以下は、SAP試験・問題1 に関する詳細な整理と解説です。
■ 問題文(文字列を編集せずに出力)
ある企業は、サードパーティーのデータサプライヤから更新情報を受け取るために、Amazon S3 バケットで AWS Transfer Family SFTP 対応サーバーを使用する必要があります。データは Pretty Good Privacy (PGP) 暗号化で暗号化されています。企業がデータを受け取った後、自動的にデータを復号化するソリューションが必要です。
ソリューションアーキテクトは、Transfer Family マネージドワークフローを使用します。同社は、AWS Secrets Manager と S3 バケットへのアクセスを許可する IAM ポリシーを使用して、IAM サービスロールを作成しました。ロールの信頼関係は、transfer.amazonaws.com サービスがロールを引き受けることを許可しています。
自動復号化のソリューションを完成させるための最適な方法を選択してください。
■ 選択肢(文字列を編集せずに出力)
A.
PGP 公開キーを Secrets Manager に保存します。Transfer Family マネージドワークフローに、ファイルを復号化するための名目上のステップを追加します。名目上のステップで PGP 暗号化パラメータを設定します。ワークフローを Transfer Family サーバーに関連付けます。
B.
PGP 秘密鍵を Secrets Manager に保存します。Transfer Family マネージドワークフローに、ファイルを復号化するための例外処理ステップを追加します。例外ハンドラに PGP 暗号化パラメータを設定します。ワークフローを SFTP ユーザーに関連付けます。
C.
PGP 秘密鍵を Secrets Manager に保存します。Transfer Family マネージドワークフローに、ファイルを復号化するための名目上のステップを追加します。名目上のステップで PGP 復号化パラメータを設定します。ワークフローを Transfer Family サーバーに関連付けます。
D.
PGP 公開キーを Secrets Manager に保存します。Transfer Family マネージドワークフローに、ファイルを復号化するための例外処理ステップを追加します。例外ハンドラに PGP 復号化パラメータを設定します。ワークフローを SFTP ユーザーに関連付けます。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ PGP で暗号化されたファイルを S3 + SFTP 経由で受信 | |
| ✅ Transfer Family のワークフローで自動復号化 | |
| ✅ 秘密鍵管理と復号処理の統合が必要 |
■ 正解の選択肢と解説
✅ C. PGP 秘密鍵 + 名目上のステップ + Transfer Family サーバーに関連付け
- 理由:
- PGP 秘密鍵は暗号化ファイルの復号に必須(公開鍵では不可)。
- Transfer Family の**名目上のステップ(standard step)**は通常処理に使われるため、復号処理はここで実行するのが適切。
- ワークフローをTransfer Family サーバーに関連付けることで、すべてのアップロードに対して処理が自動的に走る。
■ 不正解の選択肢の理由
❌ A. PGP 公開キー + 名目上のステップ
- 理由:
- 公開鍵では復号化できない(暗号化専用)。
- 復号には秘密鍵が必要。
❌ B. 秘密鍵 + 例外ステップ + SFTPユーザー関連付け
- 理由:
- 例外処理ステップは本来、エラー処理用途。
- 標準処理である復号を例外ハンドラに入れるのは誤用。
- また、ワークフローはサーバー単位で関連付けるのが一般的(ユーザー関連付けでは漏れのリスクがある)。
❌ D. 公開鍵 + 例外ステップ + SFTPユーザー関連付け
- 理由:
- 公開鍵で復号化できない。
- さらに例外ハンドラの誤用、ユーザー単位の関連付けも不適切。
- ⇒ 全体的に誤りが多い選択肢。
■ SAP試験で押さえておくべきポイント
| 試験ポイント | 内容 |
