AWS

ひろっこ 2023年11月17日カード338 いいね0

AWS-SAA

単語カード

・S3上のデータに対して標準SQLを実行できるデータ分析サービス・サーバレスでEC2インスタンスなどインフラ（実行環境）のセットアップや管理が不要・常にサーバーを起動しておく必要がなく、プロトタイプの検証や手早く分析をしたいようなケースに向いています。・料金はSQLクエリの実行時にスキャンしたデータ量を基に決定

Amazon Athena
・ビッグデータの処理や分析を行うサービス・内部的にクラスターを構築（クラスター構成のEC2インスタンスを管理する必要がある）・ビッグデータ処理の既存フレームワーク、HadoopやSparkを用いる

Amazon EMR（旧Amazon Elastic MapReduce）
フルマネージドのサーバーレスETLサービスです。複数のデータソース（S3やDynamoDBなど）からデータを抽出し、変換・統合したデータをターゲット（Redshiftなど）へ格納するといった、データ分析における橋渡しの役割を担います。

AWS Glue
AWSに関わる通信のうち、データ転送料金が無料なのはどれか

・インターネットからEC2インスタンスへの通信・同一AZにあるEC2インスタンス間の通信
AWS Direct Connectの利用料金の2つの要素

①「ポート時間」Direct Connectロケーション内で契約しているネットワーク機器の利用時間に対して料金が発生します。②「データ転送アウト」AWS内からDirect Connect経由でAWS外へ送信されるネットワークトラフィック量に対して料金が発生します。Direct Connectのデータ転送アウトで発生する料金は、インターネットを経由したデータ転送料金よりも安価に設定されています。
AWSサービスやEC2インスタンスのOSやアプリケーションのログを収集し、一元管理するサービス。別のサービスへ転送するには、CloudWatch Logsのサブスクリプションフィルターで、データの転送先を設定します。CloudTrailにおけるAWSサービスの操作ログや、VPCフローログ（VPC利用時のIPトラフィック情報）などを収集することができます。収集したログは、メッセージの内容をフィルタリングして管理者に通知させることができます（例：EC2インスタンスのOSログで"Error"の文字列を1時間に5回検出した場合、管理者へメール通知する）。さらに、フィルタリングしたログをAmazon Kinesis（※1）やAWS Lambda（※2）、Amazon OpenSearch Service（※3）などの別のサービスへ転送し、ログをリアルタイムに解析したり、ログの内容に応じてプログラムを実行させる、といった連携も可能です。

Amazon CloudWatch Logs
ストリーミングデータ（継続的に発生するデータ）やイベントログなどのリアルタイム分析が可能なAWSサービス。

Kinesis
フルマネージド型の検索・分析エンジンサービスであり、テキストの全文検索やログ分析などの用途に利用できる。

【OpenSearch Service 】内部の分散ストレージを活用することで、大量のデータに対して高速な検索や分析を実現します。また、高度な検索機能を提供しており、テキストデータのような非構造化データに対しても高速なキーワードおよびフレーズ検索が可能です。
AWS Certificate Manager（ACM）とは？

SSL/TLS証明書を作成・管理できるマネージドサービスです。 ACMで管理しているSSL/TLS証明書（サーバー証明書）をAmazon CloudFront、Elastic Load Balancing、Amazon API Gatewayなどに適用することで、ユーザーとの通信をHTTPSで暗号化するとともに、ドメイン（ping-t.com など）の使用権を確認してアクセス先のサーバーが本物であるという証明をします。・ACMで管理するSSL/TLS証明書はユーザーとAWS間の通信を暗号化します。AWSに保存されているデータは暗号化できません。
AWSリソースの設定を管理し、記録・評価するサービス。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。

AWS Config
AWSアカウントごとの利用料金を棒グラフで把握する。AWSサービスの利用料金を可視化する。今後の費用の予測と利用状況の詳細な分析を行える。

AWS Cost Explorer
S3イベント通知の通知先４つ

Lambda関数、SQSキュー、SNSトピック、EventBridge
AWSサービスと連携するAPIの作成や管理ができる機能

Amazon API Gateway　S3の静的Webサイトホスティングの入力フォームから受け取ったデータを、SQSのキューに投入するという橋渡しのような動作も可能です。
SNSからAuto Scalingへ通知を出せるか

出せない
Route53　通常時はプライマリに設定したリソースのIPアドレスを回答し、プライマリのリソースにヘルスチェックで異常が発生した場合は、セカンダリに設定したリソースのIPアドレスを回答するポリシー

フェイルオーバールーティングポリシー
データは暗号化されて転送されるため、安全かつ高速なデータ転送を行える、オンプレミスとAWS間、またはAWSストレージ間のデータ転送サービスはなにか。AWSのストレージにはS3やEFS、FSxなどがあります。

AWS DataSync
S3バケットへ保存したオブジェクトに対する更新・削除を防ぐ機能

オブジェクトロック機能
AWSへデータを移行した後もオンプレミスから継続してデータが更新されるケースで利用される、オンプレミス（自社環境）からAWSのストレージサービスへのアクセスを高速かつセキュアに行うことができるサービス。

Storage Gateway
S3のAWSアカウント単位でアクセス権限を設定する機能をなんというか。他のAWSアカウントに対して、オブジェクトもしくはバケットへの読み取り/書き込みを許可する。

ACL（アクセスコントロールリスト）
ALB配下のEC2インスタンスでWebコンテンツを公開している。インターネットからEC2インスタンスへの直接アクセスを防ぎ、ALB経由のアクセスのみ許可したい。どのようなネットワークアクセス制御の設定をしたらよいか。 ALBにはリクエスト数の増減に応じてALB自身が自動的にスケーリングする機能がありIPアドレスを特定できません。

EC2インスタンスのセキュリティグループで、ALBのセキュリティグループからの通信を許可する
リアルタイムのストリーミングデータを取り込み、Amazon S3、Amazon Redshift、Amazon OpenSearch Serviceなどへ配信するサービス

Amazon Kinesis Data Firehose DynamoDBに配信することができません。
BI：Business Intelligenceとはなにか

ビッグデータを分析し経営に役立てること
代表的なBIツール２つ

Microsoft ExcelやMicroStrategy
ペタバイト級のストレージに対応したデータウェアハウスといえば？ついでに、データウェアハウスとはなんでしょう。

Amazon Redshift。データウェアハウス（DWH：Data WareHouse）とは、複数のシステムからデータを収集・統合・蓄積し、分析に使用するデータベースのこと。
IAMポリシーの中のリソースベースのポリシーについて、各項目の意味を答えよ。Sid,Effect,Action,Resource,Principal,Condition

Sid：ドキュメント内で一意の識別子・Effect：Actionに対する許可または拒否・Action：AWSリソースに対する操作・Resource：Actionの対象とするAWSリソース・Principal：権限のリクエスト元・Condition：適用する条件
フルマネージド型のインメモリデータベースサービスはなにか。また、インメモリデータベースとはなにか。

Amazon ElastiCache。インメモリデータベースとは、データストレージにメモリを使用するデータベースのことです。HDDのようなディスクストレージよりも高速・安定したアクセスが可能で、主にパフォーマンスを重視するアプリケーションに利用されています。RDSやRedshiftなど他のデータベースサービスと連携し、クエリの結果をElastiCacheにキャッシュさせることで全体的なパフォーマンスを向上させる、というような使い方ができます。
データベースのパフォーマンスが低下している。メモリ使用率が原因の場合は、どのサービスと連携することでパフォーマンスが向上するか。

Amazon ElastiCache
RDSのAuto Scalingとは？Auto Scalingが行われるのはどんな時？

データベースのストレージ容量を自動的に拡張する機能です。データベースの容量が枯渇した際に行われるスケーリングです。
複数のEC2インスタンスを論理的にグループ化し、インスタンス間での低遅延な通信や、ハードウェア障害による影響を軽減できる機能

プレイスメントグループ
プレイスメントグループのうち、グループ内のEC2インスタンスを単一AZ内の物理的に近い距離に配置し、各EC2インスタンス同士の通信に遅延が発生しにくくなるグループはなにか

「クラスタープレイスメントグループ」
Site-to-site VPN接続で使われるカスタマーゲートウェイはAWS側で冗長化されている。〇か×か。

×。カスタマーゲートウェイはオンプレミス内の機器なので、高可用性を保つにはAWSユーザ側で冗長化する必要があります。カスタマーゲートウェイを追加することで単一障害点がない構成にできます。
AWS Site-to-Site VPNで使用する仮想プライベートゲートウェイ（VGW：Virtual Private Gateway）とVPNトンネルは、機器障害に対する高可用性を保つためにAWS側で冗長化されている。〇か×か。

〇。
2つのVPC間で同時に複数のVPCピアリングを持つことは可能か？

不可能。VPCピアリングはAWS側で管理されており単一障害点は存在せず、ユーザ側で冗長性を意識する必要はない。
AWS Direct Connectエンドポイントとは

Direct Connectサービス提供範囲にあるオンプレミス側の終端のルーターのことです。Direct Connectロケーション内に物理的に設置されており、AWSユーザーが設置したルーターと接続します。
Direct Connectゲートウェイを使うのは、どんなとき？

Direct Connectエンドポイントから複数のVPCに接続したい場合は「Direct Connectゲートウェイ」を利用します。（Direct Connectのプライベート接続はDirect Connectエンドポイントと仮想プライベートゲートウェイを1対1で接続するので、通常は1つのVPCにしか接続できません。）Direct ConnectゲートウェイはDirect Connectエンドポイントと仮想プライベートゲートウェイの間に配置されて、世界中の各リージョンにある複数のVPCへ接続できるようになります。なお、VPCは他のAWSアカウントのものであっても接続できます。
Lambda関数の実行時間は1回につき最長何分？

15分
AWS Step Functionsとは？

複数のAWSサービスをワークフローとして連携させ、処理を自動化するためのフルマネージド型のサーバーレスなサービスです
Fargateとは？

コンテナ向けのサーバーレスコンピューティングエンジンで、ECSと組み合わせることでサーバーの環境構築や管理をすることなくコンテナを実行できます。
EventBridgeとは？

AWS上リソースの状態変化やスケジュールに応じてアクションを実行することができるサービスです。特定の時刻にジョブを開始させるのに適しています。
連続的なリアルタイムストリーミングデータの分析に適しているサービスは？

Kinesis Data Analytics（Managed Service for Apache Flink）。Kinesis上のストリーミングデータを処理し、可視化・分析できるサービスで、リアルタイムの分析が可能です。一方Redshift Spectrumは、S3上のデータを外部テーブルとして参照できるようにした機能でS3の大量データを効率的に分析するため使用されますが、リアルタイムの分析には適していません。
DynamoDB Streams（ストリーム）とは？

テーブルに対して行われた直近の24時間の変更（追加や更新、削除）をログに保存する機能です。ストリームを参照することによって、いつ誰がどのようにテーブルを更新したかがわかります。ログには、アプリケーションがリアルタイムにアクセスできるため、変更内容に応じて処理を組み込むことができます。なお、DynamoDB Streamsは非同期で動作するため、ストリームを有効にしても元のテーブルのパフォーマンスには影響を与えません。また、DynamoDBはAWS Lambdaと統合されているため、Lambda側のトリガーを使用することで、独自のアプリケーションを用意したり、追加のコードをすることなく連携させることができます。
DynamoDB Accelerator（DAX）とはなにか

DAXはDynamoDBのインメモリのキャッシュクラスタです。パフォーマンスの向上などを目的とした機能です。キャッシュを利用して読み込みは高速化できますが、書き込みは高速化できない
このデータベースはなにか。Key-Value型のNoSQLデータサービス。容量が無制限のためデータ収集など大容量データの蓄積に利用。ドキュメント型。「スキーマレス」と言われることが多いデータベースで、属性の追加や変更が非常に柔軟に行えます。シンプルな構造であるためパフォーマンスは非常に高く、ピーク時には秒間2000万件のリクエストに対応します。更にストレージの容量制限もありませんので拡張性にも優れています。

Amazon DynamoDB Key-Value型のデータ構造は、JSONのデータ構造と一致しています。
ミリ秒単位のパフォーマンスを実現するデータベースであり、リアルタイムなデータ処理が必要なケースに適しているDBは？

DynamoDB
S3のライフサイクルポリシーはどんな機能？

S3バケット内のデータに対して、ストレージクラスの変更やオブジェクトの削除を自動化する機能です。指定した期間が経過したデータを自動的に、よりコストパフォーマンスの高いストレージへ移動したり、保管期限の過ぎたデータを削除したりできます。
このS3ストレージクラスの名前は？大量のデータを低価格で保存できるアーカイブデータ向けストレージです。データ取り出し時に数分～数時間の遅延と取り出し料金がかかりますが、保存料金がStandard-IA（Standard-Infrequent Access：標準 - 低頻度アクセス）ストレージクラスより低価格です。アクセス頻度が低く、取り出し時に遅延が発生しても問題ないデータに適しています。

S3 Glacier Flexible Retrieval　
A~Gのストレージクラスの名前は？

A
アクセス頻度の予測が難しいデータに適しているS３ストレージクラスの名前は？

S3 Intelligent-Tiering
異なるAWSリージョン間でのAmazon EFSを同期できるサービスは次のうちどれ？①Storage Gateway②Direct Connect③Lambda④DataSync

④DataSync　オンプレミスとAWSのストレージサービス、またはAWSのストレージサービス間で、高速かつ信頼性の高いデータ移行と同期をサポートするマネージドサービスです。 Amazon EFSもサポートしており、それぞれのリージョンから他のリージョンのストレージサービスにデータを移行することができます。双方向のデータ同期を行いたい場合は、初めに設定した方向に対して逆方向となる別の設定することで可能です。そのため2つのリージョンにあるAmazon EFS間で大量のデータを定期的に相互に転送する要件に適しています。
複数のVPCや複数のオンプレミスネットワークを相互に接続するハブ機能を持つサービスは？

AWS Transit Gateway
AWS Storage Gatewayのファイルゲートウェイ、ボリュームゲートウェイとは？オンプレミスにキャッシュストレージを持つため低遅延でのアクセスも可能です。

ファイルゲートウェイ：オンプレミスからNFSやSMBを使用して、S3バケットまたはFSx For Windowsファイルサーバーへアクセスできるサービス。　ボリュームゲートウェイ：S3をiSCSI接続のブロックストレージボリュームとして利用できるサービスです。 iSCSI（Internet Small Computer System Interface）とはコンピュータのストレージを接続するSCSIプロトコルをTCP/IPで実現したもののことで、サーバーはiSCSIで接続されたストレージ（Storage Gatewayの場合はS3）をローカルディスクとして使用します。
S3バケットのTransfer Accelerationはどんな機能？

ユーザーからS3バケットへ最適化したネットワークルートを経由してデータを転送する、データ転送速度向上のための機能です。ユーザーと地理的に近いエッジロケーションから高パフォーマンスなAWSネットワークを経由してS3バケットへアクセスするため、遅延の発生やデータ損失などのリスクを少なくします。
なんのサービスの説明？機械学習を利用した音声認識サービスで、音声をテキストに変換します。例えば、リアルタイム文字起こしや、通話記録データのテキスト化、動画の字幕付けなどに利用できます。

Amazon Transcribe Transcribeでは「PIIの識別とマスキング」を有効にすることにより、PIIをテキストから削除できる機能があります。
機械学習を利用したテキストの翻訳機能を提供するサービスは？

Translate
S3バケット内のオブジェクトを分析し、PII（個人情報）や秘匿技術などの機密データを識別・分類できるサービスは？

Macie テキストから抽出してマスキングする機能はありません。
あるベンチャー企業がリアルタイムのチャットアプリケーションを開発している。このアプリケーションは、データベースにAmazon Auroraを利用している。ユーザーが数百人のグループチャットでも、遅延を最小限にしてリアルタイムでメッセージを表示させたい。また、ユーザーがログアウトしても、再度ログインした際に最近のメッセージを即座に表示する必要がある。もっとも要件に合うソリューションはなにか。

ElastiCache for Redisを利用してメッセージをキャッシュする ElastiCache for Redisは、データ永続性を提供するので、ユーザーが再度ログインしたときに最近のメッセージを即座に表示するという要件に適しています。ElastiCacheのMemcached型もキャッシュによってパフォーマンスを向上できますが、データの永続性はなく主に短期間のデータキャッシュに使用されます。本ケースでは「ユーザーがログアウトしても、再度ログインした際に最近のメッセージを即座に表示する必要がある」ので、データの永続性があるRedis型の方が適しています。
ダンプファイルやDBスナップショットを用いてAmazon Auroraにデータを移行する方法について答えてね

スナップショットの移行機能を使用して、DBスナップショットからAuroraデータベースクラスタを作成する。取得したダンプファイルをS3に配置し、Auroraデータベースクラスタにインポートする
Amazon EKS（Elastic Kubernetes Service）とは

AWSが提供するKubernetesのマネージドサービスです。Kubernetesは、オープンソースのコンテナオーケストレーションプラットフォームで、Amazon ECSと同様に、コンテナの実行・管理を行うことができます。
EKSの、Horizontal Pod Autoscaler (HPA)の機能は？

CPU使用率やメモリ使用量といったメトリクスに基づきポッドの数を自動的に増減させる水平方向のスケーリング機能です。
EKSの、Cluster Autoscalerの機能は？

ノード（実行環境）の数を自動的に増減させるスケーリング機能です。 HPAによりポッドのスケールアウトが発生した時に、追加されるポッドを実行するだけのリソースが既存のノードに不足していると、追加のポッドは起動できず待ち状態（Pending）になります。このような場合に、Cluster Autoscalerは新しいポッドが必要とするリソースに基づいて新しいノードを追加し、逆に不要なノードがあればそれらのノードを終了します。
AWS Secrets Managerはどんなサービス？

データベースなどにアクセスする際のシークレット（ログイン時の認証情報など）を管理するサービスです。シークレットを安全に管理するために、定期的にシークレットを更新する「ローテーション」機能があります。パラメータストア（Parameter Store）はAWS Systems Managerの機能で、複数のサービスのパスワードや運用データを一元管理します。Secrets Managerと同様に、シークレットを外部で管理する用途に利用できます。ただし、パラメータストアにはシークレットの自動ローテーション機能は存在しません。
AWS Key Management Service（KMS）はどんなサービス？

暗号化を行うサービス（S3やEBSなど）を安全に利用するための鍵を作成・管理するサービス
Amazon Cognitoとは？

モバイルアプリケーションやWebアプリケーション向けのユーザー認証機能を提供するサービス
AWS Trusted Advisorとは？

AWS Trusted Advisorは、利用者のAWS環境をAWSに蓄積されたベストプラクティスと照会することにより、推奨されるアクションのアドバイスを行うサービスです。
AWS CloudHSMとは？

AWS CloudHSMは、専用のハードウェアデバイスを用いて暗号化鍵を生成・管理するサービスです。
AWS Organizationsとは？

AWSアカウントの組織化と管理を行うサービス
VPCエンドポイントとはなにか

セキュリティ上の制約でインターネットとの通信が制限されているプライベートサブネット内のAWSリソースから、インターネットゲートウェイを経由せずにVPC外のAWSサービスへアクセス可能にする機能
VPCエンドポイントにはどんな種類があるか？それぞれ利用できるAWSサービスはなにか。

ゲートウェイ型とAWS PrivateLink（インターフェイス型）の2種類があります。ゲートウェイ型：Amazon S3とAmazon DynamoDBで利用できます。PrivateLink： Amazon CloudWatch LogsやAmazon SNS、AWS CloudFormationなど多数のサービスで利用できます。
Storage Gatewayにおいて、NFSストレージとして利用できるのはどっち？①FSxファイルゲートウェイ（FSx for Windows File Serverにアクセス）　②Storage Gateway S3ファイルゲートウェイ

できない
Storage Gateway ボリュームゲートウェイ（保管型）とは？

ボリュームゲートウェイ（保管型）は、すべてのデータをオンプレミスのボリュームストレージに保存し、S3に非同期でバックアップを保存します。
DataSyncに対応しているストレージサービスは？

Amazon S3、Amazon EFS、Amazon FSx
Amazon FSxとは？2種類のタイプの名前と特徴は？

フルマネージド型のファイルストレージサービス。①Amazon FSx for Windows File Server ：ビジネス向けで、Active Directoryとの連携が可能。SMBプロトコルを介してアクセス ②Amazon FSx for Lustre：機械学習や動画処理など速度が必要な高性能ファイルシステムミリ秒未満のレイテンシーや最大1秒あたり数百ギガバイトのスループットで処理が可能
ファイルやフォルダのタイムスタンプ、ディレクトリ構造、アクセス権限などのメタデータが保持される、データ転送サービスは？

DataSync
.

