問題241-問題250 (SAP)

ある会社は大量の航空写真データをS3にアップロードしています。
過去にオンプレミス環境で、このデータを処理するための専用サーバー群を使用し、サーバーにジョブ情報を取得するためにRabbit MQ – オープンソースのメッセージングシステムを使用していました。
処理されたデータはテープに転送され、オフサイトに送られます。
あなたの上司は、現在の設計を刷新し、AWSのアーカイブストレージとAWSのメッセージングサービスを活用してコストを最小化するよう指示しました。
次のオプションのうち、どれが正しいですか？

ジョブメッセージを渡すためにSQSを使用します。データ処理のためにデータをS3に格納します。EC2ワーカーインスタンスがアイドルになったときに終了させるCloudWatch Alarmを使用します。データが処理されたら、S3オブジェクトのストレージクラスをReduced Redundancy Storageに変更します。
SQSのメッセージ処理にスポットインスタンスを使用し、キューの深さによってトリガーされるAuto Scalingを設定したワーカーをセットアップします。データ処理のためにデータをS3に格納します。データが処理されたら、S3オブジェクトのストレージクラスをRRS(Reduced Redundancy Storage)に変更します。
SNSを使用して、ジョブメッセージを渡します。データ処理のためにデータをS3に格納します。EC2ワーカーインスタンスがアイドルになったときに終了させるCloudWatch Alarmを使用します。データが処理されたら、S3オブジェクトのストレージクラスをGlacierに変更します。
SQSのメッセージを処理するためにスポットインスタンスを使用し、キューの深さによってトリガーされるAuto Scalingを設定したワーカーをセットアップします。データ処理のためにデータをS3に格納します。データが処理されたら、S3オブジェクトのストレージクラスをGlacierに変更します。

あるメーカーでは、オンプレミスのネットワークに加え、AWSクラウドも導入しています。
企業文書管理システムで使用しているオンサイトのデータストレージの使用量が多く、費用対効果の高いバックアップと迅速なディザスタリカバリに使用するAWSのストレージサービスを検討しています。
あなたは、企業文書管理システムに低遅延アクセスを提供するストレージソリューションをセットアップするよう命じられました。
システムにアップロードされるドキュメントのほとんどは、電子回路の設計図であり、エンジニア、QAアナリスト、研究部門、設計部門が頻繁に使用しアクセスするものです。
したがって、これらの従業員が耐久性を犠牲にすることなく、データセット全体に迅速にアクセスできるようにする必要があります。

設問の要件を満たすには、どうしたらよいでしょうか？

Cached Volume Gatewayを使用してデータセット全体や頻繁にアクセスするデータへの低レイテンシーアクセスを維持します。
AWS Storage Gatewayで、ネットワークファイルシステム（NFS）やサーバーメッセージブロック（SMB）などの業界標準のファイルプロトコルを使用して、Amazon S3にオブジェクトを保存および取得できるファイルゲートウェイを作成します。
Stored Volume Gatewayを使用してオンプレミスのアプリケーションサーバーからiSCSI（Internet Small Computer System Interface）デバイスとしてマウントできるクラウドバックアップされたストレージボリュームを作成します。
S3バケットを作成し、オンプレミスのファイルサーバーとの間でデータを同期するためにsyncコマンドを使用します。

ある企業のソフトウェア開発部門には、本番環境、開発環境、テスト環境があり、各環境には数十から数百のEC2インスタンスとその他のAWSサービスが含まれています。
最近、Ubuntuでセキュリティパッチがリリースされ、これは同社の運用中のOSにて重大な欠陥に該当することが分かりました。
緊急の課題ではありますが、これらのパッチがバグが無く本番環境に適用できる保証はないため、本番環境を除くすべての環境において影響を受けるAmazon EC2インスタンスに直ちにパッチを適用する必要があります。
本番環境のEC2インスタンスは、パッチが有効に機能することが確認された後にパッチを適用することになります。
また、環境ごとに満たすべきパッチのベースライン要件は異なります。

