AWS SysOps Administrator Associate (SOA-C02) 模擬試験 65問

A) EC2インスタンスで詳細モニタリングを有効化する B) CloudWatchエージェントをインストールしてカスタムメトリクスをパブリッシュする C) AWS Systems Managerを使用してメモリを自動追跡する D) CloudTrailを有効化してメモリメトリクスを収集する

正解: B

解説: EC2のメモリおよびディスク使用率はCloudWatchのデフォルトメトリクスに含まれていません。CloudWatchエージェントをEC2インスタンスにインストールすることで、OSレベルのメトリクスをカスタムメトリクスとしてCloudWatchにパブリッシュできます。

A) アラームのしきい値を超過した B) アラームを評価するのに十分なデータがない C) メトリクスデータが正常範囲内にある D) CloudWatchサービスで障害が発生した

正解: B

解説: INSUFFICIENT_DATA は、アラームが作成されたばかり、メトリクスが利用できない、またはアラームを判定するために十分なデータが収集されていない状態を示します。アラームの状態は ALARM（しきい値超過）、OK（正常）、INSUFFICIENT_DATA の3種類があります。

A) CloudTrailイベントをLambda関数に接続する B) AWS Configルールと SSM Automation を使用した自動修復（Auto-Remediation）を設定する C) S3バケットポリシーにパブリックアクセスブロックの条件を追加する D) GuardDutyアラートをSNSに送信してLambdaで処理する

正解: B

解説: AWS Configはルール違反時にSSM Automation文書による自動修復（Remediation）を実行できます。s3-bucket-public-read-prohibited マネージドルールと AWS-DisableS3BucketPublicReadWrite 自動化文書を関連付けることで実現できます。

A) 管理イベントは無料で、データイベントは有料である B) 管理イベントはAWSリソースに対するコントロールプレーンの操作で、データイベントはリソース内のデータ操作である C) 管理イベントはIAM操作のみを記録し、データイベントはすべてのサービスを記録する D) 管理イベントはリージョン別に異なり、データイベントはグローバルである

正解: B

解説: 管理イベント（コントロールプレーン）はEC2インスタンスの作成やIAMポリシーの変更などのAWSリソース管理操作です。データイベント（データプレーン）はS3 GetObject/PutObjectやLambda関数の呼び出しなどのリソース内のデータ操作です。データイベントはボリュームが大きいため個別に有効化が必要です。

A) EC2インスタンスのCPU使用率しきい値アラームの設定 B) 最も多くのエラーを発生させている上位IPアドレスの特定 C) 複数のリージョンのログを集約して単一のダッシュボードに表示 D) CloudTrailログをS3に自動アーカイブ

正解: B

解説: CloudWatch Contributor Insightsはログデータを分析し、システムパフォーマンスに影響を与えている上位コントリビューター（Contributor）を特定します。最も多くの404エラーを発生させているIPアドレスや最もリクエスト数が多いユーザーを見つけるのに適しています。

A) AWS Trusted Advisor B) CloudWatchダッシュボードとメトリクス数式（Metric Math） C) AWS Cost Explorer D) AWS Personal Health Dashboard

正解: B

解説: CloudWatchダッシュボードを使用すると複数のメトリクスを視覚化でき、メトリクス数式（Metric Math）で複合計算を実行できます。時系列データによって毎日のパターンを分析するのに適しています。

A) インスタンスのAMI IDとスナップショット B) パッチベースライン（Patch Baseline）とメンテナンスウィンドウ（Maintenance Window） C) VPCセキュリティグループとサブネット D) CloudWatchロググループとアラーム

正解: B

解説: Patch Managerを使用するには、パッチベースライン（どのパッチを適用するかを定義）とメンテナンスウィンドウ（いつパッチを適用するかを定義）を設定する必要があります。パッチグループ（Patch Group）でインスタンスを論理的にグループ化することもできます。

A) ERRORレベル以上のすべてのログを削除する B) メッセージに "ERROR" 文字列が含まれるログイベントをフィルタリングする C) ERRORタイプのCloudWatchアラームを作成する D) ERRORイベントをS3に自動エクスポートする

正解: B

解説: CloudWatch Logs Insightsの filter コマンドは条件に一致するログイベントをフィルタリングします。like /ERROR/ は正規表現を使用してメッセージに "ERROR" が含まれるイベントを選択します。

A) Personal Health Dashboardは有料で、Service Health Dashboardは無料である B) Personal Health Dashboardは自分のAWSリソースに影響を与えるイベントを表示し、Service Health Dashboardはすべてのサービスの全般的な状態を表示する C) Personal Health Dashboardはグローバルサービスのみを表示し、Service Health Dashboardはリージョン別サービスを表示する D) 両方のサービスは同じ情報を提供するがUIが異なる