Snowcone,Snowball,Snowmobile TB,Datasync,ペタ
Aurora Serverlessとは？

DBインスタンスの負荷状況に応じて、自動的にDBインスタンスの起動、停止、スケールアップ/スケールダウンを実施する機能です。通常のAuroraではDBインスタンス作成時にインスタンスタイプ（db.t3.mediumなど）を指定しますが、Aurora Serverlessではデータベースの負荷状況に応じた性能で稼働します。また、データベースの需要がないときはDBインスタンスを停止し、需要があれば自動的に起動します。データベースの利用率に変動のあるシステムや、利用量の予測が難しいシステムに使用すると、コスト削減の効果が期待できます。
Amazon DynamoDBのグローバルテーブルとは？

DynamoDBテーブルを複数のリージョンにまたがって運用できるサービスです。複数のリージョンにDynamoDBテーブルが自動的にレプリケートされ、ユーザーは地理的に近いリージョンのDynamoDBテーブルへ高速な読み込みと書き込みが可能になります。データのレプリケーションは通常1秒以内に完了し、リージョン間のデータ冗長化によって高可用性が確保されます。
SNS,SQSで使われる「サブクライバー」「ファンアウト」ってどういう意味？

「サブクライバー：購買者」「ファンアウト：イベント通知：SNSとSQSを組み合わせてメッセージを複数の送信先に配信する構成のこと」
複数の送信先で処理を並列に行うような場合には、SNSとSQSはどう連携させるのがいいでしょう。

.
S3イベント通知で、同一条件の通知を複数の宛先に送ることができる。〇か×か

×。S3イベント通知は、同一条件の通知を複数の宛先に送ることはできない。例えば同じ条件の通知を２つのSQSに出せない。
SQSはメッセージを最長何日間保持できる？

14日
Kinesis Data Streamsとは

外部から送信されるストリーミングデータを収集します。センサーなどが生成したストリーミングデータをKinesis Data Streamsのストリームへ送信し、ストリーム上のデータは分析や機械学習などを行うアプリケーションがリアルタイムに読みだして処理します。
AWS Resource Access Manager（RAM）とは

AWSリソースを複数のAWSアカウントで共有できるサービスです。共有可能なAWSリソースには、Amazon EC2、AWS VPC、Amazon Transit Gatewayなどがあります。 AWS RAMは追加料金なしで利用できます。
AWS Directory Serviceとは

MicrosoftのActive Directory (AD) をAWS上で提供するマネージドサービス
AWS Budgetとは

予算を設定して、しきい値に達した際にはアラートを受けることができるサービス
AWS Billing Dashboard

ダッシュボードでは請求書をダウンロードできます。日ごとにどれだけかかっていたかを把握することはできません。
Amazon CloudFront

AWS上で動作する安全で高速なコンテンツ配信ネットワークです。 CloudFrontを利用すると、ユーザーに最も近いエッジロケーションを通してコンテンツが配信されるようになります。これにより、世界各地に散在するエッジロケーションから、静的コンテンツだけでなく動的コンテンツも効率的かつ高速に配信できます。
API Gatewayでつくれる2種類のAPIの名前とその特徴は？

API GatewayではREST APIとWebsocket APIの2種類のAPIを作成できます。REST API（RESTful API）クライアントからのリクエストに対してレスポンスを返す形式のAPIです。サーバーが扱う情報はURI(URL)で定義されており、クライアントはHTTP（HTTPS）でリクエストを送信することでレスポンスを得ます。データベースの検索など、クライアントからのリクエストに応答するアプリケーションで使われます。　WebSocket API クライアントとサーバー間でリアルタイムな情報のやり取りを目的とするAPIです。REST APIとは違い、継続的なデータの送受信を行えます。チャットや株価情報のような常に情報をモニタリングするようなアプリケーションで使われます。なお、WebSocket APIとはサーバー・クライアント間で双方向のセッションを確立できる技術を利用したAPIのことです。通信の状態を管理される「ステートフル」な接続方式です。
Amazon SNSの通知で使えるもの4つ

EメールやSMS、Lambda関数、Amazon SQS
SNS 標準トピックではメッセージの配信順序は考慮されているか？

配信順序は考慮されない。SNS FIFOトピックではメッセージが順序付けられて「SQS FIFOキュー」に配信されます。メッセージが必ず1回だけ配信されるようになるので、順序付きの処理や重複を避ける必要があるケースで使用します。
AWS Systems Manager Patch Manager

EC2インスタンスやオンプレミスのサーバーのOSパッチ情報をスキャンし、パッチ適用を自動化する機能です。OSの種類ごとに「どのパッチを」「いつ適用するか」などのパッチベースライン（パッチ適用のルール）を作成して、自動で実行されるようにします。
AWS Shieldには、すべてのAWSユーザーが無償で利用できる「AWS Shield Standard」と、有償版の「AWS Shield Advanced」があります。その違いは？

○AWS Shield Standard ネットワーク層およびトランスポート層への一般的なDDoS攻撃からAWSリソースを保護します。CloudFrontやRoute53に無料で自動的に適用されます ○AWS Shield Advanced EC2インスタンス、ELB、CloudFrontなどを標的としたDDoS攻撃に対して、高度な保護サービスを利用できます。例えば、高度化された大規模な攻撃からの保護、DDoS攻撃発生時のモニタリングやレポート、AWSのDDoS対応チームによるサポート、攻撃によって増加したAWS利用料金の補填などがあります。
SQSを使用することでメンテナンス性が高くなります。なぜ？

SQSを使用することで、後続の処理（Lambda関数）に問題が発生したり、メンテナンスのために一時停止させたりした場合でも、処理すべき通知をキューに保持して、問題が解消されてから再実行することができます。また、一度に大量のリクエストが発生した場合でも、SQSキューを介することで、後続の処理に対する負荷を軽減できるなど、高い可用性と耐障害性を実現することができます。
EKSクラスタ内の設定情報や各リソースの状態情報、シークレット(例:ログイン認証情報)などの情報は、コントロールプレーン内の専用のデータストア(etcd)に格納されます。etcdのデータはデフォルトでAWSによってディスクレベルで暗号化されますが、さらに強力なセキュリティの確保が求められる場合には、「？？？」オプションを有効にすることで、機密情報に対する追加の暗号化を行うことができます。

シークレットの暗号化
MongoDBと互換性があるフルマネージドのドキュメントデータベースサービス

Amazon DocumentDB ドキュメントデータベースは、非リレーショナルデータベースの一種で、データを JSON のようなドキュメントとして保存し、クエリするために設計されています。
Amazon EKSでは、コントロールプレーン内のKubernetes APIサーバが、データプレーン内のノードや管理ツール(kubectl)からの通信を受け付け、クラスター全体の管理や制御を行います。このAPIサーバへの通信は、EKSクラスタの構成時に作成されるクラスターエンドポイントを介して行われますが、このエンドポイントは、デフォルトでインターネットからアクセスが可能な状態です。コントロールプレーンとのやりとりをVPC内のプライベートな通信に限定し、インターネットを経由した通信（パブリックアクセス）を制限することで、セキュリティを向上させることができます。このエンドポイントアクセスをプライベートに設定した環境で、プライベートサブネット内のノードからコントロールプレーンにプライベートネットワーク経由で通信を行うためには、？？？が必要です。

AWS PrivateLink(インターフェース型のVPCエンドポイント)
AWS WAFの「Web ACL」というアクセスコントロールリストで、特定の時間内にリクエスト数が設定値を超えたIPアドレスをブロックする機能をなんというか

レートベースのルール
Amazon Inspector

脆弱性を検出するセキュリティサービスです。インスタンス間のネットワークトラフィックを監視し、不正な通信を検出することができます。
AWS Backup

ストレージやデータベース等のバックアップを一元管理するフルマネージドのサービス EC2インスタンスやEBSボリューム、S3バケット、RDSなどを対象に、柔軟なバックアッププランを作成できます。例えばバックアップの頻度や、一定期間を経過したバックアップはコールドストレージ※へ保存する、別のリージョンへ保存するなどの運用ができます。
RDSにおける自動バックアップの保持期間は最大で何日？

35日
RDSにおける自動バックアップの最大の保持期間を超えてスナップショットを保持したい場合はどんな方法がある？３つ答えてください

①AWS Backupでバックアッププランを作成する ②手動でスナップショットを取得する（手動で取得したスナップショットには保持期間の上限がありません。） ③自動バックアップで取得したスナップショットをS3バケットへ手動でコピー（エクスポート）する（S3バケットへのコピーは、RDSのスナップショット管理画面やAWS CLIなどから行います。）
Amazon EBS（Elastic Block Store）ボリューム上に保存したデータは、EC2インスタンスを終了（削除）すると削除されます。ボリューム上のデータを保持したい場合はどうする？

EBSの設定「終了時に削除」のチェックを外すか、「DeleteOnTermination」の値を「false」に設定します。
Egress-Onlyインターネットゲートウェイ

Egress-Onlyインターネットゲートウェイは、NATゲートウェイとインターネットゲートウェイの特徴を併せ持つ、IPv6専用のインターネットゲートウェイです。
Amazon MQ

Apache ActiveMQとRabbitMQに対応したフルマネージドのメッセージブローカーサービスです。メッセージブローカーサービスとは、複数のサービスやシステム間の連携に使用される「メッセージキュー※」を管理するサービスのことです。Amazon MQは、Apache ActiveMQやRabbitMQといったオープンソースのメッセージブローカーと互換性があるので、既存環境から移行するアプリケーションに適しています。
SQSの可視性タイムアウトとは？

Amazon SQSにおいて、キューのメッセージは受信側が明示的に削除指示をしないと削除されません。SQSのメッセージを受信するクライアントが複数ある場合、タイミングによっては、メッセージが削除される前に複数のクライアントでメッセージを受信してしまうことがあります。可視性タイムアウトはこれを防ぐために、一度クライアントがメッセージを受信した後、指定時間（デフォルト30秒）が経過するまでそのメッセージが他のクライアントからは見えないようにします。
SNSの「FIFOトピック」とは？

FIFOトピックは、標準トピックとは異なり、メッセージが順序付けられてAmazon SQSのFIFOキューへ配信されます（FIFOトピックを選択した場合、プロトコルに指定できるのはSQSのみです）。標準トピックではメッセージの配信が「少なくとも1回」であるのに対して、FIFOトピックはメッセージが「必ず1回」配信されるようになります。 FIFOトピックは、イベントが発生した順番通りに処理したい場合や、処理が重複してはいけないようなケースで利用します。
EC2インスタンスへのアクセスを特定の国に制限する方法２つ答えよ

Amazon CloudFrontには、「地理的制限」というクライアントからのアクセスを国別に制限できる機能があります。また、AWS WAF（Web Application Firewall）の「Web ACL」にも地理的制限と同等の機能があります。
S3バケットへのアクセス元をVPCエンドポイントに限定する方法と、VPCエンドポイントが特定のS3バケットへのアクセスのみ許可する方法の2つについて答えよ

VPCエンドポイントポリシーで、特定のS3バケットへの通信のみを許可する。 S3のバケットポリシーで、特定のVPCエンドポイントからの通信のみを許可する
EC2からLamdaに変更することでリソースの効率化とコスト削減ができるか？その理由は？

EC2はインスタンスの起動時間に対して課金される一方、Lambdaは実行時間と選択したメモリの容量に対して課金されます。Lambdaはリクエストのない期間は料金が発生しないので、リソースの効率化とコスト削減が期待できます。さらにLambdaはサーバーレスなので、EC2インスタンスの運用に必要なサーバーの監視や動作状況に応じたスケーリング、セキュリティパッチの適用などが必要なくなるので、運用コストも削減できます。
EC2からLamdaに変更することでリソースの効率化とコスト削減ができるか？その理由は？

EC2はインスタンスの起動時間に対して課金される一方、Lambdaは実行時間と選択したメモリの容量に対して課金されます。Lambdaはリクエストのない期間は料金が発生しないので、リソースの効率化とコスト削減が期待できます。さらにLambdaはサーバーレスなので、EC2インスタンスの運用に必要なサーバーの監視や動作状況に応じたスケーリング、セキュリティパッチの適用などが必要なくなるので、運用コストも削減できます。
IAM（Identity and Access Management）では、IAMユーザーやIAMロールに対して「ここまでの範囲内であれば自由に操作を行える」という境界を設定できます。これを「？？？」と呼びます。これが設定されたユーザーは、許可された範囲とIAMポリシーの両方で許可されている範囲でアクションを行えます。

Permissions Boundary（アクセス許可境界）アクセス許可境界は、例えばLambda関数の作成をしている開発者に対して、必要なリソースへのアクセス権は都度自由に設定できるようにしておきたいが、開発者自身のアクセス権を操作させたくないようなケースで有用です。開発者にある程度の権限を与えておくことにより、アクセス権が必要になった際にいちいち管理者が対応する必要がなくなります。一方、権限を超えた操作をしないようにアクセス許可境界を設定しておけば、セキュリティリスクも抑えられます。
Lambda関数からサーバーやデータベースへアクセスする際、認証が必要になるケースがあります。このとき、ユーザーIDやパスワードなどの認証情報はソースコードに埋め込む（ハードコーディング）するべきではありません。ソースコードが漏洩した場合にユーザーが乗っ取られたり、認証情報を更新した際にいくつものソースコードを更新する手間が発生するなど、セキュリティ上のリスクが高くなるためです。 Lambda関数で安全に認証を行う手段を答えなさい

Lambda関数にKMSで暗号化した認証情報を埋め込む - 関数呼び出し時に、認証情報を復号する
NLBはレイヤー①で負荷分散を行い、②をサポートしています。

①レイヤー4（トランスポート層）②TCP、UDP、TLS
このデータベースはなにか。？？？に保存するデータは3つのAZに自動的に保存されるので、可用性にも優れています。また、？？？はデータ容量が増えた時、自動的にスケールアウト（拡張）されます。

DynamoDB
Q

A
Aurora

Amazon Auroraは、Amazonが設計・開発したMySQL/PostgreSQL互換のデータベースエンジンです。フルマネージド型サービスであるAmazon RDS（Relational Database Service）で利用可能なデータベースエンジンです RDSの他のデータベースエンジンと比べた時のAuroraの特徴は以下の通りです：・データベースインスタンスとストレージが分離したアーキテクチャ・複数のデータコピーと自動修復機能などによるストレージの高い耐障害性・レプリカインスタンスの自動フェイルオーバーによる高可用性・データベースのクローンを高速作成
ギガ、メガ、キロ、テラの大小関係を答えよ

1KB（キロバイト）＝1024バイト 1MB（メガバイト）＝1024KB・ 1GB（ギガバイト）＝1024MB ・1TB（テラバイト）＝1024GB
Snowballによる転送は端末1台、約何日？

約10日
AWS Storage Gatewayのボリュームゲートウェイについて「キャッシュ型」と「保管型」の違いについて説明しなさい。

・キャッシュ型（キャッシュボリューム）キャッシュストレージをオンプレミス（ローカル）に設置することで、高速アクセスが可能な堅牢性の高いストレージを利用することができます。オンプレミスのキャッシュストレージには頻繁にアクセスするデータのみを保持し、アクセス頻度の低いデータはS3へ保存することで、階層化されたストレージを実現します。・保管型（ストアドボリューム）オンプレミスのボリュームストレージに全てのデータを保持します。キャッシュ型とは異なり、全てのデータに対して高速アクセスが可能です。ボリュームストレージ上のデータは任意のタイミングでS3にスナップショットとして保存されますので、災害対策や定期的なバックアップとして利用できます。 Storage Gatewayはストレージ間のデータ移行にしか利用できません
Systems Manager Parameter Store

データベースなどにアクセスする際のパラメーター（ログイン時の認証情報など）を管理するサービスです。
AWS CloudFormation

AWSリソースをJSONまたはYAML形式でコード化しプロビジョニングする
あるEコマース企業は、商品情報や在庫データの保存にAmazon DynamoDBを使用している。同社は、最新のデータを日次でS3バケットにコピーする方法を検討しているが、その際、アプリケーションのパフォーマンスには影響を与えず、また、テーブルに設定されたRCUも影響を受けないような方法を望んでいる。できる限り簡潔な方法で、追加の手間をかけずにこれらの要件を満たすことができるソリューションはどれか。

