ANS

組織のコーポレートサイトは、www.acme.com、acme.comが利用可能である必要があります。
この要件を満たすために、Amazon Route 53をどのように構成する必要がありますか？

あなたは、Amazon Elastic MapReduce (Amazon EMR)を必要とするアプリケーションをAWSで構築しています。
このアプリケーションは、内部のオンプレミスActive Directoryドメインでホスト名を解決する必要があります。
VPCで稼働しているActive Directory統合DNSサーバーのペアを指すように、VPCのDHCPオプションセットを更新します。

Amazon EMRクラスタの起動をサポートするために必要なアクションはどれですか？

Web層、アプリケーション層、データベース層に別々のサブネットを持つ3層構造のWebアプリケーションを使用しています。
情報セキュリティー最高責任者は、アプリケーションが悪意のある活動の標的になることを疑っています。
アプリケーションが外部システムによってポートスキャンされた場合、セキュリティチームに通知するべきです。

自動通知システムを構築するために活用する2つのAWSサービスクラウドはどれですか？(2つ選んでください。)

あなたは、Amazon VPC内のアプリケーションサーバーのネットワークインフラを設計しています。
ユーザーは、インターネットとオンプレミスネットワークからすべてのアプリケーションインスタンスにアクセスします。
オンプレミスネットワークは、AWS Direct Connect接続を介してVPCに接続されています。

これらの要件を満たすために、どのようなルーティングを設計すればよいのでしょうか。

あなたの会社は、オンプレミスのデータストアを補強するためにAmazon S3を使用することを決定しました。
会社はネットワークの高度な制御のため、オンプレミスとの接続にインターネットゲートウェイを使用する代わりに、Direct Connect接続を使用してS3への高帯域幅、低遅延のアクセスを実現するため回線を発注しました。
同社はパブリックルーティング可能なIPv4アドレスブロックを所有していないため、パブリックバーチャルインターフェース（VIF）用のAWS所有のアドレスのリクエストが行われました。
セキュリティチームはこの新しい接続を「バックドア」と呼んでおり、あなたは会社にとってのリスクを明らかにするよう求められています。

セキュリティチームからのどの懸念が妥当であり、対処すべきものでしょうか？

あなたの会社は、VPCへの接続にVPNを使用していますが、安定性とパフォーマンスのために1GのAWS Direct Connect接続にアップグレードする必要があります。
通信事業者がデータセンターからAWS Direct Connectの設備に回線をプロビジョニングしており、クロスコネクトの方法について情報が必要です(どのラック/ポートに接続するかなど）。

この情報を提供するためにAWSが推奨する手順は何ですか？

あなたは、世界中の300のオフィスに配置されたクライアントアプリケーションで使用されるWebサービスを管理しています。
Webサービスの設計は、Elastic Load Balancer (ELB)と2つのAvailability ZoneにあるAuto Scaling Groupを使用し、配置された4つのアプリケーションサーバーにトラフィックを分散しています。
ELBはラウンドロビンを使用するように設定され、スティッキーセッションは無効になっています。
NACLとセキュリティグループを設定し、Bastionホストからのポート22と、0.0.0.0/0からのポート80を許可しています。
クライアントの設定は、各地域のITチームが管理しています。
調査したところ、正しく設定されていないサイトからの大量のリクエストにより、1つのアプリケーションサーバーに影響していることがわかりました。
残りのリクエストは、すべてのサーバーに均等に分散され、悪影響はありません。

状況を改善し、今後の発生を防ぐためには、どうしたらよいでしょうか。

ある多国籍企業では3つの異なるAWSリージョンにアプリケーションを展開しています。
これらのアプリケーションは、VPNによって互いに安全に通信する必要があります。
組織のセキュリティチームによると、VPNは以下の要件を満たしている必要があります。
　・AES 128bit暗号化機能搭載
　・SHA-1ハッシュ化
　・SSL VPNによるユーザーアクセス
　・DH Group2を用いたPFS
　・鍵とパスワードのメンテナンス／ローテーション
　・証明書ベースの認証

組織が要件を満たすために、どのソリューションを推奨すべきでしょうか？

*画像参照

あなたは3つのVPCを持っています。A、B、Cの3つのVPCがあり、VPC AとCは共にVPC Bとピアリングしています。
IPアドレスの範囲は以下の通りです。
　vpc a: 10.0.0.0/16
　vpc b: 192.168.0.0/16
　vpc c: 10.0.0.0/16
VPC Aのインスタンスi-1は、IPアドレスが10.0.0.10です。VPC Cのインスタンスi-2は、IPアドレスが10.0.0.10です。
VPC Bのインスタンスi-3およびi-4のIPアドレスが192.168.1.10と192.168.1.20であり、i-3とi-4はそれぞれ192.168.1.0/24のサブネットに属しています。
　i-3はi-1と通信できること
　i-4はi-2と通信できること
　i-3とi-4はi-1とは通信できるが、i-2とは通信できない

