AWS Solutions Architect Professional (SAP-C02) 模擬試験 75問

A) 各アカウントにIAMポリシーを個別に適用する B) AWS Organizations SCPをOUレベルで適用してサービスの使用を制限する C) IAMアクセス許可の境界を各アカウントのすべてのロールに適用する D) CloudFormation StackSetsで制限ポリシーを各アカウントにデプロイする

正解: B

解説: SCPをOrganizationsのOUレベルで適用すると、そのOU配下のすべてのアカウントに一括適用されます。例えば開発OUでは特定のリージョンのみを許可し、本番OUでは追加サービスを許可するような階層構造を作ることができます。IAMポリシーはアカウント内のユーザー/ロールレベルで機能し、SCPはアカウントレベルで機能します。

A) 予防的ガードレールはコスト制限で、検出的ガードレールはセキュリティ制限である B) 予防的ガードレールはSCPを通じて非準拠のアクションをブロックし、検出的ガードレールはAWS Configを通じて非準拠の状態を検出する C) 予防的ガードレールはIAMポリシーベースで、検出的ガードレールはCloudTrailベースである D) 予防的ガードレールは必須で、検出的ガードレールは任意である

正解: B

解説: Control Towerの予防的ガードレール（Preventive Guardrails）はSCPを使用して非準拠のアクション自体をブロックします（例：特定のリージョン外でのリソース作成禁止）。検出的ガードレール（Detective Guardrails）はAWS Configルールを使用して非準拠の状態を検出し、通知を送ります（例：MFAなしのルートアカウント使用の検出）。

A) 2つの会社のVPCをピアリングする B) 会社BのエンドポイントサービスへのインターフェースVPCエンドポイントを会社AのVPCに作成する C) Transit Gatewayを使用して2つの会社のネットワークを接続する D) VPNトンネルを通じて2つの会社のVPCを接続する

正解: B

解説: AWS PrivateLinkでは、プロバイダー（会社B）がNLBを通じてサービスを公開し、コンシューマー（会社A）は自分のVPCにインターフェースVPCエンドポイントを作成してプライベートにアクセスします。VPC CIDRの重複問題がなく、トラフィックはAWSネットワーク内のみで移動します。

A) 各AWSアカウントにSAML 2.0 IdPを個別に設定する B) IAM Identity Center（AWS SSO）をAWS Managed Microsoft ADまたはAD Connectorと統合する C) 各アカウントにIAMユーザーを作成してActive Directoryパスワードと同期する D) Amazon CognitoをIdPとして使用してすべてのアカウントに連携する

正解: B

解説: IAM Identity Center（旧AWS SSO）はAWS Organizationsと統合して、複数のアカウントへの中央集約型SSOを提供します。AWS Managed Microsoft AD（完全マネージド型）またはAD Connector（既存のオンプレミスADへの接続）を通じて会社のAD認証情報を使用できます。アクセス許可セット（Permission Sets）でアカウント別のアクセス権を中央管理します。

A) 各アカウントのデータが自動的に他のアカウントからアクセス可能になる B) すべてのアカウントの使用量が集計されて、ボリューム割引とRI/Savings Plansのメリットが共有される C) すべてのアカウントが自動的に同じIAMポリシーを共有する D) 各アカウントのリソースが自動的に他のリージョンに複製される

正解: B

解説: 統合請求の主な利点は、すべてのアカウントの使用量が集計されてAWSのボリューム割引（S3、データ転送など）が最大化されることです。また1つのアカウントで購入したRIやSavings Plansが、同じ組織の他のアカウントにも自動的に割引が適用されます。

A) Simple AD — 軽量のLDAP互換ディレクトリ B) AWS Managed Microsoft AD — AWSの完全マネージド型AD C) AD Connector — オンプレミスADへのプロキシゲートウェイ D) IAM Identity Center — 組み込みディレクトリを使用

正解: C

解説: AD ConnectorはオンプレミスのActive Directoryへの認証リクエストをプロキシするゲートウェイです。AWSサービス（Amazon WorkSpaces、Amazon QuickSightなど）が既存のオンプレミスAD認証情報で認証される必要があり、AWSにADを移行しない場合に適しています。

A) 既存のオンプレミスサーバーをAWSに自動移行する B) 標準化されたAWSアカウントを自動的に作成し、ガードレールとデフォルト設定を自動適用する C) すべてのアカウントのコストをリアルタイムで監視して自動最適化する D) 複数のアカウントにCloudFormationスタックを並行デプロイする

正解: B

解説: Control TowerのAccount Factoryは新しいAWSアカウントを標準化された方法で作成する自動化ツールです。Service Catalogを通じてセルフサービスでアカウントをプロビジョニングし、自動的に正しいOUに配置し、ガードレールを適用し、ネットワークの基本設定を行います。

A) AWS Configルールを各アカウントにデプロイする B) AWS Firewall ManagerをOrganizationsと統合してファイアウォールポリシーを一元管理する C) Transit Gatewayルーティングテーブルでトラフィックを中央検査VPCにルーティングする D) Security Hubですべてのアカウントのファイアウォールルールを統合管理する

正解: B

解説: AWS Firewall ManagerはAWS Organizationsと統合して、複数のアカウントおよびリソースにわたってWAFルール、AWS Shield Advancedの保護、VPCセキュリティグループ、AWS Network Firewallポリシー、Route 53 Resolver DNSファイアウォールルールを一元管理します。

A) 各アカウントに同じAMIをコピーする B) AWS RAM（Resource Access Manager）を使用してAMIを組織内のアカウントと共有する C) AMIをパブリックに設定してアカウントタグでアクセスを制限する D) S3にAMIをエクスポートしてIAMポリシーでアクセスを制限する

正解: B

解説: AWS Resource Access Manager（RAM）を使用すると、AMI、サブネット、Transit Gateway、License Manager設定などをAWS Organizationsの他のアカウントや特定のアカウントと安全に共有できます。共有AMIはパブリックに公開されずに複数のアカウントで使用可能です。

A) 単一アカウントでIAMグループで部門を分離する B) 各部署を別々のOUに配置し、SCPでアカウント間のリソースアクセスを制限し、IAMアクセス許可の境界で部門管理者が自分の権限範囲内でのみロールを作成できるように制限する C) Amazon Cognitoを使用して部門別のユーザープールを作成する D) VPCピアリングを使用して部門リソースを分離する

