1343 お客様のコメント
質問 1:
ある企業にはオンプレミスのデータセンターが2つあります。1つ目のデータセンターはus-east-1リージョンにあります。2つ目のデータセンターはus-east-2リージョンにあります。各データセンターは最も近いAWS Direct Connect施設に接続しています。
同社は、Direct Connect 接続、トランジット VIF、そして単一の Direct Connect ゲートウェイを使用して、自社データセンターから us-east-1 と us-east-2 の VPC への接続を確立しています。また、通信プロバイダーからのプライベート接続も利用しており、これにより、最初のデータセンターと 2 番目のデータセンターが接続されています。
最近、データセンター間のプライベート接続において、接続障害が複数回発生しています。同社は、2つのデータセンター間の接続の信頼性を向上させるソリューションを必要としています。
これらの要件を満たすソリューションはどれでしょうか?
A. 既存の Direct Connect ゲートウェイに接続されている既存のトランジット VIFS で Direct Connect SiteLink 機能を有効にします。
B. 新しい Direct Connect ゲートウェイを作成します。トランジット VIF で Direct Connect SiteLink 機能を有効にします。
最初のデータセンターと 2 番目のデータセンターの CIDR ブロックを相互に共有します。
C. 両リージョンに新しいパブリックVIFを作成します。新しいパブリックVIFでDirect Connect SiteLink機能を有効にします。
D. 既存の Direct Connect 接続で Direct Connect SiteLink 機能を有効にします。
正解:A
質問 2:
ある企業が重要なアプリケーションをAWSに移行しています。この企業には複数のアカウントとVPCがあり、それらはトランジットゲートウェイで接続されています。
ネットワークエンジニアは、VPCネットワーク境界を越えるすべてのトラフィックに対してディープパケットインスペクションを実行するソリューションを設計する必要があります。検査対象のトラフィックと、そのトラフィックに対して実行されたアクションはすべて、中央のログアカウントに記録される必要があります。
管理オーバーヘッドを最小限に抑えながらこれらの要件を満たすソリューションはどれでしょうか?
A. トランジットゲートウェイへのアタッチメントを含む中央ネットワーク VPC を作成します。新しいアタッチメントをサポートするように、VPC とトランジットゲートウェイのルートテーブルを更新します。サードパーティ製の次世代ファイアウォールアプライアンスを搭載した AWS Application Load Balancer を中央ネットワーク VPC にデプロイします。ディープパケットインスペクションのルールを含むポリシーを作成します。このポリシーをファイアウォールアプライアンスにアタッチします。
中央ログアカウントにSyslogサーバーを作成します。ファイアウォールアプライアンスを設定して、ネットワークフローログをキャプチャし、Syslogサーバーに保存します。
B. トランジットゲートウェイへのアタッチメントを含む中央ネットワーク VPC を作成します。新しいアタッチメントをサポートするように、VPC とトランジットゲートウェイのルートテーブルを更新します。サードパーティ製の次世代ファイアウォールアプライアンスを搭載した AWS ゲートウェイロードバランサーを中央ネットワーク VPC にデプロイします。ディープパケットインスペクションのルールを含むポリシーを作成します。このポリシーをファイアウォールアプライアンスにアタッチします。
中央ログアカウントに Amazon S3 バケットを作成します。ファイアウォールアプライアンスを設定して、ネットワークフローログをキャプチャし、S3 バケットに保存します。
C. 各VPCにネットワークACLとセキュリティグループをデプロイします。セキュリティグループをアクティブなネットワークインターフェースにアタッチします。ネットワークACLをVPCサブネットに関連付けます。サブネットとネットワークインターフェース間の必要なトラフィックフローのみを許可するように、ネットワークACLとセキュリティグループのルールを作成します。中央ログアカウントにAmazon S3バケットを作成します。すべてのトラフィックフローをキャプチャしてS3バケットに保存するVPCフローログを設定します。
D. 中央ログ VPC とトランジットゲートウェイへのアタッチメントを作成します。新しいアタッチメントをサポートするために、VPC とトランジットゲートウェイのルートテーブルを更新します。サードパーティ製の次世代侵入検知システム (IDS) セキュリティアプライアンスを搭載した AWS ネットワークロードバランサー (NLB) を中央 VPC にデプロイします。セキュリティアプライアンスでルールを有効化し、侵入シグネチャを監視します。ネットワークインターフェイスごとに、トラフィックを中央 VPC の NLB に送信する VPC トラフィックミラーリングセッションを作成します。
正解:B
質問 3:
ある企業は、us-east-1 リージョンと us-west-1 リージョンにそれぞれ 1 つのエッジロケーションを持つ AWS クラウド WAN を使用しています。両方のエッジロケーションに共有サービスセグメントが存在します。各共有サービスセグメントには、各リージョンの各検査用 VPC への VPC アタッチメントが存在します。検査用 VPC は、AWS ネットワークファイアウォールを使用して WAN からのトラフィックを検査します。
企業は、us-east-1 エッジロケーションに新しいビジネスユニット(BU)用の新しいセグメントを作成します。新しい BU には 3 つの VPC があり、これらは新しい BU セグメントに接続されています。規制を遵守するため、BU VPC は相互に通信してはなりません。インターネットに向かうすべてのトラフィックは、検査用 VPC で検査される必要があります。
同社は VPC ルートテーブルを更新し、インターネット宛てのすべてのトラフィックが AWS クラウド WAN コアネットワークに送信されるようにします。
当社は今後、新事業部向けにVPCをさらに追加する予定です。今後追加されるVPCはすべて規制に準拠する必要があります。
これらの要件を最も運用効率の高い方法で満たすソリューションはどれですか? (2 つ選択してください。)
A. BU セグメントの isolate-attachments フィールドを True に設定します。
B. BU セグメントの isolate-attachments フィールドを False に設定します。
C. 検査サービス セグメントを BU セグメントと共有するためのネットワーク ポリシーを作成します。
D. 共有サービス セグメントを BU セグメントと共有するようにネットワーク ポリシーを更新します。
E. ネットワークポリシーを更新して、BUセグメントに静的ルートを追加します。共有サービスセグメントを設定して、VPC CIDRブロックに関連するトラフィックをそれぞれのVPCアタッチメントにルーティングします。
正解:A,C
質問 4:
ある保険会社は、オンプレミスのデータセンターから AWS クラウドへのワークロードの移行を計画しています。この会社では、エンドツーエンドのドメイン名解決が必要です。AWS と既存のオンプレミス環境の間で双方向の DNS 解決を確立する必要があります。ワークロードは複数の VPC に移行されます。ワークロードは相互に依存しており、すべてのワークロードが同時に移行するわけではありません。
これらの要件を満たすソリューションはどれですか?
A. 各アプリケーション VPC のプライベートホストゾーンを設定し、必要なレコードを作成します。出力 VP に Amazon Route 53 Resolver のインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミス DNS リゾルバーに転送するための Route 53 Resolver ルールを定義します。アプリケーション VPC のプライベートホストゾーンを出力 VP に関連付け、
B. 各アプリケーション VPC のパブリックホストゾーンを設定し、必要なレコードを作成します。出力 VPC に Amazon Route 53 Resolver のインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミス DNS リゾルバーに転送するための Route 53 Resolver ルールを定義します。
アプリケーション VPC のプライベートホストゾーンを出力 VPC に関連付けます。AWS Resource Access Manager を使用して、Route 53 Resolver ルールをアプリケーションアカウントと共有します。オンプレミスの DNS サーバーを設定して、クラウドドメインを Route 53 の受信エンドポイントに転送します。
C. 各アプリケーション VPC のプライベートホストゾーンを設定し、必要なレコードを作成します。出力 VPC に Amazon Route 53 Resolver のインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミス DNS リゾルバーに転送するための Route 53 Resolver ルールを定義します。
アプリケーション VPC のプライベートホストゾーンを出力 VPC に関連付け、AWS Resource Access Manager を使用して Route 53 Resolver ルールをアプリケーションアカウントと共有します。オンプレミスの DNS サーバーを設定して、クラウドドメインを Route 53 の受信エンドポイントに転送します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 5:
ある企業は、AWS Network Firewall ファイアウォールを VPC にデプロイしました。ネットワークエンジニアは、ネットワークファイアウォールのフローログを会社の Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターにできるだけ短い時間で配信するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?
