AWS認定ソリューションアーキテクトとは?傾向は?過去問は役に立つ?AIに予想問題を作らせてみた
AWS認定ソリューションアーキテクト(AWS Certified Solutions Architect)は、世界的なクラウドサービスプロバイダーであるAmazon Web Services社が主催している、AWSに関する専門知識とスキルを評価し、証明するための国際的な認定資格です。この試験は、単にAWSの各サービスを知っているかだけでなく、可用性、スケーラビリティ、耐障害性、そしてコスト効率を考慮した最適なクラウドソリューションを設計する能力を客観的に測ることに重点を置いています。
この資格には、アソシエイトとプロフェッショナルという2つのレベルがあります。
- AWS認定ソリューションアーキテクト – アソシエイト(Associate):AWSの基本的なサービスの知識を証明する資格です。クラウド環境のデプロイ、運用、そしてモニタリングといった、クラウドエンジニアの基礎的なスキルが問われます。
- AWS認定ソリューションアーキテクト – プロフェッショナル(Professional):アソシエイトの知識を土台として、より高度なクラウドソリューションを設計する専門的なスキルを証明する上級レベルの資格です。
どちらの資格も、取得することで、ご自身のクラウドアーキテクトとしてのスキルが国際的な基準を満たしていることを証明できます。履歴書に記載して就職活動や転職活動で強力にアピールしたり、企業内でのスキル評価に利用されたりすることがあります。特に、クラウド環境の設計・構築が不可欠な現代において、この資格は世界中で非常に高い評価を受けています。
資格の位置づけと他のAWS認定資格との関係
AWS認定資格は、スキルレベルに応じてFoundational、Associate、Professional、Specialtyの4つのカテゴリに分かれています。
- Foundational:AWSの基本的な概念を理解しているかを問う入門レベルの資格です。
- Associate:クラウドエンジニアとしての基礎的なスキルを証明する中級レベルの資格です。AWS認定ソリューションアーキテクト – アソシエイトは、このカテゴリに属します。
- Professional:高度なクラウドソリューションを設計・運用する専門的なスキルを証明する上級レベルの資格です。AWS認定ソリューションアーキテクト – プロフェッショナルは、このカテゴリに属します。
- Specialty:特定の専門分野(セキュリティ、機械学習、データアナリティクスなど)に特化した高度なスキルを証明する資格です。
ソリューションアーキテクトは、AWSの幅広いサービスを理解し、全体を俯瞰して設計する能力が求められるため、クラウドの専門家としてのキャリアを築きたい方にとって、非常に重要な資格です。
試験の傾向と出題形式はどうなっていますか?
試験の傾向を知ることは、効率的な学習を進める上で非常に重要です。ソリューションアーキテクト試験は、出題範囲が非常に広く、現実のビジネスシナリオに基づいた問題が出題されるのが特徴です。
出題形式の特徴
AWS認定ソリューションアーキテクト試験は、選択式の問題が中心となりますが、単に4択から選ぶだけでなく、以下のような形式の問題も出題されます。
- 複数選択問題:複数の選択肢から、正解をすべて選ぶ形式の問題です。単純な知識の暗記だけでなく、それぞれの選択肢がなぜ正解(または不正解)なのかを正確に理解していないと、正解にたどり着くのが難しい場合があります。
- シナリオ問題:試験では、架空の企業のビジネス要件や技術的な制約が詳細に記された「シナリオ」が提示されます。そのシナリオに基づいて、最適なAWSサービスや設定を提案する問題が複数出題されます。これは、単なる知識の暗記だけでなく、それを現実のビジネス課題に適用する能力を測るためのものです。
これらの問題形式に慣れておくことが、合格のためには非常に重要です。
各レベルの試験傾向
- アソシエイトの傾向:AWSの主要なサービス(EC2、S3、VPC、RDSなど)の基本的な機能や、それぞれのサービスを組み合わせて使う際の基本的な設計原則が問われます。例えば、「WebサイトをAWS上で構築する場合、どのサービスを組み合わせるのが最も安価で効率的ですか?」といった問題が出題されます。
- プロフェッショナルの傾向:アソシエイトの知識を前提として、より大規模で複雑なシステムの設計や、コスト最適化、セキュリティ、高可用性といった、高度な設計原則が問われます。例えば、「既存のオンプレミス環境からAWSへの大規模な移行を計画する場合、どのようなアーキテクチャが最も適していますか?」といった、より深い知識と実践的な経験が求められる問題が出題されます。
このように、AWS認定ソリューションアーキテクトは、技術的な知識だけでなく、ビジネス要件を理解し、総合的な視点からソリューションを設計する能力が問われるのが特徴です。
過去問は役に立ちますか?具体的な対策方法も教えてください
過去問や問題集は学習において非常に有効なツールです。特に、ソリューションアーキテクトのような広範囲にわたる資格では、過去問を活用することで、出題傾向を掴み、効率的に学習を進めることができます。しかし、ただ過去問を解くだけでなく、どのように活用するかが大切です。
過去問の活用法
過去問や問題集を解くことには、主に二つの大きなメリットがあります。
- 出題形式や傾向を把握できる:過去問を解くことで、どのような形式で問題が出されるのか、どの分野から頻繁に出題されるのかといった傾向を掴むことができます。これにより、効率的に学習する分野を絞り込むことが可能になります。特に、シナリオ問題の形式に慣れておくことは、本番での戸惑いをなくす上で非常に重要です。
- 自分の弱点を見つけられる:過去問を解いてみて、間違えた問題や理解に時間がかかった問題を分析することで、自分自身がどの分野を苦手としているのかを明確にできます。例えば、特定のAWSサービスの特性が曖昧、セキュリティの概念がよくわからないなど、具体的な弱点を見つけたら、そこを重点的に復習することで、より確実に実力を伸ばすことができます。
過去問は、ただ答えを丸暗記するのではなく、「なぜこのサービスを選ぶのが最適なのか」「なぜこのアーキテクチャがこのビジネス要件を満たすのか」を深く考えることが重要ですです。間違えた問題については、解説を読み込むだけでなく、実際にAWS環境でサービスを触ってみるなど、能動的に学習を進めていくことをおすすめします。
AWS認定ソリューションアーキテクト試験の具体的な対策
対策のポイント
- 公式教材や認定トレーニングを活用する:AWSが提供している公式の学習教材や、認定パートナーが開催するトレーニングコースを利用することは、試験範囲を効率的に網羅する上で非常に有効です。
- ハンズオンで実践経験を積む:ソリューションアーキテクトの試験では、実践的なスキルが問われます。AWSの無料枠を活用したり、Qwiklabsのようなハンズオンラボサービスを利用したりして、実際にAWSの各サービスを触ってみることが大切です。
- ベストプラクティスを学ぶ:AWSの公式サイトやブログには、各サービスのベストプラクティス(最善の方法)が多数公開されています。これらの情報をこまめにチェックして、AWSの思想や設計の考え方を深く理解しておくことが大切です。
- 複数のAWSサービスを組み合わせて使う練習をする:試験では、複数のサービスを組み合わせて使う問題が多数出題されます。例えば、Webサーバー、データベース、ストレージを組み合わせてWebアプリケーションを構築する方法など、サービス間の連携を深く理解しておくことが重要ですです。
- ホワイトペーパーを読み込む:AWSの公式サイトには、設計に関するホワイトペーパーが多数公開されています。これらのドキュメントを読み込むことで、AWSが推奨する設計のベストプラクティスを深く理解できます。
この資格はどのような仕事に役立ちますか?
AWS認定ソリューションアーキテクトの資格は、クラウドに関連する多岐にわたる、非常に高度な仕事で役立ちます。この資格は、ITインフラの根幹をなすクラウドの、まさに「エキスパート」であることを証明します。
- クラウドアーキテクト:企業のクラウドシステム全体の設計を行う専門職です。この資格は、クラウドアーキテクトとして働く上で、最も重要な証明となります。
- 上級クラウドエンジニア:大規模なクラウド環境の構築、運用、そして高度なトラブルシューティングを行う専門職です。この資格は、クラウドのプロフェッショナルとしてのスキルを証明する上で、非常に有効です。
- ITコンサルタント:企業のIT戦略を支援する際、クラウドに関する専門知識を持っていることで、より信頼性の高い提案が可能になります。
- プロジェクトマネージャー:クラウドプロジェクトを管理する際、技術的な知識を持っていることで、プロジェクトの進行をスムーズに進めることができます。
この資格は、これらの分野で働く上で、ご自身の知識やスキルを証明する、最も強力な手段となります。
転職時には有利になりますか?
