「AWS認定SysOpsアドミニストレーター – アソシエイト」試験が、2018年9月に改訂されました。改訂後試験のサンプル問題が2018年11月30日現在で英語のサンプルのみでしたので、AWSの翻訳サービスAmazon Translateで翻訳したものを修正してみました。

「AWS認定SysOpsアドミニストレーター – アソシエイト」とは

AWS認定のアソシエイトレベルには、役割別に3つの試験があります。設計担当者向けの「ソリューションアーキテクト」、開発担当者向けの「デベロッパー」、そしてこの「SysOpsアドミニストレーター」は、日常的なオペレーションや管理を担当する方向けの認定です。AWS導入後の、円滑なシステム運用の維持管理に必要な知識を有することを証明できます。

2018年にこの認定は、ぐっと受験希望者が増えた印象です。国内でもAWSの利用企業が増え、運用の課題を解決できるエンジニアが必要とされているのでしょう。

2018年9月に試験問題の改訂と試験時間・問題数など、制度の変更が行われました。これから受験を予定している方は、試験の概要を見直しておきましょう。

受験前提として想定されるスキルや経験

• AWS上で稼働するシステムの管理／運用経験
• システム管理者経験　1～2年
• 仮想化技術に関する知識と経験
• ネットワークの基礎知識(DNS、TCP/IP、Firewall etc…)

出題範囲

• モニタリングとレポート            22％
• 高可用性                        8％
• 展開とプロビジョニング           14％
• ストレージおよびデータの管理  18％
• セキュリティとコンプライアンス    18％
• ネットワーク                       14％
• 自動化と最適化                12％

サンプル問題

Amazon Web Services, Inc.のサイトからPDFをダウンロードできます。→

AWS Certified SysOps Administrator – Associate Level Sample Exam Questions日本語訳

1) When working with Amazon RDS, by default AWS is responsible for implementing which two management-related activities? (Pick 2 correct answers)

Amazon RDS を使用する場合、AWSはデフォルトで次のうちどの管理関連アクティビティを実施する責任を持ちますか? （2つ選択）

A. Importing data and optimizing queries
B. Installing and periodically patching the database software
C. Creating and maintaining automated database backups with a point-in-time recovery of up to five minutes
D. Creating and maintaining automated database backups in compliance with regulatory long-term retentionrequirements

A. データのインポートとクエリの最適化
B. データベースソフトウェアのインストールと定期的なパッチの適用
C. 5分以内のポイント・イン・タイム・リカバリを使用可能な自動データベース・バックアップの作成と保守
D. 規定の長期保持要件に準拠した自動データベース・バックアップの作成と保守

回答：BとC

解説

A.データとコードの管理はお客様の責任です
B.商用ではOracleやMicrosoft SQL Server、OSSではMySQLやPostgreSQLなどのDBエンジンのインストール、OSとDBのパッチ適用はAWSが実施します。
C.1日1回の自動スナップショットとトランザクションログはAWSにより自動で取得されており、特定時点への復旧に使用できます。
D.自動スナップショットの最長保持期間は35日間です。

2) You maintain an application on AWS to provide development and test platforms for your developers. Currently both environments consist of an m1.small EC2 instance. Your developers notice performance degradation as they increase network load in the test environment.
How would you mitigate these performance issues in the test environment?

AWS 上でアプリケーションを保守し、開発者向けに開発およびテスト用のプラットフォームを提供しています。 現在、どちらの環境も m1.small EC2 インスタンスで構成されています。テスト環境でネットワーク負荷が増加すると、パフォーマンスが低下することに開発者が気付きました。このパフォーマンス問題をどのように緩和しますか?

