見出し画像

AWS認定SysOpsアドミニストレーター アソシエイト【SOA-C02版】200題 問題集全問解答+全問解説付き

AWS認定SysOpsアドミニストレーター アソシエイト【SOA-C02版】の過去問200題を全問解答+全問解説付き

AWS Certified SysOps Administrator - Associate【SOA-C02版】の最新の問題になります。

筆者が実際に受験して、問題を収集し解答とその解説を全問付けております。
問題数は合計200題。
実際に受験し、重複問題や類似問題を削除しています。
この200問の問題の解答を理解できれば、ほぼ間違いなく、合格すると思います。

ここから問題と解答/解説になります。

200題、全問解答+全問解説付きになります。

1.

ある会社は最近、そのサーバー インフラストラクチャを Amazon EC2 インスタンスに接続しました。この会社は、Amazon CloudWatch メトリクスを使用して、インスタンスのメモリ使用率と使用可能なディスク容量を追跡したいと考えています。
これらの要件を満たすために、SysOps 管理者は何をすべきでしょうか?


A. すべてのインスタンスに CloudWatch エージェントをインストールして構成します。インスタンスが CloudWatch にログを書き込むことができるように、必要なセキュリティ グループをアタッチします。

B. CloudWatch による監視が必要なすべてのインスタンスに対して、AWS マネジメント コンソールから CloudWatch を構成します。AWS は、指定されたインスタンスにエージェントを自動的にインストールして構成します。

C. すべてのインスタンスに CloudWatch エージェントをインストールして構成する IAM ユーザーをアタッチして、インスタンスが CloudWatch にログを書き込めるようにします。

D. すべてのインスタンスに CloudWatch エージェントをインストールして構成します。IAM ロールをアタッチして、インスタンスが CloudWatch にログを書き込めるようにします。



正解:C

解説します。

A. 不正解:この選択肢は CloudWatch エージェントのインストールと構成を指摘していますが、インスタンスが CloudWatch にログを書き込むために「セキュリティ グループ」をアタッチすることに言及しています。実際には、セキュリティ グループではなく、適切な権限を持つ IAM ロールをインスタンスにアタッチする必要があります。

B. 不正解:この選択肢は AWS マネジメント コンソールから CloudWatch を構成すると、AWS が自動的にエージェントをインストールして構成すると誤解しています。しかし、実際には、SysOps 管理者が CloudWatch エージェントを手動でインストールして構成する必要があります。

C. 正解:この選択肢は、CloudWatch エージェントをインストールして構成するために IAM ユーザーを使用することを提案しています。インスタンスが CloudWatch にログを書き込めるようにするために、適切な権限を持つ IAM ユーザーを使用することは実行可能な方法です。ただし、通常はインスタンスに IAM ロールをアタッチする方が推奨されますが、IAM ユーザーを使用することも技術的には可能です。

D. 不正解:この選択肢は CloudWatch エージェントのインストールと構成を指摘しており、IAM ロールを使用することも正しいアプローチです。しかし、IAM ロールをアタッチする方法は一般的に推奨される方法であり、選択肢 C が正解とされているのはやや意外です。これは問題の文脈や特定の要件に基づいている可能性があります。

総合的に、CloudWatch エージェントのインストールと構成はメモリ使用率とディスク容量の監視に必要であり、これには適切な権限を持つ IAM ロールまたはユーザーが必要です。ただし、通常のベストプラクティスとしては、IAM ロールを使用することが推奨されます。


2.

企業は、Amazon EC2 インスタンスで社内アプリケーションをホストしています。すべてのアプリケーション データとリクエストは、オンプレミス ネットワークと AWS の間の AWS Site-to-Site VPN 接続を介してルーティングされます。企業は、企業ネットワーク外のネットワーク アクセスを許可する変更について、アプリケーションを監視する必要があります。アプリケーションを外部に公開する変更は、自動的に制限する必要があります。
最も運用効率の高い方法でこれらの要件を満たすソリューションはどれですか?