|---|---|
| ✅ PGP復号には秘密鍵が必要(公開鍵不可) | |
| ✅ Secrets Managerは秘密鍵の安全な保存先として有効 | |
| ✅ Transfer Family ワークフローの名目上ステップで復号処理を行う | |
| ✅ サーバー単位でワークフローを関連付ける(ユーザー単位ではなく) | |
| ❌ 復号処理を例外処理ステップに配置するのは誤り |
この問題は Transfer Family のワークフローと Secrets Manager を組み合わせたB2B ファイル受信・自動復号化の代表パターンです。PGP暗号の仕組みを理解し、AWSでの自動復号化に応用できるようにしておくと、試験・実務の両方で役立ちます。
以下は、SAP試験・問題2 に関する詳細な整理と解説です。
■ 問題文(文字列を編集せずに出力)
ある会社が、単一の Amazon EC2 インスタンスでウェブアプリケーションを実行しています。エンドユーザーは、CPU 使用率が常に 95 % を超えるピーク時に、アプリケーションのパフォーマンスが低下することを経験しています。
ユーザーデータスクリプトが、EC2 インスタンスに必要なカスタムパッケージをインストールします。インスタンスの起動プロセスには数分かかります。
同社は、インスタンスグループが混在し、CPU がさまざまに変化し、最大キャパシティが制限される Auto Scaling グループを作成しています。Auto Scaling グループは、さまざまな構成オプションの起動テンプレートを使用します。同社は、Auto Scaling 中に新しいインスタンスが起動する際のアプリケーションのレイテンシーを減らす必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(文字列を編集せずに出力)
A.
予測スケーリングポリシーを使用します。インスタンスメンテナンスポリシーを使用して、ユーザーデータスクリプトを実行します。デフォルトのインスタンスウォームアップ時間を 0 秒に設定します。
B.
動的スケーリングポリシーを使用します。ライフサイクルフックを使用して、ユーザーデータスクリプトを実行します。デフォルトのインスタンスウォームアップ時間を 0 秒に設定します。
C.
予測スケーリングポリシーを使用します。Auto Scaling グループのウォームプールを有効にします。インスタンスメンテナンスポリシーを使用して、ユーザーデータスクリプトを実行します。
D.
動的スケーリングポリシーを使用します。Auto Scaling グループのウォームプールを有効にします。ライフサイクルフックを使用して、ユーザーデータスクリプトを実行します。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| ✅ CPU 使用率が常に高く、レイテンシーが発生している | |
| ✅ カスタムパッケージのインストールが必要(ユーザーデータ経由) | |
| ✅ 起動に数分かかるため、即時性が重要 | |
| ✅ Auto Scaling グループを利用中 | |
| ✅ レイテンシーを最小限にしたい |
■ 正解の選択肢と解説
✅ D. 動的スケーリング + ウォームプール + ライフサイクルフック
- 理由:
- ウォームプールにより、あらかじめ起動・初期化された EC2 インスタンスを保持し、即時に稼働させることが可能。
- ライフサイクルフックにより、ユーザーデータスクリプトが確実に完了するタイミングをコントロールできる。
- 動的スケーリングポリシーはリアルタイムのCPU変動に対応しやすく、予測スケーリングよりも即応性が高い。
■ 不正解の選択肢の理由
❌ A. 予測スケーリング + メンテナンスポリシー + ウォームアップ時間0
- 理由:
- メンテナンスポリシーはインスタンスのメンテナンスイベント用で、ユーザーデータスクリプトには不向き。
- ウォームアップ時間を0にしても、起動・初期化の遅延は解消しない。
- 予測スケーリングは突発的な負荷に対応できないことがある。
❌ B. 動的スケーリング + ライフサイクルフック + ウォームアップ時間0
- 理由:
