AWS SysOps – 07
□[121]InfoSecは、従業員が機密データをAmazon S3バケットに公開する可能性があることを懸念しています。ユーザーに過度の制限を課すことなく、どのようにこの懸念に対処できますか?
A. アクションs3を拒否するすべてのユーザーにIAMポリシーを適用します。PutBucketPolicy
B. フェデレーションアクセスを使用して管理されている特定のIAMロールにS3バケットアクセスを制限する
C. Amazon SNSを使用してパブリックバケットを識別し、InfoSecに警告するためにAWS Configルールをアクティブにする
D. AWSパーソナルヘルスダッシュボードの調査結果をInfoSecに毎日Eメールで送信する
答 C
□[122]ある企業の顧客が、Amazon S3から静的Webコンテンツにアクセスしている間の待ち時間の増加を報告しています。 SysOps管理者が、特定のS3バケットで非常に高い割合の読み取り操作を確認しました。S3バケットの負荷を減らして待ち時間を最小限に抑えるにはどうすればよいですか?
A. エンドユーザーの地理的な場所に近い地域にS3バケットを移行します。
B. クロスリージョンレプリケーションを使用して、すべてのデータを別のリージョンに複製します。
C. S3バケットを起点としてAmazon CloudFrontディストリビューションを作成します。
D. Amazon S3から提供されるデータをキャッシュするには、Amazon ElasticCacheを使用します。
答 C
□[123]組織は10人のIAMユーザーを作成しました。組織は、各IAMユーザーが別々のDyanmoDBテーブルにアクセスできるようにしたいと考えています。すべてのユーザーが同じグループに追加され、組織はこれに対してグループレベルのポリシーを設定しようとしています。組織はどのようにこれを達成することができますか?
A. グループポリシーを定義し、IAM名に基づいてアクセスを許可する条件を追加します
B. IAMユーザー名と同じ名前でDynamoDBテーブルを作成し、変数を使用してDynamoDB ARNに基づいてアクセスを許可するポリシールールを定義します
C. ユーザーごとに個別のDynamoDBデータベースを作成し、DB変数に基づいてグループ内にポリシーを設定します
D. 異なるIAMユーザーに異なるDynamoDBテーブルを許可するグループレベルのポリシーを設定することはできません
答 B
□[124]ある企業が、AWS組織を使用してすべてのアカウントを管理しています。 最高技術責任者は、特定のサービスが生産アカウント内で使用されるのを防ぐために、サービスは社内で認証されています。 彼らは開発者が開発アカウントでこれらの未認証のサービスを試すことを可能にしても構わないと思っていますが、これらのサービスがプロダクションアカウント内で使用されないようにする方法を必要としています。どのオプションを使用すると、本番用アカウントではサービスが許可されず、LEAST管理オーバーヘッド内の個別の開発用アカウントではサービスが許可されるようになりますか。
A. AWS Configを使用して、プロダクションアカウント内で見つかった準拠していないサービスを定期的にシャットダウンしながら、これらの同じサービスを開発アカウントで実行することを許可します。
B. プロダクションアカウントを含むAWS組織単位(OU)にサービス管理ポリシーを適用して、認定サービスをホワイトリストに登録します。 開発アカウントを含むOUに、制限の少ないポリシーを適用します。
C. 開発者が運用アカウント内でこれらのサービスを使用できないようにするために、ユーザーとアカウントの組み合わせに適用されるIAMポリシーを使用します。 開発アカウントでサービスを実行できるようにします。
D. Amazon CloudWatchを使用して任意のアカウント内での非認定サービスの使用についてレポートし、本番アカウントで見つかった場合には非認定サービスのみを終了するAWS Lambda機能をトリガーします。
答 B
□[125]あなたは非常にトラフィックの多いNode JSアプリケーションのAWSへの移行を任されています。
組織の標準に準拠するには、Chefレシピを使用してこのアプリケーションをホストするアプリケーションサーバーを構成し、アプリケーションライフサイクルイベントをサポートする必要があります。
管理上の負担を最小限に抑えながら、どの展開オプションがこれらの要件を満たしていますか?
A. Opsworks内に新しいスタックを作成し、適切なレイヤーをスタックに追加してアプリケーションを展開する
B. Elastic Beanstalk内で新しいアプリケーションを作成し、このアプリケーションを新しい環境にデプロイします
C. コミュニティAMIからMode JSサーバーを起動し、起動したEC2インスタンスに手動でアプリケーションをデプロイする
D. EC2インスタンスでChef Serverを起動および設定し、AWS CLIを利用してアプリケーションサーバーを起動し、Chefを使用してそれらのインスタンスを設定します
答 A
□[126]SysOps管理者は、大量のEC2インスタンスを担当し、今後のハードウェアのメンテナンスによってインスタンスが影響を受けるかどうかを知っておく必要があります。どのオプションがこの情報をLEAST管理オーバーヘッドで提供しますか?
