AWS ANS-C01 第1章 練習問題(100問)

AWS ANS-C01(高度なネットワーキング 専門知識)第1章の本番形式の練習問題です。

  1. Q1. ある企業が、DNSレジストラおよびDNSホスティングをAmazon Route 53に移行したいと考えています。同社のウェブサイトは1日に数万回のアクセスを受けており、現在のDNSプロバイダーでは対応できなくなっています。企業はできるだけ迅速に移行したいものの、ダウンタイムを一切許容できません。 これらの要件を満たすソリューションはどれですか?

    • A. ドメイン名をRoute 53に移管します。Route 53のプライベートホステッドゾーンを作成し、既存のすべてのDNSレコードをコピーします。ドメインのネームサーバーを、新しく作成されたプライベートホステッドゾーンで指定されたネームサーバーに更新します。
    • B. 既存のDNSサーバーからすべてのDNSレコードをRoute 53のプライベートホステッドゾーンにコピーします。既存のレジストラのネームサーバーを、プライベートホステッドゾーンのネームサーバーに更新します。ドメイン名をRoute 53に移管します。すべての変更が伝播することを確認します。
    • C. ドメイン名をRoute 53に移管します。Route 53のパブリックホステッドゾーンを作成し、既存のすべてのDNSレコードをコピーします。各レコードのTTL値を1秒に設定します。ドメインのネームサーバーを、新しく作成されたパブリックホステッドゾーンで指定されたネームサーバーに更新します。
    • D. 既存のDNSサーバーからすべてのDNSレコードをRoute 53のパブリックホステッドゾーンにコピーします。既存のレジストラのネームサーバーを、Route 53ホステッドゾーンのネームサーバーに更新します。変更が伝播した後、ドメイン名をRoute 53に移管します。

    この問題を見る →

  2. Q2. ある企業が、Amazon EC2インスタンスのクラスター上でアプリケーションを実行しています。新たな社内規定により、EC2インスタンスへの入力および出力のすべてのネットワークトラフィックを、コンテンツ検査のために集中型のサードパーティEC2アプライアンスに送信する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. 各EC2ネットワークインターフェイスでVPCフローログを有効化し、ポート443におけるREJECTトラフィックをキャプチャします。フローログレコードをAmazon CloudWatch Logsのロググループに送信します。拒否されたトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成し、ネットワークエンジニアに通知するアラームを作成します。
    • B. 各EC2ネットワークインターフェイスでVPCフローログを有効化し、ポート443のすべてのトラフィックをキャプチャします。フローログレコードをAmazon CloudWatch Logsのロググループに送信します。すべてのトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成し、ネットワークエンジニアに通知するアラームを作成します。
    • C. VPC Reachability Analyzerのパスをポート443で作成します。ソースとしてセキュリティグループを指定し、宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックへメッセージを送信するAWS Lambda関数を作成します。セキュリティグループの変更時にLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。
    • D. VPC Reachability Analyzerのパスをポート443で作成します。ソースとしてVPCのインターネットゲートウェイを指定し、宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックへメッセージを送信するAWS Lambda関数を作成します。セキュリティグループの変更時にLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。

    この問題を見る →

  3. Q3. ある企業が、コンテナ化されたアプリケーションをAWSに移行しています。アーキテクチャでは、トラフィックをAmazon Elastic Kubernetes Service(Amazon EKS)クラスター内のフロントエンドポッドに分散するために、Network Load Balancer(NLB)を備えたイングレスVPCを使用します。アプリケーションのフロントエンドは、どのユーザーがアクセスを要求しているかを判断し、10個のサービスVPCのいずれかにトラフィックを送信します。各サービスVPCには、EKSクラスター内のサービスポッドにトラフィックを分散するNLBが含まれます。企業は全体的なコストを懸念しています。ユーザーのトラフィックは、毎月イングレスVPCからサービスVPCへのデータ転送量で10TB以上になります。ネットワークエンジニアは、VPC間の通信設計について推奨を行う必要があります。これらの要件を満たす最も低コストなソリューションはどれですか?

    • A. Transit Gatewayを作成します。各VPCをTransit Gatewayとピアリングします。サービスVPC内のNLBに対してゾーン別DNS名を使用し、イングレスVPCからサービスVPCへのクロスAZトラフィックを最小限に抑えます。
    • B. イングレスVPCの各可用性ゾーンにAWS PrivateLinkエンドポイントを作成します。各PrivateLinkエンドポイントは、サービスVPC内のNLBのゾーン別DNSエントリを指します。
    • C. イングレスVPCと10個のサービスVPCそれぞれの間にVPCピアリング接続を作成します。サービスVPC内のNLBに対してゾーン別DNS名を使用し、イングレスVPCからサービスVPCへのクロスAZトラフィックを最小限に抑えます。
    • D. Transit Gatewayを作成します。各VPCをTransit Gatewayとピアリングします。Transit GatewayのクロスAZロードバランシングを無効にします。サービスVPC内のNLBに対してリージョン別DNS名を使用します。

    この問題を見る →

  4. Q4. ネットワークエンジニアは、AWSサービスとのプライベート通信のためのインターフェイスVPCエンドポイントを集中管理・標準化する方法を確立する必要があります。企業は、ハブアンドスポークモデルを用いてAWSアカウント間のVPC接続にAWS Transit Gatewayを利用しています。 企業のネットワークサービスチームは、共有サービスAWSアカウント内で、すべてのAmazon Route 53ゾーンおよびインターフェイスエンドポイントを管理する必要があります。 企業は、この集中型モデルを活用して、AWS Key Management Service(AWS KMS)へのアクセスをAWSリソースに提供したいと考えており、パブリックインターネットを経由しないようにしたいです。 これらの要件を満たすために、ネットワークエンジニアは何を行うべきですか?

    • A. 共有サービスアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。インターフェイスエンドポイントのプライベートDNS名を無効化します。共有サービスアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードをインターフェイスエンドポイントを指すように設定します。各AWSアカウントのスポークVPCとプライベートホステッドゾーンを関連付けます。
    • B. 共有サービスアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。インターフェイスエンドポイントのプライベートDNS名を無効化します。各スポークAWSアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードをインターフェイスエンドポイントを指すように設定します。各プライベートホステッドゾーンを共有サービスAWSアカウントと関連付けます。
    • C. 各スポークAWSアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。各インターフェイスエンドポイントのプライベートDNS名を無効化します。各スポークAWSアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードを各インターフェイスエンドポイントを指すように設定します。各プライベートホステッドゾーンを共有サービスAWSアカウントと関連付けます。
    • D. 各スポークAWSアカウントでAWS KMS向けのインターフェイスエンドポイントを作成します。各インターフェイスエンドポイントのプライベートDNS名を無効化します。共有サービスアカウントにプライベートホステッドゾーンを作成し、そのエイリアスレコードを各インターフェイスエンドポイントを指すように設定します。各AWSアカウントのスポークVPCとプライベートホステッドゾーンを関連付けます。

    この問題を見る →

  5. Q5. ある企業が、AWS上で計算集約型のデータ処理アプリケーションを実行する計画です。データは極めて機密性が高く、VPCはインターネットへの直接アクセスを一切許可してはならず、企業は厳格なネットワークセキュリティを適用してアクセスを制御しています。 データサイエンティストは、AWS Site-to-Site VPN接続を用いて、オンプレミスのデータセンターからインスタンスへデータを転送します。オンプレミスのデータセンターはネットワーク範囲172.31.0.0/20を使用し、アプリケーションVPCでは172.31.16.0/20のネットワーク範囲を使用します。 データサイエンティストは、アプリケーションの新しいインスタンスを起動することは可能ですが、オンプレミスのデータセンターからデータを転送できないと報告しています。ネットワークエンジニアはVPCフローログを有効化し、到達性テストとしてインスタンスへのpingを送信しました。フローログは以下の内容を示しています。 ネットワークエンジニアは、データサイエンティストがオンプレミスのデータセンターからデータを転送できるようにするソリューションを推奨する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. アプリケーションのセキュリティグループを変更し、オンプレミスのデータセンターのネットワーク範囲からアプリケーションへのトラフィックを許可するインバウンドルールを追加します。
    • B. VPCサブネットのネットワークACLを変更し、オンプレミスのデータセンターのネットワーク範囲からVPCサブネット範囲へのトラフィックを許可するインバウンドルールを追加します。
    • C. VPCサブネットのネットワークACLを変更し、VPCサブネット範囲からオンプレミスのデータセンターのネットワーク範囲へのトラフィックを許可するアウトバウンドルールを追加します。
    • D. アプリケーションのセキュリティグループを変更し、アプリケーションからオンプレミスのデータセンターのネットワーク範囲へのトラフィックを許可するアウトバウンドルールを追加します。

    この問題を見る →

  6. Q6. ある企業が、Application Load Balancerの背後に複数のAmazon EC2インスタンスで重要なアプリケーションを展開しています。このアプリケーションは、パブリックインターネットからポート443で常に到達可能である必要があります。アプリケーションは最近、EC2のセキュリティグループに対する誤った変更により障害が発生しました。ネットワークエンジニアは、セキュリティグループの変更が行われるたびに、パブリックインターネットとEC2インスタンス間のネットワーク接続性を自動的に検証する方法を実装する必要があります。また、変更が接続に影響を与えた場合にネットワークエンジニアに通知する機能も必要です。 これらの要件を満たすソリューションはどれですか?

    • A. 各EC2インスタンスのElastic Network InterfaceでVPCフローログを有効化し、ポート443におけるREJECTトラフィックをキャプチャします。フローログレコードをAmazon CloudWatch Logsのロググループに送信します。拒否されたトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成し、ネットワークエンジニアに通知するアラームを作成します。
    • B. 各EC2インスタンスのElastic Network InterfaceでVPCフローログを有効化し、ポート443のすべてのトラフィックをキャプチャします。フローログレコードをAmazon CloudWatch Logsのロググループに送信します。すべてのトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成し、ネットワークエンジニアに通知するアラームを作成します。
    • C. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてセキュリティグループを指定し、宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックへメッセージを送信するAWS Lambda関数を作成します。セキュリティグループの変更時にLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。
    • D. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてVPCのインターネットゲートウェイを指定し、宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックへメッセージを送信するAWS Lambda関数を作成します。セキュリティグループの変更時にLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。

    この問題を見る →

  7. Q7. ある企業が、複数のワークロードをパブリックサブネット内のAmazon EC2インスタンスで実行しています。最近のインシデントでは、攻撃者がEC2インスタンスのアプリケーション脆弱性を悪用してそのインスタンスに不正アクセスしました。企業はアプリケーションを修正し、更新済みアプリケーションを含む代替EC2インスタンスを起動しました。 攻撃者は、侵害されたアプリケーションを用いてマルウェアをインターネット上に拡散させました。企業はAWSからの通知を通じて侵害を認識しました。企業は、EC2インスタンス上で展開されたアプリケーションがマルウェアを拡散していることを特定する機能が必要です。 これらの要件を満たす、運用負荷が最も少ないソリューションはどれですか?

    • A. Amazon GuardDutyを使用して、DNSリクエストおよびVPCフローログを検査することによりトラフィックパターンを分析します。
    • B. Amazon GuardDutyを使用して、最新のマルウェア署名を備えたAWS管理の偽装システム(デコイ)を展開します。
    • C. Gateway Load Balancerを設定し、AWSマーケットプレイスから入手した侵入検知システム(IDS)アプライアンスをAmazon EC2上で実行してトラフィックを検査します。
    • D. Amazon Inspectorを設定して、送信トラフィックの深層パケット検査を実行します。

    この問題を見る →

  8. Q8. ある企業が、オンプレミスで実行されているアプリケーションを持ち、AWS上のVPCで実行されるアプリケーションと通信する必要があります。アプリケーション間の通信は暗号化され、プライベートIPアドレスを使用しなければなりません。通信はパブリックインターネットを経由してはいけません。企業は、オンプレミスの場所とAWSの間で1GbpsのAWS Direct Connect接続を確立しています。 これらの接続要件を満たす、運用オーバーヘッドが最も少ないソリューションはどれですか?

    • A. Direct Connect接続でプライベートVIFを設定します。プライベートVIFをVPCの仮想プライベートゲートウェイに関連付けます。仮想プライベートゲートウェイへのAWS Site-to-Site VPNプライベートIP VPN接続を設定します。
    • B. Transit Gatewayを作成します。Direct Connect接続でトランジットVIFを設定します。トランジットVIFをDirect Connectゲートウェイに関連付けます。Direct Connectゲートウェイを新しいTransit Gatewayに関連付けます。Transit GatewayへのAWS Site-to-Site VPNプライベートIP VPN接続を設定します。
    • C. Direct Connect接続でパブリックVIFを設定します。パブリックVIFをDirect Connectゲートウェイに関連付けます。Direct Connectゲートウェイを新しいTransit Gatewayに関連付けます。Transit GatewayへのAWS Site-to-Site VPNプライベートIP VPN接続を設定します。
    • D. Transit Gatewayを作成します。Direct Connect接続でトランジットVIFを設定します。トランジットVIFをDirect Connectゲートウェイに関連付けます。Direct Connectゲートウェイを新しいTransit Gatewayに関連付けます。Transit Gatewayに接続された新しいVPCにサードパーティファイアウォールを設定し、そのファイアウォールへのVPN接続を設定します。

    この問題を見る →

  9. Q9. ある企業には、本番環境用と接続用の2つのAWSアカウントがあります。ネットワークエンジニアは、本番環境アカウントのVPCを接続用アカウントのTransit Gatewayに接続する必要があります。Transit Gatewayでは、共有アタッチメントを自動承認する機能が有効化されていません。これらの要件を満たすために、ネットワークエンジニアは各AWSアカウントでどの手順を実行すべきでしょうか?

    • A. 1. 本番環境アカウント:AWS Resource Access ManagerでTransit Gatewayのリソース共有を作成し、接続用アカウントIDを指定。外部アカウントを許可する機能を有効化。 2. 接続用アカウント:リソースを承認。 3. 接続用アカウント:VPCサブネットへのアタッチメントを作成。 4. 本番環境アカウント:アタッチメントを承認。アタッチメントに関連付けられたルートテーブルを設定。
    • B. 1. 本番環境アカウント:AWS Resource Access ManagerでVPCサブネットのリソース共有を作成し、接続用アカウントIDを指定。外部アカウントを許可する機能を有効化。 2. 接続用アカウント:リソースを承認。 3. 本番環境アカウント:Transit Gateway上でVPCサブネットへのアタッチメントを作成。 4. 接続用アカウント:アタッチメントを承認。アタッチメントに関連付けられたルートテーブルを設定。
    • C. 1. 接続用アカウント:AWS Resource Access ManagerでVPCサブネットのリソース共有を作成し、本番環境アカウントIDを指定。外部アカウントを許可する機能を有効化。 2. 本番環境アカウント:リソースを承認。 3. 接続用アカウント:Transit Gateway上でVPCサブネットへのアタッチメントを作成。 4. 本番環境アカウント:アタッチメントを承認。アタッチメントに関連付けられたルートテーブルを設定。
    • D. 1. 接続用アカウント:AWS Resource Access ManagerでTransit Gatewayのリソース共有を作成し、本番環境アカウントIDを指定。外部アカウントを許可する機能を有効化。 2. 本番環境アカウント:リソースを承認。 3. 本番環境アカウント:VPCサブネットへのアタッチメントを作成。 4. 接続用アカウント:アタッチメントを承認。アタッチメントに関連付けられたルートテーブルを設定。

    この問題を見る →

  10. Q10. ある企業が、VPC内に第三者製ファイアウォールアプライアンスを展開してトラフィック検査およびNAT機能を提供しています。VPCはプライベートサブネットとパブリックサブネットで構成されています。企業は、これらのファイアウォールアプライアンスをロードバランサーの後ろに配置する必要があります。 これらの要件を最もコスト効率よく満たすアーキテクチャはどれですか?

    • A. Gateway Load Balancer(GLB)をデプロイし、ファイアウォールアプライアンスをターゲットとして設定。ファイアウォールアプライアンスはプライベートサブネット内の単一ネットワークインターフェイスで構成。検査後のインターネット送信にはNATゲートウェイを使用。
    • B. Gateway Load Balancer(GLB)をデプロイし、ファイアウォールアプライアンスをターゲットとして設定。ファイアウォールアプライアンスは2つのネットワークインターフェイスで構成:1つはプライベートサブネット、もう1つはパブリックサブネット。検査後のインターネット送信にはファイアウォールアプライアンスのNAT機能を使用。
    • C. Network Load Balancer(NLB)をデプロイし、ファイアウォールアプライアンスをターゲットとして設定。ファイアウォールアプライアンスはプライベートサブネット内の単一ネットワークインターフェイスで構成。検査後のインターネット送信にはNATゲートウェイを使用。
    • D. Network Load Balancer(NLB)をデプロイし、ファイアウォールアプライアンスをターゲットとして設定。ファイアウォールアプライアンスは2つのネットワークインターフェイスで構成:1つはプライベートサブネット、もう1つはパブリックサブネット。検査後のインターネット送信にはファイアウォールアプライアンスのNAT機能を使用。

    この問題を見る →

  11. Q11. ある企業のネットワークエンジニアは、ネットワークの異常をトラブルシューティングおよび検出するための新しいソリューションを設計する必要があります。ネットワークエンジニアはTraffic Mirroringを構成しましたが、ミラーリングされたトラフィックが、トラフィックミラーターゲットとして使用されているAmazon EC2インスタンスを圧倒しています。このEC2インスタンスは、企業のセキュリティチームがトラフィック分析に使用するツールをホストしています。ネットワークエンジニアは、ミラーリングされたトラフィックの需要に応じてスケール可能な高可用性ソリューションを設計する必要があります。これらの要件を満たすソリューションはどれですか?

    • A. トラフィックミラーターゲットとしてNetwork Load Balancer(NLB)をデプロイ。NLBの背後に、Auto Scalingグループで管理されるEC2インスタンスのフェleetをデプロイ。必要に応じてTraffic Mirroringを使用。
    • B. トラフィックミラーターゲットとしてApplication Load Balancer(ALB)をデプロイ。ALBの背後に、Auto Scalingグループで管理されるEC2インスタンスのフェleetをデプロイ。非営業時間のみTraffic Mirroringを使用。
    • C. トラフィックミラーターゲットとしてGateway Load Balancer(GLB)をデプロイ。GLBの背後に、Auto Scalingグループで管理されるEC2インスタンスのフェleetをデプロイ。必要に応じてTraffic Mirroringを使用。
    • D. HTTPSリスナー付きApplication Load Balancer(ALB)をトラフィックミラーターゲットとしてデプロイ。ALBの背後に、Auto Scalingグループで管理されるEC2インスタンスのフェleetをデプロイ。アクティブイベントまたは営業時間中のみTraffic Mirroringを使用。

    この問題を見る →

  12. Q12. ある企業のネットワークエンジニアは、開発アカウントでVPCのネットワーク設計を構築およびテストしています。企業は、ネットワークリソースに対する変更を監視し、ネットワークセキュリティポリシーを厳格に遵守することを保証する必要があります。また、ネットワークリソースの履歴構成へのアクセスも必要です。

    • A. Amazon EventBridge(Amazon CloudWatch Events)ルールをカスタムパターンで作成し、アカウントの変更を監視。ルールを設定して、非準拠リソースを特定するAWS Lambda関数を呼び出す。特定された変更をAmazon DynamoDBテーブルに更新。
    • B. Amazon CloudWatch Logsからカスタムメトリクスを作成。そのメトリクスを用いて、非準拠リソースを特定するAWS Lambda関数を呼び出す。特定された変更をAmazon DynamoDBテーブルに更新。
    • C. AWS Configを使用してネットワークリソースの現在の状態を記録。所望の構成設定を反映するルールを作成。非準拠リソースに対して是正措置を設定。
    • D. AWS Systems Manager Inventoryを使用してネットワークリソースの現在の状態を記録。Systems Manager State Managerを使用して所望の構成設定を適用し、非準拠リソースに対して是正措置を実行。

    この問題を見る →

  13. Q13. ある企業が、単一のVPC上でAWSに自社のWebサイトを構築しています。このVPCには2つのアベイラビリティゾーンにまたがるパブリックサブネットおよびプライベートサブネットが存在します。Webサイトには画像などの静的コンテンツがあります。企業はAmazon S3でコンテンツを保存しています。また、プライベートサブネット内にAmazon EC2インスタンスのウェブサーバー群をAuto Scalingグループとしてデプロイし、Application Load Balancerの背後に配置しています。EC2インスタンスはトラフィックを処理し、WebページのレンダリングのためにS3バケットからコンテンツを取得する必要があります。企業は、オンプレミス環境とS3バケットとの接続にAWS Direct ConnectのパブリックVIFを使用しています。ネットワークエンジニアは、EC2インスタンスとAmazon S3間のトラフィックがNATゲートウェイを経由していることに気づきました。トラフィックが増加するにつれ、企業のコストも増加しています。ネットワークエンジニアは、EC2インスタンスとAmazon S3間のトラフィックによるNATゲートウェイコストを削減するために接続方法を変更する必要があります。これらの要件を満たすソリューションはどれですか?