A. 宛先としてAmazon OpenSearch Service (Amaz on Elasticsearch Service) クラスターを含む Amazon Kinesis Data Firehose 配信ストリームを作成します。ファイアウォールのフローログの設定 Kinesis Data Firehose 配信ストリームを Network Firewall フローログの宛先として設定します。
B. Amazon S3 バケットを作成します。ログを Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターにロードするための AWS Lambda 関数を作成します。S3 バケットで Amazon Simple Notice Service (Amazon SNS) 通知を有効にして、Lambda 関数を呼び出します。ファイアウォールのフロー ログを構成します。S3 バケットを宛先として設定します。
C. ファイアウォールのフロー ログを設定します。Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターをネットワーク ファイアウォール フロー ログの宛先として設定します。
D. Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターを宛先として含む Amazon Kinesis データストリームを作成します。ファイアウォールのフロー ログを構成します。Kinesis データ ストリームをネットワーク ファイアウォール フロー ログの宛先として設定します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
ある企業は、2 層 Web アプリケーションを単一の AWS リージョン内の新しい VPC にデプロイすることを計画しています。同社は、インターネット ゲートウェイと 4 つのサブネットを使用して VPC を構成しました。サブネットのうち 2 つはパブリックであり、インターネット ゲートウェイを指すデフォルト ルートがあります。サブネットのうち 2 つはプライベートで、デフォルト ルートを持たないルート テーブルを共有します。
アプリケーションは、外部 Application Load Balancer の背後にデプロイされる一連の Amazon EC2 インスタンス上で実行されます。EC2 インスタンスにはインターネットから直接アクセスできません。アプリケーションは、同じリージョン内の Amazon S3 バケットを使用してデータを保存します。アプリケーションは、EC2 インスタンスから S3 GET API オペレーションと S3 PUT API オペレーションを呼び出します。ネットワーク エンジニアは、データ転送コストを最小限に抑える VPC アーキテクチャを設計する必要があります。
これらの要件を満たすソリューションはどれですか?
A. EC2 インスタンスをプライベート サブネットにデプロイします。VPC に S3 インターフェイス エンドポイントを作成します。S3 エンドポイント固有の DNS ホスト名を使用するようにアプリケーション構成を変更します。
B. EC2 インスタンスをパブリック サブネットにデプロイします。VPC に S3 インターフェイス エンドポイントを作成します。S3 エンドポイント固有の DNS ホスト名を使用するようにアプリケーション構成を変更します。
C. EC2 インスタンスをプライベート サブネットにデプロイします。エンドポイントの作成中にプライベート サブネットの VPSpecify ルート テーブルに S3 ゲートウェイ エンドポイントを作成し、Amazon S3 へのルートを作成します。
D. EC2 インスタンスをプライベート サブネットにデプロイします。VPC に NAT ゲートウェイを作成します。プライベート サブネットに NAT ゲートウェイへのデフォルト ルートを作成します。NAT ゲートウェイを使用して Amazon S3 に接続します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
ネットワークエンジニアは、会社のオフィスとAWSアカウント間のデュアルスタック接続を提供する必要があります。会社のオンプレミスルーターはデュアルスタック接続をサポートしており、VPCもデュアルスタック対応に設定されています。会社はオフィスとの間に2つのAWS Direct Connect接続を設定しています。この接続は高可用性を備え、レイテンシの影響を受けやすいトラフィックに対しても信頼性の高いものでなければなりません。
これらの要件を満たすソリューションはどれですか? (2 つ選択してください。)
A. 各 Direct Connect 接続に 2 つのプライベート VIF を設定します。1 つは IPv4 アドレスファミリーのプライベート VIF、もう 1 つは IPv6 アドレスファミリーのプライベート VIF です。オンプレミスの機器に AWS 提供の BGP ネイバーを設定し、IPv4 ピアリングでは IPv4 ルートを、IPv6 ピアリングでは IPv6 ルートをアドバタイズします。すべてのピアリングセッションで双方向フォワーディング検出 (BFD) を有効にします。