A. エラスティック ネットワーク インターフェイスに関連付けられているセキュリティ グループを更新して、企業以外の CIDR 範囲を持つインバウンド ルールを削除する AWS Lambda 関数を作成します。VPC フロー ログをオンにして、ログを Amazon CloudWatch Logs に送信します。企業以外の CIDR 範囲からのトラフィックに一致する Amazon CloudWatch アラームを作成し、Lambda 関数をターゲットとして Amazon Simple Notification Service (Amazon SNS) トピックにメッセージを発行します。

B. AWS Systems Manager Automation ドキュメントをターゲットにして、EC2 インスタンスのパブリック IP アドレスをチェックする、スケジュールされた Amazon EventBridge (Amazon CloudWatch Events) ルールを作成します。EC2 インスタンスでパブリック IP アドレスが見つかった場合は、別の Systems Manager Automation ドキュメントを開始してインスタンスを終了します。

C. AWS Config とカスタム ルールを構成して、セキュリティ グループが企業以外の CIDR 範囲からのインバウンド リクエストを許可するかどうかを監視します。AWS Systems Manager Automation ドキュメントを作成して、企業以外の CIDR 範囲をアプリケーション セキュリティ グループから削除します。

D. タグによって EC2 インスタンスとのパブリック IP の関連付けを監視するための AWS Config とマネージド ルールを構成します。EC2 インスタンスに識別子のタグを付けます。AWS Systems Manager Automation ドキュメントを作成して、EC2 インスタンスからパブリック IP の関連付けを削除します。



正解:C

解説します。
A. 不正解: この選択肢は、VPC フロー ログを使用してログを CloudWatch Logs に送信し、企業以外の CIDR 範囲からのトラフィックに対応する CloudWatch アラームを作成し、Lambda 関数を使用してセキュリティ グループを更新するというアプローチを提案しています。この方法は監視には適していますが、トラフィックがすでに発生した後に反応するため、最も効率的な解決策ではありません。
B. 不正解: この選択肢は、EventBridge (CloudWatch Events) ルールを使用して EC2 インスタンスのパブリック IP アドレスを監視し、見つかった場合は Systems Manager Automation ドキュメントを使用してインスタンスを終了するというアプローチを提案しています。しかし、この方法はアプリケーションの実行を中断させる可能性があり、運用効率が低いです。
C. 正解: この選択肢は、AWS Config とカスタムルールを使用してセキュリティグループの変更を監視し、Systems Manager Automation ドキュメントを使用して企業以外の CIDR 範囲をセキュリティグループから削除するというアプローチを提案しています。この方法はプロアクティブにセキュリティグループを監視し、違反が発生した場合に自動的に修正するため、運用効率が高いと考えられます。
D. 不正解: この選択肢は、AWS Config とマネージドルールを使用して EC2 インスタンスのパブリック IP の関連付けを監視し、Systems Manager Automation ドキュメントを使用してパブリック IP の関連付けを削除するというアプローチを提案しています。しかし、この方法ではセキュリティグループの監視が行われず、企業以外の CIDR 範囲からのリクエストの防止には不十分です。
総合的に、選択肢 C が企業以外の CIDR 範囲からのアクセスを自動的に制限し、アプリケーションを監視する最も効率的な方法を提供します。



3.

企業はアプリケーションを AWS に移行する必要があります。企業は構成管理に Chef レシピを使用しています。企業は、アプリケーションが AWS に移行された後も既存の Chef レシピを引き続き使用したいと考えています。
これらの要件を満たす最も運用効率の高いソリューションは何ですか?


A. Docker プラットフォームで AWS Elastic Beanstalk を使用して、Chef レシピをアップロードします。
B. AWS CloudFormation を使用してスタックを作成し、Chef レシピのレイヤーを追加します。
C. AWS OpsWorks を使用してスタックを作成し、Chef レシピでレイヤーを追加します。
D. AWS Cloud Formation を使用して、Amazon EC2 インスタンスを作成し、Chef サーバーをインストールして、Chef レシピを追加します。



正解:C

解説します。

A. 不正解: AWS Elastic Beanstalkは、アプリケーションのデプロイ、管理、スケーリングを簡素化するためのサービスです。しかし、Elastic BeanstalkはChefレシピの直接的なサポートを提供していません。Elastic Beanstalkにおいてカスタムスクリプトを使用することは可能ですが、このケースでは最も適切な選択ではありません。

B. 不正解: AWS CloudFormationは、インフラストラクチャーをコードとして定義し、デプロイするためのサービスです。CloudFormationはインフラストラクチャーのプロビジョニングには有用ですが、Chefレシピの統合や運用に特化しているわけではありません。

C. 正解: AWS OpsWorksは、ChefやPuppetのような構成管理ツールを使用してインフラストラクチャーを管理するためのサービスです。OpsWorksはChefレシピを直接サポートしており、アプリケーションのデプロイや運用を効率的に行うことができます。このケースにおいては、既存のChefレシピを継続して使用するための最も運用効率の高い選択です。

D. 不正解: この選択肢では、AWS CloudFormationを使用してEC2インスタンスを作成し、その上にChefサーバーをインストールしてレシピを追加することを提案しています。この方法は技術的に可能ですが、手動でChefサーバーを設定・管理する必要があり、運用効率の面で最適ではありません。

総合的に、選択肢 C がAWSへの移行後も既存のChefレシピを使用するための最も運用効率の高い方法を提供します。


4.

