AWS Cloud Practitioner (CLF-C02) 模擬試験 - 60問完全攻略ガイド

A) 設備投資(CapEx)モデル B) 運用費用(OpEx)モデル C) 減価償却モデル D) 固定費用モデル

答え: B

解説: AWSクラウドは運用費用(OpEx)モデルを採用しています。企業はサーバーやデータセンターを事前に購入(CapEx)する必要なく、実際に使用したリソースに対してのみ費用を支払います。これにより大きな初期資本投資なしに必要なコンピューティングリソースを確保できます。従来のオンプレミス環境ではサーバー購入、データセンターリース、ハードウェアメンテナンスなどに多大なCapExが必要でした。

A) 顧客データの暗号化 B) オペレーティングシステムのパッチ管理 C) 物理データセンターのセキュリティ D) IAMユーザーの権限管理

答え: C

解説: AWS責任共有モデルでは、AWSは「クラウドのセキュリティ(Security OF the Cloud)」を担当します。これには物理データセンターのセキュリティ、ハードウェア、ネットワークインフラ、仮想化レイヤーが含まれます。一方、顧客は「クラウド内のセキュリティ(Security IN the Cloud)」を担当し、OSパッチ、アプリケーションセキュリティ、データ暗号化、IAM管理などが含まれます。

A) AWSサービスは常に固定価格で提供される B) AWSは数百万の顧客の使用量を集約して低コストを実現し、それを顧客に還元する C) 顧客が多く使うほどサービス品質が低下する D) 規模の経済は大企業にのみ適用される

答え: B

解説: AWSは世界中の数百万の顧客のインフラを管理することで規模の経済を実現しています。これによりハードウェア、エネルギー、運用コストを削減でき、その節約分を低価格として顧客に還元します。これは個々の企業が自社データセンターを運営する場合には不可能なコスト効率性を提供します。時間の経過とともにAWSは規模の経済により継続的にサービス料金を引き下げてきました。

A) パブリック、プライベート、ハイブリッド B) IaaS、PaaS、SaaS C) オンプレミス、コロケーション、クラウド D) 開発、ステージング、本番

答え: A

解説: クラウドコンピューティングの3つのデプロイメントモデルは、パブリック(AWSのような共有クラウド)、プライベート(企業専用クラウド)、ハイブリッド(オンプレミスとパブリッククラウドの組み合わせ)です。IaaS、PaaS、SaaSはクラウドサービスモデルであり、デプロイメントモデルとは異なる概念です。ほとんどの企業は現在、既存のオンプレミスインフラとクラウドを組み合わせたハイブリッドモデルを採用しています。

A) AWSがすべてのサーバー容量を事前に購入しておく B) 必要に応じてリソースを増減できるため、過剰または不足プロビジョニングを防げる C) AWSは常に最大容量でサービスを提供する D) 顧客は未使用のリソースに対しても費用を支払う必要がある

答え: B

解説: AWSクラウドの弾力性(Elasticity)により、企業は事前にサーバー容量を推測する必要がなくなります。トラフィックが増加すればすぐにリソースを拡張(Scale Up/Out)し、減少すれば縮小(Scale Down/In)できます。これは従来のオンプレミス環境で発生していた過剰プロビジョニング(コスト無駄)または不足プロビジョニング(サービス障害)の問題を解決します。

A) 世界の主要都市にあるAWSエッジロケーション B) 独立した電源、冷却、ネットワークを持つ1つ以上の物理データセンターで構成される施設 C) AWSサービスを提供する地理的地域 D) AWS CDNサービスの配信ポイント

答え: B

解説: アベイラビリティーゾーン(AZ)は、AWSリージョン内にある独立した電源、冷却、ネットワーク接続を備えた1つ以上の物理データセンターで構成される施設です。各AZは他のAZの障害から隔離されています。1つのリージョンには通常2〜6つのAZがあり、高速のプライベートネットワークで接続されています。複数のAZにアプリケーションをデプロイすることで高可用性を実現できます。

A) Amazon RDS B) AWS Lambda C) Amazon EC2 D) AWS Elastic Beanstalk

答え: C

解説: Amazon EC2はIaaS(Infrastructure as a Service)の代表的な例です。EC2は仮想サーバー(コンピューティングインフラ)を提供し、顧客がオペレーティングシステム、ミドルウェア、ランタイム、データ、アプリケーションを直接管理します。一方、RDSはPaaSの性質が強く、LambdaはFaaS(Function as a Service)、Elastic BeanstalkはPaaSに近いサービスです。IaaSは顧客に最も多くの制御権を提供します。

A) 災害発生時にAWSがすべてのデータを自動的に復旧する B) 低コストで複数のリージョンにバックアップ環境を構築できる C) 災害復旧はAWSでサポートされていない機能だ D) 災害復旧には別途ハードウェアを購入する必要がある

答え: B

解説: AWSクラウドを使用すると、従来のオンプレミス災害復旧よりはるかに低コストで強力なDR(Disaster Recovery)環境を構築できます。複数のリージョンにデータをレプリケートし、必要な時だけリソースを起動するパイロットライト(Pilot Light)やウォームスタンバイ(Warm Standby)戦略が使用できます。従来はDRサイト構築に多大なハードウェア投資が必要でしたが、AWSでは使用した分だけ支払います。

A) 運用上の優秀性(Operational Excellence) B) セキュリティ(Security) C) コスト最適化(Cost Optimization) D) 顧客満足度(Customer Satisfaction)

