答え: B

解説: ローカルインスタンスメモリへのセッション状態の保存はスケーラブルでも耐障害性もありません。最善の解決策はAmazon ElastiCache（RedisまたはMemcached）のような外部状態ストアを使用することで、どのインスタンスからでもセッションデータを取得できます。スティッキーセッション（A）はある程度役立ちますが、インスタンス障害時にセッションが失われます。Network Load Balancer（C）はセッションストレージを解決しません。インスタンスを増やすこと（D）は問題を悪化させます。

答え: C

解説: SSE-Cはカスタマーが独自の暗号化キーを提供・管理できます。AWSは暗号化/復号化処理を行いますが、キーは保存しません。SSE-S3（A）はAWSマネージドキーを使用します。AWSマネージドキーによるSSE-KMS（B）はAWSがキーマテリアルを管理します。SSE-Cが企業が完全にキーを管理する最も直接的な解決策です。

答え: C

解説: Amazon SQS FIFOキューは正確に1回の処理とメッセージ順序の保持を提供します。SQSは耐久性があるためメッセージは失われません。SQS標準（B）は少なくとも1回の配信を提供します。SNS（A）はキューイングのないpub/subサービスです。Kinesis（D）はストリーミングデータ向けです。

答え: B

解説: NATゲートウェイはパブリックサブネットに配置する必要があり、プライベートサブネットのインスタンスがアウトバウンドインターネット接続を開始できるようにします。プライベートサブネットのNATゲートウェイ（C）はインターネットアクセスが必要なため機能しません。インターネットゲートウェイをプライベートサブネットに付けると（A）パブリックになります。VPCピアリング（D）はVPCの接続用です。

答え: A

解説: S3 Glacier Instant Retrievalはめったにアクセスされないがミリ秒単位の取得が必要なデータ向けです。四半期に1回未満のアクセス頻度のデータに対してStandard-IAよりもストレージコストが低くなります。Standard-IA（B）はGlacier Instant Retrievalより高価です。Glacier Deep Archive（C）は取得時間が数時間かかります。Intelligent-Tiering（D）はモニタリング料金が発生します。

答え: A

解説: CloudWatchアラームを使用したAuto ScalingグループはEC2自動スケーリングの標準的な解決策です。CloudWatchはCPU使用率を監視し、ASGにスケールイン/アウトをトリガーします。ELB（B）はトラフィックを分散しますがスケーリング決定は行いません。AWS Config（C）は設定コンプライアンスサービスです。CloudFormation（D）はIaCで動的に自動スケールしません。

答え: B

解説: Amazon Auroraは必要に応じて10 GBから128 TBまで自動的にストレージをスケールします。デフォルトで複数のAZにわたる最大15個のリードレプリカでマルチAZをサポートします。Amazon RDS（A）はストレージを手動でスケールする必要があります。DynamoDB（C）はNoSQLデータベースです。Redshift（D）はデータウェアハウスです。

答え: C

解説: クロスアカウント信頼関係を持つIAMロールは、長期的な認証情報を共有せずに最小権限の原則に従って、一方のAWSアカウントのユーザーが別のアカウントのロールを引き受けることができます。IAMユーザーの作成（A）は管理が難しいです。アクセスキーの共有（B）はセキュリティリスクです。バケットをパブリックにする（D）は非常に安全ではありません。

答え: B

解説: EC2インスタンスにアタッチされたIAMロールはインスタンスメタデータサービスを通じて一時的なセキュリティ認証情報を提供します。アプリケーションはハードコードされた認証情報なしでAWS APIを呼び出すことができます。これがAWSのベストプラクティスです。環境変数へのキー保存（A）やハードコード（D）は認証情報漏洩のリスクがあります。

答え: A

解説: AWS DMSは変更データキャプチャ（CDC）を使用した継続的なレプリケーションをサポートし、ソースからターゲットデータベースへのデータ変更を継続的にレプリケートします。AWS Backup（B）はバックアップ/リストア用です。DataSync（C）はファイルストレージ移行用です。Snowball（D）は大容量オフラインデータ転送用です。

