AWS Advanced Networking 問題集
的中予想問題
日本語版
349設問数
PDF版
AWS Advanced Networking問題集はベンダー試験の過去の出題傾向を踏まえて作成されています。
IT認定試験は大多数が4択形式の設問となっています。
一般の公式テキスト、参考書、赤本などでは網羅されていない過去問を効果的に学習することにより、極めて短期間で資格認定試験に合格が可能になります。
一般の書店の書籍とことなり、本問題集はお支払い後、すぐにダウンロードしていただき、学習を開始していただけます。
紙媒体とことなり、本問題集は電子フォーマットとなっておりますので、PCラップトップ、タブレット、スマートフォンなど、時・場所に左右されることなく学習ができます。
多くの方から本番試験の合格のご報告を頂戴しています。
無料模擬試験問題
出題:1
組織の企業Webサイトは、www.acme.comおよびacme.comで利用できる必要があります。この要件を満たすためにAmazonRoute 53をどのように設定する必要がありますか?
(A). ELBをターゲットとするALIASレコードを使用してacme.comを構成します。ELBを対象としたALIASレコードを含むwww.acme.com。
(B). ELBをターゲットとするAレコードを使用してacme.comを構成します。acme.comレコードをターゲットとするCNAMEレコードを持つwww.acme.com。
(C). ELBをターゲットとするCNAMEレコードを使用してacme.comを構成します。acme.comレコードをターゲットとするCNAMEレコードを持つwww.acme.com。
(D). ELBターゲットで2番目のALIASレコードを使用してacme.comを構成します。www.acme.comは、acme.comレコードターゲットでPTRレコードを使用します。
解答:A
出題:2
Amazon Elastic MapReduce(Amazon EMR)を必要とするアプリケーションをAWSで構築しています。アプリケーションは、内部のオンプレミスActiveDirectoryドメインのホスト名を解決する必要があります。VPCで実行されているActiveDirectory統合DNSサーバーのペアを指すようにVPCで設定されたDHCPオプションを更新します。Amazon EMRクラスターの起動を成功させるには、どのアクションが必要ですか?
(A). Amazonが提供するDNSサーバーに条件付きフォワーダーを追加します。
(B). AmazonEMRクラスターのシームレスなドメイン参加を有効にします。
(C). 内部ドメインのADコネクタを起動します。
(D). EMRクラスター用にAmazonRoute53プライベートゾーンを設定します。
解答:B
出題:3
Web層、アプリケーション層、およびデータベース層に個別のサブネットを持つ3層のWebアプリケーションがあります。CISOは、アプリケーションが悪意のあるアクティビティのターゲットになると疑っています。自動通知システムを構築するためにどの2つのAWSサービスクラウドを活用する場合に、セキュリティチームに通知する必要がありますか?(2つ選択してください。)
(A). インターネットゲートウェイ
(B). VPCフローログ
(C). AWS CloudTrail
(D). ラムダ
(E). AWSインスペクター
解答:C、D
出題:4
AmazonVPCのアプリケーションサーバーのネットワークインフラストラクチャを設計しています。ユーザーは、インターネットおよびオンプレミスネットワークからすべてのアプリケーションインスタンスにアクセスします。オンプレミスネットワークは、AWS DirectConnectリンクを介してVPCに接続されています。これらの要件を満たすようにルーティングをどのように設計する必要がありますか?
(A). 2つのデフォルトルートを使用して単一のルーティングテーブルを構成します。1つはIGW経由でインターネットに、もう1つはVGW経由でオンプレミスネットワークに接続します。VPC内のすべてのサブネットでこのルーティングテーブルを使用します。
(B). 2つのルーティングテーブルを設定します。1つはIGW経由のデフォルトルートを持ち、もう1つはVGW経由のデフォルトルートを持ちます。両方のルーティングテーブルを各VPCサブネットに関連付けます。
(C). IGWを介したデフォルトルートで単一のルーティングテーブルを構成します。AWS DirectConnectカスタマールーターでBGPを介してデフォルトルートを伝播します。ルーティングテーブルをすべてのVPCサブネットに関連付けます。
(D). IGWを介したデフォルトルートで単一のルーティングテーブルを構成します。AWS DirectConnectカスタマールーターでBGPを介してオンプレミスネットワークの特定のルートを伝播します。ルーティングテーブルをすべてのVPCサブネットに関連付けます。
解答:D
出題:5
あなたの会社は、AmazonS3を使用してオンプレミスのデータストアを拡張することにしました。同社の高度に制御されたオンプレミスのインターネットゲートウェイを使用する代わりに、ダイレクトコネクト接続を注文して、S3への高帯域幅で低遅延のアクセスを提供します。同社はパブリックにルーティング可能なIPv4アドレスブロックを所有していないため、パブリック仮想インターフェイス(VIF)のAWS所有のアドレスをAWSにリクエストしました。セキュリティチームはこの新しい接続を「バックドア」と呼んでおり、会社へのリスクを明確にするように求められています。セキュリティチームからのどの懸念が有効であり、対処する必要がありますか?
(A). AWSは、インターネットへの集約ルートをアドバタイズし、インターネット上の誰もがルーターに到達できるようにします。
(B). 同じリージョンにパブリックVIFを使用しているDirectConnectのクライアントは、ルーターに直接アクセスできます。
(C). インターネットにアクセスできる同じリージョン内のEC2インスタンスは、ルーターに直接到達する可能性があります。
(D). S3サービスは、事前設定されたVPCエンドポイントを介してルーターに到達できます。
解答:A
出題:6
組織はVPNを使用してVPCに接続しますが、安定性とパフォーマンスのために1-G AWS DirectConnect接続にアップグレードする必要があります。電気通信プロバイダーは、データセンターからAWS Direct Connectファシリティへの回線をプロビジョニングしており、クロスコネクトの方法に関する情報(たとえば、どのラック/ポートを接続する)が必要です。この情報を提供するためにAWSが推奨する手順はどれですか?
