VPC

ソリューションアーキテクトがVPCを作成し、サブネットの設計を策定している最中です。
VPCは、インターネットに面したウェブサーバーと内部専用のDBサーバーを含む2層アプリケーションをホストするために使用されます。AZでの冗長性が必要です。

この要件をサポートするには、いくつのサブネットが必要ですか？

Amazon VPCがプライベートおよびパブリックサブネットで作成されています。
Amazon EC2インスタンス上で動作するMySQLデータベースサーバを配置する予定です。

AWSのベストプラクティスによると、データベースサーバーはどのサブネットに起動されるべきですか？

ソリューションアーキテクトは、AWS Lambda関数を使用する複数のコードを書いており、同じAWSアカウント内のAmazon VPC内のAmazon ElastiCacheクラスタに接続するため、Lambda関数を使用したいと考えています。

この構成を可能にするために、どのようなVPC固有の情報がLabmda関数に含まれなければなりませんか？(2つ選択)

ソリューションアーキテクトは、プライベートサブネット内のEC2インスタンスのインターネットアクセスを有効にするための最良のアプローチを検討しています。

NATゲートウェイはNATインスタンスと比較してどのような利点がありますか？(2つ選択)

ソリューションアーキテクトは、アプリケーションがインターネットからソフトウェアの更新ファイルをダウンロードできるようにする必要があります。
アプリケーションは、プライベートサブネットで実行されているAuto Scalingグループの複数のEC2インスタンスで実行されます。
このソリューションでは、継続的なシステム管理の労力を最小限に抑える必要があります。

ソリューションアーキテクトはどのように進めるべきでしょうか？

レガシーで密結合のハイパフォーマンスコンピューティング（HPC）アプリケーションをAWSに移行する予定です。どのネットワークアダプタのタイプを使用する必要がありますか？

Amazon EC2インスタンスをモニタリングしたところ、1秒当たりのパケット生成数が非常に高く、アプリケーションスタックのパフォーマンスに影響を及ぼしています。
ソリューションアーキテクトは、パフォーマンスを向上させる問題への解決策を決定する必要があります。

アーキテクトはどのアクションを取るべきですか？

Virtual Private Cloud (VPC) は、AWS アカウント専用の仮想ネットワークです。VPC は、AWS クラウドの他の仮想ネットワークから論理的に切り離されており、VPC 内には、Amazon EC2 リソースなどの AWS リソースを起動できます。
また、VPC を作成したら、アベイラビリティーゾーンごとに 1 つ以上のサブネットを追加します。

さて、サブネットには大きくプライベートサブネットとパブリックサブネットの二種類存在するのですが、二種類のサブネットの違いの説明として正しいのは次のうちどれですか？

あるソリューションアーキテクトがAWSアカウントを作成し、東京リージョンを選択しました。
デフォルトのVPC内にはデフォルトのセキュリティグループがあります。

このセキュリティグループ内には、デフォルトでどのような設定がされていますか？(2つ選択)

セキュリティを守る為のサービスとして、セキュリティグループの他にネットワークACLというサービスが存在します。
両サービスとも、大きなくくりでみると外部からの攻撃を防ぐファイアウォールとなります。

セキュリティグループとネットワークACLの違いを説明した文章として、正しいのは次のうちどちらですか？

ある利用者から、Amazon VPCのセキュリティ対策についてアドバイスを求められました。
クライアントのシステムは最近、外部からのハッキングが試みられているようです。

クライアントは、サイバー攻撃を防止するための対策を実施したいと考えています。
攻撃のIPアドレスは常に同じIPアドレス範囲からの接続であることを説明しています。

さらなる攻撃を防ぐために、手軽で簡単な対策は何でしょうか？

あるソリューションアーキテクトが、パブリックサブネットとVPN専用サブネットを持つVPCを設定しました。
パブリックサブネットは、インターネットゲートウェイへのルートを持っているカスタムルートテーブルに関連付けられています。
VPN専用サブネットは、メインルートテーブルに関連付けられ、仮想プライベートゲートウェイへのルートを持っています。

VPCに新しいサブネットを作成し、その中にEC2インスタンスを起動しました。
しかし、インスタンスはインターネットに接続することができません。最も可能性の高い理由は何ですか？