答え: B

解説: Amazon CloudFrontはグローバルなエッジロケーションで静的コンテンツと動的コンテンツの両方をキャッシュするCDNで、世界中のユーザーのレイテンシを削減します。Global Accelerator（A）はHTTPキャッシングよりもTCP/UDPアプリケーションに適しています。Route 53レイテンシールーティング（C）はコンテンツをキャッシュしません。ELB（D）はリージョン内で動作します。

答え: B

解説: Amazon EFSは複数のAZにわたって複数のEC2インスタンスから同時にマウントできる共有NFSファイルシステムを提供します。EBS（A）は一度に1つのインスタンスにのみアタッチできます。S3（C）はオブジェクトストレージで、従来のファイルシステムではありません。FSx for Windows（D）はSMBプロトコルを使用するWindowsワークロード向けです。

答え: C

解説: スポットインスタンスはオンデマンド価格に比べて最大90%の割引で空きEC2容量を使用します。2分の通知で中断される可能性がありますが、チェックポイントと再起動が可能なフォールトトレラントなバッチジョブには許容されます。オンデマンド（A）はより高価です。リザーブド（B）はコミットメントが必要です。Dedicated Hosts（D）はコンプライアンス/ライセンス要件用です。

答え: B

解説: AWS Budgetsはコストと使用量の閾値を設定し、それらの閾値を超えたか超えると予測されるときにアラート（SNSまたはメール経由）を受け取ることができます。CloudTrail（A）はAPI呼び出しのログ記録用です。AWS Config（C）はリソース設定を監視します。GuardDuty（D）は脅威検出用です。

答え: B

解説: Amazon Cognito User PoolsはGoogle、Facebook、Amazonなどのソーシャルアイデンティティプロバイダーとのフェデレーションをサポートするユーザー認証を提供します。IAM Identity Center（A）は従業員SSOのためのものです。Directory Service（C）はMicrosoft AD統合用です。Cognito Identity Pools（D）は認証済みユーザーに一時的なAWS認証情報を提供しますが、認証にはUser Poolsを利用します。

答え: B

解説: RDSリードレプリカは読み取りトラフィックを提供できる読み取り専用コピーを作成し、プライマリインスタンスの負荷を軽減します。非同期レプリケーションを使用します。マルチAZスタンバイ（A）はフェイルオーバー専用でRDS MySQLでは読み取りトラフィックを提供できません。ElastiCache（C）はクエリ結果をキャッシュしますがアプリケーションの変更が必要です。インスタンスサイズの増加（D）は負荷を分散しません。

答え: C

解説: インスタンスストア（エフェメラルストレージ）はホストコンピューターに物理的に接続されており、非常に高いI/Oパフォーマンスを提供します。インスタンスが停止または終了するとデータは失われます。一時的な計算データにはこれが許容されます。EBS gp3（A）は永続的でインスタンスストアよりピークパフォーマンスが低いです。EFS（B）は高レイテンシのネットワークファイルシステムです。S3（D）はオブジェクトストレージです。

答え: C

解説: AWS Network Firewallはドメインベースのフィルタリング（ドメイン許可/ブロックリスト）を含むステートフルなファイアウォールルールを提供します。セキュリティグループ（A）とネットワークACL（B）はIPアドレスとポートで動作し、ドメイン名では動作しません。AWS WAF（D）はHTTP/HTTPSウェブアプリケーション保護用です。

答え: C

解説: AWS FargateはECSとEKSで動作するコンテナのサーバーレスコンピュートエンジンです。サーバーをプロビジョニングまたは管理する必要はありません。EC2のECS（A）はEC2インスタンスの管理が必要です。マネージドノードグループのEKS（B）はまだEC2ノードの管理が必要です。ECR（D）はコンテナレジストリです。

