します。 AWS CloudFormation は、ユーザーのポリシーではなく、サービスロールのポリシーを使用して呼び出しを行います。詳細については、AWS CloudFormation サービスロールを参照してください。こちらを確認してください。https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-iam-servicerole.html
オプション B では、エンジニアは CloudFormation 以外の方法を使用してリソースをプロビジョニングできますが、これは新しい会社のポリシーに準拠していません。これにより、エンジニアがアクセスに使用する IAM ロールに新しい制限を適用することが難しくなります。

回答: B

説明:
設計要件を満たす最も費用対効果が高く効率的なソリューションは、オプション B です。スケールに合わせて適切に構成された Amazon DynamoDB テーブルに各受信レコードを保存するようにアプリケーションを設計します。120 日以上経過したレコードを削除するように DynamoDB の有効期限 (TTL) 機能を構成します。
DynamoDB は、高い拡張性とパフォーマンスを実現するように設計された NoSQL キーバリュー ストアです。AWS によって完全に管理されており、1 分間に数百万の小さなレコードを簡単に処理できます。さらに、TTL 機能を使用すると、各レコードの有効期限を設定できるため、指定された期間後にデータを自動的に削除できます。

オプション A - 各受信レコードを 1 つの .csv ファイルとして Amazon S3 バケットに保存することは、.csv ファイルから個々のレコードを取得するのが難しく、データ取得のコストが増加する可能性があるため、適切なオプションではありません。

オプション C - 各受信レコードを Amazon RDS MySQL データベースの 1 つのテーブルに保存することは、RDS が通常 DynamoDB よりも高価であるため、より高価なオプションになります。さらに、古いデータを削除する cron ジョブを実行すると、追加の運用オーバーヘッドが発生する可能性があります。

オプション D - 受信レコードをバッチで S3 バケットに保存することは、個々のレコードを取得するためにデータの追加の処理と解析が必要になるため、効率の悪いオプションです。

回答: D

説明:
ただし、これがこの方法の鍵です。最高の可用性 - リードレプリカは非同期コピーですが、バックアップは「時間」です。バックアップからリロードするよりも、リードレプリカを実行してスイッチを切り替える方が簡単です。グローバルテーブルは DynomoDB に関連しています https://disaster-recovery.workshop.aws/en/services/databases/dynamodb/dynamo-global-table.html
便利な「DR」ガイド。
オプション A - 自動バックアップをスタンドアロン DB に昇格することはできません (代わりに、バックアップを新しい DB インスタンスに復元します)。クロスリージョンの場合は、リードレプリカを作成するとこのシナリオで役立つ場合があります。これは指定されていません。

オプション B - RDS はグローバル テーブルをサポートしていないため、あるリージョンから別のリージョンにリードレプリカをコピーしても意味がありません。

回答: A

説明:

オプション A - トランジット ゲートウェイにより、両方の VPC がオンプレミス ネットワークに接続できるようになるため。
トランジット ゲートウェイは、VPC と顧客ネットワークを相互接続するために使用される、AWS が管理する高可用性とスケーラビリティを備えた地域ネットワーク トランジット ハブです。 AWS Transit Gateway + VPN は、Transit Gateway VPN アタッチメントを使用して、次の図に示すように、インターネット経由でリモート ネットワークと Transit Gateway の間に IPsec VPN 接続を作成するオプションを提供します。

オプション B - オプション B は同じ機能を提案していますが、Transit Gateway を誤った方法で使用しています。ゲートウェイの本来の目的は、相互接続のためのポイントを持つことです。

オプション C - ピアリングではエッジツーエッジ ルーティングは許可されません (つまり、VPC B は VPC A 経由でオンプレミスにアクセスできず、その逆も同様です)。

オプション D - オプション D では、サイト間 VPN の仮想プライベート ゲートウェイを変更して、VPC A と VPC B の両方を含めることを提案しています。ただし、仮想プライベート ゲートウェイは、説明した方法で VPC 間で直接共有または分割することはできません。このオプションは、AWS ネットワーク コンポーネントのアーキテクチャとその機能を誤解しています。

回答: B

説明:

オプション A - A は誤りです。一時的な STS トークン (つまり IAM ロール) から派生した SMTP 認証情報を使用して SES SMTP 経由で電子メールを送信することはできません。 認証情報を取得するには、IAM ユーザー アクセス キーを使用する必要があります。

オプション B - https://docs.aws.amazon.com/ses/latest/dg/smtp-connect.html
STARTTLS はポート 25、587、2587 をサポートします。
TLSWRAPPER はポート 465 と 2465 をサポートします。

オプション C - アプリケーションは SMTP のみを使用でき、SES API 経由でメールを送信します。

オプション D - アプリケーションは SMTP のみを使用でき、SES SDK (API) 経由でメールを送信します。

回答: A

説明:

オプション A - 組織の AWS コストと使用状況レポートを作成し、レポートでタグとコストカテゴリを定義すると、1 つの組織に統合されたさまざまな会社の詳細なコストレポートを作成できます。Amazon Athena にテーブルを作成し、Athena テーブルに基づく Amazon QuickSight データセットを作成することで、財務チームはすべての会社のコストを簡単にクエリしてレポートを生成できます。その後、データセットを財務チームと共有して、レポート作成のニーズに使用できます。

オプション B - すべての会社のコストをクエリしてレポートを生成する方法は提供されません。

オプション C - AWS 料金表クエリ API からの支出情報のみが提供され、さまざまな会社の詳細なコストレポートは提供されません。

オプション D - AWS 料金表クエリ API のみを使用し、すべての会社のコストをクエリしてレポートを生成する方法は提供されません。

回答: C、E

説明:

オプション A - MySQL 汎用 SSD ストレージのサイズを 6 TB に変更してボリュームの IOPS を改善しても、問題は解決しません。問題はストレージ サイズだけでなく、書き込みレイテンシの高さにも関係しているからです。

オプション B - データベース層を再設計して、RDS MySQL DB インスタンスの代わりに Amazon Aurora を使用し、リードレプリカを追加すると、読み取りパフォーマンスは向上しますが、書き込みレイテンシの短縮には役立ちません。

オプション C - Amazon Kinesis Data Streams と AWS Lambda を利用して生データを取り込んで処理すると、API サーバーが常に過負荷になる問題を解決するのに役立ちます。Kinesis を使用すると、データをリアルタイムで取り込んで処理できるため、API サーバーは増加した負荷を処理できます。 Lambda を使用してデータを処理することで、プラットフォームの全体的なパフォーマンスとスケーラビリティを向上させることもできます。

オプション D - AWS X-Ray を使用してアプリケーションの問題を分析およびデバッグし、負荷に合わせて API サーバーを追加すると、問題を特定して解決するのに役立ちますが、サーバーの負荷を軽減することはできません。

オプション E - RDS MySQL DB インスタンスの代わりに Amazon DynamoDB を使用するようにデータベース層を再設計すると、書き込みレイテンシが高い問題を解決するのに役立ちます。DynamoDB は、高いパフォーマンスとスケーラビリティを実現するように設計された NoSQL データベースであるため、このユースケースに適しています。さらに、DynamoDB は自動スケーリングをサポートしているため、データベースがセンサー数の予想される増加に対応できるようになります。

回答: A、C

説明:

オプション A - S3 バケットで S3 Transfer Acceleration を有効にし、Web アプリケーションが Transfer Acceleration 署名付き URL を使用するようにします。これにより、S3 バケットへのドキュメントのアップロードが高速化され、ヨーロッパ以外のユーザーのレイテンシーが短縮されます。

オプション B - AWS Global Accelerator でアクセラレーターを作成し、それを CloudFront ディストリビューションにアタッチしても、このシナリオでは役に立ちません。ユーザーの場所に基づいてトラフィックを最適なエンドポイントにルーティングするだけだからです。

オプション C - API Gateway のリージョン エンドポイントをエッジ最適化エンドポイントに変更すると、API Gateway の応答をユーザーの近くでキャッシュすることで、レイテンシーを改善できます。

オプション D - 世界中に広がる 2 つの別の場所でスタック全体をプロビジョニングし、Aurora Serverless クラスターでグローバル データベースを使用すると、レイテンシーを削減できますが、実装と管理がより複雑になります。

オプション E - Lambda 関数と Aurora Serverless データベースの間に Amazon RDS プロキシを追加しても、このシナリオでは役に立ちません。これは、Amazon RDS データベースの接続管理と負荷分散を改善するためにのみ使用され、Aurora Serverless データベースには使用されないためです。

回答: A

説明:
オプション A - Amazon S3 Intelligent-Tiering は、アクセスパターンの変化に基づいて 2 つのアクセス層間でオブジェクトを自動的に移動するストレージクラスです。頻繁にアクセスされるオブジェクトは高頻度アクセス層に保存され、あまりアクセスされないオブジェクトは低頻度アクセス層に保存されます。これにより、手動による介入を必要とせずにコストを最適化できます。これは、30 日後にあまりアクセスされないオブジェクトを低コストのストレージ層に自動的に移動しながら、ミリ秒単位の取得可用性を維持できるため、説明したシナリオに最適なソリューションです。

オプション B - 30 日後にのみデータを S3 Glacier Deep Archive に移動するため、データを取得するには追加の手順が必要になります。

オプション C - Amazon Elastic File System (Amazon EFS) は、Amazon EC2 インスタンスで使用するファイル ストレージ サービスですが、大量のデータを保存および取得するためのコスト効率の高いソリューションは提供しません。

オプション D - Cache-Control: max-age ヘッダーを追加しても、オブジェクトのキャッシュ動作のみが制御され、コスト最適化の要件には対応しません。

回答: C

説明:
ストレージクラス: フィルターを設定すると、24 ～ 48 時間以内に Amazon S3 コンソールにフィルターに基づくデータ分析が表示されます。ただし、ストレージクラス分析では、結果を出す前に分析用の情報を収集するために、フィルターされたデータセットのアクセスパターンを 30 日間以上観察します。
ストレージレンズ: すべての S3 ストレージレンズメトリクスは 15 か月間保持されます。ただし、メトリクスは、選択したメトリクスに応じて、特定の期間のクエリでのみ使用できます。この期間は変更できません。無料のメトリクスは 14 日間のクエリで使用でき、高度なメトリクスは 15 か月間のクエリで使用できます。
いずれにしても、最大 12 か月間クエリするにはアップグレードする必要があります
オプション A - CUR は詳細な使用状況データを提供しますが、このジョブに最適なツールではありません。

オプション B - S3 ストレージクラス分析では、標準および標準 IA ストレージクラスの推奨事項が提供されますが、データの傾向は提供されません。

オプション D - アクセス アナライザーは、インターネット上のすべてのユーザーや他の AWS アカウントにアクセスを許可するように設定されているバケットの可視性を提供します。

回答: C

説明:

オプション A と D はどちらも AWS CloudFormation を使用しますが、複数のアカウントとリージョンの管理は考慮されていません。オプション B は AWS Organizations を使用しますが、複数のアカウントとリージョンにわたるデプロイメントの管理に必要な CloudFormation StackSets の使用は含まれていません。

