以下に、指定されたフォーマットに従って整理しました。
✅ 問題文(原文ママ)
ある会社は、多くの訪問者にサービスを提供するウェブサイトを持っています。同社は、ウェブサイトのバックエンドサービスをプライマリ AWS リージョンとディザスタリカバリ (DR) リージョンにデプロイしています。
単一の Amazon CloudFront ディストリビューションがウェブサイト用にデプロイされます。同社は、プライマリリージョンのバックエンドサービス用に、ヘルスチェックとフェイルオーバールーティングポリシーを含む Amazon Route 53 レコードセットを作成します。同社は、Route 53 レコードセットを CloudFront ディストリビューションのオリジンとして設定します。同社は、セカンダリフェイルオーバーレコードタイプとして、DR リージョンのバックエンドサービスのエンドポイントを指す別のレコードセットを構成します。両方のレコードセットの TTL は 60 秒です。
現在、フェイルオーバーには 1 分以上かかります。ソリューションアーキテクトは、最速のフェイルオーバー時間を実現するソリューションを設計する必要があります。
この目標を達成できるソリューションを選択してください。
✅ 選択肢
A.
追加の CloudFront ディストリビューションをデプロイします。両方の CloudFront ディストリビューションのヘルスチェックを含む新しい Route 53 フェイルオーバーレコードセットを作成します。
B.
各リージョンのバックエンドサービスに使用されている既存の Route 53 レコードセットの TTL を 4 秒に設定します。
C.
レイテンシールーティングポリシーを使用して、バックエンドサービス用の新しいレコードセットを作成します。そのレコードセットを CloudFront ディストリビューションのオリジンとして使用します。
D.
CloudFront オリジングループを作成し、2 つのオリジン (各バックエンドサービスのリージョンに 1 つずつ) を含めます。CloudFront ディストリビューションのキャッシュ動作としてオリジンフェイルオーバーを設定します。
✅ 問題文の要件の概要
- CloudFront+Route 53構成において「フェイルオーバーが遅い(60秒以上)」という課題を抱えている。
- 最速のフェイルオーバー時間 を実現したい。
- フェイルオーバー対象は バックエンドサービス(オリジン)であり、CloudFrontのオリジンの切替を最適化する必要がある。
✅ 正解の選択肢と解説
正解:D
CloudFront オリジングループを作成し、2 つのオリジン (各バックエンドサービスのリージョンに 1 つずつ) を含めます。CloudFront ディストリビューションのキャッシュ動作としてオリジンフェイルオーバーを設定します。
解説:
- CloudFront オリジングループを利用することで、CloudFrontレベルで 即時にフェイルオーバーできます(Route 53のヘルスチェックやTTLに依存しない)。
- CloudFrontのオリジンフェイルオーバーは、プライマリオリジンがダウンしたら自動でセカンダリに切り替える仕組み。
- これにより、バックエンドが障害を起こした際もCloudFrontが即座にセカンダリへリクエストをルーティング可能。
- ルーティングポリシーの変更やDNS TTL更新待ちが不要になるため、最速のフェイルオーバーが可能。
❌ 不正解の選択肢の理由
A.
追加の CloudFront ディストリビューションと Route 53 フェイルオーバーを構成する案。
- CloudFrontディストリビューション同士の切り替えには Route 53レベルのフェイルオーバーが必要になる。
- そのため、TTLやヘルスチェックの遅延に依存し、即時の切替は不可能。
B.
TTLを4秒にする案。
- TTLを短くすることでDNSキャッシュからの再取得は早まるが、Route 53のヘルスチェック間隔やフェイルオーバーの評価には影響しない。
- 根本的な解決にはならず、DNS更新を待つ時間は依然発生する。
C.