AWS 上へのシステム構築を、AWS CloudFormation を用いて簡略化させたいと考えています。まずは、ネットワークACLについてのコード化を考えております。この場合、NetworkACLEntry の Properties で設定するキーとして間違っているキー名を選択してください。

あるソリューションアーキテクトが、Amazon VPCに新しいサブネットを作成し、そこにAmazon EC2インスタンスを立ち上げました。
ソリューションアーキテクトはインターネットからEC2インスタンスに直接アクセスする必要がありますが、接続することができません。

トラブルシューティングするためにどの手順を実行する必要がありますか？(2つ選択）

ソリューションアーキテクトは、Amazon VPCに新しいセキュリティグループを作成しました。
ルールは作成されていません。

セキュリティグループのデフォルト状態に関する以下の記述のうち、正しいものはどれですか？

単一のVPCが2つのサブネットで構成されています。Web層のサブネット、アプリケーション層のサブネットを利用しており、既にVPC内にIPアドレスの空きがありませんが、このVPC内に新しいアプリケーション層のサブネットを追加する必要があります。
どのようにVPCに新しいサブネットを作成するか、次の中から選択してください。

あるアプリケーションがAmazon VPCのプライベートサブネットで動作しており、更新パッチをダウンロードするためにインターネットへのアウトバウンド通信が必要です。
アプリケーションがインターネットからのインバウンド通信を受信することはセキュリティ上望ましくありません。

どの方法を取るべきですか？

あなたは新規アプリケーションのデプロイのためにVPCを新規構築しました。
会社からの指示で、冗長性が重要であるため、マルチAZでパブリックサブネットを作成し、それぞれにEC2インスタンスを2台作成しました。
テストチームからの報告で、最初のテストケースを実施したところ、パブリックサブネットに起動したEC2インスタンスがDNS名を受け取っていないと報告されました。
この原因として考えられる内容はどれでしょうか。

WebサーバはEC2を利用し、DBサーバはAmazon RDSを利用してWebサイトを構築しようと考えている。
WebサーバとDBサーバを単一のVPC内に構築する場合に。ベストプラクティスといえるものは次の選択肢のうちどれですか？

インターネット公開される自社WEBサーバの本番環境がAWSで稼働しています。
ウィルス対策ソフトの定義ファイル更新にはカスタムポートを利用していますが、ポートがブロックされてしまい、定義ファイルの更新が失敗します。
定義ファイルを更新するためにセキュリティグループでカスタムポートの追加の許可設定を行う必要があります。
セキュリティグループ更新時の適切な動作を選択してください。

ある会社がテストを行うために2つのアカウントを持っており、それぞれのアカウントに1つのVPC（VPC-TEST1およびVPC-TEST2）があります。
運用チームは、これらのVPC内のAmazon EC2インスタンス間で安全にファイルをコピーする方法を必要としています。
接続は、単一障害点または帯域幅の制約があってはなりません。

どのソリューションを使用すべきですか？

ある企業がEC2 WebサーバーとDynamoDBデータベースバックエンドを使用する新しい2層式Webアプリケーションを導入しています。
インターネットに面したELBは、Webサーバーへの接続を分散させます。

ソリューションアーキテクトは、Webサーバーのセキュリティグループを作成し、ELBのセキュリティグループを作成する必要があります。
どのようなルールを追加する必要がありますか？(2つ選択してください)

あるアプリケーションで、Amazon RDSデータベースとAmazon EC2インスタンスをWeb層で使用しています。
Web層のインスタンスはセキュリティを向上させるためにインターネットから直接アクセスできないようにする必要があります。

ソリューションアーキテクトは、どのようにこれらの要件を満たすことができますか？

ある企業で、いくつかの不審なIPアドレスから悪意のあるトラフィックが発生しました。
セキュリティチームは、リクエストが同じCIDR範囲内の異なるIPアドレスからであることを発見しました。

ソリューションアーキテクトはチームに何を推奨すべきでしょうか？

あなたはAWSでインフラ構築を担当しており、機密情報が保管されるデータベース用のサブネットを作成しております。サブネットの設計上、必要なIPアドレスは5つ以下であることが分かっています。このサブネットのCIDRにて最も適切な設定は次のうちどれですか？

