Untitled - #196958 – CloudTech クラウドテック

CloudFront の利点でないものは何ですか？

ウェブサーバーへの負担を軽減
EC2 インスタンスにトラフィックを均等に分散させる
RTMP コンテンツの配信を高速化
静的および動的なウェブコンテンツの配信を高速化

ある会社のネットワークエンジニアリングチームがAWS CloudFormationを使用してVPCインフラストラクチャを展開する任務を唯一、担当しています。会社は、利用可能なCIDR範囲を使用してサブネットを作成できるように、CloudFormationテンプレートを使用してアプリケーションを起動する方法を開発者に与えたいと考えています。この要件を満たす為に何をすべきでしょうか?

cfn-initとcfn-signalsに依存して、利用可能なCIDR範囲をスタックに通知するAmazon EC2リソースを使用して、CloudFormationテンプレートを作成します。
VPC Flow Logsのトラフィックアクティビティを分析し、利用可能なCIDR範囲をレポートするカスタムリソースを持つCloudFormationテンプレートを作成します。
利用可能なCIDR範囲を選択するために、サブネットリソース内のFn::Cidr組込み関数を参照するCloudFormationテンプレートを作成します。
AWS LambdaとAmazon DynamoDBを使用して利用可能なCIDR範囲を管理するカスタムリソースを使用して、CloudFormationテンプレートを作成します。

ある企業では、プライベートサブネットのAmazon EC2インスタンスでアプリケーションを実行し、NATゲートウェイを介してサードパーティサービスプロバイダのパブリックHTTPエンドポイントに接続しています。リクエストレートが上昇するにつれて、新しい接続に失敗するようになりました。同時に、NATゲートウェイのErrorPortAllocation Amazon CloudWatchメトリックカウントが増加しています。
次の選択肢の中で、どのアクションが接続性の問題を改善する解決策となりますか？(2つ選んでください)

NATゲートウェイに追加のElastic IPアドレスを割り当てる。
サードパーティサービスプロバイダーにHTTP keepaliveの実装を依頼します。
クライアントインスタンスにTCPキープアライブを実装します。
追加のNATゲートウェイを作成し、新しいNATゲートウェイを導入するためにプライベートサブネットルートテーブルを更新します。
パブリックサブネットに追加のNATゲートウェイを作成し、クライアントインスタンスを複数のプライベートサブネットに分割し、それぞれに異なるNATゲートウェイへの経路を設定します。

AWS がホストする VPN 接続ごとにいくつのトンネルを取得できますか?

4
1
2
8

WebサイトをホストしているEC2が、Webページを提供していません。サーバーは実行中で、サイトが適切に構成されていることを確認しました。考えられる問題は何ですか？

NACLは、ポート80のアウトバウンドを許可していません。
NACLは、ポート1024 ~ 65535のアウトバウンドを許可していません。
NACLは、ポート1024 ~ 65535のインバウンドを許可していません。セキュリティグループがアウトバウンドトラフィックを許可していません。
エフェメラルポート1024 ~ 65535が、リターントラフィック用のアウトバウンドに必要です。サーバーが Web サイトにアクセスするには、それらの同じポートがインバウンドに許可されている必要があります。

あなたは、すべてのAmazon S3バケット(現在作成済みのものと新しく作成されたもの)において、今後ログ記録が有効であることを確認したいと考えてます。どのような種類のトリガーを使うべきですか？

定期的トリガーのみ
設定変更トリガーのみ
設定変更と定期的トリガーの両方
遷移トリガーのみ

あるVPCに1000ホストをサポートするサブネットを作成する必要があります。あなたは非常に大企業を経営しており、できるだけ正確に設計する必要があります。どのようなCIDRを使用する必要がありますか？

/16
/24
/7
/22

AWS Configルールがトリガーされると、AWS Config Eventとして知られるJSONオブジェクトが作成される。このオブジェクトには____属性が含まれており、これは受信側のAWS Lambda関数が評価ロジックの一部として処理する、JSON形式のキー/値ペアのセットである。
___の部分として適切なものは次のうちどれでしょうか？

inputParameters (インプットパラメータ)
invokingEvent (呼び出しイベント)
ruleConfiguration (ルール設定)
mappingTemplate (マッピングテンプレート)

AWS Configコンソールの＿＿ページを使用すると、削除されたリソースや現在記録されていないリソースなど、AWS Configが発見したリソースを調べることができます。
___の部分として適切なものは次のうちどれでしょうか？

スナップショットリスト
設定履歴
リソースインベントリ
リソースデータベース

あなたは、AWSリージョン eu-central-1（フランクフルト）で、Well-Architectedに沿ったマルチAZアプリケーションを実行しています。
アプリケーションはVPCでホストされ、企業のネットワークからのみアクセスされます。
大量データの転送とアプリケーションの管理をサポートするため、複数のプライベート仮想インターフェイスと単一の10Gbps AWS Direct Connect接続を使用しています。
確認の一部として、AWSへの接続の耐障害性を向上させ、追加の接続がAWSの同じDirect Connectルータを共有しないようにすることを決定しました。
アプリケーションのニーズを満たすために、可能な限りの弾力性を提供する必要があります。

どのような選択肢を検討すべきでしょうか？(2つ選んでください)

同じDirect Connectionの場所に2つ目の10Gbps Direct Connect接続を設置する。
新しい10Gbps Direct Connect接続のパブリック仮想インターフェイス上にIPsec VPNを導入する。
eu-west-1のDirect Connectロケーションに、2つ目の10Gbps Direct Connect接続を導入する。
eu-west-1リージョンにインターネット経由でIPsec VPNを導入する。
eu-central-1用の2番目の10Gbps Direct Connect接続を2番目のDirect Connectロケーションに導入する。

HTTP ヘルスチェックが失敗する可能性がある理由は何ですか?（2 つ選んでください。）

インスタンスへのポート 80 をブロックするセキュリティグループ
HTTP サーバ未実行
インターネットゲートウェイなし
インスタンスへのポート 443 をブロックする NACL

us-east-1 リージョンに複数の VPC を持つ会社は、ワークロードのコストを削減したいと考えています。ネットワークエンジニアは、Amazon サービスにバインドされたすべてのトラフィックが NAT ゲートウェイを通過していることを確認しました。さらに、共通のサービスにアクセスするために、すべての VPC がハブ VPC にピアリングされます。ネットワークエンジニアは、Amazon Simple Queue Service (Amazon SQS) へのデータ転送コストを削減するために何をすべきですか?

SQS エンドポイントのプライベート DNS 名を無効にします。ドメイン us-east-1.sqs.amazonaws.com の Amazon Route 53 プライベートホストゾーンを作成します。SQS エンドポイントの DNS 名に CNAME レコードを作成します。プライベートホストゾーンを他のすべての VPC と共有します。
SQS エンドポイントのプライベート DNS 名を無効にします。ドメイン sqs.us-east-1.amazonaws.com の Amazon Route 53 プライベートホストゾーンを作成します。SQS エンドポイントの DNS 名へのエイリアスレコードを作成します。プライベートホストゾーンを他のすべての VPC と共有します。
SQS エンドポイントのプライベート DNS 名を有効にします。ドメイン sqs.us-east-1.amazonaws.com の Amazon Route 53 プライベートホストゾーンを作成します。SQS エンドポイントの DNS 名に CNAME レコードを作成します。プライベートホストゾーンを他のすべての VPC と共有します。
SQS エンドポイントのプライベート DNS 名を有効にします。ドメイン us-east-1.sqs.amazonaws.com の Amazon Route 53 プライベートホストゾーンを作成します。 SQS エンドポイントの DNS 名へのエイリアスレコードを作成します。プライベートホストゾーンを他のすべての VPC と共有します。

ネットワークへの2つのDirect Connect接続と2つのVPN接続があります。サイトAはVPN 10.1.0.0/24 AS 65000 65000、サイトBはVPN 10.1.0.252/30 AS65000、サイトCはDX 10.0.0.0/8 AS 65000、サイトDはDX 10.0.0.0/16 AS 65000 65000 65000です。AWSは、ネットワークに到達するためにどのサイトを選択しますか?