オプション C - AWS Organizations と AWS CloudFormation StackSets を使用します。

AWS Organizations では、複数の AWS アカウントを単一のエンティティとして管理でき、AWS CloudFormation StackSets では、組織内の複数のアカウントとリージョンにわたるスタックの作成、更新、削除が可能です。このソリューションでは、複数のアカウントとリージョンにデプロイできる単一の CloudFormation テンプレートを作成できるほか、管理アカウントの IAM ロールとポリシーを使用して、さまざまなアカウントのアクセスと権限を管理することもできます。

回答: B

説明:

オプション A - アプリケーションとその構成を格納するために AMI を組み込んだ CI/CD パイプラインを展開します。Amazon EC2 インスタンスを置き換えてアプリケーションを展開します。インスタンスを以前のバージョンに置き換えることで変更をロールバックする方法は提供されますが、1 時間に複数回更新を迅速に展開することはできない可能性があります。

オプション B - このアプローチにより、会社は 1 時間に数回更新を展開し、必要に応じて変更を迅速にロールバックできます。

オプション C - Amazon EC2 ユーザーデータを更新して Amazon S3 から最新のコードアーティファクトを取得し、Amazon Route 53 の加重ルーティングを使用して新しい環境を指すようにすると、より時間のかかる手順が必要になり、変更を迅速にロールバックできない可能性があります。

オプション D - 新しいバージョンの AMI を使用してインスタンスを追加し、デプロイメントイベント中に、構成された終了ポリシーを使用して以前の AMI バージョンを使用するすべてのインスタンスを段階的に廃止します。これは変更をロールバックする方法の 1 つですが、1 時間に複数回更新を迅速にデプロイすることはできません。

回答: B、C

説明:

オプション A - EC2 インスタンスのセキュリティ グループにインバウンド ルールを追加すると、デフォルトの Aurora ポート上のインスタンスへの着信接続は許可されますが、インスタンスが DB クラスターに接続することはできません。

オプション B - これにより、インスタンスがデフォルトの Aurora ポート上の DB クラスターへのアウトバウンド接続を行うことができます。

オプション C - これにより、デフォルトの Aurora ポート上の EC2 インスタンスから DB クラスターへの接続が可能になります。

オプション D - DB クラスターのセキュリティ グループにアウトバウンド ルールを追加すると、DB クラスターはデフォルトの Aurora ポートで EC2 インスタンスにアウトバウンド接続できるようになりますが、インスタンスから DB クラスターへの接続は許可されません。

オプション E - DB クラスターのセキュリティ グループにアウトバウンド ルールを追加し、EC2 インスタンスのセキュリティ グループをエフェメラル ポート経由の送信先として指定すると、DB クラスターはエフェメラル ポートでインスタンスにアウトバウンド接続できるようになりますが、デフォルトの Aurora ポートのインスタンスから DB クラスターへの接続は許可されません。

回答: B

説明:

オプション A - オプション A は、複数のアカウントで予算とレポートを設定する必要があり、各事業単位のクラウド支出の管理の複雑さとコストが増加するため、最も費用対効果の高いソリューションではありません。

オプション B - このオプションは、各アカウントで個別に予算とアラートを設定するのではなく、組織の管理アカウントを利用して組織内のすべてのアカウントの予算を設定し、アラートを設定するため、最もコスト効率に優れています。さらに、管理アカウントで Cost Explorer を使用すると、クラウド ガバナンス チームは組織内のすべてのアカウントの統合支出を表示し、各ビジネス ユニットのレポートを作成できます。これにより、コストを表示したりレポートを作成したりするために個々のアカウントにアクセスする必要がなくなります。

オプション C - オプション C は、クラウド ガバナンス チームが各アカウントの AWS 請求およびコスト管理ダッシュボードにアクセスして各ビジネス ユニットの月次レポートを作成する必要があり、各ビジネス ユニットのクラウド支出の管理の複雑さとコストが増加するため、最もコスト効率に優れたソリューションではありません。

オプション D - オプション D は、AWS コストと使用状況レポートを処理するために AWS Lambda 関数を作成する必要があり、各ビジネス ユニットのクラウド支出の管理の複雑さとコストが増加するため、最もコスト効率に優れたソリューションではありません。

回答: A

説明:

オプション A - https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-attribute-deletionpolicy.html
DeletionPolicy 属性を使用すると、スタックが削除されたときにリソースを保持し、場合によってはバックアップすることができます。制御するリソースごとに DeletionPolicy 属性を指定します。リソースに DeletionPolicy 属性がない場合、AWS CloudFormation はデフォルトでリソースを削除します。
保持
CloudFormation は、スタックが削除されてもリソースまたはそのコンテンツを削除せずにリソースを保持します。この削除ポリシーは、任意のリソースタイプに追加できます。CloudFormation がスタックの削除を完了すると、スタックは Delete_Complete 状態になりますが、保持されているリソースは引き続き存在し、それらのリソースを削除するまで該当する料金が発生し続けます。

回答: B

説明:

オプション B - 送信元は 198.51.100.2 のようなパブリック IP になります。
以下のクエリを実行します。
filter (dstAddr like 'xxx.xxx' and srcAddr like 'public IP')
| stats sum(bytes) as bytesTransferred by srcAddr, dstAddr
| limit 10
注: 検索フィルタの最初の 2 オクテットだけを使用して、VPC 内のすべてのネットワーク インターフェースを分析できます。上記の例では、xxx.xxx を VPC クラスレス ドメイン間ルーティング (CIDR) の最初の 2 オクテットに置き換えます。また、パブリック IP を、VPC フロー ログ エントリに表示されているパブリック IP に置き換えます。
クエリ結果には、パブリック IP からの NAT ゲートウェイ プライベート IP へのトラフィックが表示されますが、VPC 内の他のプライベート IP へのトラフィックは表示されません。これらの結果から、着信トラフィックが未承諾であったことがわかります。ただし、プライベート インスタンスの IP にトラフィックが表示される場合は、理由 2 の手順に従ってください。

回答: A

説明:

オプション A - キーワードは「S3 バケットには数百万のオブジェクトがあります」
数百万のオブジェクトがある場合は、バッチ操作を使用する必要があります。

オプション B - KMS は SSE-KMS 用であり、要求された SSE-S3 用ではありません

オプション C - CLI は S3 バッチよりも効率が悪い

オプション D - KMS は SSE-KMS 用であり、要求された SSE-S3 用ではありません

回答: C

説明:

オプション A - S3 Select の使用は S3 内のデータのフィルタリングには適していますが、大量のデータのクエリと分析には適していない可能性があります。

オプション B - Amazon Redshift Spectrum を使用して S3 に保存されているデータをクエリできますが、非構造化データのクエリに Amazon Athena を使用するほどコスト効率が高くない可能性があります。

オプション C - このソリューションでは、Amazon Athena と AWS Glue データカタログを使用して、S3 バケット内のデータをクエリおよび分析できます。 Amazon Athena は、SQL を使用して S3 のデータを分析できるサーバーレスのインタラクティブなクエリサービスです。AWS Glue データカタログは、S3 に保存されているデータのテーブル定義を保存および取得するために使用できるマネージドメタデータリポジトリです。これらのサービスを組み合わせることで、大量の非構造化データをコスト効率よくクエリおよび分析できます。さらに、S3 ライフサイクルポリシーを使用して 1 年以上前のデータを S3 Glacier Deep Archive に移行することで、コンプライアンス上の理由からデータを無期限に保持しながら、ストレージコストを削減できます。

オプション D - Amazon Redshift Spectrum を S3 Intelligent-Tiering と併用することは良いソリューションですが、S3 Intelligent-Tiering はアクセスパターンに基づいてストレージコストを最適化するように設計されており、S3 Intelligent-Tiering はアクセスパターンに応じてデータを他のストレージクラスに移動するため、コンプライアンス上の理由から最適なソリューションではありません。

回答: A

説明:

オプション A - このオプションは、Snowball Edge デバイスが大量のデータを迅速かつ安全に転送できるため、3 週間以内にデータ転送を完了するという要件を満たします。データは転送中および保存中に暗号化されます。データ転送はインターネット経由ではなくデバイス上で行われるため、会社のインターネット接続速度はボトルネックにはなりません。

オプション B - オプション B は、10 Gbps の Direct Connect 接続の設定と維持に非常に費用がかかる可能性があるため、特に 1 回限りのデータ転送に必要な場合は、コスト効率のよいソリューションではありません。

オプション C - オプション C は、オンプレミスのストレージと最も近い AWS リージョンの間に VPN 接続を作成するには、大規模なネットワーク構成とメンテナンスが必要となり、Snowball Edge デバイスを使用するよりもコストがかかる可能性があるため、コスト効率の良いソリューションではありません。

オプション D - オプション D は、オンプレミスで AWS Storage Gateway ファイルゲートウェイを展開するには追加のハードウェアと継続的なメンテナンスコストが必要となり、1 回限りのデータ転送には必要ない可能性があるため、コスト効率の良いソリューションではありません。

回答: D

説明:

オプション A - このオプションでは、開発と保守に多大な労力が必要になり、完全に管理されたサービスを利用できないため、運用オーバーヘッドが増加します。

オプション B - このオプションは、モデルのトレーニングとホストに多大な開発と保守の労力が必要になり、完全に管理されたサービスを利用できないため、運用オーバーヘッドが増加します。

オプション C - このオプションは、モデルのトレーニングとホスティングに多大な開発とメンテナンスの労力が必要であり、フルマネージド サービスを利用できないため、運用オーバーヘッドが増加するという点でオプション B に似ています。

オプション D - このソリューションは、正確なフォーム抽出、市場投入までの時間の短縮、長期的な運用オーバーヘッドの最小化という要件を満たしています。Amazon Textract と Amazon Comprehend は、OCR を実行してフォームから関連データを抽出できるフルマネージドのサーバーレス サービスであり、カスタム ライブラリの開発やモデルのトレーニングとホスティングの必要がありません。AWS Step Functions と Lambda を使用すると、プロセスを簡単に自動化でき、必要に応じて拡張できます。

回答: A

説明:

オプション A - このソリューションでは、企業はウェブサーバー VM の Amazon Machine Image (AMI) を作成します。これを使用して、オンプレミスのウェブサーバーと同一の EC2 インスタンスを起動できます。次に、AMI と Application Load Balancer (ALB) を使用して、Web フロントエンドの自動スケーリングと高可用性を実現する EC2 Auto Scaling グループを作成します。また、オンプレミスのメッセージング キュー (RabbitMQ) を Amazon MQ に置き換えます。これは、RabbitMQ と完全に互換性のあるマネージド メッセージ ブローカー サービスです。最後に、Amazon Elastic Kubernetes Service (EKS) を使用して注文処理バックエンドをホストします。これにより、アプリケーションに大きな変更を加えることなく、AWS クラウドで既存の Kubernetes クラスターを実行できます。このアプローチにより、運用オーバーヘッドを最小限に抑えながら、既存のプラットフォームをリフト アンド シフトできます。

オプション B - カスタム AWS Lambda ランタイムと Amazon API Gateway を使用すると、アプリケーションに大幅な変更が必要になり、現在のコードベースと互換性がない可能性があります。