この問題を解決するのは、どの2つのステップでしょうか？(2つ選んでください。)

あなたの会社のレガシーなオンプレミスのウェブアプリケーションは、効果的な負荷分散を行うことができていません。
計画的なイベントと計画外のイベントの両方があり、何百万人もの同時使用ユーザーに使用量の急増を引き起こしています。
既存のインフラでは、使用量の急増に対応できません。最高情報責任者は、さらなる混乱を避けるため、アプリケーションをクラウドに移行するよう命じました。
また、ネットワークトラフィックの監視の必要性をサポートするため、ソースIPアドレスを変更しないことが追加要件となりました。

これらの要件を満たす設計は、次のうちどれでしょうか。

ある組織は、ウェブサイトに送信された消費者情報を処理しています。
この組織のセキュリティポリシーでは、個人を特定できる個人情報(PII) 要素は常に受信時に可能な限り速やかに暗号化されます。
フロントエンドのAmazon EC2インスタンスは、復号化されたPIIにアクセスできないようにする必要があります。
本番VPC内の単一のサービスは、IAMロールを活用してPIIを復号化する必要があります。

これらの要件に対応するサービスの組み合わせはどれですか。(2つ選んでください)

Lambda関数がVPC内のAmazon ElastiCacheクラスタのプライベートアドレスにアクセスする必要があります。
Lambda関数はAmazon SQSにメッセージを書き込む必要があります。Lambda関数は、VPC内のサブネットで実行するように設定されています。

要件を満たすアクションは次のうちどれでしょうか？(2つ選んでください。)

あなたは、インターネットアクセスを必要とするプライベートサブネット内にEC2インスタンスを構築しました。
このソリューションの要件の1つは、ホワイトリスト上の特定のURLへのアクセスのみを制限することです。
ホワイトリストのURLに加えて、インスタンスは同じリージョンにあるAmazon S3バケットに任意のURLでアクセスできる必要があります。

次のうち、どのソリューションを導入すべきでしょうか。(2つ選んでください。)

あなたの会社は、Elastic Load Balancing (ELB) ロードバランサー/Nginxサーバー上のPHP/複数のアベイラビリティゾーンのRDSを使用してHTTPSアプリケーションを実行しています。
動的コンテンツを生成するため、アプリケーションで地理的制限を適用し、クライアントのIPアドレスを特定する必要があります。

この作業を行うために、AWSのサービスをどのようにスケーラブルに活用すべきですか。

あなたは、AWSリージョン eu-central-1（フランクフルト）で、Well-Architectedに沿ったマルチAZアプリケーションを実行しています。
アプリケーションはVPCでホストされ、企業のネットワークからのみアクセスされます。
大量データの転送とアプリケーションの管理をサポートするため、あなたは複数のプライベート仮想インターフェイスと単一の10Gbps AWS Direct Connect接続を使用しています。
確認の一部として、AWSへの接続の耐障害性を向上させ、追加の接続がAWSの同じDirect Connectルータを共有しないようにすることを決定しました。
アプリケーションのニーズを満たすために、可能な限りの弾力性を提供する必要があります。

どのような選択肢を検討すべきでしょうか？(2つ選んでください)

現在、クラスタ化されたNoSQLデータベースのすべてのノードに割り当てた1つのセキュリティグループを使用しています。
1つのリージョンにあるクラスターノードのみ、互いに接続できるようにする必要があります。
このセキュリティグループは、クラスターセキュリティグループのグループIDを使用した自己参照ルールを使用して、クラスタへのノードの追加や削除を簡単に行うことができます。
このデータベースは、リージョンの災害復旧要件に準拠し、リージョン間の移動時にノード間のネットワークトラフィックが暗号化されるようにする必要があります。

別のAWSリージョンに追加のクラスタノードを展開する間、どのように安全にクラスタ通信を有効にする必要がありますか？

オンプレミスとAWS VPCを接続するため、AWS Direct Connectの接続を設定する必要があります。
予算の都合上、プロビジョニングできるのはDirect Connectポート1台のみです。
オンプレミスデータセンターに2台のボーダーゲートウェイルーターがあり、冗長性のためにDirect Connectルーターとピアリングすることができます。

この接続を実現するための設計手法は、どの組み合わせでしょうか？(2つ選んでください)

