はじめに
AWS Solutions Architect Associate (SAA) の試験直前に見返すためのチートシートです。
頻出の引っかけルール、定番のアーキテクチャパターン、「このキーワードが出たらこのサービス」の逆引き表を1つの記事にまとめました。
本記事は個人の学習ノートをベースにしています。誤りがあればコメントでご指摘いただけると助かります。
頻出の引っかけ・重要ルール
Lambda
- 最大タイムアウト = 15分(30分処理は ECS Fargate)
- デフォルトは AWS 所有 VPC(VPC 有効化すると NAT Gateway が必要に)
- Provisioned Concurrency でコールドスタート排除
- ウェブサイトのホスティングは不可(S3 + CloudFront)
ELB
- ALB はリージョンをまたげない(クロスリージョンは Global Accelerator or Route 53)
- ALB に Elastic IP 不可(NLB は可能)
- NLB のデフォルト Cross-Zone LB は無効(ALB はデフォルト有効)
- NLB は TCP/UDP、ALB は HTTP/HTTPS のみ(UDP なら NLB 一択)
WAF
- EC2 に直接 WAF は不可(CloudFront / ALB / API Gateway が必要)
- NLB に WAF 不可
- WAF に Rate-Based Rule あり、Shield にはなし
CloudFront
- ACM 証明書は us-east-1 のみ
- OAI は読み取りのみ、OAC は PUT/POST/SSE-KMS 対応
- Security Group / NACL は CloudFront に関連付け不可
- S3 に SG は存在しない
VPC
- Gateway Endpoint は S3 と DynamoDB のみ(無料)
- VPC Peering は推移的ルーティング不可(複数 VPC 接続は Transit Gateway)
- NAT Gateway はパブリックサブネットに配置
- NAT Gateway に SG 不可、NAT Instance は可能
- Egress-only IGW は IPv6 専用(IPv4 には使えない)
セキュリティ
- Security Group = ステートフル、NACL = ステートレス
- SG に deny ルールなし(許可のみ)
- Permissions Boundary はグループ適用不可(ユーザー / ロールのみ)
- SCP はルートユーザーにも適用(IAM との最大の違い)
- SCP はサービスリンクロールには影響しない
S3
- Multi-Part Upload: 100MB 以上推奨、5GB 超必須
- ライフサイクル遷移の最低日数: Standard-IA / One Zone-IA = 30日、Glacier IR = 90日
- Object Lock Compliance Mode = ルートユーザーでも削除不可
- Governance Mode = 特権ユーザーがバイパス可能
- Snowball → S3 のみ(Glacier 直接不可)
- S3TA は加速時のみ課金(加速されなければ無料)
データベース
- Aurora にスタンバイは存在しない(Replica が読み取り + フェイルオーバー)
- Multi-AZ スタンバイは読み取り不可
- Read Replica は常に非同期(「同期 Read Replica」は矛盾)
- クロスリージョン Multi-AZ は存在しない
- RDS には SSH 不可(マネージドサービス)
- RDS 暗号化は DB 作成時のみ(後から有効化不可)
- EBS Multi-Attach = io1/io2 のみ
- 暗号化は不可逆(未暗号化に戻せない)
- Database Cloning は Aurora のみ
- DynamoDB アイテムサイズ上限 = 400KB
Instance Store
- 物理ディスク直結(ネットワークストレージではない)
- 起動時のみ指定可能(再起動時は不可)
- デタッチ不可
- リブート時のみデータ保持(停止 / 終了 / ハイバネーションで消失)
EC2 自動復旧
- EBS ボリュームのみ対応(Instance Store は不可)
- システムステータスチェックのみ
Direct Connect
- デフォルトで暗号化なし(超重要)
- 暗号化には VPN over DX が必要
- 「暗号化 + 最速」→ Site-to-Site VPN
Route 53
- CNAME は Zone Apex に使えない(Alias のみ)
- Active-Active Failover Routing Policy は存在しない
- Geolocation はエリアサイズ変更不可、Geoproximity は可能(バイアス)
- Simple レコードにはヘルスチェック機能なし
KMS
- シングル → マルチリージョンキー変換は不可
- KMS キーは別リージョンに共有不可
SQS
- Standard → FIFO 変換は不可(削除して再作成)
-
.fifoサフィックス必須 - バッチなし 300 msg/s、バッチあり 3,000 msg/s
Kinesis
- Data Firehose は単一配信先のみ(複数コンシューマーは Data Streams)
- Enhanced Fanout = 各コンシューマーに専用 2MB/秒/シャード
ディレクトリ
- AD Connector は信頼関係不可
- 「信頼関係 + ディレクトリ対応ワークロード」→ AWS Managed AD
定番アーキテクチャパターン
静的サイト
