問題261-問題270 (SAP)

ソリューションアーキテクトは、AWS CloudHSMのM of Nアクセスコントロール（クォーラム認証メカニズム）を有効にして、セキュリティ担当者がハードウェアセキュリティモジュール（HSM）に管理変更を加えることを許可する必要があります。
新しいセキュリティポリシーでは、4人のセキュリティ担当者のうち少なくとも2人がCloudHSMへの管理上の変更を承認する必要があるとされています。
この構成は初めて設定されたものです。
クォーラム認証を有効にするには、どの手順を実行する必要がありますか（2つ選択）

cloudhsm_mgmt_utilコマンドラインツールを使用して、暗号化通信を有効にし、Crypto officer (CO：暗号化担当者) としてログインし、registerMofnPubKeyコマンドで署名のためのキーを登録します。
cloudhsm_mgmt_utilコマンドラインツールを使用して、暗号化通信を有効にし、Crypto officer (CO：暗号化担当者) としてログインし、setMValueコマンドを使用してQuorumの最小値を2に設定します。
AWS IAMを使用して、最低3人のCrypto officer (CO：暗号化担当者) を必要とするポリシーを作成し、HSMユーザー管理操作の実行に必要な最小数の承認を構成します。
cloudhsm_client.cfgドキュメントを編集して、キーをインポートし、署名のためにキーを登録します。
cloudhsm_mgmt_utilコマンドラインツールを使用して、暗号化通信を有効にし、Crypto officer (CO：暗号化担当者) としてログインし、getTokenコマンドを使用してQuorumトークンを取得します。

ソリューションアーキテクトは、企業のWANネットワークから複数のAWSリージョンにプライベート接続を提供するためのソリューションを設計する必要があります。
この会社は世界中にオフィスがあり、東京に主要なデータセンターを持っています。
同社は、トラフィックが常に公衆インターネット回線を経由してはならないことを義務付けています。
また、可用性の高いソリューションでなければなりません。
ソリューションアーキテクトは、どのようにしてこれらの要件を満たすことができるでしょうか？

東京のデータセンターから、同社が使用するすべてのAWSリージョンへのAWS Direct Connect接続を作成します。会社のWANは、東京のデータセンターを経由して、AWSにアクセスするために、それぞれのDX接続にトラフィックを送信するように構成します。
東京データセンターからAWSリージョンへの2つのAWS Direct Connect接続を作成します。会社のWANは、DX接続を介してトラフィックを送信するように構成されています。 Direct Connect Gatewayを使用して、他のAWSリージョンのデータにアクセスします。
東京データセンターからAWSリージョンへの2つのAWS Direct Connect接続を作成します。会社のWANを構成して、DX接続を介してトラフィックを送信します。他のAWSリージョンのデータにアクセスするために、AWSトランジットVPCソリューションを使用します。
東京のデータセンターからAWSリージョンに2つのAWS Direct Connect接続を作成します。 DX接続でトラフィックを送信するように会社のWANを構成します。他のAWSリージョンのデータにアクセスするために、リージョン間VPCピアリングを使用します。

あなたは、非常に大規模なeコマースサイトの全体的なセキュリティ姿勢を強化するプロジェクトに従事しています。
VPCで実行されている多層アプリケーションにて、Webとアプリ層の両方の前段にELBを使用し、S3から直接提供される静的コンテンツをホストしています。
また、RDS と DynamoDB を組み合わせて動的データを使用し、EMR で追加処理のために毎晩 S3 にアーカイブしています。
最近、疑わしいログエントリとリソースにアクセスするためのリクエストがあり、何者かの悪意のあるDDoS攻撃が懸念されています。
どのようにこの種の攻撃を軽減しますか？

Web層のサブネットに明示的なネットワークACLの拒否ルールとして、特定した攻撃対象のソースIPを追加します。
Web層のELBからTLS 2.0に対応した証明書をインストールし、SSLターミネーションを設定します。これにより、ELB自体がWAFと同等の機能を発揮できるようになります。
DDoS攻撃からアプリケーションを保護するためにAWS WAFを有効にします。
DirectConnect パートナーのロケーションにスペースを借り、その VPC に 1G DirectConnect 接続を確立します。その後、オンプレミスでハードウェアの Web Application Firewall (WAF) でトラフィックをフィルタリングし、DirectConnect 接続を介して VPC で実行されているアプリケーションにトラフィックを渡します。

あなたはIT企業でAWSのコンサルタントとして勤めています。
あなたの開発マネージャは、EC2インスタンスのEBSボリュームタイプがすべてのリージョンで適切に構成されているかどうかを評価するタスクを割り当てました。
大きな懸念としては、ほとんどすべてのシステムでEBSボリュームがProvisioned IOPS SSD（io2）ボリュームタイプを使用しており、多くのコストが発生していることです。
あなたは、ボリュームタイプをio1から他のタイプに変更することを計画しています。
EBSボリュームの種類をio2のまま使用するのはどのようなシステムであるべきでしょうか？

