AWS SysOps – 03
□[041]ユーザーは毎日3時間だけ1つのインスタンスを実行しています。ユーザーはインスタンスのコストをいくらか節約したいと考えています。この場合、下記のリザーブドインスタンスのカテゴリのうちどれを推奨しますか?
A. ユーザーはRIを使用しないでください。 代わりにオンデマンドの価格設定で行く
B. ユーザーはAWSの高利用率RIを使用する必要があります
C. ユーザーはRIを利用したAWS媒体を使用する必要があります
D. ユーザーはAWSの使用率が低いRIを使用する必要があります
答 A
□[042]ユーザーが新しいサブネットを使用してVPCを構成しました。ユーザーがセキュリティグループを作成しました。ユーザは、同じサブネットのインスタンスが互いに通信するように設定したいと考えています。ユーザーはこれをセキュリティグループでどのように設定できますか?
A. すべてのインスタンスが同じサブネット内で互いに通信できるため、セキュリティグループを変更する必要はありません
B. サブネットをセキュリティグループの送信元として設定し、すべてのプロトコルとポートでトラフィックを許可します
C. セキュリティグループ自体を送信元として設定し、すべてのプロトコルとポートでトラフィックを許可します
D. ユーザはこれを設定するのにVPCピアリングを使用しなければなりません
答 C
□[043]EPC(Elastic Load Balancer)、Webサーバー、アプリケーションサーバー、およびデータベースで構成されるVPCで実行されている企業間Webアプリケーションがあります。あなたのWebアプリケーションは事前に定義された顧客のIPアドレスからのトラフィックだけを受け入れるべきです。どちらの選択肢がこのセキュリティ要件を満たしていますか? (2つ選んでください。)
A. 顧客のIPからのトラフィックを許可するようにWebサーバーVPCセキュリティグループを設定します
B. ELBの「X-forwarded-for」ヘッダーに基づいてトラフィックをフィルタリングするようにWebサーバーを設定します
C. 顧客のIPからのトラフィックを許可し、すべての発信トラフィックを拒否するようにELBセキュリティグループを設定します
D. 顧客のIPからのWebトラフィックを許可し、すべてのアウトバウンドトラフィックを拒否するようにVPC NACLを設定します。
答 A B
□[044]組織のインスタンスが企業ポリシーおよびガイドラインに準拠しているかどうかを監視するために管理者は何をすることができますか?
A. インスタンスのメタデータを確認して、実行されているソフトウェアを特定してください
B. AWS CloudTrailログを使用して、インスタンスで実行されているアプリケーションを識別します
C. インスタンスのソフトウェア変更に伴ってトリガーされるCloudWatchアラームを設定します
D. AWS ConfigサービスでConfig Rulesを使用してインスタンスの設定とアプリケーションを確認します
答 D
□[045]アプリケーションは、Amazon Aurora DBインスタンスに対して読み取りが多い操作を実行します。 SysOps管理者はCPUUtilization CloudWatchメトリックスを監視し、最近それが90%に増加するのを見ました。 管理者は、何がCPUの急上昇を引き起こしているのかを理解したいと思います。次のうちどれが管理者がCPUサージを理解するために追加的に監視すべきですか?
A. FreeableMemoryおよびDatabaseConnectionsを使用して、使用可能なRAMの量とDBインスタンスへの接続数を把握します
B. FreeableMemoryとEngineUptimeを使用して、使用可能なRAMの容量とインスタンスが起動して実行されている時間を把握します
C. DBインスタンスへの接続数およびプライマリインスタンスから更新を複製するときの遅延量については、DatabaseConnectionsおよびAuroraReplicaLagを参照してください
D. DBインスタンスへの接続数および挿入クエリの待ち時間に対するDatabaseConnectionsおよびInsertLatency
答 D
□[046]Big Dataのコンサルティング会社は、請求およびセキュリティ上の理由から、顧客の作業負荷を分けたいと考えています。 同社は、これらのワークロードに対する請求およびセキュリティ管理を維持したいと考えています。ベストプラクティスによると、共有リソースが不要な場合、ワークロードをどのように分離できますか。
A. 各顧客に独自のアカウントの作成を要求します。 一括請求を受けるにはAWSサポートにお問い合わせください
B. 一括請求機能を指定してAWS組織内に顧客アカウントを作成します
C. 顧客ごとに個別のVPCを作成します。 セキュリティグループを使用してトラフィックを隔離します
D. AWSリージョンを各顧客専用にします。 Amazon Route 53の各エントリが一意であることを確認してください
答 B
□[047]会社はすべてのIAMユーザーに対して多要素認証(MFA)の使用を義務付けており、ユーザーはCLIを使用してすべてのAPI呼び出しを行う必要があります。 ただし、ユーザーはMFAトークンを入力するように求められず、MFAなしでCLIコマンドを実行できます。 MFAを実施するために、同社は、MFAで認証されていないAPI呼び出しを拒否するすべてのユーザーにIAMポリシーを適用しました。MFAを使用してAPI呼び出しが確実に認証されるようにするために必要な追加の手順は何ですか?
