AWS Solutions Architect Associate (SAA-C03) 問題集
的中予想問題
日本語版
990設問数
PDF版
AWS Solutions Architect Associate (SAA-C03)問題集はベンダー試験の過去の出題傾向を踏まえて作成されています。
IT認定試験は大多数が4択形式の設問となっています。
一般の公式テキスト、参考書、赤本などでは網羅されていない過去問を効果的に学習することにより、極めて短期間で資格認定試験に合格が可能になります。
一般の書店の書籍とことなり、本問題集はお支払い後、すぐにダウンロードしていただき、学習を開始していただけます。
紙媒体とことなり、本問題集は電子フォーマットとなっておりますので、PCラップトップ、タブレット、スマートフォンなど、時・場所に左右されることなく学習ができます。
多くの方から本番試験の合格のご報告を頂戴しています。
無料模擬試験問題
出題:1
あるソフトウェア開発会社は、AWS Lambda によるサーバーレス コンピューティングを使用して、サーバーのセットアップや管理を行わずにアプリケーションを構築および実行しています。これらには、人気のある Database as a Service (DBaaS) プラットフォームである MongoDB Atlas に接続する Lambda 関数があり、サードパーティ API を使用してアプリケーションの特定のデータをフェッチします。開発者の 1 人は、MongoDB データベースのホスト名、ユーザー名、パスワードの環境変数と、DEV、SIT、UAT、PROD 環境の Lambda 関数で使用される API 認証情報を作成するように指示されました。
Lambda 関数が機密性の高いデータベースと API 認証情報を保存していることを考えると、チーム内の他の開発者や第三者がこれらの認証情報をプレーンテキストで閲覧できないようにするには、この情報をどのように保護すればよいでしょうか? 最大限のセキュリティを提供する最適なオプションを選択してください。
A. AWS CloudHSM を利用して機密情報を保存および暗号化する SSL 暗号化を有効にします。
B. AWS Lambda は環境変数の暗号化を提供しません。代わりにコードを EC2 インスタンスにデプロイします。
C. デフォルトでは、AWS Lambda は AWS Key Management Service を使用して環境変数をすでに暗号化しているため、何もする必要はありません。
D. 新しい KMS キーを作成し、それを使用して、AWS Key Management Service を利用して機密情報を保存および暗号化する暗号化ヘルパーを有効にします。
解答:D
説明/参照:
環境変数を使用する Lambda 関数を作成または更新すると、AWS Lambda は AWS Key Management Service を使用して関数を暗号化します。Lambda 関数が呼び出されると、それらの値が復号化され、Lambda コードで使用できるようになります。
リージョンで環境変数を使用する Lambda 関数を初めて作成または更新すると、AWS KMS 内でデフォルトのサービスキーが自動的に作成されます。このキーは環境変数の暗号化に使用されます。ただし、Lambda 関数の作成後に暗号化ヘルパーを使用し、KMS を使用して環境変数を暗号化する場合は、独自の AWS KMS キーを作成し、デフォルトのキーの代わりにそれを選択する必要があります。デフォルトのキーを選択するとエラーが発生します。独自のキーを作成すると、アクセス制御を作成、ローテーション、無効化、定義したり、データを保護するために使用される暗号化キーを監査したりする機能など、柔軟性が高まります。
オプション: デフォルトで AWS Lambda がすでにインストールされているため、何もする必要はありません。
AWS Key Management Service を使用して環境変数を暗号化するのは正しくありません。Lambda はデフォルトで関数内の環境変数を暗号化しますが、機密情報は暗号化されます。
Lambda コンソールにアクセスできる他のユーザーには引き続き表示されます。これは、Lambda がデフォルトの KMS キーを使用して変数を暗号化し、通常は他のユーザーがアクセスできるためです。このシナリオにおける最良のオプションは、暗号化ヘルパーを使用して環境変数を保護することです。
「AWS CloudHSM を利用して機密情報を保存および暗号化する SSL 暗号化を有効にする」というオプションも、SSL を有効にすると転送中のデータのみが暗号化されるため、正しくありません。他のチームは保存時の平文を引き続き表示できます。代わりに AWS KMS を使用してください。
オプション: AWS Lambda は環境変数の暗号化を提供しません。前述したように、Lambda は
環境変数の暗号化機能。https://docs.aws.amazon.com/lambda/latest/dg/env_variables.html#env_encrypt
https://docs.aws.amazon.com/lambda/latest/dg/tutorial-env_console.html この AWS Lambda チートシートを確認してください: https://tutorialsdojo.com/aws-lambda/
AWS Lambda の概要 - AWS のサーバーレス コンピューティング: https://www.youtube.com/watch?v=bPVX1zHwAnY
出題:2
ある企業は、Application Load Balancer の背後にある EC2 インスタンスの Auto Scaling グループで e コマース Web サイトをホストしていました。ソリューション アーキテクトは、Web サイトが、IP アドレスが常に変化する複数のシステムから大量の不正な外部リクエストを受信していることに気付きました。パフォーマンスの問題を解決するには、ソリューション アーキテクトは、正当なトラフィックへの影響を最小限に抑えながら不正なリクエストをブロックするソリューションを実装する必要があります。
この要件を満たすオプションは次のどれですか?
A. AWS WAF で通常のルールを作成し、ウェブ ACL を Application Load Balancer に関連付けます。
B. AWS WAF でレートベースのルールを作成し、ウェブ ACL を Application Load Balancer に関連付けます。
C. Application Load Balancer のセキュリティ グループにカスタム ルールを作成して、問題のあるリクエストをブロックします。
D. カスタム ネットワーク ACL を作成し、それを Application Load Balancer のサブネットに関連付けて、問題のあるリクエストをブロックします。
解答:B
説明/参照:
AWS WAF は、Amazon CloudFront、Application Load Balancer (ALB)、Amazon と緊密に統合されています。
AWS の顧客がコンテンツを配信するために一般的に使用する API Gateway および AWS AppSync サービス
彼らのウェブサイトとアプリケーション。Amazon CloudFront で AWS WAF を使用すると、ルールはすべての環境で実行されます。
AWS エッジ ロケーションは、世界中のエンドユーザーに近い場所にあります。これは、セキュリティがパフォーマンスを犠牲にしないことを意味します。ブロックされたリクエストは、Web サーバーに到達する前に停止されます。Application Load Balancer、Amazon API Gateway、AWS AppSync などのリージョン サービスで AWS WAF を使用すると、ルールがリージョン内で実行され、インターネットに接続されたリソースだけでなく、インターネットに接続されたリソースの保護にも使用できます。
内部リソース。
レートベースのルールは、各発信元 IP アドレスのリクエストのレートを追跡し、レートが制限を超えた IP に対してルール アクションをトリガーします。制限は 5 分間あたりのリクエスト数として設定します。このタイプのルールを使用すると、過剰なリクエストを送信している IP アドレスからのリクエストを一時的にブロックできます。
指定されたシナリオに基づいて、要件は、不正なユーザーからのリクエストの数を制限することです。
本物のリクエストに影響を与えることなくリクエストを処理します。この要件を達成するには、AWS WAF を使用できます。
ウェブ ACL。独自の Web ACL ルールを作成するには、通常のルールとレートベースのルールの 2 種類のルールがあります。
を選択する必要があります。
後者はウェブ ACL にレート制限を追加します。Web ACL を作成したら、それを ALB に関連付けることができます。
ルールアクションがトリガーされると、AWS WAF はそのアクションを IP アドレスからの追加のリクエストに適用します。
リクエストレートが制限を下回ります。
したがって、正しい答えは次のとおりです。AWS WAF でレートベースのルールを作成し、ウェブ ACL を Application Load Balancer に関連付けます。オプション: AWS WAF で通常のルールを作成し、ウェブ ACL を
通常のルールは、