正解: B

解説: AWS Personal Health Dashboardは自分のアカウントの特定のリソースに影響するイベント（例：自分のEC2がある可用性ゾーンの障害）を表示します。Service Health Dashboardはすべての AWS サービスとリージョンの全般的な状態を公開しています。

A) S3バケットへの異常なパブリックアクセス B) APIコールボリュームの異常な活動 C) EC2インスタンスの異常なCPU使用率 D) IAMユーザーのパスワード変更

正解: B

解説: CloudTrail Insightsは、アカウントのAWS管理イベントにおける異常なAPIアクティビティ（例：突然のAPIコール急増）を自動的に検出します。これによりセキュリティ侵害や運用上の問題を早期に特定できます。

A) アプリケーションを手動で再設定する必要がある B) AWSが自動的にDNSをスタンバイインスタンスに切り替える C) リードレプリカが自動的にプライマリに昇格する D) 同じ可用性ゾーンに新しいRDSインスタンスが自動作成される

正解: B

解説: RDSマルチAZでプライマリインスタンスに障害が発生すると、AWSは自動的にDNSレコードをスタンバイインスタンスのエンドポイントに切り替えます。通常60〜120秒以内にフェイルオーバーが完了します。アプリケーションは同じDNSエンドポイントを使用するため、コード変更は不要です。

A) スナップショットは常に増分方式で保存されるが、復元時は完全なボリュームを復旧できる B) スナップショットは全体コピーで保存されるため多くのストレージを使用する C) スナップショットは同じリージョン内でのみ使用できる D) スナップショットを削除すると以前のスナップショットのデータも削除される

正解: A

解説: EBSスナップショットは増分（Incremental）方式で保存されます。最初のスナップショットはボリューム全体を保存し、以降のスナップショットは変更されたブロックのみを保存します。ただしAWSが内部的に管理するため、各スナップショットを独立して復元できます。スナップショットは他のリージョンにコピーすることも可能です。

A) S3オブジェクトのライフサイクルポリシー管理 B) EBSスナップショットおよびAMIの自動作成、保持、削除の自動化 C) RDS自動バックアップスケジュールの設定 D) CloudWatch Logsの保持期間管理

正解: B

解説: Amazon DLMはEBSスナップショットとEBSベースのAMIのライフサイクルを自動化します。ポリシーを作成してスケジュールに従ってスナップショットを自動作成し、指定された期間後に削除することができます。

A) 複数リージョンのリソースと重み設定 B) プライマリ（Primary）とセカンダリ（Secondary）レコード、およびヘルスチェック（Health Check） C) 地理的位置ベースのルーティングルール D) CloudFrontディストリビューションと接続されたオリジン設定

正解: B

解説: Route 53フェイルオーバールーティングはPrimaryとSecondaryレコードで構成されます。Primaryに関連付けられたヘルスチェックが失敗すると、自動的にSecondaryにトラフィックが切り替わります。ヘルスチェックはHTTP、HTTPS、TCPのいずれかを使用できます。

A) 7日 B) 14日 C) 35日 D) 90日

正解: C

解説: RDS自動バックアップを有効化すると、最大35日間のポイントインタイムリカバリ（PITR）が可能です。トランザクションログは5分間隔でS3に保存されます。デフォルトのバックアップ保持期間は7日ですが、最大35日まで設定できます。

A) マルチAZ RDSとAuto Scalingグループ B) Route 53フェイルオーバー + 別リージョンの予備インフラ C) CloudFrontディストリビューションとオリジングループ（Origin Group） D) BとCを組み合わせたマルチリージョンアーキテクチャ

正解: D

解説: リージョン全体の障害に備えるにはマルチリージョンアーキテクチャが必要です。Route 53フェイルオーバーでDNSレベルで別リージョンに切り替え、CloudFrontオリジングループでオリジン障害時にバックアップオリジンに自動切り替えします。両メカニズムを組み合わせることで最も強力な可用性を提供します。

A) S3バケットにスナップショットをコピーしてバケットポリシーで共有する B) スナップショットの権限設定で特定のAWSアカウントIDを追加する C) IAMロールをクロスアカウントで委任してスナップショットにアクセスする D) AWS Organizationsを通じてのみスナップショットを共有できる

正解: B

解説: EBSスナップショットは特定のAWSアカウントIDと共有したり、公開（Public）に設定したりできます。スナップショットの権限変更メニューで共有するアカウントIDを直接追加します。暗号化されたスナップショットを共有する場合は、KMSキーも共有する必要があります。

A) リソースの応答時間を計算してしきい値と比較する確認 B) 複数のヘルスチェックの結果を組み合わせて上位のヘルスチェックを作成する機能 C) RTTを自動的に計算して最適なエンドポイントを選択する機能 D) CloudWatchアラームの状態に基づいて動作するヘルスチェック