サイトA：VPN 10.0.1.0/24 AS 65000 65000
サイトB：VPN 10.0.1.252/30 AS 65000 65000
サイトC：DX 10.0.0.0/8 AS 65000
サイトD：DX 10.0.0.0/16 AS 65000 65000 65000

ある企業は、リモートユーザーが AWS クラウド内の企業リソースにアクセスできるようにする必要があります。同社には、VPC ピアリングを介して接続された 2 つの VPC があります。リモートユーザーは、ラップトップコンピューターから安全な接続を使用して、両方の VPC のリソースにアクセスできる必要があります。この会社は、追加のコストや労力を必要とするアクセス管理ソリューションの実装を望んでいません。これらの要件を満たすソリューションはどれですか?

1 つの VPC に AWS Client VPN エンドポイントをデプロイし、サブネットを関連付けて、ターゲットネットワークを定義します。ターゲット VPC へのクライアントアクセスを承認するルールを追加し、ピアリングされた VPC へのクライアントアクセスを承認するルールを追加します。両方の VPC のリソースセキュリティグループを更新して、サブネット関連付けのセキュリティグループからのトラフィックを許可します。ユーザーに、AWS マネジメントコンソールにサインインし、クライアント VPN に移動してクライアント VPN エンドポイントに接続するように指示します。
両方の VPC に AWS Client VPN エンドポイントをデプロイし、サブネットを関連付けて、ターゲットネットワークを定義します。各ターゲット VPC へのクライアントアクセスを承認するルールを追加します。両方の VPC のリソースセキュリティグループを更新して、サブネットの関連付けに対して、各 VPC のセキュリティグループからのトラフィックを許可します。ユーザーに構成オプションを安全に送信し、クライアント VPN をラップトップにインストールするようユーザーに指示します。リソースにアクセスするには、両方のクライアント VPN エンドポイントに同時に接続するようにユーザーに指示します。
会社のリソースの前に Network Load Balancer をデプロイします。各ユーザーのラップトップの IP アドレスを含むセキュリティグループを設定します。 TCP 経由で安全にアプリケーションに接続するようにユーザーに指示します。
1 つの VPC に AWS Client VPN エンドポイントをデプロイし、サブネットを関連付けて、ターゲットネットワークを定義します。ターゲット VPC へのクライアントアクセスを承認するルールを追加し、ピアリングされた VPC へのクライアントアクセスを承認するルールを追加します。両方の VPC のリソースセキュリティグループを更新して、サブネット関連付けのセキュリティグループからのトラフィックを許可します。ユーザーに構成オプションを安全に送信し、クライアント VPN をラップトップにインストールするようユーザーに指示します。クライアント VPN エンドポイントに接続してリソースにアクセスするようにユーザーに指示します。

空白を埋めてください

VPCのセキュリティグループの基本的な特性の1つは、______ということです。

許可ルールは指定できるが、拒否ルールは指定できない
拒否ルールは指定できるが、許可ルールは指定できない
許可ルールと拒否ルールを指定できる
許可ルールも拒否ルールも指定できない

データセンターと VPC の間に動的 VPN を構成しました。ルーターはトンネルが稼働しており、BGP がアクティブであると表示していますが、何らかの理由でルートが伝搬されていません。最も可能性の高い理由は何でしょうか。

BGP のためにファイアウォールを設定する必要があります。
ルーターが BFD をサポートしていません。
新しい BGP MD5 キーを取得する必要があります。
ルートテーブルでルートプロパゲーションを「yes」に設定し忘れています。

ある企業は、データセンターのオンプレミスリソースと通信できる必要がある、Amazon VPCで実行されているアプリケーションを持っています。AWS とデータセンター間のネットワークトラフィックは、最初は最小値ですが、今後数カ月で 10 Gbps 以上に増加する予定です。企業のゴールは可能な限り早くアプリケーションを公開することです。ネットワークエンジニアは、ハイブリッドなIT接続ソリューションの設計を依頼されました。これらの要件を満たすために何をすべきですか？

1 GbpsのAWS Direct Connect接続リクエストを送信し、必要に応じてDirect Connect接続数を増加させる。
オンプレミスのリソースに一時的にアクセスするために、Amazon EC2インスタンスにElastic IPを割り当て、Amazon VPCとデータセンター間のAWS VPN接続をプロビジョニングさせる。
Amazon VPCとデータセンター間のAWS VPN接続をプロビジョニングし、AWS Direct Connect接続リクエストを送信する。その後、必要に応じてVPN接続から1つまたは複数のDirect Connect接続に切り替える。
Amazon VPCとデータセンター間で100MbpsのAWS Direct Connect接続をプロビジョニングし、Direct Connect接続リクエストを送信します。その後、必要に応じて、ホスト接続から1つまたは複数のDirect Connect接続に切り替える。

あなたの会社は、米国市場向けのアプリケーションをAWSのus-east-1リージョンで運用しています。
このアプリケーションは、Amazon Elastic Compute Cloud（EC2）インスタンス上で実行しており、独自のTCPとUDPのプロトコルを使用しています。
エンドユーザーは、ローカルPC上でリアルタイムのフロントエンド・アプリケーションを実行しています。
このフロントエンド・アプリケーションは、サービスのDNSホスト名を知っています。
あなたは、グローバル展開に対応したシステムを用意しなければならず、エンドユーザーに最も低いレイテンシーでアプリケーションにアクセスさせなければなりません。

これらの要件を満たすために、AWSのサービスをどのように利用すればよいのでしょうか。

hostsにサービスのIPアドレスをAmazon Route 53のレイテンシーベースのルーティングポリシーのAレコードとして登録し、hostsにRoute 53のヘルスチェックを設定する。
サービスのhostsの前にELB（Elastic Load Balancing）ロードバランサーを設定し、Route 53 のレイテンシーベースのルーティングポリシーを持つ ALIAS レコードとしてメインサービスホストの ELB 名を登録する
サービスのhostsの前にAmazon CloudFrontを設定し、Route 53にALIASレコードとしてメインサービスのCloudFront名を登録する。
サービスの前にAmazon APIゲートウェイを設定し、Route 53のALIASレコードにメインサービスのAPIゲートウェイ名を登録する。

あなたは、複数のAmazon Glacier Vaultを監視したいと考えています。どのようにそれらのVaultを監視することができますか？

AWS Configのカスタムルールを作成する
AWS Configのマスタールールを使用する。
AWS Configのマネージドルールを使用する。
KMSポリシーを作成し、Amazon GlacierのVaultにアタッチします。

あるゲーム会社は、複数のAWSリージョンでオンラインマルチプレイヤーゲームを運営しています。同社は、エンドユーザーからのトラフィックを、地理的にエンドユーザーに最も近いリージョンにルーティングする必要があります。また、あるリージョンでメンテナンスが発生した場合、エンドユーザーが接続に使用するIPアドレスを変更することなく、トラフィックを次に近いリージョンにルーティングする必要があります。これら要件を満たすのはどのソリューションでしょうか？

すべてのリージョンの前に、Amazon CloudFrontディストリビューションを作成します。
Amazon Route 53 地理的近接性ルーティングポリシーを使用して、トラフィックを最も近いリージョンに流します。
Amazon Route 53 位置情報ルーティングポリシーを使用して、トラフィックを最も近いリージョンに流します。
すべてのリージョンの前にAWS Global Acceleratorを設定します。

ある企業が、VPC内の2つのAmazon EC2インスタンスで重要なアプリケーションを運用しています。EC2インスタンスへのクライアント接続で失敗したものは会社のポリシーに従ってログに記録しなくてはなりません。要件を満たすために最もコスト効率の良いソリューションは何ですか？

EC2インスタンスを専用VPCに移動します。VPCフローログをdenyアクションのフィルターで有効化します。Amazon CloudWatch Logsにフローログを発行します。
EC2インスタンスを専用VPCサブネットに移動します。 rejectアクションのフィルターを使用して、サブネットのVPCフローログを有効にします。フローログをAmazon Kinesis Data Firehoseストリームを使ってAmazon S3バケットに発行します。
インスタンスに関連付けられたElastic Network Interfacesに対してVPCフローログを有効にして、リジェクトされたトラフィックを検出するようフィルター設定します。フローログをAmazon Kinesis Data Firehoseストリームを使ってAmazon S3バケットに発行します。
インスタンスに関連付けられたElastic Network Interfacesに対してVPCフローログを有効化して、リジェクトされたトラフィックを検出するようフィルター設定します。Amazon CloudWatch Logsにフローログを発行します。

ある宇宙開発会社が、夜空の画像やデータを大量に撮影する望遠鏡を所有しています。

画像とデータは、Application Load Balancer（ALB）に割り当てられたターゲットグループのAWS Fargateでホストされるアプリケーションで処理されています。このアプリケーションは、https://space.example.com というアドレスで利用できるようになっています。