オプション C - さまざまな EC2 インスタンスのフリートに Kubernetes をインストールすると、アプリケーションに大幅な変更が必要になり、現在のコードベースと互換性がない可能性があります。

オプション D - Amazon MQ の代わりに Amazon Simple Queue Service (Amazon SQS) を使用すると、Amazon MQ と同じレベルのメッセージング機能が提供されず、注文処理プラットフォームのニーズを満たせない可能性があります。

回答: A

説明:

オプション A - ソリューション アーキテクトは、クライアント側暗号化用のデータ キーを生成するために、IAM ポリシーに「kms:GenerateDataKey」アクションを追加する必要があります。このアクションがないと、IAM ロールにはデータ キーを生成するために必要な権限がないため、新しいオブジェクトをアップロードしようとするとエラー メッセージが表示されます。

その他のオプションは、このユース ケースには必要ないため、正しくありません。 kms:GetKeyPolicy では、CMK のキーポリシーを取得できますが、S3 オブジェクトのクライアント側暗号化とは関係ありません。kms:GetPublicKey では、CMK の公開キーを取得できますが、S3 オブジェクトのクライアント側暗号化とは関係ありません。kms:Sign では、CMK を使用してメッセージに署名できますが、S3 オブジェクトのクライアント側暗号化とは関係ありません。

回答: A

説明:

オプション A - AWS WAF では、ウェブ ACL (アクセスコントロールリスト) ルールを「カウント」モードで作成できます。これにより、トラフィックを実際にブロックせずに監視できます。カウントモードでは、AWS WAF は特定のルールに一致するリクエストの数をカウントしますが、それらのリクエストをブロックするアクションは実行しません。

カウントモードは、いくつかの点で役立ちます。

新しいルールのテスト: 新しいルールを作成し、トラフィックをブロックできるようにする前にカウントモードでテストできます。これにより、誤検知や偽陰性のリスクを負うことなく、ルールの有効性を評価できます。
トラフィックの分析: カウント モードを使用してトラフィック パターンを分析し、潜在的なセキュリティの脅威を特定できます。特定のルールに一致するリクエストの数を監視することで、攻撃や脆弱性を示す可能性のあるパターンを検出できます。
コンプライアンス レポート: カウント モードは、特定のルールが適用されていることを示す必要があるコンプライアンス レポートに使用できます。ルールに一致するリクエストの数をカウントすることで、セキュリティ ポリシーが遵守されているという証拠を提供できます。

オプション B - オプション B は不正解です。レートベースのルールのみを使用すると、誤検知が発生し、正当なトラフィックがブロックされる可能性があります。

オプション C - オプション C は不正解です。AWS マネージド ルール グループのみを使用すると、Web ACL の柔軟性と特異性が制限される可能性があります。

オプション D - オプション D は不正解です。アクションが許可に設定されたカスタム ルール グループのみを使用すると、セキュリティの脆弱性が生じる可能性があります。

回答: C

説明:

オプション A - セキュリティ チームの AWS アカウントで SNS トピックを設定し、各 AWS アカウントに AWS Lambda 関数をデプロイする必要があります。SNS トピックの設定と維持、各アカウントでの Lambda 関数のデプロイと構成が必要になるため、運用上のオーバーヘッドが増加します。

オプション B - 組織内の各 AWS アカウントに新しいカスタマー管理プレフィックス リストを作成する必要があります。セキュリティ チームが複数のプレフィックス リストを作成して維持する必要があるため、運用上のオーバーヘッドが増加します。

オプション C - このソリューションは、セキュリティ チームが単一のカスタマー管理プレフィックス リストを作成して維持し、AWS Resource Access Manager を使用して組織と共有する必要があるため、運用上のオーバーヘッドが最も少なくて要件を満たします。各 AWS アカウントの所有者は、セキュリティ グループでプレフィックス リストを許可する責任を負います。これにより、変更があったときにセキュリティ チームが各アカウント所有者に手動で通知する必要がなくなります。このソリューションでは、各アカウントに個別の AWS Lambda 関数を用意する必要もなくなるため、ソリューション全体の複雑さが軽減されます。

オプション D - 組織内の各アカウントに IAM ロールを作成する必要があります。セキュリティ チームが複数のロールを設定して維持する必要があるため、運用上のオーバーヘッドが増加します。さらに、セキュリティ チームの AWS アカウントに AWS Lambda 関数もデプロイされるため、複雑さと運用上のオーバーヘッドが増加します。

回答: A

説明:

オプション A - これは、サードパーティのサービス呼び出しを分離し、すべての呼び出しが最終的に完了するようにするための優れたソリューションです。SQS は、アプリケーションが分散コンポーネント間でメッセージを送信、保存、受信できるようにする、完全に管理された、信頼性が高く、拡張性の高いメッセージ キュー サービスです。サードパーティのサービス呼び出しを SQS キューに送信することで、アプリケーションはサードパーティのサービスが応答するのを待たずに処理を続行できるため、応答時間が短縮され、エラー率が低くなります。
AWS Step Functions ステート マシン、Amazon EventBridge、Amazon Simple Notification Service (SNS) トピックなどの他のオプションは、このユース ケースには適していません。AWS Step Functions は、視覚的なワークフローを使用して分散アプリケーションとマイクロサービスのコンポーネントを簡単に調整できるサービスです。Amazon EventBridge は、独自のアプリケーション、統合された SaaS アプリケーション、および AWS サービスからのデータを使用してアプリケーションを簡単に接続できるサーバーレス イベント バスです。Amazon SNS は、アプリケーション間およびアプリケーションと人 (A2P) の両方の通信に対応する完全に管理されたメッセージング サービスです。これらのサービスはメッセージ キューの提供に重点を置いていないため、このユース ケースには最適ではありません。

回答: D

説明:

オプション A - は、不要なデータの重複が発生し、ストレージ コストが増加するため、正しくありません。

オプション B - アカウント間で KMS キーを安全に共有する方法が提供されず、不要なデータの重複とストレージ コストの増加が発生するため、不正解です。

オプション C - 営業チームの S3 バケットが別のアカウントにあるため、マーケティング チームは営業チームの S3 バケットのポリシーを更新できないため、不正解です。

オプション D - このソリューションは、マーケティング チームが IAM ロールを引き受けることで営業アカウントの S3 バケットのデータにアクセスできるようにすることで要件を満たします。これにより、データをコピーしたり KMS キーを共有したりする必要がなくなり、S3 バケット ポリシーを変更したり KMS 許可を作成したりする必要がなくなります。このソリューションでは、データを複製して再暗号化することなく、バケットへの同じアクセスを使用できます。

回答: C

説明:

オプション A - Amazon RDS for MySQL は SQL Server データベースをサポートしていますが、ビジネスクリティカルなアプリケーションの移行には適していません。データモデルとアーキテクチャが異なり、大幅な再エンジニアリングが必要になります。

オプション B - AWS Snowball Edge Storage Optimized デバイスは、大量のデータを AWS との間で転送するために使用されますが、SQL Server はサポートしていません。

オプション C - AWS Schema Conversion Tool (SCT) を使用すると、データベーススキーマを Microsoft SQL Server から Amazon RDS for MySQL に自動的に変換できます。これにより、手動による介入なしにデータベーススキーマをスムーズに移行できます。その後、AWS DMS を使用して、オンプレミスデータベースから新しく作成された Amazon RDS for MySQL インスタンスにデータを移行できます。このサービスでは、データの 1 回限りの移行を実行したり、データ変更の継続的なレプリケーションを設定してオンプレミスと AWS データベースの同期を維持したりできます。

オプション D - AWS DataSync はファイルとフォルダのみを転送でき、SQL Server データベースはサポートしていません。

回答: A、C、E

説明:

オプション A - 設計チームが本番アカウントの S3 バケットに静的アセットをアップロードおよび更新できるようにします。

オプション B - 設計チームは開発アカウントではなく本番アカウントの S3 バケットにアクセスする必要があります。

オプション C - 開発アカウントの設計チームがロールを引き受けて本番アカウントの S3 バケットにアクセスできるようにしますが、ポリシーで定義された特定のリソースとアクションのみにアクセスを制限します。

オプション D - 設計チームは、開発アカウントでロールを作成するのではなく、本番アカウントでロールを引き受けて S3 バケットにアクセスする必要があります。

オプション E - グループ内のユーザーが本番アカウントで作成されたロールを引き受けて、本番アカウントの S3 バケットにアクセスできるようにします。

オプション F - 設計チームは、開発アカウントではなく、本番アカウントでロールを引き受けて S3 バケットにアクセスする必要があります。

回答: C

説明:
環境の構成を編集することで、環境タイプを単一インスタンスまたは負荷分散されたスケーラブルな環境に変更できます。

オプション A - 新しいアプリケーションを作成する必要はありません (代わりに、既存のアプリケーションに新しい環境を作成できます)

オプション B - トラフィック分割は、スケールアウトではなく、アプリの新しいバージョンをデプロイするために使用されます

オプション D - 再構築では環境構成を変更できません

回答: B

説明:

オプション A - オプション A は役立つかもしれませんが、高負荷を処理するには不十分です。オプション C と D は、負荷を処理するための効率的なソリューションではありません。

オプション B - これは最適なソリューションです。データベースを Amazon RDS に移行すると、月末に増加する読み取りトラフィックを処理するために読み取りレプリカを簡単に拡張できるようになります。さらに、RDS は基盤となるインフラストラクチャを管理し、自動バックアップ、ソフトウェア パッチ適用、および監視を提供するため、会社の運用オーバーヘッドが削減されます。

回答: A

説明:

オプション A - このオプションでは、会社はアプリケーション ロード バランサー (ALB) を使用してアプリケーションとやり取りし、ECR イメージ リポジトリにアクセスするための ECS タスク実行ロール権限を使用できます。

オプション B - オプション B では、アプリケーション コードを AWS Lambda で実行されるコンテナに移行する必要があり、コードの変更がさらに必要になります。

オプション C - オプション C では、アプリケーションを Amazon Elastic Kubernetes Service (Amazon EKS) に移行する必要があり、管理オーバーヘッドがさらに必要になります。

オプション D - オプション D では、Lambda がアプリケーション ロード バランサー (ALB) を使用するように設定する必要があり、これは Lambda のネイティブ機能ではありません。

回答: D

説明:

オプション A - us-west-2 に追加の API Gateway エンドポイントを作成するだけで、Route 53 のフェイルオーバー ルーティング ポリシーを使用してトラフィックを正しいエンドポイントに誘導します。ただし、Lambda 関数は新しいリージョンにデプロイされないため、フェイルオーバーは不完全になります。

オプション B - API Gateway と Lambda 関数間のバッファーとして SQS キューを使用しますが、別のリージョンへのフェイルオーバーは提供されません。さらに、SQS が追加レイヤーとして機能するため、システムのレイテンシーも増加します。

オプション C - Lambda 関数を us-west-2 リージョンにデプロイし、同じリージョンに API Gateway エンドポイントを作成します。ただし、2 つの API Gateway エンドポイント間のトラフィックを管理するために、AWS Global Accelerator と Application Load Balancer を使用しています。ただし、両方のリージョンがアクティブで同時にトラフィックを処理するため、これはフェイルオーバー ソリューションではありません。