正解: B

解説: Calculated Health Checkは複数の子ヘルスチェック（Child Health Check）の結果を組み合わせて単一のヘルスチェックを作成する機能です。例えばWebサーバー、DB、キャッシュサーバーのヘルスチェックを組み合わせて、システム全体の健全性を一つの確認として表現できます。

A) 災害発生時に許容できる最大データ損失量 B) 災害発生後にシステムが通常運用を再開するまでの最大許容時間 C) バックアップデータを復元するのに実際にかかる時間 D) 災害対策システムの構築に投資する最大コスト

正解: B

解説: RTO（目標復旧時間）は、災害発生後にサービスを復旧するまでの最大許容時間です。RPO（目標復旧時点）は許容できる最大データ損失時点です。RTOが低いほど、より多くのコストが必要になります。

A) 各サービスのバックアップコストを50%削減する B) 複数のAWSサービスのバックアップをポリシーベースで一元管理する C) 自動的に最適なバックアップ間隔を決定する D) バックアップデータを自動的に暗号化して別のアカウントに転送する

正解: B

解説: AWS BackupはEC2、EBS、RDS、Aurora、DynamoDB、EFS、Storage Gatewayなど複数のAWSサービスのバックアップをバックアッププラン（ポリシー）に基づいて一元管理できます。コンプライアンスと監査のためのバックアップアクティビティレポートも提供します。

A) EC2インスタンスタイプの変更 B) S3バケット名の変更 C) EC2タグの変更 D) CloudWatchアラームのしきい値変更

正解: B

解説: CloudFormationでは一部のプロパティ変更がリソースの置換（既存を削除して新しいリソースを作成）を引き起こします。S3バケット名は不変プロパティのため、変更すると既存のバケットが削除されて新しいバケットが作成されます。EC2インスタンスタイプとタグは中断なしに更新されます。

A) CloudFormationスタックをデプロイできるIAMユーザーを制限する B) スタック更新中の特定のリソースの変更を防ぐ C) スタックの最大リソース数を制限する D) 本番環境のスタックを削除から保護する

正解: B

解説: CloudFormationスタックポリシーはスタック更新中に特定のリソースに対する更新操作（Update、Delete、Replace）を制御します。本番データベースや重要なリソースを誤って変更・削除することを防ぐために使用します。

A) インスタンスにIAMロールなしでSSHアクセスが可能 B) SSHポート（22番）を開けずにバスティオンホストなしでEC2インスタンスに安全にアクセスできる C) RDPとSSHの両方を単一ポートで接続できる D) インスタンスのOSをリモートで自動アップグレードする

正解: B

解説: Session Managerはインバウンドポートを開けず、バスティオンホストを運用せずにEC2インスタンスに安全に接続できます。すべてのセッション活動はCloudTrailおよびCloudWatch Logsに記録されます。インスタンスにSSMエージェントと適切なIAMロールが必要です。

A) CloudFormationスタックのデプロイ時間を測定する B) スタックリソースがCloudFormationテンプレートで定義された期待設定と異なるかどうかを検出する C) スタック間の依存関係を自動分析する D) テンプレートを最新バージョンに自動更新する

正解: B

解説: ドリフト検出はCloudFormationスタックの実際のリソース設定がテンプレートで定義された期待設定とどれだけ異なるかを検出します。コンソールやCLIを通じて手動で変更されたリソースを見つけ出し、インフラ設定の一貫性を維持するのに役立ちます。

A) EC2インスタンスのコスト最適化 B) ChefまたはPuppetを使用したサーバー設定の自動化 C) サーバーレスアプリケーションのデプロイ自動化 D) コンテナオーケストレーション

正解: B

解説: AWS OpsWorksはChefおよびPuppetを使用するマネージド型設定管理サービスです。OpsWorks StacksはChef recipesを使用してサーバー設定を自動化します。OpsWorks for Chef AutomateとOpsWorks for Puppet Enterpriseは完全マネージド型サーバーを提供します。

A) スケールインイベント時にそのインスタンスが終了されなくなる B) インスタンスのスペックが自動的にアップグレードされる C) スケールインイベント時にそのインスタンスが最初に終了される D) インスタンスのヘルスチェックが無効になる

正解: A

解説: スケールイン保護（Scale-In Protection）をインスタンスに適用すると、Auto Scalingグループがスケールイン（インスタンス数の削減）する際に、そのインスタンスが終了されなくなります。重要なバッチジョブを処理中のインスタンスや特定の状態を持つインスタンスを保護するのに有用です。

A) AWSサービスのコストを比較して最適化する B) 組織が承認したITサービスのポートフォリオをユーザーにセルフサービス形式で提供する C) サードパーティソフトウェアをAWSマーケットプレイスから自動購入する D) 複数アカウントのAWSサービス使用量を統合ダッシュボードで監視する