対象テーブルのポイントインタイムリカバリを有効にし、S3へのエクスポート機能を使用する DynamoDBのS3へのエクスポート機能は、既存のテーブルデータを任意のS3バケットに直接エクスポートする機能です。ユーザはこの機能のために独自のアプリケーションを用意したり、追加のコードを記述したりする必要はありません。また、この機能を使用したデータのエクスポートでは、対象のテーブルに設定されたRCUを消費せず、テーブルの可用性やパフォーマンスにも影響を及ぼさないという点が大きなメリットです。なお、この機能は、内部的にDynamoDBの継続的バックアップの機能（ポイントインタイムリカバリの前提となる機能）を使用しているため、対象のテーブルのポイントインタイムリカバリを有効にしておく必要があります。
Amazon ECR（Elastic Container Registry）

コンテナイメージを登録・管理するサービスです。ECRに登録されたコンテナイメージをAmazon ECS（Elastic Container Service）が参照し、コンテナ（タスク）を起動できます。これを用いることで、既存のコンテナイメージをそのままAWS上に移行し、実行できます。
Amazon DMS (Database Migration Service)

データベースの移行をサポートするサービス。 DynamoDBをソースとして設定することはできない
SQSのデッドレターキューとは？

エラーが一定の回数に達したメッセージを隔離するためのキューです。SNSがメッセージ配信に失敗した場合、配信不能メッセージの送信先としても利用できます。
Compute Savings Plansとサービスは？

1年もしくは3年の期間、一定のサービス使用量（1時間あたりの利用料金）を決めて契約することで、オンデマンド料金よりも安価になる購入オプションです。EC2、Lambda、Fargateが対象です。
ある企業は新規のアプリケーションをAWS Lambdaで開発している。アプリケーションはAmazon RDSに保存されているデータを使用する。Lambda関数からRDSインスタンスへアクセスする際に、セキュアに保存されたRDSインスタンスの認証情報を使用したい。どのような方法で要件を満たすことができるか。

AWS Systems Manager Parameter StoreにRDSインスタンスの認証情報を保存する。Parameter Storeの読み取り権限があるIAMポリシーを、IAMロールに割り当てる。そのIAMロールをLambda関数に付与する。 Parameter Storeと似たAWSサービスにAWS Secrets Managerがあります。Parameter Storeでは標準サービスを無料で利用できます。Secrets Managerは有料である分、シークレット（Parameter Storeでいうパラメーター）を自動的にローテーションする機能があります。
AWS Systems Manager Session Manager

EC2インスタンスへブラウザ（マネジメントコンソール）やAWS CLIからセキュアにログインできる機能です。 Session Manager経由のログインでは、ログイン先のインスタンスに対してセキュリティグループなどによるSSH通信の許可設定（通称：穴あけ）が不要になりセキュリティの強化に繋がります。また、キーペア（SSHキー）の管理も不要になるため運用の簡略化にも繋がります。プライベートサブネットにあるインスタンスへも踏み台サーバーなしで接続が可能です。
Amazon Comprehend

機械学習を使用してテキスト内のインサイトや関係性を検出できる自然言語処理（NLP）サービスキーフレーズ抽出、感情分析、実体認識、トピック形成、言語検出 API の利用ができ、アプリケーションへの統合もできます。
Auto Scalingのヘルスチェックのタイプには「①」と「②」があります。「①」はインスタンスのステータスチェックの結果を確認し、「②」は指定した接続先への応答確認をします。

①EC2②ELB
RedshiftはAuto Scalingにしている？

対応していない。Redshiftには、Auto Scalingとは別に、「同時実行スケーリング」という読み取りと書き込み両方のクエリの増加に対応する機能があります。メインのクラスタに処理待ちが発生すると、バックグラウンドで独立したクラスタを順次追加して並行処理を進めます。ただしCREATEやALTERは実行できない、書き込みオペレーションが可能なのは一部のノードタイプのみなど、書き込みに関していくつかの制約があります。
RDSとAurora、DynamoDBのAuto Scalingの違いは？

RDS：データベース（ストレージ）容量を拡張。Aurora：データベースへの負荷に応じて動的にレプリカインスタンスを増減する。DynamoDB：一時的な負荷増加に対して、DynamoDBテーブル処理パフォーマンス（スループット）を調整する。 Aurora：平均CPUまたは平均接続数に任意の値を設定し（例：「CPU使用率 50%」など）、設定した値が維持されるようにレプリカインスタンスが調整されます。
アクティビティデータをAmazon CloudWatch LogsからAmazon OpenSearch Serviceへリアルタイムで保存したいときはどんなソリューションがある？

CloudWatchLogsのサブスクリプションフィルターを使用して、データをOpenSearch Serviceへストリーミングする
Amazon CloudFrontのOAI（Origin Access Identity）とは？

S3バケット内のコンテンツへのアクセスをCloudFront経由でのアクセスに限定し、ユーザーからS3バケットへ直接アクセスされないようにする機能です。 CloudFrontのOAIに設定されたS3バケットは、プライベートS3バケットであってもCloudFront経由に限りインターネットからアクセスできるようになります。プライベートS3バケットを作成し、OAIを設定することで、S3バケットのデータを保護しながらインターネットにWebサイトを公開できます。
ECSのタスクロールとは？

タスクロール（taskRoleArn）とは、コンテナが他のAWSサービスを利用する際に設定するアクセス権限（IAMロール）のことです。 Amazon ECSの主要要素に「クラスター」「タスク」「サービス」があります。そのうちの「タスク」はECSで管理するコンテナの実行単位です。タスク内のコンテナは、実行するコンテナイメージ、CPUやメモリのスペック、タスクロールなどを定義した「タスク定義」に基づいて起動します。
過去一年間に蓄積した売上データを基に、分析してレポートを作成したい。最も少ないコストと労力で実現できるサービスはどれか。

Amazon Athena Amazon Athenaは、Amazon S3上のデータに対して標準SQLを実行できるデータ分析サービスです。サーバーレスですので、EC2インスタンスなどインフラ（実行環境）のセットアップや管理が不要です。データ分析に利用できるサービスにはAmazon EMRやAmazon Redshiftなどがありますが、いずれもインスタンスやクラスターなどのインフラの管理が必要です。Athenaは、常にサーバーを起動しておく必要がなく、プロトタイプの検証や手早く分析をしたいようなケースに向いています。
データ転送量が安い順を答えよA：同一リージョン内、B:Directconnect、C:StrageGateway、D:NATゲートウェイ、E:CloudFront

A：同一リージョン内、B:Directconnect＝C:StrageGateway、D:NATゲートウェイ、E:CloudFront
メッセージのフィルタリング機能があるのは、SQS、SNS、どっち？

SNS SNSにはメッセージフィルタリング機能がありますので、納入イベント（メッセージ）ごとのリアルタイムな処理分けを行えます。
Lambda関数からオンプレミス内のプライベートネットワーク上にあるデータベースにアクセスするためのソリューションを答えよ。

Lambda関数からAWS Site-to-Site VPN経由でオンプレミスのデータベースにアクセスする必要があります。Lambda関数からAWS Site-to-Site VPN経由でオンプレミスのデータベースにアクセスするには、Lambda関数をVGWが接続されているVPCに関連付ける「VPCアクセス」の設定をします。 VPCアクセスを設定すると、Lambda関数に関連付けたVPCのサブネットに接続用のENI（Elastic Network Interface）を作成してサブネットへアクセスできるようになります。VPCアクセスを設定したLambda関数は、ENIを作成したサブネットへアクセスできるようになる代わりに、インターネットへアクセスできなくなります。
Amazon SageMakerとは

機械学習（ML:Machine Learning）モデルを構築、トレーニング、デプロイするためのフルマネージド型のサービスです。
AWS WAFが設定できるフィルタリングの条件は？

「Web ACL」というアクセスコントロールリストで、IPアドレス、HTTPヘッダー、HTTP本文、URI文字列などに対してフィルタリングの条件を設定できます。 AWS WAF（Web Application Firewall）は、脆弱性を突く攻撃（クロスサイトスクリプティングやSQLインジェクションなど）から、Webアプリケーションを保護するサービスです。Amazon CloudFront、Application Load Balancer、Amazon API Gateway、AWS AppSyncに割り当てて利用します。
AWS Firewall Managerとは

複数のAWSアカウントやサービスを対象に、firewallのルールを一元的に設定・管理するセキュリティ管理サービスです。セキュリティルールを中央で一元的に管理することにより、セキュリティ対策の手間とコストを削減します。
AWS Security Hubとは

AWSリソースのセキュリティベストプラクティスへの準拠を判定するサービスです。AWSサービスからのセキュリティアラートや設定を一元的に集約し、可視化します。AWS Security Hubは、直接的にセキュリティ設定の調整や一元的な管理はできません。
S3バケットから他のS3バケットへ自動的にコピーをするには？

「S3レプリケーション」が適切です。S3レプリケーションは、非同期で指定した他のバケットへ自動的にオブジェクトをコピーする機能です。
Amazon QuickSightとは？

大規模なデータを分析し経営に役立てるためのBI（BI：Business Intelligence※）サービスです。 ExcelやCSV、Amazon Redshiftのデータベースなど、様々なデータソースを基にダッシュボードやレポート、グラフを作成してデータを可視化し、データ分析に役立てます。
AWS Service Catalogとは？

主にCloudFormationテンプレートを製品として登録し、他のAWSユーザーへ共有できるサービスです。共有先のAWSユーザーは、セルフサービスで製品からAWS環境をデプロイ（構築）できます。製品の管理者は、製品のバージョンや、製品がいつ・誰に使用されたかを一元的に管理できるので、共有するAWS環境の一貫性とコンプライアンスを維持できます。
Amazon API Gatewayで作成したREST APIから、インターネットを経由せずにプライベートサブネット内のリソースにアクセスしたい。どの機能を利用すれば良いか。

VPCリンク Amazon API Gatewayで作成したAPIはユーザーが管理するVPC外に配置されます。このため、作成したAPIからパブリックサブネット内のAWSリソースにはインターネットを経由してアクセスできますが、プライベートサブネット内のAWSリソースへ直接アクセスすることはできません。API Gatewayからプライベートサブネット内のAWSリソースへアクセスさせたい場合は「VPCリンク」を作成します。これにより、APIとプライベートサブネット内のリソースとの間で、インターネットを経由しないセキュアな通信が可能になります。
Amazon GuardDuty

AWS全環境内の脅威を自動的に検出し評価するセキュリティサービスです。
Amazon Inspector

EC2インスタンスの脆弱性を自動的に検出するセキュリティサービスです。
Redshiftの利用コスト削減の方法４つ

①クラスターの起動時間を減らす（構成を見直す）②利用していない期間は休止させる③データ量を減らす④スナップショットのうち不必要な設定を削除する Redshiftは主にクラスターの起動時間に応じて課金が発生しますが、バックアップとなるスナップショットも含めたデータ量に応じても料金が高くなります。Redshiftはスナップショット用に無料ストレージを提供していますが、上限のストレージ容量を超過すると課金が発生します。つまり、スナップショット容量が上限に達すると課金されてしまいます。そのため、自動スナップショットの保存期間を見直して古いスナップショットが削除されるようにしたり、自動スナップショットと併用している手動スナップショットを削除することでスナップショットの保存料金を削減することができます。
Auto Scalingのスケーリング閾値に達した場合でもAuto Scalingグループは30時間以上もの間、インスタンスを起動することができませんでした。このようなケースで、Auto Scalingで実行される処理はどれでしょうか。

Auto Scalingでは、スケーリングがうまく実行されずに24時間以上たった場合は、自動的にAuto Scaling処理が停止するようになっています。 Auto Scalingによるインスタンス起動時に問題が発生すると、グループ内で実施されている1つ以上のプロセスを中断します。ユーザーはそのプロセスを任意に再開することができます。プロセスを中断することによって、ユーザーが設定上の問題を解析することができます。
AutoScalingでインスタンスの状態がImpairedになるとどうなる？

数分間リカバリーされるかチェックしたあと、リカバリーされない場合は新しいインスタンスを起動してImpairedのインスタンスを終了する
AWS Data Pipeline

AWSサービス間のデータ転送や変換処理に利用されるサービス。保存場所にあるデータに定期的にアクセスし、データの変換と処理を行い、その結果を Amazon S3、Amazon RDS、Amazon DynamoDB、Amazon EMRなどに転送できます。ストリームデータを取得・変換する際には利用できません。
ユーザーへの最適な言語選択とルーティング制御を実現するために、どのような対応が必要でしょうか。

Route53の位置情報ルーティングを設定して、ユーザーの位置情報に応じた言語表示を自動で実施する。
Route53の位置情報ルーティングポリシーと地理的近接性ルーティングポリシーの違いは？

位置情報ルーティングポリシー – ユーザーの位置に基づいてトラフィックをルーティングする場合に使用します。地理的近接性ルーティングポリシー – リソースの場所に基づいてトラフィックをルーティングし、必要に応じてトラフィックをある場所のリソースから別の場所のリソースに移動する場合に使用します。地理的近接性ルーティングはユーザーの位置情報に加えて、リソースの位置情報にバイアス値を掛け合わせて配信リソースの地理的範囲を変更できるルーティング方法です。同じ米国内であっても西部地域のリソースにトラフィックを偏らせたいといったように、ユーザーの地理的範囲を柔軟に変更する際に利用します。
CodePipelineはインフラ環境のデプロイに利用できる？

できない。インフラのデプロイ設定にはCloudFormationなどを利用する必要があります。 AWS CodePipelineはCodeDeployやAmazon ECSなどのサービスをパイプラインとして設定することで、コードの開発からデプロイまでのステップをパイプライン化して、自動的に実行できるように制御することが可能となります。
可視性タイムアウトを設定するには、？？？を使用して、適切な可視性タイムアウト値を設定することになります。

ChangeMessageVisibility API
AddPermission API、CreateQueue API、ReceiveMessage APIとは？

AddPermission APIは適切な権限を付与するために利用する権限設定です。CreateQueue APIは新しいキューを作成するためのAPI設定です。ReceiveMessage APIは適切な待機時間を設定するための設定です。待機時間を設定するとすべてのコンシューマーがメッセージの取得を待機してしまいますので、処理が遅延してしまいます。これは可視性タイムアウトとは異なり、メッセージの重複処理を防ぐ機能ではありません。
Amazon Aurora MySQLデータベースは、デフォルトでどのような構成になっていて、障害時の復旧はどのように行われるか。

Amazon Aurora MySQLデータベースはクラスター構成によって複数AZにまたがってボリュームを構成しています。Aurora レプリカは、AWS リージョン内で DB クラスターが使用している複数のアベイラビリティーゾーン間に分散して配置できます。このレプリカは複数リージョンにも展開可能です。プライマリDBに障害が発生した場合は、１つのAurora レプリカをプライマリインスタンスに昇格することができ、復旧時間は120秒未満です。
iSCSIとは

線ではなくネットワークでつながっている機器同士でやり取りできるSCSI。SCSIはスカジーと読む。SCSIは「コンピュータと周辺機器を合体させるための決まり事（のひとつ）」です。
ISCSIデバイスによってオンプレミス側と接続する必要がある時、利用できるソリューションは？

AWS Storage Gateway のiSCSI イニシエータを使うことで、オンプレミスのISCSIデバイスと接続できます。
Amazon EC2 ベアメタルインスタンスとは？

物理インフラ操作をクラウド上で実行するなどの特別な要件に利用するインスタンスタイプです。物理インフラを占有するため、通常のインスタンスよりも割高となります。 Amazon EC2 ベアメタルインスタンスでは、ユーザーはアプリケーションは基盤となるサーバーの Intel® Xeon® スケーラブルプロセッサとメモリリソースに直接アクセスできます。
異なるAWS アカウント上のリソースへのアクセスを委任するために必要なことは？

クロスアカウントアクセス許可とIAMロールを設定します。これによって、特定のアカウントにある特定のリソースを別のアカウントのユーザーと共有しすることができます。クロスアカウントアクセスを設定することで、利用者はアカウントごとに IAM ユーザーを作成する必要がなくなります。
静的コンテンツをAmazon S3バケットに格納する際に、最適なパフォーマンスを確保するために何をすべきですか？

オブジェクトキー名に日付などのPrefixを利用する。
APIって？

「Application Programming Interface」の略であり、アプリケーションやそこで利用されているデータにアクセスする際に利用する入口となる機能です。
ある会社はAWSでホストされた一連のアプリケーションの運用を行っています。この会社ではAPIゲートウェイを導入して、アプリケーション間連携を実施することになりました。そのため、API Gatewayの権限管理を実施し、API の呼び出し時の API コール元にアクセス権限の許可を設定することが必要となります。ソリューションアーキテクトとして、最適な設定方法を教えて下さい。

IAMポリシーを利用して、APIコールの呼び出しもとに対する権限を付与する。 IAMアクセスキーはAWSユーザーのプログラム認証に利用する認証方式です。CLIツールなどを利用する際に設定します。
DynamoDBテーブルのキャパシティモードについて、特徴もあわせて２つ答えよ。

①オンデマンドモード：利用するキャパシティが予測できないときに選択。トラフィック量の予測が困難な場合にリクエストの実績数に応じて課金。オンデマンドでRead/Write処理に自動スケーリングを実施。②プロビジョニングモード：利用するキャパが事前予測できるときに選択。設定したキャパに基づき課金。
Amazon RDS MySQLデータベースにおいて読込専用のリードレプリカを作成してレポート生成処理を構成しました。しかしながら、特定のレポートには古いデータが表示されてしまうという事象が発生しています。この問題の根本原因として可能性が高い要因を特定してください。

レプリケーションラグによって古いデータが表示されることがある。リードレプリカは非同期的にレプリケートされる個別のデータベースインスタンスであるため、レプリケーションデータが遅れることがあり、最新のトランザクションのいくつかが表示できない可能性があります。これをレプリケーションラグといいます。これによって、プライマリーDBによるデータ変更直後に、リードレプリカ側では古いデータが参照されてしまう可能性があります
「トランザクション処理結果をドキュメントデータベースに保存する前に、機密性の高いデータを削除する前処理を実施すること。」を実現するソリューションは？

トランザクションデータを直接にDynamoDBテーブルに保存してDynamoDBトランザクション機能を利用します。 DynamoDBトランザクション機能はDynamoDBテーブルへの書き込みなどのトランザクション発生時に特定の処理を実行させることができる機能です。これによって、DynamoDBテーブルへのデータ書き込み時に機密性の高いデータを削除するアクションを設定して機密データを削除します。
S3が利用しているのは？？？モデル