答え: C

解説: Amazon Redshiftは複雑な分析クエリ（OLAP）向けに設計されたペタバイト規模のデータウェアハウスです。カラム型ストレージと大規模並列処理（MPP）を使用します。RDS（A）とAurora（D）はOLTPリレーショナルデータベースです。DynamoDB（B）は複雑なSQL分析に適していないNoSQLデータベースです。

答え: B

解説: カナリアデプロイメントは少量のトラフィック（例：5-10%）を新バージョンにルーティングし、大部分は旧バージョンを使用し続けます。問題が検出されなければトラフィックを段階的にシフトします。ブルー/グリーン（A）は2つの環境を実行し一度にすべてのトラフィックを切り替えます。ローリング（C）は古いインスタンスを新しいものに段階的に置き換えます。インプレース（D）は既存のインスタンスを直接更新します。

答え: B

解説: サイト間VPN接続には、AWS側に仮想プライベートゲートウェイ（VGW）と、オンプレミスのVPNデバイスを表すカスタマーゲートウェイ（CGW）が必要です。VGWはVPCにアタッチされます。Direct Connect（C）は専用ネットワーク接続でVPNではありません。NATゲートウェイ（D）はインターネットアクセス用です。

答え: B

解説: Amazon SNS（Simple Notification Service）はメール、SMS、モバイルプッシュ、Lambda、SQS、HTTPエンドポイントなど複数のサブスクライバーに同時にメッセージをファンアウトできるpub/subメッセージングサービスです。SQS（A）はポイントツーポイントキューです。EventBridge（C）はサービス間のイベントルーティング用です。Step Functions（D）はワークフローのオーケストレーション用です。

答え: B

解説: S3クロスリージョンレプリケーション（CRR）は別のAWSリージョンの宛先バケットにオブジェクトを自動的にレプリケートします。ソースと宛先の両方のバケットでバージョニングが必要です。転送アクセラレーション（A）はS3へのアップロードを高速化します。バージョニング単独（C）はリージョン間でレプリケートしません。マルチパートアップロード（D）は大きなファイルのアップロード用です。

答え: B

解説: Amazon EFSはFargateと統合され、タスクが共有の永続ファイルシステムをマウントできます。EFSデータはタスクのライフサイクルを超えて保持されます。Fargateはホストアクセスを公開しません（A）。ローカルFargateファイルシステム（C）はタスク停止時に失われます。EBSボリューム（D）はFargateタスクに直接アタッチできません。

答え: B

解説: AWS CloudFormationはAWSインフラをJSONまたはYAMLテンプレートとして定義するネイティブIaCサービスです。ドリフト検出、変更セット、障害時のロールバックをサポートします。Systems Manager（A）は運用タスクを管理します。CodeDeploy（C）はアプリケーションデプロイ用です。OpsWorks（D）はChef/Puppetを使用する構成管理サービスです。

答え: B

解説: Amazon RDS Proxyはデータベース接続プーリングを管理し、アプリケーションが多数の直接接続でデータベースを圧倒することなくスケールできるようにします。Aurora Auto Scaling（A）はリードレプリカに役立ちますが接続枯渇を直接解決しません。ElastiCache（C）はデータベース負荷を軽減しますが接続を管理しません。max_connectionsの増加（D）はインスタンスメモリに基づく制限があります。

答え: B

解説: AWS CloudTrailは呼び出し元のID、時刻、ソースIP、リクエストパラメータ、レスポンスを含むAWSサービスへのすべてのAPI呼び出しを記録します。CloudWatch（A）はメトリクスとログを監視しますがAPI呼び出しは記録しません。AWS Config（C）はリソース設定の変更を記録します。GuardDuty（D）は脅威検出にCloudTrailデータを使用しますが自身はAPI呼び出しを記録しません。