正解: B

解説: AWS Service CatalogはITチームが承認した製品（CloudFormationテンプレートベース）をポートフォリオとして構成し、エンドユーザー（開発チームなど）が承認されたリソースをセルフサービスでプロビジョニングできるようにします。ガバナンスを維持しながらユーザーの自律性を与えます。

A) システム障害対応手順を文書化したPDF B) 一連の自動化タスクを定義したSSM文書 C) EC2インスタンスのOS起動スクリプト D) CloudFormationスタックのパラメータファイル

正解: B

解説: SSM Automation文書（Runbook）はYAMLまたはJSON形式で記述された一連の自動化ステップを含みます。AMIの作成、インスタンスの停止/起動、パッチ適用などの運用タスクを自動化するために使用します。AWSマネージド文書とカスタム文書を使用できます。

A) スタック変更をGitOps方式で管理する B) スタック更新前にどのリソースがどのように変更されるかを事前に確認する C) 複数リージョンに同時にスタック変更をデプロイする D) 変更を自動テストして失敗した場合にロールバックする

正解: B

解説: 変更セット（Change Set）を使用すると、CloudFormationスタックを実際に更新する前に、どのリソースが追加・変更・削除されるかを事前に確認できます。意図しないリソースの置換や削除を防ぐための重要な安全メカニズムです。

A) すべてのインスタンスを同時に終了して新しいAMIで再起動する B) Systems Manager Patch Managerとメンテナンスウィンドウを使用して段階的にパッチを適用する C) CloudFormationですべてのインスタンスを新規デプロイする D) Lambda関数を使用して各インスタンスにSSHで接続してパッチを適用する

正解: B

解説: Systems Manager Patch Managerは大規模なEC2フリートにパッチを自動適用します。メンテナンスウィンドウを使用すると業務時間外にパッチを実施し、パッチ率（Rate Control）で一度にパッチを当てるインスタンス数を制限してサービス中断を最小化できます。

A) IAMユーザーがアクセスできるAWSリージョンを制限する B) IAMエンティティ（ユーザー、ロール）が持てる最大の権限を定義する C) MFAなしでアクセスできるサービスを制限する D) ルートアカウントの権限を一般ユーザーと同じレベルに制限する

正解: B

解説: アクセス許可の境界はIAMエンティティにアタッチされたマネージドポリシーで、エンティティが持てる最大の権限を設定します。実際の権限はアクセス許可の境界とアイデンティティベースのポリシーの共通部分です。例えば、開発者が新しいIAMロールを作成できても、アクセス許可の境界を超える権限を付与できないように制限できます。

A) EC2インスタンスの脆弱性をスキャンする B) S3に保存された機密データ（PII等）を自動的に検出して保護する C) VPC内の異常なネットワークトラフィックを検出する D) IAMポリシーの過剰な権限を自動修正する

正解: B

解説: Amazon Macieは機械学習を使用してS3バケットに保存された機密データ（PII、クレジットカード番号、医療情報等）を自動的に検出します。S3バケットのセキュリティ設定（パブリックアクセス、暗号化状態等）も評価します。

A) AWSルートアカウントにのみ適用される B) 管理アカウント（以前のマスターアカウント）を除くすべてのメンバーアカウントに適用される C) 特定のIAMユーザーやロールにのみ適用される D) マーケットプレイスの購入にのみ適用される

正解: B

解説: SCPはAWS Organizationsのルート（Root）、OU（組織単位）、または個別アカウントに適用されます。ただし、管理アカウント（Management Account）にはSCPが適用されません。SCPは許可リスト（Allowlist）または拒否リスト（Denylist）方式で使用できます。

A) EC2インスタンスのアプリケーションログのみ分析する B) VPC フローログ、DNSログ、CloudTrailイベントログを分析する C) S3バケットのすべてのオブジェクトをスキャンする D) IAMポリシーとユーザー行動パターンを分析する

正解: B

解説: GuardDutyはVPCフローログ、DNSクエリログ、AWS CloudTrail管理イベントおよびS3データイベントを分析して脅威を検出します。機械学習、異常検知、脅威インテリジェンスを組み合わせてサイバー攻撃やクリプトマイニングなどの脅威を識別します。

A) 既存のキーが即座に削除されて新しいキーが生成される B) 毎年新しい暗号化キーマテリアルが生成され、既存のキーで暗号化されたデータは自動的に再暗号化される C) 毎年新しいKMSキーが生成され、既存のキーは無効化される D) 新しいキーマテリアルが生成されるが、既存データの再暗号化は手動で行う必要がある

正解: D

解説: KMS自動キーローテーションを有効化すると、毎年（または設定した期間ごとに）新しい暗号化キーマテリアルが生成されます。重要な点は、既存の暗号化データは自動的に再暗号化されません。KMSが以前のキーマテリアルを保持するため既存データの復号は引き続き可能です。