強い整合性モデル。データ更新の反映に読み込み処理と書き込み処理に誤差が生じることはありません。
強い整合性モデルと結果整合性モデルの違いは？

強い整合性モデルではデータの更新の際にデータベースをロックすることによって、過去のデータが読み取られないようにしてデータの一貫性（Consistency）を担保します。結果整合性モデルはデータの更新でデータベースがロックされることはないため、可用性とスケーラビリティを維持することができます。その代わり、データ更新時に読み取りリクエストが発生した場合は、データの整合性が担保されません。
証明書の有効期限が切れる前に通知してほしい。方法２つ。

①AWSConfig→SNS ②EventBridge→SNS
AWS WAF は、CloudFront に転送される HTTP および HTTPS リクエストをモニタリングして、WEBアクセスの拒否ルールなどを設定できるウェブアプリケーションファイアウォールです。AWS WAFの[???]によって直接にURLリンクを参照することを制限することができます。

Referer制限 WAF Referer制限とは HTTPリクエストに含まれているページURLに基づいて、そのURLリンクへのリクエストを制限する機能です。外部リンクから自分のサイトに置いてあるファイルをダウンロードされたくない場合などに利用します。Referer=参照する
S3バケットのオブジェクトをどんなユーザーも保存後は変更も削除もできないようにしたい。方法は？

オブジェクトロックのコンプライアンスモードにより、オブジェクトが削除または上書きもできないように一定期間または無期限に防止できます。 S3オブジェクトロックのガバナンスモードはルートユーザーなどの一部管理者はデータの削除を実行することが可能です。
5年間は記録データを保管し続ける必要があり、24時間以内にデータを提供する必要がある場合に適したS3ストレージクラスは？

S3 Glacier Deep Archive 12時間以内に取り出し可能
Amazon Glacier Flexible Retrievalの各取り出しタイプについて所要時間を答えよ。迅速、標準、大容量

迅速：1～5分、標準：3～5時間、大容量：5～12時間
HTTP経由でLambdaファンクションを呼び出してDynamoDBテーブルからデータを取得するためのHTTPリクエスト処理の実装方法

API GatewayをLambdaファンクションに統合するか、Lamdaの関数URLをパブリックに設定する。 API GatewayをLambdaファンクションに統合して、APIを起動することで、HTTPリクエストによってLambdaファンクションを呼び出してDynamoDBテーブルからデータを取得する処理を実施することができます。 API Gatewayは、APIを介してバックエンドサービスへのHTTPからのアクセスを提供するAPI管理サービスです。API GatewayはLambdaと一体となって利用できるサービスであり、API GatewayをLambdaファンクションと統合することで、Lambda関数へのAPIアクセスを提供しています。これによって、HTTP形式のAPIからLambdaファンクションへのアクセスが可能となります。これまではHTTP経由で Lambda関数を実行するためには、API Gateway を経由する必要がありました。しかしながら、関数 URL(Function URLs) という新機能が実装されたため、API Gatewayを省略してパブリックに公開するAPIや、簡易な認証実装でも差し支えの無いAPIを AWSLambdaで実装することができます。
S3バケット内のオブジェクトの誤った削除を防ぐための、最適な設定は？ただし、設定変更時にダウンタイムが発生して業務に影響を与えたくない。

S3のバージョニング機能を有効化する、Amazon S3バケットにMFA Delete機能を適用して、ユーザーによるデータ削除時にMFA入力を必須化して、誤った削除を防止する。
SQSのロングポーリング、ショートポーリング、遅延キューとは？

ロングポーリングはSQSのキューに対してコンシューマーがメッセージを取得しに行った際に、一定時間メッセージを受領するまでの待機時間が設定されている状態のことです。一定時間ロングポーリングが設定されていると、ポーリング回数を減らすことができます。ショートポーリングはSQSのキューに対してコンシューマーがメッセージを取得しに行った際に、一定時間メッセージを受領するまでの待機時間にゼロが設定されている状態のことです。遅延キューはキュー内のメッセージが配信されると、一定期間すべてのインスタンスからメッセージが見れなくなる設定です。ポーリング（polling）は、問い合わせによってキューを呼び出すことをいいます。一定期間ごとにポーリングを実行してメッセージのやりとりを行います。通常のショートポーリングの場合は、ポーリングされたメッセージキューが空の場合にも即座に応答を返します。
Amazon Kinesis Data Streamsのパフォーマンスを調整する方法について、「割り当てられたシャードは十分に活用されていない」ことが問題となっている場合はどうするのがいいでしょう。

コールドシャードをマージしてKinesis Data Streamに要する容量とコストを削減する・シャードの分割では、1 つのシャードを 2 つシャードに分けます。分割によりストリーム内のシャードの数が増えるため、ストリームのデータ容量は増えます。一方で、Amazon Kinesis Data Streamsはシャード単位で請求されるため、分割によりストリームのコストが増えます。・シャードの結合では、2 つシャードを 1 つのシャードに組み合わせます。結合によりストリーム内のシャードの数が減るため、ストリームのデータ容量とコストは減ります。
Lambda関数にデッドレターキューを追加することで、どんなメリットがある？

Lambda関数の実行に失敗したメッセージをSQSのキューに蓄積することができます。デッドレターキューによってリクエストメッセージが失われることはないため、書き込み処理がどのような状況下でも失われないようにできます。
ネットワークACLのエフェメラルポートとは？

1024-65535のポート番号範囲でSSHを許可する設定です。これによって、PC側で1024-65535のポート番号範囲のいづれかが設定されたとしても、ネットワークACLによって戻りトラフィックが許可されることになります。ネットワークACLはステートレスであるため、アウトバウンド通信の許可設定も必要となります。その場合は、PC側の広範囲なポート番号が必要となるため、エフェメラルポートの設定が必要となります。
AWS上のアプリケーションのデータ処理状況を監視して、データ処理が停止した場合には担当者のモバイルに即座に通知されることが求められています。AWSではアプリケーション処理の異常正常を監視するためにはどのようなソリューションがあるでしょう？

①SNSを利用して通知用のSNSトピックを作成する②CloudWatchアラームを利用してデータ処理停止時のイベントトリガーとSNSを連携させる
Amazon SESとは？

Eメール機能をAWS上で提供するサービスで、アプリケーション機能としてメッセージ通知機能を実装する際に利用します。 Amazon SESによって、アプリケーションの利用ユーザーに対して一斉メールによるお知らせを実施するといった機能を実装することが可能です。
CloudWatchの機能、CloudWatch Alarmとは？

監視するメトリクスが特定のしきい値を超えた場合にメールを送信するなどの通知アクションを実行します。例えば、EC2インスタンスがCPUの使用率が１分間50%以上に達したときに、CloudWatchからメールを送信するなどです。 SNSと連携して通知を出すことが多い。
Lustreクライアントから接続することが可能なAWS上の共有ストレージの構成方法は？

Amazon FSx for Lustreでファイルシステムを作成して、アプリケーションサーバーをファイルシステムに接続することで要件を達成できます。 AWSにおいて、Lustreクライアントから接続可能な共有ストレージを提供するのはAmazon FSx for Lustreです。Amazon FSx for LustreはAWS上にフルマネージド型のハイパフォーマンス Lustre ファイルシステムを容易に構成することができます。Lustre は世界最速のコンピュータ向けに設計された、オープンソースの高性能なファイルシステムです。ミリ秒未満のレイテンシー、最大数百 Gbps のスループット、および最大数百万の IOPS を提供します。機械学習、ハイパフォーマンスコンピューティング (HPC)、ビデオ処理、財務モデリングなど、速度が重要なワークロードには Lustre を使用します。
S3の暗号化方式４つ

A
Amazon Data Lifecycle Manager (Amazon DLM)とは？

EBSのバックアップであるスナップショットの作成、保存、削除を自動化するスケジュールを設定することができます。これを利用して、EBSボリュームのデータを定期的にバックアップすることができます。（Amazon EBSのスナップショット取得のライフサイクルポリシーを設定できます。）
RAID0,RAID1とは

RAIDはディスクへのアクセスを早くすること、また冗長化し、対障害性を高めることを目的とした技術のことを言います。0：目的はパフォーマンス向上。ストライピングと呼ぶ。複数のストレージ（外部記憶装置）をまとめて一台の装置のように管理する。複数の装置に均等にデータを振り分け、並行して同時に記録することで読み書きを高速化することができます。１台が故障すると全体の故障となるので、信頼性が低下します。1：ボリュームの冗長化が目的。同じデータを複数のディスクに書き込む（ミラーリング）。信頼性は上がるが、台数を増やしても１台分の容量となるため、効率は悪くなる。
S3に保存されている文書データ以外にも、その操作に対するアクティビティログの暗号化も自動的に実施される必要があるとき、最適な暗号化方法はなんでしょう。

S3バケットのデフォルト暗号化によって自動的にログの暗号化も実施される。 S3 バケットを作成すると暗号化がデフォルトで有効化されます。各アクセスログファイルはS3 バケットに保存される前に自動的に暗号化され、アクセス時に復号されます。その際は、S3バケットに保存されるアクティビティログなどのログも自動で暗号化されるため、S3バケットの暗号化に加えて、さらに設定する必要はありません。
EC2インスタンスに対してOSレベルの詳細なログ情報を取得するためにはどうすればいいでしょう。

CloudWatchエージェントとCloudWatch Logsを設定する。 CloudWatchエージェントを対象のEC２インスタンスにインストールすることで、CloudWatchによりインスタンス内部の詳細なログが取得できるようになります。
Auroraデータベースに対して、大量のレポートを生成する機能を実行するとDB処理全体のパフォーマンスが低下することが問題となっており、Auroraデータベースのパフォーマンスを改善することが求められています。ソリューションは？

Auroraレプリカを増設して、リーダーエンドポイントにレポーティング機能を接続する。「大量のレポートを生成する機能」によってパフォーマンスが低下していることに注目することが重要です。つまり、読み取り処理のみのパフォーマンスを向上させることができれば、Auroraデータベースの全般的なパフォーマンスを改善することができます。
Amazon Managed Service for Apache Flinkとは？

IoTストリーミングデータのリアルタイム分析を可能なアプリケーションを構築することができます。画像解析データの解析には不向きです。以前はAmazon Kinesis Data Analyticsと呼ばれたリアルタイムデータ分析用の機能です。
AutoScalingグループをECSクラスターに関連付ける場合の手順は？

①AutoScalingグループを直接、ECSクラスターにアタッチ②そのAuto Scalingグループに対してALBをアタッチ
ECSのキャパシティプロバイダーとは？

「ECSにおけるタスク実行のインフラをより柔軟に設定する新しい仕組み」です。タスク実行のインフラといえば、ECSの場合データプレーンとしてEC2とFargateが利用できますが、Capacity Providerはその両方に対応しています。
クロスリージョンレプリケーションの設定後に、どのようにしてレプリケーションが実行されるか？

S3クロスリージョンレプリケーションを設定すると、S3バケットにオブジェクトが作成・更新・削除された際のイベントをトリガーとして、別のS3バケットに対してオブジェクトデータのレプリケーションが実行されます。事前にバージョニング機能を有効にする必要がある！バケットは別リージョンに。双方向レプリケーションも可能。データ転送費用がかかる。クロスリージョンレプリケーションは、異なる２つのバケット間でオブジェクトを自動的に非同期にコピーする機能です。クロスリージョンレプリケーションは同じ AWS アカウントが所有するバケットに対しても、異なるアカウントが所有するバケットに対しても設定できます。【非同期＝相手と足並みをそろえない】AWS CLIのコマンド操作によって手動で実行することが可能
Amazon S3バケットに保存したデータを暗号化する暗号化キーをロギングしつつ、毎年ローテーションするには？

KMSキーを使用したサーバーサイド暗号化を実施する。キーには自動ローテーションを設定する。暗号化キーをロギングするためにもAWS KMS管理キーを利用することで、CloudTrailによるキーへのアクセスログを管理することができます。「S3管理キー」の方が省力化が可能ですが、AWS側が「S3管理キー」を完全に管理しているため、キーの操作権限はユーザー側にありません。一方で、「AWS KMS管理キー」はユーザーがAWS KMSを利用してキーを作成したり、削除したりすることができます。その上で、キーのセキュリティ管理や更新などの手間をマネージド型で自動化することができます。KMS キーの自動キーローテーションを有効にすると、AWS KMS は KMS キーの新しい暗号化マテリアルを毎年生成します。AWS KMS に古い暗号化マテリアルはすべて永続的に保存されるため、KMS キーで暗号化されたすべてのデータを復号することができます。
IAMポリシーの問題などで出てくる、SCPやOUとは何を意味するか。

サービスコントロールポリシー（SCP）はホワイトリスト形式のポリシーです。SCPが設定された組織（OU）のメンバーアカウントは、SCP内で許可した範囲内において、そのアカウント内のメンバーに対してIAMポリシーによってアクセス権限を付与できるアカウントとなります。 AWS Organizationsを利用してOUにメンバーアカウントを設定すると、そのOUには初期設定時にデフォルトのSCPが設定されています。このデフォルトSCPにはフルアクセス権限がOUに付与されており、メンバーアカウントは、IAMによってメンバーに対してすべての権限を付与できる状態となっています。したがって、そのOUに追加でホワイトリスト形式のSCPを付与しても、すべてのリソースに対してフルアクセス権限が継続されます。また、ブラックリスト形式のSCPによって特定のリソースへの権限付与を拒否した場合は、その特定リソースに対する権限付与ができないようになりますが、他のリソースへのフルアクセス権限が付与できる状態を継続します。
EBSで選択できるプロビジョンドIOPSには2種類あります。名前と違いは？

A
パブリックサブネットにおいてEC2インスタンスを起動した際にインスタンスがDNS名を受け取らないことが問題となっています。理由はなんでしょう。

VPCのDNS hostnamesオプションが有効化されていないと、サブネットで起動されたインスタンスがDNS名を取得できません。 VPC 内で起動したインスタンスがパブリック IP アドレスに対応するパブリック DNS ホスト名を受け取るかどうか、および Amazon DNS サーバーを通じた DNS 解決が VPCに適用されるかは、VPCのDNS設定によって決まります。VPCのDNS hostnamesオプションを有効化することで、VPC内でインスタンスがDNS名を受け取って名前解決が実施できるようになります。
EC2インスタンスからAmazon RDS DBインスタンスにアクセスする際の認証方式の設定方法は？

IAMデータベース認証をEC2インスタンスに付与する。 IAMデータベース認証をEC2インスタンスに付与することで、EC2インスタンスからIAMデータベース認証を利用してRDSのDB インスタンスにアクセスが可能となります。この認証方法では、DB インスタンスに接続する際にパスワードではなく、認証トークンを使用します。認証トークンはAmazon RDS がリクエストに応じて生成する一意の文字列であり、AWS 署名バージョン 4 を使用して生成されます。各トークンには 15 分の有効期間があります。この認証トークンは IAM 内において管理されるため、ユーザー認証情報をデータベースに保存する必要はありません。
AWS Security Token Service (AWS STS) とは？

ユーザーに対して AWS ID を定義せずに AWS リソースへのアクセスを許可できる。これによりIDフェデレーションが可能となる。 IDフェデレーションは、それぞれ独自のID管理システムを持つ複数のセキュリティドメイン間で、それぞれのユーザーIDをリンクさせる。2つのドメインでIDフェデレーションを実現すると、一方のドメインで認証を受けたエンドユーザーは、他方のドメインでもログインしないでそのリソースにアクセスできる。外部で認証されたユーザー（ID フェデレーション）へのアクセスの許可のシーンで使う。はず。
NLBを構成したWEBアプリケーションに対するHTTPエラーを検出した場合、ウェブサービスを実行するEC2インスタンスを自動で再開する設定は？

UnhealthyHostCountのメトリクスをモニタリングするAmazonCloudWatchアラームを作成する。アラームがALARM状態になると異常事態のインスタンスを置換するようにAutoScallingアクションを構成する。 ELBはロードバランサーとターゲットとなるEC2インスタンスに関するメトリクスデータを Amazon CloudWatch に送信しています。UnhealthyHostCountメトリクスは異常とみなされるターゲットの数を提供します。これによって、アプリケーションに対するHTTPエラーが発生しているインスタンスの数をCloudWatchにおいてモニタリングすることができます。このメトリクスに基づいてCloudWatchアラームに設定してAuto Scalingグループに利用します。また、NLBはレイヤー４ロードバランサーであるため、アプリケーションのURLを指定して、NLBのHTTPヘルスチェックを有効化する設定ができません。
オンプレミス環境で保有しているIPアドレスをAWSで利用可能なようにIPアドレスを移行する方法は？

ROA (Route Origin Authorization)を利用してAWSアカウントに対して特定のIPアドレスを移行する ROAには Amazon が特定の AS 番号のアドレス範囲を公開することを承認します。これを利用して、パブリックにルーティング可能な IPv4 または IPv6 アドレス範囲の一部または全部を、オンプレミスのネットワークから AWS アカウントに移行することができます。アドレス範囲を AWS に設定すると、そのアドレス範囲はアドレスプールとして AWS アカウントに表示されます。
オンプレミス環境にあるMS Active Directoryの資格情報を使用して、全ユーザーがAWSとオンプレミスの両方のリソースに対して、サインオンできる設定方法は？

AWS IAM Identity Centerを利用してオンプレのActiveDirectoryと連携し、SAMLフェデレーションを設定する。 AWS IAM Identity Center（旧SSO）を利用して、SAMLフェデレーションを設定してオンプレミス環境のActive Directoryと連携することで、Active Directoryの資格情報を使用して、全ユーザーがAWSとオンプレミスの両方のリソースに対して、一元的にアクセスできるシングルサインオンを実現することができます。
SAML（Security Assertion Markup Language）とは？

インターネット上で、IDやパスワードなどの認証情報を連携するためのSSO（シングルサインオン）を実現する仕組みのひとつ Microsoft Active DirectoryはSAMLを使用して、AWSクラウドへのAPIアクセス用にSAMLベースのフェデレーションを設定できます。 AWSではIAM Identity Centerを利用することで、SAMLによるシングルサインオン認証を実現することが可能です。AWS IAM Identity Centerは SAML IdP 機能を AWS Managed Microsoft AD または AWS IAM Identity Centerディレクトリに追加します。それにより、ユーザーは、MS Active Directoryの認証情報を利用して、AWS マネジメントコンソールやサードパーティー製アプリケーションなどのSAML をサポートするサービスへのサインオンが可能になります。
Amazon RDS DBインスタンスに対してCloudWatchのデフォルトメトリクスでは取得できない、追加のメトリクス情報を取得するための設定方法は？

