AWS SOAレベル無料練習問題②

AWS SOA試験は、AWSを使ったシステムのオペレーションの役割を担う管理者を対象としています。AWSインフラの管理、運用、およびモニタリングに関するスキルと知識を評価します。SOAレベルの練習問題を繰り返し解いて試験に備えましょう。2回目の無料の練習問題は30問です。

グローバルに配置されたWebアプリを最速応答のリージョンへ誘導する方法

あるスポーツニュース提供企業は、単純なWebアプリをAmazon EC2インスタンス上で稼働させ、それらをElastic Load Balancerでまとめています。現在はeu-west-2リージョンのみで運用し、DNSにはAmazon Route 53のシンプルなレコードを使用しています。しかし世界各地の利用者に対して、最速の応答時間を実現するため、us-east-1とap-south-1リージョンにも同一アプリを展開する方針となりました。SysOps管理者はどのように設定すべきでしょうか？

新しいリージョンにEC2インスタンスのみを追加し、既存のElastic Load Balancerに紐付けてからGeoLocationルーティングへ切り替える

新しいリージョンにアプリケーションのコピーをデプロイし、それぞれに別のElastic Load Balancerを用意してからLatencyルーティングポリシーに変更する

新しいリージョンのEC2インスタンスを単一のElastic Load Balancerに全部登録し、Multivalueルーティングに変更する

シンプルルーティングを継続し、Health Check結果から最速応答リージョンに自動誘導させる

None

CLIでのMFAを強制するには

ある医療系企業は、すべてのIAMユーザーに対して多要素認証(MFA)を使用したAPI呼び出しを義務づけています。しかし、ユーザーがCLIでAWSサービスにアクセスしても、MFAの入力を要求されずにコマンドを実行できる状況です。運用ポリシーとして「MFAなしのAPI呼び出しは拒否」するルールをIAMポリシーに設定しましたが、依然としてMFAが実施されないままCLIを利用可能です。CLI経由のAPI呼び出しに実際にMFA認証を適用するには、SysOps管理者はどのような追加手順を取る必要がありますか？

MFAのトークンを用いてget-sessiontokenコマンドを実行し、得られた一時的な資格情報でAPI呼び出しを行うようユーザーに指示する

IAMロールの設定でMFAデバイスを関連付け、ユーザーがロールのスイッチ時にMFAコードを入力するように促す

CLIによるアクセスを禁止し、マネジメントコンソール経由でのみMFAを強制する

ユーザーがマネジメントコンソールへログインした状態でCLIコマンドを実行すればMFAが反映されるため、それを周知する

None

IO集中型アプリケーションのEBSボリュームパフォーマンス向上策

ある画像処理企業は、高いI/Oを要求するアプリケーションをAmazon EC2の汎用インスタンスタイプに移行しました。インスタンスには単一の汎用SSD EBSボリュームをアタッチしており、ユーザーが集中的な読み書きを行うとパフォーマンスが著しく低下、あるいは処理が失敗する現象が報告されています。CloudWatchメトリクスを調べたところ、問題が発生している時間帯にVolumeQueueLengthが一貫して高い値を示していました。SysOps管理者は、この課題を解決してアプリケーションの性能を正常に回復させたいと考えています。どのアクションが最適でしょうか？

ボリューム設定を変更し、より高いIOPS性能をもつプロビジョンドIOPS SSDに切り替える

インスタンスタイプをネットワーク最適化型へ変更し、ネットワーク性能を向上させる

ボリュームの自動I/O最適化をオフにして、ボリュームを再アタッチする

CloudWatchメトリクスからVolumeQueueLengthの通知アラートを設定し、手動で対処する

None

オンプレミスDNSを使用するVPC内アプリケーションの名前解決失敗

ある製造業の企業は、オンプレミスネットワークとAWS上のVPCをSite-to-Site VPNで接続しています。新たにVPCへ移行したアプリケーションが、オンプレミスにある内部DNSサーバーを利用してドメイン解決しようとしていますが、名前解決が失敗して顧客データにアクセスできません。アプリケーションがオンプレミスの内部ドメイン名を正常に解決できるようにするには、SysOps管理者はどうすればよいでしょうか？

