すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

効果的な準備のためのAWS ANS-C01試験問題集|AWS Certified Advanced Networking - Specialt

AWS Certified Advanced Networking - Specialty (ANS-C01)試験を征服しようと思っていますか。SPOTOの総合的な試験問題集を利用すれば、AWS Certified Advanced Networking - Specialty (ANS-C01)試験に合格することができます。弊社の包括的な学習教材は試験範囲を完全にカバーし、最も困難な試験問題にも対応することができます。実際の試験環境をシミュレートした模擬試験で、長所と短所を確認し、優位に立ちましょう。SPOTOの試験リソースがあれば、初回受験で合格するための準備は万端です。実績のある弊社の学習資料を活用して、AWSネットワーキングのエキスパートを目指しましょう。
他のオンライン試験を受ける
質問 #1
ある企業は、既存のVPCとオンプレミスネットワークの間にAWS Site-to-Site VPN接続を持っています。デフォルトのDHCPオプションセットは、VPCに関連付けられています。この企業には、VPC内のAmazon Linux 2 Amazon EC2インスタンスで実行されているアプリケーションがあります。このアプリケーションは、プライベートVPCエンドポイントを介してAWS Secrets Managerに格納されているAmazon RDSデータベースシークレットを取得する必要があります。オンプレミスのアプリケーションは、URL (https://api.example.internal) でアクセスできる内部 RESTful API サービスを提供している。Tw
A. 更新が必要なすべてのIPアドレス範囲とセキュリティグループを管理するために、Amazon DynamoDBテーブルを作成します。会社が新しいパートナーを追加したときに、新しいIPアドレス範囲でDynamoDBテーブルを更新する。AWS Lambda関数を呼び出して、DynamoDBテーブルから新しいIPアドレス範囲とセキュリティグループを読み取り、セキュリティグループを更新する。このソリューションをすべてのアカウントにデプロイする。
B. 新しいプレフィックスリストを作成する。すべての許可されたIPアドレス範囲をプレフィックスリストに追加する。Amazon EventBridge(Amazon CloudWatch Events)ルールを使用してAWS Lambda関数を呼び出し、新しいIPアドレス範囲がプレフィックスリストに追加されるたびにセキュリティグループを更新する。このソリューションをすべてのアカウントにデプロイする。
C. 新しいプレフィックスリストを作成する。プレフィックスリストにすべての許可された IP アドレス範囲を追加します。AWS Resource Access Manager(AWS RAM)を使用して、異なるアカウント間でプレフィックスリストを共有する。セキュリティグループを更新して、パートナー IP アドレス範囲の代わりにプレフィックスリストを使用する。企業が新しいパートナーを追加したときに、新しい IP アドレス範囲でプレフィックスリストを更新する。
D. 更新が必要なすべてのIPアドレス範囲とセキュリティグループを管理するために、Amazon S3バケットを作成します。会社が新しいパートナーを追加したときに、新しいIPアドレス範囲でS3バケットを更新する。AWS Lambda関数を呼び出して、S3バケットから新しいIPアドレス範囲とセキュリティグループを読み取り、セキュリティグループを更新する。このソリューションをすべてのアカウントにデプロイする。
回答を見る
正解: B
質問 #2
ある企業がハイブリッドクラウド環境を構築している。この企業のデータセンターは、AWS Direct Connect接続によってAWSクラウドに接続されている。AWS環境には、トランジットゲートウェイによってハブアンドスポークモデルで接続されたVPCが含まれる。AWS環境には、オンプレミス接続用のDirect Connectゲートウェイを備えたトランジットVIFがある。同社はハイブリッドDNSモデルを採用している。同社はハイブリッドDNSモデルを採用しており、ハブVPCにAmazon Route 53 Resolverエンドポイントを設定し、双方向のDNSトラフィックフローを可能にしている。同社は
A. カスタムパターンでAmazon EventBridge(Amazon CloudWatch Events)ルールを作成し、アカウントの変更を監視する。ルールを構成して、AWS Lambda関数を呼び出して、コンプライアンス違反のリソースを特定します。特定された変更でAmazon DynamoDBテーブルを更新する。
B. Amazon CloudWatchのログからカスタムメトリクスを作成する。メトリクスを使用してAWS Lambda関数を呼び出し、コンプライアンス違反のリソースを特定する。特定された変更でAmazon DynamoDBテーブルを更新する。
C. AWS Configを使用して、ネットワークリソースの現在の状態を記録する。必要な構成設定を反映したルールを作成する。非準拠リソースに対する修復を設定する。
D. AWS Systems Manager Inventoryを使用して、ネットワークリソースの現在の状態を記録する。Systems Manager State Manager を使用して、必要な構成設定を実施し、コンプライアンスに準拠していないリソースの修復を実行する。
回答を見る
正解: ADF
質問 #3
ある企業が、アプリケーション・ロード・バランサー(ALB)の背後にあるAmazon EC2インスタンスでアプリケーションをホストしている。この会社は最近、ネットワークのセキュリティ侵害を経験した。ネットワークエンジニアは、アプリケーションにアクセスする各ユーザーのクライアントIPアドレス、ターゲットIPアドレス、ターゲットポート、ユーザーエージェントを含むログを収集し、分析する必要があります。
A. Amazon S3バケットにログを保存するようにALBを構成する。Amazon S3からファイルをダウンロードし、表計算アプリケーションを使用してログを分析します。
B. ログをAmazon Kinesis Data StreamsにプッシュするようにALBを構成する。Amazon Kinesis Data Analyticsを使用してログを分析する。
C. Amazon Kinesis Data Streamsを設定して、ALBからAmazon OpenSearch Service(Amazon Elasticsearch Service)にデータをストリーミングする。Amazon OpenSearch Service(Amazon Elasticsearch Service)の検索オペレーションを使ってデータを分析する。
D. Amazon S3バケットにログを保存するようにALBを構成する。Amazon Athenaを使用して、Amazon S3内のログを分析する。
回答を見る
正解: D
質問 #4
ある企業が AWS Network Firewall ファイアウォールを VPC にデプロイしました。ネットワークエンジニアは、Network Firewallのフローログを会社のAmazon OpenSearch Service(Amazon Elasticsearch Service)クラスタに最短時間で配信するソリューションを実装する必要があります。
A. Amazon S3バケットを作成する。Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスタにログをロードするための AWS Lambda 関数を作成します。Lambda関数を呼び出すために、S3バケットでAmazon Simple Notification Service (Amazon SNS)通知を有効にする。ファイアウォールのフローログを設定する。S3バケットをデスティネーションに設定します。
B. Amazon OpenSearch Service(Amazon Elasticsearch Service)クラスタを配信先とするAmazon Kinesis Data Firehose配信ストリームを作成する。ファイアウォールのフローログを設定する Kinesis Data Firehose配信ストリームをNetwork Firewallフローログの宛先として設定します。
C. ファイアウォールのフローログを設定する。Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターを Network Firewall のフローログの宛先として設定します。
D. Amazon OpenSearch Service(Amazon Elasticsearch Service)クラスタをデスティネーションとして含むAmazon Kinesisデータストリームを作成する。ファイアウォールのフローログを設定する。KinesisデータストリームをNetwork Firewallフローログの宛先として設定する。
回答を見る
正解: B
質問 #5
ある企業がAWSクラウドに新しいアプリケーションをデプロイしようとしている。に基づいて複数のターゲットグループにリクエストをルーティングする。すべてのトラフィックはhttpsを使わなければならない。
A. HTTPSリスナーを持つアプリケーションロードバランサーを導入する。パスベースのルーティングルールを使って、トラフィックを正しいターゲットグループに転送する。ターゲットへのトラフィックにX-Forwarded-Forリクエストヘッダを含める。
B. 各ドメインにHTTPSリスナーを持つアプリケーションロードバランサーを導入する。ホストベースのルーティングルールを使って、各ドメインの正しいターゲットグループにトラフィックを転送する。ターゲットへのトラフィックにX-Forwarded-Forリクエストヘッダを含める。
C. TLSリスナー付きのネットワークロードバランサーを導入する。パスベースルーティングルールを使って、トラフィックを正しいターゲットグループに転送する。ターゲットへのトラフィック用にクライアントIPアドレスの保存を設定する。
D. 各ドメインにTLSリスナーを持つネットワークロードバランサーを配置する。ホストベースのルーティングルールを使用して、各ドメインの正しいターゲットグループにトラフィックを転送する。ターゲットへのトラフィック用にクライアントIPアドレスの保存を設定する。
回答を見る
正解: A
質問 #6
開発チームは、AWSクラウドで新しいWebアプリケーションを構築しています。開発者は、会社のステージングAWSアカウントで、example.comドメインの下のパブリックに解決可能なサブドメインを使用し、必要に応じてDNSレコードを作成および削除する機能を使用して、Webアプリケーションをテストしたいと考えています。開発者は、ステージングアカウント内のRoute 53ホストゾーンにフルアクセスできます。
A. パブリックサブネットにEC2インスタンスをデプロイする。VPCにS3インターフェースエンドポイントを作成する。S3エンドポイント固有のDNSホスト名を使用するように、アプリケーション構成を変更する。
B. プライベートサブネットにEC2インスタンスをデプロイする。VPCにNATゲートウェイを作成する。プライベートサブネットにNATゲートウェイへのデフォルトルートを作成する。NATゲートウェイを使用してAmazon S3に接続する。
C. プライベートサブネットにEC2インスタンスをデプロイする。VPSにS3ゲートウェイのエンドポイントを作成する。Amazon S3へのルートを作成するために、エンドポイント作成時にプライベートサブネットのダイルートテーブルを指定する。
D. プライベートサブネットにEC2インスタンスをデプロイする。VPCにS3インターフェースエンドポイントを作成する。S3エンドポイント固有のDNSホスト名を使用するように、アプリケーション構成を変更する。
回答を見る
正解: BE
質問 #7
ある企業が、既存のアプリケーションを新しいAWSアカウントに移行しようとしている。同社は、1つのVPCと複数の可用性ゾーンを使用して、1つのAWSリージョンにアプリケーションをデプロイする。アプリケーションは、Amazon EC2インスタンスで実行される。各可用性ゾーンには、複数のEC2インスタンスがある。EC2インスタンスはプライベートサブネットに配置される。同社のクライアントは、HTTPSプロトコルのWebブラウザを使用してアプリケーションに接続する。インバウンド接続は、アベイラビリティゾーンに分散させる必要がある。
A. ネットワークロードバランサーを作成する。ターゲットグループを作成する。ターゲットグループのプロトコルをTCPに、ポートを443に設定する。セッションアフィニティ(スティッキーセッション)をオンにする。EC2インスタンスをターゲットとして登録する。リスナーを作成する。リスナーのプロトコルをTCP、ポートを443に設定する。EC2インスタンスにSSL証明書をデプロイする。
B. アプリケーションロードバランサーを作成する。ターゲットグループを作成する。ターゲットグループのプロトコルをHTTPに、ポートを80に設定する。アプリケーションベースのCookieポリシーでセッションアフィニティ(スティッキーセッション)をオンにする。EC2インスタンスをターゲットとして登録する。HTTPSリスナーを作成する。デフォルトのアクションをターゲットグループに転送するように設定する。AWS Certificate Manager(ACM)を使用して、リスナー用の証明書を作成する。
C. ネットワークロードバランサーを作成する。ターゲットグループを作成する。ターゲットグループのプロトコルをTLSに、ポートを443に設定する。セッションアフィニティ(スティッキーセッション)をオンにする。EC2インスタンスをターゲットとして登録する。リスナーを作成する。リスナーのプロトコルをTLS、ポートを443に設定する。AWS Certificate Manager(ACM)を使用して、アプリケーション用の証明書を作成する。
D. アプリケーションロードバランサーを作成する。ターゲットグループを作成する。ターゲットグループのプロトコルをHTTPSに、ポートを443に設定する。アプリケーションベースのCookieポリシーでセッションアフィニティ(スティッキーセッション)をオンにする。EC2インスタンスをターゲットとして登録する。HTTPリスナーを作成する。リスナーのポートを443に設定する。デフォルトのアクションをターゲットグループに転送するように設定する。
回答を見る
正解: B
質問 #8
あるグローバルな配送会社が、車両管理システムの近代化を進めている。同社には複数の事業部門がある。各ビジネスユニットは、同じAWSリージョン内の別々のアプリケーションVPCで、独自のAWSアカウントでホストされるアプリケーションを設計し、維持している。各事業部のアプリケーションは、中央の共有サービスVPCからデータを取得するように設計されている。同社は、ネットワーク接続アーキテクチャがきめ細かいセキュリティ制御を提供することを望んでいる。同社は、ネットワーク接続アーキテクチャがきめ細かいセキュリティ制御を提供することを望んでいる。
A. 中央トランジットゲートウェイを作成します。各アプリケーションVPCにVPCアタッチメントを作成します。トランジットゲートウェイを使用して、すべてのVPC間でフルメッシュ接続を提供します。
B. 中央の共有サービスVPCと各ビジネスユニットのAWSアカウント内の各アプリケーションVPCとの間にVPCピアリング接続を作成する。
C. 中央の共有サービスVPCに、AWS PrivateLinkを利用したVPCエンドポイントサービスを作成する 各アプリケーションVPにVPCエンドポイントを作成する
D. AWS MarketplaceからVPNアプライアンスを使用して中央トランジットVPCを作成します。各VPCからトランジットVPCへのVPNアタッチメントを作成します。すべてのVPC間でフルメッシュ接続を提供する。
回答を見る
正解: C
質問 #9
ある企業のネットワークエンジニアが、2つのオンプレミスデータセンターからAWSへのアクティブパッシブ接続を設計している。同社は、オンプレミスのデータセンターとAWSの間にAWS Direct Connect接続を設定している。ネットワークエンジニアは、AWSからデータセンターへのトラフィックが最初にプライマリデータセンターにルーティングされるようにする必要があります。ネットワークエンジニアは、AWSからデータセンターへのトラフィックが最初にプライマリデータセンターにルーティングされるようにしなければなりません。
A. プライマリデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:7100に設定します。フェイルオーバーデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:7300に設定します。
B. プライマリデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:7300に設定します。フェイルオーバーデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:7100に設定します。
C. プライマリデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:9300に設定します。フェイルオーバーデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:9100に設定します。
D. プライマリデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:9100に設定します。フェイルオーバーデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:9300に設定します。
回答を見る
正解: B
質問 #10
ある企業が複数のAWSリージョンのVPCにまたがってリソースを管理している。同社は、内部ドメイン名を使用してリソースに接続する必要があります。ネットワークエンジニアは、すべてのリソースにaws.example.com DNS接尾辞を適用する必要があります。この要件を満たすために、ネットワークエンジニアは何をしなければなりませんか?
