AWS 認定ソリューションアーキテクト – プロフェッショナル WEB問題集

WEB問題集

Question#1(SAP-C02)

ある会社は製造業アプリケーション用に AWS 環境を設計しています。このアプリケーションは顧客に好評で、ユーザー数が増加しています。会社は、1 Gbps の AWS Direct Connect 接続を使用してオンプレミスのデータセンターと AWS 環境を接続しました。この接続には BGP が構成されています。

会社は、既存のネットワーク接続ソリューションを更新し、高可用性、耐障害性、およびセキュリティを確保する必要があります。この要件を最もコスト効率よく満たすソリューションはどれですか？

A. セカンダリパスとして動的なプライベート IP AWS Site-to-Site VPN を追加し、転送中のデータを保護するとともに、Direct Connect 接続の冗長性を提供する。Direct Connect 接続内のトラフィックを暗号化するために MACsec を構成する。
B. 会社のオンプレミスデータセンターと AWS の間にもう 1 本の Direct Connect 接続をプロビジョニングして、転送速度を向上させるとともに冗長性を提供する。Direct Connect 接続内のトラフィックを暗号化するために MACsec を構成する。
C. 複数のプライベート VIF を構成し、オンプレミスデータセンターと AWS 間で VIF をロードバランスさせて冗長性を提供する。
D. セカンダリパスとして静的な AWS Site-to-Site VPN を追加し、転送中のデータを保護するとともに、Direct Connect 接続の冗長性を提供する。

正解と解説ディスカッション 0

正解：D

この問題のポイントは、「高可用性」「耐障害性」「セキュリティ」を満たしつつ、「最もコスト効率よく」実現する方法を選ぶことです。

まず Direct Connect 単独では暗号化されていないため、転送中のデータを暗号化する仕組みが必要です。一般的には Direct Connect と Site-to-Site VPN を併用するハイブリッド構成（いわゆる DX + VPN 冗長化） が推奨されます。AWS のベストプラクティスとしても、専用線が障害で停止した場合のバックアップ経路として Site-to-Site VPN を利用することが案内されています。 Site-to-Site VPN をバックアップ経路として追加すれば、Direct Connect がダウンした際に VPN 経由で AWS と通信が可能になります。また VPN は IPsec により暗号化されるため、セキュリティ要件も満たします。コスト的にも追加の回線敷設は不要で、最も費用対効果の高い解決策です。よってこれが正解です。

Question#2(SAP-C02)

ある会社はアプリケーションをモダナイズし、AWS に移行する必要があります。このアプリケーションは、オンプレミスの MySQL データベースの単一テーブルにテキストとしてユーザープロファイルデータを保存しています。

モダナイズ後、ユーザーは最大 4 GB の動画ファイルをアプリケーションにアップロードできるようになります。他のユーザーは、その動画ファイルをアプリケーションからダウンロードできる必要があります。会社は、アプリケーションのパフォーマンスに影響を与えずに急速にスケーリングできる動画ストレージソリューションを必要としています。この要件を満たすソリューションはどれですか？

A. AWS Database Migration Service (AWS DMS) を使用してデータベースを Amazon Aurora PostgreSQL に移行する。動画を base64 エンコードされた文字列としてデータベース内の TEXT 列に保存する。
B. AWS Database Migration Service (AWS DMS) と AWS Schema Conversion Tool (AWS SCT) を使用してデータベースを Amazon DynamoDB に移行する。動画は Amazon S3 にオブジェクトとして保存し、対応する DynamoDB アイテムに S3 キーを保存する。
C. AWS Database Migration Service (AWS DMS) と AWS Schema Conversion Tool (AWS SCT) を使用してデータベースを Amazon Keyspaces (for Apache Cassandra) に移行する。動画は Amazon S3 にオブジェクトとして保存し、対応する Amazon Keyspaces エントリに S3 オブジェクト識別子を保存する。
D. AWS Database Migration Service (AWS DMS) と AWS Schema Conversion Tool (AWS SCT) を使用してデータベースを Amazon DynamoDB に移行する。動画を base64 エンコードされた文字列として対応する DynamoDB アイテムに保存する。

正解と解説ディスカッション 0

正解：B

この問題の重要な要素は以下です。

動画ファイルサイズは最大 4 GB データベースに直接保存するのは非効率かつパフォーマンスに悪影響を与えます。特に base64 エンコードされた文字列として TEXT カラムや DynamoDB 項目に格納するのは適切ではありません。
急速なスケーリングが必要 動画の保存・配信にはスケーラブルなオブジェクトストレージが求められます。Amazon S3 はこの要件に最適です。
アプリケーションのパフォーマンスに影響を与えないこと 大容量データをデータベースに保存するとクエリ性能が低下しますが、S3 を利用すればストレージはデータベースから分離され、パフォーマンスへの影響を避けられます。