B. 各 Direct Connect 接続に単一のプライベート VIF を設定します。各プライベート VIF に IPv4 と IPv6 の両方のピアリングを追加します。オンプレミスの機器を AWS 提供の BGP ネイバーに設定し、IPv4 ピアリングでは IPv4 ルートを、IPv6 ピアリングでは IPv6 ルートをアドバタイズします。すべてのピアリングセッションで双方向フォワーディング検出 (BFD) を有効にします。
C. 各 Direct Connect 接続に、単一のプライベート VIF と IPv4 ピアリングを設定します。このピアリングを使用してオンプレミス機器を設定し、同じ BGP ネイバー設定内の IPv6 ルートをアドバタイズします。すべてのピアリングセッションで双方向フォワーディング検出 (BFD) を有効にします。
D. 各 Direct Connect 接続に 2 つのプライベート VIF を設定します。1 つは IPv4 アドレスファミリーのプライベート VIF、もう 1 つは IPv6 アドレスファミリーのプライベート VIF です。オンプレミスの機器に AWS 提供の BGP ネイバーを設定し、IPv4 ピアリングで IPv4 ルートを、IPv6 ピアリングで IPv6 ルートをアドバタイズします。オンプレミスの機器と Direct Connect 構成の両方で、BGP Hello タイマーを 5 秒に短縮します。
E. 各 Direct Connect 接続に 2 つのプライベート VIF を設定します。1 つは IPv4 アドレスファミリーのプライベート VIF、もう 1 つは IPv6 アドレスファミリーのプライベート VIF です。オンプレミスの機器に AWS 提供の BGP ネイバーを設定し、すべてのピアリングセッションですべての IPv4 ルートと IPv6 ルートをアドバタイズします。
双方向フォワーディング検出 (BFD) 構成は変更しないでください。
正解:A,B
質問 8:
ある企業は、AWS ロード バランサーに非 Web アプリケーションをデプロイしています。すべてのターゲットは、AWS Direct Connect を使用してアクセスできるオンプレミスにあるサーバーです。同社は、アプリケーションに接続するクライアントのソース IP アドレスがエンド サーバーまで確実に渡されるようにしたいと考えています。
この要件はどのように達成できるのでしょうか?
A. Application Load Balancer を使用して、X-Forwarded-For ヘッダー内の送信元 IP アドレスを自動的に保存します。
B. Network Load Balancer を使用し、X-Forwarded-For 属性を有効にします。
C. Network Load Balancer を使用して、送信元 IP アドレスを自動的に保存します。
D. Network Load Balancer を使用し、ProxyProtocol v2 属性を有効にします。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 9:
ある会社の AWS インフラストラクチャは、50 を超えるアカウントと 5 つの AWS リージョンにまたがっています。この会社では、すべての AWS アカウントの管理とメンテナンスを簡素化して、セキュリティ体制を管理する必要があります。この会社では、AWS Firewall Manager を使用してファイアウォールのルールと要件を管理したいと考えています。
会社は、AWS Organizations ですべての機能を有効にした組織を作成します。
要件を満たすために、会社が次に実行する必要がある手順の組み合わせはどれですか? (3 つ選択してください。)
A. アカウントを Firewall Manager 管理者アカウントとして設定します。
B. 組織に参加するには、Firewall Manager 管理者アカウントのみを構成します。
C. アカウントをファイアウォール マネージャーの子アカウントとして設定します。
D. 組織に参加するすべてのアカウントを構成します。
E. 組織の管理アカウントのみに AWS Config を設定します。
F. 会社がリソースを持つすべてのアカウントとすべてのリージョンに対して AWS Config を設定します。
正解:A,D,F
ある企業にはオンプレミスのデータセンターが2つあります。1つ目のデータセンターはus-east-1リージョンにあります。2つ目のデータセンターはus-east-2リージョンにあります。各データセンターは最も近いAWS Direct Connect施設に接続しています。
同社は、Direct Connect 接続、トランジット VIF、そして単一の Direct Connect ゲートウェイを使用して、自社データセンターから us-east-1 と us-east-2 の VPC への接続を確立しています。また、通信プロバイダーからのプライベート接続も利用しており、これにより、最初のデータセンターと 2 番目のデータセンターが接続されています。
最近、データセンター間のプライベート接続において、接続障害が複数回発生しています。同社は、2つのデータセンター間の接続の信頼性を向上させるソリューションを必要としています。
これらの要件を満たすソリューションはどれでしょうか?