    • A. Direct ConnectのプライベートVIFを作成。パブリックVIFからのトラフィックをプライベートVIFに移行。
    • B. 既存のパブリックVIF上でAWS Site-to-Site VPNトンネルを作成。
    • C. Amazon S3用のインターフェイスVPCエンドポイントを実装。VPCルートテーブルを更新。
    • D. Amazon S3用のゲートウェイVPCエンドポイントを実装。VPCルートテーブルを更新。

    この問題を見る →

  14. Q14. ある企業が、Application Load Balancer(ALB)をオリジンとして構成されたAmazon CloudFrontディストリビューションを使用しています。ネットワークエンジニアは、ALBへのすべての着信トラフィックがCloudFrontからのみ来るようにするソリューションを実装する必要があります。ネットワークエンジニアは、アプリケーションではなくネットワーク層でこのソリューションを実装しなければなりません。これらの要件を最も運用効率よく満たすソリューションはどれですか?

    • A. ALBのセキュリティグループに、CloudFront向けAWSマネージドプレフィックスリストをソースとする受信ルールを追加。
    • B. ALBのサブネットに関連付けられたネットワークACLに、CloudFront向けAWSマネージドプレフィックスリストをソースとする受信ルールを追加。
    • C. CloudFrontを構成して、ALBに送信されるリクエストにカスタムHTTPヘッダーを追加。
    • D. ALBに関連付けられたAWS WAF Web ACLを設定。CloudFront IPセットからのトラフィックを許可するAWS WAFルールを構成。AWS Lambda関数を用いてCloudFront IPセットを自動更新。

    この問題を見る →

  15. Q15. ある企業はAWS上で数百のVPCを運用しています。すべてのVPCは、NATゲートウェイを介してAmazon S3およびAWS Systems Managerのパブリックエンドポイントにアクセスしています。すべてのVPCからAmazon S3およびSystems ManagerへのトラフィックはNATゲートウェイを経由しています。企業のネットワークエンジニアは、これらのサービスへのアクセスを集中管理し、パブリックエンドポイントの使用を排除する必要があります。これらの要件を最小限の運用オーバーヘッドで満たすソリューションはどれですか?

    • A. プライベートNATゲートウェイを備えた中央出口VPCを作成。すべてのVPCをAWS Transit Gatewayを用いて中央出口VPCに接続。プライベートNATゲートウェイを用いて、プライベートIPアドレスでAmazon S3およびSystems Managerに接続。
    • B. 中央共有サービスVPCを作成。この中央共有サービスVPC内で、Amazon S3およびSystems Managerへのアクセス用インターフェイスVPCエンドポイントを作成。プライベートDNSを無効化。すべてのVPCをAWS Transit Gatewayを用いて中央共有サービスVPCに接続。各インターフェイスVPCエンドポイントに対してAmazon Route 53フォワーディングルールを作成し、すべてのVPCに関連付ける。DNSクエリを共有サービスVPC内のインターフェイスVPCエンドポイントに転送。
    • C. 中央共有サービスVPCを作成。この中央共有サービスVPC内で、Amazon S3およびSystems Managerへのアクセス用インターフェイスVPCエンドポイントを作成。プライベートDNSを無効化。すべてのVPCをAWS Transit Gatewayを用いて中央共有サービスVPCに接続。Amazon S3およびSystems Managerのフルサービスエンドポイント名を含むAmazon Route 53プライベートホストゾーンを作成し、すべてのVPCに関連付ける。各プライベートホストゾーンに、共有サービスVPC内のインターフェイスVPCエンドポイントを指すエイリアスレコードを作成。
    • D. 中央共有サービスVPCを作成。この中央共有サービスVPC内で、Amazon S3およびSystems Managerへのアクセス用インターフェイスVPCエンドポイントを作成。すべてのVPCをAWS Transit Gatewayを用いて中央共有サービスVPCに接続。インターフェイスVPCエンドポイントに対してプライベートDNSを有効化し、DNSサポートを有効化した状態でTransit Gatewayを作成。

    この問題を見る →

  16. Q16. ある企業が、Application Load Balancer(ALB)の背後にAmazon EC2インスタンスでアプリケーションをホストしています。これらのインスタンスはAmazon EC2 Auto Scalingグループの一部です。新たなセキュリティ基準を遵守するため、企業はサーバーの応答コード、リクエストパス、レイテンシー、クライアントIPアドレスを含むすべてのアプリケーションアクセスデータを収集する必要があります。また、パフォーマンス分析のために収集されたデータをクエリする必要もあります。

    • A. ALBのサブネットでVPCフローログを有効化。ログをAmazon S3バケットに保存。Amazon Athenaを用いてS3バケット内のログをクエリ。
    • B. すべてのEC2のElastic Network InterfaceでAmazon VPC Traffic Mirroringを構成。AWS Marketplaceからサードパーティのモニタリングアプライアンスをプライベートサブネットにデプロイ。Amazon Data Firehoseを用いてすべてのミラーリングされたトラフィックをモニタリングアプライアンスに送信。モニタリングアプライアンスから直接ログをクエリ。
    • C. EC2インスタンスでAmazon CloudWatchの詳細モニタリングを構成。利用可能なすべてのログを含める。Amazon Data Firehoseを用いて収集されたすべてのログをAmazon S3バケットに送信。S3バケットから直接データをクエリ。
    • D. ALBでアクセスログを有効化。ログをAmazon S3バケットに保存。Amazon Athenaを用いてS3バケット内のログをクエリ。

    この問題を見る →

  17. Q17. ある企業は、IPv4を使用するサブネットを含む複数のVPCを保有しています。これらのVPCからインターネットへのトラフィックはNATゲートウェイを使用しています。同社はIPv6への移行を希望しています。ネットワークエンジニアが既存のテスト用VPCに複数のIPv6専用サブネットを作成し、その1つにIPv6アドレスを持つ新しいAmazon EC2インスタンスをデプロイしました。テスト中に、この新しいEC2インスタンスがインターネット上のIPv4専用サービスと通信できないことが判明しました。ネットワークエンジニアは、IPv6 EC2インスタンスがIPv4専用サービスと通信できるようにする必要があります。この要件を満たすソリューションはどれですか?

    • A. IPv6専用サブネットでDNS64を有効化します。IPv6専用サブネットのルートテーブルを更新し、トラフィックをNATゲートウェイ経由で送信します。
    • B. テスト用VPCでNAT64を有効化します。既存のNATゲートウェイを再設定してIPv6をサポートさせます。
    • C. 新しいEC2インスタンスでDNS64を有効化します。IPv6をサポートする新しいegress-only internet gatewayを作成します。
    • D. 各ルートテーブルでNAT64を有効化します。IPv4およびIPv6の両方をサポートする新しいNATゲートウェイを作成します。

    この問題を見る →

  18. Q18. ある企業がAWSクラウドに新しいアプリケーションを展開しようとしています。同社は、Elastic Load Balancerの後ろに配置される高可用性のWebサーバーを必要としています。ロードバランサーは、リクエスト内のURLに基づいて複数のターゲットグループにトラフィックをルーティングします。すべてのトラフィックはHTTPSを使用しなければならず、TLS処理はロードバランサーにオフロードされる必要があります。また、セキュリティ目的で正確なログを保持するために、WebサーバーはユーザーのIPアドレスを認識できる必要があります。これらの要件を満たすソリューションはどれですか?

    • A. HTTPSリスナーを備えたApplication Load Balancerをデプロイします。パスベースのルーティングルールを使用してトラフィックを適切なターゲットグループに転送します。ターゲットへのトラフィックにX-Forwarded-Forリクエストヘッダーを含めます。
    • B. 各ドメインごとにHTTPSリスナーを備えたApplication Load Balancerをデプロイします。ホストベースのルーティングルールを使用して、各ドメインの適切なターゲットグループにトラフィックを転送します。ターゲットへのトラフィックにX-Forwarded-Forリクエストヘッダーを含めます。
    • C. TLSリスナーを備えたNetwork Load Balancerをデプロイします。パスベースのルーティングルールを使用してトラフィックを適切なターゲットグループに転送します。ターゲットへのトラフィックに対してクライアントIPアドレスの保持を構成します。
    • D. 各ドメインごとにTLSリスナーを備えたNetwork Load Balancerをデプロイします。ホストベースのルーティングルールを使用して、各ドメインの適切なターゲットグループにトラフィックを転送します。ターゲットへのトラフィックに対してクライアントIPアドレスの保持を構成します。

    この問題を見る →

  19. Q19. 金融取引会社が、取引プラットフォームの一部としてAmazon EC2インスタンス上で第三者提供の価格情報サービスを利用しています。このEC2インスタンスは、UDPポート50000を介して価格情報サービスと通信します。最近、価格情報サービスに問題が発生しており、一部の応答が誤った形式で返され、正常に処理されていません。第三者ベンダーは、価格情報サービスが返すデータへのアクセスを要求しています。ベンダーは、価格情報サービスにアクセスするEC2インスタンスにログインして、デバッグのためにリクエストおよび応答データをキャプチャしたいと考えています。しかし、同社は本番システムへの直接アクセスを禁止しており、すべてのログ分析は専用のモニタリングアカウントで実行する必要があります。これらの要件を満たすために、ネットワークエンジニアが実施すべき手順のセットはどれですか?

    • A. 1. VPCフローログを構成してVPC内で流れるデータをキャプチャします。2. そのデータをAmazon S3バケットに送信します。3. モニタリングアカウントで、EC2インスタンスのIPアドレス宛てのデータを抽出し、UDPトラフィックをフィルタリングします。4. データを第三者ベンダーに提供します。
    • B. 1. UDPデータをキャプチャするためのトラフィックミラー・フィルターを構成します。2. EC2インスタンスのElastic Network Interface(ENI)のトラフィックをキャプチャするようトラフィックミラーリングを構成します。3. 本番環境に新しいEC2インスタンスを作成し、パケット検査パッケージを構成します。この新しいEC2インスタンスのENIをトラフィックミラーのターゲットとして使用します。4. パケット検査パッケージを使用してデータを抽出します。5. データを第三者ベンダーに提供します。
    • C. 1. UDPデータをキャプチャするためのトラフィックミラー・フィルターを構成します。2. EC2インスタンスのElastic Network Interface(ENI)のトラフィックをキャプチャするようトラフィックミラーリングを構成します。3. モニタリングアカウントに新しいEC2インスタンスを作成し、パケット検査パッケージを構成します。この新しいEC2インスタンスのENIをトラフィックミラーのターゲットとして使用します。4. パケット検査パッケージを使用してデータを抽出します。5. データを第三者ベンダーに提供します。
    • D. 1. 新しいAmazon Elastic Block Store(Amazon EBS)ボリュームを作成します。このEBSボリュームをEC2インスタンスにアタッチします。2. 本番環境のEC2インスタンスにログインし、tcpdumpコマンドを実行してEBSボリューム上にUDPデータをキャプチャします。3. EBSボリュームからデータをAmazon S3にエクスポートします。4. データを第三者ベンダーに提供します。

    この問題を見る →

  20. Q20. ある企業は、単一のAWSリージョン内に3つのVPCを保有しています。各VPCには15台のAmazon EC2インスタンスが含まれており、VPC間の接続は存在しません。同社は、すべての3つのVPCにまたがる新しいアプリケーションを展開しようとしています。このアプリケーションは、ノード間の高帯域幅を必要とします。ネットワークエンジニアは、VPC間の接続を実装する必要があります。これらの要件を満たし、最も高いスループットを実現するソリューションはどれですか?

    • A. Transit Gatewayを構成します。各VPCをTransit Gatewayにアタッチします。各VPCで静的ルーティングを構成し、トラフィックをTransit Gatewayへルーティングします。
    • B. 3つのVPC間でVPCピアリングを構成します。3つのVPC間のトラフィックをルーティングするための静的ルーティングを構成します。
    • C. Transit VPCを構成します。各VPCにVPNゲートウェイを構成します。各VPCからTransit VPCへのAWS Site-to-Site VPNトンネルを作成します。BGPルーティングを使用して、VPCおよびTransit VPC間のトラフィックをルーティングします。
    • D. 各VPC間でAWS Site-to-Site VPN接続を構成します。各Site-to-Site VPN接続でルート伝搬を有効化して、VPC間のトラフィックをルーティングします。

    この問題を見る →

  21. Q21. ある企業は、本番VPC内のAuto Scalingグループで10台のWebサーバー用Amazon EC2インスタンスを実行しています。また、オンプレミスのデータセンターで10台の他のWebサーバーを実行しています。同社は、オンプレミスのデータセンターと本番VPCの間に10GbpsのAWS Direct Connect接続を有しています。同社は、数千人の外部ユーザーからのHTTPSトラフィックを受信し、AWS上のWebサーバーおよびオンプレミスのデータセンター内のWebサーバーにトラフィックを分散させるロードバランシングソリューションを実装する必要があります。Webサーバーの場所に関係なく、HTTPSリクエストはセッション全体を通して同じWebサーバーに送信される必要があります。これらの要件を満たすソリューションはどれですか?

    • A. 本番VPCにNetwork Load Balancer(NLB)を作成します。ターゲットグループを作成し、ターゲットタイプとしてIPを指定します。EC2インスタンスおよびオンプレミスサーバーをターゲットグループに登録します。NLBでコネクションドレインを有効化します。
    • B. 本番VPCにApplication Load Balancer(ALB)を作成します。ターゲットグループを作成し、ターゲットタイプとしてIPを指定します。EC2インスタンスおよびオンプレミスサーバーをターゲットグループに登録します。ALBでアプリケーションベースのセッションアフィニティ(ステッキーセッション)を有効化します。
    • C. 本番VPCにNetwork Load Balancer(NLB)を作成します。ターゲットグループを作成し、ターゲットタイプとしてインスタンスを指定します。EC2インスタンスおよびオンプレミスサーバーをターゲットグループに登録します。NLBでセッションアフィニティ(ステッキーセッション)を有効化します。
    • D. 本番VPCにApplication Load Balancer(ALB)を作成します。ターゲットグループを作成し、ターゲットタイプとしてインスタンスを指定します。EC2インスタンスおよびオンプレミスサーバーをターゲットグループに登録します。ALBでアプリケーションベースのセッションアフィニティ(ステッキーセッション)を有効化します。

    この問題を見る →

  22. Q22. データセンターとVPCを接続する静的VPNがあります。現在、ルートテーブルに50個のルートが追加されています。さらにルートを追加したい場合、どのようにすればよいですか?

    • A. どの接続でも最大50個までしか追加できません。
    • B. そのまま追加してください。ルートテーブルあたり最大100個の静的ルートが可能です。
    • C. Direct Connectを設定してください。VPNではそれ以上のルートをサポートしません。
    • D. VPNを動的VPNに変換し、BGPを使用してください。

    この問題を見る →

  23. Q23. ある企業には、2つのオンプレミスデータセンターの拠点があります。各データセンターには、企業が管理するルーターが設置されています。各データセンターは、プライベート仮想インターフェイスを介してDirect Connectゲートウェイに専用のAWS Direct Connect接続を持っています。第1の拠点のルーターは、BGPを使用してDirect Connectゲートウェイに110個のルートをアドバタイズしており、第2の拠点のルーターは、BGPを使用して60個のルートをアドバタイズしています。Direct Connectゲートウェイは、仮想プライベートゲートウェイを介して企業のVPCにアタッチされています。ネットワークエンジニアは、いずれのデータセンターのさまざまな場所からもVPC内のリソースに到達できないという報告を受けました。ネットワークエンジニアがVPCのルートテーブルを確認したところ、第1のデータセンター拠点からのルートがルートテーブルに反映されていないことがわかりました。ネットワークエンジニアは、最も運用効率の良い方法でこの問題を解決する必要があります。これらの要件を満たすために、ネットワークエンジニアは何を行うべきですか?

    • A. Direct Connectゲートウェイを削除し、各企業ルーターからVPCの仮想プライベートゲートウェイへの新しいプライベート仮想インターフェイスを作成します。
    • B. ルーターの構成を変更して、アドバタイズされるルートを要約(サマライズ)します。
    • C. VPCルートテーブルへのアドバタイズルート数のクォータを増やすようサポートチケットを開きます。
    • D. AWS Transit Gatewayを作成します。Transit GatewayをVPCにアタッチし、Direct ConnectゲートウェイをTransit Gatewayに接続します。

    この問題を見る →

  24. Q24. ソフトウェア企業が、AWSクラウドでホストされるソフトウェア・アズ・ア・サービス(SaaS)会計アプリケーションを提供しています。このアプリケーションは、同社のオンプレミスネットワークとの接続を必要としています。同社は、アプリケーションの需要増加に対応するため、AWSとオンプレミスネットワークの間に冗長な10GBのAWS Direct Connect接続を2本すでに持っています。同社は、すでにオンプレミスネットワークとコロケーション施設間で暗号化を実施しています。同社は、今後数か月以内に、AWSとコロケーション施設内のエッジルーター間のトラフィックを暗号化する必要があります。同社は、現在の帯域幅を維持しなければなりません。これらの要件を満たすために、ネットワークエンジニアが実施すべき操作はどれですか?ただし、運用オーバーヘッドは最小限に抑える必要があります。

    • A. 既存のDirect Connect接続に暗号化を備えた新しいパブリックVIFをデプロイします。トラフィックを新しいパブリックVIF経由に再ルーティングします。
    • B. 仮想プライベートゲートウェイを作成します。オンプレミスから仮想プライベートゲートウェイへの新しいAWS Site-to-Site VPN接続を作成します。Direct ConnectのプライベートVIFからのトラフィックを新しいVPNに再ルーティングします。
    • C. MACsecを備えた新しい10GBのDirect Connect接続のペアをデプロイします。エッジルーターでMACsecを構成します。トラフィックを新しいDirect Connect接続に再ルーティングします。元のDirect Connect接続を廃止します。
    • D. MACsecを備えた新しい10GBのDirect Connect接続のペアをデプロイします。新しいDirect Connect接続に新しいパブリックVIFをデプロイします。新しいパブリックVIF上に2つのAWS Site-to-Site VPN接続をデプロイします。既存のプライベートVIFからのトラフィックを新しいSite-to-Site接続に再ルーティングします。元のDirect Connect接続を廃止します。

    この問題を見る →

  25. Q25. ネットワークエンジニアは、アプリケーションロードバランサー(ALB)上の暗号化データを保護するために、追加のセキュリティ対策を提供する必要があります。その対策として「一意のランダムセッションキー」を使用します。 この要件を満たすために、ネットワークエンジニアは何を行うべきですか?

    • A. ALBのセキュリティポリシーをTLS 1.2プロトコルのみをサポートするポリシーに変更する
    • B. AWS Key Management Service(AWS KMS)を使用してセッションキーを暗号化する
    • C. ALBに関連付けられたAWS WAF Web ACLを作成し、フォワード・シークレシー(FS)を適用するセキュリティルールを作成する
    • D. ALBのセキュリティポリシーをフォワード・シークレシー(FS)をサポートするポリシーに変更する

    この問題を見る →

  26. Q26. ある企業は、複数のAmazon EC2インスタンス上で安全なWebアプリケーションをホストする計画です。このアプリケーションには、Amazon Route 53ホステッドゾーン内のDNSドメインが関連付けられます。企業は、このドメインをDNSポイズニング攻撃から保護したいと考えています。また、Webブラウザが信頼されたサードパーティを用いてアプリケーションに認証できるようにしたいと考えています。これらの要件を満たすためのアクションの組み合わせはどれですか?

    • A. Route 53ホステッドゾーンをDNSセキュリティ拡張(DNSSEC)を使用するように設定する。EC2インスタンスに自己署名X.509証明書をインストールする。
    • B. Route 53ホステッドゾーンにName Authority Pointer(NAPTR)レコードを設定する。EC2インスタンスに公開認証局(CA)によって署名されたX.509証明書をインストールする。
    • C. Route 53ホステッドゾーンをDNSセキュリティ拡張(DNSSEC)を使用するように設定する。EC2インスタンスに公開認証局(CA)によって署名されたX.509証明書をインストールする。
    • D. Route 53ホステッドゾーンにName Authority Pointer(NAPTR)レコードを設定する。EC2インスタンスに自己署名X.509証明書をインストールする。

    この問題を見る →

  27. Q27. 金融取引会社は、取引プラットフォームの実行にAmazon EC2インスタンスを使用しています。この取引プラットフォームの一部には、EC2インスタンスがUDPポート50000経由で通信するサードパーティの価格情報サービスが含まれます。 最近、この価格情報サービスに問題が発生しています。一部の応答が不正な形式になっており、正常に処理されていません。サードパーティベンダーは、価格情報サービスが返すデータへのアクセスを要求しています。ベンダーは、価格情報サービスにアクセスするEC2インスタンスにログインして、要求および応答データをキャプチャし、デバッグを行いたいと考えています。しかし、同社は本番システムへの直接アクセスを禁止しており、すべてのログ分析は専用の監視アカウントで実施することを義務付けています。 ネットワークエンジニアがデータをキャプチャし、これらの要件を満たすために実施すべき手順のセットはどれですか?