オプション D - このソリューションは、Lambda 関数と API Gateway エンドポイントのコピーを別のリージョンに置き、Route 53 のフェイルオーバー ルーティング ポリシーを使用して 2 つのリージョン間でトラフィックをルーティングすることで、別のリージョンへのフェイルオーバーの要件を満たします。

回答: C

説明:

オプション C - 管理アカウント --> 請求ダッシュボード --> 請求設定。このオプションは、RI 割引の共有を有効/無効にするためのものです。組織の管理アカウント 10 を使用して、HR 部門の本番 AWS アカウントの RI 共有をオフにします。

回答: D

説明:

オプション A - HealthCheck スケーリング プロセスを一時停止しても、インスタンスの終了を防ぐことはできません。

オプション B - EC2 インスタンスの終了保護を有効にしても、インスタンスが Auto Scaling グループによって終了されるのを防ぐことはできません。

オプション C - Auto Scaling グループの終了ポリシーを OldestInstance に設定しても、異常とマークされたインスタンスの終了を防ぐことはできません。

オプション D - ヘルスチェックを無効にすると、SA はどのインスタンスが異常であるかを知りません。これにより、アーキテクトはセッション マネージャーを使用してインスタンスにログインし、インスタンスへのアクセスを失うことなく問題をトラブルシューティングできます。

回答: A

説明:

オプション A - このソリューションでは、運用オーバーヘッドを最小限に抑えながら、複数のアカウントにわたる AWS WAF ルールを簡単に管理できます。

オプション B - オプション B は、必要に応じてマネージド AWS WAF ルールセットにアカウントまたは OU を追加または削除できるという要件を満たしていません。

オプション C - オプション C は、アカウント間の IAM ロールの手動構成と Lambda 関数でのロール引き継ぎ呼び出しが必要であり、運用オーバーヘッドが増加するため、最適なアプローチではありません。

オプション D - オプション D は、複数のアカウントにわたる WAF ルールを管理するための集中管理コンソールを提供するという要件を満たしていません。

回答: A

説明:

オプション A - 他のメンバー D が述べたように、「データはインターネット経由で移動してはならない」という質問には対応していません

オプション B -  VPC エンドポイントが必要です。

オプション C -  パラメータ ストアでローテーションを有効にできません

オプション D -  VPC エンドポイントが必要です。

回答: C

説明:

オプション A - AWS Config で目的のインスタンスタイプのマネージドルールを作成することは、インスタンスが未承認のタイプで起動されたことを識別するだけで、それを防ぐことはできないため、十分な解決策ではありません。

オプション B - 許可されるインスタンスタイプを指定する起動テンプレートを作成することは、EC2 コンソールで起動できるインスタンスタイプを制限するため、十分な解決策ではありません。ただし、AWS SDK、AWS CLI、またはその他の AWS サービスを通じてインスタンスを起動することは防げません。

オプション C - このソリューションでは、許可されるインスタンス タイプを指定する新しい IAM ポリシーが作成されます。次に、このポリシーは、開発者の IAM アカウントを含む IAM グループにアタッチされます。これにより、開発者は指定されたタイプのインスタンスのみを起動できるようになり、大規模なインスタンスの作成と終了に関連するコストが制限されます。

オプション D - EC2 Image Builder を使用して開発者用のイメージ パイプラインを作成し、ゴールデン イメージの作成を支援することは、開発者のみが起動できるインスタンス タイプを制限するという問題を直接解決するものではありません。開発者向けの標準化されたイメージを作成するのには役立ちますが、インスタンス タイプを制限するために必要な制御メカニズムは提供されません。

回答: A、B、E

説明:
構成ルールが追加された場合 (A)、AWS Config アグリゲータで確認できます (E) 質問では、AWS 組織で SCP が使用されているため、ここで確認できます。

オプション A - 各アカウントで AWS Config ルールを作成し、タグが欠落しているリソースを見つけます。各アカウントで AWS Config ルールを作成することで、リソースにタグが欠落していないか、組織の標準に準拠していないタグが付いているかを確認できます。また、AWS Config を使用してタグを適用することで、非準拠のリソースを自動的に修正することもできます。これにより、コスト配分の目的でリソースが適切にタグ付けされていることを確認することができます。

オプション B - プロジェクト タグが欠落している場合、ec2:RunInstances の拒否アクションを使用して組織で SCP を作成します。
組織内にサービス コントロール ポリシー (SCP) を作成することで、必要なプロジェクト タグがない EC2 インスタンスに対して拒否アクションを適用できます。これにより、ユーザーが適切にタグ付けされていないインスタンスを起動するのを防ぎ、コスト配分のために新しいインスタンスが適切にタグ付けされるようにすることができます。

オプション E - 組織がプロジェクト タグがない EC2 インスタンスのリストを収集するための AWS Config アグリゲータを作成します。

AWS Config アグリゲータを作成することで、組織内の複数のアカウントにわたって、必要なプロジェクト タグがない EC2 インスタンスのリストを収集できます。これにより、コスト配分のために適切にタグ付けする必要があるインスタンスを特定できます。

回答: A、D

説明:

オプション A - Amazon Kinesis Data Firehose (A) では、バッファリング サイズまたはバッファリング時間の 2 つの方法でイベントをバッファリングできます。バッファリング サイズでは、バッファの最大サイズ (MB) またはバッファ内のレコードの最大数を設定できます。バッファがいっぱいになると、データは自動的に送信先に配信されます

オプション D - Amazon ES (D) には、さまざまなソースからリアルタイムでイベントを受信する機能があります。 Amazon ES は、Amazon Kinesis Data Firehose、Amazon CloudWatch Logs、Amazon S3 など、さまざまなソースからデータを取り込むことができるため、リアルタイムのストリーミング データを分析して視覚化したい組織にとって強力なツールとなります。(Kibana ダッシュボード)

オプション B には、Amazon Kinesis データ ストリームを使用してイベントをバッファリングすることが含まれます。これは、ストリーミング データのユースケースに有効なソリューションです。ただし、フルマネージド サービスである Amazon Kinesis Data Firehose を使用する場合と比較して、継続的な管理が必要になります。さらに、Amazon Kinesis Data Firehose を使用すると、組み込みのデータ変換および処理機能を活用できるため、ソリューションの実装に必要なコードの量を減らすことができます。そのため、運用の複雑さを最小限に抑えるという要件をより適切に満たすオプション A をオプション B よりも選択しました。

回答: D

説明:
特に大量のデータが通過する Kinesis ユースケースで、NAT ゲートウェイの膨大なデータ転送コストを軽減するための VPC エンドポイント。
VPC エンドポイントポリシーを使用すると、VPC エンドポイントへのアクセスを制御するルールを定義できます。エンドポイントへのアクセスが許可されるソース IP アドレスまたは IP アドレス範囲、および許可されるトラフィックのタイプ (HTTP、HTTPS、カスタム TCP ポートなど) を指定できます。また、Amazon S3 バケットや Amazon DynamoDB テーブルなど、VPC エンドポイントを介してアクセスできるリソースを指定することもできます。

回答: D

説明:

オプション A - A は、質問で言及されている構成ではプライベート VIF が適切ではないため誤りです。パブリック VIF は正しいです (トランジット パブリック VIF)

単一の DX ゲートウェイを使用している場合。

オプション B - B は​​誤りです。2 つの DX ゲートウェイが矛盾していると書かれています。

オプション C - C は誤りです。DXG を構成してトラフィックをルーティングするように書かれています。実際、トランジット ゲートウェイ ピアリングは、各リージョンの 2 つのトランジット ゲートウェイ間で実行する必要があります。

オプション D - トランジット VIF とパブリック VIF の使用について詳しく説明した下の図を参照してください。また、クロスリージョン ルーティングを可能にするためにトランジット ゲートウェイをピアリングする必要があることも示しています。
https://docs.aws.amazon.com/images/whitepapers/latest/hybrid-connectivity/images/dx-dxgw-transit-gateway-multi-region-public-vif.png
クロスリージョン ルーティングを使用しているオプションは A と D のみです。オプション A では、トランジット VIF ではなくプライベート VIF の使用について言及しています。したがって、A は誤りです。

回答: A、D、E

説明:
イベント通知を受信するイベント バス (EventBridge) システム (オプション A)。ステップ関数は、アクセスの削除やメールの送信などの手順を実行するワークフローでトリガーできます。(オプション D、E)

EventBridge を使用すると、AWS サービス、SaaS アプリケーション、カスタム アプリケーション、その他の AWS アカウントなど、さまざまなソースからのイベントに一致するイベント ルールを作成できます。イベント ルールがトリガーされると、EventBridge はイベントを 1 つ以上のターゲット (AWS Lambda 関数、Amazon SNS トピック、Amazon SQS キュー、カスタム HTTP エンドポイントなど) にルーティングできます。

AWS Step Functions は、AWS Lambda、Amazon Simple Notification Service (SNS)、Amazon Simple Queue Service (SQS) などの複数の AWS サービスをサポートしています。これらのサービスを使用してアクションをトリガーし、ステート マシンのステップ間でデータを渡すことができます。

Pinpoint は、質問で尋ねられていないチャット システムです。F は誤りです。 C ではありません。

回答: A、C、D

説明:

オプション A - AWS Control Tower を使用してランディングゾーン環境をデプロイし、AWS Organizations で組織にアカウントを登録すると、すべてのアカウントとアプリケーションへのアクセスを一元管理できます。

オプション B - すべてのアカウントで AWS Security Hub を有効にしてクロスアカウントアクセスを管理し、AWS CloudTrail を通じて検出結果を収集して MFA ログインを強制するだけでは、開発、ステージング、本番、共有ネットワーク用に個別のアカウントを作成するという要件を満たすには不十分です。他の手順に加えて使用できますが、スタンドアロンソリューションとして使用することはできません。

オプション C - 各アカウントでトランジット ゲートウェイとトランジット ゲートウェイ VPC アタッチメントを作成し、適切なルート テーブルを構成すると、プライベート ネットワーク トラフィックが許可され、本番アカウントと共有ネットワーク アカウントがすべてのアカウントに接続できるようになり、開発アカウントとステージング アカウントは相互にのみアクセスできるようになります。

オプション D - AWS IAM Identity Center (AWS Single Sign-On) を設定して有効にし、既存のアカウントに必要な MFA を含む適切な権限セットを作成すると、ログイン時に多要素認証が可能になり、ユーザー グループに特定のロールを割り当てることができます。

オプション E - すべてのアカウントで AWS Control Tower を有効にしてアカウント間のルーティングを管理し、AWS CloudTrail を通じて検出結果を収集して MFA ログインを強制するだけでは、開発、ステージング、本番、共有ネットワーク用に個別のアカウントを作成するという要件を満たすには不十分です。他の手順に加えて使用できますが、スタンドアロン ソリューションとして使用することはできません。

