問題111-問題120 (SAP)

ある会社が、ユーザーがウェブポータルを通じてメディアファイルをアップロードできるサービスを提供しています。
ウェブサーバーはメディアファイルを受け入れ、オンプレミスのネットワーク接続ストレージ（NAS）上に直接アップロードされます。
アップロードされたメディアファイルごとに、対応するメッセージがメッセージキューに送信されます。
処理サーバーは各メッセージを受け取り、各メディアファイルを処理しますが、処理には最大で30分かかることもあります。
同社は、処理キューで待機しているメディアファイルの数が営業時間中に著しく多いことに気づきました。
コスト削減のため、同社はソリューションアーキテクトを雇い、ワークロードをAWSクラウドに移行することでメディア処理を改善しました。

次の選択肢のうち、最も費用対効果の高いものはどれでしょうか？

既存のWebサーバーを再構成して、Amazon MQのキューにメッセージを発行します。キューからリクエストをプルし、メディアファイルを処理するAmazon EC2インスタンスのAuto Scalingグループを作成します。 SQSキューの長さに基づいてスケーリングするようにAuto Scalingグループを構成します。処理されたメディアファイルをAmazon EFSマウントポイントに送信し、処理完了後にEC2インスタンスをシャットダウンします。
既存のWebサーバーを再構成して、Amazon MQのキューにメッセージを発行します。 SQSキューからリクエストをプルし、メディアファイルを処理するAWS Lambda関数を作成します。新しいメッセージがキューに送信されるたびに、Lambda関数を呼び出します。処理されたメディアファイルをAmazon EFSボリュームに送信します。
既存のWebサーバーを再構成して、Amazon SQSの標準キューにメッセージを発行します。キューからリクエストをプルし、メディアファイルを処理するAmazon EC2インスタンスのAuto Scalingグループを作成します。 SQSキューの長さに基づいてスケールするようにAuto Scalingグループを構成します。処理されたメディアファイルをAmazon S3バケットに送信します。
既存のWebサーバーを再構成して、Amazon SQSの標準キューにメッセージを発行します。 SQSキューからリクエストをプルし、メディアファイルを処理するAWS Lambda関数を作成します。新しいメッセージがキューに送信されるたびに、Lambda関数を呼び出します。処理されたメディアファイルをAmazon S3バケットに送信します。

ある大手金融会社は、世界中の顧客にサービスを提供するために、Amazon RDS MariaDBデータベースを使用したMERN（MongoDB、Express、React、Node.js）アプリケーションを立ち上げる予定です。
このアプリケーションは、オンプレミスサーバーとリザーブドのEC2インスタンスの両方で実行される予定です。
同社の厳格なセキュリティポリシーに準拠するため、データベースの認証情報は保管時および転送時の両方で暗号化する必要があります。
これらの認証情報は、アプリケーションサーバーがデータベースに接続するために使用されます。
ソリューションアーキテクトは、アプリケーションのアーキテクチャと本番環境での展開を管理することを任務としています。