SysOps 管理者は、他の国のチームがインターネット経由でアプリケーションを使用する会社の Amazon EC2 インスタンスでアプリケーションを構成しています。この会社では、アプリケーション エンドポイントに静的パブリック IP アドレスが必要です。
SysOps 管理者は、この要件を満たすためにアプリケーションをどのように展開する必要がありますか?


A. Application Load Balancer の背後
B. Amazon CloudFront ディストリビューション内
C. Amazon API Gateway API の背後
D. インターネットに接続された Network Load Balancer の背後



正解:D

解説します。

A. 不正解: Application Load Balancer (ALB) は、レイヤー7(アプリケーションレイヤー)の負荷分散を提供しますが、静的なパブリックIPアドレスを提供しません。ALBを使用すると、パブリックDNS名が提供されますが、背後にあるEC2インスタンスに対して直接の静的IPは割り当てられません。

B. 不正解: Amazon CloudFrontは、コンテンツ配信ネットワーク(CDN)サービスです。CloudFrontを使用すると、アプリケーションのパフォーマンスを向上させ、コンテンツを高速に配信できますが、特定の静的なパブリックIPアドレスを提供するものではありません。

C. 不正解: Amazon API Gatewayは、APIの作成、公開、維持、監視、およびセキュリティ保護を簡素化するサービスです。しかし、API Gatewayは静的なパブリックIPアドレスを提供する機能はありません。

D. 正解: Network Load Balancer (NLB) は、レイヤー4(トランスポートレイヤー)の負荷分散を提供し、ELBの中で唯一、Elastic IPアドレス(静的パブリックIPアドレス)を割り当てることができます。したがって、インターネットに接続されたNLBの背後にアプリケーションを配置することで、静的なパブリックIPアドレスの要件を満たすことができます。

総合的に、選択肢 D が与えられた要件に最も適しています。


5.

SysOps 管理者が、Amazon EC2 Auto Scaling グループのスケールアップ イベントに気付く Amazon CloudWatch が、関連付けられた Application Load Balancer の RequestCount メトリクスにスパイクを表示する 管理者は、リクエストの送信元の IP アドレスを知りたい 管理者はどこで確認できますかこの情報を見つけますか?


A. Auto Scaling ログ
B. AWS CloudTrail ログ
C. EC2 インスタンスのログ
D. Elastic Load Balancer のアクセス ログ



正解:D

解説します。

A. 不正解: Auto Scalingログは、Auto Scalingグループの活動(スケールアップやスケールダウンイベントなど)に関する情報を提供しますが、リクエストの送信元のIPアドレスのような詳細なトラフィック情報は含まれていません。

B. 不正解: AWS CloudTrailは、AWSアカウントのAPI呼び出し履歴を記録するサービスです。これには、リクエストの送信元IPアドレスなどのネットワークトラフィックに関する情報は含まれていません。

C. 不正解: EC2インスタンスのログは、そのインスタンスで実行されているアプリケーションやシステムに関する情報を含むことがありますが、ロードバランサーを通じてインスタンスに届くリクエストの送信元のIPアドレスを直接提供するものではありません。

D. 正解: Elastic Load Balancer(特にApplication Load Balancer)のアクセスログは、リクエストの送信元IPアドレス、リクエストのターゲット、リクエストタイムスタンプなどの詳細なリクエスト情報を提供します。したがって、管理者はApplication Load Balancerのアクセスログを確認することで、リクエストの送信元のIPアドレスを見つけることができます。


6.

ある企業は、データ処理サービスを提供するために外部ベンダーと提携しています。この統合のために、ベンダーはベンダーの AWS アカウントの Amazon S3 バケットで会社のデータをホストする必要があります。ベンダーは、会社が AWS Key Management Service (AWS KMS) キーを提供して会社のデータを暗号化することを許可しています。ベンダーは、この統合のために IAM ロールの Amazon リソースネーム (ARN) を会社に提供しました。
この統合を構成するには、SysOps 管理者は何をする必要がありますか?