- ウォームプール未使用のため、スケーリング時に毎回数分の初期化時間が必要になり、レイテンシーが発生。
- 動的スケーリングとライフサイクルフックは正しいが、起動の即応性がないため不十分。
❌ C. 予測スケーリング + ウォームプール + メンテナンスポリシー
- 理由:
- ウォームプールは正しいが、メンテナンスポリシーではユーザーデータスクリプトの確実な実行が保証されない。
- 予測スケーリングは突発的な負荷に対応しにくい。
■ SAP試験で押さえておくべきポイント
| 試験ポイント | 内容 |
|---|---|
| ✅ ウォームプール:あらかじめ起動したインスタンスを保持し、スケーリング時のレイテンシーを回避できる | |
| ✅ ライフサイクルフック:ユーザーデータスクリプトや初期化処理をトラフィック受信前に完了させる制御ができる | |
| ✅ 動的スケーリング:リアルタイムのCPU変動に柔軟に対応 | |
| ❌ メンテナンスポリシー:スクリプト制御目的には不適(誤用されがち) | |
| ❌ ウォームアップ時間を0に設定:初期化時間短縮には効果なし(無視されやすい落とし穴) |
この問題は 「スケーリング時のレイテンシー最小化」 というテーマで、ウォームプール + ライフサイクルフックの代表的な活用例です。SAP試験では、こうした高パフォーマンス設計とスケーリングの融合を問う問題が多く出題されますので、確実に押さえておきましょう。
以下は、SAP試験・問題3 に関する詳細な整理と解説です。
■ 問題文(文字列を編集せずに出力)
ある企業が、ウェブサイトをオンプレミスのデータセンターから AWS に移行する必要があります。このウェブサイトは、ロードバランサー、Linux オペレーティングシステム上で動作するコンテンツ管理システム (CMS)、および MySQL データベースで構成されています。
CMS は、ファイルシステム用の永続的な NFS 互換ストレージが必要です。AWS 上の新しいソリューションは、予測不可能なトラフィックの増加に応じて、2 台の Amazon EC2 インスタンスから 30 台の EC2 インスタンスに拡張できる必要があります。また、新しいソリューションは、ウェブサイトに変更を加える必要がなく、データの損失を防ぐ必要があります。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(文字列を編集せずに出力)
A.
Amazon Elastic File System (Amazon EFS) ファイルシステムを作成します。Application Load Balancer と Auto Scaling グループを使用して、CMS を AWS Elastic Beanstalk にデプロイします。.ebextensions を使用して、EC2 インスタンスに EFS ファイルシステムをマウントします。Elastic Beanstalk 環境とは別に、Amazon Aurora MySQL データベースを作成します。
B.
Amazon Elastic Block Store (Amazon EBS) マルチアタッチボリュームを作成します。Network Load Balancer と Auto Scaling グループを使用して、CMS を AWS Elastic Beanstalk にデプロイします。.ebextensions を使用して、EC2 インスタンスに EBS ボリュームをマウントします。Elastic Beanstalk 環境に Amazon RDS for MySQL データベースを作成します。
C.
Amazon Elastic File System (Amazon EFS) ファイルシステムを作成します。CMS をサポートする EC2 インスタンスを起動するために、起動テンプレートと Auto Scaling グループを作成します。Network Load Balancer を作成して、トラフィックを分散します。Amazon Aurora MySQL データベースを作成します。EC2 Auto Scaling スケールインライフサイクルフックを使用して、EC2 インスタンスに EFS ファイルシステムをマウントします。
D.