レイテンシールーティングの使用案。
- レイテンシーベースのルーティングはユーザーの最も近いエンドポイントに誘導するためのもので、フェイルオーバー目的には設計されていない。
- プライマリ障害時にセカンダリへ自動切替される仕組みではない。
✅ SAP試験で押さえておくべきポイント
| 項目 | 内容 |
|---|---|
| CloudFrontオリジンフェイルオーバー | CloudFrontはオリジングループを定義することで、プライマリ → セカンダリに即座に切り替えることが可能。Route 53に頼らない高速切替。 |
| Route 53のフェイルオーバー | TTLやヘルスチェックに依存するため、切替に数十秒〜数分かかることがある。即時性に欠ける。 |
| TTL短縮の限界 | TTLの設定を短くしても、DNSキャッシュの影響を受け、即時フェイルオーバーには限界がある。 |
| レイテンシールーティング vs フェイルオーバー | レイテンシールーティングは可用性目的ではなく性能最適化。誤用に注意。 |
必要であれば、図や補足資料の追加、学習計画への反映も可能です。
次の問題も準備できましたら、引き続きお送りください。
以下に、問題2をSAP試験対策フォーマットに従って整理しました。
✅ 問題文(原文ママ)
ある企業は、Amazon API Gateway を使用して、機密データへのアクセスを提供するプライベート REST API をデプロイしています。API は、VPC にデプロイされたアプリケーションからのみアクセスできる必要があります。同社は API のデプロイに成功しました。しかし、VPC にデプロイされた Amazon EC2 インスタンスから API にアクセスすることはできません。
EC2 インスタンスと API 間の接続を提供するソリューションを選択してください。
✅ 選択肢(順序・文言そのまま)
A.
API Gateway 用のインターフェイス VPC エンドポイントを作成します。apigateway:* アクションを許可するエンドポイントポリシーをアタッチします。VPC エンドポイントのプライベート DNS 名を無効にします。VPC からのアクセスを許可する API リソースポリシーを設定します。VPC エンドポイントの DNS 名を使用して API にアクセスします。
B.
API Gateway 用のインターフェイス VPC エンドポイントを作成します。execute-api:Invoke アクションを許可するエンドポイントポリシーをアタッチします。VPC エンドポイントのプライベート DNS 名を有効にします。VPC エンドポイントからのアクセスを許可する API リソースポリシーを構成します。API エンドポイントの DNS 名を使用して API にアクセスします。
C.
Network Load Balancer (NLB) と VPC リンクを作成します。API Gateway と NLB 間のプライベート統合を構成します。API エンドポイントの DNS 名を使用して API にアクセスします。
D.
Application Load Balancer (ALB) と VPC リンクを作成します。API Gateway と ALB 間のプライベート統合を構成します。ALB エンドポイントの DNS 名を使用して API にアクセスします。
✅ 問題文の要件の概要
- プライベート REST API(Amazon API Gateway) を作成し、
- VPC 内の EC2 インスタンスからのみアクセス可能にしたい。
- すでに API はデプロイ済だが、アクセスできない問題が発生中。
- 解決のために 適切なネットワーク設定(PrivateLinkなど) を選ぶ必要がある。
✅ 正解の選択肢と解説
正解:B
API Gateway 用のインターフェイス VPC エンドポイントを作成します。
execute-api:Invokeアクションを許可するエンドポイントポリシーをアタッチします。VPC エンドポイントのプライベート DNS 名を有効にします。VPC エンドポイントからのアクセスを許可する API リソースポリシーを構成します。API エンドポイントの DNS 名を使用して API にアクセスします。
解説:
- Private REST API を作成するには、Interface VPCエンドポイント(PrivateLink) を使用する必要があります。
execute-api:Invokeは API Gateway 呼び出しに必要な最低限かつ適切な IAM アクション。- プライベート DNS 名を有効化することで、通常のエンドポイント形式(例:
https://xxxxx.execute-api.region.amazonaws.com)でアクセス可能。 - リソースポリシーに
aws:SourceVpce条件を用いて、どのVPCエンドポイントからのアクセスを許可するか制御可能。
❌ 不正解の選択肢の理由
A
apigateway:*は 過剰な権限付与。最小権限の原則に反する。- **「プライベート DNS 無効」**にすると、通常のAPIエンドポイントでは名前解決できずアクセス不可となる。
- 結果として EC2 からアクセス不能のまま。
C
- VPC Link + NLB は API GatewayからVPC内のサービスを統合するための構成。
- 本件は逆方向(VPC内のEC2→API Gateway)なので 目的が異なる。
D
- Cと同様に、VPC Link + ALB は API GatewayからVPC内のリソースを呼び出す用途。
- プライベートAPIとしてのアクセス制御やネットワーク制限を行うには不適。
✅ SAP試験で押さえておくべきポイント
| 観点 | 内容 |
|---|---|
| Private REST API | VPC内からのみアクセスできるREST API。インターフェイスVPCエンドポイント経由で公開され、インターネット非公開。 |
| VPCエンドポイントのDNS名 | プライベートDNSを有効にしないと、標準のエンドポイント名でアクセスできないため注意。 |
| リソースポリシー | aws:SourceVpc または aws:SourceVpce を使ってVPC単位またはVPCエンドポイント単位でアクセス制限が可能。 |
| VPC Linkとの違い | VPC LinkはAPI Gateway → VPC内のALB/NLB にアクセスする用途であり、本設問のような「VPC→API」では使わない。 |
| 最小権限の原則 | apigateway:*ではなく、必要なアクション(例:execute-api:Invoke)だけを指定するべき。 |
次の問題も、引き続きHTML形式でお送りください。丁寧に分析・解説いたします。
以下に、問題3 を SAP 試験対策の指定形式で整理しました。
✅ 問題文(原文ママ)
ある企業は、Amazon Connect コンタクトセンターを導入しました。コンタクトセンターのエージェントは、コンピュータが生成した大量のコール (通話) を報告しています。同社はこのようなコールのコストと生産性への影響を懸念しています。同社は、エージェントがそのコールにスパムとしてフラグを立て、今後エージェントがその番号に対応するのを自動的にブロックできるソリューションを求めています。
これらの要件を満たす最も運用効率の高いソリューションを選択してください。
✅ 選択肢(順序・文言そのまま)
A.
UpdateContactAttributes API を呼び出す AWS Lambda 関数を呼び出すフラグコールボタンを追加して、問い合わせコントロールパネル (CCP) をカスタマイズします。Amazon DynamoDB のテーブルを使用して、スパム番号を保存します。更新された属性を検索し、Lambda 関数を使用して DynamoDB テーブルの読み取りと書き込みを行うようにコンタクトフローを変更します。
B.
スパムコールを検索する Amazon Connect の Contact Lens ルールを使用します。Amazon DynamoDB のテーブルを使用して、スパム番号を保存します。ルールを検索し、AWS Lambda 関数を呼び出して DynamoDB テーブルを読み書きするように、コンタクトフローを修正します。
C.
Amazon DynamoDB のテーブルを使用して、スパム番号を保存します。エージェントが問い合わせコントロールパネル (CCP) からスパムコールを転送できるクイック接続を作成します。クイック接続のコンタクトフローを変更して、AWS Lambda 関数を呼び出して DynamoDB テーブルに書き込みます。
D.