Amazon VPC は、Amazon EC2 のネットワークレイヤーです。
Amazon VPCを利用すると、定義した仮想ネットワーク内で AWS リソースを起動できます。

デフォルトで一つのリージョンに作成できるVPCの上限数は次のうちどれですか？

ソリューションアーキテクトは、Amazon EC2インスタンスにハイパフォーマンスコンピューティング（HPC）アプリケーションを導入しています。
アプリケーションは、非常に低いインスタンス間のレイテンシを必要とします。

最高のパフォーマンスを得るためには、インスタンスをどのように配置すべきですか？

伸縮性の高いアプリケーションが3つの層で構成されています。
アプリケーション層はAuto Scalingグループで実行され、データを処理し、Amazon RDS MySQLデータベースに書き込まれます。
ソリューションアーキテクトは、データベース層へのアクセスを制限して、アプリケーション層のインスタンスからのトラフィックのみを受け入れるようにしたいと考えています。
しかし、アプリケーション層のインスタンスは、常に起動と終了を繰り返しています。

ソリューションアーキテクトは、どのようにデータベース層への安全なアクセスを構成することができますか？

Amazon VPCにAmazon EC2インスタンスが起動されました。
ソリューションアーキテクトは、インスタンスがプライベートとパブリックの両方のDNSホスト名を持っていることを確認する必要があります。

VPCの作成中に設定が変更されなかったと仮定すると、DNSホスト名はデフォルトでどのように割り当てられますか？(2つ選択)

ある電子商取引会社が、パブリックとプライベートのサブネットにあるAmazon EC2インスタンスでアプリケーションを実行しています。
Webアプリケーションはパブリックサブネットで実行され、データベースはプライベートサブネットで実行されます。
パブリックサブネットとプライベートサブネットの両方は、単一のアベイラビリティーゾーンにあります。

ソリューションアーキテクトは、このアーキテクチャに高可用性を提供するために、どのステップの組み合わせを取るべきですか？(2つ選択)

ある企業のアプリケーションのアーキテクチャは同じアベイラビリティーゾーン内のプライベートサブネットにWeb層とデータベース層を作成し、Amazon EC2インスタンスで実行されます。

ソリューションアーキテクトは、このアーキテクチャに高可用性を追加するために、どの手順の組み合わせを取るべきですか？(2つ選択)

あるウェブアプリケーションがパブリックサブネットとプライベートサブネットで動作しています。
Amazon EC2インスタンス上で動作するWeb層とデータベース層で構成されています。
両方の層は、単一のアベイラビリティゾーン（AZ）で実行されます。

ソリューションアーキテクトは、このアーキテクチャに高可用性を提供するために、どのステップの組み合わせを取るべきですか？(2つ選択)

AWS内で使える固定IPアドレスサービスとして、Elastic IPが提供されています。
Elastic IP アドレスはユーザーの AWS アカウントに割り当てられ、解放するまでユーザーのアドレスであることが保証されます。

一つのリージョンで利用できるElastic IPの上限は次のうちどれですか？

あるソリューションアーキテクトが、2層のWebアプリケーションを設計しています。
このアプリケーションは、パブリックサブネットのAmazon EC2上でホストされるWeb層で構成されています。
データベース層は、プライベートサブネットのAmazon EC2上で動作するMicrosoft SQL Serverで構成されています。
この会社にとってセキュリティは最優先事項です。

この状況でセキュリティグループはどのように構成されるべきですか？(2つ選択)

AWSでEC2インスタンスを起動すると、動的なIPアドレスが付与されます。
企業で管理する場合の要件として、静的なIPアドレスが必要になる場合があります。
このニーズに答えるサービスがElastic IP アドレスとなります。

Elastic IPアドレスはユーザーのAWS アカウントに割り当てられ、明示的に解放されるまでユーザーが押さえておく事ができます。
次のうち、Elastic IPの利用で料金が発生しないケースはどれですか？

ある会社は、AWS Organizationsに2つのアカウント Prod1 と Prod2 を作成しました。

Amazon RDSデータベースは、Prod1アカウントで実行されます。
Amazon EC2インスタンスはProd2アカウントで実行されます。
Prod2アカウントのEC2インスタンスは、RDSデータベースにアクセスする必要があります。