Amazon Elastic Block Store (Amazon EBS) マルチアタッチボリュームを作成します。起動テンプレートと Auto Scaling グループを作成し、CMS をサポートする EC2 インスタンスを起動します。Application Load Balancer を作成して、トラフィックを分散します。MySQL データベースをサポートするために、Amazon ElastiCache for Redis クラスターを作成します。EC2 ユーザーデータを使用して、EBS ボリュームを EC2 インスタンスにアタッチします。
■ 正解の選択肢と解説
✅ A. EFS + ALB + Elastic Beanstalk + Aurora MySQL
- 理由:
- CMS が要求する 永続的な NFS 互換ストレージ → Amazon EFS が最適。
- 複数の EC2 インスタンスから同時アクセスが可能で、スケーラビリティと耐久性に優れる。
- Elastic Beanstalk を使えばアプリケーション変更なくデプロイ可能。
.ebextensionsにより自動でマウント処理も可能。 - Application Load Balancer (ALB) は CMS のような Web アプリに適した L7 ロードバランサ。
- Amazon Aurora MySQL は高可用性・スケーラビリティ・自動フェイルオーバー対応。
■ 不正解の選択肢の理由
❌ B. EBS + NLB + RDS for MySQL
- EBS マルチアタッチはブロックストレージであり、複数インスタンスからの同時アクセスや NFS 互換性なし。
- NLB は TCP/UDP ベースの L4 ロードバランサ。CMS のような HTTP サービスには ALB が適切。
- RDS for MySQL も間違いではないが、Aurora の方がスケーラビリティ・高可用性に優れる。
❌ C. EFS + NLB + ライフサイクルフック
- EFS の選定は正しい。
- しかし Network Load Balancer は L4 ロードバランサで、HTTP レイヤのルーティングには不向き。
- Elastic Beanstalk を使わない構成では「ウェブサイトに変更を加えない」条件を満たさない可能性が高い。
.ebextensionsの活用もされていない。
❌ D. EBS + ElastiCache for Redis
- EBS マルチアタッチは前述の通り不適。
- ElastiCache for Redis はキャッシュであり、RDBMS(MySQL)の代替にならない。
■ SAP試験で押さえておくべきポイント
| 試験ポイント | 内容 |
|---|---|
| ✅ Amazon EFS は NFS 互換で複数 EC2 による同時アクセス可能な共有ストレージ | |
| ✅ Elastic Beanstalk + .ebextensions を使えばアプリ変更なしに環境構築可 | |
| ✅ Application Load Balancer はアプリケーション層 (L7) に最適なロードバランサ | |
| ✅ Aurora MySQL は高可用性かつスケーラブルな RDS 対応データベース | |
| ❌ EBS は共有ストレージではない。マルチアタッチでも同時書き込み非推奨 | |
| ❌ NLB は TCP 向きで HTTP/HTTPS 向きではない | |
| ❌ Redis は RDBMS の代わりにならない(キャッシュ用途) |
この問題は、オンプレミスからのCMS移行というテーマで、Elastic Beanstalk + EFS + ALB + Aurora のクラシックなマネージドソリューションが問われています。実務でもよくある構成なので、選定理由をしっかり理解しておきましょう。
以下は、SAP試験・問題4 に関する詳細な整理と解説です。
■ 問題文(文字列を編集せずに出力)
ある企業は、老朽化したデスクトップを置き換えるために、Amazon WorkSpaces をシンクライアント端末と組み合わせて使用したいと考えています。従業員は、臨床試験データを扱うアプリケーションにアクセスするためにデスクトップを使用します。企業のセキュリティポリシーでは、アプリケーションへのアクセスは会社の支店のみに制限する必要があります。同社は、今後 6 カ月以内に支店の増設を検討しています。
これらの要件を最も効率的に満たすソリューションを選択してください。
■ 選択肢(文字列を編集せずに出力)
A.
支店のパブリックアドレスのリストを使用して、IP アクセスコントロールグループルールを作成します。IP アクセスコントロールグループを WorkSpaces ディレクトリに関連付けます。
B.
AWS Firewall Manager を使用して、IPS セットを使用して、支店のロケーションからのパブリックアドレスのリストでウェブ ACL ルールを作成します。ウェブ ACL を WorkSpaces ディレクトリに関連付けます。
C.
AWS Certificate Manager (ACM) を使用して、支店のロケーションにデプロイされたマシンに信頼できるデバイス証明書を発行します。WorkSpaces ディレクトリで制限付きアクセスを有効にします。
D.