発信者の入力を求めるように最初のコンタクトフローを変更します。エージェントが入力を受け取らない場合、エージェントは発信者をスパムとしてマークします。Amazon DynamoDB のテーブルを使用して、スパム番号を保存します。AWS Lambda 関数を使用して、DynamoDB テーブルに読み書きします。
✅ 問題文の要件の概要
- エージェントがスパムコールにフラグを立てたい
- 次回以降、自動的にその番号からの着信をブロックしたい
- 運用上「最も効率のよい方法」が求められている
✅ 正解の選択肢と解説
正解:A
UpdateContactAttributes API を呼び出す AWS Lambda 関数を呼び出すフラグコールボタンを追加して、問い合わせコントロールパネル (CCP) をカスタマイズします。Amazon DynamoDB のテーブルを使用して、スパム番号を保存します。更新された属性を検索し、Lambda 関数を使用して DynamoDB テーブルの読み取りと書き込みを行うようにコンタクトフローを変更します。
解説:
- エージェントがリアルタイムでフラグを立てられるボタン(CCP カスタマイズ)を使うことで、スムーズな操作と即時反映が可能。
UpdateContactAttributesAPI は通話中のコンタクトに任意の属性を追加・変更でき、Lambda でその属性をトリガーとして使える。- スパム番号の蓄積・確認には Amazon DynamoDB を使用。コンタクトフローでこのテーブルをチェックし、ブロック処理を自動化。
- 操作負荷を減らしつつ自動対応を実現するため、運用効率が最も高い。
❌ 不正解の選択肢の理由
B
- Contact Lens は通話後の分析・評価・品質管理向けであり、リアルタイムでブロックフラグを立てる用途ではない。
- Contact Lens のルールでは、スパムコールの検知と自動ブロックの即時連携が難しい。
C
- クイック接続を使う方法は、エージェントがコールを一度転送する必要があるため手間がかかる。
- 運用効率が落ち、迅速かつ自然なワークフローに適さない。
D
- 発信者の入力を待ち、その有無でスパム判定するのは不確実かつ非効率的。
- エージェントが主導して判断するべきプロセスを発信者に委ねており、設計意図と乖離している。
✅ SAP試験で押さえておくべきポイント
| 項目 | 内容 |
|---|---|
| Amazon Connect | エージェント UI(CCP)はカスタマイズ可能。Lambda と連携し、動的な処理を設計できる。 |
| UpdateContactAttributes API | 通話中のコンタクトに任意の属性を設定。フローの中でその属性をもとに処理分岐可能。 |
| Amazon DynamoDB | スパム番号などのブラックリストデータの永続化ストレージとして利用される代表例。 |
| Lambda連携 | フロー中に Lambda を呼び出すことで、DynamoDB との読み書き、属性評価などの動的処理が可能。 |
| 運用効率を問う問題 | 「手動操作が少なく、スムーズなUI操作や自動化されているか」が評価基準になる。 |
次の問題も準備ができましたら、同様にHTML形式でご送信ください。引き続き丁寧に解説します。
以下に、問題4 を AWS Certified Solutions Architect – Professional (SAP) 試験対策として整理しました。
✅ 問題文(原文ママ)
ある企業は、AWS クラウドで実行されるサービスとしての Software as a Service (SaaS) アプリケーションを提供しています。このアプリケーションは、Network Load Balancer (NLB) の背後にある Amazon EC2 インスタンス上で実行されます。インスタンスは Auto Scaling グループ内にあり、1 つの AWS リージョン内の 3 つの アベイラビリティーゾーンに分散されています。
同社はアプリケーションを追加のリージョンにデプロイしています。同社は、お客様が IP アドレスを許可リストに追加できるように、アプリケーションの静的 IP アドレスをお客様に提供する必要があります。ソリューションは、お客様を地理的に最も近いリージョンに自動的にルーティングする必要があります。
これらの要件を満たすソリューションを選択してください。
✅ 選択肢(順序・文言そのまま)
A.
Amazon CloudFront ディストリビューションを作成します。CloudFront オリジングループを作成します。追加のリージョンごとに、NLB をオリジングループに追加します。ディストリビューションのエッジロケーションの IP アドレス範囲をお客様に提供します。
B.
AWS Global Accelerator の標準アクセラレータを作成します。追加のリージョンごとに、NLB の標準アクセラレータのエンドポイントを作成します。Global Accelerator の IP アドレスをお客様に提供します。
C.
Amazon CloudFront ディストリビューションを作成します。追加のリージョンごとに、NLB のカスタムオリジンを作成します。ディストリビューションのエッジロケーションの IP アドレス範囲をお客様に提供します。
D.