ルール。ルールにレート制限を追加する必要がある場合は、レートベースのルールを作成する必要があります。
オプション: カスタム ネットワーク ACL を作成し、それをアプリケーションのサブネットに関連付けます。
問題のあるリクエストをブロックするロード バランサーが正しくありません。NACL はブロックに役立ちますが、
受信トラフィックの場合、このオプションでは単一の IP アドレスからのリクエストの数を制限できません。
動的に変化します。
オプション: Application Load Balancer のセキュリティ グループにカスタム ルールを作成して、
セキュリティ グループは受信トラフィックのみを許可できるため、問題のあるリクエストをブロックするのは正しくありません。
セキュリティ グループを使用してトラフィックを拒否できないことに注意してください。また、レートを制限することはできません
AWS WAF とは異なり、アプリケーションへのトラフィックが減少します。https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html
https://aws.amazon.com/waf/faqs/
この AWS WAF チートシートを確認してください。
https://tutorialsdojo.com/aws-waf/
AWS セキュリティ サービスの概要 - WAF、Shield、CloudHSM、KMS:
https://www.youtube.com/watch?v=-1S-RdeAmMo
出題: 3
実稼働環境で、S3 バケットに保存されているユーザー データがジュニア DevOps エンジニアの 1 人によって誤って削除されるというインシデントが発生しました。この問題はマネージャーにエスカレーションされ、数日後、AWS リソースのセキュリティと保護を改善するよう指示されました。
バケット内の S3 オブジェクトを誤った削除と上書きの両方から保護するには、次のオプションをどのように組み合わせますか? (2つ選択してください。)
A. バージョニングを有効にする
B. Amazon S3 インテリジェント階層化を有効にする
C. 事前署名された URL のみを通じて S3 データへのアクセスを提供する
D. 多要素認証の有効化の削除
E. IAM バケット ポリシーを使用して S3 削除を禁止する
解答:BD
説明/参照:
バージョニングを使用し、MFA (多要素認証) 削除を有効にすることで、S3 オブジェクトを保護し、誤った削除や上書きから回復できます。
バージョン管理は、オブジェクトの複数のバリアントを同じバケット内に保持する手段です。バージョニングが有効なバケットを使用すると、誤って削除または上書きされたオブジェクトを回復できます。バージョニングを使用すると、Amazon S3 バケットに保存されているすべてのオブジェクトのすべてのバージョンを保存、取得、復元できます。バージョン管理を使用すると、意図しないユーザーのアクションとアプリケーションの障害の両方から簡単に回復できます。
必要に応じて、MFA (多要素認証) 削除を有効にするようにバケットを構成することで、別のセキュリティ層を追加することもできます。これには、次のいずれかの操作で追加の認証が必要です。
- バケットのバージョン管理状態を変更する
- オブジェクトのバージョンを完全に削除します
MFA 削除には、次の 2 つの形式の認証が同時に必要です。
- あなたのセキュリティ認証情報
- 承認済みのシリアル番号、スペース、および承認済みの証明書に表示される 6 桁のコードを連結したもの
認証装置
事前署名された URL のみを介して S3 データへのアクセスを提供することは正しくありません。
URL で識別されるオブジェクトへのアクセスを許可します。事前署名された URL は、顧客が次の操作を実行する場合に役立ちます。
オブジェクトを S3 バケットにアップロードしますが、誤った削除の防止には役立ちません。
IAM バケット ポリシーを使用して S3 削除を禁止するのは、ユーザーが引き続きできるようにする必要があるため、間違っています。
バケット内のオブジェクトを削除する場合、誤って削除されることを防ぎたいだけです。を使用した S3 削除の禁止
IAM バケット ポリシーにより、すべての削除操作がバケットに制限されます。
Amazon S3 インテリジェント階層化はこの点では役に立たないため、Amazon S3 インテリジェント階層化を有効にすることは誤りです。
状況。https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html
この Amazon S3 チートシートを確認してください。
https://tutorialsdojo.com/amazon-s3/
出題:4
通信会社は、開発者に AWS コンソールへのアクセスを提供することを計画しています。会社のポリシーでは、ID フェデレーションとロールベースのアクセス制御の使用が義務付けられています。現在、ロールは企業 Active Directory 内のグループを使用してすでに割り当てられています。このシナリオでは、次のサービスをどのように組み合わせれば、開発者は AWS コンソールにアクセスできるようになりますか? (2つ選択してください。)
A. AWS ディレクトリ サービス シンプル AD
B. IAM の役割
C. IAM グループ
D. AWS ディレクトリ サービス AD コネクタ
E.ラムダ
解答:BD
説明/参照:
企業が社内 Active Directory を使用していることを考慮すると、統合を容易にするために AWS Directory Service AD Connector を使用することが最善です。また、企業の Active Directory 内のグループを使用してロールがすでに割り当てられているため、IAM ロールも使用することをお勧めします。Active Directory が AWS Directory Service AD Connector を介して VPC と統合されると、Active Directory からユーザーまたはグループに IAM ロールを割り当てることができることに注意してください。
AWS Directory Service は、Amazon Cloud Directory および Microsoft Active Directory (AD) を他の AWS サービスで使用する複数の方法を提供します。ディレクトリにはユーザー、グループ、デバイスに関する情報が保存され、管理者はそれらを使用して情報やリソースへのアクセスを管理します。AWS Directory Service は、既存の Microsoft AD またはライトウェイト ディレクトリ アクセス プロトコル (LDAP) 対応アプリケーションをクラウドで使用したいクライアントに、複数のディレクトリの選択肢を提供します。また、ユーザー、グループ、デバイス、アクセスを管理するためのディレクトリが必要な開発者にも同じ選択肢が提供されます。
AWS Directory Service Simple AD は不正確です。これは、ユーザー アカウントとグループ メンバーシップの管理、グループ ポリシーの作成と適用、Amazon EC2 インスタンスへの安全な接続、Kerberos の提供など、AWS Managed Microsoft AD が提供する機能のサブセットを提供するだけであるためです。ベースのシングル サインオン (SSO)。このシナリオでは、ディレクトリ要求をオンプレミスの Microsoft Active Directory にリダイレクトできるディレクトリ ゲートウェイである AD コネクタの使用がより適切なコンポーネントです。
これは単なる IAM ユーザーのコレクションであるため、「IAM グループ」は正しくありません。グループを使用すると、複数のユーザーの権限を指定できるため、それらのユーザーの権限を管理しやすくなります。このシナリオでは、
AWS Directory Service リソースを作成するためのアクセス許可を得るには、IAM ロールを使用するのがより適切です。
Lambda は主にサーバーレス コンピューティングに使用されるため、正しくありません。https://aws.amazon.com/blogs/security/how-to-connect-your-on-premises-active-directory-to-aws-using-
広告コネクタ/
これらの AWS IAM および Directory Service のチートシートを確認してください。
https://tutorialsdojo.com/aws-identity-and-access-management-iam/
https://tutorialsdojo.com/aws-directory-service/
AWS Directory Service に関するビデオチュートリアルは次のとおりです。
https://youtu.be/4XeqotTYBtY
出題:5
AI を活用した外国為替取引アプリケーションは、機械学習モデルをトレーニングするために数千のデータセットを消費します。アプリケーションのワークロードには、トレーニング データセットを同時に処理するための高性能の並列ホット ストレージが必要です。また、利益が少ないデータセットをアーカイブするには、コスト効率の高いコールド ストレージも必要です。開発者は次の Amazon ストレージ サービスのうちどれを使用する必要がありますか?