答え: D

解説: AWS Well-Architectedフレームワークの6つの柱は、運用上の優秀性(Operational Excellence)、セキュリティ(Security)、信頼性(Reliability)、パフォーマンス効率(Performance Efficiency)、コスト最適化(Cost Optimization)、持続可能性(Sustainability)です。顧客満足度はWell-Architectedフレームワークの公式な柱ではありません。このフレームワークはクラウドアーキテクチャを評価し改善するために使用されます。

A) 物理サーバーよりも常に高速な処理速度を提供する B) 数分で新しいリソースをプロビジョニングでき、アイデアを素早く実験できる C) AWSサービスは自動的に更新される D) グローバルネットワークによりレイテンシーがゼロになる

答え: B

解説: AWSの俊敏性のメリットは、数週間や数ヶ月ではなく数分でITリソースをプロビジョニングできることです。これにより開発チームが新しいアイデアを素早く実験し、成功すれば拡張し、失敗してもコスト負担なく廃棄できます。従来のオンプレミス環境では新しいサーバーの調達に数週間かかりましたが、AWSではAPI呼び出し1回で即座に開始できます。

A) 単一のサーバーにすべてのリソースを集中させてパフォーマンスを最大化する B) 複数のアベイラビリティーゾーンにリソースを分散して単一障害点を除去する C) データを単一のリージョンにのみ保存してセキュリティを強化する D) 手動でサーバーを監視して障害を検知する

答え: B

解説: 高可用性とは、複数のアベイラビリティーゾーン(AZ)にリソースを分散配置することで単一障害点(SPOF)を除去することです。1つのAZで障害が発生しても、他のAZでサービスが継続して提供されます。AWS ELB(Elastic Load Balancer)とAuto Scalingを使用すると、トラフィックを複数のAZに分散し、障害発生時に自動的に健全なインスタンスにルーティングできます。

A) AWSはスタートアップに無料サービスを提供していない B) AWS無料利用枠を通じて、特定のサービスを12ヶ月間無料で使用できる C) すべてのAWSサービスを無期限に無料で使用できる D) スタートアップはAWSサービスを50%割引で利用できる

答え: B

解説: AWS無料利用枠は新しいAWSアカウントに対してさまざまな無料特典を提供します。12ヶ月無料(例: EC2 t2.microを月750時間、S3を5GB)、常時無料(例: Lambdaを月100万リクエスト)、短期無料体験(例: 一部サービスを60日間無料体験)の3種類があります。これにより初期コストなしでAWSサービスを体験し、プロトタイプを構築できます。

A) データ規制とガバナンスの要件 B) サービスの可用性 C) AWSの従業員数 D) レイテンシー

答え: C

解説: AWSリージョン選択時の主な考慮事項は、コンプライアンスとデータガバナンス(例: GDPR、データローカライゼーション要件)、サービスの可用性(すべてのサービスがすべてのリージョンで提供されているわけではない)、レイテンシー(ユーザーに近いリージョンを選択)、コスト(リージョンによって料金が異なる場合がある)です。AWSの従業員数はリージョン選択に無関係な要素です。

A) オンプレミスは常にクラウドより安価だ B) クラウドは初期投資なしに従量課金制を使用し、オンプレミスはハードウェアを直接購入・管理する C) クラウドはセキュリティが脆弱なため、大企業は使用しない D) オンプレミスは無制限にスケールできる

答え: B

解説: オンプレミスインフラは企業が物理サーバーとデータセンターを直接購入、設置、保守する方式で、高い初期資本投資(CapEx)が必要です。一方、クラウドはAWSのようなプロバイダーのインフラを使用し、使用した分だけ費用を支払うOpExモデルです。クラウドは弾力的なスケーリングが可能で初期コストがありませんが、一部の規制産業ではデータ主権のためにオンプレミスまたはハイブリッド方式を選択することもあります。

A) リージョン、アベイラビリティーゾーン、エッジロケーション B) データセンター、サーバーファーム、コロケーション C) VPC、サブネット、ルーティングテーブル D) EC2、S3、RDS

答え: A

解説: AWSグローバルインフラはリージョン(Region)、アベイラビリティーゾーン(Availability Zone、AZ)、エッジロケーション(Edge Location)で構成されます。リージョンは地理的に分離された複数AZの集合、AZは独立したデータセンター施設、エッジロケーションはCloudFront CDNとRoute 53 DNSサービスのための世界中の配信ポイントです。2024年時点でAWSは30以上のリージョンと100以上のAZを運営しています。

A) すべてのユーザーに管理者権限を付与して効率性を高める B) ユーザーに業務遂行に必要な最小限の権限のみを付与する C) 権限を一度設定したら変更しない D) 新しいユーザーはデフォルトですべての権限を持つ

答え: B

解説: 最小権限の原則はセキュリティの基本原則で、各IAMユーザー、ロール、サービスには業務遂行に必要な権限のみを付与すべきというものです。例えば、S3バケットからファイルを読み取るだけのサービスには、s3:GetObjectの権限のみを付与し、すべてのS3権限を付与しません。これにより、アカウントが侵害されても被害を最小限に抑えることができます。

A) 日常業務にRootアカウントを使用する B) RootアカウントにMFAを有効にし、日常業務にはIAMユーザーを使用する C) Rootアカウントのパスワードをチームメンバーと共有する D) Rootアカウントはセキュリティグループで自動的に保護される