あなたの組織は、企業のネットワークからAmazon Route 53プライベートゾーン `awscloud:internal` に格納されているDNSエントリを解決する必要があります。
プライベート仮想インターフェースを備えたAWS Direct Connect 回線 がCIDRブロック192.168.0.0/16のVPCにアクセスするために設定されています。
VPC内のIPアドレス192.168.10.5のAmazon Elastic Compute Cloud（EC2）インスタンスにDNSリゾルバ（BIND）が設定されています。
DNSリゾルバには、標準のルートサーバヒントが設定されており、IPアドレス192.168.0.2への`awscloud.internal`の条件付き転送が設定されています。
企業ネットワーク上のPCから、192.168.10.5のDNSサーバーにwww.amazon.com を問い合わせをすると、クエリーは成功し、適切な応答が返されます。
‘server.awscloud.internal` を問い合わせると、問い合わせがタイムアウトして何も応答がありません。

どのように `server.awscloud.internal` の成功したクエリを有効にする必要がありますか？

あなたの会社のポリシーでは、すべてのVPCは VPC `common services` とピアリング接続することが要求されています。
このVPCには、レイヤ7のプロキシとインターネットゲートウェイが配置されています。
他のVPCは、インターネットゲートウェイのプロビジョニングが許可されていません。
新しいVPCを設定し、ポリシーに従って`common services` VPCとピアリング接続を設定してAmazon EC2 を起動します。
`common services` VPC内のレイヤー7プロキシにすべてのトラフィックを転送するようにWindowsインスタンスを構成しました。
このサーバー上のアプリケーションは、適切に構成されたAWS Identity and Access Management（IAM）ロールを使用して、Amazon S3と正常に通信する必要があります。
しかし、Amazon S3はアプリケーションに403エラーを返しています。

Amazon S3へのアクセスを有効にするには、どのステップを実行する必要がありますか？

ある顧客がネットワーク・プロバイダーとしてABCテレコムを利用しています。
顧客は、ABC テレコムのMPLSバックボーンに接続された10個の異なるオフィスを持っています。
顧客はAWSへのAWS Direct Connect接続を設定し、LOA-CFAをABC テレコムに提供しました。
ABCテレコムはDirect Connectの回線を自社のMPLSバックボーンに終端しています。
MPLSバックボーン上で顧客のトラフィックを一意に識別するため、顧客はすべてのトラフィックをVLANタグ100でカプセル化する必要があります。
顧客は、複数のVPCにトラフィックを送信したいと考えています。

顧客の要求を満たすために取るべき2つの手順はどれでしょうか。(2つ選んでください)

ある組織が、消費者向けのウェブサイトをAWS上で運営しています。
Amazon EC2ベースのWebフリートは、AWSアプリケーションロードバランサーを使用して負荷分散されています。
Route 53はパブリックDNSサービスを提供するために使用されます。
以下のURLは、エンドユーザーにコンテンツをサーバーする必要があります。
test.example.com
web.example.com
example.com

この情報をもとに、要件を満たすためにはどのようなサービスの組み合わせが必要ですか？(2つ選んでください)

サイバーセキュリティへの関心が高まる中、ある企業はほぼリアルタイムの侵入検知システム（IDS）ソリューションを導入中です。
一刻も早くシステムにソリューションを導入する必要があります。
アーキテクチャは多くのAWSアカウントで構成され、すべての結果は中央の場所に配信されなければなりません。

ダウンタイムとコストを最小限に抑えながら、この要件を満たすソリューションはどれでしょうか。

ある会社は、高解像度でダイナミックなウェブコンテンツを配信しています。
インターネットユーザーは、モバイル、タブレット、デスクトップなど、さまざまなプラットフォームからコンテンツにアクセスしています。
閲覧環境の違いを考慮し、各プラットフォームにはカスタマイズして提供します。
各プラットフォームには、自動拡張可能な専用のAmazon EC2インスタンス群が使用され、パスベースのヘッダーに基づいてコンテンツがサーバーに格納されます。

コストを最小にし、パフォーマンスを最大にするサービスの組み合わせはどれでしょうか？(2つ選んでください。)

ある企業は、AWS VPCとオンプレミスネットワークの間にVPNを設定する必要があります。
チームはAWSマネジメントコンソールでVPN接続を作成し、設定ファイルをダウンロードし、オンプレミスのルーターにインストールします。
ルータのファイアウォール制限のため、トンネルは設定しません。

あなたはファイアウォールを介してどのネットワークトラフィックオプションを許可する必要がありますか？ (2つを選択してください)

あなたは、Amazon EC2インスタンス上のトラフィックフローを監視するように依頼されました。
ディープパケットインスペクションを実行し、非定型のパターンを探すことになります。

このデータを見ることができるのは、どのツールでしょうか？

オンプレミスサーバーからAmazon Elastic Compute Cloud（EC2）インスタンスにpingを送信します。
VPC Flow Logsには、以下のように記録されます。

2 123456789010 eni-1235b8ca 10.123.234.78 172.11.22.33 0 0 1 8 672 14329170271432917142 ACCEPT OK
2 123456789010 eni-1235b8ca 172.11.22.33 10.123.234.78 0 0 1 4 336 14329170271432917082 ACCEPT OK
2 123456789010 eni-1235b8ca 172.11.22.33 10.123.234.78 0 0 1 4 336 14329170941432917142 REJECT OK