EC2インスタンスをDNSフォワーダーとして起動し、マネージドNATを介してオンプレミスDNSへ転送するよう設定する

AWS Direct Connectを追加構築し、オンプレミスDNSとプライベートピアリングする

オンプレミスドメインをRoute 53のパブリックホストゾーンに登録して外部DNSで解決できるようにする

Route 53 Resolverアウトバウンドエンドポイントを作成し、オンプレミスDNSサーバーへDNSクエリを転送するように構成する

None

他のAWSアカウントに共有されたService Catalogポートフォリオで可能な操作

ある医療ソリューション企業のSysOps管理者は、AWS Service Catalogでポートフォリオを作成し、組織内の別のAWSアカウントと共有しました。共有先のアカウントは別部門が管理しており、そこでも同じ製品を利用したいと考えています。共有されたポートフォリオについて、受け取ったアカウントの管理者が実行できるアクションとして正しいのはどれでしょうか？

共有されたポートフォリオに新しい製品を追加し、元のアカウントで管理されるポートフォリオを更新する

共有されたポートフォリオの中で新しい起動ロールを作成し、元のアカウントで定義されたロールを置き換える

共有されたポートフォリオから製品をローカルポートフォリオに追加し、ユーザーがデプロイできるようにする

共有されたポートフォリオの製品テンプレートを直接修正してアップデートし、元のポートフォリオに反映させる

None

AWS Systems Manager Patch ManagerでのEC2パッチ適用に必要な追加設定

ある金融サービス企業のSysOps管理者は、AWS Systems Manager Patch Managerを利用してEC2インスタンスへパッチを自動配布しています。パッチ対象のインスタンスはタグで識別し、パッチベースラインとメンテナンスウィンドウも設定済みです。SysOps管理者は、パッチ適用時にSystems ManagerがEC2インスタンスへアクセスできるようにするため、追加の対応が必要だと認識しています。要件を満たすために行うべき追加アクションはどれでしょうか？

EC2のセキュリティグループに新たなインバウンドルールを追加し、ポート22を開放する

Systems Managerアクティベーションを作成後、インスタンスを手動でアクティベートする

タグを使わずに、パッチ対象インスタンスを手動で指定するよう設定を変更する

IAMインスタンスプロファイルをEC2インスタンスにアタッチし、Systems Managerへのアクセス権限を付与する

None

ニュースサイトをDDoS攻撃から守るためのWAFレート制限設定

あるメディア企業は、アジア圏に多いユーザー向けにAmazon S3（ap-southeast-1リージョン）にホストしたニュースサイトをAmazon CloudFrontディストリビューションの背後で公開しています。最近、DDoS攻撃対策が必要となり、同時にレート制限（レートベースルール）を柔軟に設定できるようにしたいと考えています。SysOps管理者は、会社側がレートベースルールを常に制御できる仕組みを維持しつつ、DDoS攻撃からサイトを保護するには、どのようなソリューションを導入すべきでしょうか？

リージョンスコープのAWS WAF WebACLをアジア圏にデプロイし、デフォルトアクションをBlockにしてレートベースルールをAllowに設定し、S3バケットにWebACLを関連付ける

AWS Shield Advancedのみを有効にしてレート制限を調整し、CloudFrontに接続する

グローバルスコープのAWS WAF WebACLを作成し、デフォルトアクションをAllowにしてレートベースルールでDDoS攻撃をブロックし、CloudFrontディストリビューションにWebACLを関連付ける

CloudFrontディストリビューションにはWAFを設定せず、S3バケットに直接WAF WebACLをアタッチしてDDoSを防御する

None

全ビルドアップロードの送信元IPを単一化する方法

あるゲーム開発企業では、Amazon EC2上で動作するビルドサーバー群（ビルドフリート）を使ってビルドアーティファクトを外部サービスにアップロードしています。新たに外部サービス側で「すべてのアップロードが単一のIPアドレスから行われる」ことを要件とするIPホワイトリストが設けられたため、複数のEC2インスタンスがそれぞれ異なるパブリックIPを使ってアップロードしている現状では対応できません。SysOps管理者がこの要件を満たすには、どのように構成を変更すべきでしょうか？

