TxKxZxWx's blog

AWS SAA取得に向けて学習

AWS SAA取得に向けて 92日目 問題 S3 API、NATゲートウェイ、AWSサポートのプラン選択、EC2インスタンスのメモリ使用量モニタリング、Server Name Indication (SNI)、VPCピアリング接続

間違えた問題を復習

 

 

問題1:

顧客は社内データのバックアップの一部としてS3を用いています。

S3 Gracierを活用するために、サードパーティ製のソフトウェアを使用することを計画しています。

「company-backup」という名前のバケットサードパーティ製のソフトウェアにアクセスを制限させる最適な方法は?

  1. S3 APIバケットポリシーを用いて、S3 Glacierのアーカイブ用に「company-backup」を制限する。
  2. S3 APIにIAMユーザーポリシーを用いて、「company-backup」を制限する。
  3. S3 APIバケットポリシーを用いて、「company-backup」を制限する。
  4. S3 APIにIAMユーザーポリシーを用いて、S3 Glacierのアーカイブ用に「company-backup」を制限する。

 

 

 

解答:

 

解説:

バケットとオブジェクト、及びそれらのリソースを操作するためにS3アプリケーションプログラミングインターフェイス(API)を使用する。

Amazon S3 APIを使用することで「company-backup」を制御できる。

S3 APIの制御するのはポリシー設定が必要で、バケットポリシーとユーザー(IAM)ポリシーがある。

バケットポリシーとユーザー(IAM)ポリシーは、S3リソースに対するアクセス権限を付与するために使用できる2つのアクセスポリシーオプション。

 

正解は個人、またはアプリケーション(サードパーティ製のソフトウェア)に対してIAMユーザーを作成し、作成したユーザーに対して「company-backup」バケットへのアクセスを許可するポリシーをアタッチすることで実現可能になる。

 

 


問題2:

企業は、インターネットへのアウトバウンドアクセスを必要とするプライベートサブネット内にインスタンスを構築しました。

要件を満たす物は?

  1. NATゲートウェイを介してインターネットトラフィックを向けるようにサブネットに関連づけられたルートテーブルを更新する。
  2. インスタンスにパブリックIPアドレスを割り当てる。
  3. サブネットに関連付けられているセキュリティグループを更新して、0.0.0.0/0への入力を許可する。
  4. インターネットにアクセスできるVPCエンドポイントを介してインスタンスからトラフィックをルーティングする。 

 

解答:

 

解説:

「NATゲートウェイ

NATゲートウェイを使用して、プライベートサブネットのインスタンスからインターネットや他のAWSサービスに接続できるが、インターネットからはこれらのインスタンスとの接続を開始できないようにできる。

 

 

■ことば

◇ NATゲートウェイ

プライベートサブネットからインターネットにアクセスする際にプライベートIPアドレスからパブリックIPアドレスにアドレス変換を行う場合に利用するゲートウェイ

また、インターネットからはプライベートサブネットにアクセスしないようにできる。

 

VPCエンドポイント

→S3に対してインターネット経由ではなく、VPC内の閉じられたネットワーク内でアクセスを行うことを可能とする。

インターネットゲートウェイを経由せずVPC外のAWSサービスにアクセスできる

 

 


問題3:

 技術サポートケースを作成できる、提供されているAmazonウェブサービスの有料サポートレベルは?(3つ)

  1. ベーシック、ビジネス、エンタープライズ
  2. 開発者、ビジネス、エンタープライズ
  3. 開発者、ベーシック、エンタープライズ
  4. 開発者、ビジネス、ベーシック

 

解答:

 

解説:

AWSサポートのプラン選択

 サポートレベルは以下の4種類あり、1種類の無料サービス、3種類の有料サポート。

有料のサポートレベルのみ技術サポートケースを作成できる。

  • ベーシック(無料:利用料に含む)
  • 開発者(有料)
  • ビジネス(有料)
  • エンタープライズ(有料)

 

aws.amazon.com

 

 

 


問題4:

EC2インスタンスのメモリ使用量をモニタリングする方法は?

  1. 単一のエージェントをEC2インスタンスに配置して、メモリ使用量をCloudWatchカスタムメトリクスに送信する。
  2. デフォルトでメトリクスへのメモリ使用量をサポートするインスタンスタイプを使用する。
  3. CloudWatchを呼び出して、EC2のインスタンスメトリクスのメモリ使用量のデータを取得する。
  4. 目的のメトリクスへのアクセスを許可するIAMポリシーを使用して、EC2インスタンスにIAMロールを割り当てる。 

 

解答:

1 

 

解説:

EC2 Linuxインスタンスのメモリとディスクのメトリクスのモニタリング

 単一のエージェントを使用して、EC2インスタンスとオンプレミスサーバーからメモリとディスクを含むシステムメトリクスとログファイルの両方を収集できる。

新しいエージェントではWindows ServerとLinuxの両方がサポートされ、CPUあたりのコアのようなサブリソースメトリクスなど、収集するメトリクスを選択できる。