A. 今後のメンテナンスに関連するStopInstances API呼び出しについてAWS CloudTrailを監視します。
B. 定期的なメンテナンスについては、Personal Health Dashboardを確認してください。
C. AWSマネジメントコンソールから、システムステータスチェックに失敗したインスタンスをすべて一覧表示します。
D. リアルタイムのEC2インスタンス監視を提供するために、サードパーティの監視ソリューションを導入します。
答 C
□[127]どの2つのAWSサービスが、ユーザーが設定可能な自動バックアップとしての自動バックアップとバックアップローテーションのオプションを提供しますか? (2つ選んでください。)
A. Amazon S3
B. Amazon RDS
C. Amazon EBS
D. Amazon Red shift
答 B D
□[128]ユーザーがEC2でホストされるアプリケーションを作成しました。アプリケーションはDynamoDBを呼び出して特定のデータを取得します。アプリケーションは、DynamoDB SDKを使用してEC2インスタンスから接続しています。このシナリオでのセキュリティのためのベストプラクティスに関して、以下の記述のうちどれが正しいですか?
A. ユーザーは、EC2インスタンスへのDynamoDBアクセス権を持つIAMロールを添付する必要があります。
B. ユーザーはDynamoDBアクセスを持つIAMユーザーを作成し、アプリケーション内でその資格情報を使用してDynamoDBに接続する
C. ユーザーはIAMロールを作成する必要があります。これは、アプリケーションのデプロイを許可するようにEC2アクセス権を持ちます
D. ユーザーはDynamoDBおよびEC2アクセス権を持つIAMユーザーを作成する必要があります。rootアカウントの資格情報を使用しないように、ユーザーをアプリケーションに接続します。
答 A
□[129]ユーザーは自分のインスタンスで巨大なダウンロードが発生していることを認識しています。 彼は、ネットワークI / Oが一定の制限を超えて増加したときにインスタンス数を増やすようにAuto Scalingポリシーをすでに設定しています。 この一時的なイベントが拡大縮小を引き起こさないことをユーザーはどのように確認できますか?
A. ネットワークI / Oにポリシーを設定できません
B. ユーザーがスケーリングを停止することはできません。既に構成されているためです
C. データのダウンロード中にネットワークI / Oは影響を受けません
D. 彼は一時的にスケーリングを中断することができます
答 D
□[130]あなたの使命は、消灯データセンター環境を構築することであり、あなたはこれを達成するためにAWS OpsWorksを使用することを計画しています。最初にスタックを作成し、その中でインスタンスが実行されているApp Serverレイヤーを追加しました。
次に、インスタンスにアプリケーションを追加しました。次に、MySQL RDSデータベースインスタンスをデプロイする必要があります。次の答えのどれがOpsWorksスタックにバックエンドデータベースサーバーを追加する方法を正確に説明しますか? (3つ選んでください。)
A. 新しいデータベース層を追加してから、データベース層とApp Server層のデプロイアクションにレシピを追加します。
B. プライマリAZで障害が発生した場合の冗長性のために、OpsWorksの「クローンスタック」機能を使用して別のアベイラビリティーゾーンに2番目のRDSスタックを作成します。セカンダリRDSインスタンスに切り替えるには、[:database]属性をサーバーに適した値に設定します。これはカスタムJSONを使用して実行できます。
C. RDSデータベース接続を特徴付ける変数(ホスト、ユーザーなど)は、デプロイJSONの[:depioy] [:app_name] [:database]属性の対応する値を使用して設定されます。
D. クックブックの属性はリポジトリに格納されるため、OpsWorksではRDSインスタンスの “password": “your_password"属性を少なくとも256ビットのキーを使用して暗号化する必要があります。
E. カスタムレシピを使用して、アプリサーバーとRDSレイヤーの間の接続を設定します。レシピは、通常は構成ファイルを作成することによって、必要に応じてアプリサーバーを構成します。レシピは、AWS OpsWorksがすべてのインスタンスにインストールするスタック設定およびデプロイメントJSONの一連の属性から、ホスト名やデータベース名などの接続データを取得します。
答 A C E
□[131]企業Webサイトは、世界中の複数の地域にわたるいくつかのAmazon EC2インスタンスでホストされています。長期間にわたってネットワーク接続の輻輳が発生した場合、管理者はどのようにしてWebサイトを設定して、ダウンタイムを最小限に抑えて高可用性を維持する必要がありますか。
A. すべてのAmazon EC2インスタンスの前にElastic Load Balancerを作成します。
B. プライマリサイトにアクセスできない場合にセカンダリサイトにフェイルオーバーするElastic Load Balancerを作成します。
C. 各地域でElastic Load Balancerに解決されるAmazon Route 53レイテンシーベースのルーティングレコードセットを作成します。 各ELBに適切なヘルスチェックを設定します。
D. 各リージョンのElastic Load Balancerに解決され、Evaluate Target Healthフラグが “true"に設定されたAmazon Route 53レイテンシベースのルーティングレコードセットを作成します。
答 D
□[132]AWS CloudFormationに関しては、実行時にテンプレートに値を渡すには____________を使用する必要があります。
A. parameters
B. conditions
C. resources
D. mapping
答 A
□[133]Elastic Load Balancer(ELB)で構成されるWebアプリケーション用のVPCを設計する必要があります。一連のWeb /アプリケーションサーバー、およびRDSデータベース。インフラストラクチャ全体を2つのアベイラビリティーゾーンに分散させる必要があります。データベースがインターネットから利用できないことを保証しながら、どのVPC設定が機能しますか?
