AWS認定試験の合格に必要な知識を確認します。
本稿では下記の略語を使用します。
| 略称 | 原語 |
|---|---|
| AZ | Availability zones |
| I/O | Input/Output |
| ACL | Access control list |
| GW | Gateway |
| IGW | Internet Gateway |
| FW | Firewall |
| IPS | Intrusion prevention system |
| RI | Reserved instances |
| SSO | Single sign-on |
| SG | Security group |
| SF | Step Functions |
| AD | Active Directory |
| GSI | Global Secondary Index |
| LSI | Local Secondary Index |
前提
本稿では,アソシエイトレベルのSysOps Administrator(SOA:AWS Certified SysOps Administrator Associate)に関する直前対策を行います。SOAは現在C02とよばれる形式の試験が実施されています。
SysOps Administratorは,基礎レベルのクラウドプラクティショナーの知識を前提としています。したがって,本稿は下記のクラウドプラクティショナー前提対策の内容を前提としています。
モニタリング・ロギング・修復
ログファイルが修正・削除されていないことを簡単に確認する方法を説明せよ。
CloudTrailログファイル整合性検査を有効化する。
EC2インスタンスでミラーリングのパケットロスが起きている原因として考えられるものは何か。
ミラーターゲットの最大送信単位(MTU)を超えていること。
Auroraでバックトラック・ポイントインタイムリカバリ・スナップショットの違いを説明せよ。
まずは大きく二つに分ける。
- 同一クラスタにおける切り戻し:バックトラック
- 既存クラスタの特定地点を新規クラスタに復元:ポイントインタイムリカバリ・スナップショット
また,ポイントインタイムリカバリとスナップショットは下記の点が異なる。
- ポイントインタイムリカバリ:1-35日前までの自動バックアップからの復元
- スナップショット:文字通りスナップショットからの復元で,35日という制限はない
S3バケットのアクセスログはCloudWatchに保存できるか。
できない。同一リージョンのS3に保存する。
オンプレミス環境とAWSクラウドのサーバでCloudWatchにログを送る方法を説明せよ。
両方のサーバに統合CloudWatchエージェントをインストールする。
CloudFormationのOUTDATEDを簡単に説明せよ。
スタックの作成が正常に完了しなかったという単なるエラー。
lambdaのログがCloudWatchで表示されない原因として考えられるものを二つ述べよ。
- lambdaにCloudWatch Logsのアイテムを作成する権限が付与されていない
- lambdaを実行してから10分以内である
ただし,2.に関してはCloudWatch上でログが表示されるまで通常5〜10分ほどかかることを踏まえている。
EC2のシステムステータス検査が失敗した場合の対応方法を説明せよ。
責任境界モデルにおいてAWS側の対応が必要となるため,インスタンスを停止することにより障害の起こっているホストからインスタンスを削除する。その後,インスタンスを開始することで,異なるホストでインスタンスを作成する。
CloudTrailの有効化と組織の証跡の作成の相違点について簡単に説明せよ。
- CloudTrail:Organizationsの管理アカウント内で有効化してもメンバーアカウントで無効化できる
- 組織の証跡:管理アカウント内で有効化するとメンバーアカウントで変更・削除できない
Cost Explorerにタグ情報が反映されるまでどれくらいの時間を要するか。
最大24時間
既存のVPCフローログの設定を編集することはできるか。
できない。例えば,拒否されたトラフィックも記録したい場合は,全てのトラフィックキャプチャ設定を有効化した新しいVPCフローログを作成する必要がある。
EC2の基本モニタリングと詳細モニタリングの違いを説明せよ。
- 基本モニタリング:無料・5分間隔
- 詳細モニタリング:有料・1分間隔