正解: B

解説: このシナリオには多層アクセス制御が必要です。OU + SCPはアカウントレベルでのクロスアカウントアクセスを制限し、IAMアクセス許可の境界は部門管理者が新しいロール/ユーザーを作成する際に特定の範囲の権限のみを付与できるように制限します。この2つを組み合わせることで委任された管理者パターンが完成します。

A) Direct Connectはパブリックインターネットを使用し、VPNは専用回線を使用する B) Direct Connectは専用の物理接続で一貫したネットワークパフォーマンスを提供し、VPNはインターネットベースでより素早く設定できる C) Direct Connectは無料で、VPNは有料である D) Direct ConnectはIPv6のみをサポートし、VPNはIPv4のみをサポートする

正解: B

解説: AWS Direct Connectはオンプレミスとの専用プライベートネットワーク接続を提供し、一貫した帯域幅、低レイテンシー、インターネット経由しないセキュリティ向上が特徴です。Site-to-Site VPNはインターネット経由の暗号化トンネルで、より素早く設定（分〜時間）できますが、インターネット品質によってパフォーマンスが変わります。DR用のバックアップとしてDirect Connect + VPNの組み合わせも一般的です。

A) サービス間の同期REST API呼び出し B) Amazon SQSによるメッセージキューイングとAmazon SNSによるファンアウトパターン C) すべてのサービスを単一のEC2インスタンスにデプロイする D) RDSを共有データベースとしてすべてのサービスが直接アクセスする

正解: B

解説: SQS + SNSの組み合わせは疎結合（Loose Coupling）を実装します。SNSトピックでイベントを発行し、複数のSQSキューが購読するとファンアウトパターンが実装されます。コンシューマーサービスがダウンしてもメッセージはSQSに保存され、他のサービスは影響を受けません。

A) 最大トラフィックを処理できる固定サイズのサーバークラスター B) Auto Scalingグループ + CloudFront + ElastiCache + Aurora Serverlessを組み合わせたサーバーレスファーストアーキテクチャ C) 単一の大型EC2インスタンス（スケールアップ） D) オンプレミスサーバーとAWSを常時接続するハイブリッド構成

正解: B

解説: 100倍のトラフィック急増には多層スケーラビリティが必要です。CloudFront（静的コンテンツのキャッシュ）、ElastiCache（DBクエリキャッシュ）、Auto Scaling（EC2の自動拡張）、Aurora Serverless v2（DBの自動拡張）を組み合わせると、トラフィックに比例したコストで高可用性を達成できます。

A) S3 + Redshift + IAMポリシー B) S3 + AWS Glueデータカタログ + Amazon Athena + AWS Lake Formation C) S3 + RDS + SQLアクセス制御 D) S3 + EMR + Apache Hiveメタストア

正解: B

解説: AWS Lake Formationはデータレイクの中央アクセス許可制御を提供します。Glue Data CatalogはS3データのスキーマを管理し、AthenaはS3データに対してサーバーレスSQLクエリを提供します。Lake Formationの列レベル・行レベルのセキュリティで細かいアクセス制御が可能です。

A) 単一リージョンにすべてのゲームサーバーをデプロイする B) Amazon GameLiftを使用してマルチリージョンにゲームサーバーをデプロイし、Global Acceleratorでルーティングする C) CloudFrontを使用してゲームデータをキャッシュする D) Route 53レイテンシーベースルーティングのみを使用する

正解: B

解説: Amazon GameLiftはゲームサーバーホスティング専用のマネージドサービスで、自動スケーリング、マッチメイキング、プレイヤーセッション管理を提供します。Global AcceleratorのエニーキャストIPとAWSグローバルネットワークを通じてプレイヤーを最寄りのゲームサーバーにルーティングしてレイテンシーを最小化します。

A) Lambda関数のメモリを最大に増やす B) Amazon RDS Proxyを使用して接続プーリングを管理する C) Lambda関数をVPC外で実行してパブリックRDSエンドポイントを使用する D) Lambdaの同時実行数を1に制限する

正解: B

解説: Lambdaはリクエストごとに新しいRDS接続を作成するため、接続プールが枯渇する可能性があります。Amazon RDS ProxyはLambdaとRDSの間で接続プーリングを管理し、RDSの接続数を削減してデータベースのスケーリングを改善します。IAM認証やSecrets Managerとも統合されます。

A) CloudTrailログをEC2インスタンスのローカルストレージに保存する B) CloudTrailをS3（S3 Object Lock + MFA Delete）に保存し、Athenaでクエリ可能にする C) すべてのAPIコールをDynamoDBに保存してTTLで有効期限を設定する D) CloudWatch Logsに保存してIAMでアクセスを制限する

正解: B

解説: CloudTrailログをS3に保存してS3 Object Lock（WORM：Write Once Read Many）を有効化すると、ログを変更・削除できなくなります。MFA Deleteは追加の保護レイヤーを提供します。CloudTrail + S3 + Athenaの組み合わせで、コンプライアンスチームがSQLで監査ログをクエリできます。

A) シングルAZ RDS MySQL B) Amazon Aurora Multi-Master（書き込みの多重化） C) Amazon Aurora Global Database — リージョン内マルチAZ、グローバル読み取りレプリカ D) RDS マルチAZ + 読み取り専用レプリカ

正解: C

解説: Aurora Global Databaseは1つのプライマリリージョン（書き込み）と最大5つのセカンダリリージョン（読み取り）で構成されます。リージョン内ではマルチAZで自動フェイルオーバー（30秒以内）が行われ、リージョン障害時はセカンダリリージョンが1分以内にプロモートされます。99.99% SLAを満たし、グローバルな読み取りスケーリングを提供します。

A) モノリス全体を一度にマイクロサービスとして書き直す B) Strangler Figパターン — APIゲートウェイでトラフィックをルーティングして機能を段階的に移行する C) データベースを先にマイクロサービス化してからアプリケーションを分離する D) ブルー/グリーンデプロイでモノリスとマイクロサービスを並行運用する

正解: B

解説: Strangler Figパターンはモノリスの前にAPIゲートウェイやロードバランサーを配置し、新機能はマイクロサービスとして開発してゲートウェイからルーティングします。既存機能は段階的にマイクロサービスに移行して、リスクなく移行できます。