A. リソースを持つ各リージョンに、aws
B. aws
C. example
D. aws
回答を見る
正解: D
質問 #11
ある企業が、自動販売機の在庫レベルを追跡し、自動的に補充プロセスを開始するアプリケーションをAWS上で開発した。同社はこのアプリケーションを自動販売機と統合し、世界中のいくつかの市場に自動販売機を配備する予定である。このアプリケーションはus-east-1リージョンのVPCに常駐している。アプリケーションは、アプリケーション・ロード・バランサー(ALB)の背後にあるAmazon Elastic Container Service(Amazon ECS)クラスタで構成されている。自動販売機からの通信
A. ALBをVPCのプライベートサブネットに設定します。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加せずに、インターネットゲートウェイをアタッチします。ALBのエンドポイントを含むエンドポイントグループでアクセラレータを構成します。ALBのリスナーポートでインターネットからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
B. ALBをVPCのプライベートサブネットに構成する。ALBエンドポイントを含むエンドポイントグループでアクセラレータを構成する。ALBのリスナーポートでインターネットからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを構成します。
C. VPAのパブリックサブネットにALBを設定するインターネットゲートウェイを接続する。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加します。ALBエンドポイントを含むエンドポイントグループでアクセラレーターを構成します。ALBのリスナーポートでアクセラレータのIPアドレスからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
D. ALBをVPCのプライベートサブネットに設定する。インターネットゲートウェイをアタッチする。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加します。ALBエンドポイントを含むエンドポイントグループでアクセラレーターを構成します。ALBのリスナーポートでアクセラレータのIPアドレスからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
回答を見る
正解: A
質問 #12
ある企業が、アプリケーション・ロード・バランサー(ALB)の背後にあるAmazon EC2インスタンスでアプリケーションをホストしている。この会社は最近、ネットワークのセキュリティ侵害を経験した。ネットワークエンジニアは、アプリケーションにアクセスする各ユーザーのクライアントIPアドレス、ターゲットIPアドレス、ターゲットポート、ユーザーエージェントを含むログを収集し、分析する必要があります。
A. Amazon S3バケットにログを保存するようにALBを構成する。Amazon S3からファイルをダウンロードし、表計算アプリケーションを使用してログを分析します。
B. ログをAmazon Kinesis Data StreamsにプッシュするようにALBを構成する。Amazon Kinesis Data Analyticsを使用してログを分析する。
C. Amazon Kinesis Data Streamsを設定して、ALBからAmazon OpenSearch Service(Amazon Elasticsearch Service)にデータをストリーミングする。Amazon OpenSearch Service(Amazon Elasticsearch Service)の検索オペレーションを使ってデータを分析する。
D. Amazon S3バケットにログを保存するようにALBを構成する。Amazon Athenaを使用して、Amazon S3内のログを分析する。
回答を見る
正解: D
質問 #13
ある企業がAWS環境の可視性を向上させたいと考えている。AWS環境は、トランジットゲートウェイに接続された複数のVPCで構成されている。トランジットゲートウェイは、AWS Direct Connectゲートウェイと、トランジットVIFを使用する冗長Direct Connect接続のペアを介して、オンプレミスのデータセンターに接続しています。新しいルートがオンプレミスからDirect Connect経由でAWSにアドバタイズされるたびに、会社は通知を受け取る必要があります。これらの要件を満たすために、ネットワークエンジニアは何をすべきでしょうか。
A. Direct ConnectでAmazon CloudWatchメトリクスを有効にして、受信したルートを追跡する。CloudWatchアラームを構成して、ルートが変更されたときに通知を送信する。
B. Amazon CloudWatch Logs InsightsにTransit Gateway Network Managerを搭載する。Amazon EventBridge (Amazon CloudWatch Events)を使って、ルート変更時に通知を送る。
C. AWS Lambda関数を構成して、Direct Connectゲートウェイのルートを定期的にチェックし、ルートが変更されたときに通知を送信します。
D. トランジットVIFでAmazon CloudWatch Logsを有効にして、受信したルートを追跡する。メトリックフィルターを作成する フィルターにアラームを設定し、ルートが変更されたときに通知を送信する。
回答を見る
正解: B
質問 #14
ある会社には2つのAWSアカウントがあり、1つはProduction用、もう1つはConnectivity用である。ネットワークエンジニアは、ProductionアカウントのVPCをConnectivityアカウントのトランジットゲートウェイに接続する必要があります。共有添付ファイルを自動的に受け入れる機能は、トランジットゲートウェイで有効になっていません。ネットワークエンジニアは、これらの要件を満たすために、それぞれのAWSアカウントでどの一連の手順に従うべきですか?
A. Amazon GuardDutyを使用して、DNSリクエストとVPCフローログを検査し、トラフィックパターンを分析します。
B. Amazon GuardDutyを使用して、最新のマルウェアシグネチャを搭載したAWSマネージドデコイシステムを展開する。
C. ゲートウェイ・ロードバランサーをセットアップする。トラフィックを検査するために、AWS Marketplaceから侵入検知システム(IDS)アプライアンスをAmazon EC2上で実行する。
D. Amazon Inspectorを設定して、送信トラフィックのディープパケットインスペクションを実行します。
回答を見る
正解: D
質問 #15
ある企業が、多くのソフトウェア定義WAN(SD-WAN)サイトの導入を計画している。同社は AWS Transit Gateway を使用しており、必要な AWS リージョンにトランジットゲートウェイをデプロイしている。ネットワークエンジニアは、トランジットゲートウェイに接続されている VPC に SD-WAN ハブ仮想アプライアンスをデプロイする必要があります。ソリューションは、SD-WANハブ仮想アプライアンスからトランジットゲートウェイに接続されている他のVPCへの少なくとも5 Gbpsのスループットをサポートする必要があります。
A. SD-WANハブ仮想アプライアンス用に新しいVPCを作成します。SD-WANハブ仮想アプライアンスとトランジットゲートウェイの間に2つのIPsec VPN接続を作成します。IPsec VPN接続上でBGPを設定します。
B. トランジットゲートウェイに新しいCIDRブロックを割り当てます。SD-WANハブ仮想アプライアンス用に新しいVPCを作成します。新しいVPCをVPCアタッチメントでトランジットゲートウェイにアタッチします。トランジットゲートウェイのConnectアタッチメントを追加します。Connectピアを作成し、GREとBGPパラメータを指定します。SD-WANハブ仮想アプライアンスの適切なVPCにトランジットゲートウェイへのルートを作成します。
C. SD-WANハブ仮想アプライアンス用に新しいVPCを作成します。新しいVPCをVPCアタッチメントでトランジットゲートウェイにアタッチします。SD-WANハブ仮想アプライアンスとトランジットゲートウェイの間に2つのIPsec VPN接続を作成します。IPsec VPN接続上でBGPを設定します。
D. トランジットゲートウェイに新しいCIDRブロックを割り当てます。SD-WANハブ仮想アプライアンス用に新しいVPCを作成します。新しいVPCをVPCアタッチメントでトランジットゲートウェイにアタッチします。トランジットゲートウェイのConnectアタッチメントを追加します。Connectピアを作成し、VXLANとBGPパラメータを指定します。SD-WANハブ仮想アプライアンスの適切なVPCにトランジットゲートウェイへのルートを作成します。
回答を見る
正解: B
質問 #16
ある企業はグローバルネットワークを持っており、トランジットゲートウェイを使用してAWSリージョン間を接続している。この企業は、異なるリージョンにある2つのAmazon EC2インスタンスが互いに通信できないことを発見しました。ネットワークエンジニアは、この接続性の問題をトラブルシューティングする必要があります。
A. AWS Network Manager Route Analyzer を使用して、トランジットゲートウェイのルートテーブルと VPC のルートテーブルのルートを分析します。VPC フローログを使用して、VPC 内でセキュリティグループルールおよびネットワーク ACL ルールが受け入れまたは拒否する IP トラフィックを分析します。
B. AWS Network Manager Route Analyzer を使用して、トランジットゲートウェイのルートテーブルのルートを分析します。VPC のルートテーブルが正しいことを確認します。AWS Firewall Manager を使用して、セキュリティグループルールおよびネットワーク ACL ルールが VPC 内で受け入れまたは拒否する IP トラフィックを分析します。
C. AWS Network Manager Route Analyzer を使用して、トランジットゲートウェイのルートテーブ ルのルートを分析します。VPC のルートテーブルが正しいことを確認します。VPCフローログを使用して、セキュリティグループルールおよびネットワークACLルールがVPで受け入れまたは拒否するIPトラフィックを分析します。
D. VPC Reachability Analyzer を使用して、トランジットゲートウェイのルートテーブル内のルートを分析します。VPCルートテーブルが正しいことを確認します。VPCフロー・ログを使用して、VPC内のセキュリティ・グループ・ルールおよびネットワークACLルールが受諾または拒否するIPトラフィックを分析します。
回答を見る
正解: C
質問 #17
ある企業がAWS上に新しいアプリケーションをデプロイしている。このアプリケーションは動的マルチキャストを使用する。この会社には、トランジットゲートウェイに接続された5つのVPCがあります。各VPCのAmazon EC2インスタンスは、マルチキャスト伝送を受信するために動的に登録できる必要があります。これらの要件を満たすために、ネットワークエンジニアはどのようにAWSリソースを構成する必要がありますか?