答え: B

解説: AWSのRootアカウントはすべてのAWSサービスとリソースへの完全なアクセス権を持つ最高権限のアカウントです。セキュリティのベストプラクティスとして、RootアカウントにMFA(多要素認証)を有効にし、Rootアカウントの認証情報を安全に保管し、日常業務にはIAMユーザーやロールを使用することが推奨されます。Rootアカウントは請求設定の変更やAWSアカウントの閉鎖などの特定のタスクにのみ使用すべきです。

A) パスワードなしでAWSにアクセスできる B) パスワード以外の追加認証要素を要求してアカウントセキュリティを強化する C) AWSサービス間の通信を暗号化する D) IAMポリシーの代わりに使用できる

答え: B

解説: MFAはパスワード以外に2番目の認証要素(例: スマートフォンアプリの6桁コード、ハードウェアトークン)を要求するセキュリティ機能です。たとえパスワードが盗まれても、2番目の認証要素なしにはアカウントにアクセスできません。AWSは仮想MFAデバイス(Google Authenticatorなど)、ハードウェアMFAデバイス、SMS MFAなどさまざまなMFA方式をサポートしています。すべてのIAMユーザー、特に特権ユーザーへのMFA有効化を強く推奨します。

A) AWSリソースのパフォーマンスを監視する B) AWSアカウントで発生するすべてのAPI呼び出しを記録・監査する C) ネットワークトラフィックを分析してDDoSを防御する D) AWSサービスのコストを追跡する

答え: B

解説: AWS CloudTrailはAWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査をサポートするサービスです。誰が、いつ、どこから、何をしたかというAWS API呼び出し記録をS3に保存します。例えば特定のEC2インスタンスを誰が終了したか、いつセキュリティグループが変更されたかなどを追跡できます。デフォルトでは90日間イベントを保持し、長期保管のためS3にエクスポートできます。

A) Shield Standardは有料でAdvancedは無料だ B) Shield Standardはすべての顧客に無料で提供され一般的なDDoS攻撃を防御し、Shield Advancedは有料で高度なDDoS攻撃防御と24時間サポートを提供する C) Shield StandardはEC2にのみ適用され、Advancedはすべてのサービスに適用される D) 両サービスは同一の機能を提供し名前のみ異なる

答え: B

解説: AWS Shield Standardはすべての顧客に追加費用なしで自動的に提供され、一般的なL3/L4 DDoS攻撃(SYNフラッド、UDPリフレクションなど)から保護します。AWS Shield Advancedは月額3,000ドルの有料サービスで、より高度なDDoS攻撃防御、リアルタイム攻撃の可視性、DDoSコスト保護、AWS DDoSレスポンスチーム(DRT)の24時間サポートを提供します。Shield AdvancedはEC2、ELB、CloudFront、Route 53、AWS Global Acceleratorを保護します。

A) 物理サーバーへの侵害 B) DDoSボリューメトリック攻撃 C) SQLインジェクション、クロスサイトスクリプティング(XSS)などのウェブアプリケーション攻撃 D) ネットワークレイヤーのスプーフィング攻撃

答え: C

解説: AWS WAFは一般的なウェブの悪用からウェブアプリケーションを保護するウェブファイアウォールです。SQLインジェクション(悪意のあるSQLコードの挿入)、クロスサイトスクリプティング(XSS)、HTTPフラッド、悪意のあるボットなどの攻撃を検出してブロックします。WAFはCloudFront、ALB(アプリケーションロードバランサー)、API Gateway、AppSyncの前段にデプロイでき、カスタムルールやAWS Managed Rulesを通じて保護を設定します。

A) AWSアカウントパスワードの管理 B) 暗号化キーの生成、保存、管理 C) SSL/TLS証明書の発行 D) VPN接続の暗号化

答え: B

解説: AWS KMSはデータ暗号化に使用される暗号化キーを生成・管理するサービスです。S3、EBS、RDS、DynamoDBなどさまざまなAWSサービスと統合してデータを暗号化できます。KMSはFIPS 140-2認定のハードウェアセキュリティモジュール(HSM)を使用し、キー使用の監査ログをCloudTrailに記録します。カスタマーマネージドキー(CMK)を作成して暗号化キーへの完全な制御権を持てます。

A) ロールは人にのみ付与でき、ユーザーはサービスに付与する B) ロールは一時的な認証情報を使用し、AWSサービスや他のAWSアカウントに権限を委任する際に使用する C) ユーザーはプログラム方式のアクセスのみ可能だ D) ロールはパスワードが必要で、ユーザーは必要ない

答え: B

解説: IAMロールは特定のエンティティ(EC2インスタンス、Lambda関数、他のAWSアカウント)に一時的な認証情報を通じて権限を委任するメカニズムです。ロールにはパスワードやアクセスキーがなく、必要な時にロールを「引き受け(Assume)」て一時的な認証情報を受け取ります。IAMユーザーは長期的な認証情報(パスワード、アクセスキー)を持つ個人やアプリケーションを表します。EC2インスタンスにS3アクセス権限を与える場合、ユーザーの代わりにロールを使用することがベストプラクティスです。

A) IAMユーザーをグループで管理する機能 B) EC2インスタンスのインバウンド/アウトバウンドトラフィックを制御する仮想ファイアウォール C) AWSサービス間の暗号化を提供する D) VPC間のトラフィックをルーティングする