支店のパブリックアドレスへのアクセスを制限するように Windows ファイアウォールが構成されたカスタム WorkSpace イメージを作成します。そのイメージを使用して、WorkSpaces をデプロイします。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| アクセス対象 | WorkSpaces(シンクライアント利用) |
| 利用用途 | 臨床試験データアプリケーションへのアクセス |
| アクセス制御の要件 | 支店からのアクセスのみに制限すること |
| 拡張性の要件 | 支店が今後増える可能性があるため、簡単に制御対象を追加できる |
■ 正解の選択肢とその解説
✅ A. IP アクセスコントロールグループを使う
- 理由:
- WorkSpaces 専用機能の IP アクセスコントロールグループ により、特定のIPアドレスレンジからのアクセスのみを許可可能。
- 支店ごとの パブリックIPを登録して制限を実装できる。
- 支店が増えた際も、グループにIPを追加するだけで簡単に対応可能。
- 他の設定(証明書、Firewall Manager、カスタムイメージ)は不要。
■ 不正解の選択肢とその理由
❌ B. AWS Firewall Manager + IPSセット + WAF
- 理由:
- Firewall Manager や WAF はWeb アプリケーションの HTTP/HTTPS トラフィック制御用。
- WorkSpaces などの リモートデスクトップサービスには適用できない。
- WAF では WorkSpaces の接続プロトコル (PCoIP や WorkSpaces Streaming Protocol) を管理できない。
❌ C. ACM で証明書を使って制限付きアクセス
- 理由:
- ACM はSSL/TLS 証明書の発行管理用。
- WorkSpaces のアクセス制御においてはIP ベースが求められており、証明書管理は直接関係しない。
- “制限付きアクセス”(trusted device access)は特定証明書ベースで可能だが、IP制限とは別の手法で、管理が複雑になる。
❌ D. Windows ファイアウォールによるカスタムイメージ
- 理由:
- 技術的には可能だが、運用が非効率かつ拡張性がない。
- 支店追加のたびにカスタムイメージの作成・再展開が必要となる。
- 管理負担・人件コストが高くつくため、ベストプラクティスに反する。
■ SAP試験で押さえておくべきポイント
| 試験ポイント | 解説 |
|---|---|
| ✅ Amazon WorkSpaces へのアクセス制御には、IP アクセスコントロールグループを使うのがベストプラクティス。特に支店ごとに静的なパブリック IP を持っている企業には最適。 | |
| ✅ 将来的な支店追加への対応には「簡単にルール追加可能な設計」が必要。 | |
| ❌ Firewall Manager や WAF は Web アプリ向けのセキュリティ対策であり、デスクトップアクセスには不向き。 | |
| ❌ ACM(証明書管理)は主に HTTPS などの通信路の暗号化用途であり、IP レベルのアクセス制御には使わない。 | |
| ❌ OSレベルのファイアウォール設定(Windows Firewall)は非推奨。柔軟性・可搬性が低い。 |
この問題は、WorkSpaces のセキュリティ制御に関する実務的知識が問われる良問です。SAP 試験ではこうした 実践ベースの構成選択が頻出ですので、ベストプラクティスを把握しておきましょう。
以下は、SAP試験・問題5 の詳細な分析と出力です。
■ 問題文(文字列を編集せずに出力)
ソリューションアーキテクトは、カスタムドメインの下で 2 つの AWS リージョンにまたがってユーザーにサービスを提供するウェブアプリケーションをデプロイしました。このアプリケーションは、Amazon Route 53 のレイテンシーに基づくルーティングを使用します。ソリューションアーキテクトは、各リージョンの別々のアベイラビリティーゾーンにある 1 組のウェブサーバーに加重レコードセットを関連付けました。
ソリューションアーキテクトは災害復旧シナリオを実行します。あるリージョンのすべてのウェブサーバが停止しても、Route 53 はユーザーをもう一方のリージョンに自動的にリダイレクトしません。
この問題の根本原因として考えられるものを選択してください。(2 つ選択)
■ 選択肢(文字列を編集せずに出力)
A.
ウェブサーバーが停止したリージョンの Weight (重み) が、他のリージョンの Weight (重み) よりも高くなっています。
B.
セカンダリリージョンのウェブサーバーの 1 つが、HTTP ヘルスチェックに合格しませんでした。
C.
レイテンシーリソースレコードセットは、加重リソースレコードセットと組み合わせて使用することはできません。
D.