AWS Global Accelerator カスタムルーティングアクセラレータを作成します。カスタムルーティングアクセラレータのリスナーを作成します。追加の各リージョンごとに、NLB の IP アドレスとポートを追加します。Global Accelerator の IP アドレスをお客様に提供します。
✅ 問題文の要件の概要
- 複数リージョンにデプロイされた SaaS アプリケーション に対して
- 地理的に最も近いリージョンに自動ルーティングし
- 静的IPアドレス を顧客に提示し、許可リストに追加できるようにする必要がある
✅ 正解の選択肢と解説
正解:B
AWS Global Accelerator の標準アクセラレータを作成します。追加のリージョンごとに、NLB の標準アクセラレータのエンドポイントを作成します。Global Accelerator の IP アドレスをお客様に提供します。
解説:
- AWS Global Accelerator(GA) の標準アクセラレータは、
- 固定(静的)IPアドレス を提供し、
- 地理的に最も近いエンドポイントグループ(リージョン)に自動ルーティングする機能を持つ。
- NLBは Global Accelerator のサポート対象エンドポイント であり、複数リージョンにまたがる高可用性構成が可能。
- エンドポイントグループごとにリージョンを分けて構成し、ユーザーがいる場所に最も近いリージョンへリクエストを送ることで レイテンシの最小化を実現できる。
- 静的IPアドレスを1セット(IPv4: 2個)提供し、それを顧客の許可リストに登録させることができる。
❌ 不正解の選択肢の理由
A, C(いずれも CloudFront)
- CloudFront は静的IPを持たない(毎回変わる)
- → IPアドレスの許可リスト化に不向き
- また、CloudFront のオリジンに NLB を使うことは技術的に可能でも推奨されず、最適な設計ではない。
- CloudFront は静的ウェブコンテンツや HTTP ベースの API に最適だが、NLB(主に TCP/UDP レイヤー)とは用途が異なる。
D(Global Accelerator のカスタムルーティング)
- カスタムルーティングは NLB をサポートしない
- → TCP/UDP ワークロードで、直接EC2などのIP:Port単位にルーティングする構成向け。
- 本問の構成(NLB経由のSaaSアプリ)には不適。
✅ SAP試験で押さえておくべきポイント
| 項目 | 内容 |
|---|---|
| Global Accelerator(GA) | 静的IP提供・レイテンシベースでリージョン振り分け・NLB対応・マルチリージョンに最適 |
| GAの標準アクセラレータ | ALB/NLB/EC2/EIPをエンドポイントに指定可能 |
| GAのカスタムルーティング | NLB非対応。EC2インスタンスのIPとポートに直接ルーティングが必要なアーキテクチャ向け |
| CloudFrontとの違い | CloudFrontはCDN。GAはIPベースのグローバルルーティング機能 |
| 静的IPが必要なユースケース | ファイアウォール制限、IPベースの許可リスト設定時は GA 一択になるケースが多い |
ご希望であれば、この問題の図解や設計パターン比較も可能です。
次の問題も、HTML形式で貼り付けていただければ引き続き対応いたします。
以下に、問題5 を AWS Certified Solutions Architect – Professional (SAP) 試験対策として整理しました。
✅ 問題文(原文ママ)
ある企業は、AWS Control Tower を使用して、AWS Organizations の組織内の AWS アカウントを管理しています。同社にはアカウントを含む OU があります。同社は、OU のアカウント内の新規または既存の Amazon EC2 インスタンスがパブリック IP アドレスを取得できないようにする必要があります。
これらの要件を満たすソリューションを選択してください。
✅ 選択肢(順序・文言そのまま)
A.
OU の各アカウント内のすべてのインスタンスが AWS Systems Manager を使用するように構成します。Systems Manager オートメーションランブックを使用して、パブリック IP アドレスがインスタンスにアタッチされないようにします。
B.
AWS Control Tower のプロアクティブコントロールを実装して、OU のアカウント内のインスタンスにパブリック IP アドレスがあるかどうかを確認します。AssociatePublicIpAddress プロパティを False に設定します。プロアクティブコントロールを OU にアタッチします。
C.