ユーザープロファイルなどの構造化データは DynamoDB に保存し、大容量動画は S3 に保存します。DynamoDB 項目には S3 のキー（オブジェクトの場所）を保持すればよく、これが最もスケーラブルでコスト効率の良い設計です。

Question#3(SAP-C02)

ある会社は Amazon Elastic File System（Amazon EFS）ファイルシステムで文書を保存・管理しています。ファイルシステムは AWS Key Management Service（AWS KMS）キーで暗号化されています。ファイルシステムは、独自ソフトウェアを実行する Amazon EC2 インスタンスにマウントされています。

同社はファイルシステムに対して自動バックアップを有効化しています。自動バックアップは AWS Backup のデフォルトバックアッププランを使用します。ソリューションアーキテクトは、削除された文書を RPO（目標復旧時点）100 分以内で復元できるようにする必要があります。この要件を満たすソリューションはどれですか？

A. 新しい IAM ロールを作成する。新しいバックアッププランを作成する。新しい IAM ロールを使用してバックアップを作成する。新しい IAM ロールがキーを使用できるように KMS キーポリシーを更新する。ファイルシステムに対して 1 時間ごとのバックアップスケジュールを実装する。
B. 新しいバックアッププランを作成する。AWSServiceRoleForBackup IAM ロールがキーを使用できるように KMS キーポリシーを更新する。ファイルシステムのバックアップを 30 分ごとに実行するカスタム cron 式を実装する。
C. 新しい IAM ロールを作成する。既存のバックアッププランを使用する。新しい IAM ロールがキーを使用できるように KMS キーポリシーを更新する。ポイントインタイムリカバリ用の継続的バックアップを有効化する。
D. 既存のバックアッププランを使用する。AWSServiceRoleForBackup IAM ロールがキーを使用できるように KMS キーポリシーを更新する。ファイルシステムに対してリージョン間レプリケーションを有効化する。

正解と解説ディスカッション 0

正解：A

問題の要件

復旧目標時点（RPO）100分以内で削除データを復元できること。
デフォルトバックアッププランは「1日1回」であり、RPO は 最大24時間 → 不適切。
Amazon EFS は ポイントインタイムリカバリ（PITR） をサポートしていない。
Amazon EFS のバックアップ間隔は 最小で1時間（30分は不可）。

RPO 100分の要件を満たす
- 1時間ごとのバックアップであれば、最悪の場合でも「直近のバックアップから60分以内」の復元が可能です。
- 100分以内の復元要件を余裕をもって満たします。
AWS Backup が公式にサポートする設定
- AWS Backup のスケジュールは cron 式で最小「1時間ごと」まで可能です。
- 30分間隔はサポートされないため、B のような「30分バックアップ」は不可能。
KMS 暗号化環境での適切な設定
- Amazon EFS は KMS キーで暗号化されているため、AWS Backup から復元・バックアップ操作を行うには KMS キーへのアクセス権限が必須です。
- キーポリシーを更新して、バックアップに使用する IAM ロール（またはサービスリンクドロール）が KMS キーを利用できるようにするのは正しい手順です。
実現可能性とコスト効率
- A の構成は AWS Backup がサポートしている標準機能のみを利用するため、追加のコストや複雑なオーケストレーションが不要。
- 運用負荷を最小化しつつ、RPO を確実に達成できるため、最も現実的かつコスト効率の高い解です。

Question#4(SAP-C02)

ソリューションアーキテクトは、クラウドエンジニアのチームが AWS CLI を使用して Amazon S3 バケットにオブジェクトをアップロードするための安全な方法を提供しなければなりません。各クラウドエンジニアには IAM ユーザー、IAM アクセスキー、および仮想マルチファクタ認証（MFA）デバイスがあります。クラウドエンジニアの IAM ユーザーは「S3-access」という名前のグループに属しています。クラウドエンジニアは、Amazon S3 でいかなるアクションを実行する場合でも MFA を使用しなければなりません。