詳細モニタリングは10個のメトリクスまで無料だが,実質有料とみなしている。
EC2からAMIを作成するとき,ファイルシステムの整合性を担保する方法を述べよ。
noRebootオプションをfalseに設定し,AMI作成時に必ずEC2を停止してからAMIを作成するようにする。
信頼性・ビジネス継続性
EBSのリストアとI/O性能についてまとめよ
通常のリストア直後はEBSにデータが格納されておらず,S3のスナップショットからデータを取得する必要があるため,I/O性能が悪化する懸念がある。Fast Snapshot Restore(FSR)を利用すれば,リストア直後からI/Oのフルパフォーマンスを実現できる。
EC2のプレイスメントグループについてまとめよ。
- クラスタープレイスメントグループ
- パフォーマンス向上が目的。単一AZ内のインスタンスを複数グループ化する。
- パーティションプレイスメントグループ
- 耐障害性向上が目的。同一リージョンの物理ラック単位で複数のインスタンスを配置。
- スプレッドプレイスメントグループ
- 耐障害性向上が目的。同一リージョンの物理ラック単位で一つのインスタンスを配置。
起動中のRDSでMultiAZを有効化できるか。
できる。
デプロイ・プロビジョニング・オートメーション
lambdaはデフォルトでどのVPCに作成されるか
AWS管理のVPC。デフォルトの設定ではユーザ管理VPCには通信できないので,プライベートサブネットに配置したAWSサービスと疎通したい場合は,ユーザ管理VPCのプライベートサブネットにlambdaを配置する。さらに,インターネットと疎通したい場合は,NATゲートウェイをデフォルトルートに設定する。
EC2をEFSにマウントする際,IAMによる制御は必要か
不要。EFSはファイルシステムであるため,セキュリティグループによる制御に基づいて同じVPC内に存在するコンポーネントとのアクセス制御を行う。マウント自体はEFSに対するアクションではなく,EC2に対するマウントターゲットの指定であるため,IAMでefs:という名前空間に対するアクションの許可は必要ない。
AWS DLMとAWS backupの違いは何か
- AWS DLM:EBSのスナップショット取得
- AWS backup:EBSに限らないサービスのbackup
スナップショットとバックアップの違いは何か
- スナップショット:ストレージレベル。特定の時点でのディスクやボリューム全体の状態を保存。
- バックアップ:アプリケーションレベル。データの完全なコピー。
EventBridgeにおいてcron式とrate式の違いを簡単に説明せよ
- cron式:特定の日時や条件に基づいてトリガー。柔軟な設定が可能。
- rate式:固定された間隔で繰り返しトリガー。シンプルな設定が可能。
AutoScalingReplacingとAutoScalingRollingUpdateの違いは何か。
そもそも,両者はCloudFormationでAutoScalingを更新する際の挙動を定めるためのポリシーである。前者は一度に全てのインスタンスを置き換えるため,All-at-once的な挙動に近い。ダウンタイムが生じるが迅速な切り替えが可能だが,十分なリソースも必要。後者はいわゆるローリングアップデートで,最小限のリソースでダウンタイムを最小化できる。
Authenticated Usersとは何か。
認証済みのAWSアカウント。
EFSのマウントターゲットを作成する単位は何か。
AZ毎に作成する。特に,インスタンス毎に作成する訳ではないため注意する。
Insufficient Instance Capacityとは何か。
AWS基盤側のキャパシティ不足でEC2が作成できないエラー。AZ単位で発生する。
ElastiCacheのインスタンスタイプを変更する方法を説明せよ。
RedisとMemcachedで方法が異なる点に注意する。
- Redis:ModifyCache Cluster APIを利用
- Memcached:CreateCache Cluster APIを利用
AWS Configでは意図しないポリシーの自動削除を行うことはできるか。
できる。ちなみに,Security Hubはアラートの一元管理機能を提供するだけであり,Security Hubそのものには自動削除機能は有さないため注意する。
OrganizationsのOUとControl Towerを運用効率の違いから比較せよ。