パブリック IP アドレスを持つインスタンスの起動を防止する SCP を作成します。さらに、既存のインスタンスにパブリック IP アドレスがアタッチされないように SCP を構成します。SCP を OU にアタッチします。
D.
パブリック IP アドレスを持つインスタンスを検出する AWS Config カスタムルールを作成します。AWS Lambda 関数を使用して、インスタンスからパブリック IP アドレスを切り離す修復アクションを構成します。
✅ 問題文の要件の概要
- OU単位で Amazon EC2 インスタンスに対し
- 新規・既存問わずパブリック IP を割り当てさせない制御を
- 一貫して強制(ガバナンス)する仕組みが必要
✅ 正解の選択肢と解説
正解:C
パブリック IP アドレスを持つインスタンスの起動を防止する SCP を作成します。さらに、既存のインスタンスにパブリック IP アドレスがアタッチされないように SCP を構成します。SCP を OU にアタッチします。
解説:
- **SCP(サービスコントロールポリシー)**は、Organizations OU に適用できる強制的な制御手段であり、対象アカウントの最大権限を定義できます。
ec2:AssociateAddressやec2:RunInstancesの条件付き拒否(例:"AssociatePublicIpAddress": true)により、新規作成時のパブリック IP 割当てを禁止できます。- また、既存インスタンスに対して Elastic IP(EIP) をアタッチする行為も制限できます。
- SCP は AWS Control Tower の管理対象 OU に一括適用可能で、個別アカウントの設定変更や修復が不要なため、運用性が非常に高いです。
❌ 不正解の選択肢の理由
A. Systems Manager でオートメーション実行
- 各インスタンスへのエージェント導入・設定が必要で、OU全体への強制力がありません。
- **リアクティブな手段(事後対応)**であり、誤設定による漏れや手動作業も多くなる。
B. Control Tower のプロアクティブコントロール
- 新規リソース作成時の制限には有効ですが、
- 既存インスタンスには適用不可
- 制約される操作が限定的(SCPほど強力ではない)
AssociatePublicIpAddressのような細かな条件制御は SCPの方が柔軟かつ強力。
D. AWS Config + Lambda で修復
- 違反の検出 → 修復という流れで、リアクティブでタイムラグあり。
- Lambda修復では停止→再構成等が必要になり、運用に影響が出る可能性。
- また、事前に防ぐことができず、新規インスタンスの制限には不向き。
✅ SAP試験で押さえておくべきポイント
| 項目 | 内容 |
|---|---|
| SCP(サービスコントロールポリシー) | AWS Organizationsで、OU・アカウント単位で最大権限を制限。IAMの許可よりも強いブロック効果。 |
| SCPの使い方 | Deny + 条件指定で細かく制限可能。例:ec2:RunInstances + Condition: AssociatePublicIpAddress=true |
| OU全体への一括適用 | Control Towerで管理されるOUにSCPをアタッチすることで、アカウント間の統一ポリシーを実現 |
| プロアクティブ vs リアクティブ | 設計上のガバナンスはプロアクティブ(SCPやControl Tower制御)が望ましい |
| Config + Lambda | 記録・監査・修復には有効だが、事前抑制は不向き。 |
次の問題もHTML形式でお送りいただければ、同じフォーマットで解説いたします。
また、必要であれば SCPの具体例ポリシー も提供可能です。
以下に、問題6 を AWS Certified Solutions Architect – Professional (SAP) 試験対策として整理しました。
✅ 問題文(原文ママ)
ある企業はオンプレミスのデータセンターで VPN をホストしています。現在、従業員は VPN に接続して、Windows のホームディレクトリにあるファイルにアクセスしています。最近、リモートで働く従業員の数が大幅に増加しています。その結果、データセンターへの接続に使用される帯域幅が、営業時間中に 100 % に達するようになりました。
同社は、リモートで働く従業員の増加をサポートし、データセンターへの接続のための帯域幅使用量を削減し、運用オーバーヘッドを削減する AWS 上のソリューションを設計する必要があります。
最も少ない運用オーバーヘッドでこれらの要件を満たす手順の組み合わせを選択してください。(2 つ選択)
✅ 選択肢(順序・文言そのまま)
A.
