料金・コスト系

|| 予め予算を設定して、支出が予算額を上回った場合にアラート通知を設定する必要があります

AWS Budgets: AWSの予算管理を実施するサービス.

• 支出が予算額を上回った場合にアラート通知を設定することができる.
  

AWSのコスト試算について

AWS 料金計算ツール（AWS Pricing Calculator）: すべてのAWSリソースに対するニーズに応じたコスト試算ができます。

• 構築する予定のソリューションをモデル化した上で、必要なリソースタイプや数を特定して、利用可能なインスタンスタイプと契約条件を見つけたり、価格を算出できます.

---

暗号化・コンプライアンス・監査・ログ・レポーティング

AWSの監査人が発行する全てのレポートにアクセスすることができるAWSサービス

AWS Artifact:

• AWS のセキュリティおよびコンプライアンスレポートと特定のオンライン契約にオンデマンドでアクセスできます.
• AWS の監査人が作成したレポート、認証、認定、その他のサードパーティーによる認定情報にオンデマンドでアクセスできます。

AWSリソースの監査向けに証拠収集を自動化することが必要

AWS Audit Manager: AWSリソース の使用状況を継続的に監査して、リスクとコンプライアンスの評価を自動化するサービス

• Audit Manager を使用すると、ポリシー、手順、および活動 (コントロールとも呼ばれる) が効果的に機能しているかどうかを簡単に評価できます。
  

会社が利用している全てのAWSアカウントへのAmazon GuardDutyによる監視結果を集計して、分析・レポーティングすることが必要

Amazon GuardDutyによる監視結果を集計できる、というところが肝.

AWS Security Hub: すべてのAWSアカウントにおける高優先度のセキュリティアラートおよびコンプライアンス状況を包括的に確認するサービス

Amazon Detective: CloudTrail、VPC Flow Logs、GuardDutyのログや結果を自動的に収集し、潜在的なセキュリティの問題を調査・分析

Amazon S3バケット内に社外秘の機密ドキュメントを保存しています。ユーザーの1人がそのドキュメントを、無断でダウンロードしたようです。あなたはユーザーを特定する必要があります。

AWS CloudTrail: ユーザーアクティビティログを取得できるログ監視サービスです。

• ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます.
• イベントには、AWS マネジメントコンソール、AWS CLI、および AWS SDK と API で実行されたアクションが含まれます.
  • これを利用して、ユーザーが無断でダウンロードしたアクティビティを特定することができます。

---

VPN・セキュリティ

オフィスネットワークとAWSネットワークとの間で暗号化された通信を実施する必要がある

AWS VPN: オフィスネットワークとAWSネットワークとの間で暗号化された通信接続を構成できる

• AWS VPNはオンプレミスネットワークとAWS ネットワーク間での暗号化した安全な接続を確立するサービス.

VPC間をネットワーク接続するには、どのAWSサービスまたは AWS 機能を使用すればよいか

1. VPCピアリング接続: 2 つの VPC 間でプライベートなトラフィックのルーティングを可能にするネットワーキング接続

• 2 つの VPC間でプライベートなトラフィックのルーティングを可能にするネットワーキングを実現.

  2. AWS Transit Gateway: 中央ハブを介して 複数のVPC とオンプレミスネットワークを接続することができるVPC間の接続機能

• ネットワークが簡素化され、複雑なピア接続関係がなくなります.
  

アプリケーション内で利用される認証情報をセキュアな方法で保存する必要があり、できる限り運用オーバーヘッドを最小限に抑える必要があります

AWS Secrets Manager: データベースやその他のサービスの認証情報を安全に暗号化してシークレットとして保存・取得する仕組みを提供

• コード内のハードコードされた認証情報 (パスワードを含む) を Secrets Manager への API コールに置き換えることで、シークレットをプログラムから取得可能.
  

Eコマース企業はDDoS攻撃のようなネットワーク関連の攻撃から、ECサイトを保護する必要があります

AWS WAF: WEBアプリケーションのセキュリティを侵害する攻撃やボットから、WEBアプリケーションまたは API を保護するウェブアプリケーションファイアウォール

• アプリケーション (レイヤー 7) レイヤーにおける、DDoS 攻撃にはWAFを適用.

  AWS Sheild: Amazon CloudFront にRoute53と連携して利用されるサービス

• Amazon CloudFront とRoute53のどちらか、または両方を利用することが必須.
• Amazon CloudFrontとRoute53にAWS Shieldを組み合わせて、Web アプリケーションへの DDoS 攻撃に対して最適な防御壁を設定することができます.

|| WEBアプリケーションにAWS WAFを適用して、WEBアクセス時の不正アクティビティを防止する必要があります。どのAWS サービスにAWS WAFを適用することができるか

AWS WAF: WEBアプリケーションまたは API を保護するウェブアプリケーションファイアウォール.