AWS認定ソリューションアーキテクトの資格は、転職活動において、ご自身のクラウドスキルを客観的に示すための、非常に強力で決定的な武器となり得ます。
有利になる点
- 世界的な権威性の証明:AWS認定資格は世界中で広く認知されており、ソリューションアーキテクトの資格は、クラウドに関する専門的な知識とスキルを持っていることの証明になります。
- 年収アップにつながる可能性が高い:AWS認定ソリューションアーキテクトの資格は、市場価値が非常に高く、他のITエンジニアと比べて高い年収を得られる可能性が高いです。
- 選考の最初のステップを突破しやすくなる:履歴書にこの資格の記載があれば、選考担当者の目に必ず留まります。多くの企業が、クラウドアーキテクトを喉から手が出るほど欲しがっているため、面接に進むためのハードルが大幅に下がります。
- 専門分野でのキャリアチェンジ:オンプレミス環境のエンジニアからクラウドエンジニアへと、より高度なキャリアパスに進む際の強力な後押しとなります。
資格だけで全てが決まるわけではありません
AWS認定ソリューションアーキテクトは、取得が非常に難しいため、合格している時点で、かなりの実践経験を持っているとみなされます。しかし、資格はあくまでスキルを証明する「きっかけ」であり、面接では、これまでの実務経験や、どのような課題を解決してきたかといった、具体的な話が求められます。
そのため、これまでのプロジェクトでどのような役割を担い、どのような貢献をしてきたのかを、この資格の知識と結びつけて具体的に説明できるように準備しておくことが非常に重要ですです。
AIに奪われる可能性は?これからも必要とされますか?
現代において、AI技術は驚くべき速さで進化しています。AIがクラウドの設計や運用の一部を自動化する時代が到来しつつある中で、「クラウドアーキテクトの仕事はAIに奪われるのでは?」と心配される方もいらっしゃるかもしれません。
しかし、結論から申し上げますと、クラウドアーキテクトのような専門家の需要は今後もなくなることはなく、プロフェッショナルとしての役割もAIに完全に取って代わられることはないと考えられています。
ソリューションアーキテクトがこれからも必要とされる理由
- AIはクラウドの「利用者」:AIや機械学習のモデルは、多くの場合、クラウド環境上で動作します。AIが効率的に動作するためには、安定したクラウド環境が不可欠であり、その環境を設計・運用するのは、依然として人間の専門家の仕事です。AIが進化すればするほど、そのAIをより良く活用するための、クラウドの専門家である人間の役割はますます重要になります。
- システムの「設計者」としての役割:AIは単純な設定作業や、一般的な設計を自動化してくれるかもしれませんが、顧客の複雑なビジネス要件を深く理解し、最適なクラウドアーキテクチャを考えたり、予期せぬトラブルが発生した際に原因を特定して解決したりする「思考力」は、人間の専門家の役割です。
- 新しい技術への対応:クラウド技術は日々進化しており、新しいサービスや機能が常に登場します。そうした新しい技術に対し、柔軟に対応し、最適なソリューションを設計・構築するのは、人間の専門家であるクラウドアーキテクトの役割です。
- AIの限界:AIは、あくまで過去のデータやベストプラクティスに基づいて学習します。そのため、予期せぬトラブルや、新しいタイプのビジネス要件に対して、AIが完璧に対応するのは難しい場合があります。そうした状況で、最終的な判断を下すのは人間の専門家です。
このように、AWS認定ソリューションアーキテクトの知識は、AI時代においても、ITインフラを支える上で不可欠な役割を担い続けるでしょう。AIの進化は、クラウドの仕事を奪うのではなく、むしろ私たちがより高度で創造的な仕事に集中できるような「強力なツール」として、私たちの仕事の仕方をより良いものに変えていくと考えられます。
まとめ
AWS認定ソリューションアーキテクトは、クラウドの分野でキャリアを築きたい方にとって、非常に価値のある、そして挑戦しがいのある国際的な資格です。
- どのような資格?:AWSを深く理解し、ビジネス要件に合わせて最適なソリューションを設計するエキスパートであることを証明する国際的な資格です。
- 傾向は?:選択式の問題と、現実のビジネスシナリオに基づいた問題が組み合わされて出題されます。
- 対策は?:公式教材や認定トレーニングを活用し、実際にAWS環境を触って、実践力を高めることが大切です。
- 転職に有利?:はい、クラウドの専門家として、世界中で高く評価されます。取得することで、年収アップやキャリアアップにつながる可能性が非常に高いです。
- 将来性は?:AI時代においても、クラウドの専門家はITインフラを支える上で不可欠な存在であり、その需要は今後も安定していると考えられます。
もし、クラウドの世界でエキスパートを目指したいとお考えでしたら、ぜひこの資格を目標にしてみてください。ご自身の努力が形となり、大きな自信となって、未来のキャリアを切り拓く力になるはずです。
AWS認定ソリューションアーキテクト試験:予想問題(AI作成)
問題1
世界中のユーザーにS3でホストする静的ウェブサイトを高速かつ安全に配信したい。最適な構成はどれか。
A. S3パブリックアクセスのみ
B. CloudFront + S3(OACでS3を非公開)
C. ALB + S3
D. API Gateway + S3
回答
B
解説
S3単体の公開は遅延やIP制限に弱い。CloudFrontを前段に置くとエッジキャッシュで低遅延化でき、OAC(Origin Access Control)でS3を私有化し署名付き要求のみ許可できるため、直リンク遮断とセキュリティ強化を同時に満たせる。
問題2
単一リージョン内でRDSの高可用性を最も簡単に確保したい。
A. 複数リードレプリカ
B. マルチAZ配置
C. 手動スナップショット定期取得
D. パラレルクラスター
回答
B
解説
マルチAZは同期レプリケーションでスタンバイへ自動フェイルオーバー可能。読み取り性能向上目的のリードレプリカは非同期で可用性目的には不向き。スナップショットは復旧時間が長い。最小運用で可用性とRTO短縮を両立できるのはマルチAZ。
問題3
グローバルに読取が多いMySQL互換ワークロード。レイテンシを最小化し災害対策も兼ねたい。
A. RDS MySQL + クロスリージョンRR
B. Aurora Global Database
C. CloudFront + RDS
D. DAX
回答
B
解説
Aurora Global Databaseは専用のグローバルレプリケーションで秒未満の遅延を実現し、リージョン障害時に迅速な昇格が可能。RDSのクロスリージョンRRは遅延・昇格手順で不利。DAXはDynamoDB専用で不適。CloudFrontはオブジェクト配信でRDBには適用できない。
問題4
可変トラフィックのWebアプリを水平スケールし、単一AZ障害にも耐えたい。
A. 単一EC2を大きくする
B. ASG(1AZ)
C. NLB + 単一EC2
D. ALB + ASG(複数AZ)
回答
D
解説
ALBはHTTP/HTTPSのL7負荷分散に最適。Auto Scaling Groupを複数AZに配置するとスケールと可用性を同時に確保。単一インスタンスや単一AZ構成は障害に弱い。NLBはL4向けでHTTPの高度機能(ヘルスチェック/パスベース等)に劣る。
問題5
プライベートサブネットのEC2からインターネット宛にパッチ取得を行いたい。最適はどれか。
A. インターネットゲートウェイ
B. NAT Gateway
C. VPCピアリング
D. VPCエンドポイント(Interface)
回答
B
解説
プライベートサブネットからのアウトバウンドのみ必要ならNAT Gatewayが適切。IGWはパブリックサブネット用。VPCピアリングはVPC間通信でありインターネットではない。Interfaceエンドポイントは特定AWSサービス宛で、一般外部サイトには使えない。
問題6
オンプレとVPC間で一貫した高帯域・低遅延接続を確保したい。
A. Site-to-Site VPNのみ
B. Direct Connect + VPNバックアップ
C. CloudFront
D. NATインスタンス
回答
B
解説
専用線のDirect Connectは安定帯域と低遅延を提供。運用上の冗長化としてIPSec VPNのバックアップを併用するのが推奨。CloudFrontは配信でありハイブリッド接続ではない。NATインスタンスは出口NATでオンプレ接続の用途に適さない。
問題7
S3へ画像アップロード時に自動でサムネイルを生成したい。サーバーレスで実現する方法。
A. S3イベント → Lambda(DLQ付き)
B. EC2常駐バッチ
C. Step Functionsのみ
