問題181-問題190 (SAP)

あるグローバル企業では、ユーザー向けのインフラストラクチャーサービスを構築しています。
この会社には次のような要件があります。
・中核となるAWSアカウントを使用して、インフラストラクチャサービスの作成を集中的に管理する。
・インフラストラクチャサービスをAWS Organizationsの複数のアカウントに分散させる。
・最小特権の原則に従って、アプリケーションの起動と管理に関するエンドユーザーの権限を制限する。
AWSサービスを使用するアクションのどの組み合わせがこれらの要件を満たしますか？(2つ選択)

IAMユーザーがAWSServiceCatalogEndUserFullAccessの権限を持つことを許可します。 Endusersというグループにポリシーを割り当て、すべてのユーザーをそのグループに追加します。起動制約を適用します。
AWS CloudFormationのテンプレートでインフラサービスを定義します。各テンプレートをAWSサービスカタログ製品として、中核のAWSアカウントで作成されたポートフォリオにアップロードします。これらのポートフォリオを、企業用に作成されたAWS Organizations構造で共有します。
AWS CloudFormationテンプレートでインフラストラクチャサービスを定義します。テンプレートを中核のAmazon S3バケットに追加し、S3バケットポリシーへのアクセスを必要とするIAMユーザーを追加します。
IAMユーザーにAWSCloudFormationFullAccessとAmazon S3ReadOnlyAccessのパーミッションを付与します。 AWSアカウントのルートユーザーレベルでOrganizations SCPを追加し、AWS CloudFormationとAmazon S3以外のすべてのサービスを拒否します。
IAMユーザーにAWSServiceCatalogEndUserReadOnlyAccess権限のみを許可します。 Endusersというグループにポリシーを割り当て、すべてのユーザーをそのグループに追加します。起動制約を適用します。

ある大手不動産仲介会社が、既存のモバイルアプリケーションに費用対効果の高い位置情報アラートシステムを検討しています。
アプリケーションのバックエンドインフラは、現在AWSで稼働しています。
このサービスのユーザーは自分のいる場所の近くにある投資用不動産物件の販売が開始されると、その情報を取得し、アラートをモバイルデバイスで受け取ることができます。
アラートが適切であるためには、配信時間が分単位である必要があります。
既存のモバイルアプリには全米で500万人のユーザーがいます。
あなたは、次のうちどのアーキテクチャを顧客に提案しますか？

モバイルアプリケーションは、ELBとEC2インスタンスを使用して、Webサービスのエンドポイントに位置情報の詳細を送信します。DynamoDBは、EC2インスタンスから関連する情報を保存および取得するために使用され、その後、携帯電話会社と通信して、モバイルアプリケーションにアラートをプッシュします。
AWS DirectConnectまたはVPNを使用して、携帯電話会社との接続を確立します。EC2インスタンスは、携帯電話会社を通じてモバイルアプリケーションの位置情報の詳細を受信します。RDSは、関連する情報を保存し、取得するために使用されます。EC2インスタンスは、携帯電話会社と通信し、モバイルアプリケーションにアラートをプッシュします。
モバイルアプリケーションは、SNS Mobile Pushを利用して、端末の位置情報を送信します。EC2インスタンスは、DynamoDBから関連する情報を取得します。EC2インスタンスは、携帯電話会社と通信し、モバイルアプリケーションにアラートをプッシュします。
SQSをデバイスの位置情報の詳細を取得するために使用します。この位置情報はモバイルアプリケーションの入力として使用されます。EC2インスタンスは、DynamoDBから関連する情報を取得します。SNS Mobile Pushは、モバイルアプリケーションに情報を送信するために使用されます。

ある小さな通信会社は、AWSを使ったハイブリッドクラウドアーキテクチャを採用しました。
オンプレミスのWebアプリケーションの静的ファイルをAWS Storage Gatewayの5TBゲートウェイ保存ボリュームに保存しており、iSCSIインターフェース経由でアプリケーションサーバーに接続されています。
災害復旧計画の一環として、オンプレミスのネットワークに技術的な問題が発生した場合に備えて、AWS上でWebアプリケーションを実行できるようにする必要があります。

