AWS Solution Architect Associate 一問一答 #1
AWS SAA取得に向けた学習の過程で
ミスったとこを一問一答形式でまとめたもの。その1。
自分用のメモ残し。
iSCSIテープデバイスへバックアップするのに使うAWSのサービスは?
⇨ AWS Storage Gateway
AWS Strage Gatewayを使うとバックアップ製品と親和性の高いiSCSIテープデバイスとして扱えるので、保存先であるiSCSIイニシエータの宛先を変更するだけでAWSバックアップが可能になる
特徴 - AWS Storage Gateway | AWS
インターネットへ接続する手順
- サブネットを作成
- インターネットゲートウェイをアタッチ
- カスタムルートテーブルを作成
「Destination」を「0.0.0.0/0」に指定したカスタムルートテーブルを作成しインターネットゲートウェイへ適用する - セキュリティグループルールを更新
デフォルトではアウトバウンドトラフィックは全て許可されている状態
ここではインバウンドトラフィックを許可するように更新する必要がある - Elastic IPアドレスを追加
他のユーザが所有しているElastic Load Balancingの設定を変更することはできるか?
⇨できる。
ユーザー独自のアクセスキー(アクセスキーIDおよびシークレットアクセスキー)を用いて、AWS CLI、AWS SDKを使用して操作できる
Amazon RDSの自動化バックアップ機能およびDBスナップショットで取得したバックアップから復旧動作を実行するとエンドポイントは新規に作成されるか?
⇨新規に作成される
Amazon EBSプロビジョンドIOPS SSD(io1)ボリュームのボリュームストレージの料金は使用(I/O)の有無にかかわらず発生するか
⇨発生する
Amazon EBSプロビジョンドIOPS SSD(io1)の料金は、プロビジョニングした容量(GB/月)で決まり、ユーザーがストレージを解放するまで毎月料金が発生する。
ハイパフォーマンスブロックストレージの料金 - Amazon EBS の料金 - Amazon Web Services
パブリック/プライベートのサブネットをもつVPC上のプライベートサブネットでEC2インスタンスを起動したがインターネット接続ができない。接続できるようにNATインスタンスの構成を変更する場合の解決策は?
⇨NATインスタンスのSrcDestCheck属性を無効にする(送信元/送信先チェックを無効にする)
準仮想化のAmazon EC2内のデバイス名 /dev/sda1 の予約先は?
⇨ルートデバイス
単一のVPCでウェブアプリケーションのためのIDS・IPSの導入を計画中。IPSを使用しインターネットからのトラフィックを保護する最適な方法は?(2つ)
- ウェブサーバーのフロントにリバースプロキシ層を実装し、各リバースプロキシサーバにIDS/IPSエージェントを実装する
- VPCで実行している各インスタンスにIDS/IPSエージェントを実装する
インスタンスのプロパティにアクセスするために、インスタンス内のどのデータにクエリするか?
⇨インスタンスメタデータ
インスタンスメタデータは、実行中のインスタンスを設定または管理するために使用する。
インスタンスのプロパティは「インスタンスのメタデータ」より確認できる
インスタンスメタデータおよびユーザーデータはインスタンス内からのみアクセスしてできる
インスタンスにアクセスできるユーザーなら誰でも参照可能
一方で、暗号化されていないため、パスワードなどの機密データを保存するのはダメ
RDSのストレージにProvisioned IOPSを使用するものは?
⇨OLTP(Online Transaction Processing)
一般的なDB処理はOLTP/OLAP(Online Analytical Processing)系の2タイプに分けられる
OLTP: 受発注処理や販売・生産管理などの業務システムにおける操作
⇨多数のユーザーからランダムにトランザクションが発生
⇨ランダムアクセス
OLAP: 大量データの集計や分析
⇨ユーザーは限定的だが大量レコードの一括書込などの複雑処理が発生
⇨シーケンシャルアクセス
DBパフォーマンス改善ソリューション【前編】ソフトウェア・アプローチでDBを高速化! | 東京エレクトロンデバイス
Amazon仮想プライベートクラウド(VPC)でVPN接続するには?
⇨ルーティング可能な静的なIPアドレスをAmazon VPC 仮想プライベートクラウド(VPC)にリンクするカスタマーゲートウェイに割り当てる。
Amazon S3 が複数のデータセンター間でデータ同期するためのデータ整合性モデルは?