A. Upgrade the m1.small to a larger instance type
B. Add an additional ENI to the test instance
C. Use the EBS optimized option to offload EBS traffic
D. Configure Amazon CloudWatch to provision more network bandwidth when network utilization exceeds 80%

A. m1.small を大きなインスタンスタイプにアップグレードする。
B. テストインスタンスに ENI を追加する。
C. EBS 最適化オプションを使用して EBS トラフィックをオフロードする。
D. ネットワーク使用率が80%を超えたとき、ネットワーク帯域幅を追加するように Amazon CloudWatch を設定する。

回答：A

解説：

A.インスタンスタイプをアップグレードすることで、ネットワーク帯域を含めハードウェアスペックを拡張できます。
B.ENI(仮想ネットワークインターフェース)を追加しても帯域は増加しません。
C.m1インスタンスはEBS最適化オプションを使用できません。
D.m1インスタンスはENAによるネットワーク帯域の追加をサポートしていません。また、CloudWatchにはネットワーク帯域幅をスケールさせる機能はありません。

※m1インスタンスは旧世代のインスタンスタイプです。実際の試験問題では出題されないでしょう。

3) Per the AWS Acceptable Use Policy, penetration testing of EC2 instances:

AWSの利用規約では、EC2インスタンスへの侵入テストは：

A. may be performed by the customer against their own instances, only if performed from EC2 instances.
B. may be performed by AWS, and is periodically performed by AWS.
C. may be performed by AWS, and will be performed by AWS upon customer request.
D. are expressly prohibited under all circumstances.
E. may be performed by the customer against their own instances with prior authorization from AWS.

A. EC2インスタンスから実行された場合のみ、お客様が自身のインスタンスに対して実行できる。
B. AWSによって実行される場合があり、AWSが定期的に実行する。
C. AWS によって実行される場合があり、お客様の要求に応じてAWSが実行する。
D. いかなる状況下でも明示的に禁止されている。
E. AWSからの事前の承認を得て、お客様が自身のインスタンスに対して実行できる。

回答：E

解説：
選択肢Eの通り、侵入テストはAWSへの事前連絡が必要です。

4) You have been tasked with identifying an appropriate storage solution for a NoSQL database that requires random I/O reads of greater than 100,000 4kB IOPS.
Which EC2 option will meet this requirement?

100,000　4kB IOPS以上のランダムI/O読み取りを必要とするNoSQLデータベースに適したストレージソリューションを特定する作業を行っています。この要件を満たす EC2のオプションはどれですか?

A. EBS provisioned IOPS
B. SSD instance store
C. EBS optimized instances
D. High Storage instance configured in RAID 10

A. EBSプロビジョンドIOPS
B. SSDインスタンスストア
C. EBS最適化インスタンス
D. RAID 10で設定されたハイストレージインスタンス

回答：B

解説：

A.プロビジョンドIOPS EBSボリュームは、インスタンスあたり80,000IOPSが最大です。
B.インスタンスが配置された物理ホストの内蔵ストレージで、最大300,000IOPSを超える優れたランダムI/Oの性能を発揮します。
C.EBS最適化インスタンスは、EBSとの専用ネットワーク帯域を確保してI/Oパフォーマンスの低下を防止するオプションです。
D.ストレージ最適化インスタンスのうち、「ハイストレージインスタンス」と呼ばれるH1やD2インスタンスは、HDDベースの大容量インスタンスストアを備えたスループット重視のインスタンスタイプです。「ハイI/Oインスタンス」のI2インスタンスは高速なSSDインスタンスストアを使用します。

5) Instance A and instance B are running in two different subnets A and B of a VPC. Instance A is not able to ping instance B.
What are two possible reasons for this? (Pick 2 correct answers)

インスタンスAとインスタンスBは、VPCの 2つの異なるサブネットAとBで実行されています。 インスタンスAからインスタンスBにpingを実行できません。考えられる理由はどれですか。（2つ選択）

A. The routing table of subnet A has no target route to subnet B
B. The security group attached to instance B does not allow inbound ICMP traffic
C. The policy linked to the IAM role on instance A is not configured correctly
D. The NACL on subnet B does not allow outbound ICMP traffic

A. サブネットAのルーティングテーブルに、サブネットBへのターゲットルートがない。
B. インスタンスBにアタッチされたセキュリティグループが、インバウンドICMPトラフィックを許可していない。
C. インスタンスAのIAM ロールにリンクされているポリシーが正しく設定されていない。
D. サブネットBのNACLで、アウトバウンドICMPトラフィックを許可していない。