この要件を満たすソリューションはどれですか？

A. S3 バケットにポリシーをアタッチして、IAM ユーザーが S3 バケットでアクションを実行するときに MFA コードを求めるようにする。IAM アクセスキーを使用して AWS CLI から Amazon S3 を呼び出す。
B. S3-access グループの信頼ポリシーを更新し、プリンシパルがグループを引き受ける（assume）際に MFA を使用することを要求する。IAM アクセスキーを使用して AWS CLI から Amazon S3 を呼び出す。
C. S3-access グループに、MFA が存在しない限りすべての S3 アクションを拒否するポリシーをアタッチする。IAM アクセスキーを使用して AWS CLI から Amazon S3 を呼び出す。
D. S3-access グループに、MFA が存在しない限りすべての S3 アクションを拒否するポリシーをアタッチする。AWS Security Token Service（AWS STS）から一時的な認証情報を要求する。ユーザーが Amazon S3 でアクションを実行するときに参照されるよう、その一時的な認証情報をプロファイルに設定する。

正解と解説ディスカッション 0

正解：D

この要件を満たすためには、**「MFA が有効であることを示すコンテキストを持つ一時的な認証情報で S3 API を呼ぶ」**必要があります。通常の長期アクセスキー（Access key ID/Secret access key）で CLI から直接 S3 を呼んでも、MFA の検証結果は自動的には API リクエストに伝播しません。したがってポリシー側で aws:MultiFactorAuthPresent（または aws:MultiFactorAuthAge）を条件に「MFA なしは拒否」をかけたうえで、ユーザーは MFA デバイスのワンタイムコードを用いて sts:GetSessionToken を呼び出し、一時的なセッショントークン（SessionToken を含む三点セット）を取得し、そのプロファイルで S3 を操作します。これによりリクエストに「MFA が存在する」というコンテキストが付与され、S3 のアクションが許可されます。このフローをそのまま示しているのが D です。グループに「MFA がなければ S3 を拒否」のポリシーを付け、STS で MFA 付きの一時クレデンシャルを取得して使う、というのが AWS のベストプラクティスです。

（参考実装のイメージ）

ユーザーは aws sts get-session-token --serial-number <MFAデバイスARN> --token-code <6桁コード> を実行して一時認証情報を得る。
返ってきた AccessKeyId/SecretAccessKey/SessionToken をプロファイルに設定し、そのプロファイルで aws s3 cp ... などを実行する。
IAM（もしくはバケット）側のポリシーで Condition: {"Bool": {"aws:MultiFactorAuthPresent": "true"}} を満たすため、S3 操作が許可される。

Question#5(SAP-C02)

ある会社は、オンプレミスで稼働している 60 個のレガシーアプリケーションを AWS に移行する必要があります。これらのアプリケーションは .NET Framework をベースにしており、Windows 上で実行されています。

会社は、移行時間を最小化し、アプリケーションコードの変更を必要としないソリューションを求めています。また、インフラストラクチャを管理したくないと考えています。この要件を満たすソリューションはどれですか？

A. AWS Toolkit for .NET Refactoring を使用してアプリケーションをリファクタリングしてコンテナ化する。Amazon Elastic Container Service (Amazon ECS) の Fargate 起動タイプを使用してコンテナ化されたアプリケーションをホストする。
B. Windows Web Application Migration Assistant を使用してアプリケーションを AWS Elastic Beanstalk に移行する。Elastic Beanstalk を使用してアプリケーションをデプロイおよび管理する。
C. Windows Web Application Migration Assistant を使用してアプリケーションを Amazon EC2 インスタンスに移行する。EC2 インスタンスを使用してアプリケーションをデプロイおよび管理する。
D. AWS Toolkit for .NET Refactoring を使用してアプリケーションをリファクタリングしてコンテナ化する。Amazon Elastic Kubernetes Service (Amazon EKS) の Fargate 起動タイプを使用してコンテナ化されたアプリケーションをホストする。

正解と解説ディスカッション 0

正解：B

この問題のキーポイントは以下の通りです。

コード変更を伴わない移行（Rehost/リフト&シフト）
- アプリケーションをリファクタリング（A, D）する選択肢は「コード変更が不要」という要件に反します。よって除外。
インフラ管理をしたくない
- EC2 に移行した場合（C）は OS/ミドルウェア/パッチ適用などを運用側が管理しなければなりません。よって「インフラ管理不要」という要件に反します。
Elastic Beanstalk の特性
- Elastic Beanstalk は Windows/.NET Framework アプリケーションをサポートしており、アプリケーションをそのままデプロイ可能。
- オートスケーリング、ヘルスチェック、パッチ適用、インフラ管理を抽象化してくれるため、ユーザーはアプリケーションに集中できます。
- Windows Web Application Migration Assistant を使えばオンプレミスの IIS で動いているアプリケーションを最小限の変更で Beanstalk に移行可能。

以上から、最小の移行時間でコード変更不要、かつインフラ管理を回避できるのは Elastic Beanstalk への移行（B）です。