答え: B

解説: Lambda関数はVPC、サブネット、セキュリティグループを指定することでVPC内で実行するよう設定できます。これによりLambdaはRDSのようなプライベートサブネットのリソースにアクセスできます。VPCエンドポイント（A）はAWSサービスへのプライベートアクセス用でRDSには使えません。RDSをパブリックにする（C）はセキュリティリスクです。API GatewayでRDSへプロキシ（D）は不要な複雑さを追加します。

答え: A

解説: Amazon SQSはマイクロサービスアーキテクチャでの非同期サービス間通信に理想的で、デカップリングと耐障害性を提供します。AppSync（B）はGraphQLサービスです。API Gateway（C）は同期HTTP API用です。Direct Connect（D）はAWSへの専用ネットワーク接続用です。

答え: B

解説: AWS Secrets Managerはデータベース認証情報のような秘密情報を保存し自動的にローテーションするために設計されています。RDS、Redshift、DocumentDBと自動ローテーションのためにネイティブに統合されています。パラメータストア（A）は秘密情報を保存できますが自動ローテーションが組み込まれていません。KMS（C）は暗号化キーを管理します。IAMロール（D）はAWSサービスアクセスを提供します。

答え: B

解説: AWS WAF（ウェブアプリケーションファイアウォール）はHTTP/HTTPSリクエストを検査し悪意のあるトラフィックをブロックすることでSQLインジェクションとXSSを含む一般的なエクスプロイトからウェブアプリケーションを保護します。AWS Shield（A）はDDoS攻撃から保護します。GuardDuty（C）は脅威検出サービスです。Network Firewall（D）はネットワークレベルの保護を提供します。

答え: B

解説: Amazon CloudWatchメトリクスアラームはCPUUtilizationのような特定のメトリクスを指定された期間にわたって監視し、閾値を超えたときにアクション（SNS通知、Auto Scalingなど）をトリガーします。CloudTrailとEventBridge（A）はAPIイベント用です。AWS Config（C）は設定コンプライアンスを監視します。Inspector（D）は脆弱性評価用です。

答え: D

解説: CloudFrontはグローバルなエッジロケーションから静的コンテンツと動的コンテンツを提供します。AWS Shield Advancedは24時間365日のDRT（DDoS対応チーム）サポート、リアルタイムの攻撃診断、DDoSイベント中のコスト保護を持つ強化されたDDoS保護を提供します。Shield Standard（A）は無料ですが基本的な保護のみです。Global Accelerator（B）はルーティング用です。Route 53 + ELB（C）はCDN機能を提供しません。

答え: C

解説: ウォームスタンバイはDRリージョンで縮小されているが完全に機能するバージョンの本番環境を維持します。ほぼリアルタイムのレプリケーションで5分のRPOが達成可能で、フルキャパシティへのスケールアップは15分以内に行えます。バックアップと復元（A）は通常RTO/RPOが数時間です。パイロットライト（B）はコアサービスを開始する必要があり遅いRTOです。マルチサイトアクティブ/アクティブ（D）はほぼゼロのRTO/RPOを提供しますが最も高価です。

答え: C

解説: Amazon DynamoDBはあらゆるスケールで一桁のミリ秒パフォーマンスを提供する完全マネージドのNoSQLデータベースです。シンプルなキーバリューとドキュメントのルックアップに最適化されています。RDS PostgreSQL（A）とAurora（D）はリレーショナルデータベースです。Redshift（B）は分析用のデータウェアハウスです。

答え: B

解説: aws:SecureTransportがfalseのリクエストを拒否する条件を持つS3バケットポリシーはすべてのS3 API呼び出しにHTTPSを強制します。これはHTTPSを許可する企業プロキシを通じて機能します。転送アクセラレーション（A）はアップロードを高速化しますがHTTPSを強制しません。VPN（C）またはDirect Connect（D）はネットワーク接続用です。

答え: B

解説: S3イベントとLambdaの間にSQSを使用すると再試行ロジックが可能になります。Lambdaが失敗するとメッセージはキューに戻り再試行されます。設定された回数の失敗後、メッセージは調査のためDLQに送られます。S3からLambdaへの直接（A）は限られた再試行しかありません。SNS（C）は再試行のためのメッセージを保持しません。CloudWatchイベント（D）はスケジュールされたイベント用です。