回答：BとD

解説：

A.同一VPC内の各サブネットは、デフォルトルートテーブルでルーティングが可能です。
B.インスタンスBへのインバウンドトラフィックが許可されている必要があります。
C.OSレベルのアクセス制御にIAMポリシーは影響しません。
D.サブネットのNACLはパケットフィルタリングをステートレスに行うため、インバウンド／アウトバウンドの双方向が許可されている必要があります。

※選択肢Dの「not allow」は「禁止している」とも「明示的な許可をしていない」とも解釈でき、NACLはデフォルトですべてのトラフィックを「許可」しているため回答を迷う表現ですが、他の選択肢からの消去法で考えるとこちらが回答になるでしょう。

6) Your web site is hosted on 10 EC2 instances in 5 regions around the globe with 2 instances per region.
How could you configure your site to maintain site availability with minimum downtime if one of the 5 regions was to lose network connectivity for an extended period of time?

あなたが管理するウェブサイトは、世界中の5つのリージョンにある10個の EC2インスタンスでホストされており、リージョンごとに2つのインスタンスがあります。5つのリージョンのいずれかでネットワーク接続が長期間切断された場合、ダウンタイムを最小限に抑えつつサイトの可用性を維持するにはどのように構成しますか。

A. Create an Elastic Load Balancer to place in front of the EC2 instances. Set an appropriate health check on each ELB.
B. Establish VPN Connections between the instances in each region. Rely on BGP to failover in the case of a region wide connectivity outage
C. Create a Route 53 Latency Based Routing Record Set that resolves to an Elastic Load Balancer in each region. Set an appropriate health check on each ELB.
D. Create a Route 53 Latency Based Routing Record Set that resolves to Elastic Load Balancers in each region and has the Evaluate Target Health flag set to true.

A. EC2インスタンスの前に配置するElastic Load Balancerを作成し、各ELB で適切なヘルスチェックを設定する。
B. 各リージョンのインスタンス間でVPN接続を確立し、リージョン全体の接続が停止した場合は、BGPを使用してフェイルオーバーする。
C. 各リージョンの Elastic Load Balancerに解決するRoute 53レイテンシーベースのルーティングレコードセットを作成し、 各ELBで適切なヘルスチェックを設定する。
D. 各リージョンのElastic Load Balancersに解決され、Target Healthフラグが trueに設定されているRoute 53レイテンシーベースのルーティングレコードセットを作成する。

回答：D

解説：

A.構成上ELBは必要ですが、リージョンレベルのネットワーク障害に対応する要件に合致しません。
B.Direct ConnectでBGPフェイルオーバーを使用できますが、設問のケースと合致しません。
C.ELBはEC2インスタンスに対してヘルスチェックを行いますが、リージョンレベルのネットワーク障害を検出するには不適切です。
D.ダウンタイムを最小化するには、Route 53のレコードにヘルスチェックを設定し、各リージョンのELBの死活監視をするのがよいでしょう。

7) You run a stateless web application with the following components: Elastic Load Balancer (ELB), 3 Web/Application servers on EC2, and 1 MySQL RDS database with 5000 Provisioned IOPS. Average response time for users is increasing. Looking at CloudWatch, you observe 95% CPU usage on the Web/Application servers and 20% CPU usage on the database. The average number of database disk operations varies between 2000 and 2500.

Which two options could improve response times? (Pick 2 correct answers)

あなたが稼働させているステートレスウェブアプリケーションは、Elastic Load Balancer（ELB）、3台のEC2ウェブ/アプリケーションサーバー、5000プロビジョンドIOPSを持つ MySQL RDS データベースで構成されています。ユーザーの平均応答時間が増加しています。 CloudWatch を見ると、ウェブ/アプリケーションサーバーでは95%のCPU使用率、データベースでは20%のCPU使用率が確認されます。データベースディスク操作の平均数は、2000～2500です。応答時間を改善するにはどうすればよいですか。（2つ選択）