下記に適用可能.
- Amazon CloudFront → ルールは世界中のエンドユーザーに近い場所にあるすべての AWS エッジロケーションで実行.
- API Gateway → ルールはリージョンで実行.
- Application Load Balancer → ルールはリージョンで実行.
- AWS AppSync → ルールはリージョンで実行.

VPC を指定してデプロイする必要があるAWSサービスはどれ

Amazon EC2ƒ©©

• インスタンスを作成する際は、VPCとサブネットを指定して、配置するアヴェイラビリティゾーンを決める必要がある

  Amazon Elastic File System (Amazon EFS)

• ファイルシステムを作成する際は、特定のVPCを指定する必要があります。

---

アプリケーション設計・開発系

|| AWS上でマイクロサービス型のアプリケーションを開発しています。プッシュメカニズムを使用して、メッセージを複数のコンポーネントに送信する機能が必要です。

Amazon SNS (Amazon Simple Notification Service): アプリケーション間の通信に使用できるフルマネージド型メッセージングサービス、プッシュメカニズムを使用可能.

Amazon MQ: マネージド型メッセージブローカーサービス. これを利用して、プッシュ型のメッセージをアプリケーション間で送信することが可能.

モバイルアプリケーションを作成しています。様々なデバイスでの利用が想定されており、効率的なテストを実施してデバイス環境に対応できるようにする必要がある

AWS Device Farm: 広範なデスクトップブラウザとモバイルデバイスでテストを実施できる.

|| サーバレスアプリケーションを構築する際に利用できるサービス

AWS Lambda: サーバレス設計を実現するための代表的なサービス.

Amazon ECS: AWS Fargateが搭載されているため、サーバーをプロビジョニングまたは管理しなくてもコンテナーをデプロイしてDockerをサーバレス化可能.

アプリケーションのコード品質を改善するためにコードレビューが必要で、効率化するためのレビューの自動化を検討

Amazon CodeGuru: CodeGuru Reviewer と CodeGuru Profilerがある.

---

インフラ系

アンマネージドサービス

• EC2: 定期的にアプリケーションがパッチを適用する.
  

ファイル形式で保存できるNASとして機能するストレージサービス

Amazon Elastic File System (Amazon EFS): NASと同じ機能を提供するファイル形式のストレージサービス

1 秒間に最大でテラバイトのスループットを達成できる分散ファイルシステムとして機能するサービス

Amazon FSx for Lustre: ハイパフォーマンスファイルシステムである Lustre を搭載したファイルシステム.

コンテナイメージを格納できるのは

Amazon ECR (Elastic Container Registry) : 完全マネージド型の Docker コンテナレジストリ.

障害が発生したインスタンスを新しいインスタンスに交換する必要がある場合、どのAWSサービスを使用すればよいか

Amazon EC2 Auto Scaling: Amazon EC2インスタンスの自動的な増減を実施するスケーリング機能

• インスタンスに異常が発生した際に該当インスタンスを検出して、そのインスタンスを削除して、代わりの新しいインスタンスを起動します。

Amazon EC2インスタンス間のネットワーク接続上でエラーが発生しました。あなたは原因を追究する必要があります

VPCフローログ: VPC のネットワークインターフェイス間で行き来する IP トラフィックに関する情報をキャプチャできる機能

• EC2インスタンスのネットワークインターフェースにおいてフローログを有効化することで、EC2インスタンス間のネットワークトラフィックログを取得することができます.

あなたはEC2インスタンスサーバーに対してオートスケーリング構成を実現しようとしています。

Auto Scaling グループ: オートスケーリングに利用される EC2 インスタンスを設定する.

EC2インスタンス: ユーザーは定義した条件に基づいて必要な数のEC2インスタンスを実行するようにAutoScalingグループを定義する.

CloudWatch: Auto Scaling グループはCloudWatchデータを利用してAuto Scalingを実施

• Auto Scaling グループによって、ヘルスチェックの置き換えやスケーリングポリシーなど、Amazon EC2 Auto Scaling の機能も使用できます.
• Auto Scaling グループのサイズは、希望するキャパシティーとして設定したインスタンスの数によってユーザーが設定します.
  • 手動でまたは自動スケーリングによってスケーリングを実施して、インスタンス数を調整することができます.
• Cloudwatchを使用して、実行中のインスタンスのCPU使用率などを監視し、AutoScalingのオンデマンドの変更に基づいて自動的にスケールアップとスケールダウンするモニタリングが可能.
  