答え: B

解説: AWS Glue Data CatalogはS3に保存されたデータのテーブル定義とスキーマを保存する集中型メタデータリポジトリです。Athena、Redshift Spectrum、EMRと統合されています。Athena（A）はGlueカタログを使用するクエリサービスです。Redshift Spectrum（C）はS3データをクエリしますがカタログが必要です。QuickSight（D）はBIビジュアライゼーションツールです。

答え: C

解説: ヘルスチェック付きRoute 53フェイルオーバールーティングはプライマリエンドポイントを監視し、プライマリが正常でなくなった場合に自動的にセカンダリエンドポイントにトラフィックをルーティングします。加重ルーティング（A）は重みでトラフィックを分散します。レイテンシーベース（B）は最低レイテンシのエンドポイントにルーティングします。地理的（D）はユーザーの場所に基づいてルーティングします。

答え: B

解説: 必要なアクションの特定のAllowステートメントと削除アクションの明示的なDenyを持つカスタムIAMポリシーは最小権限アクセスを実装します。明示的なDenyはAnyのAllowステートメントを上書きします。PowerUserAccess（A）は広すぎるアクセスを与えます。SCP（C）はAWS Organizationアカウント用です。権限バウンダリー（D）は最大権限を設定しますが特定のリソースに自動的に制限しません。

答え: C

解説: DynamoDBは結果整合性（デフォルト）と強整合性の読み取りをサポートします。GetItem、Query、ScanでConsistentRead = trueを設定すると常に最新のデータを取得できます。強整合性読み取りは結果整合性読み取りの2倍の読み取りキャパシティユニットを消費します。TransactGetItems（B）はACIDトランザクション用です。DynamoDB Streams（D）は変更データキャプチャ用です。

答え: C

解説: AWS Security HubはAWSセキュリティサービスやサードパーティツールからのセキュリティ調査結果を複数アカウントにわたって集約、整理、優先順位付けします。CloudTrail（A）はAPIログ記録用です。CloudWatch（B）はメトリクス監視用です。Amazon Detective（D）はセキュリティインシデントの調査を支援しますが調査結果の集約はしません。

答え: B

解説: Connection Draining（ALBでは登録解除遅延）は、ロードバランサーが登録解除されているインスタンスへの新しいリクエストの送信を停止しながら、既存の処理中の接続を完了できるようにします。デフォルトの遅延は300秒です。ヘルスチェックグレース期間（A）は新しいインスタンス用です。ライフサイクルフック（C）は終了を一時停止できますが処理中のリクエストを特定的に処理しません。クロスゾーンロードバランシング（D）はゾーン間でトラフィックを分散します。

答え: C

解説: AWS CloudHSMは専用のHSMを提供します。CloudHSMをAWS KMSのカスタムキーストアとして使用することで、キーはHSM内で生成され外部に出ることはありません。SSE-S3（A）とAWSマネージドキーによるSSE-KMS（B）はAWSが管理するHSMを使用します。SSE-C（D）はカスタマーが外部でキーを管理し各リクエストでキーを渡す必要があります。

答え: B

解説: 3層アーキテクチャでは、ウェブ層はパブリックサブネット（ALB経由でインターネットからアクセス可能）に配置し、アプリケーション層とデータベース層はプライベートサブネット（インターネットから直接アクセス不可）に配置します。すべての層をパブリックにすること（A）はデータベースを露出させます。すべての層をプライベートにすること（C）はウェブ層が直接インターネットトラフィックを受け取れません。選択肢D（D）は逆です。

答え: C

解説: Amazon SQS FIFOキューはメッセージの順序を保持し、各メッセージが正確に1回処理されることを保証します。Lambdaは各メッセージグループの順序でFIFOキューをポーリングして処理できます。SQS標準（B）は順序を保証しません。S3イベント（A）とSNS（D）は配信順序を保証しません。

