birdpixyさんの助け合いフォーラム投稿一覧
チームメンバーのAWSアカウントが、監査人用のアカウントのS3バケットへ、認証情報を保存できない。
これを理由に不正解にしてしまうと、例えば
「インターネット上のユーザーがアクセスできるのは、パブリックサブネットのEC2インスタンスか、プライベートサブネットのEC2インスタンスか、どちらか?」
という問題に対して、
「パブリックサブネットのEC2インスタンスのセキュリティグループが設定されていないので、どちらともアクセスできない」
という回答になってしまうと思います。
設問に全てのアクセス権限の設定を盛り込んでいるわけではないので、設定上可能であれば補完して考えなければならないです。
設問に
同社はAWSへWebアプリケーションの移行を計画しており、各WindowsサーバーをEC2 Windowsインスタンスに切り替える予定
オンプレミスのADはWebアプリケーションが動作しているWindowsサーバー群のみ管理している
とあるので、オンプレミスのAD環境すべてAWS上に移行することを要件をしていると思いました。
オンプレミスAD環境の一部を残したい要件が見当たらなかったのですが、何から「オンプレADを辞めて、AWS Directory Serviceに完全移行したら楽だね。という風にはなりませんし、不明確です。」と判断されたのでしょうか?
どのくらいで確実に合格できるかと言われたら、身も蓋もないですが全問題コンボにするのが一番じゃないかなと思います。
合格体験記の上部にその人のコンボ、ヒット、ミスの数が出ているので参考にされてはいかがでしょうか?
「Lambdaをユーザー管理のVPC内で動作させることができる」というのはどこの情報からでしょうか?
Lambda 関数は、常に Lambda サービスが所有する VPC 内で実行されます。
VPCアクセスの設定によってユーザー管理のVPCにアクセスできるのであって、ユーザー管理のVPC内で動作させることはできない認識でした。
スタックはスタックセットで定義されたAWSリソースのグループなので「複数のリージョン、複数のAWSアカウントで同一のCloudFormationスタックを作成できる」に不自然さを感じないのですが…。
スタックセットでは、1 つの CloudFormation テンプレートを使用して、複数のリージョンの AWS アカウント にスタックを作成できます。
https://dev.classmethod.jp/articles/introducing-cloudformation-stacksets/#toc-1
CloudFormation StackSetsを使うことで、1つのテンプレートから複数のAWSアカウント、リージョンに対しStackを作成することが可能です。
転送時間の計算方法自体が分からないのか、計算しても約81時間にならないのか、どちらか分からないのですが後者だと仮定しまして、
データサイズを1k = 1024byteで計算すると約81時間になりました。
ちなみに1k = 1000byteで計算すると約74時間なので、どちらにしても3,4日で転送完了します。
複数のDirect Connectロケーションを使用する → 複数のAWS Direct Connectエンドポイントに接続している
は成立しますが
複数のAWS Direct Connectエンドポイントに接続する → 複数のDirect Connectロケーションを使用している
は単一のDirect Connectロケーションで複数のDirect Connectエンドポイントに接続していることも考えられるので、成立しません。
なので「複数の回線をAWS Direct Connectエンドポイントに接続する」は単一障害点がない設計にしているとはいえないと思います。
ユーザー(IAM)ポリシーはバケットポリシーと同じくJSON形式でポリシーを記述するので、対象のIAMユーザーのIPアドレスやドメインで制限をかけることができます。
例えば、S3バケットへの書き込み権限を付与するIAMユーザーに対して、社内IPアドレスからのアクセス時のみ許可するといった感じです。
バケット「bucket-pingt」をマネジメントコンソール上で管理するためには、バケット内のオブジェクトを一覧表示させる権限(ListBucket)が必要がある、という説明では納得できないでしょうか?
おそらくポイントは「大量」に「リアルタイム性の高いデータ」を処理するというところだと思います。
Amazon Kinesis Data Streamsはリアルタイムの大量データ処理に特化したサービスであるのに対し、Amazon SNSはメッセージング&通知機能でリアルタイム性はあるものの大量のデータ処理が得意というわけではないので、その違いかなと思いました。
AWSのサイトに
Q: ボリュームゲートウェイとは何ですか?