次の選択肢のうち、実施すべき最も適切なソリューションはどれですか？

AWS Storage Gatewayサービスから静的コンテンツのEBSスナップショットを生成します。その後、そのEBSスナップショットをEBSボリュームに復元し、アプリケーションサーバーがホストされているEC2インスタンスにアタッチします。
AWS Storage Gatewayから静的コンテンツをS3バケットにリストアし、アプリサーバーが稼働しているEC2インスタンス上で紐付けます。
AWS Storage GatewayをアプリケーションサーバーをホストするEC2インスタンスにアタッチして静的コンテンツをリストアします。
AWS Storage GatewayサービスからEFSファイルシステムを作成し、それを静的コンテンツ用にアプリケーションサーバーがホストされているEC2インスタンスにマウントします。

ある会社は現在、パブリックとプライベートサブネットでWindowsとLinuxを実行するAmazon EC2インスタンスのフリートを管理しています。
運用チームは現在、会社のネットワークに接続されていないため、インターネット経由で接続してインスタンスを管理しています。
セキュリティグループは、任意のソースIPv4アドレスからのRDPとSSHプロトコルを許可するように更新されています。
リソースへの悪意あるアクセスの報告があり、同社はインスタンスを管理するための最も安全なソリューションを導入したいと考えています。
ソリューションアーキテクトはどの戦略を推奨すべきでしょうか？

企業ネットワークとAmazon VPCを接続するIPSec仮想プライベートネットワーク（VPN）を構成します。セキュリティグループを更新して、企業ネットワークからのSSHとRDPでの接続のみを許可します。
パブリックサブネットにElastic IPアドレスを持つLinux bastionホストを配備します。 0.0.0.0/0からの基地局ホストへのアクセスを許可します。
EC2インスタンスにAWS Systems Manager Agentを配置します。 EC2インスタンスにSession Managerでアクセスし、インスタンスを管理できる権限を持つユーザーにアクセスを制限します。
社内ネットワークに、EC2インスタンスの管理に使用するサーバーを配置します。セキュリティグループを更新し、オンプレミスの管理サーバーからのSSHとRDPによる接続のみを許可します。

あるIoT企業が、あるエリアの人数を素早く数えることができる製品を開発する必要があります。
彼らはワイヤレスセンサーとEC2インスタンスをap-southeast-2 リージョンで3つのAZに分散し、Node.jsバックエンドを使用しました。
データは非常に機密性が高く、第三者企業によって分析されるため、バックエンドは高可用性であることが必要です。
バックエンドのEC2は、パッチをダウンロードするためにインターネットに接続する必要があります。
その他に、セキュリティ上の理由から、EC2はBastionホストに対してのみSSHポートを開く必要があります。
以下の記述について、どれが適切でしょうか？

アベイラビリティゾーンごとに、パブリックサブネットとプライベートサブネットを作成します。1つのパブリックサブネットにNATゲートウェイを作成し、3つのプライベートサブネットのルートテーブルに対して、0.0.0.0/0からNATゲートウェイへのルートを追加します。1つのパブリックサブネットにBastionホストを追加し、EC2インスタンスには、BastionホストのARN IDからのインバウンドトラフィックに対してのみ、ポート22を開放します。
ap-southeast-2リージョンの3つのアベイラビリティゾーンすべてに、パブリックサブネットとプライベートサブネットを作成します。各パブリックサブネットにNATインスタンスを作成し、プライベートサブネットのルートテーブルに対して、0.0.0.0/0からパブリックサブネットへのルートを追加します。1つのパブリックサブネットにBastionホストを追加し、EC2インスタンスではBastionホストのARN IDからのインバウンドトラフィックに対してのみポート22を開放します。
各アベイラビリティゾーンに、パブリックサブネットとプライベートサブネットを作成します。各パブリックサブネットにNATゲートウェイを作成し、プライベートサブネットのルートテーブルには、0.0.0.0/0からNATゲートウェイへのルートを追加します。1つのパブリックサブネットにBastionホストを追加し、EC2インスタンスについては、Bastionホストのセキュリティグループからのインバウンドトラフィックに対してのみ、ポート22を開放します。
ap-southeast-2aにプライベートサブネットを、ap-southeast-2a, ap-southeast-2b, ap-southeast-2cに3つのパブリックサブネットを作成します。3つのアベイラビリティゾーンすべてにNATゲートウェイを作成し、プライベートサブネットのルートテーブルに対して、0.0.0.0/0からNATゲートウェイへのルートを追加します。パブリックサブネットにBastionホストを追加し、EC2インスタンスにはBastionホストのセキュリティグループからのインバウンドトラフィックに対してのみ、ポート22を開放します。