A. Windows ファイルサーバーには Amazon FSx を、ホットストレージには Amazon S3 を、コールドストレージには Amazon S3 をそれぞれ使用します。
B. Amazon Elastic File System と Amazon S3 をそれぞれホット ストレージとコールド ストレージに使用します。
C. ホットストレージとコールドストレージにそれぞれ Amazon FSx For Lustre ボリュームと Amazon EBS プロビジョンド IOPS SSD (io1) ボリュームを使用します。
D. ホットストレージとコールドストレージにそれぞれ Amazon FSx For Lustre と Amazon S3 を使用します。
解答:D
説明/参照:
ホットストレージとは、頻繁にアクセスされるデータ(ホットデータ)を保存しておくストレージのことです。ウォーム ストレージとは、アクセス頻度の低いデータ (ウォーム データ) を保持するストレージを指します。コールド ストレージとは、ほとんどアクセスされないデータ (コールド データ) を保持するストレージを指します。価格に関しては、データが低温であるほど保存コストが安くなり、必要なときにアクセスするコストが高くなります。
Amazon FSx For Lustre は、ワークロードを高速に処理するための高性能ファイル システムです。Lustre は、複数のネットワーク ファイル サーバーにデータを保存してパフォーマンスを最大化し、ボトルネックを軽減する、人気のあるオープンソースの並列ファイル システムです。
Amazon FSx for Windows ファイルサーバーは、SMB プロトコル、Windows NTFS、Microsoft Active Directory (AD) 統合を完全にサポートする、フルマネージド型の Microsoft Windows ファイル システムです。
Amazon Elastic File System は、Amazon クラウドでのファイル ストレージのセットアップと拡張を簡単にする、フルマネージド型のファイル ストレージ サービスです。
Amazon S3 は、業界をリードするスケーラビリティ、データ可用性、セキュリティ、パフォーマンスを提供するオブジェクト ストレージ サービスです。S3 は、さまざまなユースケース (頻繁にアクセスされるデータ、あまりアクセスされないデータ、ほとんどアクセスされないデータ) に応じてさまざまなストレージ層を提供します。
この質問には 2 つの要件があります。
トレーニング データセットを同時に処理するための高性能の並列ホット ストレージ。
アクセス頻度が低いアーカイブされたデータセットを保管するための、コスト効率の高いコールド ストレージ
この場合、ホットデータ用の高性能の並列ファイルシステムを提供する Amazon FSx For Lustre を最初の要件に使用できます。2 番目の要件では、コールド データの保存に Amazon S3 を使用できます。Amazon S3 は、Amazon S3 Glacier / Glacier Deep 経由でコールド ストレージ システムをサポートします
アーカイブ。
したがって、正しい答えは、ホット ストレージとコールド ストレージにそれぞれ Amazon FSx For Lustre と Amazon S3 を使用することです。
Amazon FSx For Lustre および Amazon EBS プロビジョンド IOPS SSD (io1) ボリュームをホットおよび
プロビジョンド IOPS SSD (io1) ボリュームは、I/O 集中型のワークロードで使用されるホット データ (頻繁にアクセスされるデータ) を保存するように設計されているため、コールド ストレージはそれぞれ間違っています。EBS には「Cold HDD」と呼ばれるストレージ オプションがありますが、価格が高いため、データのアーカイブには理想的ではありません。EBS Cold HDD は、Amazon S3 Glacier / Glacier Deep Archive よりもはるかに高価であり、シーケンシャル コールド データの読み取り頻度が低いアプリケーションでよく使用されます。
Amazon Elastic File System と Amazon S3 をそれぞれホット ストレージとコールド ストレージとして使用することは正しくありません。
EFS はデータへの同時アクセスをサポートしていますが、優れたパフォーマンス能力を備えていません。
機械学習ワークロードに必要です。
Windows ファイルサーバーに Amazon FSx を使用し、ホットストレージとコールドストレージに Amazon S3 をそれぞれ使用します。
Lustre とは異なり、Amazon FSx For Windows File Server には並列ファイル システムがないため、これは不正確です。https://aws.amazon.com/fsx/
https://docs.aws.amazon.com/whitepapers/latest/cost-optimization-storage-optimization/aws-storage-services.html
https://aws.amazon.com/blogs/startups/picking-the-right-data-store-for-your-workload/
この Amazon FSx チートシートを確認してください。
https://tutorialsdojo.com/amazon-fsx/
出題:6
新しく採用されたソリューション アーキテクトは、AWS の会社のクラウド アーキテクチャで使用される一連の CloudFormation テンプレートを管理するよう割り当てられます。アーキテクトはテンプレートにアクセスし、S3 バケットに設定された IAM ポリシーを分析しようとしました。
1. 1. {
2. 2. "Version": "2012-10-17", 3. 3. "Statement": [
4. 4. {
5. 5. "Effect": "Allow",
6. 6. "Action": [
7. 7. "s3:Get*",
8. 8. "s3:List*"
9. 9. ],
10.10. "Resource": "*"
11.11. },
12.12. {
13.13. "Effect": "Allow",
14.14. "Action": "s3:PutObject",
15.15. "Resource": "arn:aws:s3:::boracay/*"
1. 16. }
2. 17. ]
3. 18. }
A. この IAM ポリシーを持つ IAM ユーザーは、boracay S3 バケット内のオブジェクトを読み取ることはできますが、バケット内のオブジェクトをリストすることはできません。
B. この IAM ポリシーを持つ IAM ユーザーは、boracay S3 バケットのアクセス権を変更できます。
C. この IAM ポリシーを持つ IAM ユーザーは、boracay S3 バケットにオブジェクトを書き込むことができます。
D. この IAM ポリシーを持つ IAM ユーザーは、boracay S3 バケットからオブジェクトを読み取ることができます。
E. この IAM ポリシーを持つ IAM ユーザーは、boracay S3 バケットからオブジェクトを読み取り、削除することができます。
F. この IAM ポリシーを持つ IAM ユーザーは、アカウントが所有するすべての S3 バケットからオブジェクトを読み取ることができます。上記の IAM ポリシーでは何が許可されますか? (3 つ選択してください。)
解答:CDF
説明/参照:
AWS でのアクセスを管理するには、ポリシーを作成し、それを IAM ID (ユーザー、ユーザーのグループ、またはロール) または AWS リソースにアタッチします。ポリシーは AWS のオブジェクトであり、アイデンティティまたは
リソースにアクセス許可を定義します。AWS は、IAM プリンシパル (ユーザーまたはロール) がリクエストを行うときにこれらのポリシーを評価します。ポリシー内の権限によって、リクエストが許可されるか拒否されるかが決まります。ほとんどのポリシーは AWS に JSON ドキュメントとして保存されます。AWS は、アイデンティティベースのポリシー、リソースベースのポリシー、アクセス許可境界、AWS Organizations SCP、ACL、およびセッションポリシーの 6 種類のポリシーをサポートしています。
IAM ポリシーは、操作の実行に使用する方法に関係なく、アクションのアクセス許可を定義します。たとえば、ポリシーで GetUser アクションが許可されている場合、そのポリシーを持つユーザーは、AWS マネジメントコンソール、AWS CLI、または AWS API からユーザー情報を取得できます。IAM ユーザーを作成するときに、コンソールまたはプログラムによるアクセスを許可するかを選択できます。コンソールへのアクセスが許可されている場合、IAM ユーザーはユーザー名とパスワードを使用してコンソールにサインインできます。または、プログラムによるアクセスが許可されている場合、ユーザーはアクセス キーを使用して CLI または API を操作できます。
提供された IAM ポリシーに基づいて、ユーザーは boracay s3 バケットのすべてのオブジェクトの取得、書き込み、および一覧表示のみを許可されます。s3:PutObject は基本的に、PUT オブジェクト リクエストを S3 バケットに送信してデータを保存できることを意味します。
したがって、正しい答えは次のとおりです。
- この IAM ポリシーを持つ IAM ユーザーは、アカウントが所有するすべての S3 バケットからオブジェクトを読み取ることができます。
- この IAM ポリシーを持つ IAM ユーザーは、boracay S3 バケットにオブジェクトを書き込むことができます。
- この IAM ポリシーを持つ IAM ユーザーは、boracay S3 バケットからオブジェクトを読み取ることができます。
「この IAM ポリシーを持つ IAM ユーザーは、ボラカイ S3 バケットのアクセス権の変更を許可されます」というオプションは、ユーザーがバケット内のアクセス権を変更できるようにするステートメントがテンプレートに含まれていないため、正しくありません。
「この IAM ポリシーを持つ IAM ユーザーは、ボラカイ S3 バケット内のオブジェクトの読み取りは許可されていますが、バケット内のオブジェクトのリスト表示は許可されていません」というオプションは、テンプレートに s3:List があることが明確に確認できるため、正しくありません。 * これにより、ユーザーはオブジェクトをリストすることができます。
「この IAM ポリシーを持つ IAM ユーザーは、boracay S3 バケットからのオブジェクトの読み取りと削除を許可されます」というオプションは正しくありません。バケットからオブジェクトを読み取ることはできますが、オブジェクトを削除することはできません。
https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectOps.html
https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html Amazon S3 チートシートを確認してください: https://tutorialsdojo.com/amazon-s3/
出題:7
小売 Web サイトでは、予測が困難な、断続的、散発的、予測不可能なトランザクション ワークロードが 1 日を通して発生します。ウェブサイトは現在オンプレミスでホストされていますが、AWS に移行される予定です。アプリケーションのピーク負荷のニーズに合わせて容量を自動スケールし、アクティビティの急増が終わったらスケールダウンする、新しいリレーショナル データベースが必要です。
このシナリオで最もコスト効率が高く、適切なデータベース設定は次のオプションのうちどれですか?
