AWS認定ソリューションアーキテクト – アソシエイトとは？傾向は？過去問は役に立つ？AIに予想問題を作らせてみた

AWS認定ソリューションアーキテクト – アソシエイトとは？傾向は？過去問は役に立つ？AIに予想問題を作らせてみた

AWS認定ソリューションアーキテクト – アソシエイト（AWS Certified Solutions Architect – Associate）は、世界的なクラウドサービスプロバイダーであるAmazon Web Services社が主催している、AWSに関する専門知識とスキルを評価し、証明するための国際的な認定資格です。この試験は、単にAWSの各サービスを知っているかだけでなく、可用性、スケーラビリティ、耐障害性、そしてコスト効率を考慮した最適なクラウドソリューションを設計する能力を客観的に測ることに重点を置いています。

この資格を取得することで、ご自身のクラウドアーキテクトとしてのスキルが国際的な基準を満たしていることを証明できます。履歴書に記載して就職活動や転職活動で強力にアピールしたり、企業内でのスキル評価に利用されたりすることがあります。特に、クラウド環境の設計・構築が不可欠な現代において、この資格は世界中で非常に高い評価を受けています。

資格の位置づけと他のAWS認定資格との関係

AWS認定資格は、スキルレベルに応じてFoundational、Associate、Professional、Specialtyの4つのカテゴリに分かれています。AWS認定ソリューションアーキテクト – アソシエイトは、その中でも中級レベルであるAssociateに位置づけられています。

• Foundational（初級）：AWSの基本的な概念を理解しているかを問う入門レベルの資格です。
• Associate（中級）：クラウドエンジニアとしての基礎的なスキルを証明する中級レベルの資格です。AWS認定ソリューションアーキテクト – アソシエイトは、このカテゴリに属します。
• Professional（上級）：高度なクラウドソリューションを設計・運用する専門的なスキルを証明する上級レベルの資格です。
• Specialty（専門）：特定の専門分野（セキュリティ、機械学習、データアナリティクスなど）に特化した高度なスキルを証明する資格です。

このように、ソリューションアーキテクト – アソシエイトは、AWSの幅広いサービスを理解し、全体を俯瞰して設計する能力が求められるため、クラウドの専門家としてのキャリアを築きたい方にとって、非常に重要な資格です。

試験の傾向と出題形式はどうなっていますか？

試験の傾向を知ることは、効率的な学習を進める上で非常に重要です。ソリューションアーキテクト – アソシエイト試験は、出題範囲が非常に広く、現実のビジネスシナリオに基づいた問題が出題されるのが特徴です。

出題形式の特徴

AWS認定ソリューションアーキテクト – アソシエイト試験は、選択式の問題が中心となりますが、単に4択から選ぶだけでなく、以下のような形式の問題も出題されます。

• 複数選択問題：複数の選択肢から、正解をすべて選ぶ形式の問題です。単純な知識の暗記だけでなく、それぞれの選択肢がなぜ正解（または不正解）なのかを正確に理解していないと、正解にたどり着くのが難しい場合があります。
• シナリオ問題：試験では、架空の企業のビジネス要件や技術的な制約が詳細に記された「シナリオ」が提示されます。そのシナリオに基づいて、最適なAWSサービスや設定を提案する問題が複数出題されます。これは、単なる知識の暗記だけでなく、それを現実のビジネス課題に適用する能力を測るためのものです。

これらの問題形式に慣れておくことが、合格のためには非常に重要です。

試験の主要な出題範囲

AWS認定ソリューションアーキテクト – アソシエイトの試験範囲は、以下のようなカテゴリに分かれています。

1. 高可用性とスケーラビリティに優れたアーキテクチャの設計：Auto Scaling, Elastic Load Balancing, Amazon Route 53といったサービスを使って、システムが停止せず、多くのアクセスにも耐えられるように設計する能力が問われます。
2. コスト効率に優れたアーキテクチャの設計：AWSの料金体系を理解し、お客様のコストを最小限に抑えるためのサービス選定や設定に関する知識が求められます。
3. 耐障害性に優れたアーキテクチャの設計：バックアップとリカバリ、ディザスタリカバリ（災害復旧）など、システムに障害が発生した場合でも、迅速に復旧できるように設計する能力が出題されます。
4. 安全なアプリケーションとアーキテクチャの設計：IAM（Identity and Access Management）によるアクセス制御、セキュリティグループ、暗号化など、クラウド環境を安全に運用するための知識が問われます。

このように、AWS認定ソリューションアーキテクト – アソシエイトは、技術的な知識だけでなく、ビジネス要件を理解し、総合的な視点からソリューションを設計する能力が問われるのが特徴です。

過去問は役に立ちますか？具体的な対策方法も教えてください

過去問や問題集は学習において非常に有効なツールです。特に、ソリューションアーキテクトのような広範囲にわたる資格では、過去問を活用することで、出題傾向を掴み、効率的に学習を進めることができます。しかし、ただ過去問を解くだけでなく、どのように活用するかが大切です。

過去問の活用法

過去問や問題集を解くことには、主に二つの大きなメリットがあります。

1. 出題形式や傾向を把握できる：過去問を解くことで、どのような形式で問題が出されるのか、どの分野から頻繁に出題されるのかといった傾向を掴むことができます。これにより、効率的に学習する分野を絞り込むことが可能になります。特に、シナリオ問題の形式に慣れておくことは、本番での戸惑いをなくす上で非常に重要です。
2. 自分の弱点を見つけられる：過去問を解いてみて、間違えた問題や理解に時間がかかった問題を分析することで、自分自身がどの分野を苦手としているのかを明確にできます。例えば、特定のAWSサービスの特性が曖昧、セキュリティの概念がよくわからないなど、具体的な弱点を見つけたら、そこを重点的に復習することで、より確実に実力を伸ばすことができます。

過去問は、ただ答えを丸暗記するのではなく、「なぜこのサービスを選ぶのが最適なのか」「なぜこのアーキテクチャがこのビジネス要件を満たすのか」を深く考えることが重要です。間違えた問題については、解説を読み込むだけでなく、実際にAWS環境でサービスを触ってみるなど、能動的に学習を進めていくことをおすすめします。

AWS認定ソリューションアーキテクト – アソシエイト試験の具体的な対策

対策のポイント

1. 公式教材や認定トレーニングを活用する：AWSが提供している公式の学習教材や、認定パートナーが開催するトレーニングコースを利用することは、試験範囲を効率的に網羅する上で非常に有効です。
2. ハンズオンで実践経験を積む：アソシエイトレベルの試験では、実践的なスキルが問われます。AWSの無料枠を活用したり、Qwiklabsのようなハンズオンラボサービスを利用したりして、実際にAWSの各サービスを触ってみることが大切です。
3. AWSのベストプラクティスを学ぶ：AWSの公式サイトやブログには、各サービスのベストプラクティス（最善の方法）が多数公開されています。これらの情報をこまめにチェックして、AWSの思想や設計の考え方を深く理解しておくことが大切です。
4. 複数のAWSサービスを組み合わせて使う練習をする：試験では、複数のサービスを組み合わせて使う問題が多数出題されます。例えば、Webサーバー、データベース、ストレージを組み合わせてWebアプリケーションを構築する方法など、サービス間の連携を深く理解しておくことが重要です。
5. ホワイトペーパーを読み込む：AWSの公式サイトには、設計に関するホワイトペーパーが多数公開されています。これらのドキュメントを読み込むことで、AWSが推奨する設計のベストプラクティスを深く理解できます。

この資格はどのような仕事に役立ちますか？

AWS認定ソリューションアーキテクト – アソシエイトの資格は、クラウドに関連する多岐にわたる仕事で役立ちます。この資格は、ITインフラの根幹をなすクラウドの基礎知識を証明するものです。

• クラウドアーキテクト：企業のクラウドシステム全体の設計を行う専門職です。この資格は、クラウドアーキテクトとして働く上での土台となります。
• クラウドエンジニア：AWS環境の構築、運用、そしてトラブルシューティングを行う専門職です。この資格は、クラウドのプロフェッショナルとしてのスキルを証明する上で、非常に有効です。
• ITコンサルタント：企業のIT戦略を支援する際、クラウドに関する専門知識を持っていることで、より信頼性の高い提案が可能になります。
• プロジェクトマネージャー：クラウドプロジェクトを管理する際、技術的な知識を持っていることで、プロジェクトの進行をスムーズに進めることができます。