    • A. 1. VPCフローログを設定してVPC内で流れるデータをキャプチャする。2. そのデータをAmazon S3バケットに送信する。3. 監視アカウントで、EC2インスタンスのIPアドレス宛てに流れるデータを抽出し、UDPトラフィックをフィルタリングする。4. そのデータをサードパーティベンダーに提供する。
    • B. 1. UDPデータをキャプチャするためのトラフィックミラー・フィルターを設定する。2. EC2インスタンスのElastic Network Interface(ENI)のトラフィックをキャプチャするようにトラフィックミラーリングを設定する。3. 本番環境に新しいEC2インスタンスを起動し、パケット検査パッケージをインストールする。この新しいEC2インスタンスのENIをトラフィックミラーのターゲットとして使用する。4. パケット検査パッケージを用いてデータを抽出する。5. そのデータをサードパーティベンダーに提供する。
    • C. 1. UDPデータをキャプチャするためのトラフィックミラー・フィルターを設定する。2. EC2インスタンスのElastic Network Interface(ENI)のトラフィックをキャプチャするようにトラフィックミラーリングを設定する。3. 監視アカウントに新しいEC2インスタンスを起動し、パケット検査パッケージをインストールする。この新しいEC2インスタンスのENIをトラフィックミラーのターゲットとして使用する。4. パケット検査パッケージを用いてデータを抽出する。5. そのデータをサードパーティベンダーに提供する。
    • D. 1. 新しいAmazon Elastic Block Store(Amazon EBS)ボリュームを作成し、EC2インスタンスにアタッチする。2. 本番環境のEC2インスタンスにログインし、tcpdumpコマンドを実行してEBSボリューム上にUDPデータをキャプチャする。3. EBSボリュームからデータをAmazon S3にエクスポートする。4. そのデータをサードパーティベンダーに提供する。

    この問題を見る →

  28. Q28. ある企業は急速に成長しています。同社のオンプレミスシステムとVPC内で実行されるAmazon EC2インスタンス間のデータ転送は、オンプレミスデータセンターのファイアウォールとAWS Transit Gateway間の単一のAWS Site-to-Site VPN接続のスループットによって制限されています。 ネットワークエンジニアは、高可用性かつセキュアなソリューションを設計し、このスロットリングを解消する必要があります。また、オンプレミスからVPCリソースへのVPNスループットを拡張し、トラフィック増加に対応できるようにする必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. Transit Gatewayに対して複数の動的BGPベースのSite-to-Site VPN接続を設定し、等コストマルチパスルーティング(ECMP)を構成する。
    • B. Transit Gatewayに対して複数の静的ルーティングベースのSite-to-Site VPN接続を設定し、等コストマルチパスルーティング(ECMP)を構成する。
    • C. Transit Gatewayに対して新しいSite-to-Site VPN接続を設定し、Site-to-Site VPN接続のアクセラレーションを有効にする。
    • D. オンプレミスファイアウォールから、大規模なインスタンスタイプおよびネットワーキング機能を持つEC2インスタンスへインターネット経由でソフトウェアアプライアンスベースのVPN接続を構成する。

    この問題を見る →

  29. Q29. ある企業は、VPCとオンプレミスデータセンター間のハイブリッド接続を確立しています。オンプレミスデータセンター内のDNSサーバーにはon-premises.example.comサブドメインが設定されています。また、AWS上のワークロード(異なるVPCおよびアカウントで実行)にはaws.example.comサブドメインが使用されています。両環境のリソースはIPアドレスを用いて相互にアクセス可能です。企業は、VPC内のワークロードがon-premises.example.comのDNS名を用いてオンプレミスのリソースにアクセスできるようにしたいと考えています。 これらの要件を満たすとともに、リソース管理を最小限に抑えるソリューションはどれですか?

    • A. Amazon Route 53 Resolverのアウトバウンドエンドポイントを作成する。on-premises.example.comに対するDNSクエリを条件付きでオンプレミスDNSサーバーに転送するResolverルールを設定し、そのルールをVPCに関連付ける。
    • B. Amazon Route 53 Resolverのインバウンドエンドポイントおよびアウトバウンドエンドポイントを作成する。on-premises.example.comに対するDNSクエリを条件付きでオンプレミスDNSサーバーに転送するResolverルールを設定し、そのルールをVPCに関連付ける。
    • C. Amazon EC2インスタンスを起動し、BINDソフトウェアをインストール・設定してon-premises.example.comのDNSクエリを条件付きでオンプレミスDNSサーバーに転送する。各VPCで、EC2インスタンスのIPアドレスをカスタムDNSサーバーとして設定する。
    • D. 各VPCにAmazon EC2インスタンスを起動し、BINDソフトウェアをインストール・設定してon-premises.example.comのDNSクエリを条件付きでオンプレミスDNSサーバーに転送する。各VPCで、EC2インスタンスのIPアドレスをカスタムDNSサーバーとして設定する。

    この問題を見る →

  30. Q30. ある企業は、VPC内でNATゲートウェイを用いてインターネットへのアウトバウンドトラフィックを処理するアプリケーションを展開しています。ネットワークエンジニアは、VPCからインターネットへ向かう大量の不審なネットワークトラフィックを観測しました。このトラフィックは、拒否リストに記載されたIPアドレスへ向かっています。ネットワークエンジニアは、どのAWSリソースがこの不審なトラフィックを生成しているかを特定するソリューションを実装する必要があります。このソリューションは、コストおよび管理負荷を最小限に抑える必要があります。

    • A. VPC内にAmazon EC2インスタンスを起動する。トラフィックミラーリングを用いて、NATゲートウェイをソース、EC2インスタンスをデスティネーションとして指定する。オープンソースツールを用いてキャプチャされたトラフィックを分析し、不審なトラフィックを生成しているAWSリソースを特定する。
    • B. VPCフローログを使用する。VPC内にセキュリティ情報およびイベント管理(SIEM)ソリューションを起動し、VPCフローログをインジェストするように設定する。SIEMソリューション上でクエリを実行して、不審なトラフィックを生成しているAWSリソースを特定する。
    • C. VPCフローログを使用する。フローログをAmazon CloudWatch Logsのロググループに配信する。CloudWatch Logs Insightsを用いてフローログをクエリし、不審なトラフィックを生成しているAWSリソースを特定する。
    • D. VPCを構成して、ネットワークトラフィックを直接Amazon Kinesisデータストリームにストリーミングする。KinesisデータストリームからデータをAmazon Kinesis Data Firehose配信ストリームに送信し、Amazon S3に保存する。Amazon Athenaを用いてデータをクエリし、不審なトラフィックを生成しているAWSリソースを特定する。

    この問題を見る →

  31. Q31. あるECOMMERCE企業は、顧客需要の継続的な変化に対応するため、Amazon EC2インスタンス上でWebアプリケーションをホストしています。EC2インスタンスはAuto Scalingグループの一部です。企業は、顧客からのトラフィックをEC2インスタンスに分散させるソリューションを実装したいと考えています。また、顧客とアプリケーションサーバー間のすべての段階でトラフィックを暗号化する必要があります。中間地点での復号は一切許可されません。

    • A. Application Load Balancer(ALB)を作成する。ALBにHTTPSリスナーを追加する。Auto ScalingグループをALBのターゲットグループに登録するように設定する。
    • B. Amazon CloudFrontディストリビューションを作成する。カスタムSSL/TLS証明書を用いてディストリビューションを設定する。Auto Scalingグループをディストリビューションのオリジンとして設定する。
    • C. Network Load Balancer(NLB)を作成する。NLBにTCPリスナーを追加する。Auto ScalingグループをNLBのターゲットグループに登録するように設定する。
    • D. Gateway Load Balancer(GLB)を作成する。Auto ScalingグループをGLBのターゲットグループに登録するように設定する。

    この問題を見る →

  32. Q32. ある企業のアプリケーションチームは、VPC内に新しいリソースを起動できなくなっています。ネットワークエンジニアは、VPCの利用可能なIPアドレスが枯渇したことを発見しました。VPCのCIDRブロックは172.16.0.0/16です。 ネットワークエンジニアがVPCに追加でアタッチできるCIDRブロックはどれですか?

    • A. 172.17.0.0/29
    • B. 10.0.0.0/16
    • C. 172.17.0.0/16
    • D. 192.168.0.0/16

    この問題を見る →

  33. Q33. ある企業は、AWS環境とオンプレミスデータセンターを接続するために1 GbpsのAWS Direct Connect接続を使用しています。この接続により、従業員はAWS上でホストされているアプリケーションVPCにアクセスできます。多くのリモート従業員は、会社提供のVPNを使用してデータセンターに接続しています。これらの従業員は、営業時間中にアプリケーションにアクセスする際に遅延を報告しています。また、オンプレミスのユーザーもオフィス内で同様の遅延を報告し始めています。 企業はAWS上で追加のアプリケーションを構築する計画です。この追加アプリケーションは、現地およびリモートの従業員が利用します。この追加アプリケーションの展開後、企業は現在使用している帯域幅よりも20%多い帯域幅を必要とします。使用量の増加に伴い、企業はAWS接続の耐障害性を高めたいと考えています。ネットワークエンジニアは現在の実装をレビューし、限られた予算内で改善を行う必要があります。 これらの要件を最もコスト効率よく満たすために、ネットワークエンジニアは何を行うべきですか?

    • A. 追加のトラフィック負荷(リモート従業員および追加アプリケーションによる)に対応するため、新しい1 GbpsのDirect Connect専用接続を設定します。リンク集約グループ(LAG)を作成します。
    • B. アプリケーションVPCに対してAWS Site-to-Site VPN接続を展開します。リモート従業員がSite-to-Site VPN接続に接続できるよう、オンプレミス側のルーティングを設定します。
    • C. アプリケーションVPC内にAmazon WorkSpacesを展開し、リモート従業員にWorkSpacesへの接続を指示します。
    • D. 既存の1 Gbps Direct Connect接続を、2つの新しい2 Gbps Direct Connectホステッド接続に置き換えます。アプリケーションVPC内にAWS Client VPNエンドポイントを作成し、リモート従業員にClient VPNエンドポイントへの接続を指示します。

    この問題を見る →

  34. Q34. ある企業は、バージニア州のデータセンターからニューヨーク州のデータセンターへオンプレミスネットワークを移行しています。バージニア州およびニューヨーク州のデータセンター向けAWS Direct Connect接続は、どちらもus-east-1リージョンに関連付けられています。企業は、既存のDirect Connectホステッド接続上のプライベートVIFをバージニア州からニューヨーク州へ移行する必要があります。企業のオンプレミスネットワークは、us-east-1内のDirect Connectゲートウェイを介してVPCにアクセスするためにこの接続を使用しています。企業はすでに、新しいデータセンターからニューヨーク州のDirect Connectロケーションへの新しいDirect Connectホステッド接続を依頼済みです。これらの要件を最も短いダウンタイムで満たすソリューションはどれですか?

    • A. 新しいDirect Connectホステッド接続上に新しいプライベートVIFを作成します。新しいDirect Connectゲートウェイを作成し、そのゲートウェイを新しいプライベートVIFにアタッチします。新しいプライベートVIF上でBGPルーティングをバックアップルートとして設定します。メンテナンスウィンドウ中に既存のプライベートVIFのBGPをシャットダウンして切り替えを行い、既存のDirect Connect接続を廃止します。
    • B. 新しいDirect Connectホステッド接続上に新しいプライベートVIFを作成します。新しいプライベートVIFを既存のDirect Connectゲートウェイにアタッチします。新しいプライベートVIF上でBGPルーティングをバックアップルートとして設定します。メンテナンスウィンドウ中に既存のプライベートVIFのBGPをシャットダウンして切り替えを行い、既存のDirect Connect接続を廃止します。
    • C. メンテナンスウィンドウ中に、既存のプライベートVIFを新しいDirect Connectホステッド接続へ移行します。既存のプライベートVIFを既存のDirect Connectゲートウェイにアタッチします。既存のDirect Connect接続を廃止します。
    • D. メンテナンスウィンドウ中に、既存のプライベートVIFを削除し、新しいDirect Connectホステッド接続へ新しいプライベートVIFを作成します。新しいプライベートVIFを既存のDirect Connectゲートウェイにアタッチします。既存のDirect Connectホステッド接続を廃止します。

    この問題を見る →

  35. Q35. ある銀行会社は、AWS上でパブリックモバイルバンキングスタックを正常に運用しています。このモバイルバンキングスタックは、プライベートサブネットおよびパブリックスサブネットを含むVPCにデプロイされています。同社はIPv4ネットワーキングを使用しており、環境においてIPv6の展開およびサポートは行っていません。同社は第三者サービスプロバイダーのAPIを採用することを決定し、既存環境との統合が必要です。当該サービスプロバイダーのAPIはIPv6の使用を要求しています。ネットワークエンジニアは、プライベートサブネットにデプロイされた既存ワークロードに対してIPv6接続を有効化する必要があります。同社はパブリックインターネットからのIPv6トラフィックを許可したくなく、自社サーバーがすべてのIPv6接続を開始することを義務付けています。ネットワークエンジニアはVPCおよびプライベートサブネットでIPv6を有効化しました。これらの要件を満たすソリューションはどれですか?

    • A. VPC内にインターネットゲートウェイおよびNATゲートウェイを作成します。既存のサブネットルートテーブルにIPv6トラフィックをNATゲートウェイへ向けるルートを追加します。
    • B. VPC内にインターネットゲートウェイおよびNATインスタンスを作成します。既存のサブネットルートテーブルにIPv6トラフィックをNATインスタンスへ向けるルートを追加します。
    • C. VPC内にegress-only Internet gatewayを作成します。既存のサブネットルートテーブルにIPv6トラフィックをegress-only Internet gatewayへ向けるルートを追加します。
    • D. VPC内にegress-only internet gatewayを作成します。すべての受信トラフィックを拒否するセキュリティグループを設定し、そのセキュリティグループをegress-only internet gatewayに関連付けます。

    この問題を見る →

  36. Q36. 監視したい複数のAmazon Glacierボルトがあります。これらのボルトをどのように監視できますか?

    • A. カスタムAWS Configルールを作成します。
    • B. AWSマスターコンフィグルールを使用します。
    • C. AWSマネージドConfigルールを使用します。
    • D. KMSポリシーを作成し、それをAmazon Glacierボルトにアタッチします。

    この問題を見る →

  37. Q37. ある企業は、ap-southeast-2リージョン内のVPCへ、自社オフィスから2 GbpsのAWS Direct Connectホステッド接続を確立しています。ネットワークエンジニアは、同じリージョン内の別のDirect Connectロケーションから5 GbpsのDirect Connectホステッド接続を追加しました。これらのホステッド接続は、オフィス内の異なるルーターに接続されており、ルーター間にはiBGPセッションが実行されています。 ネットワークエンジニアは、VPCが5 Gbpsホステッド接続を用いてオフィスへのトラフィックをルーティングすることを保証したいと考えています。5 Gbpsホステッド接続がダウンした場合、2 Gbpsホステッド接続へのフェイルオーバーが発生する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. 2 Gbps接続に接続されたルーターから、アウトバウンドBGPポリシーを設定します。AWSに対して、より長いAS_PATH属性を持つルートをアドバタイズします。
    • B. 2 Gbps接続に接続されたルーターから、より長いプレフィックスルートをアドバタイズします。
    • C. 5 Gbps接続に接続されたルーターから、より汎用的なルートをアドバタイズします。
    • D. 5 Gbps接続に接続されたルーターから、アウトバウンドBGPポリシーを設定します。AWSに対して、より長いAS_PATH属性を持つルートをアドバタイズします。

    この問題を見る →

  38. Q38. ある企業は、フランス・パリのオンプレミスデータセンターとAWSクラウドとの間をAWS Direct Connect接続を用いて接続を確立しています。企業は、Direct Connect接続をヨーロッパ(パリ)リージョンでホストされているトランジットゲートウェイに接続するトランジットVIFを使用しています。企業は、トランジットゲートウェイにアタッチされた複数のVPC内のプライベートサブネットでワークロードをホストしています。企業は最近、東京・日本にあるオフィスビルでオンプレミスワークロードをホストする別の企業を買収しました。企業は、東京オフィスのワークロードをAWSへ移行する必要があります。これらのワークロードは、パリの既存のワークロードにアクセス可能である必要があります。また、東京オフィスビルとパリのデータセンター間の接続も確立する必要があります。アジアパシフィック(東京)リージョンで、企業はワークロード移行用にプライベートサブネットを備えた新しいVPCを作成しました。ワークロード移行は5日以内に完了する必要があります。ワークロードはインターネットから直接アクセス可能であってはなりません。これらの要件を満たすためにネットワークエンジニアが実行すべき手順のセットはどれですか?

    • A. 1. 東京VPC内にパブリックスサブネットを作成し、そこにワークロードを移行します。2. 東京オフィスが東京VPCに到達できるよう、東京VPCにインターネットゲートウェイを設定します。3. 東京のワークロードのセキュリティグループを、東京オフィスおよびパリのワークロードからのトラフィックのみを許可するように設定します。4. 東京VPCとパリのVPC間でピアリング接続を作成します。5. 既存のルーターを用いて、パリのデータセンターと東京オフィス間のVPN接続を設定します。
    • B. 1. アジアパシフィック(東京)リージョンにトランジットゲートウェイを設定し、このトランジットゲートウェイを東京VPCにアタッチします。2. 東京のトランジットゲートウェイとパリのトランジットゲートウェイ間でピアリング接続を作成します。3. 東京オフィスから東京のトランジットゲートウェイへ新しいDirect Connect接続を設定します。4. 両方のトランジットゲートウェイでルーティングを設定し、サイトおよびVPC間のデータフローを可能にします。
    • C. 1. アジアパシフィック(東京)リージョンにトランジットゲートウェイを設定し、このトランジットゲートウェイを東京VPCにアタッチします。2. 東京のトランジットゲートウェイとパリのトランジットゲートウェイ間でピアリング接続を作成します。3. 東京オフィスからAWS Site-to-Site VPN接続を設定し、ターゲットとして東京のトランジットゲートウェイを指定します。4. 両方のトランジットゲートウェイでルーティングを設定し、サイトおよびVPC間のデータフローを可能にします。
    • D. 1. 東京オフィスからパリのトランジットゲートウェイへのAWS Site-to-Site VPN接続を設定します。2. パリのトランジットゲートウェイと東京VPCの関連付けを作成します。3. パリのトランジットゲートウェイでルーティングを設定し、サイトおよびVPC間のデータフローを可能にします。

    この問題を見る →

  39. Q39. ある企業はハイブリッドクラウド環境を運用しています。企業はAWS Organizations内の組織として複数のAWSアカウントを持っています。企業は、AWS内のリソースにアクセスすることを許可するオンプレミスホストのIPv4アドレスリストを管理するソリューションを必要としています。このソリューションは、IPv4アドレスリストのバージョン管理を提供し、組織内のAWSアカウントにリストを提供する必要があります。

    • A. カスタマー管理のプレフィックスリストを作成します。初期のオンプレミスIPv4ホストのリストをエントリとして追加します。AWS Resource Access Managerでリソース共有を作成します。管理されたプレフィックスリストをこのリソース共有に追加し、組織と共有します。
    • B. カスタマー管理のプレフィックスリストを作成します。初期のオンプレミスIPv4ホストのリストをエントリとして追加します。AWS Firewall Managerを用いて、管理されたプレフィックスリストを組織と共有します。
    • C. セキュリティグループを作成します。初期のオンプレミスIPv4ホストのリストをインバウンドルールエントリとして追加します。AWS Resource Access Managerでリソース共有を作成します。このセキュリティグループをリソース共有に追加し、組織と共有します。
    • D. Amazon DynamoDBテーブルを作成します。初期のオンプレミスIPv4ホストのリストをエントリとして追加します。各AWSアカウントでロールを想定するAWS Lambda関数を作成し、DynamoDBテーブルのエントリに基づいてセキュリティグループのインバウンドルールを承認します。

    この問題を見る →

  40. Q40. ある企業はus-east-1リージョンに単一のVPCを保有しています。企業はus-east-2リージョンに新しいVPCを設定する計画です。既存のVPCは、オンプレミス環境へのAWS Site-to-Site VPN接続を有し、仮想プライベートゲートウェイを使用しています。ネットワークエンジニアは、既存のVPCと新しいVPC間の接続を確立するソリューションを実装する必要があります。また、このソリューションは新しいVPCに対してIPv6をサポートする必要があります。企業には、IPv6アドレスを用いてVPCリソースに接続する必要がある新しいオンプレミスリソースがあります。これらの要件を満たすソリューションはどれですか?