ソリューションアーキテクトは、どのように最も費用対効果の高いこの要件を満たすことができますか？

Amazon VPC に割り当てるサブネットの特性を2つ選択してください。

あるアプリケーションはパブリックサブネットのアプリケーションロードバランサーの背後にあるプライベートサブネットのEC2インスタンス上で動作しています。
アプリケーションは高可用性で、複数のAZに分散されています。
EC2インスタンスはインターネットのサービスにAPIコールを行う必要があります。

ソリューションアーキテクトは、どのようにして可用性の高いインターネット接続を有効にすることができますか？

あなたは、VPCでWebとMySQLデータベースアプリケーションをホストすることを計画しています。
データベースは、Webサーバーによってのみアクセス可能であるべきです。
この要件を満たすために、次のうちどれを変更しますか？

同一リージョンに、本番、開発、検証の3つのVPCを構成しています。検証VPCは開発VPCと本番VPCの両方にピアリング接続しています。全てのVPCのCIDRブロックは重複していません。プログラムのリリースを開発環境から本番環境に移行するための時間を短縮することを検討しています。
これを達成する最適な方法を選択してください。

あなたはソリューションアーキテクトとして、EC2インスタンスを利用したアプリケーションに特定のIPアドレスからのアクセスのみを許可するようセキュリティグループを設定しています。セキュリティグループの特徴として間違っている内容を選択してください。

あるアプリケーションは、パブリックサブネットのWeb層と、プライベートサブネットのAmazon EC2インスタンスでホストされるMySQLインスタンスで構成されています。
MySQLインスタンスは、インターネットを介してサードパーティプロバイダから製品データを取得する必要があります。
ソリューションアーキテクトは、最大限のセキュリティと最小限の運用コストでこのアクセスを可能にする戦略を決定する必要があります。

これらの要件を満たすために、ソリューションアーキテクトは何をすべきですか？

利用者がSSH接続で EC2 インスタンスに接続できない場合、接続できるようにするためにチェックすべき項目を選択してください。

インターネット公開されるメディア配信アプリケーションがAWS上で稼働しています。
単一のAZにバックエンドサーバ及びNATゲートウェイが構成されており、可用性が低い構成が問題視されています。
高可用性を担保出来るアーキテクチャ構成を次の中から2つ選択してください。

クラウドは非常に安価かつ便利にサーバーを構築できる反面、インターネット上に構築されるためセキュリティはきちんと担保しなければなりません。
セキュリティを守る為の仕組みとして、基本となるのがセキュリティグループとなります。

セキュリティグループとは、EC2インスタンスに適用可能なAWS標準のファイアウォール機能です。
EC2インスタンスへの外部からのアクセスを許可し、トラフィックを制御するファイアウォールとして動作します。

次のうち、セキュリティグループのデフォルトルールの説明として正しいのは次のうちどれですか？

ELBをパブリックサブネットに配置しその後ろにEC2を配置することで、EC2インスタンス上に構成したWebサービスをインターネット上に公開しています。EC2の配置先として適切なサブネットのタイプはどれでしょうか？

フロントエンド及びバックエンドのアプリケーション層で構成されており、各層はELB配下のEC2インスタンスが構成されています。EC2インスタンスは、複数のAZを使用するAutoScalingグループで構成されており、フロントエンドのELBのみインターネットに公開するようにしたいと考えています。
サブネットの設計として最適な設計方法を選択してください。

EC2インスタンス上に2層アーキテクチャのアプリケーションのホスティングを検討しています。パブリックサブネット上の EC2 インスタンスには、Webサーバをデプロイする予定です。同様に EC2 インスタンスにデータベースを構築し、接続させる予定ですが、セキュリティ面を考慮した設計を2つ選択してください。

ある会社は、デフォルトの ネットワークACL 設定で作成されたプライベート VPC サブネットで動作する Amazon RDS MySQL DB インスタンスでWeb アプリケーションをホストしています。
このサブネットにはEC2インスタンスのオートスケーリンググループが起動されるように設定されています。
ITセキュリティ部門は、疑わしいIPからこのサブネット全体へのDoS攻撃を特定しました。
どのようにこの攻撃からサブネットを保護することができますか？