AWS Systems Managerサービスを使用して、どのようにこのタスクを最小限の労力で実行すべきですか？

各インスタンスの環境とOSに基づいたタグを付けます。環境ごとに、どのパッチをベースラインとするかを指定した各種シェルスクリプトを作成します。 AWS Systems Manager Run Commandを使用して、EC2インスタンスをTarget Groupに配置し、各Target Groupに対応するスクリプトを実行します。
各インスタンスのOSに基づいたタグを付けます。 AWS Systems Manager Patch Managerで、各環境のパッチベースラインを作成します。 EC2インスタンスをタグに基づいてPatch Groupで分類し、対応するパッチベースラインで指定されたパッチを各Patch Groupに適用します。その後、Patch Complianceを使用してパッチが正しくインストールされたことを確認します。 AWS Configを使用してパッチおよびアソシエーションのコンプライアンスステータスの変更を記録します。
各インスタンスに環境とOSに基づいたタグを付けます。 AWS Systems Manager Patch Managerで、環境ごとにパッチベースラインを作成します。 EC2インスタンスをタグに基づいてPatch Groupで分類し、対応するパッチベースラインで指定されたパッチを各Patch Groupに適用します。
各環境のAWS Systems Manager Maintenance Windowsで、日々の運用に影響を与えないよう営業時間外にメンテナンス期間を設定します。メンテナンス期間中、Systems Managerは、各環境の各EC2インスタンスに必要なパッチをインストールするcronジョブを実行します。その後、Systems Manager Managed Instancesで環境が完全にパッチを適用していることを確認して対応します。

ある会社がITインフラをAWSクラウドに移行し、AWSリージョン内に複数のAmazon VPCを作成する予定です。
同社は、外部インターネットへの送信を集中管理できる送信専用のネットワークを保持したいと考えています。
ソリューションは、高可用性と水平方向のスケーラビリティを備えている必要があります。
同社は、VPCの数を50以上に増やすことを想定しています。
ソリューションアーキテクトは、今後のネットワーク拡張を踏まえた設計を計画しています。
どのデザインパターンが指定された要件を満たすことができますか？

各VPCを共有のトランジットゲートウェイに接続します。 2つのAZでファイアウォールアプライアンスを使用して送信専用VPCを使用し、BGPでIPSec VPNを使用してトランジットゲートウェイを接続します。
各VPCを共有のトランジットゲートウェイに接続します。 2つのAZでファイアウォールアプライアンスを使用した送信専用VPCを使用し、トランジットゲートウェイを接続します。
各VPCを共有の送信専用VPCに接続します。各VPCと送信専用VPCの間にVPCピアリングを設定します。送信専用VPC内の2つのAZにNATゲートウェイを設定します。
各VPCを送信専用のトランジットVPCに接続し、各VPCにVPN接続します。アウトバウンドのインターネットトラフィックは、ファイアウォールアプライアンスによって制御されます。

あなたの会社の管理者はIPv4 CIDRブロック10.0.0.0/24のVPCを作成しました。
そのVPCでより多くのリソースをホストするための要件があるので、現在のVPC CIDRの外側に追加のアドレス空間を追加したいと考えています。
これを達成するために、以下のどの要件を使用することができますか？

VPCにセカンダリIPv4 IPレンジ(CIDR)を追加して、既存のVPCを拡張します。
VPCのサイズを変更することはできません。VPCのサイズを変更するには、既存のVPCを終了し、新しいVPCを作成する必要があります。
VPC内のサブネットを全て削除し、VPCを拡張します。
より大きな範囲を持つ新しいVPCを作成し、古いVPCを新しいVPCに接続します。