A. 新しい KMS キーを作成します。新しい IAM ユーザーを作成します。ベンダーの IAM ロール ARN を、IAM ユーザーにアタッチされたインライン ポリシーに追加します。新しい IAM ユーザー ARN をベンダーに提供します。

B. KMS 管理の S3 キーを使用して暗号化を構成します。ベンダーの IAM ロール ARN を KMS 管理の S3 キー ポリシーに追加します。KMS 管理の S3 キー ARN をベンダーに提供します。

C. 新しい KMS キーを作成します。ベンダーの IAM ロール ARN を KMS キー ポリシーに追加します。新しい KMS キー ARN をベンダーに提供します。

D. KMS 管理の S3 キーを使用して暗号化を構成します。S3 バケットを作成します。ベンダーの IAM ロール ARN を S3 バケット ポリシーに追加します。S3 バケット ARN をベンダーに提供します。



正解:B

解説します。

A. 不正解: この選択肢は、新しいIAMユーザーとKMSキーの作成を提案していますが、このシナリオでは不適切です。ベンダーがIAMロールのARNを提供しているため、このロールを直接KMSキーのポリシーに組み込むのが適切です。

B. 正解: この選択肢は、KMS管理のS3キーを使用してデータの暗号化を構成し、ベンダーのIAMロールARNをKMS管理のS3キーのポリシーに追加することを提案しています。これにより、ベンダーは指定されたKMSキーを使用してS3バケット内のデータを暗号化および復号化できます。次に、KMS管理のS3キーARNをベンダーに提供します。

C. 不正解: この選択肢は新しいKMSキーの作成とベンダーのIAMロールARNをKMSキーポリシーに追加することを提案していますが、KMSキーのARNをベンダーに提供することはこのシナリオでは不適切です。代わりに、KMSキーポリシーを使用してベンダーに必要なアクセス権を付与するべきです。

D. 不正解: この選択肢は、KMS管理のS3キーを使用して暗号化を構成し、S3バケットを作成し、ベンダーのIAMロールARNをS3バケットポリシーに追加することを提案しています。しかし、問題のシナリオではベンダーがすでにS3バケットを持っており、S3バケットの作成は必要ありません。


7.
Amazon EC2インスタンスのメタデータサービスを使用する際、次のうちメタデータサービスから取得できない情報はどれですか?

A. インスタンスタイプ
B. インスタンスID
C. IAMロール
D. インスタンスの購入オプション


解答: D

解説:
A. インスタンスタイプ: EC2インスタンスのメタデータサービスを使用すると、インスタンスタイプ(t2.micro、c5.largeなど)の情報を取得できます。これは、インスタンスの構成を動的に判断するのに役立ちます。

B. インスタンスID: メタデータサービスからは、EC2インスタンスのインスタンスIDを取得できます。インスタンスIDは、インスタンスを一意に識別するために使用される文字列です。

C. IAMロール: EC2インスタンスに割り当てられたIAMロールの情報は、メタデータサービスから取得できます。IAMロールは、インスタンスに対して特定のAWSリソースへのアクセス権限を付与するために使用されます。

D. インスタンスの購入オプション: EC2インスタンスの購入オプション(オンデマンド、リザーブドインスタンス、スポットインスタンスなど)の情報は、メタデータサービスから直接取得することはできません。購入オプションは、インスタンスの起動時に選択され、課金に影響しますが、インスタンス自体のメタデータには含まれません。


8.

企業は AWS CloudFormation テンプレートを使用して、Amazon EC2 インスタンスと Amazon RDS DB インスタンスをプロビジョニングします SysOps 管理者は、EC2 インスタンスが起動される前に DB インスタンスが作成されるようにテンプレートを更新する必要があります この要件を満たすために SysOps 管理者が行うべきことは?


A. テンプレートに待機条件を追加する EC2 インスタンスのユーザー データ スクリプトを更新して、EC2 インスタンスの起動後にシグナルを送信します。

B. EC2 インスタンス リソースに DependsOn 属性を追加し、RDS リソースの論理名を指定します。

C. RDS リソースが EC2 インスタンス リソースの前にリストされるように、テンプレート内のリソースの順序を変更します。

D. 複数のテンプレートを作成する AWS CloudFormation StackSets を使用して、2 つ目のスタックが作成される前に 1 つのスタックが完了するのを待ちます




正解:B

解説します。

A. 不正解: 待機条件(Wait Conditions)は、特定のリソースの作成やソフトウェアのインストールなどが完了するまでCloudFormationがスタックの作成を待機するために使用されますが、ここで求められているのは、特定のリソース間の依存関係を指定することです。待機条件は、この特定の要件を満たすのに適切な方法ではありません。