答え: B

解説: AWS Lambdaは実際の実行時間のみに課金され、アイドル期間のある変動するトラフィックに理想的です。アイドル時はコストが発生しません。自動的にスケールします。24時間稼働EC2インスタンス（A）はアイドル時にお金を無駄にします。リザーブドインスタンス（C）はアイドル時でも支払いが必要です。スポットインスタンス（D）は中断される可能性がありバッチワークロードに適しています。

答え: C

解説: 100 Mbpsで50 TBの転送には約46日かかります。AWS Snowball EdgeはデータをロードしてAWSに発送する物理デバイスで、はるかに早く転送を完了できます。DataSync（A）と転送アクセラレーション（B）はまだインターネット接続を使用します。Direct Connect（D）のセットアップには数週間かかります。

答え: C

解説: SCPはOrganization内のアカウントで利用可能な最大権限を制限できます。SCPはすべてのアカウントでcloudtrail:StopLoggingとcloudtrail:DeleteTrailアクションを拒否でき、誰もCloudTrailを無効にできないようにします。IAMポリシー（A）はアカウント管理者によって上書き可能です。Configルール（B）は検出しますが防止しません。CloudFormation StackSets（D）はリソースをデプロイしますが手動変更を防止しません。

答え: B

解説: DynamoDB Accelerator（DAX）はDynamoDBの完全マネージドインメモリキャッシングサービスで最大10倍のパフォーマンス向上を提供します。読み取りキャパシティユニットの増加（A）はスループットを向上させますがレイテンシは必ずしも改善しません。Aurora（C）はリレーショナルデータベースです。グローバルテーブル（D）はマルチリージョンレプリケーション用です。

答え: C

解説: S3ゲートウェイVPCエンドポイントはプライベートサブネットのEC2インスタンスがインターネットアクセスなしにAWSプライベートネットワーク経由でS3に直接アクセスできるようにします。S3とDynamoDBのゲートウェイエンドポイントは無料です。NATゲートウェイ（A）はインターネット経由でルーティングします。インターネットゲートウェイ（B）はパブリックIPが必要です。Direct Connect（D）はオンプレミス接続用です。

答え: B

解説: AWS Application Migration Service（MGN）は物理サーバー、仮想マシン、クラウドインスタンスのAWSへの移行を簡素化するために設計されています。ソースサーバーを継続的にレプリケートし、カットオーバー前の非破壊的なテストを可能にします。DMS（A）はデータベース移行用です。DataSync（C）はファイル転送用です。Snowball（D）は大容量データ転送用です。

答え: A

解説: アカウントレベルのS3パブリックアクセスブロックは、パブリックアクセスを許可するバケットレベルまたはオブジェクトレベルのACL設定を上書きします。すべてのアカウントで有効にすると（SCP強制またはアカウントごと）、バケットがパブリックになるのを防ぎます。AWS Config（B）は検出しますが防止しません。バケットポリシー（C）はバケットごとに設定する必要があります。IAMポリシー（D）はルートアカウントによって回避される可能性があります。

答え: B

解説: AWS Systems Manager パラメータストアは設定データを保存するために設計されています。階層型ストレージ、バージョニング、IAMアクセス制御をサポートします。設定パラメータにはコスト効率が良いです（標準パラメータは無料）。Secrets Manager（A）は頻繁にローテーションするシークレット向けです。S3（C）はオブジェクトストレージです。CodePipeline（D）はCI/CD用です。

答え: B

解説: AWS Transit Gatewayは複数のVPCとオンプレミスネットワークを接続するリージョンハブとして機能し、複雑なVPCピアリングメッシュを排除することでアーキテクチャを簡素化します。VPCピアリング（A）はポイントツーポイントでスケールしません。仮想プライベートゲートウェイ（C）は個別のVPCとVPN接続用です。PrivateLink（D）はプライベートサービス接続用です。