RDSの拡張モニタリングを有効化する。 Amazon RDS DBインスタンスを起動すると、CPU使用率などの基本的なメトリクスが自動的にCloudWatchに取得されています。これはユーザー側で特に設定する必要はありません。しかしながら、メモリなどの一部のメトリクス情報は取得できないため、追加の設定が必要となります。Amazon RDSのDBインスタンス上のさまざまなプロセスまたはスレッドにおけるメモリ状況を常時モニタリングするためには、RDSの拡張モニタリングを有効化することが必要です。これにより、DBインスタンスのOSのリアルタイムメトリクスが確認できるようになります。 RDSコンソールを使用してDBインスタンスのメトリクスを表示でき、CloudWatch Logsからの拡張モニタリングを利用することができます。デフォルトでは、拡張モニタリングメトリクスは30日間CloudWatch Logsに保存されます。
VPCに出入りするRedshiftクラスターのすべてのCOPYおよびUNLOADトラフィックを監視するにはどうすればいい？

Redshiftクラスターに対する拡張VPCルーティングを有効にする Redshiftは拡張VPC ルーティングを使用すると、Redshift はクラスターとデータリポジトリ間のすべての COPY と UNLOAD トラフィックがVPC を通るように強制します。拡張VPC ルーティングはVPC セキュリティグループ、ネットワークACL、VPC エンドポイント、VPC エンドポイントポリシー、インターネットゲートウェイ、ドメインネームシステム (DNS) サーバーなどのVPC 機能を使用することができます。これらの機能を使用して、Redshift クラスターと他のリソースの間のデータフローを詳細に管理することが可能です。
VPCフローログとは？

VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能フローログデータは、Amazon CloudWatch Logs、Amazon S3、または Amazon Kinesis Data Firehose に発行できます。
AWS LambdaとAPI Gatewayで構成されたRestFull アプリケーションに対する負荷が高まった場合に、Amazon API Gatewayが管理するAPIの処理性能を向上させる方法は？

API Gateway のスロットリング制限設定とキャッシュを有効化する Amazon API Gatewayでは作成・管理しているAPIに対するコールが集中した場合に、スケーリングしたり、コールを制限する機能が備わっています。スロットリング制限はリクエストが多すぎることでバックエンドサービスが処理しきれなくなることを防ぎます。Amazon API Gatewayキャッシュを追加して、API呼び出し処理の一部をキャッシュに蓄積して負荷を分散させることができます。コールが集中するリクエスト処理結果をキャッシュに保存することで、頻繁にリクエストされるAPIコールはキャッシュ経由で処理されるように構成することができます。
S3×CloudFrontで現在のオブジェクトURLを変更しないで、有料会員だけにプライベートメディアファイルへのアクセスを提供するためには、どうすればいい？

CloudFrontの署名付きCookies機能を利用します。これによって、特定のCookiesを有しているユーザーのみがオブジェクトにアクセスできるように制限することが可能です。CloudFrontの署名付きURLと署名付きCookieは同じ基本機能を提供しており、CloudFrontが配信するコンテンツにアクセスできるユーザーを制御できます。CloudFrontの署名付きURLと署名付きCookieは同じ基本機能を提供しており、CloudFrontが配信するコンテンツにアクセスできるユーザーを制御できます。
Amazon S3 バケットを分析する機能といえば？

Amazon S3 分析のストレージクラス分析ストレージアクセスパターンを分析し、適切なデータを適切なストレージクラスに移行すべきタイミングを判断できます。ストレージクラス分析がフィルタリングされたデータセットのアクセスパターンを一定期間監視することで、最適なライフサイクルポリシーを設定することができます。
CloudTrail Insightとは？

リソースプロビジョニングの急増、AWS Identity and Access Management (IAM) 操作の急増、定期的なメンテナンスアクティビティのギャップなど、異常な運用アクティビティを特定できる機能です。
S3 Access Analyzerとは？

AWS アカウントの外部からアクセスできるリソースを特定する総合的な解析結果を生成します。S3バケットに対する外部アカウントからのアクセス情報を分析して、不正なアカウントアクセス設定がないかを確認することができます。
社内のレガシーシステムをクラウド化する案件に携わっています。このレガシーアプリケーションはマルチキャストネットワーキングに依存しており、AWSで確実に起動させるための特別な設定が必要です。この要件を満たすための方法を教えてください。

Transit Gatewayのマルチキャストを有効化する。マルチキャストとは、複数のデバイス（ホスト端末）に対して同一データを一斉に送信するネットワーク方法のことです。このレガシーアプリケーションはマルチキャストネットワーキングに依存しており、AWSで確実に起動させるためには、VPC上でのマルチキャストを有効化することが必要です。AWS Transit Gatewayを利用して、マルチキャストを有効にすると、特定のTransit Gatewayをマルチキャストルーターとして動作させることができます。サブネットをマルチキャストドメインに追加すると、そのマルチキャストドメインに関連付けられたトランジットゲートウェイにすべてのマルチキャストトラフィックが送信されます。
ローカルストレージ上のTB規模のデータセットに対して順次、読み込みと書き込みアクセスを必要とするワークロードを実施するための最適なEC2インスタンスタイプ

ストレージ最適化インスタンスストレージ最適化インスタンスは、ローカルストレージ上の非常に大きなデータセットへの高負荷な読込処理および書込処理を必要とするワークロード用に設計されています。このインスタンスタイプは、毎秒数万の低遅延のランダムI / O（IOPS）をアプリケーションに提供するように最適化されています。
複数のアベイラビリティーゾーンに設置された複数のEC2インスタンスに着信要求を均等に分散するには何を利用するべきか？

ELBのクロスゾーン負荷分散を有効化するロードバランサーは有効なすべてのアベイラビリティーゾーンに登録済みのターゲットにトラフィックを均等に分散します。したがって、複数のアベイラビリティーゾーンにわたって全てのEC2インスタンスに着信要求を均等に分散することが可能となります。
RDSのプライマリーDBに障害が発生しました。Amazon RDSはマルチAZ配置が有効になっている場合、フェールオーバー処理を実施します。 RDSのフェールオーバーに対する正しい説明は？

フェールオーバーが実行されるとRDSはDBインスタンスが設定されているCNAMEレコードをプライマリーからセカンダリーに移行する。フェイルオーバーが実行されると、Amazon RDSはDBインスタンスのCNAMEレコードをスタンバイから切り替えて、新しいプライマリに昇格します。セカンダリーDBは最初から実行できる状態で待機されているホットスタンバイとなっています。
Auto Scalingのターミネーションポリシーとは？

Auto Scalingでスケールインが発生した時に、どのインスタンスを終了させるかを決めるものです。
EC２のオンデマンドキャパシティー予約とは？

特定のアベイラビリティーゾーンで任意の時間におけるEC2 インスタンスのキャパシティを予約できます。その間は対象のインスタンスタイプの起動が保証されます。スケジュールドリザーブドインスタンスは日次、週次、月次と３パターンのスケジューリングされた利用に適した購入方法であり、定期的なインスタンス利用にはスケジュールドリザーブドインスタンスを利用することが最適でしたが、AWSでの利用ができなくなりました。そのため、代わりにオンデマンドキャパシティー予約を使用して、インスタンス利用期間を予約することができます。
あなたはタクシーの位置情報を利用したアプリケーションをAWSにホストして構築しています。タクシーの位置情報データは定期的に配信され、Amazon S3の標準ストレージに蓄積されます。その後、このデータを利用してタクシーと顧客間の距離を計測して、アプリケーションに計算結果を返す処理を行います。この位置情報解析を自動で実施するための最適なソリューションを選択してください。

Amazon S3通知をトリガーにしてLamda関数が実行される。そのLamda関数がデータ処理を実行する。 Amazon S3の標準ストレージに蓄積されるデータに基づいて、後続の処理を実行する場合はS3イベント通知機能が利用できないかを検討してください。
。

。
ActiveMQキューのアクティブ/スタンバイブローカーは、2 つの異なるアベイラビリティーゾーンにある 2 つのブローカーで構成された冗長ペアで設定されます。これらのブローカーのストレージとして選択できるものを２つ答えよ。

EC2インスタンス、EFS これらのブローカーは、EC2インスタンスおよび Amazon EFSと同期的に通信します。アプリケーション側では２つのアべイラビリティゾーンにまたがったEC2インスタンスをコンシューマーとして利用します。さらにこのEC2インスタンス群にAuto Scalingグループを設定することで、自動でスケーリングされるようにします。ストレージレイヤーの冗長性を高めるためにはAmazon EFS ストレージボリュームを利用します。Amazon EFS ストレージボリュームを複数のアベイラビリティーゾーン (AZ) に展開してデータを冗長的に保存することで、マルチAZの冗長なストレージレイヤーを構成することができます。
EC2インスタンスがヘルスチェックに失敗した場合、ロードバランサーは異常なインスタンスに新しいリクエストを送信せずに、既存のリクエストの完了を許可する必要があります。上記の要件を満たすロードバランサーの構成方法は？

ELBのConnection Drainingを構成する。 ELBのConnection Drainingは既存の接続を開いたまま、登録解除または異常なインスタンスへのELBのリクエスト送信を停止する機能です。これにより、ロードバランサーは、登録解除または異常なインスタンスに対して行われた実行中のリクエストを完了するトラフィック処理を実施します。ロードバランサーのConnection Drainingを有効にすると、インスタンスの登録解除を報告する前に、ロードバランサーが接続を維持する最大時間を指定できます。最大タイムアウト値は1〜3,600秒に設定できます（デフォルトは300秒です）。最大時間制限に達すると、ロードバランサーは登録解除インスタンスへの接続を強制的に閉じます。
あなたはWEBアプリケーションに投稿される動画コンテンツに対して、人気投票が可能な機能を実装しています。この投票機能では、リアルタイムランキングが実行されるため、投票データが非常にスケーラブルで可用性の高いデータストアに保存されなければなりません。この要件を満たすサービスの組合せは？

DynamoDBとAppSync AppSyncは直接DynamoDBテーブルの値を取得・更新・削除することができるため、これを利用して、DynamoDBテーブルのデータを迅速に取得してリアルタイムランキング機能を実装することが可能です。DynamoDBはリアルタイムのデータ集計処理などに最適なNoSQL型のデータベースとなっています。AppSyncと連携してDynamoDBテーブルのデータをリアルタイムで最新の状態に保つコラボレーションアプリを簡単に構築できます。これにより、アプリケーションはAppSyncを介してAmazon DynamoDBテーブルのデータにアクセスしたり、EC2インスタンスやAWS Lambda関数によるデータ処理を実行するための機能を実装することができます。したがって、DynamoDBとAppSyncを連携して、リアルタイムランキング機能を実装するのが回答となります。
本番環境に加えて、遠隔地向けのDR環境を別リージョンに設置して、２つの構成を？？？で連携することで災害発生時の切り替えを自動化することができます。

Route53
EC2インスタンスにELBやRoute53を構成していると、特定のEC2インスタンスに障害が発生した際に、ダウンタイムを最小にして待機系インスタンスに切り替えることができます。その際にホスト名を待機系のIPアドレスに向け直すと、DNS情報が伝播するまでに一定のダウンタイムが発生する可能性があります。これを防止するためには何を利用するのがいいでしょう？

IPフローティング IPフローティングを利用してElastic IPアドレスをフローティングすることで即時に別のEC2インスタンスへとトラフィックを切り替えることができます。これによって、障害発生時には稼動系からElastic IPアドレスを外し、待機系インスタンスに割り当て直すことで瞬時にトラフィックの向け先を変更できます。
Auto ScalingのヘルスチェックにはEC2タイプとELBタイプの2つのタイプがありますが、それぞれ何によって異常を判断しているでしょう。

・EC2タイプでは、EC2のステータスがrunning以外の場合、またはシステムステータスがimpairedの場合に、このインスタンスを異常と判断します。・ELBタイプでは、インスタンスのステータスチェックとELBのヘルスチェックからインスタンスの状態を判断します。 Auto ScalingがEC2タイプのヘルスチェックを利用していると、ELBのヘルスチェックが異常を示しているにも関わらず、EC2インスタンス側のステータスに問題がなければAuto Scalingが実行されません。
RDSデータベース上に保存されたデータにアクセスしてデータ処理を実行するLambdaベースのサーバレスアプリケーションを開発しています。その際にはRDSへのコネクション接続を最適にする必要があります。この要件を満たす最適なソリューションは？

Lambda関数とRDS Proxyを連携することで、Lambda関数による効率的な非同期並列実行を可能にするデータ処理アプリケーションを構築する。。Amazon RDS Proxyは、アプリケーションとRDSデータベース間の仲介役としてコネクションを管理するプロキシ機能です。Lambda関数からRDS DBインスタンスへのコネクションプールを確立および管理して、アプリケーションからのデータベース接続を最小限に抑えることができます。これによってデータベースのコネクションが非効率に乱立することを防ぐことができます。 Lambda関数とRDS Proxyを連携させると、LambdaはDBインスタンスのエンドポイントに直接接続するのではなく、RDS Proxyを介してデータベースとの接続を実施します。そして、RDS ProxyはLambda関数の同時実行によって大量の同時接続をスケーリングするために必要なコネクションをプーリングします。これにより、Lambdaアプリケーションは、Lambda関数コールごとに新しいコネクションを作成するのではなく、既存のコネクションを再利用することができます。
DynamoDBテーブルに保存されたデータ項目に対する追加・変更・削除の発生時に、その履歴を保持する機能は？

DynamoDBストリーム DynamoDB テーブルに保存されたデータ項目の変更をキャプチャする機能です。DynamoDBストリームを有効化することで、DynamoDBテーブルに保存されたデータ項目に対して、データの追加・変更・削除が発生した際に履歴を保持することができます。DynamoDBストリームを有効化した後に、ユーザーがDynamoDB テーブルにデータを新規に追加すると、そのデータイベントをトリガーにしてLambda関数を動作させるといったイベント起動型の処理を実行することができます。たとえば、ユーザーがDynamoDB テーブルにデータを新規に追加した際に、データ管理者にメールを送信してDynamoDBの変更を通知するといったLambda関数を連携させることができます。 DynamoDB ストリームはDynamoDB テーブル内の項目レベルの変更の時系列シーケンスをキャプチャし、この情報を最大 24 時間ログに保存します。ログは24時間経過すると削除されてしまうため、ログ情報をAmazon S3などに保存するように設定することが必要となります。
？？？は複数のコンテナを用いてサービスを提供する際の運用上の課題を解決してくれるツールであり、Dockerよりも運用の自動化に適しています。

Kubernetes Amazon ECSはオープンソースではなく、AWS独自のDocker環境の仕組みとなっているので、オープンソース、自動化のキーワードが出たらEKSを疑いましょう。
Amazon S3 Selectとは

シンプルなSQLステートメントを使用してAmazon S3オブジェクトのコンテンツをフィルタリングし、必要なデータのサブセットのみを取得できます。結果として、Amazon S3が転送するデータ量を削減でき、データ取得に要するコストを削減し、待ち時間を改善できます。S3バケットからデータ取得する際に最適なデータのみを絞り込んでコスト最適にデータを取得する時に使われます。
CloudFormationテンプレートで有効なセクションはどれ？Resources、Parameters、Description、Dependencies

Resources、Parameters、Description。 ResourcesではEC2インスタンスなどのスタックリソースとそのプロパティを指定します。 Parametersでは実行時にテンプレートに渡す値を指定します。 Description セクションには、そのテンプレートに関するコメントを指定します。
全ての開発担当者が本番環境のEC2インスタンスへのアクセス権限が付与されているため、開発環境のみを利用するスタッフによって、本番環境のインスタンスが誤って削除されてしまうリスクがあることが懸念点となっています。したがって、開発環境のみを利用するスタッフによって、本番環境のインスタンスが誤って削除されないようにユーザーの権限範囲を制限する方法は？

①開発環境用と本番環境用にVPCを分割して、IAMポリシーにより権限を分割する。②開発環境のEC2インスタンスに開発者用のタグ設定して、IAMポリシーにより権限を分割する。タグによって「本番インスタンス」と「開発インスタンス」を定義するメタデータをインスタンスに追加します。次に、ユーザーに対してIAMポリシーによってアクセス権限を付与する際に、これらのタグに基づいて開発者の利用範囲を分けます。これによって、タグベースで本番用インスタンスを操作するユーザーと、開発用インスタンスを操作するユーザーに権限を分割することが可能となります。 IAMポリシーで直接にEC2インスタンスの操作拒否を設定することも考えられますが、その場合はサービス単位でアクセス権限を拒否するため、開発者が開発用インスタンスも削除できなくなってしまいます。したがって、タグによってインスタンス範囲を区別した上で、インスタンスの利用を制限する必要があります。また、VPCを本番環境と開発環境とに分割することで特定のVPC下でのアクセスを限定するIAMポリシーによってアクセス可能なVPC範囲を絞ることができます。
Amazon Rekognitionではなにができる？

画像分析と動画分析をアプリケーションに簡単に追加できます。LambdaとRekognitionを組み合わせることにより、低コストで可用性の高い画像識別アプリケーションを容易に構築することができます。
Amazon RDSにおいて推奨されていない方法は？①自動バックアップ有効化②MYSQLのストレージエンジンとしてMyISAMを利用③MYSQLのストレージエンジンとしてInnoDBを利用④大きなテーブルのパーティションは16TBを超えないようにする

②MYSQLのストレージエンジンとしてMyISAMを利用ストレージエンジンとは、MySQLソフトウェアを利用する際にデータを保存するストレージ側を設定するMySQL コンポーネントのことです。これを利用して、DBのストレージレイヤーにおいて、さまざまなテーブル型に対する SQL 操作を処理することができるようになります。一般的に MySQLではMyISAMをストレージエンジンとして設定することが可能ですが、Amazon RDSはMyISAMをストレージエンジンとして使用することはできません。Amazon RDS MySQLにおいて、推奨されるストレージエンジンはInnoDBです。他の選択肢はAWS MySQL RDSドキュメントのベストプラクティスとなっており、推奨されています。
特定のソフトウェアをインスタンス初期起動にシェルスクリプトによって自動的にインストールするための、Amazon EC2のインスタンス設定方法

ユーザーデータを利用する。 Amazon EC2 インスタンスの起動設定時にユーザーデータを利用することで、インスタンス起動時にスクリプトを実行できます。ユーザーデータとはAmazon EC2のインスタンス起動画面に設定されたスクリプトを記入できる入力欄のことです。Amazon EC2の起動時にユーザーデータにはシェルスクリプトと cloud-init ディレクティブという2 つのタイプのデータを入力して、インスタンス起動時にそれらを実行することができます。他にも、Amazon EC2を利用してインスタンスを起動する際や、起動テンプレートやAMIなどを利用して、特定の構成をテンプレートやイメージ化して共有することが可能です。また、スクリプト設定によって起動時にソフトウェア設定を自動化するといった対応が可能となっています。
読み取りリクエストの多いアプリケーションのWeb層とデータベース層のパフォーマンス向上のためのソリューション