アーキテクトは、最も安全な方法でアプリケーションの展開プロセスを自動化するにはどうすればよいでしょうか。

AWS Secrets Managerのキーローテーションでデータベース認証情報をアップロードします。すべてのサーバーにAWS SSMエージェントをインストールします。 SSMパラメータストアからデータベース資格情報へのアクセスと復号化を可能にする新しいIAMロールを設定します。このロールをすべてのオンプレミスサーバーとEC2インスタンスに関連付けます。 Elastic Beanstalkを使用して、オンプレミスサーバーとEC2インスタンスの両方でアプリケーションをホストおよび管理します。 Elastic Beanstalkを使用してAWSとオンプレミスサーバーに後継のアプリケーションリビジョンをデプロイします。
AWS Systems Manager Parameter StoreでSecure Stringデータ型を持つデータベース認証情報をアップロードします。すべてのサーバーにAWS SSMエージェントをインストールします。 SSMパラメータストアからのデータベース資格情報のアクセスと復号化を可能にする新しいIAMロールをセットアップします。このロールをEC2インスタンスに関連付けます。オンプレミスサーバーに関連付けるIAMサービスロールを作成します。 AWS CodeDeployを使用して、EC2インスタンスとオンプレミスサーバーにアプリケーションパッケージをデプロイします。
AWS Systems Manager Parameter StoreでSecure Stringデータ型を持つデータベース認証情報をアップロードします。すべてのサーバーにAWS SSMエージェントをインストールします。 SSM Parameter Storeからのデータベース資格情報のアクセスと復号化を可能にする新しいIAMロールを設定します。このロールをすべてのオンプレミスサーバーとEC2インスタンスに関連付けます。 Elastic Beanstalkを使用して、オンプレミスサーバーとEC2インスタンスの両方でアプリケーションをホストおよび管理します。 Elastic Beanstalkを使用してAWSとオンプレミスサーバに後継のアプリケーションリビジョンをデプロイします。
AWS Systems Manager Parameter StoreでSecure Stringデータ型を持つデータベース認証情報をアップロードします。すべてのサーバーにAWS SSMエージェントをインストールします。 SSM Parameter Store からのデータベース資格情報のアクセスと復号化を可能にする新しい IAM ロールをセットアップします。 CodeDeployが管理するEC2インスタンスのインスタンスプロファイルに、このIAMポリシーを設定します。オンプレミスインスタンスにも同様にポリシーを関連付けます。 AWS CodeDeployを使用して、Amazon EC2インスタンスとオンプレミスサーバーにアプリケーションパッケージを起動します。

ある政府系組織は、パブリックサブネットのWeb層にNATインスタンスを含んだVPCで動作する3層のWebアプリケーションをホストしています。
新年度の給付金支給期間に予想されるワークロードに加え、十分なプロビジョニング容量があります。
給付は2日間順調に進みましたが、CloudWatchやその他の監視ツールを使って調査したところ、突然Web層が応答しなくなりました。
調査の結果、給付金の支給対象外の国からのポート80を介し、15個の特定のIPアドレスから非常に大量の想定外のインバウンドトラフィックが発生していることが判明しました。
Web層のインスタンスは過負荷となり、管理者はそれらインスタンスにSSHでアクセスすることさえできません。
この攻撃を防御するために、どのアクティビティが有用でしょうか？

Web層に関連するカスタムルートテーブルを作成し、IGW（インターネットゲートウェイ）からの攻撃用IPアドレスをブロックします。
Web層サブネットに関連するインバウンドNACL（ネットワークアクセスコントロールリスト）を作成し、攻撃用IPアドレスをブロックするための拒否ルールを設定します。
Web層のサブネットにあるNATインスタンスのEIP（Elastic IP Address）を変更し、新しいEIPでメインルートテーブルを更新します。
80番ポート上の攻撃用IPアドレスをブロックするために、15個のセキュリティグループルールを作成します。

ある企業が、新製品の発売をプロモーションする新サービスを作りたいと考えています。
このサイトは、予測不可能なワークロードを処理するために高可用性とスケーラビリティを備え、さらにステートレスでRESTful APIの設計が求めれれます。
このソリューションにはサービスのオブジェクトのメタデータ用の複数の永続的なストレージレイヤーと、静的コンテンツ用の永続的なストレージが必要です。
サービスに対するすべてのリクエストは認証され、安全に処理される必要があります。
また、コストを最小限に抑えることも求められています。