科学者は、Auto Scalingグループ内の複数のAmazon EC2インスタンスでホストされる別のカスタムビルドアプリケーションを必要としていて、アドレスhttps://space.example.com/meteor から利用できるようになる予定です。

この会社は、一晩の少数リクエストから、将来の流星群を見越した大量リクエストまで対応可能な、自動的にスケールするソリューションを必要としています。これらの要件を満たす、運用上最も効率的なソリューションは何でしょうか？

既存のターゲットグループを、新しいEC2インスタンスで更新し、そのALBに「 /meteor が新しく追加したEC2インスタンスにリダイレクトする」というリスナールールを追加して更新します。
ターゲットグループを新規に作成します。EC2インスタンスのAuto Scalingグループが、このターゲットグループを使用するように設定します。/meteorを新しいターゲットグループにリダイレクトするリスナールールを追加し、既存のALBを更新します。
Network Load Balancer(NLB)を作成します。 NLBを2つのポートでリッスンするように構成します。1つ目のポートのターゲットグループを設定し、カスタムイメージを処理するために、すべてのIPトラフィックをAuto Scalingグループに流すようにします。2番目のポートのターゲットグループを設定し、すべてのIPトラフィックをFargateに流すようにします。 ALBでパスベースルーティングを使用して、URLプレフィックスが/meteorのトラフィックを最初のターゲットグループにルーティングします。その他のパスはすべて、2番目のターゲットグループにルーティングします。
Amazon CloudFrontディストリビューションの背後にALBを配置します。Lambda@Edge関数を作成し、リクエストURIを解析してEC2インスタンスのIPアドレスを含むpath-patternヘッダを /meteor へのリクエストに追加するようにします。HTTPヘッダーを検索し、EC2インスタンスのIPアドレスを使用してトラフィックを転送するリスナールールをALBに追加します。

会社の AWS への VPN を構成しています。VGW と CGW を設定しました。VPN を作成しました。また、ルーターで必要なコマンドを実行しました。データセンターと VPC 間のすべての TCP および UDP トラフィックを許可しました。トンネルはまだ有効になりません。最も可能性の高い理由は何ですか?

ルートテーブルのルートプロパゲーションをオンにするのを忘れています。
パブリック ASN を持っていません。
アドバタイズされたサブネットが大きすぎます。
ファイアウォールにプロトコル 50 が追加されていません。

あなたの会社のある部門は、組織の連結請求ファミリーに属さない新しいアカウントを作成しました。
この部門はワークロードのためにVPCを作成しました。アクセスは、部門のオンプレミスプライベートIP割り当てへのNetwork ACLによって制限されます。
このVPCのAWS Direct Connectプライベート仮想インターフェースは、社内ネットワークへのデフォルトルートをアドバタイズしています。

部門がその新しいVPC内のAmazon EC2インスタンスからデータをダウンロードするとき、関連する料金はどれですか？

会社が負担するインターネットデータアウトの料金
会社が負担するAWS Direct Connect データアウト料金
部門が負担するインターネットデータアウト料金
部門が負担するAWS Direct Connect データアウト料金

あなたは、インターネットアクセスを必要とするプライベートサブネット内にEC2インスタンスを構築しました。
このソリューションの要件の1つは、ホワイトリスト上の特定のURLへのアクセスのみを制限することです。
ホワイトリストのURLに加えて、インスタンスは同じリージョンにあるAmazon S3バケットに任意のURLでアクセスできる必要があります。

次のうち、どのソリューションを導入すべきでしょうか。(2つ選んでください。)

s3.amazonaws.comをホワイトリストに含める。
S3用のVPCエンドポイントを作成する。
NATインスタンスでSquidプロキシを実行する。
VPCにNATゲートウェイを導入する。
セキュリティグループを利用してアクセスを制限する。

ある企業には、高可用性を提供するために 2 つの AWS Direct Connect 接続を備えたハイブリッド IT アーキテクチャがあります。オンプレミスでホストされているサービスは、パブリック IP を使用してアクセスでき、172.16.0.0/16 の範囲にもあります。 AWS リソースは 192.168.0.0/18 の範囲にあります。同社は SSL オフロード、ヘルスチェック、スティッキーセッションのために Amazon Elastic LoadBalancing を使用したいと考えています。これらの要件を満たすにはどうすればよいですか?

オンプレミスサーバーのプライベート IP アドレスを指すネットワークロードバランサーを作成します。
オンプレミスサービスのAmazon CloudFrontディストリビューションを作成し、オンプレミスサーバーのパブリックIPをオリジンとして使用します。
オンプレミスサーバーのパブリックIPアドレスを指すネットワークロードバランサーを作成します。
オンプレミスのサーバーのプライベートIPアドレスを指すアプリケーションロードバランサーを作成します。

あなたは、VPC内でWebサーバーを複数のAmazon Elastic Compute Cloud（EC2）インスタンス実行しており、セキュリティグループとNetwork ACLが設定されています。
あなたは、インスタンス上のすべてのネットワークトラフィックのレイヤー7プロトコルレベルのロギング（ACCEPT / REJECT）を確認する必要があります。

このタスクを完了するには、何を有効にする必要がありますか？

VPCレベルのCloudWatchログ
インスタンスレベルでのパケットスニッフィング
サブネットレベルのVPCフローログ
VPCレベルでのパケットスニッフィング

AWS ConfigサービスCLIの____ コマンドを使用すると、特定のタイプの各AWSリソースのコンプライアンス状態を確認することができます。
___の部分として適切なものは次のうちどれでしょうか？

describe-compliance-by-resource (リソースによりコンプライアンスを記述する)
get-compliance-details-by-config-rule （詳細設定ルールによるコンプライアンスを取得する。)
describe-compliance-by-config-rule （設定ルールによるコンプライアンスを記述する。)
get-compliance-details-by-resource （リソースごとのコンプライアンス詳細を取得する。)

2 つのVPCをピアリングし、これから展開を計画しているインスタンスのパフォーマンスを改善する必要があります。これを行うには、どのような手順を実行しますか? (2 つ選択してください)

同じAZ内に2つのサブネットを作成し、プレイスメントグループを作成します。
インスタンスのMTUを1500に設定します。
異なるAZに2つのサブネットを作成し、プレイスメントグループを作成します。
拡張ネットワーキングを使用するインスタンスを選択します。

あなたは政府機関と仕事をしています。VPN の暗号化標準を選択する必要があります。どの規格を選択する必要がありますか?

Twofish
Blowfish
TripleDES
AES

CloudTrail セキュリティレイヤーを直接管理するには、CloudTrail ログファイルに ____ を使用できます。

SSE-S3
SCE-KMS
SCE-S3
SSE-KMS

あなたは会社のネットワークエンジニアであり、VOIP プログラムをホストしているインスタンスへのトラフィックで QoS の問題に気付いています。ネットワークパケットを調べて、プログラミングエラーかネットワークエラーかを判断する必要があります。どのようにすればよいのでしょうか？

インスタンスごとにネットワーク監視プログラムを設定し、ログを S3 バケットに流して解析します。
CloudWatch を利用します。
監視用インターフェースとして動作するように ENI を追加した別のインスタンスをセットアップします。ポートを「プロミスキャスモード」に設定し、トラフィックをスニッフィングしてパケットを解析します。そして、この単一のストリームを S3 バケットに出力して解析します。
フローログを調査します。

あなたの会社は、オンプレミスのデータストアを補強するためにAmazon S3を使用することを決定しました。
会社はネットワークの高度な制御のため、オンプレミスとの接続にインターネットゲートウェイを使用する代わりに、Direct Connect接続を使用してS3への高帯域幅、低遅延のアクセスを実現するため回線を発注しました。
同社はパブリックルーティング可能なIPv4アドレスブロックを所有していないため、パブリックバーチャルインターフェース（VIF）用のAWS所有のアドレスのリクエストが行われました。
セキュリティチームはこの新しい接続を「バックドア」と呼んでおり、あなたは会社にとってのリスクを明らかにするよう求められています。

セキュリティチームからのどの懸念が妥当であり、対処すべきものでしょうか？

AWSはインターネットに集約経路をアドバタイズしており、インターネット上の誰でもルータに到達することができます。
同じリージョンのPublic VIFを持つDirect Connectユーザーはルーターに直接到達することができます。
インターネットにアクセスできる同一リージョンのEC2インスタンスは、ルーターに直接到達することができます。
S3サービスは、事前に設定されたVPC Endpointを介してルーターに到達することができます。