あなたは、小売業のシステム部に勤めています。
いくつかのアプリケーションを実行するためにAWS VPCを構築しています。
2つの異なる暗号化されたS3バケットに機密性の高い顧客情報を保存します。
VPCで実行されているアプリケーションは、両方のS3バケットから読み取り、書き込みによって、機密性の高い顧客情報にアクセスし、保存し、処理します。
また、同社はハイブリッド・アプローチを採用しており、オンプレミスで複数のワークロードを実行しています。
オンプレミスのデータセンターは、Direct Connectを使用してAWS VPCに接続されています。
あなたは、機密性の高い顧客データがインターネットに公開されないように、VPCから2つのS3バケットにアクセスするためにS3 VPC Endpointの作成を提案しました。
VPC Endpointを使用したこのソリューションの設計に関連する、次の中から正しい記述を選択してください。（2つ選択）

1つのVPC Endpointは1つのS3バケットにしかアクセスできないため、各S3バケットに1つずつ、合計2つのVPC Endpointが必要です。
各VPC EndpointはGateway Endpointを使用すべきであり、エンドポイントにアクセスしたい各サブネットに関連するルートテーブルの正しいルートも必要です。
2つのS3バケットのバケットポリシーは、AWSの属性sourceVpceを使用して各VPC EndpointのIDを指定し、どのVPC Endpointが各バケットにアクセスできるかをさらに制限することができます。
2つのS3バケットのバケットポリシーは、AWS属性sourceVpceを使用して各VPC EndpointのIDを指定し、VPC EndpointによってアクセスできるS3バケットをさらに制限することができます。
1つのVPC Endpointは1つのサブネットからしかアクセスできないため、各サブネットに1つずつのVPC Endpointが必要です。

あるアプリケーションは現在、単一のアベイラビリティーゾーンのAmazon EC2インスタンスで実行されています。
ソリューションアーキテクトは、高可用性と安全性を高めるために、ソリューションを再設計するよう依頼されました。
セキュリティチームは、すべてのインバウンドリクエストを一般的な脆弱性攻撃のためにフィルタリングし、すべての拒否されたリクエストをサードパーティの監査アプリケーションに送信する必要があることを要求しています。
どのソリューションが高可用性とセキュリティの要件を満たしていますか？

アプリケーションのAMIを使用して、Multi-AZ Auto Scalingグループを構成します。アプリケーションロードバランサー（ALB）を作成し、ターゲットとして作成したAuto Scalingグループを選択します。サードパーティの監査アプリケーションを宛先とするAmazon Kinesis Data Firehoseを作成します。 WAFでWeb ACLを作成します。 WebACLとALBを使用してAWS WAFを作成し、宛先としてKinesis Data Firehoseを選択することでロギングを有効にします。 AWS MarketplaceでAWS Managed Rulesに登録し、WAFをサブスクライバーとして選択します。
アプリケーションロードバランサー（ALB）を設定し、ターゲットとしてEC2インスタンスを追加するターゲットグループを設定します。サードパーティの監査アプリケーションの宛先とAmazon Kinesis Data Firehoseを作成します。 WAFでWeb ACLを作成します。 Web ACLとALBを使用してAWS WAFを作成し、宛先としてKinesis Data Firehoseを選択することでロギングを有効にします。 AWS MarketplaceでAWS Managed Rulesに登録し、WAFをサブスクライバーとして選択します。
アプリケーションロードバランサー（ALB）を設定し、EC2インスタンスをターゲットとして追加します。 WAFでWeb ACLを作成します。 Web ACLとALB名を使ってAWS WAFを作成し、Amazon CloudWatch Logsでロギングを有効にします。 AWS Lambda関数を使用して、サードパーティの監査アプリケーションにログを頻繁にプッシュします。
アプリケーションのAMIを使用して、Multi-AZ Auto Scalingグループを構成します。アプリケーションロードバランサー（ALB）を作成し、ターゲットとして以前に作成されたAuto Scalingグループを選択します。 Amazon Inspectorを使用して、ALBとEC2インスタンスへのトラフィックを監視します。 WAFでWeb ACLを作成します。 Web ACLとALBを使用してAWS WAFを作成します。 AWS Lambda関数を使用して、Amazon Inspectorのレポートをサードパーティの監査アプリケーションに頻繁にプッシュします。