全EC2インスタンスのアウトバウンドトラフィックをNATゲートウェイ経由にし、NATゲートウェイのIPアドレスを外部サービスへ登録する

全EC2インスタンスを単一のアベイラビリティゾーンに移してAZのIPアドレスを外部に提供する

インターネットゲートウェイを専用に構築し、そのIPアドレスを外部に提供する

ビルドサーバーを全てピアリング先VPCへ移し、VPCのCIDRを外部に提供する

None

オンプレミスのバックアップをブロックストレージ対応でAWSに拡張する方法

あるAI研究企業は、オンプレミスのサーバーでアプリケーションを動かしており、これらのデータをAWS上にバックアップしたいと考えています。しかしアプリケーションのバックアップソフトウェアはPOSIX互換のブロックストレージにしか書き込みができません。バックアップ先としてのストレージは、オンプレミス側からブロックデバイスのように認識され、かつオフサイトとしてAWSへ安全に保存される必要があります。どのソリューションが最も適しているでしょうか？

Amazon S3をバックアップターゲットに設定し、ソフトウェアから直接S3へ書き込む

AWS Storage Gatewayを使用し、ゲートウェイ保存ボリュームを活用してオンプレミスのローカルにデータを置きつつクラウドへバックアップする

Amazon S3 Glacierをバックアップターゲットに設定し、オンプレミスから直接Glacierへ書き込む

AWS Storage Gatewayのゲートウェイキャッシュボリュームモードを選択し、オンプレミスデータはキャッシュのみを保持する

None

10.

IAMポリシーの使用状況とサービス上限を把握する方法

ある医療系スタートアップは、さまざまなワークロードや実験用に多くのIAMポリシーを作成しており、セキュリティチームがポリシー数の増加を懸念しています。セキュリティチームは、現在利用中のIAMポリシー数と、AWSで許可される最大ポリシー数との比較を報告するようSysOps管理者に依頼しました。どのAWSサービスを利用すれば、このような情報を可視化し報告できるでしょうか？

Amazon Inspectorを用いてIAMポリシー数と上限を評価する

AWS Configでリソースの変更を追跡し、IAMポリシー上限を監視する

AWS Trusted Advisorを使用し、IAMポリシーの使用状況と上限に関するレポートを参照する

AWS Organizationsで各アカウントのポリシー使用状況を集計する

None

11.

Windows EC2インスタンスで拡張したEBSボリューム容量がファイルシステムに反映されない

ある映像制作会社は、Amazon EC2上でWindows Serverを稼働させています。ストレージ不足が発生しそうになったため、SysOps管理者はEC2コンソールからEBSボリュームサイズを拡張しました。しかし、Windowsのファイルシステム上では新しいストレージ容量が認識されていないため、容量不足が続いています。どのようにすればこの問題を解決できるでしょうか？

EBSボリュームを再スナップショットして別のボリュームを作成し、インスタンスに再アタッチする

EC2インスタンスを再起動してボリュームサイズを再度認識させる

EBSボリュームを一度デタッチし、再度同じインスタンスへアタッチし直す

Windowsのディスク管理ツールなどを使用してファイルシステムを拡張し、新しいボリューム容量を使えるようにする

None

12.

VPC宛て通信のみをAWS Client VPN経由でルーティングする方法

ある医療ソフトウェア企業は、社内ユーザーがAWS上のリソースに安全にアクセスするため、AWS Client VPNを導入しました。コンプライアンス上の理由で、インターネットへの一般的なトラフィックは企業ネットワークを経由させ、VPC内のリソースへのアクセスのみVPNトンネルを通過させたいと考えています。SysOps管理者がClient VPNをどのように設定すれば、この要件を満たすことができるでしょうか？

Client VPNエンドポイントをプライベートサブネットに関連付け、NATゲートウェイを通して全トラフィックをVPNに流す

Client VPNエンドポイントのDNSサーバー設定を明示的に指定し、VPC内リソースへの解決を優先させる

Client VPNエンドポイントで分割トンネルを有効にし、VPC宛て通信だけをVPN経由にする

クライアントVPNにプライベート証明書を利用し、VPNクライアントのトラフィックを強制的にすべてトンネル経由にする

None

13.