Control TowerではAWS ConfigやCloudFormationとの連携が必要となるため,OUにアカウントを追加してOUにSCPを適用することで要件を満たすことができるのであれば,Control Towerを利用するよりも運用効率がよい。
SNSでlambdaを呼び出すことはできるか。
できる。
EBSのボリュームサイズを増やすために必要な手続きを説明しなさい。
- マネコンかCLI上からEBSのボリュームサイズを増やす
- OSのディスク管理ツールを用い,マウントされたボリュームのファイルシステムを拡張する
EC2を再起動するだけでは,EBSのボリュームサイズを増やしたことがOSに伝わらないため注意する。
S3のバッチオペレーションを簡単に説明せよ。
コンソール上で数十億オーダのオブジェクトに対して操作を行うことができる機能。例えば,タグの一括置換などが可能で,AWS CLIを用いてスクリプトを作成する必要はない。
AutoScalingでElasticIPを用いてIPを固定できるか。
固定できない。
SQSの標準キューとFIFOキューでメッセージの重複を排除する方法について述べよ。
基本思想として,標準キューでは「メッセージを少なくとも1回配信」し,FIFOキューでは「メッセージを1回だけ配信」する。つまり,標準キューではメッセージの重複は許容され,FIFOキューでは許容されないという思想がある。その代わり,FIFOキューでは標準キューと比べてスループットが低下する。
FIFOキューでメッセージの重複を排除する方法は二つある。
- コンテンツに基づく方法
- 重複排除IDに基づく方法
コンテンツに基づく方法では,メッセージ自体が一意である必要がある。もしメッセージが一意でない場合は,重複排除IDに基づく方法を採用する必要がある。FIFOキューにおいて,重複排除のスコープはキュー全体とメッセージグループで選ぶことができる。
SQSのキュータイプは途中で変更できるか。
変更できない。
CloudFormationでスタックの作成が失敗した際のデフォルトの挙動は何か。
全ての変更をロールバックする。失敗した時点での状態を保つterraformとは異なるため注意する。
ALBのスティッキーセッションはターゲットグループとリスナールールのどちらで設定するか。
ターゲットグループ
OpenSearchとKibanaの違いは何か。
- OpenSearch:データの検索と分析エンジンであり、大規模なデータセットを処理する
- Kibana:可視化のためのフロントエンドツール
既存のADを使ってOpenSearch Service上のKibanaにログインするための設定を説明せよ。
- Cognitoユーザプールの作成
- ユーザプールの外部IDプロバイダー設定によるADとの連携
- IDプールの作成
- OpenSerce ServiceでCognito認証を有効化する
- 自動でユーザプールとIDプールが連携される
VPCのプライベートIPが枯渇した場合,どのような対応を行うべきか。
- セカンダリIPv4 CIDRブロックをVPCに関連付ける
- プライマリIPv6 CIDRブロックをVPCに関連付ける
VPCやサブネットのCIDRブロックは途中から変更できず,追加のみが可能である。
CloudFormationのMappingでは作成されたリソースを参照することはできるか。
参照できない。Outputsと!ImportValueを利用する。
請求額が閾値を超えた場合に発火するアラートの作成方法を説明せよ。
- Billing and Cost Managementで課金アラートを有効化する
- EstimatedChargesというメトリクスが発火する
- CloudWatchでSNSメッセージを発行する課金アラームを設定する
- EstimatedChargesというメトリクスにUSD基準の閾値を設定する
セキュリティ・コンプライアンス
AWS KMSの非対称キーはオンプレミス環境にインポート可能か。
インポートできない。代わりにAWS CloudHSMを利用する。
IAMポリシーのConditionフィールドでタグの指定は可能か。
可能。
既存のEFSを暗号化することはできるか。
できない。
バケットポリシーでS3のサーバサイド暗号化を強制することはできるか。
できる。Conditionフィールドでs3:x-amz-server-side-encryptionを利用してDenyする。
CMKのキーマテリアルとは
暗号化キーを生成するために必要となる材料。