(A). サポートチケットを作成します。AWSアカウント番号と電気通信会社の名前、および直接接続を終了する必要がある場所を入力します
(B). AWSマネジメントコンソールを介して新しい接続を作成し、情報が記載されたAWSからのメールを待ちます。
(C). 電気通信プロバイダーに、AWSパートナーチャネルを介してAWSに連絡するよう依頼してください。AWSアカウント番号を入力します。
(D). AWSアカウントマネージャーに連絡して、AWSアカウント番号、電気通信会社の名前、および直接接続を終了する必要がある場所を入力してください。
解答:A
出題:7
世界中の300のオフィスに展開されているクライアントアプリケーションで使用されるWebサービスを管理します。Webサービスアーキテクチャは、2つのアベイラビリティーゾーンにまたがる自動スケーリンググループにデプロイされた4つのアプリケーションサーバーにトラフィックを分散するElastic Load Balancer(ELB)です。ELBはラウンドロビンを使用するように設定されており、スティッキーセッションは無効になっています。要塞ホストからのポート22、および0.0.0.0/0からのポート80を許可するようにNACLとセキュリティグループを構成しました。クライアント構成は、各地域のITチームによって管理されます。調べてみると、正しく構成されていないサイトからの大量の要求が原因で、単一のアプリケーションサーバーが劣化していることがわかります。残りのリクエストは、悪影響を与えることなくすべてのサーバーに均等に分散されます。状況を改善し、将来の発生を防ぐためにあなたは何をするべきですか?
(A). 影響を受けるインスタンスをELBで劣化としてマークし、クライアントアプリケーションチームに報告します。
(B). NACLを更新して、ELBサーバーからアプリケーションサーバーへのポート80のみを許可します。
(C). ELBからアプリケーションサーバーへのポート80のみを許可するようにセキュリティグループを更新します。
(D). 影響を受けるインスタンスを終了し、AutoScalingが新しいインスタンスを作成できるようにします。
解答:D
出題:8
多国籍企業では、3つの異なるAWSリージョンにアプリケーションがデプロイされています。これらのアプリケーションは、VPNによって相互に安全に通信する必要があります。組織のセキュリティチームによると、VPNは次の要件を満たしている必要があります。AES128ビット暗号化
•SHA-1ハッシュ。DHグループ2を使用したSSLVPNPFSを介したユーザーアクセス
•キーとパスワードを維持/ローテーションする機能
•証明書ベースの認証組織が要件を満たすために、どのソリューションを推奨する必要がありますか?
(A). 仮想プライベートゲートウェイとカスタマーゲートウェイ間のAWSハードウェアVPN
(B). AWSMarketplaceからデプロイされたサードパーティのVPNソリューション
(C). 国際通信事業者によるプライベートMPLSソリューション
(D). 各リージョンの仮想プライベートゲートウェイ間のAWSハードウェアVPN
解答:D
出題:9
画像を参照してください。
A、B、Cの3つのVPCがあります。VPCAとCareはどちらもVPCBとピアリングされています。IPアドレスの範囲は次のとおりです。
VPCA 10.0.0.0/16
VPC B:192.168.0.0/16
•VPCC:10.0.0.0/16
VPCAのインスタンスi-1のIPアドレスは10.0.0.10です。
VPCCのインスタンスi-2のIPアドレスは10.0.0.10です。
VPC Bのインスタンスi-3と1-4のIPアドレスはそれぞれ192.168.1.10と192.168.1.20で、i-3とi-4はサブネットにあります192.168.1.0/241-3は通信できる必要がありますi-1
•1-4はi-2と通信できる必要があります
1-3およびi-4はi-1と通信できます。しかし、i-2ではそうではありません。
この問題を解決する2つのステップはどれですか?(2つ選択してください。)
(A). サブネット192.168.1.0/28および192.168.1.16/28を作成します。i-3とi-4をそれぞれこれらのサブネットに移動します。
(B). サブネット192.168.1.0/27および192.168.1.16/27を作成します。1-3と1-4をそれぞれこれらのサブネットに移動します。ci-2のIPアドレスを10.0.0.100に変更します。エラスティックIPアドレスを割り当てます。
(D). 宛先VPCAおよび宛先VPCCの一意のルートエントリを使用して、VPCBの新しいルートテーブルを作成します。
(E). 2つのルートテーブルを作成します。1つは宛先VPCAのルート、もう1つは宛先VPCCのルートです。
解答:A、E
出題:10
従来のオンプレミスWebアプリケーションは、効果的に負荷分散できません。計画されたイベントと計画外のイベントの両方があり、数百万の同時ユーザーに使用量の急増を引き起こします。既存のインフラストラクチャは、使用量の急増を処理できません。CIOは、さらなる中断を回避するためにアプリケーションをクラウドに移動することを義務付けており、ネットワークトラフィック監視のニーズをサポートするために送信元IPアドレスを変更しないという追加の要件もあります。次のデザインのどれがこれらの要件を満たしますか?