A. Auto Scaling を有効にして DynamoDB Global テーブルを起動します。
B. Amazon Aurora Serverless DB クラスターを起動し、クラスターの最小容量と最大容量を設定します。
C. 同時実行スケーリングを使用して Amazon Redshift データ ウェアハウス クラスターを起動します。
D. バースト可能なパフォーマンス DB インスタンス クラス タイプを使用して Amazon Aurora プロビジョニング DB クラスターを起動します。
解答:B
説明/参照:
Amazon Aurora Serverless は、Amazon Aurora のオンデマンドの自動スケーリング構成です。Aurora サーバーレス DB クラスターは、アプリケーションのニーズに基づいて自動的に起動、シャットダウンし、コンピューティング容量をスケールアップまたはスケールダウンする DB クラスターです。Aurora Serverless は、頻度が低い、断続的、散発的、または予測不可能なワークロードに対して、比較的シンプルでコスト効率の高いオプションを提供します。これは、自動的に起動し、アプリケーションの使用状況に合わせてコンピューティング能力を拡張し、使用されていないときはシャットダウンするため、これを実現できます。
Aurora の非サーバーレス DB クラスターは、プロビジョニングされた DB クラスターと呼ばれることに注意してください。Aurora サーバーレスクラスターとプロビジョニングされたクラスターはどちらも、同じ種類の大容量、分散型、高可用性のストレージボリュームを備えています。
Aurora Serverless (プロビジョニングされた DB クラスター) を使用せずに Amazon Aurora を使用する場合、DB インスタンスのクラスサイズを選択し、Aurora レプリカを作成して読み取りスループットを向上させることができます。ワークロードが変化した場合は、DB インスタンスのクラスサイズを変更し、Aurora レプリカの数を変更できます。このモデルは、予想されるワークロードに基づいて容量を手動で調整できるため、データベースのワークロードが予測可能な場合にうまく機能します。
ただし、環境によっては、ワークロードが断続的で予測不能になる場合があります。数分または数時間しか続かない高負荷の作業負荷が発生する期間もあれば、軽いアクティビティが長期間続く場合や、まったくアクティビティがない場合もあります。例としては、断続的に販売イベントが行われる小売 Web サイト、必要に応じてレポートを作成するレポート データベース、開発およびテスト環境、要件が不確実な新しいアプリケーションなどがあります。このような場合や他の多くの場合、適切なタイミングで適切な容量を構成することが困難になる場合があります。また、使用されていない容量に対して料金を支払うと、コストが高くなる可能性があります。
Aurora Serverless を使用すると、DB インスタンスのクラスサイズを指定せずにデータベースエンドポイントを作成できます。最小容量と最大容量を設定します。Aurora Serverless では、データベースエンドポイントは、自動的にスケーリングされるリソースのフリートにワークロードをルーティングするプロキシフリートに接続します。代理フリートのせいで、
Aurora Serverless は最小および最大容量の仕様に基づいてリソースを自動的にスケーリングするため、接続は継続的です。プロキシ フリートを使用するためにデータベース クライアント アプリケーションを変更する必要はありません。Aurora Serverless は接続を自動的に管理します。常にリクエストに対応できる「ウォーム」リソースのプールを使用するため、スケーリングが迅速になります。ストレージと処理は分離されているため、処理をゼロにスケールダウンし、ストレージの料金のみを支払うことができます。
Aurora Serverless では、Aurora DB クラスター用の新しいサーバーレス DB エンジン モードが導入されています。非サーバーレス DB クラスターは、プロビジョニングされた DB エンジン モードを使用します。したがって、正しい答えは次のとおりです。Amazon Aurora Serverless DB クラスターを起動し、クラスターの最小容量と最大容量を設定します。
「バースト可能なパフォーマンス DB インスタンス クラス タイプを使用して Amazon Aurora プロビジョニングされた DB クラスターを起動する」というオプションは、Aurora プロビジョニングされた DB クラスターが断続的、散発的、予測不可能なトランザクション ワークロードには適していないため、正しくありません。このモデルは、予想されるワークロードに基づいて容量を手動で調整できるため、データベースのワークロードが予測可能な場合にうまく機能します。ここでのより良いデータベース設定は、Amazon Aurora サーバーレス クラスターを使用することです。
「Auto Scaling を有効にして DynamoDB グローバル テーブルを起動する」というオプションは、Auto Scaling を使用しているにもかかわらず、シナリオではリレーショナル データベースが必要であることが明示的に示されているため、正しくありません。
トランザクションのワークロードを処理します。DynamoDB は NoSQL データベースであるため、このユースケースには適していません。さらに、DynamoDB グローバル テーブルの使用は保証されていません。これは主に、大規模なグローバル アプリケーションに対して高速でローカルな読み取りおよび書き込みパフォーマンスを提供する、フルマネージドのマルチリージョンおよびマルチマスター データベースが必要な場合に使用されます。
このタイプのデータベースは主にオンライン分析処理 (OLAP) に使用され、オンライン トランザクション処理 (OLTP) には使用されないため、「同時実行スケーリングを使用して Amazon Redshift データ ウェアハウス クラスターを起動する」というオプションは誤りです。同時実行スケーリングは、Redshift クラスターのクエリ処理能力を自動的かつ柔軟にスケーリングして、数百の同時クエリに対して一貫して高速なパフォーマンスを提供する Amazon Redshift の機能です。https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-serverless.how-it-works.html https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-serverless .html
出題:8
人気のあるソーシャル メディア Web サイトは、CloudFront Web ディストリビューションを使用して、世界中の何百万人ものユーザーに静的コンテンツを提供しています。最近、ユーザーが Web サイトにログインするのに時間がかかるという苦情が多数寄せられています。ユーザーに HTTP 504 エラーが発生する場合もあります。あなたはマネージャーから、システムをさらに最適化するためにユーザーのログイン時間を大幅に短縮するように指示されました。
アプリケーションのパフォーマンスを向上できる費用対効果の高いソリューションをセットアップするには、次のオプションのうちどれを組み合わせて使用する必要がありますか? (2つ選択してください。)
A. Lambda@Edge を使用して、CloudFront ウェブディストリビューションがユーザーに配信するコンテンツをカスタマイズします。これにより、Lambda 関数がユーザーに近い AWS ロケーションで認証プロセスを実行できるようになります。
B. アプリケーションを複数の AWS リージョンにデプロイして、世界中のユーザーに対応します。レイテンシ ルーティング ポリシーを使用して Route 53 レコードを設定し、ユーザーに最適なレイテンシを提供するリージョンに受信トラフィックをルーティングします。
C. Cache-Control max-age ディレクティブをオブジェクトに追加するようにオリジンを設定し、max-age に実用的な最長の値を指定して、CloudFront ディストリビューションのキャッシュ ヒット率を高めます。