A. Choose a different EC2 instance type for the Web/Application servers with a more appropriate CPU/memory ratio
B. Use Auto Scaling to add additional Web/Application servers based on a CPU load threshold
C. Increase the number of open TCP connections allowed per web/application EC2 instance
D. Use Auto Scaling to add additional Web/Application servers based on a memory usage threshold

A. ウェブ/アプリケーションサーバーに、より適切なCPU/メモリ比を持つ別のEC2インスタンスタイプを選択する。
B. Auto Scalingを使用して、CPU負荷のしきい値に基づいて、ウェブ/アプリケーションサーバーを追加する。
C. 各ウェブ/アプリケーションサーバーの、オープンTCP接続許可数を増やす 。
D. Auto Scalingを使用して、メモリ使用量のしきい値に基づいて、Web/アプリケーションサーバーを追加する。

回答：A、B

解説：

A.常時CPU負荷が高いことから、CPU最適化インスタンスなどメモリ容量あたりのCPUコア数が大きなものを選択するとパフォーマンスが改善する可能性があります。
B.CPU負荷が高い状況でWeb/APサーバーを追加し、負荷分散することで応答時間の改善が期待できます。
C.CPU使用率が高い状況でTCPコネクション数を増やしてもパフォーマンス改善は期待できません。
D.文章中でメモリについて言及がないため判断材料がありません。

8) Which features can be used to restrict access to data in S3? (Pick 2 correct answers)

S3 のデータへのアクセスを制限するために使用できる機能はどれですか? (2つ選択)

A. Create a CloudFront distribution for the bucket.
B. Set an S3 bucket policy.
C. Use S3 Virtual Hosting.
D. Set an S3 ACL on the bucket or the object.
E. Enable IAM Identity Federation.

A. バケットの CloudFront ディストリビューションを作成する。
B. S3 バケットポリシーを設定する。
C. S3 仮想ホスティングを使用する。
D. バケットまたはオブジェクトに S3 ACL を設定する。
E. IAMアイデンティティフェデレーションを有効にする。

回答：B、D

解説：

A.S3のリソースをオリジンとしてCDNサービスのCloudFront経由でアクセスさせることができますが、S3のアクセス制御は別途設定が必要です。
B.S3バケットポリシーを使用して、特定バケットへのアクセスを制御できます。
C.バケットへのアクセスをユニークなDNS名で利用できる機能です。
D.S3のACLはバケットとオブジェクトのそれぞれに設定でき、パブリック／プライベートアクセスの制御ができます。
E.IAMポリシーを使用してS3のリソースへのアクセス制御はできますが、フェデレーションを有効にしただけでは要件を満たしません。

9) You need to establish a backup and archiving strategy for your company using AWS. Documents should be immediately accessible for 3 months and available for 5 years for compliance reasons.
Which AWS service fulfills these requirements in the most cost effective way?

AWS を使用して会社のバックアップとアーカイブ戦略を確立する必要があります。 ドキュメントは 3 か月間直ちにアクセスでき、コンプライアンス上の理由から 5 年間利用できる必要があります。 これらの要件を最も費用対効果の高い方法で満たす AWS サービスはどれですか?

A. Use StorageGateway to store data to S3 and use life-cycle policies to move the data into Redshift for long-time archiving
B. Use DirectConnect to upload data to S3 and use IAM policies to move the data into Glacier for long-time archiving
C. Upload the data on EBS, use life-cycle policies to move EBS snapshots into S3 and later into Glacier for long-time archiving
D. Upload data to S3 and use life-cycle policies to move the data into Glacier for long-time archiving

A. StorageGateway を使用してデータを S3 に保存し、ライフサイクルポリシーを使用してデータを Redshift に移動して長期間アーカイブする。
B. DirectConnect を使用してデータを S3 にアップロードし、IAMポリシーを使用してデータを Glacierに移動して長期間アーカイブする。
C. EBS にデータをアップロードし、ライフサイクルポリシーを使用して EBSスナップショットをS3に作成する。後から Glacierに移行して長期間アーカイブする。
D.データをS3にアップロードし、ライフサイクルポリシーを使用してデータをGlacierに移動し、長期アーカイブを行う。