オンプレミスシステムでICMP応答が受信できないのはなぜですか？

あなたは、2層のアプリケーションをAmazon VPCに移動しています。
Elastic Load Balancing (ELB) ロードバランサーは、アプリケーション層の前に構成されています。
アプリケーション層は、RESTfulインターフェイスを通じて駆動します。
データ層はリレーショナルデータベースサービス（RDS）のMySQLを使用しています。
会社のポリシーとして、転送中のすべてのデータをエンドツーエンドで暗号化することが義務付けられています。

企業の暗号化ポリシーに準拠したELBの構成はどれでしょうか？

アプリケーションは、オートスケーリンググループ内のElastic Load Balancer (ELB)の背後にホストされています。
オートスケーリンググループは、最小値2、最大値14、希望値2で構成されています。
オートスケーリングのクールダウンと終了ポリシーは、デフォルト値に設定されています。
CloudWatchによると、このサイトに必要なサーバーは通常2台ですが、営業日の始まりと終わりに急増するため、8～10台のサーバーが必要になることがあります。
タイムアウトやウェブページの部分的な読み込みが断続的に報告されています。

この問題に対処するために、どのような設定変更を行うべきでしょうか。

あなたはVPCにAWS Direct Connectソリューションを設計しています。
Direct ConnectのロケーションでDirect Connect接続を終了するため、カスタマールーターの要件を考慮する必要があります。

カスタマールーターを選択する際に考慮すべき、サポートが必要な3つの要素はどれでしょうか。（3つ選んでください）。

あなたの会社では、システム間で時間を同期させるためにNTPサーバーを使用しています。
この会社では、複数のバージョンのLinuxとWindowsシステムを実行しています。
あなたはNTPサーバーが故障していることを発見し、インスタンスに代替のNTPサーバーを追加する必要があります。

稼働中のインスタンスを再起動せずに情報を伝播させるためには、NTPサーバーのアップデートをどれで適用すればよいのでしょうか。

あなたの会社は、オンプレミスからAmazon VPCインスタンスに接続するためにAWS Direct Connectを設定しました。
2つのDirect Connect接続は、2つの異なるDirect Connectのロケーションで終了します。
R1とR2の2台のルーターを使用しています（Direct Connect接続のそれぞれで1台ずつ使用）。
R1とR2の間は接続されていません。どちらのルーターも、BGP上で同じルーターをVGWにアドバタイズしています。
それぞれのルーターにステートフルファイアウォールがあります。
ルーターは、VPCから来るトラフィックの一部をドロップします。

この問題を解決するために取るべき行動はどれでしょうか？(2つ選んでください。)

ある組織は、現在のネットワーク設計を拡張する予定です。
構築が完了した場合、11のAWSアカウントに99のVPCが存在することになります。（アカウントあたり9のVPC）
現在、1つのアカウントに9つのVPCがあり、VPCごとに仮想ネットワークインターフェース（VIF）があり、AWS Direct Connect接続があります。

コストを最小限に抑えつつ、組織の拡張を可能にする設計は次のうちどれでしょうか？

あるeコマースを展開する企業は、AWS CloudHSMを使用してWebサーバー群のSSL/TLS処理をオフロードしています。
同社はWebサーバーにAmazon EC2 Auto Scalingを導入し、成長に対応しています。

暗号化処理をスケールアップするためには、どのようなアーキテクチャアプローチが最適でしょうか？

ある企業には、AWS VPCへのアクセスを必要とする225台のモバイルおよびデスクトップデバイスと300台のパートナーVPNがあります。
VPNユーザーは互いに到達できないようにする必要があります。

コストを抑えつつ、技術的・セキュリティ的な要求を満たすには、どのような方法があるでしょうか？

あなたの会社は、バックアップとアーカイブのためにAmazon Simple Storage Solution (S3)を活用する必要があります。
会社の方針として、データが暗号化されていてもデータはインターネットに流れてはいけません。
あなたは、us-east-1とus-west-2の2つのS3バケットを設定しました。
あなたの会社のデータセンターは、アメリカの西海岸にあります。
費用対効果が高く、最小限のレイテンシーを可能にする設計する必要があります。

どのデザインに設定すればよいでしょうか？

あなたの組織では、AWS 上に配置された人気のある電子商取引アプリケーションを運用しており、HTTPS リスナーを持つ Elastic Load balancing (ELB) サービスと組み合わせてAuto Scalingを使用しています。
セキュリティチームは、あなたのサイトが使用している暗号化プロトコルとcipherに悪用可能な脆弱性が発見されたことを報告しました。