D. 2 つのオリジンを持つオリジン グループを作成して、オリジン フェイルオーバーを設定します。1 つをプライマリ オリジンとして指定し、もう 1 つを 2 番目のオリジンとして指定します。プライマリ オリジンが特定の HTTP ステータス コードの失敗応答を返したときに CloudFront が自動的に切り替わります。
E. 地理的に分散した複数の VPC をさまざまな AWS リージョンに使用し、トランジット VPC を作成してすべてのリソースを接続します。リクエストをより速く処理するには、AWS サーバーレス アプリケーション モデル (SAM) サービスを使用して各リージョンに Lambda 関数をセットアップします。
解答:AD
説明/参照:
Lambda@Edge を使用すると、Lambda 関数を実行して CloudFront が配信するコンテンツをカスタマイズし、ビューアに近い AWS ロケーションで関数を実行できます。関数は CloudFront イベントに応答して実行されます。
サーバーのプロビジョニングや管理は必要ありません。Lambda 関数を使用して、次の時点で CloudFront のリクエストとレスポンスを変更できます。
- CloudFrontがビューアからリクエストを受信した後(ビューアリクエスト)
- CloudFront がリクエストをオリジンに転送する前 (オリジンリクエスト)
- CloudFrontがオリジンからのレスポンスを受信した後(オリジンレスポンス)
- CloudFront が応答をビューアに転送する前 (ビューア応答)
特定のシナリオでは、Lambda@Edge を使用して、Lambda 関数が CloudFront が配信するコンテンツをカスタマイズし、ユーザーに近い AWS ロケーションで認証プロセスを実行できるようにします。さらに、2 つのオリジンでオリジン グループを作成し、1 つをプライマリ オリジンとして、もう 1 つをプライマリ オリジンに障害が発生したときに CloudFront が自動的に切り替える 2 番目のオリジンとするオリジン グループを作成することで、オリジン フェイルオーバーを設定できます。これにより、ユーザーが時折発生する HTTP 504 エラーが軽減されます。したがって、正しい答えは次のとおりです。
- Lambda@Edge を使用して、CloudFront ウェブディストリビューションがユーザーに配信するコンテンツをカスタマイズします。これにより、Lambda 関数が AWS で認証プロセスを実行できるようになります。
ユーザーに近い場所に。
- 2 つのオリジンを持つオリジン グループを作成して、オリジン フェイルオーバーを設定します。1 つをプライマリとして指定します
オリジンともう 1 つは 2 番目のオリジンとして、CloudFront が自動的に切り替える
プライマリオリジンは、特定の HTTP ステータスコードの失敗応答を返します。
オプション: 地理的に分散した複数の VPC をさまざまな AWS リージョンに使用し、トランジット VPC を作成してすべてのリソースを接続します。リクエストをより速く処理するには、AWS サーバーレス アプリケーション モデル (SAM) サービスを使用して各リージョンに Lambda 関数をセットアップします。
上記と同じ理由により不正解です。トランジット VPC に接続されたさまざまなリージョンに複数の VPC をセットアップすることは有効ですが、このソリューションには依然としてセットアップとメンテナンスのコストが高くなります。よりコスト効率の高いオプションは、代わりに Lambda@Edge を使用することです。
「オブジェクトに Cache-Control max-age ディレクティブを追加するようにオリジンを設定し、CloudFront ディストリビューションのキャッシュ ヒット率を高めるために max-age に実用的な最長の値を指定する」というオプションは、キャッシュ ヒット率を向上させるため間違っています。 CloudFront ディストリビューションの場合は、このシナリオでは関係ありません。コンテンツをオリジンサーバーに送信するのではなく、CloudFront エッジキャッシュから提供されるビューアリクエストの割合を増やすことで、キャッシュのパフォーマンスを向上させることができます。ただし、このシナリオの問題は、静的オブジェクトのキャッシュだけではなく、グローバル ユーザーの認証プロセスが遅いことであることに注意してください。
オプション: ユーザーに対応するためにアプリケーションを複数の AWS リージョンにデプロイする
世界中で。受信トラフィックをルーティングするためのレイテンシー ルーティング ポリシーを使用して Route 53 レコードを設定します。
ユーザーに最適なレイテンシーを提供するリージョンが間違っています。これにより問題が解決される可能性がありますが、
パフォーマンスの問題がある場合、このソリューションには、
複数の AWS リージョンへのアプリケーション。このシナリオでは、問題を改善する解決策が求められていることに注意してください。
最小限のコストでアプリケーションのパフォーマンスを向上させます。https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover。
html
https://docs.aws.amazon.com/lambda/latest/dg/lambda-edge.html Amazon CloudFront および AWS Lambda のチートシートを確認してください: https://tutorialsdojo.com/amazon-cloudfront/
https://tutorialsdojo.com/aws-lambda/
出題:9
人気のあるモバイル ゲームでは、バックエンド サービスに CloudFront、Lambda、DynamoDB を使用しています。プレイヤー
データは DynamoDB テーブルに保存され、静的アセットは CloudFront によって分散されます。ただし、そこには
プレイヤー情報の保存と取得に時間がかかるという苦情が多く寄せられています。
ゲームのパフォーマンスを向上させるために、DynamoDB の応答時間をミリ秒からマイクロ秒に短縮するには、どの AWS サービスを使用できますか?
A. DynamoDB オートスケーリング
B. Amazon ElastiCache
C. AWS デバイス ファーム
D. Amazon DynamoDB アクセラレータ (DAX)
解答:D
説明/参照:
Amazon DynamoDB Accelerator (DAX) は、フルマネージドで可用性の高いインメモリキャッシュであり、1 秒あたり数百万のリクエストであっても、Amazon DynamoDB の応答時間をミリ秒からマイクロ秒に短縮できます。
Amazon ElastiCache は不正確です。ElastiCache をデータベース キャッシュとして使用することはできますが、DynamoDB DAX と比較して DynamoDB の応答時間をミリ秒からマイクロ秒に短縮することはできません。
AWS Device Farm は不正解です。これは、多くのデバイス上で Android、iOS、および Web アプリを一度にテストして操作したり、デバイス上で問題をリアルタイムで再現したりできるアプリ テスト サービスです。DynamoDB Auto Scaling は主にテーブルとグローバル セカンダリ インデックスの容量管理を自動化するために使用されるため、正しくありません。
https://aws.amazon.com/dynamodb/dax https://aws.amazon.com/device-farm
この Amazon DynamoDB チートシートを確認してください: https://tutorialsdojo.com/amazon-dynamodb/
出題:10
人気のあるソーシャル ネットワークは AWS でホストされており、データベースとして DynamoDB テーブルを使用しています。ユーザーが特定のユーザーによって行われた特定の更新を購読し、電子メールで通知を受け取ることができる「フォロー」機能を実装する要件があります。要件を満たすために実装する必要がある最も適切なソリューションは次のうちどれですか?