あなたの会社はIPv4からIPv6への移行に取り組んでいますが、パブリックネットワーク内のインスタンスにパブリックIPv6アドレスをアタッチすることによるセキュリティの問題について懸念しています。現在、NATを使用して、インスタンスのアウトバウンドトラフィックを許可しています。更新には送信トラフィックが必要です。あなたの会社の懸念を軽減するための2つの選択肢は何ですか?（2つ選んでください。）

セキュリティグループ内の ::/0 インバウンドを許可するルールをすべて削除します。
NACLで::/0インバウンドをブロックします。
Egress-Onlyインターネットゲートウェイを作成します。
NACLで0.0.0.0/0のインバウンドをブロックします。

ロードバランサーを使用するWebサイトを管理しています。サーバーの1つが他のサーバーよりも多くのトラフィックを受信していることに気付きました。これの原因はおそらく何ですか？

Elastic Load Balancerは、サーバーの負荷に応じてトラフィックを送信します。1つのサーバーはより大きなインスタンスである必要があります。
DNSのレイテンシールーティングが設定されているため、トラフィックが別のインスタンスに転送されています。
スティッキーセッションが設定されており、たまたま別のサーバーに複数のパワーユーザーがいます。
サーバーが利用できる接続数が増えています。

統計の生成に使用される CloudWatch の属性はどれですか?

全てのオプションが使用される
ディメンション
データポイント単位
名前空間

米国にある AWS Direct Connect から米国のリモート AWS リージョンにアクセスすることについて、正しくない記述はどれですか?

リモートリージョンの VPC に接続するには、パブリック仮想インターフェイスを介した仮想プライベートネットワーク (VPN) 接続を使用することができます。
リモートリージョンのパブリックリソースにアクセスするには、パブリック仮想インターフェイスをセットアップし、ボーダーゲートウェイプロトコル (BGP) セッションを確立する必要があります。
パブリック仮想インターフェイスがあり、そこに BGP セッションを確立した場合、ルーターは米国内の他の AWS リージョンのルートを学習します。
リモートリージョンからのデータ転送は、AWS Direct Connect のデータ転送料金の場所で請求されます。

Amazon CloudFront アクションのコンテキストでは、IAM ポリシーで API を指定するときに _____ を使用します。

オブジェクト名
クラス名
エンティティ名
アクション名

172.16.12.0/24 の CIDR ブロックで新しい VPC a をプロビジョニングしました。 CIDR ブロック全体を 6 つのサブネットに細分化し、これらを Subnet1 から Subnet6 と呼び、全てを利用します。最初の 2 つのサブネット (Subnet1 と Subnet2) は同じサイズです。最後の 4 つのサブネット (Subnet3、Subnet4、Subnet5、Subnet6) も同じサイズです。 Subnet5 は Subnet2 の半分のサイズです。最初の 2 つのサブネットが占有するアドレス空間は連続しており、最後の 4 つのサブネットが占有するアドレス空間も同様です。 Subnet3 内で、AWS は VPC ルーター用にアドレス 172.16.12.129 を予約します。Subnet2 の DNS 用に AWS が予約した正しい IP アドレスを選択して下さい。

172.16.64.1
172.16.64.65
172.16.12.66
172.16.12.64

www、FTP、および mail を提供するサーバーがあります。 www.mydomain.com、ftp.mydomain.com、および mail.mydomain.com を使用して、このサーバーにアクセスする必要があります。IP を変更しても、他の変更が最小限になるようにしたいと考えています。最適なソリューションは何ですか?

PTR レコードを作成し、サーバーの IP アドレスを www、ftp、および mail に戻します。
サーバーの IP アドレスを指す A レコードを作成し、www、ftp、mail の CNAME レコードを作成して、それらを A レコードにポイントします。
www、ftp、mail の A レコードを作成し、サーバーの ALIAS を指すようにします。
www、ftp、mail の CNAME レコードを作成し、AWS からインスタンスに既に提供されている A レコードを指すようにします。

VPC に2つのプレイスメントグループがあります。 2つのプレイスメントグループ間でどの程度の通信速度が期待できますか?

5Gbps
10Gbps
20Gbps
2つのプレイスメントグループ間での通信はできません。

あるVPCに14台のホストをサポートするサブネットを作成する必要があります。あなたは大企業を経営しているので、できるだけ正確にする必要があります。次のうちどのCIDRを使用すれば良いですか？

/28
/24
/25
/27

プレイスメントグループについて正しい記述はどれですか?（2つ選んでください。）

1 つのプレイスメントグループは、複数の VPC にまたがることができます。
プレイスメントグループは、複数のアベイラビリティゾーンにまたがることができます。
プレイスメントグループを結合することはできません。
同じインスタンスタイプでプレイスメントグループを構成するのがベストです。

AWS CloudTrail を使用すると、1 つのリージョンに複数の証跡を作成することで、____ は AWS 運用の 1 つの側面に集中できます。

呼び出し元
イベント
バケット
ステークホルダー

あるセキュリティチームは、Amazon Elastic Compute Cloud（EC2）インスタンスのすべてにホストベースのファイアウォールを実装し、すべての送信トラフィックをブロックしています。
例外が発生した場合は、特定の要件ごとにリクエストする必要があります。
新しいルールをリクエストするまで、あなたはインスタンスのメタデータサービスにアクセスすることはできません。

インスタンスメタデータへのアクセスを許可するために、どのファイアウォールルールをインスタンスに追加するようリクエストする必要がありますか？

インバウンド; プロトコル tcp; ソース [インスタンスのEIP]; 宛先 169.254.169.254
インバウンド；プロトコルtcp；宛先169.254.169.254；宛先ポート80
アウトバウンド；プロトコルtcp；宛先169.254.169.254；宛先ポート80
アウトバウンド；プロトコルtcp；宛先169 .254.169.254；宛先ポート443

ある会社は、CIDR ブロック 33.16.0.0/16 を使用して本番用 Amazon VPC をデプロイしました。同社はアドレスをほとんど使い果たしており、現在 VPC ネットワークを拡張する必要があります。セカンダリ CIDR を使用して VPC ネットワークを拡張するという会社の要件を満たす CIDR ブロックはどれですか? （2つ選んでください)。

33.17.0.0/16
172.16.0.0/18
100.70.0.0/17
192.168.1.0/24
10.0.0.0/8

パケットヘッダーの DSCP 値を確認するには、どのサービスを使用しますか?

CloudTrail
Config
フローログ
上記のどれでもない

Amazon CloudFront に関して、次の記述のうち正しいものはどれですか?

HTTPS の Web ディストリビューションの場合、Cookie をオリジンに転送することはできません。
HTTP と HTTPS 両方の Web ディストリビューションで、Cookie をオリジンに転送するかどうかを選択することができます。
HTTP の Web ディストリビューションでは、Cookie をオリジンに転送することはできません。
RTMP（Real Time Messaging Protocol）配信の場合、CloudFront で Cookie を処理するように設定することが可能です。

「セキュリティグループ 1」を使用する「サブネット 1」のインスタンスへのすべてのトラフィックを許可するには、どのような 2 つのオプションが構成されている必要がありますか？(2つを選んでください)。

0.0.0.0/0 から「サブネット1 」へのアクセスを許可する NACL のルール
「セキュリティグループ1」で 0.0.0.0/0 のインバウンドを許可するセキュリティグループのルール
「セキュリティグループ1」において、0.0.0.0/0 へのアウトバウンドトラフィックを許可するセキュリティグループのルール
0.0.0.0/0 から「セキュリティグループ 1」にアクセスを許可する NACL のルール

ある企業は、us-west-1リージョンと、ap-southeast-2リージョンにそれぞれVPCを持っています。ネットワークエンジニアは、この企業のデータセンターからus-east-1リージョンにAWS Direct Connectの接続をセットアップします。Direct Connectゲートウェイを参照するプライベート仮想インターフェース（VIF）を作成し、それを両方のVPCにある仮想プライベートゲートウェイに接続します。セットアップが完了したとき、 ap-southeast-2 から us-west-1 のリソースにアクセスできません。この問題を解決するために、ネットワークエンジニアは何をすべきですか？

us-west-1とap-southeast-2のVPCのサブネット範囲を、両方のVPCのルートテーブルに追加します。Direct Connectゲートウェイをターゲットとして追加します。
ap-southeast-2とus-west-1のVPC間でトラフィックをルーティングするために、Direct Connectゲートウェイを設定します。
ap-southeast-2とus-west-1のVPC間でVPCピアリング接続を確立します。ルーティングテーブルにサブネット範囲を追加します。
各VPCに、仮想プライベートゲートウェイをルートターゲットとして、転送先VPCを指すスタティックルートを作成します。