・ELBとAutoScalling②ElastiCacheMemcached③RDSのリードレプリカを増やして読み取り処理を分散化ステートレス処理用のインスタンスを使用してELBとAutoScalingグループを設定します。Webサーバーの読み取り操作にElastiCache Memcachedを使用して、最後にAmazon RDSにリードレプリカを使用することで、予測不可能な大規模なトラフィック要求を処理できる可用性の高い柔軟な構成を実現することができます。今回のケースではWEBサーバーからのデータベース読み取り処理を高速化するために、ElastiCacheを利用します。それによって、Amazon RDSで集中的に利用されるクエリ結果をインメモリ型DBにキャッシュとして保存して、キャッシュデータへの高速アクセスを可能にします。その際は、読み取り処理を支援するためのシンプルなデータ処理になるため、RedisではなくElastiCache Memcachedの利用が最適です。さらにRDS DBインスタンスの読み取り処理負荷を軽減するために、リードレプリカを増やします。
このモバイルアプリは、S3に写真を保存し、OpenID Connect互換のIDプロバイダーを使用してユーザーがサインインすることが必要です。ユーザーの一時的なアクセスには、AWS STSを利用して権限を付与する仕組みを利用します。このアプリケーションに対する最適なAWS STSの設定を選択してください。

ウェブIDフェデレーションを使用すること。 AWS STSを利用したウェブ ID フェデレーションによって、アクセス認証を実施することで、一時的なアクセス認証を実現できます。ウェブ ID フェデレーションを使用することで、ユーザーはGoogleなどの外部のID プロバイダーを使用してアプリケーションにサインインすることができます。認証トークンを受け取ったら、そのトークンを AWS リソースを使用するためのアクセス許可を持つ IAM ロールにマッピングして、AWS の一時的セキュリティ認証情報に変換することができます。IDプロバイダー（IdP）を使用することで、アプリケーション内部に長期的なセキュリティ認証情報を保持することが必要なくなるため、セキュリティを向上させることができます。また、OpenID Connect を利用する場合は、SAML 2.0ではなくウェブ ID フェデレーションを利用します。
DynamoDBテーブルへのデータ保存後に、自動でLambda関数を起動してメタデータを取得することが求められています。そのために使うべき機能はなんでしょう。

DynamoDBストリーム DynamoDBストリームという仕組みを使うことで、DynamoDBテーブルへのデータ登録をトリガーにしてLambda関数を起動させて、メタデータ登録処理を実行します。 Lambda関数は最大10GBまでのデータ容量を扱うことができます。
Auto Scalingにおいて、メモリ利用率をトリガーとした設定は行える？

デフォルトではできない。CPU使用率に応じたスケーリングはできる。
Lambda関数を利用したサーバーレスアプリケーションをローカルで構築、テスト、およびデバッグするための環境をなるべく省力化してデプロイする方法

AWS SAM（AWS Serverless Application Model）- CloudFormationテンプレートを利用してサーバーレスアプリケーションも展開できるのですが、その際に追加で設定する機能が必要となります。今回はその機能を提供するサービスが回答となります。
Amazon SWF、DMS（Database Migration Service）、SMS（Server Migration Service）はどんなサービス？

Amazon SWF はステップまたは連続したステップがあるバックグラウンドジョブを構築、実行、スケールすることができるクラウド内の完全マネージド型の状態トラッカーおよびワークフローシステムです。　AWS Database Migration Service を使用すると、オンプレミスにあるデータベースを短期間で安全に AWS に移行できます。　AWS Server Migration Service はオンプレミスの VMware vSphere、Microsoft Hyper-V/SCVMM、または Azure 仮想マシンを AWS環境に移行するツールです。これは今回の要件には利用できません。なお、AWS SMSは2022年3月31日をもって廃止されており、現在はAWS Application Migration Service (AWS MGN)が利用されています。
オンプレミス環境にあるMicrosoft Active Directoryの既存のWindowsアカウントパスワードを使用してユーザー認証を実施できるように、AWS Directory Serviceを設定する方法

AWS Directory Serviceを利用して既存のMS Active DirectoryとAWSリソース管理を統合し、AWS Managed Microsoft ADを利用してシングルサインオンを実現する。 AWS Directory ServiceのAWS Managed Microsoft AD を利用して、既存のMS Active Directory（MS AD）とAWSのIAMユーザー認証を統合して、シングルサインオンを実現することができます。既存のオンプレミス環境にあるMS ADを利用してAWS Managed Microsoft ADと信頼関係を構成することで、シングルサインオンを実現することが可能です。 AD間の信頼を確立して、 AWS Managed Microsoft AD を既存の MS AD に接続します。これにより、AD に対応したアプリケーションと AWS リソースに対して、オンプレミス ADの認証情報を利用してアクセスすることが可能となります。たとえば、ユーザーはMicrosoft Active Directoryの既存のWindowsアカウントパスワードを使用して、AWS マネジメントコンソールと Amazon WorkSpaces にサインインできます。また、AWS Managed Microsoft AD で SharePoint などの AD 対応アプリケーションを使用すると、ログインした Windows ユーザーは認証情報の再入力なし、これらのアプリケーションにアクセスできるようになります。　　　AD Connector を利用してもシングルサインインを実現することは可能です。AD Connector によってMS ADに接続することで、Windows Server 2003 以降で実行されるドメインコントローラを VPC にプロキシして、AD ドメインのログイン情報で AWS の Management Console にシングルサインオン (SSO)とすることができます。しかしながら、既存の ADワークロードを AWS クラウドに移行する場合は、AWS Managed Microsoft ADの方が最適です。
既存のEC2インスタンスにアタッチされていたEBSボリュームを新しいEC2インスタンスにアタッチしなおす方法は？

古いEC2インスタンスを停止した上で、ボリュームをデタッチする。 EC2インスタンスから Amazon EBS ボリュームをデタッチするには、明示的にデタッチ操作を実行する必要があります。EC2インスタンスのルートボリュームに設定されているEBSボリュームは、デフォルト設定ではインスタンスが削除されると同時に削除されてしまいます。また、インスタンスが実行中の場合、先にインスタンスからボリュームをデタッチする必要があります。 EBS ボリュームがインスタンスのルートデバイスである場合、ボリュームをデタッチする前に、インスタンスを停止することが求められます。したがって、古いEC2インスタンスを停止した上で、ボリュームをデタッチします。
ある会社ではEC2インスタンスに対してALBとAuto Scalingグループを設定したWEBアプリケーションを構築しています。このアプリケーションでは、一時的なリクエスト流入増加に備えて、現在のインスタンス数を手動で増やすことが求められています。この対応に適したオートスケーリングの設定オプションを選択してください。

Desired capacity（希望する容量）によって一時的なリクエスト流入増加に備えて、インスタンス数を手動で増やすことができます。 Desired capacity（希望する容量）はAuto Scalingによって現在起動するべきインスタンス数を規定するAuto Scalingグループ内の現在起動するべきインスタンス数の設定です。この数値に従ってインスタンス数が増減します。Auto Scalingグループでは最小キャパシティと最大キャパシティの間に希望する容量（Desired capacity）を調整することができます。この調整はスケーリング設定の編集画面において、手動で変更することが可能です。それによって、既存の Auto Scaling グループのサイズはいつでも手動で変更して、稼働するインスタンス数を増減させることができます。
、AWSのストレージやデータベース関連のサービスの中で、暗号化を自動的に実行しているサービスを選択してください。①RDS②Lambda③ECS④S3Gracier⑤StorageGateway

④S3Gracier⑤StorageGateway AWSサービスでは、デフォルトで自動的に暗号化が適用されているサービスと、ユーザー側で暗号化を有効化しなければならないサービスが存在します。今回はデフォルトで自動的に暗号化が適用されているサービスがどれなのかを知っているかどうかが問われています。AWS Storage Gatewayによって保存されたすべてのデータは、デフォルトでAmazon S3管理暗号化キー（SSE-S3）を使用して暗号化されています。また、AWS Storage Gatewayの連携先となるAmazon S3バケットにおいても、デフォルトでAmazon S3 で管理された暗号化キー (SSE-S3) を使用して、自動的に保存データをサーバー側で暗号化します。 S3 Glacier においても、保存データに対して自動的に 256 ビットの Advanced Encryption Standard (AES-256) を使用してサーバーサイド暗号化が自動的に適用されます。ユーザー側で暗号化を有効化する必要はありません。その他のサービスは、ユーザーが暗号化を設定しない限り、データは暗号化されません。
京リージョンにあるDynamoDBテーブルのデータ内容がシンガポールリージョンにも自動的に複製されるための構成方法は？

東京リージョン内のDynamoDBテーブルのStreamを有効化する。DynamoDBテーブルをシンガポールリージョン内にも作成する。該当するすべてのリージョンに作成されたDynamoDBテーブルに対してグローバルテーブルを設定することで、これらのDynamoDBテーブル間のデータ変更を自動的にレプリケートする。 DynamoDBデータに対して、東京リージョンで行われたトランザクション処理がシンガポールリージョンにも自動的に複製されるようにするには、DynamoDB Streamsを有効化します。DynamoDB Streamsによって東京リージョンのDynamoDBテーブルのデータに更新が発生した場合に、シンガポールリージョンのDynamoDBテーブルへと自動的にレプリケーションされる設定が可能となります。DynamoDB Streamsによるレプリケーション先としてシンガポールリージョンにも同じテーブルを作成することが必要です。さらに、該当する全てのリージョンに作成されたDynamoDBテーブルを同期するグローバルテーブルを設定することで、これらのDynamoDBテーブル間のデータ変更を自動的にレプリケートするように構成します。
DynamoDBにはマルチリージョン構成という設定はある？

ない。だまされるな！
DynamoDBのグローバルテーブルをシンガポールリージョンに作成して、レプリケーション自動化を有効化するという設定はあるか？

ない。DynamoDBにはレプリケーション自動化という機能がありません。
オンプレミス環境のネットワークに対してAWSワークロードを統合して、オンプレミス環境とのサイト間VPN接続を確立する方法

カスタマーゲートウェイが必要。サイト間VPNをAWSとオンプレミス間に構成するためには、オンプレミス側のネットワーク環境にカスタマーゲートウェイデバイスを設置して、カスタマーゲートウェイを構成することが必要です。
Amazon DynamoDBの有効なユースケース２つ

WEBセッション管理、S3オブジェクトのメタデータ保存 BLOBデータは、DynamoDBなどのNoSQLデータベースに保存するには大きすぎるデータです。Amazon DynamoDBではなくAmazon S3バケットにBLOBデータを保存してください。Amazon S3は最大5TBのラージオブジェクトの保存が可能であり、非構造化BLOBデータを保存するのに適しています。BLOB（Binary Large OBject）とは、データベースで用いられるデータ型の一つであり、ビデオや音声、圧縮ファイル、実行ファイルなどの非構造化データ、プレーンテキスト（平文の文字数字）以外のバイナリデータを格納する際に用いられます。
DynamoDBは画像データを保存できる？

できない。S3を利用しましょう。
Snowball Edge Storage Optimized、Snowball Edge Compute Optimizedはそれぞれ1台あたりどれくらいのデータサイズを入れられる？

Compute Optimized ：42TB、Storage Optimized：80TB Snowball Edge Compute Optimized は、機械学習、フルモーション動画分析、分析、ローカルコンピューティングスタックなどのユースケースに強力なコンピューティングリソースを提供します。このデバイスは、S3 互換オブジェクトストレージまたは EBS 互換ブロックボリューム用に 42 TB の使用可能な HDD 容量を提供します。 Snowball Edge Storage Optimized デバイスは、大規模なデータ移行と定期的な転送ワークフロー、およびさらに高容量を必要とするローカルコンピューティングに適しています。Snowball Edge Storage Optimized は、ブロックボリュームと Amazon S3 互換オブジェクトストレージに 100TB の HDD 容量を提供します。しかしながら、利用可能なボリュームは80TBほどです。
AD Connectorでなにができる？

IAMとオンプレミス環境のMS Active Directoryとを連携することができます。 AD ConnectorはIAM側のディレクトリ・リクエストをオンプレミスの Microsoft Active Directory へとリダイレクトするのに使用するディレクトリゲートウェイです。この機能により、社内のActive DirectoryとIAMを連携させることができます。Amazon Workspaceサービスを社内ユーザーに認証する際にMS Active Directoryと連携する場合はAD Connectorによる統合を実施します。
自社がAWSクラウド上のOSなどのリソースを適切に管理できるサービスは？

EC2とEMR Amazon EMRはマネージド型のHadoopフレームワークを提供します。しかしながら、Amazon EMRはEC2インスタンスを利用して構成されるため、Amazon EMRを構成するEC2インスタンスのオペレーティングシステムなどにユーザーはアクセス可能となります。Amazon EMR は、各ノードタイプにさまざまなソフトウェアコンポーネントをインストールすることで、Apache Hadoop などの分散型アプリケーションを構成することができます。
Amazon API Gateway は簡単にAPI の作成と管理が可能となるフルマネージド型のAPI管理サービスです。API Gatewayを利用するべき主な理由を教えてください。

サーバーなしにAPIゲートウェイを利用できる。基本利用に対する料金は取られず、APIコールとデータ量に応じてのみ費用がかかる。 API Gateway はLambdaと連携してAPIアクセスが可能なサーバレスアーキテクチャーを構築する際に頻繁に利用されます。API Gateway はトラフィック管理、認可とアクセスコントロール、モニタリング、API バージョン管理などのAPI管理を実施できます。そのパフォーマンスとしては最大数十万規模の同時 API コール処理が可能です。API Gateway は受信したAPI コールと転送データ量に応じて課金される従量課金制サービスです。
あなたはS3バケットの静的WEBホスティングを利用してWEBサイトを作成しています。S3バケットの静的WEBホスティングを有効化して、index.htmlをデフォルトページに設定しました。そして、ドメインwww.pintor.comを構成してプラウザで開いたところ、403エラーが発生してHTMLが表示されませんでした。このエラーを解決するために必要な対応を選択してください。

適切なバケットポリシーを設定する。 S3バケットの静的WEBホスティングにおいて、HTMLオブジェクトにアクセスする際に、オブジェクトの読み取りアクセス許可が付与されていない場合は、ウェブサイトエンドポイントから HTTP レスポンスコード 403 (Access Denied) が返されます。 S3バケットを利用した静的ウェブサイトを構築するためには、S3バケットにおいて静的ウェブホスティング機能を有効化します。次にIndex.htmlを設定することでWEBサイトの設定が完了します。さらに、このWEBサイトを一般的なユーザーに表示させるためには、インターネットからのアクセスが許可される設定が必要となります。そのためには、パブリックアクセスブロックを無効化することと、バケットポリシーの設定によってインターネットからバケットへのs3:GetObject を許可する設定が必要です。したがって、適切なバケットポリシーを設定するのが正解となります。
フォールトトレランスとは

システムや機器の一部が故障・停止しても、予備の系統に切り替えるなどして機能を保ち、正常に稼働させ続ける仕組み「フォールト（Fault）」は故障や不具合を指す言葉で、システムの一部分が機能しなくなる状況を指します。「トレランス（Tolerance）」は「寛容」という意味で、つまり「フォールトトレランス」はシステム全体が一部の故障に対して寛容であり、その結果として全体の機能を維持する能力を指す言葉となります。
Amazon DynamoDBテーブルのポイントインタイムリカバリって？

ポイントインタイムリカバリを有効化すれば、誤って本稼働環境の DynamoDB テーブルに書き込みを実施したり、削除してしまっても、過去 35 日間の任意の時点にテーブルを復元することができます。ポイントインタイムリカバリによって、DynamoDB は指定した日時 (day:hour:minute:second) の状態のテーブルデータを新しいテーブルとして復元します。DynamoDB ではテーブルに対して増分バックアップが実施されます。これを利用して、目標復旧時点（RPO）の15分および目標復旧時間（RTO）の1時間を容易に達成することが可能です。
S3のSSE-KMSを利用して暗号化を実施しましたが、一部データの暗号化に失敗したことで、データ登録ができていないとの報告がありました。この問題の原因と思われる事象を選択してください。

S3バケットポリシーの設定に問題がある。 Amazon S3ではバケットポリシーによってデータアップロードリクエストを評価してアクセス許可を実施した上で、データアップロード時の暗号化が適用されます。その際に、バケットの暗号化設定を有効化していても、暗号化情報なしの PUT リクエストを拒否するバケットポリシーがある場合は、そのPUT リクエストは拒否されます。つまり、暗号化情報なしの PUT リクエストによってデータアップロードを実施していた場合はデータアップロードに失敗してしまいます。PUTリクエストヘッダーに暗号化情報が含まれている場合、Amazon S3 はPUTリクエストの暗号化情報を使用してオブジェクトを Amazon S3 に保存する前に暗号化することが必要となります。
Lambda関数に「Amazon RDSからデータを取得するための権限」と「DynamoDBテーブルにデータを保存するための権限」の2つの権限をつけたいとき、やるべきことは？

Lambda関数に対してDynamoDBテーブルデータを操作できるようIAMロールによるアクセス許可を設定する。RDS側のSecurityGroupIngressにおいてLambdaのセキュリティグループを許可する。
AWS SAMとは

AWS Serverless Application Model。AWSのサービス（Lambda、API Gateway、DynamoDBなど）を使って、サーバーレスアプリケーションを構築できるフレームワークです。
ingress とは？ egress とは？

ingress = inbound = 受信 = Download = 下り/ egress = outbound = 送信 = Upload = 上り
オンプレミス環境にあるNFSファイルシステムとSFTPサーバーの構成をAWS環境に移行することが求められています。どんなソリューションが必要？

EC2インスタンスをEFSファイルシステムと同じVPCに移動する。オンプレミスのファイルシステムにDataSyncエージェントをインストールする。オンプレミス環境にあるNFSストレージデータをEFSに移行するには、オンプレミス環境にあるファイルシステムにAWS DataSyncエージェントをインストールして、AWS DataSyncを介してデータ移行を実施する必要があります。
ELBを利用したEC2インスタンスベースのアーキテクチャに対して、クライアントとELB間のデータ保護を実施する方法は？