A. Kinesis クライアント ライブラリ (KCL) を使用して、DynamoDB Streams エンドポイントからデータをフェッチする DynamoDB Streams Kinesis アダプターを利用するアプリケーションを作成します。特定のユーザーが更新した場合、SNSを利用して購読者にメールで通知します。
B. DynamoDB ストリームを有効にし、AWS Lambda トリガーと、Lambda 関数が実行時に必要とするすべての権限を含む IAM ロールを作成します。ストリーム レコードのデータは Lambda 関数によって処理され、SNS トピックにメッセージが公開され、購読者に電子メールで通知されます。
C. ソース DynamoDB テーブルにアクセスするために DAX クラスターをセットアップします。新しい DynamoDB トリガーと Lambda 関数を作成します。ユーザーデータが更新されるたびに、トリガーはデータを Lambda 関数に送信し、SNS を使用して電子メールで購読者に通知します。
D. DynamoDB Streams エンドポイントからデータをフェッチする DynamoDB Streams Kinesis アダプターを使用する Lambda 関数を作成します。特定のユーザーによる更新があるときに購読者に電子メールで通知する SNS トピックを設定します。
解答:B
説明/参照:
DynamoDB ストリームは、Amazon DynamoDB テーブル内の項目への変更に関する情報の順序付けされたフローです。テーブルでストリームを有効にすると、DynamoDB はテーブル内のデータ項目に対するすべての変更に関する情報をキャプチャします。
アプリケーションがテーブル内の項目を作成、更新、または削除するたびに、DynamoDB Streams は、変更された項目の主キー属性を含むストリーム レコードを書き込みます。ストリーム レコードには、DynamoDB テーブル内の単一の項目に対するデータ変更に関する情報が含まれています。ストリーム レコードが、変更された項目の「前」および「後」の画像などの追加情報をキャプチャするようにストリームを構成できます。
Amazon DynamoDB は AWS Lambda と統合されているため、トリガー (DynamoDB ストリームのイベントに自動的に応答するコード部分) を作成できます。トリガーを使用すると、DynamoDB テーブルのデータ変更に反応するアプリケーションを構築できます。
テーブルで DynamoDB ストリームを有効にすると、ストリーム ARN を作成した Lambda 関数に関連付けることができます。テーブル内の項目が変更されるとすぐに、新しいレコードがテーブルのストリームに表示されます。AWS Lambda はストリームをポーリングし、新しいストリーム レコードを検出すると Lambda 関数を同期的に呼び出します。Lambda 関数は、通知の送信やワークフローの開始など、指定した任意のアクションを実行できます。
したがって、このシナリオの正しい答えは、「DynamoDB ストリームを有効にして AWS Lambda トリガーと、IAM ロールを作成する」というオプションです。
Lambda 関数が実行時に必要とするすべての権限が含まれています。ストリーム レコードのデータは Lambda 関数によって処理され、SNS トピックにメッセージが公開され、購読者に電子メールで通知されます。
オプション: Kinesis クライアント ライブラリ (KCL) を使用して、DynamoDB Streams エンドポイントからデータをフェッチする DynamoDB Streams Kinesis アダプターを利用するアプリケーションを作成します。
いつ
特定のユーザーによって更新が行われた場合、SNS を使用して電子メールでサブスクライバーに通知することは正しくありません。これは有効なソリューションではありますが、DynamoDB ストリームを有効にするという重要な手順が欠けているためです。DynamoDB Streams Kinesis アダプターを配置すると、KCL インターフェイスを介してアプリケーションの開発を開始でき、API 呼び出しが DynamoDB Streams エンドポイントにシームレスに送信されます。DynamoDB ストリーム機能はデフォルトでは有効になっていないことに注意してください。
オプション: DynamoDB Streams エンドポイントからデータをフェッチする DynamoDB Streams Kinesis アダプターを使用する Lambda 関数を作成します。特定のユーザーによる更新が正しくない場合に電子メールでサブスクライバーに通知する SNS トピックを設定します。これは、上記と同様に、エンドポイントを使用する前にまず DynamoDB Streams を手動で有効にする必要があるためです。
オプション: ソース DynamoDB テーブルにアクセスするために DAX クラスターをセットアップします。新しい DynamoDB トリガーと Lambda 関数を作成します。ユーザーデータが更新されるたびに、トリガーは Lambda 関数にデータを送信し、DynamoDB Accelerator (DAX) 機能は主にインメモリ読み取りパフォーマンスを大幅に向上させるために使用されるため、SNS を使用した電子メールが正しくないことをサブスクライバーに通知します。アイテムレベルの変更の時系列シーケンスをキャプチャしないでください。このシナリオでは代わりに DynamoDB ストリームを使用する必要があります。https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Streams.html
https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Streams.Lambda.Tutorial.html この Amazon DynamoDB チートシートを確認してください。
https://tutorialsdojo.com/amazon-dynamodb/
出題:11
Web アプリケーションのスイートは、3 つのアベイラビリティーゾーンにわたる EC2 インスタンスの Auto Scaling グループでホストされ、デフォルト設定で構成されます。URL パス上のそれぞれのターゲット グループにリクエストを転送する Application Load Balancer があります。アプリケーションへの受信トラフィックの数が少ないため、スケールイン ポリシーがトリガーされました。
Auto Scaling グループによって最初に終了される EC2 インスタンスはどれですか?
A. EC2 インスタンスは最も古い起動設定から起動されます。
B. インスタンスは Auto Scaling グループによってランダムに選択されます
C. ユーザーセッションの数が最も少ない EC2 インスタンス
D. 最も長時間実行されている EC2 インスタンス
解答:A
説明/参照:
デフォルトの終了ポリシーは、ネットワーク アーキテクチャがアベイラビリティ ゾーンに均等に広がるように設計されています。デフォルトの終了ポリシーでは、Auto Scaling グループの動作は次のようになります。
1. 複数のアベイラビリティーゾーンにインスタンスがある場合は、最も多くのインスタンスがあり、スケールインから保護されていないインスタンスが少なくとも 1 つあるアベイラビリティーゾーンを選択します。この数のインスタンスを持つアベイラビリティーゾーンが複数ある場合は、アベイラビリティーゾーンを選択します。最も古い起動構成を使用するインスタンスを使用します。
2. 選択したアベイラビリティーゾーン内のどの保護されていないインスタンスが最も古い起動構成を使用しているかを判断します。そのようなインスタンスが 1 つある場合は、それを終了します。
3. 上記の基準に基づいて終了するインスタンスが複数ある場合は、次の請求時間に最も近い保護されていないインスタンスを特定します。(これは、EC2 インスタンスを最大限に活用し、Amazon EC2 の使用コストを管理するのに役立ちます。) そのようなインスタンスが 1 つある場合は、それを終了します。
4. 次の請求時間に最も近い保護されていないインスタンスが複数ある場合は、これらのインスタンスの 1 つをランダムに選択します。
次のフロー図は、デフォルトの終了ポリシーがどのように機能するかを示しています。
https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-termination.html#default-termination-policy
https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-termination.html
この AWS Auto Scaling チートシートを確認してください。
https://tutorialsdojo.com/aws-auto-scaling/
出題:12
金融アプリケーションは、EC2 インスタンスの Auto Scaling グループ、Application Load Balancer、およびマルチ AZ デプロイメント構成の MySQL RDS インスタンスで構成されます。を守るために、
顧客の機密データを扱う場合は、認証トークンを介して EC2 インスタンスに固有のプロファイル認証情報を使用してのみ RDS データベースにアクセスできるようにする必要があります。
会社のソリューションアーキテクトとして、上記の要件を満たすために行うべきことは次のうちどれですか?