D. Glue
回答
A
解説
S3イベント通知をトリガにLambdaで変換処理を実行するのが最小構成。失敗時の再試行と検知のためにDLQ(SQS/SNS)を付与すると堅牢。EC2は運用負荷が高い。Step FunctionsやGlueはオーケストレーション/ETL向けで単発の変換には過剰。
問題8
マイクロサービス間の結合度を下げ、ピークでも安定処理したい。
A. SNSのみ
B. Kinesis Data Streams
C. SQSキュー
D. RDSテーブル共有
回答
C
解説
SQSは処理の非同期化・バッファリングに最適で、送受信を疎結合にできる。SNSはファンアウト通知でキューイングや再試行制御が弱い。Kinesisはストリーム分析向け。DB共有はスキーマ依存で強結合化し、スケーリングにも不利。
問題9
1件のイベントを複数サービスに同時通知したい。
A. SQS
B. SNSトピック
C. EventBridgeスケジューラ
D. Kinesis Firehose
回答
B
解説
SNSはPub/Subで複数サブスクライバに同報できる。SQSはポイントツーポイント。EventBridgeはルールに基づくルーティングだが即時のファンアウト用途ならSNSが簡潔。Firehoseはバルク配送(S3等)向けで通知用途に適さない。
問題10
データレイクでS3上のCSV/ParquetをアドホックにSQL分析したい。
A. EMRのみ
B. Redshift専用
C. RDSにロード
D. Glue Data Catalog + Athena
回答
D
解説
Glue Data Catalogでメタデータ管理し、AthenaでS3上データをサーバレスに直接クエリ可能。スキーマオンリードでコスト効率が高い。EMRは大規模分散処理向けで運用が重い。RDS/Redshiftへのロードは迅速な臨時分析には過剰。
問題11
数万イベント/秒のセンサーデータをほぼリアルタイムで取り込み、軽処理したい。
A. Kinesis Data Streams + Lambda
B. SQS + EC2
C. SNS + Glue
D. Direct Connect
回答
A
解説
Kinesis Data Streamsは高スループットな順序保持ストリーム。Lambdaのシャード連携でスケーラブルに処理可能。SQSは順序・スループット面で劣る。SNS/Glueは用途不適。Direct Connectはネットワークであり取り込み基盤ではない。
問題12
読み取りが多いRDSの応答を改善したい。
A. EBS拡張
B. ElastiCache Redisによるキャッシュ
C. Aurora Serverless
D. CloudFront
回答
B
解説
ElastiCache(Redis)はホットデータやセッションをメモリに置き、DB負荷を軽減。EBS増強はI/O改善でもアプリ遅延全体は改善限定。Aurora Serverlessは自動スケールだがキャッシュ用途ではない。CloudFrontはオブジェクト配信でDBクエリに非適用。
問題13
DynamoDBで読み取りレイテンシをミリ秒未満に下げたい。
A. GSI追加
B. RCU増強
C. DynamoDB Streams
D. DAX
回答
D
解説
DAXはDynamoDB専用インメモリキャッシュでマイクロ秒〜ミリ秒台の読み取りが可能。GSIはアクセスパターン拡張、RCU増強はスループット確保で遅延改善は限定。Streamsは変更捕捉で直接のレイテンシ改善ではない。
問題14
S3の機密データを鍵管理と操作証跡込みで暗号化したい。
A. SSE-S3
B. SSE-KMS(AWS管理鍵)
C. SSE-KMS(カスタマー管理CMK)
D. クライアント側暗号のみ
回答
C
解説
CMK(カスタマー管理鍵)を用いるSSE-KMSはキーのライフサイクルやアクセス制御を細かく管理でき、KMS APIのCloudTrail記録で監査性も高い。SSE-S3は鍵管理が限定的。AWS管理鍵は柔軟性に劣る。クライアント暗号は運用負荷が高い。
問題15
暗号化されたAMIを別アカウントと共有して起動させたい。
A. AMI共有のみ
B. KMSキーを共有のみ
C. スナップショットを公開
D. AMI共有 + KMSキー権限付与(相手側でコピー)
回答
D
解説
暗号化AMIは基盤スナップショットのKMSキーアクセスが必要。AMIの起動権限共有に加え、CMKに対象アカウントのキーポリシー/グラント付与が必須。相手側でコピーして自アカウント鍵に再暗号化するのが一般的。公開はセキュリティ上不適切。
問題16
EC2からS3へ安全にアクセスしたい。アクセスキー配布は避けたい。
A. ユーザーにアクセスキー配布
B. IAMロール(インスタンスプロフィール)
C. EC2ユーザーデータにキー埋込
D. S3パブリック
回答
B
解説
インスタンスプロフィール経由でIAMロールをアタッチすれば、短期認証情報が自動付与され、鍵配布不要で最小権限を実現できる。アクセスキーの配布や埋め込みは漏えいリスクが高い。パブリック化は不要な公開を招く。
問題17
社内IdPのSAMLでAWSにフェデレーションし、一時的権限で利用させたい。
A. 長期IAMユーザー発行
B. OIDCのみ
C. SAML連携 + STS AssumeRole
D. Cognitoユーザープール
回答
C
解説
SAMLアサーションを用いてSTSのAssumeRoleで一時クレデンシャルを取得するのが推奨。IAMユーザーは長期鍵で運用負荷とリスクが高い。OIDCはWeb/Federation用途だが既存SAMLならSAMLが自然。Cognitoはアプリユーザー管理用。
問題18
S3へプライベートサブネットからインターネットを経由せずアクセスしたい。
A. Gateway型VPCエンドポイント(S3)
B. NAT Gateway
C. DX
D. Interface型エンドポイント
回答
A
解説
S3/DynamoDBはGateway型エンドポイントが用意され、ルートとポリシーで完全プライベート通信が可能。NAT経由はコスト増。DXはオンプレ接続。Interface型は他多くのサービス向けでS3ではGatewayが簡潔かつ安価。
問題19
WebアプリをSQLインジェクションやXSSから保護したい。
A. NACL設定
B. AWS WAF(ALB/CloudFrontに適用)
C. Shield Advanced
D. GuardDuty
回答
B
解説
WAFはL7の攻撃パターンに対するルールベース防御を提供。NACL/SGはL3/4制御でアプリ層攻撃に無力。ShieldはDDoS対策。GuardDutyは脅威検出の監視で防御壁ではない。ALBやCloudFrontにWAFを関連付けて保護を実施する。
問題20
追加コストを抑えつつDDoS耐性を上げたい。
A. 単一ALB
B. CloudFront + WAF + Route 53(Shield標準)
C. Shield Advanced必須
D. NLBのみ
回答
B
解説
CloudFrontによりエッジで吸収し、WAFでL7攻撃を遮断。Route 53/CloudFrontはShield標準の防御が含まれ、コストを抑えつつ効果大。Shield Advancedは高度だが有償。NLBはL4でアプリ層攻撃には不十分。
問題21
オンプレDNSとVPC間で相互名前解決を行いたい。
A. Private Hosted Zoneのみ
B. Route 53パブリックゾーン
C. DHCPオプションセットのみ
D. Route 53 Resolver インバウンド/アウトバウンドエンドポイント
回答
D
解説
Resolverエンドポイントを使うとオンプレ→VPC(インバウンド)とVPC→オンプレ(アウトバウンド)の双方向フォワードが可能。Private Hosted ZoneはVPC内のゾーンで相互連携は別機能。パブリックゾーンは公開用で不適。
問題22
複数アカウントで禁止操作を一括で制御したい。
A. OrganizationsのSCP
B. IAMポリシーのみ
C. GuardDuty
D. Configルール
回答
A
解説
SCP(Service Control Policy)は組織階層で上限権限を定義し、配下アカウントのすべてのプリンシパルに適用可能。IAMは各アカウント内だけ。GuardDutyは検知、Configは準拠評価。禁止統制の基盤はSCPが適切。
問題23
リソース設定変更の履歴と準拠状況を可視化したい。
A. CloudTrailのみ
B. CloudWatch
C. AWS Config
D. X-Ray
回答
C
解説
AWS Configはリソース構成のスナップショットと変更履歴、準拠評価(ルール)を提供。CloudTrailはAPI呼出の監査。CloudWatchはメトリクス/ログの監視。X-Rayは分散トレーシング。設定準拠にはConfigが最適。
