SAA練習問題① 1 / 30 ある企業はAWS上にアプリケーションを構築しています。Amazon S3にファイルがアップロードされた際に、AWS Lambda関数を呼び出し、特定の処理をすることを検討しています。Lambda関数がAmazon S3に対して、アクセスする適切な方法を選択してください。 AWS Lambda関数の環境変数にAmazon S3のアクセスキーを設定する Lambda関数のIAMロールにAmazon S3へのアクセス権限を付与する Lambda関数のコード内にS3へのアクセス許可をハードコードする Amazon S3バケットのバケットポリシーにLambda関数のARNを追加する 【正解】 「Amazon S3バケットのイベント通知設定を利用してLambda関数をトリガーする」は正解です。S3バケットにイベント通知を設定することで、ファイルがアップロードされた際に指定したLambda関数が自動的に実行されるように設定できます。 《参考》Lambda 関数に Amazon S3 バケットへのアクセスを許可する方法を教えてください。 【不正解選択肢の説明】 「Amazon S3バケットに対してVPCエンドポイントを作成する」は不正解です。VPCエンドポイントはS3バケットに対するプライベート接続を確立するためのもので、Lambdaのトリガーとは関係ありません。 「AWS CloudTrailを使用して、S3バケットへのアクセスをモニタリングする」は不正解です。CloudTrailは監査やログのためのサービスであり、イベント通知やLambdaのトリガー機能は持っていません。 「Amazon S3のバケットポリシーでLambda関数のARNを指定する」は不正解です。バケットポリシーはアクセス制御のためのものであり、Lambda関数をトリガーする設定には使用されません。 2 / 30 あなたはAWSの管理者であり、AWS CloudTrailを利用して、APIコール、ユーザーのイベント管理等を行っております。CloudTrailのログが改ざんされないようにする必要があります。どの機能を使用すべきでしょうか。 CloudTrailログの保存先としてAmazon S3を使用する CloudTrailログをAWS Lambdaでファイルが改ざんされないようにコードを作成する CloudTrailのログファイルの検証を有効にする CloudTrailログをマネージドサービスであるAmazon RDSに保存する 【正解】「CloudTrailのログファイルの検証を有効にする」は正解です。CloudTrailのログファイル検証を有効にすると、CloudTrailは各ログファイルにデジタル署名を追加します。この署名を使用して、ログファイルが改ざんされていないことを検証することができます。《参考》CloudTrail ログファイルの整合性の検証 【不正解選択肢の説明】「CloudTrailログをAWS Lambdaでファイルが改ざんされないようにコードを作成する」は不正解です。Lambdaでコードを作成しても、ログファイル自体の改ざん防止には直接関与しません。「CloudTrailログをマネージドサービスであるAmazon RDSに保存する」は不正解です。Amazon RDSはデータベースサービスであり、ログの保存や改ざん防止のための機能は提供していません。ログの整合性を確保するためには、CloudTrailのログファイル検証機能を使用する必要があります。「CloudTrailログの保存先としてAmazon S3を使用する」は不正解です。CloudTrailログをAmazon S3に保存することは一般的ですが、保存するだけではログの改ざんを防止できません。保存されたログの改ざん防止には、CloudTrailのログファイル検証機能を有効にする必要があります。 3 / 30 ある企業はAWSのAmazon Elastic Container Registry (Amazon ECR) にコンテナイメージを保存しています。コンテナイメージは潜在的な脆弱性を特定し、必要に応じて修正を行う必要があります。脆弱性診断を行うことができるAWSサービスを選択してください。 Amazon GuardDuty Amazon Inspector AWS WAF AWS Security Hub 【正解】「Amazon Inspector」は、Amazon ECRのコンテナイメージに対する脆弱性診断を行うことができます。Amazon Inspectorは、コンテナイメージのセキュリティ評価を実行し、脆弱性を検出して修正提案を行うサービスです。 【不正解選択肢の説明】「Amazon GuardDuty」は、AWS環境内の脅威検出を行うサービスであり、コンテナイメージの脆弱性診断には使用しません。「AWS Security Hub」は、AWSのセキュリティサービスやパートナーソリューションからのセキュリティアラートを統合するためのサービスですが、脆弱性診断自体は行いません。「AWS WAF」は、ウェブアプリケーションファイアウォールとしての役割を持ち、ウェブアプリケーションを保護するために使用されますが、コンテナイメージの脆弱性診断には適していません。 4 / 30 ある企業ではAWS上にアプリケーションを構築しており、データベースにはAmazon RDS for PostgreSQLを使用していますが、暗号化されていません。既存のデータベースおよび今後、新規に保存されるデータについては暗号化する必要があります。この要件を満たし、暗号化する方法を選択してください。 Amazon S3にバックアップを保存時、SSE-KMSを使用して暗号化する。 RDSの保存時の暗号化を有効にする。 AWS Backupを用いて暗号化を行う。 RDSインスタンスのスナップショットを作成し、暗号化のコピーを作成する。RDSの暗号化を有効にして、暗号化されたスナップショットから RDS インスタンスを復元する。 【正解】「RDSインスタンスのスナップショットを作成し、暗号化のコピーを作成する。RDSの暗号化を有効にして、暗号化されたスナップショットから RDS インスタンスを復元する。」は、既存のRDSインスタンスが暗号化されていない場合、直接暗号化を有効にすることはできません。まずスナップショットを作成し、そのスナップショットの暗号化されたコピーを作成します。その後、暗号化されたスナップショットから新しい暗号化されたRDSインスタンスを復元することで、既存のデータと新規データを暗号化できます。《参考》Amazon RDS の暗号化された DB インスタンスの制限事項 【不正解選択肢の説明】「RDSの保存時の暗号化を有効にする。」は、既存のRDSインスタンスに対して保存時の暗号化を後から有効にすることはできません。このオプションは、新規に作成するRDSインスタンスには適用できますが、既存データの暗号化には対応していません。「AWS Backupを用いて暗号化を行う。」は、AWS Backupはバックアップの暗号化をサポートしていますが、RDSインスタンスそのものを暗号化するための方法としては適切ではありません。「Amazon S3にバックアップを保存時、SSE-KMSを使用して暗号化する。」は、Amazon S3を使った暗号化は、バックアップデータをS3に保存する際の暗号化を指しますが、RDSインスタンス自体を暗号化する方法ではありません。 5 / 30 あなたはAWSの管理者であり、API Gatewayを使用して提供しているAPIのパフォーマンスを向上させる必要があります。APIのリクエストが頻繁に発生し、同じデータを繰り返し返すケースが多いため、レスポンス時間を短縮し、バックエンドの負荷を軽減したいと考えています。この要件を満たすためにどの設定を行うべきでしょうか。 API Gateway のロギングを有効にします。 API Gatewayのレート制限を設定します。 API Gatewayのキャッシュを有効にします。 API Gatewayのステージ変数を使用します。 【正解】 「API Gatewayのキャッシュを有効にします。」は正解です。API Gatewayのキャッシュを有効にすることで、エンドポイントからのレスポンスをキャッシュし、同じリクエストに対するレスポンス時間を短縮することができます。これにより、APIのパフォーマンスが向上します。 