A. ELB用の1つのパブリックサブネットWebサーバー用の1つのパブリックサブネット、およびデータベース用の1つのプライベートサブネット
B. ELB用の1つのパブリックサブネットWebサーバー用の2つのプライベートサブネット、RDS用の2つのプライベートサブネット
C. ELB用の2つのパブリックサブネットWebサーバー用の2つのプライベートサブネットとRDS用の2つのプライベートサブネット
D. ELB用の2つのパブリックサブネットWebサーバー用の2つのパブリックサブネット、およびRDS用の2つのパブリックサブネット
答 C
□[134]あなたは要塞ホストを持つシステムを設計しています。このコンポーネントは、人手を介さずに高可用性を実現する必要があります。次のうちどれを選択しますか。
A. 各AZに1つずつ、2つのインスタンスで要塞を実行します
B. 1つのAZのアクティブなインスタンスで要塞を実行し、障害が発生した場合にAMIを起動する準備をします
C. Auto Scalingグループで要塞インスタンスを構成する複数のAZを含むが、最小サイズが1、最大サイズが1であるようにAuto Scalingグループを指定します
D. 要塞インスタンスの前にELBを設定します
答 C
□[135]ユーザーがCPU使用率のアラームを50%以上に設定しました。 内部プロセスのため、現在のCPU使用率は6時間で80%になります。 CloudWatchアラームが何のアクションも実行しないことをユーザーはどのように確認できますか?
A. ユーザーはDisableAlarmActions APIを使用してアラームを無効にできます。
B. ユーザーはCLIのmon-sleep-alarm-actionを使用してCloudWatchをスリープ状態に設定できます。
C. ユーザーはコンソールからアラームを一時停止できます。
D. アラームが削除されない限り、ユーザーはアラームの動作を停止できません。
答 A
□[136]ユーザーはAWSの内部使用を評価することを計画しています。評価中、ユーザーは自分のアカウントに料金を請求したくありません。下記のAWSサービスのうちどれを使用した場合に料金が発生しますか?
A. 1 GBのストレージを備えたAWS S3
B. 毎日24時間稼働するAWSマイクロインスタンス
C. 1日24時間稼働するAWS ELB
D. 10 GBサイズのAWS PIOPSボリューム
答 D
□[137]ユーザーがEBS-Backed EC2インスタンスでバッチプロセスを実行しています。バッチ・プロセスは、50600分間または場合によってはもっと長い時間にわたって実行できるhadoop Map reduceジョブを処理するために数回インスタンスを開始します。ユーザーは、プロセスが完了したときにのみインスタンスが終了するように設定したいと考えています。ユーザーはどのようにCloudWatchでこれを設定できますか?
A. CPU使用率が5%未満の場合にインスタンスを終了するようにCloudWatchアクションを設定します
B. Auto Scalingを使用してCloudWatchを設定し、すべてのインスタンスを終了します
C. 600分後にすべてのインスタンスを終了するジョブを設定します
D. インスタンスを自動的に終了することはできません
答 A
□[138]AWS Storage Gatewayでは、ゲートウェイキャッシュボリュームを使用すると________________を保持できます。
A. ローカルでリカバリできる、耐久性があり安価なオフサイトバックアップ
B. プライマリデータをローカルに作成し、このデータのポイントインタイムスナップショットをAmazon S3に非同期的にバックアップする
C. 仮想テープへのオンラインアクセスを備えたバックアップアプリケーション
D. 頻繁にアクセスされるデータへの低遅延アクセス
答 D
□[139]ユーザーがElastic Load BalancerにアクセスするためのIAMポリシーを設定しました。IAMポリシーは1つ以上のステートメントで構成されるJSONドキュメントであることがわかります。 次の要素のどれがIAMポリシードキュメントのステートメントの一部ではありませんか?
A. Action
B. Resource
C. Effect
D. Key
答 D
□[140]会社はすべてのユーザーに対して使用率認証(MFA)を義務付けており、ユーザーはCLIを使用してすべてのAPI呼び出しを行うように要求されます。 ただし、ユーザーはMFAトークンを入力するように求められず、MFなしでCLIコマンドを返すことができます。強制MFAでは、MFAで認証されていないAPI呼び出しを派生させるIAMポリシーをすべてのユーザーに添付しました。 コールがMFAを使用して認証されるようにするために必要な追加の手順は何ですか?
A. IAMロールでMFAを有効にします。APIコールに署名するためにIAMがロール認証情報を使用する必要があります。
B. Cliを使用してPI呼び出しをマークする前に、MFAを使用してAWSマネジメントコンソールにログインするようにIAMに依頼します。
C. MFAはCLIでの使用をサポートしていないため、IAMユーザーがコンソールを使用することを制限しました。
D. API呼び出しに署名するためにget-session tokenコマンドからの一時的な認証情報を使用するようにユーザーに報告します。
答 D