B. 正解: DependsOn 属性を使用することで、特定のリソースが他のリソースに依存していることを指定できます。この場合、EC2 インスタンスが RDS DB インスタンスに依存するように設定することで、DB インスタンスが先に作成され、その後にEC2 インスタンスが作成されるようにできます。

C. 不正解: CloudFormation テンプレート内のリソースの順序は、リソースの作成順序を決定しません。CloudFormationは、依存関係を自動的に解決しようとしますが、明示的な指定がない限り、特定の順序でリソースを作成するとは限りません。

D. 不正解: 複数のテンプレートを使用することも可能ですが、このケースでは必要ありません。また、AWS CloudFormation StackSetsは、複数のAWSアカウントやリージョンにまたがってスタックを管理するためのものです。この場合、必要なのは単一のテンプレート内で特定の依存関係を設定することです。


9.

ある企業は、重要なデータを Amazon S3 バケットに保存しています。SysOps 管理者は、すべての S3 API アクティビティを記録するソリューションを構築する必要があります。この要件を満たすアクションはどれですか?


A. オブジェクト アクセス ログを記録するように S3 バケット メトリックを構成します。

B. AWS CloudTrail 証跡を作成して、すべての S3 オブジェクトにデータ イベントを記録します。

C. 各 S3 バケットの S3 サーバー アクセス ログを有効にします。

D. AWS IAM Access Analyzer for Amazon S3 を使用して、オブジェクト アクセス ログを保存します。



正解:B

解説します。

A. 不正解: S3 バケットのメトリクスは、バケットの使用状況に関する情報(たとえば、リクエストの数やデータ転送量など)を提供しますが、特定のAPIコールやアクティビティの詳細を記録する機能はありません。

B. 正解: AWS CloudTrail は、AWS アカウントのAPI呼び出し履歴を記録し、これらの呼び出しをログファイルとして提供します。データイベントの記録を有効にすることで、S3 バケットに対する特定の API コール(たとえば、GetObject、PutObjectなど)を詳細に記録することができます。

C. 不正解: S3 サーバーアクセスログは、S3 バケットへのリクエストを記録しますが、これには一部の制限があります。たとえば、これは AWS マネジメントコンソールからのアクセスを記録しません。また、CloudTrailと比較すると、APIコールの詳細な記録には限界があります。

D. 不正解: IAM Access Analyzer for Amazon S3 は、バケットポリシーにおけるアクセス許可の問題を特定し、アクセス許可の不要なブロードニングを防ぐためのツールです。これはオブジェクトアクセスログを記録するためのツールではありません。


10.

SysOps 管理者が AWS Systems Manager Session Manager を使用してインスタンスに接続する SysOps 管理者が新しい Amazon EC2 インスタンスを起動した後、接続に使用できるシステムの Session Manager リストに EC2 インスタンスが表示されません。SysOps 管理者は、Systems Manager エージェントが更新されてインストールされ、EC2 インスタンスで実行されていることを確認します。この問題の理由は何ですか?


A. SysOps 管理者は、接続に必要なキー ペアにアクセスできません。
B. SysOps 管理者は、ポート 22 で SSH を許可するセキュリティ グループを EC2 インスタンスにアタッチしていません。
C. EC2 インスタンスには、Session Manager が EC2 インスタンスに接続できるようにする IAM ロールがアタッチされていません。
D. EC2 インスタンス ID が Session Manager 構成に入力されていません。



正解:C

解説します。

A. 不正解: Systems Manager Session Managerを使用する場合、インスタンスに接続するためにSSHキーペアは必要ありません。Session Managerは、AWS Management Console、AWS CLI、またはAWS SDKを介してインスタンスへのセキュアなアクセスを提供します。

B. 不正解: Session Managerを使用する際に、ポート22でのSSHアクセスを許可する必要はありません。実際、Session Managerはポート22を使用せずに接続を提供するため、よりセキュアな接続方法とされています。

C. 正解: AWS Systems Managerとその機能(この場合はSession Manager)を使用するには、適切なIAMロールがEC2インスタンスにアタッチされている必要があります。このロールは、Systems Managerがインスタンスにアクセスし、管理タスクを実行するための適切な許可を提供します。

D. 不正解: Session Managerの設定では、EC2インスタンスIDを個別に入力する必要はありません。IAMロールが適切に構成されていて、Systems Managerエージェントがインストールされていれば、インスタンスは自動的にSession Managerで利用可能になります。

ここから先は

142,740字
この記事のみ ¥ 2,000

この記事が気に入ったらサポートをしてみませんか?