リージョン内のアベイラビリティーゾーンは低遅延リンクで接続されています。低遅延リンクの利点は何

AZ間のデータ同期を出来る限り迅速に実施することができる

あなたはタスク処理用のEC2インスタンスを起動することになった。社内のセキュリティ規定によって、ホストサーバーを他のAWSアカウントユーザーと共有することができません。どのインスタンスタイプが最適?

Amazon EC2 ベアメタルインスタンス: アプリケーションは基盤となるサーバーの Intel® Xeon® スケーラブルプロセッサとメモリリソースに直接アクセスできる特別なインスタンス

• クラウド経由で物理サーバーのような設定が可能なインスタンスとなっており、ユーザーが物理サーバーを占有することが可能.
• ユーザーはライセンス付与やサポート要件に適用させたり、自前のハイパーバイザーを使用するといったことが可能に.
• 非仮想環境で実行する必要のあるアプリケーション、Intel® VT-x などのハードウェアの機能セットへのアクセスが必要なワークロードに最適.

  ハードウェア専有インスタンス: 特定のユーザーが専有したハードウェアの VPC で実行される Amazon EC2 インスタンス

• ホストハードウェアのレベルで、他の AWS アカウントに属するインスタンスから物理的に分離されているため、ホストサーバーを他のユーザーと共有せずに利用可能.

---

アカウント設定・権限・構成管理

会社が新規に作成するAWSアカウントをコントロールして、アカウント内のエンティティに必要なAWSサービスへのアクセスのみに許可を与える必要があります。どのサービスを利用するべきですか

AWS Organizations: 複数のAWSアカウントの統合管理を実施するサービスで、個々のAWSアカウント内部で利用可能な権限範囲を管理することができます。

• 1つのAWSアカウントをマスターアカウントに設定して、他のAWSアカウント（メンバーアカウントと呼ぶ）を管理することができます.
• マスターアカウントはメンバーアカウントに対して、様々なポリシーを適用して制御することが可能です.
• 一括請求機能を利用して、すべてのアカウントに単一の支払い方法を利用することで請求を簡素化できます.

セキュアで優れたアーキテクチャのマルチアカウント型のAWS環境を自動で構成する仕組みを求めている

AWS Control Tower: AWS Organizationsと連携して複数アカウントに対するランディングゾーン（事前設定された安全な環境）の設定を自動化するサービス.

マルチアカウントの AWS 環境に対してゾーン設定を自動化することで、全てのIAMユーザーがリソースの安全な利用ができるように制御する

AWS Control Tower: AWS Organizationsと連携して複数アカウントに対してランディングゾーン（事前設定された安全な環境）の設定を自動化するサービス.

• マルチアカウントの AWS 環境セットアップを自動化して、各アカウントのセキュリティ設定を統制が可能.

|| IAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻を表⽰する機能

Access Advisor: Access AdvisorのLast Accessed DataにIAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻が表⽰される.

アプリケーションへの適切な権限設定が求められます

• IAM ロール: 特定のアクセス権限を持つ IAMエンティティ
  • IAM ロールを使用することで、AWS リソースに他のリソースへのアクセス権限を付与することができます。

開発、テスト、本番などの様々なフェーズに分けたシステム環境をAWSに整備しており、リソースを簡単に表示および管理するために各フェーズに応じたカスタムコンソールを作成したい

AWSリソースグループ: リソースの管理やタスクの自動化のための管理サービス

• 各フェーズや領域のすべてのリソースをグループにすることで、各フェーズに応じたカスタムコンソールで管理することが可能に.
• デフォルトでは、AWSマネジメントコンソールはAWSサービスごとに整理されているが、リソースグループを使用すると、プロジェクトと使用するリソースに基づいて情報を整理および統合するカスタムコンソールを作成できます。

複数のAWSアカウントを利用しています。そのため、AWS Organizations を使用して管理作業を効率化することになりました。AWS Organizationsを利用して何が実行できるか

• Savings Plans をアカウント感で共有することができる.
• EC2リザーブドインスタンスをアカウント間で共有することができる.

上記は一括請求機能の機能となっており、AWS Resource Access Manager を利用する必要はありません。

AWS OrganizationsにAWS Resource Access Manager (RAM) を適用することで何ができますか

AWS Resource Access Manager (RAM) : AWS Organizationsの組織内の AWS アカウント間または 組織単位 (OU) 間でリソースを安全に共有するのに役立ちます。

• アカウント間で Amazon VPC サブネットなどの基本的なインフラストラクチャを共有し、複数のアカウントがアプリケーションリソースを同じサブネットにデプロイできるようになる.
• AWS Resource Access Managerではまとめて許可権限が付与できるように、AWS RAM マネージド許可を使用して、共有リソースでタスクを完了するために必要な最小限の許可を付与することができます.
• プライベート認証局などのリソースを一元的に管理して、複数のアカウントに証明書を発行できます.
  