A. IAMロールでMFAを有効にし、IAMユーザーにロール認証情報を使用してAPI呼び出しに署名することを要求します。
B. CLIを使用してAPI呼び出しを行う前に、IFAユーザーにMFAでAWSマネジメントコンソールにログインするように依頼してください
C. MFAはCLIでの使用がサポートされていないため、IAMユーザーにコンソールの使用を制限します
D. ユーザーに、get-session tokenコマンドからの一時的な認証情報を使用してAPI呼び出しに署名することを要求します
答 D
□[048]SysOps管理者は、チームの既存の単一AWS CloudFormationテンプレートを使用して、それをより小さなサービス固有のテンプレートに分割する必要があります。 テンプレート内のすべてのサービスは、単一の共有Amazon S3バケットです。このS3バケットをすべてのサービステンプレートから参照できるようにするために、管理者は何をすべきですか。
A. 各テンプレートのマッピングとしてS3バケットを含めます
B. 各テンプレートのS3バケットをリソースとして追加します
C. 独自のテンプレートでS3バケットを作成してエクスポートします
D. StackSetsを使用してS3バケットを生成します
答 B
□[049]ユーザーは、AWS EC2インスタンスのCPU使用率が90%を超えるたびに、自分のベッドルームのレッドライトが点灯するようにしたいと考えています。下記のAWSサービスのどれがこの目的に役立ちますか?
A. AWS CloudWatch + AWS SES
B. AWS CloudWatch + AWS SNS
C. 無し。 AWSインフラストラクチャサービスでライトを設定することはできません
D. AWS CloudWatchと専用ソフトウェアが点灯
答 B
□[050]各プロジェクトに個別のAWSアカウントを設定しました。AWSインフラストラクチャの費用が、プロジェクトごとに設定された1か月の予算を超えないようにするように依頼されました。あなたが毎月の予算を超えないようにするのに役立つ次のアプローチのどれが?
A. アカウントを統合して、すべてのアカウントとプロジェクトに対して単一の請求書を作成します
B. 特定のアカウントで実行しているインスタンスが多すぎる場合に通知するためにSNSを使用してCloudWatchアラームで自動スケーリングを設定する
C. 各プロジェクトで使用されているすべてのAWSリソースに対してCloudWatch請求アラートを設定します。特定のプロジェクトにタグ付けされている各リソースの金額が、プロジェクトに割り当てられている予算と一致すると通知されます。
D. 各アカウントで使用されるすべてのAWSリソースに対してCloudWatch請求アラートを設定し、50%に達したときにEメール通知を送信します。 予算の毎月の支出の80%と90%
答 D
□[051]ユーザーは、2つの異なるリージョンで2つのEC2インスタンスを実行しています。ユーザーは、同じ名前空間とメトリックスを持つCLIを使用して、データをキャプチャし、それを米国東部のCloudWatchに送信する内部メモリ管理ツールを実行しています。以下の選択肢のうちどれが上記の記述に関して正しいですか?
A. CloudWatchは地域を超えてデータを受信できないため、セットアップは機能しません
B. CloudWatchは名前空間とメトリクスに基づいてデータを受信して集計します
C. 2つの原因でデータが競合するためCloudWatchはエラーを出します
D. CloudWatchは最初にデータを送信するサーバーのデータを取得します
答 B
□[052]AWSアカウントは、彼の組織の支払い先アカウントの一括請求の一部になりたいと考えています。そのアカウントの所有者はどのようにこれを達成できますか?
A. 支払い先アカウントは、他のアカウントと自分のアカウントをリンクするためにAWSサポートをリクエストする必要があります
B. リンク先アカウントの所有者は、請求先コンソールから支払い先アカウントを自分のマスターアカウントリストに追加する必要があります
C. お支払い受取人のアカウントはリンクされたアカウントに一括請求の一部となるようにリクエストを送信します
D. リンクされたアカウントの所有者は、支払い先アカウントに自分のアカウントを一括請求に追加するように要求します
答 C
□[053]ある会社のCFOが、自分の従業員の1人にAWSの使用状況レポートページのみを表示することを許可したいと考えています。ユーザーがAWS使用状況レポートページにアクセスすることを許可するのは、下記のIAMポリシーステートメントのどれですか。
A. “Effect": “Allow", “Action": [“Describe"], “Resource": “Billing"
B. “Effect": “Allow", “Action": [“AccountUsage], “Resource": “*"
C. “Effect": “Allow", “Action": [“aws-portal:ViewUsage"], “Resource": “*"
D. “Effect": “Allow", “Action": [“aws-portal: ViewBilling"], “Resource": “*"
答 C
□[054]会社は、AWS Storage Gatewayのテープゲートウェイを使用してデータセンターからデータをバックアップします。SysOps管理者は、Storage Gatewayを実行している仮想マシンを再起動する必要があります。どのプロセスがデータの完全性を保護しますか?