SSL証明書を発行・管理するためにAWS Certificate Managerを利用。ALBを利用してリスナー設定にHTTPSの設定を追加してSSL証明書を設定する。クライアントとELB間のデータ保護というのはデータ通信の暗号化であるため、HTTPS通信を実施するための設定が必要となります。AWS Certificate Managerを利用してSSL/TLS 証明を発行して、その証明書をELBに設定することで、無料でSSL通信が可能なWEBサイト通信を利用できます。これによって、クライアントとELB間でHTTPS通信を実施することができます。ALBを利用してリスナー設定にHTTPS(443)を追加して、SSL/TLS 証明書をダウンロードすることで、ACMのSSL/TLS 証明書をALBに設定することが出来ます。
Windows共有ファイルストレージを構成できるのは？

Amazon FSx for Windows File Server EFSはWindows共有ファイルストレージを構成できません。また、Active Directoryドメインを認証に設定することもできません。
データが欠落しないこと、耐久性があること、およびデータを到着順にストリーミングすることができるサービスは？

Kinesis Data Streams Kinesis Data Streamsは一連のデータレコードを持つシャードのセットであり、各データレコードにはKinesis Data Streamsによって割り当てられたシーケンス番号が付与されるため、メッセージが失われず、重複されず、到着と同じ順序で伝送することが可能です。
担当者が発注システムの入力作業において、同じ注文を二回入力してしまったという人的なミスがありました。これはAmazon SQSキューの上記機能では防ぐことができません。どうしたらいいでしょう。

Step function Step Functionであれば、注文処理の途中で人的な確認プロセスを加えることができます。つまり、Step Functionのワークフローでは担当者による注文入力処理のあとに、注文内容にミスがないかを、確認する人的タスクを追加することが可能となります。これにより、Step Functionにより発注フローを作成して、二重の発注が発生しないようにプロセスを形成できます。
Route53の複数値回答ルーティングとは？

各リソースが正常かどうかを確認するため、Route 53 は正常なリソースに値のみを返すことができます。したがって、IPアドレス単位での正常・非正常を判断してルーティングすることが可能となります。
エッジロケーションとは？

低レイテンシーを達成するためのキャッシュコンテンツを配信するための地理的ロケーションです。これはリージョンやアベイラビリティーゾーンとは独立したロケーションとして世界中に配置されています。CloudFrontはエッジロケーションを使用して、キャッシュされたコンテンツ
AWSとオンプレミスの両方の環境にあるリソースによって構成されるサーバーによる分散アーキテクチャを構築することが求められており、両方の環境に適用可能なAWSサービスを選択することが必要です。ソリューションを２つ答えなさい。

SQS、Step Functions AWSサービスの中でAmazon SQSおよびAWS Step Functionsは、AWSで分散アーキテクチャを作成するために使用できるサービスです。Amazon SQSはEC2インスタンスなどのサーバー間のキューメッセージ通信のためのメッセージングサービスです。信頼性が高く、スケーラビリティの高いホスト型キューを提供します。 Amazon SQSを使用してコンポーネント間のやり取りをキューを介して分離することで、分散アプリケーションコンポーネント間でデータを移動したり、タスクを並列処理することができます。 AWS Step Functionsは分散アプリケーションコンポーネントを利用したワークフローを構成するためのサービスです。Step Functions を使って、複数の AWS Lambda 関数を組み合わせて、応答性の高いサーバーレスアプリケーションやマイクロサービスをワークフロー化することができます。また、Amazon EC2 インスタンス、コンテナ、またはオンプレミスサーバーで実行されるデータとサービスのオーケストレーションを行うこともできます
Amazon SWFとは？

Simple workflow. SWFはStep Functions以前の古いサービスです。現在はAWS上のワークフロー作成にはStep Functionsの利用が推奨されています。一部の用途を除いてSWFの利用は推奨されていません。
S3バケットのコンテンツをCloudFrontディストリビューションを介してグローバルに配信する際に、S3 オブジェクトURLに直接アクセスできないようにすることが求められています。ソリューションを答えなさい。

CloudFront側でオリジンアクセスアイデンティティ（OAI）を割り当てて、そのOAIにのみS3バケット内への読み取り権限があるようにS3バケットポリシーを設定します。オリジンアクセスコントロール (OAC) は2022年12月より利用可能になったOAIに代わる新機能です。OAIと同様にオリジンアクセスコントロール (OAC) をCloudFrontディストリビューションに割り当てて、OACにのみ読み取り権限があるようにS3バケットポリシーを設定することができます。 OAIと比較すると、OAC は以下のような機能をサポートしており、機能が強化されています。・すべての AWS リージョンのすべての Amazon S3 バケット (2022 年 12 月以降に開始されたオプトインリージョンを含む) ・AWS KMS による Amazon S3 サーバー側の暗号化 (SSE-KMS) ・Amazon S3 に対する動的なリクエスト (PUT と DELETE)
東京リージョンに「bucket-name」という名前のバケットを作成してAmazon S3で静的ウェブサイトをホストしたいと考えています。どのようなURLが割り当てられますか。

bucket-name.s3-website-Region.amazonaws.com
RDSのIAMのDB認証とはなにか？

EC２インスタンスなどのAWSリソースはIAM ユーザーまたはIAMロールの認証情報と認証トークンを使用して、RDS DB インスタンスまたはクラスターに接続することができます。これはRDSインスタンスの作成時にEnable IAM DB Authentication(IAMのDB認証）を有効化することで利用できます。
Auroraでダウンタイムが発生した場合には瞬時にフェールオーバーが実行できるようにするためには、？？？？？を構成することが必要

Auroraレプリカフェールオーバーの実行時間はAmazon Aurora レプリカを作成している場合は開始から終了までに通常 30 秒以内に完了します。Amazon Aurora レプリカを作成していない場合はフェイルオーバーは 15 分以内で完了することになります。
Lambda関数を利用したサーバレスアプリケーションのユースケースについて向き不向きを答えよ

簡易でボラティリティの高いアプリケーション処理を実施するのに向いていますが、常時多数の処理が実行されるようなアプリケーションのトランザクション処理には向いていません。ボラティリティ＝変動する、みたいなイメージ？
Lambda関数を利用したアプリケーションを複数実行していますが、その処理の一部分が重複していることがわかりました。このLambda関数処理を改善するために必要な方法を選択してください。

Lambda Layer 。Lambda Layerは複数のLambda関数でライブラリを共有できる仕組みであり、Lambda関数間で利用する共通機能などをLayerにまとめて、構成することができます。これまでは同じライブラリを利用するLambda関数が複数あった場合でも、全ての関数内に同じライブラリを含めてパッケージングすることが必要でした。しかしながら、特定のライブラリをLayerにアップロードしておくことで、個々のLambda関数は共通のLayerを使用して効率的な実装が可能となります。つまり、全ての関数内に同じ機能を含めてパッケージングする必要がなくなります。今回のシナリオでは、複数のLambda関数の処理の一部分が重複しています。これをLambda Layerを利用することで、重複部分を共有化することができます。
Lambdaエッジとは

パフォーマンスを向上させるやつ Lambdaエッジを使用すると、サーバー管理を行わなくても、ウェブアプリケーションをグローバルに分散させることで、パフォーマンスを向上させることができます。
あなたはAWS上のインフラ展開において、特定のアカウントから複数アカウントにまたがってインフラ展開を自動化させたいと考えています。この要件を満たすCloudFormationの機能を選択してください。

CloudFormation スタックセット CloudFormation スタックセットを利用するとCloudFormation テンプレート内に AWS リソースの設定を定義して、１つのテンプレートにより複数の AWS アカウントやリージョンにリソースを展開できます。クロスアカウントやクロスリージョンにAWSリソースを展開しなければならないケースにおいて、CloudFormationのスタッフセット機能を活用して、一度に複数リージョンにリソースを展開することができます。CloudFormation スタックセットを設定してしまえば、追加のアカウントやリージョンに対しても容易に同じ構成を展開することが可能です。
CloudFormationのドリフトとは？

CloudFormationテンプレートの内容に乖離があることをドリフトといいます。
ELBとEC2インスタンスとの接続方式において、暗号化を実現するソリューションは？及びその後のEC2インスタンスにおける暗号化の方法は？

ELBのリスナー設定において利用するプロトコルを変更する。EC2インスタンスにおけるEBSボリュームの暗号化を有効化する。 ACMのSSL / TLS証明書をELBに設定してから、ELBのリスナー設定でHTTPSプロトコルを利用するように変更することが必要です。ELBを利用してHTTPS通信を実現するためには、SSL / TLSプロトコルを使用した暗号化通信を有効化します。この機能により、ロードバランサーとHTTPSセッションを開始するクライアント間接続、およびロードバランサーとEC2インスタンス間接続のトラフィック暗号化が実施されます。EC2インスタンス側のデータ暗号化には、インスタンスにアタッチして利用しているストレージサイドの暗号化を実現する必要があります。つまり、EBSボリュームに対して暗号化を有効化する必要があります。
製品データがAmazon RDS MySQLデータベースに保存された際に、複数のターゲットシステムに更新された製品データを非同期で送信する仕組みが必要とされています。したがって、RDSのデータを非同期で送信するプログラム処理を実装することが必要となります。ソリューションを答えなさい。

RDSから製品データを取得するLambdaを作成。Lambda関数スケジュールを設定しRDSプロキシと接続して新規データを取得。複数のターゲットシステムにこの製品データを非同期で送信する。定期的にRDSからデータを取得するためには、AWS Lambda関数のスケジュールを設定して、Lambda関数を定期的に実行するように設定します。また、その際はAmazon RDSとの連携には、RDSプロキシを利用します。そうすることで、複数のLambda関数による並列処理が発生してもコネクションを効率的に維持することが可能となります。RDS Proxyとは？接続元と接続先のRDSの間に設置し、アクセスを中継するサービスになります。ユースケースとしてはlambdaでサーバレスなシステムを構築する際に lambda + RDSだと同時接続数を超えてしまいアクセスできない状態になります。このときに lambda + RDS proxy + RDS構成でコネクションのプーリング（一元化？かたまりにする。）などを行います。
Amazon SQSのキューイングを利用してコンポーネント間を連携する際に、処理されなかったキューを4日間保持しなければならない要件があり、Amazon SQSの機能を利用することになりました。どの機能を使えばいいでしょう？

SQSのデフォルト設定を利用する。 Amazon SQSは最長メッセージ保持期間を超えるキューに残っているメッセージを自動的に削除します。デフォルトのメッセージ保持期間は 4 日間です。よって、SQSのキューイングを利用してコンポーネント間の連携をする際に、処理されなかったキューを4日間保持するためには、何も変更せずにデフォルト設定のままで問題ありません。
オンプレミス環境にある既存のActive DirectoryをAWSで活用するために、IDフェデレーションとロールベースのアクセス制御をAWSで使用する方法は？

AWS Directory Service AD Connectorを使用します。からの～IAMロール割り当て。【オンプレミスのADとIAM管理を統合するならAD Connector】AD Connector はディレクトリへのリクエストをオンプレミス環境のMicrosoft Active Directoryにリダイレクトする際に使用するディレクトリゲートウェイです。これを利用してIAMによる認証情報とMicrosoft Active Directoryを連携させることができます。 AWS Directory Service へのアクセスにはIAM認証情報が必要です。IAMと AWS Directory Service を使用して、AWSリソースにアクセスできるユーザーを制御することで、 AD ConnectorはIAMポリシーのアクセス許可に基づいて、AWSリソースへのアクセスを実行できます。既存の IAM ロールを AWS Directory Service ユーザーまたはグループに割り当てることができます。 AWS Directory Service AD Connectorを介して、Active DirectoryからユーザーまたはグループにIAMロールを割り当てることで、要件を達成することが可能です。
Amazon Redshiftクラスターにクエリ処理を定義する際の最適な方法は？クエリ処理の実行順序を定義しなければならないという要件があります。

RedshiftのWork Load Management（WLM）を利用して、Redshiftのクエリ処理を割り当てる。 Redshiftクラスターでは複数のクエリ処理を実施する際は、それらのクエリ処理の実行順序を定義することができます。RedshiftのWork Load Management（WLM）は、Redshiftのクエリ処理に対して割り当てるRedshiftのリソースを指定する機能です。WLMを利用することでクエリ処理をキューに登録して実行順序を定義することが可能となります。
AWS Organizationsを利用したOU単位でのSCPによるアクセス管理を実施しています。SCPを有効化して、既存のSCP設定はそのまま利用します。あなたは更に新しいSCPを作成して、EC2インスタンスの全権限を許可する設定をOUに追加しました。この場合のOU内のメンバーアカウントの権限状況を説明してください。

フルアクセス権限を有しているため、すべてのリソースへの操作が実行できる。 AWS OrganizationsのSCPを有効化すると、デフォルトでメンバーアカウントが属するOUに対して「FullAWSAccess」が付与されます。この「FullAWSAccess」が付与されているOU内のメンバーアカウントでは、全てのリソースに対する全ての操作が明示的に許可されている状態となります。そこにホワイトリスト形式（特定の操作の許可を与えるポリシー）で特定のリソースに対する許可を与えても、「FullAWSAccess」が付与されているため、結局は全てのリソースに対する許可が継続します。このように特定の権限範囲に限定するSCPを新規にOUに設定する場合は、そのSCPをアタッチした後に「FullAWSAccess」をデタッチしなければ機能しません。
パブリックサブネットに配置されているインスタンスから、プライベートサブネットに配置されているインスタンスに対して互いに通信できる正しい設定方法は？

セキュリティグループの許可設定が適切かどうかを確認する。ネットワークACLの通信許可が適切かどうかを確認する。同じVPC内の異なるサブネットに展開されている２つのインスタンスが通信するためには、サブネットの通信を制御するネットワークACLと、インスタンスの通信を制御するセキュルティグループの両方の通信設定が適切になされていることが必要です。
プレイスメントグループとは

EC2インスタンス間の通信を高速化するためのグループです。これは通信パフォーマンスを向上させるためのオプショナルの仕組みです。
Elastic Network Interface（ENI）は、仮想ネットワークカードを表すVPCの論理ネットワークコンポーネントです。ネットワークインターフェースをEC2インスタンスにアタッチする方法３つ。

■実行中のアタッチ（ホットアタッチ） ■停止中のアタッチ（ウォームアタッチ） ■インスタンスが起動中のアタッチ（コールドアタッチ）。
AWSを利用したアカウント管理を実施しています。まずはIAMユーザーを作成して、AWS利用者へのアカウント権限を発行する必要があります。アカウント権限として管理者権限を有するユーザー2人へのIAMポリシーが必要です。この権限管理を実施するために、最も容易に利用できるIAMポリシータイプを選択してください。

AWS管理ポリシーの管理者権限を利用する AWS 管理ポリシーは、AWS が作成および管理するスタンドアロンのIAMポリシーです。スタンドアロンポリシーとは、ポリシー名を含む独自の Amazon リソースネーム (ARN) の付いたポリシーのことです。 AWS 管理ポリシーは、AWSユーザーが独自のポリシーをカスタムで作成しなくても、すぐに利用できるように事前準備されたポリシーのことです。AWSでは多くの一般的ユースケースで利用できる汎用的な権限を設定したIAMポリシーを定義しています。 AWS 管理ポリシーの代表例が管理者権限ポリシーです。これはAWSの権限管理全般の権限を有したポリシーとしてAWS管理者とするべきユーザーに付与するAWS管理ポリシーです。通常IAMポリシーを設定する際に、AWS 管理ポリシーが既にある場合は、それを利用することが推奨されています。今回のケースでは、管理者権限ポリシーはAWS管理ポリシーとして用意されているため、それを利用することが優先されます。
Bアカウントを有しているB部門の社員に対して、Aアカウント内で作成したS3バケットの操作権限を付与するためには、そのユーザーに対してIAM？？？と？？？？？、両方の許可を行って？？？？？の設定を行います。

IAMロールとバケットポリシー、クロスアカウントアクセス異なる AWS アカウントに対してIAMポリシーによって許可を与えるには、 IAM ロールを使用します。IAMロールによって他のAWSアカウントのIAMユーザーに対して権限を委譲することが可能となります。その際は、異なるAWSアカウントユーザーとの間に信頼関係を設定して、そのリソースにアクセスできるようにします。次にバケットポリシーにおいて、そのIAMユーザーやAWSアカウント指定してアクセス許可を設定することが可能です。どちらかを許可設定しても、どちらかのポリシーを許可していないと、アクセスは拒否されます。
このアプリケーションはAmazon API Gateway APIによって呼び出されるAWS Lambda関数で構成されています。このLambda関数は顧客データを取得して、Amazon Aurora MySQLデータベースに保存します。同社では、Amazon Route53をDNSプロバイダーとしてURLを公開して、すべての顧客がこのAPI経由でインターネットから安全にアクセスできるようにします。その際は、最小の労力でコスト最適化することが必要です。どちらが正解でしょう。【ソリューション】顧客データを取得してデータ処理したうえでAuroraMySQLデータベースに保存するLambda関数を作成する。①そのうえでAPIGatewayとLambda関数を統合する。②Lambda関数URLを発行してURLからアクセスできるようにする。

顧客データを取得して、データを処理した上で、Amazon Aurora MySQLデータベースに保存するLambda関数を作成します。そのLambda関数をAPI Gatewayと統合することで、Amazon API Gateway APIからLambda関数を呼び出すことができるようになります。Lambda関数URLを利用することで、Amazon API Gateway APIと統合せずに、独自のURLからアクセスできる構成を実現できます。これはAmazon API Gateway APIからLambda関数を呼び出すという要件に合致していません。
リザーブド購入方式があるのは？①S3②DynamoDB③Redshift④Elasticache⑤EFS

①S3③Redshift④Elasticache 主なリザーブド購入オプションは以下のようなものがあります。・EC2リザーブドインスタンス・RDSリザーブドインスタンス・ElastiCacheリザーブドキャッシュノード・DynamoDBリザーブドキャパシティ・Redshiftリザーブドノード
VPCピアリングは異なるリージョン間でも使える？

使える
複数のAWS Lambda関数、Amazon EC2インスタンスで実行されるタスク処理や、オンプレミスサーバーを連携させて複雑なワークロードを構成するときに使うべきは？①SNSとAPIGateway②StepFunctions

②StepFunctions AWS Step Functionsを使用して複数のAWSリソースを連携させたアプリケーションを構築することができます。AWS Step Functionsのフロー設計において、複数のAWS Lambda関数、Amazon EC2インスタンスで実行されるワークロードや、オンプレミスサーバーを連携させてワークロードを連結させることができます。Amazon SNSを利用してAWS Lambda関数同士を連携することは可能ですが、これはメッセージ経由で前後処理を連携させる際に利用します。複数のLambda関数やオンプレミス環境などを連携したワークロードを構成する際には向いていません。（SQSも）
リサーブドインスタンスのコンバーティブルのみで変更可能な内容は？