(A). Classic LoadBalancerの背後にあるAmazonEC2インスタンスのAutoScalingグループを使用します。
(B). Application LoadBalancerの背後にあるターゲットグループでEC2インスタンスのAutoScalingグループを使用します。
(C). Classic LoadBalancerの背後にあるターゲットグループでEC2インスタンスのAutoScalingグループを使用します。
(D). Network LoadBalancerの背後にあるターゲットグループでEC2インスタンスのAutoScalingグループを使用します。
解答:D
出題:11
組織は、そのWebサイトを通じて送信された消費者情報を処理します。組織のセキュリティポリシーでは、個人を特定できる情報(PMI)の要素を常に、受信時にできるだけ早く暗号化する必要があります。フロントエンドのAmazonEC2インスタンスは、復号化されたPllにアクセスできないようにする必要があります。本番VPC内の単一のサービスは、IAMロールを利用してPllを復号化する必要があります。これらの要件をサポートするサービスの組み合わせはどれですか?(2つ選択してください。)
(A). プライベートサブネット内のAmazonAurora
(B). AWS Lambda @Edgeを使用したAmazonCloudFront
(C). 透過的なデータ暗号化を備えたクライアント管理のMySQL
(D). HTTPSリスナーとターゲットを使用するアプリケーションロードバランサー
(E). AWSキー管理サービス
解答:C、E
出題:12
Lambda関数は、VPC内のAmazonElastiCacheクラスターのプライベートアドレスにアクセスする必要があります。Lambda関数は、AmazonSQSにメッセージを書き込む必要もあります。Lambda関数は、VPCのサブネットで実行するように設定されています。次のアクションのどれが要件を満たしていますか?(2つ選択してください。)
(A). Lambda関数には、AmazonSQSにアクセスするためのIAMロールが必要です
(B). Lambda関数は、パブリックSQS APIにアクセスするために、別のサブネットのNATゲートウェイまたはNATインスタンスを介してルーティングする必要があります。
(C). パブリックAmazonSQS APIにアクセスするには、Lambda関数にパブリックIPアドレスを割り当てる必要があります。
(D). ElastiCacheサーバーのアウトバウンドセキュリティグループルールは、Lambda関数のセキュリティグループを許可するように構成する必要があります。
(E). Lambda関数は、自動割り当てされたパブリックIPアドレスを使用する必要がありますが、エラスティックIPアドレスは使用しないでください。
解答:A、C
出題:13
インターネットへのアクセスを必要とするプライベートサブネットにEC2インスタンスをデプロイしています。このソリューションの要件の1つは、ホワイトリスト上の特定のURLのみへのアクセスを制限することです。ホワイトリストに登録されたURLに加えて、インスタンスは任意のURLを介して同じリージョン内の任意のAmazonS3バケットにアクセスできる必要があります。次のソリューションのどれを展開する必要がありますか?(2つ選択してください。)
(A). ホワイトリストにs3.amazonaws.comを含めます。
(B). S3のVPCエンドポイントを作成します。
(C). NATインスタンスでSquidプロキシを実行します。
(D). NATゲートウェイをVPCにデプロイします。
(E). セキュリティグループを利用してアクセスを制限します。
解答:C、D
出題:14
あなたの会社は、複数のアベイラビリティーゾーンのnginxサーバー/ RDSでElasticLoad Balancing(ELB)ロードバランサー/ PHPを使用してHTTPSアプリケーションを実行しています。動的コンテンツを生成するには、地理的制限を適用し、アプリケーションでクライアントのIPアドレスを特定する必要があります。このタスクを実行するには、AWSサービスをスケーラブルな方法でどのように利用する必要がありますか?
(A). nginxログ設定を変更してX-Forwarded-Forに値を記録し、CloudFrontを使用して地理的制限を適用します。
(B). ELBアクセスログを有効にしてクライアントのIPアドレスを保存し、これらを解析してブラックリストを動的に変更します
(C). X-Forwarded-Forをセキュリティグループとともに使用して、地理的制限を適用します。
(D). X-Forwarded-ForとCloudFrontの値を使用して地理的制限を適用するようにアプリケーションコードを変更します。
解答:A
出題:15
eu-central-1(Frankfurt)AWSリージョンで、適切に設計されたマルチAZアプリケーションを実行します。アプリケーションはVPCでホストされ、企業ネットワークからのみアクセスされます。大量のデータ転送とアプリケーションの管理をサポートするには、複数のプライベート仮想インターフェイスで単一の10 Gbps AWS DirectConnect接続を使用します。レビューの一環として、AWSへの接続の復元力を向上させ、追加の接続がAWSの同じDirectConnectルーターを共有しないようにすることにしました。アプリケーションのニーズを満たすために、最高レベルの復元力を提供する必要があります。どの2つのオプションを検討する必要がありますか?(2つ選択してください。)
(A). 同じ直接接続の場所に2番目の10Gbps直接接続接続をインストールします。
(B). 新しい10Gbpsダイレクトコネクト接続のパブリック仮想インターフェイスを介してIPsecVPNを展開します。
(C). 2番目の10Gbpsダイレクトコネクト接続をeu-west-1のダイレクトコネクトの場所にインストールします。
(D). 多様性のために、インターネット経由でeu-west-1リージョンにIPsecVPNを展開します
(E). eu-central-1の2番目のDirectConnectロケーションに2番目の10Gbps DirectConnect接続をインストールします。
解答:B、C
出題:16
現在、クラスター化されたNoSQLデータベースのすべてのノードに割り当てられた単一のセキュリティグループを使用しています。1つのリージョンのクラスターメンバーのみが相互に接続できる必要があります。このセキュリティグループは、クラスターセキュリティグループのgroup-idを使用した自己参照ルールを使用して、クラスターへのノードの追加またはクラスターからのノードの削除を容易にします。このデータベースを地域外の災害復旧要件に準拠させ、地域間を移動するときにノード間のネットワークトラフィックが暗号化されていることを確認する必要があります。別のAWSリージョンに追加のクラスターメンバーをデプロイするときに、安全なクラスター通信をどのように有効にする必要がありますか?