【不正解選択肢の説明】 「API Gatewayのレート制限を設定します。」は不正解です。レート制限はAPIの使用を制御し、サービスの過負荷を防ぐための設定ですが、パフォーマンス向上には直接関与しません。 「API Gateway のステージ変数を使用します。」は不正解です。ステージ変数は、API Gatewayのデプロイステージに関連する変数を設定するためのものですが、パフォーマンス向上には直接関与しません。 「API Gateway のロギングを有効にします。」は不正解です。ロギングはAPI呼び出しの詳細を記録するための機能であり、パフォーマンス向上には直接関与しません。 6 / 30 ある企業はAWSのAmazon EC2上にアプリケーションをホストしています。複数のアベイラビリティゾーンにEC2を配置するために、Application Laod Balancer、Auto Scaling グループを使用しています。ユーザー数が増加しており、大量にEC2インスタンスをホストしたところ、一定の数量からインスタンスがホストできなくなりました。原因を調査したところ、「EC2クオータを超過しました」と表示されていました。問題を解決する方法を選択してください。 Amazon EC2のインスタンスタイプを変更する Auto Scaling グループを増やす Service Quotas コンソールからEC2の引き上げのリクエストを行う Application Load BalancerをNetwork Load Balancerに切り替えることでホストできるインスタンス数を増やす 【正解】「Service Quotas コンソールからEC2の引き上げのリクエストを行う」は、EC2のクオータ(サービス制限)を超過した場合、AWSアカウントで使用できるインスタンスの上限に達していることを意味します。Service Quotasコンソールからクオータの引き上げリクエストを行うことで、この制限を緩和し、より多くのインスタンスをホストできるようになります。《参考》Amazon EC2 の Service Quotas 【不正解選択肢の説明】「Application Load BalancerをNetwork Load Balancerに切り替えることでホストできるインスタンス数を増やす」は、Load Balancerの種類を変更しても、EC2インスタンスのクオータに影響しません。これはロードバランシングの方法を変更するものであり、EC2のインスタンス数制限の問題を解決するものではありません。「Auto Scaling グループを増やす」は、EC2インスタンスのクオータ制限を回避することはできません。クオータを超過している限り、追加のインスタンスを起動することはできません。「Amazon EC2のインスタンスタイプを変更する」は、一部のリソース要件を調整できるかもしれませんが、クオータ超過の問題を根本的に解決するものではありません。クオータの引き上げリクエストを行う必要があります。 7 / 30 Amazon Route 53において、ユーザーのリクエストを最も早くレスポンスができるようにルーティングするために使用されるポリシーはどれですか。 レイテンシールーティングポリシー 複数値回答ルーティングポリシー シンプルルーティングポリシー 加重ルーティングポリシー 【正解】「レイテンシールーティングポリシー」は、ユーザーのリクエストに対して最も低いレイテンシーを提供するリソースにトラフィックをルーティングするためのポリシーです。このポリシーを使用することで、ユーザーが最も近いリージョンからコンテンツを受け取ることができ、全体的な応答時間が短縮されます。 【不正解選択肢の説明】「加重ルーティングポリシー」は、各リソースに対するトラフィックの割合を指定できるポリシーであり、レイテンシーを基にトラフィックをルーティングするものではないため、不正解です。「シンプルルーティングポリシー」は、単一のリソースへのトラフィックをルーティングするための基本的なポリシーであり、レイテンシーを基にトラフィックをルーティングするものではないため、不正解です。「複数値回答ルーティングポリシー」は、複数のリソースに対してランダムにトラフィックを分散するポリシーであり、レイテンシーを基にトラフィックをルーティングするものではないため、不正解です。 8 / 30 ある会社はAWSクラウドを利用してハイブリッドアーキテクチャをホストしています。AWSクラウドとオンプレミス環境のネットワークは、AWS Direct Connect (DX)で接続されており、優れた耐障害性が要求されます。この要件を満たすソリューションを選択してください。 Direct Connectの代わりにAWS sito-to-site VPNを使用する Direct Connect接続上にVPNを構成する ゲートウェイにTransitGatewayを使用する 複数のDirect ConnectロケーションでDirect Connect接続を行う 【正解】 「複数のDirect ConnectロケーションでDirect Connect接続を行う」は正解です。複数のDirect Connectロケーションで接続を設定することで、冗長性が確保され、ネットワークの耐障害性と可用性が向上します。これにより、1つのDirect Connectロケーションに障害が発生しても、他のロケーションを通じて接続が維持されます。日本にも複数のDirect Connectロケーション(Equinix等)があります。 《参考》AWS Direct Connect ロケーション 【不正解選択肢の説明】 「Direct Connect接続上にVPNを構成する」は不正解です。VPNを構成することでセキュリティは強化されますが、耐障害性の観点ではDirect Connectの冗長性を確保するための方法としては最適ではありません。 「Direct Connectの代わりにAWS Site-to-Site VPNを使用する」は不正解です。Site-to-Site VPNは耐障害性を提供できますが、Direct Connectの代替としてはパフォーマンスや安定性が劣るため、このケースでは推奨されません。 「ゲートウェイにTransit Gatewayを使用する」は不正解です。Transit Gatewayはネットワークを統合管理するためのものであり、Direct Connectの耐障害性を直接向上させるものではありません。 9 / 30 ある企業はネットワークロードバランサーの背後にある 2 つの Amazon EC2インスタンス上にアプリケーションをホストしています。2 つの EC2 インスタンスは 1 つのアベイラビリティーゾーンにあり可用性の問題を指摘されました。可用性を向上させる方法を検討してください。 Auto Scaling グループを使用して、EC2 インスタンスを複数のアベイラビリティーゾーンにまたがるように設定する。Auto Scaling グループをネットワークロードバランサーのターゲットとして指定する。 ネットワークロードバランサーをゲートウェイロードバランサーに変更する。 Auto Scaling グループを使用して、EC2 インスタンスを複数のリージョンにまたがるように設定する。Auto Scaling グループをネットワークロードバランサーのターゲットとして指定する。 ネットワークロードバランサーをアプリケーションロードバランサーに変更する。 【正解】「Auto Scaling グループを使用して、EC2 インスタンスを複数のアベイラビリティーゾーンにまたがるように設定する。Auto Scaling グループをネットワークロードバランサーのターゲットとして指定する。」は、複数のアベイラビリティーゾーンにまたがってリソースを分散することで、可用性を向上させ、障害の影響を最小限に抑えます。 【不正解選択肢の説明】「Auto Scaling グループを使用して、EC2 インスタンスを複数のリージョンにまたがるように設定する。Auto Scaling グループをネットワークロードバランサーのターゲットとして指定する。」は、複数のリージョンにまたがる構成は複雑で高コストになります。「ネットワークロードバランサーをアプリケーションロードバランサーに変更する。」は、ロードバランサーの種類の変更のみでは可用性の向上につながりません。