birdpixyさんの助け合いフォーラム投稿一覧
スタックはスタックセットで定義されたAWSリソースのグループなので「複数のリージョン、複数のAWSアカウントで同一のCloudFormationスタックを作成できる」に不自然さを感じないのですが…。
スタックセットでは、1 つの CloudFormation テンプレートを使用して、複数のリージョンの AWS アカウント にスタックを作成できます。
https://dev.classmethod.jp/articles/introducing-cloudformation-stacksets/#toc-1
CloudFormation StackSetsを使うことで、1つのテンプレートから複数のAWSアカウント、リージョンに対しStackを作成することが可能です。
転送時間の計算方法自体が分からないのか、計算しても約81時間にならないのか、どちらか分からないのですが後者だと仮定しまして、
データサイズを1k = 1024byteで計算すると約81時間になりました。
ちなみに1k = 1000byteで計算すると約74時間なので、どちらにしても3,4日で転送完了します。
複数のDirect Connectロケーションを使用する → 複数のAWS Direct Connectエンドポイントに接続している
は成立しますが
複数のAWS Direct Connectエンドポイントに接続する → 複数のDirect Connectロケーションを使用している
は単一のDirect Connectロケーションで複数のDirect Connectエンドポイントに接続していることも考えられるので、成立しません。
なので「複数の回線をAWS Direct Connectエンドポイントに接続する」は単一障害点がない設計にしているとはいえないと思います。
ユーザー(IAM)ポリシーはバケットポリシーと同じくJSON形式でポリシーを記述するので、対象のIAMユーザーのIPアドレスやドメインで制限をかけることができます。
例えば、S3バケットへの書き込み権限を付与するIAMユーザーに対して、社内IPアドレスからのアクセス時のみ許可するといった感じです。
バケット「bucket-pingt」をマネジメントコンソール上で管理するためには、バケット内のオブジェクトを一覧表示させる権限(ListBucket)が必要がある、という説明では納得できないでしょうか?
おそらくポイントは「大量」に「リアルタイム性の高いデータ」を処理するというところだと思います。
Amazon Kinesis Data Streamsはリアルタイムの大量データ処理に特化したサービスであるのに対し、Amazon SNSはメッセージング&通知機能でリアルタイム性はあるものの大量のデータ処理が得意というわけではないので、その違いかなと思いました。
AWSのサイトに
Q: ボリュームゲートウェイとは何ですか?
(中略)
保管型モードでは、プライマリデータはローカルに保存されてデータセット全体が低レイテンシーのアクセスのために使用可能となり、非同期に AWS にバックアップされます。
https://aws.amazon.com/jp/storagegateway/faqs/
とあるので、オンプレミスのデータがマスターのようです。
該当問題の解説にも
・保管型(ストアドボリューム)
すべてのデータをオンプレミスのボリュームストレージに保存し、S3に非同期でバックアップを保存します。キャッシュ型とは異なり全データへのアクセス先がオンプレミスになるので、S3へのアクセスによる遅延が発生しません。
とあるので、選択肢の書き方がおかしいですね……。
こんばんは。
私がOracle Silverに合格したのは結構前なので自身のことは覚えていないですが、合格体験記に合格した人のコンボ数やレベルいくつで合格したかが見れますよ。
合格体験記は学習方法や出題傾向も書いてあったりするので、一通り見てみることをお勧めします。
起動ボリュームはOSが起動するファイルがあるボリューム(ブートボリューム)のことです。
WindowsだとデフォルトでCドライブです。
EBSのHDDのボリュームタイプ(st1、sc1)は、EC2インスタンスのブートボリューム以外(WindowsでいうDドライブ等)であればアタッチできます。
問題ID:31223の解説にも書いてありますが、
-ユーザーからAWSへファイルのアップロード
-アップロードされたファイルの圧縮
の2つの処理をEC2とLambdaの間にS3イベント通知を挟んで分けているので、デカップリング(疎結合)は実現できていると思います。
デカップリングできていない場合の例は、EC2でファイルのアップロード処理と圧縮処理を続けて実行するような感じになるのではないかと。
