AWS 認定ソリューションアーキテクト – アソシエイト WEB問題集

WEB問題集

Question#1(SAA-C03)

ソリューションアーキテクトは、企業のオンプレミスネットワークをVPCに接続して、AWSリソースへのオンプレミスからのアクセスを可能にする必要があります。このソリューションは、企業ネットワークとVPC間のすべてのトラフィックをネットワーク層およびセッション層で暗号化する必要があります。また、AWSとオンプレミスシステム間の無制限なアクセスを防ぐためのセキュリティ制御も提供する必要があります。以下のどのソリューションがこれらの要件を満たしますか？

A. WS Direct Connectを構成してVPCに接続します。VPCルートテーブルを構成して、AWSとオンプレミス間のトラフィックを必要に応じて許可および拒否します。
B. 定義された企業IPアドレスからのみAWSマネジメントコンソールへのアクセスを許可するIAMポリシーを作成します。IAMポリシーとロールを使用して、職務責任に基づいてユーザーアクセスを制限します。
C. AWS Site-to-Site VPNを構成してVPCに接続します。ルートテーブルエントリを構成して、オンプレミスからVPCへのトラフィックを誘導します。インスタンスのセキュリティグループとネットワークACLを構成して、オンプレミスからの必要なトラフィックのみを許可します。
D. AWS Transit Gatewayを構成してVPCに接続します。ルートテーブルエントリを構成して、オンプレミスからVPCへのトラフィックを誘導します。インスタンスのセキュリティグループとネットワークACLを構成して、オンプレミスからの必要なトラフィックのみを許可します。

正解と解説ディスカッション 0

正解：C

接続: AWS Site-to-Site VPNは、IPsec VPNを使用してオンプレミスネットワークとVPCを安全に接続します。これにより、ネットワーク層での暗号化（IPsecによる）が提供されます。暗号化: IPsec VPNは、ネットワーク層での暗号化を提供します。また、必要に応じてアプリケーション層（セッション層）での暗号化（例：TLS）を追加で構成可能です。問題文ではセッション層の暗号化が必須とされていますが、Site-to-Site VPNはネットワーク層での暗号化を確実に提供し、セッション層の暗号化はアプリケーション側で補完可能です。セキュリティ制御: ルートテーブル、セキュリティグループ、ネットワークACLを構成することで、トラフィックを必要なものに限定し、無制限なアクセスを防ぎます。この選択肢は、暗号化とセキュリティ制御の両方の要件を満たすため正解です。

Question#2(SAA-C03)

ある企業は、埋め込み認証情報を持つカスタムアプリケーションを所有しており、このアプリケーションはAmazon RDS for MySQL DBクラスター内のデータベースから情報を取得します。企業は、プログラミングの作業を最小限に抑えつつ、アプリケーションのセキュリティを強化する必要があります。企業は、アプリケーション用のユーザー向けにRDS for MySQLデータベース上に認証情報を作成しました。以下のどのソリューションがこれらの要件を満たしますか？

A. AWS Key Management Service (AWS KMS) に認証情報を保存する。AWS KMSにキーを作成し、アプリケーションがAWS KMSからデータベースの認証情報をロードするように構成する。自動キーローテーションを有効にする。
B. 認証情報を暗号化されたローカルストレージに保存します。アプリケーションを構成して、データベース認証情報をローカルストレージからロードします。cronジョブを作成して認証情報のローテーションスケジュールを設定します。
C. 認証情報をAWS Secrets Managerに保存します。アプリケーションを構成して、データベース認証情報をSecrets Managerからロードします。Secrets Manager用のAWS Lambda関数を作成して認証情報のローテーションスケジュールを設定します。
D. 認証情報をAWS Systems Manager Parameter Storeに保存します。アプリケーションを構成して、データベース認証情報をParameter Storeからロードします。Parameter Storeを使用してRDS for MySQLデータベースで認証情報のローテーションスケジュールを設定します。

正解と解説ディスカッション 0

正解：C

セキュリティ: AWS Secrets Managerは、データベース認証情報のようなシークレットを安全に保存・管理するための専用サービスです。認証情報は暗号化され、IAMポリシーでアクセスを制御できます。最小限のプログラミング作業: Secrets Managerは、AWS SDKやCLIを通じてアプリケーションから簡単に認証情報を取得可能です。アプリケーションの変更は最小限（Secrets Managerからの取得処理の追加）に抑えられます。ローテーション: Secrets Managerは、RDS for MySQLを含むデータベースの認証情報ローテーションをサポートします。AWS Lambda関数を使用することで、自動ローテーションを簡単に設定でき、RDSとの統合もスムーズです。この選択肢は、セキュリティ、労力の最小化、ローテーションの要件をすべて満たすため正解です。

Question#3(SAA-C03)