「ネットワークロードバランサーをゲートウェイロードバランサーに変更する。」は、ゲートウェイロードバランサーは異なる用途向けで、可用性の向上には寄与しません。 10 / 30 ある企業はECサイトをAmazon EC2上にホストしています。ユーザーに関するログを取得しており、ファイルのサイズは数十GBです。ログファイルをAmazon S3にアップロードしようとすると、ネットワークに障害が発生し、アップロードができないことがあります。ソリューションアーキテクトとしてこの問題を解決する方法を選択してください。 Amazon EC2上に保管する。 ログファイルを分割してアップロードする。 S3 Transfer Accelerationを使用する。 Amazon S3へのマルチパートアップロードを使用する。 【正解】「Amazon S3へのマルチパートアップロードを使用する。」は、大容量ファイルのアップロードを小さなパートに分割して並列でアップロードする方法です。これにより、ネットワークの障害が発生しても中断されたパートのみを再送信すれば済み、アップロードの信頼性が向上します。 【不正解選択肢の説明】「S3 Transfer Accelerationを使用する。」は、グローバルアクセラレーションエンドポイントを提供し、アップロード速度を改善しますが、ネットワーク障害の対策には直接関与しません。「ログファイルを分割してアップロードする。」は、手動で行うと管理が煩雑で信頼性が低くなります。「Amazon EC2上に保管する。」は、コストが高く、データの持続性と耐久性がAmazon S3ほど優れていません。 11 / 30 ある企業はAWS上にウェブアプリケーションを構築する予定です。大規模なバッチ処理があり、バッチ処理のためにインフラストラクチャや管理の作業は最低限にすることを要望としています。これらの要件を満たすソリューションを選択してください。 Amazon S3 AWS Lambda AWS Batch Amazon EC2 【正解】「AWS Batch」は、大規模なバッチ処理ジョブを効率的に実行するために設計されたフルマネージドサービスです。インフラストラクチャのプロビジョニングや管理を自動化し、ジョブのスケジューリング、キューイング、依存関係の管理を行います。そのため、インフラストラクチャや管理の作業を最小限に抑えつつ、バッチ処理を効率的に行うことができます。 【不正解選択肢の説明】「AWS Lambda」は、イベント駆動型のサーバーレスコンピューティングサービスであり、短時間のタスク実行には適していますが、大規模なバッチ処理には向いていません。「Amazon EC2」は、仮想サーバーを提供するサービスであり、バッチ処理を実行するためのインフラストラクチャを自分で管理する必要があります。インフラストラクチャの管理作業を最小限にする要件に合致しません。「Amazon S3」は、オブジェクトストレージサービスであり、バッチ処理を実行するためのコンピューティングリソースを提供するものではありません。 12 / 30 ある旅行会社のウェブサイトはセールを行うと、ユーザーから毎秒1万件程度のリクエストを受けます。パーソナライズした画面を提供できるように、複数のアプリケーションを使用し、ナビゲーションパターンを分析することを検討しています。ユーザーのクリックストリームデータをリアルタイムで収集、処理を行い、ビジネス成果の促進につなげることができるサービスを選択してください。 Amazon Simple Queue Service (Amazon SQS) 標準キュー Amazon EventBridge Amazon Simple Queue Service (Amazon SQS) FIFO キュー Amazon Kinesis Data Streams 【正解】 「Amazon Kinesis Data Streams」は正解です。Kinesis Data Streamsはリアルタイムで大量のデータを取り込み、処理することに最適なサービスです。毎秒1万件のリクエストを処理し、クリックストリームデータをリアルタイムに収集して複数のアプリケーションで分析を行う要件に適しています。 《参考》Amazon Kinesis Data Streams – ユースケース 【不正解選択肢の説明】 「Amazon Simple Queue Service (Amazon SQS) 標準キュー」は、メッセージングサービスとしては適しているが、リアルタイムストリーミングの性能が不足します。 「Amazon Simple Queue Service (Amazon SQS) FIFO キュー」は、順序保証と重複排除が求められるシナリオに適していますが、高スループットには適していません。 「Amazon EventBridge」は、イベント駆動アーキテクチャ向けであり、リアルタイムストリーミングの要求には対応しません。 13 / 30 あるグローバル企業ではAWS上にアプリケーションを構築しており、各国のデータを瞬時に共有する必要があります。入力されたデータは別のリージョンからミリ秒単位で確認できる必要があります。この要件を満たすAWSのデータベースソリューションを選択してください。 Amazon DynamoDB グローバルテーブル Amazon RDSのクロスリージョンリードレプリカ Amazon ElastiCache Amazon CloudFront 【正解】「Amazon DynamoDB グローバルテーブル」Amazon DynamoDB グローバルテーブルは、複数のリージョンにわたってデータを自動的にレプリケートし、各リージョンのユーザーがミリ秒単位でデータにアクセスできるようにします。これにより、グローバルに分散されたデータを瞬時に共有する要件を満たします。 【不正解選択肢の説明】「Amazon ElastiCache」Amazon ElastiCacheはインメモリキャッシュサービスで、キャッシュの高速アクセスを提供しますが、データベースのグローバルレプリケーションには適していません。「Amazon RDSのクロスリージョンリードレプリカ」Amazon RDSのクロスリージョンリードレプリカは、複数のリージョンにリードレプリカを配置する方法ですが、DynamoDBのグローバルテーブルほどの即時性とスケーラビリティを提供しません。「Amazon CloudFront」Amazon CloudFrontは、コンテンツ配信ネットワーク(CDN)で、静的コンテンツの配信に最適ですが、データベースの即時共有には適していません。 14 / 30 あるグローバル企業では、AWS上にグローバルに分散されたアプリケーションを構築することを検討しています。データベースソリューションの設計が必要であり、MySQLで複数のAWSリージョンにまたがり配置さ、各国の事業所からの読取りが低レイテンシーなことが要求されています。これらの要件を満たすAWSサービスを選択してください。 Amazon Kinesis Amazon Redshift Amazon DynamoDB グローバルテーブル Amazon Aurora グローバルデータベース 【正解】 「Amazon Aurora グローバルデータベース」は、MySQL互換のデータベースエンジンであり、複数のAWSリージョンにまたがってデータを配置できます。グローバルに分散された事業所からの低レイテンシーな読取りを実現するための最適なソリューションです。 【不正解選択肢の説明】 「Amazon DynamoDB グローバルテーブル」は、NoSQLデータベースサービスであり、グローバルテーブルはマルチリージョンに対応していますが、MySQL互換ではありません。 「Amazon Redshift」は、データウェアハウスサービスであり、分析用に設計されています。トランザクション処理や低レイテンシーな読取り要求には適していません。 「Amazon Kinesis」は、リアルタイムデータストリーミングサービスであり、データベースソリューションとしては適していません。 15 / 30 ある企業はAWS上にアプリケーションを構築しています。アプリケーションは、キーバリュー型のメッセージを保存します。データの読み込みは、マイクロ秒のレイテンシーでメッセージを配信する必要があります。