おそらく、S3イベント通知は通知を出すだけなので間にSQSがないと続けて処理される=デカップリングができていない?と疑問に思ってらっしゃるのではないかと思いますが、橋渡しの処理が何であれプログラムを分けている時点でデカップリングは実現しているのではないでしょうか。
プッシュ通知機能を持つSNSもデカップリングに適したサービスとされているので、S3イベント通知も同じという認識です。
SQSの有無の違いは、下記のサイトが分かりやすかったです。
https://engineers.fenrir-inc.com/entry/2022/04/20/104220
1 S3イベントをトリガーとしてLambdaを呼び出す(31223の正答)
2 S3からSQSを挟んでLambdaを呼び出す(30639の正答)
30639の場合、処理が遅延するほど大量のリクエストが発生するのと、処理結果をユーザーに返さなければならないという点から、より柔軟な設計にできるSQSを使用しているのではないかなと思いました。
フェイルオーバールーティングポリシーでは、通常時はプライマリ―(複数のEC2インスタンス)へアクセスさせて、プライマリ―が障害の時はセカンダリ―(静的Webサイトホスティング)にアクセスさせるポリシーです。
「(1)通常時はリージョンを跨いだ複数のインスタンス上のWebサービスへアクセスさせる」のは、フェイルオーバールーティングポリシーのプライマリーに該当するので、合っていると思います。
レイテンシールーティングポリシーは、プライマリー(複数のインスタンス)のどちらがより遅延が少ないかの判定をしています。
Amazon ElastiCacheが不正解なのは、「データを永続的に保存可能」なことではなく「データ量の上限は不明」なところかなと思いました。
ElastiCacheはノードタイプによって保存容量(メモリ)が違うので。
https://aws.amazon.com/jp/elasticache/pricing/
どちらにせよ解説には合っていないですが……。
S3はリージョン内の最低3つのAZに保存されているので「バックアップ用のサーバーとは別の場所に二重保管」を満たせているかと思います。
https://aws.amazon.com/jp/s3/faqs/
AWS リージョン
Q: データはどこに保存されますか。
Amazon S3 バケットを作成する際に、AWS リージョンを指定します。
S3 Standard、 S3 標準 – IA、S3 Intelligent-Tiering、S3 Glacier Instant Retrieval、S3 Glacier Flexible Retrieval、S3 Glacier Deep Archive の各ストレージクラスでは、
オブジェクトは 1 つの AWS リージョン内で少なくとも 3 つのアベイラビリティーゾーン (互いに何マイルも離れている) にまたがった複数のデバイスで自動的に保存されます。
その旨がこの解説に書いてあると理解がしやすいと思うのですが……。
AWS試験の出題範囲とAWS推奨技術には時期のズレがあるみたいなので、まだNATインスタンスに関する問題は出題されているのかもしれません。
SAA-C03になってから受験したことありますが、S3 Glacierが出題されてたりしましたよ。(今はS3 Glacier Instant RetrievalとS3 Glacier Flexible Retrievalに分かれてる)
設問の「負荷が軽減されると予想されるのは、どのエンドポイント(接続先)に対するものか。」というのは、
「どのエンドポイントを使用したら負荷が軽減されるか?」という質問ではなく、
「レプリカインスタンスを使用した結果、どのエンドポイントの負荷が軽減されるか?」という質問なので、
答えはクラスターエンドポイントになります。
解説に書かれている「ネットワークACLでは全ての通信を拒否するように設定されている」というのは、ネットワークACLのデフォルト設定のことではなく、設問にある条件のことですよ。
以下の状態の時、必要な設定はどれか。(3つ選択)
・インスタンスにはデフォルト設定のセキュリティグループが割り当てられている
・インスタンスが所属するサブネットのネットワークACLは、全ての通信を拒否するように設定されている
まず「AWS Config」と「AWS CloudTrail」の違いについて、おそらくysatoagさんも理解されてると思いますが
・AWS Config … 「AWSリソース」の設定を管理して記録・評価する
・AWS CloudTrail … 「AWSユーザー」の操作を記録する
という違いがあります。
30207の問題ではAWS Configが正解ですがAWS CloudTrailでも同様のことが出来ないでしょうか?