    • A. us-east-1に新しい仮想プライベートゲートウェイを作成します。新しい仮想プライベートゲートウェイを新しいVPCにアタッチします。IPv4およびIPv6対応の新しいSite-to-Site VPN接続を2つ、新しい仮想プライベートゲートウェイに作成します。VPCピアリングを用いてVPC間のルーティングを構成します。
    • B. us-east-1およびus-east-2にトランジットゲートウェイを作成します。既存のVPCおよび新しいVPCをそれぞれのトランジットゲートウェイにアタッチします。IPv4およびIPv6対応の新しいSite-to-Site VPN接続を各トランジットゲートウェイに作成します。トランジットゲートウェイピアリングを構成します。VPCおよびオンプレミス環境間のルーティングを構成します。
    • C. us-east-2に新しい仮想プライベートゲートウェイを作成します。新しい仮想プライベートゲートウェイを新しいVPCにアタッチします。IPv4およびIPv6対応の新しいSite-to-Site VPN接続を2つ、新しい仮想プライベートゲートウェイに作成します。VPCピアリングを用いてVPC間のルーティングを構成します。
    • D. us-east-1にトランジットゲートウェイを作成します。既存のVPCおよび新しいVPCをトランジットゲートウェイにアタッチします。IPv4およびIPv6対応の新しいSite-to-Site VPN接続を2つ、トランジットゲートウェイに作成します。トランジットゲートウェイピアリングを構成します。VPCおよびオンプレミス環境間のルーティングを構成します。

    この問題を見る →

  41. Q41. ある企業が、ユーザーの個人識別情報(PII)をホストするアプリケーションを運用しています。アプリケーションへのすべての接続は、楕円曲線暗号(ECC)を実装したTLS証明書によるHTTPSで保護される必要があります。このアプリケーションは、Web層とエンドユーザー間でステートフルな接続を使用します。複数のインスタンスでアプリケーションがホストされています。ネットワークエンジニアは、TLS接続をロードバランサーにオフロードするソリューションを実装する必要があります。これらの要件を満たすロードバランシングソリューションはどれですか?

    • A. Network Load Balancerをプロビジョニングします。AWS Identity and Access Management(IAM)にアップロードされたECC SSL証明書を使用するよう指定してTLSリスナーを設定します。エンドユーザーに接続するWebホストを監視するためにヘルスチェックを有効にします。
    • B. Application Load Balancerをプロビジョニングします。AWS Certificate Manager(ACM)にアップロードされたECC SSL証明書を使用するよう指定してHTTPSリスナーを設定します。デフォルトアクションとしてアプリケーションのURLへのリダイレクトを構成します。エンドユーザーに接続するWebホストを監視するためにヘルスチェックを有効にします。
    • C. Network Load Balancerをプロビジョニングします。AWS Certificate Manager(ACM)にアップロードされたECC SSL証明書を使用するよう指定してTLSリスナーを設定します。アプリケーションベースのセッションアフィニティ(ステッキーセッション)を有効にします。エンドユーザーに接続するWebホストを監視するためにヘルスチェックを有効にします。
    • D. Application Load Balancerをプロビジョニングします。AWS Identity and Access Management(IAM)にアップロードされたECC SSL証明書を使用するよう指定してHTTPSリスナーを設定します。デフォルトアクションとしてアプリケーションのURLへのリダイレクトを構成します。アプリケーションベースのセッションアフィニティ(ステッキーセッション)を有効にします。

    この問題を見る →

  42. Q42. ある物流会社は、AWSリージョン内で複数のVPCを運用しています。同社はトランジットゲートウェイを使用してこれらのVPCを相互接続しています。また、オンプレミスの複数のオフィスを、インターネット経由のAWS Site-to-Site VPN接続でトランジットゲートウェイに接続しています。各オフィスに対して1つのトランジットゲートウェイVPNアタッチメントが構成されています。すべてのルートテーブルでルート伝搬が有効化されています。各Site-to-Site VPN接続は、アクティブ/パッシブ構成で2つのトンネルを使用しています。同社は、各オフィスのSite-to-Site VPN接続およびカスタマーゲートウェイに適切な静的ルートを設定しました。同社は、各オフィスのIPsecトンネルを両方使用して、VPN接続全体の帯域幅を最大化したいと考えています。これらの要件を満たすために必要な設計変更はどれですか?

    • A. 各オフィスに対してAWS Transit Gateway Connectアタッチメントを作成します。既存のVPNアタッチメントを新しいConnectアタッチメントのトランスポートとして使用します。各カスタマーゲートウェイでGeneric Routing Encapsulation(GRE)トンネルを設定し、各オフィスのConnectアタッチメントで終端させます。トランジットゲートウェイVPNアタッチメントからカスタマーゲートウェイへの静的ルートを、トランジットゲートウェイConnectアタッチメント用に移動します。
    • B. トランジットゲートウェイで等コストマルチパス(ECMP)ルーティングを有効化します。カスタマーゲートウェイがECMPをサポートし、かつ有効化されていることを確認します。Site-to-Site VPN接続でECMPを有効化します。カスタマーゲートウェイ上の静的ルートが等しいメトリクスおよび管理距離を持つように設定します。
    • C. トランジットゲートウェイで等コストマルチパス(ECMP)ルーティングを有効化します。カスタマーゲートウェイがECMPをサポートし、かつ有効化されていることを確認します。トランジットゲートウェイとカスタマーゲートウェイ間のルーティング構成を静的ルーティングからBGPに変更します。カスタマーゲートウェイから関連する静的ルートを削除します。
    • D. トランジットゲートウェイで等コストマルチパス(ECMP)ルーティングを有効化します。カスタマーゲートウェイがECMPをサポートし、かつ有効化されていることを確認します。トランジットゲートウェイとカスタマーゲートウェイ間のルーティング構成を静的ルーティングからBGPに変更します。カスタマーゲートウェイが適切なコミュニティ文字列を適用し、トランジットゲートウェイがECMP転送を実行できるようにします。

    この問題を見る →

  43. Q43. ある企業がAWS上で新しいWebアプリケーションを開発しました。このアプリケーションは、us-east-1リージョンでAmazon Elastic Container Service(Amazon ECS)上にAWS Fargateで実行され、Application Load Balancer(ALB)の後ろで動作します。ドメインのDNSレコードはAmazon Route 53でホストされています。アプリケーションが提供するコンテンツは、頻繁に更新されない静的な画像およびファイルが主です。エンドユーザーからのトラフィックの大部分は米国から発生しますが、カナダおよびヨーロッパからも一部発生します。ネットワークエンジニアは、エンドユーザーのレイテンシを最小限に抑える低コストのソリューションを設計する必要があります。また、ALBに到達するまでのすべてのトラフィックがトランスポート中で暗号化されていることを保証する必要があります。これらの要件を満たすソリューションはどれですか?

    • A. ALBをus-east-1リージョンのAWS Global Acceleratorアクセラレータと連携させます。安全なHTTPSリスナーを設定します。カスタムドメイン名向けにAmazon Route 53でエイリアスレコードを作成します。このエイリアスレコードを、ALB用アクセラレータに割り当てられたDNS名へルーティングするよう設定します。
    • B. ALBを安全なHTTPSリスナーで構成します。Amazon CloudFrontディストリビューションを作成します。オリジンドメイン名をALBに割り当てられたDNSレコードを指すよう設定します。CloudFrontディストリビューションでSSL証明書を使用するよう構成します。すべてのビヘイビアでHTTPSを強制します。カスタムドメイン名向けにAmazon Route 53でエイリアスレコードを作成します。このエイリアスレコードをALBに割り当てられたDNS名へルーティングするよう設定します。
    • C. ALBを安全なHTTPSリスナーで構成します。Amazon CloudFrontディストリビューションを作成します。オリジンドメイン名をALBに割り当てられたDNSレコードを指すよう設定します。CloudFrontディストリビューションでSSL証明書を使用し、HTTPからHTTPSへのリダイレクトを構成します。カスタムドメイン名向けにAmazon Route 53でエイリアスレコードを作成します。このエイリアスレコードをCloudFrontディストリビューションに割り当てられたDNS名へルーティングするよう設定します。
    • D. ALBをus-east-1リージョンのAWS Global Acceleratorアクセラレータと連携させます。安全なHTTPSリスナーを設定します。eu-west-1リージョンでAmazon ECS on Fargate上に第2のアプリケーションスタックを作成します。別の安全なHTTPSリスナーを設定します。カスタムドメイン名向けにAmazon Route 53でエイリアスレコードを作成します。このエイリアスレコードを、ALB用アクセラレータおよび第2のALB用アクセラレータのDNS名へ、レイテンシベースルーティングポリシーでルーティングするよう設定します。

    この問題を見る →

  44. Q44. ある企業は、AWS環境への可視性を向上させたいと考えています。このAWS環境は、トランジットゲートウェイに接続された複数のVPCで構成されています。トランジットゲートウェイは、AWS Direct ConnectゲートウェイおよびトランジットVIFを使用した冗長なDirect Connect接続を介してオンプレミスのデータセンターに接続されています。企業は、オンプレミス側からDirect Connect経由でAWSに新規ルートがアドバタイズされるたびに通知を受け取る必要があります。これらの要件を満たすために、ネットワークエンジニアは何を行うべきですか?

    • A. Direct ConnectのAmazon CloudWatchメトリクスを有効化して受信ルートを追跡します。ルート変更時に通知を送信するようCloudWatchアラームを設定します。
    • B. Transit Gateway Network ManagerをAmazon CloudWatch Logs Insightsにオンボードします。Amazon EventBridge(Amazon CloudWatch Events)を使用して、ルート変更時に通知を送信します。
    • C. AWS Lambda関数を構成し、定期的にDirect Connectゲートウェイ上のルートをチェックし、ルート変更時に通知を送信します。
    • D. トランジットVIFでAmazon CloudWatch Logsを有効化して受信ルートを追跡します。メトリクスフィルターを作成し、フィルターに対するアラームを設定してルート変更時に通知を送信します。

    この問題を見る →

  45. Q45. グローバル企業が、us-west-2リージョン内のAWSリソースにプライベートにアクセスするハイブリッドアーキテクチャを設計しています。既存のアーキテクチャには、RFC 1918 IPアドレス空間を使用するVPCが含まれており、AWS Direct Connectを介してオンプレミスのデータセンターに接続されています。Amazon Route 53がVPC内での名前解決を提供しています。データセンター内のローカル管理DNSサーバーが、オンプレミスホストにDNSサービスを提供しています。 データセンター内のアプリケーションは、us-west-2リージョンのAmazon S3バケットからオブジェクトをダウンロードする必要があります。 この企業が、パブリックIPアドレス空間を使用せずにAmazon S3にアクセスするためのソリューションはどれですか?

    • A. VPC内にS3インターフェイスエンドポイントを作成します。オンプレミスアプリケーションの構成を更新し、S3インターフェイスエンドポイントにマップされたリージョンVPCエンドポイントDNSホスト名を使用するよう設定します。
    • B. VPC内にS3インターフェイスエンドポイントを作成します。VPC内にRoute 53 Resolverのインバウンドエンドポイントを構成します。データセンターのDNSサーバーを設定し、オンプレミスからS3ドメインに対するDNSクエリをインバウンドエンドポイントに転送するよう設定します。
    • C. VPC内にS3ゲートウェイエンドポイントを作成します。オンプレミスアプリケーションの構成を更新し、S3ゲートウェイエンドポイントにマップされたホスト名を使用するよう設定します。
    • D. VPC内にS3ゲートウェイエンドポイントを作成します。VPC内にRoute 53 Resolverのインバウンドエンドポイントを構成します。データセンターのDNSサーバーを設定し、オンプレミスからS3ドメインに対するDNSクエリをインバウンドエンドポイントに転送するよう設定します。

    この問題を見る →

  46. Q46. ある企業は、米国(US)のオンプレミスデータセンターとus-east-1リージョンのワークロードとの間にAWS Direct Connect接続を構築しています。この接続は、トランジットVIFを使用してデータセンターをus-east-1のトランジットゲートウェイに接続しています。 同社は、英国に新しいオンプレミスデータセンターを備えた欧州の新オフィスを開設します。Direct Connect接続により、この新しいデータセンターはeu-west-2リージョンで実行される単一のVPC内のワークロードと接続されます。同社は、米国のデータセンターおよびus-east-1と、欧州のデータセンターおよびeu-west-2を接続する必要があります。ネットワークエンジニアは、データセンターおよびリージョン間の完全な接続を、可能な限り最低のレイテンシで確立しなければなりません。 これらの要件を満たすために、ネットワークエンジニアはどのようにネットワークアーキテクチャを設計すべきですか?

    • A. Direct ConnectゲートウェイおよびプライベートVIFを使用して、eu-west-2のVPCを欧州のデータセンターに接続します。us-east-1のトランジットゲートウェイを同じDirect Connectゲートウェイに関連付けます。トランジットVIFおよびプライベートVIFに対してSiteLinkを有効化します。
    • B. eu-west-2のVPCを新しいトランジットゲートウェイに接続します。Direct Connectゲートウェイおよび新しいトランジットVIFを使用して、欧州のデータセンターを新しいトランジットゲートウェイに接続します。us-east-1のトランジットゲートウェイを同じDirect Connectゲートウェイに関連付けます。両方のトランジットVIFに対してSiteLinkを有効化し、2つのトランジットゲートウェイをピアリングします。
    • C. eu-west-2のVPCを新しいトランジットゲートウェイに接続します。Direct Connectゲートウェイおよび新しいトランジットVIFを使用して、欧州のデータセンターを新しいトランジットゲートウェイに接続します。新しいDirect Connectゲートウェイを作成します。us-east-1のトランジットゲートウェイを新しいDirect Connectゲートウェイに関連付けます。両方のトランジットVIFに対してSiteLinkを有効化し、2つのトランジットゲートウェイをピアリングします。
    • D. Direct ConnectゲートウェイおよびプライベートVIFを使用して、eu-west-2のVPCを欧州のデータセンターに接続します。新しいDirect Connectゲートウェイを作成します。us-east-1のトランジットゲートウェイを新しいDirect Connectゲートウェイに関連付けます。トランジットVIFおよびプライベートVIFに対してSiteLinkを有効化します。

    この問題を見る →

  47. Q47. ある企業のネットワークエンジニアは、トランジットゲートウェイと企業のオンプレミスネットワーク間でAWS Site-to-Site VPN接続を構成しています。Site-to-Site VPN接続は、2つのトンネルをアクティブ/アクティブモードでBGPを使用し、トランジットゲートウェイで等コストマルチパス(ECMP)ルーティングを有効化して構成されています。 ネットワークエンジニアがオンプレミスネットワークからAmazon EC2インスタンスへトラフィックを送信しようとすると、トラフィックは最初のトンネルを経由して送信されます。しかし、戻りトラフィックは2番目のトンネルを経由して受信され、カスタマーゲートウェイで破棄されます。ネットワークエンジニアは、全体のVPN帯域幅を低下させることなくこの問題を解決する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. カスタマーゲートウェイをAS PATHプリペンドおよびローカルプリファレンスを使用して構成し、一方のトンネルを他方よりも優先するようにします。
    • B. Site-to-Site VPNオプションを構成して、最初のトンネルをプライマリトンネルとして設定し、非対称ルーティングを排除します。
    • C. カスタマーゲートウェイの仮想トンネルインターフェイスを構成して、非対称ルーティングを許可します。
    • D. Site-to-Site VPNをアクティブ/アクティブモードで静的ルーティングを使用するよう構成し、トラフィックが優先パスを経由して流れるようにします。

    この問題を見る →

  48. Q48. ある企業が、VPC(VPC1)内の単一の可用性ゾーン(AZ1)にNATゲートウェイを設定し、VPC内のAmazon EC2ワークロードからインターネットへのアクセスを可能にしています。EC2ワークロードは、3つの可用性ゾーン(AZ1、AZ2、AZ3)のプライベートサブネットで実行されています。各サブネットのルートテーブルは、インターネットアクセスのためにNATゲートウェイを使用するよう構成されています。最近の障害時、NATゲートウェイの利用不能により、EC2ワークロードのインターネットアクセスが停止しました。ネットワークエンジニアは、アーキテクチャから単一障害点を除去し、組み込みの冗長性を提供するソリューションを実装する必要があります。これらの要件を満たすソリューションはどれですか?

    • A. 2つのNATゲートウェイを設定します。それぞれを異なるパブリックサブネットに配置し、分離された可用性ゾーン(AZ2およびAZ3)に配置します。プライベートサブネットのルートテーブルを構成し、2つのNATゲートウェイの仮想IPアドレスへトラフィックをルーティングするよう設定します。
    • B. 2つのNATゲートウェイを設定します。それぞれを異なるパブリックサブネットに配置し、分離された可用性ゾーン(AZ2およびAZ3)に配置します。ルートテーブルを構成し、AZ2のプライベートサブネットをAZ2のNATゲートウェイへ、同じルートテーブルでAZ3のプライベートサブネットをAZ3のNATゲートウェイへルーティングするよう設定します。
    • C. 第2のVPC(VPC2)を作成します。2つのNATゲートウェイを設定します。それぞれを異なるVPC(VPC1およびVPC2)および同一の可用性ゾーン(AZ2)に配置します。VPC1のルートテーブルを構成し、AZ2のプライベートサブネットを1つのNATゲートウェイへルーティングするよう設定します。VPC2のルートテーブルを構成し、AZ2のプライベートサブネットを第2のNATゲートウェイへルーティングするよう設定します。
    • D. 2つのNATゲートウェイを設定します。それぞれを異なるパブリックサブネットに配置し、分離された可用性ゾーン(AZ2およびAZ3)に配置します。ルートテーブルを構成し、AZ2のプライベートサブネットをAZ2のNATゲートウェイへルーティングするよう設定します。第2のルートテーブルを構成し、AZ3のプライベートサブネットをAZ3のNATゲートウェイへルーティングするよう設定します。

    この問題を見る →

  49. Q49. コンサルティング会社が顧客のAWSアカウントを管理しています。同社の顧客の1社は、環境の再構築を行わずに侵入防止機能を追加する必要があります。顧客の環境には、米国国内の2つのAWSリージョンに5つのVPCが存在し、VPCピアリングによりVPC間接続が実現されています。顧客は今後2年間でVPC数を増やす予定はありません。また、このソリューションは暗号化されていないトラフィックをサポートする必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. VPCセキュリティグループおよびネットワークACLを設定します。
    • B. 各VPCにAWS Network Firewallの集中展開モデルを導入します。
    • C. 各VPCにAWS Network Firewallの分散展開モデルを導入します。
    • D. 各VPCにAWS Shieldを展開します。

    この問題を見る →

  50. Q50. ある企業が、us-east-1リージョンおよびap-southeast-2リージョンのエッジロケーションでAWS Cloud WANを展開しています。各エッジロケーションにおいて、開発環境、本番環境、共有サービス環境向けに個別のAWS Cloud WANセグメントが構成されています。多数の新しいVPCが各環境向けに展開され、それらはAWS Cloud WANコアネットワークへのアタッチメントとして構成されます。企業のネットワークチームは、VPCアタッチメントが正しいセグメントに構成されることを保証したいと考えています。ネットワークチームは、VPCアタッチメントに「Environment」キーと対応する環境セグメント名を値とするタグを付与します。us-east-1リージョンにおける本番環境セグメントへのアタッチメント要求は、承認を必須としなければなりません。その他のすべてのアタッチメント要求は承認を不要とします。 これらの要件を満たすソリューションはどれですか?

    • A. 本番セグメントへのアタッチメントに承認を必須とするルール(優先度100)を作成します。このルールでは条件論理を「OR」に設定し、「tag:Environment」値が「Production」またはリージョン値が「us-east-1」であることを条件に含めます。任意の「tag:Environment」値をそれぞれのセグメントにマップするための承認不要ルール(優先度200)を作成します。
    • B. 本番セグメントへのアタッチメントに承認を必須とするルール(優先度100)を作成します。このルールでは条件論理を「AND」に設定し、「tag:Environment」値が「Production」かつリージョン値が「us-east-1」であることを条件に含めます。任意の「tag:Environment」値をそれぞれのセグメントにマップするための承認不要ルール(優先度200)を作成します。
    • C. 任意の「tag:Environment」値をそれぞれのセグメントにマップするための承認不要ルール(優先度100)を作成します。本番セグメントへのアタッチメントに承認を必須とするルール(優先度200)を作成します。このルールでは条件論理を「AND」に設定し、「tag:Environment」値が「Production」かつリージョン値が「us-east-1」であることを条件に含めます。
    • D. 任意の「tag:Environment」値をそれぞれのセグメントにマップするための承認不要ルール(優先度100)を作成します。本番セグメントへのアタッチメントに承認を必須とするルール(優先度200)を作成します。このルールでは条件論理を「OR」に設定し、「tag:Environment」値が「Production」またはリージョン値が「us-east-1」であることを条件に含めます。

    この問題を見る →

  51. Q51. ある企業が、VPC内にAWS Network Firewallファイアウォールを展開しました。ネットワークエンジニアは、ネットワークファイアウォールのフローログを、企業のAmazon OpenSearch Service(Amazon Elasticsearch Service)クラスターに可能な限り短時間で送信するソリューションを実装する必要があります。 これらの要件を満たすソリューションはどれですか?