A) IAMユーザーのパスワード複雑度の不足 B) 外部エンティティ（別アカウント、インターネット）と意図せず共有されたリソース C) 過剰な権限を持つIAMロール D) MFAを使用していないIAMユーザー

正解: B

解説: IAM Access AnalyzerはS3バケット、IAMロール、KMSキー、SQSキュー、Lambda関数などが外部エンティティ（別のAWSアカウント、IAMユーザー、インターネット）にアクセスを許可するポリシーを分析して、意図しないアクセスを特定します。

A) セキュリティコンプライアンス監査のための外部監査者アクセスの提供 B) GuardDuty、Macie、Inspectorなど複数のAWS セキュリティサービスの検出結果を一元集約する C) EC2インスタンスへのセキュリティパッチを自動適用する D) VPCのネットワークトラフィックをリアルタイムでブロックする

正解: B

解説: AWS Security HubはGuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Managerなど複数のAWSセキュリティサービスのセキュリティ検出結果を一元集約して優先順位付けします。CIS AWS Foundations BenchmarkやAWS基本的なセキュリティのベストプラクティスなどの標準ベースのセキュリティチェックも実行します。

A) S3バケットのパブリック公開設定 B) EC2インスタンスとコンテナイメージ（ECR）のソフトウェア脆弱性 C) IAMポリシーの過剰な権限 D) CloudTrailログの異常なアクティビティ

正解: B

解説: Amazon InspectorはEC2インスタンスとAmazon ECRに保存されたコンテナイメージのソフトウェア脆弱性（CVE）および意図しないネットワーク露出を自動的に検出します。Inspector v2はSSMエージェントを通じてエージェントなしでのスキャンが可能です。

A) CloudHSMはソフトウェアベースの暗号化で、KMSはハードウェアベースの暗号化である B) CloudHSMは専用のハードウェアセキュリティモジュールを提供し、KMSはマネージドサービスで共有インフラでキーを管理する C) CloudHSMは無料で、KMSは有料である D) CloudHSMはリージョン別サービスで、KMSはグローバルサービスである

正解: B

解説: AWS CloudHSMは顧客専用のハードウェアセキュリティモジュール（HSM）デバイスで暗号化キーを管理します。FIPS 140-2 Level 3認定を受けた専用ハードウェアを使用します。KMSはマルチテナントマネージドサービスでより簡便ですが、厳格なコンプライアンス要件（PCI DSSなど）ではCloudHSMが必要な場合があります。

A) SCPでは両方が同じように機能する B) 明示的な拒否はアイデンティティベースポリシーの許可を無効にするが、暗黙的な拒否は単にSCPで許可されていないだけである C) 暗黙的な拒否は他のSCPで許可することで無効化できるが、明示的な拒否はどのポリシーでも無効化できない D) 明示的な拒否はルートアカウントにも適用され、暗黙的な拒否はメンバーアカウントにのみ適用される

正解: C

解説: SCPにおける暗黙的な拒否は、単にそのSCPで許可されていないだけです。親OUやルートで許可されていれば無効化できます。一方、明示的な拒否（Explicit Deny）はどのポリシーで許可していても絶対的に優先します。

A) 異なるリージョン間のVPCピアリングはできない B) ピアリングされたVPC間では推移的ルーティング（Transitive Routing）がサポートされない C) VPCピアリングは最大5つのVPCまでしか接続できない D) ピアリングされたVPCはCIDR範囲が同じである必要がある

正解: B

解説: VPCピアリングは推移的ルーティングをサポートしていません。VPC AがVPC Bとピアリングされ、VPC BがVPC Cとピアリングされていても、VPC AからVPC Cには直接通信できません。複数VPC間の推移的接続が必要な場合はAWS Transit Gatewayを使用する必要があります。

A) 複数のVPCとオンプレミスネットワークを中央ハブを通じて接続する B) インターネットトラフィックを高速化するためにAWSグローバルネットワークを使用する C) VPC内のサブネット間ルーティングを自動化する D) パブリックインターネットなしにAWSサービスにプライベートアクセスする

正解: A

解説: AWS Transit GatewayはVPCとオンプレミスネットワークを中央ハブで接続するネットワーク転送ハブです。VPCピアリングの複雑なメッシュ構造の代わりに、すべてのVPCがTransit Gatewayに接続して推移的ルーティングをサポートします。数千のVPCまでスケール可能です。

A) CloudFrontディストリビューションのオリジンサーバーを変更する時 B) S3に新しいバージョンのファイルをアップロードしたが、CloudFrontがまだ古いバージョンをキャッシュしている時 C) CloudFrontの価格クラス（Price Class）を変更する時 D) CloudFrontディストリビューションに新しいカスタムドメインを追加する時