AWSリソースを複数のアカウント間で共有するために利用できるサービス

AWS Resource Access Manager（AWS RAM）: 個々のAWSアカウント、AWS Organizations内の組織や組織単位（OU）において、AWSリソースの安全な共有を実施するサービス

AWS Organizations: 他のアカウントで購入したリザーブドインスタンスを他のメンバーアカウントで共有することができます。

---

料金/コスト削減系

会社が利用しているAWS環境において、AWS リソースのサイズを適正化するなどして、コスト削減を実現するように依頼されました

AWS Trusted Advisor: ユーザーが利用しているAWSリソースを評価してコスト削減、パフォーマンスの向上、セキュリティの向上に向けた推奨事項を提供するサービス

• リソースをプロビジョニングするのに役立つベストプラクティスに従ったリアルタイムガイダンスを提供します。
• 推奨項目には、コストの最適化・パフォーマンスの最適化・セキュリティの向上・耐障害性の向上 などに関するアクションが含まれます。
  

AWS クラウドのコストに影響を及ぼす要素はどれ

高速化機能を利用しないAWSネットワークからインターネットへのデータ転送アウト

停止中のAmazon EC2インスタンスのボリューム

• インスタンスにアタッチされたEBSボリュームの利用料金は発生します.
• 完全に課金を止めるためには、EBSのスナップショットを取得した上で、シャットダウンするなどの対応が必要.

AWS Lambdaを使用する際に、利用料金を決定する要因は何

• 利用時間.
• ファンクションのリクエスト数.

AWS全体のコストを削減する際に、これまでのコスト利用状況を調査するために何を利用するべき

コスト配分タグ: ユーザーはタグを使用してリソースを整理することで、コスト配分タグによってタグごとにコストを詳細に追跡できる

• コスト配分タグをアクティブにするとコスト配分レポートでリソースコストを整理し、AWSコストの分類と追跡が容易に.

  AWSのコストと使用状況レポート: AWSの包括的なコストと使用状況データが含まれている

• コストと使用状況レポートを有効化するとAmazon S3 バケットに定期的に配信される.
• このレポートは時間単位、日別、または月別で受け取ることができ、コストの利用状況を解析することが可能.

  AWS Cost Explorer: コストと使用状況を表示して、分析するために使用できるツール

• メイングラフ、コストと使用状況レポート、または Cost Explorer RI レポートを使用して、AWSの使用状況とコストを確認できます.
• これを利用して、過去のデータから今後 3 か月間にどれくらい費やす可能性が高いかを予測することも可能.

---

機械学習・IoT

|| 工場などの現場から直接データを収集・処理した上で、その処理結果を迅速に他のサービスに転送することができるIoTデバイスの軽量分析エンジンとなるアプライアンスはどれでしょうか？

AWS Snowcone: IoTデバイスの軽量分析エンジンとして利用できるエッジコンピューティングアプライアンス.

• 現場にアプライアンスを設置して、直接にデータを収集・処理して即座に洞察を得てから、その場からデータを転送することができます.
• センサーまたはマシンによってオンラインで継続的に生成されたデータを、病院、工場、または他のエッジロケーションから AWS に転送します.
  

クラウド上のサードパーティーのデータセットと連携して、新しい予測モデルを作成する準備をしています。データの前準備に利用できるAWSサービスはどれ

AWS Data Exchange: AWS上でサードパーティが提供するデータをサブスクリプション方式で使用できるようにするサービス.

• AWS Data Exchangeを利用することで、サードパーティーのデータセットの膨大なポートフォリオからデータファイル、データテーブル、データ API を見つけることができます。
  

---

AWS Well-Architected Framework

docs.aws.amazon.com

パフォーマンス効率

• IT およびコンピューティングリソースの構造化および合理化された割り当て

信頼性

• 障害から自動的に復旧する.
• 復旧手順をテストする.
• 水平方向にスケールしてワークロード全体の可用性を高める.
• キャパシティーを推測することをやめる.
• オートメーションで変更を管理する.

サステナビリティ

• クラウドワークロードのダウンストリームの影響を軽減する.
• 実行中のクラウドワークロードによる環境への影響を最小限に抑える.

---

スケーリングのタイプと説明の組合せ

垂直スケーリング

• スケールアップ: メモリやCPUを追加・増強すること.
• スケールダウン: メモリやCPUを削減すること.

水平スケーリング

• スケールアウト: 処理する機器/サーバーを台数を増加する.
• スケールイン: 処理する機器/サーバーを台数を低減する.