会社の要求を満たす推奨ソリューションはどれでしょうか？

DockerベースのコンテナでRESTサービスをパッケージ化し、AWS Fargateサービスを使用して実行します。 Fargateサービスの前にアプリケーションロードバランサーを作成します。 APIへのアクセスを制御するCustomAuthorizerを作成します。サービスオブジェクトのメタデータをAuto Scalingを有効にしたAmazon DynamoDBテーブルに格納します。静的コンテンツを格納するためにセキュアなAmazon S3バケットを作成します。 S3バケットに保存されたオブジェクトを参照する際に、署名付きURLを生成します。
DockerベースのコンテナでRESTサービスをパッケージ化し、AWS Fargateサービスを使用して実行します。 Fargateサービスの前にクロスゾーンのアプリケーションロードバランサーを作成します。 Amazon Cognitoのユーザープールを使用して、APIへのユーザーアクセスを制御します。サービスオブジェクトのメタデータをAuto Scalingを有効にしたAmazon DynamoDBテーブルに格納します。静的コンテンツを格納するためにセキュアなAmazon S3バケットを作成します。 S3バケットに保存されたオブジェクトを参照する際に、署名付きURLを生成します。
必要なリソースとメソッドでAmazon API Gatewayを構成します。各リソースを処理するための独自のLambda関数を作成し、プロキシ統合したAPI GatewayのメソッドをそれぞれのLambda関数に設定します。 Amazon Cognitoのユーザープールを使用して、APIへのユーザーアクセスを制御します。サービスオブジェクトのメタデータを、Auto Scalingを有効にしたAmazon DynamoDBテーブルに格納します。静的コンテンツを格納するためにセキュアなAmazon S3バケットを作成します。 S3バケットに保存されたオブジェクトを参照する際に、署名付きURLを生成します。
必要なリソースとメソッドでAmazon API Gatewayを構成します。各リソースを処理するための独自のLambda関数を作成し、プロキシ統合したAPI GatewayのメソッドをそれぞれのLambda関数に設定します。 APIへのアクセスを制御するCustomAuthorizerを作成します。サービスオブジェクトのメタデータをAmazon ElastiCache Multi-AZ clusterに格納します。静的コンテンツを格納するためにセキュアなAmazon S3バケットを作成します。 S3バケットに保存されたオブジェクトを参照する際に、署名付きURLを生成します。

ある企業は、Amazon EC2インスタンスのAuto Scalingグループ上で重要なアプリケーションを実行しています。
アプリケーションのCI/CDパイプラインはAWS CodePipelineで作成され、関連するすべてのAWSリソースはAWS CloudFormationテンプレートで定義されています。
デプロイ時には、Auto Scalingグループが新しいインスタンスを生成し、ユーザーデータスクリプトがAmazon S3バケットから新しいアーティファクトをダウンロードします。
開発サイクルの途中に数回のコードの更新があり、CloudFormationテンプレートに関する直近の更新が大規模なアプリケーションのダウンタイムを引き起こしました。

ソリューションアーキテクトは、デプロイ時にダウンタイムとなる可能性を減らすために、次のどのソリューションを導入すべきでしょうか？

デプロイメントパイプラインにAWS CodeBuildステージを追加し、非本番環境で自動的にテストします。 AWS CloudFormationの変更セットを活用し、本番環境に適用する前に変更をプレビューします。 AWS CodeDeployでBlue/Greenデプロイメントパターンを設定し、変更を別の環境にデプロイし、必要に応じて素早くロールバックできるようにします。
統合開発環境（IDE）上のプラグインを使用して、CloudFormationのテンプレートにエラーがないか確認します。 AWS CLIを使用してテンプレートが有効であることを確認します。デプロイメントコードにcfnヘルパースクリプトを含め、エラーを検出して報告します。非本番環境にデプロイし、本番環境に変更を適用する前に手動でテストを行います。
CloudFormationを使用してAWS CodeDeployでBlue/Greenデプロイメントを設定し、ユーザーデータのデプロイメントスクリプトを更新します。インスタンスに手動でログインしてテストを実行し、デプロイが成功し、アプリケーションが期待どおりに動作していることを確認します。
CloudFormationのテンプレートを更新して、cfnヘルパースクリプトを含めます。これにより、デプロイ中の状態を検出して報告し、健全なデプロイメントのみが継続されるようにします。テスト計画を作成し、本番環境に適用する前に非本番環境で変更をテストします。