この資格は、これらの分野で働く上で、ご自身の知識やスキルを証明する有効な手段となります。

転職時には有利になりますか？

AWS認定ソリューションアーキテクト – アソシエイトの資格は、転職活動において、ご自身のクラウドスキルを客観的に示すための非常に強力な武器となり得ます。

有利になる点

1. 世界的な権威性の証明：AWS認定資格は世界中で広く認知されており、ソリューションアーキテクトの資格は、クラウドに関する専門的な知識とスキルを持っていることの証明になります。
2. 学習意欲のアピール：IT業界は常に新しい技術が登場するため、継続的な学習が不可欠です。この資格取得に向けて努力したことは、企業に対して「この人は自ら学ぶ意欲が高い」という良い印象を与えます。
3. 選考の最初のステップを突破しやすくなる：履歴書にこの資格の記載があれば、選考担当者の目に必ず留まります。多くの企業が、クラウドアーキテクトを喉から手が出るほど欲しがっているため、面接に進むためのハードルが大幅に下がります。
4. 未経験者でもアピールしやすい：IT業界未経験者でも、この資格を取得することで、クラウドに関する基礎知識があることを証明できます。これは、他の未経験者との差別化を図る上で、非常に有効な手段となります。

資格だけで全てが決まるわけではありません

AWS認定ソリューションアーキテクト – アソシエイトは、クラウドの基礎知識を証明する資格であり、合格している時点で、かなりの実践経験を持っているとみなされます。しかし、資格はあくまでスキルを証明する「きっかけ」であり、面接では、これまでの実務経験や、どのような課題を解決してきたかといった、具体的な話が求められます。

そのため、これまでのプロジェクトでどのような役割を担い、どのような貢献をしてきたのかを、この資格の知識と結びつけて具体的に説明できるように準備しておくことが非常に重要です。

AIに奪われる可能性は？これからも必要とされますか？

現代において、AI技術は驚くべき速さで進化しています。AIがクラウドの設計や運用の一部を自動化する時代が到来しつつある中で、「クラウドアーキテクトの仕事はAIに奪われるのでは？」と心配される方もいらっしゃるかもしれません。

しかし、結論から申し上げますと、クラウドアーキテクトのような専門家の需要は今後もなくなることはなく、プロフェッショナルとしての役割もAIに完全に取って代わられることはないと考えられています。

ソリューションアーキテクトがこれからも必要とされる理由

1. AIはクラウドの「利用者」：AIや機械学習のモデルは、多くの場合、クラウド環境上で動作します。AIが効率的に動作するためには、安定したクラウド環境が不可欠であり、その環境を設計・運用するのは、依然として人間の専門家の仕事です。AIが進化すればするほど、そのAIをより良く活用するための、クラウドの専門家である人間の役割はますます重要になります。
2. システムの「設計者」としての役割：AIは単純な設定作業や、一般的な設計を自動化してくれるかもしれませんが、顧客の複雑なビジネス要件を深く理解し、最適なクラウドアーキテクチャを考えたり、予期せぬトラブルが発生した際に原因を特定して解決したりする「思考力」は、人間の専門家の役割です。
3. 新しい技術への対応：クラウド技術は日々進化しており、新しいサービスや機能が常に登場します。そうした新しい技術に対し、柔軟に対応し、最適なソリューションを設計・構築するのは、人間の専門家であるクラウドアーキテクトの役割です。
4. AIの限界：AIは、あくまで過去のデータやベストプラクティスに基づいて学習します。そのため、予期せぬトラブルや、新しいタイプのビジネス要件に対して、AIが完璧に対応するのは難しい場合があります。そうした状況で、最終的な判断を下すのは人間の専門家です。

このように、AWS認定ソリューションアーキテクトの知識は、AI時代においても、ITインフラを支える上で不可欠な役割を担い続けるでしょう。AIの進化は、クラウドの仕事を奪うのではなく、むしろ私たちがより高度で創造的な仕事に集中できるような「強力なツール」として、私たちの仕事の仕方をより良いものに変えていくと考えられます。

まとめ

AWS認定ソリューションアーキテクト – アソシエイトは、クラウドの分野でキャリアを築きたい方にとって、非常に価値のある、そして挑戦しがいのある国際的な資格です。

• どのような資格？：AWSを深く理解し、ビジネス要件に合わせて最適なソリューションを設計するエキスパートであることを証明する国際的な資格です。
• 傾向は？：選択式の問題と、現実のビジネスシナリオに基づいた問題が組み合わされて出題されます。
• 対策は？：公式教材や認定トレーニングを活用し、実際にAWS環境を触って、実践力を高めることが大切です。
• 転職に有利？：はい、クラウドの専門家として、世界中で高く評価されます。取得することで、年収アップやキャリアアップにつながる可能性が非常に高いです。
• 将来性は？：AI時代においても、クラウドの専門家はITインフラを支える上で不可欠な存在であり、その需要は今後も安定していると考えられます。

もし、クラウドの世界でエキスパートを目指したいとお考えでしたら、ぜひこの資格を目標にしてみてください。ご自身の努力が形となり、大きな自信となって、未来のキャリアを切り拓く力になるはずです。

AWS認定ソリューションアーキテクト – アソシエイト予想問題（AI作成）

問題 1

グローバルに配信する静的Webサイトを最小コストで提供したい。HTTPS対応とキャッシュ、遅延の最小化が要件。最適構成はどれか。
A. S3静的ホスティング＋ALB＋Route 53
B. S3静的ホスティング＋CloudFront＋Route 53
C. S3静的ホスティングのみ＋S3 Transfer Acceleration
D. EC2上のNginx＋NLB＋Route 53

回答

B

解説

静的サイトはS3をオリジンにし、CloudFrontでグローバルキャッシュとHTTPSを提供するのが最も一般的で安価です。Route 53は独自ドメインのDNSとして利用し、OACやバケットポリシーでS3を非公開化すればセキュアに配信できます。ALBやEC2は不要でコスト高です。

問題 2

複数AZにまたがるEC2の水平スケーリングと高可用性が必要。どの組み合わせが最適か。
A. 単一AZのASG＋NLB
B. 複数AZのASG＋ALB
C. 単一AZの手動スケール＋ALB
D. 複数AZの固定台数EC2＋Route 53重み付け

回答

B

解説

Auto Scaling Groupを複数AZに展開し、L7のALBでリクエスト分散するのが可用性とスケーリングの基本設計です。ALBはターゲットのヘルスチェックで不健全インスタンスを外し、ASGは需要に応じて台数を自動調整します。単一AZは障害時に脆弱です。

問題 3

読み取り負荷が高いRDS MySQLをスケールしたい。書き込みは1台で十分。最適な選択は。
A. マルチAZに変更
B. リードレプリカを追加
C. インスタンスタイプを縮小
D. ストレージタイプをHDDに変更

回答

B

解説

マルチAZは可用性向上が主目的でスループット増強にはなりません。読み取りスケールにはリードレプリカの追加が有効で、読み取りトラフィックを分散できます。アプリ側で読み取り接続先を分けるか、プロキシを併用して負荷を逃がします。

問題 4

DynamoDBのホットパーティションが原因でスロットリングが発生。最も適切な対策は。
A. キャパシティを無制限に増やす
B. パーティションキーのカーディナリティを高める設計に変更
C. GSIを削除
D. テーブルを手動で分割

回答

B

解説

DynamoDBはパーティションキーで分散するため、値の偏りがあると特定パーティションに負荷が集中します。高カーディナリティのキーやサフィックス追加で分散度を上げる設計が有効です。単純なキャパシティ増強は根本解決になりにくくコストだけ増えます。

問題 5

VPC内からS3とDynamoDBへインターネットを経由せずに到達したい。最適なサービスは。
A. NAT Gateway
B. VPCピアリング
C. Gateway型VPCエンドポイント
D. Interface型VPCエンドポイント