この要件を満たすデータベースソリューションを選択してください。 Amazon RDS Amazon Aurora と Amazon ElastiCache for Memcached Amazon Aurora と Amazon ElastiCache for Redis Amazon DynamoDB アクセラレーター (DAX) 【正解】「Amazon DynamoDB アクセラレーター (DAX)」は、DynamoDBに対してインメモリキャッシュを提供し、マイクロ秒のレイテンシーでデータを配信するため、キー・バリュー型データの高速な読み込みが求められるアプリケーションに最適なソリューションです。DAXを使用することで、データの読み取り性能を大幅に向上させることができます。 【不正解選択肢の説明】「Amazon RDS」はリレーショナルデータベースであり、高速の読み込み性能はありますが、マイクロ秒のレイテンシーには達しません。「Amazon Aurora と Amazon ElastiCache for Memcached」は、キャッシュを使用してパフォーマンスを向上させることができますが、依然としてAuroraの読み取りレイテンシーに依存し、マイクロ秒のレイテンシーを保証するものではありません。「Amazon Aurora と Amazon ElastiCache for Redis」も同様に、キャッシュを使用してパフォーマンスを向上させますが、Auroraの読み取りレイテンシーに依存し、マイクロ秒のレイテンシーを保証するものではありません。 16 / 30 ある企業はAWS上にアプリケーションを構築しています。Amazon EC2をAuto Scalingさせ、使用量が多い時には最大数十のインスタンスが稼働します。インスタンスはストレージに書き込み、読み込みを行う必要があります。この要件を満たす最適なストレージを選択してください。 Amazon S3 Amazon Elastic Block Store(Amazon EBS)ボリューム Amazon RDS Amazon Elastic File System(Amazon EFS) 【正解】「Amazon Elastic File System(Amazon EFS)」Amazon EFSは複数のEC2インスタンスから同時にアクセス可能な共有ファイルシステムを提供します。自動的にスケーリングし、高い可用性と耐久性を持つため、Auto Scaling環境に適しています。Amazon Elastic File System とは 【不正解選択肢の説明】Amazon S3はオブジェクトストレージであり、ファイルシステムのような使い方には向いていません。特に高頻度の読み書きを行う場合は、レイテンシーが課題となります。「Amazon Elastic Block Store(Amazon EBS)ボリューム」Amazon EBSのマルチアタッチ機能は特定のユースケースには有効ですが、同時にアクセスするEC2インスタンスが多い場合やファイルシステムが必要な場合にはEFSの方が適しています。特にAuto Scalingで多数のインスタンスが動的に増減する環境ではEFSがより柔軟です。「Amazon RDS」Amazon RDSはリレーショナルデータベースサービスであり、データベースとしての用途には優れていますが、ファイルストレージとしての使用には適していません。 17 / 30 ある企業はCost ExplorerでAWSの先月のコストを確認したところ、Amazon EBSの料金が想定以上でした。Amazon EBSのコストの大半は、プロビジョンド IOPS SSDボリュームタイプでした。アプリケーションのダウンタイムを発生させず、Amazon EBSの使用状況を確認し、コスト削減を行う方法を選択してください。(2つ選択) Amazon EC2のModifyVolumeアクションを用いて、必要に応じてボリュームタイプを変更する。 AWS Trusted Advisorを使用して、EBSボリュームの最適化に関する推奨事項を確認する。 AWS Lambdaを使用して、定期的にEBSボリュームをスナップショットからリストアしてコストを削減する。 AWS CloudTrailを使用して、EBSボリュームのメトリクスを監視し、各ボリュームの読み込み/書き込みと、読み込み/書き込みバイト数を確認する。 Amazon CloudWatchを使用して、EBSボリュームのメトリクスを監視し、各ボリュームのI/O操作とデータ転送量を確認する。 確認 【正解】 「Amazon CloudWatchを使用して、EBSボリュームのメトリクスを監視し、各ボリュームのI/O操作とデータ転送量を確認する。」は正解です。CloudWatchを利用することで、EBSボリュームの使用状況をリアルタイムで監視し、リソースの最適化に必要なデータを収集できます。これにより、どのボリュームが最適化の対象となるかを判断できます。 「Amazon EC2のModifyVolumeアクションを用いて、必要に応じてボリュームタイプを変更する。」は正解です。プロビジョンド IOPS SSDボリュームから、要件を満たす他のコスト効率の高いボリュームタイプ(例えば、汎用SSD (gp3) など)に変更することで、コストを削減できます。変更はダウンタイムなしで実行可能です。 《参考》Amazon EBS ボリュームパフォーマンス 【不正解選択肢の説明】 「AWS Trusted Advisorを使用して、EBSボリュームの最適化に関する推奨事項を確認する。」は不正解です。Trusted Advisorは一般的な推奨事項を提供しますが、CloudWatchのように具体的な使用状況の詳細なモニタリングやボリュームタイプの変更をサポートしているわけではありません。 「AWS CloudTrailを使用して、EBSボリュームのメトリクスを監視し、各ボリュームの読み込み/書き込みと、読み込み/書き込みバイト数を確認する。」は不正解です。CloudTrailはAPIコールの監視に使用され、メトリクスの監視には適していません。 「AWS Lambdaを使用して、定期的にEBSボリュームをスナップショットからリストアしてコストを削減する。」は不正解です。スナップショットからのリストアはコスト削減に直接貢献する手段ではなく、運用の複雑さを増すだけです。 18 / 30 ある企業では、複数のリージョンでAWSインフラストラクチャを構築しています。複数のAWSリージョンにわたりAmazon RDS for MySQL データベースの認証情報をローテーションする必要があります。どのソリューションが、運用オーバーヘッドを最小限に抑えながらこれらの要件を満たすでしょうか。 認証情報を AWS Secrets Manager にシークレットとして保存します。必要なリージョンに対してマルチリージョンレプリケーションを使用し、シークレットをローテーションするように Secrets Manager を設定します。 各リージョンにおいて個別に認証情報を環境変数として保存し、手動でローテーションする。 安全な文字列パラメータを作成して、認証情報をAWS Systems Managerに保存します。必要なリージョンに対してマルチリージョンレプリケーションを使用します。シークレットをローテーションするように Systems Manager を設定します。 AWS Key Management Service (AWS KMS) のマルチリージョンカスタマー管理キーを使用して、認証情報をシークレットとして暗号化します。シークレットをローテーションするようにAWS KMSを設定します。 【正解】「認証情報を AWS Secrets Manager にシークレットとして保存します。必要なリージョンに対してマルチリージョンレプリケーションを使用し、シークレットをローテーションするように Secrets Manager を設定します。」は、運用オーバーヘッドを最小限に抑えながら複数のリージョンで認証情報を安全に管理し、自動ローテーションを提供するための最も効果的な方法です。Secrets Manager は、シークレットの管理と自動ローテーションを一元化し、リージョン間のレプリケーションを容易にします。