この問題を解決するには、どのステップを踏むべきでしょうか？

あなたの組織は、IPアドレスの配布を管理するために、IPアドレス管理（IPAM）製品を利用しています。
IPAMはAPIを公開しています。
開発チームはCloudFormationで承認されたアーキテクチャをプロビジョニングします。
デプロイ時に、VPCにIPアドレスを割り当てる必要があります。
VPCが削除されるとIPAMは、VPCのIP割り当てを再要求する必要があります。

IPAMとCloudFormationの連携を効率よく自動化できるのはどの方法ですか？

最小のレイテンシと高速パケット送信のネットワーク性能を必要とするアプリケーションのため、Amazon Elastic Compute Cloud（EC2）インスタンスをセットアップする必要があります。
このアプリケーションは、ピアリングされたVPC内の他のサーバーと通信します。

次のコンポーネントのうち、設計に含まれるべきものはどれでしょうか？(2つ選んでください。)

あなたは、新しくプロビジョニングされた1GbpsのAWS Direct Connect接続で、VPCにアクセスするための仮想インターフェイスを構成しています。

あなたはどの構成値を提供する必要がありますか？(2つ選んでください)

企業ネットワークのルーティングテーブルには、624の個々のRFC 1918およびパブリックIPプレフィックスが含まれています。
2つのAWS Direct Connect接続があり、仮想プライベートゲートウェイへの両方の接続でプライベート仮想インターフェイスを構成しています。
仮想プライベートゲートウェイは現在VPCに接続されていません。
どちらのBGPセッションも、カスタマールータ上でEstablishedの状態を維持していません。
AWS管理コンソールは、プライベート仮想インターフェイスがダウンしていると報告します。

AWS Management Consoleがプライベート仮想インターフェイスをAvailableと報告するよう、問題を解決するために何ができるでしょうか。

あなたの会社は、Amazon Route 53のプライベートホストゾーンを保持しています。
DNS解決は単一の既存のVPCに制限されています。
新しいアプリケーションを構築するため、同じAWSアカウントで追加のVPCを作成しています。
この新しいVPCとオンプレミスのDNSインフラストラクチャの両方が、既存のプライベートホストゾーンのレコードを解決する必要があります。

新しいVPC内とオンプレミスインフラの両方でDNS解決を有効にするには、どうすればよいですか？(2つ選んでください)

あなたの会社のある部門は、組織の連結請求ファミリーに属さない新しいアカウントを作成しました。
この部門はワークロードのためにVPCを作成しました。アクセスは、部門のオンプレミスプライベートIP割り当てへのネットワークアクセス制御リストによって制限されます。
このVPCのAWS Direct Connectプライベート仮想インターフェースは、社内ネットワークへのデフォルトルートをアドバタイズしています。

部門がその新しいVPC内のAmazon EC2インスタンスからデータをダウンロードするとき、関連する料金はどれですか？

ある組織は、既存のオンプレミスインフラストラクチャをクラウドに拡張する予定です。
この設計は、ステートフルファイアウォールを含むトランジットVPCで構成され、自動フェイルオーバーのために2つのアベイラビリティゾーンにまたがる高可用性とする構成で設計されます。

このデザインを動作させるために設定しなければならないものは何ですか？(2つ選んでください。)

ある企業は、アプリケーションをオンプレミスのデータセンターからAWSに移行しようとしています。
計画準備の一環として、DNSについて以下の要件が確認されました。
・オンプレミスシステムは、Amazon Route 53 プライベートホストゾーンのエントリーを解決できる必要がある
・組織のVPCで稼働するAmazon EC2インスタンスは、オンプレミスシステムのDNS名を解決できる必要がある
組織のVPCではCIDRブロック172.16.0.0/16を使用しています。

DNSネームスペースの重複がないと仮定して、これらの要件を満たすにはどうしたらよいでしょうか。

Webアプリケーション開発チームは、200のランダムなIPアドレスからの悪意のあるアクティビティについて懸念があります。

この種の脅威からセキュリティとスケーラビリティを確保するために、どのようなアクションが必要ですか？

あなたは、パブリックとプライベートの両方のサブネットで本番VPCを運用しています。
あなたの組織は、この本番環境をサポートするために制限されたAmazon S3バケットを保持しています。
プライベートサブネット内のAmazon EC2インスタンスのみがバケットにアクセスできる必要があります。
あなたはAmazon S3用のVPCエンドポイント（VPC-E）を実装し、予めAmazon S3への接続経路を提供していたNATを削除しました。
デフォルトのVPC-E ポリシーが適用されます。
しかし、パブリックまたはプライベートサブネット内のEC2インスタンスのいずれも、S3バケットにアクセスすることができません。