回答

C

解説

S3とDynamoDBはGateway型VPCエンドポイントでプライベートルーティングが可能です。ルートテーブルにエントリを追加するだけで、NATやIGWを使わずにアクセスできます。Interface型は個別サービス向けでENIを作成しますが、S3/DynamoDBには不要です。

問題 6

プライベートサブネットのEC2がインターネットへアウトバウンド接続をしたい。最小限の構成は。
A. Internet Gatewayのみ
B. NAT Gateway＋ルート設定
C. VPCピアリング
D. Transit Gateway

回答

B

解説

プライベートサブネットからの外向き通信にはNAT Gatewayが一般的です。パブリックサブネットにNATを配置し、プライベートサブネットのルートをNATに向けます。IGWはパブリックサブネット側で必要ですが、プライベート側からは直接使いません。

問題 7

S3のバケット間でリージョンをまたいで自動レプリケーションしたい。前提として必要な設定は。
A. 転送アクセラレーションの有効化
B. バージョニングの有効化
C. オブジェクトロックの有効化
D. CORSの設定

回答

B

解説

S3のクロスリージョンレプリケーションはソースとデスティネーションの双方にバージョニングが必要です。加えて適切なIAMロールと、必要に応じてKMSキーのレプリケーション許可が求められます。CORSやTransfer Accelerationは関係しません。

問題 8

有料会員向けの動画を配信。URL共有による不正視聴を防ぎたい。最適な方法は。
A. CloudFrontの署名付きURL/クッキー
B. S3の公開URL
C. Route 53のフェイルオーバー
D. NLBで暗号化終端

回答

A

解説

CloudFrontの署名付きURLやクッキーを用いると、期限やIP制限などの条件付きで配信を制御できます。オリジンをS3の非公開バケットにし、OACやオリジンアクセス制御を併用すると直接アクセスも遮断でき、共有リスクを大幅に低減します。

問題 9

一時的にS3の特定オブジェクトを第三者へ安全に渡したい。最適な手段は。
A. バケットを一時的に公開
B. S3の事前署名付きURL
C. CloudFrontを無効化
D. VPCエンドポイントを削除

回答

B

解説

事前署名付きURLは期限付きのアクセスリンクを生成し、アクセスキー不要で安全に共有できます。バケット全体の公開は過剰かつ危険で、設定戻し忘れのリスクがあります。期限とHTTPメソッドを制御でき、最小権限の原則にも合致します。

問題 10

KMSの鍵管理で「他アカウントからの暗号化データ復号を許可したい」。正しい理解はどれか。
A. IAMポリシーだけで可能
B. キーポリシーで明示的に許可が必要
C. S3バケットポリシーのみで制御
D. CloudTrail設定で制御

回答

B

解説

KMSはキーポリシーが最終権限境界です。クロスアカウント利用では、キーポリシーに対象アカウントやロールを許可し、必要に応じてリソースポリシー（S3等）側も整合させます。IAMポリシーだけでは鍵の使用を許可できません。

問題 11

操作監査とAPI呼び出し履歴を長期保存して分析したい。選ぶべきサービスの組み合わせは。
A. CloudWatchメトリクスのみ
B. CloudTrail＋S3＋Athena
C. Configのみ
D. GuardDutyのみ

回答

B

解説

CloudTrailはAPIイベントの記録をS3へ保存し、Athenaでクエリ可能にするのが定番です。必要に応じてログの暗号化やライフサイクル管理を設定します。CloudWatchメトリクスやConfigは目的が異なり、GuardDutyは脅威検出が主目的です。

問題 12

EC2からAWS APIへ安全にアクセスする最適な方法は。
A. アクセスキーをEC2へ配布
B. IAMロール（インスタンスプロファイル）を付与
C. ~/.aws/credentialsに手動保存
D. すべてのAPIを匿名許可

回答

B

解説

一時的な認証情報を自動供給するインスタンスプロファイルがベストプラクティスです。長期キーの配布は漏洩リスクが高く、ローテーション管理も困難です。ロールに最小権限を付与し、必要に応じてSTSでクロスアカウントも実現します。

問題 13

コンテナを管理せずに実行し、サーバ管理を最小化したい。選択肢はどれか。
A. ECS on EC2
B. ECS on Fargate
C. 自前のKubernetes on EC2
D. Beanstalk（EC2）

回答

B

解説

Fargateはサーバーレスなコンテナ実行環境で、EC2管理や容量計画が不要です。タスク定義に基づき必要なvCPU/メモリだけ支払うモデルで、タスクロールで権限管理も容易です。ECS on EC2はホスト管理が必要で運用負荷が増えます。

問題 14

EKSで外部公開するHTTPアプリをL7で振り分けたい。推奨は。
A. NLBのTCPリスナー
B. ALB Ingress Controllerを用いたALB
C. Route 53のみ
D. EIPをPodへ直接割当

回答

B

解説

EKSではALB Ingress Controller（AWS Load Balancer Controller）を使うとIngressリソースに基づきALBが自動作成され、L7ルーティングやTLS終端を提供できます。NLBはL4で機能が限定的です。PodへEIP直付けはできません。

問題 15

LambdaからRDSへ接続するとコネクション枯渇が発生。最適な対策は。
A. タイムアウトを極端に短縮
B. RDS Proxyを導入
C. Lambdaの同時実行数を無制限
D. VPC未接続にする

回答

B

解説

Lambdaはスパイクで多数の接続を張るため、RDSが上限に達しやすくなります。RDS Proxyは接続プールと再利用によりDB負荷を抑え、認証もSecret連携で安全です。単純な同時実行増加は逆効果で、タイムアウト調整だけでは解決しません。

問題 16

APIの簡易実装に最小管理でサーバーレス構成を望む。適切な組み合わせは。
A. API Gateway＋Lambda
B. NLB＋EC2
C. ALB＋ECS on EC2
D. CloudFront＋S3

回答

A

解説

API GatewayはREST/HTTP APIの管理、認証、スロットリングを提供し、Lambdaと組み合わせるとサーバー管理不要で高スケーラブルなAPIが作れます。ALBやEC2は運用コストが増えます。CloudFront＋S3は静的コンテンツ向けです。

問題 17

非同期処理で送信者と受信者を疎結合にしたい。サービス選択は。
A. SNS＋SQS（ファンアウト）
B. RDSトリガ
C. 直接HTTP呼び出し
D. Kinesis Data Streamsのみ

回答

A

解説

SNSはトピックに発行し、サブスクライブしたSQSキューへメッセージを配布することで、送信者と受信者の独立性を高められます。SQSの可視性タイムアウトやDLQで堅牢性も確保できます。Kinesisはストリーミング用途が主です。

問題 18

順序保証と重複排除が必要なキュー。適切な選択は。
A. SQS Standard
B. SQS FIFO
C. SNS
D. Kinesis Firehose

回答

B

解説

SQS FIFOはメッセージ順序と重複排除（5分の重複ウィンドウ）を提供します。グループIDで並列性制御も可能です。Standardは高スループットですが順序や一回配信を保証しません。SNSはキューではなく通知基盤です。

問題 19

複数アカウント・複数リージョンへ同一リソースを自動展開したい。最適な仕組みは。
A. CloudFormation StackSets
B. 手作業でスタック作成
C. CodeCommitのみ
D. AWS CLI一括実行

回答

A

解説

StackSetsはCloudFormationテンプレートを組織横断で配布・更新でき、ガードレールと一貫性を担保します。手作業やCLI一括は再現性・監査性に欠けます。CI/CDと組み合わせると変更管理も容易です。

問題 20

組織のガードレールとして特定サービスの利用を禁止したい。正しい説明は。
A. IAMポリシーで他アカウントを強制
B. SCPで許可の上限を定義
C. S3バケットポリシーで全体制御
D. CloudTrailで拒否

回答

B

解説

AWS OrganizationsのSCPはアカウントに適用する許可の上限を定義するもので、IAMで許されていてもSCPで拒否すれば使用できません。SCPは権限を付与せず、あくまで制限の枠です。CloudTrailは監査用途で拒否はしません。

問題 21

コンピュートコスト最適化。長期安定稼働の本番EC2に適するのは。
A. スポットのみ
B. 1年または3年のSavings Plans/RI
C. オンデマンドのみ
D. すべて起動停止で節約