A. トランジットゲートウェイ内に静的ソースマルチキャストドメインを作成します。VPCと該当するサブネットをマルチキャストドメインに関連付けます。マルチキャスト送信者のネットワークインタフェースをマルチキャストドメインに登録します。ネットワークACLを調整して、送信元からすべての受信元へのUDPトラフィックを許可し、マルチキャストグループアドレスに送信されるUDPトラフィックを許可する。
B. トランジットゲートウェイ内に静的ソースマルチキャストドメインを作成します。VPCと該当するサブネットをマルチキャストドメインに関連付けます。マルチキャスト送信者のネットワークインタフェースをマルチキャストドメインに登録します。ネットワークACLを調整して、送信元からすべての受信元へのTCPトラフィックを許可し、マルチキャストグループアドレスに送信されるTCPトラフィックを許可する。
C. トランジットゲートウェイ内にインターネットグループ管理プロトコル(IGMP)マルチキャストドメインを作成します。VPCと該当するサブネットをマルチキャストドメインに関連付けます。マルチキャスト送信者のネットワークインタフェースをマルチキャストドメインに登録します。ネットワークACLを調整して、送信元からすべての受信元へのUDPトラフィックを許可し、マルチキャストグループアドレスに送信されるUDPトラフィックを許可する。
D. トランジットゲートウェイ内にインターネットグループ管理プロトコル(IGMP)マルチキャストドメインを作成します。VPCと該当するサブネットをマルチキャストドメインに関連付けます。マルチキャスト送信者のネットワークインターフェイスをマルチキャストドメインに登録します。ネットワークACLを調整して、送信元からすべての受信元へのTCPトラフィックを許可し、マルチキャストグループアドレスに送信されるTCPトラフィックを許可する。
回答を見る
正解: C
質問 #18
ある保険会社が、オンプレミスのデータセンターからAWSクラウドへのワークロードの移行を計画している。同社はエンドツーエンドのドメイン名解決を必要としている。AWSと既存のオンプレミス環境の間で双方向のDNS解決を確立する必要がある。ワークロードは複数のVPCに移行される。ワークロードは互いに依存関係があり、すべてのワークロードが同時に移行されるわけではありません。
A. 各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。イグレスVPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスのドメインのリクエストをオンプレミスのDNSリゾルバに転送するRoute 53 Resolverルールを定義します。アプリケーション VPC のプライベートホストゾーンを egress VPC に関連付け、Route 53 Resolver のルールを AWS Resource Access Manager を使用してアプリケーションアカウントと共有します。クラウドドメインを Route 53 インバウンドエンドポイントに転送するように、オンプレミスの DNS サーバを構成します。
B. 各アプリケーションVPCにパブリックホストゾーンを構成し、必要なレコードを作成します。イグレスVPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミスDNSリゾルバに転送するRoute 53 Resolverルールを定義します。アプリケーション VPC のプライベートホストゾーンを egress VPC に関連付け、AWS Resource Access Manager を使用して Route 53 Resolver のルールをアプリケーションアカウントと共有します。クラウドドメインを Route 53 インバウンドエンドポイントに転送するように、オンプレミスの DNS サーバを構成します。
C. 各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。イグレスVPにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成し、オンプレミスドメインのリクエストをオンプレミスのDNSリゾルバに転送するRoute 53 Resolverルールを定義します。AWS Resource Access Managerを使用して、アプリケーションVPCのプライベートホストゾーンをegress VPに関連付け、Route 53 Resolverルールをアプリケーションアカウントと共有します。クラウドドメインをRoute 53アウトバウンドエンドポイントに転送するように、オンプレミスのDNSサーバを設定します。
D. 各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。イグレスVPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミスDNSリゾルバに転送するRoute 53 Resolverルールを定義します。Route 53のアウトバウンドルールをアプリケーションVPCに関連付け、AWS Resource Access Managerを使用してプライベートホストゾーンをアプリケーションアカウントと共有します。クラウドドメインをRoute 53インバウンドエンドポイントに転送するように、オンプレミスのDNSサーバを構成します。
回答を見る
正解: A
質問 #19
あるソフトウェア会社は、AWSクラウドでホストされているSaaS(Software-as-a-Service)会計アプリケーションを提供している。同社は、アプリケーションの需要の増加に対応するために、AWSとオンプレミスネットワークの間に2つの冗長化された10GBのAWS Direct Connect接続を持っています。AWSとオンプレミスネットワークのエッジルーター間のトラフィックを暗号化する必要があります。
A. 既存のDirect Connect接続に暗号化付きの新しいパブリックVIFを導入する。新しいパブリックVIFを介してトラフィックを再ルーティングします。
B. 仮想プライベートゲートウェイを作成する オンプレミスから仮想プライベートゲートウェイに新しいAWS Site-to-Site VPN接続を展開する ダイレクトコネクトプライベートVIFから新しいVPNにトラフィックを再ルーティングする。
C. MACsecを使用して、10 GBのダイレクトコネクト接続の新しいペアを展開します。エッジルーターにMACsecを設定します。トラフィックを新しいダイレクトコネクト接続に再ルーティングします。元のダイレクトコネクト接続を廃止する。
D. MACsecを使用した10 GBのDirect Connect接続の新しいペアを展開します。新しいパブリックVIFを新しいDirect Connect接続上にデプロイします。新しいパブリックVIFの上に、2つのAWS Site-to-Site VPN接続を展開する。既存のプライベートVIFから新しいSite-to-Site接続にトラフィックを再ルーティングする。元のDirect Connect接続を廃止する。
回答を見る
正解: C
質問 #20
ある企業がAWS上の単一VPCにウェブサイトを構築している。VPCには2つのAvailability Zoneにパブリックサブネットとプライベートサブネットがある。ウェブサイトには画像などの静的コンテンツがある。同社は、プライベートサブネットにWebサーバーとしてAmazon EC2インスタンスをデプロイしている。EC2インスタンスは、アプリケーションロードバランサーの背後にあるAuto Scalingグループにある。EC2インスタンスはトラフィックを提供し、ウェブページをレンダリングするためにS3バケットからコンテンツを引き出す必要がある。
A. Direct ConnectプライベートVIFを作成する。パブリックVIFからプライベートVIFにトラフィックを移行する。
B. 既存のパブリックVIF上にAWS Site-to-Site VPNトンネルを作成する。
C. Amazon S3用のインターフェイスVPCエンドポイントを実装します。VPCルートテーブルを更新します。
D. Amazon S3用のゲートウェイVPCエンドポイントを実装します。VPCルートテーブルを更新する。
回答を見る
正解: D
質問 #21
ある企業が、IoTデバイスが測定値をAWSクラウドに報告するアプリケーションを開発している。このアプリケーションには数百万人のエンドユーザーが参加する予定です。同社は、IoTデバイスがDNS解決をサポートできないことを確認している。同社は、IoTデバイスがDNSを使用せずにアプリケーションエンドポイントに接続できるように、Amazon EC2 Auto Scalingソリューションを実装する必要があります。
A. アプリケーションロードバランサー(ALB)タイプのターゲットグループをネットワークロードバランサー(NLB)に使用する。EC2のAuto Scalingグループを作成する。Auto ScalingグループをALBにアタッチする。IoTデバイスがNLBのIPアドレスに接続するように設定する。
B. アプリケーションロードバランサー(ALB)エンドポイントを持つAWS Global Acceleratorアクセラレーターを使用する。EC2のAuto Scalingグループを作成する。AutoScalingグループをALSにアタッチし、IoTデバイスがアクセラレーターのIPアドレスに接続するように設定する。
C. ネットワークロードバランサー(NLB)を使用する。EC2のAuto Scalingグループを作成する。Auto ScalingグループをNLBにアタッチする。IoTデバイスがNLBのIPアドレスに接続するように設定する。
D. ネットワークロードバランサー(NLB)エンドポイントを持つAWS Global Acceleratorアクセラレーターを使用する。EC2のAuto Scalingグループを作成する。Auto ScalingグループをNLBにアタッチする。IoTデバイスがアクセラレーターのIPアドレスに接続するように設定する。
回答を見る
正解: C
質問 #22
ある企業が、アプリケーションロードバランサーの背後にあるAmazon EC2インスタンスでアプリケーションをホストしている。インスタンスはAmazon EC2 Auto Scalingグループに入っている。ネットワークエンジニアは、このダウンタイムの再発を防ぐ必要があります。ネットワークエンジニアは、セキュリティグループに対するコンプライアンス違反の変更を修正するソリューションを実装する必要があります。
A. 希望するセキュリティグループ構成と現在のセキュリティグループ構成との間の不整合を検出するように Amazon GuardDuty を構成する。AWS Systems Manager Automationのランブックを作成して、コンプライアンス違反のセキュリティグループを修復する。
B. 希望するセキュリティグループ構成と現在のセキュリティグループ構成との間の不整合を検出するために、AWS Configルールを構成する。AWS OpsWorks for Chefを構成して、非準拠のセキュリティグループを修復する。
C. 希望するセキュリティグループ構成と現在のセキュリティグループ構成との間の不整合を検出するように Amazon GuardDuty を構成する。AWS OpsWorks for Chefを構成して、非準拠のセキュリティグループを修復する。
D. AWS Config ルールを構成して、目的のセキュリティグループ構成と現在のセキュリティグループ構成との間の不一致を検出する。AWS Systems Manager Automation runbook を作成して、コンプライアンス違反のセキュリティグループを修復する。
回答を見る
正解: B
質問 #23
ある企業がAmazon EC2インスタンスに新しいWebアプリケーションをデプロイした。アプリケーションは、アプリケーションロードバランサー(ALB)の背後にある3つのアベイラビリティゾーンのプライベートサブネットで実行される。セキュリティ監査人は、すべての接続の暗号化を要求している。同社はDNSにAmazon Route 53を使用し、AWS Certificate Manager(ACM)を使用してSSL/TLS証明書のプロビジョニングを自動化している。SSL/TLS接続はALB上でターミネートされる。同社は1つのEC2インスタンスでアプリケーションをテストし、問題は観察されなかった。しかし
A. ALBリスナーの設定を変更する。トラフィックをターゲットグループに転送するルールを編集する。ルールを変更して、グループレベルのスティッキネスを有効にします。期間をアプリケーションセッションの最大長に設定する。
B. ALBをネットワークロードバランサーに置き換える。TLSリスナーを作成する。プロトコルタイプをTLSに設定した新しいターゲットグループを作成する。 EC2インスタンスを登録する。スティッキネス属性を有効にして、ターゲットグループの構成を変更する。
C. スティッキネス属性を有効にして、ALBターゲットグループの設定を変更する。アプリケーション・ベースのクッキーを使用する。期間をアプリケーション・セッションの最大長に設定する。
D. ALBを削除する。アプリケーション名のフェイルオーバールーティングポリシーでAmazon Route 53ルールを作成する。各EC2インスタンスに証明書を発行するようにACMを構成する。
回答を見る
正解: C
質問 #24
あるグローバル企業では、us-east-1 リージョンの VPC 内でビジネスアプリケーションを実行している。ロンドンにあるこの会社の地域オフィスの 1 つは、仮想プライベートゲートウェイを使用して、VPC との間で AWS Site-to-Site VPN 接続を行っています。同社はトランジットゲートウェイを設定し、VPCと社内のさまざまな部署が使用する他のVPCとの間でピアリングを設定しています。ロンドンオフィスの従業員は、ビジネスアプリケーションに接続する際に待ち時間の問題を経験しています。
A. 新しいSite-to-Site VPN接続を作成する。トランジットゲートウェイをターゲットゲートウェイに設定する。新しいSite-to-Site VPN接続でアクセラレーションを有効にする。ロンドンオフィスのVPNデバイスを新しい接続の詳細で更新する。
B. トランジットゲートウェイをターゲットゲートウェイに設定して、既存のSite-to-Site VPN接続を変更する。既存のSite-to-Site VPN接続でアクセラレーションを有効にする。
C. eu-west-2(ロンドン)リージョンに新しいトランジットゲートウェイを作る。新しいトランジットゲートウェイを既存のトランジットゲートウェイとピアリングする。新しいトランジットゲートウェイをターゲットゲートウェイに設定して、既存のSite-to-Site VPN接続を変更する。
D. Site-to-Site VPN接続のエンドポイントを持つ新しいAWS Global Accelerator標準アクセラレータを作成します。ロンドンオフィスのVPNデバイスを新しい接続の詳細で更新する。
回答を見る
正解: A
質問 #25
あるメディア企業が、世界中の視聴者に向けたニュースウェブサイトを実装している。このウェブサイトは、コンテンツデリバリネットワークとしてAmazon CloudFrontを使用している。バックエンドは、アプリケーションロードバランサー(ALB)の背後にあるAmazon EC2 Windowsインスタンスで実行される。インスタンスはAuto Scalingグループの一部である。同社の顧客は、CloudFrontのカスタムドメイン名としてservice example comを使用してウェブサイトにアクセスする。CloudFrontのオリジンは、ドメイン名としてservice-alb.example.comを使用するALBを指す。
A. NLBで新しい可用性ゾーンを有効にします。
B. 2番目のアベイラビリティゾーンのインスタンス用に新しいNLBを作成します。
C. NLBでプロキシプロトコルを有効にする
D. 両方のアベイラビリティゾーンのインスタンスで新しいターゲットグループを作成します。
回答を見る
正解: BDE
質問 #26
あるデータ分析会社は、100ノードのハイパフォーマンスコンピューティング(HPC)クラスタを持っている。HPCクラスタは並列データ処理用で、AWSクラウドのVPCでホストされています。データ処理のワークフローの一環として、HPCクラスタは、Amazon RDSデータベース、Amazon S3バケット、およびAWS Direct Connectを通じてアクセス可能なオンプレミスのデータストアを解決して接続するために、いくつかのDNSクエリを実行する必要があります。HPCクラスタは、年末のピーク時には5倍から7倍に増加する可能性があります。
A. VPCにEC2インスタンスを2台追加して、DNSサービスをスケールアウトする。HPCクラスタノードの半分を、これらの新しいDNSサーバーを使用するように再構成する。今後、HPCクラスタの規模が拡大するにつれて、EC2インスタンスベースのDNSサーバーを追加してスケールアウトすることを計画する。
B. DNSサーバーとして使用している既存のEC2インスタンスをスケールアップする。インスタンスサイズを、現在のDNS負荷と将来予想される負荷に対応できる最大のインスタンスサイズに変更する。
C. Route 53 Resolverのアウトバウンドエンドポイントを作成する。オンプレミスでホストされているドメイン名のクエリをオンプレミスのDNSサーバーに転送するRoute 53 Resolverルールを作成する。EC2インスタンスベースのDNSサーバーではなく、デフォルトのVPCリゾルバを使用するようにHPCクラスタノードを再設定する。EC2インスタンスを終了する。
D. Route 53リゾルバのインバウンドエンドポイントを作成します。オンプレミスのDNSサーバーで、クエリをデフォルトのVPCリゾルバに転送するルールを作成します。すべてのDNSクエリをオンプレミスDNSサーバーに転送するようにHPCクラスタノードを再設定する。EC2インスタンスを終了する。
回答を見る
正解: C
質問 #27
ある会社がインターネット経由でアプリケーションを配信しています。Amazon Route 53のパブリックホスティングゾーンは、会社とそのインターネットアプリケーションの権威DNSサービスであり、すべて同じドメイン名から提供されている。あるネットワークエンジニアが、あるアプリケーションの新しいバージョンに取り組んでいます。アプリケーションのコンポーネントはすべてAWSクラウドでホストされています。アプリケーションは3層構造になっています。フロントエンドは、Elastic IPアドレスを持つパブリックサブネットにデプロイされたAmazon EC2インスタンスを通じて提供されます。
A. ECSサービスのロードバランサーのタイプとして、ゲートウェイロードバランサー(GLB)を選択する。スケーリングに対応するために、必要に応じてAmazon ECSからターゲットグループに新しいタスクを追加するライフサイクルフックを作成する。サービス定義でGLBを指定する。外部AWSアカウント用のVPCピアを作成します。AWSアカウントがGLBに到達できるようにルートテーブルを更新する。
B. ECSサービスのロードバランサーのタイプとして、アプリケーション・ロードバランサー(ALB)を選択する。パスベースのルーティングルールを作成し、アプリケーションがターゲットグループに登録されているコンテナをターゲットにできるようにする。サービス定義でALBを指定する。ALB用のVPCエンドポイントサービスを作成する VPCエンドポイントサービスを他のAWSアカウントと共有する。
C. ECSサービスのロードバランサーのタイプとして、アプリケーション・ロードバランサー(ALB)を選択する。パスベースのルーティングルールを作成し、アプリケーションがターゲットグループに登録されているコンテナをターゲットにできるようにする。サービス定義でALBを指定する。外部AWSアカウント用のVPCピアを作成する。AWSアカウントがALBに到達できるようにルートテーブルを更新する。
D. ECSサービスのロードバランサーのタイプとして、ネットワーク・ロードバランサー(NLB)を選択する。サービス定義でNLBを指定する。NLB用のVPCエンドポイントサービスを作成します。VPCエンドポイントサービスを他のAWSアカウントと共有する。
回答を見る
正解: BCD
質問 #28
ある保険会社が、オンプレミスのデータセンターからAWSクラウドへのワークロードの移行を計画している。同社はエンドツーエンドのドメイン名解決を必要としている。AWSと既存のオンプレミス環境の間で双方向のDNS解決を確立する必要がある。ワークロードは複数のVPCに移行される。ワークロードは互いに依存関係があり、すべてのワークロードが同時に移行されるわけではありません。
A. 各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。イグレスVPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスのドメインのリクエストをオンプレミスのDNSリゾルバに転送するRoute 53 Resolverルールを定義します。アプリケーション VPC のプライベートホストゾーンを egress VPC に関連付け、Route 53 Resolver のルールを AWS Resource Access Manager を使用してアプリケーションアカウントと共有します。クラウドドメインを Route 53 インバウンドエンドポイントに転送するように、オンプレミスの DNS サーバを構成します。
B. 各アプリケーションVPCにパブリックホストゾーンを構成し、必要なレコードを作成する。イグレスVPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミスDNSリゾルバに転送するRoute 53 Resolverルールを定義します。アプリケーション VPC のプライベートホストゾーンを egress VPC に関連付け、AWS Resource Access Manager を使用して Route 53 Resolver のルールをアプリケーションアカウントと共有します。クラウドドメインを Route 53 インバウンドエンドポイントに転送するように、オンプレミスの DNS サーバを構成します。
C. 各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。イグレスVPにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成し、オンプレミスドメインのリクエストをオンプレミスDNSリゾルバに転送するRoute 53 Resolverルールを定義します。アプリケーションVPCプライベートホストゾーンをイグレスVPと関連付けます。
.