データが頻繁にプロセスによってアクセスされて分析される膨大な顧客データを格納したデータウェアハウスサーバー
1日あたりのスキャン回数が少ない過去の顧客の行動を追跡するために保存されている大規模でレガシーなコールドデータ
処理時に極めて低いレイテンシと高いパフォーマンスを必要とするCassandraデータベース
品質保証チームが頻繁に使用するテストサーバーのブートボリューム

あなたは現在、US-EastリージョンでWebアプリケーションを運用しています。
このアプリケーションは、オートスケーリングが設定されたEC2インスタンスとRDS Multi-AZ データベースで動作しています。
ITセキュリティ担当者は、EC2、IAM、およびRDSリソースに加えられた変更を追跡するための信頼性と耐久性のあるロギングソリューションを開発するよう依頼されました。
このソリューションは、ログデータの整合性と機密性を確保する必要があります。
どのソリューションの使用が適切ですか？

US-Eastリージョンでログを保存するために、1つの新しいS3バケットで新しいCloudTrailを作成します。CloudTrail ログファイルの整合性の検証を使用します。新しいS3バケットをS3バケットポリシー、多要素認証（MFA）を使用して設定します。
ログを保存するS3バケットを1つ新規に作成し、CloudTrailを作成します。ログファイルの配信通知を管理システムに送信するようにSNSを設定します。新しいS3バケットをS3バケットポリシー、多要素認証（MFA）を使用して設定します。
すべてのリージョンでログを保存するために、既存のS3バケットで新しいCloudTrailを作成します。S3 ACLと多要素認証（MFA）を使用して既存のS3バケットを設定します。
ログを保存する3つの新しいS3バケットで3つの新しいCloudTrailを作成します。1つはAWS管理コンソール用、1つはAWS SDK用、1つはコマンドラインツール用です。CloudTrail ログファイルの整合性の検証を使用します。

ある会社では、レガシーアプリケーションをAmazon VPCのプライベートサブネット内のAmazon EC2上でホストしています。
このアプリケーションには、従業員が会社のノートパソコンから独自のデスクトッププログラムを通じてアクセスします。
社内ネットワークはAWS Direct Connect（DX）接続でピアリングされ、VPC内のプライベートEC2インスタンスへの高速で信頼性の高い接続を提供しています。
セキュリティ機関の厳しい監査要件に対応するため、従業員のノートパソコンからVPC内のリソースに流れるネットワークトラフィックを暗号化することが求められています。

Direct Connectの一貫したネットワーク性能を維持しながら、この要件に準拠するソリューションは次のうちどれでしょうか。

現在のダイレクトコネクト接続を使用して、新しいプライベート仮想インターフェースを作成し、アドバタイズするネットワークプレフィックスを入力します。 DX接続を使用して、BGPプロトコルでVPCへの新しいサイト間VPN接続を作成します。従業員のノートパソコンがこのVPNに接続するように設定します。
現在のダイレクトコネクト接続を使用して、新しいパブリック仮想インターフェースを作成し、アドバタイズするネットワークプレフィックスを入力します。インターネット経由でVPCに接続するサイト間VPNを新規に作成します。従業員のノートパソコンがこのVPNに接続するように設定します。
現在のダイレクトコネクト接続を使用して、新しいプライベート仮想インターフェースを作成し、アドバタイズするネットワークプレフィックスを入力します。インターネット経由でVPCに接続するサイト間VPNを新規に作成します。従業員のノートパソコンがこのVPNに接続するように設定します。
現在のダイレクトコネクト接続を使用して、新しいパブリック仮想インターフェースを作成し、広告したいネットワークプレフィックスを入力します。 DX接続を使用して、BGPプロトコルでVPCへの新しいサイト間VPN接続を作成します。従業員のノートパソコンがこのVPNに接続するように設定します。

あるAWSの顧客が、EC2インスタンスのオートスケーリンググループで構成される独立した実行環境（Nitroベースのインスタンス）にアプリケーションをデプロイしています。
顧客のセキュリティポリシーは、これらのインスタンスから顧客の仮想プライベートクラウド内の他のサービスへのすべてのアウトバウンド接続が、特定のインスタンスIDを含む一意のX.509証明書を使用して認証されなければなりません。
次の構成のうちどれがこれらの要件をサポートしますか？

署名された証明書を含むAmazon S3オブジェクトへのアクセスを許可するIAMロールを構成し、このロールでインスタンスを起動するためにAuto Scalingグループを構成します。インスタンスがブートストラップし、最初のブート時にAmazon S3から証明書を取得するようにします。
AutoScalingグループが新しいインスタンスの軌道のSNS通知をAWS Certificate Managerに送信するよう設定します。AWS Certificate Manager(ACM)を使って署名付き証明書を作成します。
Auto Scalingグループが使用するAmazon Machine Imageに証明書を埋め込みます。起動したインスタンスに、署名のためにAWS KMSにインスタンスの割り当てられたインスタンスIDで証明書の署名リクエストを生成させます。
起動したインスタンスが初回起動時に新しい証明書を生成するように設定します。AWS KMSが関連するインスタンスのAuto Scalingグループをポーリングし、新しいインスタンスに（特定のインスタンスIDを含む）証明書の署名を送信するようにします。