(中略)
保管型モードでは、プライマリデータはローカルに保存されてデータセット全体が低レイテンシーのアクセスのために使用可能となり、非同期に AWS にバックアップされます。
https://aws.amazon.com/jp/storagegateway/faqs/
とあるので、オンプレミスのデータがマスターのようです。
該当問題の解説にも
・保管型(ストアドボリューム)
すべてのデータをオンプレミスのボリュームストレージに保存し、S3に非同期でバックアップを保存します。キャッシュ型とは異なり全データへのアクセス先がオンプレミスになるので、S3へのアクセスによる遅延が発生しません。
とあるので、選択肢の書き方がおかしいですね……。
こんばんは。
私がOracle Silverに合格したのは結構前なので自身のことは覚えていないですが、合格体験記に合格した人のコンボ数やレベルいくつで合格したかが見れますよ。
合格体験記は学習方法や出題傾向も書いてあったりするので、一通り見てみることをお勧めします。
起動ボリュームはOSが起動するファイルがあるボリューム(ブートボリューム)のことです。
WindowsだとデフォルトでCドライブです。
EBSのHDDのボリュームタイプ(st1、sc1)は、EC2インスタンスのブートボリューム以外(WindowsでいうDドライブ等)であればアタッチできます。
問題ID:31223の解説にも書いてありますが、
-ユーザーからAWSへファイルのアップロード
-アップロードされたファイルの圧縮
の2つの処理をEC2とLambdaの間にS3イベント通知を挟んで分けているので、デカップリング(疎結合)は実現できていると思います。
デカップリングできていない場合の例は、EC2でファイルのアップロード処理と圧縮処理を続けて実行するような感じになるのではないかと。
おそらく、S3イベント通知は通知を出すだけなので間にSQSがないと続けて処理される=デカップリングができていない?と疑問に思ってらっしゃるのではないかと思いますが、橋渡しの処理が何であれプログラムを分けている時点でデカップリングは実現しているのではないでしょうか。
プッシュ通知機能を持つSNSもデカップリングに適したサービスとされているので、S3イベント通知も同じという認識です。
SQSの有無の違いは、下記のサイトが分かりやすかったです。
https://engineers.fenrir-inc.com/entry/2022/04/20/104220
1 S3イベントをトリガーとしてLambdaを呼び出す(31223の正答)
2 S3からSQSを挟んでLambdaを呼び出す(30639の正答)
30639の場合、処理が遅延するほど大量のリクエストが発生するのと、処理結果をユーザーに返さなければならないという点から、より柔軟な設計にできるSQSを使用しているのではないかなと思いました。
フェイルオーバールーティングポリシーでは、通常時はプライマリ―(複数のEC2インスタンス)へアクセスさせて、プライマリ―が障害の時はセカンダリ―(静的Webサイトホスティング)にアクセスさせるポリシーです。
「(1)通常時はリージョンを跨いだ複数のインスタンス上のWebサービスへアクセスさせる」のは、フェイルオーバールーティングポリシーのプライマリーに該当するので、合っていると思います。
レイテンシールーティングポリシーは、プライマリー(複数のインスタンス)のどちらがより遅延が少ないかの判定をしています。
Amazon ElastiCacheが不正解なのは、「データを永続的に保存可能」なことではなく「データ量の上限は不明」なところかなと思いました。
ElastiCacheはノードタイプによって保存容量(メモリ)が違うので。
https://aws.amazon.com/jp/elasticache/pricing/
どちらにせよ解説には合っていないですが……。
S3はリージョン内の最低3つのAZに保存されているので「バックアップ用のサーバーとは別の場所に二重保管」を満たせているかと思います。
https://aws.amazon.com/jp/s3/faqs/
AWS リージョン
Q: データはどこに保存されますか。
Amazon S3 バケットを作成する際に、AWS リージョンを指定します。
S3 Standard、 S3 標準 – IA、S3 Intelligent-Tiering、S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive の各ストレージクラスでは、
オブジェクトは 1 つの AWS リージョン内で少なくとも 3 つのアベイラビリティーゾーン (互いに何マイルも離れている) にまたがった複数のデバイスで自動的に保存されます。
その旨がこの解説に書いてあると理解がしやすいと思うのですが……。
AWS試験の出題範囲とAWS推奨技術には時期のズレがあるみたいなので、まだNATインスタンスに関する問題は出題されているのかもしれません。
SAA-C03になってから受験したことありますが、S3 Glacierが出題されてたりしましたよ。(今はS3 Glacier Instant RetrievalとS3 Glacier Flexible Retrievalに分かれてる)
設問の「負荷が軽減されると予想されるのは、どのエンドポイント(接続先)に対するものか。」というのは、
「どのエンドポイントを使用したら負荷が軽減されるか?」という質問ではなく、
「レプリカインスタンスを使用した結果、どのエンドポイントの負荷が軽減されるか?」という質問なので、
答えはクラスターエンドポイントになります。
解説に書かれている「ネットワークACLでは全ての通信を拒否するように設定されている」というのは、ネットワークACLのデフォルト設定のことではなく、設問にある条件のことですよ。
以下の状態の時、必要な設定はどれか。(3つ選択)
・インスタンスにはデフォルト設定のセキュリティグループが割り当てられている
・インスタンスが所属するサブネットのネットワークACLは、全ての通信を拒否するように設定されている