AWS Storage Gateway ボリュームゲートウェイを作成します。ボリュームゲートウェイからオンプレミスのファイルサーバーにボリュームをマウントします。
B.
ホームディレクトリを Amazon FSx for Windows File Server に移行します。
C.
ホームディレクトリを Amazon FSx for Lustre に移行します。
D.
リモートユーザーを AWS Client VPN に移行します。
E.
オンプレミスのデータセンターから AWS への AWS Direct Connect 接続を作成します。
✅ 問題文の要件の概要
- リモート勤務者の増加に対応したスケーラブルなアクセスを提供したい
- オンプレミスVPNと帯域幅のボトルネックを回避する
- 運用オーバーヘッドを減らすため、フルマネージドなAWSサービスが望ましい
- Windows環境のファイル共有が前提
✅ 正解の選択肢と解説
✅ B. ホームディレクトリを Amazon FSx for Windows File Server に移行します。
- FSx for Windows File Server は WindowsネイティブのSMB共有に完全対応したマネージドファイルシステム。
- オンプレミスのVPN経由でのアクセスを回避し、クラウド上にホームディレクトリを移行することで、帯域幅使用を根本から削減可能。
- Active Directory統合、アクセス制御(NTFS ACL)など、既存Windowsインフラとの互換性も高く、運用負荷が極めて少ない。
✅ D. リモートユーザーを AWS Client VPN に移行します。
- AWS Client VPN はマネージドなOpenVPNベースのサービスで、ユーザーは直接AWSリソースへVPN接続可能。
- これにより、リモートユーザーのアクセス経路がAWS直結になり、オンプレミスVPN/ネットワークのボトルネックを回避。
- インフラの構築や拡張の負担を大幅に軽減でき、スケーラブルかつセキュアなリモートアクセスが実現。
❌ 不正解の選択肢の理由
A. Storage Gateway(ボリュームゲートウェイ)
- オンプレミスのファイルサーバーを前提にしており、クラウドへの移行ではなく、依存を維持してしまう。
- マウント・同期設定などの構成管理が必要で、運用オーバーヘッドが高くなる。
C. FSx for Lustre
- Lustre は HPC用途向けの並列分散ファイルシステムで、POSIX互換はあるが SMB/Windows 環境に非対応。
- ホームディレクトリ用途には 技術的にも運用的にも不適切。
E. Direct Connect
- 帯域の拡張にはなりますが、専用線の設置・管理・契約が必要で、初期コスト・運用負荷が大きい。
- 単にDCの接続を増強しても、根本的なVPNやファイルアクセス手法の課題は解消しない。
✅ SAP試験で押さえておくべきポイント
| 項目 | 内容 |
|---|---|
| Amazon FSx for Windows File Server | SMB共有、NTFS ACL、AD統合などWindows環境との親和性が高い。マネージドでホームディレクトリのクラウド化に最適。 |
| AWS Client VPN | OpenVPN互換のマネージドVPN。ユーザーがAWS環境へセキュアにアクセス可能。スケーラブル・マルチAZ対応。 |
| オンプレ依存からの脱却 | 帯域・可用性・スケーラビリティの課題を解決するには、AWS上にリソースを再配置する設計が問われる。 |
| 「最小の運用オーバーヘッド」 | SAP試験では頻出のキーワード。マネージドサービスが答えになる可能性が高く、設計思想の指針となる。 |
次の問題もお送りいただければ、同様の形式で整理・解説いたします。
希望があれば「Client VPNとDirect Connectの併用設計」や「FSxの構成パターン」も補足可能です。
以下に、指定されたフォーマットで整理いたしました。
■問題文(※文字列を編集せずにそのまま)
ある企業が AWS 上で Software as a Service (SaaS) ソリューションをホストしています。このソリューションには、HTTPS エンドポイントを提供する Amazon API Gateway API が含まれています。API はコンピューティングに AWS Lambda 関数を使用します。Lambda 関数は、Amazon Aurora Serverless v1 データベースにデータを保存します。
同社は、AWS Serverless Application Model (AWS SAM) を使用してソリューションをデプロイしました。ソリューションは複数のアベイラビリティーゾーンに配置され、ディザスタリカバリ (DR) 計画はありません。
ソリューションアーキテクトは、別の AWS リージョンでソリューションを復元できる DR 戦略を設計する必要があります。このソリューションの RTO は 5 分、RPO は 1 分です。
これらの要件を満たす最適な方法を選択してください。
■選択肢(※順序・文言をそのまま)
A.