「ターゲットの正常性の評価」の設定が、ウェブサーバーが停止したリージョンのドメインに関連付けられているレイテンシーエイリアスリソースレコードセットで無効になっています。
E.
停止した ウェブサーバーに関連付けられた 1 つ以上の加重リソースレコードセットに対して HTTP ヘルスチェックが設定されていません。
■ 問題文の要件の概要
| 要件 | 内容 |
|---|---|
| システム構成 | 2リージョンにまたがるWebアプリ(Route 53でレイテンシールーティング) |
| 各リージョンの構成 | 複数AZに配置されたWebサーバーと加重リソースレコードセット |
| 課題 | 一方のリージョンのWebサーバー全停止時に、他リージョンへ切り替わらない |
| 原因を特定する必要がある要素 | Route 53の設定(ヘルスチェック、ターゲットの正常性評価など) |
■ 正解の選択肢とその解説
✅ D. ターゲットの正常性の評価が無効
- 理由: Route 53では、エイリアスレコード(例:レイテンシーレコード)において「ターゲットの正常性の評価(Evaluate Target Health)」が**無効(No)**の場合、ターゲットの状態がどうであれトラフィックをルーティングし続ける。
- 影響: サーバーが停止してもそのリージョンが「正常」とみなされてしまい、リダイレクトが起こらない。
✅ E. HTTPヘルスチェック未設定
- 理由: Route 53 のフェイルオーバーは、加重レコードやエイリアスのターゲットに対するヘルスチェックが必要。それが設定されていないと、サーバー停止を検出できず、ルーティングの切り替えが行われない。
■ 不正解の選択肢の理由
❌ A. ウェブサーバーの重み(Weight)が高い
- 理由: 重みは正常稼働時のトラフィック配分に関係するものであり、サーバー停止時の自動切替には影響しない。
- 誤解注意: 高い重み=フェイルオーバーされない、というのは誤り。
❌ B. セカンダリリージョンのサーバー1台がヘルスチェック失敗
- 理由: サーバー1台がダウンしても、他に正常なインスタンスがあればトラフィックはそちらにルーティングされる。
- ポイント: Route 53のヘルスチェックはレコード単位の評価で、1つ失敗しても全体のフェイルオーバー判断とは無関係。
❌ C. レイテンシーと加重の併用はできない
- 理由: 併用は可能。Route 53では、レイテンシー + 加重の構成もサポートされており、設計上問題なし。
■ SAP試験で押さえておくべきポイント
| 試験ポイント | 解説 |
|---|---|
| ✅ Route 53 においてフェイルオーバーが機能するためには、ヘルスチェックの設定とEvaluate Target Healthの有効化が必要。 | |
| ✅ エイリアスレコード(特にレイテンシー)におけるターゲットの正常性の評価設定は、可用性に直結する。 | |
| ✅ Route 53のルーティングポリシーは組み合わせ可能(レイテンシー + 加重など)。 | |
| ❌ 重み(Weight)はフェイルオーバーの判断に影響しない。 | |
| ❌ 一部のインスタンスが落ちていても全体が健全であればルーティングされる。 |
この問題は、Route 53 におけるヘルスチェックとフェイルオーバーの挙動について深く理解しているかを問う重要な問題です。
特に「Evaluate Target Health」や「加重レコードに対するヘルスチェック」の設定ミスは、フェイルオーバー不具合の典型例としてよく出題されます。
以下は SAP試験・問題6 の詳細な分析と出力です。
■ 問題文(文字列を編集せずに出力)
ある企業は、アプリケーションを最新化し、AWS に移行する必要があります。このアプリケーションは、オンプレミスの MySQL データベースの 1 つのテーブルに、ユーザープロファイルのデータをテキストとして保存しています。
最新化後、ユーザーはアプリケーションを使用して、最大 4 GB のビデオファイルをアップロードします。他のユーザーは、アプリケーションからビデオファイルをダウンロードできる必要があります。同社は、迅速なスケーリングを提供するビデオストレージソリューションが必要です。このソリューションは、アプリケーションのパフォーマンスに影響を与えてはなりません。
これらの要件を満たすソリューションを選択してください。
■ 選択肢(文字列を編集せずに出力)
A.