ある企業は、アプリケーションをオンプレミスのデータセンターからAWSに移行しようとしています。
計画準備の一環として、DNSについて以下の要件が確認されました。
・オンプレミスシステムは、Amazon Route 53 プライベートホストゾーンのエントリーを解決できる必要がある
・組織のVPCで稼働するAmazon EC2インスタンスは、オンプレミスシステムのDNS名を解決できる必要がある
組織のVPCではCIDRブロック172.16.0.0/16を使用しています。

DNSネームスペースの重複がないと仮定して、これらの要件を満たすにはどうしたらよいでしょうか。

VPCに設定されているDHCPオプションを、Amazon提供のDNSサーバーとオンプレミスのDNSシステムの両方を使用するように変更する。オンプレミスDNSシステムにスタブゾーンを設定し、ネームサーバー172.16.0.2をRoute 53プライベートホストゾーンの権威として委譲する。
DNSプロキシとして動作するように、EC2インスタンスのセットを会社のVPCに導入して構成する。オンプレミスドメインのクエリーをオンプレミスのDNSシステムに転送し、他のすべてのクエリーを172.16.0.2に転送するようにプロキシを構成する。VPCに設定されているDHCPオプションを、新しいDNSプロキシを使用するように変更する。オンプレミスDNSシステムをスタブゾーンで構成し、ネームサーバー172.16.0.2をRoute 53プライベートホストゾーンの権威として委譲する。
DNSプロキシとして動作するように、EC2インスタンスのセットを会社のVPCに導入して構成する。オンプレミスドメインのクエリをオンプレミスのDNSシステムに転送し、その他のクエリをAmazonが提供するDNSサーバー（172.16.0.2）に転送するようにプロキシを構成する。VPCに設定されているDHCPオプションを、新しいDNSプロキシを使用するように変更する。オンプレミスDNSシステムをスタブゾーンで構成し、プロキシをRoute 53プライベートホストゾーンの権威として委譲する。
VPCに設定されているDHCPオプションを変更して、オンプレミスのDNSシステムの両方を使用するようにする。スタブゾーンでオンプレミスDNSシステムを構成し、Route 53プライベートホストゾーンのネームサーバーをRoute 53プライベートホストゾーンの権威として委譲する。

CloudWatch からアラートを送信するために使用されるサービスは次のうちどれですか?

AWS SNS
AWS EBS
AWS SES
AWS SQS

顧客の会社で、新たに1GbpsのAWS Direct Connect接続が設置されました。
あなたは、同じ施設内のルーターのポートにDirect Connectロケーションのプロバイダからクロスコネクトを注文しました。
最初の仮想インターフェイスの使用を有効にするには、ルーターを適切に設定する必要があります。

ルーターに最低限必要なものは何ですか？

1Gbpsマルチモードファイバーインターフェース、802.1Q VLAN、ピアIPアドレス、BGP、MD5認証
1Gbpsシングルモードファイバーインターフェース、802.1Q VLAN、ピアIPアドレス、BGP、MD5認証
IPsecパラメータ、事前共有鍵、ピアIPアドレス、BGP、MD5認証
BGP、MD5認証、802.1Q VLAN、ルートマップ、プレフィックスリスト、IPsecで暗号化されたGREトンネル

あなたは、10.0.0.0/16ネットワークへのDX接続とバックアップとしてのVPN接続を持っていますが、DX接続をホストしているコロケーションプロバイダーがまもなくメンテナンスを行うという通知を受け取りました。この期間中にダウンタイムや遅延が発生しないようにすることが重要です。どのような対処が最適でしょうか？

VPNを動的ではなく静的VPNとして構成する。
DX接続にAS_PATH Prependingを設定し、優先度の低い経路にする。
VPN接続で10.0.0.0/9と10.128.0.0/9をアドバタイズする。
上記のどれでもありません。

AWS Configのルールがトリガーされると、AWS Config Eventと呼ばれるJSONオブジェクトが作成されます。このオブジェクトは、その ____ パラメータ内に別の JSON 文字列を含み、それはルールをトリガーしたイベントを記述する。
___の部分として適切なものは次のうちどれでしょうか？

resultToken
eventLeftScope
invokingEvent
configRuleName

あなたは、PCI 準拠のために e ビジネスアプリケーションを設計しています。コンプライアンス要件を満たすには、Web アプリケーションのログを監視して、悪意のあるアクティビティを特定する必要があります。また、Web インスタンスのネットワークインターフェイスを変更しようとするリモートの試みを監視する必要があります。どの 2 つのAWSサービスがこの目標を達成するのに役立ちますか？

Amazon CloudWatch Logsと VPC のフローログ
AWS CloudTrail と VPC のフローログ
AWS CloudTrail と CloudWatch Logs
AWS CloudTrail と AWS Config

AWS Config の設定ストリーム内のデータを分析する際にベストプラクティスと見なされるエンドポイントはどれですか?

SNS
Eメール
SQS
キネシス

クレジットカード情報を扱うPCI DSS（Payment Card Industry Data Security Standard）加盟店は、強力な暗号技術を使用することが求められます。
また、これらの加盟店は、公共ネットワークでの通信中に機密データを保護するためのセキュリティプロトコルを使用する必要があります。
あるチームは、PCI DSSアプリケーションをオンプレミスのSSLアプライアンスとApacheから、Amazon CloudFrontの背後にあるVPCに移行する予定です。

この要件を満たすために、CloudFrontをどのように設定すればよいのでしょうか。

CloudFront Cache BehaviorをHTTPSに設定し、CloudFront Originのプロトコルポリシーを'Match Viewer'に設定する。
TCP接続を許可し、エッジでTLS終了せずにすべてのリクエストをオリジンに転送するようにCloudFront Cache Behaviorを構成する。
CloudFront Cache BehaviorでHTTPSを要求し、AWS Direct Connect経由でオリジンにリクエストを転送するように設定する。
HTTPリクエストをHTTPSにリダイレクトし、Amazonプライベートネットワーク経由でリクエストをオリジンに転送するようCloudFront Cache Behaviorを設定する。

組織のコーポレートサイトは、www.ami.com、ami.comが利用可能である必要があります。
この要件を満たすために、Amazon Route 53をどのように構成する必要がありますか？

ELBをターゲットとするALIASレコードのami.com、ELBをターゲットとするALIASレコードのwww.ami.comを設定する。
ELBをターゲットにしたAレコードのami.comを構成する。www.ami.comをターゲットにしたCNAMEレコードのami.comを構成する。
ELBをターゲットにしたCNAMEレコードのami.comを構成する。www.ami.comをターゲットにしたCNAMEレコードのami.comを構成する。
ELBをターゲットにした2番目のALIASレコードを使用するami.comを設定する。ami.com レコードをターゲットとする PTR レコードを使用する www.ami.comを設定する。

VPC には、99 のルートをアドバタイズする DX 接続があります。 10.223.1.0/24 と 10.223.2.0/24 という 2 つのプレフィックスを追加する必要があります。複数の場所があるため、ルートをできるだけ正確に指定する必要があります。どのようにしますか?