《参考》AWS Secrets Manager シークレットのローテーション 【不正解選択肢の説明】「安全な文字列パラメータを作成して、認証情報をAWS Systems Managerに保存します。必要なリージョンに対してマルチリージョンレプリケーションを使用します。シークレットをローテーションするように Systems Manager を設定します。」は、Secrets Managerほど強力な自動ローテーション機能を提供しないため、不正解です。「AWS Key Management Service (AWS KMS) のマルチリージョンカスタマー管理キーを使用して、認証情報をシークレットとして暗号化します。シークレットをローテーションするようにAWS KMSを設定します。」は、KMSは暗号化キーの管理に特化しており、認証情報のローテーション管理には適していないため、不正解です。「各リージョンにおいて個別に認証情報を環境変数として保存し、手動でローテーションする。」は、安全性が低く、運用オーバーヘッドが高くなるため、不正解です。 19 / 30 ある企業はAWS上にアプリケーションを構築する予定です。コンプライアンス要件では、同社が使用できるのはus-east-1のみです。運用オーバーヘッドを最小限に抑えてこれらの要件を満たすソリューションを選択してください。 AWS Trusted Advisorを使用して、us-east-1を除くすべてのAWSリージョンへのアクセスを拒否する。 AWS OrganizationsのSCPを使用して、us-east-1を除くすべてのAWSリージョンへのアクセスを拒否する。 AWS WAFを使用して、us-east-1を除くすべてのAWSリージョンへのアクセスを拒否する。 AWS Configを使用して、us-east-1を除くすべてのAWSリージョンへのアクセスを拒否する。 【正解】「AWS OrganizationsのSCPを使用して、us-east-1を除くすべてのAWSリージョンへのアクセスを拒否する。」は、サービス制御ポリシー(SCP)を使用することで、特定のリージョンへのアクセスを制限できます。SCPを使うことで、組織全体でのポリシー管理が容易になり、運用オーバーヘッドを最小限に抑えながらコンプライアンス要件を満たすことができます。《参考》リクエスト AWS された に基づいて へのアクセスを拒否する AWS リージョン 【不正解選択肢の説明】「AWS Configを使用して、us-east-1を除くすべてのAWSリージョンへのアクセスを拒否する。」は、Configはリソースのコンプライアンス監視に適していますが、直接的なアクセス制御機能は提供しないため不正解です。「AWS Trusted Advisorを使用して、us-east-1を除くすべてのAWSリージョンへのアクセスを拒否する。」は、Trusted Advisorはベストプラクティスに基づいたアドバイスを提供しますが、リージョンアクセスの制限には適していません。「AWS WAFを使用して、us-east-1を除くすべてのAWSリージョンへのアクセスを拒否する。」は、WAFはウェブアプリケーションのセキュリティに使用されるため、リージョンアクセスの制限には適していません。 20 / 30 ある企業がAWS上のAmazon EC2上にアプリケーションをホストしています。データベースにはAmazon RDSを使用しています。監査を行ったところ、アプリケーションにデータベース認証情報をハードコードしていました。今後は定期的にデータベース認証情報を自動的にローテーションするソリューションを実装する必要があります。この要件を満たすソリューションを選択してください。 AWS Secrets Managerを使用してデータベース認証情報を管理し、自動的にローテーションする。 EC2インスタンスのユーザーデータスクリプトを更新して認証情報を定期的に変更する。 Amazon RDS にマニュアルで新しい認証情報を定期的に変更する。 AWS Systems Manager Parameter Storeを使用してデータベース認証情報を管理し、自動的にローテーションする。 【正解】「AWS Secrets Managerを使用してデータベース認証情報を管理し、自動的にローテーションする。」は正解です。AWS Secrets Managerは、データベースの認証情報を安全に保存し、自動ローテーション機能を提供します。これにより、セキュリティを強化し、手動で認証情報を更新する手間を省くことができます。《参考》AWS Secrets Manager シークレットのローテーション 【不正解選択肢の説明】「AWS Systems Manager Parameter Storeを使用してデータベース認証情報を管理し、自動的にローテーションする。」は不正解です。Parameter Storeは機密情報の保存には適していますが、自動ローテーション機能がありません。「Amazon RDS にマニュアルで新しい認証情報を定期的に変更する。」は不正解です。手動での変更は運用負荷が高く、エラーのリスクも増加します。「EC2インスタンスのユーザーデータスクリプトを更新して認証情報を定期的に変更する。」は不正解です。ユーザーデータスクリプトはインスタンス起動時にのみ実行されるため、定期的な認証情報の更新には適していません。また、セキュリティ面でも劣ります。 21 / 30 あなたはAWS上にデプロイするアプリケーションを設計しています。アプリケーションはAWS Lambda関数を使用してAmazon API Gateway 経由で情報を受信し、その情報をAmazon RDSに保存することを検討しています。Amazon RDSにロードする必要があるデータが非常に多く、処理方法を見直す必要があります。スケーラビリティを向上させ、労力を最小限に抑えて、これらの要件を満たすソリューションを選択してください。 2つのLambda関数を設定し、1つの関数は情報を受信するように設定する。もう1つの関数は情報をデータベースにロードするように設定する。Amazon Simple Queue Service (Amazon SQS) キューを使用してLambda関数を統合する。 Amazon Kinesis Data Streamsを使用してデータをストリーム処理し、AWS Lambda関数で処理してAmazon RDSに保存する。 2つのLambda関数を設定し、1つの関数は情報を受信するように設定する。もう1つの関数は情報をデータベースにロードするように設定する。Amazon Simple Notification Service (Amazon SNS) を使用してLambda関数を統合する。 データベースをAmazon RDSからAmazon DynamoDBに変更し、DynamoDB Accelerator (DAX) クラスターをプロビジョニングする。DAX クライアント SDK を使用して、既存の DynamoDB API 呼び出しを DAX クラスターにポイントする。 【正解】「2つのLambda関数を設定し、1つの関数は情報を受信するように設定する。もう1つの関数は情報をデータベースにロードするように設定する。Amazon Simple Queue Service (Amazon SQS) キューを使用してLambda関数を統合する。」は正解です。SQSはメッセージをキューイングし、Lambda関数の呼び出しを分散させることでスケーラビリティを向上させることができます。SQSは高いスループットとスケーラビリティを持ち、大量のデータを処理するためにLambda関数を効果的にスケールアウトできます。《参考》Amazon SQS での Lambda の使用 【不正解選択肢の説明】「2つのLambda関数を設定し、1つの関数は情報を受信するように設定する。もう1つの関数は情報をデータベースにロードするように設定する。Amazon Simple Notification Service (Amazon SNS) を使用してLambda関数を統合する。」は不正解です。SNSは通知メッセージの送信には適していますが、SQSほどメッセージのキューイングやスケーラビリティには向いていません。「データベースをAmazon RDSからAmazon DynamoDBに変更し、DynamoDB Accelerator (DAX) クラスターをプロビジョニングする。