答え: B

解説: セキュリティグループはEC2インスタンスのネットワークトラフィックを制御する仮想ファイアウォールです。IPアドレス、ポート、プロトコルを基準にインバウンド(受信)とアウトバウンド(送信)のトラフィックルールを設定できます。セキュリティグループは「許可(Allow)」ルールのみを持ち、ステートフル(stateful)なのでインバウンドトラフィックを許可すれば応答トラフィックは自動的に許可されます。1つのEC2インスタンスに複数のセキュリティグループを関連付けられます。

A) コードアーティファクトを保存するパッケージ管理サービス B) AWSコンプライアンスレポートおよびAWS契約へのオンデマンドアクセスを提供する C) CI/CDパイプライン自動化ツール D) アプリケーションログ分析サービス

答え: B

解説: AWS ArtifactはオンデマンドでAWSのセキュリティおよびコンプライアンスレポートと契約にアクセスできる無料サービスです。ISO認定書、PCI DSSレポート、SOCレポートなどAWSのコンプライアンス文書をダウンロードできます。監査者や規制機関にAWSのセキュリティコントロールを証明する必要がある場合に役立ちます。また、事業提携契約(BAA)などの契約管理機能も提供しています。

A) ネットワークACLはインスタンスレベル、セキュリティグループはサブネットレベルで動作する B) ネットワークACLはサブネットレベルで動作しステートレス(stateless)で、セキュリティグループはインスタンスレベルで動作しステートフル(stateful)だ C) 両サービスは同一の機能を提供する D) ネットワークACLは許可ルールのみ、セキュリティグループは拒否ルールのみを持つ

答え: B

解説: ネットワークACLはVPCサブネットレベルで動作するステートレス(stateless)ファイアウォールで、許可と拒否の両方のルールを持てます。ステートレスなのでインバウンドトラフィックを許可しても、応答トラフィックのための別のアウトバウンドルールが必要です。セキュリティグループはインスタンスレベルのステートフル(stateful)ファイアウォールで許可ルールのみを持ち、インバウンドを許可すれば応答が自動許可されます。両レイヤーを一緒に使用することで多層防御(Defense in Depth)を実現できます。

A) Amazon S3 B) Amazon EBS C) AWS KMS D) Amazon Route 53

答え: D

解説: Amazon Route 53はDNSサービスであり、データ暗号化よりもドメイン名解決のためのサービスです。S3はサーバーサイド暗号化(SSE-S3、SSE-KMS、SSE-C)をサポートし、EBSはボリューム暗号化をサポートし、KMSは暗号化キー管理サービスです。AWSはさまざまなサービスで保存データの暗号化(Encryption at Rest)と転送中データの暗号化(Encryption in Transit)をサポートしています。

A) Permit、Deny B) Allow、Deny C) Grant、Revoke D) True、False

答え: B

解説: IAMポリシーのEffect要素は「Allow」または「Deny」の2つの値のみ持てます。AWS IAMはデフォルトですべてを拒否し、明示的に許可されたもののみを許可します(Default Deny)。明示的なAllowは明示的なDenyがない場合にのみ有効です。明示的なDenyは常にAllowより優先されます。例えば、グループポリシーでAllowされていても、より具体的なポリシーでDenyすればアクセスが拒否されます。

A) AWSは顧客に代わってすべてのコンプライアンス責任を負う B) AWSはHIPAA、PCI DSS、SOC、ISOなど多数のコンプライアンスプログラムをサポートし、顧客はこれを活用して自社のコンプライアンスを達成できる C) コンプライアンスプログラムはEnterpriseサポートの顧客にのみ提供される D) すべてのAWSサービスはすべてのコンプライアンス基準を満たしている

答え: B

解説: AWSは世界中の数十のコンプライアンスプログラム(HIPAA、PCI DSS、SOC 1/2/3、ISO 27001、FedRAMPなど)をサポートしています。AWSがクラウドインフラのコンプライアンスを担当し、顧客はクラウド内のワークロードのコンプライアンスを担当します(責任共有モデル)。これにより顧客はAWSのコンプライアンス認定を基盤として自社の監査や認定取得を加速できます。関連レポートはAWS Artifactからダウンロードできます。

A) データベースパフォーマンスの監視 B) AWSアカウントとワークロードを監視するインテリジェントな脅威検出サービス C) ネットワークトラフィックの暗号化 D) ユーザー認証管理

答え: B

解説: Amazon GuardDutyは機械学習、異常検出、統合された脅威インテリジェンスを使用してAWSアカウント、ワークロード、S3データでの悪意のある活動や異常な動作を継続的に監視する脅威検出サービスです。CloudTrailログ、VPCフローログ、DNSクエリなどを分析し、アカウント侵害、マルウェア感染、暗号通貨マイニングなどの脅威を検出します。エージェントのインストールなしにAWSコンソールから簡単に有効化できます。

A) AWS CloudTrail B) AWS Config C) AWS Translate D) Amazon VPC

答え: C

解説: AWS Translateは言語翻訳サービスであり、PCI DSSコンプライアンスとは直接的な関連がありません。PCI DSS(Payment Card Industry Data Security Standard)コンプライアンスに必要なサービスとしては、CloudTrail(API監査)、AWS Config(設定管理とコンプライアンス)、VPC(ネットワーク隔離)、KMS(暗号化)、Shield(DDoS防御)、WAF(ウェブセキュリティ)などがあります。AWSはPCI DSS Level 1認定インフラを提供しています。