A) すべてのデータをRDSに保存してEC2でバッチ処理する B) Amazon Kinesis Data Streams → Lambda（リアルタイム異常検知）+ Kinesis Data Firehose → S3（長期保管） C) SQSでデータをバッファリングしてEC2バッチで処理する D) API Gateway → DynamoDBに保存して毎日S3にエクスポートする

正解: B

解説: 高スループットのストリーミングデータにはKinesisアーキテクチャが適しています。Kinesis Data Streamsは毎秒数百万件のレコードを取り込み、Lambdaが各レコードをリアルタイムで処理して異常を検知します。Kinesis Data FirehoseはS3に自動バッチ配信して長期保管と分析をサポートします。

A) 各リージョンに独立したRDSマルチAZデプロイメント B) Amazon Aurora Global DatabaseまたはDynamoDB Global Tablesを使用してマルチリージョンデータ同期 C) S3クロスリージョンレプリケーションですべてのデータを同期する D) Route 53でトラフィックをルーティングしてデータは単一リージョンのみで管理する

正解: B

解説: Active-Activeマルチリージョンアーキテクチャでは、Aurora Global Database（リレーショナル）またはDynamoDB Global Tables（NoSQL）を使用します。どちらのサービスも複数のリージョンでの読み書きをサポートし、リージョン間のレプリケーションのレイテンシーは1秒未満です。DynamoDB Global TablesはEventual Consistencyモデルを使用します。

A) S3マルチパートアップロードでネットワークを通じて直接転送する B) AWS Snowball Edge Storage Optimizedアプライアンスを使用して物理的にデータを転送する C) Direct Connect接続を一時的に増強して転送する D) データを圧縮して通常のインターネットで転送する

正解: B

解説: AWS Snowball Edgeはペタバイト規模のデータをAWSに物理的に転送するサービスです。ネットワーク転送よりも大幅に速く（テラバイト基準で数日vs数ヶ月）、転送中のデータは暗号化されます。Snowball Edge Storage Optimizedは80TBのストレージを提供します。

A) ACMプライベートCAはパブリック証明書を発行し、一般的なACMはプライベート証明書を発行する B) ACMはパブリックドメイン証明書を無料で発行し、ACMプライベートCAは内部ドメイン用のプライベート証明書発行の階層構造を管理する C) 2つのサービスは同じだが容量制限が異なる D) ACMプライベートCAはRoute 53とのみ統合される

正解: B

解説: ACMはAmazon信頼サービスからELB、CloudFront、API GatewayにデプロイするためのSSL/TLS証明書を無料で発行します。ACM Private CAは独自のCA階層構造を管理して、内部サービス、IoTデバイス、オンプレミスサーバー用のプライベート証明書を発行します（時間ごとに課金）。

A) AWS Cost Calculatorで予想コストのみを計算する B) AWS Application Discovery Serviceを使用してオンプレミスサーバーの設定およびパフォーマンスデータを収集する C) CloudFormationテンプレートを事前に作成して移行を計画する D) 手動でサーバーリストをスプレッドシートにまとめる

正解: B

解説: AWS Application Discovery Serviceはエージェントベース（詳細なOS情報）またはエージェントレス（VMware vCenter統合）方式でオンプレミスサーバーの設定、パフォーマンス、ネットワーク依存関係を自動的に収集します。収集したデータはAWS Migration Hubに送信されて移行計画をサポートします。

A) データベース全体を定期的にスナップショットして同期する B) ソースDBの変更（INSERT、UPDATE、DELETE）をリアルタイムでターゲットDBに反映する C) ソースDBを完全に停止してからターゲットDBに一括転送する D) ストレージレベルでブロック単位でデータを複製する

正解: B

解説: CDCはソースデータベースのトランザクションログを読み込んで、INSERT、UPDATE、DELETE変更をリアルタイムでターゲットデータベースに適用します。これにより移行中もソースDBが継続して稼働し、切り替え（Cutover）時点のみに最小限のダウンタイムが発生します。

A) EC2インスタンスにVMwareを直接インストールする B) VMware Cloud on AWSを使用する C) AWS Outpostsを使用してVMwareワークロードをオンプレミスで実行する D) Amazon VirtualBoxを使用する

正解: B

解説: VMware Cloud on AWS（VMC on AWS）はVMware SDDC（ソフトウェア定義データセンター）スタックをAWSの専用ベアメタルサーバーで実行します。既存のVMwareツール（vCenter、vSphere、NSX-T）、プロセス、スキルをそのまま使用しながらAWSサービスと統合できます。移行7Rの「Relocate」に該当します。

A) Oracleライセンスを自動的にPostgreSQLライセンスに変換する B) Oracleデータベーススキーマ、ビュー、ストアドプロシージャ、関数をPostgreSQL互換コードに変換する C) OracleからPostgreSQLへリアルタイムでデータを複製する D) OracleクエリをPostgreSQLクエリにリアルタイムで変換する

正解: B

解説: AWS Schema Conversion Tool（SCT）はソースデータベーススキーマを分析してターゲットデータベースに合わせて変換します。OracleのスキーマSQL、ビュー、ストアドプロシージャ、関数をPostgreSQL（またはAurora PostgreSQL）互換のコードに変換し、自動変換が難しい箇所は手動変換が必要な項目として表示します。SCT（スキーマ変換）+ DMS（データ移行）が異種データベース移行の標準パターンです。

A) オンプレミスサーバーをAWS EC2に自動変換する B) 複数のAWS移行ツールの進捗状況を一元的に追跡する C) 移行後のコストを自動最適化する D) 移行中のネットワーク帯域幅を自動調整する

正解: B

解説: AWS Migration HubはAWS Server Migration Service（SMS）、Database Migration Service（DMS）、Application Discovery Serviceなど様々な移行ツールの進捗状況を単一のダッシュボードで追跡します。個別のアプリケーションまたはサーバーグループの移行状態を視覚化します。

A) オンプレミスMySQLをEC2のMySQLにそのまま移行する（リフトアンドシフト） B) セルフマネージドMySQLをAmazon RDS MySQLに移行して管理負担を軽減する C) レガシーCRMをSalesforce SaaSに置き換える D) 使用していないレガシーアプリケーションを廃止する

正解: B

解説: Replatform（Lift-Tinker-and-Shift）はアプリケーションのコアアーキテクチャを維持しながら、クラウドの管理恩恵を活用するための最小限の変更を行います。セルフマネージドMySQL → RDS MySQLはコード変更なしに、OSパッチ適用、バックアップ、高可用性をAWSが管理する代表的なReplatformの例です。