プレフィックスを追加します。 AWS では、必要な数の BGP ルートが許可されますが、静的なルートは許可しません。
アドバタイズできるプレフィックスの数を拡張するには、AWS にお問い合わせください。
ルートを 10.223.0.0/22 に要約し、代わりにそのルートをアドバタイズします。
ルートを 10.223.0.0/12 に要約し、代わりにそのルートをアドバタイズします。

ある会社が、us-east-1 と eu-west-1 リージョンのApplication Load Balancersの背後に example.com という名前でアプリケーションをホストしています。地理的に最も近いリソースにユーザーをルーティングする必要があります。アプリケーションがUnhealthyの場合、ユーザーをアプリケーションにルーティングしてはいけません。ネットワークエンジニアは、クライアントをexample.comにルーティングするために、Amazon Route 53をどのように設定する必要がありますか？

ロードバランサーを指定した latency.example.comに、加重ルーティングポリシーを使用してHTTP ヘルスチェックを関連付けます。example.comのフェイルオーバーレコードを設定します。プライマリエイリアスレコードをlatency.example.comに向け、対象のヘルス評価の設定を有効にします。セカンダリレコードを、Amazon S3でホストされる静的なHTMLメンテナンスページに向けます。
ロードバランサーを指定した latency.example.com で CNAME レイテンシーベースレコードを設定し、HTTP ヘルスチェックを関連付けます。example.comのフェイルオーバーレコードを設定します。プライマリエイリアスレコードをlatency.example.comに向け、対象のヘルス評価の設定を有効にします。セカンダリレコードを、Amazon S3でホストされる静的なHTMLメンテナンスページに向けます。
ロードバランサーを指定したlatency.example.comで地理的近接性ルーティングポリシーを使用するように設定し、HTTP ヘルスチェックを関連付けます。example.comのフェイルオーバーレコードを設定します。プライマリエイリアスレコードをlatency.example.comに向け、対象のヘルス評価の設定を有効にします。セカンダリレコードを、Amazon S3でホストされる静的なHTMLメンテナンスページに向けます。
ロードバランサーを指定した latency.example.com をエイリアスでレイテンシーベースレコードとして設定、対象のヘルス評価の設定を有効にし、HTTP ヘルスチェックを関連付けます。example.comのフェイルオーバーレコードを設定します。プライマリCNAMEレコードをlatency.example.comに向け、HTTPヘルスチェックを関連付けます。セカンダリレコードを、Amazon S3でホストされる静的なHTMLメンテナンスページに向けます。

あなたは、プレイスメントグループ内の2つの拡張ネットワーキング機能を持つインスタンスを持っています。1台はIntelのネットワークインターフェイス、もう1台はENAを搭載しています。この2つの間で達成されるネットワーク速度はどのようになりますか？

10Gbps
20Gbps
5Gbps
プレイスメントグループ内に異なるネットワークインターフェイスを持つことはできません。

あなたの会社には、2 つの Direct Connect 接続と1 つのバックアップ VPN 接続を利用する高可用性ハイブリッドソリューションがあります。何らかの理由で、トラフィックは直接接続ではなく VPN 接続を優先しています。 VPN 接続の先頭により長い AS_PATH を追加しましたが、AWS は Direct Connect 接続よりもVPN 接続を優先します。この問題を解決するにはどうすればよいですか?

VPN で特定性の低いプレフィックスをアドバタイズします。
先頭に追加された AS_PATH を削除します。
VPN を動的ではなく静的 VPN として再設定します。
VPN 上の MED を増やします。

ある会社は、VPCへの2つの冗長なAWS Direct Connect接続を持っています。VPCは、1つのDirect Connect接続がプライマリトラフィックパスとして使用されるように、BGPメトリックを使用して構成されています。会社は、プライマリDirect Connect接続が1秒未満でセカンダリに切り替わることを望んでいます。この要件を満たすために何を行うべきですか？

会社のルーターでBGPを設定し、キープアライブを300ミリ秒に、BGPホールドタイマーを900ミリ秒に設定します。
会社のルーターで双方向転送検出（BFD）を有効にし、検出の最小間隔を300ミリ秒、BFDの有効性検出の倍率を3倍に設定します。
会社のルーターでデッドピア検出（DPD）を有効にし、検出の最小間隔を300ミリ秒、DPDのライブ検出の倍率を3に設定します。
会社のルーターで双方向転送検出（BFD）エコーモードを有効にし、インターネット制御メッセージプロトコル（ICMP）IPパケット要求の送信を無効にします。

AWS Configを使用する際、その運用の一環としてS3上に保存される項目はどれか。

設定項目と設定履歴
設定レコーダーと設定スナップショット
設定履歴と設定スナップショット
設定スナップショットおよび設定ストリーム

Cookie をオリジンに転送するように Amazon CloudFront を設定していない場合、正しいものは次のうちどれですか?

CloudFront は、オリジンに転送するリクエストから Cookie ヘッダーを削除します。
CloudFront は、すべての Cookie を含め、オリジンへのビューアーリクエストを無効にします。
CloudFront は Cookie の値に基づいてオブジェクトをキャッシュします。
CloudFront は任意のインスタンスへのコードのデプロイを自動化します。

あなたの会社ではAWSアカウントを1つ運用しています。
ネットワークスキャンやコンプライアンスツールなど共有サービスを提供する目的で、共通サービス用VPCを設置しています。
各AWSワークロードは独自のVPCを使用し、各VPCは共通サービスVPCとピアリングする必要があります。
最も効率的で費用対効果の高い方法を選択する必要があります。

必要なVPCピアリングを自動化するためには、どの方法を用いるべきでしょうか。

AWS CloudTrailとAmazon CloudWatch Logsを統合し、Lambda関数をトリガーにする。
コマンドラインでピアリングリクエストを実行するOpsWorks Chefレシピ
コマンドラインでピアリングリクエストを実行するAWS CloudFormationでCfn-init
ピアリングリクエストを含むAWS CloudFormationテンプレート

RDS サブネットグループのサブネットの最小数はいくつですか?

3
4
1
2

AWS Direct Connect を設定した後、AWS Direct Connect 仮想インターフェイスで実行できないのは次のうちどれですか?

仮想インターフェースを削除することができます。その接続に他の仮想インターフェースがない場合、その接続を削除することができます。
仮想インターフェイスのリージョンを変更することができます。
ホストされた仮想インターフェイスを作成することができます。
複数の仮想インターフェースがある場合、異なる仮想プライベートゲートウェイ（VGW）に接続する同一リージョン内の 2 つのポート間でトラフィックを交換することができます。

TCP/IP モデル内で、送信者と受信者の間の通信のためにトランスポート層の間で使用されるパケットデータユニット (PDU) の名前は何ですか?

フレーム数
パケット数
データ内容
セグメント

ネットワークエンジニアは、プライベートサブネットのアプリケーションサーバーの前に置かれるロードバランサー用にサブネットを作ろうとしています。VPC CIDRには限られた IP スペースが残っています。このアプリケーションのユーザーは現在は少数ですが、急速に成長して数百万人のユーザーになることが予想されます。IPスペースの使用量を最小限に抑えながら、このような成長を可能にするには、どのような設計が必要でしょうか？

Application Load Balancer用に、異なるアベイラビリティゾーンにある2つの/29サブネットを使用します。
Network Load Balancer用に/29サブネットを1つ使用します。将来の拡張を可能にするために、別のVPC CIDRを既存VPCに追加します。
Network Load Balancer用に、異なるアベイラビリティゾーンにある2つの/28サブネットを使用します。
Application Load Balancer用に/28サブネットを1つ使用します。将来の拡張を可能にするために、別のVPC CIDRを既存VPCに追加します。

EC2 インスタンスでメールサーバーをホストしたいと考えています。最大限の信頼性を確保するために必要な 2 つの手順は何ですか?

インスタンスの EIP を作成します。
メールサービスをオープンリレーとして機能するように設定します。
AWS に連絡して Reverse DNS レコードを設定してもらい、SPAM ブラックリストからのドメイン保持に役立てます。
ポート 25、3389、および 22 でインスタンスへのオープンセキュリティグループアクセスを提供します。

あなたは、Amazon WorkSpacesの起動を準備中であり、適切なネットワークリソースを設定する必要があります。

この要件を満たすには、何を設定する必要がありますか？

異なるアベイラビリティゾーンに2つ以上のサブネット
Active Directoryサービスを利用した専用VPC
オンプレミスのActive DirectoryへのIPsec VPN
アウトバウンドトラフィックのためのNAT（Network address translation）

ピアリングした 2 つの VPC があります。 VPC A が VPC 内のインスタンスに到達するためのルートを作成しましたが、インスタンスに ping を実行できません。セキュリティグループと NACL を再確認したのですが、なぜでしょうか。

リターンルートを追加するのを忘れています。
ICMP はピアリング接続ではサポートされていません。
VPC の Source/Destination チェックを有効にする必要があります。
ピアリング接続は双方向のトラフィックを許可するように設定する必要があります。

ある組織は、Amazon S3 VPCエンドポイントを使用しています。
複数インスタンス向けのセキュリティグループルールを最初に構成したとき、公開されたJSONファイルから、リージョン内のAmazon S3 APIエンドポイントのIPアドレスへのトラフィックのみが許可された状態でアクセス制限が発生しました。
アプリケーションは正常に動作していましたが、現在、Amazon S3との接続時にタイムアウトの数が増えていることをログに記録しています。
VPCにインターネットゲートウェイは設定されていません。

