はじめに
はじめまして。
この度、AWS Certified Security-Specialty(SCS-C02)に無事合格しましたので
備忘も兼ねて受験記録を残したいと思います。
この記事が想定している読み手は誰か
・SAAを取得しており、次にどの資格を取得するか悩んでいる人
・初めてSpecialty資格に挑もうとしている人
・SCSに挑みたいけどどう勉強すればよいか不安な人
筆者について
・入社7年目
・入社後はアプリ導入の部署にいたが入社5年目の末に現在の部署へ異動
※異動してから初めてAWSに触れたため、AWSの実務経験自体は入社2年目相当
・取得済みのAWS資格はSAA(2023年5月合格)のみ
なぜ先にAWSアソシエイト3冠を目指さなかったか
既にアソシエイト3冠を達成している人が現部署に多く、しかも3冠達成者の殆どが筆者より社歴が若い方ばかりのため
折角であればアソシエイト3冠は目指さず、より難易度の高い方へ最初から挑んでみるのもアリでは?と思ったのが一番の理由です。
元々はSAPを受けようとしていたものの、範囲が広く深度も深く心が折れたためSpecialtyの中でも比較的易しいと言われているSCSに早々と切り替えました。
勉強時間や勉強方法について
1ヶ月弱
内訳:平日30分~1時間、休日2~5時間
メインは過去問演習やBlack Beltの確認に、通勤時間はUdemy視聴に充てました。
以下のコースが分かりやすかったです。
AWS認定Specialty – Security(SCS-C02)試験 対策トレーニングコース
ある程度サービスに関する理解を深められたら、AWSの公式問題集やUdemyの模擬試験集を周回していました。
重点的に勉強したトピック
個人的によく引っかかっていたのがKMSやIAMでした。
KMS
①カスタマーマネージドキーとAWSマネージドキーはどう使い分けるか
キーのローテーションや管理主体の要件が問題文に記載されているはずなのでそこから判断する
②KMSとCloudHSMはどう使い分けるか
コンプライアンス要件がある場合やFIPS140-2レベル3への準拠が必要な場合はCloudHSMが正解
細々とした箇所は下記の記事を参考に復習を繰り返しました。
IAM
①明示的な拒否>明示的な許可
ポリシーの評価論理にも記載されてる通り、アクセス許可判定においては明示的な許可(Allow)より明示的な拒否(Deny)が優先される
②属性ベースのアクセス制御(ABAC)とロールベースのアクセス制御(RBAC)の使い分けについて
「リソースの増減が発生するたびにアクセス許可ポリシーを都度更新したくない」といった要件が含まれる場合は属性ベースのアクセス制御(ABAC)を使うのが望ましい
③リソースへのアクセス・操作時に多要素認証(MFA)を強制するには
AWSの情報センターに記載がある通り、MFAデバイスによる認証を要求する条件をポリシーに追加する必要がある
Condition要素の書き方は覚えておかないとキツいかも?
他にも、ポリシーやSCPの記述に関する問題が一定数出てくるのですが
SCPではPrincipalやNotPrincipal要素が使えない点など
落とし穴が多くかなり理解するのに時間がかかりました。
JSONの中身に関する出題は慣れの問題もありますし、何度も解いて覚えるしかないと思います。特に普段業務の中でJSONを扱わない方は猶更ですね。
また、SAAに比べると日本語での学習教材がかなり少ないので
英語版のコンテンツをフル活用する重要性を痛感しました。
長らく英語に触れていないのもあり、翻訳機能に終始助けられてばかりでした…。
結果
平日午前中にテストセンターで受験し、当日の19時頃にメールで結果が届きました。
合格ラインが750点/1,000点のところ結果は799点でした。ギリギリ。
試験時間は180分と結構余裕がありますので
既存知識でどうにもならなそうな問題や捨て問、回答に迷った問題は全て後で確認するフラグを付け
見直しのタイミングでじっくり確認するのが安牌かと思います。
筆者の場合、後から見返したら全体の4割近くにフラグが立ってました。
見直しに重点的に時間をかけたものの、時間切れになることはなく残り30分になったタイミングで退出できました。
時間配分でミスすることはあまりないかと思います。
今後について
AWSのよくある質問に記載されているロードマップに沿ってANS-C01を目指すか、
初志貫徹でSAP-C02にリベンジするか考えている最中です。
また何か合格したら受験体験記は書いてみようと思います。
拙文ではありますがお読みいただきありがとうございました。