A) AWS Well-Architectedフレームワーク B) 移行ポートフォリオ評価 — 技術的複雑性とビジネス価値の2x2マトリックス C) AWS Cost Calculatorを使用したコスト比較 D) AWS Trusted Advisorの推奨事項リスト

正解: B

解説: 移行ポートフォリオ評価では、各アプリケーションを技術的複雑性（低/高）とビジネス価値（低/高）の基準で2x2マトリックスに配置します。複雑性が低くビジネス価値が高いアプリケーション（Quick Wins）を最初に移行し、複雑性が高く価値が低いものはRetireを検討します。

A) Compute Savings Plansが常に高い割引を提供する B) 3年全額前払いEC2 Standard RIが特定のインスタンスタイプ/リージョン/OSに対して最大72%の割引を提供する C) オンデマンドインスタンスが長期的に最も経済的である D) スポットインスタンスが常に最低コストである

正解: B

解説: 最大割引は3年全額前払いEC2 Standard Reserved Instanceで最大72%の節約が可能です。Compute Savings Plansは最大66%、EC2 Instance Savings Plansは最大72%を提供しますが柔軟性が高くなります。ワークロードが安定していてインスタンスタイプの変更がない場合、Standard RIが最大の節約を提供します。

A) 開発者にインスタンスを手動で起動/停止するよう指示する B) AWS Instance SchedulerまたはLambda + EventBridgeルールでインスタンスを自動起動/停止する C) Auto Scalingの最小インスタンス数を0に設定する D) インスタンスをスポットインスタンスに切り替える

正解: B

解説: EventBridgeのcronルールでLambda関数をトリガーして、インスタンスをスケジュールに従って自動起動/停止できます。業務時間のみ実行（週45時間/168時間）すると、約73%のコスト削減が可能です。AWS Instance Schedulerソリューションを使用すると、このパターンを簡単にデプロイできます。

A) AWS Cost Explorerの月次コストレポート B) AWS Cost and Usage Report（CUR）をS3に保存してAthenaまたはQuickSightで分析する C) CloudWatchメトリクスによるサービス使用量の集計 D) AWS Billing DashboardのPDF請求書

正解: B

解説: AWS Cost and Usage Report（CUR）は最も詳細なコストデータ（リソースIDレベル、時間別使用量、タグ）を提供します。S3に保存されたCURをAthenaでSQLクエリしたり、QuickSightダッシュボードで視覚化することで正確なチャージバックレポートを生成できます。

A) 転換可能RIはより高い割引を提供する B) 標準RIは1年のみ契約可能で、転換可能RIは3年のみ契約可能である C) 転換可能RIは契約期間中にインスタンスファミリー、OS、テナンシーを変更できるが割引率が低く、標準RIは高い割引を提供するが変更が制限される D) 転換可能RIはReserved Instance Marketplaceで販売できない

正解: C

解説: 転換可能RI（Convertible RI）は契約期間中にインスタンスファミリー、OSタイプ、テナンシーを変更できる柔軟性を提供する代わりに、標準RIよりも低い割引率（最大54%）を提供します。標準RIは変更が制限されますが、より高い割引率（最大72%）を提供します。

A) 単一のスポットインスタンスですべての作業を実行する B) チェックポインティング + スポット + オンデマンド混合Auto Scalingグループ（Spot FleetまたはMixed Instances Policy） C) スポットインスタンスにEBSボリュームをアタッチして終了前に自動スナップショット D) スポットインスタンスを予約インスタンスに置き換える

正解: B

解説: 中断に対して耐性が必要なワークロードには、オンデマンド（最小ベース容量）+ スポット（コスト削減の追加容量）を組み合わせるパターンが適しています。AWSはスポット中断の2分前に通知を提供するため、チェックポインティングで作業状態を保存できます。複数のインスタンスタイプとAZに分散させてSpot FleetやEC2 Fleetを使用することで中断リスクを軽減します。

A) すべてのアカウントが同じAWSリージョンにある必要がある B) AWS Organizationsの統合請求とRI共有が有効になっている必要がある C) すべてのアカウントが同じVPCに接続されている必要がある D) 各アカウントで別々にRIを購入する必要がある

正解: B

解説: AWS Organizationsの統合請求でRI共有（RI Sharing）が有効になると、組織内のすべてのアカウントのEC2使用量が集計され、RI割引が自動的に最適配分されます。1つのアカウントで購入したRIが他のアカウントの使用量にも割引として適用される場合があります。

A) マルチサイトアクティブ/アクティブ — 2つのリージョンで同時運用 B) ウォームスタンバイ — 別のリージョンに縮小された規模の運用環境を維持 C) バックアップと復元 — 別のリージョンにバックアップのみを保存 D) パイロットライト — 別のリージョンにコアサービスのみを最小実行状態で維持

正解: D

解説: RTO30分、RPO15分はパイロットライト戦略で達成可能です。パイロットライトはコアデータベース（例：RDS）を別のリージョンに複製し、EC2インスタンスはAMIのみが準備された最小状態で維持します。障害時にAMIからインスタンスを起動し、DNSを切り替えます（30分以内に可能）。ウォームスタンバイはより速い復旧が可能ですが、コストが高くなります。

A) 使用した分だけ支払い、使用していないリソースを削除する B) すべてのワークロードを固定容量でプロビジョニングする C) 最も高価なサービスを使用してパフォーマンスを最大化する D) すべてのデータを即座にアクセス可能なストレージに保管する

正解: A

解説: Well-Architectedのコスト最適化消費モデルは、実際の使用量に応じてコストを支払い、使用していないリソースを停止/削除するクラウドネイティブなアプローチです。オンプレミスの容量計画（最大負荷に合わせた固定プロビジョニング）とは異なり、クラウドではAuto Scaling、Serverless、スポットインスタンスなどで需要に合わせた弾力的な運用を行います。

A) CloudFrontはデータベースクエリをキャッシュし、ElastiCacheは静的ファイルをキャッシュする B) CloudFrontは世界中のエッジロケーションで静的/動的コンテンツをキャッシュしてオリジンの負荷を軽減し、ElastiCache（Redis/Memcached）はアプリケーションレイヤーのデータベースクエリ結果をキャッシュする C) 2つのサービスは同じ役割を果たし、重複している D) CloudFrontはセキュリティサービスで、ElastiCacheはログサービスである