DAX クライアント SDK を使用して、既存の DynamoDB API 呼び出しを DAX クラスターにポイントする。」は不正解です。SQLデータベースからNoSQLデータベースへの変更は大規模な作業であり、既存のシステムに対する影響が大きく、設定やデータ移行に多くの労力がかかります。「Amazon Kinesis Data Streamsを使用してデータをストリーム処理し、AWS Lambda関数で処理してAmazon RDSに保存する。」は不正解です。Kinesisはリアルタイムストリーミングデータの処理には優れていますが、Lambdaの同時実行数制限があるため、大量データの効率的な処理には向いていません。また、Kinesisの使用は複雑であり、運用の労力が増える可能性があります。 22 / 30 ある病院では、PDF形式の書類をアップロードするアプリケーションをAWS上にホストしています。レポート内の保護された健康情報 (PHI) を識別する必要があります。運用オーバーヘッドを最小限に抑えながらこれらの要件を満たす方法を選択してください。 Amazon Rekognition を使用してレポートからテキストを抽出する。Amazon Comprehend Medical を使用して、抽出されたテキストから PHI を識別する。 Amazon Textract を使用してレポートからテキストを抽出する。Amazon Comprehend Medical を使用して、抽出されたテキストから PHI を識別する。 Amazon Rekognition を使用してレポートからテキストを抽出する。Amazon Macieを使用して、抽出されたテキストから PHI を識別する。 Amazon Textract を使用してレポートからテキストを抽出する。Amazon SageMaker を使用して、抽出されたテキストから PHI を識別する。 【正解】「Amazon Textract を使用してレポートからテキストを抽出する。Amazon Comprehend Medical を使用して、抽出されたテキストから PHI を識別する。」は正解です。Amazon TextractはPDFや画像からテキストを抽出するためのサービスであり、Amazon Comprehend Medicalは抽出されたテキストからPHIを識別するためのサービスです。これにより、運用オーバーヘッドを最小限に抑えながら、PDFからPHIを効果的に識別できます。《参考》Amazon Comprehend Medical 【不正解選択肢の説明】「Amazon Textract を使用してレポートからテキストを抽出する。Amazon SageMaker を使用して、抽出されたテキストから PHI を識別する。」は不正解です。SageMakerはカスタム機械学習モデルを構築するためのサービスであり、PHI識別には特化していません。また、SageMakerを使用することで運用オーバーヘッドが増加します。「Amazon Rekognition を使用してレポートからテキストを抽出する。Amazon Comprehend Medical を使用して、抽出されたテキストから PHI を識別する。」は不正解です。Rekognitionは主に画像および動画分析に使用され、テキスト抽出には適していません。Textractの方が適切です。「Amazon Rekognition を使用してレポートからテキストを抽出する。Amazon Macieを使用して、抽出されたテキストから PHI を識別する。」は不正解です。Rekognitionはテキスト抽出には適しておらず、Macieはデータ保護とプライバシーに関連する機密情報の識別に使用されますが、PHI識別にはComprehend Medicalの方が適しています。 23 / 30 ある企業では、財務データをAmazon S3 に保存しています。データは12か月間すぐにアクセスできる必要があり、その後さらに6年間保管する必要がありますがほとんどアクセスされず、急ぎでアクセスする必要がありません。ルートユーザーを含め、7年間は記録を削除することはできないようにする必要があります。これらの要件を満たすソリューションを選択してください。(2つ選択) コンプライアンスモードで S3 オブジェクトロックを7年間使用する。 S3ライフサイクルポリシーを使用して、12か月後にレコードをS3標準からS3 Glacier Flexible Retrievalに移行する。 S3ライフサイクルポリシーを使用して、12か月後にレコードをS3標準からS3 Standard-IAに移行する。 S3ライフサイクルポリシーを使用して、12か月後にレコードをS3標準からS3 Glacier Deep Archiveに移行する。 ガバナンスモードで S3オブジェクトロックを7年間使用する。 確認 【正解】「S3ライフサイクルポリシーを使用して、12か月後にレコードをS3標準からS3 Glacier Deep Archiveに移行する。」は正解です。S3 Glacier Deep Archiveは長期間アクセスされないデータの低コスト保存に適しています。「コンプライアンスモードで S3 オブジェクトロックを7年間使用する。」は正解です。コンプライアンスモードでは、ルートユーザーを含む全てのユーザーが指定された保持期間中にデータを削除できません。《参考》ストレージのライフサイクルの管理《参考》S3 オブジェクトロックの使用 【不正解選択肢の説明】「S3ライフサイクルポリシーを使用して、12か月後にレコードをS3標準からS3 Standard-IAに移行する。」は不正解です。S3 Standard-IAは低頻度アクセス用のストレージですが、アクセス頻度が低い場合の最適なコスト効率を提供するわけではありません。「S3ライフサイクルポリシーを使用して、12か月後にレコードをS3標準からS3 Glacier Flexible Retrievalに移行する。」は不正解です。S3 Glacier Flexible Retrievalは長期保管に適していますが、Glacier Deep Archiveの方がコストが低く、要件により適しています。「ガバナンスモードで S3オブジェクトロックを7年間使用する。」は不正解です。ガバナンスモードでは特定のユーザー(例えばルートユーザー)がロックを解除できるため、完全な削除防止にはなりません。 24 / 30 ある企業ではデータをAmazon S3に保管しています。社内の保管要件として、1年間保管し、リポジトリ内のファイルをユーザが変更または削除できないようにし、管理者のみ変更、削除できるようにする必要があります。この要件を満たすソリューションを選択してください。 Amazon S3のコンプライアンスモードのオブジェクトロックを有効にして、ファイルの変更および削除を防止する。 AWS Configを設定し、ファイルの変更および削除を防止する。 Amazon S3のバケットポリシーを設定し、ファイルの変更および削除を防止する。 Amazon S3のガバナンスモードのオブジェクトロックを有効にして、ファイルの変更および削除を防止する。 【正解】 「Amazon S3のガバナンスモードのオブジェクトロックを有効にして、ファイルの変更および削除を防止する。」は正解です。ガバナンスモードのオブジェクトロックは、オブジェクトの削除や変更を防止し、管理者のみがロック解除や変更を行えるようにする機能です。このモードでは、特定のIAMユーザーやロールに管理権限を付与し、その他のユーザーによる不正な変更や削除を防ぎます。 《参考》S3 オブジェクトロックの使用 【不正解選択肢の説明】 「Amazon S3のコンプライアンスモードのオブジェクトロックを有効にして、ファイルの変更および削除を防止する。」は不正解です。コンプライアンスモードは、いかなるユーザーもロック解除ができず、管理者でさえも変更や削除ができないため、要件を超える厳しい制約を課します。 「Amazon S3のバケットポリシーを設定し、ファイルの変更および削除を防止する。」は不正解です。バケットポリシーでは、アクセス制御はできますが、管理者権限を分けて保護するのが難しく、オブジェクトの変更や削除を完全に防ぐことはできません。 「AWS Configを設定し、ファイルの変更および削除を防止する。」