正解: B

解説: CloudFrontキャッシュ無効化はTTLが切れる前にキャッシュから特定のファイルを削除します。ファイルパス（例：/images/*）を指定して無効化できます。ただし、キャッシュキーのバージョン管理（ファイル名にバージョン番号を含める）がより効率的でコスト効率のよい方法です。

A) ユーザーの地理的位置に応じて最も近いエンドポイントにルーティング B) カナリアデプロイやA/Bテストのためにトラフィックを複数のエンドポイントに分散 C) プライマリエンドポイント障害時に自動的にバックアップエンドポイントに切り替え D) 最も応答が速いエンドポイントに自動ルーティング

正解: B

解説: 重み付けルーティングは各レコードに重み（0〜255）を設定してトラフィック比率を調整します。例えば新バージョンデプロイ時にトラフィックの10%のみを新バージョンに送るカナリアデプロイや、A/Bテストに活用されます。重みが0のレコードにはトラフィックが送られません。

A) NATゲートウェイはパブリックサブネットに配置し、インターネットゲートウェイはプライベートサブネットに配置する B) インターネットゲートウェイはVPCとインターネット間の双方向通信を提供し、NATゲートウェイはプライベートサブネットからインターネットへのアウトバウンド接続のみを許可する C) NATゲートウェイはすべての可用性ゾーンをカバーし、インターネットゲートウェイは単一の可用性ゾーンにのみ適用される D) インターネットゲートウェイはEC2にのみ使用可能で、NATゲートウェイはすべてのAWSサービスに使用可能

正解: B

解説: インターネットゲートウェイはVPCとインターネット間の双方向通信を可能にします（パブリックサブネットのリソースはパブリックIPまたはEIPが必要）。NATゲートウェイはプライベートサブネットのリソースがインターネットにアウトバウンド接続できるようにしますが、インターネットからのインバウンド接続はブロックします。

A) パブリックエンドポイントとプライベートエンドポイント B) ゲートウェイエンドポイント（S3、DynamoDB）とインターフェースエンドポイント（PrivateLink ベース） C) HTTPエンドポイントとHTTPSエンドポイント D) リージョンエンドポイントとグローバルエンドポイント

正解: B

解説: VPCエンドポイントには2種類あります。ゲートウェイエンドポイントはルーティングテーブルを通じてS3とDynamoDBにアクセスし、無料です。インターフェースエンドポイント（AWS PrivateLink）はENIを通じて他のAWSサービスやパートナーサービスにアクセスし、時間ごとおよびデータ処理コストが発生します。

A) 署名付きURLはHTTPSのみをサポートし、署名付きCookieはHTTPとHTTPSの両方をサポートする B) 署名付きURLは単一ファイルのアクセス制御に適しており、署名付きCookieは複数ファイルやパス全体のアクセス制御に適している C) 署名付きURLはオリジンサーバーで生成され、署名付きCookieはCloudFrontで自動生成される D) 署名付きURLは永続的で、署名付きCookieはセッションベースである

正解: B

解説: 署名付きURLは単一ファイルへの一時的なアクセス権を提供し、URLに認証情報が含まれます。署名付きCookieは複数のファイルやパターンマッチによって多数のファイルへのアクセスを制御する際に適しています（例：サブスクライバーにプレミアムコンテンツ全体へのアクセスを許可する場合）。

A) CloudFrontと同じコンテンツキャッシング機能を提供する B) AWSグローバルネットワークを通じてアプリケーションのTCP/UDPトラフィックのパフォーマンスを向上させる C) リージョン別CDNサービスとして動的コンテンツをキャッシュする D) VPN接続でオンプレミストラフィックを高速化する

正解: B

解説: AWS Global AcceleratorはエニーキャストIPを使用して、ユーザートラフィックを最寄りのAWSエッジロケーションにルーティングし、AWSグローバルネットワークを通じて最適経路で配信します。CloudFrontとは異なりキャッシングはなく、TCP/UDPベースのアプリケーションに適しています。

A) セキュリティグループはインスタンスレベル、NACLはサブネットレベルで機能し、セキュリティグループはステートフル（Stateful）、NACLはステートレス（Stateless）である B) セキュリティグループは許可ルールのみをサポートし、NACLは拒否ルールのみをサポートする C) NACLはインスタンスレベルで機能し、セキュリティグループはサブネットレベルで機能する D) セキュリティグループは最大10個のルールのみをサポートし、NACLは無制限のルールをサポートする

正解: A

解説: セキュリティグループはEC2インスタンス（ENI）レベルのステートフルファイアウォールで、インバウンドルールがあれば応答トラフィックは自動的に許可されます。NACLはサブネットレベルのステートレスファイアウォールで、インバウンドとアウトバウンドのルールを個別に設定する必要があります。セキュリティグループは許可のみ設定でき、NACLは許可と拒否の両方を設定できます。