(A). AWSリージョン間にIPsecVPNを作成し、プライベートIPアドレスを使用してトラフィックをルーティングし、各リージョンで互いのセキュリティグループIDを参照するクラスターセキュリティグループルールを作成します。
(B). AWSリージョン間にIPsecVPNを作成し、プライベートIPアドレスを使用してトラフィックをルーティングし、他のリージョンのVPCCIDRに対応するクラスターセキュリティグループCIDRベースのルールを作成します。
(C). パブリックIPアドレスとTLSを使用して、各AWSリージョンのクラスターノード間で安全に通信し、他のリージョンのVPCCIDRに対応するクラスターセキュリティグループCIDRベースのルールを作成します。
(D). パブリックIPアドレスとTLSを使用して、各AVSリージョン内のクラスターノード間で安全に通信し、各リージョン内の互いのセキュリティグループIDを参照するクラスターセキュリティグループルールを作成します
解答:D
出題:17
オンプレミスをAWSVPCに接続するには、AWS DirectConnect接続を設定する必要があります。予算要件により、プロビジョニングできるダイレクトコネクトポートは1つだけです。オンプレミスのデータセンターには、冗長性のためにDirectConnectルーターとピアリングできる2つのボーダーゲートウェイルーターがあります。どの2つの設計手法を組み合わせて、この接続性を実現しますか?(2つ選択してください。)
(A). L2ボーダースイッチのダイレクトコネクト回線を終端します。このスイッチには、2つのルーターへのトランク接続があります。
(B). 同じVPCに対して、それぞれ異なるピアIPを持つ2つのDirectConnectプライベートVIFを作成します。
(C). 一方のルーターのいずれかでダイレクトコネクト回線を終了します。これにより、もう一方のルーターとのIBGPセッションが行われます。
(D). 2つのカスタマーピアIPを使用してVPC用に1つのDirectConnectプライベートVIFを作成します。
(E). VPC用に2つのVGWをプロビジョニングし、VGWごとに1つのDirectConnectプライベートVIFを作成します。
解答:A、D
出題:18
組織は、Amazon Route53プライベートゾーン「awscloud.internal」に保存されているDNSエントリを企業ネットワークから解決する必要があります。プライベート仮想インターフェイスを使用したAWSDirect Connect接続は、CIDRブロック192.168.0.0/16を使用してVPCへのアクセスを提供するように設定されています。DNSリゾルバー(BIND)は、VPC内のIPアドレス192.168.10.5のAmazon Elastic Compute Cloud(EC2)インスタンスで構成されます。DNSリゾルバーには、「awscloud.internal to the IP address 192.168.0.2」の標準ルートサーバーヒントが構成され、条件付き転送があります。企業ネットワーク上のPCから、192.168.10.5のDNSサーバーにwww.amazon.comを照会します。クエリは成功し、適切な応答を返します。「serverawscloud.internal」をクエリすると、クエリがタイムアウトします。応答はありません。
(A). インターネットゲートウェイをVPCに接続し、デフォルトルートを作成します。
(B). enableDnsHostnamesおよびenableDnsSupportのVPC設定をTrueとして構成します
(C). BINDDNSリゾルバーを企業ネットワークに再配置します
(D). 192.168.10.5のEC2インスタンスのセキュリティグループを更新して、UDPポート53のアウトバウンドを許可します。
解答:B
出題:19
会社のポリシーでは、すべてのVPCが「共通サービス:VPC」とピアリングする必要があります。このVPCには、レイヤ7プロキシのフリートとインターネットゲートウェイが含まれています。他のVPCがインターネットゲートウェイをプロビジョニングすることは許可されていません。新しいVPCを設定し、ポリシーで要求される共通サービスVPC。AmazonEC2を起動します。すべてのトラフィックを共通サービスVPCのレイヤー7プロキシに転送するように構成されたWindowsインスタンス。このサーバー上のアプリケーションは、適切に構成されたAWSIdentityを使用してAmazonS3と正常に対話する必要があります。アクセス管理(IAM)の役割。ただし、AmazonS3はアプリケーションに403エラーを返します。AmazonS3へのアクセスを有効にするにはどの手順を実行する必要がありますか。
(A). インスタンスのプライベートIPアドレスでS3バケットポリシーを更新します。
(B). インスタンスのプロキシ構成から169.254.169.0/24を除外します。
(C). インスタンスと同じサブネットにAmazonS3のVPCエンドポイントを設定します。
(D). Amazon S3のCORS設定を更新して、プロキシからのトラフィックを許可します。
解答:D
出題:20
クライアントはABCTelecomをネットワークプロバイダーとして使用しています。クライアントは、ABCTelecomのMPLSバックボーンに接続された10の異なるオフィスを持っています。クライアントはAWSへのAWSDirect Connect接続をセットアップしており、ABCTelecomにLOA-CFAを提供しています。ABC Telecomは、MPLSバックボーンへのダイレクトコネクト回線を終了しました。MPLSバックボーンを介してクライアントのトラフィックを一意に識別するには、クライアントはすべてのトラフィックをVLANタグ100でカプセル化する必要があります。クライアントはトラフィックを複数のVPCに送信することを検討しています。クライアントの要件を満たすために取るべき2つのステップはどれですか?(2つ選択してください。)
(A). クライアントは、AWSが必要とするVLANタグを内部に、VLAN 100を外部タグとして、Q-in-Qトンネリングを実行します。
(B). AWSでサポートチケットを作成して、トラフィックがAWSルーターに到達したときに外部VLANタグ100の削除をリクエストします。
(C). 同じVLANタグ100を持つすべてのVPCのトラフィックを送信し、BGPを使用して、適切なVPCへの適切なルーティングが行われるようにします。
(D). ABC Telecomは、パケットをAWSに送信する前に外部タグを削除します。レモ
(E). ABC Telecomは、AWSとサポートチケットを作成してMPLSラベルを交換し、MPLSネットワークの一部としてAWSポートを含めます。
解答:C、E
出題:21
組織は、AWSで消費者向けのウェブサイトを運営しています。Amazon EC2ベースのWebフリートは、AWS Application Load Balancerを使用して負荷分散され、Amazon Route53はパブリックDNSサービスを提供するために使用されます。次のURLは、コンテンツをエンドユーザーに提供する必要があります。test.example.comweb.example.comexample.comこの情報に基づいて、要件を満たすためにどのサービスの組み合わせを使用する必要がありますか?(2つ選択してください。)
(A). example.comを適切なターゲットグループにルーティングするためのALBリスナーのパス条件。
(B). .example.comを適切なターゲットグループにルーティングするためのALBリスナーのホスト条件。
(C). example.comを適切なターゲットグループにルーティングするためのALBリスナーのホスト条件。
(D). * .example.comを適切なターゲットグループにルーティングするためのALBリスナーのパス条件。
(E). $$$$。example.comを適切なターゲットグループにルーティングするためのALBリスナーのホスト条件。
解答:A、C
出題:22
サイバーセキュリティへの懸念が高まる中、企業はほぼリアルタイムの侵入検知システム(IDS)ソリューションを展開しています。できるだけ早くシステムを導入する必要があります。アーキテクチャは多くのAWSアカウントで構成されており、すべての結果を中央の場所に配信する必要があります。ダウンタイムとコストを最小限に抑えながら、この要件を満たすソリューションはどれですか?
