AWS SOA試験は、AWSを使ったシステムのオペレーションの役割を担う管理者を対象としています。AWSインフラの管理、運用、およびモニタリングに関するスキルと知識を評価します。SOAレベルの練習問題を繰り返し解いて試験に備えましょう。3回目の無料の練習問題は10問です。
第1問: 国別サイトを表示するためのルーティング
ある国際ニュース企業は、ユーザーの国籍に応じて異なる言語のサイトを提供しようと考えています。AWS Route 53で国別にエンドポイントを振り分ける際に最適なルーティングポリシーはどれでしょうか?
正解: 2. 地理位置情報ルーティング
地理位置情報ルーティングはユーザーの所在地に基づき国単位で振り分け可能です。最も直接的に国ごとのサイト提供が実現できます。
他の選択肢
- 地理近接ルーティングは物理的な距離やリージョンの近さを基にするため、国単位の制御には適しません。
- レイテンシーを低減するために最も近いリージョンへルーティングするもので、国別の振り分け要件には対応していません。
- マルチバリュールーティングは複数のIPを返して可用性を高める手段であり、国別制御には向きません。
第2問: Direct Connect経由でのS3アクセスの最適な構成
ある製薬会社はHIPAA準拠のデータを保管するためにAWSを利用し、オンプレミス環境とAWSをDirect Connectで繋げています。Amazon S3バケットへのトラフィックを常にプライベートネットワーク内にとどめる最適な方法は何でしょうか?
正解: 1. Amazon S3のインターフェイスエンドポイントをVPCに作成し、アプリケーションからプライベートDNS経由でアクセスする
インターフェイスエンドポイント(PrivateLink)を使用することでプライベートネットワーク上のS3アクセスが可能となり、インターネット経路を避けられます。
他の選択肢
- アクセスポイントはアクセス管理を細かくする仕組みですが、インターネット非経由を確実にするにはエンドポイントが必要です。
- 単純にDNSを書き換えるだけではAWS内部ネットワークへのルーティングは保証されません。
- オンプレミスとの接続ではVPC PeeringよりもDirect Connectとエンドポイントの組み合わせが正しく、PeeringはVPC間通信の仕組みです。
第3問: コンテナワークロードでの共有ストレージ最適化
あるメディア企業は、Amazon ECS上で複数のコンテナを起動し、コンテナ間で画像ファイルを共有する必要があります。コンテナがスケールアウトしても同一のファイルシステムを利用できるようにしたい場合、最も適したAWSサービスはどれでしょうか?
正解: 3. Amazon EFSを活用して各コンテナで同一ファイルシステムをマウントする
Amazon EFSはコンテナやEC2インスタンスが同じファイルシステムを同時に利用するユースケースに適しています。
他の選択肢
- EBSは単一EC2インスタンスへのアタッチが基本で、コンテナのスケールアウト時に同一データを共有するのは困難です。
- S3はオブジェクトストレージでありファイルシステムインターフェイスが不要な場合に最適ですが、POSIX互換の共有にはEFSが優れています。
- Storage Gatewayはオンプレミス接続やハイブリッドシナリオ向けであり、ECS上コンテナ間の共有ファイルシステムには向いていません。
第4問: RDSのマルチAZ構成下でのフェイルオーバー動作
あるWebアプリケーションはRDSをマルチAZ構成で利用中です。1つのアベイラビリティーゾーンが利用不可になった場合、どのような動作が期待されるでしょうか?
正解: 2. 自動的にスタンバイインスタンスがプライマリに昇格し、アプリケーションは短時間のダウンで再開する
マルチAZによりスタンバイが自動でフェイルオーバー先となるため、高可用性を維持できます。
他の選択肢
- マルチAZでは通常手動操作は不要で、自動的に切り替わります。
- マルチAZ構成は同期レプリケーションを行うため、フェイルオーバー後も書き込みが可能です。
- DynamoDBへの移行はフェイルオーバーの仕組みには含まれていません。
第5問: バックトラッキングとポイントインタイムリカバリの違い
ある金融システムでAurora MySQLのDBクラスターを運用しており、過去72時間内のどの時点にも戻せる要件があります。既存のDBクラスターをそのまま巻き戻す必要がある場合、どの機能が最も適しているでしょうか?
正解: 1. バックトラッキングを使用する
バックトラッキングは同一クラスター内で任意の時点に巻き戻し可能で、新たなクラスター作成を伴いません。
他の選択肢
- ポイントインタイムリカバリは通常、新規クラスターとして復元されます。
- レプリカプロモートは別のインスタンスとして稼働し、同一クラスターへの巻き戻しには該当しません。
- DataSyncはファイル転送サービスであり、Auroraのデータベース復元には直接関与しません。
第6問: CloudFormationでのAMIリージョン差異の解消
ある金融企業は、CloudFormationテンプレートでEC2インスタンスを複数リージョンに展開しようとしています。us-east-1では正常動作しているにもかかわらず、us-west-1で「AMIが存在しない」というエラーが発生しました。どのアプローチが最も確実にリージョンごとのAMI差異を解消できるでしょうか?