Lambda関数のCPU集約型タスクによるパフォーマンス低下を解決する

あるオンラインゲーム分析企業では、Amazon S3上のログを処理するためにAWS Lambda関数を使用しています。ログ解析の一部で複雑なCPU集約型演算を実行しているため、Lambda関数の処理が遅く、全体のシステムスループットを低下させています。Lambdaの実行速度を向上させたい場合、SysOps管理者はどのような措置を取るべきでしょうか？

Lambda関数でAWSによるデフォルト暗号化を無効化してCPUを軽減する

Lambdaでハイパースレッディングを有効にして仮想CPUを増やす

Lambdaコードをカスタムレイヤーに格納して速度を上げる

Lambda関数のメモリ割り当てを増やし、結果的にCPUリソースを拡大させる

None

14.

マルチスケジュールのバックアップ保持要件を満たす最適な方法

ある動画制作会社のSysOps管理者は、Amazon EC2インスタンスとAmazon RDSデータベースのバックアップを一元管理したいと考えています。バックアップには以下の保存要件があります。

毎日のバックアップ：保存期間7日
毎週のバックアップ：保存期間5週間
毎月のバックアップ：保存期間12か月
年間バックアップ：保存期間6年間

管理工数を最小限に抑えて、これらのさまざまな期間のバックアップを自動で取得・保存するには、どの方法が最適でしょうか？

Lambda関数を作り、EC2インスタンスはEBSスナップショット、RDSは手動スナップショットを呼び出すコードを組み、EventBridgeルールで定期実行する

Amazon S3に直接EC2とRDSの全データを保存し、ライフサイクルルールで期間を制御する

Data Lifecycle Managerを使って複数のスケジュールを作成し、RDSは自動バックアップを有効にする

AWS Backupを使用して、EC2とRDSの両方に対して必要なスケジュールと保存期間を設定するバックアッププランを作成する

None

15.

SQS StandardキューからFIFOキューへ移行する際に必要な手順

ある決済処理企業は、Amazon SQSのStandardキューを使ってメッセージをやり取りしていましたが、メッセージ順序と重複排除をより厳密に管理するため、FIFOキューへの移行を検討しています。現在のアプリケーションは、メッセージ本文が一意であることを前提に標準キューへ送信しています。FIFOキューを導入するにあたり、移行時に必要となる作業として最も適切な手順はどれでしょうか？

既存のStandardキューをFIFOキューに変換し、メッセージ本文を同一にしたうえでDelaySecondsを適用する

新たにFIFOキューを作成し、DelaySecondsを設定するようアプリケーションを変更する

新たにFIFOキューを作成し、コンテンツベース重複排除を有効化してメッセージグループIDをアプリケーションで設定する

既存のStandardキューをFIFOに切り替え、重複排除はオフにしたうえでメッセージにグループIDを含める

None

16.

タグなしEC2インスタンスをリアルタイムで終了する

ある旅行会社のSysOps管理者は、Amazon EC2インスタンスが必須の「department」タグを付与されていることをコンプライアンス要件として定めています。誤ってタグが付与されなかったインスタンスは、ほぼリアルタイムで検知され次第、自動的に終了させたいと考えています。どのソリューションがこの要件を最も効率的に満たすでしょうか？

EventBridgeルールで新規EC2インスタンス作成イベントを監視し、SNSを使ってチームへアラートのみを送る

AWS Configルールを活用してタグの無いEC2インスタンスを検出し、自動修復でEC2インスタンスを終了させる

IAMポリシーでEC2インスタンス作成時に必須タグを強制し、タグのないインスタンスは手動で停止する

Systems Manager Compliance機能を用いてタグ非準拠のインスタンスを停止状態にし、あとで手動終了する

None

17.