(A). サードパーティベンダーソリューションをデプロイして、トランジットVPCでディープパケットインスペクションを実行します。
(B). 各VPCでVPCフローログを有効にします。中央のAmazonElasticsearchクラスターへのフローログのストリームを設定します。
(C). 各AWSアカウントでAmazonMacieを有効にし、中央レポートを設定します。
(D). 中央アカウントのメンバーとして、各アカウントでAmazon GuardDutyを有効にします。
解答:D
出題:23
組織は、高解像度で動的なWebコンテンツを提供します。インターネットユーザーは、モバイル、タブレット、デスクトップなど、さまざまなプラットフォームからコンテンツにアクセスします。各プラットフォームは、表示モードの違いを説明するためにカスタマイズされたエクスペリエンスを受け取ります。パスベースのヘッダーに基づいてコンテンツをサーバー化するために、プラットフォームごとにAmazonEC2インスタンスの専用の自動スケーリングフリートが使用されます。コストを最小化し、パフォーマンスを最大化するサービスの組み合わせはどれですか?(2つ選択してください。)
(A). Lambda @Edgeを使用したAmazonCloudFront
(B). ネットワークロードバランサー
(C). AmazonS3静的ウェブサイト
(D). トラフィックフローポリシーを使用したAmazonRoute 53
(E). アプリケーションロードバランサー
解答:A、E
出題:24
AWSVPCとオンプレミスネットワークの間にVPNを設定する必要があります。AWS管理コンソールでVPN接続を作成し、設定ファイルをダウンロードして、オンプレミスルーターにインストールします。ルーターのファイアウォール制限のため、トンネルが起動していません。ファイアウォールの通過を許可する必要がある2つのネットワークトラフィックオプションはどれですか?(2つ選択してください。)
(A). UDPポート500
(B). IPプロトコル50ICPプロトコル5
(D). TCPポート50
(E). TCPポート500
解答:A、B
出題:25
AmazonEC2インスタンスのトラフィックフローを監視するように求められました。ディープパケットインスペクションを実行し、非定型のパターンを探します。このデータを確認できるツールはどれですか?
(A). Wireshark
(B). VPCフローログ
(C). AWSCLI
(D). CloudWatchログ
解答:A
出題:26
オンプレミスサーバーからAmazonElastic Compute Cloud(EC2)インスタンスにpingを実行します。VPCフローログは以下を記録します。
オンプレミスシステムでICMP応答が受信されないのはなぜですか?
(A). インバウンドネットワークアクセス制御リストがトラフィックをブロックしています
(B). アウトバウンドネットワークアクセスコントロールリストがトラフィックをブロックしています
(C). インバウンドセキュリティグループがトラフィックをブロックしています。
(D). アウトバウンドセキュリティグループがトラフィックをブロックしています。
解答:B
出題:27
2層アプリケーションをAmazonVPCに移動します。Elastic Load Balancing(ELB)ロードバランサーは、アプリケーション層の前に構成されます。アプリケーション層は、RESTfulインターフェイスを介して駆動されます。データ層は、リレーショナルデータベースサービス(RDS)MySQLを使用します。会社のポリシーでは、転送中のすべてのデータをエンドツーエンドで暗号化する必要があります。どのELB構成が企業の暗号化ポリシーに準拠していますか?
(A). ELBロードバランサープロトコルをHTTPとして構成します。SSL終了用にアプリケーションインスタンスを構成します。Amazon RDSをSSL用に設定し、REQUIRESSL許可を使用します。
(B). ELBプロトコルをTCPモードで構成します。SSL終了用にアプリケーションインスタンスを構成します。Amazon RDSをSSL用に設定し、REQUIRESSL許可を使用します。
(C). ELBロードバランサープロトコルをHTTPSとして構成します。アプリケーションインスタンスの暗号化をロードバランサーにオフロードします。Amazon RDSにSSL証明書をインストールし、SSLを設定します。
(D). ELBプロトコルをSSLモードで構成します。アプリケーションインスタンスの暗号化をロードバランサーにオフロードします。AmazonRDSにSSL / TLS証明書をインストールし、SSLを設定します。
解答:C
出題:28
アプリケーションは、自動スケーリンググループ内のElastic Load Balancer(ELB)の背後でホストされます。自動スケーリンググループは、最小2、最大14、および必要な値2で構成されます。自動スケーリングのクールダウンと終了ポリシーはデフォルト値に設定されます。CloudWatchの報告によると、サイトに必要なサーバーは通常2つだけですが、営業日の開始時と終了時に急増すると、8〜10台のサーバーが必要になる場合があります。タイムアウトと部分的にロードされたWebページの断続的なレポートを受け取りますこの問題に対処するには、どの構成変更を行う必要がありますか?
(A). ELBで接続ドレインを構成します。
(B). 自動スケーリングのクールダウンを600秒に構成します
(C). 終了ポリシーを最も古いインスタンスに構成します。
(D). 終了の構成:イベントのスケールでライフサイクルフックを待ちます。
解答:A
出題:29
AWS DirectConnectソリューションをVPCに設計しています。ダイレクトコネクトの場所でダイレクトコネクトリンクを終了するには、カスタマールーターの要件を考慮する必要があります。カスタマールーターを選択する際に考慮すべき3つの要素はどれですか。(3つ選択してください。)
(A). 802.1qトランキング
(B). 802.1axまたは802.3adリンクアグリゲーション
(C). OSPF
(D). BGP
(E). シングルモード光ファイバー接続
(F). 1Gbpsの銅線接続
解答:A、D、E
出題:30
あなたの会社はNTPサーバーを使用してシステム間で時刻を同期しています。同社は、LinuxおよびWindowsシステムの複数のバージョンを実行しています。NTPサーバーに障害が発生したことが判明したため、インスタンスに代替NTPサーバーを追加する必要があります。実行中のインスタンスを再起動せずに情報を伝達するには、NTPサーバーの更新をどこに適用する必要がありますか?
(A). DHCPオプションセット
(B). インスタンスユーザーデータ
(C). Cfn-initスクリプト
(D). インスタンスメタデータ
解答:C
出題:31
あなたの会社は、オンプレミスをAmazonVPCインスタンスに接続するようにAWSDirectConnectをセットアップしました。2つのダイレクトコネクト接続は、2つの異なるダイレクトコネクトの場所で終了します。端で2つのルーターR1とR2を使用しています(各Direct Connect接続の1つ). R1とR2の間には接続がありません。両方のルーターは、BGPを介して同じルーターをVGWにアドバタイズします。各ルーターにはステートフルファイアウォールがあります。ルーターは、VPCからのトラフィックの一部をドロップします。この問題を解決するには、どの2つのアクションを実行する必要がありますか?(2つ選択してください。)
(A). R1からVGWにルーターをアドバタイズするときに、BGP AS prepend属性を使用して、追加のAS番号を付加します。
(B). BGPローカルプリファレンス属性を使用して、R1をR2よりも小さいローカルプリファレンス番号に割り当てます。
(C). BGPローカルプリファレンス属性を使用して、R1にR2よりも高いローカルプリファレンス番号を割り当てます。
(D). BGP MED属性を使用して、R1をVGWにアドバタイズするルートにより高いMED値を割り当てます。
(E). BGP MED属性を使用して、R2からVGWにアドバタイズされたルートにより高いMED値を割り当てます。
解答:A、C
出題:32
組織は現在のネットワーク設計を拡張します。完全に構築されると、11個のAWSアカウントに99個のVPCが分散されます(accountごとに9個のVPC). 現在、9つのVPCを備えた1つのアカウントへのAWS Direct Connect接続があり、それぞれがVPCごとに仮想ネットワークインターフェイス(VIF)を備えています。次の設計のうち、組織を拡大しながらコストを最小限に抑えるのはどれですか?