A) レイテンシーベースルーティングはユーザーの国を基準にルーティングし、地理的位置ルーティングは実際のレイテンシーを測定する B) レイテンシーベースルーティングは実際のネットワークレイテンシーが最も低いリージョンにルーティングし、地理的位置ルーティングはユーザーのDNSクエリ位置を基準にルーティングする C) 両方のルーティング方法は同じように機能するが設定方法が異なる D) レイテンシーベースルーティングはリージョン単位でのみ機能し、地理的位置ルーティングは国、大陸、サブディビジョン単位で機能する

正解: B

解説: レイテンシーベースルーティングはAWSが測定したAWSリージョンまでの実際のネットワークレイテンシーが最も低いリージョンにリクエストをルーティングします。地理的位置ルーティングはユーザーのIPアドレスベースの位置（国、大陸、米国の州）に応じてルーティングします。

A) リアルタイムコストアラートと自動コスト削減措置 B) 過去のコスト分析、コスト予測、リソース使用パターンの視覚化 C) 予約インスタンスを自動購入・管理する D) 複数のAWSアカウントのコストを自動分配する

正解: B

解説: Cost Explorerは過去12ヶ月のAWSコストと使用量を視覚化し、今後12ヶ月のコストを予測します。サービス別、リージョン別、アカウント別、タグ別にコストを分析し、RI購入推奨も提供します。

A) Savings Plansは特定のインスタンスタイプを契約し、Reserved Instancesは使用金額を契約する B) Compute Savings PlansはEC2インスタンスタイプ、サイズ、リージョン、OSに関係なく柔軟に適用され、EC2 Reserved Instancesは特定のインスタンスタイプとリージョンを契約する C) Savings Plansは1年契約のみ可能で、Reserved Instancesは3年契約のみ可能である D) Savings PlansはEC2にのみ適用され、Reserved Instancesはすべてのサービスに適用される

正解: B

解説: Compute Savings PlansはEC2、Fargate、Lambdaにまたがってインスタンスタイプ、サイズ、リージョン、OS、テナンシーに関係なく柔軟に適用される時間当たりの支出契約です。EC2 Reserved Instancesは特定のインスタンスタイプとリージョンに対する予約です。Savings Plansの方が柔軟ですが、最大割引を受けるにはEC2 Instance Savings Plansを使用します。

A) オブジェクトをストレージクラスに手動で配置するように通知を送る B) アクセスパターンを監視して自動的にオブジェクトを最もコスト効率のよいストレージ階層に移動する C) すべてのオブジェクトをGlacierに自動移動してコストを最小化する D) 頻繁にアクセスされるオブジェクトのみをS3 Standardに保持し、残りは削除する

正解: B

解説: S3 Intelligent-Tieringはオブジェクトのアクセスパターンを自動的に監視します。30日間アクセスされなければ低頻度アクセス階層に、90日間アクセスされなければアーカイブインスタントアクセス階層に自動移動します。検索コストなしに自動階層最適化が行われます。

A) 30秒 B) 2分 C) 5分 D) 15分

正解: B

解説: AWSはスポットインスタンス中断の2分前にインスタンスメタデータとAmazon EventBridgeを通じて中断通知を提供します。アプリケーションがこの通知を検出して進行中の作業を保存したり、チェックポイントを設定したりできます。

A) RDSインスタンスのコストを分析して最適化する B) データベース負荷を視覚化してパフォーマンス問題の原因を特定する C) RDSバックアップを自動的に最適化してストレージコストを削減する D) データベースクエリを自動的に最適化する

正解: B

解説: RDS Performance Insightsはデータベース負荷を視覚化して、パフォーマンス問題の原因となっているSQLクエリ、アプリケーション、ホストを特定します。DBLoad（データベース負荷）を測定し、待機状態別に分類してボトルネックを診断します。

A) CPU使用率が80%を超えた時に即座にスケールアウト B) 予測可能なトラフィックパターン（例：毎日午前9時にトラフィック増加）に対して事前にスケールアウト C) スポットインスタンス中断時に自動的にオンデマンドインスタンスに置き換える D) コストがしきい値を超えた時に自動的にスケールイン

正解: B

解説: スケジュールされたスケーリングは予測可能なトラフィックパターンに対して特定の時間に自動的に容量を調整します。例えば毎日午前8時55分に最小インスタンス数を増やし、午後7時に減らすことができます。これによりトラフィック急増前に準備できます。

A) コストがしきい値を超えると自動的にリソースを終了する B) 予算しきい値超過時に通知を送り、特定の場合に自動アクション（例：EC2停止）を実行できる C) すべてのAWSアカウントのコストを統合請求で管理する D) RI購入を自動化してコストを削減する

正解: B

解説: AWS Budgetsはコスト、使用量、RIカバレッジ、Savings Plansカバレッジに関する予算を設定できます。しきい値超過時にSNS通知やメール通知を送信し、Budgets Actionsを使用すると特定のIAMポリシーを適用したり、EC2/RDSインスタンスを停止する自動アクションを実行できます。