ある会社のセキュリティポリシーでは、すべての内部アプリケーションの接続がプライベートIPアドレスを使用しなければならない要件があります。
ソリューションアーキテクトは、AWSのパブリックサービスに接続するために、プライベートサブネットにVPCインターフェイスエンドポイントを作成しました。
ソリューションアーキテクトが構成をテストしたところ、AWSサービス名がパブリックIPアドレスに解決されたため、接続が失敗しました。
ソリューションアーキテクトはこの問題を解決するためにどの構成の変更を行うべきですか？

インターフェイスエンドポイントのセキュリティグループを構成して、AWSサービスへの接続を許可します。
インターフェイスエンドポイントへのルートで、サブネットのルートテーブルを更新します。
インターフェイスエンドポイントのプライベート DNS 名が有効になっていることを確認します。
内部アプリケーションのための条件付きフォワーダでAmazon Route 53プライベートホストゾーンを構成します。

あるeコマース会社が販促キャンペーンを実施しており、ユーザーの個人情報や趣向を投稿してもらう情報収集のWebページで大量のユーザーアクセスを期待しています。
このウェブサイトはAmazon EC2インスタンス上で動作し、Amazon RDS for PostgreSQL DBインスタンスを使用しています。
トラフィック量は多くなることが予想され、アクティビティが何度か急増するため予測不可能になる可能性があります。
このトラフィックにより、大量のデータベースへの書き込みが発生します。
ソリューションアーキテクトは、基礎となるデータモデルを変更せず、データベースにコミットする前に投稿が削除されないことを保証するソリューションを構築する必要があります。

これらの要件を満たすのは、どのソリューションでしょうか？

Amazon DynamoDBに移行し、オートスケーリングでスループットキャパシティを管理します。
既存のデータベースインスタンスの前にAmazon ElastiCache for Memcachedクラスターを作成し、書き込みパフォーマンスを向上させます。
Amazon SQSキューを作成し、アプリケーション層とデータベース層を切り離します。 AWS Lambda関数を構成して、キューからデータベースにアイテムを書き込みます。
スケジュールスケーリングを使用して、イベントの直前に既存のDBインスタンスをスケールアップし、イベント後に自動的にスケールダウンします。

あなたは、EU-west-1 リージョンで、15 分ごとに更新するニュースウェブサイトを運営しています。
このウェブサイトには世界中のユーザーがいます。
サイトはElastic Load BalancerとAmazon RDSデータベースの背後にあるAuto Scalingグループを使用しています。
静的コンテンツはAmazon S3に置かれ、Amazon CloudFrontを通じて配信されます。
Auto Scalingグループは、60%のCPU使用率でスケールアップイベントをトリガーするように設定されています。
あなたは、10,000 Provisioned IOPSを持つAmazon RDS extra large DBインスタンスを使用しています。
そのCPU使用率は約80%です。
解放可能なメモリは2GBの範囲にあります。
ウェブ解析レポートによると、ウェブページの平均ロード時間は約1.5～2秒ですが、SEOコンサルタントは平均ロード時間を0.5秒未満に短縮したいと考えています。
次のオプションのうち、ユーザーのページロード時間を改善するのに有効でないものはどれでしょうか？