A) AWSのコストを分析して最適化の推奨事項を提供する B) EC2インスタンス、コンテナイメージ、Lambda関数のソフトウェア脆弱性を自動スキャンする C) ネットワーク侵入をリアルタイムでブロックする D) データ損失防止(DLP)機能を提供する

答え: B

解説: Amazon InspectorはAWSワークロードのソフトウェア脆弱性と意図しないネットワーク露出を自動的に発見する脆弱性管理サービスです。EC2インスタンス、Amazon ECRコンテナイメージ、Lambda関数を継続的にスキャンし、CVE(Common Vulnerabilities and Exposures)データベースと比較してリスクレベルを評価します。エージェントベースでOSパッケージとネットワークアクセシビリティを評価してセキュリティ脆弱性を早期に発見できます。

A) ネットワークトラフィック分析 B) S3上の個人識別情報(PII)などの機密データを自動的に発見・保護する C) EC2インスタンスのセキュリティパッチ自動化 D) IAMポリシーシミュレーション

答え: B

解説: Amazon Macieは機械学習を使用してS3に保存された機密データ(個人識別情報(PII)、金融情報、医療情報など)を自動的に発見、分類、保護するデータセキュリティサービスです。S3バケットを継続的に監視して機密データが公開アクセス可能かどうか、暗号化されていないかどうかなどを検出して警告します。GDPR、HIPAAなどのデータ保護規制の準拠に役立ちます。

A) インスタンスストアはより高価だがパフォーマンスが良い B) インスタンスストアはインスタンス停止・終了時にデータが削除される一時ストレージで、EBSはインスタンスとは独立してデータが維持される永続ストレージだ C) EBSはインスタンスストアよりも常に高速だ D) インスタンスストアはすべてのEC2インスタンスタイプで使用可能だ

答え: B

解説: インスタンスストアはEC2ホストに物理的に接続された一時ストレージで、インスタンスが停止または終了するとすべてのデータが削除されます。キャッシュ、バッファ、一時ファイルに適しています。EBSはネットワーク経由で接続された永続ブロックストレージで、インスタンスが終了してもデータが維持されます。EBSボリュームはインスタンスから切り離して別のインスタンスに接続でき、スナップショットでS3にバックアップできます。

A) S3 Standard B) S3 Standard-IA (Infrequent Access) C) S3 Express One Zone D) S3 Intelligent-Tiering

答え: B

解説: S3 Standard-IAはアクセス頻度は低いが、素早いアクセスが必要なデータのためのストレージクラスです。S3 Standardよりもストレージコストは安いですが、データアクセス時に追加の検索費用が発生します。最低30日間の保管要件があります。S3 Standardは頻繁にアクセスするデータ用、S3 Glacierはほぼアクセスしないアーカイブデータ用、S3 Intelligent-Tieringはアクセスパターンが不規則なデータを自動的に適切なティアに移動します。

A) サーバーをプロビジョニングして管理する必要がある B) コードを実行するためにサーバーを管理する必要がなく、コード実行時間分だけ費用を支払う C) 最低1時間単位で課金される D) EC2インスタンス上でのみ実行される

答え: B

解説: AWS Lambdaはサーバーをプロビジョニングまたは管理せずにコードを実行できるサーバーレスコンピューティングサービスです。イベント(S3アップロード、API Gatewayリクエスト、DynamoDBストリームなど)によってトリガーされて実行され、実際の実行時間(1ms単位)とリクエスト数に応じて料金が請求されます。Lambdaは自動的にスケールし、最大15分まで実行可能です。月100万件のリクエストと400,000 GBsのコンピューティング時間が無料です。

A) パブリックサブネットはより高速なネットワーク速度を提供する B) パブリックサブネットはインターネットゲートウェイへのルーティングがあってインターネットから直接アクセス可能で、プライベートサブネットはインターネットへの直接アクセスができない C) プライベートサブネットはコストが安い D) パブリックサブネットはIPv6のみサポートする

答え: B

解説: パブリックサブネットはルーティングテーブルにインターネットゲートウェイ(IGW)へのルートがあり、インスタンスに公開IPを割り当てるとインターネットから直接アクセスできます。プライベートサブネットはインターネットゲートウェイへの直接ルートがないため、インターネットからアクセスできません。プライベートサブネット内のインスタンスがインターネットに接続するにはNATゲートウェイ(アウトバウンドのみ)を使用します。一般的にウェブサーバーはパブリックサブネット、データベースはプライベートサブネットに配置します。

A) クラウドインフラを自動的にプロビジョニングする B) 世界中のエッジロケーションを通じてコンテンツを低レイテンシーで配信するCDNサービス C) データベースクエリを最適化する D) マルチリージョンのデータレプリケーションを管理する

答え: B

解説: Amazon CloudFrontは世界中の400以上のエッジロケーションを通じて静的(HTML、CSS、JS、画像)および動的コンテンツをユーザーの近くから素早く配信するCDN(コンテンツ配信ネットワーク)サービスです。オリジンサーバー(S3、EC2、ALBなど)からコンテンツをキャッシュしてレイテンシーを減らし、オリジンの負荷を減少させます。HTTPSをデフォルトでサポートし、DDoS防御、WAF統合、AWS Lambda@Edgeによるエッジコンピューティングも対応しています。