(A). プロビジョニングされる各アカウントから1つずつ、10個の新しいDirectConnect接続を注文します。各アカウントにプライベートVIFを作成します。VPCごとに1つのプライベートVIFをアタッチします。
(B). DirectConnect接続でパブリックVIFを作成します。パブリックVIFを活用して、各VPCへのVPN接続を作成します。
(C). 既存のアカウントでホストされたプライベートVIFを作成します。プライベートVIFを各アカウントのAWSDirectConnectゲートウェイに接続します。各アカウントのゲートウェイをVPCに接続します。
(D). 別々のアベイラビリティーゾーンにある2つのルーターで構成される既存のアカウントにトランジットVPCを作成します。VPNを使用して、各VPCをトランジットVPC内の2つのルーターに接続します。
解答:D
出題:33
eコマースのプレゼンスが高まっている組織は、AWS CloudHSMを使用して、ウェブサーバーフリートのSSL / TLS処理をオフロードします。同社は、WebサーバーにAmazon EC2 Auto Scalingを活用して、成長に対応しています。暗号化操作を拡張するには、どのアーキテクチャアプローチが最適ですか?
(A). 複数のCloudHSMインスタンスを使用し、ネットワークロードバランサーを使用してそれらの負荷を分散します。
(B). クラスターに複数のCloudHSMインスタンスを使用します。クラスターにリクエストすると、自動的に負荷分散されます。
(C). CloudHSMインスタンスでAutoScalingを有効にし、Web層のAutoScalingグループと同様の構成にします。
(D). 複数のCloudHSMインスタンスを使用し、Application LoadBalancerを使用してそれらの負荷を分散します。
解答:A
出題:34
ある会社には、AWSVPCへのアクセスを必要とする225のモバイルデバイスとデスクトップデバイスと300のパートナーVPNがあります。VPNユーザーは互いに到達できないようにする必要があります。コストを最小限に抑えながら、技術要件とセキュリティ要件を満たすアプローチはどれですか?
(A). モバイル、デスクトップ、およびパートナーVPN接続にはAWS IPsecVPNを使用します。ネットワークアクセス制御リスト(ネットワークACL)とセキュリティグループを使用して、ルーティングの分離を維持します。
(B). パートナーVPN接続にはAWSIPsecVPNを使用します。モバイルデバイスとデスクトップデバイスにはAmazonEC2インスタンスVPNを使用します。ネットワークACLとセキュリティグループを使用して、ルーティングの分離を維持します。
(C). オンプレミスとAWSの間にAWSDirectConnect接続を作成します。パブリック仮想インターフェースを使用して、モバイル、デスクトップ、およびパートナーVPN接続用のAWS IPsecVPNに接続します。
(D). デスクトップ、モバイル、およびパートナーVPN接続にAmazonEC2インスタンスVPNを使用します。VPNインスタンスの機能を使用して、ルーティングと接続を制限します。
解答:B
出題:35
あなたの会社は、バックアップとアーカイブのためにAmazon Simple Storage Solution(S3)を活用する必要があります。会社の方針によれば、データが暗号化されている場合でも、データはパブリックインターネット上を流れるべきではありません。us-east-1とus-west-2に2つのS3バケットを設定しました。あなたの会社のデータセンターは、米国の西海岸にあります。設計は費用効果が高く、待ち時間を最小限に抑える必要があります。どのデザインを設定する必要がありますか?
(A). us-east-1へのAWSDirectConnect接続とus-west-2へのDirectConnect接続。
(B). us-east-1へのAWSDirectConnect接続。
(C). us-west-2へのAWSDirectConnect接続。
(D). us-west-2へのAWSダイレクトコネクト接続とus-east-1へのVPN接続。
解答:A
出題:36
組織は、HTTPSリスナーを使用したElastic Load Balanceing(ELB)サービスと組み合わせて自動スケーリングを使用する、AWSにデプロイされた人気のあるeコマースアプリケーションを実行しています。セキュリティチームは、サイトで使用されている暗号化プロトコルと暗号に悪用可能な脆弱性が発見されたと報告しています。この問題を解決するには、どの手順を実行する必要がありますか?
(A). すべてのWebサーバーに対して新しいSSL証明書を生成し、現在の証明書を置き換えます。
(B). ELBのセキュリティポリシーを変更して、脆弱なプロトコルと暗号を無効にします。
(C). 新しいSSL証明書を生成し、ELBを使用してすべてのWebサーバーの暗号化されたトラフィックをフロントエンドします。
(D). 現在の構成管理システムを活用して、すべてのWebサーバーのSSLポリシーを更新します。
解答:D
出題:37
組織は、IPアドレス管理(IPAM)製品を活用してIPアドレスの配布を管理します。IPAMはAPIを公開します。開発チームはCloudFormationを使用して、承認されたリファレンスアーキテクチャをプロビジョニングします。展開時に、IPアドレスをVPCに割り当てる必要があります。VPCが削除されると、IPAMはVPCのIP割り当てを再利用する必要があります。IPAMとCloudFormationの効率的で自動化された統合を可能にする方法はどれですか?