ある会社が最近、Amazon EC2インスタンスとAmazon RDSデータベースに関連するコストの上昇に気づきました。
同社はコストを追跡できるようにする必要があります。
同社は、すべてのアカウントにAWS Organizationsを使用しています。
インフラストラクチャのデプロイにはAWS CloudFormationが使用され、すべてのリソースにはタグが付けられています。
経営陣は、同社のコストセンター（部署）の管理番号とプロジェクトの管理ID番号を、将来のすべてのEC2インスタンスとRDSデータベースに追加することを要求しています。
これらの要件を満たすために、ソリューションアーキテクトが従うべき最も効率的な戦略は何ですか？

タグエディタを使用して、既存のリソースにタグを付けます。コストセンターとプロジェクトIDを定義するコスト配分タグを作成し、タグが有効になるまでに24時間待ちます。
タグエディタを使用して、既存のリソースにタグを付けます。コスト配分タグを作成して、コストセンターとプロジェクトIDを定義します。 SCPを使用して、コストセンターとプロジェクトIDのタグが指定されていないリソースの作成を制限します。
AWS Configルールを使用して、タグ付けされていないリソースをチェックします。タグ付けされていないEC2インスタンスとRDSデータベースに1時間ごとにタグ付けするAWS Lambdaベースの集中型ソリューションを、クロスアカウントロールを使用して作成します。
コストセンターとプロジェクトIDを定義するコスト配分タグを作成し、タグが有効化されるまで24時間を許可します。コストセンターとプロジェクトIDのタグが指定されていないリソースの作成を制限するために、パーミッションバウンダリーを使用します。

あなたの会社は、写真分析アプリを開発しています。
クライアントは写真をアップロードし、ボタンをクリックすることにより、写真の中から登録した人物を検索することができます。
または、クライアントは多くの写真をアップロードし、特定の人物が検出された回数を検索することもできます。
β版として運用を開始しており、判定のサンプルデータとして有名人の画像データを読み込ませ、有名人の人物検索サービスを提供しています。
チームは、このアプリをAWSで低コストで運用したいと考えています。
可用性と安定性を確保しながら実装するために、どのオプションが最も効率的ですか？

M4サイズのEC2インスタンスにアプリを実装し、AutoscalingとElastic Load Balancerを利用します。 Cloudformationのテンプレートでアプリケーションを構築します。このアプリでRekognition API "SearchFaces "を呼び出し、情報を取得します。バックエンドのサービスでJSONの結果を処理し、Cloudfront CDNでフロントエンドに結果を返します。
AWSのRekognitionサービスを利用します。アプリをLambdaで実装し、Rekognition API "RecognizeCelebrities" を呼び出して必要な情報をJSON形式で取得します。 Lambdaで情報を処理し、エンドユーザーに結果を返します。クライアントが写真をアップロードするためにS3を使用します。
フロントエンドとバックエンドをT2ミディアムEC2インスタンスに作成し、そのバースト可能な機能を使用します。 Rekognition API "RecognizeCelebrities "を呼び出し、JSON形式で情報をフェッチします。バックエンドのサービスでJSONの結果を処理し、フロントエンドのUIに結果を返します。
LambdaでAppを開発し、Rekognition API "SearchFaces "を使用して人物を検索します。入力画像はbase64エンコードされたバイトか、S3オブジェクトを使用します。 APIが返された後、その結果をクライアントに提示します。

あなたの会社の顧客は、ログストリーム、アクセスログ、アプリケーションログ、セキュリティログなどを1つのシステムに統合することを希望しています。
一度統合したら、顧客はこれらのログを仮説に基づいてリアルタイムで分析したいと考えています。
時折、顧客は仮説を検証する必要があり、そのためには過去12時間から抽出したデータサンプルを確認する必要があります。
顧客の要求を満たすには、どのようなアプローチが最適でしょうか？

Amazon Cloud Trailを設定してカスタムログを受信し、EMRを使用してログの仮説検証を処理します。
EC2のSyslogサーバーにAuto Scalingグループを設定し、S3のログを保存して、EMRを使用してログの仮説検証を処理します。
すべてのログイベントをAmazon Kinesisに送信します。ログに仮説検証を処理するためのクライアントプロセスを開発します。
すべてのログイベントをAmazon SQSに送信します。ログを処理し、仮説を検証するEC2サーバーのAuto Scalingグループをセットアップします。

採点する

インフォメーション

結果

結果

カテゴリー

1. 質問

2. 質問

3. 質問

4. 質問

5. 質問

6. 質問

7. 質問

8. 質問

9. 質問

10. 質問