問題24
全アカウントのAPI操作ログを中央S3に集約したい。
A. 各自CloudTrail → 各自S3
B. 組織のCloudTrail(Organization Trail)で集中出力
C. S3アクセスログ
D. VPCフローログ
回答
B
解説
Organization TrailはOrganizations配下の全アカウントに自動適用され、中央S3へ集約可能。S3アクセスログやフローログは別種ログ。各自Trailは管理が煩雑で漏れや設定差が生じやすい。
問題25
プロジェクト別のコストを可視化したい。
A. 予約済みインスタンスのみ
B. Savings Plansのみ
C. Cost Explorerのみ
D. コスト配分タグ + Cost Explorer/レポート
回答
D
解説
正規化されたコスト配分タグをリソースに付与し有効化することで、Cost Explorerや請求レポートでプロジェクト単位の集計が可能。割引系はコスト最適化であり可視化の手段ではない。タグ設計が鍵となる。
問題26
TCPベースの超高スループット・低遅延と固定IPが必要な公開エンドポイント。
A. ALB
B. CloudFront
C. NLB
D. API Gateway
回答
C
解説
NLBはL4で数百万RPS規模、固定IP/ゾーン別静的IPも提供。ALBはL7で遅延や機能目的が異なる。CloudFrontはHTTP配信。API GatewayはAPI向けでTCP汎用エンドポイントではない。
問題27
サーバーレスで双方向通信(チャット等)を実装したい。
A. API Gateway WebSocket + Lambda
B. ALB + WebSocket
C. SQS + Lambda
D. Kinesis
回答
A
解説
API GatewayのWebSocket APIは接続管理をマネージドで提供し、Lambda等と連携してスケーラブルに双方向通信を実現。ALBのWSは可能だがサーバー管理が必要。SQSやKinesisは双方向コネクション用途に不向き。
問題28
ECSの本番デプロイで無停止リリースと自動ロールバックを行いたい。
A. 手動ローリング更新
B. CodeDeployのECS Blue/Green
C. CloudFormationのみ
D. CloudWatchアラームなし
回答
B
解説
CodeDeployのECS Blue/Greenは新旧タスクセット切替とヘルスベースの自動ロールバックを提供。手動やCFN単体では運用負荷・自動判定が不足。アラーム連携を外すのは危険で検知不能になる。
問題29
DR要件がRTO数分・RPO数分と厳しい。最適な戦略は。
A. バックアップ&リストア
B. パイロットライト
C. ウォームスタンバイ
D. マルチサイト(アクティブ/アクティブ)
回答
D
解説
RTO/RPOとも数分なら両サイトで稼働するアクティブ/アクティブが適切。ウォームやパイロットは起動・データ反映時間が発生。バックアップは最も遅い。コストは高いが要件達成に現実的。
問題30
アクセス頻度が読めないS3データの保管コストを自動最適化したい。
A. S3 Standard-IAに固定
B. Glacier Deep Archive固定
C. S3 Intelligent-Tiering
D. ライフサイクルで即Archive
回答
C
解説
Intelligent-Tieringはアクセス状況に応じて自動的に階層を切替え、取り出しコストや遅延も抑えつつ最適化する。固定のIA/Archiveはアクセス増でコストや遅延が悪化。即Archiveは読み出し時に高コストと長遅延。
問題31
法令要件でWORM(書換不可)保管が必要。S3で満たす方法。
A. バージョニングのみ
B. S3 Object Lock(Complianceモード)
C. S3 ACL厳格化
D. KMS必須
回答
B
解説
S3 Object Lockは保持期間中の削除・改変を防止し、Complianceモードは管理者でも解除不可で厳格なWORMを実現。バージョニングやACLだけでは書換防止にならない。暗号化の有無はWORM要件とは別。
問題32
RDSスナップショットを別アカウントに渡したい(暗号化有り)。
A. スナップショット共有のみ
B. KMS共有なしでコピー
C. S3にエクスポート
D. スナップショット共有 + KMSキー権限付与後、相手側でコピー
回答
D
解説
暗号化スナップショットの共有にはCMKのキーポリシー/グラントで相手アカウントへの使用許可が必要。許可後に相手側でコピーして自鍵へ再暗号化する。KMS共有なしでは復号できない。S3エクスポートは構造化出力でRDS復元ではない。
問題33
Auroraでクロスリージョン災害対策と低遅延読み取りを両立したい。
A. マルチAZのみ
B. Aurora Global Database
C. 単純クロスリージョンRR
D. DAX
回答
B
解説
Aurora Global Databaseは専用レプリケーションで低遅延読み取りと迅速なリージョン昇格を提供。マルチAZは同一リージョン内可用性。RRは手順・遅延面で劣る。DAXはDynamoDB専用で不適。
問題34
VPC内Lambdaから外部APIにアクセスできない。解決策は。
A. IGW追加
B. S3エンドポイント
C. NAT Gatewayを用意しルート設定
D. DX
回答
C
解説
VPC接続LambdaはENI経由でプライベート化されるため、インターネット宛はNAT Gateway経由のルートが必要。IGWはパブリックサブネット用。S3エンドポイントはS3専用。DXはオンプレ向けで外部インターネットとは別。
問題35
踏み台なしでEC2へ安全に接続・操作したい。
A. Systems Manager Session Manager
B. 公開鍵でSSH直結
C. ベーシック認証
D. CloudFront
回答
A
解説
Session Managerはポート開放不要でIAM/Audit連携とログ保存も容易。SSH直結は鍵管理と踏み台が必要。ベーシック認証は関係なく、CloudFrontは配信用途。運用とセキュリティを両立する最適解はSession Manager。
問題36
毎時の定期ジョブをサーバーレスで実行したい。
A. CloudWatch Logs
B. EventBridgeルール(cron)→ Lambda
C. CodePipeline
D. SNS
回答
B
解説
EventBridgeのスケジュール(cron/率指定)でLambdaを起動するのが簡潔。LogsやSNSは起動トリガではない。CodePipelineはCI/CD用。EventBridgeなら時刻管理・再試行・DLQなども組み込める。
問題37
Webアプリのサインアップ/サインインとS3へのユーザー毎アクセス制御を実現したい。
A. IAMユーザー発行
B. Cognitoユーザープールのみ
C. Cognitoユーザープール + IDプール(権限付与)
D. AWS SSO
回答
C
解説
ユーザープールで認証を担い、IDプールでロールにマッピングしてS3等の一時的IAM権限を付与するのが定石。IAMユーザーは配布運用が重く不向き。ユーザープール単体ではAWS権限が付与されない。SSOは社内向けが中心。
問題38
VPC内部からのみ利用可能なプライベートAPIを提供したい。
A. パブリックAPI + WAF
B. ALB + セキュリティグループ
C. API Gateway(EDGE)
D. API Gateway(プライベート)+ Interface VPCエンドポイント + リソースポリシー
回答
D
解説
API GatewayのプライベートエンドポイントはInterface型VPCエンドポイント経由でのみ到達可能。リソースポリシーでVPC/VPCエンドポイント制限を設定。パブリック構成やALBではVPC外部からの露出管理が難しい。
問題39
A/Bテストで新旧バージョンにトラフィックを比率配分したい(DNS)。
A. フェイルオーバーポリシー
B. Weightedルーティング
C. レイテンシポリシー
D. 位置情報ポリシー
回答
B
解説
Weightedは重みで回答比率を制御でき、A/B試験に最適。フェイルオーバーは主従切替、レイテンシは最小遅延への誘導、位置情報は地理分散用途。目的に合致するのはWeightedのみ。
問題40
ASGでCPU平均70%を目標にインスタンス数を自動調整したい。
A. ターゲット追跡スケーリング
B. ステップスケーリング
C. 予測スケーリング固定
D. 手動スケーリング
回答
A
解説