回答

B

解説

一定稼働のワークロードにはSavings Plansやリザーブドインスタンスが有効で大幅な割引が得られます。スポットは中断リスクがあり本番には適さないケースが多いです。オンデマンドは柔軟ですがコストが最大になります。

問題 22

EBSの高IO性能が必要で、I/O性能を独立して設定したい。適切なボリュームは。
A. st1
B. sc1
C. gp3
D. gp2

回答

C

解説

gp3はプロビジョンドIOPSとスループットを容量と独立に設定でき、コスト効率も高い汎用SSDです。gp2は性能が容量に依存します。st1/sc1はHDD系でランダムI/Oに不向きです。超高IOはio2系ですがコストが上がります。

問題 23

複数AZで共有できるLinuxファイルシステムが必要。選択は。
A. EBSを複数インスタンスへ同時アタッチ
B. EFS
C. S3をEC2へブロックデバイスとしてマウント
D. FSx for Windows

回答

B

解説

EFSはNFSベースのフルマネージド共有ファイルシステムで、複数AZにまたがって同時マウントが可能です。EBSは単一インスタンス向け（マルチアタッチ対応は制約あり）で共有用途に不適です。FSx for WindowsはSMB中心です。

問題 24

アクセス頻度が読めない大量のオブジェクトを自動で適切な階層に移したい。
A. S3 Intelligent-Tiering
B. S3 One Zone-IA
C. S3 Glacier Deep Archive固定化
D. 手動で定期移行

回答

A

解説

Intelligent-Tieringはアクセス状況に応じて自動でコスト最適な階層へ移動し、運用負荷を下げます。頻繁アクセスと不頻繁アクセスが混在する場合に有効です。One Zone-IAは冗長性低下の代わりに安価で、要件によっては不適です。

問題 25

暗号化済みEBSスナップショットを別アカウントへ共有したい。必要な配慮は。
A. 共有先のIAMロールをスナップショットに付与
B. KMSカスタマー管理キーの共有許可
C. 暗号化を解除して共有
D. バケットポリシーで許可

回答

B

解説

暗号化スナップショットのクロスアカウント共有にはKMSキー側で相手アカウントをキーポリシーやGrantsで許可する必要があります。暗号化解除は不要かつ非推奨です。EBSはS3のバケットポリシーとは無関係です。

問題 26

VPC間通信で経路のトランジティブ性が必要。最適な選択は。
A. VPCピアリング
B. Transit Gateway
C. PrivateLink
D. NAT Gateway

回答

B

解説

VPCピアリングは非トランジティブで、ハブスポークの集約には向きません。Transit Gatewayは多対多接続をスケールさせ、オンプレとも統合できます。PrivateLinkは特定サービスのエンドポイント公開用途でレイヤが異なります。

問題 27

ユーザーを地理的に最も近いエンドポイントへ誘導したい。Route 53のどのポリシーか。
A. 重み付けルーティング
B. レイテンシーベース
C. フェイルオーバー
D. 地理位置ルーティング

回答

B

解説

レイテンシーベースルーティングは各リージョンの実測レイテンシに基づき、最小遅延のエンドポイントを返します。地理位置はユーザーの場所による固定マッピングで、必ずしも最速ではありません。可用性向上にはフェイルオーバーを併用します。

問題 28

DR用に二次サイトへ自動切替を行いたい。適切な構成は。
A. ALBのみで切替
B. Route 53フェイルオーバー＋ヘルスチェック
C. セキュリティグループで拒否
D. S3のCORS設定

回答

B

解説

Route 53のフェイルオーバーポリシーはプライマリヘルスが不良になった際にスタンバイへ切替えます。ALB単体ではリージョン間の切替はできません。ヘルスチェックの設計とRTO/RPOに応じたデータレプリケーション戦略が重要です。

問題 29

本番のBlue/Greenデプロイを安全に行いたい。最も適切な方法は。
A. 手動でEC2を1台ずつ差し替え
B. CodeDeployやALBのウェイト分割を用いた切替
C. DNS TTLを極端に延ばす
D. 全停止後に一括入替

回答

B

解説

CodeDeployのBlue/GreenやALBのターゲットグループ入替・ウェイトルーティングで段階的にトラフィックを移し、問題時は即時ロールバック可能です。手動作業はミスとダウンタイムのリスクが大きく、停止入替は可用性要件に反します。

問題 30

Aurora MySQLで読み取りスケールと高可用性を両立したい。適切な構成は。
A. ライター1台のみ
B. ライター＋複数リーダー、マルチAZ
C. 単一AZのリーダーのみ
D. EC2自前MySQL

回答

B

解説

Auroraは共有ストレージを用い、ライターと複数のリーダーで読み取りスケールが可能です。マルチAZで障害耐性も高められます。リーダーエンドポイントで読取負荷を分散し、フェイルオーバーも自動です。自前構築は運用負荷増です。

問題 31

サーバーレスからRDSへの接続管理を簡素化したい。最適解は。
A. Secrets Managerで資格情報を取得し直結
B. RDS Proxy＋Secrets Manager
C. 環境変数にパスワード直書き
D. KMSなしで平文保存

回答

B

解説

RDS Proxyは接続プーリングでDB負荷を抑え、Secrets Manager連携で自動ローテーションされた資格情報を透過的に利用できます。平文保存や環境変数直書きはセキュリティリスクが高く、サーバーレス特有のスパイクにも弱いです。

問題 32

アプリケーション設定と機密情報の管理。適切なサービスの使い分けは。
A. どちらもS3平文
B. Parameter Store（一般設定）＋Secrets Manager（秘密情報）
C. すべて環境変数
D. すべてIAMロール

回答

B

解説

Parameter Storeは非機密設定や簡易な機密の格納に、Secrets ManagerはDBパスワード等の機密と自動ローテーションに適しています。暗号化にはKMSを用い、アプリからはロールで取得します。平文や環境変数だけの管理は避けます。

問題 33

独自に管理するHSMが必要なコンプライアンス要件。選択は。
A. KMS（マルチテナント）
B. CloudHSM
C. S3サーバーサイド暗号化のみ
D. EC2上のソフトウェアHSM

回答

B

解説

CloudHSMは専有HSMを提供し、FIPS要件や独自キー管理が求められるケースに適合します。KMSはマルチテナントで運用は楽ですが要件を満たせない場合があります。EC2ソフトHSMは管理・証跡・可用性面で劣ります。

問題 34

請求額のしきい値超過を検知し通知したい。必要な設定は。
A. us-east-1での請求メトリクス有効化＋CloudWatchアラーム
B. 各リージョンで個別にアラーム
C. GuardDutyで請求検知
D. Route 53で通知

回答

A

解説

請求関連メトリクスはus-east-1で有効化が必要で、CloudWatchアラームやSNS通知と組み合わせます。各リージョンでの設定では捕捉漏れが出ます。GuardDutyは脅威検出であり、請求モニタリング機能は持ちません。

問題 35

脅威検出、脆弱性評価、統合セキュリティ可視化の対応として正しい組み合わせは。
A. GuardDuty（脅威）＋Inspector（脆弱性）＋Security Hub（統合）
B. Config＋Athena＋CloudTrail
C. WAF＋Shield Advanced＋Config
D. CloudWatch＋SNS＋S3

回答

A

解説

GuardDutyはログ分析による脅威検出、InspectorはEC2やECRの脆弱性評価、Security Hubは各検出結果の統合・標準準拠評価を担います。ConfigやCloudTrailは補助的な構成・操作履歴で、直接の検出・統合とは役割が異なります。

問題 36

アプリ層でのL7防御、IPブロックやレート制限を行いたい。最適なサービスは。
A. AWS WAF
B. Shield Standardのみ
C. NACL
D. セキュリティグループ

回答

A

解説

WAFはALBやCloudFront、API Gatewayに適用でき、レートベースやマネージドルールでL7防御を提供します。Shield StandardはDDoS緩和の基礎でL7詳細制御は限定的です。NACLやSGはL3/L4中心でアプリ層の攻撃対策には不十分です。