グローバルなEコマース企業は、重要なワークロードをAWSで実行しています。ワークロードは、マルチAZ構成で設定されたAmazon RDS for PostgreSQL DBインスタンスを使用しています。データベースのフェイルオーバーが発生すると、顧客からアプリケーションのタイムアウトが報告されています。企業は、フェイルオーバー時間を短縮する耐障害性の高いソリューションを必要としています。以下のどのソリューションがこれらの要件を満たしますか？

A. Amazon RDS Proxyを作成し、そのプロキシをDBインスタンスに割り当てる。
B. DBインスタンスのリードレプリカを作成し、リードトラフィックをリードレプリカに移す。
C. Performance Insightsを有効にし、CPU負荷を監視してタイムアウトの原因を特定する。
D. 定期的に自動スナップショットを取得し、複数のAWSリージョンにコピーする。

正解と解説ディスカッション 0

正解：A

機能: Amazon RDS Proxyは、データベース接続を効率的に管理し、フェイルオーバー時の接続の再利用や維持をサポートします。RDS Proxyは、アプリケーションとRDSインスタンスの間に位置し、フェイルオーバー時に新しい接続を迅速に確立することで、アプリケーションのタイムアウトを軽減します。フェイルオーバー時間: マルチAZ構成でのフェイルオーバー（通常1～2分）による接続の中断を、RDS Proxyが接続プールで吸収し、アプリケーションへの影響を最小限に抑えます。労力: アプリケーションの変更は最小限で、RDS Proxyのエンドポイントをアプリケーションの接続設定に追加するだけで済みます。この選択肢は、フェイルオーバー時の耐障害性を向上させ、タイムアウトを軽減する要件を満たすため正解です。

Question#4(SAA-C03)

消費者調査企業は、特定の地理的地域から数年間にわたりデータを収集してきました。このデータは、AWSリージョンのAmazon S3バケットに保存されています。企業は、新しい地理的地域にあるマーケティング会社とこのデータを共有し始めました。企業は、マーケティング会社のAWSアカウントにS3バケットへのアクセス権を付与しました。企業は、マーケティング会社がS3バケットからデータをリクエストする際のデータ転送コストを最小限に抑えたいと考えています。以下のどのソリューションがこれらの要件を満たしますか？

A. 企業のS3バケットでリクエスタ支払い（Requester Pays）を構成します。
B. 企業のS3バケットからマーケティング会社のS3バケットの1つにS3クロスリージョンレプリケーション（CRR）を構成します。
C. AWSリソースアクセスマネージャー（AWS RAM）を構成して、S3バケットをマーケティング会社のAWSアカウントと共有します。
D. 会社のS3バケットをS3 Intelligent-Tieringに設定し、マーケティング会社のS3バケットに同期する。

正解と解説ディスカッション 0

正解：A

リクエスタ支払い機能を企業のS3バケットに構成することで、マーケティング会社がデータにアクセスする際のデータ転送コストをマーケティング会社側に負担させることができ、企業側のコストをゼロに抑えつつ既存のバケットへのアクセスを維持できるため、コスト最小化の要件を満たす最適なソリューションです。

Question#5(SAA-C03)

ある企業は、デバイスから受信したデータを保存するためにAmazon DynamoDBテーブルを使用しています。このDynamoDBテーブルは、顧客向けウェブサイトで顧客デバイスの最近のアクティビティを表示するために使用されます。企業は、テーブルに書き込みおよび読み取りのプロビジョンドスループットを設定しています。企業は、顧客デバイスデータの性能メトリクスを毎日計算したいと考えています。ソリューションは、テーブルのプロビジョンド読み取りおよび書き込み容量に最小限の影響を与える必要があります。以下のどのソリューションがこれらの要件を満たしますか？

A. Amazon AthenaのDynamoDBコネクタを使用して、Amazon Athena SQLクエリでパフォーマンスメトリクスを計算し、定期的なスケジュールで実行します。
B. AWS GlueのDynamoDBエクスポートコネクターを使用して、AWS Glueジョブでパフォーマンスメトリクスを計算し、定期的なスケジュールで実行します。
C. Amazon RedshiftのCOPYコマンドを使用して、パフォーマンスメトリクスを計算し、定期的なスケジュールで実行します。
D. Apache Hive外部テーブルを使用したAmazon EMRジョブでパフォーマンスメトリクスを計算し、定期的なスケジュールで実行します。

正解と解説ディスカッション 0

正解：B

AWS GlueのDynamoDBエクスポートコネクターを使用すると、DynamoDBテーブルのデータをスナップショットとしてS3にエクスポートし、GlueジョブでS3上のデータを処理して性能メトリクスを計算できるため、テーブルのプロビジョンド読み取りおよび書き込み容量にほとんど影響を与えず、定期的なスケジュールで実行可能なソリューションとして要件を満たします。