A. 既存の Direct Connect ゲートウェイに接続されている既存のトランジット VIFS で Direct Connect SiteLink 機能を有効にします。
B. 新しい Direct Connect ゲートウェイを作成します。トランジット VIF で Direct Connect SiteLink 機能を有効にします。
最初のデータセンターと 2 番目のデータセンターの CIDR ブロックを相互に共有します。
C. 両リージョンに新しいパブリックVIFを作成します。新しいパブリックVIFでDirect Connect SiteLink機能を有効にします。
D. 既存の Direct Connect 接続で Direct Connect SiteLink 機能を有効にします。
正解:A
質問 2:
ある企業が重要なアプリケーションをAWSに移行しています。この企業には複数のアカウントとVPCがあり、それらはトランジットゲートウェイで接続されています。
ネットワークエンジニアは、VPCネットワーク境界を越えるすべてのトラフィックに対してディープパケットインスペクションを実行するソリューションを設計する必要があります。検査対象のトラフィックと、そのトラフィックに対して実行されたアクションはすべて、中央のログアカウントに記録される必要があります。
管理オーバーヘッドを最小限に抑えながらこれらの要件を満たすソリューションはどれでしょうか?
A. トランジットゲートウェイへのアタッチメントを含む中央ネットワーク VPC を作成します。新しいアタッチメントをサポートするように、VPC とトランジットゲートウェイのルートテーブルを更新します。サードパーティ製の次世代ファイアウォールアプライアンスを搭載した AWS Application Load Balancer を中央ネットワーク VPC にデプロイします。ディープパケットインスペクションのルールを含むポリシーを作成します。このポリシーをファイアウォールアプライアンスにアタッチします。
中央ログアカウントにSyslogサーバーを作成します。ファイアウォールアプライアンスを設定して、ネットワークフローログをキャプチャし、Syslogサーバーに保存します。
B. トランジットゲートウェイへのアタッチメントを含む中央ネットワーク VPC を作成します。新しいアタッチメントをサポートするように、VPC とトランジットゲートウェイのルートテーブルを更新します。サードパーティ製の次世代ファイアウォールアプライアンスを搭載した AWS ゲートウェイロードバランサーを中央ネットワーク VPC にデプロイします。ディープパケットインスペクションのルールを含むポリシーを作成します。このポリシーをファイアウォールアプライアンスにアタッチします。
中央ログアカウントに Amazon S3 バケットを作成します。ファイアウォールアプライアンスを設定して、ネットワークフローログをキャプチャし、S3 バケットに保存します。
C. 各VPCにネットワークACLとセキュリティグループをデプロイします。セキュリティグループをアクティブなネットワークインターフェースにアタッチします。ネットワークACLをVPCサブネットに関連付けます。サブネットとネットワークインターフェース間の必要なトラフィックフローのみを許可するように、ネットワークACLとセキュリティグループのルールを作成します。中央ログアカウントにAmazon S3バケットを作成します。すべてのトラフィックフローをキャプチャしてS3バケットに保存するVPCフローログを設定します。
D. 中央ログ VPC とトランジットゲートウェイへのアタッチメントを作成します。新しいアタッチメントをサポートするために、VPC とトランジットゲートウェイのルートテーブルを更新します。サードパーティ製の次世代侵入検知システム (IDS) セキュリティアプライアンスを搭載した AWS ネットワークロードバランサー (NLB) を中央 VPC にデプロイします。セキュリティアプライアンスでルールを有効化し、侵入シグネチャを監視します。ネットワークインターフェイスごとに、トラフィックを中央 VPC の NLB に送信する VPC トラフィックミラーリングセッションを作成します。
正解:B
質問 3:
ある企業は、us-east-1 リージョンと us-west-1 リージョンにそれぞれ 1 つのエッジロケーションを持つ AWS クラウド WAN を使用しています。両方のエッジロケーションに共有サービスセグメントが存在します。各共有サービスセグメントには、各リージョンの各検査用 VPC への VPC アタッチメントが存在します。検査用 VPC は、AWS ネットワークファイアウォールを使用して WAN からのトラフィックを検査します。