オプション F - IAM ユーザーとグループを作成し、すべてのユーザーに対して MFA を構成し、Amazon Cognito ユーザープールと ID プールを設定してアカウントへのアクセスとアカウント間のアクセスを管理すると、開発、ステージング、本番、共有ネットワーク用に個別のアカウントを作成するという要件は満たされません。また、トラフィックをプライベートネットワーク上に維持するという要件も満たされません。

回答: B

説明:

オプション A - オプション A では、インスタンスを 1 日に 1 回停止および起動する必要があり、その結果、インスタンスが使用中に停止されたり、使用されていないときに停止されなかったりする可能性があります。

オプション B - このアプローチでは、使用されていない営業時間外にインスタンスを停止できるため、インスタンスの実行に関連するコストを削減できます。また、開発チームとテストチームがインスタンスを使用する必要がある朝にインスタンスを再度起動することもできます。

オプション C - オプション C では、営業時間外にインスタンスを終了し、朝に再度復元するため、データが失われたり、起動時間が長くなったりする可能性があります。

オプション D - オプション D では、インスタンスが 1 時間ごとに終了または復元されるため、不要なコストが発生したり、データが失われたり、起動時間が長くなったりする可能性があります。

回答: C

説明:

オプション A - エラー メッセージは、Lambda 関数が同時実行の制限に達したこととは関係ありません。

オプション B - エラー メッセージは、Lambda 関数が同時実行のリージョン制限に達したこととは関係ありません。

オプション C - 会社が 1 秒あたりの呼び出し数の API Gateway アカウント制限に達した。これは、Amazon API Gateway のデフォルトのアカウント レベルの制限が 1 秒あたり 10,000 リクエスト (RPS) で、デフォルトのメソッドごとの制限が 5,000 RPS であるためです。同社のプレミアム ティアの顧客がすべての API メソッドとリージョンで合計 1 秒あたり 10,000 を超えるリクエストを行っている場合、429 Too Many Requests というエラー メッセージが表示されます。これは、API Gateway アカウントが容量制限に達しており、Lambda 関数に到達する前に API Gateway がリクエストをブロックしているために Lambda 関数が呼び出されていないことを示しています。

オプション D - エラー メッセージは、同社が 1 秒あたりの呼び出しのデフォルトのメソッドごとの制限に達したこととは関係ありませんが、アカウント レベルの制限に関連しています。

回答: A

説明:

オプション A - IoT Core 通信は、プロトコル MQTT、HTTPS、MQTT over WSS、および LoRaWAN (FTP/SFTP はサポートしていません) をサポートしているため、C は誤りです。
ルール エンジン: AWS IoT Core は、ユーザーが IoT デバイスによって生成されたデータに対してビジネス ロジックを定義および実行できるようにするルール エンジンを提供します。これにより、ユーザーは通知の送信、アラームのトリガー、リアルタイム データに基づくデバイス設定の更新などのアクションを自動化できます。
他の AWS サービスとの統合: AWS IoT Core は、AWS Lambda、AWS Kinesis、AWS S3 などの他の AWS サービスと統合されているため、ユーザーは IoT データを簡単に処理および保存できるほか、さまざまな AWS サービスを使用して複雑な IoT アプリケーションを構築できます。

オプション B と D は、それぞれ AWS Fargate や Snowball Edge などの高価なサービスを使用するため、データ分析のコストを最適化しません。オプション C はリアルタイムのデータ収集を利用しないため、より高速な分析には最適ではない可能性があります。

回答: B、D、F

説明:

オプション A - Direct Connect ゲートウェイとトランジット ゲートウェイの両方を使用するのは冗長です。

オプション B - 中央ネットワーク アカウントに Direct Connect ゲートウェイとトランジット ゲートウェイを作成すると、企業はオンプレミス データセンターを AWS のリソースに接続できます。

オプション C - 企業はトラフィックをオンプレミス データセンター経由でルーティングしたいため、インターネット ゲートウェイをプロビジョニングする必要はありません。

オプション D - トランジット ゲートウェイを他のアカウントと共有すると、企業は複数のアカウントのすべての VPC と通信できます。

オプション E - 会社がトランジット ゲートウェイを使用してすべての VPC を接続している場合、VPC ピアリングは必要ない可能性があります。

オプション F - プライベート サブネットのみをプロビジョニングし、トランジット ゲートウェイとカスタマー ゲートウェイで必要なルートを開くと、会社はオンプレミス データセンターを介してクラウド リソースをインターネットにルーティングできます。

回答: A、D

説明:

オプション A - すべての AWS アカウントが AWS Organizations 内の組織の一部であることを確認することで、アカウントを一元的に管理および制御できます。これにより、専任チームがすべてのアカウントにわたってポリシーを管理および適用できるようになり、新しい購入プロセスを実施しやすくなります。

B と C は正解ではありません。AWS Config と IAM ポリシーは、それぞれアカウント内のリソースへのアクセスの監視と管理に使用されるためです。これらは、リザーブドインスタンスを購入するための新しいプロセスを実施しません。
E は正解ではありません。これは、リザーブドインスタンスを購入するための新しいプロセスとは関係ありません。

オプション D - ec2:PurchaseReservedInstancesOffering および ec2:ModifyReservedInstances アクションへのアクセスを拒否する SCP (サービス制御ポリシー) を作成することで、新しい集中購入プロセスを実施します。組織内の各 OU (組織単位) に SCP を添付することで、すべてのビジネス ユニットが新しいプロセスに準拠していることが保証されます。

回答: C、D、E

説明:
RDS フェイルオーバーは通常 60 ～ 120 秒かかりますが、Aurora フェイルオーバーは 30 秒以内に完了します。ElastiCache はレイテンシーの削減を目的としたものであり、フェイルオーバー用ではありません。
RDS Proxy と Aurora は、フェイルオーバー時間を「20 秒」未満に抑えるのに最適な組み合わせです...
この記事によると、RDS Proxy は Aurora のフェイルオーバー時間を 79% 削減できますが、RDS フェイルオーバー時間は 32% しか削減できません。

回答: D

説明:
オプション A と B はどちらも、パートナー企業に認証情報を提供することを伴いますが、これは簡単に侵害され、セキュリティ侵害につながる可能性があります。オプション C でもパートナー企業に IAM ロールが提供されますが、パートナー企業が顧客アカウントのリソースにアクセスできるタイミングと場所に関する制限がないため、セキュリティ リスクとなる可能性があります。
オプション D - 顧客は IAM ロールを作成し、必要な権限を IAM ロールに割り当てる必要があります。次に、パートナー企業は、必要なタスクを実行するためにアクセスを要求するときに、IAM ロールの Amazon リソース名 (ARN) を使用し、IAM ロールの信頼ポリシーに外部 ID を含める必要があります。
これにより、最小限の権限によるセキュリティ アクセスが可能になります。顧客は IAM ロールを作成し、必要な権限を IAM ロールに割り当てる必要があります。次に、パートナー企業は、必要なタスクを実行するためにアクセスを要求するときに、IAM ロールの Amazon リソース名 (ARN) を使用し、IAM ロールの信頼ポリシーに外部 ID を含める必要があります。これにより、パートナー企業は必要なリソースにのみ、特定の顧客アカウントからのみアクセスできるようになります。

回答: D

説明:

オプション B - EKS は複雑にオーケストレーションされたマイクロサービス アプリ向けであるため、B は意味がありません。このようなシナリオでは必要ないと思います。

オプション C - EC2 と Fargate の間で、EC2 を明確に示すものがなければ Fargate を選びます (オーバーヘッドが少なく、コストも抑えられます)

オプション D - API を使用してサービスを作成またはタスクを実行する場合は、run-task と create-service の enableECSManagedTags を true に設定する必要があります。

回答: A、E

説明:

オプション A - A は、2 つの VPC の IPv4 CIDR 範囲が重複しているため正解です。2 つの VPC の IP 範囲は 10.10.0.0/16 と 10.10.10.0/24 で、同じ 10.10.0.0 ネットワークを共有していることを意味します。これによりルーティングが競合し、VPC が相互に通信できなくなります。

オプション E - E は、ピア アクセプタ アカウントの IAM ロールに適切な権限がないため正解です。ピアリングを確立するには、ロールに VPC ピアリング接続を作成、変更、削除する権限が必要です。

B、C、D は正しくありません。VPC は同じリージョンにあり、両方のアカウントがインターネットゲートウェイにアクセスでき、両方の VPC が AWS Resource Access Manager を通じて共有されていません。

回答: B

説明:
Access Analyzer は自動推論を使用してリソース ポリシーを分析し、過度に許可されたアクセスや組織のセキュリティ ポリシー違反などの問題を検出します。S3 バケット、IAM ロール、KMS キーなどの AWS リソースに添付されたポリシーを調べ、潜在的なセキュリティ リスクやポリシー違反を特定します。

回答: C

説明:

AWS Compute Optimize は、EC2 インスタンスや Auto Scaling グループなどの AWS リソースの使用パターンを分析し、機械学習アルゴリズムを使用してパフォーマンスとコストを最適化する方法に関する推奨事項を作成します。次に、インスタンス タイプ、購入オプション、その他のパラメータを調整するために使用できる推奨事項を生成します。2 種類の推奨事項が提供されます:
推奨インスタンス タイプ - よりコスト効率が高く、ワークロード要件に適したインスタンス タイプを推奨します。
推奨される購入オプション - お客様がコンピューティング リソースのコストを節約するのに役立つ、リザーブド インスタンスや Savings Plans などの購入オプションを推奨します。
A は誤りです。
AWS Systems Manager の機能である OpsCenter は、運用エンジニアと IT プロフェッショナルが AWS リソースに関連する運用作業項目 (OpsItems) を管理できる一元的な場所を提供します。OpsItem とは、調査と修復が必要な運用上の問題または中断のことです。OpsCenter を使用すると、関連する OpsItems や関連するリソースなど、各 OpsItem に関するコンテキスト調査データを表示できます。Systems Manager Automation ランブックを実行して OpsItems を解決することもできます。

回答: B

説明:

オプション A - シークレットは RAM 共有可能なリソースではありません。しかし、この完全なリストを思い出せる人はいますか? したがって、AWS Org 共有の有効化、権限の割り当て (共有リソースで許可されるアクション)、外部プリンシパルの選択など、RAM 経由の共有に関する詳細を期待します。

オプション B - 正解です。https://aws.amazon.com/blogs/database/design-patterns-to-access-cross-account-secrets-stored-in-aws-secrets-manager/ を参照してください。

オプション C - キーポリシーを制御できないため、AWS 管理の KMS キーにアカウント間でアクセスできません。

オプション D - SCP は権限を削除することしかできません。SCP によってシークレットへのアクセスが妨げられることはありませんが、実際にアクセスするには IAM ユーザー権限やリソースベースのポリシーが必要です。

回答: C、E

説明:

オプション A - 特定のインスタンスの種類へのアクセスのみを制限しますが、特定のリージョンへのアクセスは制限しません。

オプション B - OU ではなく IAM ユーザーに適用されるため、組織内のすべてのリソースに制限が効果的に適用されるわけではありません。

オプション C - SCP を作成します。aws:RequestedRegion 条件キーを使用して、ap-northeast-1 を除くすべての AWS リージョンへのアクセスを制限します。SCP をルート OU に適用します。これにより、組織にデプロイされているすべてのリソースが ap-northeast-1 リージョンに存在することが保証されます。