は不正解です。AWS Configはリソースの設定変更を監視するサービスであり、ファイルの変更や削除を直接防止する機能はありません。 25 / 30 ある企業はアプリケーションをコンテナで実行することを検討しています。コンテナ化されたワークロードを実行する基盤となるインフラストラクチャのプロビジョニングと管理の責任を負いたくありません。これらの要件を満たすソリューションを選択してください。 Amazon EC2 ワーカーノードでAmazon Elastic Container Service (Amazon ECS) を使用する。 Amazon EC2 インスタンスを使用し、インスタンスに Docker をインストールする。 AWS Fargate で Amazon Elastic Container Service (Amazon ECS) を使用する。 Amazon EC2 ワーカーノードでAmazon Elastic Kubernetes Service (Amazon EKS) を使用する。 【正解】「AWS Fargate で Amazon Elastic Container Service (Amazon ECS) を使用する。」は正解です。Fargateはサーバーレスコンテナサービスであり、インフラストラクチャのプロビジョニングや管理の責任を負う必要がなく、ユーザーはコンテナの実行に専念できます。《参考》AWS Fargate 【不正解選択肢の説明】「Amazon EC2 インスタンスを使用し、インスタンスに Docker をインストールする。」は不正解です。この方法ではインフラストラクチャのプロビジョニングと管理が必要になります。「Amazon EC2 ワーカーノードでAmazon Elastic Container Service (Amazon ECS) を使用する。」は不正解です。EC2インスタンスを使用する場合、インフラストラクチャのプロビジョニングと管理の責任が伴います。「Amazon EC2 ワーカーノードでAmazon Elastic Kubernetes Service (Amazon EKS) を使用する。」は不正解です。EKSを使用する場合も、EC2インスタンスのプロビジョニングと管理が必要になります。 26 / 30 ある企業ではAWS上にアプリケーションを構築することを検討しています。アプリケーションはPythonで、JSONドキュメントを処理し、その結果をデータベースに出力する必要があります。運用オーバーヘッドを最小限に抑えてこれらの要件を満たすソリューションを選択してください。 JSONドキュメントをAmazon EBSに保存し、AWS Lambda 関数で処理を行い、その結果をAmazon Aurora DBクラスターに保存する。 JSONドキュメントをAmazon S3バケットに保存し、AWS Lambda 関数で処理を行い、その結果をAmazon Aurora DBクラスターに保存する。 JSONドキュメントをAmazon S3バケットに保存し、Amazon EC2で処理を行い、その結果をAmazon Aurora DBクラスターに保存する。 JSONドキュメントをAmazon EBSに保存し、Amazon EC2で処理を行い、その結果をAmazon Aurora DBクラスターに保存する。 【正解】「JSONドキュメントをAmazon S3バケットに保存し、AWS Lambda 関数で処理を行い、その結果をAmazon Aurora DBクラスターに保存する。」は、運用オーバーヘッドを最小限に抑えるための最適なソリューションです。S3は高可用性と耐久性を持つストレージサービスで、Lambdaはサーバーレスで自動的にスケーリングするため、管理が不要です。Auroraはフルマネージドのリレーショナルデータベースで、運用の手間が少ないです。《参考》Python による Lambda 関数の構築 【不正解選択肢の説明】「JSONドキュメントをAmazon S3バケットに保存し、Amazon EC2で処理を行い、その結果をAmazon Aurora DBクラスターに保存する。」は不正解です。EC2を使用する場合、サーバー管理やスケーリングの設定が必要で、運用オーバーヘッドが増えます。「JSONドキュメントをAmazon EBSに保存し、AWS Lambda 関数で処理を行い、その結果をAmazon Aurora DBクラスターに保存する。」は不正解です。EBSはブロックストレージであり、Lambdaで直接アクセスすることが難しく、設定が複雑です。「JSONドキュメントをAmazon EBSに保存し、Amazon EC2で処理を行い、その結果をAmazon Aurora DBクラスターに保存する。」は不正解です。EBSとEC2の組み合わせは、管理が複雑で運用オーバーヘッドが大きくなります。 27 / 30 ある企業は、アプリケーションのデータベースとしてAmazon Auroraを利用しています。大規模なレポート作成を実行すると、パフォーマンスが低下すると報告がありました。Amazon CloudWatchでメトリクスを確認した後、レポート作成の実行時にReadIOPSメトリクスが急上昇していることが判明しました。この問題を解決するためにソリューションアーキテクトとして何を対応すべきか選択してください。 Amazon Auroraリードレプリカを追加して、読み取りトラフィックを分散させる。 Amazon RDS Proxy for Auroraを使用する。 データベースインスタンスのサイズを大きくする。 Amazon Aurora Global Databaseを設定する。 【正解】 「Amazon Auroraリードレプリカを追加して、読み取りトラフィックを分散させる。」は正解です。Auroraリードレプリカを追加することで、複数のインスタンスに読み取りトラフィックを分散させることができ、データベースのパフォーマンスを向上させるとともに、スケーラビリティを確保することができます。 《参考》Amazon Aurora でのレプリケーション – Aurora レプリカ 【不正解選択肢の説明】 「データベースインスタンスのサイズを大きくする。」は不正解です。インスタンスのサイズを大きくすると、一時的にパフォーマンスが改善する可能性がありますが、読み取り負荷がさらに増加すると同様の問題が再発する可能性があります。 「Amazon Aurora Global Databaseを設定する。」は不正解です。Global Databaseは複数のリージョンでデータベースを複製する機能ですが、読み取りトラフィックの分散という観点ではリードレプリカがより適切です。 「Amazon RDS Proxy for Auroraを使用する。」は不正解です。Aurora Proxyはコネクション管理を効率化するためのサービスであり、読み取りトラフィックの分散には直接寄与しません。 28 / 30 ある企業はAWS上でWebアプリケーションを運用しています。利用のピーク時には数十万人のユーザーがサービスを利用し、数百万件の金融取引の詳細を他の複数の社内アプリケーションと共有する必要があり、スケーラブルでほぼリアルタイムのソリューションを必要としています。また、データベースに保存する前に、トランザクション内の機密データを削除する必要があります。これらの要件を満たすために、ソリューションを選択してください。 トランザクションをAmazon Kinesis Data Streamsにストリーミングする。AWS Lambda統合を使用して、トランザクションから機密データを削除し、データをAmazon DynamoDBに保存する。Kinesis Data Streamsを利用して他のアプリケーションと連携する。 トランザクションをAmazon S3に保存する。AWS Lambda統合を使用して、トランザクションから機密データを削除し、データをAmazon DynamoDBに保存する。Kinesis Data Streamsを利用して他のアプリケーションと連携する。 トランザクションをAmazon S3に保存する。AWS Lambda統合を使用して、トランザクションから機密データを削除し、データをAmazon DynamoDBに保存する。Kinesis Data Firehoseを利用して他のアプリケーションと連携する。 