どのソリューションが、最も少ない労力で接続障害を解決できるでしょうか？

AmazonIPSpaceChanged通知に基づいてセキュリティグループを更新するためのLambda関数を作成する。
ルートテーブルAPIを使用して、Amazon S3のプレフィックスリストトラフィックをVPCエンドポイントに誘導するようにVPCルーティングを更新する。
アプリケーションサーバーのアウトバウンドのセキュリティグループを更新し、同じリージョンのAmazon S3のprefix-listを使用するようにする。
Amazon S3への同時接続を拡張するために、同じルートテーブルでAmazon S3用の追加のVPCエンドポイントを作成する。

AWS CloudTrail は、ログファイルが単一のバケットに配信されるように、複数のアカウントやリージョンにまたがってログファイルを____するように構成することができます。

集約
ディスパッチ
リプリケート
暗号化

AWS Elastic Beanstalk に関する次の記述のうち、正しいものはどれですか？

AWS Elastic Beanstalk はモニタリングとアラームに CloudWatch を使用しています。つまり、CloudWatch のコストは、使用するアラームの AWS アカウントに適用されます。
AWS Elastic Beanstalk は監視とアラームに CloudWatch を使用し、どちらも無償で利用できます。
AWS Elastic Beanstalk はモニタリングやアラームに CloudWatch を使用していませんが、モニタリングツールで設定した AWS Elastic Beanstalk アラームは追加料金を支払う必要があります。
AWS Elastic Beanstalk は独自の無償監視ツールがあり、設定したアラームに課金されることはありません。

別のインスタンスで使用されているMTUを見つける必要がありますが、tracepathが機能していません。tracepathしようとしているインスタンスには、オープンセキュリティグループとNACLルールがあることがわかっています。これを解決するために、どのプロトコルにインスタンスへのアクセスを許可する必要がありますか？

プロトコル6：TCP
プロトコル47：GRE
プロトコル17：UDP
プロトコル1：ICMP

有効な Route 53 レコードでないものはどれですか?

SPF
NAPTR
AAAA
BFD

ある会社は、Amazon VPC 内のパブリックネットワークロードバランサーとウェブサーバーを備えた 3 層モデルを使用する新しいウェブアプリケーションをデプロイしています。アプリケーションサーバーは、会社のデータセンターでホストされています。 VPC と会社のデータセンターの間に AWS Direct Connect 接続があります。負荷テストの結果は、ピーク時の負荷を処理するには、複数のアベイラビリティーゾーンに均等に分散された最大 100 台のサーバーが必要であることを示しています。ネットワークエンジニアは、/24 CIDR が割り当てられた VPC を設計する必要があります。エンジニアは、各層の 3 つのアベイラビリティーゾーンにサブネットをどのように割り当てる必要がありますか?

Network Load Balancer: サブネットあたり /29 Web: サブネットあたり /26
Network Load Balancer: サブネットあたり /28 Web: サブネットあたり /25
Network Load Balancer: サブネットあたり /28 Web: サブネットあたり /27
Network Load Balancer: サブネットあたり /28 Web: サブネットあたり /26

ネットワークエンジニアは、Amazon EC2インスタンスからのエコー応答に対するICMP到達性の問題をトラブルシューティングするために、VPCフローログを有効にしました。フローログは、クライアントからEC2インスタンスへのリクエストのACCEPTレコードと、EC2インスタンスからクライアントへのレスポンスのREJECTレコードがあります。

REJECTレコードが存在する最も可能性の高い理由は何でしょうか？

セキュリティグループは、インバウンドICMPを拒否しています。
ネットワークACLは、インバウンドICMPを拒否しています。
セキュリティグループがアウトバウンドICMPを拒否しています。
ネットワークACLがアウトバウンドICMPを拒否しています。

Amazon CloudFront でウェブディストリビューションを作成する際に、オリジンサーバーとして使用できるのは次のうちどれですか?

AWS Glacier アーカイブと Oracle サーバーの任意の組み合わせ
Amazon DB のインスタンスと XML サーバーの任意の組み合わせ
Amazon S3 バケットと HTTP サーバーの任意の組み合わせ
Amazon Data Insights と PHP サーバーの任意の組み合わせ

あなたの組織では、AWS 上に配置された人気のある電子商取引アプリケーションを運用しており、HTTPS リスナーを持つ Elastic Load balancing (ELB) サービスと組み合わせてAuto Scalingを使用しています。
セキュリティチームは、あなたのサイトが使用している暗号化プロトコルとcipherに悪用可能な脆弱性が発見されたことを報告しました。

この問題を解決するには、どのステップを踏むべきでしょうか？

すべてのWebサーバーに新しいSSL証明書を生成し、現在の証明書を置き換えます。
ELB のセキュリティポリシーを変更し、脆弱性のあるプロトコルやcipherを無効にする。
新しいSSL証明書を生成し、ELBを使用してすべてのWebサーバーの暗号化されたトラフィックをフロントエンドにする。
現在の構成管理システムを活用して、すべてのWebサーバーのSSLポリシーを更新する。

ある会社には、オンプレミスネットワークと AWS クラウドにまたがるハイブリッド環境があります。同社は、Amazon Elastic File System (Amazon EFS) を使用して、オンプレミスの DNS サーバーを介して DNS クエリを解決するために必要なオンプレミスサービス間でデータを保存および共有したいと考えています。この会社は、カスタムドメイン名を使用して Amazon EFS に接続したいと考えています。同社はまた、Amazon EFS ターゲット IP アドレスの使用を避けたいと考えています.これらの要件を満たすために、ネットワークエンジニアは何をすべきですか?

Amazon Route 53 リゾルバーアウトバウンドエンドポイントを作成し、Amazon EFS が存在する VPC 用に設定します。 Route 53 パブリックホストゾーンを作成し、Amazon EFS DNS 名の値を使用して新しい CNAME レコードを追加します。オンプレミスの DNS サーバーで転送ルールを構成して、カスタムドメインホストのクエリを Route 53 パブリックホストゾーンに転送します。
Amazon Route 53 リゾルバーインバウンドエンドポイントを作成し、Amazon EFS が存在する VPC 用に設定します。 Route 53 プライベートホストゾーンを作成し、Amazon EFS DNS 名の値を使用して新しい CNAME レコードを追加します。オンプレミスの DNS サーバーで転送ルールを構成して、カスタムドメインホストのクエリを Route 53 リゾルバーに転送します。
Amazon Route 53 リゾルバーアウトバウンドエンドポイントを作成し、Amazon EFS が存在する VPC 用に設定します。 Route 53 プライベートホストゾーンを作成し、Amazon EFS DNS 名の値を使用して新しい CNAME レコードを追加します。オンプレミスの DNS サーバーで転送ルールを構成して、カスタムドメインホストのクエリを Route 53 リゾルバーに転送します。
Amazon Route 53 リゾルバーインバウンドエンドポイントを作成し、Amazon EFS が存在する VPC 用に設定します。 Route 53 プライベートホストゾーンを作成し、Amazon EFS DNS 名の値を使用して新しい PTR レコードを追加します。オンプレミスの DNS サーバーで転送ルールを構成して、カスタムドメインホストのクエリを Route 53 プライベートホストゾーンに転送します。

アプリケーションは、オートスケーリンググループ内のElastic Load Balancer (ELB)の背後にホストされています。
オートスケーリンググループは、最小値2、最大値14、希望値2で構成されています。
オートスケーリングのクールダウンと終了ポリシーは、デフォルト値に設定されています。
CloudWatchによると、このサイトに必要なサーバーは通常2台ですが、営業日の始まりと終わりに急増するため、8～10台のサーバーが必要になることがあります。
タイムアウトやウェブページの部分的な読み込みが断続的に報告されています。

この問題に対処するために、どのような設定変更を行うべきでしょうか。

ELBに接続ドレインを設定する。
オートスケールのクールダウンを600秒に設定する。
終了ポリシーを最も古いインスタンスに設定する。
Terminating を構成する。スケールインイベントのライフサイクルフックを待機させる。
Terminating を構成する。スケールインイベントのライフサイクルフックを待機させる。