作成済みのS3バケットに対して、パブリックでの書き込みアクセスを許可されていないことと、バージョン管理が有効化されているかを確認する必要がある。また、今後の構成変更はすべて記録したい。
30207の問題であれば、設定の確認に関してはAWS Configができ、構成変更の記録だけであればAWS ConfigでもAWS CloudTrailでも確認ができるのではと考えております。
ご認識のとおり、現時点でのAWSリソースに対する設定確認はAWS Configができます。(CoudTrailですでに操作記録を取っている場合は、それを追跡して確認できますが)
そして構成変更の記録は、AWS ConfigでもAWS CloudTrailでもできます。(主体がAWSリソースか、AWSユーザーかの違いです)
実際にAWS ConfigはAWS CloudTrailと連携しているので、AWS CloudTrailで取得された操作は、AWS Configでも管理されています。
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/security-logging-and-monitoring.html
https://aws.amazon.com/jp/config/faq/ 「Q: AWS Config は AWS CloudTrail とどのように連携しますか?」
AWS Well-Architectedフレームワークの「信頼性の柱」に
https://wa.aws.amazon.com/wat.pillar.reliability.ja.html
水平方向にスケールしてワークロード全体の可用性を高める
とあるので、信頼性でも間違いではないのかなと思います。(信頼性を高める要因の一つに可用性がある)
しかしこの問題の場合は可用性の方がしっくりきますね。
AWS以外の一般的なロールではユーザーアカウントに紐づけて権限を付与することが多いですが、AWSのIAMロールではCafeLateさんの説明のように、AWSリソース(EC2やLambdaなど)に権限を付与します。なので、IAMロールではIAMユーザーへ権限の付与はできません。
参考にあるIAMロールの解説に
IAMロールは、AWSのリソースやアプリケーション、他のアカウントに対して一時的にAWSリソースへのアクセス権限を付与する際に利用します。
と、「他のアカウント」(IAMユーザーではなくAWSアカウント)に対しても権限を付与できる(厳密には権限委譲です)と書かれていますが、こちらも各アカウントに一つ一つ設定していくものなので、対象のアカウント数が多いと手間ということだと思います。
ちなみに解説内のサービスとリソースはほぼ同じ意味だと思います。(AWSサービス=AWSリソース=EC2やLambdaなど)私の解釈では、AWSサービス=EC2・Lambda、AWSリソース=EC2インスタンス・Lambda関数くらいの違いかなと思っています。
こんばんは。
問題の主題である「ライフサイクルフック」がスケールインによって終了するインスタンスに任意の処理を実行させる機能なので、「スケールインによって終了するインスタンスに(インスタンス自身の)ログを収集・退避させる」ということかと思います。
AWSホワイトペーパーに「シンプルルーティングでは、通常、1 つのリソース (ウェブサイトのウェブサーバーなど) にトラフィックをルーティングします。」と書いてあるので、1つのIPアドレスを返答すると思うのですが。
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/routing-policy.html#routing-policy-simple
複数のIPアドレスを指定することもできて、その場合はランダムに返答するからということでしょうか?
デフォルトの範囲が紛らわしいのですが、
ご提示いただいているURLは「VPCにデフォルトで作成されているセキュリティグループ」では「同じセキュリティグループに割り当てられたリソースからのインバウンドトラフィックを許可」がデフォルトで設定されていることを指しています。
解説の「すべてのインバウンド通信(外部から内部への通信)を拒否」は、セキュリティグループを作成した時のデフォルトの設定のことだと思います。
同URLの「セキュリティグループの基本」に以下の説明がありました。
セキュリティグループのルールの特徴を次に示します。
・セキュリティグループを初めて作成するときには、インバウンドルールはありません。したがって、インバウンドルールをセキュリティグループに追加するまで、インバウンドトラフィックは許可されません。
私もあれ?と思って以前調べたところ、S3オブジェクトは「強い一貫性」に変更されてますが、S3バケットは「結果整合性」のままなので、どれか選択であれば「結果整合性」になると思います。
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel
バケット設定には、結果整合性モデルがあります。具体的には、次のように処理されます。
・バケットを削除してすぐにすべてのバケットを一覧表示しても、削除されたバケットは引き続きリストに表示されます。
・バケットで初めてバージョニングを有効にしたときは、変更が完全に反映されるまでに、少し時間がかかることがあります。バケットへのオブジェクトの書き込みオペレーション (PUT または DELETE リクエスト) は、バージョニングを有効にして 15 分待ってから発行することをお勧めします。
24470の解説にも補足が書いてありますね。
S3のアップデートにより、結果整合性に加えてオブジェクトに対する操作(更新や削除など)に「強力な整合性」が採用されるようになりました。強力な整合性ではオブジェクトへの操作の反映が結果整合性よりも即時性が高くなり、操作の直後でも最新のデータが参照できます。