    • A. Amazon S3バケットを作成します。Amazon OpenSearch Service(Amazon Elasticsearch Service)クラスターにログを読み込むAWS Lambda関数を作成します。S3バケットでAmazon Simple Notification Service(Amazon SNS)通知を有効化し、Lambda関数を起動します。ファイアウォールのフローログを有効化し、S3バケットを宛先として設定します。
    • B. Amazon OpenSearch Service(Amazon Elasticsearch Service)クラスターを宛先とするAmazon Kinesis Data Firehose配信ストリームを作成します。ファイアウォールのフローログを有効化し、AWS Network Firewallのフローログの宛先としてKinesis Data Firehose配信ストリームを設定します。
    • C. ファイアウォールのフローログを有効化し、AWS Network Firewallのフローログの宛先としてAmazon OpenSearch Service(Amazon Elasticsearch Service)クラスターを直接設定します。
    • D. Amazon OpenSearch Service(Amazon Elasticsearch Service)クラスターを宛先とするAmazon Kinesisデータストリームを作成します。ファイアウォールのフローログを有効化し、AWS Network Firewallのフローログの宛先としてKinesisデータストリームを設定します。

    この問題を見る →

  52. Q52. セキュリティチームが企業のAWS展開について監査を実施しています。セキュリティチームは、2つのアプリケーションがネットワークACLおよびセキュリティグループによってブロックされるべきリソースにアクセスしている可能性があることに懸念しています。これらのアプリケーションは、Amazon VPC Container Network Interface(CNI)プラグインを使用する2つのAmazon Elastic Kubernetes Service(Amazon EKS)クラスターに展開されており、同一VPC内の別々のサブネットに配置されています。また、クラスターオートスケーラーが構成されています。 セキュリティチームは、VPC全体でどのPOD IPアドレスがどのサービスと通信しているかを特定する必要があります。さらに、フローログの数を最小限に抑え、2つのアプリケーションからのトラフィックのみを調査したいと考えています。 これらの要件を満たすソリューションのうち、運用オーバーヘッドが最も少ないものはどれですか?

    • A. デフォルト形式でVPCフローログを作成します。EKSノードからのみフローログを収集するフィルターを作成します。フローログにsrcaddrフィールドおよびdstaddrフィールドを含めます。
    • B. カスタム形式でVPCフローログを作成します。EKSノードをリソースとして指定します。フローログにpkt-srcaddrフィールドおよびpkt-dstaddrフィールドを含めます。
    • C. カスタム形式でVPCフローログを作成します。アプリケーションのサブネットをリソースとして指定します。フローログにpkt-srcaddrフィールドおよびpkt-dstaddrフィールドを含めます。
    • D. カスタム形式でVPCフローログを作成します。EKSノードからのみフローログを収集するフィルターを作成します。フローログにpkt-srcaddrフィールドおよびpkt-dstaddrフィールドを含めます。

    この問題を見る →

  53. Q53. ある企業はグローバルネットワークを運用しており、Transit Gatewayを使用してAWSリージョン間を接続しています。企業は、異なるリージョンにある2つのAmazon EC2インスタンスが互いに通信できないことに気づきました。ネットワークエンジニアは、この接続性の問題をトラブルシューティングする必要があります。 この要件を満たすために、ネットワークエンジニアは何を行うべきですか?

    • A. AWS Network Manager Route Analyzerを使用して、Transit GatewayのルートテーブルおよびVPCのルートテーブル内のルートを分析します。VPCフローログを使用して、VPC内のセキュリティグループルールおよびネットワークACLルールが許可または拒否するIPトラフィックを分析します。
    • B. AWS Network Manager Route Analyzerを使用して、Transit Gatewayのルートテーブル内のルートを分析します。VPCのルートテーブルが正しいことを確認します。AWS Firewall Managerを使用して、VPC内のセキュリティグループルールおよびネットワークACLルールが許可または拒否するIPトラフィックを分析します。
    • C. AWS Network Manager Route Analyzerを使用して、Transit Gatewayのルートテーブル内のルートを分析します。VPCのルートテーブルが正しいことを確認します。VPCフローログを使用して、VPC内のセキュリティグループルールおよびネットワークACLルールが許可または拒否するIPトラフィックを分析します。
    • D. VPC Reachability Analyzerを使用して、Transit Gatewayのルートテーブル内のルートを分析します。VPCのルートテーブルが正しいことを確認します。VPCフローログを使用して、VPC内のセキュリティグループルールおよびネットワークACLルールが許可または拒否するIPトラフィックを分析します。

    この問題を見る →

  54. Q54. ある企業は、オンプレミスのカスタマーゲートウェイとTransit Gatewayとの間に複数のAWS Site-to-Site VPN接続を構築しています。企業のアプリケーションはIPv4を使用してVPN接続経由で通信します。企業はVPCをデュアルスタックに更新し、新規ワークロードについてはIPv6のみを使用するように移行したいと考えています。既存のVPN接続経由で通信を試みると、IPv6トラフィックが失敗します。 最小の運用オーバーヘッドでIPv6をサポートするソリューションはどれですか?

    • A. IPv6をサポートする新しいSite-to-Site VPN接続を作成します。
    • B. オープンソースソフトウェアを実行する自己管理型のAmazon EC2インスタンスへの新しいSite-to-Site VPN接続を作成します。
    • C. 既存のSite-to-Site VPN接続をIPv6対応に更新します。
    • D. オンプレミスのカスタマーゲートウェイのパブリックIPアドレスをIPv4からIPv6に更新します。

    この問題を見る →

  55. Q55. ネットワークエンジニアは、オンプレミスのデータセンターとVPCの間で暗号化された接続を構築する必要があります。ネットワークエンジニアはVPCを仮想プライベートゲートウェイにアタッチし、AWS Site-to-Site VPN接続を設定しました。設定後にVPNトンネルはUP状態となり、正常に動作しています。しかし、VPNネゴシエーションのフェーズ2における再鍵交換時、カスタマーゲートウェイデバイスが自身がサポートする設定とは異なるパラメーターを受信しています。 ネットワークエンジニアはVPNトンネルのIPsec設定を確認しました。カスタマーゲートウェイデバイスは、AWS Site-to-Site VPN設定ファイルが提供する最も安全な暗号化アルゴリズムで構成されていることがわかりました。 この問題をトラブルシューティングし、修正するためにネットワークエンジニアは何を行うべきですか?

    • A. ネイティブの仮想プライベートゲートウェイのログを確認します。VPNトンネルのオプションを仮想プライベートゲートウェイが要求する特定のVPNパラメーターに制限します。
    • B. ネイティブのカスタマーゲートウェイのログを確認します。VPNトンネルのオプションをカスタマーゲートウェイが要求する特定のVPNパラメーターに制限します。
    • C. 仮想プライベートゲートウェイのAmazon CloudWatchログを確認します。VPNトンネルのオプションを仮想プライベートゲートウェイが要求する特定のVPNパラメーターに制限します。
    • D. カスタマーゲートウェイのAmazon CloudWatchログを確認します。VPNトンネルのオプションをカスタマーゲートウェイが要求する特定のVPNパラメーターに制限します。

    この問題を見る →

  56. Q56. ある企業は、example.comのパブリックホステッドゾーンをAmazon Route 53でホストしています。ネットワークエンジニアは最近、いくつかのレコードのTTLを60秒に短縮しました。ネットワークエンジニアは、この変更が、変更前の企業が特定した予測レベルを超えてRoute 53へのクエリ数を増加させているかどうかを評価したいと考えています。ネットワークエンジニアは、example.comのパブリックホステッドゾーンに対して行われたクエリ数を取得する必要があります。 この情報を提供するソリューションはどれですか?

    • A. Route 53データイベントを含む新しいAWS CloudTrailトレールを作成します。ログをAmazon CloudWatch Logsに送信します。CloudWatchメトリクスフィルターを設定してクエリ数をカウントし、グラフを作成します。
    • B. Amazon CloudWatchを使用してAWS/Route 53名前空間にアクセスし、パブリックホステッドゾーンのDNS Queriesメトリクスを確認します。
    • C. Amazon CloudWatchを使用してAWS/Route 53 Resolver名前空間にアクセスし、特定のエンドポイントのInbound Query Volumeメトリクスを確認します。
    • D. パブリックホステッドゾーンのAmazon CloudWatchへのログ記録を構成します。CloudWatchメトリクスフィルターを設定してクエリ数をカウントし、グラフを作成します。

    この問題を見る →

  57. Q57. ソフトウェア・アズ・ア・サービス(SaaS)企業が、自社のプライベートSaaSアプリケーションをAWSへ移行しています。同社には数百の顧客がおり、VPNトンネルを介して複数のデータセンターに接続しています。顧客数の増加に伴い、複雑なNATルールによるルーティングおよび顧客セグメンテーションの管理が困難になっています。AWSへの移行完了後、同社のAWS顧客は自社VPCからSaaSアプリケーションに直接アクセスできる必要があります。一方で、オンプレミスの顧客は引き続きIPsec暗号化トンネル経由での接続を維持する必要があります。これらの要件を満たすソリューションはどれですか?

    • A. AWS顧客のVPCを共有Transit Gatewayに接続します。オンプレミス顧客向けには、Transit GatewayへのAWS Site-to-Site VPN接続を使用します。
    • B. AWS顧客向けにはAWS PrivateLinkを使用します。オンプレミスのSite-to-Site VPN接続をSaaSアプリケーションVPC内で終端させるために、サードパーティ製ルーティングアプライアンスを使用します。
    • C. 各AWS顧客のVPCをSaaSアプリケーションをホストするVPCとピアリングします。SaaS VPCのVirtual Private Gateway上でAWS Site-to-Site VPN接続を作成します。
    • D. 各AWS顧客のVPCをSaaSアプリケーションをホストするVPCにSite-to-Site VPNトンネルで接続します。オンプレミス顧客にはAWS Site-to-Site VPNを使用します。

    この問題を見る →

  58. Q58. 不動産会社が、不動産エージェントが物件の写真および動画をアップロードできる内部アプリケーションを開発しています。このアプリケーションは、これらの写真および動画をAmazon S3バケット内のオブジェクトとして保存し、対応するメタデータをAmazon DynamoDBに保存します。S3バケットは、新しいオブジェクトのPUTイベントをすべてAmazon Simple Queue Service(Amazon SQS)キューに送信するように設定されます。 Amazon EC2インスタンスから構成されるコンピュートクラスターがSQSキューをポーリングし、新規アップロードされたオブジェクトを検出します。このクラスターは、新規オブジェクトを取得し、独自の画像および動画認識・分類を実行し、DynamoDB内のメタデータを更新し、ウォーターマーク付きの新しいオブジェクトに置き換えます。同社はEC2インスタンスにパブリックIPアドレスを割り当てたくないとしています。 アプリケーションの利用が増加した際に、これらの要件を最もコスト効率よく満たすネットワーキング設計ソリューションはどれですか?

    • A. EC2インスタンスをパブリックサブネットに配置します。EC2インスタンスの起動時に「自動割り当てパブリックIP」オプションを無効化します。インターネットゲートウェイを作成し、VPCにアタッチします。パブリックサブネットのルートテーブルに、インターネットゲートウェイを指すデフォルトルートを追加します。
    • B. EC2インスタンスをプライベートサブネットに配置します。同一可用性ゾーン内のパブリックサブネットにNATゲートウェイを作成します。インターネットゲートウェイを作成し、VPCにアタッチします。パブリックサブネットのルートテーブルに、インターネットゲートウェイを指すデフォルトルートを追加します。
    • C. EC2インスタンスをプライベートサブネットに配置します。Amazon SQS用のインターフェイスVPCエンドポイントを作成します。Amazon S3およびDynamoDB用のゲートウェイVPCエンドポイントを作成します。
    • D. EC2インスタンスをプライベートサブネットに配置します。Amazon SQS用のゲートウェイVPCエンドポイントを作成します。Amazon S3およびDynamoDB用のインターフェイスVPCエンドポイントを作成します。

    この問題を見る →

  59. Q59. ある企業は、自社AWS環境内のAmazon EC2インスタンスから発生する可能性のあるボットネットのコマンド&コントロール(C&C)トラフィックから保護する必要があります。これらの要件を満たすソリューションはどれですか?

    • A. AWS Shield Advancedを使用します。EC2インスタンスに対してShield Advancedの保護を有効化し、ボットネットトラフィックをフィルタリングおよびブロックします。
    • B. Amazon Route 53 Resolver DNS Firewallを使用します。ルールグループにルールを追加し、AWSManagedDomainsBotnetCommandandControlマネージドドメインリストを用いてボットネットトラフィックをブロックするアクションを指定します。
    • C. AWS WAF Bot Controlを使用します。AWSが提供するマネージドルールセットを用いたマネージドルールグループを構成し、ボットネットトラフィックをブロックします。
    • D. AWS Systems Managerを使用します。EC2インスタンス上でSystems Manager Automationランブックを実行し、ボットネットトラフィックをブロックするようインスタンスを設定します。

    この問題を見る →

  60. Q60. ある企業が単一のAWSアカウント内でTransit Gatewayを運用しています。同社は、このTransit GatewayのフローログをAmazon CloudWatch Logsのロググループに送信しています。また、ログを分析するAWS Lambda関数を作成しました。このLambda関数は、VPCから生成されたトラフィックがTransit Gatewayによって破棄された場合に、Amazon Simple Notification Service(Amazon SNS)トピックへ通知を送信します。各通知にはアカウントID、VPC ID、および破棄されたパケット総数が含まれます。同社は、このSNSトピックに新しいLambda関数をサブスクライブしたいと考えています。この新しいLambda関数は、各通知で特定されたトラフィックを、該当VPCのTransit Gatewayアタッチメントサブネットに適用されるネットワークACLを用いて、VPCから流出しないよう自動的に防止する必要があります。

    • A. 既存のLambda関数を設定し、破棄されたトラフィックの宛先IPアドレスを各SNS通知に追加します。新しいLambda関数を設定し、ネットワークACLのアウトバウンドルールを、通知内の宛先IPアドレスを用いて作成します。
    • B. 既存のLambda関数を設定し、破棄されたトラフィックの送信元IPアドレスを各SNS通知に追加します。新しいLambda関数を設定し、ネットワークACLのインバウンドルールを、通知内の送信元IPアドレスを用いて作成します。
    • C. 既存のLambda関数を設定し、破棄されたトラフィックの送信元IPアドレスを各SNS通知に追加します。新しいLambda関数を設定し、ネットワークACLのアウトバウンドルールを、通知内の送信元IPアドレスを用いて作成します。
    • D. 既存のLambda関数を設定し、破棄されたトラフィックの宛先IPアドレスを各SNS通知に追加します。新しいLambda関数を設定し、ネットワークACLのインバウンドルールを、通知内の宛先IPアドレスを用いて作成します。

    この問題を見る →

  61. Q61. スタートアップ企業のアプリケーションチームが、新しいマルチティアアプリケーションをAWSクラウドに展開しようとしています。このアプリケーションは、パブリックにアクセス可能なNetwork Load Balancer(NLB)の背後に配置されたAuto Scalingグループで実行されるAmazon EC2インスタンスのファleet上でホストされます。アプリケーションは、クライアントがUDPトラフィックおよびTCPトラフィックを扱えることを要求します。 短期的には、アプリケーションは同一地理的地域内のユーザーのみを対象とします。アプリケーションチームは、将来的にグローバルなユーザー層へ拡張し、世界中の複数のAWSリージョンに展開して、エンドユーザーにアプリケーションをより近づける計画です。また、新しいリージョンではアプリケーションの新バージョンを展開し、ロールアウト中に各リージョンが受け取るトラフィック量を制御できるようにしたいと考えています。さらに、エンドユーザーに対する最初のバイトまでの遅延(first-byte latency)およびジッター(ランダムな遅延)を最小限に抑える必要があります。

    • A. 各リージョン展開に合わせてAmazon CloudFrontディストリビューションを作成します。各リージョンのNLBを各CloudFrontディストリビューションのオリジンとして設定します。新しいリージョン展開へのトラフィック制御には、Amazon Route 53のウェイト付きルーティングポリシーを使用します。
    • B. AWS Global Acceleratorのアクセラレータおよび必要なポート用のリスナーを作成します。各リージョンごとにエンドポイントグループを構成します。新しいリージョン展開へのトラフィック制御のために、エンドポイントグループのトラフィックダイアルを構成します。NLBをエンドポイントグループに登録します。
    • C. 各リージョンのアプリケーションに対してAmazon S3 Transfer Accelerationを使用します。Transfer AccelerationエンドポイントからリージョンのNLBへのトラフィック量を調整します。
    • D. オリジングループを含むAmazon CloudFrontディストリビューションを作成します。各リージョンのNLBをオリジングループのオリジンとして設定します。新しいリージョン展開へのトラフィック制御には、Amazon Route 53のレイテンシールーティングポリシーを使用します。

    この問題を見る →

  62. Q62. ある企業が、複数のAWSリージョンにまたがる複数のVPCに新しいアプリケーションを展開しています。これらのVPCはAWS Transit Gatewayを介して接続されています。各VPCにはプライベートサブネットおよびパブリックサブネットが含まれています。プライベートサブネット内のすべてのアウトバウンドインターネットトラフィックは監査およびログ記録される必要があります。同社のネットワークエンジニアはAWS Network Firewallを使用する予定であり、Network Firewallを通過するすべてのトラフィックが完全にログ記録され、監査およびアラート目的で利用可能であることを保証する必要があります。これらの要件を満たすために、ネットワークエンジニアはNetwork Firewallのログ記録をどのように構成すべきですか?

    • A. Amazon CloudWatchでNetwork Firewallのログ記録を構成し、すべてのアラートをキャプチャします。ログをAmazon CloudWatch Logsのロググループに送信します。
    • B. Network FirewallでNetwork Firewallのログ記録を構成し、すべてのアラートおよびフローログをキャプチャします。
    • C. ファイアウォールエンドポイントのVPCフローログを構成することでNetwork Firewallのログ記録を構成します。ログをAmazon CloudWatch Logsのロググループに送信します。
    • D. AWS CloudTrailを構成し、データイベントをキャプチャすることでNetwork Firewallのログ記録を構成します。

    この問題を見る →

  63. Q63. ある企業がアプリケーションを展開しようとしています。このアプリケーションは、Amazon Elastic Container Service(Amazon ECS)クラスター内の一連のコンテナで実装されています。同社はタスクに対してFargate起動タイプを使用します。コンテナはSSL接続を介して開始される接続性を必要とするワークロードを実行します。トラフィックは、他のAWSアカウントからプライベート接続を介してアプリケーションに到達可能である必要があります。また、アプリケーションは、より多くの利用者が利用するにつれて、管理可能な方法でスケールする必要があります。

    • A. ECSサービスのロードバランサーとしてGateway Load Balancer(GLB)を選択します。Amazon ECSが必要に応じてターゲットグループに新しいタスクを追加できるよう、ライフサイクルフックを作成します。サービス定義でGLBを指定します。外部AWSアカウント向けにVPCピアリングを作成します。ルートテーブルを更新し、AWSアカウントがGLBに到達できるようにします。
    • B. ECSサービスのロードバランサーとしてApplication Load Balancer(ALB)を選択します。パスベースのルーティングルールを作成し、ターゲットグループに登録されたコンテナをアプリケーションがターゲットにできるようにします。サービス定義でALBを指定します。ALB用のVPCエンドポイントサービスを作成し、他のAWSアカウントと共有します。
    • C. ECSサービスのロードバランサーとしてApplication Load Balancer(ALB)を選択します。パスベースのルーティングルールを作成し、ターゲットグループに登録されたコンテナをアプリケーションがターゲットにできるようにします。サービス定義でALBを指定します。外部AWSアカウント向けにVPCピアリングを作成します。ルートテーブルを更新し、AWSアカウントがALBに到達できるようにします。
    • D. ECSサービスのロードバランサーとしてNetwork Load Balancer(NLB)を選択します。サービス定義でNLBを指定します。NLB用のVPCエンドポイントサービスを作成し、他のAWSアカウントと共有します。

    この問題を見る →

  64. Q64. ある企業が、単一のAWSリージョン内の新しいVPCに2層Webアプリケーションを展開する計画です。同社は、インターネットゲートウェイおよび4つのサブネットを備えたVPCを構成しました。そのうち2つはパブリックサブネットであり、インターネットゲートウェイを指すデフォルトルートを持っています。残り2つはプライベートサブネットであり、デフォルトルートを持たない共通のルートテーブルを共有しています。 アプリケーションは、外部Application Load Balancer(ALB)の背後に配置される一連のAmazon EC2インスタンスで実行されます。EC2インスタンスはインターネットから直接アクセスできないようにする必要があります。アプリケーションは、同一リージョン内のAmazon S3バケットをデータ保存先として使用します。EC2インスタンスからS3 GET APIおよびS3 PUT API操作が呼び出されます。ネットワークエンジニアは、データ転送コストを最小限に抑えるVPCアーキテクチャを設計する必要があります。

    • A. EC2インスタンスをパブリックサブネットに配置します。VPC内にS3インターフェイスエンドポイントを作成します。アプリケーション設定を変更し、S3エンドポイント固有のDNSホスト名を使用するようにします。
    • B. EC2インスタンスをプライベートサブネットに配置します。VPC内にNATゲートウェイを作成します。プライベートサブネットのルートテーブルにNATゲートウェイを指すデフォルトルートを作成します。NATゲートウェイを経由してAmazon S3に接続します。
    • C. EC2インスタンスをプライベートサブネットに配置します。VPC内にS3ゲートウェイエンドポイントを作成します。エンドポイント作成時にプライベートサブネットのルートテーブルを指定し、Amazon S3へのルートを作成します。
    • D. EC2インスタンスをプライベートサブネットに配置します。VPC内にS3インターフェイスエンドポイントを作成します。アプリケーション設定を変更し、S3エンドポイント固有のDNSホスト名を使用するようにします。

    この問題を見る →

  65. Q65. ある企業が、Amazon EC2インスタンス上で新しいWebアプリケーションを展開します。このアプリケーションは、Application Load Balancer(ALB)の後ろにある3つの可用性ゾーン内のプライベートサブネットで実行されます。セキュリティ監査担当者は、すべての接続を暗号化することを要求しています。企業はDNSにAmazon Route 53を使用し、AWS Certificate Manager(ACM)を用いてSSL/TLS証明書のプロビジョニングを自動化しています。SSL/TLS接続はALB上で終端されます。企業は単一のEC2インスタンスでアプリケーションをテストし、問題は観測されませんでした。しかし、本番環境への展開後、ユーザーはログインできるもののアプリケーションを利用できないと報告しています。すべての新しいWebリクエストでログインプロセスが再始動します。ネットワークエンジニアは、この問題を解決するために何を行うべきですか?