ある組織が、消費者向けのウェブサイトをAWS上で運営しています。
Amazon EC2ベースのWebフリートは、AWSアプリケーションロードバランサーを使用して負荷分散されています。
Route 53はパブリックDNSサービスを提供するために使用されます。
以下のURLは、エンドユーザーにコンテンツをサーバーする必要があります。
test.example.com
web.example.com
example.com

この情報をもとに、要件を満たすためにはどのようなサービスの組み合わせが必要ですか？(2つ選んでください)

ALBリスナーのパス条件を設定し、example.comを適切なターゲットグループへルーティングする。
ALBリスナーでホスト条件を設定し、*.example.comを適切なターゲットグループへルーティングする。
ALBリスナーでホスト条件を設定し、example.comを適切なターゲットグループにルーティングする。
ALBリスナーでパス条件を設定し、*.example.comを適切なターゲットグループにルーティングする。
ALBリスナーでホスト条件を設定し、$$$.example.comを適切なターゲットグループへルーティングする。

CloudWatchメトリクスの名前空間を作成する際に、許可されない文字は次のうちどれですか？

/
:
#
@

あなたの上司は、本番インスタンスにElastic IP を割り当てることを決定しました。彼がこれを実行すると、その Web サイトの URL へのアクセスは失敗します。何が起こったのでしょうか？

Elastic IP を割り当てた際に、元の IP アドレスをAWS に解放しました。
上司は Apache のサービスを再起動するだけでいいです。
上司は、IP アドレスを割り当てる前に、サーバーの電源を切るべきでした。
上司はサーバーを再起動する必要があります。

あなたは、AWS CLIのconfigserviceでCLIコマンド___を使用して、各ルールのコンプライアンス状態を確認することができます。

get-compliance-details-by-resource
describe-compliance-by-config-rule
get-compliance-details-by-config-rule
describe-compliance-by-resource

Amazon CloudFrontでHTTPまたはHTTPSを介して提供することができないコンテンツタイプは次のうちどれですか？(2つ選択)

Apple HTTP Live Streaming
静的・動的なダウンロードコンテンツ
Adobe Flashマルチメディアコンテンツ
CloudFront RTMPディストリビューション

AWS Direct Connect では、フェイルオーバーを提供するために、AWS への 2 つの専用接続をリクエストして構成することをお勧めします。これらの接続は、ネットワーク内の 1 つまたは 2 つのルーターで終端できます。これは、AWS Direct Connect のステップで ____ 中に行うことができます。

仮想インターフェイスの作成
冗長化接続の設定
クロスコネクトの完了
仮想インターフェイスの確認

あなたは AWS で HPC ソリューションを設計しています。このシステムは、EC2 インスタンス間の通信を低レイテンシーにする必要があるクラスターで構成されています。これらの要件を満たすようにクラスターをセットアップするには、どの方法を使用する必要がありますか?

1 つのアベイラビリティーゾーンに 1 つのサブネットを持つ VPC を作成します。サブネットのサイズは、クラスターで必要なインスタンスの数と同じにします。この小さなサブネットでクラスターのインスタンスを起動して、低レイテンシーのネットワークパフォーマンスを保証します。
プレイスメントグループを作成します。クラスターのプレイスメントグループと互換性のある EC2 インスタンスタイプを選択します。プレイスメントグループでクラスターのインスタンスを起動します。
利用可能な最大数のコアと RAM を備えた Amazon EC2 インスタンスを起動します。すべてのインスタンスを Amazon EBS PIOPS ボリュームにアタッチします。この共有 EBS ボリュームを使用して、クラスター内のすべてのインスタンスに共有メモリシステムを実装し、通信のレイテンシーを最小限に抑えます。
拡張ネットワーキングを提供する EC2 インスタンスタイプを選択します。 10 Gbps のノンブロッキング Elastic Network Interface をインスタンスに接続します。 Elastic Network Interface を構成して、ネットワークパフォーマンスを最適化し、レイテンシを短縮します。

あるアーキテクチャは、1,000台のデスクトップのAmazon WorkSpacesの展開をサポートするように設計されています。将来の拡張を可能にしながら、この展開をサポートするためにはどのアーキテクチャを実装すればいいでしょうか

16のCIDRと1つの/21サブネットを持つVPC
20 CIDRと2つの/21サブネットを持つVPC
16のCIDRと1つの/22のサブネットを持つVPC
20のCIDRと2つの/23のサブネットを持つVPC

AWS Configは、リソースを評価するAWS Configルールのいずれかの条件に違反している場合、当該リソースに○○のフラグを付けます。

破損した
非準拠
無効
設定ミス

あなたの会社は、あるデータセンターから1つのルーターで複数のVPCに接続しており、各VPCは推移的にアクセスする必要があります。あなたは何をする必要がありますか？

1つのVPCにVPNを作成し、他のVPCとピアリングします。
不可能です。
1つ以上のEC2インスタンスでVPNが動作しているトランジットVPCを使用して、VPC間のトラフィックをルーティングします。
ただ接続するだけです。VPCは本質的に推移的です。

Amazon CloudFront がビューワーに返すレスポンスボディの最大サイズはどれですか?

無制限
5GB
100 MB
20GB

「AWS Direct Connect の使用開始手順」おいて、Cross Connect の手順を完了できるのはいつですか。

仮想インタフェースを確認した後
AWS から LOA-CFA(Letter of Authorization and Connecting Facility Assignment) を取得した後
AWS Direct Connect 接続のリクエストを送信してから 72 時間後
AWS Direct Connect 接続のリクエストを送信した直後

CloudFront、ELB、および S3 を利用してコンテンツを提供する Web サイトをデプロイしました。ユーザーがサイトにアクセスすると、壊れた画像リンクが表示されます。最も可能性の高い問題は何ですか?

Route 53に、cdn.yourdomain.comをALIASに指定するレコードがありません。
CloudFront用のオリジンアクセスアイデンティティを作成し、バケットポリシーに追加する必要があります。
バケットポリシーにパブリックアクセスを許可するルールがありません。
バケットポリシーで公開を許可しない場合、オリジンアクセスアイデンティティを作成する必要がありますが、これはバッドプラクティスです。

あなたの会社は、AWS WorkSpaces のトライアルにサインアップしました。それを維持するかどうかはわかりませんが、112 ユーザーの組織で機能するかどうかを試してみたいと考えています。認証のために Active Directory へのアクセスを許可しながら、できるだけ少ない労力と初期費用で導入する必要があります。どのような 2 つのことを行う必要がありますか?（2つ選んでください。）

VPN 接続を作成します。
AD コネクタを作成します。
AWS がホストする Microsoft AD のセットアップを行います。
AWS への Direct Connect 接続を作成します。

ハイブリッドインフラストラクチャがあり、オンプレミスの DNS 名を解決するには AWS リソースが必要です。 10.1.3.0/24 サブネットの EC2 インスタンスに DNS サーバーを構成しました。このサブネットは VPC 10.1.0.0/16 にあります。これを達成するには、どのような手順を実行する必要がありますか?

プライベートホストゾーンのクエリを 10.1.3.2 に転送するように DNS サーバーを構成します。
EC2 の DNS サーバーを指すように VPC に設定された DHCP オプションを構成します。
プライベートホストゾーンのクエリを 10.1.0.2 に転送するように DNS サーバーを構成します。
DNS インスタンスのソース/宛先チェックフラグを無効にします。

Untitled - #196958

Untitled - #196958

採点する

インフォメーション

結果

結果

カテゴリー

1. 質問

正解番号

2. 質問

正解番号

3. 質問

正解番号

4. 質問

正解番号

5. 質問

正解番号

6. 質問

正解番号

7. 質問

正解番号

8. 質問

正解番号

9. 質問

正解番号

10. 質問

正解番号

11. 質問

正解番号

12. 質問

正解番号

13. 質問

正解番号

14. 質問

正解番号

15. 質問

正解番号

16. 質問

正解番号

17. 質問

正解番号

18. 質問

正解番号

19. 質問

正解番号

20. 質問

正解番号

21. 質問

正解番号

22. 質問

正解番号

23. 質問

正解番号

24. 質問

正解番号

25. 質問

正解番号

26. 質問

正解番号

27. 質問

正解番号

28. 質問

正解番号

29. 質問

正解番号

30. 質問

正解番号

31. 質問

正解番号

32. 質問

正解番号

33. 質問

正解番号

34. 質問

正解番号

35. 質問

正解番号

36. 質問

正解番号

37. 質問