回答を見る
正解: A
質問 #29
ある企業は、米国(US)のオンプレミスデータセンターとus-east-1リージョンのワークロードの間にAWS Direct Connect接続を持っている。この接続は、トランジットVIFを使用して、データセンターをus-east-1リージョンのトランジットゲートウェイに接続します。同社は、英国に新しいオンプレミスデータセンターを持つ新しいオフィスをヨーロッパに開設しています。Direct Connect接続は、新しいデータセンターとeu-west-2リージョンの単一VPCで実行されているいくつかのワークロードを接続します。同社は、米国データセンターと欧州データセンターを接続する必要がある。
A. Direct ConnectゲートウェイとプライベートVIFを使用して、eu-west-2のVPCとヨーロッパデータセンターを接続します。us-east-1のトランジットゲートウェイを同じDirect Connectゲートウェイに関連付けます。トランジットVIFとプライベートVIFのSiteLinkを有効にします。
B. eu-west-2のVPCを新しいトランジットゲートウェイに接続する。Direct Connectゲートウェイと新しいトランジットVIFを使用して、ヨーロッパデータセンターを新しいトランジットゲートウェイに接続します。us-east-1のトランジットゲートウェイを同じDirect Connectゲートウェイに関連付けます。両方のトランジットVIFでSiteLinkを有効にします。2つのトランジットゲートウェイをピアリングする。
C. eu-west-2のVPCを新しいトランジットゲートウェイに接続する。Direct Connectゲートウェイと新しいトランジットVIFを使用して、ヨーロッパデータセンターを新しいトランジットゲートウェイに接続します。新しいダイレクトコネクトゲートウェイを作成します。us-east-1のトランジットゲートウェイを新しいDirect Connectゲートウェイに関連付けます。両方のトランジットVIFでSiteLinkを有効にします。2つのトランジットゲートウェイをピアリングします。
D. Direct ConnectゲートウェイとプライベートVIFを使用して、eu-west-2のVPCとヨーロッパデータセンターを接続します。新しいDirect Connectゲートウェイを作成します。us-east-1のトランジットゲートウェイを新しいDirect Connectゲートウェイに関連付けます。トランジットVIFとプライベートVIFのSiteLinkを有効にします。
回答を見る
正解: B
質問 #30
ある企業がAmazon EC2インスタンスに新しいWebアプリケーションをデプロイした。アプリケーションは、アプリケーションロードバランサー(ALB)の背後にある3つのアベイラビリティゾーンのプライベートサブネットで実行される。セキュリティ監査人は、すべての接続の暗号化を要求している。同社はDNSにAmazon Route 53を使用し、AWS Certificate Manager(ACM)を使用してSSL/TLS証明書のプロビジョニングを自動化している。SSL/TLS接続はALB上でターミネートされる。同社は1つのEC2インスタンスでアプリケーションをテストし、問題は観察されなかった。しかし
A. ALBリスナーの設定を変更する。トラフィックをターゲットグループに転送するルールを編集する。ルールを変更して、グループレベルのスティッキネスを有効にします。期間をアプリケーションセッションの最大長に設定する。
B. ALBをネットワークロードバランサーに置き換える。TLSリスナーを作成する。プロトコルタイプをTLSに設定した新しいターゲットグループを作成する。 EC2インスタンスを登録する。スティッキネス属性を有効にして、ターゲットグループの構成を変更する。
C. スティッキネス属性を有効にして、ALBターゲットグループの設定を変更する。アプリケーション・ベースのクッキーを使用する。期間をアプリケーション・セッションの最大長に設定する。
D. ALBを削除する。アプリケーション名のフェイルオーバールーティングポリシーでAmazon Route 53ルールを作成する。各EC2インスタンスに証明書を発行するようにACMを構成する。
回答を見る
正解: C
質問 #31
ある企業が、既存のアプリケーションを新しいAWSアカウントに移行しようとしている。同社は、1つのVPCと複数の可用性ゾーンを使用して、1つのAWSリージョンにアプリケーションをデプロイする。アプリケーションは、Amazon EC2インスタンスで実行される。各可用性ゾーンには、複数のEC2インスタンスがある。EC2インスタンスはプライベートサブネットに配置される。同社のクライアントは、HTTPSプロトコルのWebブラウザを使用してアプリケーションに接続する。インバウンド接続は、アベイラビリティゾーンに分散させる必要がある。
A. ネットワークロードバランサーを作成する。ターゲットグループを作成する。ターゲットグループのプロトコルをTCPに、ポートを443に設定する。セッションアフィニティ(スティッキーセッション)をオンにする。EC2インスタンスをターゲットとして登録する。リスナーを作成する。リスナーのプロトコルをTCP、ポートを443に設定する。EC2インスタンスにSSL証明書をデプロイする。
B. アプリケーションロードバランサーを作成する。ターゲットグループを作成する。ターゲットグループのプロトコルをHTTPに、ポートを80に設定する。アプリケーションベースのCookieポリシーでセッションアフィニティ(スティッキーセッション)をオンにする。EC2インスタンスをターゲットとして登録する。HTTPSリスナーを作成する。デフォルトのアクションをターゲットグループに転送するように設定する。AWS Certificate Manager(ACM)を使用して、リスナー用の証明書を作成する。
C. ネットワークロードバランサーを作成する。ターゲットグループを作成する。ターゲットグループのプロトコルをTLSに、ポートを443に設定する。セッションアフィニティ(スティッキーセッション)をオンにする。EC2インスタンスをターゲットとして登録する。リスナーを作成する。リスナーのプロトコルをTLS、ポートを443に設定する。AWS Certificate Manager(ACM)を使用して、アプリケーション用の証明書を作成する。
D. アプリケーションロードバランサーを作成する。ターゲットグループを作成する。ターゲットグループのプロトコルをHTTPSに、ポートを443に設定する。アプリケーションベースのCookieポリシーでセッションアフィニティ(スティッキーセッション)をオンにする。EC2インスタンスをターゲットとして登録する。HTTPリスナーを作成する。リスナーのポートを443に設定する。デフォルトのアクションをターゲットグループに転送するように設定する。
回答を見る
正解: B
質問 #32
ある企業がコンテナ化されたアプリケーションをAWSに移行しようとしている。このアーキテクチャでは、Amazon Elastic Kubernetes Service(Amazon EKS)クラスタ内のフロントエンドポッドにトラフィックを分散させるために、ネットワークロードバランサー(NLB)を備えたイングレスVPCを用意する。アプリケーションのフロントエンドは、どのユーザーがアクセスを要求しているかを判断し、10個のサービスVPCのうちの1つにトラフィックを送信します。各サービスVPCには、EKSクラスタ内のサービスポッドにトラフィックを分散するNLBが含まれる。
A. ステートフルアプライアンスとトランジットゲートウェイアタッチメントは、共有サービスVPC内の別のサブネットに配備されています。
B. アプライアンスモードは、共有サービスVPCへのトランジットゲートウェイアタッチで有効になっていません。
C. ステートフルアプライアンスとトランジットゲートウェイアタッチメントは、共有サービスVPの同じサブネットに配備されている。
D. アプリケーションVPCへのトランジットゲートウェイアタッチでアプライアンスモードが有効になっていません。
回答を見る
正解: C
質問 #33
あるデータ分析会社は、100ノードのハイパフォーマンスコンピューティング(HPC)クラスタを持っている。HPCクラスタは並列データ処理用で、AWSクラウドのVPCでホストされています。データ処理のワークフローの一環として、HPCクラスタは、Amazon RDSデータベース、Amazon S3バケット、およびAWS Direct Connectを通じてアクセス可能なオンプレミスのデータストアを解決して接続するために、いくつかのDNSクエリを実行する必要があります。HPCクラスタは、年末のピーク時には5倍から7倍に増加する可能性があります。
A. VPCにEC2インスタンスを2台追加して、DNSサービスをスケールアウトする。HPCクラスタノードの半分を、これらの新しいDNSサーバーを使用するように再構成する。今後、HPCクラスタの規模が拡大するにつれて、EC2インスタンスベースのDNSサーバーを追加してスケールアウトすることを計画する。
B. DNSサーバーとして使用している既存のEC2インスタンスをスケールアップする。インスタンスサイズを、現在のDNS負荷と将来予想される負荷に対応できる最大のインスタンスサイズに変更する。
C. Route 53 Resolverのアウトバウンドエンドポイントを作成する。オンプレミスでホストされているドメイン名のクエリをオンプレミスのDNSサーバーに転送するRoute 53 Resolverルールを作成する。EC2インスタンスベースのDNSサーバーではなく、デフォルトのVPCリゾルバを使用するようにHPCクラスタノードを再設定する。EC2インスタンスを終了する。
D. Route 53リゾルバのインバウンドエンドポイントを作成します。オンプレミスのDNSサーバーで、クエリをデフォルトのVPCリゾルバに転送するルールを作成します。すべてのDNSクエリをオンプレミスDNSサーバーに転送するようにHPCクラスタノードを再設定する。EC2インスタンスを終了する。
回答を見る
正解: C
質問 #34
ある企業が、単一のAWSリージョン内の新しいVPCに2層のWebアプリケーションをデプロイする計画をしている。同社はインターネットゲートウェイと4つのサブネットでVPCを構成している。サブネットのうち2つはパブリックで、インターネットゲートウェイを指すデフォルトルートを持っています。アプリケーションは、外部のアプリケーションロードバランサーの背後に配置されるAmazon EC2インスタンスのセットで実行される。このEC2インスタンスは、外部のアプリケーションロードバランサーの背後に配置される。
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: C
質問 #35
あるグローバル企業は、3つのAWSリージョン(eu-west-1、us-east-1、us-west-1)からすべての非本番環境を運用している。同社はすべての本番ワークロードを2つのオンプレミスデータセンターでホストしている。同社は60のAWSアカウントを持っており、各アカウントは各リージョンに2つのVPCを持っている。各VPCには仮想プライベートゲートウェイがあり、2つのVPN接続がデータセンターへの弾力的な接続のために終端する。各データセンターへのVPNトンネルは360本あり、管理オーバーヘッドが大きい。合計VPN
A. 各データセンターから各リージョンのAWSへのAWS Direct Connect接続を設定する。プライベートVIFを作成し、単一のDirect Connectゲートウェイにアタッチする。Direct ConnectゲートウェイをすべてのVPCにアタッチする。仮想プライベートゲートウェイに直接接続されている既存のVPN接続を削除する。
B. 各データセンターからのVPN接続で単一のトランジットゲートウェイを作成する。AWS Resource Access Manager(AWS RAM)を使用して、各アカウントでトランジットゲートウェイを共有します。トランジットゲートウェイを各VPCにアタッチします。仮想プライベートゲートウェイに直接接続されている既存のVPN接続を削除します。
C. 各データセンターから新たに VPN 接続を開始した複数のトランジットゲートウェイを各リージョンに作成します。AWS Resource Access Manager(AWS RAM)を使用して、トランジットゲートウェイを各アカウントで共有する。各リージョンで、トランジットゲートウェイを各VPNにアタッチする。仮想プライベートゲートウェイに直接アタッチされている既存のVPN接続を削除する。
D. 各リージョンのすべてのVPCを、集中トランジットVPCとして機能する各リージョンの新しいVPCにピアリングします。各データセンターからトランジットVPCへの新しいVPN接続を作成します。すべての元のVPCに接続されている元のVPN接続を終了します。各リージョンの新しいトランジットVPCへの新しいVPN接続を保持する。
回答を見る
正解: A
質問 #36
オーストラリアのあるeコマース企業は、すべてのサービスをAWSクラウドでホストしており、顧客ベースを米国(US)に拡大したいと考えている。同社の既存のAWSアーキテクチャは、ap-southeast-2リージョンにデプロイされた複数のVPCを持つ4つのAWSアカウントで構成されている。すべてのVPCはap-southeast-2リージョンのトランジットゲートウェイに接続されている。各アプリケーションサービス専用のVPCがある。のような集中型セキュリティ機能用のVPCもある。
A. 2つのトランジットゲートウェイ間でVPNアタッチメントを作成する。2つのトランジットゲートウェイ間でBGPルーティングを使用するようにVPNアタッチメントを設定する。
B. 各リージョンのトランジットゲートウェイをピアリングする。各リージョンのIPアドレスに対して、2つのトランジットゲートウェイ間のルーティングを設定する。
C. 各リージョンのVPCにVPNサーバを作成する。ルーティングを更新して、代替リージョンのIPアドレスのVPNサーバーを指すようにします。
D. us-west-1のVPCをap-southeast-2のトランジットゲートウェイにアタッチします。
回答を見る
正解: B
質問 #37
あるIoT企業が、MQTTメッセージング・プロトコルを通じて温度、湿度、圧力、位置データを定期的に送信するハードウェア・センサー・モジュールを販売している。ハードウェアセンサーモジュールは、ロードバランサーの背後にあるLinuxサーバー上で動作する同社のオンプレミスMQTTブローカーにこのデータを送信する。ハードウェアセンサーモジュールは、ブローカーに到達するためのパブリックIPアドレスをハードコードされている。同社は成長し、世界中の顧客を獲得している。既存のソリューションではもはや拡張できないため、次のようなソリューションを導入しました。
A. EC2インスタンスをネットワークロードバランサー(NLB)の後ろに配置する。TCPリスナーを設定する。NLBでオンプレミスネットワークからBYOIP(Bring Your Own IP)を使用する。
B. EC2インスタンスをネットワーク・ロード・バランサー(NLB)の背後に配置する。TCPリスナーを設定する。NLBの前にAWS Global Acceleratorアクセラレーターを作成する。Global Acceleratorを使用して、オンプレミスネットワークからBYOIP(Bring Your Own IP)を使用する。
C. EC2インスタンスをアプリケーション・ロード・バランサー(ALB)の背後に配置する。TCPリスナーを構成する。ALBの前にAWS Global Acceleratorアクセラレーターを作成する。Global AcceleratorでオンプレミスのネットワークからBYOIP(Bring Your Own IP)を使用する。
D. EC2インスタンスをAmazon CloudFrontディストリビューションの背後に配置する。CloudFrontでオンプレミスのネットワークからBYOIP(Bring Your Own IP)を使用する。
回答を見る
正解: B
質問 #38
ある企業では、一元化された共有サービス VPC 内の複数のアベイラビリティゾーンに、ステートフルセキュリティアプライアンスを配備しています。AWS環境には、アプリケーションVPCと共有サービスVPCに接続されるトランジットゲートウェイが含まれています。アプリケーションVPCには、複数のアベイラビリティゾーンにまたがるプライベートサブネットに展開されたワークロードがあります。共有サービスVPCのステートフル・アプライアンスは、すべての東西(VPC間)トラフィックを検査します。