プライベートサブネットのEC2インスタンスからAmazon S3へのアクセスを有効にするには、何をする必要がありますか？

あるハイブリッドネットワーク環境は、2つのアプリケーションVPC、共有サービスVPC、および企業ネットワークから構成されています。
企業ネットワークは、ダイナミック（BGP）ルーティングを有効にしたIPsec VPNで共有サービスVPCに接続されています。
アプリケーションは、共有サービスVPC内の共通の認証サービスにアクセスする必要があります。
企業ネットワークから両方のアプリケーションVPCへのネイティブなネットワークアクセスを有効にする必要があります。

要件を満たすためには、どのステップを踏めばよいでしょうか？

あなたは、VPNを使用して企業のネットワークをVPCに拡張しています。
VPC内のインスタンスは、Amazon Route 53プライベートホストゾーン内のリソースレコードを解決することができます。
オンプレミスDNSサーバーは、VPC DNSサーバーのIPアドレスへのフォワーダを使用して構成されています。
オンプレミスユーザーは、プライベートホストゾーン内の名前を解決できませんが、ピアリングされたVPC内のインスタンスは解決できます。

オンプレミスのユーザーにプライベートホストゾーンへのアクセスを提供するには、どうしたらよいでしょうか？

顧客の会社で、新たに1GbpsのAWS Direct Connect接続が設置されました。
あなたは、同じ施設内のルーターのポートにDirect Connectロケーションのプロバイダからクロスコネクトを注文しました。
最初の仮想インターフェイスの使用を有効にするには、ルーターを適切に設定する必要があります。

ルーターに最低限必要なものは何ですか？

あるセキュリティチームは、Amazon Elastic Compute Cloud（EC2）インスタンスのすべてにホストベースのファイアウォールを実装し、すべての送信トラフィックをブロックしています。
例外が発生した場合は、特定の要件ごとにリクエストする必要があります。
新しいルールをリクエストするまで、あなたはインスタンスのメタデータサービスにアクセスすることはできません。

インスタンスメタデータへのアクセスを許可するために、どのファイアウォールルールをインスタンスに追加するようリクエストする必要がありますか？

顧客は、Dev、Test、Prod、Managementの複数のVPCを設定しています。
あなたはオンプレミスから各VPCへのデータ通信を可能にするために、AWS Direct Connectを設定する必要があります。
Management VPCでは監視ソフトウェアがあり、他のすべてのVPC内のメトリクスを収集しています。
予算の関係上、データ転送料は最低限に抑える必要があります。

どの設計を推奨すべきですか？

あなたの会社は、米国市場向けのアプリケーションをAWSのus-east-1リージョンで運用しています。
このアプリケーションは、Amazon Elastic Compute Cloud（EC2）インスタンス上で実行しており、独自のTCPとUDPのプロトコルを使用しています。
エンドユーザーは、ローカルPC上でリアルタイムのフロントエンド・アプリケーションを実行しています。
このフロントエンド・アプリケーションは、サービスのDNSホスト名を知っています。
あなたは、グローバル展開に対応したシステムを用意しなければならず、エンドユーザーに最も低いレイテンシーでアプリケーションにアクセスさせなければなりません。

これらの要件を満たすために、AWSのサービスをどのように利用すればよいのでしょうか。

あなたは、VPC内のサブネットに、Webサーバーを実行するAmazon EC2インスタンスをデプロイしています。
インターネットゲートウェイがアタッチされており、メインルートテーブルのデフォルトルート(0.0.0.0/0）はインターネットゲートウェイへのターゲットで設定しました。
このインスタンスには、次のように許可するセキュリティグループが設定されています。
　・プロトコルTCP
　・ポート：80 インバウンド、アウトバウンドは許可なし

サブネットのNetwork ACLは、次のような許可設定がされています。
　・プロトコルTCP
　・ポート：80 インバウンド、アウトバウンドは許可なし

Webサーバーを閲覧しようとすると、何も応答がありません。
正常な応答を得るためには、どのようなアクションをすべきでしょうか？

ある組織が、IPv6ネイティブのモバイルクライアントをサポートするため、IPv6専用のウェブポータルを立ち上げました。
フロントエンドのインスタンスを、適切なIPv6 CIDRに関連付けられたAmazon VPCで起動しました。
VPCのIPv4 CIDRはすべて利用されています。
2つのアベイラビリティゾーンには、それぞれ単一のサブネットが存在し、これらは適切にIPv6 CIDRの関連付けが設定されています。
Auto Scalingは適切に設定されおり、Elastic Load Balancingは使用されていません。
顧客は、処理がピークとなる時間帯にサービスが利用できないと報告しています。
ネットワークエンジニアが手動でインスタンスを起動しようとしたところ、次のようなメッセージを受け取りました。

There are not enough free addresses in subnet-12345678 to satisfy the requested number of instances.