オプション D - ec2:Region 条件キーを使用して、ap-northeast-1 を除くすべての AWS リージョンへのアクセスを制限することを提案します。ただし、ec2:Region 条件キーは EC2 アクションの有効な条件キーではありません。代わりに、aws:RequestedRegion 条件キーを使用して、特定の AWS リージョンへのアクセスを制限する必要があります。

オプション E - SCP を作成します。ec2:InstanceType 条件キーを使用して、特定のインスタンス タイプへのアクセスを制限します。SCP を DataOps OU に適用します。これにより、DataOps OU にデプロイされた EC2 インスタンスが、事前定義されたインスタンス タイプのリストのみを使用するようになります。

回答: A、C

説明:
SNS がパブリッシャーで、SQS がサブスクライブします。

オプション A - Lambda 関数を含む SQS キューを他のリージョンにデプロイすると、アプリケーションはそれらのリージョンの URL を処理し、サイトのローカリゼーションの違いを比較できます。

オプション B - 各リージョンの SNS トピックを既存のリージョンの SQS キューにサブスクライブすると、他のリージョンで URL を処理できなくなります。

オプション C - 各リージョンの SQS キューを既存のリージョンの SNS トピックにサブスクライブすると、アプリケーションは既存の SNS トピックに URL を発行し、それらの URL を他のリージョンで処理できるようになります。

オプション D - 各リージョンの SNS トピックに URL を発行するように SQS キューを設定しても、それらのリージョンで URL が処理されることは保証されません。

オプション E - SQS キューのない他のリージョンに SNS トピックと Lambda 関数をデプロイすると、アプリケーションはそれらのリージョンの URL を処理できなくなります。

回答: C

説明:

オプション A - CW Log は 4 時間ごとに Lambda を呼び出すことはできません

オプション B - Step Function は 4 時間ごとにバッチ ジョブを呼び出すことはできません (EventBridhe のスケジュールされたイベントを使用しない限り)

オプション C - スケジュールされたタスクを実行できるのは EventBridge のみです。スケジュール要素がない場合は、AWS Batch を選択します。これは、20 分のジョブのようなので、コンテナをロードしてジョブを実行するためです。ただし、Step Functions の部分はスケジュール部分には役立ちません。

オプション D - CodeDeploy は 4 時間ごとにアプリケーションを実行できません

回答: C

説明:

オプション A - 新しいテーブルを DynamoDB グローバルテーブルのレプリカターゲットとして使用しても、信頼性は向上しません。同じことがオプション D にも当てはまります。これは S3 同一リージョンレプリケーションのみを使用するため、他のリージョンのユーザーのレイテンシーは短縮されません。

オプション B - AWS Database Migration Service (AWS DMS) と変更データキャプチャ (CDC) を使用して DynamoDB テーブル間の非同期レプリケーションを構成することは、このユースケースに最適なソリューションではありません。追加の構成と管理作業が必要になります。

オプション C - オプション C は、レイテンシーの削減、信頼性の向上、実装に必要な労力の最小化という要件を満たすため、正解です。
新しいリージョンに別の S3 バケットを作成し、バケット間の S3 クロスリージョンレプリケーションを構成すると、ゲームアセットが新しいリージョンにレプリケートされ、そのリージョンからアセットにアクセスするユーザーのレイテンシーが削減されます。さらに、Amazon CloudFront ディストリビューションを作成し、各リージョンの S3 バケットにアクセスする 2 つのオリジンでオリジンフェイルオーバーを構成すると、リージョンの 1 つが使用できなくなった場合でも、ゲームアセットがユーザーに提供されるようになります。
Amazon DynamoDB ストリームを有効にして DynamoDB グローバル テーブルを構成し、新しいリージョンにレプリカ テーブルを追加すると、プレーヤーのスコアを複数のリージョンで複製および更新できるようになり、リージョン障害が発生した場合でもスコアを利用できるようになります。

オプション D - 別のリージョンに新しいバケットが必要です。

回答: C

説明:

オプション A - Aurora は MySQL と PostgreSQL をサポートしますが、MongoDB はサポートしません。アプリの変更は許可されません。

オプション B - これは機能する可能性がありますが、DocumentDB はマネージド MongoDB インスタンスを提供します。これが望ましいです。

オプション C - DocumentDB にはオンデマンド インスタンスのみがあり、オンデマンド キャパシティー モードはありません。このモードは DynamoDB 用です。

オプション D - オンデマンド容量モードはありません。2022 年に MondoDB Elastic Cluster がリリースされました。これにより、インスタンスの選択、管理、アップグレードが不要になり、インスタンスベースでは最大 128TiB まで拡張できるのに対し、最大 4PiB のストレージまで拡張できます。

回答: A、C、F

説明:

オプション A - ソース バケットは、バケット ポリシーと KMS キー ポリシーを通じてアクセス権を付与する必要があります。

オプション B - 完全な権限? 質問で最小限の権限が求められた場合。

オプション C - 最初に、ソース バケットは、バケット ポリシーと KMS キー ポリシーを通じてアクセス権を付与する必要があります。

オプション D - 匿名ユーザー? 匿名では機能しません。

オプション E - 暗号化権限? Strategy アカウントには復号化権限は必要ありません。

オプション F - Strategy IAM ロールは、S3 バケットと KMS キーからの読み取りアクセス権を付与する必要があります。

回答: C

説明:

オプション A - 200 GB はたまにしか使用しないので、Snowball Edge は必要ありません。

オプション B - データ パイプラインは ETL であり、ハイブリッド シナリオには適していません。

オプション C - S3 イベントは Lambda、SNS、または SQS のみになります。Lambda 関数は S3 イベントと AWS Batch の間のブリッジとして機能し、S3 イベントに応答して AWS Batch ジョブをトリガーできます。

オプション D - S3 イベントは Batch ジョブを直接トリガーできないため、正しくありません。Lambda 関数が必要です。

回答: C

説明:

オプション A - EFS は Linux/Mac ベースです。

オプション B - Lustre は Linux クラスターの略です。FSx for Lustre は Linux POSIX 準拠ではありません。

オプション C - FSx for Lustre は Linux ベースのインスタンスでのみ使用できます。

オプション D - EFS は Linux/Mac ベースです。

回答: D

説明:
SendTemplatedEmail、
SendEmail、
SendRawEmail は、SES で使用される電子メール API メソッドです。
オプション A - EC2 インスタンスに SMTP サーバーをセットアップする必要がありますが、これは不要であり、運用上のオーバーヘッドが増加します。

オプション B - EC2 インスタンスに SMTP サーバーをセットアップする必要がありますが、これは不要であり、運用上のオーバーヘッドが増加します。

オプション C - 顧客データのパラメータとともにメール テンプレートを Amazon SES に保存しますが、これは不可能です。

オプション D - 会社は Amazon SES を使用してメール メッセージを送信できます。SES はメール メッセージの送受信を処理するフルマネージド サービスであるため、運用上のオーバーヘッドが最小限に抑えられます。会社は顧客データのパラメータとともにメール テンプレートを Amazon SES に保存し、AWS Lambda 関数を使用して SendTemplatedEmail API 操作を呼び出し、顧客データを渡してパラメータとメールの送信先を置き換えることができます。このソリューションにより、コストと時間がかかる可能性がある EC2 インスタンスに SMTP サーバーをセットアップして管理する必要がなくなります。

回答: C

説明:

オプション A - EC2 インスタンスの終了保護をオンにしても、キュー内のビデオの数に基づいてインスタンスをスケールインおよびスケールアウトする Auto Scaling グループの能力に影響するため、問題は解決しません。

オプション B - 会社が可視性タイムアウトを 1 時間に設定しているため、インスタンスがビデオを処理するのに十分な時間であり、タイムアウトを 3 時間に更新する必要はありません。

オプション C - 会社は、処理中のインスタンスのスケールイン保護を構成することで問題を解決できます。これにより、インスタンスがビデオの処理中に終了されなくなります。これにより、メッセージがデッドレター キューに移動することがなくなり、ビデオが適切に処理されます。

オプション D - 会社は maxReceiveCount を 1 に設定しており、これを 0 に変更しても問題は解決しません。maxReceiveCount の許容範囲は 1 ～ 1000 です。

回答: C

説明:
質問の設計が適切ではありません。どの回答も、「すべての API は認証されたユーザーで呼び出す必要がある」という要件を満たす方法について言及していません。
別の要件は、「API セットを VPC からのみアクセス可能にする」です。「セット」はセット全体を意味するものではありません。ここで「セット」はセット全体の一部を意味します。
オプション A - API セットは引き続きパブリックにアクセス可能です。

オプション B - DNS エントリを削除しても、パブリック アクセスは削除されません。

オプション C - これは API セット全体を非公開にするものです。この回答が「セット」API に固有のものである場合、これは良い回答になる可能性があります。
質問に「パブリック IP は不要」と記載されているので、C にする必要があります。==> API ゲートウェイ = VPC エンドポイントでプライベート。

オプション D - EC2 インスタンスの使用は常に悪い回答です。

回答: B、D

説明:

オプション A - Global Accelerator はエンドポイントとして S3 バケットを持つことはできません。

オプション B - us-east-1 リージョンに新しい S3 バケットを作成し、クロスリージョンレプリケーションを設定して、eu-west-1 の既存の S3 バケットから同期します。これにより、us-east-1 のユーザーはより近い場所から天気図にアクセスできるようになり、パフォーマンスが向上します。

オプション C - マップの取得に時間がかかると不満を言う人がいます。Transfert Accelerator は、遠隔地にある S3 バケットへの PUT リクエストを高速化するために使用されます。

オプション D - Lambda@Edge を使用して、北米からのリクエストを us-east-1 の S3 バケットを使用するように変更します。これにより、us-east-1 のユーザーはより近い場所から天気マップにアクセスできるようになり、パフォーマンスが向上します。

オプション E - CloudFront がすでに AWS ネットワークを使用しているため、CloudFront Origin としてアクセラレータを使用することはあまり意味がありません。Global Accelerator は通常、レイヤー 4 ネットワークや静的エニーキャスト IP 用です。

回答: B

説明:

オプション A - 古いユーザープロファイルを削除するだけでは十分なスペースを確保できない可能性があり、問題が再発するのを防ぐことはできません。

オプション B - Amazon CloudWatch の FreeStorageCapacity メトリクスを使用してファイルシステムを監視し、Amazon EventBridge を使用して AWS Lambda 関数を呼び出して必要に応じて容量を増やすことで、問題が再発するのを防ぐことができます。これにより、ファイルシステムにユーザープロファイルを保存するための十分な空き領域が常に確保され、最大容量に達するのを回避できます。

オプション C - AWS Step Functions は容量を増やすために使用できません。これは、複数の AWS サービスをつなぎ合わせるワークフローを作成して実行するためのサービスです。

オプション D - 追加の FSx for Windows File Server ファイル システムを作成し、一部のユーザーのユーザー プロファイル リダイレクトを更新しても、問題の再発を防ぐのに十分ではない可能性があり、現在の容量の問題は解決されません。