AWS Database Migration Service (AWS DMS) を使用して、データベースを Amazon Aurora PostgreSQL に移行します。データベースの TEXT 列に、ビデオを base64 でエンコードされた文字列として保存します。
B.
AWS Database Migration Service (AWS DMS) と AWS Schema Conversion Tool (AWS SCT) を使用して、データベースを Amazon DynamoDB に移行します。ビデオを Amazon S3 にオブジェクトとして保存します。S3 キーを対応する DynamoDB 項目に保存します。
C.
AWS Database Migration Service (AWS DMS) と AWS Schema Conversion Tool (AWS SCT) を使用して、データベースを Amazon Keyspaces (Apache Cassandra 用) に移行します。ビデオを Amazon S3 にオブジェクトとして保存します。S3 オブジェクト識別子を対応する Amazon Keyspaces エントリに保存します。
D.
AWS Database Migration Service (AWS DMS) と AWS Schema Conversion Tool (AWS SCT) を使用して、データベースを Amazon DynamoDB に移行します。ビデオを base64 でエンコードされた文字列として対応する DynamoDB 項目に保存します。
■ 問題文の要件の概要
| 要件項目 | 内容 |
|---|---|
| データの種類 | ユーザープロファイル、最大 4 GB のビデオファイル |
| ストレージ要件 | 大容量ファイルに対応、迅速なスケーリング、アプリ性能に影響なし |
| データベース移行 | オンプレ MySQL → AWS |
| 最適な構成 | ビデオファイル保存の効率、データベースとの連携性が重要 |
■ 正解の選択肢とその解説
✅ B. DynamoDB + S3 による分離構成
- 理由:
- Amazon S3 は最大5TBのオブジェクトを扱え、スケーラブルかつ高い耐久性を持つビデオストレージに最適なサービス。
- Amazon DynamoDB は構造化データ(ユーザープロファイルなど)を高速に処理可能だが、1項目あたり400KBの制限があるためバイナリデータの保存には不向き。
- S3に保存し、そのキーをDynamoDBに格納することで、効率よくデータベースとストレージの役割分担ができる。
- AWS DMSとSCTによりMySQL→DynamoDBへのマイグレーションも可能。
■ 不正解の選択肢の理由
❌ A. Auroraにbase64エンコードで保存
- ビデオをbase64にしてDBのTEXT列に保存するのは非効率で、DBのパフォーマンスに大きな悪影響。
- さらに、Auroraはオブジェクトストレージではないため、スケーリングも難しい。
❌ C. KeyspacesにS3識別子保存
- 一見正しく見えるが、Amazon KeyspacesはApache Cassandraベースの列指向データベースで、RDB移行先としては限定的。
- また、DMSとの互換性もAurora/DynamoDBほど高くないため、構成として不適。
❌ D. DynamoDBにbase64で保存
- DynamoDBの400KB制限を大幅に超える4GBのビデオをbase64保存は不可能。
- コスト効率、パフォーマンス両面から不適切な設計。
■ SAP試験で押さえておくべきポイント
| 試験ポイント | 解説 |
|---|---|
| ✅ 大容量ファイルの保存はAmazon S3 | 最大5TBまで保存可、高耐久、スケーラビリティ抜群 |
| ✅ 構造化データ管理にはAmazon DynamoDBなどが有効 | ただし1項目400KB制限があるためバイナリ保存には向かない |
| ✅ base64エンコードはストレージ効率を下げる | DBやDynamoDBへの保存には向かない(特に大容量の場合) |
| ✅ 移行にはAWS DMS + SCT | リレーショナルからNoSQL含むAWSサービスへの移行を可能にする標準ツール |
この問題は、「ストレージとDBの役割分担」を理解しているか、「大容量ファイルのベストプラクティス」を踏まえて選べているかを問う良問です。
SAP試験では、パフォーマンス・スケーラビリティ・コスト効率の3点をバランスよく考える設計判断力が試されます。
以下は SAP試験・問題7 の出力です。
■ 問題文(文字列を編集せずに出力)
ソリューションアーキテクトが、AWS Import/Export の Amazon EC2 VM Import 機能を使用して、オンプレミス環境から VM をインポートしています。ソリューションアーキテクトは AMI を作成し、その AMI に基づく Amazon EC2 インスタンスをプロビジョニングしました。EC2 インスタンスは、VPC のパブリックサブネット内で実行され、パブリック IP アドレスが割り当てられています。
EC2 インスタンスは、AWS Systems Manager コンソールでマネージドインスタンスとして表示されません。
この問題をトラブルシューティングするために取るべき手順の組み合わせを選択してください。 (2 つ選択)
■ 選択肢(正解を伏せてそのまま出力)
A.