A. IAM ロールを作成し、それを EC2 インスタンスに割り当てます。これにより、RDS インスタンスへの排他的アクセスが許可されます。
B. IAM DB 認証を有効にします。
C. RDS へのデータベース接続を暗号化するようにアプリケーションで SSL を構成します。
D. IAM と STS を組み合わせて使用し、一時トークン経由で RDS インスタンスへのアクセスを制限します。
解答:B
説明/参照:
AWS Identity and Access Management (IAM) データベース認証を使用して DB インスタンスに対して認証できます。IAM データベース認証は MySQL および PostgreSQL で動作します。この認証方法を使用すると、DB インスタンスに接続するときにパスワードを使用する必要がありません。代わりに、認証トークンを使用します。
認証トークンは、リクエストに応じて Amazon RDS が生成する一意の文字列です。認証トークンは、AWS 署名バージョン 4 を使用して生成されます。各トークンの有効期間は 15 分です。認証は IAM を使用して外部で管理されるため、ユーザーの資格情報をデータベースに保存する必要はありません。標準のデータベース認証も引き続き使用できます。
IAM データベース認証には次の利点があります。
データベースとの間のネットワーク トラフィックは、Secure Sockets Layer (SSL) を使用して暗号化されます。IAM を使用すると、各 DB インスタンスで個別にアクセスを管理するのではなく、データベース リソースへのアクセスを一元管理できます。
Amazon EC2 で実行されているアプリケーションの場合、セキュリティを強化するために、パスワードの代わりに EC2 インスタンスに固有のプロファイル認証情報を使用してデータベースにアクセスできます。
したがって、上記の参照に基づくと、IAM DB 認証を有効にすることが正しい答えになります。
RDS へのデータベース接続を暗号化するようにアプリケーションで SSL を構成することは、次の理由により正しくありません。
SSL 接続は IAM からの認証トークンを使用しません。アプリケーションに SSL を構成すると、送信中のデータのセキュリティが向上しますが、それでもこのシナリオでの使用には適切なオプションではありません。
IAM ロールを作成して EC2 インスタンスに割り当てると、RDS インスタンスへの排他的アクセスが許可されるのは誤りです。IAM ロールを作成して EC2 インスタンスに割り当てることはできますが、IAM DB 認証を使用するように RDS を設定する必要があるからです。
IAM と STS を組み合わせて使用し、一時トークン経由で RDS インスタンスへのアクセスを制限する
このシナリオでは IAM DB 認証を使用する必要があり、
IAM と STS。STS は認証用の一時トークンの送信に使用されますが、これには互換性がありません。
RDS の使用例。https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.html
この Amazon RDS チートシートを確認してください。
https://tutorialsdojo.com/amazon-relational-database-service-amazon-rds/
出題:13
製薬会社は、オンプレミス ネットワークと AWS クラウドの両方でホストされているリソースを持っています。彼らは、すべてのソフトウェア アーキテクトが、Active Directory に保存されているオンプレミスの資格情報を使用して両方の環境のリソースにアクセスできるようにしたいと考えています。
このシナリオでは、この要件を満たすために次のどれを使用できますか?
A. Web ID フェデレーションを使用して、SAML 2.0 ベースのフェデレーションをセットアップします。
B. Microsoft Active Directory フェデレーション サービス (AD FS) を使用して、SAML 2.0 ベースのフェデレーションをセットアップします。
C. Amazon VPC を使用する
D. IAM ユーザーを使用する
解答:B
説明/参照:
同社は Security Assertion Markup Language (SAML) を実装する Microsoft Active Directory を使用しているため、AWS クラウドへの API アクセス用に SAML ベースのフェデレーションをセットアップできます。このようにして、オンプレミス ネットワークのログイン認証情報を使用して AWS に簡単に接続できます。
AWS は、多くの ID プロバイダー (IdP) が使用するオープン標準である SAML 2.0 による ID フェデレーションをサポートしています。この機能によりフェデレーション シングル サインオン (SSO) が有効になるため、組織内の全員に対して IAM ユーザーを作成しなくても、ユーザーは AWS マネジメント コンソールにログインしたり、AWS API を呼び出したりできるようになります。SAML を使用すると、カスタム ID プロキシ コードを作成する代わりに IdP のサービスを使用できるため、AWS とのフェデレーションを構成するプロセスを簡素化できます。
前述のシナリオと図で説明したように SAML 2.0 ベースのフェデレーションを使用する前に、組織の IdP と AWS アカウントが相互に信頼できるように構成する必要があります。この信頼を構成するための一般的なプロセスを次の手順で説明します。組織内には、Microsoft Active Directory Federation Service (AD FS、Windows Serverの一部)、Shibboleth、または別の互換性のあるSAML 2.0プロバイダーなど、SAML 2.0をサポートするIdPが必要です。
したがって、正しい答えは次のとおりです。 Microsoft Active Directory フェデレーション サービス (AD FS) を使用して SAML 2.0 ベースのフェデレーションをセットアップします。
Web ID フェデレーションを使用して SAML 2.0 ベースのフェデレーションをセットアップすることは誤りです。これは主に、ユーザーが Login with Amazon、Facebook、Google などのよく知られた外部 ID プロバイダー (IdP) 経由でサインインできるようにするために使用されます。Active Directory は利用しません。IAM ユーザーを使用することは、IAM によって生成されるユーザー アカウントではなく、Active Directory に保存されている既存の認証情報を使用する必要があるため、正しくありません。
Amazon VPC を使用すると、定義した仮想ネットワーク内で AWS リソースを起動できる AWS クラウドの論理的に分離されたセクションのみをプロビジョニングできるため、これは間違っています。これには何も関係ありません
ユーザー認証または Active Directory を使用します。http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html この AWS IAM チートシートを確認してください: https://tutorialsdojo.com/aws-identity-and-access-management-iam/ 質問14
ある企業には 3 人の DevOps エンジニアがおり、ソフトウェア開発とインフラストラクチャ管理のプロセスを担当しています。エンジニアの 1 人が Amazon S3 でホストされているファイルを誤って削除してしまい、サービスが中断されてしまいました。
このようなことが再び起こらないようにするために、DevOps エンジニアは何ができるでしょうか?
A. すべてのユーザーに対して署名付き URL を設定します。
B. S3 アクセス頻度の低いストレージを使用してデータを保存します。
C. 削除操作を無効にする IAM バケット ポリシーを作成します。
D. バケットで S3 バージョニングと多要素認証の削除を有効にします。(正解)
解答:D
説明/参照:
Amazon S3 バケットでの誤った削除を避けるために、次のことができます。
- バージョニングを有効にする
- MFA (多要素認証) の削除を有効にする
バージョン管理は、オブジェクトの複数のバリアントを同じバケット内に保持する手段です。バージョニングを使用すると、Amazon S3 バケットに保存されているすべてのオブジェクトのすべてのバージョンを保存、取得、復元できます。と
バージョン管理を行うと、意図しないユーザーのアクションとアプリケーションの障害の両方から簡単に回復できます。
MFA (多要素認証) 削除が有効になっている場合は、次のいずれかの操作で追加の認証が必要です。
- バケットのバージョン管理状態を変更する
- オブジェクトのバージョンを完全に削除します
S3 アクセス頻度の低いストレージを使用してデータを保存するのは正しくありません。ストレージ クラスを S3 低頻度アクセスに切り替えても、誤った削除を軽減することはできません。
すべてのユーザーに対して署名付き URL を設定するのは正しくありません。署名付き URL を使用すると、コンテンツへのアクセスをより詳細に制御できるため、この機能は削除ではなくアクセスに重点を置きます。
削除操作を無効にする IAM バケット ポリシーの作成は正しくありません。削除を防止するバケット ポリシーを作成すると、他のユーザーは削除されるべきオブジェクトを削除できなくなります。アクション自体を無効にするのではなく、誤って削除することを防ぐだけです。http://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html
この Amazon S3 チートシートを確認してください。
https://tutorialsdojo.com/amazon-s3/
出題:15
気象データを毎分記録するアプリケーションは、Spot EC2 インスタンスのフリートにデプロイされ、MySQL RDS データベース インスタンスを使用します。現在、1 つのアベイラビリティーゾーンで実行されている RDS インスタンスは 1 つだけです。別の RDS インスタンスへの同期データ レプリケーションによって高可用性を確保するためにデータベースを改善することを計画しています。
RDS で同期データ レプリケーションを実行するのは次のうちどれですか?