企業は、us-east-1 エッジロケーションに新しいビジネスユニット(BU)用の新しいセグメントを作成します。新しい BU には 3 つの VPC があり、これらは新しい BU セグメントに接続されています。規制を遵守するため、BU VPC は相互に通信してはなりません。インターネットに向かうすべてのトラフィックは、検査用 VPC で検査される必要があります。
同社は VPC ルートテーブルを更新し、インターネット宛てのすべてのトラフィックが AWS クラウド WAN コアネットワークに送信されるようにします。
当社は今後、新事業部向けにVPCをさらに追加する予定です。今後追加されるVPCはすべて規制に準拠する必要があります。
これらの要件を最も運用効率の高い方法で満たすソリューションはどれですか? (2 つ選択してください。)
A. BU セグメントの isolate-attachments フィールドを True に設定します。
B. BU セグメントの isolate-attachments フィールドを False に設定します。
C. 検査サービス セグメントを BU セグメントと共有するためのネットワーク ポリシーを作成します。
D. 共有サービス セグメントを BU セグメントと共有するようにネットワーク ポリシーを更新します。
E. ネットワークポリシーを更新して、BUセグメントに静的ルートを追加します。共有サービスセグメントを設定して、VPC CIDRブロックに関連するトラフィックをそれぞれのVPCアタッチメントにルーティングします。
正解:A,C
質問 4:
ある保険会社は、オンプレミスのデータセンターから AWS クラウドへのワークロードの移行を計画しています。この会社では、エンドツーエンドのドメイン名解決が必要です。AWS と既存のオンプレミス環境の間で双方向の DNS 解決を確立する必要があります。ワークロードは複数の VPC に移行されます。ワークロードは相互に依存しており、すべてのワークロードが同時に移行するわけではありません。
これらの要件を満たすソリューションはどれですか?
A. 各アプリケーション VPC のプライベートホストゾーンを設定し、必要なレコードを作成します。出力 VP に Amazon Route 53 Resolver のインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミス DNS リゾルバーに転送するための Route 53 Resolver ルールを定義します。アプリケーション VPC のプライベートホストゾーンを出力 VP に関連付け、
B. 各アプリケーション VPC のパブリックホストゾーンを設定し、必要なレコードを作成します。出力 VPC に Amazon Route 53 Resolver のインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミス DNS リゾルバーに転送するための Route 53 Resolver ルールを定義します。
アプリケーション VPC のプライベートホストゾーンを出力 VPC に関連付けます。AWS Resource Access Manager を使用して、Route 53 Resolver ルールをアプリケーションアカウントと共有します。オンプレミスの DNS サーバーを設定して、クラウドドメインを Route 53 の受信エンドポイントに転送します。
C. 各アプリケーション VPC のプライベートホストゾーンを設定し、必要なレコードを作成します。出力 VPC に Amazon Route 53 Resolver のインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミス DNS リゾルバーに転送するための Route 53 Resolver ルールを定義します。
アプリケーション VPC のプライベートホストゾーンを出力 VPC に関連付け、AWS Resource Access Manager を使用して Route 53 Resolver ルールをアプリケーションアカウントと共有します。オンプレミスの DNS サーバーを設定して、クラウドドメインを Route 53 の受信エンドポイントに転送します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 5:
ある企業は、AWS Network Firewall ファイアウォールを VPC にデプロイしました。ネットワークエンジニアは、ネットワークファイアウォールのフローログを会社の Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターにできるだけ短い時間で配信するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?