A. 共有VPCで、VPCアタッチメントをVPNアタッチメントに置き換えます。トランジット・ゲートウェイとファイアウォール・アプライアンス間にVPNトンネルを作成します。BGPを設定します。
B. VPC AおよびVPC BのVPCアタッチメントでトランジットゲートウェイアプライアンスモードを有効にします。
C. 共有VPのVPCアタッチメントでトランジットゲートウェイアプライアンスモードを有効にする
D. 共有VPCにおいて、1つのVPCピアリング接続をVPC Aに、もう1つのVPCピアリング接続をVPC Bに設定します。
回答を見る
正解: D
質問 #39
ある企業は、複数のAWSアカウントによるハイブリッド・アーキテクチャを利用して、AWSクラウドにネットワークを拡張した。同社は、オンプレミスのデータセンターと社内オフィスへの接続用に共有AWSアカウントを設定した。ワークロードは、社内用のプライベートなWebベースのサービスで構成されている。これらのサービスは、異なるAWSアカウントで実行される。オフィスベースの従業員は、example.internalという名前のオンプレミスDNSゾーン内のDNS名を使用して、これらのサービスを利用します。
A. クロス可用性ゾーンのロードバランシングを有効にして、共有サービスVPCのトランジットゲートウェイVPCアタッチメントを変更します。
B. アプライアンスモードのサポートを有効にして、共有サービスVPCのトランジットゲートウェイVPCアタッチメントを変更します。
C. VPNイコールコストマルチパス(ECMP)ルーティングサポートを選択して、トランジットゲートウェイを変更する。
D. マルチキャストサポートを選択してトランジットゲートウェイを変更します。
回答を見る
正解: CEF
質問 #40
あるネットワークエンジニアが、VPC内のプライベートサブネットにAmazon EC2インスタンスをデプロイした。VPCにはパブリックサブネットがない。EC2インスタンスは、Amazon Simple Queue Service(Amazon SQS)キューにメッセージを送信するアプリケーションコードをホストしている。サブネットにはデフォルトのネットワークACLがあり、変更は適用されない。SQSキューがメッセージを受信していない。この問題の原因として考えられるのは、次のうちどれですか。(2つ選んでください)。
A. 共有サービスアカウントで、AWS KMS用のインターフェースエンドポイントを作成します。プライベート DNS 名を無効にして、インターフェイスエンドポイントを変更します。共有サービスアカウントで、インターフェイスエンドポイントを指すエイリアスレコードを持つプライベートホストゾーンを作成します。プライベートホストゾーンを各 AWS アカウントのスポーク VPC に関連付けます。
B. 共有サービスアカウントで、AWS KMS 用のインターフェイスエンドポイントを作成します。プライベート DNS 名を無効にして、インターフェイスエンドポイントを変更します。各スポーク AWS アカウントに、インターフェイスエンドポイントを指すエイリアスレコードを持つプライベートホストゾーンを作成します。各プライベートホストゾーンを共有サービス AWS アカウントに関連付けます。
C. 各スポーク AWS アカウントで、AWS KMS 用のインターフェイスエンドポイントを作成します。プライベート DNS 名を無効にして、各インターフェースエンドポイントを変更します。各スポーク AWS アカウントに、各インターフェースエンドポイントを指すエイリアスレコードを持つプライ ベートホストゾーンを作成します。各プライベートホストゾーンを共有サービス AWS アカウントに関連付けます。
D. 各スポーク AWS アカウントで、AWS KMS 用のインターフェイスエンドポイントを作成します。プライベート DNS 名を無効にして、各インターフェースエンドポイントを変更します。共有サービスアカウントで、各インターフェースエンドポイントを指すエイリアスレコードを持つプライベートホストゾーンを作成します。プライベートホストゾーンを、各 AWS アカウントのスポーク VPC に関連付けます。
回答を見る
正解: BC
質問 #41
ある企業は、1GbpsのAWS Direct Connect接続を使用して、AWS環境とオンプレミスのデータセンターを接続しています。この接続により、従業員はAWS上でホストされているアプリケーションVPCにアクセスできる。多くのリモート従業員は、会社提供の VPN を使用してデータセンターに接続しています。これらの従業員は、業務時間中にアプリケーションにアクセスした際に、遅さを報告しています。オンプレミスのユーザーも、オフィスにいる間に同様の遅さを報告し始めました。
A. リモート従業員と追加アプリケーションからの追加トラフィック負荷に対応するために、新しい1 Gbps Direct Connect専用接続を設定します。リンクアグリゲーショングループ(LAG)を作成します。
B. アプリケーションVPCにAWS Site-to-Site VPN接続をデプロイする。リモート従業員が Site-to-Site VPN 接続に接続できるように、オンプレミスのルーティングを構成する。
C. Amazon WorkspacesをアプリケーションにデプロイするVPリモート従業員にWorkspacesに接続するように指示する。
D. 既存の1 Gbps Direct Connect接続を、2つの新しい2 Gbps Direct Connectホスト接続に置き換える。アプリケーションVPCにAWSクライアントVPNエンドポイントを作成する。リモート従業員にクライアントVPNエンドポイントに接続するように指示する。
回答を見る
正解: B
質問 #42
ある企業が、アプリケーションロードバランサーの背後にあるAmazon EC2インスタンスでアプリケーションをホストしている。インスタンスはAmazon EC2 Auto Scalingグループに入っている。ネットワークエンジニアは、このダウンタイムの再発を防ぐ必要があります。ネットワークエンジニアは、セキュリティグループに対するコンプライアンス違反の変更を修正するソリューションを実装する必要があります。
A. 希望するセキュリティグループ構成と現在のセキュリティグループ構成との間の不整合を検出するように Amazon GuardDuty を構成する。AWS Systems Manager Automationのランブックを作成して、コンプライアンス違反のセキュリティグループを修復する。
B. 希望するセキュリティグループ構成と現在のセキュリティグループ構成との間の不整合を検出するために、AWS Configルールを構成する。AWS OpsWorks for Chefを構成して、非準拠のセキュリティグループを修復する。
C. 希望するセキュリティグループ構成と現在のセキュリティグループ構成との間の不整合を検出するように Amazon GuardDuty を構成する。AWS OpsWorks for Chefを構成して、非準拠のセキュリティグループを修復する。
D. AWS Config ルールを構成して、目的のセキュリティグループ構成と現在のセキュリティグループ構成との間の不一致を検出する。AWS Systems Manager Automation runbook を作成して、コンプライアンス違反のセキュリティグループを修復する。
回答を見る
正解: B
質問 #43
ある会社はAWS上に数百のVPCを持っている。全てのVPCはNATゲートウェイを通してAmazon S3とAWS Systems Managerのパブリックエンドポイントにアクセスします。VPCからAmazon S3とSystems ManagerへのトラフィックはすべてNATゲートウェイを経由します。会社のネットワークエンジニアは、これらのサービスへのアクセスを一元化する必要があり、パブリックエンドポイントを使用する必要性を排除する必要があります。どのソリューションが、最も少ない運用オーバーヘッドでこれらの要件を満たすことができますか?
A. プライベート NAT ゲートウェイを持つ中央イグレス VPC を作成します。AWS Transit Gatewayを使用して、すべてのVPCを中央のegress VPCに接続します。プライベートNATゲートウェイを使用して、プライベートIPアドレスを使用してAmazon S3とSystems Managerに接続します。
B. 中央共有サービスVPCを作成します。中央共有サービスVPCで、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。プライベートDNSがオフになっていることを確認します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。各インターフェイスVPCエンドポイントにAmazon Route 53転送ルールを作成します。転送ルールをすべてのVPCに関連付けます。共有サービスVPCのインターフェイスVPCエンドポイントにDNSクエリを転送します。
C. 中央共有サービスVPC中央共有サービスVPCで、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。プライベートDNSがオフになっていることを確認します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。Amazon S3とSystems Managerの完全なサービスエンドポイント名で、Amazon Route 53のプライベートホストゾーンを作成します。プライベートホストゾーンをすべてのVPCに関連付けます。各プライベートホストゾーンに、共有サービスVPのインターフェイスVPCエンドポイントを指すフルAWSサービスエンドポイントを持つエイリアスレコードを作成します。
D. 中央共有サービスVPCを作成します。中央共有サービスVPCに、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。インターフェイスVPCエンドポイントのプライベートDNSがオンになっていることと、トランジットゲートウェイがDNSサポートをオンにして作成されていることを確認します。
回答を見る
正解: C
質問 #44
あるグローバルな配送会社が、車両管理システムの近代化を進めている。同社には複数の事業部門がある。各ビジネスユニットは、同じAWSリージョン内の別々のアプリケーションVPCで、独自のAWSアカウントでホストされるアプリケーションを設計し、維持している。各事業部のアプリケーションは、中央の共有サービスVPCからデータを取得するように設計されている。同社は、ネットワーク接続アーキテクチャがきめ細かいセキュリティ制御を提供することを望んでいる。同社は、ネットワーク接続アーキテクチャがきめ細かいセキュリティ制御を提供することを望んでいる。
A. 中央トランジットゲートウェイを作成します。各アプリケーションVPCにVPCアタッチメントを作成します。トランジットゲートウェイを使用して、すべてのVPC間にフルメッシュ接続を提供します。
B. 中央の共有サービスVPCと各ビジネスユニットのAWSアカウント内の各アプリケーションVPCとの間にVPCピアリング接続を作成する。
C. 中央の共有サービスVPCに、AWS PrivateLinkを利用したVPCエンドポイントサービスを作成する 各アプリケーションVPCにVPCエンドポイントを作成する
D. AWS MarketplaceからVPNアプライアンスを使用して中央トランジットVPCを作成します。各VPCからトランジットVPCへのVPNアタッチメントを作成します。すべてのVPC間でフルメッシュ接続を提供する。
回答を見る
正解: C
質問 #45
ある企業がアプリケーションをオンプレミスからAWSに移行しようとしている。この企業は、1つのVPCにデプロイされたAmazon EC2インスタンス上でアプリケーションをホストする。移行期間中、EC2インスタンスからのDNSクエリは、オンプレミスのサーバーの名前を解決できなければならない。移行には3カ月かかると予想される。3カ月の移行期間終了後、オンプレミスのサーバーの名前解決は不要になる。ネットワークエンジニアは、最小限の構成でこれらの要件を満たすために何をすべきか。
A. オンプレミスとAWS間のAWS Site-to-Site VPN接続をセットアップする。VPCをホストしているリージョンにAmazon Route 53 Resolverのアウトバウンドエンドポイントをデプロイします。
B. プライベートVIFでAWS Direct Connect接続を設定する。VPCをホストしているリージョンに、Amazon Route 53 ResolverインバウンドエンドポイントとRoute 53 Resolverアウトバウンドエンドポイントをデプロイする。
C. オンプレミスとAWS間でAWSクライアントVPN接続を設定する。VPにAmazon Route 53 Resolverインバウンドエンドポイントをデプロイする。
D. パブリックVIFでAWS Direct Connect接続を設定する。VPCをホストしているリージョンにAmazon Route 53 Resolverインバウンドエンドポイントをデプロイします。オンプレミスのDNSサーバーへの接続には、エンドポイントに割り当てられたIPアドレスを使用します。
回答を見る
正解: A
質問 #46
ある会社は、すべてのオフィスを相互接続するためにソフトウェア定義 WAN(SD-WAN)ソリューションを導入しました。ネットワークエンジニアは、この接続性を提供するために、AWS Transit Gateway Connectと2つのSD-WAN仮想アプライアンスの導入を計画しています。会社のポリシーによると、AWS ワークロードからのトラフィックを一度に処理できるのは 1 台の SD-WAN 仮想アプライアンスだけです。
A. トランジットゲートウェイのルートテーブルに、セカンダリSD-WAN仮想アプライアンスを指すスタティックデフォルトルートを追加します。プライマリSD-WAN仮想アプライアンスを指すように、より具体的なルートを追加します。
B. トランジットゲートウェイに向かうBGPルート用にプライマリSD-WAN仮想アプライアンスでBGPコミュニティタグ7224:7300を設定します。
C. セカンダリSD-WAN仮想アプライアンスでトランジットゲートウェイに向かうBGPルートのAS_PATH prepend属性を設定します。
D. トランジットゲートウェイコネクトのトランジットゲートウェイで等コストマルチパス(ECMP)ルーティングを無効にします。
回答を見る
正解: A
質問 #47
ある企業がVPCでAmazon Route 53 Resolver DNS Firewallを使用し、承認リストにあるドメイン以外のすべてのドメインをブロックしています。同社は、DNSファイアウォールが応答しない場合、ネットワークがDNSクエリを解決できないと、VPC内のリソースに影響が及ぶ可能性があることを懸念しています。アプリケーションのサービスレベルアグリーメントを維持するために、Route 53 ResolverがDNS Firewallからの応答を受信しなくても、DNSクエリが解決され続ける必要があります。
A. DNSファイアウォールのVPC設定を更新して、VPCのフェイルオープンを無効にします。
B. DNSファイアウォールのVPC設定を更新して、VPCのフェイルオープンを有効にします。
C. パラメータdns_firewall_fail_open=falseで新しいDHCPオプション・セットを作成します。新しいDHCPオプション・セットをVPNに関連付けます。
D. パラメータdns_firewall_fail_open=trueを指定して、新しいDHCPオプション・セットを作成します。新しい DHCP オプション・セットを VPC に関連付けます。
回答を見る
正解: B
質問 #48
ある会社はAWS上に数百のVPCを持っている。全てのVPCはNATゲートウェイを通してAmazon S3とAWS Systems Managerのパブリックエンドポイントにアクセスします。VPCからAmazon S3とSystems ManagerへのトラフィックはすべてNATゲートウェイを経由します。会社のネットワークエンジニアは、これらのサービスへのアクセスを一元化する必要があり、パブリックエンドポイントを使用する必要性を排除する必要があります。どのソリューションが、最も少ない運用オーバーヘッドでこれらの要件を満たすことができますか?