問題 37

S3に蓄積したログを低コストでSQL分析したい。構成は。
A. Redshiftへ全取り込み
B. Glue Data Catalog＋Athena
C. CloudWatch Logsのみ
D. RDS MySQLへインポート

回答

B

解説

AthenaはS3上のデータへサーバーレスで直接クエリでき、Glue Data Catalogでスキーマ管理を行います。圧縮・列指向（Parquet）やパーティションによりクエリコストも削減できます。RDSやRedshiftは前処理と運用が増えます。

問題 38

オンプレからS3へTB級データを迅速・簡易に移行。最適解は。
A. S3の手動アップロード
B. AWS DataSync
C. CloudFront経由でPUT
D. Route 53経由

回答

B

解説

DataSyncはオンプレNAS等からS3/EFS/FSxへ高速・差分・検証付きで転送でき、スケジューリングや帯域制限も可能です。単純な手動アップロードはエラー再送や検証が難しく、大規模移行に向きません。CloudFrontやRoute 53は用途外です。

問題 39

ハイブリッド接続で安定した専用線と冗長VPNを組み合わせたい。適切な設計は。
A. Direct Connectのみ
B. DX＋Site-to-Site VPN（バックアップ）
C. NAT Gateway二重化
D. VPCピアリング二重化

回答

B

解説

Direct Connectで低遅延・高帯域を確保し、障害時はVPNへフェイルオーバーする設計が推奨です。BGPにより動的経路制御が可能です。NATやピアリングは目的とレイヤが異なり、ハイブリッド冗長の要件を満たしません。

問題 40

踏み台サーバを置かず安全にEC2へ接続・運用したい。適切な方法は。
A. 0.0.0.0/0でSSH許可
B. Systems Manager Session Manager
C. パブリックIPを全台に付与
D. 常時開放のVPN

回答

B

解説

Session ManagerはエージェントとIAMで制御され、ポート開放なしにシェル接続やログ監査が行えます。SSH公開や全台パブリック化は攻撃面を広げます。常時VPNも管理コストとリスクが増します。最小開放が原則です。

問題 41

SQSのキュー長に応じて消費者EC2を自動スケールしたい。適切な実装は。
A. CPU使用率のみでスケール
B. CloudWatchメトリクス（ApproximateNumberOfMessagesVisible）をターゲットにASG
C. 一律固定台数
D. 手動スケール

回答

B

解説

SQSのメトリクスを基にターゲットトラッキングやステップスケーリングを設定すると、処理遅延を抑えつつコスト最適化できます。CPUだけではキュー長との相関が弱い場合があり、固定台数や手動では需要変動に追随できません。

問題 42

S3とALBの二つのオリジンを持ち、どちらかが障害のときに自動で切替たい。選択は。
A. CloudFrontのオリジンフェイルオーバー
B. Route 53重み付け
C. NAT二重化
D. API Gatewayマルチリージョン

回答

A

解説

CloudFrontはプライマリとセカンダリのオリジンを定義し、特定のエラー時に自動切替が可能です。S3をプライマリに、ALBをバックアップにすることで可用性を高められます。Route 53の重み付けはL7の詳細条件での切替ができません。

問題 43

ロードバランサ選定。HTTP/2やgRPCを扱うアプリに適切なのは。
A. CLB
B. NLB
C. ALB
D. Route 53

回答

C

解説

ALBはL7機能が豊富で、HTTP/2やgRPC、パス/ホストベースルーティング、WAF連携に対応します。NLBはL4で超高性能ですがアプリ層の機能は限定的です。CLBは旧世代で新機能が少なく、新規構築では推奨されません。

問題 44

多数のサーバレス連携を順序立てて例外処理込みで実行したい。適切なサービスは。
A. SQSのみ
B. Step Functions
C. SNSのみ
D. CloudWatch Eventsのみ

回答

B

解説

Step Functionsは状態遷移図でワークフローを定義でき、分岐・並列・リトライ・キャッチなどの制御が標準で備わります。SQSやSNSはメッセージングであり、複雑な分岐やエラーハンドリングを組むには不足します。

問題 45

外部SaaSからのイベントを受け取り、アカウント間でイベントを集約したい。適切な選択は。
A. CloudWatch Logs
B. EventBridge＋カスタムイベントバス（クロスアカウント）
C. S3ポーリング
D. Direct Connect

回答

B

解説

EventBridgeはSaaS統合やカスタムイベントをサポートし、クロスアカウントでイベントバスへルーティングできます。ルールで柔軟に振り分け可能です。CloudWatch Logsはログ収集であり、イベント駆動の集約設計には向きません。

問題 46

Webとモバイルの認証基盤をフルマネージドで用意したい。適切な組み合わせは。
A. IAMユーザーを直接配布
B. Cognitoユーザープール（認証）＋IDプール（認可）
C. STSのみ
D. SSOのみ

回答

B

解説

Cognitoはユーザープールで認証（ID、パスワード、Federation）を、IDプールでAWSリソースへの一時権限付与を行います。IAMユーザーの直接配布はセキュリティ・運用面で不適切です。SSOは社内認証統合が主目的です。

問題 47

別アカウントのS3バケットへ安全にアクセスしたい。最適な方法は。
A. アクセスキー共有
B. 相手アカウントのロールをAssumeRole＋バケットポリシー
C. バケットを全員に公開
D. 署名なしでPUT

回答

B

解説

クロスアカウントアクセスはSTSでロールを引き受け、バケットポリシーでそのロールを許可するのがベストです。キー共有や公開は漏洩・誤用リスクが大きく、監査性も低下します。必要最小権限でアクセスを制御します。

問題 48

コスト配賦を部署ごとに可視化したい。適切な施策は。
A. 何も付けずに請求書を読む
B. リソースタグの標準化＋コスト配分タグ有効化＋AWS Budgets
C. すべて1アカウントで共有
D. 口頭で申告

回答

B

解説

タグ標準（例：CostCenter、Project）を定義し、コスト配分タグを有効化すると部門別の集計が可能です。Budgetsで閾値通知も実施します。タグが無いと正確な可視化ができず、手作業では再現性・精度に欠けます。

問題 49

CloudWatch Logsに集まるログをリアルタイム分析基盤へ配信したい。適切な構成は。
A. サブスクリプションフィルタでKinesis Data Firehoseへ配信しS3蓄積
B. 手動ダウンロード
C. SNSへ直接配信
D. Route 53へ転送

回答

A

解説

LogsのサブスクリプションフィルタはKinesisやLambda、Firehoseへストリーム配信でき、S3保管や下流分析（Athena、OpenSearch）への連携が容易です。手動取得は運用不可、SNSやRoute 53は用途が違います。

問題 50

災害対策としてRTOとRPOの要件が厳しい。最適な戦略は。
A. バックアップ/リストア
B. パイロットライト
C. ウォームスタンバイ
D. マルチサイト（アクティブ/アクティブ）

回答

D

解説

最も低いRTO/RPOを実現するのは両サイトで同時稼働するアクティブ/アクティブです。コストと運用は増えますが切替が不要で、リージョン障害時も継続提供可能です。バックアップ/リストアは最も安価ですが復旧時間が長くなります。

問題 51

外部へ意図せず公開されたS3やIAMロールの共有設定を検出したい。最も適切なのはどれか。
A. Trusted Advisorのみ
B. IAM Access Analyzer
C. GuardDutyのみ
D. CloudTrailのみ

回答

B

解説

IAM Access Analyzerはリソースポリシーを解析し、外部アカウントやパブリックからアクセス可能な状態を検出できます。S3やKMS、IAMロールなどを横断的に対象化でき、検出結果から是正判断を素早く行えます。GuardDutyやCloudTrailは検出観点が異なります。

問題 52

チーム内の開発者に広いIAMポリシーを付ける必要があるが、組織としての上限を超えないよう制御したい。最適な手段は。
A. IAMロールの信頼ポリシー
B. Permission Boundary
C. SCPをユーザー単位に適用
D. カスタマー管理ポリシーの拒否文言

回答

B

解説

Permission Boundaryは「そのユーザーが持てる権限の上限」を定義でき、付与される許可の範囲を枠内に制限します。SCPはアカウント/OU単位の上限で、個別ユーザー制御には不向きです。信頼ポリシーはロール引受けの元/先を制御します。