どのようなアクションを取れば、可用性の問題が解決しますか？

あるネットワークエンジニアがAWSで新システムを設計しており、コンテンツのキャッシュとオリジン保護の両方を目的にAmazon CloudFrontを活用する予定です。
CloudFrontによってオリジンが提供されているにもかかわらず、外部機関はアプリケーションのオリジンのIPアドレスにアクセスし、オリジンを攻撃できるかもしれないと懸念しています。

次のソリューションのうち、オリジンを最も強力に保護できるのはどれでしょうか？

ネットワークエンジニアが、2つのAWS Direct Connect接続を管理しています。
各接続には、プライベートASNで構成されたパブリック仮想インターフェイスがあります。
エンジニアは、Amazonのパブリックエンドポイントにアクセスするために、Direct Connect接続間でアクティブ/パッシブルルーティングを構成したいと考えています。

どのようなBGPの設定がオンプレミスで必要ですか？(2つ選んでください)

あなたは、Amazon WorkSpacesの起動を準備中であり、適切なネットワークリソースを設定する必要があります。

この要件を満たすには、何を設定する必要がありますか？

あなたは、VPC内でWebサーバーを複数のAmazon Elastic Compute Cloud（EC2）インスタンス実行しており、セキュリティグループとNetwork ACLが設定されています。
あなたは、インスタンス上のすべてのネットワークトラフィックのレイヤー7プロトコルレベルのロギング（ACCEPT / REJECT）を確認する必要があります。

このタスクを完了するには、何を有効にする必要がありますか？

あなたの会社ではAWSアカウントを1つ運用しています。
ネットワークスキャンやコンプライアンスツールなど共有サービスを提供する目的で、共通サービス用VPCを設置しています。
各AWSワークロードは独自のVPCを使用し、各VPCは共通サービスVPCとピアリングする必要があります。
最も効率的で費用対効果の高い方法を選択する必要があります。

必要なVPCピアリングを自動化するためには、どの方法を用いるべきでしょうか。

あなたの組織は、Amazon Elastic Compute Cloud（EC2）とVPC環境の変更管理プロセスを厳格に順守するよう求めています。
組織はAWSサービスを管理、変更を適用するためAWS CloudFormationを使用しています。

次のサービスのどの組み合わせが、AWS CloudFormation外で行われた変更に対する警告を提供しますか？(3つ選んでください)

あるグローバルな企業のネットワークでは、内部のルーティングテーブルに153の個々のIPプレフィックスがあります。
あなたは、AWS Direct Connectからインターネットゲートウェイ（IGW）を持つVPCに接続を介するプライベート仮想インターフェイスを構築しました。
VPC内のすべてのインスタンスは、IGW経由でインターネットに接続でき、VGW経由でグローバルコーポレートネットワークに接続できる必要があります。

これらの要件を満たすために、オンプレミスのBGPピアをどのように設定すればよいでしょうか。

あなたは、インターネット上で顧客にリアルタイムのオーディオおよびビデオサービスを提供するアプリケーションを構築しています。
このアプリケーションは高いスループットを必要とします。
オーディオとビデオの適切な伝送を保証するために、最小限のレイテンシーが必要です。

伝送品質を向上させるのは次のうちどれでしょうか。

クレジットカード情報を扱うPCI DSS（Payment Card Industry Data Security Standard）加盟店は、強力な暗号技術を使用することが求められます。
また、これらの加盟店は、公共ネットワークでの通信中に機密データを保護するためのセキュリティプロトコルを使用する必要があります。
あるチームは、PCI DSSアプリケーションをオンプレミスのSSLアプライアンスとApacheから、Amazon CloudFrontの背後にあるVPCに移行する予定です。

この要件を満たすために、CloudFrontをどのように設定すればよいのでしょうか。

インターネットに面したアプリケーションをus-west-2(Oregon)リージョンに配備しています。
このアプリケーションを管理し、企業ネットワークからコンテンツをアップロードするために、関連するDirect Connectロケーションの1つを経由して、プライベート仮想インターフェイスと1 Gbps AWS Direct Connect接続を構築しています。
通常の運用では、利用可能な帯域幅のうち約300Mbpsを使用しており、これは企業ネットワークのインターネット接続よりも多くなっています。
アプリケーションの別の同一インスタンスをus-east-1(N Virginia)にできるだけ早くデプロイする必要があり、Direct Connectの利点を使用する必要があります。
設計は、コスト、パフォーマンス、およびデプロイメントにかかる時間に関して、最も効果的なソリューションでなければなりません。

どの設計が適切でしょうか。

あなたの会社は、AWSに1GbpsのAWS Direct Connectで接続しています。
この会社は、オンプレミスからパートナー企業が所有するVPCにトラフィックを送る必要があります。
接続には低コストで最小限のレイテンシーとする必要があります。