ターゲット追跡は所望メトリクスの目標値を維持するよう自動で拡縮。ステップは閾値段階制御で調整が複雑。予測は季節性ベースで別目的。手動は非効率。目標CPU維持にはターゲット追跡が最適。
問題41
全EBSボリュームを作成時から自動暗号化したい。
A. 各EC2起動時に手動設定
B. KMS無効
C. アカウントのEBS既定暗号化を有効化(CMK指定可)
D. OS側暗号のみ
回答
C
解説
EBS既定暗号化を有効にすると新規ボリューム/スナップショット/AMI作成が自動で暗号化され、CMKも選択可能。手動設定は漏れの原因。OS暗号は追加レイヤーだがEBS側の標準化にはならない。
問題42
S3のデータレイクと連携する拡張性の高いDWH基盤を構築したい。
A. RDS + 外部表
B. EMR Hive
C. Redshiftクラシックのみ
D. Redshift RA3 + Spectrum
回答
D
解説
RA3はコンピュートとストレージを分離し、SpectrumでS3上データを直接クエリ可能。DWH容量を柔軟に拡張しつつデータレイクと連携できる。従来ノードのみでは柔軟性が低い。RDS/EMRはDWH要件に合致しづらい。
問題43
数百TBのオンプレデータを短期間でS3へ移行したい(帯域制限あり)。
A. Direct Connectのみ
B. AWS Snowball Edge
C. DataSync over Internetのみ
D. SCP
回答
B
解説
Snowball Edgeは耐久デバイスで大容量データをオフライン搬送し、ネットワーク制約を回避できる。DXやDataSyncは帯域制限下で時間がかかる。SCPはポリシーで移行手段ではない。
問題44
海外拠点からS3へのアップロードを高速化したい。
A. S3 Transfer Acceleration
B. ALB
C. VPCピアリング
D. NAT Gateway
回答
A
解説
Transfer AccelerationはCloudFrontのエッジを入口にして最適化された経路でS3リージョンへ送達するため、地理的に離れていても高速化可能。ALB/NATは用途違い。ピアリングはVPC間通信でS3には適用されない。
問題45
多数のVPC・アカウント・オンプレ拠点をメッシュ接続したい。
A. VPCピアリング多数
B. 直接VPN多数
C. Transit Gateway
D. Direct Connectのみ
回答
C
解説
Transit Gatewayはスター型でスケーラブルに多接続を集約・制御できる。ピアリングやVPNを多数張ると運用とルーティングが破綻しやすい。DXは物理接続で集約や接続制御機能は提供しない。
問題46
サービス提供者VPCのNLBを他アカウントのクライアントVPCからプライベートに利用させたい。
A. VPCピアリング
B. VPN
C. Public NLB
D. PrivateLink(エンドポイントサービス/Interfaceエンドポイント)
回答
D
解説
PrivateLinkは提供側NLBをエンドポイントサービスとして公開し、利用側はInterfaceエンドポイント経由でプライベート到達できる。ピアリングやVPNはネットワーク全体が見えやすく分離性が低い。Public化は要件不適。
問題47
RDSの本番環境でスキーマ変更を最小停止で安全に適用したい。
A. 手動切替
B. RDS Blue/Green Deployments
C. 単純マルチAZ
D. DMS
回答
B
解説
RDS Blue/Greenは本番(Blue)と別環境(Green)で変更検証し、整合性を保ったまま迅速にスイッチ可能。マルチAZは可用性でデプロイ制御機能はない。手動切替はリスク高。DMSは移行/複製でスキーマ変更検証には不向き。
問題48
Lambda関数の新バージョンを段階的に展開し失敗時自動ロールバックしたい。
A. 手動Aliases切替
B. CodePipeline
C. CodeDeployのCanary/Linearデプロイ
D. CloudFormationのみ
回答
C
解説
CodeDeployはLambdaに対してCanary/Linearのトラフィックシフトを提供し、CloudWatchアラーム連携で自動ロールバックが可能。手動切替やCFN単体は自動判定が弱い。Pipelineは統合基盤でありシフト制御はCodeDeployが担当。
問題49
アプリのメトリクスとログを統合監視し、アラートとダッシュボードを構築したい。
A. CloudWatch(メトリクス/Logs/アラーム/ダッシュボード)
B. X-Rayのみ
C. GuardDuty
D. Config
回答
A
解説
CloudWatchはメトリクス収集、Logs集約、フィルタ、アラーム、ダッシュボードまで一貫して提供。X-Rayは分散トレース、GuardDutyは脅威検知、Configは設定監査。統合監視の中心はCloudWatchが適切。
問題50
S3への新規到着を起点に前処理→集計→保存のETLをサーバーレスで順序制御したい。
A. Lambdaチェーンのみ
B. Glueジョブ単体
C. EMR
D. Step Functionsでオーケストレーション + Lambda/Glueを組合せ
回答
D
解説
Step Functionsは状態管理・分岐・再試行・エラーハンドリングを提供し、LambdaやGlueの各処理を安全に連携できる。Lambda直列は失敗時の制御が脆弱。Glue単体やEMRは一つの処理枠組みで、全体の順序管理には不足する。
問題51
大量の静的コンテンツを配信するが、一部の機密ファイルは署名付きURLでのみ配信したい。最適な構成はどれか。
A. S3静的ウェブサイト公開のみ
B. CloudFront + S3、オリジンはOAC、機密は署名付きURL
C. ALB + EC2にコピー
D. S3にブロックパブリックアクセスを無効化
回答
B
解説
CloudFrontの署名付きURLやCookieを用いれば、指定期間内や特定条件でのみアクセスを許可できる。S3はOACで私有化し、直アクセスを遮断する。S3の静的公開だけでは限定配信が難しく、ALBへコピーするのは運用負荷とコストが増える。ブロック解除は誤公開の原因になる。
問題52
コンテナ化された社内APIを社内ネットワークからのみアクセスさせたい。最適な公開方法はどれか。
A. ECS on Fargate + ALB(インターネット向け)
B. ECS on Fargate + NLB + PrivateLink(エンドポイントサービス)
C. EKS公開ロードバランサ
D. CloudFrontオリジンにALB
回答
B
解説
PrivateLinkを使うと、提供側VPCのNLBを経由して利用側VPCやオンプレからプライベートIPで到達できる。ALBのインターネット公開は要件に反する。EKSの公開LBやCloudFrontは外部露出前提。機密APIの閉域提供はNLB+PrivateLinkが標準解となる。
問題53
DynamoDBで特定ユーザーの最近50件のアクティビティを高速に取得したい。設計として適切なのはどれか。
A. 単一テーブル、PK=固定、SK=ランダムUUID
B. PK=UserID、SK=タイムスタンプ降順でソート可能な値
C. PK=日付、SK=UserID
D. GSIでPK=アクティビティ種別のみ
回答
B
解説
アクセスパターンが「ユーザー単位の新しい順取得」なら、パーティションキーをUserID、ソートキーを時系列(例えば逆符号化やISO時刻)とし、Limitで50件取得するのが最適。日付をPKにするとユーザー跨ぎになる。ランダムSKでは並び替えできない。種別のみでは絞り込みが甘い。
問題54
Aurora MySQLで読み取り負荷に応じてコストを弾力化したい。最適なのはどれか。
A. プロビジョンドAurora + リードレプリカ固定
B. Aurora Serverless v2のオートスケール
C. RDS MySQLへの移行
D. EC2 Auto ScalingでDBを水平スケール
回答
B
解説
Aurora Serverless v2は需要に応じて細粒度にACUを調整し、スパイク時も自動で拡張、閑散時に縮小してコスト効率を高める。レプリカ固定では無駄が出やすい。RDS移行は機能後退の可能性。RDBは水平スケールが困難でEC2のASGでは置き換えられない。
問題55
S3に保存した機密ログを社内監査以外は絶対に削除できないようにしたい。適切な設定はどれか。
A. バージョニングのみ
B. S3 Object Lock Complianceモード + 既定保持期間
C. ライフサイクルで削除を禁止
D. アクセス拒否ポリシー
回答
B
解説
ComplianceモードのObject Lockは保持期間中、管理者でも削除・上書きを不能にし、WORMを満たす。バージョニングやアクセス拒否だけでは意図せぬ削除や変更の防止に不十分。ライフサイクルは削除日程制御であり、削除そのものを不可にはできない。