    • A. ALBリスナー設定を変更します。トラフィックをターゲットグループに転送するルールを編集し、グループレベルのステッキネスを有効化します。期間をアプリケーションの最大セッション長に設定します。
    • B. ALBをNetwork Load Balancerに置き換えます。TLSリスナーを作成します。プロトコルタイプをTLSに設定した新しいターゲットグループを作成し、EC2インスタンスを登録します。ターゲットグループ設定でステッキネス属性を有効化します。
    • C. ALBターゲットグループ設定を変更し、ステッキネス属性を有効化します。アプリケーションベースのCookieを使用します。期間をアプリケーションの最大セッション長に設定します。
    • D. ALBを削除します。アプリケーション名に対してフェイルオーバールーティングポリシーを指定したAmazon Route 53ルールを作成します。ACMを構成して各EC2インスタンス向けに証明書を発行します。

    この問題を見る →

  66. Q66. ある企業が、Application Load Balancer(ALB)の後ろで動作するWebアプリケーションを、Amazon EC2インスタンスのクラスター上でホストしています。これらのインスタンスはAuto Scalingグループ内にあります。企業は、ALBをオリジンとするAmazon CloudFrontディストリビューションを使用しています。アプリケーションは最近攻撃を受けました。これに対応して、企業はCloudFrontディストリビューションに関連付けられたAWS WAF Web ACLを適用しました。企業は、Amazon Athenaを用いてAWS WAFが検出したアプリケーション攻撃を分析する必要があります。この要件を満たすソリューションはどれですか?

    • A. ALBおよびEC2インスタンスのサブネットに対してVPCフローログを有効化します。VPCフローログをAmazon S3バケットへ配信するよう設定し、ログ分析を行います。
    • B. AWS CloudTrailでデータイベントをキャプチャするトレールを作成します。トレールをAmazon S3バケットへログを配信するよう設定し、ログ分析を行います。
    • C. AWS WAF Web ACLを設定して、Amazon Kinesis Data Firehose配信ストリームへログを送信します。ストリームを設定して、データをAmazon S3バケットへ配信し、ログ分析を行います。
    • D. ALBのアクセスログ記録を有効化します。アクセスログをAmazon S3バケットへ配信するよう設定し、ログ分析を行います。

    この問題を見る →

  67. Q67. ある企業が既存のアプリケーションを新しいAWSアカウントへ移行しています。企業は、1つのAWSリージョン内で1つのVPCおよび複数の可用性ゾーンを用いてアプリケーションを展開します。アプリケーションはAmazon EC2インスタンス上で実行されます。各可用性ゾーンには複数のEC2インスタンスが配置されます。EC2インスタンスはプライベートサブネットにデプロイされます。 顧客はHTTPSプロトコルを用いたWebブラウザでアプリケーションに接続します。受信接続は可用性ゾーンおよびEC2インスタンス間で分散される必要があります。また、同一クライアントセッションからのすべての接続は、同一のEC2インスタンスに接続される必要があります。企業は、アプリケーションのSSL証明書を用いて、クライアントとアプリケーション間のすべての接続についてエンドツーエンド暗号化を提供しなければなりません。

    • A. Network Load Balancerを作成します。ターゲットグループを作成し、プロトコルをTCP、ポートを443に設定します。セッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。リスナーを作成し、プロトコルをTCP、ポートを443に設定します。EC2インスタンスにSSL証明書をデプロイします。
    • B. Application Load Balancerを作成します。ターゲットグループを作成し、プロトコルをHTTP、ポートを80に設定します。アプリケーションベースのCookieポリシーを用いたセッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。HTTPSリスナーを作成し、デフォルトアクションをターゲットグループへの転送に設定します。AWS Certificate Manager(ACM)を用いてリスナー向けの証明書を作成します。
    • C. Network Load Balancerを作成します。ターゲットグループを作成し、プロトコルをTLS、ポートを443に設定します。セッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。リスナーを作成し、プロトコルをTLS、ポートを443に設定します。アプリケーション向けにAWS Certificate Manager(ACM)を用いて証明書を作成します。
    • D. Application Load Balancerを作成します。ターゲットグループを作成し、プロトコルをHTTPS、ポートを443に設定します。アプリケーションベースのCookieポリシーを用いたセッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。HTTPリスナーを作成し、ポートを443に設定します。デフォルトアクションをターゲットグループへの転送に設定します。

    この問題を見る →

  68. Q68. ネットワークエンジニアは、仮想プライベートゲートウェイ、カスタマーゲートウェイ、VPN接続、およびルートテーブル内の静的ルートを作成するAWS CloudFormationテンプレートを開発しなければなりません。テンプレートのテスト中に、ネットワークエンジニアはCloudFormationテンプレートがエラーを発生させ、ロールバックしていることに気づきました。

    • A. CloudFormationテンプレート内のリソース作成順序を変更します。
    • B. 仮想プライベートゲートウェイのリソース宣言にDependsOn属性を追加し、ルートテーブルエントリリソースを指定します。
    • C. 仮想プライベートゲートウェイの作成を待機するためのWaitConditionをテンプレートに追加します。
    • D. ルートテーブルエントリのリソース宣言にDependsOn属性を追加し、仮想プライベートゲートウェイリソースを指定します。

    この問題を見る →

  69. Q69. ある企業が、Application Load Balancer(ALB)の後ろで動作するWebアプリケーションをAmazon EC2インスタンス上でホストしています。ALBはAmazon CloudFrontディストリビューションのオリジンです。企業は、認証済み顧客にトークンを提供するカスタム認証システムを実装したいと考えています。 Webアプリケーションは、コンテンツを配信する前にGET/POSTリクエストが認証済み顧客から送信されたことを保証しなければなりません。ネットワークエンジニアは、Webアプリケーションが承認済み顧客を識別できるようにするソリューションを設計しなければなりません。 これらの要件を満たす最も運用効率の高いソリューションはどれですか?

    • A. ALBを用いてGET/POSTリクエストペイロード内の認証済みトークンを検査します。AWS Lambda関数を用いて、認証済み顧客リクエストであることをWebアプリケーションに通知するカスタマイズヘッダーを挿入します。
    • B. ALBと統合されたAWS WAFを用いてGET/POSTリクエストペイロード内の認証済みトークンを検査します。ALBリスナーを構成して、認証済み顧客リクエストであることをWebアプリケーションに通知するカスタマイズヘッダーを挿入します。
    • C. AWS Lambda@Edge関数を用いてGET/POSTリクエストペイロード内の認証済みトークンを検査します。Lambda@Edge関数を用いて、認証済み顧客リクエストであることをWebアプリケーションに通知するカスタマイズヘッダーも挿入します。
    • D. サードパーティ製パケット検査ツールを搭載したEC2インスタンスをセットアップし、GET/POSTリクエストペイロード内の認証済みトークンを検査します。ツールを構成して、認証済み顧客リクエストであることをWebアプリケーションに通知するカスタマイズヘッダーを挿入します。

    この問題を見る →

  70. Q70. グローバルな配送会社が、その車両管理システムをモダナイズしています。同社には複数の事業部門があり、それぞれが独自のAWSアカウント内で分離されたアプリケーションVPCにホストされるアプリケーションを設計・維持しています。各事業部門のアプリケーションは、中央の共有サービスVPCからデータを取得するように設計されています。 同社は、粒度の高いセキュリティ制御を提供するネットワーク接続アーキテクチャを望んでいます。また、今後さらに多くの事業部門が中央の共有サービスVPCからデータを利用する際に、アーキテクチャがスケール可能である必要があります。

    • A. 中央のトランジットゲートウェイを作成します。各アプリケーションVPCに対してVPCアタッチメントを作成します。トランジットゲートウェイを用いて、すべてのVPC間でフルメッシュ接続を提供します。
    • B. 中央の共有サービスVPCと各事業部門のAWSアカウント内の各アプリケーションVPCとの間にVPCピアリング接続を作成します。
    • C. 中央の共有サービスVPC内でAWS PrivateLinkを活用したVPCエンドポイントサービスを作成します。各アプリケーションVPCにVPCエンドポイントを作成します。
    • D. AWSマーケットプレイスのVPNアプライアンスを用いた中央トランジットVPCを作成します。各VPCからトランジットVPCへのVPNアタッチメントを作成します。すべてのVPC間でフルメッシュ接続を提供します。

    この問題を見る →

  71. Q71. ネットワークエンジニアは、既存のネットワークに対して2番目のAWS Direct Connect接続を構成しました。ネットワークエンジニアは、AWS Direct Connect Resiliency Toolkitを用いて接続のテストを実行しました。テストは失敗しました。フェイルオーバーイベント中、ネットワークエンジニアはトラフィックがフェイルオーバー接続に切り替わるまで90秒の中断を観測しました。フェイルオーバー時間を短縮するソリューションはどれですか?

    • A. BGPヘルロタイマーを5秒に短縮します。
    • B. 接続ソリューションにVPN接続を追加し、ファストフェイルオーバーを実装します。
    • C. オンプレミスルーターで双方向転送検出(BFD)を構成します。
    • D. BGPホールドダウンタイマーを5秒に短縮します。

    この問題を見る →

  72. Q72. ある企業の開発チームが、新しい商品推薦Webサービスを作成しました。このWebサービスはCIDRブロック192.168.224.0/19のVPCでホストされています。企業は、Amazon EC2インスタンス上でWebサービスを展開し、Network Load Balancer(NLB)のターゲットとしてAuto Scalingグループを構成しました。企業は、商品推薦を受けたユーザーが、推薦を受けなかったユーザーと比較してより多くの金額を消費するかどうかをテストする必要があります。企業は5日後に大規模な販売イベントを控えており、既存の本番環境に推薦エンジンを統合する必要があります。既存の本番環境はCIDRブロック192.168.128.0/17のVPCでホストされています。ネットワークエンジニアは、既存の環境への干渉を最小限に抑えるソリューションを設計して、システムを統合しなければなりません。

    • A. WebサービスVPCと既存の本番VPCの間にVPCピアリング接続を作成します。適切なルートテーブルにルーティングルールを追加し、既存の本番環境から192.168.224.0/19への通信およびWebサービス環境から192.168.128.0/17への通信を可能にします。関連するセキュリティグループおよびACLを構成して、システム間の通信を許可します。
    • B. Webサービスの開発チームに、Webサービスを本番VPC内に再デプロイし、そこでシステムを統合するよう依頼します。
    • C. VPCエンドポイントサービスを作成します。WebサービスのNLBとVPCエンドポイントサービスを関連付けます。既存の本番VPC内にWebサービス向けのインターフェース型VPCエンドポイントを作成します。
    • D. 既存の本番環境にトランジットゲートウェイを作成します。本番VPCおよびWebサービスVPCへのアタッチメントを作成します。トランジットゲートウェイおよびVPCルートテーブルに192.168.224.0/19および192.168.128.0/17向けの適切なルーティングルールを設定します。関連するセキュリティグループおよびACLを構成して、システム間の通信を許可します。

    この問題を見る →

  73. Q73. ある企業の開発チームが新しい商品推薦ウェブサービスを作成しました。このウェブサービスは、CIDRブロックが192.168.224.0/19のVPC内にホストされています。企業は、このウェブサービスをAmazon EC2インスタンス上で展開し、Network Load Balancer(NLB)のターゲットとしてAuto Scalingグループを構成しています。 企業は、商品推薦を受けたユーザーと受けなかったユーザーの間で、支出金額に差があるかどうかをテストする必要があります。また、5日後に大規模な販売イベントが予定されており、既存の本番環境に推薦エンジンを統合する必要があります。既存の本番環境は、CIDRブロックが192.168.128.0/17のVPC内にホストされています。 ネットワークエンジニアは、既存の環境への影響を最小限に抑えつつ、両システムを統合するソリューションを設計しなければなりません。 これらの要件を満たすソリューションはどれですか?

    • A. ウェブサービス用VPCと既存の本番VPCの間にVPCピアリング接続を作成します。適切なルートテーブルにルーティングルールを追加して、既存の本番環境から192.168.224.0/19への通信およびウェブサービス環境から192.168.128.0/17への通信を可能にします。関連するセキュリティグループおよびネットワークACLを構成して、システム間の通信を許可します。
    • B. ウェブサービスの開発チームに、ウェブサービスを本番VPC内に再デプロイし、そこでシステムを統合するよう依頼します。
    • C. VPCエンドポイントサービスを作成します。このVPCエンドポイントサービスをウェブサービスのNLBに関連付けます。既存の本番VPC内に、ウェブサービス用のインターフェースVPCエンドポイントを作成します。
    • D. 既存の本番環境にTransit Gatewayを作成します。本番VPCおよびウェブサービスVPCに対してアタッチメントを作成します。Transit GatewayおよびVPCのルートテーブルに、192.168.224.0/19および192.168.128.0/17向けの適切なルーティングルールを構成します。関連するセキュリティグループおよびネットワークACLを構成して、システム間の通信を許可します。

    この問題を見る →

  74. Q74. ある企業が、Amazon Elastic Kubernetes Service(Amazon EKS)クラスター上でホストされるインターネット向けアプリケーションを開発しています。企業は、Kubernetesのポッドネットワーキング接続のためにAmazon VPC Container Network Interface(CNI)プラグインを使用しています。企業は、Network Load Balancer(NLB)を用いてアプリケーションをインターネットに公開する必要があります。アプリケーションをホストするポッドは、NLBが受信した元のパケットに含まれる送信元IPアドレスを可視化する必要があります。ネットワークエンジニアは、これらの目標を達成するためにNLBおよびAmazon EKS設定をどのように構成すべきですか?

    • A. NLBのターゲットタイプとしてipを指定します。Kubernetesサービス仕様でexternalTrafficPolicy属性をLocalに設定します。
    • B. NLBのターゲットタイプとしてinstanceを指定します。Kubernetesサービス仕様でexternalTrafficPolicy属性をClusterに設定します。
    • C. NLBのターゲットタイプとしてinstanceを指定します。Kubernetesサービス仕様でexternalTrafficPolicy属性をLocalに設定します。
    • D. NLBのターゲットタイプとしてipを指定します。Kubernetesサービス仕様でexternalTrafficPolicy属性をClusterに設定します。

    この問題を見る →

  75. Q75. ネットワークエンジニアは、高性能コンピューティング(HPC)ワークロード向けのアーキテクチャを設計する必要があります。Amazon EC2インスタンスは10 Gbpsのフローを必要とし、多数のインスタンス間で最大100 Gbpsの集約スループットと低遅延通信を実現する必要があります。このワークロードを最適化するアーキテクチャソリューションはどれですか?

    • A. ノードを単一のVPCサブネット内に配置します。クラスタープレースメントグループを構成します。最新のElastic Fabric Adapter(EFA)ドライバーがサポート対象OSのEC2インスタンスにインストールされていることを確認します。
    • B. ノードを単一VPC内の複数のサブネットに配置します。スプレッドプレースメントグループを構成します。EC2インスタンスがElastic Network Adapters(ENA)をサポートし、各インスタンスのOSでドライバーが更新されていることを確認します。
    • C. ノードを複数のVPCに配置します。AWS Transit Gatewayを用いてVPC間のトラフィックをルーティングします。最新のElastic Fabric Adapter(EFA)ドライバーがサポート対象OSのEC2インスタンスにインストールされていることを確認します。
    • D. ノードを複数の可用性ゾーンの複数サブネットに配置します。クラスタープレースメントグループを構成します。EC2インスタンスがElastic Network Adapters(ENA)をサポートし、各インスタンスのOSでドライバーが更新されていることを確認します。

    この問題を見る →

  76. Q76. ある企業が、Application Load Balancerの後ろにあるAmazon EC2インスタンスでアプリケーションをホストしています。これらのインスタンスはAmazon EC2 Auto Scalingグループに属しています。最近、セキュリティグループに対する変更により、外部ユーザーがアプリケーションにアクセスできなくなりました。 ネットワークエンジニアは、今後このようなダウンタイムが発生しないように防止する必要があります。ネットワークエンジニアは、セキュリティグループに対する準拠していない変更を自動的に是正するソリューションを実装しなければなりません。 これらの要件を満たすソリューションはどれですか?

    • A. Amazon GuardDutyを構成して、期待されるセキュリティグループ構成と現在のセキュリティグループ構成の不一致を検出します。AWS Systems Manager Automationランブックを作成して、準拠していないセキュリティグループを是正します。
    • B. AWS Configルールを構成して、期待されるセキュリティグループ構成と現在のセキュリティグループ構成の不一致を検出します。AWS OpsWorks for Chefを構成して、準拠していないセキュリティグループを是正します。
    • C. Amazon GuardDutyを構成して、期待されるセキュリティグループ構成と現在のセキュリティグループ構成の不一致を検出します。AWS OpsWorks for Chefを構成して、準拠していないセキュリティグループを是正します。
    • D. AWS Configルールを構成して、期待されるセキュリティグループ構成と現在のセキュリティグループ構成の不一致を検出します。AWS Systems Manager Automationランブックを作成して、準拠していないセキュリティグループを是正します。

    この問題を見る →

  77. Q77. ある企業は複数のVPCでワークロードを実行しています。同社は、オンプレミスデータセンターから、VPC-Aと呼ばれるVPC内のワークロードに安全にアクセスする必要があります。ネットワークエンジニアは、Transit GatewayへのAWS Site-to-Site VPN接続を設定しました。ネットワークエンジニアは、この接続に対して動的ルーティングを構成し、通信は正常に動作していました。しかし最近、VPC-Aの所有者がVPCに別のCIDR範囲を追加しました。VPC-Aの所有者は、この追加CIDR範囲を使用するワークロードを作成しました。同社のオンプレミスネットワークは、これらの新しいワークロードに到達できなくなりました。ネットワークエンジニアは、このネットワーク接続の問題を解決し、将来的にVPC-Aに追加のCIDR範囲が追加された場合にも接続性が影響を受けないようにする必要があります。最も運用効率の高いソリューションはどれですか?

    • A. VPC-AのVPNアタッチメントルートテーブルへのルート伝搬を構成します。
    • B. 新しいCIDR範囲を含むように、VPNアタッチメントルートテーブルを手動で更新します。
    • C. Amazon EventBridgeルールを構成して、VPC-AのCIDR範囲の更新を検出した際にAWS Lambda関数を起動します。Lambda関数がVPNアタッチメントルートテーブルを更新するように構成します。
    • D. Amazon CloudWatchアラームを構成して、VPC-AのCIDR範囲の更新を検出した際にAWS Lambda関数を起動します。Lambda関数がVPNアタッチメントルートテーブルを更新するように構成します。VPNトンネルを再起動します。

    この問題を見る →

  78. Q78. あるオンライン小売企業が、us-west-2リージョンでウェブアプリケーションを実行しており、米国の消費者にサービスを提供しています。同社は、欧州の複数国への展開を計画しており、すべてのユーザーに対して低遅延を提供したいと考えています。アプリケーションはユーザーのIPアドレスを特定し、ユーザーの地理的位置に基づいてローカライズされたコンテンツを提供する必要があります。アプリケーションはHTTP GETおよびPOSTメソッドを使用します。また、GETおよびPOSTメソッドに対応し、ヘルスチェックに基づくフェイルオーバー機構を構築する必要があります。すべてのクライアントに対して、フェイルオーバーは1分以内に完了する必要があります。これらの要件を満たすソリューションはどれですか?