A. 宛先としてAmazon OpenSearch Service (Amaz on Elasticsearch Service) クラスターを含む Amazon Kinesis Data Firehose 配信ストリームを作成します。ファイアウォールのフローログの設定 Kinesis Data Firehose 配信ストリームを Network Firewall フローログの宛先として設定します。
B. Amazon S3 バケットを作成します。ログを Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターにロードするための AWS Lambda 関数を作成します。S3 バケットで Amazon Simple Notice Service (Amazon SNS) 通知を有効にして、Lambda 関数を呼び出します。ファイアウォールのフロー ログを構成します。S3 バケットを宛先として設定します。
C. ファイアウォールのフロー ログを設定します。Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターをネットワーク ファイアウォール フロー ログの宛先として設定します。
D. Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターを宛先として含む Amazon Kinesis データストリームを作成します。ファイアウォールのフロー ログを構成します。Kinesis データ ストリームをネットワーク ファイアウォール フロー ログの宛先として設定します。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
ある企業は、2 層 Web アプリケーションを単一の AWS リージョン内の新しい VPC にデプロイすることを計画しています。同社は、インターネット ゲートウェイと 4 つのサブネットを使用して VPC を構成しました。サブネットのうち 2 つはパブリックであり、インターネット ゲートウェイを指すデフォルト ルートがあります。サブネットのうち 2 つはプライベートで、デフォルト ルートを持たないルート テーブルを共有します。
アプリケーションは、外部 Application Load Balancer の背後にデプロイされる一連の Amazon EC2 インスタンス上で実行されます。EC2 インスタンスにはインターネットから直接アクセスできません。アプリケーションは、同じリージョン内の Amazon S3 バケットを使用してデータを保存します。アプリケーションは、EC2 インスタンスから S3 GET API オペレーションと S3 PUT API オペレーションを呼び出します。ネットワーク エンジニアは、データ転送コストを最小限に抑える VPC アーキテクチャを設計する必要があります。
これらの要件を満たすソリューションはどれですか?
A. EC2 インスタンスをプライベート サブネットにデプロイします。VPC に S3 インターフェイス エンドポイントを作成します。S3 エンドポイント固有の DNS ホスト名を使用するようにアプリケーション構成を変更します。
B. EC2 インスタンスをパブリック サブネットにデプロイします。VPC に S3 インターフェイス エンドポイントを作成します。S3 エンドポイント固有の DNS ホスト名を使用するようにアプリケーション構成を変更します。
C. EC2 インスタンスをプライベート サブネットにデプロイします。エンドポイントの作成中にプライベート サブネットの VPSpecify ルート テーブルに S3 ゲートウェイ エンドポイントを作成し、Amazon S3 へのルートを作成します。
D. EC2 インスタンスをプライベート サブネットにデプロイします。VPC に NAT ゲートウェイを作成します。プライベート サブネットに NAT ゲートウェイへのデフォルト ルートを作成します。NAT ゲートウェイを使用して Amazon S3 に接続します。
正解:C
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
ネットワークエンジニアは、会社のオフィスとAWSアカウント間のデュアルスタック接続を提供する必要があります。会社のオンプレミスルーターはデュアルスタック接続をサポートしており、VPCもデュアルスタック対応に設定されています。会社はオフィスとの間に2つのAWS Direct Connect接続を設定しています。この接続は高可用性を備え、レイテンシの影響を受けやすいトラフィックに対しても信頼性の高いものでなければなりません。
これらの要件を満たすソリューションはどれですか? (2 つ選択してください。)