VPCとオンプレミス間でSite-to-Site VPNを設定する際のカスタマーゲートウェイIPアドレスの選択

ある物流企業は、オンプレミスのデータセンターとAWS VPCを接続するため、AWSマネージドVPNを利用してSite-to-Site VPNを構築しています。オンプレミス側のルーター（カスタマーゲートウェイデバイス）は、データセンター内のファイアウォールやNATデバイスの背後にあり、インターネットへ直接アクセスできるのはファイアウォール/NATのパブリックIPアドレスのみです。SysOps管理者がAWSでカスタマーゲートウェイリソースを作成する際、どのアドレスを指定すればVPN接続が正しく確立できるでしょうか？

カスタマーゲートウェイデバイス本体のプライベートIPアドレスを指定する

カスタマーゲートウェイデバイスの前段にあるNATのパブリックIPアドレスを指定する

NATデバイスのMACアドレスを指定する

カスタマーゲートウェイデバイスにプライベートDNS名を割り当てて指定する

None

18.

HTTP 404応答の回数を運用効率よく監視する

ある動画配信企業は、Amazon EC2上のウェブサーバーでホストされているアプリケーションのログをAmazon CloudWatch Logsに送信しています。ログにはHTTPレスポンスコードが記録されており、システム障害を早期発見するために「HTTP 404」の発生件数をリアルタイムで監視したいと考えています。SysOps管理者は、なるべく自動化され、管理負荷の少ない方法を希望しています。この要件を満たすには、どのようなソリューションを選べばよいでしょうか？

CloudWatch Logsのメトリクスフィルターを作成してHTTP 404応答の発生回数をカウントする

CloudWatch Logsのサブスクリプションフィルターを設定し、リアルタイムでLambdaにログを送って集計する

過去1時間の404件数をCloudWatch Logs InsightsでクエリするLambda関数を定期実行する

同様にLogs Insightsを手動実行するスクリプトを作成して404を集計しSlackに通知する

None

19.

内部Webアプリケーションの可用性を向上させるための最適なAuto Scaling構成

あるコンサルティング企業は、Application Load Balancerの背後でAmazon EC2インスタンスが稼働する社内向けのWebアプリケーションを運用しています。インスタンスは単一のアベイラビリティゾーンに配置されたAuto Scalingグループ上で稼働中です。システムの可用性を高めるため、SysOps管理者はどうすればよいでしょうか？

Auto Scalingグループのインスタンス最小数をピーク需要に合わせて大きくする

Auto Scalingグループの構成を変更し、同じリージョン内の複数アベイラビリティゾーンを使用するよう設定する

別リージョンに同じアプリケーションを配置し、クロスリージョンロードバランサを構成する

Application Load Balancerを削除し、NLBに切り替えて一つのAZに集中する

None

20.

Auto Scalingグループ内の全EC2インスタンスが同一ファイルセットを共有

あるデータ分析企業は、LinuxベースのEC2インスタンスをAuto Scalingグループ上で運用しており、起動テンプレートでEBS gp3ボリュームを利用する構成になっています。最近、これらのインスタンス全体で共通のデータファイルを共有しつつ、一貫性の高いアクセスを確保する必要が生じました。SysOps管理者がこの要件を満たすためには、どのようなアプローチを取るべきでしょうか？

EBSマルチアタッチを有効にして単一ボリュームを全インスタンスが共有し、ユーザーデータでマウントする

各EC2インスタンスのEBSボリュームをcronジョブで同期させ、ライフサイクルフックによりスケールイン時にデータを集約する

新しい起動テンプレートでEFSファイルシステムを作成し、Auto Scalingグループ内で個別に作成したEFSをマウントするよう設定する

EFSファイルシステムを作成し、マウント操作をユーザーデータに記述した新しい起動テンプレートを使用するようAuto Scalingグループを更新する

None

Time's up