回答: C

説明:

オプション A - 問題の原因である EC2 インスタンスを引き続き使用します。オプション D では、ハンドヘルド デバイスに変更を加える必要がありますが、これは不可能です。

オプション B - 問題の原因である EC2 インスタンスを引き続き使用します。オプション D では、ハンドヘルド デバイスに変更を加える必要がありますが、これは不可能です。

オプション C - AWS Transfer Family を使用して、ファイルを Amazon S3 に配置する FTP サーバーを作成し、Amazon Simple Notification Service (Amazon SNS) を介した S3 イベント通知を使用して AWS Lambda 関数を呼び出すと、アーカイブが常にファイルを受信し、中央システムが常に更新されます。このソリューションは、スケーラビリティを最大化し、EC2 インスタンスの再起動などの手動介入の必要性を排除します。

回答: A

説明:

オプション A - 別のリージョンに Aurora レプリカをプロビジョニングすると、アプリケーション障害が発生した場合にアプリケーションを別の AWS リージョンに回復でき、データが失われることがないという要件が満たされ、運用オーバーヘッドが最小限になります。

オプション B - AWS DataSync はデータを複製できますが、完全に管理されたサービスではないため、より多くの構成と管理が必要です。

オプション C - AWS DMS は、データベース間でデータを移行するための完全に管理されたサービスですが、リアルタイムで継続的にデータを複製するには追加の構成と管理が必要になる場合があります。

オプション D - Amazon DLM はスナップショットのスケジュールに使用できますが、リアルタイムのレプリケーションは提供されず、障害が発生した場合にデータが失われないという要件を満たさない可能性があります。

回答: C

説明:
オプション A - 複数の Lambda 関数、SQS キュー、S3 の一時ロケーションを使用するため、運用オーバーヘッドが増加します。

オプション B - Fargate の使用は、最も費用対効果の高いソリューションではない可能性があり、大量のデータを処理できない可能性もあります。

オプション C - S3 からデータを抽出 + マスク + 別の S3 に送信 + 変換/処理 + S3 にロード。

これらはすべて、Glue を呼び出す必要がある ETL、ELT タスクです。

EMR は Hadoop や Spark などのビッグ データ処理フレームワークに重点を置いていますが、
Glue は ETL に重点を置いています。15 分ごとに 5000 件を超えるレコードは、それほどビッグ データではありません。
大量のデータを処理でき、定期的に実行するようにスケジュールできる Glue ETL ジョブを使用して、バッチ モードでデータを処理します。このソリューションは、将来のフィード用に簡単に拡張することもできます。

オプション D - Athena と EMR はどちらも強力なツールですが、Glue よりも複雑でコストがかかる場合があります。

回答: B

説明:
難しい問題です。これはオンプレミス移行のユースケースではないため、回答 C を求めます。これは、企業が AWS を DR ソリューションとして使用するという要件で現状を維持したいオンプレミス アプリケーションの現状です。
https://docs.aws.amazon.com/images/drs/latest/userguide/images/drs-failback-arc.png
https://docs.aws.amazon.com/drs/latest/userguide/what-is-drs.html
さらに、B はエージェントを複製して DR ソリューションを開始するだけの運用上のオーバーヘッドが最も少なくなります。C には、DMS、SCT、CDC、移行などの運用上のオーバーヘッドがあります。

オプション A - AWS DRS を使用するには、まず、使用する各 AWS リージョンで設定する必要があります。 AWS レプリケーション エージェントをインストールするだけでは不十分です

オプション B - 「最新の時点からフェイルオーバーとフォールバックを頻繁に実行する」という文は、実際のフェイルオーバー/フェイルバックを指しており、ドリルを指しているわけではないため、あいまいです

オプション C - オプション C は誤りです。これは移行方法についてのみ言及しています。この質問は、オンプレミスと AWS クラウド間の DR アーキテクチャについて尋ねていると思います。
同じエンジンの DB 移行では SCT は必要ありません。また、残りのソフトウェアをインストールするだけでは、アプリの DR には不十分です。

オプション D - ボリューム ゲートウェイは、バック アンド リストア DR シナリオで使用できますが、オプション D は非常に混乱しています。いずれにせよ、DR 用の Storage Gateway は、AWS DRS よりもオーバーヘッドが多くなります。

回答: B

説明:

オプション A - 会社の AWS アカウント内のすべてのリソースへのアクセスを許可しますが、外部監査人が持つ権限を制限する方法は提供しません。

オプション B - このソリューションでは、監査人の AWS アカウントを信頼する IAM ロールを作成し、必要な IAM ポリシーをロールにアタッチします。これにより、監査人が会社の AWS アカウントへの読み取り専用アクセス権を持つと同時に、会社の AWS アカウントが安全であり、AWS セキュリティのベストプラクティスに準拠していることが保証されます。さらに、ロールの信頼ポリシーに割り当てられた一意の外部 ID により、セキュリティがさらに強化されます。

オプション C - 会社のアカウントに IAM ユーザーを作成し、API アクセスキーを外部監査人と共有しますが、これは安全ではなく、AWS セキュリティのベストプラクティスに準拠していません。

オプション D - 監査人ごとに会社のアカウントに IAM ユーザーを作成しますが、これは会社にとって面倒で管理が困難です。監査人ごとに個別のユーザーを作成するのではなく、監査人の AWS アカウントを信頼する IAM ロールを使用する方が安全で効率的です。

回答: B

説明:
DAX クラスターをフォールトトレラントにするには、3 つのノードが必要です。
https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAX.concepts.cluster.html
アプリケーションの高可用性を実現するには、DAX クラスターを少なくとも 3 つのノードでプロビジョニングすることをお勧めします。

オプション A - 2 ノードの DAX はフォールトトレラントではありません。

オプション B - ライトアラウンド戦略により、レイテンシーを低く抑えます。

オプション C - ライトスルー戦略では、レイテンシが高くなる可能性があります。

オプション D - 1 ノード DAX はフォールト トレラントではありません。

回答: B、E

説明:
バースト可能なインスタンスを使用するとコストを節約できます。ベースライン (たとえば 40%) に対して支払い、インスタンスの使用率が低い場合はクレジットが蓄積されます。そのため、CPU 負荷が変化するワークロードに適しています。
オプション A - コンピューティング最適化インスタンスに変更するか Elastic Beanstalk を使用するとコストが削減されず、インスタンス タイプが変更されるだけで、コストの最適化には役立ちません。

オプション B - オプション B ではフロントエンドのサーバーレスの変更について言及されているため、バックエンドの Python API Gateway と Lambda の変更について言及している別のオプションを希望します。この質問は、サーバーレス アーキテクチャの典型的な使用例だと思います。

オプション C - コンピューティング最適化インスタンスに変更したり、Elastic Beanstalk を使用したりしても、コストの削減には役立ちません。インスタンスの種類が変更されるだけで、コストの最適化には役立ちません。

オプション D - オプション D は誤りです。スポットインスタンスは、本番サーバーには適していません。

オプション E - バックエンド Python アプリケーションを汎用バースト可能な EC2 インスタンスにデプロイしても、オンデマンドインスタンスを使用しているため、コストの削減には役立ちません。

回答: B

説明:
オプション A、C、および D は誤りです。いずれも、EC2 ベースのスポットインスタンスと EKS の使用について言及しています。スポットインスタンスは本番サーバーには適しておらず、会社は AWS Fargate 用に設計された新しいアプリケーションを開発しているため、AWS Fargate を含む将来のコスト改善を計画する必要があります。
https://aws.amazon.com/savingsplans/compute-pricing/
A 誤り: ピークに対応するためにスポットインスタンスを使用します。
C および D 誤り: ピーク時には DB インスタンスを手動で一時的にスケールアップします。

回答: A、C、D

説明:
A. 静的な情報コンテンツを S3 バケットにアップロードします。
C. 元の CloudFront ディストリビューションで S3 バケットを 2 番目のオリジンとして設定します。ディストリビューションと S3 バケットがオリジン アクセス ID (OAI) を使用するように構成します。
D. 週次メンテナンス中に、デフォルトのキャッシュ動作を編集して S3 オリジンを使用します。メンテナンスが完了したら、変更を元に戻します。

ステップ 1: ソリューション アーキテクトは、静的な情報コンテンツを S3 バケットにアップロードする必要があります。このコンテンツは、アプリケーションがメンテナンスのために停止しているときにユーザーに表示されます。

ステップ 2: ソリューション アーキテクトは、元の CloudFront ディストリビューションで S3 バケットを 2 番目のオリジンとして設定する必要があります。S3 バケットを安全に保つために、ソリューション アーキテクトはディストリビューションと S3 バケットがオリジン アクセス ID (OAI) を使用するように設定する必要があります。これにより、CloudFront のみが S3 バケットにアクセスできるようになります。

ステップ 3: 週次メンテナンス中に、ソリューション アーキテクトは CloudFront ディストリビューションのデフォルトのキャッシュ動作を編集して、S3 オリジンを使用するようにする必要があります。これにより、すべての着信トラフィックが S3 バケットにリダイレクトされ、静的な情報コンテンツがユーザーに表示されます。メンテナンスが完了したら、ソリューション アーキテクトは変更を元の Elastic Beanstalk オリジンに戻す必要があります。

オプション B: 新しい CloudFront ディストリビューションを作成し、S3 バケットをオリジンとして設定することは不要であり、ユーザーに混乱を引き起こす可能性があります。

オプション E: 週次メンテナンス中に、新しいディストリビューションで S3 オリジンのキャッシュ動作を作成する必要はありません。これはより複雑で、人為的エラーが発生しやすくなります。
オプション F: CloudFront はすでに Web リクエスト サーバーとして使用されているため、S3 バケットからのトラフィックを処理するように Elastic Beanstalk を構成する必要はありません。

回答: D

説明:

オプション A - 公開された Lambda 関数バージョンの環境変数を直接変更すると、すべてのクライアントが更新された環境変数をすぐに使用するようになり、テストできなくなります。

オプション B - DynamoDB を使用して画像処理パラメータを保存すると、複雑さと運用オーバーヘッドが増加し、カスタム アプリケーションを更新する必要がなくなるわけではありません。

オプション C - Lambda 関数内で画像処理パラメータを直接コーディングし、新しいバージョンを公開しても、カスタム アプリケーションを更新する必要がなくなるわけではありません。

オプション D - 関数エイリアスを使用すると、カスタム アプリケーションは、会社が画像処理パラメータを更新するたびにアプリケーション コードを変更する必要なく、最新バージョンの Lambda 関数を呼び出します。これにより、ユーザーの作業が中断されるリスクが軽減されます。
Lambda 関数エイリアスを作成すると、ソリューション アーキテクトは、クライアント アプリケーションを変更することなく、エイリアスが指す Lambda 関数のバージョンを変更できます。これにより、カスタム アプリケーションを頻繁に更新する必要がなくなり、ユーザーの作業中断が最小限に抑えられます。ソリューション アーキテクトは、関数の異なるバージョンを使用してさまざまなパラメータをテストし、結果を検証した後、エイリアスを再構成して新しいバージョンを指すようにすることができます。これにより、会社はユーザーに影響を与えることなく、画像処理パラメータを更新できます。

