設問6

顧客は、ある Web アプリケーションを使用して、Amazon S3 バケットに注文データをアップロードすることができます。すると、Amazon S3 イベントが発生し、Lambda 関数がトリガされ、メッセージが SQS キューに挿入されます。1 つの EC2 インスタンスによって、キューからメッセージが読み取られて処理され、一意の注文番号で分割された DynamoDB テーブルに格納されます。来月のトラフィック量は 10 倍に増える見込みです。ソリューションアーキテクトは、スケーリングに関する問題がアーキテクチャに発生する可能性を調べています。

増加するトラフィックを処理するためにスケーリングできるようにする際、設計の見直しが最も必要であると思われるコンポーネントはどれですか。

A. Lambda 関数
B. SQS キュー
C. EC2 インスタンス
D. DynamoDB テーブル

設問7

アプリケーションによってログが Amazon S3 バケットに格納されています。あるユーザーが、トラブルシューティングのため、このログを 1 か月間保持し、その後消去したいと考えています。

この要件を満たすには、どの機能を使用すればよいですか。

A. Amazon S3 バケットに対するバケットポリシーを追加する。
B. Amazon S3 バケットに対するライフサイクル構成ルールを構成する。
C. Amazon S3 バケットに対する IAM ポリシーを作成する。
D. Amazon S3 バケットに対して CORS を有効化する。

設問8

EC2 インスタンス上で動作するアプリケーションによって、Amazon S3 に格納されている機密情報が処理されています。その機密情報は、インターネットからアクセスされるため、セキュリティチームは、Amazon S3 に対するインターネット接続におけるセキュリティリスクを懸念しています。

このセキュリティ上の懸念を解消するソリューションはどれですか。

A. インターネットゲートウェイ経由でデータにアクセスする。
B. VPN 接続を使用してデータにアクセスする。
C. NAT ゲートウェイ経由でデータにアクセスする。
D. Amazon S3 に対する VPC エンドポイントを経由してデータにアクセスする。

設問9

ある組織が、共有サービス VPC 内に Amazon Redshift クラスターを構築しようとしています。そのクラスター上で機密データがホストされる予定です。そのクラスターにアクセスできるネットワークを制御するには、どうすればよいですか。

A. クラスターを別の VPC 内で実行し、VPC ピアリング機能を使用して接続する。
B. Amazon Redshift クラスター内に、特定のネットワーク上のユーザーに対応するデータベースユーザーを作成する。
C. クラスターセキュリティグループを作成し、特定のネットワークからのアクセスを許可する。
D. VPN 経由で共有サービスネットワークに接続するネットワークにのみ、アクセスを許可する。

設問10

あるソリューションアーキテクトが、オンラインショッピングアプリケーションを設計しています。このアプリケーションは、ELB Application Load Balancer の内側にある EC2 インスタンス上の VPC 内で動作します。EC2 インスタンスは、複数のアベイラビリティーゾーンにまたがる Auto Scaling グループ内で動作します。アプリケーション層では、顧客の管理下にあるデータベースクラスター内のデータに対する読み取りと書き込みを実行する必要があります。インターネットからデータベースにアクセスできないようにする必要がありますが、クラスターはインターネットからソフトウェア更新プログラムを取得できる必要があります。

これらの要件を満たす VPC 設計はどれですか。

A. アプリケーション層とデータベースクラスターの両方をパブリックサブネット内に配置する。
B. アプリケーション層をパブリックサブネット内に配置し、データベースクラスターをプライベートサブネット内に配置する。
C. アプリケーション層と NAT ゲートウェイをパブリックサブネット内に配置し、データベースクラスターをプライベートサブネット内に配置する。
D. アプリケーション層をパブリックサブネット内に配置し、データベースクラスターとNAT ゲートウェイをプライベートサブネット内に配置する

設問6

答え：C

「C.EC2インスタンス」が正解です。メインの処理は、SQSによって発行されたキューをEC2インスタンスが処理して、DynamoDBに格納する部分だとわかります。

A:Lambda関数は、短時間で完了する処理に割り当てます。問題文中ではイベントでトリガーし、SQSキューに挿入するだけですので、現状のままでも問題ないでしょう。
B:SQSキューはEC2により削除されるので、トラフィックが増えても影響ありません。
D:DynamoDBは低レイテンシーで維持できるデータベースですので、トラフィック量が増えても影響はほとんどありません。

設問7

答え：B

「B.ライフサイクル構成ルールを構成する」が正解です。S3のライフサイクルルールでは、「完全に削除」を設定することができます。また、低頻度アクセスS3への移行やGlacierへのアーカイブも設定できるので、使わないデータは移行または削除して費用を抑えましょう。

A:バケットポリシーは、アクセス権の設定に使用します。
C:IAMポリシーは、ユーザまたはロールのアクセス権の設定に使用します。
D:CORSは、オリジン間のリソース共有時に設定します。

設問8

答え：D

「D.Amazon S3 に対する VPC エンドポイントを経由してデータにアクセス」が正解です。VPCのプライベートサブネットからS3にアクセスする際は、VPCエンドポイントを利用することができます。また、VPCエンドポイントポリシーでアクセス可能な対象リソースを絞ることで、悪意のある第三者からS3へのアクセスを遮断できます。

A:インターネットゲートウェイ経由ですと、結局インターネット接続となってしまいます。
B:S3とVPNで接続するという概念はありません。S3はリージョンサービスであり、VPC外に存在します。
C:NATゲートウェイを介した接続でも、結局インターネット接続となってしまいます。

設問9

答え：C

「C. クラスターセキュリティグループを作成し、特定のネットワークからのアクセスを許可する」が正解です。

A:VPCペアリング接続は、2 つの VPC 間でプライベートなトラフィックのルーティングを可能にするネットワーキング接続です。共有サービスVPCとクラスターVPCで分離できますが、共有サービス内にアクセスできれば、クラスターVPCにもアクセスできてしまします。
B：Redshiftでは、グループとユーザによりアクセス制御できます。しかし、ネットワークを制御したいので、意図からは外れています。
C：セキュリティグループは、インスタンス単位でのアドレスやポートなどネットワークアクセスを制御できます。
D：VPNの話なので、これも違います。

設問10

答え：C

「C. アプリケーション層と NAT ゲートウェイをパブリックサブネット内に配置し、データベースクラスターをプライベートサブネット内に配置する」が正解です。

「インターネットからデータベースにアクセスできないようにする」とあるので、データベースはプライベートに配置します。また、「クラスターはインターネットからSW更新プログラムを取得できる」とあるので、パブリックに置いたNATゲートウェイを介してインターネットに出れます。両方の記述があるのは、Cだけとなります。