この記事の概要
2020/01/13に
AWS認定SysOpsアドミニストレーター - アソシエイト
(AWS Certified SysOps Administrator - Associate (SOA))
を受験したので、その時の記録
試験の概要
アソシエイトレベル(下から2番目)の管理・運用者向け試験です。
「AWSプラットフォームでのデプロイ、管理および運用に関する技術的な専門知識を認定します。AWSベースのアプリケーションの運用に関する1年以上の実務経験を持つ方が対象です。」
AWS公式より引用:引用元
◼︎ 試験要項
問題数 :65問
試験時間 :130分
受験料 :¥15,000(税別)
合格ライン:100~1000点中720点(約69%)
受験資格 :なし
◼︎ 出題範囲
| 分野 | 出題割合 |
|---|---|
| 分野 1: モニタリングとレポート | 22% |
| 分野 2: 高可用性 | 8% |
| 分野 3: 展開とプロビジョニング | 14% |
| 分野 4: ストレージおよびデータの管理 | 12% |
| 分野 5: セキュリティとコンプライアンス | 18% |
| 分野 6: ネットワーク | 14% |
| 分野 7: 自動化と最適化 | 12% |
2020/01時点の最新バージョン(Ver.1.2)のものです。
バージョンアップで範囲等は変更されるので、受験時は公式で確認してください。
AWS 認定 SysOps アドミニストレーター – アソシエイト | AWS
勉強開始前の状態
AWSで動いているアプリ開発の業務経験1年以上、
8ヶ月ほど前にソリューションアーキテクト - アソシエイトを取得、5ヶ月ほど前にデベロッパー - アソシエイトを取得済み
DynamoDB, S3, Lambda, SQSの利用経験あり、SDKによる開発がメイン。
AWSソリューションアーキテクトを受験した時の話
https://qiita.com/aminosan000/items/24c6dff9532658a5c4d5
AWSデベロッパーアソシエイトを受験した時の話
https://qiita.com/aminosan000/items/89bc76f77626314f3182
勉強に使ったもの
1. オンライン練習問題(非公式)その1
AWS WEB問題集で学習しよう | 赤本ではなく黒本の問題集から学習する方向け
ソリューションアーキテクト受験の際に利用したサイト、SysOpsはフリープランだと理解度確認テストがないので、問題数は少ないです。
全問(469問)利用するためにはプラチナプラン:90日/¥4,280(税抜き)の登録が必要なので、今回は無料の問題21問だけ利用。
2. オンライン練習問題(非公式)その2
AWS Certified SysOps Administrator Associate | Whizlabs
以前、デベロッパーアソシエイト受験の際に利用して、なかなか良かったので今回も購入。
デベロッパーアソシエイトと同様、最新のバージョンの問題が325問(65問×5パターン)用意されています。
※旧バージョンの試験と合わせると700問以上
今回はクリスマス&ニューイヤークーポンで 19.95USD の50%offで 9.98USD でした。(現在のレートで¥1,138、コスパ抜群!)
前回同様、Google翻訳で翻訳しながら日本語が怪しい部分は原文とあわせながら利用。
3. AWS公式模擬試験
4. AWSアカウント
SysOpsに関しては対策本が↓の1種類しかなかったので、一応購入してみましたが、ソリューションアーキテクト、デベロッパーとさほど内容が変わらないように思いました。
「AWS認定アソシエイト3資格対策~ソリューションアーキテクト、デベロッパー、SysOpsアドミニストレーター~」
なので、前回同様、公式模擬試験(前回の合格者特典で1回無料)でどれぐらい解けるか一度試してみて、あとはひたすら練習問題を解く!触ったことがないサービス名とかが出てきたら、ググってイメージの湧かないものはマネジメントコンソールでも触ってみる〜の流れでいきました。
勉強時間
トータルで10時間ぐらい
正直、SAAとDVAを持ってる人なら問題集だけで十分かなと思います。
受験後
しっかり見直しして30分ほど残して終了。結果スコアは872で合格
印象としては、
- オンプレからの移行やハイブリッドとマルチリージョン(Snowball、ストレージゲートウェイ, VPCピアリング)
- 追跡や構成の保護,管理(VPC Flow, CloudTrail, Amazon Inspector, AWS Config, AWS SSM)
- アプリケーションレイヤーでのセキュリティ(GurdDuty, AWS Sield, WAF)
- サポートプランによる違いや、サポートへの申請が必要な制限の解除
あたりが、SAAとDVAに比べて結構でてきた感じでした。
次は「ソリューションアーキテクト - プロフェッショナル」か「DevOpsエンジニア - プロフェッショナル」のどちらか
受験したらまた載せていきたいと思います。
アソシエイト試験の期限(3年)が切れるまでには受験する予定です。
勉強になったことメモ
試験のために勉強したことで、今後どこかで使えそうなことを忘れないようにメモ
Spot Block(スポットインスタンスのオプション):
一定の起動時間の間、価格変動があっても起動し続けられるSpotインスタンスのオプション(最大6時間)
AWS Artifact:
AWSの監査レポートをPDFで取得できる
AWS System Manager(SSM):
EC2インスタンスのOSのパッチ適用やアンチウイルス定義更新などを一括で行える
Egress-Only(下り専用)インターネットゲートウェイ:
IPv6のNATゲートウェイ的な役割をする。NATゲートウェイはIPv6に対応できない。
AD Connector, AWS Managed Microsoft AD:
Active Directoryのユーザに対してAWSマネジメントコンソールへのアクセス権の認可が行える。
AWS Snowball:
オンプレミスからAWSヘ物理ストレージを経由したデータ移行サービス
より高機能なSnowball Edgeもある。(ストレージ容量などが上がっているが、Edgeの方が高い)
Snowballアプライアンス(appliance=器具,装置)はデータ移行用専用デバイスのこと。
Route53の加重(重み付け)ルーティング:
加重ルーティングを使うと新しいバージョンのインスタンスに少しだけリクエストを流して、カナリアリリースができる。
AWS Orgatnization:
複数のAWSアカウント(IAMユーザでなく"アカウント")を統合管理できるサービス
共通のポリシーをアカウントにまたがって設定したりできる。その仕組みをSCP(サービスコントロールポリシー)という。
Vault Lock(ボールトロック):
S3 Glacierにアーカイブする際に変更不可能にすることができる「write once read many」などのポリシーを設定する機能
ボールトロックポリシーをボールトにアタッチするとボールトロックIDが生成され、24時間以内にこのIDを使用してロックを有効にする。という2段階のプロセスが必要。
SSE-S3, SSE-KMS(Server Side Encliption):
S3アクセスログのターゲットバケットを暗号化する場合SSE-S3でないとならない。
AWS WAF:
そのまんまWAF, SQLインジェクションとかXSSとかを防げる
AWS Sield:
DDOS攻撃に対するマネージドセキュリティサービス
Amazon GurdDuty:
AWS環境やAWSアカウントに対する攻撃を検知する。脅威リストと信頼済みIPリストを設定できる。(マスターアカウントのみ)
GurdDutyのルールは無効にしたり、削除はできないがアーカイブすることによって通知を発生しないようにできる。
VPC Endpoint for S3:
EC2からS3へアクセスさせるためにはIAMロールだけでなくVPCエンドポイントも必要
AWS Config Rules:
AWS Config Rulesを使ってEC2に適切なタグ付けがされていること、セキュリティグループが関連付けられていること、ポート22が空いていないこと、
CloudWatch:
複数のリージョンにまたがるメトリクスの取得は詳細モニタリング
ストレージゲートウェイ:
S3をオンプレミス環境と接続するための仕組み
・ファイルゲートウェイ:NFSやSMBなどの業界標準ファイルプロトコルを使用できる。VMware ESXi or Hyper-VのVMとしてオンプレにデプロイできる。
・ボリュームゲートウェイ:キャッシュボリュームを使うとオンプレミスサーバからiSCSIとして接続できる。
・テープゲートウェイ:バックアップデータ向け、GLACIER または DEEP_ARCHIVEにアーカイブできる。
AWS Config & AWS CloudTrail & Amazon Inspector:
追跡・セキュリティ評価に利用できるサービス達
・AWS Configは構成ルールに関するリソースの変更を追跡できる。リージョンごとに有効にできる。
・AWS CloudTrailはAWSリソースへのAPI呼び出しを追跡できる。デフォルトで有効、グローバルサービス。
・Amazon InspectorはEC2インスタンス上のアプリケーションのポート及びサービスの脆弱性を評価できる。
AWS Systems Manager(SSM):
EC2やオンプレサーバに対して、メタデータの取得を行える。
例)インストールされているソフトウェアのリストやOSの更新状況など
OSのパッチ適用などもできる。
Amazon QuickSight:
ビジネス分析サービス、StandardとEnterpriseの二つのEditionがある。
StandardはIAMでのアクセス制御、EnterpriseはADでのアクセス制御
Enterpriseのみ保存時の暗号化をサポート。
SurgeQueueLengthとSpilloverCount:
CLBのバックエンドインスタンスで処理しきれないリクエストはキューに溜め込まれ、この数はSurgeQueueLengthというメトリックで確認できる。
SurgeQueueLengthは1024を超えるとリクエストが拒否される、メトリックSpilloverCountはこの拒否されたリクエストの数。
VPC Flow Logs:
VPC内のトラフィックをキャプチャする機能、キャプチャしたデータはCloudWatch LogsとS3に出力できる。
セキュリティツールとしてのトラフィックの監視や到達しないトラフィックのトラブルシューティングに利用可能。
インターフェイスVPCエンドポイント:
インターフェイスVPCエンドポイントを利用するとVPC内のEC2からインターネットを経由せずKinesis Streamにアクセスできる。
Amazon Redshift Enhanced VPC Routing:
Redshiftクラスターに転送されるデータを全てVPC経由にできる。これにより、SG,NACL,IGWなどのVPC標準サービスが適用できる。
S3のクロスリージョンレプリケーション:
S3バケットを異なるリージョンにコピーする条件
・送信元バケットと宛先バケットでともにバージョニングが有効であること。
・バケットのリージョンが異なること。
・Amazon S3に送信先バケットに対するアクセス許可があること。
Elastic Beanstalk:
Elastic BeanstalkはWebアプリのデプロイを簡略化するサービス。EC2だけでなくECSもいける。LAMPテンプレートとかいうのもある。
Amazon Data Lifecycle Manager:
EBSボリュームをバックアップするために作成されたスナップショットの作成・保持・削除を自動化できる