回答：D

解説：

A.Redshiftはデータウェアハウスのサービスです。
B.IAMポリシーを使用してGlacierへの書き込み権限を得ることはできますがここでは不適切です。
C.ドキュメントを参照する際にスナップショットを復元する必要があり、「直ちにアクセスでき」という用件を満たしません。
D.S3へ保存されてから3か月経過するとGlacierへ移行するライフサイクルポリシーを設定しておけば、要件を適切に満たすことができます。

10) Given the following IAM policy:

次の IAM ポリシーを指定します。

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Action": [
    "s3:Get*", "s3:List*"
    ],
    "Resource": "*"
  },
  {
    "Effect": "Allow",
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::corporate_bucket/*"
  }
  ]
}

What does the IAM policy allow? (Pick 3 correct answers)

このIAM ポリシーで許可されるものは何ですか（正しい答えを 3 つ選んでください）

A. The user is allowed to read objects from all S3 buckets owned by the account
B. The user is allowed to write objects into the bucket named 'corporate_bucket'
C. The user is allowed to change access rights for the bucket named 'corporate_bucket'
D. The user is allowed to read objects in the bucket named 'corporate_bucket' but not allowed to list the objects in the bucket
E. The user is allowed to read objects from the bucket named 'corporate_bucket'

A. ユーザーは、アカウントが所有するすべての S3 バケットからオブジェクトを読み取ることができます。
B. ユーザーは、'corporate_bucket' という名前のバケットにオブジェクトを書き込むことができます。
C. ユーザーは、'corporate_bucket' という名前のバケットのアクセス権を変更できます。
D. ユーザーは 'corporate_bucket' という名前のバケット内のオブジェクトを読み取ることは許可されていますが、バケット内のオブジェクトを一覧表示することはできません。
E. ユーザーは、'corporate_bucket' という名前のバケットからオブジェクトを読み取ることができます。

回答：A、B、E

解説：

Actionで操作を、Resourceで操作対象を、Effectで許可または禁止を定義しています。ワイルドカードを指定することも可能です。オブジェクトの読み取り(GetObject)と一覧表示(ListObject)はすべてのリソースに許可され、オブジェクトの書き込み(PutObject)はバケットcorporate_bucketに制限されています。

サンプル問題について、重大な事実を発見

日本語化して原稿を書きながら、途中でふと気づいてしまったのですが、実は

このサンプル問題、旧試験のときから変わってない！

ゆくゆくアップデートされると思いますので、正座して待つことにいたしますｗ

　「クリスマスだし『賢者の贈り物』ということで…」

>> Trainocate Advent Calendar 2018 に戻る​​​​​​​

トレノケートのAWS研修（AWS認定トレーニング）

トレノケートのAWS認定トレーニングでは、AWS社の厳格なテクニカルスキル及びティーチングスキルチェックに合格した認定トレーナーがコースを担当します。AWS初心者向けの研修や、AWS認定資格を目指す人向けの研修をご提供し、皆様のAWS知識修得のサポートをいたします。
・トレノケートのAWS研修（AWS認定トレーニング）はこちら

▼AWS初心者の方は、   AWS Cloud Practitioner Essentials から！
座学中心の研修で、AWSを初めて学ぶ方や、営業などで提案に関わる方におすすめです。
「AWS Certified Cloud Practitioner」資格取得を目指す方の基礎知識修得にも最適です。
→ 詳細・日程はこちらから

▼実践スキルを磨くなら、AWS Technical Essentials で ！
実機演習が中心の研修です。仕事で構築作業を行う方や、シナリオベースの演習を通じて、実際に手を動かしながら各サービスの特徴を学びたい方におすすめのAWS研修です。
→ 詳細・日程はこちらから

いきなりの有償コースに抵抗がある方やまずはお試しをしてみたい方は、トレノケートが実施している無料セミナーがおすすめです。詳細はセミナーページよりご確認ください。

▼無料セミナーの詳細はこちらから