A. 各 Direct Connect 接続に 2 つのプライベート VIF を設定します。1 つは IPv4 アドレスファミリーのプライベート VIF、もう 1 つは IPv6 アドレスファミリーのプライベート VIF です。オンプレミスの機器に AWS 提供の BGP ネイバーを設定し、IPv4 ピアリングでは IPv4 ルートを、IPv6 ピアリングでは IPv6 ルートをアドバタイズします。すべてのピアリングセッションで双方向フォワーディング検出 (BFD) を有効にします。
B. 各 Direct Connect 接続に単一のプライベート VIF を設定します。各プライベート VIF に IPv4 と IPv6 の両方のピアリングを追加します。オンプレミスの機器を AWS 提供の BGP ネイバーに設定し、IPv4 ピアリングでは IPv4 ルートを、IPv6 ピアリングでは IPv6 ルートをアドバタイズします。すべてのピアリングセッションで双方向フォワーディング検出 (BFD) を有効にします。
C. 各 Direct Connect 接続に、単一のプライベート VIF と IPv4 ピアリングを設定します。このピアリングを使用してオンプレミス機器を設定し、同じ BGP ネイバー設定内の IPv6 ルートをアドバタイズします。すべてのピアリングセッションで双方向フォワーディング検出 (BFD) を有効にします。
D. 各 Direct Connect 接続に 2 つのプライベート VIF を設定します。1 つは IPv4 アドレスファミリーのプライベート VIF、もう 1 つは IPv6 アドレスファミリーのプライベート VIF です。オンプレミスの機器に AWS 提供の BGP ネイバーを設定し、IPv4 ピアリングで IPv4 ルートを、IPv6 ピアリングで IPv6 ルートをアドバタイズします。オンプレミスの機器と Direct Connect 構成の両方で、BGP Hello タイマーを 5 秒に短縮します。
E. 各 Direct Connect 接続に 2 つのプライベート VIF を設定します。1 つは IPv4 アドレスファミリーのプライベート VIF、もう 1 つは IPv6 アドレスファミリーのプライベート VIF です。オンプレミスの機器に AWS 提供の BGP ネイバーを設定し、すべてのピアリングセッションですべての IPv4 ルートと IPv6 ルートをアドバタイズします。
双方向フォワーディング検出 (BFD) 構成は変更しないでください。
正解:A,B
質問 8:
ある企業は、AWS ロード バランサーに非 Web アプリケーションをデプロイしています。すべてのターゲットは、AWS Direct Connect を使用してアクセスできるオンプレミスにあるサーバーです。同社は、アプリケーションに接続するクライアントのソース IP アドレスがエンド サーバーまで確実に渡されるようにしたいと考えています。
この要件はどのように達成できるのでしょうか?
A. Application Load Balancer を使用して、X-Forwarded-For ヘッダー内の送信元 IP アドレスを自動的に保存します。
B. Network Load Balancer を使用し、X-Forwarded-For 属性を有効にします。
C. Network Load Balancer を使用して、送信元 IP アドレスを自動的に保存します。
D. Network Load Balancer を使用し、ProxyProtocol v2 属性を有効にします。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
質問 9:
ある会社の AWS インフラストラクチャは、50 を超えるアカウントと 5 つの AWS リージョンにまたがっています。この会社では、すべての AWS アカウントの管理とメンテナンスを簡素化して、セキュリティ体制を管理する必要があります。この会社では、AWS Firewall Manager を使用してファイアウォールのルールと要件を管理したいと考えています。
会社は、AWS Organizations ですべての機能を有効にした組織を作成します。
要件を満たすために、会社が次に実行する必要がある手順の組み合わせはどれですか? (3 つ選択してください。)
A. アカウントを Firewall Manager 管理者アカウントとして設定します。
B. 組織に参加するには、Firewall Manager 管理者アカウントのみを構成します。
C. アカウントをファイアウォール マネージャーの子アカウントとして設定します。
D. 組織に参加するすべてのアカウントを構成します。
E. 組織の管理アカウントのみに AWS Config を設定します。
F. 会社がリソースを持つすべてのアカウントとすべてのリージョンに対して AWS Config を設定します。
正解:A,D,F
Ikeda -
なぜだかすごくわかりやすかった。ANS-C01日本語版試験にも合格いたしました!Amazonさん、今後もお世話になります。