問題56
REST APIのスパイクトラフィックを想定し、スロットリングとキャッシュでコストを抑えたい。最適な選択はどれか。
A. ALB + EC2のみ
B. API Gateway(REST)+ ステージレベルのスロットリング + キャッシュ
C. NLB + ECS
D. Lambda@Edge
回答
B
解説
API Gatewayはメソッド/ステージでスロットリングを細かく設定でき、キャッシュ機能も提供する。これによりバックエンドの呼び出し回数を抑え、スパイク時の保護とコスト削減が可能。ALBやNLBはL7/L4負荷分散だがスロットリングやキャッシュ機能は持たない。
問題57
複数アカウントのベースライン(ログ集約、SCP、ガードレール)を迅速に標準化したい。
A. 手作業で各アカウントに適用
B. AWS Control Towerでセットアップ
C. CloudFormation StackSetsのみ
D. Organizations未使用で運用
回答
B
解説
Control TowerはOrganizationsのベストプラクティスに基づくアカウントガバナンスの初期構築と運用を簡素化する。ログ集約、SCP適用、ガードレールの有効化などを標準化できる。StackSets単独は配布手段に留まる。手作業や未組織化運用は管理不備が生じやすい。
問題58
ALB直下のEC2でTLS終端している。証明書更新の運用負荷を下げるには。
A. 各EC2でOpenSSL更新
B. ACM証明書をALBにアタッチしてALBでTLS終端
C. 自己署名証明書を長期化
D. Route 53でCNAMEを追加
回答
B
解説
ALBでTLS終端し、ACM管理の証明書を使えば自動更新され、EC2側の更新作業が不要になる。EC2での更新は台数増で負荷が増す。自己署名は信頼性に問題。DNS設定は証明書更新とは関係がない。
問題59
プライベートサブネットからS3とDynamoDBにのみ到達させ、インターネットは遮断したい。
A. NAT Gateway
B. S3/DynamoDB用Gateway VPCエンドポイント
C. インターネットゲートウェイ
D. DX
回答
B
解説
Gatewayエンドポイントを作成し、ルートテーブルに宛先プレフィックスを追加することで、対象サービスへはプライベート経路でアクセス可能になり、外部インターネットを経由しない。NATやIGWは外部到達を許してしまう。DXはオンプレ接続で目的外。
問題60
CloudFront経由でALBに到達するアプリで、ボットや国別アクセス制御を簡便に行いたい。
A. セキュリティグループで国別制御
B. WAFマネージドルール + 地理的制御をCloudFront/WAFで設定
C. NACLでユーザーエージェントブロック
D. Route 53で地域別応答
回答
B
解説
WAFのマネージドルールセットで一般的なボットやOWASPパターンを軽減し、ジオマッチで国別制御が行える。SG/NACLはL3/4でUAや国情報を扱わない。Route 53の地理ルーティングは到達先の切替で、アクセス制御そのものではない。
問題61
サーバーレスETLでGlueジョブの依存関係管理やリトライ、分岐を視覚的に管理したい。
A. Glueのみ
B. Step FunctionsでオーケストレーションしGlue/Lambdaを呼ぶ
C. EC2上のcron
D. CloudWatch Logsで監視
回答
B
解説
Step Functionsは状態遷移管理、分岐、例外処理、リトライ、タイムアウトなどを宣言的に表現でき、GlueやLambdaを組み合わせたETL全体の可観測性と堅牢性が向上する。Glue単体では依存関係管理が限定的。cronやLogsは運用補助に留まる。
問題62
一時的な高負荷を受けるキュー処理に、処理順序と重複排除が必要。
A. SQS Standard
B. SQS FIFO(適切なMessageGroupId運用)
C. SNS
D. Kinesis Firehose
回答
B
解説
SQS FIFOは同一グループ内で順序を保証し、重複排除IDで二重処理を防げる。Standardはスループットは高いが順序と重複排除は保証しない。SNSは通知、Firehoseはデータ配送専用で要件と異なる。グループ設計で並列度を制御できる。
問題63
Lambda関数で外部API呼び出しがタイムアウトしやすい。改善策として最も有効なのはどれか。
A. タイムアウト値を無制限に
B. コネクションの再利用とエクスポネンシャルバックオフ、DLQ設定
C. 同期呼び出しを増やす
D. メモリを減らす
回答
B
解説
HTTPクライアントをグローバルスコープで使い回し、再試行を指数バックオフで制御すると外部APIの不安定さを吸収しやすい。失敗時はDLQ(SQS/SNS)で後処理と監視を可能にする。無制限は不可で、同期呼び出し増は輻輳を悪化させる。メモリ削減は処理を遅くする可能性が高い。
問題64
EC2のメンテナンスやパッチ適用を計画的に自動化したい。
A. 手動SSH
B. Systems Manager Patch Manager + メンテナンスウィンドウ
C. CloudWatch Logs
D. Auto Scalingで置き換えのみ
回答
B
解説
SSM Patch Managerは対象のOSとベースラインに基づいてパッチを自動適用でき、メンテナンスウィンドウで実行時間を制御できる。手動は規模で破綻する。Logsは適用ではなくログ収集。置き換えも有効だがパッチ方針の策定・適用には直結しない。
問題65
Route 53で可用性を高め、異常時に別リージョンへ自動的に切り替えたい。
A. シンプルルーティング
B. フェイルオーバールーティング + ヘルスチェック
C. Weightedのみ
D. レイテンシベースのみ
回答
B
解説
フェイルオーバーはプライマリとセカンダリを定義し、ヘルスチェックで異常を検知するとセカンダリに切替える。Weightedやレイテンシは分散制御でありフェイルオーバー目的ではない。シンプルは単一応答で切替を持たない。
問題66
RDSの急増する読み取りトラフィックに対し、最短でスケールアウトしたい。
A. 大きいインスタンスタイプへ変更
B. リードレプリカの追加
C. ストレージタイプ変更
D. バックアップウィンドウを延長
回答
B
解説
読み取りはリードレプリカへオフロードするのが最短のスケールアウト手段。インスタンス拡大はダウンタイムや限界がある。ストレージ変更はI/O改善に限定。バックアップ時間は性能対策ではない。アプリ側で読み取り分散が必要になる。
問題67
大量のログをS3に保管し、クエリ毎の課金を抑えつつDWHで分析したい。
A. すべてRedshiftにロード
B. Redshift RA3 + SpectrumでS3外部テーブル活用
C. Athenaのみ
D. RDSで分析
回答
B
解説
SpectrumによりS3上のデータを直接クエリしつつ、必要なデータはRedshiftへロードして高速化できる。RA3はコンピュートとストレージ分離でコスト最適化が可能。Athena単独はインタラクティブ分析向けだがDWH最適化は限定。RDSは分析向けでない。
問題68
EKS上の公開アプリを配信し、TLS終端やWAF、キャッシュを統合的に使いたい。
A. NLBのみ
B. CloudFront + ALB(Ingress) + WAF
C. EKSのNodePortで直接公開
D. API Gateway HTTP API
回答
B
解説
EKS IngressでALBを用い、前段にCloudFrontを置くとグローバルキャッシュとTLS終端、WAFの保護を統合できる。NLBやNodePort単体は機能が限定。API GatewayはAPI用途で動的Web配信全般には過剰または不適合な場合がある。
問題69
S3の誤削除や上書きから復元したい。最も基本的な防御はどれか。
A. パブリックアクセスブロックを無効化
B. バージョニング有効化 + MFA Delete(必要に応じて)
C. KMS暗号化のみ
D. ライフサイクルで即削除
回答
B
解説
バージョニングは旧バージョンを保持し、誤削除や上書き時に復元可能。MFA Deleteを組み合わせれば削除操作に多要素を要求し、事故を抑止できる。暗号化は可用性・復元性には寄与しない。即削除は復元を困難にする。
問題70
開発チームに最小権限でS3バケットを作成させたいが、命名規則とタグ付けを強制したい。
A. IAM許可のみ
B. IAMポリシーに条件を付け、タグ必須やプレフィックス制御を行う
C. SCPでS3禁止
D. 口頭でルール周知
回答
B
解説