A) ドメイン名の登録 B) DNSルーティング C) ドメイン名からIPアドレスへの変換 D) データベース接続管理

答え: D

解説: Amazon Route 53はAWSのDNS(Domain Name System)サービスです。主な機能としては、ドメイン名登録、DNSルーティング(シンプル、加重、レイテンシーベース、フェイルオーバー、地理的、複数値など様々なルーティングポリシー)、ヘルスチェックとフェイルオーバーがあります。データベース接続管理はAmazon RDSやAWS Secrets Managerの機能です。Route 53は99.99%のSLAを持つ高可用性・高スケーラビリティのDNSサービスです。

A) ALBはレイヤー7(HTTP/HTTPS)で動作し、NLBはレイヤー4(TCP/UDP)で動作する B) ALBはより速く、NLBはより安価だ C) NLBはHTTPのみサポートし、ALBはすべてのプロトコルをサポートする D) 両ロードバランサーは同一の機能を提供する

答え: A

解説: ALB(アプリケーションロードバランサー)はOSIモデルのレイヤー7(アプリケーションレイヤー)で動作し、HTTP/HTTPSトラフィックを処理します。URLパス、ホストヘッダー、HTTPメソッドなどを基に高度なルーティングが可能です。マイクロサービス、コンテナベースのアプリケーションに適しています。NLB(ネットワークロードバランサー)はレイヤー4(トランスポートレイヤー)で動作し、TCP/UDPトラフィックを処理します。毎秒数百万件のリクエストを処理できる超高性能・超低レイテンシーのロードバランサーです。

A) 3つの値はすべて同一でなければならない B) 希望する容量は現在実行するインスタンス数で、MinとMaxの間でなければならない C) 最小容量よりも最大容量が小さくても構わない D) 希望する容量は常に最大容量と同じでなければならない

答え: B

解説: Auto Scalingグループには3つの容量値があります。最小容量(Min)は常に実行されるべき最小インスタンス数、最大容量(Max)はスケールアウト時の最大インスタンス数、希望する容量(Desired)は現在実行するインスタンス数でMinとMaxの間でなければなりません。Auto ScalingはCloudWatchアラームやスケジュールされたスケーリングに基づいて希望する容量を調整し、MinとMax範囲内でインスタンス数を自動的に調整します。

A) SNSはデータを永続的に保存し、SQSは一時的に保存する B) SNSはプッシュベースの発行/購読メッセージングで、SQSはプルベースのメッセージキューでメッセージをバッファリングする C) SQSはメール送信のみサポートし、SNSはすべてのメッセージタイプをサポートする D) 両サービスは同一で名前のみ異なる

答え: B

解説: SNSは発行/購読(Pub/Sub)メッセージングサービスで、1つのメッセージを複数のサブスクライバー(メール、SMS、Lambda、SQS、HTTPなど)に同時にプッシュします。ファンアウトパターンに適しています。SQSはメッセージキューサービスで、メッセージをキューに保存し、コンシューマーがポーリングして処理します。メッセージ処理失敗時に再試行が可能で、マイクロサービス間の疎結合を実現します。SNSとSQSを組み合わせることで、信頼性の高いメッセージ処理とファンアウトを同時に達成できます。

A) コードデプロイの自動化 B) AWSリソースとアプリケーションの監視、ログ収集、アラーム設定 C) DNSクエリの最適化 D) データベースバックアップの自動化

答え: B

解説: Amazon CloudWatchはAWSリソースとアプリケーションを監視するサービスです。主な機能としては、メトリクス収集(EC2 CPU使用率、S3バケットサイズなど)、アラーム設定(閾値超過時に自動通知またはAuto Scalingトリガー)、ログ収集と分析(CloudWatch Logs)、ダッシュボード作成、イベントベースの自動化(EventBridge)があります。基本モニタリングは5分間隔、詳細モニタリングは1分間隔で追加費用が発生します。

A) SQLを使用するリレーショナルデータベース B) 完全マネージド型NoSQLデータベースで1桁ミリ秒のパフォーマンスを提供する C) オンプレミスでのみ運用可能だ D) 最大10GBのデータのみ保存できる

答え: B

解説: Amazon DynamoDBはキーバリューおよびドキュメントデータを保存する完全マネージド型NoSQLデータベースサービスです。どのスケールでも一桁ミリ秒の一貫したパフォーマンスを提供し、自動的に水平スケールします。サーバーレスで運営され、プロビジョニング、パッチ、バックアップなどをAWSが管理します。オンデマンドとプロビジョニングモードをサポートし、グローバルテーブルでマルチリージョンレプリケーションが可能です。

A) 複数のAZで読み取りレプリカを作成して読み取りパフォーマンスを向上させる B) 高可用性のために別のAZに同期レプリカを維持し、障害発生時に自動フェイルオーバーする C) 複数のリージョンにデータをレプリケートする D) データベースコストを削減する

答え: B

解説: RDS Multi-AZは高可用性と自動フェイルオーバーのための機能です。プライマリDBインスタンスと別のAZに同期レプリケーション(Synchronous Replication)でスタンバイインスタンスを維持します。プライマリインスタンスに障害が発生すると、約1〜2分以内に自動的にスタンバイインスタンスにフェイルオーバー(Failover)されます。スタンバイインスタンスは読み取りリクエストを処理せず(読み取り分散には読み取りレプリカを使用)、高可用性のためにのみ存在します。

A) EC2インスタンスを手動で管理するツール B) アプリケーションを素早くデプロイして管理できるPaaSサービスで、インフラ管理を自動化する C) コンテナオーケストレーションサービス D) サーバーレス関数実行環境