正解: B

解説: CloudFrontはCDNとしてHTML、CSS、JS、画像、APIレスポンスなどをエッジにキャッシュしてオリジンサーバーの負荷を軽減し、グローバルユーザーに高速なレスポンスを提供します。ElastiCache（Redis/Memcached）はアプリケーションサーバーとRDSの間で頻繁なDBクエリ結果をインメモリにキャッシュしてDB負荷とレスポンスレイテンシーを軽減します。

A) HRIは単なる推奨事項なので無視してよい B) HRIを優先的に修正し、改善計画を立ててマイルストーンごとに進捗を追跡する C) AWSサポートに連絡してAWSに直接修正を依頼する D) 現在のアーキテクチャを完全に再設計する

正解: B

解説: Well-Architected ToolのHRIはアーキテクチャの深刻なリスクを示します。HRIを優先的に解決し、改善計画（Improvement Plan）をマイルストーンで設定して進捗を追跡します。すべてのHRIをすぐに修正できない場合は、リスク受容（Risk Acceptance）またはリスク軽減（Risk Mitigation）計画を文書化します。

A) NATゲートウェイを通じてすべてのトラフィックをルーティングする B) S3とDynamoDBのVPCゲートウェイエンドポイントを作成する C) S3とDynamoDBへの専用Direct Connectリンクを設定する D) EC2インスタンスにパブリックIPを割り当てインターネット経由でアクセスする

正解: B

解説: S3とDynamoDBのVPCゲートウェイエンドポイントは無料で提供され、トラフィックはパブリックインターネットやNATゲートウェイを経由せずにAWS内部ネットワークを通じて配信されます。NATゲートウェイのデータ処理コスト（GBあたりの料金）も削減されます。

A) アプリケーション全体をコンテナに移行する B) 自動テスト（ユニット、統合、E2E）パイプラインを構築してデプロイ前に品質を自動検証する C) マイクロサービスアーキテクチャへ即座に移行する D) ブルー/グリーンデプロイのために本番インフラを2倍に増強する

正解: B

解説: CI/CDの改善で最も基本的かつ重要なのは自動テストパイプラインです。ユニットテスト→統合テスト→E2Eテストを自動化することで、デプロイ前にバグを早期発見・修正できます。その後、ブルー/グリーン、カナリアリリースなどの高度なデプロイ戦略を導入できます。

A) DynamoDBテーブルのプロビジョニング容量を単純に増やす B) パーティションキーにランダムなサフィックスを追加してデータを複数のパーティションに分散させ、読み取り時に集計する C) DynamoDB Streamsを有効化してデータを別のサービスに移行する D) GSI（グローバルセカンダリインデックス）を追加してクエリを分散する

正解: B

解説: ホットパーティション問題はパーティションキーの設計問題です。パーティションキーにランダムなサフィックス（例：1〜10のいずれか）を追加するとデータが複数のパーティションに分散されます。読み取り時はすべてのサフィックスでクエリして結果を集計します（Scatter-Gatherパターン）。DynamoDB DAX（Accelerator）を追加すると読み取りパフォーマンスも向上します。

A) 即座にBlockモードでWAFをデプロイする B) CountモードでWAFルールを先にデプロイして、トラフィックをブロックせずに一致するリクエストのみをログに記録する C) 開発環境のみでWAFをテストする D) AWS Shield Advancedを先に有効化する

正解: B

解説: WAFルールを初めて導入する際はCountモードでデプロイすると、実際のトラフィックをブロックせずにどのリクエストがルールにマッチするかをログに記録します。CloudWatch LogsとWAFサンプルリクエストを分析してFalse Positive（正常なトラフィックが誤ってブロックされる場合）を確認し、ルールを調整してからBlockモードに切り替えます。

A) S3ライフサイクルポリシーで30日後にS3-IAに移行、90日後にGlacierに移行する B) S3 Intelligent-Tieringを使用してアクセスパターンに基づいて自動的に階層を移動する C) Lambdaを毎日実行して30日以上アクセスのないオブジェクトを手動で移動する D) CloudFrontを使用して頻繁にアクセスされるオブジェクトをキャッシュする

正解: B

解説: S3 Intelligent-Tieringはアクセスパターンを自動的に監視して30日、90日、180日を基準にオブジェクトをより安い階層に自動移動します。階層間の移動に検索コストはかかりません。ライフサイクルポリシーは固定した日数基準ですが、Intelligent-Tieringは実際のアクセスパターンに基づきます。

A) 各VPCにVPNゲートウェイをインストールして直接接続する B) AWS Transit Gateway + 中央検査VPC（AWS Network Firewall）+ Transit Gatewayルーティングテーブル C) VPCピアリングですべてのVPCをセキュリティVPCに接続する D) Security Groupですべての東西トラフィックをフィルタリングする

正解: B

解説: ハブアンドスポークセキュリティアーキテクチャでTransit Gatewayが中央ハブの役割を担います。セキュリティVPCにAWS Network Firewallをデプロイし、Transit Gatewayルーティングテーブルを使用してスポークVPC間のトラフィックが必ずセキュリティVPCを経由するように設定します。このパターンで中央集約型のセキュリティポリシーを適用できます。

A) EC2インスタンスのCloudWatchデフォルトメトリクスで確認する B) Container Insightsを有効化してECSクラスター、サービス、タスク、コンテナレベルのメトリクスを収集する C) ECSタスク定義からメモリ制限を削除する D) AWS X-Rayを使用してメモリ使用量を追跡する

正解: B

解説: CloudWatch Container InsightsはECS、EKS、KubernetesのコンテナレベルのCPU、メモリ、ディスク、ネットワークメトリクスを収集します。ECSクラスター、サービス、タスク定義レベルまでドリルダウンしてメモリ使用パターンを分析できます。

A) 適切なAWSリージョンが選択されているか確認する B) AWS X-RayでアプリケーションリクエストをトレースしてCloudWatchのメトリクスでリソースのボトルネックを確認し、VPCネットワーク設定を見直す C) インスタンスタイプをすぐにアップグレードする D) データベースをNoSQLに移行する

正解: B

解説: 移行後のパフォーマンス低下は様々な原因が考えられます。AWS X-Rayでレイテンシーのボトルネックを追跡し、CloudWatchでCPU、メモリ、ネットワークメトリクスを分析し、VPC設定（セキュリティグループ、ネットワークACL、DNS解決）を確認します。EBSボリュームタイプ（gp2 vs gp3、io1）、インスタンスタイプ、RDSパラメータグループも確認が必要です。