- 新規ファイルアップロード時の「書込み後の読み込み」整合性
- 既存ファイルの上書き・削除時の「書込み後の読み込み」整合性
Amazon S3 アップデート - 強力な書き込み後の読み取り整合性 | Amazon Web Services
現在利用しているリージョンとは異なる新しいリージョンにサービスを展開したい。今Amazon DynamoDB へアクセスを許可する 1 つの IAM ロール が EC2 インスタンスへ割り当てられているが、異なる新しいリージョンへ EC2 インスタンスを展開する際にも現在と同じ権限を持たせる必要がある。どのように達成する?
⇨新しいリージョンで EC2 インスタンスへ既存の IAM ロールを割り当てる
一時的なセキュリティ認証情報を 1 つまたは複数のリージョンに制限することはできない。つまり、リージョンを跨いだ設定が可能。複数のリージョンでクラスターを構成して同じ IAM ロールを割り当てるといったこともできる。
社内データのバックアップとしてS3⇨S3 Glacierのライフサイクルポリシーを適用しサードパーティ製ソフトを用いたい。S3バケットにサードパーティ製ソフトウェアにアクセスを制限させる最適方法は?
⇨Amazon S3 API に IAM ユーザーポリシーを用いてを制限する。
バケットとオブジェクト、およびそれらのリソースを操作するために Amazon S3 アプリケーションプログラミングインターフェイス(API)を使用する。Amazon S3 API を用いることでバケットの制御が可能。
Amazon S3 APIの制御するのはポリシー設定が必要で、下記の2つの方法がある
- バケットポリシー
- ユーザーポリシー(IAM ユーザーポリシー)
バケットポリシーとユーザーポリシー(IAM ユーザーポリシー)は、Amazon S3 リソースに対するアクセス権限を付与するために使用できる 2 つのアクセスポリシーオプションで、どちらのポリシーも、JSON ベースのアクセスポリシー言語を使用。
今回の例で言うと、アプリケーション(サードパーティ製のソフトウェア)に対して IAM ユーザーを作成し、作成したユーザーに対し、バケットへのアクセスを許可するポリシーをアタッチする。その上で、IAM ポリシーを S3 に付与し、データを Glacier にアーカイブするように適切なライフサイクルルールを設定する形で実現する。
あるDNS名を別のRoute 53 DNS名にマッピングするためのリソースレコードは?
⇨エイリアスレコード
https://dev.classmethod.jp/articles/amazon-route-53-alias-records/
Amazon RDS の DB パラメータグループの内、静的パラメータを変更した場合、有効にするためにインスタンスを再起動する必要があるか?
⇨必要ない
DB エンジンの設定を管理するには、DB インスタンスをパラメータグループに関連付ける。Amazon RDS は、新しく作成された DB インスタンスに適用されるデフォルト設定でパラメータグループを定義する。カスタマイズした設定を使用して独自のパラメータグループを定義できる。
動的パラメータの場合はすぐに変更が適用される一方、静的パラメータは変更後にDBインスタンスを手動で再起動した後に有効になる。
AWSサポートでビジネスプラン契約で発生中の障害がビジネスへの影響大の場合のAWSへ連絡してからの応答時間は?
⇨1時間
Amazon RDSのDBインスタンスの自動バックアップはデフォルトで有効になっているが無効にできるか?
⇨できる。
APIまたはCLI経由のDBインスタンスの作成の場合、バックアップ保持期間はデフォルトで1日。コンソール経由の場合、7日。これは0〜35日で設定できるが、0日とすると無効に設定できる。
Amazon CloudWatchでAmazon RDSのDBインスタンスに十分な空き容量があるか確認したい場合に設定するRDSメトリクスは?
⇨FreeStorageSpace
Amazon CloudWatch を使用した Amazon RDS メトリクスのモニタリング
Amazon RDS for MySQL のリードレプリカはデフォルトでソース DB インスタンスを削除すると自動的に削除されるか?
⇨削除されない
自動的に削除したい場合は、DeleteDBInstance APIまたはAWSマネジメントコンソールを使って自分で設定する必要がある。
Discussion