ユーザー → Route 53(エイリアス)→ CloudFront → S3(静的ホスティング)
動的 Web アプリ
ユーザー → Route 53 → CloudFront → ALB → ASG(EC2)→ Aurora MySQL(Multi-AZ + Read Replica)
サーバーレス Web アプリ
ユーザー → Route 53 → CloudFront → API Gateway → Lambda → DynamoDB
→ S3(静的)
イベント駆動画像処理
ユーザー → S3(アップロード)→ S3 Event → Lambda(処理)→ S3(結果)
→ SQS(バッファ)→ Lambda
リアルタイムストリーミング
データ → Kinesis Data Streams → Lambda / Kinesis Data Analytics → DynamoDB / S3
→ Firehose → S3 / Redshift / OpenSearch
マルチリージョン DR
プライマリリージョン ── Aurora Global Database ──> セカンダリリージョン
Route 53 Failover / Global Accelerator → フェイルオーバー
ハイブリッドネットワーク(複数 VPC + オンプレ)
オンプレ DC ── Direct Connect + Transit VIF ──> Transit Gateway
<── VPC 1, VPC 2, ..., VPC N
オンプレから S3 への継続的ファイルアクセス
オンプレ(SMB/NFS)→ File Gateway → S3
ローカルキャッシュ
大量データ移行
オンプレ → DataSync(オンライン、最大10Gbps)→ S3 / EFS / FSx
オンプレ → Snowball Edge(オフライン、PB級)→ S3 → Lifecycle → Glacier
非同期バッチ処理(コスト最適)
API → SQS → ASG(Spot Instances)→ 結果 S3
マルチアカウント管理
Organizations
├── SCP(ガードレール)
├── Tag Policy(タグ標準化)
└── IAM Identity Center(SSO)+ Permission Sets
キーワード → サービス 逆引き表
データベース選定
| キーワード | サービス |
|---|---|
| NoSQL + ミリ秒 + サーバーレス | DynamoDB |
| リレーショナル + グローバル | Aurora Global Database |
| リレーショナル + OLTP + 予測不能スパイク | Aurora Serverless |
| データウェアハウス + MPP + サーバーレス | Redshift Serverless |
| グラフ / 関係性 / ソーシャル | Neptune |
| 時系列 / IoT | Timestream |
| 全文検索 / ログ分析 | OpenSearch |
| インメモリキャッシュ | ElastiCache |
| DynamoDB 専用キャッシュ | DAX |
| 地理空間データ | ElastiCache Redis |
ストレージ選定
| キーワード | サービス |
|---|---|
| SMB | FSx for Windows / Storage Gateway File Gateway |
| SMB + NFS 両方 | FSx for NetApp ONTAP |
| NFS + Linux | EFS |
| HPC / Lustre | FSx for Lustre |
| 最高 I/O + 一時 | Instance Store |
| ブロックストレージ + 永続 | EBS |
| オブジェクト + グローバル | S3 |
| ハイブリッドストレージ | Storage Gateway |
| 大量データ移行 | DataSync / Snowball |
メッセージング選定
| キーワード | サービス |
|---|---|
| AMQP / MQTT / STOMP 互換 | Amazon MQ |
| キューイング + デカップリング | SQS |
| Pub/Sub 通知 | SNS |
| サードパーティ SaaS 統合 | EventBridge |
| リアルタイムストリーミング | Kinesis Data Streams |
| ストリーミング配信(S3 / Redshift) | Kinesis Data Firehose |
ネットワーク選定
| キーワード | サービス |
|---|---|
| マルチリージョン + 低レイテンシー + 静的 IP | Global Accelerator |
| 静的 / 動的コンテンツ配信 | CloudFront |
| DNS ルーティング | Route 53 |
| 複数 VPC + オンプレ | Transit Gateway |
| 少数 VPC 間 | VPC Peering |
| 同一アカウント内のマルチ | RAM(サブネット共有) |
| オンプレ ↔ AWS 暗号化接続 | Site-to-Site VPN |
| オンプレ ↔ AWS 専用回線 | Direct Connect |
| AWS サービスへのプライベートアクセス | VPC Endpoint |
| サードパーティ SaaS へのプライベートアクセス | PrivateLink |
おわりに
この記事は試験直前の最終確認用として作成しました。「引っかけルール」で不正解の選択肢を素早く除外し、「キーワード逆引き表」で正解のサービスに素早くたどり着けるようにしておくと、試験本番で迷う時間を大幅に減らせるはずです。
間違いや補足があればぜひコメントで教えてください。