A) Route 53重み付けルーティング B) CloudFrontキャッシュビヘイビア（Cache Behaviors）と複数のオリジン設定 C) Application Load Balancerのリスナールール D) Lambda@Edgeでリクエストを手動ルーティングする

正解: B

解説: CloudFrontディストリビューションに複数のオリジンを追加し、キャッシュビヘイビア（Cache Behaviors）でURLパスパターン別に異なるオリジンにルーティングできます。/api/*パターンはELBオリジンへ、/static/*パターンはS3オリジンへルーティングする設定が可能です。

A) Aurora Multi-Masterに移行して書き込みを分散する B) Aurora読み取り専用レプリカ + Auroraクラスターエンドポイント + RDS Proxyを組み合わせる C) AuroraをDynamoDBに移行する D) EC2に直接MySQLをインストールして読み取りレプリカを手動管理する

正解: B

解説: Aurora読み取り専用レプリカは読み取り負荷を分散します。Auroraクラスターのリーダーエンドポイントは複数の読み取りレプリカ間の自動ロードバランシングを提供します。RDS Proxyは数百の接続をプーリングして接続数を削減しオーバーヘッドを最小化します。3つを組み合わせると最大の読み取りパフォーマンスを達成できます。

A) 単一のグローバルS3バケットにすべてのデータを保存してIAMでアクセスを制限する B) AWS Organizations SCPでEUユーザーデータがEUリージョン外に保存されることを防ぎ、CloudFrontとRoute 53で地域ルーティングを行う C) すべてのデータをオンプレミスに保管してAWSはコンピューティングのみに使用する D) CloudFrontで地理制限（Geo Restriction）のみを設定する

正解: B

解説: データレジデンシーの要件には多層アプローチが必要です。SCPでEUリージョン外でのリソース作成を防ぎ、Route 53の地理的ルーティングでEUユーザーをEUリージョンにルーティングし、S3バケットポリシーにaws:RequestedRegion条件で特定のリージョンからのみアクセスを許可します。

A) EC2にHadoopをインストールして常時運用する B) Amazon EMRを使用して必要な時だけトランジェントクラスターを起動し、結果をS3に保存する C) AWS Glueを使用してすべてのHadoopジョブをETLに変換する D) Amazon Redshiftに移行してクエリパフォーマンスを向上させる

正解: B

解説: EMRトランジェント（Transient）クラスターはジョブ実行時にのみクラスターを起動し、完了後に自動終了します。データはHDFSの代わりにS3に保存（EMRFS）されてクラスター終了後も維持されます。ワーカーノードにスポットインスタンスを使用するとコストを70〜90%削減できます。

A) Lambda関数のメモリを減らしてコストを削減する B) AWS WAFをAPI Gatewayにアタッチし、API Gateway使用プラン（Usage Plan）でリクエストレート制限を設定する C) CloudFrontを削除してAPI Gatewayを直接公開する D) Lambdaの予約同時実行数を0に設定する

正解: B

解説: API GatewayにAWS WAFをアタッチするとSQLインジェクション、XSS、IPブロックなどのルールを適用できます。API Gateway使用プランのスロットリング設定（RPS、バーストリミット）で超過リクエストをブロックします。AWS Shield Advancedを追加すると高度なDDoS保護とコスト保護を受けられます。

A) 各アカウントで独立してCloudTrailログを分析する B) すべてのアカウントのCloudTrailログを中央セキュリティアカウントのS3バケットに集約し、AthenaでクエリするかSIEMに転送する C) Security HubがすべてのアカウントのすべてのCloudTrailログを自動的に統合分析する D) 各アカウントにセキュリティチームのIAMロールを作成して直接アクセスする

正解: B

解説: マルチアカウントのCloudTrail統合には、Organizations CloudTrailを使用して組織のすべてのアカウントから管理イベントを自動収集し、中央セキュリティアカウントのS3バケットに配信するパターンが標準です。中央S3バケットにAthenaを接続したり、Splunk、Elasticなどのセキュリティ分析ツールに転送して分析します。

A) AWSサービスを無料で使用できる B) Technical Account Manager（TAM）、ビジネスクリティカルな障害に対して15分以内の応答時間（SLA）、Well-Architectedレビューのサポート C) すべてのAWSサービスの無制限使用保証 D) 本番環境の自動障害復旧

正解: B

解説: AWSエンタープライズサポートの核心的なメリットには、専任のTechnical Account Manager（TAM）、ビジネス/ミッションクリティカルなシステム障害に対する15分以内の対応（電話サポート）、年次Well-Architectedフレームワークレビュー、Trusted Advisorのすべての項目確認、オペレーションレビューなどがあります。

A) Route 53地理近接ルーティングで特定の国からのトラフィックをブロックする B) CloudFront地理制限（Geo Restriction）で特定の国からのアクセスをブロックまたは許可する C) WAFのIPブロックリストで特定の国のすべてのIPをブロックする D) アプリケーションレイヤーでユーザーのIPを確認してリダイレクトする

正解: B

解説: CloudFrontの地理制限（Geo RestrictionまたはGeo Blocking）は国コードを基準に特定の国からのアクセスをブロック（Blocklist）または許可（Allowlist）します。CloudFrontエッジで処理されるため、オリジンサーバーに到達する前にブロックされます。ブロックされたユーザーには403 Forbiddenまたはカスタムエラーページが返されます。

A) クラスターのすべてのノードに同じIAMロールを割り当てる B) IRSA（IAM Roles for Service Accounts）を使用してKubernetesサービスアカウントにIAMロールを関連付ける C) Pod内でAWS CLI configureで認証情報をハードコードする D) AWS Secrets Managerに認証情報を保存してPodが直接取得する

正解: B

解説: IRSA（IAM Roles for Service Accounts）はKubernetesサービスアカウントにIAMロールを関連付けて、そのサービスアカウントを使用するPodのみが指定されたAWSサービスにアクセスできるようにします。ノードレベルのIAMロールの代わりにPodレベルの最小権限を実装するEKSの標準パターンです。