正解: 4. CloudFormationのMappingsセクションにリージョン別AMI IDを定義し、FindInMap関数で参照する
Mappingsを活用するとリージョンごとに異なるAMI IDをテンプレート内で一元管理でき、エラーを防げます。
他の選択肢
- パラメータを手入力に頼るとミスが生じやすく、管理が煩雑になります。
- 「一番新しいAMI」の検索は都度スクリプト等が必要になり、意図しないAMIに切り替わるリスクがあります。
- スクリプト実行のたびに生成が必要となり、テンプレートにAMIを直接マッピングする方法より管理が複雑です。
第7問: 既存オブジェクトを暗号化し将来のアップロードも強制する
ある音楽配信サービスでは、Amazon S3バケットにすでにアップロードされている大量のオーディオファイルが暗号化されていないことに気づきました。今後アップロードされるオブジェクトは必ず暗号化されるようにし、既存の未暗号化ファイルも暗号化したいと考えています。適切なアクションを2つ選びなさい。
正解: 1. S3バケットにデフォルトのサーバーサイド暗号化設定を有効化する, 3. S3バケットポリシーでPutObjectリクエストに「x-amz-server-side-encryption」を要求する条件を追加する
デフォルト暗号化を有効にすることで、新規オブジェクトの暗号化を強制できます。また、バケットポリシーで暗号化ヘッダーを必須とすることで、今後のアップロードが常に暗号化されます。
他の選択肢
- レプリケーション先で暗号化しても、元バケット内の未暗号化ファイルは解決されません。
- インテリジェントティアリングはストレージクラスの自動最適化であり、暗号化の強制は行いません。
第8問: パブリックアクセス検知の自動化
あるECサイト運営企業は、セキュリティポリシーによりすべてのS3バケットを非公開に設定していますが、誤設定によって将来的にバケットが読み取り可能になった場合に即時通知を受け取りたいと考えています。最も運用効率が高い方法はどれでしょうか?
正解: 4. AWS Configでs3-bucket-public-read-prohibitedルールを有効にし、SNSと連携する
AWS Configのマネージドルールはバケットのパブリックアクセス状態の変化を自動検出し、通知と連携できるため最も運用効率が高いです。
他の選択肢
- Lambda関数による定期チェックは実装と運用管理に手間がかかります。
- スクリプトベースの監視は信頼性やスケーラビリティに欠ける可能性があります。
- S3イベント通知は主にオブジェクト操作に特化しており、バケットのアクセス設定変更は対象外です。
第9問: カスタムドメインとNetwork Load Balancerの紐付け方法
あるオンライン学習プラットフォームでは、パブリックNLBを使って複数のEC2インスタンスにトラフィックを振り分けています。ユーザーは「study.example.com」というドメインを使ってアクセスします。最もコスト効率が高く、推奨される設定はどれでしょうか?
正解: 2. Route 53でstudy.example.comのAレコード(エイリアス)をNLBに紐付ける
エイリアスコードにするとRoute 53のクエリ料金を節約でき、加えてゾーンApexにも対応可能です。
他の選択肢
- CNAMEはサブドメインには利用可能だが、Route 53でALIASを使う方がコスト面や可用性で優位です。
- IPv4でのアクセスを想定しているならAAAAレコードのみでは不十分です。
- CAAレコードは証明書の発行可否を指定するものであり、ロードバランサーへのルーティングを実現するものではありません。
第10問: リアルタイムトラフィック分析の実践
あるIT企業は、プライベートサブネット内のEC2インスタンスがダウンロードに利用しているインターネット宛先を定期的に監視したいと考えています。運用負荷を最小限にするため、最も効率的な分析方法はどれでしょうか?
正解: 1. CloudWatch Logs Insights を利用して定期的にクエリを実行し、トップ宛先IPをレポートする
CloudWatch Logs Insightsはリアルタイムでログ分析が可能なため、定期レポートの自動化に適しています。
他の選択肢
- バッチ処理はリアルタイム性が低く、運用効率もCloudWatch Logs Insightsに劣ります。
- CloudTrail Insightsは主にAPI呼び出しの異常検知に使われ、ネットワークトラフィックの詳細分析には適しません。
- 自前のLambdaによる解析は実装・運用コストが高く、標準サービスの利用が推奨されます。