ターゲットリージョンに Aurora Serverless v1 データベースのリードレプリカを作成します。AWS SAM を使用して、ソリューションをターゲットリージョンにデプロイするランブックを作成します。災害発生時にリードレプリカをプライマリに昇格させます。
B.
Aurora Serverless v1 データベースを、ソースリージョンとターゲットリージョンにまたがる標準の Aurora MySQL グローバルデータベースに変更します。AWS SAM を使用して、ソリューションをターゲットリージョンにデプロイするためのランブックを作成します。
C.
ターゲットリージョンに複数のライターインスタンスを持つ Aurora Serverless v1 DB クラスターを作成します。ターゲットリージョンでソリューションを起動します。2 つのリージョンのソリューションがアクティブ / パッシブ構成で動作するように構成します。
D.
Aurora Serverless v1 データベースを、ソースリージョンとターゲットリージョンにまたがる標準の Aurora MySQL グローバルデータベースに変更します。ターゲットリージョンでソリューションを起動します。2 つのリージョンのソリューションがアクティブ / パッシブ構成で動作するように構成します。
■問題文の要件の概要
- 課題: 災害時に備えたリージョン間DR構成を設計する。
- 構成要素: API Gateway + Lambda + Aurora Serverless v1
- デプロイ方法: AWS SAM
- 要件:
- RTO(復旧時間目標): 5分以内
- RPO(復旧時点目標): 1分以内
■正解の選択肢と解説
- 正解:D
- 解説:
Aurora Serverless v1 ではリージョン間レプリケーションやグローバルデータベースをサポートしていないため、標準の Aurora MySQL グローバルデータベースへ変更する必要があります。
そのうえで、アクティブ/パッシブ構成を採用することで、**RPO 1分以内(低遅延のレプリケーション)およびRTO 5分以内(ターゲットリージョンの即時切替)**を満たす設計が可能になります。
■不正解の選択肢の理由
- A:Aurora Serverless v1 はリードレプリカをサポートしていないため、前提条件が成り立たず不正解。
- B:Aurora Global Database への変更は正しいが、「ターゲットリージョンを事前に起動しておらず、アクティブ/パッシブ構成にもなっていない」ため、RTO要件を満たせない。
- C:Aurora Serverless v1 は複数のライターインスタンスをサポートしていない。また、この選択肢も技術的に実現不可能。
■SAP試験で押さえておくべきポイント
- Aurora Serverless v1 の制限:
- グローバルデータベース非対応
- リードレプリカ非対応
- 複数ライター非対応
- Aurora Global Database の特徴:
- クロスリージョンレプリケーション(1秒未満の遅延)
- セカンダリは読み取り専用
- 災害復旧に最適(アクティブ/パッシブ構成)
- DR設計におけるRPO/RTO対応:
- RPO(1分以内) → グローバルDBによるリアルタイムレプリケーション
- RTO(5分以内) → 事前にターゲットリージョンにスタンバイ構成しておく必要あり
他の問題があれば、引き続きHTML形式で貼り付けてください。分析を続けます。