A. Storage Gatewayを停止して仮想マシンを再起動してから、Storage Gatewayを再起動します
B. 仮想マシンを再起動してから、Storage Gatewayを再起動してください
C. 仮想マシンを再起動します
D. 仮想マシンをシャットダウンしてStorage Gatewayを停止してから、仮想マシンをオンにします
答 D
□[055]会社はAWS CloudTrailを使用してアカウントのアクティビティを監視しています。ログファイルがアカウントのAmazon S3バケットに配信された後に改ざんされています。先に進むと、SysOps管理者はログファイルがS3バケットに配信された後に変更されていないことをどのように確認できますか。
A. CloudTrailログをAmazon CloudWatchにストリーミングして、ログを2番目の場所に保存します。
B. ログファイルの整合性検証を有効にし、ダイジェストファイルを使用してログファイルのハッシュ値を確認します。
C. S3ログバケットをリージョン間で複製し、ログファイルをS3管理キーで暗号化します。
D. セキュリティ監査のためにログバケットに対して行われた要求を追跡するためにS3サーバーアクセスログを有効にします。
答 B
□[056]SysOps管理者は、すべてのIAMユーザーと各ユーザーのMFAのステータスのレポートが必要です。どのIAM機能がこの要件を満たしますか?
A. IAM Rotes report
B. IAM MFA report
C. IAM User Policies report
D. IAM Credential report
答 D
□[057]次のコンポーネントで構成されるWebアプリケーションをAWSで実行しています。Elastic Load Balancer(ELB)、Linux / PHP / Apacheを実行しているEC2インスタンスのAuto-Scaling Group、およびRelational DataBase Service(RDS)MySQL。どのセキュリティ対策がAWSの責任になりますか?
A. 最小特権アクセスの原則を適用して、EC2インスタンスを迷惑なアクセスから保護します
B. IPのなりすましやパケットの盗聴から保護する
C. EC2インスタンスとELB間のすべての通信が暗号化されていることを確認する
D. ELBに最新のセキュリティパッチをインストールします。 RDSおよびEC2インスタンス
答 B
□[058]コンテンツ処理チームはSysOps管理者に、コンテンツの処理に時間がかかることがある一方で、迅速に処理することがあることを通知しました。 コンテンツ処理はAmazon SQS(Amazon Simple Queue Service)キューにメッセージを送信します。このキューには、処理が必要なファイルの詳細が示されます。 Amazon EC2インスタンスはキューをポーリングして、次に処理するファイルを決定します。管理者はどのようにして高速だが費用対効果の高い処理時間を維持できるでしょうか。
A. SQSキューの深さに基づいてEC2インスタンスの数を増やすために、Amazon SQSキューにAuto Scalingポリシーを適用します
B. Auto Scalingポリシーを作成して、キューをポーリングしているEC2インスタンスの数を増やし、CloudWatchアラームをMax Visibility Timeoutに基づいて調整します
C. Auto ScalingポリシーをSQSキューに添付して、デッドレターキューの深さに基づいてインスタンスをスケーリングします
D. Auto Scalingポリシーを作成して、キューをポーリングするEC2インスタンスの数を増やし、CloudWatchアラームをApproximateNumberOfMessagesVisibleに基づいて調整するようにします
答 D
□[059]IAMでは、ポリシーには誰(ユーザー)がリソースへのアクセスを許可されているかに関する情報(_____)を含める必要があります。
A. permission
B. role
C. license
D. principal
答 D
□[060]ルートアカウントの所有者が、バケットACLを使用して自分のS3バケットへのフルアクセスをいずれかのIAMユーザーに与えました。IAMユーザーがS3コンソールにログインしたとき、どのアクションを実行できますか?
A. 彼はただバケツの内容を見ることができます
B. 彼はバケツですべての操作をすることができます
C. ACLを使用してIAMユーザーにアクセス権を付与することはできません
D. IAMユーザーはAPI / SDKのみを使用してバケットですべての操作を実行できます
答 C