答え: B

解説: AWS Elastic Beanstalkはアプリケーション(ウェブアプリ、APIなど)を簡単にデプロイ・管理できるPaaS(Platform as a Service)サービスです。開発者はコードをアップロードするだけで、Elastic BeanstalkがEC2インスタンスのプロビジョニング、ロードバランシング、Auto Scaling、モニタリング、パッチなどを自動的に処理します。Java、.NET、PHP、Node.js、Python、Ruby、Go、Dockerをサポートします。

A) 両サービスともKubernetesベースだ B) 両サービスともコンテナ化されたアプリケーションを実行・管理するオーケストレーションサービスだ C) 両サービスともサーバーレスのみサポートする D) 両サービスはリレーショナルデータベースの管理に使用される

答え: B

解説: ECSとEKSはどちらもコンテナ化されたアプリケーションを大規模に実行・管理するコンテナオーケストレーションサービスです。ECSはAWSが独自開発したオーケストレーションサービスでAWSサービスと深く統合されており、管理がシンプルです。EKSはオープンソースのKubernetesをAWSで完全マネージド型として提供し、既存のKubernetesワークロードをAWSに移行する場合に適しています。両サービスともEC2またはFargate(サーバーレスコンテナ)で実行できます。

A) 頻繁にアクセスするデータの高性能ストレージ B) ほとんどアクセスしないデータの長期アーカイブ保存 C) インメモリキャッシュストレージ D) リアルタイムストリーミングデータ処理

答え: B

解説: Amazon S3 Glacierはほとんど使用しないデータの長期アーカイブのための非常に安価なストレージサービスです。データ取得には数分から数時間かかる場合があり(取得オプションによる)、S3 Standardより90%以上安価です。S3 Glacier Instant Retrieval(ミリ秒取得)、S3 Glacier Flexible Retrieval(1分〜12時間)、S3 Glacier Deep Archive(12〜48時間)の3つのストレージクラスがあります。コンプライアンスのためのデータ保存、バックアップ、ログアーカイブに適しています。

A) 永続データ保存のためのリレーショナルデータベース B) インメモリキャッシュでデータベース負荷を軽減しアプリケーションパフォーマンスを向上させる C) オブジェクトストレージサービス D) DNSクエリ結果をキャッシュする

答え: B

解説: Amazon ElastiCacheはRedisまたはMemcachedをAWSで完全マネージド型として提供するインメモリキャッシュサービスです。頻繁にリクエストされるデータをメモリにキャッシュしてデータベースの照会回数を減らし、応答時間をミリ秒未満に短縮します。セッション保存、データベースクエリ結果キャッシュ、リーダーボード、リアルタイム分析などに活用されます。

A) バージョン管理を有効にすると既存のファイルがすべて削除される B) バケットでバージョン管理を有効にすると、すべてのオブジェクトの以前のバージョンが保持され、誤って削除または上書きしたオブジェクトを復元できる C) バージョン管理はS3 Standardクラスでのみサポートされる D) バージョン管理を有効にするとストレージコストが減少する

答え: B

解説: S3バケットでバージョン管理を有効にすると、同じキーでアップロードされるすべてのオブジェクトの複数バージョンが保存されます。ファイルを上書きまたは削除しても以前のバージョンを復元できます。バージョン管理はバケットレベルで有効化され、一度有効にすると無効化はできず一時停止のみ可能です。バージョン管理有効後はすべてのバージョンが保存されるためストレージコストが増加する可能性があります。

A) EC2 + RDS + VPC B) Lambda + API Gateway + DynamoDB + S3 C) EC2 + EBS + RDS D) EMR + Kinesis + Redshift

答え: B

解説: サーバーレスアーキテクチャはサーバーを直接管理せず、クラウドプロバイダーがサーバー管理を担当するアーキテクチャです。AWSサーバーレスサービスの代表的な組み合わせはLambda(サーバーレス関数実行)、API Gateway(サーバーレスAPIエンドポイント)、DynamoDB(サーバーレスNoSQLデータベース)、S3(サーバーレスオブジェクトストレージ)です。サーバーレスアーキテクチャはインフラ管理負担なしにコードのみに集中でき、使用した分だけ支払います。

A) 静的ウェブコンテンツをキャッシュするCDN B) リアルタイムストリーミングデータを収集、処理、分析するサービス C) 非リレーショナルデータベース D) コンテナイメージレジストリ

答え: B

解説: Amazon Kinesisはリアルタイムストリーミングデータを処理するための完全マネージドサービスです。Kinesis Data Streams(リアルタイムデータストリームの収集と処理)、Kinesis Data Firehose(ストリーミングデータをS3、Redshift、Elasticsearchに配信)、Kinesis Data Analytics(SQLまたはApache Flinkでストリーミングデータを分析)、Kinesis Video Streams(ビデオストリーム処理)で構成されます。IoTセンサーデータ、クリックストリーム、金融取引データなどのリアルタイム処理に使用されます。

A) トランザクション処理のためのOLTPデータベース B) ペタバイト規模のデータウェアハウスと分析 C) リアルタイムストリーミングデータ処理 D) インメモリキャッシュサービス