IAMポリシーのConditionでaws:RequestTagやs3:RequestObjectTagging、s3:prefix等を用い、必須タグや命名規則を強制できる。SCPは組織全体の上限制御で細粒度要件には過剰。許可のみや口頭ルールは逸脱の温床となる。
問題71
EC2からインターネットへアウトバウンド通信が必要だが固定の送信元IPが求められる。
A. NAT Gateway(Elastic IP割当)
B. IGWで動的IP
C. プロキシサーバを自前構築のみ
D. VPCエンドポイント
回答
A
解説
NAT GatewayにElastic IPを割り当てれば、プライベートサブネットからのインターネット向け通信は固定の送信元IPとなる。IGW経由はパブリック割り当てが必要で設計が変わる。自作プロキシは運用負荷が高い。VPCエンドポイントは特定AWSサービス向け。
問題72
Lambdaで機密設定値を安全に参照したい。起動時間も抑えたい。
A. 環境変数に平文保存
B. Secrets Managerから取得し、キャッシュを活用
C. S3にJSON保存
D. コードに直書き
回答
B
解説
Secrets Managerは自動ローテーションや暗号化、きめ細かなアクセス制御を提供する。Lambdaの初期化フェーズで取得しメモリキャッシュすれば呼び出し毎の遅延も抑制できる。平文や直書きは漏えいリスクが高い。S3保管は権限設計が複雑化しやすい。
問題73
API GatewayのバックエンドにLambdaを使っている。大量のリクエストで同時実行が急増し、下流依存先が詰まる。最適な対策は。
A. 同時実行数を無制限
B. Lambdaの予約済み同時実行とSQSを介したバッファリング
C. タイムアウトを短く
D. メモリを最小化
回答
B
解説
予約済み同時実行で上限を設け、API Gateway→SQS→Lambdaの非同期パターンに変更すれば下流の保護とスムーズな平滑化が可能。無制限は依存先を過負荷にする。タイムアウト短縮だけでは失敗が増える。メモリ最小化は処理を遅くする恐れがある。
問題74
Athenaでクエリコストが増大している。最も効果的な最適化はどれか。
A. 圧縮なしのCSV
B. 列指向のParquetに変換し、パーティションとプルーニングを適用
C. JSONのまま
D. 大きな単一ファイルに連結
回答
B
解説
Parquetは列指向かつ圧縮が効き、必要列のみ読み込むためスキャンデータ量とコストを大幅に削減できる。パーティション分割(例:year=, month=)により不要データの読み飛ばしが可能。CSVやJSONは非効率。巨大単一ファイルは並列性を損なう。
問題75
EC2上アプリのセッション状態を外出しして水平スケールしたい。
A. インスタンスメモリに保持
B. ElastiCache Redisをセッションストアに利用
C. RDSに同期書き込み
D. EBSに保存
回答
B
解説
セッションをインメモリのRedisへ外部化すると、インスタンス間で状態を共有でき、スケールアウトやロールング更新時の切断を減らせる。RDSは書き込み頻度が高いセッションには負荷が大きい。EBSやローカルメモリは個体依存でスケールに不向き。
問題76
S3に動画をアップロードしたら自動でトランスコードし、マルチビットレートで配信したい。
A. EC2でffmpegをcron
B. S3イベント → MediaConvert → CloudFront配信
C. GlueでETL
D. SNS通知のみ
回答
B
解説
MediaConvertはサーバーレストランスコードを提供し、S3イベントで自動起動、出力をCloudFrontで配信する設計が標準。EC2の自前ffmpegは運用負荷が高い。GlueはETL向け。SNSだけでは処理は実行されない。
問題77
GraphQL APIをサーバーレスで提供し、データソースに複数サービスを統合したい。
A. API Gateway REST
B. AppSync
C. ALB
D. Lambda@Edge
回答
B
解説
AppSyncはGraphQLのスキーマ、リゾルバ、データソース統合(DynamoDB、Lambda、HTTP等)をマネージドで提供し、オフラインやサブスクリプションもサポートする。RESTやALBはGraphQL特化の機能を持たない。Lambda@Edgeは配信エッジの関数で用途が異なる。
問題78
EC2でユーザーデータの初回実行に失敗した。再実行して構成を揃えたい。
A. 何もしない
B. cloud-initで再実行や、SSM Automationでドリフト修正
C. AMIを作り直すのみ
D. Rebootで自動再実行
回答
B
解説
cloud-initの設定やSSM Automation/State Managerで所望の状態に収束させるのが望ましい。ユーザーデータは既定で初回のみ実行され、単純Rebootでは再実行されない。AMI作り直しは時間がかかり、根本解決にならない。
問題79
API Gateway + LambdaでP95遅延が高い。最初の数リクエストだけ特に遅い。改善策はどれか。
A. タイムアウト延長
B. Lambdaのプロビジョンドコンカレンシーを有効化
C. メモリを最小化
D. リトライ禁止
回答
B
解説
プロビジョンドコンカレンシーはコールドスタートを抑制し、一定数の初期化済み環境を常備する。これにより初回遅延が改善され、P95/P99が安定する。タイムアウト延長は症状の先送り。メモリ削減は遅延増を招く。リトライ禁止は信頼性を下げる。
問題80
Kinesis Data Streamsのシャード数を動的に調整したい。
A. 変更不可
B. アプリ停止が必要
C. On-demandモード、またはUpdateShardCountによるスケール
D. Firehoseへ変更
回答
C
解説
KinesisはUpdateShardCountでスケールアウト/インでき、近年はOn-demandモードで自動スケールも選べる。停止は不要。Firehoseは配信特化でストリーム処理用途が異なる。変更不可ではない。
問題81
EC2のアプリケーションログを集中管理し検索したい。最もAWSネイティブな方法は。
A. 各サーバにSSHで参照
B. CloudWatch AgentでCloudWatch Logsへ集約し、ログクエリとメトリクスフィルタを活用
C. S3にコピーのみ
D. DynamoDBに保存
回答
B
解説
CloudWatch Agentは各種ログをLogsに転送し、Logs Insightsで検索分析、メトリクスフィルタでアラート化が可能。SSH参照は非効率。S3保管だけでは検索性が低い。DynamoDBはログ検索の主用途に適さない。
問題82
ECSタスクのシークレットを安全に渡したい。
A. タスク定義に平文
B. Secrets Manager/SSM Parameter Storeをタスク定義のsecretsに参照設定
C. コンテナイメージに含める
D. ユーザーデータで書込
回答
B
解説
ECSはタスク定義でSecrets ManagerやParameter Storeの値を安全にコンテナへ注入でき、ローテーションやアクセス制御も統合される。平文やイメージ埋め込みは漏えいリスクが高い。ユーザーデータはECS外での管理となり複雑化。
問題83
S3で静的ウェブサイトをホストしているが、HTTPSが必須となった。最短の対応は。
A. S3ウェブサイトエンドポイントはHTTPのみ、CloudFrontでHTTPS化
B. S3に証明書をアップロード
C. ALBを前段に
D. Route 53でHTTPSに変換
回答
A
解説
S3の静的サイトエンドポイントはHTTPのみ。CloudFrontを前段に置き、ACM証明書を使ってHTTPSで配信するのが標準。S3へ証明書はアップロードできない。ALBは動的アプリ向けでコスト過剰。DNSはプロトコル変換を行えない。
問題84
Configルール違反を検出したら自動で修復したい。
A. 人手で修正
B. AWS Config + Systems Manager Automation(リメディエーション)
C. CloudTrailのみ
D. GuardDutyのみ
回答
B
解説
Configのマネージドルールやカスタムルールで違反を検出し、SSM Automation文書を紐付ければ自動修復(リメディエーション)が可能。CloudTrailやGuardDutyは検知系であり、設定準拠の自動修復は提供しない。
問題85
Route 53でユーザーを最も近いレイテンシのリージョンに誘導したい。
A. フェイルオーバー
B. 加重
C. レイテンシベースルーティング
D. 位置情報
回答
C
解説