A. プライベート NAT ゲートウェイを持つ中央イグレス VPC を作成します。AWS Transit Gatewayを使用して、すべてのVPCを中央のegress VPCに接続します。プライベートNATゲートウェイを使用して、プライベートIPアドレスを使用してAmazon S3とSystems Managerに接続します。
B. 中央共有サービスVPCを作成します。中央共有サービスVPCで、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。プライベートDNSがオフになっていることを確認します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。各インターフェイスVPCエンドポイントにAmazon Route 53転送ルールを作成します。転送ルールをすべてのVPCに関連付けます。共有サービスVPCのインターフェイスVPCエンドポイントにDNSクエリを転送します。
C. 中央共有サービスVPC中央共有サービスVPCで、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。プライベートDNSがオフになっていることを確認します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。Amazon S3とSystems Managerの完全なサービスエンドポイント名で、Amazon Route 53のプライベートホストゾーンを作成します。プライベートホストゾーンをすべてのVPCに関連付けます。各プライベートホストゾーンに、共有サービスVPのインターフェイスVPCエンドポイントを指すフルAWSサービスエンドポイントを持つエイリアスレコードを作成します。
D. 中央共有サービスVPCを作成します。中央共有サービスVPCに、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。インターフェイスVPCエンドポイントのプライベートDNSがオンになっていることと、トランジットゲートウェイがDNSサポートをオンにして作成されていることを確認します。
回答を見る
正解: C
質問 #49
ある企業は、アカウント1のeu-west-1リージョンに本番用VPC(VPC-A)を設置しています。VPC-Aは、AWS Direct Connectゲートウェイ用に構成されたAWS Direct ConnectトランジットVIFによって、アイルランドのダブリンにあるオンプレミスのデータセンターに接続されているトランジットゲートウェイ(TGW-A)に接続されています。この会社には、アカウント2のeu-west-2リージョンにある別のトランジットゲートウェイ(TGW-B)に接続されたステージングVPC(VPC-B)もあります。
A. ALBを使用して、GET/POSTリクエストペイロード内の認証済みトークンを検査する。AWS Lambda関数を使用して、カスタマイズされたヘッダーを挿入し、認証された顧客リクエストをWebアプリケーションに通知する。
B. AWS WAF を ALB と統合して、GET/POST リクエストのペイロード内の認可トークンを検査する。ALB リスナーを構成して、カスタマイズしたヘッダーを挿入し、認証されたカスタマーリクエストを Web アプリケーションに通知する。
C. AWS Lambda@Edge関数を使用して、GET/POSTリクエストペイロード内の認証済みトークンを検査する。また、Lambda@Edge 関数を使用して、Web アプリケーションに認証された顧客リクエストを通知するためのカスタマイズされたヘッダーを挿入します。
D. GET/POSTリクエストのペイロード内の認可されたトークンを検査するサードパーティのパケット検査ツールを持つEC2インスタンスをセットアップする。認証された顧客のリクエストをWebアプリケーションに通知するために、カスタマイズされたヘッダーを挿入するようにツールを構成する。
回答を見る
正解: BD
質問 #50
ある企業がアプリケーションをオンプレミスからAWSに移行しようとしている。この企業は、1つのVPCにデプロイされたAmazon EC2インスタンス上でアプリケーションをホストする。移行期間中、EC2インスタンスからのDNSクエリは、オンプレミスのサーバーの名前を解決できなければならない。移行には3カ月かかると予想される。3カ月の移行期間終了後、オンプレミスのサーバーの名前解決は不要になる。ネットワークエンジニアは、最小限の構成でこれらの要件を満たすために何をすべきか。
A. オンプレミスとAWS間のAWS Site-to-Site VPN接続をセットアップする。VPCをホストしているリージョンにAmazon Route 53 Resolverのアウトバウンドエンドポイントをデプロイします。
B. プライベートVIFでAWS Direct Connect接続を設定する。VPCをホストしているリージョンに、Amazon Route 53 ResolverインバウンドエンドポイントとRoute 53 Resolverアウトバウンドエンドポイントをデプロイする。
C. オンプレミスとAWS間でAWSクライアントVPN接続を設定する。VPにAmazon Route 53 Resolverインバウンドエンドポイントをデプロイする。
D. パブリックVIFでAWS Direct Connect接続を設定する。VPCをホストしているリージョンにAmazon Route 53 Resolverインバウンドエンドポイントをデプロイします。オンプレミスのDNSサーバーへの接続には、エンドポイントに割り当てられたIPアドレスを使用します。
回答を見る
正解: A
質問 #51
ある会社は、すべてのオフィスを相互接続するためにソフトウェア定義 WAN(SD-WAN)ソリューションを導入しました。ネットワークエンジニアは、この接続性を提供するために、AWS Transit Gateway Connectと2つのSD-WAN仮想アプライアンスの導入を計画しています。会社のポリシーによると、AWS ワークロードからのトラフィックを一度に処理できるのは 1 台の SD-WAN 仮想アプライアンスだけです。
A. トランジットゲートウェイのルートテーブルに、セカンダリSD-WAN仮想アプライアンスを指すスタティックデフォルトルートを追加します。プライマリSD-WAN仮想アプライアンスを指すように、より具体的なルートを追加します。
B. トランジットゲートウェイに向かうBGPルート用にプライマリSD-WAN仮想アプライアンスでBGPコミュニティタグ7224:7300を設定します。
C. セカンダリSD-WAN仮想アプライアンスでトランジットゲートウェイに向かうBGPルートのAS_PATH prepend属性を設定します。
D. トランジットゲートウェイコネクトのトランジットゲートウェイで等コストマルチパス(ECMP)ルーティングを無効にします。
回答を見る
正解: A
質問 #52
ある企業はハイブリッドアーキテクチャを使用しており、オンプレミスのデータセンターとAWSの間にAWS Direct Connect接続がある。同社は、オンプレミスのデータセンターで実行する本番アプリケーションを持っている。また、VPCで実行する本番アプリケーションもある。オンプレミスのデータセンターで実行されるアプリケーションは、VPCで実行されるアプリケーションと通信する必要がある。同社は、オンプレミスリソースのドメイン名として corp.example.com を使用し、Amazon Route 53 priva を使用しています。
A. オンプレミスのファイアウォールを使用して、Direct Connect接続上にVPN接続を作成します。ファイアウォールを使用して、オンプレミスからAWSへのすべてのトラフィックをブロックする。EC2インスタンスからリクエストを開始するステートフル接続を許可する。
B. オンプレミスのファイアウォールを構成し、オンプレミスのネットワークからEC2インスタンスへのすべてのリクエストをフィルタリングする。VPC内のEC2インスタンスがトラフィックを開始する場合は、ステートフル接続を許可する。
C. EC2インスタンスがデプロイされているVPCのプライベートサブネットにNATゲートウェイをデプロイする。NATゲートウェイのタイプをプライベートと指定する。NATゲートウェイに割り当てられたIPアドレスからの接続を許可するように、オンプレミスのファイアウォールを設定する。
D. EC2インスタンスがデプロイされているVPCのプライベートサブネットにNATインスタンスをデプロイする。NATインスタンスに割り当てられたIPアドレスからの接続を許可するように、オンプレミスのファイアウォールを設定する。
回答を見る
正解: CEF
質問 #53
ある企業が、トランジットで暗号化を必要とするサービスの構築を計画している。クライアントとサービスのバックエンドの間でトラフィックが復号化されてはならない。同社は、TCPポート443上でgRPCプロトコルを使用してサービスを実装する予定である。サービスは数千の同時接続までスケールアップする。サービスのバックエンドは、Kubernetes Cluster AutoscalerとHorizontal Pod Autoscalerが設定されたAmazon Elastic Kubernetes Service(Amazon EKS)ダスター上でホストされる。このサービスでは
A. AWS Load Balancer Controller for Kubernetesをインストールします。そのコントローラを使用して、バックエンドサービスPodのIPアドレスにトラフィックを転送するために、ポート443上のTCPリスナーを持つネットワークロードバランサーを設定します。
B. AWS Load Balancer Controller for Kubernetesをインストールする。そのコントローラを使用して、バックエンドサービスPodのIPアドレスにトラフィックを転送するために、ポート443上のHTTPSリスナーを持つアプリケーションロードバランサーを構成する。
C. ターゲットグループを作成する。EKS管理ノードグループのAuto Scalingグループをターゲットとして追加する。 ターゲットグループにトラフィックを転送するために、ポート443にHTTPSリスナーを持つアプリケーションロードバランサーを作成する。
D. ターゲットグループを作成します。EKS管理ノードグループのAuto Scalingグループをターゲットとして追加する。ターゲットグループにトラフィックを転送するために、ポート443上のTLSリスナーを持つネットワークロードバランサーを作成します。
回答を見る
正解: D
質問 #54
ある企業はハイブリッドアーキテクチャを使用しており、オンプレミスのデータセンターとAWSの間にAWS Direct Connect接続がある。同社は、オンプレミスのデータセンターで実行する本番アプリケーションを持っている。また、VPCで実行する本番アプリケーションもある。オンプレミスのデータセンターで実行されるアプリケーションは、VPCで実行されるアプリケーションと通信する必要がある。同社は、オンプレミスリソースのドメイン名として corp.example.com を使用し、Amazon Route 53 priva を使用しています。
A. オンプレミスのファイアウォールを使用して、Direct Connect接続を介してVPN接続を作成します。ファイアウォールを使用して、オンプレミスからAWSへのすべてのトラフィックをブロックする。EC2インスタンスからリクエストを開始するステートフル接続を許可する。
B. オンプレミスのファイアウォールを構成し、オンプレミスのネットワークからEC2インスタンスへのすべてのリクエストをフィルタリングする。VPC内のEC2インスタンスがトラフィックを開始する場合は、ステートフル接続を許可する。
C. EC2インスタンスがデプロイされているVPCのプライベートサブネットにNATゲートウェイをデプロイする。NATゲートウェイのタイプをプライベートと指定する。NATゲートウェイに割り当てられたIPアドレスからの接続を許可するように、オンプレミスのファイアウォールを設定する。
D. EC2インスタンスがデプロイされているVPCのプライベートサブネットにNATインスタンスをデプロイする。NATインスタンスに割り当てられたIPアドレスからの接続を許可するように、オンプレミスのファイアウォールを設定する。
回答を見る
正解: CEF
質問 #55
ある企業が、オンプレミスのデータセンターからAWSクラウドの仮想プライベートゲートウェイへのAWS Site-to-Site VPN接続を使用しています。トラフィックがAWSに到達する前にインターネットを横断するため、混雑のために可用性とパフォーマンスの問題が発生しています。ネットワークエンジニアは、最小限の管理工数で、接続に関するこれらの問題をできるだけ早く解決しなければなりません。
A. アクセラレーションを有効にして、既存のSite-to-Site VPN接続を編集する。新しい設定を有効にするために、顧客のゲートウェイでVPNサービスを停止し、開始する。
B. 既存の仮想プライベートゲートウェイと同じAWSリージョンにトランジットゲートウェイを構成する。新しい加速 Site-to-Site VPN 接続を作成する。VPN アタッチメントを使用して、新しい接続をトランジットゲートウェイに接続します。顧客のゲートウェイデバイスを更新して、新しい Site-to-Site VPN 接続を使用するようにします。既存の Site-to-Site VPN 接続を削除します。
C. 新しい加速Site-to-Site VPN接続を作成する。新しいSite-to-Site VPN接続を既存の仮想プライベートゲートウェイに接続する。新しいSite-to-Site VPN接続を使用するように、顧客のゲートウェイデバイスを更新する。既存の Site-to-Site VPN 接続を削除する。
D. オンプレミスのデータセンターとAWSクラウドの間にプライベートVIFで新しいAWS Direct Connect接続を作成する。新しいDirect Connect接続を使用するように、顧客のゲートウェイデバイスを更新する。既存のSite-to-Site VPN接続を削除します。
回答を見る
正解: B
質問 #56
ネットワークエンジニアは、アプリケーションロードバランサー(ALB)で暗号化されたデータを保護するために、一意のランダムセッションキーを使用することで追加のセーフガードを提供する必要があります。
A. ALBのセキュリティポリシーを、TLS 1
B. AWS Key Management Service (AWS KMS) を使用してセッションキーを暗号化する。
C. AWS WAF の Web ACL を ALB に関連付け、前方秘匿(FS)を強制するセキュリティルールを作成する。
D. ALBのセキュリティポリシーを前方秘匿(FS)をサポートするポリシーに変更する。
回答を見る
正解: D
質問 #57
ある企業が複数のAWSリージョンのVPCにまたがってリソースを管理している。同社は、内部ドメイン名を使用してリソースに接続する必要があります。ネットワークエンジニアは、すべてのリソースにaws.example.com DNS接尾辞を適用する必要があります。この要件を満たすために、ネットワークエンジニアは何をしなければなりませんか?