CMKの自動ローテーションについて説明せよ。
AWS管理CMKの場合は3年,カスタマー管理CMKの場合は1年でローテーションが行われる。カスタマー管理CMKを用いた上で,キーマテリアル自体をインポートする場合は,そもそもキーローテーションを有効化することはできない。カスタマー管理CMKで1年未満でローテーションを行いたい場合,もしくはキーマテリアル自体をインポートしたい場合は,手動で新しいCMKを作成するという運用が必要になる。なお,カスタマー管理CMKではローテーションをOFFにすることもできる。
既存のKMSに新しいキーマテリアルをインポートすることはできるか。
できない。
アカウントレベルでS3のBlock Public Accessを有効化できるか。
できる。
Guard Dutyでマネコンへの潜在的な不正ログインは検知できるか。
検知できる。
リソースをパッチコンプライアンス基準に準拠させるために使用するサービスは何か。
Systems Managerのパッチマネージャー
LDAP認証情報を使用してアクセス制御を行う方法を説明せよ。
SAML2.0ベースのIDフェデレーションを利用して,LDAPグループごとにIAMロールを作成する。Simple ADを作成してLDAPディレクトリをコピーし,AWSクラウド上で認証情報を管理する方法も考えられるが,既存のLDAPを利用する方がコストが低い。
KMSで暗号化されたAMIとクロスアカウント共有について説明せよ。
- AWS管理CMKで暗号化したAMIはクロスアカウント共有できない
- カスタマー管理CMKで暗号化したAMIはクロスアカウント共有できる
PrincipalOrgIDはPrincipalに指定できるか。
指定できない。Principalには*を指定し,ConditionでPrincipalOrgIDを指定する。
S3の署名付きURLで所望のActionが行えない場合,考えられる原因を挙げよ。
URLの発行者に所望のActionを行う権限が付与されていないこと。署名付きURLはその名の通り,署名を付けたユーザの権限がURLに引き継がれる。
ネットワーク・コンテンツ配信
NATゲートウェイで対応しているプロトコルは何か。
TCP/UDP/ICMP
RDPから踏み台に接続できない理由として考えられるものを挙げよ。
- 踏み台のSGでポート3389のingressが許可されていない
- 踏み台のEC2が属するサブネットのネットワークACLでRDPからのトラフィックをブロックしている
- 踏み台のEC2が属するサブネットに関連付けられているルートテーブルにインターネットGWがデフォルトルートに登録されていない
SSHとは異なり,インターネットを経由した双方向の通信を許可する必要があるため,デフォルトルートにインターネットGWを登録しなければならない点に注意する。
S3で大容量のファイルをアップロードするAPIは何か。
s3 cpを利用する。copy-objectやput-objectは最大でも5GBしか扱えないため,マルチパートアップロードに対応しているs3 cpを利用する。なお,マネコン上でのアップロードは160GBという制約がある。S3では1つのオブジェクトにつき5TBまでのサイズに対応している。
オンプレミス環境からVPC内のEC2のホスト名を解決するためのアーキテクチャを説明せよ。
- オンプレミス環境にDNSサーバを用意する
- AWSクラウドのRoute53でEC2のホスト名を解決するレコードを登録
- EC2と同じVPC内にインバウンドリゾルバエンドポイントを用意する
- インバウンドリゾルバエンドポイントでオンプレミスのDNSサーバからの問い合わせをRoute53に転送する
API Gatewayでは静的IPを設定することはできるか。
API Gateway単体ではできない。Global Acceleratorと併用すると設定できる。
コスト・パフォーマンス最適化
ALBよりもNLBが適しているユースケースのキーワードを二つ述べよ。
- 毎秒数百万回のリクエスト
- 静的IPアドレスの利用
コスト配分タグはデフォルトで有効化されているか。
有効化されていない。BillingのコンソールもしくはCLIからタグを有効化する必要がある。
VPC間を接続するコスト最適な方法は何か。
VPCピアリング。Private Linkを利用するとVPCエンドポイントの利用料金が発生する。
各サービスのQuotaと現状を比較できるサービスは何か。
Trusted Advisor
コメント