A) イベント前にRDSインスタンスサイズを最大にアップグレードしてイベント後にダウングレードする B) ElastiCache（Redis）で人気商品/カテゴリデータをキャッシュし、Auroraの読み取りレプリカを事前に追加し、Aurora Serverless v2でピーク時に自動スケーリングする C) すべてのDBクエリをストアドプロシージャとして最適化する D) イベント期間のみオンプレミスDBと直接接続する

正解: B

解説: 予測可能なトラフィック急増（ブラックフライデー）に備える多層戦略です。ElastiCacheで読み取り負荷の80〜90%をキャッシュし、事前に追加したAurora読み取りレプリカでDB読み取りを分散します。Aurora Serverless v2はピーク時に自動的にACU（Aurora Capacity Units）を増加します。イベント前の負荷テスト（Load Testing）も必須です。

A) AWS全体のアカウントを即座に削除する B) 疑わしいIAM認証情報を無効化し、CloudTrailとGuardDutyアラートで最近の活動を調査し、VPCフローログで異常なネットワーク活動を確認する C) AWSサポートに連絡して調査を委任する D) すべてのEC2インスタンスを即座に終了する

正解: B

解説: セキュリティインシデント対応手順：1）疑わしいIAMユーザー/ロール/キーを即座に無効化。2）CloudTrailでその認証情報の最近のAPIコールを分析。3）GuardDutyアラートで脅威の範囲を把握。4）VPCフローログで異常なトラフィックを確認。5）影響を受けたリソースを隔離。6）根本原因分析と再発防止措置の順に実施します。

A) CloudWatchダッシュボードを監査者と共有する B) AWS Configはすべてのリソースの設定変更履歴をタイムラインで記録し、特定の時点の設定スナップショットを提供する C) CloudTrailログをCSVにエクスポートして監査者に提供する D) Systems Manager Inventoryで現在の設定状態をキャプチャする

正解: B

解説: AWS ConfigはサポートされているすべてのAWSリソースの設定変更を継続的に記録します。Configタイムラインでリソースがどの設定からどの設定にいつ変更されたかの完全な履歴を提供します。特定の時点の設定スナップショットも照会可能です。規制準拠の監査の中心的なサービスです。

A) SQS Dead Letter Queueに失敗したメッセージを送信する B) Kinesisストリーム自体の再試行設定を変更する C) Lambdaのイベントソースマッピング（Event Source Mapping）で再試行回数、等分再試行（bisect on error）、エラー時の送信先（Destination on Failure）を設定する D) Lambda関数内で例外をcatchして手動で再処理する

正解: C

解説: LambdaのKinesisイベントソースマッピングでは再試行動作を細かく制御できます。再試行回数、最大レコード有効期間、エラー時にバッチを等分（bisect on function error）して失敗したレコードを特定する機能、そして処理失敗したレコードをSQSやSNSに送るエラー送信先（Destination）を設定できます。

A) 2つの更新のどちらかが自動的にロールバックされる B) DynamoDBはLast Writer Wins（最後の書き込みが優先）方式で競合を解決する C) アプリケーションが競合を検出して手動でマージする必要がある D) 競合が発生すると対象アイテムがロック状態になって読み取り専用になる

正解: B

解説: DynamoDB Global Tablesは各リージョンの更新をタイムスタンプと共に複製します。同時更新の競合時は「Last Writer Wins」 — つまり最新のタイムスタンプの更新がすべてのリージョンに伝播されます。これはEventual Consistencyモデルです。ビジネスロジックで競合を回避するか、単一リージョンで書き込み操作を行うように設計すべきです。

A) Application Load Balancer B) Amazon API Gateway + AWS PrivateLink C) AWS App Mesh + Amazon API Gateway D) Transit Gateway

正解: C

解説: AWS App Meshはマイクロサービス間の通信を制御するサービスメッシュで、Envoyプロキシを通じてトラフィックルーティング、再試行、サーキットブレーカー、可観測性を提供します。API Gatewayは外部クライアントへの単一エントリーポイントを提供してバージョン管理、スロットリング、認証を処理します。2つを組み合わせると内部サービス通信（App Mesh）+ 外部APIの管理（API Gateway）が完成します。

A) 本番デプロイ後に脆弱性を手動で確認する B) Amazon ECRのイメージスキャン（基本スキャンまたは拡張スキャン）を有効化し、CodePipelineでスキャン結果を確認して脆弱性があればデプロイを停止する C) オープンソースのTrivyをEC2にインストールして手動スキャンする D) Docker Hubの公式イメージのみを使用する

正解: B

解説: Amazon ECRはイメージのプッシュ時または定期的に自動脆弱性スキャンを提供します。基本スキャン（CVEデータベースベース）と拡張スキャン（Amazon Inspectorベース、より詳細なCVE検出）を選択できます。CodePipelineにECRスキャン結果を確認するステップを追加して、HIGH/CRITICALな脆弱性のあるイメージのデプロイを自動的にブロックします。

A) Direct Connectを2回線で二重化するだけで十分である B) Direct Connect二重化（2つの専用回線またはパートナー接続）+ BGP優先経路設定によるSite-to-Site VPNバックアップ C) VPNのみでDirect Connectと同じパフォーマンスを保証できる D) すべてのデータをS3に複製してDirect Connectなしでアクセスできるようにする

正解: B

解説: Direct Connectの高可用性のための標準パターンは、2つの物理回線（理想的には異なるDirect Connectロケーション）+ VPNバックアップです。BGP経路優先度（Local Preference、AS-PATHプリペンド）を設定してDirect Connectをデフォルト経路とし、Direct Connect障害時のみVPNが自動的に有効になるように構成します。

A) すべてのバケットでS3クロスリージョンレプリケーションを無効化する B) S3バケットポリシーにaws:RequestedRegion条件を使用して特定のリージョンからのリクエストのみを許可し、SCPで許可されたリージョン外へのS3バケット作成を防ぐ C) S3バケットに関連するCloudFrontディストリビューションを無効化する D) S3 ACLでパブリックアクセスをブロックする

正解: B

解説: データレジデンシーを保証するためには、S3バケットポリシーのaws:RequestedRegion条件で特定のリージョンからのアクセスのみを許可し、AWS Organizations SCPで許可されたリージョン以外へのS3バケット作成を制限します。S3バケットは作成時にリージョンが固定されるため、SCPでリージョンを制限するとデータが意図したリージョンにのみ保存されます。