(A). 「Ref .:」組み込み関数を使用したAWSCloudFormationパラメーター
(B). AWSLambda呼び出しを使用するAWSCloudFormationカスタムリソース。
(C). カスタムChef構成のCloudFormation :: OpsWorksスタック。
(D). 「Fn :: FindinMap」組み込み関数を使用したAWSCloudFormationパラメーター。
解答:A
出題:38
最小のレイテンシーと最高の1秒あたりのパケット数のネットワークパフォーマンスを必要とするアプリケーション用にAmazonElastic Compute Cloud(EC2)インスタンスをセットアップする必要があります。アプリケーションは、ピアリングされたVPC内の他のサーバーと通信します。次のコンポーネントのうち、設計に含める必要があるのはどれですか?(2つ選択してください。)
(A). シングルルートI / O仮想化をサポートするインスタンスを選択します。
(B). 複数のENASをサポートするインスタンスを選択します。
(C). インスタンスがジャンボフレームをサポートしていることを確認し、9001MTUを設定します。
(D). Amazon Elastic Block Store(EBS)最適化を使用してインスタンスを選択します。
(E). 適切なOSドライバがインストールされていることを確認してください。
解答:A、B
出題:39
新しくプロビジョニングされた1Gbps AWS DirectConnect接続でVPCにアクセスするための仮想インターフェイスを設定しています。どの2つの構成値を提供する必要がありますか?(2つ選択してください。)
(A). パブリックAS番号
(B). VLAND
(C). アドバタイズするIPプレフィックス
(D). ダイレクトコネクトのロケーション
(E). 仮想プライベートゲートウェイ
解答:A、E
出題:40
企業ネットワークルーティングテーブルには、624個の個別のRFC1918およびパブリックIPプレフィックスが含まれています。AWS DirectConnectコネクタが2つあります。仮想プライベートゲートウェイへの両方の接続でプライベート仮想インターフェイスを構成します。現在、仮想プライベートゲートウェイはVPCに接続されていません。どちらのBGPセッションも、カスタマールータで確立された状態を維持しません。AWSマネジメントコンソールは、プライベート仮想インターフェースをダウンとして報告します。AWSマネジメントコンソールがプライベート仮想インターフェースを利用可能として報告するように、問題に対処するために何ができますか?
(A). 仮想プライベートゲートウェイをVPCに接続し、ルート伝播を有効にします。
(B). プライベート仮想インターフェイスから企業ネットワーク上のパブリックIPプレフィックスをフィルタリングします。
(C). 企業ネットワークからのBGPアドバタイズメントをデフォルトルートのみに変更します。
(D). 2番目の仮想インターフェイスを代替の仮想プライベートゲートウェイに接続します。
解答:D
出題:41
あなたの会社はAmazonRoute53プライベートホストゾーンを維持しています。DNS解決は、単一の既存のVPCに制限されています。新しいアプリケーションのデプロイでは、同じAWSアカウントに追加のVPCを作成します。この新しいVPCとオンプレミスDNSインフラストラクチャの両方で、既存のプライベートホストゾーンのレコードを解決する必要があります。新しいVPC内とオンプレミスインフラストラクチャの両方からDNS解決を有効にするために必要な2つのアクティビティはどれですか?(2つ選択してください。)
(A). 新しいVPCに設定されているDHCPオプションをRoute53ネームサーバーのIPアドレスで更新します。
(B). Route 53プライベートホストゾーンのVPCアソシエーションを更新して、新しいVPCを含めます。
(C). 新しいVPCでAmazonEC2ベースのDNSプロキシを起動します。オンプレミスDNSでフォワーダーとしてプロキシを指定します。
(D). オンプレミスDNSを更新して、Route53ネームサーバーIPアドレスへのフォワーダーを含めます。
(E). 新しいVPCでAmazonEC2ベースのDNSプロキシを起動します。DHCPオプションセットでプロキシを指定します。
解答:A、B
出題:42
社内の部門が、組織の統合請求ファミリの一部ではない新しいアカウントを作成しました。この部門は、ワークロード用のVPCも作成しました。アクセスは、ネットワークアクセス制御リストによって部門のオンプレミスプライベートIP割り当てに制限されています。このVPCのAWSDirect Connectプライベート仮想インターフェースは、企業ネットワークへのデフォルトルートをアドバタイズします。部門が新しいVPCのAmazonElastic Compute Cloud(EC2)インスタンスからデータをダウンロードする場合、関連する料金はいくらですか?
(A). 同社はインターネットデータ出力料金を支払います。
(B). 会社はAWSDirect Connect DataOutの料金を支払います
(C). 部門はインターネットデータ出力料金を支払います。
(D). 部門はAWSDirect Connect DataOutの料金を支払います。
解答:D
出題:43
組織は、既存のオンプレミスインフラストラクチャをクラウドに拡張します。この設計は、自動フェイルオーバーのために2つのアベイラビリティーゾーンにわたって高可用性構成でデプロイされるステートフルファイアウォールを含むトランジットVPCで構成されています。この設計を機能させるには、何を構成する必要がありますか?(2つ選択してください。)
(A). ファイアウォールごとに異なる自律システム番号(ASN).
(B). ボーダーゲートウェイプロトコル(BGP)ルーティング
(C). 自律システム(AS)パスの先頭に追加
(D). 静的ルーティング
(E). 等コストマルチパスルーティング(ECMP)
解答:B、E
出題:44
ある会社が、アプリケーションをオンプレミスのデータセンターからAWSに移行しようとしています。計画プロセスの一環として、DNSに関連する次の要件が特定されました。。オンプレミスシステムは、Amazon Route53プライベートホストゾーンのエントリを解決できる必要があります。
•組織のVPCで実行されているAmazonEC2インスタンスは、オンプレミスシステムのDNS名を解決できる必要があります。組織のVPCはCIDRブロック172.16.0.0/16を使用します。DNS名前空間の重複がないと仮定すると、これらの要件をどのように満たすことができますか?