オートスケーリンググループのスケールアップトリガーを30%に下げ、よりスケーリングしやすくするように変更します。
セッションとDBクエリを保存するために、アプリケーションにAmazon ElastiCacheによるキャッシング層を追加します。
Amazon CloudFrontのダイナミックコンテンツサポートを設定し、サイトからの再利用可能なコンテンツのキャッシュを可能にします。
RDSデータベースインスタンスのリードレプリカを設定します。

Oracle上で動作するオンプレミスの分析データベースシステムがクラウドに移行される予定です。
このデータベースは、単一の仮想マシン（VM）と、データベース上でSQLクエリを実行するために使用されるJavaベースのWebアプリケーションを実行している複数のクライアントVM上で動作しています。
すべての仮想マシンはクラウドに移行される予定です。
データベースは2TBのストレージを使用し、各クライアントVMは異なる設定を持ち、ストアドプロシージャとクエリ結果をローカルファイルシステムに保存します。
10GbitのAWS Direct Connect（DX）接続が確立されており、アプリケーションは48時間の変更ウィンドウをスケジュールして移行することができます。
どの戦略が、データベースの運用オーバーヘッドを削減し、移行後の運用に最も影響を与えないでしょうか？

AWS DMSを使用して、データベースをAmazon RDSに移行します。 AWS SMSを使用してクライアントVMをAWSに複製します。各クライアントVMのRoute 53 Aレコードを作成します。
AWS SMSを使用して、データベースをAWSにレプリケートし、Amazon EC2インスタンスを作成します。 JavaベースのWebアプリケーションを、アプリケーションロードバランサー（ALB）の背後にあるAWS Elastic Beanstalk環境に移行します。
AWS DMSを使用して、データベースをAmazon RedShiftに移行します。 JavaベースのWebアプリケーションを、アプリケーションロードバランサー（ALB）の背後にあるAWS Elastic Beanstalk環境に移行します。
AWS SMSを使用して、データベースをAWSにレプリケートし、Amazon EC2インスタンスを作成します。 AWS SMSを使用して、クライアントVMをAWSにレプリケートします。アプリケーションロードバランサー（ALB）の背後にEC2インスタンスを配置します。

IOSの開発者は、認証されたユーザーのためのメモの作成、検索、および削除などの機能を含むメモアプリを作成しています。
このモバイルアプリケーションは、サインアップとサインインの機能も必要とします。
メモアプリは、API Gatewayを介したAPIによって公開されます。
開発者は、APIに認可を実装して、認証されたユーザーを識別し、そのユーザーのコンテキストでノートの作成や削除などの操作を実行できるようにしたいと考えています。
どのようにAWS Cognitoで認可を実装することができますか？

Amazon Cognitoで、適切なIAMロールを持つユーザーを作成します。APIリソースにアクセスするための適切なポリシーがロールに設定されていることを確認します。ユーザーのサインインが成功したら、user.id を返します。user.idはメモアプリのAPIを呼び出すために使用されます。
ユーザーがメモアプリに正常にサインインした後、Amazon Cognito User Poolsは認証されたユーザーのIDとAccess Tokenをアプリに返します。Access Tokenは、API Gatewayのカスタムオーソライザーを使用して、API Gateway経由でAPI呼び出しを認証するために使用することができます。
Amazon Cognitoで、User PoolとIdentity Poolを作成します。Identity PoolをUser Poolと接続します。まずユーザプールで認証してトークンを取得し、IDプールとトークンを交換して一時的なクレデンシャルを取得します。この認証情報は、メモアプリのAPIを呼び出すために使用します。
Amazon Cognitoで、ユーザーがログインに成功した場合に、認証されたユーザーのIDとAccess Tokenをアプリに返すために使用されるIdentityプールを作成します。このAccess Tokenは、API Gatewayを経由したAPI呼び出しの認証に使用されます。

採点する

インフォメーション

結果

結果

カテゴリー

1. 質問

2. 質問

3. 質問

4. 質問

5. 質問

6. 質問

7. 質問

8. 質問

9. 質問

10. 質問