    • A. 新しいAWSリージョンの各環境でアプリケーション用のNetwork Load Balancer(NLB)を構成します。各リージョンのNLBをエンドポイントグループとして指すAWS Global Acceleratorアクセラレータを作成します。
    • B. 新しいAWSリージョンの各環境でアプリケーション用のApplication Load Balancer(ALB)を構成します。各リージョンのALBをエンドポイントグループとして指すAWS Global Acceleratorアクセラレータを作成します。
    • C. 新しいAWSリージョンの各環境でアプリケーション用のApplication Load Balancer(ALB)を構成します。フェイルオーバールーティングポリシーを持つAmazon Route 53パブリックホストゾーンを作成します。
    • D. 新しいAWSリージョンの各環境でアプリケーション用のNetwork Load Balancer(NLB)を構成します。Amazon CloudFrontディストリビューションを作成します。オリジングループを構成し、オリジンフェイルオーバー機能を有効にします。

    この問題を見る →

  79. Q79. ある企業が、IoTデバイスがAWSクラウドに測定値を報告するアプリケーションを開発しています。このアプリケーションには何百万ものエンドユーザーがいます。企業は、IoTデバイスがDNS解決をサポートしていないことを観察しています。企業は、IoTデバイスがDNSを使用せずにアプリケーションエンドポイントに接続できるように、Amazon EC2 Auto Scalingソリューションを実装する必要があります。 これらの要件を最もコスト効率よく満たすソリューションはどれですか?

    • A. Network Load Balancer(NLB)に対してApplication Load Balancer(ALB)タイプのターゲットグループを使用します。EC2 Auto Scalingグループを作成します。Auto ScalingグループをALBにアタッチします。IoTデバイスをNLBのIPアドレスに接続するように設定します。
    • B. Application Load Balancer(ALB)エンドポイントを持つAWS Global Acceleratorアクセラレータを使用します。EC2 Auto Scalingグループを作成します。Auto ScalingグループをALBにアタッチします。IoTデバイスをアクセラレータのIPアドレスに接続するように設定します。
    • C. Network Load Balancer(NLB)を使用します。EC2 Auto Scalingグループを作成します。Auto ScalingグループをNLBにアタッチします。IoTデバイスをNLBのIPアドレスに接続するように設定します。
    • D. Network Load Balancer(NLB)エンドポイントを持つAWS Global Acceleratorアクセラレータを使用します。EC2 Auto Scalingグループを作成します。Auto ScalingグループをNLBにアタッチします。IoTデバイスをアクセラレータのIPアドレスに接続するように設定します。

    この問題を見る →

  80. Q80. ある企業が、Amazon EC2インスタンス上でアプリケーションサーバーを実行しています。EC2インスタンスは、Transit Gatewayで接続された個別のVPCで実行されています。EC2インスタンスは、内部および外部接続のためTransit Gatewayへのルートを持つプライベートサブネットで起動します。外部接続は、インターネットゲートウェイを介して出入りするパケットを検査するファイアウォールデバイスを備えたVPCによって提供されます。ネットワークエンジニアは、アプリケーションチームがEC2インスタンス間のパケット配信ごとのペイロードサイズを増加させるのを支援する必要があります。すべてのネットワーク接続はTransit Gatewayを経由する必要があります。これらの要件を満たすために、ネットワークエンジニアは何を行うべきですか?

    • A. Transit Gatewayでジャボフレームを有効にします。アプリケーションチームに、システムのネットワークインターフェースの最大伝送ユニット(MTU)を9001バイトに設定するよう指示します。
    • B. アプリケーションチームに、VPCの最大伝送ユニット(MTU)を8500バイトに設定するよう指示します。
    • C. アプリケーションチームに、強化ネットワーキングアダプターを用いた強化ネットワーキングをシステムに設定するよう指示します。最大伝送ユニット(MTU)を9001バイトに設定します。
    • D. アプリケーションチームに、システムのネットワークインターフェースの最大伝送ユニット(MTU)を8500バイトに設定するよう指示します。

    この問題を見る →

  81. Q81. ある企業は、すべてのオフィスを相互接続するソフトウェア定義WAN(SD-WAN)ソリューションを展開しています。この企業はワークロードをAWSに移行しており、これらのワークロードへの接続をサポートするためにSD-WANソリューションを拡張する必要があります。ネットワークエンジニアは、AWS Transit Gateway Connectと2台のSD-WAN仮想アプライアンスを展開してこの接続を実現する計画です。企業の方針により、特定の時点でAWSワークロードからのトラフィックを処理できるSD-WAN仮想アプライアンスは1台のみです。ネットワークエンジニアは、これらの要件を満たすためにルーティングをどのように設定すべきですか?

    • A. トランジットゲートウェイのルートテーブルに、セカンダリSD-WAN仮想アプライアンスを指す静的デフォルトルートを追加します。プライマリSD-WAN仮想アプライアンスを指すより具体的なルートを追加します。
    • B. プライマリSD-WAN仮想アプライアンスで、トランジットゲートウェイ向けのBGPルートに対してBGPコミュニティタグ7224:7300を設定します。
    • C. セカンダリSD-WAN仮想アプライアンスで、トランジットゲートウェイ向けのBGPルートに対してAS_PATH prepend属性を設定します。
    • D. Transit Gateway Connectに対して等コストマルチパス(ECMP)ルーティングを無効化します。

    この問題を見る →

  82. Q82. ある企業は、オンプレミスのデータセンターと2つの冗長なアクティブ・パッシブなAWS Direct Connect接続を介して接続される重要なVPCワークロードを保有しています。しかし、最近発生したDirect Connect接続の障害により、トラフィックがセカンダリDirect Connect接続へフェイルオーバーするまでに1分以上かかることが明らかになりました。企業は、フェイルオーバー時間を数分から数秒へ短縮したいと考えています。 どのソリューションがBGPフェイルオーバー時間の短縮において最も大きな削減を提供しますか?

    • A. Direct Connect接続のVIF上のBGPセッションで構成されたBGPホールドダウンタイマーを短縮します。
    • B. Direct Connect接続の状態を監視するAmazon CloudWatchアラームを設定し、トラフィックのフェイルオーバーを実行するAWS Lambda関数を起動します。
    • C. AWS側のDirect Connect接続で双方向転送検出(BFD)を設定します。
    • D. オンプレミスルーター上のDirect Connect接続で双方向転送検出(BFD)を設定します。

    この問題を見る →

  83. Q83. ある企業には在宅勤務のユーザーがいます。この企業は、追加のセキュリティ可視性を確保するために、これらのユーザーをAmazon WorkSpacesへ移行することを検討しています。 企業は、自身のAWSアカウント内のVPC AにWorkSpacesを展開しました。ネットワークエンジニアは、Gateway Load Balancer(GWLB)の後ろに2台のファイアウォールアプライアンスを配置することでセキュリティ可視性を提供することを決定しました。ネットワークエンジニアは、別のアカウントにVPC Bをプロビジョニングし、別々の可用性ゾーンに2台のファイアウォールアプライアンスを展開しました。 このソリューションのネットワーク接続を構成するために、ネットワークエンジニアは何を行うべきですか?

    • A. VPC AにGWLBを作成し、ファイアウォールアプライアンスインスタンスをターゲットとして指定します。GWLBを使用してGWLBエンドポイントを作成します。GWLBエンドポイントのプリンシパル許可リストにWorkSpacesアカウントのAWSプリンシパルARNを追加します。WorkSpacesアカウント内でVPCエンドポイントを作成し、AWSマネジメントコンソールが提供するGWLBエンドポイントのサービス名を指定します。VPC Aのルートテーブルを変更し、デフォルトルートをVPCエンドポイントへ向けるように設定します。
    • B. VPC BにGWLBを作成し、ファイアウォールアプライアンスインスタンスをターゲットとして指定します。GWLBを使用してGWLBエンドポイントを作成します。GWLBエンドポイントのプリンシパル許可リストにWorkSpacesアカウントのAWSプリンシパルARNを追加します。WorkSpacesアカウント内でVPCエンドポイントを作成し、AWSマネジメントコンソールが提供するGWLBエンドポイントのサービス名を指定します。VPC Aのルートテーブルを変更し、デフォルトルートをGWLBエンドポイントへ向けるように設定します。
    • C. VPC BにGWLBを作成し、ファイアウォールアプライアンスインスタンスをターゲットとして指定します。GWLBを使用してGWLBエンドポイントを作成します。GWLBエンドポイントのプリンシパル許可リストにWorkSpacesアカウントのAWSプリンシパルARNを追加します。WorkSpacesアカウント内でVPCエンドポイントを作成し、AWSマネジメントコンソールが提供するGWLBエンドポイントのサービス名を指定します。VPC Aのルートテーブルを変更し、WorkSpacesサブネットをVPCエンドポイントへ向けるように設定します。
    • D. VPC BにGWLBを作成し、ファイアウォールアプライアンスインスタンスをターゲットとして指定します。GWLBを使用してGWLBエンドポイントを作成します。GWLBエンドポイントのプリンシパル許可リストにファイアウォールアプライアンスを含むアカウントのAWSプリンシパルARNを追加します。WorkSpacesアカウント内でVPCエンドポイントを作成し、AWSマネジメントコンソールが提供するGWLBエンドポイントのサービス名を指定します。VPC Aのルートテーブルを変更し、デフォルトルートをVPCエンドポイントへ向けるように設定します。

    この問題を見る →

  84. Q84. ある企業のAWSアーキテクチャには複数のVPCが含まれています。これらのVPCには共有サービス用VPCと複数のアプリケーション用VPCが含まれます。企業は、すべてのVPCからオンプレミスのDNSサーバーへのネットワーク接続を確立しています。 アプリケーション用VPCにデプロイされたアプリケーションは、オンプレミスでホストされている内部ドメインのDNS解決ができなければなりません。また、ローカルVPCのドメイン名およびAmazon Route 53のプライベートホストゾーンでホストされているドメインのDNS解決も可能でなければなりません。

    • A. 共有サービス用VPCに新しいRoute 53 Resolver受信エンドポイントを作成します。オンプレミスでホストされているドメインのための転送ルールを作成します。これらのルールを新しいResolverエンドポイントおよび各アプリケーション用VPCに関連付けます。各アプリケーション用VPCのDHCP設定を更新し、DNS解決を新しいResolverエンドポイントへ向けるようにします。
    • B. 共有サービス用VPCに新しいRoute 53 Resolver送信エンドポイントを作成します。オンプレミスでホストされているドメインのための転送ルールを作成します。これらのルールを新しいResolverエンドポイントおよび各アプリケーション用VPCに関連付けます。
    • C. 共有サービス用VPCに新しいRoute 53 Resolver送信エンドポイントを作成します。オンプレミスでホストされているドメインのための転送ルールを作成します。これらのルールを新しいResolverエンドポイントおよび各アプリケーション用VPCに関連付けます。各アプリケーション用VPCのDHCP設定を更新し、DNS解決を新しいResolverエンドポイントへ向けるようにします。
    • D. 共有サービス用VPCに新しいRoute 53 Resolver受信エンドポイントを作成します。オンプレミスでホストされているドメインのための転送ルールを作成します。これらのルールを新しいResolverエンドポイントおよび各アプリケーション用VPCに関連付けます。

    この問題を見る →

  85. Q85. ある企業は、ビジネスユニット(BU)のためにus-east-1リージョンおよびap-south-1リージョンを使用しています。BUはBU-1およびBU-Zと名付けられています。各BUについて、us-east-1リージョンに2つのVPCがあり、ap-south-1リージョンに1つのVPCがあります。ワークロードの分離要件により、同一BU内のリソース間でのみ通信が可能であり、他のBUのリソースとは通信できません。企業は今後さらにBUを追加し、さらに多くのリージョンへ拡張する予定です。これらの要件を最も運用効率よく満たすソリューションはどれですか?

    • A. 必要なリージョンで動作するAWS Cloud WANネットワークを構成します。すべてのBU VPCをAWS Cloud WANコアネットワークにアタッチします。AWS Cloud WANセグメントアクションを更新し、異なるBUセグメント間のトラフィックを拒否する新しいルートを設定します。
    • B. 各リージョンにトランジットゲートウェイを構成します。トランジットゲートウェイ間のピアリングを構成します。各BUのVPCを対応するリージョンのトランジットゲートウェイにアタッチします。トランジットゲートウェイおよびVPCのルートテーブルを構成し、BU VPC間のトラフィックを分離します。
    • C. 必要なリージョンで動作するAWS Cloud WANネットワークを構成します。すべてのBU VPCをAWS Cloud WANコアネットワークにアタッチします。コアネットワークポリシーを更新し、各セグメントに対してisolate-attachmentsパラメータを設定します。
    • D. 必要なリージョンで動作するAWS Cloud WANネットワークを構成します。各BUごとにAWS Cloud WANセグメントを作成します。各BUのVPCのVPCアタッチメントを対応するBUセグメントに構成します。

    この問題を見る →

  86. Q86. ある企業は、複数のVPCおよび2つのオンプレミスデータセンターにホストされた高可用性アプリケーションを保有しています。すべてのVPCは同じAWSリージョンに存在します。すべてのVPCは、数ギガバイト規模のファイル転送のために互いに、およびオンプレミスデータセンターと接続する必要があります。ネットワークエンジニアは、オンプレミスデータセンターと各VPCを接続するAWS Direct Connectソリューションを設計しています。企業の要件を最小限の運用オーバーヘッドで満たすアーキテクチャはどれですか?

    • A. リージョン内の各VPCに仮想プライベートゲートウェイおよびプライベートVIFを構成します。Direct Connectゲートウェイを構成します。各VPCのVIFをDirect Connectゲートウェイに関連付けます。Direct Connectゲートウェイから各オンプレミスデータセンターへ接続する新しいプライベートVIFを作成します。新しいプライベートVIFを、オンプレミスデータセンターとのBGPルート交換およびMTU 9001の設定で構成します。各VPC間でVPCピアリングを使用します。各VPCで静的ルーティングを構成し、VPC間ルーティングを提供します。
    • B. リージョン内の各VPCに仮想プライベートゲートウェイおよびプライベートVIFを構成します。Direct Connectゲートウェイを構成します。各VPCのVIFをDirect Connectゲートウェイに関連付けます。Direct Connectゲートウェイから各オンプレミスデータセンターへ接続する新しいプライベートVIFを作成します。新しいプライベートVIFを、オンプレミスデータセンターとのBGPルート交換およびMTU 8500の設定で構成します。各VPC間でVPCピアリングを使用します。各VPCで静的ルーティングを構成し、VPC間ルーティングを提供します。
    • C. 各VPCと同じリージョンにトランジットゲートウェイを構成します。各VPCをトランジットゲートウェイにアタッチします。Direct Connectゲートウェイを構成します。Direct Connectゲートウェイをトランジットゲートウェイに関連付けます。各Direct Connect接続に新しいトランジットVIFを関連付けます。新しいトランジットVIFを、BGPルート交換およびMTU 9001の設定で構成します。各VPCとトランジットゲートウェイ間のルート伝搬を構成します。
    • D. 各VPCと同じリージョンにトランジットゲートウェイを構成します。各VPCをトランジットゲートウェイにアタッチします。Direct Connectゲートウェイを構成します。Direct Connectゲートウェイをトランジットゲートウェイに関連付けます。各Direct Connect接続に新しいトランジットVIFを関連付けます。新しいトランジットVIFを、BGPルート交換およびMTU 8500の設定で構成します。各VPCとトランジットゲートウェイ間のルート伝搬を構成します。

    この問題を見る →

  87. Q87. ある企業は、オンプレミスアプリケーションの容量を一時的に拡張する必要があり、Amazon EC2インスタンス上に新しいサーバーを展開することを検討しています。ネットワークエンジニアは、AWS上の接続およびアプリケーションのためのネットワーキングソリューションを設計しなければなりません。 EC2インスタンスは、オンプレミスデータセンター内の既存のサーバーとデータを共有する必要があります。サーバーはインターネットからアクセスできないようにする必要があります。インターネットへのすべてのトラフィックは、オンプレミスデータセンター内のファイアウォールを経由してルーティングされなければなりません。サーバーは第三者のWebアプリケーションにアクセスできる必要があります。

    • A. パブリックサブネットおよびプライベートサブネットを持つVPCを作成します。カスタマーゲートウェイ、仮想プライベートゲートウェイ、およびAWS Site-to-Site VPN接続を作成します。パブリックサブネット内にNATゲートウェイを作成します。ルートテーブルを作成し、パブリックサブネットをそのルートテーブルに関連付けます。インターネットゲートウェイへのデフォルトルートを追加します。別のルートテーブルを作成し、プライベートサブネットをそのルートテーブルに関連付けます。NATゲートウェイへのデフォルトルートを追加します。データセンターのサブネットへのルートを仮想プライベートゲートウェイに追加します。アプリケーションをプライベートサブネットにデプロイします。
    • B. プライベートサブネットのみを持つVPCを作成します。カスタマーゲートウェイ、仮想プライベートゲートウェイ、およびAWS Site-to-Site VPN接続を作成します。ルートテーブルを作成し、プライベートサブネットをそのルートテーブルに関連付けます。仮想プライベートゲートウェイへのデフォルトルートを追加します。アプリケーションをプライベートサブネットにデプロイします。
    • C. パブリックサブネットのみを持つVPCを作成します。カスタマーゲートウェイ、仮想プライベートゲートウェイ、およびAWS Site-to-Site VPN接続を作成します。ルートテーブルを作成し、パブリックサブネットをそのルートテーブルに関連付けます。インターネットゲートウェイへのデフォルトルートを追加します。オンプレミスデータセンターのサブネットへのルートを仮想プライベートゲートウェイに追加します。アプリケーションをパブリックサブネットにデプロイします。
    • D. パブリックサブネットおよびプライベートサブネットを持つVPCを作成します。カスタマーゲートウェイ、仮想プライベートゲートウェイ、およびAWS Site-to-Site VPN接続を作成します。ルートテーブルを作成し、パブリックサブネットをそのルートテーブルに関連付けます。インターネットゲートウェイへのデフォルトルートを追加します。別のルートテーブルを作成し、プライベートサブネットをそのルートテーブルに関連付けます。オンプレミスデータセンターのサブネットへのルートを仮想プライベートゲートウェイに追加します。アプリケーションをプライベートサブネットにデプロイします。

    この問題を見る →

  88. Q88. ある企業は、研究プロジェクトのためにパートナーと協力することに合意しました。この企業はus-east-1リージョンに、CIDRブロック10.10.0.0/16内にある複数のVPCを保有しており、これらはTGW-Cと呼ばれるトランジットゲートウェイで接続されています。TGW-Cの自律システム番号(ASN)は64520です。パートナーはus-east-1リージョンに、CIDRブロック172.16.0.0/16内にある複数のVPCを保有しており、これらはTGW-Pと呼ばれるトランジットゲートウェイで接続されています。TGW-PのASNは64530です。ネットワークエンジニアは、us-east-1リージョン内で企業のVPCとパートナーのVPC間のネットワーク接続を確立する必要があります。両方のネットワークに対する変更を最小限に抑えつつ、これらの要件を満たすソリューションはどれですか?

    • A. 新しいアカウントに新しいVPCを作成します。AWS Marketplaceからルーターをデプロイします。AWS Resource Access Manager(AWS RAM)を使用してTGW-CおよびTGW-Pを新しいアカウントと共有します。新しいVPCにTGW-CおよびTGW-Pを関連付けます。新しいVPC内のルーターを構成し、TGW-CとTGW-P間のルーティングを行えるようにします。
    • B. TGW-CとTGW-Pの間にIPsec VPN接続を作成します。トランジットゲートウェイ間のルーティングをIPsec VPN接続を使用するように構成します。
    • C. TGW-CとTGW-Pの間でクロスアカウントトランジットゲートウェイピアリングアタッチメントを構成します。トランジットゲートウェイ間のルーティングをピアリングアタッチメントを使用するように構成します。
    • D. AWS Resource Access Manager(AWS RAM)を使用してTGW-Cをパートナーのアカウントと共有します。パートナーのVPCをTGW-Cに関連付けます。パートナーのVPCおよびTGW-Cでルーティングを構成します。

    この問題を見る →

  89. Q89. ある企業は、AWS Transit Gatewayのハブ・アンド・スポーク構成を採用してAWSへの移行を計画しています。現在のオンプレミスのマルチプロトコルラベルスイッチング(MPLS)ネットワークには、MPLS VPNを用いたネットワークセグメンテーションを強制する厳格な制御が導入されています。企業は、AWSへの高耐障害性・高速・低遅延接続を実現するために、2本の10 Gbps AWS Direct Connect接続をプロビジョニング済みです。セキュリティエンジニアは、AWS環境にもネットワークセグメンテーションの概念を適用し、各ソフトウェア開発環境に対して仮想ルーティングおよびフォワーディング(VRF)を論理的に分離する必要があります。MPLS VPNの数は今後増加します。また、オンプレミスのMPLS VPN間ではIPアドレス空間が重複します。企業のAWSネットワーク設計は、これらのVPN間の重複アドレス空間をサポートしなければなりません。これらの要件を満たすとともに、運用オーバーヘッドが最小となるソリューションはどれですか?