Systems Manager エージェントがインスタンスにインストールされ、実行されていることを確認します。
B.
インスタンスに Systems Manager の適切な IAM ロールが割り当てられていることを確認します。
C.
VPC に VPC エンドポイントが存在することを確認します。
D.
AWS Application Discovery Agent が設定されていることを確認します。
E.
Systems Manager のサービスにリンクされたロールが正しく設定されていることを確認します。
■ 問題文の要件の概要
- VM Import により作成した EC2 が Systems Manager コンソールに表示されない。
- 原因切り分けのために確認すべき構成要素を問う。
- 特に「SSM Agent」「IAMロール」など、SSM の管理要件に関する知識が問われている。
■ 正解の選択肢とその解説
✅ A. Systems Manager エージェントがインストール・実行されているか確認
- 解説:
Systems Manager は、インスタンス内で実行される SSM Agent を通じて管理機能を提供します。- VM Import で作成されたAMIでは、SSM Agent が プリインストールされていない場合がある ため、確認・手動インストールが必要。
- SSM Agent がインストールされておらず、または停止していると、インスタンスはマネージドインスタンスとして登録されません。
✅ B. 適切な IAM ロールが割り当てられているか確認
- 解説:
EC2 が Systems Manager と通信するには、IAMロールに SSM 関連のポリシー(例:AmazonSSMManagedInstanceCore)が必要。- このロールが未設定、あるいは不足していると、通信・登録ができず Systems Manager 上で認識されません。
■ 不正解の選択肢の理由
❌ C. VPC に VPC エンドポイントが存在することを確認
- 理由:
VPC エンドポイントはプライベートネットワーク環境で SSM 通信を確保するために使う。- 本ケースではパブリックIPが割り当てられているため、インターネット経由で通信可能であり、VPCエンドポイントは不要。
❌ D. AWS Application Discovery Agent が設定されていることを確認
- 理由:
Application Discovery Agent は移行評価用(例:AWS Migration Hub)で使用され、SSMとは無関係。
❌ E. Systems Manager のサービスにリンクされたロールが正しく設定されていることを確認
- 理由:
サービスリンクロールはSystems Manager自体の操作(例:Patch Manager や Automation)に必要な場合はあるが、EC2側にIAMロールが適切に設定されていればこの確認は不要。- また、この問題の主眼はインスタンスの登録問題であり、サービスリンクロールの設定有無は直接関係しない。
■ SAP試験で押さえておくべきポイント
| 観点 | ポイント |
|---|---|
| ✅ SSM Agent の動作確認 | VM Import を使った場合は 自動インストールされないことがある |
| ✅ IAM ロールの割り当て | AmazonSSMManagedInstanceCore などを含むロールが インスタンスに必要 |
| ✅ 接続経路の判別 | パブリックIPあり=VPCエンドポイント不要 |
| ✅ SSMと関係ないサービスを除外 | Application Discovery Agent や一部サービスリンクロールは 無関係 |
この問題は、EC2とSSMの連携要件を確実に理解しているかを問う基本でありながら重要な設計論点です。
SAP試験では、既存VMの移行後に起こる運用トラブルへの対応力も求められます。