ある多国籍消費財メーカーは現在、VMWare vCenter Server を使用して、仮想マシン、複数の ESXi ホスト、および依存するすべてのコンポーネントを 1 つの場所で一元管理しています。
コストを削減してクラウドコンピューティングのメリットを享受するために、同社は仮想マシンをAWSに移行することを決定しました。
ソリューション・アーキテクトは、会社のVPCでEC2インスタンスとして起動できるように、すべての仮想マシンの新しいAMIを作成する必要があります。

クラウド移行を適切に実行するために、ソリューションアーキテクトが行うべきステップの組み合わせはどれでしょうか。(2つ選択)

データセンターとVPCの間にDirect Connect接続を確立します。 AWS Service Catalogを使用して、すべてのITサービスを一元管理し、仮想マシンをVPCに移行します。
CodePipelineを使用してオンプレミスのワークロードをAWSに移行します。
AWS Server Migration Service (SMS)を利用します。
オンプレミス仮想化環境にServer Migration Connectorをインストールします。
Serverless Application Model (SAM) を使用して仮想マシン (VM) を AWS に移行し、Amazon ECS Cluster を自動的に起動して VM をホストします。

ある大手商業銀行は、複数のAWSアカウントを持ち、AWS Organizationsを使用して、不動産情報のためのオンラインポータルを構築しています。
このオンラインポータルは、セキュリティ向上のためにSSLを使用するように設計されており、DevOpsチームとセキュリティチームの間で責任分担を実施したいと考えています。
DevOpsチームはEC2インスタンスを管理しログインする権利があり、セキュリティチームは秘密鍵を含みAWS Certificate Manager（ACM）に格納されているアプリケーションのX.509証明書に独占的にアクセスすることができます。

次のうち、会社の要求を満たすのはどの選択肢でしょうか？

セキュリティチームのみに証明書ストアへのアクセスを許可するIAMポリシーを構成し、ELB上でSSLを終了させる設定を追加します。
AWS Configサービスを使用して、セキュリティチームが管理するCloudHSMから起動時にX.509証明書を取得するようにEC2インスタンスを構成します。
X.509証明書をサイバーセキュリティチームが所有し、EC2インスタンスのIAMロールのみがアクセスできるS3バケットにアップロードし、Systems Manager Session ManagerをアプリケーションのHTTPSセッションマネージャとして使用します。
セキュリティチームのみに証明書ストアへのアクセスを許可するサービスコントロールポリシー（SCP）を設定し、ELB上でSSLを終了させる設定を追加します。

ソリューションアーキテクトは、Amazon API Gateway リージョンAPIエンドポイントを使用してREST APIをデプロイしています。
このAPIは、東京に拠点を置く多くの企業が利用する予定です。
各企業は、最新のデータを取得するために毎日2回APIを使用します。
APIの導入後、運用チームは世界中の数百のIPアドレスから数千のリクエストが来ていることに気づきました。
このトラフィックは悪意のあるボットから発信されていると思われます。
ソリューションアーキテクトは、コストを最小限に抑えながらAPIを保護する必要があります。
同社はAPIを保護するためにどのようなアプローチを取るべきですか？

企業が使用するIPアドレスからのアクセスを許可するルールでAWS WAFのWeb ACLを作成します。 Web ACLをAPIに関連付けます。リクエスト制限のある利用計画を作成し、それをAPIに関連付けます。 APIキーを作成し、使用量プランに追加します。
企業が使用するIPアドレスからのアクセスを許可するルールでAWS WAFのWeb ACLを作成します。 Web ACLをAPIに関連付けます。リクエスト制限のあるリソースポリシーを作成し、APIに関連付けます。 POSTメソッドでAPIキーを要求するようにAPIを設定します。
APIをオリジンとするAmazon CloudFrontディストリビューションを作成します。 AWS WAFのWeb ACLを作成し、1日あたり10回以上のリクエストを送信するクライアントをブロックするルールを設定します。 Web ACLをCloudFrontディストリビューションに関連付けます。 CloudFrontディストリビューションに、APIキーを入力したカスタムヘッダを追加します。 GETメソッドでAPIキーを要求するようにAPIを構成します。
APIをオリジンとするAmazon CloudFrontディストリビューションを作成します。 AWS WAFのWeb ACLを作成し、1日に10回以上リクエストを送信するクライアントをブロックするルールを設定します。 Web ACLをCloudFrontディストリビューションに関連付けます。 CloudFrontにオリジンアクセスアイデンティティ(OAI)を設定し、ディストリビューションに関連付けます。 OAIだけがGETメソッドを実行できるように、API Gatewayを設定します。