    • A. Transit Gateway Connect VPC内にソフトウェア定義WAN(SD-WAN)ヘッドエンド仮想アプライアンスおよびSD-WANコントローラーをデプロイします。企業のエッジルーターを新しいSD-WANコントローラーで管理し、SD-WANを用いて各開発環境向けに定義されたセグメントへトラフィックを分割します。
    • B. 各MPLS VPNごとに、企業のエッジルーター上でIPsec VPNを設定します。各IPsec VPNトンネルを個別のMPLS VPNにアタッチします。各MPLS VPNごとに、Transit Gatewayで終端するAWS Site-to-Site VPN接続を設定します。各Transit Gateway VPNアタッチメントに対応するMPLS VPNをマッチさせるTransit Gatewayルートテーブルを設定します。
    • C. AWS Site-to-Site VRF対応IPsec VPNで終端するTransit VPCを作成します。各開発環境のVRFごとに、各VPCへのIPsec VPN接続を設定します。
    • D. 企業のエッジルーターとTransit Gatewayの間で、各MPLS VPNごとにTransit Gateway Connectアタッチメントを設定します。各開発環境のMPLS VPNに対応するTransit Gatewayルートテーブルを設定します。

    この問題を見る →

  90. Q90. グローバル企業が、自社のプライマリおよびセカンダリデータセンターとVPC間のネットワーク接続を確立しようとしています。ネットワークエンジニアは、これらの接続の耐障害性およびフォールトトレランスを最大化する必要があります。ネットワーク帯域幅は10 Gbpsを超える必要があります。これらの要件を最も費用対効果よく満たすソリューションはどれですか?

    • A. プライマリデータセンターに100 Gbpsの接続を設定し、AWS Direct Connectロケーションで終端させます。セカンダリデータセンターにも100 Gbpsの接続を設定し、別のDirect Connectロケーションで終端させます。両接続は異なるプロバイダーによって管理されるようにします。
    • B. プライマリデータセンターに10 Gbpsの接続を設定し、AWS Direct Connectロケーションで終端させます。セカンダリデータセンターにも10 Gbpsの接続を設定し、別のDirect Connectロケーションで終端させます。両接続は異なるプロバイダーによって管理されるようにします。
    • C. プライマリデータセンターに2本の10 Gbps接続を設定し、1つのAWS Direct Connectロケーションで終端させます。両接続は異なるプロバイダーによって管理されるようにします。セカンダリデータセンターにも2本の10 Gbps接続を設定し、別のDirect Connectロケーションで終端させます。両接続は異なるプロバイダーによって管理されるようにします。
    • D. プライマリデータセンターに10 Gbpsの接続を設定し、AWS Direct Connectロケーションで終端させます。セカンダリデータセンターにはAWS Site-to-Site VPN接続を設定し、企業のVPCと同じリージョン内の仮想プライベートゲートウェイで終端させます。

    この問題を見る →

  91. Q91. ネットワークエンジニアは、Linuxベースのネットワークアプライアンスを実行するためのAmazon EC2 Auto Scalingグループを、高い可用性を持つアーキテクチャで設定する必要があります。ネットワークエンジニアは、Auto Scalingグループの新規起動テンプレートを設定中です。プライマリネットワークインターフェイスに加えて、ネットワークアプライアンスはインターネット上のホストとトラフィックを交換するために専用に使用される第2のネットワークインターフェイスを必要とします。企業は、Elastic IPアドレスを含むBring Your Own IP(BYOIP)プールを設定済みであり、このElastic IPアドレスを第2のネットワークインターフェイスのパブリックIPアドレスとして使用する必要があります。ネットワークエンジニアは、必要なアーキテクチャをどのように実装できますか?

    • A. 起動テンプレート内で2つのネットワークインターフェイスを設定します。プライマリネットワークインターフェイスは、いずれかのプライベートサブネットに作成されるように定義します。第2のネットワークインターフェイスについては、いずれかのパブリックサブネットを選択します。パブリックIPアドレスのソースとしてBYOIPプールIDを選択します。
    • B. 起動テンプレート内でプライマリネットワークインターフェイスをプライベートサブネットに設定します。ユーザーデータオプションを使用して、起動後にcloud-initスクリプトを実行し、自動割り当てパブリックIPアドレスが有効化されたサブネットから第2のネットワークインターフェイスをアタッチします。
    • C. Auto Scalingグループのインスタンス起動時にライフサイクルフックとして実行されるAWS Lambda関数を作成します。Lambda関数内で、ネットワークインターフェイスをAWS Global Acceleratorエンドポイントに割り当てます。
    • D. Auto Scalingグループの作成時に、プライマリネットワークインターフェイスのサブネットを選択します。ユーザーデータオプションを使用してcloud-initスクリプトを実行し、第2のネットワークインターフェイスを割り当て、BYOIPプールからElastic IPアドレスを関連付けます。

    この問題を見る →

  92. Q92. 保険会社が、オンプレミスデータセンターからAWSクラウドへのワークロード移行を計画しています。同社はエンドツーエンドのドメイン名解決を要求しています。AWSと既存のオンプレミス環境間での双方向DNS解決を確立する必要があります。ワークロードは複数のVPCに移行されます。また、ワークロード間には相互依存関係があり、すべてのワークロードが同時に移行されるわけではありません。

    • A. 各アプリケーションVPCに対してプライベートホステッドゾーンを設定し、必要なレコードを作成します。出口VPC(egress VPC)内にAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインに対するリクエストをオンプレミスDNSリゾルバーに転送するようRoute 53 Resolverルールを定義します。アプリケーションVPCのプライベートホステッドゾーンを出口VPCに関連付け、AWS Resource Access Managerを用いてアプリケーションアカウント間でRoute 53 Resolverルールを共有します。オンプレミスDNSサーバーを設定し、クラウドドメインのリクエストをRoute 53のインバウンドエンドポイントに転送するようにします。
    • B. 各アプリケーションVPCに対してパブリックホステッドゾーンを設定し、必要なレコードを作成します。出口VPC内にAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインに対するリクエストをオンプレミスDNSリゾルバーに転送するようRoute 53 Resolverルールを定義します。アプリケーションVPCのプライベートホステッドゾーンを出口VPCに関連付け、AWS Resource Access Managerを用いてアプリケーションアカウント間でRoute 53 Resolverルールを共有します。オンプレミスDNSサーバーを設定し、クラウドドメインのリクエストをRoute 53のインバウンドエンドポイントに転送するようにします。
    • C. 各アプリケーションVPCに対してプライベートホステッドゾーンを設定し、必要なレコードを作成します。出口VPC内にAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインに対するリクエストをオンプレミスDNSリゾルバーに転送するようRoute 53 Resolverルールを定義します。アプリケーションVPCのプライベートホステッドゾーンを出口VPCに関連付け、AWS Resource Access Managerを用いてアプリケーションアカウント間でRoute 53 Resolverルールを共有します。オンプレミスDNSサーバーを設定し、クラウドドメインのリクエストをRoute 53のアウトバウンドエンドポイントに転送するようにします。
    • D. 各アプリケーションVPCに対してプライベートホステッドゾーンを設定し、必要なレコードを作成します。出口VPC内にAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインに対するリクエストをオンプレミスDNSリゾルバーに転送するようRoute 53 Resolverルールを定義します。Route 53のアウトバウンドルールをアプリケーションVPCに関連付け、AWS Resource Access Managerを用いてプライベートホステッドゾーンをアプリケーションアカウント間で共有します。オンプレミスDNSサーバーを設定し、クラウドドメインのリクエストをRoute 53のインバウンドエンドポイントに転送するようにします。

    この問題を見る →

  93. Q93. ある企業は、オンプレミスデータセンターからAmazon EC2インスタンスへの重要なワークロードの移行を計画しています。計画には、オンプレミスデータセンターからVPCへの新しい10 GbpsのAWS Direct Connect専用接続が含まれており、そのVPCはTransit Gatewayにアタッチされます。移行は、オンプレミスデータセンターとAWSクラウド間の暗号化されたパスを介して行われる必要があります。これらの要件を満たしつつ、最高のスループットを提供するソリューションはどれですか?

    • A. Direct Connect接続にパブリックVIFを設定します。Transit GatewayへのAWS Site-to-Site VPN接続をVPNアタッチメントとして設定します。
    • B. Direct Connect接続にトランジットVIFを設定します。EC2インスタンス上でサードパーティ製VPNソフトウェアを実行するIPsec VPN接続を設定します。
    • C. Direct Connect接続にMACsecを設定します。Transit Gatewayに関連付けられたDirect ConnectゲートウェイへのトランジットVIFを設定します。
    • D. Direct Connect接続にパブリックVIFを設定します。Transit Gatewayへの2つのAWS Site-to-Site VPN接続を設定します。等コスト多重パス(ECMP)ルーティングを有効化します。

    この問題を見る →

  94. Q94. ある企業は、Application Load Balancerの背後に配置されたAmazon EC2インスタンスのグループ上に重要なアプリケーションを展開しています。このアプリケーションは、パブリックインターネットからポート443で常に到達可能でなければなりません。このアプリケーションは最近、EC2セキュリティグループに対する誤った変更により障害を起こしました。ネットワークエンジニアは、セキュリティグループの変更が行われるたびに、パブリックインターネットとEC2インスタンス間のネットワーク接続性を自動的に検証する方法を実装する必要があります。また、変更が接続に影響を与えた場合にネットワークエンジニアに通知する必要があります。これらの要件を満たすソリューションはどれですか?

    • A. 各EC2インスタンスのElastic Network InterfaceでVPC Flow Logsを有効化し、ポート443におけるREJECTトラフィックをキャプチャします。Flow LogレコードをAmazon CloudWatch Logsのロググループに配信します。拒否されたトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成します。ネットワークエンジニアに通知するためのアラームを作成します。
    • B. 各EC2インスタンスのElastic Network InterfaceでVPC Flow Logsを有効化し、ポート443におけるすべてのトラフィックをキャプチャします。Flow LogレコードをAmazon CloudWatch Logsのロググループに配信します。すべてのトラフィック用にロググループのCloudWatch Logsメトリクスフィルターを作成します。ネットワークエンジニアに通知するためのアラームを作成します。
    • C. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてセキュリティグループを指定します。宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを開始し、分析が失敗した場合にSNSトピックにメッセージを公開するAWS Lambda関数を作成します。セキュリティグループの変更が発生したときにLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。
    • D. ポート443でVPC Reachability Analyzerのパスを作成します。ソースとしてVPCのインターネットゲートウェイを指定します。宛先としてEC2インスタンスを指定します。セキュリティグループの変更が接続に影響を与えた場合にネットワークエンジニアに通知するためのAmazon Simple Notification Service(Amazon SNS)トピックを作成します。Reachability Analyzerを開始し、分析が失敗した場合にSNSトピックにメッセージを公開するAWS Lambda関数を作成します。セキュリティグループの変更が発生したときにLambda関数を呼び出すAmazon EventBridge(Amazon CloudWatch Events)ルールを作成します。

    この問題を見る →

  95. Q95. 銀行会社が、VPCから特定のパブリックIPアドレスへの接続を必要とするアプリケーションを保有しています。ネットワークエンジニアは、アプリケーションのサブネットに関連付けられたルートテーブルに、インターネットゲートウェイを経由した必要なパブリックIPアドレスへのルートを設定しました。ネットワークエンジニアは、ユーザーがアプリケーションのサブネットのルートテーブルにインターネットゲートウェイをターゲットとしたデフォルトルート(0.0.0.0/0または::/0)を追加した際に、メール通知で警告を受け取る必要があります。これらの要件を満たすとともに、実装作業量が最小となるソリューションはどれですか?

    • A. ルートテーブル内のルートを読み取るAWS Lambda関数を作成し、メール通知を送信します。Lambda関数を、0.0.0.0/0または::/0 CIDRをインターネットゲートウェイに向けたルートが設定されている場合にメール通知を送信するように設定します。Lambda関数を1分ごとに実行するように設定します。
    • B. Amazon EC2 CreateRoute API呼び出しによって起動されるAWS Lambda関数を作成します。Lambda関数をメール通知を送信するように設定します。Lambda関数を、0.0.0.0/0または::/0 CIDRをインターネットゲートウェイに向けたルートが設定されている場合にメール通知を送信するように設定します。
    • C. AWS Configルールを、internet-gateway-authorized-vpc-onlyマネージドルールを用いてルートテーブルに対して作成します。AWS Configルールに一致するAmazon EventBridgeルールを作成し、Amazon Simple Notification Service(Amazon SNS)トピックにルーティングしてメール通知を送信します。
    • D. AWS Configルールを、no-unrestricted-route-to-igwマネージドルールを用いてルートテーブルに対して作成します。AWS Configルールに一致するAmazon EventBridgeルールを作成し、Amazon Simple Notification Service(Amazon SNS)トピックにルーティングしてメール通知を送信します。

    この問題を見る →

  96. Q96. ある企業は、AWS Organizations内の組織にAWSアカウントを保有しています。同社は、ネットワーキング専用のAWSアカウントでAmazon VPC IP Address Manager(IPAM)を実装しています。同社は、AWS Resource Access Manager(AWS RAM)を用いてIPAMプールを他のAWSアカウントと共有しています。同社は、CIDRブロック10.0.0.0/8のトップレベルプールを作成しました。各AWSアカウントごとに、同社はトップレベルプール内にIPAMプールを作成しています。ネットワークエンジニアは、各AWSアカウントのユーザーが新しいVPCを作成できないようにするソリューションを実装する必要があります。また、ユーザーが既存のVPCにCIDRブロックを関連付けることを防ぐ必要があり、そのCIDRブロックは当該アカウントのIPAMプールからのものでなければならないとします。これらの要件を満たすソリューションはどれですか?

    • A. IPAMプールからCIDRブロックを割り当てていないすべてのVPCを検出する新しいAWS Configルールを作成します。これらのVPCを削除するAWS Lambda関数を呼び出します。
    • B. Organizations内に新しいSCP(Service Control Policy)を作成します。Ipv4IpamPoolIdコンテキストキーの値がIPAMプールのIDでない場合に、CreateVpcおよびAssociateVpcCidrBlockのAmazon EC2アクションを拒否する条件を追加します。
    • C. IPAMプールからCIDRブロックを割り当てていないすべてのVPCを確認・削除するAWS Lambda関数を作成します。このLambda関数を定期的に呼び出します。
    • D. CreateVpcおよびAssociateVpcCidrBlockのAmazon EC2アクションに関するAWS CloudTrailイベントをチェックするAmazon EventBridgeルールを作成します。このルールを用いて、IPAMプールからCIDRブロックを割り当てていないすべてのVPCを削除するAWS Lambda関数を呼び出します。

    この問題を見る →

  97. Q97. ある企業は、集中型の共有サービスVPC内に複数の可用性ゾーンに展開されたステートフルなセキュリティアプライアンスを保有しています。AWS環境には、アプリケーションVPCおよび共有サービスVPCに接続されたトランジットゲートウェイが含まれています。アプリケーションVPCには、複数の可用性ゾーンにわたるプライベートサブネットでワークロードがデプロイされています。共有サービスVPC内のステートフルアプライアンスは、すべてのイースト・ウェスト(VPC間)トラフィックを検査します。 ユーザーは、異なる可用性ゾーン間のVPC間トラフィックがドロップしていると報告しています。ネットワークエンジニアは、アプリケーションVPC間の異なる可用性ゾーンのワークロード間でInternet Control Message Protocol(ICMP)pingを実行してこの報告を確認しました。ネットワークエンジニアは、セキュリティグループ、ステートフルデバイスの設定、およびネットワークACLがトラフィックドロップの原因ではないことを除外しました。 トラフィックがドロップする原因は何ですか?

    • A. ステートフルアプライアンスおよびトランジットゲートウェイのアタッチメントが、共有サービスVPC内の別のサブネットにデプロイされています。
    • B. 共有サービスVPCへのトランジットゲートウェイアタッチメントでアプライアンスモードが有効になっていません。
    • C. ステートフルアプライアンスおよびトランジットゲートウェイのアタッチメントが、共有サービスVPC内の同一サブネットにデプロイされています。
    • D. アプリケーションVPCへのトランジットゲートウェイアタッチメントでアプライアンスモードが有効になっていません。

    この問題を見る →

  98. Q98. グローバルな配送会社が、そのフリート管理システムを近代化しています。同社には複数の事業部門があり、各事業部門は、同じAWSリージョン内の別々のアプリケーションVPCにホストされる独自のAWSアカウントでアプリケーションを設計・維持しています。各事業部門のアプリケーションは、中央の共有サービスVPCからデータを取得するように設計されています。同社は、ネットワーク接続アーキテクチャに細かいセキュリティ制御を提供することを求めています。また、今後さらに多くの事業部門が中央の共有サービスVPCからデータを利用する際に、アーキテクチャが拡張可能である必要があります。これらの要件を最も安全な方法で満たすソリューションはどれですか?

    • A. 中央のトランジットゲートウェイを作成します。各アプリケーションVPCに対してVPCアタッチメントを作成します。トランジットゲートウェイを使用して、すべてのVPC間でフルメッシュ接続を提供します。
    • B. 中央の共有サービスVPCと各事業部門のAWSアカウント内の各アプリケーションVPCとの間にVPCピアリング接続を作成します。
    • C. 中央の共有サービスVPC内でAWS PrivateLinkによって提供されるVPCエンドポイントサービスを作成します。各アプリケーションVPCにVPCエンドポイントを作成します。
    • D. AWSマーケットプレイスからVPNアプライアンスを用いて中央のトランジットVPCを作成します。各VPCからトランジットVPCへのVPNアタッチメントを作成します。すべてのVPC間でフルメッシュ接続を提供します。

    この問題を見る →

  99. Q99. グローバルな企業は、非本番環境を3つのAWSリージョン(eu-west-1、us-east-1、us-west-1)で運用しています。同社は、すべての本番ワークロードを2つのオンプレミスデータセンターでホストしています。同社は60のAWSアカウントを保有しており、各アカウントは各リージョンで2つのVPCを持っています。各VPCには仮想プライベートゲートウェイが存在し、2つのVPN接続が終端してデータセンターへの耐障害性のある接続を提供しています。同社は各データセンターに対して360のVPNトンネルを保有しており、これにより高い管理オーバーヘッドが発生しています。各リージョンの合計VPNスループットは500 Mbpsです。同社は本番環境をAWSへ移行したいと考えています。同社は、ネットワークアーキテクチャを簡素化し、将来の成長に対応できるソリューションを必要としています。本番環境の移行により、各リージョンでデータセンターへ戻る追加トラフィックが2 Gbps発生します。このトラフィックは今後増加していく予定です。これらの要件を満たすソリューションはどれですか?

    • A. 各データセンターから各リージョンのAWSへのAWS Direct Connect接続を設定します。単一のDirect ConnectゲートウェイにプライベートVIFを作成・アタッチします。Direct ConnectゲートウェイをすべてのVPCにアタッチします。仮想プライベートゲートウェイに直接アタッチされている既存のVPN接続を削除します。
    • B. 各データセンターからのVPN接続を持つ単一のトランジットゲートウェイを作成します。AWS Resource Access Manager(AWS RAM)を使用して各アカウントとトランジットゲートウェイを共有します。各VPCにトランジットゲートウェイをアタッチします。仮想プライベートゲートウェイに直接アタッチされている既存のVPN接続を削除します。
    • C. 各リージョンに、各データセンターからの新たに導入された複数のVPN接続を備えたトランジットゲートウェイを作成します。AWS Resource Access Manager(AWS RAM)を使用して各アカウントとトランジットゲートウェイを共有します。各リージョンで、トランジットゲートウェイを各VPCにアタッチします。仮想プライベートゲートウェイに直接アタッチされている既存のVPN接続を削除します。
    • D. 各リージョン内のすべてのVPCを、各リージョンで新たなトランジットVPCとして機能する新しいVPCとピアリングします。各データセンターからトランジットVPCへの新しいVPN接続を作成します。元のVPCにアタッチされていたオリジナルのVPN接続を終端します。各リージョンで、新しいトランジットVPCへの新しいVPN接続を保持します。

    この問題を見る →

  100. Q100. ある企業には2つの事業部門(BU)があります。同社はus-east-1リージョンおよびus-west-1リージョンで運用されており、将来的にさらに多くのリージョンへ拡張する予定です。各BUは各リージョンにVPCを保有しています。各リージョンには、BUのVPCがアタッチされたトランジットゲートウェイがあります。両リージョンのトランジットゲートウェイはピアリングされています。同社は今後さらに多数のBUを作成し、一部のBUを他のBUから分離する必要があります。同社は、より多くのリージョンおよびBUを取り入れるアーキテクチャへ移行したいと考えています。これらの要件を最も運用効率よく満たすソリューションはどれですか?

    • A. 各リージョンで各新しいBU向けに新しいトランジットゲートウェイを作成します。新しいトランジットゲートウェイを既存のトランジットゲートウェイとピアリングします。BU間のトラフィックを制御するためにルートテーブルを更新します。
    • B. 両リージョンにエッジロケーションを備えたAWS Cloud WANコアネットワークを作成します。新しいBUのVPCへのVPCアタッチメントを含む各BU向けにセグメントを構成します。セグメントアクションを使用してセグメント間のトラフィックを制御します。
    • C. 両リージョンにエッジロケーションを備えたAWS Cloud WANコアネットワークを作成します。新しいBUのVPCへのVPCアタッチメントを含む各BU向けにセグメントを構成します。セグメント間のトラフィックを制御するためにアタッチメントの分離を構成します。
    • D. 新しいVPCを既存のトランジットゲートウェイにアタッチします。BU間のトラフィックを制御するためにルートテーブルを更新します。

    この問題を見る →