A. マルチ AZ デプロイメントとして実行される CloudFront
B. DynamoDB リードレプリカ
C. マルチ AZ デプロイメントとして実行される RDS DB インスタンス
D. RDS リードレプリカ
解答:C
説明/参照:
マルチ AZ デプロイメントとして実行するように DB インスタンスを作成または変更すると、Amazon RDS は、別のアベイラビリティーゾーンに同期スタンバイレプリカを自動的にプロビジョニングし、維持します。DB インスタンスの更新は、アベイラビリティーゾーン全体でスタンバイに同期的にレプリケートされ、両方の同期を維持し、最新のデータベース更新を DB インスタンスの障害から保護します。
RDS リードレプリカは、同期ではなく非同期レプリケーションを提供するため、間違っています。
DynamoDB リードレプリカとマルチ AZ デプロイメントとして実行されている CloudFront は、DynamoDB と CloudFront の両方にリードレプリカ機能がないため、正しくありません。
https://aws.amazon.com/rds/details/multi-az/
Amazon RDS の概要:
https://youtu.be/aZmpLl8K1UU
この Amazon RDS チートシートを確認してください: https://tutorialsdojo.com/amazon-relational-database-service-amazon-rds/
出題:16
ソリューション アーキテクトは、VP の監視中に一連の DDoS 攻撃を特定しました。アーキテクトは、クライアントのデータを保護するために、現在のクラウド インフラストラクチャを強化する必要があります。
この種の攻撃を軽減するために最も適切なソリューションは次のうちどれですか?
A. AWS Shield Advanced を使用して、DDoS 攻撃を検出し、軽減します。
B. 承認されたトラフィックのみが VPC にアクセスできるようにするセキュリティ グループとネットワーク アクセス コントロール リストの組み合わせ。
C. AWS WAF を使用して Web アプリケーション ファイアウォールを設定し、HTTP トラフィックをフィルタリング、監視、ブロックします。
D. AWS Firewall Manager を使用して、SYN フラッド、UDP リフレクション攻撃、その他の DDoS 攻撃を防ぐセキュリティ レイヤーをセットアップします。
解答:A
説明/参照:
Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、および Amazon Route 53 リソース上で実行されているアプリケーションを標的とした攻撃に対するより高いレベルの保護を得るには、AWS Shield Advanced にサブスクライブできます。Standard に付属するネットワーク層とトランスポート層の保護に加え、AWS Shield Advanced は、大規模かつ高度な DDoS 攻撃に対する追加の検出と軽減、攻撃のほぼリアルタイムの可視化、およびウェブアプリケーションファイアウォールである AWS WAF との統合を提供します。
AWS Shield Advanced では、AWS DDoS Response Team (DRT) への 24 時間年中無休のアクセスと、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、および Amazon Route 53 の料金における DDoS 関連のスパイクに対する保護も提供されます。
したがって、正しい答えは「AWS Shield Advanced を使用して DDoS 攻撃を検出し、軽減する」です。
「AWS Firewall Manager を使用して、SYN フラッド、UDP リフレクション攻撃、その他の DDoS 攻撃を防ぐセキュリティ層をセットアップする」というオプションは誤りです。AWS Firewall Manager は主に、複数のアカウントにわたる AWS WAF の管理およびメンテナンスのタスクを簡素化するために使用されます。そしてリソース。VPC を DDoS 攻撃から保護するものではありません。
「AWS WAF を使用して Web アプリケーション ファイアウォールを設定し、HTTP トラフィックをフィルタリング、監視、ブロックする」というオプションは正しくありません。AWS WAF は、SQL インジェクションやクロスサイト スクリプティングなど、VPC に対する一般的な攻撃パターンをブロックするのに役立ちますが、DDoS 攻撃に耐えるにはまだ十分ではありません。このシナリオでは AWS Shield を使用することをお勧めします。
「承認されたトラフィックのみに VPC へのアクセスを許可するセキュリティ グループとネットワーク アクセス コントロール リストの組み合わせ」というオプションは正しくありません。セキュリティ グループと NACL を組み合わせて使用することは、VPC にセキュリティを提供するのに有効ですが、DDoS 攻撃を軽減するには十分ではありません。
セキュリティ保護を強化するには、AWS Shield を使用する必要があります。https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf
https://aws.amazon.com/shield/
この AWS Shield チートシートを確認してください: https://tutorialsdojo.com/aws-shield/
AWS セキュリティ サービスの概要 - WAF、Shield、CloudHSM、KMS: https://www.youtube.com/watch?v=-1S-RdeAmMo
出題:17
旅行写真共有 Web サイトでは、Amazon S3 を使用して、Web サイトの訪問者に高品質の写真を提供しています。数日後、他の旅行 Web サイトがあなたの写真にリンクし、使用していることがわかりました。これにより、ビジネスに経済的損失が発生しました。
この問題を軽減する最も効果的な方法は何ですか?
A. 写真には CloudFront ディストリビューションを使用します。
B. NACL を使用して、攻撃的な Web サイトの IP アドレスをブロックします。
C. パブリック読み取りアクセスを削除し、有効期限付きの署名済み URL を使用するように S3 バケットを構成します。
D. 代わりに、高品質の写真を Amazon WorkDocs に保存してプライベートに提供する
解答:C
説明/参照:
代わりに、高品質の写真を Amazon WorkDocs に保存し、プライベートに提供します。Amazon S3 では、すべてのオブジェクトはデフォルトでプライベートです。オブジェクト所有者のみがこれらのオブジェクトにアクセスする権限を持っています。ただし、オブジェクト所有者は、オプションで、独自のセキュリティ資格情報を使用して署名付き URL を作成し、オブジェクトをダウンロードするための期限付きのアクセス許可を付与することで、他のユーザーとオブジェクトを共有できます。
オブジェクトの署名付き URL を作成する場合は、セキュリティ認証情報を指定し、バケット名、オブジェクト キーを指定し、HTTP メソッド (オブジェクトをダウンロードするには GET) と有効期限の日時を指定する必要があります。事前署名された URL は、指定された期間のみ有効です。
事前署名された URL を受け取った人は誰でもオブジェクトにアクセスできます。たとえば、バケット内にビデオがあり、バケットとオブジェクトの両方が非公開の場合、署名付き URL を生成することで他のユーザーとビデオを共有できます。
写真に CloudFront ディストリビューションを使用するのは間違っています。CloudFront は、顧客へのコンテンツ配信を高速化するコンテンツ配信ネットワーク サービスです。
NACL を使用して攻撃的な Web サイトの IP アドレスをブロックすることも間違っています。NACL を使用して IP アドレスをブロックすることは、IP アドレスをすぐに変更するとこの設定を簡単にバイパスしてしまうため、あまり効率的な方法ではありません。
WorkDocs は単にフルマネージドで安全なコンテンツの作成、保存、およびコラボレーションのサービスであるため、代わりに Amazon WorkDocs に高品質の写真を保存してプライベートに提供することは誤りです。静的コンテンツの保存には適したサービスではありません。Amazon WorkDocs は、Amazon S3 のようなオブジェクト データを提供するためではなく、コラボレーションのためにドキュメントを簡単に作成、編集、共有するために使用されることがよくあります。https://docs.aws.amazon.com/AmazonS3/latest/dev/ShareObjectPreSignedURL.html
https://docs.aws.amazon.com/AmazonS3/latest/dev/ObjectOperations.html
この Amazon CloudFront チートシートを確認してください。
https://tutorialsdojo.com/amazon-cloudfront/
S3 署名付き URL 対 CloudFront 署名付き URL 対 オリジン アクセス ID (OAI) https://tutorialsdojo.com/s3-pre-signed-urls-vs-cloudfront-signed-urls-vs-origin-access-identity-oai/ AWS サービスの比較チートシート: https://tutorialsdojo.com/comparison-of-aws-services/