A) すべてのサービスを単一のアカウントにデプロイする B) 専用の共有サービスアカウントをOUに作成し、RAMやDirect Connectを通じて他のアカウントと共有する C) 各アカウントに同一のサービスを複製デプロイする D) 管理アカウントですべての共有サービスを運用する

正解: B

解説: AWS Landing Zoneアーキテクチャでは専用の「共有サービス（Shared Services）」アカウントを分離します。Route 53 Resolver、AWS Directory Service、ECR、VPCエンドポイントなどの共通サービスをこのアカウントにデプロイし、Transit GatewayまたはRAM（Resource Access Manager）を通じて他のアカウントのVPCと共有します。管理アカウントは請求とOrganizations管理にのみ使用するのがベストプラクティスです。

A) ネットワーク帯域幅コストを削減する B) EC2インスタンス、Lambda関数、EBSボリューム、ECSサービスに対して、現在の使用パターンに基づいた最適なインスタンスタイプとサイズを推奨する C) S3ストレージコストを自動的に最適化する D) 予約インスタンスとSavings Plansを自動購入する

正解: B

解説: AWS Compute Optimizerは機械学習を使用してEC2インスタンス、Auto Scalingグループ、EBSボリューム、Lambda関数、ECSサービスの実際の使用量メトリクスを分析し、過剰プロビジョニングまたは不足プロビジョニングされたリソースを特定します。コストとパフォーマンスのバランスを取った最適なインスタンスタイプ/サイズ変更の推奨を提供します。

A) S3バケットにSSL証明書を直接インストールする B) CloudFrontディストリビューション（ACM証明書 + カスタムドメイン）+ S3オリジン + Route 53エイリアスレコード C) EC2インスタンスにNginxをインストールしてリバースプロキシとしてS3に接続する D) API GatewayをS3の前に配置してHTTPSを提供する

正解: B

解説: S3自体はカスタムドメインでのHTTPSを直接サポートしていないため、CloudFrontを前に配置します。ACM（AWS Certificate Manager）でカスタムドメインの無料SSL/TLS証明書を発行してCloudFrontにアタッチし、Route 53でカスタムドメインをCloudFrontディストリビューションのエイリアス（Alias）レコードとして設定します。

A) CloudWatch Logs Insights B) AWS X-Ray C) VPCフローログ D) CloudTrail

正解: B

解説: AWS X-Rayは分散アプリケーションのリクエストトレーシングサービスです。各リクエストのサービスマップ（Service Map）を生成してマイクロサービス間の呼び出しフローを視覚化し、レイテンシー、エラー、スロットリングを分析します。Lambda、EC2、ECS、API Gateway、DynamoDB、SNS、SQSと統合されます。

A) 常時稼働のGPU予約インスタンスを購入する B) Amazon SageMakerのマネージドトレーニングジョブ（Managed Spot Training）を使用して必要な時だけスポットGPUインスタンスでトレーニングし、チェックポイントをS3に保存する C) オンプレミスGPUサーバーを維持してAWSとハイブリッドで運用する D) CPUインスタンスでトレーニングしてGPUコストを回避する

正解: B

解説: SageMakerのマネージドトレーニングはトレーニング中のみインスタンスを起動し、完了後に自動終了します。SageMaker Managed Spot Trainingを使用するとスポットインスタンス価格でGPUインスタンスを使用でき（最大90%割引）、スポット中断時にS3からチェックポイントを自動復元します。トレーニング完了後にインスタンスが自動終了するためアイドルコストが発生しません。

A) Amazon EBS — 複数のインスタンスにマウントして共有する B) Amazon EFS — 複数のEC2インスタンスから同時にマウント可能な完全マネージド型NFS C) Amazon S3 — POSIXファイルシステムインターフェイスを提供する D) AWS FSx for Windows — LinuxのEC2にマウントする

正解: B

解説: Amazon EFS（Elastic File System）はNFSv4プロトコルを使用する完全マネージド型の共有ファイルシステムです。数千のEC2インスタンス、コンテナ、Lambda関数から同時にマウントして共有ファイルアクセスが可能です。EBSはシングルインスタンスへの接続（Multi-Attachは制限的）で、S3はファイルシステムインターフェイスを提供しません。

A) 別のAWS GovCloudアカウントのみを使用する必要がある B) AWSとBAA（Business Associate Agreement）を締結し、HIPAA対応サービスを使用し、PHIデータを暗号化する C) すべてのデータをCloudHSMにのみ保存する必要がある D) AWSはHIPAAをサポートしていないためオンプレミスのみを使用する必要がある

正解: B

解説: AWSでHIPAAを達成するには、AWSとBusiness Associate Agreement（BAA）を締結する必要があります。HIPAA対応サービス（EC2、S3、RDS、Lambdaなど多数）のみをPHI（Protected Health Information）の処理に使用し、保存中および転送中のデータを暗号化し、アクセス制御、監査ログ、インシデント対応手順を実装する必要があります。

A) 単一のRDSデータベースに顧客IDカラムで分離する B) 各テナントに別々のAWSアカウントをプロビジョニングしてアカウントレベルで分離する C) VPC内のセキュリティグループでテナントを分離する D) DynamoDBテーブルでパーティションキーとして顧客IDを使用して分離する

正解: B

解説: 最も強力なテナント分離モデルはテナントごとの別々のAWSアカウント（Account-per-Tenant）です。アカウント境界はネットワーク、IAM、リソース、請求のすべてで完全な分離を提供します。AWS OrganizationsとControl TowerのAccount Factoryでテナントアカウントの自動プロビジョニングが可能です。管理の複雑さが増すため、より軽量な分離が必要な場合はVPC per tenantやnamespace per tenantを検討します。

A) より多くのEC2インスタンスを使用して処理速度を上げる B) 不要なリソースを排除し、Graviton（ARM）プロセッサベースのインスタンスを使用し、サーバーレスとコンテナでリソース活用率を高める C) データを複数のリージョンに複製して持続可能性を高める D) 24時間すべてのインスタンスを実行してコールドスタートを防ぐ

正解: B

解説: AWS持続可能性ピラーの核心はリソースの効率化です。AWS Gravitonインスタンスは同等のパフォーマンスに対してx86比で約60%少ないエネルギーを使用します。サーバーレス（Lambda、Fargate）とコンテナはアイドルリソースを排除して活用率を高めます。不要なデータ転送の最小化、適切なストレージティアの選択もカーボンフットプリントの削減に貢献します。