回答: C

説明:
apex ドメインは AWS で CNAME レコードを使用できません。これは、DNS 解決の仕組みによるものです。CNAME レコードはドメイン名のエイリアスを指定し、別のドメインの正規名を指します。ただし、DNS 標準では、apex ドメインの CNAME レコードは A または AAAA レコードのみを持つ必要があるため、apex ドメインには許可されていません。
AWS Route 53 で Apex ドメインの CNAME レコードを作成しようとすると、レコードセットタイプが Apex ドメインに対して有効ではないことを示すエラーメッセージが表示されます。この制限を回避するには、代わりにエイリアスレコードを使用できます。
A、B、D にはすべて、Apex ドメインでは許可されていない CNAME レコードがあります。

回答: D

説明:
コンテナ イメージは Lambda レイヤーでは使用できません。つまり、A、B、C はすぐに使用できなくなります。これは文字通り、Lamba レイヤーについて最初に言及されることの 1 つです。答えは D で、A、B、C は単純に構成不可能です。
https://docs.aws.amazon.com/lambda/latest/dg/configuration-layers.html
ECR イメージから Lambda 関数を作成できますが、ECR イメージから Lambda 関数レイヤーを作成することはできません。

回答: B

説明:
オフライン操作: AWS IoT Greengrass は、デバイスがインターネットから切断されている場合でもデータの処理を継続できるようにすることで、オフライン操作をサポートします。

オプション D - Amazon Monitron にはインターネット接続が必要です。Q: Amazon Monitron は AWS リージョンに接続されていないときや切断された環境でも使用できますか?
A: Amazon Monitron センサーとゲートウェイ、および Amazon Monitron サービスでのそれらの使用は、インターネット経由での AWS リージョンへの接続に依存します。
https://aws.amazon.com/monitron/faqs/
Amazon Monitron センサーとゲートウェイは、切断された操作や接続のない環境向けには設計されていません。お客様には、高可用性のインターネット接続を用意することをお勧めします。

回答: B

説明:
https://aws.amazon.com/blogs/architecture/accelerating-your-migration-to-aws/
AWS Migration Evaluator を使用してビジネスケースを作成する
移行を成功させるための基礎は、定義されたビジネス目標 (成長や新しいサービスなど) から始まります。ビジネスドライバーを有効にするには、確立されたビジネスケースを技術的な機能 (セキュリティと弾力性の向上) に合わせる必要があります。AWS Migration Evaluator (旧称 TSO Logic) は、これらの目標を達成するのに役立ちます。
開始するには、Configuration Management Database (CMDB) などのサードパーティツールからエクスポートをアップロードするか、監視するコレクターエージェントをインストールするかを選択できます。データ収集後に評価を受け取ります。これには、AWS クラウドでオンプレミスのワークロードを実行する場合の予測コストの見積もりと節約額が含まれます。この見積もりでは、使用パターンに基づいて AWS で再ホストする場合の予測コストの概要が提供されます。インフラストラクチャとソフトウェア ライセンス別のコストの内訳が表示されます。この情報を使用して、ビジネス ケースを作成し、次のステップを計画できます。
A - AWS アーキテクチャを評価するために使用されるアンケート ツールです
C - SDK を使用して複雑なアプリケーションを作成する必要があります
D - アプリケーション検出は無料で、CMDB インポートをサポートしていますが、計画のみが提供され、ビジネス ユースケースは提供されません
B - 正解 - 無料で、ビジネス ユースケースの作成に役立ちます。

回答: B

説明:
AWS Shield Advanced は DDoS 攻撃からの保護に重点を置いていますが、AWS WAF は Web エクスプロイトからの保護に重点を置いています。ただし、両方のサービスを併用して、アプリケーションを包括的に保護することができます。

オプション B - オプション B は有料サービスで、DDoS 用です。ここでの攻撃は DDoS ではなく、特定の IP によってアプリケーション レイヤーで生成される過剰なトラフィックです。分散攻撃パターンではありません。Advanced Shield は DDoS+WAF を提供します。ただし、すでに WAF があり、それを使用して、設定されたしきい値を超える IP をブロックできます。したがって、オプション A の方が適しています。オプション B は追加コストがかかります。

オプション C - オプション C は、ルート テーブルに拒否ルールを追加できないため、誤りです。ルート テーブルにはルートしかありません。

オプション D - オプション D は運用上のオーバーヘッドであり、国全体をブロックすると、本物のトラフィックもブロックされるため、好ましくありません。

回答: A、D

説明:

オプション A - Aurora MySQL DB クラスターに別のリージョンを追加する。

オプション D - 既存の DynamoDB テーブルを、その構成に別のリージョンを追加してグローバル テーブルに変換する。

回答: B

説明:
背景は次のとおりです。
- 会社は ALB 機能を使用しており、それを維持する必要があります。
- 新しいオンプレミス ファイアウォールには、ネクストホップとして ALB の静的 IP アドレスが必要です。
- ただし、ALB は静的 IP アドレスを持つことはできません。
したがって、ALB が静的 IP アドレス エンドポイントを持つことができる方法がポイントです。

ソリューション
https://aws.amazon.com/premiumsupport/knowledge-center/alb-static-ip/

オプション A - ALB に静的 IP を割り当てることはできません。

オプション B - これは正解です。NLB を使用すると、静的 IP を割り当てることができ、ALB をターゲットとして NLB に接続することもできます。

オプション C - NLB ではパスベースの転送が不可能なため、ターゲット グループを直接接続することはできません。

オプション D - ゲートウェイ ロード バランサーは、インスタンスと IP のみをターゲットとしてサポートします。

回答: C

説明:
https://docs.amazonaws.cn/en_us/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html
オリジンが Amazon でホストされ、Amazon VPC セキュリティ グループによって保護されている場合は、CloudFront マネージド プレフィックス リストを使用して、CloudFront のオリジン向けサーバーからのみオリジンへのインバウンド トラフィックを許可し、CloudFront 以外のトラフィックがオリジンに到達しないようにすることができます。
オリジンがヨーロッパ (ロンドン) リージョン (eu-west-2) の Amazon EC2 インスタンスであるとします。インスタンスが VPC 内にある場合は、CloudFront マネージド プレフィックス リストからのインバウンド HTTPS アクセスを許可するセキュリティ グループ ルールを作成できます。これにより、CloudFront のグローバル オリジン向けサーバーすべてがインスタンスに到達できるようになります。セキュリティ グループから他のすべてのインバウンド ルールを削除すると、CloudFront 以外のトラフィックがインスタンスに到達しないようにすることができます。
https://docs.amazonaws.cn/en_us/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html
AWS 管理プレフィックスリストの方が推奨されます。

回答: B

説明:
認証トークンは確かに必要です。SSM パラメータ ストアまたは Secrets Manager のどちらを使用しても機能します。新しいクラスターを作成するか、現在のクラスターを更新するかのどちらでも機能します。私は B を選択します。このアプローチでは、新しいクラスターをセットアップする必要がなくなり、リソースの移行や重複に関連する労力とコストを削減できる可能性があるからです。
AUTH トークンを作成すると、ElastiCache クラスターにアクセスするための認証形式が提供されます。
AUTH トークンを AWS Secrets Manager に保存すると、トークンの安全で集中的な管理が保証されます。
AUTH トークンを使用するように既存の ElastiCache クラスターを構成すると、キャッシュにアクセスするための認証が有効になります。
転送中の暗号化を有効にすると、クライアントと ElastiCache クラスター間で転送されるデータが暗号化されます。
Secrets Manager から AUTH トークンを取得して認証に使用するようにアプリケーションを更新すると、承認されたユーザーだけがキャッシュにアクセスできるようになります。

回答: B

説明:
起動構成は起動テンプレートに置き換えられているため、推奨されません。オプション A は除外されます。 C は起動テンプレートを更新できないため誤りです。D も同じ理由で誤りです。
インスタンスタイプを手動で指定する代わりに、インスタンスに必要な属性を指定すると、Amazon EC2 はそれらの属性を持つすべてのインスタンスタイプを識別します。
これは、属性ベースのインスタンスタイプ選択と呼ばれます。
たとえば、インスタンスに必要な vCPU の最小数と最大数を指定すると、EC2 フリートはそれらの vCPU 要件を満たす利用可能なインスタンスタイプを使用してインスタンスを起動します。

回答: B

説明:

オプション A - Lambda への移行には多くの作業が必要であり、ファイルへの高速アクセスの必要性は解決されません

オプション C - FSx for Luster は NFS プロトコルをサポートしていません。

実際には POSIX プロトコルのみをサポートしています:

パフォーマンスのために最適化されたカスタム (POSIX 準拠) プロトコル。

オプション C は、EC2 Linux システムから Lustre をマウントする方法の例です。NFS は使用しません。

sudo mount -t lustre <fsx-dns-name>@tcp:/<mount-point>
Amazon FSx for Lustre は、Linux インスタンスにファイルシステムをマウントするための独自の Lustre 固有のマウントコマンドとプロトコルを提供します。

マウントコマンドの lustre ファイルシステムタイプは、Amazon FSx for Lustre などの Lustre ベースのファイルシステムをマウントするためのものであることを示しています。

D = DataSynch は転送を時間単位、日単位、週単位でスケジュールできますが、30 分要件を満たすことはできません。

回答: C

説明:

オプション A - ファンアウト状況では SQS は使用されません。

オプション B - 「DynamoDB イベント通知」というものはありません。

オプション C - SQS は 1 つのキューから 1 つのマイクロサービスであり、dynamodb イベント通知では何も見つかりませんでした。

オプション D - これも、SQS がファンアウトに使用されていないことが原因です。

回答: C

説明:

オプション A - AWS WAF は NLB との関連付けをサポートしていません。
https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html

オプション B - ALB は Elastic IP アドレスをサポートしていません。
https://aws.amazon.com/elasticloadbalancing/features/

オプション C - 静的 IP は以下の方法で作成できます。
・NLB (ALB から NLB を置き換える)
・NLB + ALB
・グローバル アクセラレータ + ALB
・オリジナルのロード バランサー (例: EC2 + nginx で作成)

オプション D - CloudFront ディストリビューションは多数の IP から応答し、AWS はこれに対するプレフィックス リストを管理します。顧客側での構成は簡単ではありません。

回答: C、D、F

説明:
AWS Control Tower に登録されている組織単位 (OU) でコントロールを有効にすると、登録済みと未登録を問わず、OU 内のすべてのメンバー アカウントに予防コントロールが適用されます。検出コントロールは登録済みアカウントにのみ適用されます。
https://docs.aws.amazon.com/controltower/latest/userguide/controls.html
https://docs.aws.amazon.com/controltower/latest/userguide/controls.html
https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#ebs-enable-encryption
AWS は現在、以前の用語「ガードレール」を新しい用語「コントロール」に移行しています。

オプション D - 既存のアカウントを AWS Organizations の組織に参加するよう招待します。コンプライアンスを確保するために SCP を作成します。