問題 53

監査要件でS3に保存したオブジェクトを一定期間削除・上書き不可にする必要がある。最適な設定は。
A. S3バージョニングのみ
B. S3オブジェクトロック（Complianceモード）
C. S3サーバーサイド暗号化
D. ライフサイクルで削除延期

回答

B

解説

S3オブジェクトロックのComplianceモードは、保持期間中の削除・上書きをアカウント管理者であっても防止します。WORM要件を満たす設計で、Legal Holdと組み合わせ可能です。暗号化やバージョニングのみでは改ざん防止要件を満たしません。

問題 54

RDS Multi-AZ構成の主目的はどれか。
A. 読み取りスケール
B. バックアップ高速化
C. 可用性向上と自動フェイルオーバー
D. コスト削減

回答

C

解説

Multi-AZは同期レプリカを用いて障害時に自動フェイルオーバーを行い、可用性と耐障害性を高めます。読み取りスケールはリードレプリカの役割であり、Multi-AZは性能向上が目的ではありません。コストは上がるため削減にはなりません。

問題 55

RDSインスタンスの設定を大幅に変更する前に安全にリハーサルしたい。最適な手順は。
A. 本番に直接適用
B. スナップショットから別インスタンスへ復元し検証
C. エンジンをダウングレード
D. バックアップ無効化

回答

B

解説

スナップショットから別環境に復元すれば、本番データに近い状態で設定変更やバージョンアップの影響を検証できます。本番へ直適用はリスクが高く、バックアップ無効化は論外です。検証で問題がなければ本番へ計画的に反映します。

問題 56

複数のDynamoDBテーブル項目に対し、すべて成功かすべて失敗の一貫性が必要。適切な機能は。
A. Conditional Writesのみ
B. DynamoDB Transactions
C. 強整合性読み取り
D. TTL

回答

B

解説

DynamoDB Transactionsは複数項目・複数テーブルにわたる原子的な読み書きを提供し、一部成功の中途状態を防ぎます。Conditional Writesは単一項目条件に強いですが複数項目の原子性は担保しません。TTLは期限削除目的です。

問題 57

DynamoDBの読み取りレイテンシをマイクロ秒〜ミリ秒レベルに改善したい。選択は。
A. DAX（DynamoDB Accelerator）
B. ElastiCache for Redis
C. S3キャッシュ
D. RDSリードレプリカ

回答

A

解説

DAXはDynamoDB向けのインメモリキャッシュで、読み取りの高速化とスロットリング緩和に有効です。API互換のクライアントを使うだけで透過的に効果が出やすいのが利点です。Redisでも可能ですが整合や失効の実装が追加で必要です。

問題 58

プライベートサブネットのマイクロサービスをAPI Gatewayから社外へ公開したい。適切な統合方法は。
A. API Gateway→VPC Link→NLB→サービス
B. API Gateway→IGW→EC2
C. API Gateway→S3静的サイト
D. API Gateway→Direct Connect

回答

A

解説

VPC LinkはAPI GatewayからVPC内のプライベートリソースへL7統合する仕組みで、NLBを経由してバックエンドへ安全に到達できます。IGWやDirect Connectは経路手段であり統合ではありません。S3静的サイトはAPIの用途と異なります。

問題 59

CloudFrontで軽量なHTTPヘッダー書き換えを最低コスト・低レイテンシで行いたい。選択は。
A. Lambda@Edge
B. CloudFront Functions
C. ALBのルール
D. S3イベント通知

回答

B

解説

CloudFront Functionsはリクエスト/レスポンスの軽量変換に特化し、超低レイテンシかつ低コストで稼働します。Lambda@Edgeはより重い処理向けでコールドスタートや費用が増えがちです。ALBやS3イベントは目的が異なります。

問題 60

DDoS対策を強化し、EIPやGlobal Acceleratorも含め保護したい。最適な選択は。
A. Shield Standardのみ
B. Shield Advanced
C. WAFのみ
D. NACLのみ

回答

B

解説

Shield AdvancedはL3〜L7の高度なDDoS緩和、EIPやGlobal Acceleratorの保護、費用保護や24/7のDDoS Response Team連携を提供します。Standardはベース防御に限られます。WAFやNACLは補助でありDDoS専用ではありません。

問題 61

S3の巨大CSVから一部列だけを取得して転送料とクエリ時間を減らしたい。最適な機能は。
A. S3 Select
B. Athena必須
C. Glueジョブ
D. CloudWatch Logs

回答

A

解説

S3 Selectはオブジェクト内部の一部行・列だけを抽出し転送するため、フルダウンロード不要でコストと時間を削減します。Athenaは複数ファイルのSQL分析に強いですが単一オブジェクト抽出には過剰です。GlueはETL全体向けです。

問題 62

ETLでフォーマット変換やカラム整形をスケジュール実行し、カタログも管理したい。選択は。
A. Athena CTASのみ
B. AWS Glue（ジョブ＋Data Catalog）
C. Redshift Spectrumのみ
D. EMR手動構築のみ

回答

B

解説

GlueはサーバーレスETLとデータカタログを提供し、スケジュール・監査・スキーマ管理を一体化できます。AthenaのCTASは生成に便利ですがETL運用全体の管理は弱いです。Redshift SpectrumはDWH拡張用途です。

問題 63

ログストリームをS3へ継続蓄積し、必要に応じて変換して取り込みたい。最適なサービスは。
A. Kinesis Data Firehose
B. Kinesis Data Streamsのみ
C. SQS
D. SNS

回答

A

解説

Firehoseはバッファリングと再試行、形式変換、圧縮、暗号化を行いながらS3等へ自動配信します。Data Streamsは独自コンシューマ実装が必要です。SQS/SNSはメッセージ配信基盤でありログ取り込み最適化は目的外です。

問題 64

全文検索のマネージド基盤を最小運用で構築したい。選択は。
A. OpenSearch Service
B. 自前Elasticsearch on EC2
C. Athena
D. RDS

回答

A

解説

OpenSearch Serviceはスケール、スナップショット、セキュリティ、ドメイン管理をマネージドで提供し、ログ分析や全文検索を容易にします。EC2自前は運用負荷が高いです。AthenaやRDSは全文検索の主用途ではありません。

問題 65

S3の暗号化やレプリケーション状態を定期的に棚卸ししたい。適切な機能は。
A. S3 Inventory
B. CloudTrail
C. S3バージョニング
D. IAM認証情報レポート

回答

A

解説

S3 Inventoryはバケット内オブジェクトの一覧とメタデータ（暗号化、レプリケーション等）をCSV/Parquetで出力します。これにより棚卸しや監査が容易になります。CloudTrailは操作履歴の監査であり台帳ではありません。

問題 66

ダウンロード帯域・費用負担を利用者側に持たせたい公開データセット。S3の設定として適切なのは。
A. バケットポリシーで全拒否
B. Requester Pays
C. OAI/OAC必須
D. CORSのみ

回答

B

解説

Requester Paysはオブジェクト取得側のアカウントに転送料等を課金でき、公開データ配布の費用を配布者が負担しない設計に適します。OAI/OACやCORSは別目的です。全拒否は公開配布の要件に反します。

問題 67

複数EC2から同一EBSを同時読み書きする必要がある特殊なクラスタアプリ。選択は。
A. gp3のマルチアタッチ
B. io1/io2のマルチアタッチ
C. st1の共有
D. できない

回答

B

解説

EBSのマルチアタッチはio1/io2のみ対応で、同時に複数インスタンスへアタッチ可能です。ただしファイルシステムやアプリが同時アクセスに対応していることが前提です。gp3やHDD系は非対応でデータ破損の恐れがあります。

問題 68

EBSボリューム作成直後の初回アクセスでスループットが出ない。対策として適切なのは。
A. ファイルをすべて書き直す
B. Fast Snapshot Restoreを有効化
C. インスタンスを再起動
D. 暗号化を無効化

回答

B

解説

Fast Snapshot Restoreはスナップショットから復元したEBSに対し、初期化不要で直ちにピーク性能を発揮できるようにします。全書き直しや再起動は非効率です。暗号化有無は初期化遅延の主因ではありません。