(A). Amazonが提供するDNSサーバーとオンプレミスDNSシステムの両方を使用するようにVPCに設定されたDHCPオプションを変更します。オンプレミスのDNSシステムをスタブゾーンで構成し、ネームサーバー172.16.0.2をRoute53プライベートホストゾーンの権限として委任します。
(B). DNSプロキシとして機能するように一連のEC2インスタンスを会社のVPCにデプロイして設定します。オンプレミスドメインのクエリをオンプレミスDNSシステムに転送し、他のすべてのクエリを172.16.0.2に転送するようにプロキシを構成します。新しいDNSプロキシを使用するようにVPCに設定されたDHCPオプションを変更します。オンプレミスのDNSシステムをスタブゾーンで構成し、ネームサーバー172.16.0.2をRoute53プライベートホストゾーンの権限として委任します。
(C). DNSプロキシとして機能するように一連のEC2インスタンスを会社のVPCにデプロイして設定します。オンプレミスドメインのクエリをオンプレミスDNSシステムに転送し、他のすべてのクエリをAmazonが提供するDNSサーバー(172.16.0.2)に転送するようにプロキシを構成します。新しいDNSプロキシを使用するようにVPCに設定されたDHCPオプションを変更します。スタブゾーンを使用してオンプレミスDNSシステムを構成し、プロキシをRoute53プライベートホストゾーンの権限として委任します。
(D). VPCに設定されているDHCPオプションを変更して、両方のオンプレミスDNSシステムを使用します。スタブゾーンを使用してオンプレミスDNSシステムを構成し、Route53プライベートホストゾーンのネームサーバーをRoute53プライベートホストゾーンの権限として委任します。
解答:C
出題:45
Webアプリケーション開発チームは、200個のランダムなIPアドレスからの悪意のあるアクティビティについて心配しています。このタイプの脅威からのセキュリティとスケーラビリティを確保するアクションはどれですか?
(A). インバウンドセキュリティグループルールを使用してIPアドレスをブロックする
(B). インバウンドネットワークACLルールを使用して、IPアドレスをブロックします。
(C). AWSWAFを使用してIPアドレスをブロックします。
(D). インスタンスにiptablesルールを記述して、IPアドレスをブロックします。
解答:B
出題:46
パブリックサブネットとプライベートサブネットの両方を使用して本番VPCを運用します。組織は、この本番ワークロードをサポートするために、制限されたAmazonS3バケットを維持しています。プライベートサブネット内のAmazonEC2インスタンスのみがバケットにアクセスする必要があります。Amazon S3のVPCエンドポイント(VPC-E)を実装し、以前にAmazonS3へのネットワークパスを提供していたNATを削除します。デフォルトのVPC-Eポリシーが適用されます。パブリックサブネットまたはプライベートサブネットのEC2インスタンスは、S3バケットにアクセスできません。プライベートサブネットのEC2インスタンスからAmazonS3アクセスを有効にするにはどうすればよいですか?
(A). プライベートサブネットのCIDRアドレス範囲をS3バケットポリシーに追加します。
(B). 識別されたVPC-EをS3バケットポリシーに追加します。
(C). 本番VPCのVPC識別子をS3バケットポリシーに追加します。
(D). 本番VPCのVPC-E識別子をエンドポイントポリシーに追加します。
解答:A
出題:47
ハイブリッドネットワーク環境は、2つのアプリケーションVPC、共有サービスVPC、および企業ネットワークで構成されます。企業ネットワークは、動的(BGP)ルーティングが有効になっているIPsecVPNを介して共有サービスVPCに接続されています。アプリケーションは、共有サービスVPCの共通認証サービスにアクセスする必要があります。企業ネットワークから両方のアプリケーションVPCへのネイティブネットワークアクセスを有効にする必要があります。要件を満たすためにどのステップを踏む必要がありますか?
(A). VPCピアリングを使用して、アプリケーションVPCを共有サービスVPCとピアリングし、企業VPNを介して共有サービスVPCで関連するルーティングを有効にします。
(B). 各アプリケーションVPCの仮想プライベートゲートウェイと共有サービスVPCの仮想プライベートゲートウェイの間にIPsecVPNを設定します。
(C). アプリケーションVPCごとに追加のIPsecVPNを設定して企業ネットワークに戻し、共有サービスVPCへのVPCピアリングを有効にします。
(D). CloudHub機能を有効にして、動的BGPルーティングを使用して3つのVPCと企業ネットワーク間でトラフィックをルーティングします。
解答:C
出題:48
VPNを使用して、企業ネットワークをVPCに拡張します。VPCのインスタンスは、Amazon Route53プライベートホストゾーンのリソースレコードを解決できます。オンプレミスDNSサーバーはVPCへのフォワーダーで構成されていますオンプレミスユーザーにプライベートホストゾーンへのアクセスを提供するにはどうすればよいですか?
(A). VPC内にプロキシリゾルバーを作成します。オンプレミスフォワーダーをプロキシリゾルバーにポイントします。
(B). VPCのネットワークアクセスコントロールリストを変更して、オンプレミスシステムからのDNSクエリを許可します。
(C). オンプレミスサーバーをプライベートゾーンのセカンダリDNSとして構成します。NSレコードを更新します。
(D). プライベートホストゾーンに割り当てられた4つのネームサーバーでオンプレミスフォワーダーを更新します。
解答:D
出題:49
組織には、新しくインストールされた1 Gbps AWS DirectConnect接続があります。ダイレクトコネクトロケーションプロバイダーから同じ施設内のルーターのポートへのクロスコネクトを注文します。最初の仮想インターフェイスの使用を有効にするには、ルーターを適切に構成する必要があります。ルーターの最小要件はどれですか?
(A). 1 Gbpsマルチモードファイバーインターフェイス、802.1Q VLAN、ピアIPアドレス、MD5とのBGPセッション。
(B). 1 Gbpsシングルモードファイバーインターフェイス、802.1Q VLAN、ピアIPアドレス、MD5とのBGPセッション。
(C). IPsecパラメータ、事前共有キー、ピアIPアドレス、MD5とのBGPセッション
(D). MD5、802.1Q VLAN、ルートマップ、プレフィックスリスト、IPsec暗号化GREトンネルを使用したBGPセッション
解答:B
出題:50
セキュリティチームは、すべてのAmazon Elastic Compute Cloud(EC2)インスタンスにホストベースのファイアウォールを実装して、すべての発信トラフィックをブロックします。特定の要件ごとに例外を要求する必要があります。新しいルールをリクエストするまで、インスタンスメタデータサービスにアクセスすることはできません。インスタンスのメタデータアクセスを許可するために、インスタンスに追加するように要求するファイアウォールルールはどれですか?
(A). Inbound; Protocol top; Source [Instance's EIP]; Destination 169.254.169.254
(B). Inbound; Protocol tcp; Destination 169.254.169.254; Destination port 80
(C). Outbound; Protocol tcp; Destination 169.254.169.254; Destination port 80
(D). Outbound; Protocol tcp; Destination 169.254.169.254; Destination port 443
解答:C