トランザクションをAmazon Kinesis Data Firehoseにストリーミングする。AWS Lambda統合を使用して、トランザクションから機密データを削除し、データをAmazon DynamoDBに保存する。Kinesis Data Firehoseを利用して他のアプリケーションと連携する。 「トランザクションをAmazon Kinesis Data Streamsにストリーミングする。AWS Lambda統合を使用して、トランザクションから機密データを削除し、データをAmazon DynamoDBに保存する。Kinesis Data Streamsを利用して他のアプリケーションと連携する。」は正解です。Kinesis Data Streamsは、リアルタイムデータ処理に最適で、高スループットを提供します。Lambdaを使用して機密データを削除することで、データの安全性を確保し、DynamoDBに保存することでスケーラブルなデータストレージを実現できます。また、Kinesis Data Streamsを使用することで、複数のコンシューマがデータを並行して処理でき、他のアプリケーションともリアルタイムで効率的に連携できます。 《参考》Amazon Kinesis Data Streams とは 《参考》AWS で構築された Lambda 関数の使用 – 個人を特定できる情報 (PII) を検出 【不正解選択肢の説明】 「トランザクションをAmazon Kinesis Data Firehoseにストリーミングする。AWS Lambda統合を使用して、トランザクションから機密データを削除し、データをAmazon DynamoDBに保存する。Kinesis Data Firehoseを利用して他のアプリケーションと連携する。」は不正解です。Kinesis Data Firehoseはデータの変換やバッチ処理が組み込まれており、リアルタイムでの高スループットと低レイテンシーを求める場合は、より細かい制御が可能なKinesis Data Streamsの方が適しています。 「トランザクションをAmazon S3に保存する。AWS Lambda統合を使用して、トランザクションから機密データを削除し、データをAmazon DynamoDBに保存する。Kinesis Data Streamsを利用して他のアプリケーションと連携する。」は不正解です。S3にデータを保存すると、リアルタイム性が失われ、データ処理がバッチ処理に変わります。Kinesis Data Streamsを利用すればリアルタイムでの処理が可能ですが、S3を介することでその利点が損なわれます。 「トランザクションをAmazon S3に保存する。AWS Lambda統合を使用して、トランザクションから機密データを削除し、データをAmazon DynamoDBに保存する。Kinesis Data Firehoseを利用して他のアプリケーションと連携する。」は不正解です。S3にデータを保存することでリアルタイム性が損なわれます。また、Firehoseはバッチ処理やデータの変換が含まれるため、リアルタイム処理にはStreamsほど適していません。 29 / 30 ある企業では、Amazon S3バケットを使用する動画共有アプリケーションを開発しています。動画をAmazon S3からではなく、Amazon CloudFrontディストリビューションを通じて提供し、S3 URLへの直接ナアクセスできないようにすることを検討しています。これらの要件を満たすソリューションを選択してください。 Amazon CloudFrontのGeo Restriction機能を使用して、特定の地域からのアクセスを制限する。 Amazon CloudFrontのオリジンアクセスコントロール(OAC)を使用してS3バケットへのアクセスを制限する。 Amazon S3バケットのバケットポリシーを設定して、パブリックアクセスをブロックする。 Amazon CloudFrontのField-Level Encryptionを使用して、S3バケットへのアクセスを制限する。 【正解】「Amazon CloudFrontのオリジンアクセスコントロール(OAC)を使用してS3バケットへのアクセスを制限する。」は、CloudFrontディストリビューションを通じてコンテンツを配信し、S3バケットへの直接アクセスを防止するための標準的な方法です。OACを使用することで、CloudFront経由でのみS3バケットへのアクセスを許可し、直接のS3 URLへのアクセスを防ぐことができます。《参考》Amazon CloudFront オリジンアクセスコントロール(OAC)のご紹介 【不正解選択肢の説明】「Amazon CloudFrontのGeo Restriction機能を使用して、特定の地域からのアクセスを制限する。」は、地域制限のための機能であり、S3バケットへの直接アクセスを防ぐ目的には適していないため、不正解です。「Amazon S3バケットのバケットポリシーを設定して、パブリックアクセスをブロックする。」は、パブリックアクセスを防ぐことはできますが、CloudFrontディストリビューションを通じた配信に必要な設定が含まれていないため、不正解です。「Amazon CloudFrontのField-Level Encryptionを使用して、S3バケットへのアクセスを制限する。」は、データの暗号化に関する機能であり、S3バケットへの直接アクセスを防ぐための設定ではないため、不正解です。 30 / 30 ある企業は、数十台のWeb サイトとアプリケーションをAWS上にホストしています。この企業では、毎日、数TB のクリックストリームデータを分析することを検討しています。この要件を満たすソリューションを選択してください。 AWS Data PipelineでAmazon S3バケットにデータを保存する。そのデータを使用して Amazon EMR クラスターを実行して分析する。 Amazon Kinesis Data Firehoseからデータを収集し、データを Amazon S3 データレイクに送信する。 Amazon Redshift にデータをロードし、分析する。 Amazon Kinesis Data Streamsからデータを収集し、AWS Lambda関数でデータをAmazon S3 データレイクに送信する。分析のために Amazon Redshift にデータをロードし、分析する。 Amazon Kinesis Data Streamsからデータを収集し、Amazon Kinesis Data Firehose を使用して、データを Amazon S3 データレイクに送信する。 Amazon Redshift にデータをロードし、分析する。 【正解】 「Amazon Kinesis Data Streamsでデータを収集して、直接、Amazon Redshiftにデータをロードし、分析する。」は正解です。最新の機能により、Kinesis Data Streamsから直接Amazon Redshiftにデータを取り込むことができ、リアルタイムデータの分析が可能になりました。 《参考》Amazon Redshift ストリーミング取り込みによるリアルタイム分析 【不正解選択肢の説明】 「Amazon Kinesis Data Streamsでデータを収集して、Amazon S3でデータを保存し、Amazon Redshiftにデータをロードし、分析する。」は不正解です。この方法は機能しますが、ストリーミング取り込み機能を使用すれば、S3を介さずに直接データを取り込むことが可能になり、より効率的です。 「Amazon Kinesis Data Firehoseでデータを収集して、直接、Amazon Redshiftにデータをロードし、分析する。」は不正解です。Firehoseも有効な選択肢ですが、Kinesis Data Streamsの方がより柔軟で、高度な制御が可能なため、特に大量のクリックストリームデータをリアルタイムで分析する際には優れています。「AWS Data PipelineでAmazon S3バケットにデータを保存して、Amazon EMRクラスターを実行して分析する。」は不正解です。この方法はクリックストリームデータのリアルタイム分析には向いていません。 次のパート