A. リソースを持つ各リージョンに、aws
B. aws
C. example
D. aws
回答を見る
正解: D
質問 #58
ある企業が、ネットワークロードバランサー(NLB)の背後にあるAmazon EC2インスタンスでアプリケーションをホスティングしている。ソリューションアーキテクトは、アプリケーションの可用性を向上させるため、EC2インスタンスを2つ目のアベイラビリティゾーンに追加した。ソリューションアーキテクトは、インスタンスをNLBのターゲットグループに追加しました。会社の運用チームは、トラフィックが最初のアベイラビリティゾーンのインスタンスにのみルーティングされていることに気づきました。この問題を解決するための、運用上最も効率的なソリューションは何ですか。
A. 起動テンプレートに2つのネットワークインターフェイスを設定します。プライベートサブネットの1つにプライマリネットワークインターフェースを作成します。2番目のネットワーク・インターフェースには、パブリック・サブネットの1つを選択します。パブリックIPアドレスのソースとしてBYOIPプールIDを選択します。
B. 起動テンプレートのプライベートサブネットにプライマリネットワークインターフェースを構成します。ユーザーデータオプションを使用して、ブート後にcloud-initスクリプトを実行し、パブリックIPアドレスの自動割り当てが有効になっているサブネットから2番目のネットワークインターフェイスをアタッチします。
C. インスタンス起動時に Auto Scaling グループのライフサイクルフックとして実行する AWS Lambda 関数を作成します。Lambda 関数で、ネットワークインターフェイスを AWS Global Accelerator エンドポイントに割り当てます。
D. Auto Scalingグループの作成時に、プライマリ・ネットワーク・インターフェイスのサブネットを選択します。ユーザーデータオプションを使用して、クラウドイニットスクリプトを実行し、2番目のネットワークインターフェイスを割り当て、BYOIPプールからElastic IPアドレスを関連付けます。
回答を見る
正解: A
質問 #59
ある企業は、アカウント1のeu-west-1リージョンに本番用VPC(VPC-A)を設置しています。VPC-Aは、AWS Direct Connectゲートウェイ用に構成されたAWS Direct ConnectトランジットVIFによって、アイルランドのダブリンにあるオンプレミスのデータセンターに接続されているトランジットゲートウェイ(TGW-A)に接続されています。この会社には、アカウント2のeu-west-2リージョンにある別のトランジットゲートウェイ(TGW-B)に接続されたステージングVPC(VPC-B)もあります。
A. ALBを使用して、GET/POSTリクエストペイロード内の認証済みトークンを検査する。AWS Lambda関数を使用して、カスタマイズされたヘッダーを挿入し、認証された顧客リクエストをWebアプリケーションに通知する。
B. AWS WAF を ALB と統合して、GET/POST リクエストのペイロード内の認可トークンを検査する。ALB リスナーを構成して、カスタマイズしたヘッダーを挿入し、認証されたカスタマーリクエストを Web アプリケーションに通知する。
C. AWS Lambda@Edge関数を使用して、GET/POSTリクエストペイロード内の認証済みトークンを検査する。また、Lambda@Edge 関数を使用して、Web アプリケーションに認証された顧客リクエストを通知するためのカスタマイズされたヘッダーを挿入します。
D. GET/POSTリクエストのペイロード内の認可されたトークンを検査するサードパーティのパケット検査ツールを持つEC2インスタンスをセットアップする。認証された顧客のリクエストをWebアプリケーションに通知するために、カスタマイズされたヘッダーを挿入するようにツールを構成する。
回答を見る
正解: BD
質問 #60
津波の早期警報を提供する国際企業。同社は、IoTデバイスを使用して世界中の海の波を監視することを計画している。IoTデバイスが収集したデータは、AWS上の同社のインフラにできるだけ早く到達しなければならない。同社は世界各地にある3つのオペレーションセンターを利用している。各オペレーションセンターは、独自のAWS Direct Connect接続を通じてAWSに接続されている。各オペレーションセンターは、少なくとも2つのアップストリームインターネットサービスプロバイダを介してインターネットに接続されている。
A. オリジンフェイルオーバー機能付きのAmazon CloudFrontディストリビューションをセットアップする。ソリューションがデプロイされるリージョンごとにオリジングループを作成する。
B. Route 53のレイテンシベースルーティングを設定する。レイテンシエイリアスレコードを追加する。レイテンシエイリアスレコードで、Evaluate Target Healthの値をYesに設定します。
C. AWS Global Acceleratorでアクセラレータを設定する。リージョナルエンドポイントグループとヘルスチェックを設定する。
D. BYOIP(Bring Your Own IP)アドレスを設定する。ソリューションが展開される各地域で同じ PI アドレスを使用する。
回答を見る
正解: C
質問 #61
ある企業は最近、セキュリティ・コンプライアンスの要件を満たすために、Amazon EC2インスタンスをVPCプライベート・サブネットに移行した。EC2インスタンスは現在、インターネットアクセスにNATゲートウェイを使用している。移行後、プライベートEC2インスタンスから一般にアクセス可能なサードパーティデータベースへの長期にわたるデータベースクエリが応答しなくなった。データベースのクエリログを見ると、クエリは7分後に正常に完了しているが、クライアントEC2インスタンスは応答を受け取っていない。
A. NATゲートウェイのタイムアウトを設定し、最大600秒間接続を許可する。
B. クライアントEC2インスタンスで拡張ネットワークを有効にする。
C. クライアントEC2インスタンスでTCPキープアライブを300秒未満で有効にする。
D. NAT ゲートウェイを経由するアイドル状態の TCP 接続を閉じます。
回答を見る
正解: C
質問 #62
ある会社には2つのAWSアカウントがあり、1つはProduction用、もう1つはConnectivity用である。ネットワークエンジニアは、ProductionアカウントのVPCをConnectivityアカウントのトランジットゲートウェイに接続する必要があります。共有添付ファイルを自動的に受け入れる機能は、トランジットゲートウェイで有効になっていません。ネットワークエンジニアは、これらの要件を満たすために、それぞれのAWSアカウントでどの一連の手順に従うべきですか?
A. Amazon GuardDutyを使用して、DNSリクエストとVPCフローログを検査し、トラフィックパターンを分析します。
B. Amazon GuardDutyを使用して、最新のマルウェアシグネチャを搭載したAWSマネージドデコイシステムを展開する。
C. ゲートウェイ・ロードバランサーをセットアップする。トラフィックを検査するために、AWS Marketplaceから侵入検知システム(IDS)アプライアンスをAmazon EC2上で実行する。
D. Amazon Inspectorを設定して、送信トラフィックのディープパケットインスペクションを実行します。
回答を見る
正解: D
質問 #63
ある企業は、VPCの名前解決にBINDを実行するカスタムDNSサーバーを使用しています。VPCは、AWS Organizationsの同じ組織に属する複数のAWSアカウントにデプロイされている。すべてのVPCはトランジットゲートウェイに接続されています。BINDサーバーは中央のVPCで実行され、オンプレミスのDNSドメインのすべてのクエリをオンプレミスのデータセンターでホストされているDNSサーバーに転送するように構成されています。すべてのVPCがカスタムDNSサーバーを使用するようにするため、ネットワークエンジニアは次のように設定しました。
A. アプリケーションロードバランサー(ALB)を作成する。ALBにHTTPSリスナーを追加する。ALBのターゲットグループにインスタンスを登録するようにAuto Scalingグループを設定する。
B. Amazon CloudFrontディストリビューションを作成する。カスタムSSL/TLS証明書でディストリビューションを構成する。ディストリビューションのオリジンとしてAuto Scalingグループを設定する。
C. ネットワーク・ロード・バランサー(NLB)を作成する。NLBにTCPリスナーを追加します。NLBのターゲットグループにインスタンスを登録するようにAuto Scalingグループを構成する。
D. ゲートウェイロードバランサー(GLB)を作成する。GLBのターゲットグループにインスタンスを登録するようにAuto Scalingグループを設定する。
回答を見る
正解: BE
質問 #64
あるネットワークエンジニアが、自社のデータセンターと2つのAWSリージョン(us-east-1とeu-west-1)間で1GbpsのAWS Direct Connect接続を使用するハイブリッドアーキテクチャを設計しています。us-east-1のVPCはトランジットゲートウェイで接続され、複数のオンプレミスデータベースにアクセスする必要があります。会社のポリシーにより、eu-west-1のVPCは1つのオンプレミスサーバーにしか接続できない。オンプレミスのネットワークは、データベースとサーバー間のトラフィックをセグメント化します。
A. ホスト接続を1つ作成する。トランジットVIFを使用して、us-east-1のトランジットゲートウェイに接続します。プライベートVIFを使用して、eu-west-1のVPCに接続します。ダイレクトを1つ使用します。両方のVIFに1つのDirect
B. ホスト接続を1つ作成する。トランジットVIFを使用して、us-east-1のトランジットゲートウェイに接続します。プライベートVIFを使用して、eu-west-1のVPCに接続します。2つのDirect Connectゲートウェイ(各VIFに1つずつ)を使用して、Direct Connectロケーションから対応するAWSリージョンに、最もレイテンシーの低い経路でルーティングします。
C. 専用接続を1つ作成する。トランジットVIFを使用して、us-east-1のトランジットゲートウェイに接続します。プライベートVIFを使用して、eu-west-1のVPCに接続します。両方のVIFに1つのDirect Connectゲートウェイを使用し、Direct Connectロケーションから対応するAWSリージョンに、最もレイテンシーの低い経路でルーティングする。
D. 専用接続を1つ作成する。トランジットVIFを使用して、us-east-1のトランジットゲートウェイに接続します。プライベートVIFを使用して、eu-west-1のVPCに接続します。2つのDirect Connectゲートウェイ(各VIFに1つずつ)を使用して、Direct Connectロケーションから対応するAWSリージョンに、最もレイテンシーの低い経路でルーティングします。
回答を見る
正解: D
質問 #65
ネットワークエンジニアは、アプリケーションロードバランサー(ALB)で暗号化されたデータを保護するために、一意のランダムセッションキーを使用することで追加のセーフガードを提供する必要があります。
A. ALBのセキュリティポリシーを、TLS 1
B. AWS Key Management Service (AWS KMS) を使用してセッションキーを暗号化する。
C. AWS WAF の Web ACL を ALB に関連付け、前方秘匿(FS)を強制するセキュリティルールを作成する。
D. ALBのセキュリティポリシーを前方秘匿(FS)をサポートするポリシーに変更する。
回答を見る
正解: D
質問 #66
あるネットワークエンジニアが、VPC内のプライベートサブネットにAmazon EC2インスタンスをデプロイした。VPCにはパブリックサブネットがない。EC2インスタンスは、Amazon Simple Queue Service(Amazon SQS)キューにメッセージを送信するアプリケーションコードをホストしている。サブネットにはデフォルトのネットワークACLがあり、変更は適用されない。SQSキューがメッセージを受信していない。この問題の原因として考えられるのは、次のうちどれですか。(2つ選んでください)。
A. 共有サービスアカウントで、AWS KMS用のインターフェースエンドポイントを作成します。プライベート DNS 名を無効にして、インターフェイスエンドポイントを変更します。共有サービスアカウントで、インターフェイスエンドポイントを指すエイリアスレコードを持つプライベートホストゾーンを作成します。プライベートホストゾーンを各 AWS アカウントのスポーク VPC に関連付けます。
B. 共有サービスアカウントで、AWS KMS 用のインターフェイスエンドポイントを作成します。プライベート DNS 名を無効にして、インターフェイスエンドポイントを変更します。各スポーク AWS アカウントに、インターフェイスエンドポイントを指すエイリアスレコードを持つプライベートホストゾーンを作成します。各プライベートホストゾーンを共有サービス AWS アカウントに関連付けます。
C. 各スポーク AWS アカウントで、AWS KMS 用のインターフェイスエンドポイントを作成します。プライベート DNS 名を無効にして、各インターフェースエンドポイントを変更します。各スポーク AWS アカウントに、各インターフェースエンドポイントを指すエイリアスレコードを持つプライ ベートホストゾーンを作成します。各プライベートホストゾーンを共有サービス AWS アカウントに関連付けます。
D. 各スポーク AWS アカウントで、AWS KMS 用のインターフェイスエンドポイントを作成します。プライベート DNS 名を無効にして、各インターフェースエンドポイントを変更します。共有サービスアカウントで、各インターフェースエンドポイントを指すエイリアスレコードを持つプライベートホストゾーンを作成します。プライベートホストゾーンを、各 AWS アカウントのスポーク VPC に関連付けます。
回答を見る
正解: BC