A) S3バケットの総コストがしきい値を超えたら自動通知 B) オブジェクトを別のストレージクラスに移行したり、指定期間後に削除したりする C) 特定のIPからのS3アクセスを自動的にブロックする D) S3バケット間でデータを自動的にレプリケートする

正解: B

解説: S3ライフサイクルポリシーを使用すると、オブジェクトを自動的に別のストレージクラスに移行（例：30日後にS3-IA、90日後にGlacier）したり、指定日数後に自動削除したりできます。不完全なマルチパートアップロードも自動削除でき、ストレージコストを最適化します。

A) 部署ごとに別々のAWSアカウントを作成する B) コスト配分タグ（Cost Allocation Tags）をリソースに適用してCost Explorerで分析する C) AWS Organizationsの統合請求を使用する D) CloudWatchダッシュボードでリソースごとのコストを手動計算する

正解: B

解説: コスト配分タグをAWSリソースに適用（例：Department=Engineering）すると、Cost Explorerでタグ別にコストを分類してCSVレポートをダウンロードできます。タグを有効化する必要があります。

A) 現在のCPU使用率を基に即座にスケールアウト/インを決定する B) 機械学習を使用して過去のトラフィックパターンを分析し、将来の需要を予測して事前に容量を調整する C) 特定の時間帯に固定されたインスタンス数を維持する D) SQSキューのメッセージ数を基にスケーリングする

正解: B

解説: 予測スケーリングはAmazonの機械学習モデルを使用してEC2 Auto ScalingグループのAI履歴負荷パターンを分析します。これを基に将来のトラフィックを予測し、需要が増加する前に事前にインスタンスを起動します。リアクティブ（Reactive）スケーリングの遅延を防ぎます。

A) 即座にインスタンスを終了して新しいインスタンスを起動する B) CloudWatchアラームを設定してSNS通知を構成する C) VPCフローログとCloudTrailを分析して異常トラフィックの原因を特定する D) インスタンスタイプをより大きなスペックに変更する

正解: C

解説: CPU急増とネットワークトラフィック急増はDDoS攻撃、暗号通貨マイニングマルウェア、またはアプリケーションのエラーである可能性があります。VPCフローログで異常な接続を確認し、CloudTrailで最近のAPIコールを分析して原因を特定した後に対応すべきです。

A) Route 53自体がus-east-1にあるため一緒に障害が発生した B) ヘルスチェックがus-east-1リージョン外から実行されないように設定されている C) TTL値が高すぎてDNS切り替えが遅延している D) フェイルオーバーレコードに適切な重みが設定されていない

正解: C

解説: Route 53はグローバルサービスのため特定のリージョン障害の影響を受けません。ただしTTL値が高い場合（例：300秒）、クライアントがキャッシュされたDNS応答を継続使用してフェイルオーバーがすぐに反映されない可能性があります。フェイルオーバーレコードのTTLは低く（例：60秒）設定するのが良いです。

A) AWS Health Dashboardでサービス中断の有無を確認する B) CloudFormationコンソールのイベントタブでFAILED状態のリソースとエラーメッセージを確認する C) CloudTrailで最近のAPIコールを確認する D) AWSサポートにケースを開いて原因分析を依頼する

正解: B

解説: CloudFormationコンソールのイベント（Events）タブはスタックリソースの状態変化を時系列で表示します。FAILED状態のリソースを見つけてステータス理由（Status Reason）を確認すると、ロールバックを引き起こした具体的なエラーメッセージを確認できます。

A) AWSサポートに連絡してバックエンドから復旧を依頼する B) S3バージョン管理（Versioning）が有効になっていれば削除マーカーを削除して以前のバージョンを復元する C) S3クロスリージョンレプリケーションのコピーからファイルを取得する D) CloudTrailログから削除されたオブジェクトの内容を復元する

正解: B

解説: S3バージョン管理が有効になっている場合、オブジェクト削除時に実際の削除ではなく削除マーカー（Delete Marker）が作成されます。削除マーカーを削除すると最新バージョンのオブジェクトが復元されます。または以前のバージョンを現在のバージョンとして復元することもできます。

A) 即座にすべての開発環境インスタンスを終了する B) AWS Cost ExplorerとAWS Trusted Advisorを使用してコスト異常の原因を分析し、最適化の機会を特定する C) すべてのオンデマンドインスタンスをスポットインスタンスに置き換える D) AWSサポートにコストレビューを依頼する

正解: B

解説: 体系的なコスト最適化はまずCost Explorerでサービス別・リージョン別・タグ別のコスト分析でコスト急増の原因を特定し、Trusted Advisorでアイドル状態のリソース、未使用のRI、ストレージ最適化の機会を特定することから始めます。その後データに基づいた最適化作業を順次進めます。