問題 69

複数AZから同時マウントでき、伸縮自在な共有ファイルシステムが必要。コスト最適化のためアクセスしないデータは安く保管したい。
A. EFS標準のみ
B. EFS＋IAストレージクラス（ライフサイクル）
C. FSx for Windows
D. EBSをNFSで共有

回答

B

解説

EFSはマネージドNFSでマルチAZ同時マウントが可能です。ライフサイクルで未アクセスファイルをEFS IAへ自動移行すればコストを抑えられます。FSx for WindowsはSMB中心、EBSのNFS共有は可用性や運用面で不利です。

問題 70

アプリごとにEFSへのアクセス制御とパス分離を簡単に行いたい。選択は。
A. EFS Access Points
B. NACL
C. SGのみ
D. IAMロール不要

回答

A

解説

EFS Access PointsはPOSIXユーザー/グループやルートディレクトリを定義し、アプリ単位で一貫した権限とディレクトリ分離を提供します。SGやNACLはネットワーク層であり、ファイルレベルの分離には不十分です。

問題 71

HPCワークロードでS3上のデータを高速ファイルシステムとして見せたい。最適な選択は。
A. FSx for Lustre（S3リンク）
B. EFSのみ
C. S3を直接マウント
D. FSx for Windows

回答

A

解説

FSx for Lustreは高スループット・低レイテンシの分散ファイルシステムで、S3バケットと双方向に連携します。HPC向けに最適化されており、EFSやWindows用FSでは性能や用途が合いません。S3はオブジェクトストレージです。

問題 72

マルチプロトコル（NFS/SMB）でスナップショットや重複排除も必要なエンタープライズNAS互換が要件。
A. EFS
B. FSx for NetApp ONTAP
C. FSx for Lustre
D. S3

回答

B

解説

FSx for NetApp ONTAPはNFS/SMB/ iSCSI等をサポートし、スナップショットや重複排除・圧縮など企業NASの機能を提供します。EFSはNFS中心、LustreはHPC向け、S3はファイル共有ではなくオブジェクトです。

問題 73

ゾーンルート（example.com）でCloudFrontにCNAMEを設定したい。最適な方法は。
A. CNAMEをゾーンルートに設定
B. Route 53のAレコード（エイリアス）でCloudFrontを指す
C. NSレコードで転送
D. MXレコードを使用

回答

B

解説

ゾーンルートはCNAMEを置けないため、Route 53のエイリアスA/AAAAでCloudFrontドメインへ指すのが最適です。エイリアスは追加料金不要で、DNSの制約も回避します。NSやMXは用途が異なります。

問題 74

HTTPエンドポイントの可用性監視とリージョン間フェイルオーバーをDNSで実施したい。選択は。
A. Route 53ヘルスチェック＋フェイルオーバーポリシー
B. 重み付けのみ
C. S3イベント通知
D. WAFのルール

回答

A

解説

Route 53はヘルスチェック結果に基づくフェイルオーバーをサポートし、不健全時にスタンバイへ切替できます。重み付けのみでは自動切替できません。WAFやS3イベント通知は監視・切替の用途ではありません。

問題 75

サービス間通信をVPC横断で統合し、認証・認可・観測を一元化したい。適切な選択は。
A. VPCピアリングの追加のみ
B. VPC Lattice
C. PrivateLinkのみ
D. Transit Gatewayのみ

回答

B

解説

VPC Latticeはサービス単位の発見、ポリシーベースの認証・認可、メトリクスの可視化を提供し、VPC間・アカウント間のサービス間通信を簡素化します。ピアリングやTGWはL3/L4中心でアプリレベルの制御は持ちません。

問題 76

S3とDynamoDBはどのVPCエンドポイント種別でプライベート接続するのが適切か。
A. どちらもInterface型
B. どちらもGateway型
C. S3はGateway、DynamoDBはGateway
D. S3はInterface、DynamoDBはGateway

回答

C

解説

S3とDynamoDBはGateway型VPCエンドポイントに対応し、ルートテーブル経由でプライベート到達が可能です。多くの他サービスはInterface型（ENI）を利用します。設計時に種別の違いを理解することが重要です。

問題 77

別アカウントのVPCにある内部サービスへ安全に公開したい（IP到達不要、サービス単位）。
A. VPCピアリング
B. PrivateLink（Interfaceエンドポイント）
C. NAT Gateway
D. Transit Gateway

回答

B

解説

PrivateLinkはサービス提供側のNLBを経由し、消費側のInterfaceエンドポイントからプライベートに接続します。ネットワークを広く共有せず、サービス単位で公開できるのが利点です。ピアリングやTGWはCIDR経路共有が前提です。

問題 78

NATインスタンスからNAT Gatewayへ移行する主な利点はどれか。
A. 料金が常に安い
B. マネージドでスケールと可用性が高い
C. インバウンド許可が容易
D. SSHできる

回答

B

解説

NAT Gatewayはマネージドで高可用、スケーラブルで運用負荷が小さいのが利点です。NATインスタンスはパッチやスケール管理が必要です。料金はトラフィック次第で逆転する場合がありますが、信頼性・運用面の優位が大きいです。

問題 79

ステートフルなWebアプリのセッションを保持しつつALB配下へ配信したい。BLANKに入る最適な設定は。
A. ターゲット追跡
B. スティッキーセッション（Cookie）
C. 重み付けルーティング
D. TLS 1.3必須

回答

B

解説

ALBのスティッキーセッションはクライアントを一定時間同一ターゲットへ送る仕組みで、セッション情報をアプリ内で保持する場合に有効です。ただし拡張性や障害時の影響を考慮し、可能なら外部ストアへセッションを移す設計が推奨です。

問題 80

データベースの資格情報を安全に保管・ローテーションし、アプリは自動取得したい。
A. SSM Parameter Store標準のみ
B. Secrets Manager
C. 環境変数に平文
D. S3に暗号化なしで保存

回答

B

解説

Secrets Managerは資格情報の暗号化保存と自動ローテーションを提供し、LambdaやRDSと統合して安全に更新できます。Parameter Store標準でも保存可能ですがローテーション機能は限定的です。平文や暗号化なしは避けるべきです。

問題 81

EC2へのパッチ適用を自動化し、適用状況を可視化したい。選択は。
A. Systems Manager Patch Manager
B. CloudTrail
C. GuardDuty
D. CloudWatchメトリクス

回答

A

解説

Patch ManagerはOSやアプリのパッチ適用をスケジュールで自動化し、準拠レポートを提供します。SSM AgentとIAMロールを組み合わせて運用負荷を大幅に削減できます。CloudTrailやGuardDutyは別目的のサービスです。

問題 82

標準化されたAMIを継続的に作成・更新し、脆弱性対策を反映したい。
A. EC2を都度手作業で焼き直す
B. EC2 Image Builder
C. CloudFormationのみ
D. CodeCommitのみ

回答

B

解説

EC2 Image BuilderはパイプラインでAMIやコンテナイメージを自動生成し、テストやスキャンを組み込めます。手作業より再現性・監査性に優れます。CloudFormationやソース管理だけではイメージ生成を自動化できません。

問題 83

CloudWatch Logsに出力された「ERROR」発生時に通知したい。最適な構成は。
A. メトリクスフィルタ→アラーム→SNS通知
B. Athenaで定期クエリ
C. S3へエクスポート後に手動監視
D. EventBridgeスケジュールのみ

回答

A

解説

Logsのメトリクスフィルタで「ERROR」をカウントし、CloudWatchアラームの閾値超過でSNS通知を送るのが即時性と簡便性の面で最適です。バッチクエリは遅延し、手動監視は運用負荷が高く検知漏れの原因になります。

問題 84

外形監視でAPIの可用性とレスポンスを定期確認し、証跡を残したい。
A. CloudWatch Synthetics（Canaries）
B. ALBヘルスチェック
C. Route 53ヘルスチェックのみ
D. 手動curl

回答

A

解説

Canariesはスクリプトでブラウザ/HTTPの監視を行い、スクリーンショットやHAR保存、レイテンシ可視化を提供します。ALBやRoute 53のヘルスチェックはエンドポイントの生死判定中心で、ユーザー視点の検証には不足します。