ある通信会社では、AWSのVPC内に複数のAmazon EC2インスタンスを保有しています。
データ漏洩対策を強化するために、EC2インスタンスのインターネット接続を制限したいと考えています。
パブリックサブネットで起動するEC2インスタンスは、インターネットから製品のアップデートやパッチにアクセスできるようにする必要があります。
パッケージは、サードパーティプロバイダーを通じて、指定のURLからアクセスできます。
同社は、VPC内のインスタンスからインターネット上のホストへの他のアウトバウンド接続を明示的に拒否したいと考えています。

会社の要件を満たすために、ソリューションアーキテクトは次のどの選択肢の導入を検討すべきですか？

すべてのインスタンスをパブリックサブネットからプライベートサブネットに移動します。さらに、ルートテーブルからデフォルトルートを削除し、代わりにパッケージの場所を指定するルートに置き換えます。
インターネットからソフトウェアパッケージを取得できるように、適切な送信アクセスルールを持つセキュリティグループを作成します。
VPCでフォワードWebプロキシサーバーを使用し、URLベースのルールでアウトバウンドアクセスを管理します。デフォルトのルートを削除します。
パッケージURLの宛先へのネットワークアクセスを許可するネットワークACLルールを使用し、他のすべての通信に対して暗黙のDenyを追加します。

あなたの会社でサポートしているWebアプリケーションが本番環境で予期せずダウンするという大きな事故が発生しました。
調査の結果、若手のDevOpsエンジニアが本番環境のEC2インスタンスを終了させたことが判明し、それがサービスの中断の原因となりました。
本番環境でインスタンスを停止したり終了させたりできるのは、ソリューションアーキテクトだけであることが望ましいです。
また、本番環境のAWSアカウントにフルアクセスできる開発者が大勢いることがわかりました。

このセキュリティの脆弱性を修正し、このような障害が二度と起こらないようにするための選択肢はどれですか。(2つ選択)

開発者がアクセスできないように、ProductionにあるすべてのEC2インスタンスのSecurity Groupを置き換える。
PowerUserAccess AWSマネージドポリシーを開発者にアタッチする。
本番環境のEC2インスタンスにタグを追加し、そのタグを含むインスタンスの終了を明示的に拒否するリソースレベルの権限を開発者に追加する。
EC2インスタンスを削除する前にMFAを要求するように開発者のIAMポリシーを変更する。
開発者に割り当てられた関連するIAMロールを変更し、本番のEC2インスタンスの終了を許可するポリシーを削除する。

あるアプリケーションは、1つのリージョン内の3つの層で構成されています。
ソリューションアーキテクトは、データ層のRTOを30分、RPOを5分とするディザスタリカバリ戦略を設計しています。
アプリケーション層はAmazon EC2インスタンスを使用し、ステートレスな設計となっています。
データ層は、30TBのAmazon Auroraデータベースで構成されています。
コストを最適化しながらRTOとRPOの要件を満たすステップの組み合わせはどれですか？(2つ選択)

AWS DMSを使用して、Aurora DBを別のリージョンにあるRDSデータベースにレプリケートします。
5分ごとにAuroraデータベースのスナップショットを作成します。
データベースのクロスリージョンAurora MySQLレプリカを作成します。
EC2インスタンスのスナップショットを毎日作成し、別のリージョンにレプリケートします。
アプリケーション層のホットスタンバイを別のリージョンにデプロイします。

採点する

インフォメーション

結果

結果

カテゴリー

1. 質問

2. 質問

3. 質問

4. 質問

5. 質問

6. 質問

7. 質問

8. 質問

9. 質問

10. 質問