・インスタンスファミリー・OS ・テナンシー・支払オプション
Windowsジョブをコンテナ化するためのコンテナオーケストレーションの仕組みを選択した上で、コンテナアプリケーションに対して５分ごとにタスクを実行する定期スケジュールを設定する方法を選択してください。

FargateでECSクラスターを構成。EventBridgeスケジューラーにより5分ごとに実行するスケジュールタスクを作成してFargateによりジョブを実行する。 Fargate起動タイプを選択してAmazon ECSクラスターを構成することができます。そして、クラスターのタスク定義に対して5分ごとに実行するスケジュールタスクを作成して、Fargateによるジョブを定期的に実行することが可能です。Amazon ECS はAmazon EventBridge スケジューラを利用してスケジュールされたタスクの作成を定期的に実施しることが可能です。
Amazon Lex、Amazon Pollyとは？

Amazon Lex は、音声やテキストを使用して、任意のアプリケーションにチャットボットを構築するサービスです。Amazon Polly は、文章をリアルな音声に変換するサービスです。発話できるアプリケーションを作成できます。
パブリックホストゾーンとは？

パブリックホストゾーンはインターネット上に公開されたDNSドメインレコードを管理するコンテナのことです。インターネットのDNSドメインに対するトラフィックのルーティング方法を定義します。
Amazon Fraud Detectorとは？

オンライン支払い詐欺や偽アカウントの作成など、不正の可能性があるオンラインアクティビティを簡単に識別できるようにするフルマネージドサービスです。 Step Functions 内でAmazon Fraud Detector を実行することで、不正検知内容の保存や、発見時のメッセージ通知などをまとめて実装することができます。
Amazon RDSはファイルシステムへのアクセスがサポートされていない。〇か×か。

〇。
Route53において複雑なルーティングを設定するにはどうしたらいいか？

Route53において複雑なルーティングを設定するにはトラフィックフローを用いてルーティングの順序を詳細に設定することができます。トラフィックフローのビジュアルエディターはトラフィックポリシーを作成するために使用します。トラフィックポリシーには、作成するルーティング設定に関する情報が含まれます。これは使用するルーティングポリシー、および各 EC2 インスタンスの IP アドレスや各 ELB ロードバランサーのドメイン名など DNS トラフィックのルーティング先となるリソースなどが含まれます。トラフィックフローではヘルスチェックをエンドポイントに関連付けて、Route 53 が正常なリソースにのみトラフィックをルーティングするようにもできます。これにより、複雑なルーティングをビジュアル的に設定することができます。
IAMとオンプレミスで使っていた既存のMicrosoft Active Directoryとの統合対応をしたい。使うべきソリューションは？

AD Connector、AWS Managed Microsoft AD AD Connector を使用して、既存のオンプレミスの Microsoft Active Directory と連携してSSOを実現できます。 AWS Managed Microsoft ADを利用して、AWS クラウド内にマネージド型 Active Directory を設置できます。これを利用して AWS と既存のオンプレミス Microsoft Active Directory の間で信頼関係を設定し、シングルサインオン (SSO) を構成することも可能です。
Simple ADとは？

Simple AD を利用することで、AWSに簡易なディレクトリサービスを立ち上げることができます。これはAWSの仮想デスクトップサービスなどへのアクセスを外部ユーザーに許可する際などに利用されます。ADとIAMの統合には利用できません。
AWSリソースのタグ付け戦略のベストプラクティス３つ

①タグは少ないよりは多く②リソースアクセス制御を配慮③リソースフィルタリングに必要な詳細なタグ設定をする AWSリソースのタグ付け戦略のベストプラクティスは以下の通りです。・個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。・タグには標準化された、大文字と小文字の区別がある形式を使用し、すべてのリソースタイプに一貫して適用します。・リソースアクセスコントロールの管理、コスト追跡、オートメーション、整理など、複数の目的に対応したタグガイドラインを考慮します。・自動化されたツールを使用して、リソースタグを管理できます。AWS リソースグループとリソースグループのタグ付け API を使用すると、プログラムによるタグの制御が可能になるため、タグとリソースの自動的な管理、検索、フィルタリングが容易になります。・タグの利用が少なすぎるよりは、多く利用することが好ましいです。・ビジネス要件の変化に合わせてタグを変更するのは簡単ですが、将来の変更の影響を考慮してください。たとえば、アクセス制御タグを変更した場合、そのタグを参照してリソースへのアクセスを制御するポリシーも更新する必要があります。
各地域に応じた言語表示を実施するためにはCloudFrontのどの機能をつかえばいいか？

CloudFrontのAccept-Languageリクエストヘッダーを利用します。 Accept-Languageリクエストヘッダーを利用することで、CloudFrontを介したアクセス時に、ユーザーに応じてHTTPSリクエスト毎に言語表示を変えることができます。HTTP の Accept-Language リクエストヘッダーは、クライアントがどの言語を理解できるか、どの種類のロケールが推奨されるかを示すヘッダーです。
EBSボリュームの汎用SSDは同じ？？？内のインスタンスにのみアタッチできます。

同じAZ内のインスタンスにのみアタッチできます。別のAZのEBSにはアタッチできません。
AWS Application Discovery Serviceとは？

オンプレミスデータセンター内のサーバーにエージェントをインストールすることで、データセンターの利用情報を収集することができるサービスです。これらの情報に基づいて、ユーザーの移行プロジェクト計画作成を支援します。データセンターの移行は非常に複雑です。その理由はデータセンター内には何千ものワークロードが存在しているため、多くの場合それらが相互に深く依存しあっているためです。サーバーの使用率データや依存関係のマッピングは、移行プロセス初期の重要なステップです。AWS Application Discovery Service は、サーバーの設定データ、使用状況データ、動作データなどを収集できます。収集されたデータは、AWS Application Discovery Service のデータストアに暗号化形式で保存されます。このデータを CSV ファイルとしてエクスポートし、AWS で稼働した場合の総所有コスト (TCO) の見積もりや、AWS への移行計画に使用できます。
AWS KMSを利用した暗号化を適用しているアプリケーションの負荷テスト中に、AWS KMSリクエストが1秒あたりの制限を超えてしまい、エラーとなったことの原因を特定して、改善することが求められています。何を利用すれば解決するでしょう？

AWS 暗号化 SDK AWS KMSリクエストが1秒あたりの制限を超えてしまっているため、暗号化の制限を超過しないようなリクエスト処理の仕組みを構成することが必要となります。そのためには、AWS 暗号化 SDK を利用してアプリケーションにKMSの仕組みを実装します。
CloudFrontのクエリ文字列パラメータを設定することでなにができるか？

それぞれの言語によるクエリ文字列パラメータの値に基づいて各言語のバージョンを個別にキャッシュします。 CloudFrontディストリビューションでは、CloudFront がクエリ文字列をオリジンに転送する際に、すべてのパラメータまたは一部のパラメータのどちらに基づいてコンテンツをキャッシュするかを選択できます。たとえば、WEBサイトでは５か国語で表示されますが、ディレクトリ構造とファイル名はウェブサイトの 5 つのバージョンで共通で利用しているとします。ユーザーがこのサイトにアクセスすると、CloudFront に転送されるリクエストには、ユーザーが選択した言語に基づくクエリ文字列パラメータが含められます。選択された言語に対応して特定バージョンのページを返すように設定されたCloudFrontは、それぞれの言語によるクエリ文字列パラメータの値に基づいて各言語のバージョンを個別にキャッシュします。
AWS Lake Formation にAWS Data Exchangeを連携させるとなにができる？

外部の企業とデータを共有することができます。 Lake Formation では、AWS Data Exchange を使用することで、組織内のデータ共有や外部ベンダーとのデータ共有が容易にできます。これにより、データメッシュを作成したり、データを移動させずに他のデータ共有ニーズに対応できます。
AWS Glue Sensitive Data Detectionとは？

データレイク内の機密データを識別することができます。 AWS Lake Formationでは、AWS Glue データカタログを使用してデータのセキュリティとガバナンスを一元化できます。AWS Glue Sensitive Data Detection は、さまざまな個人を特定できる情報 (PII) やクレジットカード番号などのその他の機密データを識別できるため、データ監査目的や機密情報のタグ付けに役立ちます。
Egress Only-インターネットゲートウェイとは

IPv6 経由でプライベートサブネットからインターネットへの送信を可能にするゲートウェイです。これはNATゲートウェイと同じような機能を有したインターネットゲートウェイとなります。VPN接続には無関係のゲートウェイです。
AWS Lambda関数をオンプレミス環境にあるデータセンターにプライベートネットワークを介してアクセスさせるにはどうすればいい？

Lambda関数をVPC内のプライベートサブネットに起動する。適切なセキュリティグループを使用して、データベースのIPアドレスを指定してアクセスを設定する。 AWS Lambda関数はVPCを指定せずに利用できるサービスですが、特定のVPC内にも構成することができます。今回はそのVPCからDirect Connect接続経由でデータセンター内のデータベースにアクセスすることが必要です。AWS Lambda関数を起動する際に、コンソール画面でVPCとサブネットを指定して起動します。それによって、このLambda関数はデータセンター内のデータベースのIPアドレスを指定してDirect Connect接続経由でアクセスできるようになります。その際は、適切なセキュリティグループを使用して、データベースへのアクセスを許可する設定が必要です。
Oracle RAC（Oracle Real Application Clusters）とは

Oracle RAC（Oracle Real Application Clusters）は複数のコンピュータを束ねて一体のシステムを構成するOracleのクラスタリング機能です。これにより複数のサーバーで一つのデータベースを構成して、「負荷分散」「拡張性向上」「耐久性向上」を実施させることができます。これはAmazon RDS for Oracleでは実現できないため、EC2インスタンスにOracleをインストールして構成することが必要です。
Amazon ECSを利用してデータ前処理とデータ変換処理を分割して、マイクロサービス化する方法は？

ECSのタスクをマイクロサービスに分割して、1つのタスクをデータ前処理を実施するコンシューマーとして設定する。SQSを利用してプロデューサーがデータ前処理結果をキューに通知して、コンシューマーがキューからメッセージを受信してデータ変換処理を実施する。
S3バケット内のデータを処理～Redshiftに渡して処理するまでの間をGlueで処理するとどうなる？

Glueクローラー（:巡回）でS3バケット内のデータを処理→Glueデータカタログに保存。これによってデータ分析前のETL処理を行うことができます。そのあと、Redshiftクラスターにおいて処理が可能になります。
Amazon Aurora Global Databaseとは？

書き込み処理も含めて、Aurora DB全体を複数リージョンに展開するための仕組みであり、複数のリージョンからの低レイテンシーなデータ読み込みを実現することができます。
グローバルDBを展開できるのは？

Amazon Aurora Amazon Aurora Global Databaseが使えます。RDSではグローバルDBを展開できません。
CloudFrontは配信先が想定よりも多いことで、利用料金が想定より高額になっています。配信に利用するファイル容量が多いことも料金を上げているようです。 CloudFrontのコスト削減効果のある方法はどれでしょうか？

エッジロケーションによるファイル圧縮処理を実施するオリジンからファイルを取得するときに、CloudFront は各エッジロケーションでファイルを圧縮します。S3による配信コンテンツの圧縮処理という機能はありません。
QuickSight はAWS サービスと連携してBIツールとして分析を実施できます。Redshift、S3、Athena、Aurora、DynamoDB、RDS、IAM、CloudTrail、Cloud Directoryのうちで直接利用できないサービスはどれでしょう。

DynamoDB
EFSのファイルデータが増加したことで、コストを削減するようにマネージャーから依頼されました。どのようにしてコストを削減することができるでしょうか？

EFSライフサイクル管理を有効にする。 Amazon EFS は標準ストレージクラスと低頻度アクセスストレージクラス (EFS IA) という２つのストレージクラスを利用しています。EFS IA は、毎日アクセスしないファイルに対して最適化されたコスト効率の料金/パフォーマンスを提供します。ファイルシステムは EFS ライフサイクル管理を有効にするだけで、選択したライフサイクルポリシーに従ってアクセスしないファイルは、自動的かつ透過的に EFS IA に移されます。EFS IA ストレージクラスの費用は、たったの 0.025 USD/GB-月* です。
Amazon EFSでもっともレイテンシが低いモードは？

汎用モード
Accelerated サイト間VPNとは

Global Accelerator を利用したサイト間VPN です。VPNの通信は AWS グローバルネットワークを経由して接続されるため、高可用性・高パフォーマンスが維持されます。
マルチスレッドで複数の処理コアを使用できるデータベース

ElastiCache Memcached
オンデマンドインスタンスとスポットインスタンスで構成されるインスタンスグループを動的に運営したい。何を使うべき？

EC2フリートを設定するフリートは、オンデマンドインスタンス、リザーブドインスタンス、スポットインスタンスの購入オプションを一緒に使用して、複数のアベイラビリティーゾーンにまたがって複数のインスタンスタイプを起動できます。
S3のパブリックアクセス設定機能とは

S3 のパブリックアクセス設定機能は、バケットレベルまたはアカウントレベルで、すべてのオブジェクトへのパブリックアクセスをブロックできます。この機能でブロックを有効化することでS3バケット全体に対してパブリックアクセスを拒否することができます。
。AI機能にはGPUを利用することが最適です。GPUを選択するには？？？？？インスタンスを利用します。

高速コンピューティング高速コンピューティングインスタンスはハードウェアアクセラレーターを使用して、浮動小数点計算、グラフィックス処理、データパターン照合などの機能を、CPU で実行中のソフトウェアよりも効率的に実行します。ゲーミング処理やグラフィック処理、機械学習の処理にはこのインスタンスが最適です。
１つのEBSボリュームを複数のEC2インスタンスにアタッチすることが可能なボリュームタイプはどれでしょうか？

プロビジョンドIOPS 基本的にEBSは複数のEC2インスタンスにアタッチすることができないストレージタイプです。しかしながら、2020年2月より Multi-Attach 機能が追加されました。Amazon EBS プロビジョンド IOPS io1またはio2 ボリュームを利用している場合のみMulti-Attach を有効化して、単一のボリュームを同じアベイラビリティーゾーン内の最大 16 個の AWS Nitro システムベースの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに同時にアタッチできます。 Multi-Attach を使用すると、複数のライターからのストレージの一貫性を管理するアプリケーションの可用性を簡単に高めることができます。アタッチされた各インスタンスには、共有ボリュームに対する完全な読み込み／書き込み権限があります。マルチアタッチを使用するアプリケーションは、ストレージの一貫性のために IO フェンスを提供する必要があります。
S3のCross-Origin Resource Sharing (CORS) とは？

CORS を有効化すると、既にドメインが設定されているS3バケットを他のドメインに共有することが可能となります。
SQSのメッセージの数をなんとよぶ？

SQSのキューサイズ
Amazon ECSのEC2起動タイプを利用してEC2インスタンスを起動し、データレイヤーにDynamoDBを利用しています。そのため、ECSタスクからDynamoDBへの読み取り処理が必要です。この構成を実現するための設定方法は？

DynamoDBへの読み取り権限を付与したIAMロールをECSタスクに付与する。 ECSタスクのためのIAMロールを作成した上で、EC2コンテナではなくECSタスクに直接IAMロールを紐付けることで、安全なアクセス権限付与が可能となります。
あなたはS3バケットに自身のファイルをアップロードして、別アカウントユーザーにアクセス用のURLを通知しました。しかしながら、そのユーザーがアップロードしたオブジェクトにアクセスしようとすると、403 Access Denied エラーが表示されます。ただし、このユーザーをS3バケット自体に自由にアクセスできるようにはしたくありません。このエラーを解消して、オブジェクトへの共有アクセス権限を付与するにはどうしたら良いでしょうか？

ACLを設定する Amazon S3 アクセスコントロールリスト (ACL) では、バケットとオブジェクトへのアクセスを管理できます。ACLにより、アクセスが許可される AWS アカウントまたはグループとアクセスの種類が定義されます。リソースに対するリクエストを受信すると、Amazon S3 は該当する ACL を調べて、必要なアクセス許可がリクエスタにあることを確認します。バケットポリシーは、バケットに対してユーザーアクセス権限を設定するバケットに関するポリシーです。このユーザーをS3バケット自体に自由にアクセスできるようにはしたくないたため、オブジェクト単位でのアクセス権限のコントロールにはACLを利用します。今回はオブジェクトへのアクセス権限の設定であるためACLが正解となります。
RDS MySQLデータベースから毎週同じクエリ処理を行いデータを集計して、レポートを生成するタスクを自動化しようと考えています。そこで、あなたはLambda関数をRDSに連携してデータ集約アプリケーションを構築することにしました。この要件を満たすLambda関数の実装方法を選択してください。

RDSプロキシを利用する RDS プロキシはアプリケーションとRDSデータベースの間の仲介役として機能します。RDS プロキシは必要となるデータベースへのコネクションプールを確立および管理し、アプリケーションからのデータベース接続を少なく抑える機能です。Lambda関数はRDSエンドポイントではなくRDSプロキシを利用して接続することが求められます。RDSプロキシはLambda関数の同時実行によって作成された大量の同時接続をスケーリングするために必要なコネクションをプーリングします。これにより、Lambdaアプリケーションは、Lambda関数呼び出しごとに新しいコネクションを作成するのではなく、既存のコネクションを再利用できます。 RDSプロキシを利用せず、エンドポイントを利用するとLambda関数によってコネクションが多数発生して処理が上手くいかなくなってしまいます。
データベースのシャーディングとは？

データベース内の複数のテーブルにデータを分割するための一般的な概念です。リクエスト増加などで単一のマスターDBの運用で限界がある場合に、一定のルールに従いデータを複数のDBに振り分けることでアクセスを分散させることができます。
AWS Outpostsとは

ほぼすべてのデータセンター、コロケーションスペース、オンプレミスの施設に同じAWS のインフラストラクチャおよびサービス、API、ツールを提供し、真に一貫性のあるハイブリッドエクスペリエンスを実現するフルマネージドサービスです。 Amazon RDS on AWS Outpostsでは、クラウドと同様に、オンプレミスでMySQLやPostgreSQLリレーショナルデータベースをセットアップ、運用、スケーリングすることができます。
？？？？？はクライアントからの要求をフィルターし、製品の更新に関連する要求のみを許可して、特定のソフトウェア更新以外のすべての要求をフィルタリングできます。

プロキシサーバー