古いモニタリングスクリプトを使用してメトリクスとログを収集するのではなく、新しいエージェントを使用することが推奨される。

メモリ使用量をモニタリングするためにはエージェントの配置が必要。

 

以下は間違い。

3:CloudWatchを呼び出して、EC2のインスタンスメトリクスのメモリ使用量のデータを取得する。

インスタンスメトリクスにメモリ使用量はないので間違い。

 

2:デフォルトでメトリクスへのメモリ使用量をサポートするインスタンスタイプを使用する。

→デフォルトでメモリ使用量をサポートするインスタンスタイプはないため間違い。

エージェントの配置が必要。

 

4:目的のメトリクスへのアクセスを許可するIAMポリシーを使用して、EC2インスタンスにIAMロールを割り当てる。 

→目的のメトリクスへのアクセスを許可するIAMポリシーは無いため間違い。

ソース単位にアクセスを許可する。

 

 

docs.aws.amazon.com

 

 

 


問題5:

一般向けウェブアプリケーションの静的アセットを提供するようにS3バケットを設定する必要がある。

バケットにアップロードされた全てのオブジェクトをパブリック読み取りにする設定方法は?(2つ) 

  1. 全てのオブジェクトをパブリック読み取りに設定するようにバケットポリシーを構成する。
  2. IAMロールを使用して、バケットをパブリック読み取りに設定する。
  3. S3オブジェクトはデフォルトでパブリック読み取りに設定されているため設定は不要。
  4. アップロードしたオブジェクトのアクセス許可をパブリック読み取りに設定する。
  5. 全てのオブジェクトをパブリック読み取りに設定するようにバケットACLを構成する。 

 

解答:

1、4 

 

解説:

オブジェクトのパブリック読み取り

バケットに対するアクセス許可とオブジェクトに対するアクセス許可は完全に独立しているので、全てのオブジェクトがパブリック読み取りを許可するバケットポリシーを設定して、オブジェクトに対するアクセス許可を設定する。

 

以下は間違い:

2:IAMロールを使用して、バケットをパブリック読み取りに設定する。

→IAMロールを使用して、バケットをパブリック読み取りに設定することはできないので間違い。

 

3:S3オブジェクトはデフォルトでパブリック読み取りに設定されているため設定は不要。

→デフォルトでパブリック読み取りは禁止されているので間違い。

 

5:全てのオブジェクトをパブリック読み取りに設定するようにバケットACLを構成する。 

バケットACLよりもバケットポリシーが優先されるので間違い。

 

docs.aws.amazon.com

 


問題6:

 クラシックロードバランサーは、ロードバランサーのServer Name Indication (SNI)をサポートしていますか?

 

解答:

 未対応

 

解説:

Server Name Indication (SNI)のサポート

クラシックロードバランサーでは、ロードバランサーのServer Name Indication (SNI)がサポートされていない

代わりに次のいずれかの代替案を使用できる。

 

・証明書を1つのロードバランサーにデプロイし、追加のウェブサイトごとにサブジェクト代替名(SAN)を追加する。

・フロントエンド接続とバックエンド接続のポート443でTCPリスナーを使用する。

 

■ことば

◇Server Name Indication (SNI)

→これまでは「1台のサーバ(グローバルIPアドレス)につきSSL証明書は1ドメイン」だったが、SNIを利用すれば、「1台のサーバで異なる証明書」を使い分けることができるようになる。

 

 

jp.globalsign.com

 

 


問題7:

 ソリューションアーキテクトは、同じリージョン内にある別のAWSアカウントのデータにアクセスする必要がある新しいアプリケーションを設計している。

インターネット経由でデータにアクセスは禁止している。

最も低いコストでこれらの要件を満たすソリューションは?

  1. 各アカウントでDirect Connectの接続を構成する。
  2. アカウント間のVPCピアリング接続を確立する。
  3. 各アカウントのセキュリティグループにルールを追加する。
  4. データアカウントにNATゲートウェイを追加する。

 

解答:

 

解説:

別のAWSアカウントのVPCとのVPC接続を作成する

 別のAWSアカウントにあるVPCとのVPCピアリング接続をリクエストできる。

開始する前にAWSアカウント番号と、ピアリング接続を行うVPCVPC IDがあることを確認する。

リクエストを作成した後で、アクセプタVPCの所有者はVPCピアリング接続を承認してアクティブ化する必要がある。

 

 以下は間違い:


1:各アカウントでDirect Connectの接続を構成する。

→コスト要件を満たさないため間違い。


3:各アカウントのセキュリティグループにルールを追加する。

→セキュリティグループでアカウント間のトラフィックを制御できないため間違い。

 

4:データアカウントにNATゲートウェイを追加する。

→NATゲートウェイはプライベートサブネットのインスタンスからインターネットへ接続する用途で利用でき、用途が違うので間違い

 

 

docs.aws.amazon.com