次のうち、どの接続方法を選択すべきでしょうか？

ある組織は、3つのAWSアカウントを持っており、それぞれはバージニア、カナダ、およびシドニーリージョンにVPCがあります。
この組織は、これらアカウント内の特定リージョンで、利用可能なすべてのElastic IPアドレス（EIP）が、Amazon EC2インスタンスかもしくはElastic Network Interface（ENI）に取り付けられているかどうかをコンプライアンスとコスト最適化のために判断したいと考えています。

次のうち、最も少ない管理オーバーヘッドで要件を満たすのはどれですか？

システム管理者は、spilt-viewを使用したハイブリッドDNSソリューションを設計しています。
apexドメイン「example.com」は、複数のトップレベルドメイン（TLD）にまたがるネームサーバーを介して提供される必要があります。
サブドメイン「dev.example.com」のネームサーバーはオンプレミスに存在する必要があります。
管理者は、このシナリオを実現するためにAmazon Route53を使用することを決定しました。

ソリューションを実装するには、どのような手順を実行する必要がありますか？

以下の4つのゾーンのサービスに対してDNSの名前解決を行う必要があります。

これらのゾーンの内容は機密とはみなされませんが、1つのリージョンごとにこれらのVPCでホストされているサービスのみからゾーンが使用される必要があります。
各VPCは、すべてのゾーンで名前解決を行う必要があります。

これらの要件を満たすために、Amazon Route 53をどのように利用すればよいのでしょうか。

ある組織は、テープバックアップのシステムをStorage Gatewayに移行しています。
AWSへの接続は現在ありません。このシステムは初期テストが必要です。

最小限のコストで運用を開始するためには、どのような接続オプションを使用すべきでしょうか？

2つのアベイラビリティゾーンにまたがるアプリケーションサーバーによって、10.0.0.0/16 VPC内のすべてのIPアドレスが全て利用されています。
アプリケーションサーバーは、頻繁にインターネット上にある1つの中央認証サーバーにUDP通信を行い、最新パッケージで動作していることを確認しています。
ネットワークの設計は、内部アクセス用にアプリケーションサーバーが1つのNATゲートウェイを使用するよう設計されています。
テストの結果、いくつかのサーバーが認証サーバーと通信できないことが判明しました。

この失敗の原因は何でしょうか？

ある組織は、Amazon S3 VPCエンドポイントを使用しています。
複数インスタンス向けのセキュリティグループルールを最初に構成したとき、公開されたJSONファイルから、リージョン内のAmazon S3 APIエンドポイントのIPアドレスへのトラフィックのみが許可された状態でアクセス制限が発生しました。
アプリケーションは正常に動作していましたが、現在、Amazon S3との接続時にタイムアウトの数が増えていることをログに記録しています。
VPCにインターネットゲートウェイは設定されていません。

どのソリューションが、最も少ない労力で接続障害を解決できるでしょうか？

ある銀行が、AWSにコンテナを使用する銀行アプリケーションの新バージョンを構築しました。このアプリはVPN接続でオンプレミスのデータベースに接続します。
このアプリケーションは、ユーザーがクライアントアプリケーションを更新するよう求めています。
銀行は、以前のクライアントバージョンを非推奨とする予定です。
しかし、まだアプリケーションを更新していない一部の顧客にサービスを提供するため、オンプレミス版のアプリケーションを通じて以前のクライアントのサポートを続けたいと考えています。

どのような設計にすれば、新規顧客と既存顧客の両方に最も効率的にサービスを提供できますか？

ある企業が、Elastic Load Balancing上に非 Webアプリケーションを導入しています。
ターゲットはすべてオンプレミスにあるサーバーで、Direct Connect接続でAWSにアクセスできます。
同社は、アプリケーションに接続するクライアントの送信元IPアドレスが、終端サーバーまで確実に到達されるようにしたいと考えています。

この要件はどのようにすれば実現できるのでしょうか？

それぞれ異なるAWSアカウントに属する既存の2つの運用VPC間にVPCピアリング接続を作成するため、AWS CloudFormationのテンプレートを使っています。
リモート（receiving）アカウントに必要な全てのコンポーネントはすでに配置されています。
以下のテンプレートは、送信(Originating)アカウントでVPCピアリング接続を作成するものです。
以下のコンポーネントが含まれています。

画像参照

AWS CloudFormationで運用可能なクロスアカウントVPCピアリング接続を作成するために、Originatingアカウントに必要な追加のAWS CloudFormationコンポーネントはどれでしょうか。(2つ選んでください。)

ネットワークエンジニアは、アプリケーションサーバーの全面に配置するロードバランサーのために、プライベートサブネットを作成しています。
VPC CIDRの残りIP数は僅かです。現在はユーザー数は少数ですが、数百万人ユーザーに急速に成長することが予想されます。

そのために、どのような設計にすれば最小限のIPスペースで、かつ、成長を可能にできますか。