あるフィンテック・スタートアップが、クレジットカードやBitcoin、Rippleなどの暗号通貨による決済を受け付けるクラウドベースの決済処理システムを開発しました。
このシステムは、EC2、DynamoDB、S3、CloudFrontを使用するAWSでデプロイされ、決済を処理しています。
ユーザーからクレジットカード情報を受け取るため、Payment Card Industry Data Security Standard (PCI DSS)に準拠することが求められています。
最近の第三者監査で、クレジットカード番号が適切に暗号化されていないことが判明し、そのため同社のシステムはPCI DSSの準拠テストに不合格となりました。
別の問題で、ビューワーからのリクエストのうち、コンテンツをオリジンサーバーに取りに行く代わりに、CloudFrontのエッジキャッシュから応答する割合を増やしてパフォーマンスを改善する必要があります。

ユーザーのクレジットカード情報を保護・暗号化し、CloudFrontディストリビューションのキャッシュヒット率を向上させるための最適なオプションは何でしょうか。

CloudFrontディストリビューションでカスタムSSLを追加します。キャッシュヒット率を上げるために、オブジェクトにUser-AgentとHostヘッダを追加するようにオリジンを設定します。
HTTPSとフィールドレベルの暗号化を使用して、オリジンサーバーへの安全なエンドツーエンド接続を強制するようにCloudFrontディストリビューションを構成します。オリジンを設定して、オブジェクトにCache-Control max-ageディレクティブを追加し、キャッシュヒット率を高めるためにmax-ageに実用的な最長値を指定します。
CloudFrontディストリビューションが署名付きURLを使用するように設定します。 Cache-Control max-ageディレクティブをオブジェクトに追加し、キャッシュヒット率を高めるためにmax-ageに実用的な最長値を指定するようにオリジンを構成します。
Origin Access Identity (OAI)を作成し、CloudFrontディストリビューションに追加します。キャッシュヒット率を上げるために、オブジェクトにUser-AgentとHostヘッダを追加するようにオリジンを設定します。

ある会社が、インターネットに接続されていないAmazon VPCに新しいアプリケーションを導入しました。
同社は、AWS Direct Connection（DX）プライベートVIFをVPCに接続し、すべての通信はDX接続を介して行われます。
新しい要件は、転送中のすべてのデータをユーザーとVPCの間で暗号化する必要があることを述べています。
ソリューションアーキテクトは、この新しい要件を満たしながら、一貫したネットワークパフォーマンスを維持するために、どの戦略を選択すべきですか？

既存のDX接続に新しいプライベートVIFを作成し、DXプライベートVIFを介してVPCに接続する新しいVPNを作成します。
インターネット経由でVPCに接続する新しいSite-to-Site VPNを作成します。
既存のDX接続用にパブリックVIFを新規に作成し、DXパブリックVIFを介してVPCに接続するVPNを新規に作成します。
クライアントVPNのエンドポイントを作成し、ユーザーのコンピュータがAWSクライアントVPNを使用してインターネット経由でVPCに接続するように設定します。

採点する

インフォメーション

結果

結果

カテゴリー

1. 質問

2. 質問

3. 質問

4. 質問

5. 質問

6. 質問

7. 質問

8. 質問

9. 質問

10. 質問