Web 3層のアプリケーションを設計しています。セキュリティを考慮し、データベース層に対してはアプリケーションサーバからのトラフィックのみを許可したいと考えています。アプリケーションサーバはAutoScalingをしており、サーバ台数が変動します。
要件を満たすデータベースサーバのアーキテクチャを選択してください。

ある企業が、Web層とMySQLデータベースで構成されるアプリケーションをAWSクラウドに移行しています。
Web層はEC2インスタンス上で実行され、データベース層はAmazon RDS for MySQL DBインスタンス上で実行されます。
利用者は、動的なIPアドレスを使用してインターネット経由でアプリケーションにアクセスします。

ソリューションアーキテクトは、アプリケーションへの接続を可能にするために、どのようにセキュリティグループを構成する必要がありますか？

AWS上にシステムを構築しています。構築のため、EC2インスタンスに対して、SSH接続を検討しています。なお、接続の経路は社内ネットワークよりインターネットを経由したいと考えており、接続先のEC2インスタンスは、AWS VPC 内のプライベートサブネット上にあります。より安全に接続するために最適な方法を選択してください。

単一のAZに複数のEC2インスタンスを設置し、ELBとAutoScalingを設定したWEBアプリケーションを運用しています。以前、この単一のAZの障害が発生し、サービスが停止するトラブルが発生しました。
本WEBアプリケーションの可用性を確保する方法を次の中から2つ選択してください。

あなたはソリューションアーキテクトとして、複数リージョンにAmazon VPC を作成し、アベイラビリティーゾーンごとにサブネットの追加を検討しています。
デフォルトで一つのリージョンに作成できるサブネットの上限数は次のうちどれですか？

あなたはとある企業の合併プロジェクトに参画する事になりました。

各企業はそれぞれ独立したAWSアカウントを保持しており、合併後もしばらくはそれぞれ独立したAWSアカウント上でサービスを稼働する方向となりました。
しかし、データ分析は出来るだけ早く両サービスを含めた上で行いたいとの要件があったため、新たに共有VPC内に Amazon Redshiftクラスターを構築する提案がされました。

共有VPC内に構築したAmazon Redshiftには、機密データもホストされる予定です。
そのため、アクセス出来るネットワークを絞る必要が出てきました。

共有VPC内に構築したAmazon Redshiftにアクセスできるネットワークを制御するには、どうすればよいですか。

セキュリティグループを使ってルールを変更したい。セキュリティグループのルール内容を変更する場合、EC2インスタンスにその変更内容が反映されるタイミングとして正しいものを選択してください。

あなたはコロナによる売り上げ減を改善する為に、オンラインショッピングアプリ構築プロジェクトに参画しています。

現在は設計段階です。顧客情報の流出は企業価値を損なう事に繋がるため、セキュリティが最重要の要件です。また、急なアクセスに耐えうる設計も考慮する必要があります。
アプリケーション層の設計は完了しており、以下のサービスを作成する事が決定しています。
・ELB Application Load Balancerを利用して負荷分散を行う。
・EC2インスタンスを複数のアベイラビリティーゾーンにまたがる設計にする。
・Auto Scalingを有効にする。

続いてデータのセキュリティを担保する為に、データベースクラスターのネットワーク設計をする事になりました。
要件は以下の通りです。
・アプリケーション層から読み取りと書き込みを行える必要がある。
・インターネットからデータベースにアクセスできないようにする。
・ただし、ソフトウェア更新プログラムに関してはインターネットから取得できる必要がある。

上記の要件を満たすネットワーク設計は、次の内どれですか。

世界中の複数の場所にオフィスを構えている会社があります。各オフィスのリソースは地理的に最も近いAWSリージョンに展開されています。通信を暗号化してかつパブリックなインターネット環境を通過せずに、各リージョンのリソースが相互にアクセスできるようすべてのVPC間の接続を行う必要があります。

AWSサービスを使ってこの接続を正常に実装するにはどうすればよいですか？
正しい組み合わせを選択してください。

AWSのCost Explorerを利用してコスト内容を確認したところ、Elastic IPアドレスに課金されていることが判明しました。
この理由を選択してください。