質問 #67
ある銀行会社は、AWS上でパブリックモバイルバンキングスタックの運用に成功している。モバイルバンキングスタックは、プライベートサブネットとパブリックサブネットを含むVPCにデプロイされている。同社はIPv4ネットワーキングを使用しており、IPv6はこの環境ではデプロイもサポートもされていない。同社はサードパーティーのサービスプロバイダーのAPIを採用することを決定し、APIを既存の環境に統合する必要がある。サービスプロバイダのAPIはIPv6を使用する必要がある。
A. VPC内にインターネットゲートウェイとNATゲートウェイを作成します。既存のサブネットのルートテーブルに、IPv6トラフィックをNATゲートウェイに向けるルートを追加します。
B. VPC内にインターネットゲートウェイとNATインスタンスを作成します。既存のサブネットのルートテーブルに、IPv6トラフィックをNATインスタンスに向けるルートを追加します。
C. VPAにegress-onlyインターネットゲートウェイを作成し、既存のサブネットルートテーブルにルートを追加して、IPv6トラフィックをegress-onlyインターネットゲートウェイに向ける。
D. VPC内にイグレス専用のインターネットゲートウェイを作成します。すべてのインバウンドトラフィックを拒否するセキュリティグループを設定します。セキュリティグループをegress-onlyインターネットゲートウェイに関連付けます。
回答を見る
正解: C
質問 #68
開発チームは、AWSクラウドで新しいWebアプリケーションを構築しています。開発者は、会社のステージングAWSアカウントで、example.comドメインの下のパブリックに解決可能なサブドメインを使用し、必要に応じてDNSレコードを作成および削除する機能を使用して、Webアプリケーションをテストしたいと考えています。開発者は、ステージングアカウント内のRoute 53ホストゾーンにフルアクセスできます。
A. パブリックサブネットにEC2インスタンスをデプロイする。VPCにS3インターフェースエンドポイントを作成する。S3エンドポイント固有のDNSホスト名を使用するように、アプリケーション構成を変更する。
B. プライベートサブネットにEC2インスタンスをデプロイする。VPCにNATゲートウェイを作成する。プライベートサブネットにNATゲートウェイへのデフォルトルートを作成する。NATゲートウェイを使用してAmazon S3に接続する。
C. プライベートサブネットにEC2インスタンスをデプロイする。VPSにS3ゲートウェイのエンドポイントを作成する。Amazon S3へのルートを作成するために、エンドポイント作成時にプライベートサブネットのダイルートテーブルを指定する。
D. プライベートサブネットにEC2インスタンスをデプロイする。VPCにS3インターフェースエンドポイントを作成する。S3エンドポイント固有のDNSホスト名を使用するように、アプリケーション構成を変更する。
回答を見る
正解: BE
質問 #69
ある企業がAWS上にWebアプリケーションをデプロイした。このウェブアプリケーションは、複数のアベイラビリティゾーンにまたがるアプリケーションロードバランサー(ALB)を使用している。ALBのターゲットはAWS Lambdaファンクションです。Webアプリケーションは、監視のためにAmazon CloudWatchメトリクスも使用しています。ユーザは、Webアプリケーションの一部が適切にロードされないと報告します。ネットワークエンジニアは問題をトラブルシューティングする必要がある。ネットワークエンジニアは、ALB のアクセスロギングを有効にします。
A. Amazon CloudWatch Logsにログを送信する。CloudWatch InsightsでALBのログを確認し、ALBが受信しているエラーメッセージを特定する。
B. Amazon S3 バケットのデスティネーションを設定します。Amazon Athenaを使用して、ALBが受信しているエラーメッセージを特定する。
C. Amazon S3バケットの保存先を設定する。Amazon CloudWatch LogsがALBのログをS3バケットから自動的にプルした後、CloudWatch Logsでログを確認し、ALBがどのエラーメッセージを受信しているかを判断する。
D. Amazon CloudWatch Logsにログを送信する。Amazon Athena CloudWatch Connectorを使用して、ALBが受信しているエラーメッセージを特定する。
回答を見る
正解: B
質問 #70
ある企業は、アプリケーション間の通信に時代遅れのアプリケーション層プロトコルを使用してきた。同社はこのプロトコルを使用しないことを決定し、すべてのアプリケーションを新しいプロトコルをサポートするように移行しなければならない。古いプロトコルと新しいプロトコルはTCPベースだが、プロトコルは異なるポート番号を使用する。数カ月にわたる作業の後、同社はAmazon EC2インスタンスとコンテナで実行される数十のアプリケーションを移行した。同社は、すべてのアプリケーションが移行されたと考えている。
A. Amazon InspectorとそのNetwork Reachabilityルールパッケージを使用する。分析の実行が終わるまで待ち、古いポートをまだリッスンしているEC2インスタンスを見つける。
B. Amazon GuardDutyを有効にします。グラフィカルな視覚化を使用して、古いプロトコルのポートを使用するトラフィックをフィルタリングします。すべてのインターネットトラフィックを除外して、同じポートがエフェメラルポートとして使用されている場合を除外します。
C. VPC フローログが Amazon S3 バケットに配信されるように設定します。Amazon Athenaを使用してデータを照会し、古いプロトコルで使用されているポート番号をフィルタリングします。
D. アプリケーションをホストするEC2インスタンスに割り当てられているすべてのセキュリティグループを検査する。古いプロトコルのポートが許可されている場合は、そのポートを削除する。セキュリティグループからポートを削除した後、アプリケーションが正常に動作していることを確認する。
回答を見る
正解: C
質問 #71
ある企業は、リンクアグリゲーショングループ(LAG)バンドルを使用した4GbpsのAWS Direct Connect専用接続を使用して、us-east-1リージョンに展開されている5つのVPCに接続しています。各VPCは異なるビジネスユニットを対象としており、オンプレミス環境への接続には独自のプライベートVIFを使用しています。ネットワークエンジニアは、スループットが突然増加し、Direct Connect接続が同じタイミングで飽和することを発見しました。
A. VirtualInterfaceBpsEgressとVirtualInterfaceBpsIngressのAmazon CloudWatchメトリクスを確認し、遅さが観察された期間中にどのVIFが最も高いスループットを送信しているかを判断します。新しい 10 Gbps 専用接続を作成します。既存の専用接続から新しい専用接続にトラフィックをシフトします。
B. Amazon CloudWatchのVirtualInterfaceBpsEgressとVirtualInterfaceBpsIngressのメトリクスを確認し、速度低下が観察された期間中にどのVIFが最も高いスループットを送信しているかを特定する。既存の専用接続の帯域幅を10 Gbpsにアップグレードします。
C. ConnectionBpsIngressとConnectionPpsEgressのAmazon CloudWatchメトリクスを確認し、速度低下が観察された期間中に、どのVIFが最も高いスループットを送信しているかを判断します。既存の専用接続を5 Gbpsのホスト接続にアップグレードします。
D. ConnectionBpsIngressとConnectionPpsEgressのAmazon CloudWatchメトリクスを確認して、遅さが観察された期間中にどのVIFが最も高いスループットを送信しているかを判断します。新しい10 Gbps専用接続を作成します。既存の専用接続から新しい専用接続にトラフィックをシフトします。
回答を見る
正解: A
質問 #72
ある企業では、一元化された共有サービス VPC 内の複数のアベイラビリティゾーンに、ステートフルセキュリティアプライアンスを配備しています。AWS環境には、アプリケーションVPCと共有サービスVPCに接続されるトランジットゲートウェイが含まれています。アプリケーションVPCには、複数のアベイラビリティゾーンにまたがるプライベートサブネットに展開されたワークロードがあります。共有サービスVPCのステートフル・アプライアンスは、すべての東西(VPC間)トラフィックを検査します。
A. 共有VPCで、VPCアタッチメントをVPNアタッチメントに置き換えます。トランジット・ゲートウェイとファイアウォール・アプライアンス間にVPNトンネルを作成します。BGPを設定します。
B. VPC AおよびVPC BのVPCアタッチメントでトランジットゲートウェイアプライアンスモードを有効にします。
C. 共有VPのVPCアタッチメントでトランジットゲートウェイアプライアンスモードを有効にする
D. 共有VPCにおいて、1つのVPCピアリング接続をVPC Aに、もう1つのVPCピアリング接続をVPC Bに設定します。
回答を見る
正解: D
質問 #73
ある企業がコンテナ化されたアプリケーションをAWSに移行しようとしている。このアーキテクチャでは、Amazon Elastic Kubernetes Service(Amazon EKS)クラスタ内のフロントエンドポッドにトラフィックを分散させるために、ネットワークロードバランサー(NLB)を備えたイングレスVPCを用意する。アプリケーションのフロントエンドは、どのユーザーがアクセスを要求しているかを判断し、10個のサービスVPCのうちの1つにトラフィックを送信します。各サービスVPCには、EKSクラスタ内のサービスポッドにトラフィックを分散するNLBが含まれる。
A. ステートフルアプライアンスとトランジットゲートウェイアタッチメントは、共有サービスVPC内の別のサブネットに配備されています。
B. アプライアンスモードは、共有サービスVPCへのトランジットゲートウェイアタッチで有効になっていません。
C. ステートフルアプライアンスとトランジットゲートウェイアタッチメントは、共有サービスVPの同じサブネットに配備されている。
D. アプリケーションVPCへのトランジットゲートウェイアタッチでアプライアンスモードが有効になっていません。
回答を見る
正解: C
質問 #74
本番用VPC、非本番用VPC、共有サービス用VPCです。本番用VPCと非本番用VPCは、それぞれ共有サービスVPCと通信する必要があります。本番用VPCと非本番用VPCの間には通信があってはなりません。トランジットゲートウェイは、VPC間の通信を容易にするために導入されます。トランジットゲートウェイ上のどのルートテーブル構成がこれらの要件を満たすでしょうか。
A. 共有サービス VPC だけに伝播されたルートに関連付けられた、本番および非本番 VPC のアタッチメントを持つルートテーブルを構成します。本番用VPCと非本番用VPCから伝搬されたルートに関連付けられた共有サービスVPCアタッチメントのみを使用して、追加のルートテーブルを作成します。
B. 各VPCの伝搬経路に関連付けられた本番用VPCアタッチメントと非本番用VPCアタッチメントでルートテーブルを構成します。各VPCから伝搬されたルートに関連付けられた共有サービスVPCアタッチメントのみを持つ追加のルートテーブルを作成します。
C. 共有サービスVPCのみに伝播された経路に関連するすべてのVPCアタッチメントを持つルートテーブルを構成する 本番および非本番VPCから伝播された経路に関連する共有サービスVPCアタッチメントのみを持つ追加のルートテーブルを作成します。
D. 伝搬経路に関連付けられた本番用VPCと非本番用VPCのアタッチメントを無効にしたルートテーブルを構成します。本番用VPCおよび非本番用VPCからの伝搬経路に関連付けられた共有サービスVPCアタッチメントのみを使用して、追加のルートテーブルを作成します。
回答を見る
正解: A
質問 #75
ある企業はグローバルネットワークを持っており、トランジットゲートウェイを使用してAWSリージョン間を接続している。この企業は、異なるリージョンにある2つのAmazon EC2インスタンスが互いに通信できないことを発見しました。ネットワークエンジニアは、この接続性の問題をトラブルシューティングする必要があります。
A. AWS Network Manager Route Analyzer を使用して、トランジットゲートウェイのルートテーブルと VPC のルートテーブルのルートを分析します。VPC フローログを使用して、VPC 内でセキュリティグループルールおよびネットワーク ACL ルールが受け入れまたは拒否する IP トラフィックを分析します。
B. AWS Network Manager Route Analyzer を使用して、トランジットゲートウェイのルートテーブルのルートを分析します。VPC のルートテーブルが正しいことを確認します。AWS Firewall Manager を使用して、セキュリティグループルールおよびネットワーク ACL ルールが VPC 内で受け入れまたは拒否する IP トラフィックを分析します。
C. AWS Network Manager Route Analyzer を使用して、トランジットゲートウェイのルートテーブ ルのルートを分析します。VPC のルートテーブルが正しいことを確認します。VPCフローログを使用して、セキュリティグループルールおよびネットワークACLルールがVPで受け入れまたは拒否するIPトラフィックを分析します。
D. VPC Reachability Analyzer を使用して、トランジットゲートウェイのルートテーブル内のルートを分析します。VPCルートテーブルが正しいことを確認します。VPCフロー・ログを使用して、VPC内のセキュリティ・グループ・ルールおよびネットワークACLルールが受諾または拒否するIPトラフィックを分析します。
回答を見る
正解: C

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.