レイテンシベースは各リージョンでの遅延測定に基づいて最小レイテンシのエンドポイントへ名前解決する。フェイルオーバーは冗長化、加重は比率、位置情報は地理ベースであり、遅延最小化の目的と一致しない。
問題86
Lambda関数からRDSに接続するが、接続スパイクでDB接続枯渇が起きる。改善策は。
A. 同時実行を増やす
B. RDS Proxyを導入して接続プールとスロットリングを活用
C. タイムアウトを短縮
D. リージョンを変更
回答
B
解説
RDS ProxyはコネクションプールによりLambdaのスパイクを吸収し、DBへの同時接続を抑制できる。単純な同時実行増は悪化させる。タイムアウト短縮だけでは失敗が増える。リージョン変更は根本対策ではない。
問題87
データマスキングしたPIIを分析基盤に渡したい。
A. 生データを直接配布
B. Glue ETLで列ごとにトークナイズやハッシュ化を実施
C. RedshiftでSELECT時に加工
D. CSVを手動編集
回答
B
解説
GlueのトランスフォームでPII列をトークナイズやハッシュ化し、最小限の情報だけを分析側へ渡すのが安全。SELECT時加工は漏えい時のリスクが残る。手動編集は再現性がなくミスを招く。生データ配布は違反の可能性が高い。
問題88
EC2に外部からのSSHを禁止しながら運用コマンドを実行したい。
A. セキュリティグループで22番開放
B. Systems Manager Session Managerでシェル操作
C. 一時的に22番開放
D. ALB経由でSSH
回答
B
解説
Session Managerはポート開放不要で、IAMと監査ログ連携により安全に操作できる。22番開放は攻撃面を広げる。一時開放も運用リスクが高い。ALBはHTTP/HTTPS用でSSHプロキシには適さない。
問題89
SQSからのイベント処理で一部メッセージが継続失敗し、他のメッセージ処理を阻害している。
A. 無限リトライ
B. デッドレタキュー(DLQ)を設定し、最大受信回数超過で隔離
C. バッチサイズを増やす
D. 可視性タイムアウトを短縮
回答
B
解説
DLQに隔離すると悪いメッセージが流れを塞ぐのを防ぎ、後で個別調査できる。無限リトライはキューを詰まらせる。バッチ増やしやタイムアウト変更は根本解決ではない。健全系と不良系を分離するのが設計の基本。
問題90
CloudFrontで特定のHTTPヘッダやCookieに応じてキャッシュを分割したい。
A. できない
B. キャッシュポリシーとオリジンリクエストポリシーでVaryを設定
C. ALBで制御
D. WAFで書換
回答
B
解説
CloudFrontはキャッシュポリシーでヘッダ/Cookie/クエリをキーに含め、要求に応じてキャッシュを分割できる。ALBやWAFはキャッシュキー管理機能を持たない。適切な最小セットに限定しないとキャッシュヒット率が低下する点に注意。
問題91
マルチアカウントでS3アクセスを集中監査したい。
A. 各アカウント個別でCloudTrail
B. 組織のCloudTrailを有効化し、S3データイベントも中央S3へ
C. VPCフローログのみ
D. S3サーバアクセスログを無効化
回答
B
解説
OrganizationsのTrailで管理イベントに加え、必要に応じてS3データイベントを有効化すると、オブジェクトレベル操作も監査できる。個別設定は管理が煩雑。フローログはネットワークでS3操作の詳細は分からない。ログ無効化は監査要件に反する。
問題92
大規模一括計算をサーバレスで短時間に並列実行したい。
A. EC2でスクリプト
B. LambdaをStep FunctionsのMap状態で数万並列にオーケストレーション
C. 手動で並列に起動
D. Single Lambdaでループ
回答
B
解説
Step Functionsの分散Mapは大量のアイテムに対し自動で並列化・リトライ・失敗分離を行い、スループットを最大化できる。EC2や手動起動はオーケストレーションが難しい。単一関数でループするとタイムアウトや失敗時の再実行粒度が粗い。
問題93
APIの悪用を防ぐため、1ユーザーあたり1秒10リクエストに制限したい。
A. ALBで実装
B. API GatewayでUsage Plan/ API Keyとスロットリング
C. NLBで実装
D. Route 53で制御
回答
B
解説
API GatewayのUsage PlanとスロットリングはAPIキー単位でレート制限を設定でき、DoSや誤用の抑制に有効。ALB/NLBやDNSでは利用者単位のレート制限は困難。アプリ内実装より管理しやすい。
問題94
DynamoDBで多様なクエリが必要になり、テーブル設計を変えずに新しいアクセスパターンを追加したい。
A. 不可
B. GSIを追加し、新たなパーティション/ソートキー設計でクエリを可能にする
C. RDSへ移行
D. 列追加のみ
回答
B
解説
GSIは別のキー設計を与えることで、新しいアクセスパターンに対応できる。既存テーブルを再構築せずに拡張可能。移行は大がかりで不要な場合が多い。列追加だけでは索引がなければ効率的な検索ができない。
問題95
VPC内のプライベートAPI Gatewayに到達可能なクライアントを特定のサブネットに限定したい。
A. セキュリティグループのみ
B. VPCエンドポイントのポリシーで許可サブネット/VPCエンドポイントIDを制限
C. ルートテーブル変更のみ
D. NACLのみ
回答
B
解説
プライベートAPIはInterface VPCエンドポイント経由で到達するため、エンドポイントのポリシーで利用元を制限できる。SGやNACLだけではAPI Gateway側のリソース制御としては不十分。ルート変更は経路であり認可ではない。
問題96
一時的な分析クエリでAurora MySQLに負荷がかかる。運用を変えずに隔離したい。
A. 本番クラスターで直接実行
B. Auroraリーダーエンドポイントを利用し、読み取り系を分離
C. 同じインスタンスで優先度変更
D. バックアップ中に実行
回答
B
解説
Auroraは複数リーダーを持て、リーダーエンドポイントに接続すれば読み取りワークロードを分散できる。書き込みの影響を受けにくく、本番の安定性を保てる。本番直接はリスクが高い。優先度変更やバックアップ中実行は根本対策ではない。
問題97
S3の大量小オブジェクトに対するPUT/GETでパフォーマンスが出ない。
A. プレフィックスを固定
B. プレフィックスを分散し、並列度を高める。マルチパートやTransfer Accelerationも検討
C. 一つの巨大ファイルにまとめる
D. 暗号化を無効化
回答
B
解説
S3はプレフィックス単位でスループットが伸びるため、キー設計でハッシュ等を用いプレフィックスを分散し、クライアント側の並列化やマルチパートアップロードを活用する。巨大化は並列性を下げる。暗号化無効化はセキュリティ低下で推奨されない。
問題98
ECSサービスで無停止リリースと自動ロールバックを実現したい。
A. サービスのローリング更新のみ
B. CodeDeployのBlue/Greenデプロイ(ALB連携)
C. タスク定義を手動差替え
D. CloudFormation更新のみ
回答
B
解説
CodeDeployのECS Blue/Greenは新旧タスクセットをALBで切替え、ヘルスチェック失敗やアラームに応じて自動ロールバックできる。ローリングや手動差替えは失敗時の自動復元が弱い。CFN単独ではオーケストレーションが限定的。
問題99
IoTデバイスからのデータを収集し、スキーマバリデーションとルールベース転送を行いたい。
A. Kinesis Firehoseのみ
B. AWS IoT Coreでメッセージ受信、ルールでDynamoDBやS3へ転送
C. SQSのみ
D. 直接RDSへ
回答
B
解説
IoT CoreはMQTTなどで受けたメッセージに対し、SQLライクなルールでフィルタや変換を行い、DynamoDB、S3、Lambdaなどに連携できる。FirehoseやSQSはIoT特化のプロトコルやルールエンジンを持たない。RDS直書きはスケーラビリティに欠ける。
問題100
コスト最適化のため、安定稼働するEC2に最も柔軟な割引を適用したい(インスタンスタイプ変更の可能性あり)。
A. リザーブドインスタンス(スタンダード)
B. リザーブドインスタンス(コンバーチブル)
C. Savings Plans(Compute Savings Plans)
D. スポットインスタンス
回答
C
解説
Compute Savings Plansはインスタンスファミリーやリージョン、OS、テナンシーを跨いで適用でき、将来の構成変更に柔軟。スタンダードRIは柔軟性が低く、コンバーチブルRIは交換手続きが必要。スポットは割引が大きいが中断を許容しない安定稼働には向かない。