答え: B

解説: Amazon RedshiftはAWSのクラウドベースの完全マネージドデータウェアハウスサービスです。ペタバイト規模のデータを高速に分析するOLAP(オンライン分析処理)ワークロードに最適化されています。カラムベースストレージと大規模並列処理(MPP)により複雑な集計クエリを高速処理します。S3のデータを直接クエリするRedshift Spectrum、ML基盤のクエリ最適化、SQLインターフェースを提供します。BIツール、ダッシュボード、ビジネス分析に活用されます。

A) クラウドコスト分析ツール B) インフラをコード(YAML/JSONテンプレート)として定義しプロビジョニングするIaCサービス C) アプリケーションパフォーマンスモニタリング D) データベース移行の自動化

答え: B

解説: AWS CloudFormationはインフラをコード(Infrastructure as Code、IaC)として管理できるサービスです。YAMLまたはJSONテンプレートでAWSリソース(EC2、VPC、RDSなど)を定義するとCloudFormationが自動的にリソースをプロビジョニングして設定します。スタック(Stack)を通じて関連リソースをグループとして管理し、バージョン管理、ロールバック、変更セット(Change Set)機能を提供します。

A) 使用しない時に自動的に終了してコストを節約する B) 1年または3年のコミットメントで購入し、オンデマンドと比べて最大72%コストを節約できる C) 他の顧客が使用していない未使用容量を低価格で購入する D) 時間単位の固定料金で無制限に使用できる

答え: B

解説: リザーブドインスタンスは1年または3年の使用をコミットし、前払いまたは一部前払いで決済してオンデマンド価格と比べて最大72%節約できる料金モデルです。標準リザーブドインスタンス(特定のインスタンスタイプに限定)とコンバーティブルリザーブドインスタンス(インスタンスタイプ変更可能)があります。継続的で予測可能なワークロード(データベース、ウェブサーバーなど)に適しています。

A) AWSインフラを自動的に最適化する B) AWSのコストと使用量を可視化・分析し、将来のコストを予測する C) リザーブドインスタンスを自動的に購入する D) 請求関連のサポートチケットを自動的に作成する

答え: B

解説: AWS Cost ExplorerはAWSのコストと使用量データを可視化して分析するツールです。サービス別、リージョン別、タグ別、アカウント別にコストを分類してコストパターンを把握できます。過去12ヶ月のコストデータを分析し、今後3ヶ月のコストを予測する機能も提供します。リザーブドインスタンスの推奨事項を提供してコスト削減の機会を特定します。基本使用は無料で、API呼び出しには少額の費用が発生します。

A) コスト最適化 B) セキュリティ C) アプリケーションコード品質 D) パフォーマンス

答え: C

解説: AWS Trusted AdvisorはAWSのベストプラクティスに基づいてAWS環境をチェックし推奨事項を提供するサービスです。チェック項目は、コスト最適化(未使用リソース、リザーブドインスタンス推薦)、セキュリティ(開放されたポート、MFA無効など)、パフォーマンス(EBSスループット、EC2使用率など)、耐障害性(バックアップのないRDSなど)、サービス制限(サービスクォータへの近接)の5つのカテゴリーで構成されます。アプリケーションコード品質の検査はAmazon CodeGuru Reviewerの機能です。

A) EnterpriseはYear-round電話サポートを提供し、Businessはメールのみサポートする B) EnterpriseはTAM(テクニカルアカウントマネージャー)を提供し、ビジネスクリティカルケースに15分応答SLAを保証する C) Businessは無料でEnterpriseは有料だ D) EnterpriseはAWSサービスを50%割引で受けられる

答え: B

解説: AWSサポートプランはBasic(無料)、Developer、Business、Enterprise On-Ramp、Enterpriseの5段階があります。Business Supportは24時間365日の電話・チャットサポートと、システムダウン時の1時間応答SLAを提供します。Enterprise Supportはさらに専任TAM(テクニカルアカウントマネージャー)、コンシェルジュサポートチーム、ビジネスクリティカルシステムダウン時の15分応答SLA、インフライベント管理、Well-Architectedレビューを追加で提供します。

A) オンデマンドは常にスポットより高速だ B) スポットインスタンスはAWSの未使用EC2容量を最大90%安く使用できるが、AWSが容量を必要とする時にいつでも中断される可能性がある C) スポットインスタンスは特定のインスタンスタイプのみサポートする D) オンデマンドインスタンスは中断される可能性がある

答え: B

解説: スポットインスタンスはAWSの使用されていないEC2容量をオンデマンドと比べて最大90%安い価格で使用する料金モデルです。ただし、AWSが該当容量を必要とする場合、2分前通知の後インスタンスが中断される可能性があります。そのため中断に耐性のあるワークロード(ビッグデータ処理、CI/CD、バッチジョブ、コンテナワークロード)に適しており、中断してはならない本番ウェブサーバーなどには不適切です。

A) AWSサービスの技術的パフォーマンスを監視する B) カスタムのコストと使用量の予算を設定し、閾値超過時に通知を送信する C) AWSインフラを自動的にプロビジョニングする D) リザーブドインスタンスを自動的に更新する

答え: B

解説: AWS Budgetsを使用すると、AWSのコスト、使用量、リザーブドインスタンスおよびSavings Plansの活用率に関するカスタム予算を設定できます。実際のコストや予測コストが設定した閾値(例: 予算の80%、100%)を超えた時にメールやSNSで通知を受け取れます。AWS Budgets Actionsを通じて予算超過時にIAMポリシーを自動適用したり、EC2/RDSインスタンスを停止したりするアクションを設定できます。月2つの予算まで無料で使用できます。