問題 85

複数アカウントの初期設定・ガードレール・アカウント発行を一括で行いたい。
A. Control Tower
B. CloudFormation単独
C. IAMのみ
D. 手作業

回答

A

解説

Control TowerはLanding Zoneを提供し、アカウント作成、ベースライン、SCPやCloudTrail等のガードレール適用を自動化します。CloudFormationだけでは運用プロセスまで包括できません。手作業はばらつきとミスが増えます。

問題 86

組織全体でタグ命名規則の準拠状況を可視化し是正したい。
A. Tag Policies（Organizations）
B. IAMポリシーのみ
C. CloudWatchメトリクス
D. S3 Inventory

回答

A

解説

Tag Policiesは許容キーや値のパターンを定義し、各アカウントの準拠状況をレポートできます。IAMは権限制御でタグ規約の可視化はできません。S3 InventoryはS3に限られ、全リソースのタグ準拠監視には不向きです。

問題 87

請求の異常上振れを早期検知したい。
A. AWS Budgetsのみ
B. Cost Anomaly Detection
C. Cost Explorerの手動確認
D. 請求書を毎月確認

回答

B

解説

Cost Anomaly Detectionは機械学習で異常な費用のスパイクを検知し、SNS等へ通知できます。Budgetsは閾値ベースで異常検知には弱いです。手動確認は遅く、月次請求書では発見が遅延します。早期察知がコスト抑制に有効です。

問題 88

長期安定稼働のEC2やFargateに包括的に適用でき、柔軟なファミリー/リージョン選択も可能な割引は。
A. スポットインスタンス
B. Compute Savings Plans
C. EC2 Instance Savings Plans（固定）
D. リザーブドインスタンスのみ

回答

B

解説

Compute Savings Plansはコンピュート消費額に対する割引で、EC2・Fargate・Lambdaに横断適用され、インスタンスタイプ/リージョンの変更にも柔軟です。Instance SPやRIは縛りが強く柔軟性が低めです。スポットは中断リスクがあります。

問題 89

スポットとオンデマンドを混在させ、複数インスタンスファミリーで可用性とコストを両立したい。
A. 単一ASGで起動テンプレートの混在ポリシー
B. 固定1種のみ
C. 手動で切替
D. RIのみ

回答

A

解説

ASGの混在インスタンスポリシーでは、起動テンプレートと複数のインスタンスタイプ/購入オプションを組み合わせ、キャパシティ最適化戦略で枯渇リスクを下げつつコスト削減が可能です。手動運用や固定構成は柔軟性に欠けます。

問題 90

大容量オブジェクトのアップロードで信頼性と速度を高めたい。S3の推奨は。
A. 1リクエストで単発PUT
B. マルチパートアップロード
C. 署名付きURL禁止
D. 転送アクセラレーション必須

回答

B

解説

マルチパートアップロードは並列化と途中失敗時の再送により大容量転送の信頼性と速度を向上させます。特に5GB超では必須です。Transfer Accelerationは長距離時に有効ですが必須ではありません。単発PUTは失敗リスクが高まります。

問題 91

CloudFrontからS3オリジンを非公開で保護したい。新しい推奨方法は。
A. OAI（Origin Access Identity）のみ
B. OAC（Origin Access Control）
C. バケットをパブリックに
D. 署名なしで許可

回答

B

解説

OACは署名付きリクエストでS3へのアクセスを保護し、OAIの制約を解消した新方式です。バケットは非公開のまま、CloudFront経由のみ許可します。パブリック公開や署名なしの許可はセキュリティリスクが高いです。

問題 92

API Gatewayで総量制限と顧客別レート制限を同時に適用したい。
A. ステージ単位のスロットリングのみ
B. Usage Plan＋APIキー＋ステージ/メソッドのスロットリング
C. WAFのレートベースのみ
D. CloudWatchアラームのみ

回答

B

解説

Usage PlanはAPIキー単位のレート/バースト制限を設定でき、ステージ/メソッドのデフォルト制限と併用して全体と顧客別の両方を制御できます。WAFはIP単位中心で顧客別の細粒度制御は困難です。

問題 93

社内ユーザーの認証統合とコンソール/CLIアクセスの一元管理をSaaS連携で実現したい。
A. IAMユーザー発行
B. IAM Identity Center（AWS SSO）
C. Cognitoユーザープール
D. STS単独

回答

B

解説

IAM Identity CenterはIdP連携で認証を統合し、アカウント横断の権限セットとワンクリックアクセスを提供します。Cognitoはアプリ利用者向けです。IAMユーザー配布は運用負荷とセキュリティの観点で非推奨です。

問題 94

定時バッチの起動をサーバレスで行いたい。最も単純な方法は。
A. EventBridgeのcron式ルール→ターゲット（Lambda/Step Functions）
B. EC2のcrond
C. Systems Manager State Manager
D. 手動実行

回答

A

解説

EventBridgeはサーバレスなスケジューリングを提供し、cron/ rate式でLambdaやStep Functions等をトリガーできます。EC2のcrondはインスタンス依存で可用性や管理が課題です。手動は再現性がなく漏れの原因になります。

問題 95

暗号化データをリージョン間レプリケーションし、先のリージョンでも自力で復号したい。
A. 単一リージョンKMSキーを共有
B. KMSのマルチリージョンキー
C. CloudHSMのみ
D. SSE-S3のみ

回答

B

解説

マルチリージョンキーは暗号鍵の同等ペアをリージョン間で保持し、複製データを先のリージョンで復号できます。キーIDは異なりますが暗号材料は同等です。単一リージョンキーでは復号できず、SSE-S3はKMS外の管理です。

問題 96

オンプレOracleからAurora MySQLへダウンタイム最小で移行したい。
A. mysqldumpのみ
B. DMS（CDC）＋必要ならSCT
C. Snowball
D. S3へエクスポート

回答

B

解説

DMSは変更データキャプチャ（CDC）で継続同期を行い、カットオーバー時の停止を最小化できます。スキーマ変換が必要ならSCTを併用します。dumpは停止時間が長く、Snowballはバルク転送向けで継続同期には不向きです。

問題 97

インフラが手作業で変わっていないかをCloudFormationで検出したい。
A. 変更は追えない
B. Drift Detection
C. StackSets
D. Change Setのみ

回答

B

解説

Drift Detectionは実リソースとテンプレートとの差分を検出し、手作業変更や設定ずれを早期に把握できます。Change Setは適用前のプレビューであり、適用後の外部変更検出には使えません。StackSetsは配布仕組みです。

問題 98

Aurora MySQLの本番環境で、新バージョンへの切替と即時ロールバックを安全に行いたい。
A. 直接インプレースアップグレード
B. Aurora Blue/Green Deployments
C. 手動でクラスタ複製
D. スナップショットから手動復元

回答

B

解説

AuroraのBlue/Greenは本番（Blue）とスタンバイ（Green）を作り、切替時は秒単位でトラフィックを移せます。問題発生時は即座に元へ戻せます。手動複製やスナップショット復元は手間とダウンタイムが大きくなります。

問題 99

社内WebアプリのIP制限とSQLi/XSS等の対策をALB配下で行いたい。
A. NACLのみ
B. AWS WAF（マネージドルール）＋IP許可リスト
C. GuardDuty
D. セキュリティグループのみ

回答

B

解説

WAFはALBに適用でき、SQLiやXSSのマネージドルールとレート制限、特定IPのみ許可などアプリ層の防御を提供します。NACLやSGはL3/L4中心でL7攻撃への対処は不十分です。GuardDutyは脅威検出でブロックはしません。

問題 100

CloudFrontで国ごとに異なるコンテンツを返したい。最も簡便な実装は。
A. Route 53地理位置ルーティング
B. CloudFrontのジオ制限＋Lambda@Edge/Functionsで分岐
C. ALBのセキュリティグループ
D. S3のCORS

回答

B

解説

CloudFrontは閲覧国情報（Viewer Country）をヘッダーで提供でき、CloudFront FunctionsやLambda@Edgeで国別にオリジンやパスを切り替えられます。Route 53はDNSレベルで細かなパス分岐が困難です。SGやCORSは目的外です。