答え: B

解説: セッション状態をElastiCache（Redis）に外部化することで、どのインスタンスからでもユーザーのセッションを提供でき、セッション損失なしにシームレスなオートスケーリングが可能になります。スティッキーセッション（A）はセッションアフィニティを作りますが、インスタンスが終了するとセッションが失われます。インスタンスストア（C）は終了時に失われます。選択肢Dはスケーリングを防ぎコストが増えます。

答え: B

解説: Amazon Kinesis Data FirehoseはS3、Redshift、Elasticsearchへのリアルタイムストリーミングデータ配信のための完全マネージドサービスです。大量データストリームに対して自動的にスケールします。SQS（A）はS3への大量ストリーミング向けではありません。EventBridge（C）はイベントルーティング用です。AWS Batch（D）はバッチジョブ用です。

答え: B

解説: SecurityAuditマネージドポリシーと監査人のAWSアカウントIDの信頼関係を持つIAMロールを作成することで、監査人は独自の認証情報を使用してロールを引き受けることができます。長期的な認証情報の共有なし、信頼ポリシーを変更することでアクセスを取り消せます。IAMユーザーの作成（A、C）は認証情報の共有が必要です。ルート認証情報の共有（D）は絶対に許容されません。

答え: B

解説: SNSファンアウトパターンはSNSにメッセージを公開し複数のSQSキューがサブスクライブします。各サービスは独自の専用SQSキューから読み取り、デカップリング、独立したスケーリング、サービスごとの障害処理を提供します。API Gatewayの順次呼び出し（A）は密結合を作ります。直接Lambda呼び出し（C）は同期的で密結合です。共有SQSキュー（D）は各メッセージを1つのサービスのみが取得します。

答え: B

解説: Amazon Athenaは標準SQLを使用してS3に保存されたデータに直接SQLクエリを実行するサーバーレスインタラクティブクエリサービスです。実行したクエリのみに課金されます。データのロードは不要です。RDS（A）とRedshift（C）はデータのロードが必要です。Glue ETL（D）はデータ変換用です。

答え: B

解説: 3つのAZに最小3インスタンス（各AZに1つ）を展開することで、1つのAZが障害を起こしても他の2つのAZで残り2インスタンスでアプリケーションが継続動作します。2つのAZのみ（A）では1つが障害を起こすと1インスタンスのみになります。クロスリージョンALB（C）は複雑でAZレベルの障害には対応しません。Enhanced Networking（D）はネットワーキングパフォーマンスを向上させますが可用性は向上しません。

答え: B

解説: S3レプリケーションはレプリカオブジェクトを誰が所有するかを指定する所有権設定の構成を可能にします。デフォルトでは宛先バケットオーナーがレプリカを所有します。所有権設定を適切に構成することでレプリカオブジェクトが適切なアクセス制御を持つようになります。バージョニング（A）はレプリケーションに必要ですが所有権を制御しません。オブジェクトロック（C）は不変性用です。ライフサイクルポリシー（D）はオブジェクト移行を管理します。

答え: B

解説: S3バケットにログを集中化し、Amazon Athenaをサーバーレスクエリに使用することはコスト効率が良く、サーバーのプロビジョニングが不要です。クエリとS3ストレージのみに課金されます。CloudWatch Logs（A）は大量のデータには高価です。EC2のELK（C）はサーバー管理が必要です。Redshift（D）はデータのロードとクラスター管理が必要です。

答え: C

解説: 2年以上の一貫した使用量のワークロードには、3年全額前払いのリザーブドインスタンスまたはCompute Savings Plansが最大の割引（オンデマンドに比べて最大72%）を提供します。オンデマンド（A）は割引なしです。スポットインスタンス（B）は中断される可能性があります。1年前払いなしSavings Plans（D）は3年全額前払いよりも割引が少ないです。安定したワークロードには3年前払いが最大の節約を最大化します。