はじめに
私は、社内のパブリッククラウド活用を推進するチームに所属しています。
チームに参加した当初、クラウドの知識が殆どなかったため、各サービスの仕様や使い方を熱心に学んでいました。また、プラットフォームでサービス認定という業務を担当していたこともあり、AWS のアップデートに触れる機会が多かったです。
現在、当チームに参加してから 5 年の月日が経ちました。以前よりもアップデートを追う習慣が薄まっており、私以外のメンバーも危機感を感じていました。そこで、当チームでは年始から AWS アップデートのクイズ大会を月次で開催しています。実践し始めて四半期が経過したので、本記事で当チームの自作クイズを公開します。
- 各クイズは、アップデート当時の情報を参考にしています。今後のアップデートで変わる可能性がある点にご注意ください。
- 各クイズの内容は新しいアップデートを扱っているため、AWS 認定試験に取り込まれていない可能性があります。試験対策とは別物として、お楽しみください。
アップデートクイズ
新しい知識の波に乗り、12 問のクイズで知識をアップデートしましょう。
難問もあるかもしれませんが、間違いは成長の証。最新のアップデートに追いつくための一歩として、どんな結果も前向きに受け止めてください。さあ、最後までチャレンジの旅を楽しんでください!1
2023年12月アップデート
Q1
CloudWatch アラームの状態変化時(アラーム状態・OK・データ不足)に、実行できるアクションを全て選択してください。(複数回答)
A) Amazon SNS(通知)
B) AWS Lambda アクション
C) Amazon EC2 Auto Scaling アクション
D) Amazon EC2 アクション
E) AWS Systems Manager アクション
正答はこちら
正答: A~E の全て
2023年12月22日、CloudWatch アラームのアクションで Lambda 関数がサポートされました。
Amazon CloudWatch アラームにアラーム状態変更アクションとして AWS Lambda が追加
その他の選択肢は、以前よりアクションで指定できました。
Q2
レコメンデーション機能を提供する AWS サービスを全て選択してください。(複数回答)
A) AWS Config
B) AWS RDS
C) AWS Compute Optimizer
D) Savings Plans
正答はこちら
正答: B, C, D
2023年12月19日、AWS RDS で推奨事項の機能が提供されました。
Amazon RDS が強化された RDS の推奨事項のエクスペリエンスを開始
AWS Compute Optimizer、Savings Plans については、以前よりレコメンデーション機能を保有していました。
(参考)
Q3
カスタマーマネージドキー(CMK)での暗号化に対応している AWS サービスを全て選択してください。(複数回答)
A) AWS CodeCommit
B) AWS Certificate Manager
C) AWS Lambda
D) Amazon EFS
正答はこちら
正答: A, C, D
2023年12月21日、AWS CodeCommit でカスタマーマネージドキー (CMK) を使用した暗号化がサポートされました。
AWS CodeCommit でのカスタマーマネージドキー (CMK) サポートの発表
AWS Lambda、Amazon EFS については、以前より CMK に対応していました。なお、AWS Certificate Manager については、本稿執筆時点で AWS マネージドキーのみをサポートしています。
(参考)
Q4
Amazon Data Firehose(旧:Amazon Kinesis Data Firehose)では、データをバッファに溜め込んでから Amazon S3などの Destination に書き込みます。バッファリング間隔は最大 900 秒(15分)まで指定できますが、最小の間隔値は何秒ですか。(単一回答)
A) 0 秒
B) 30 秒
C) 60 秒
D) 90 秒
正答はこちら
正答: A
2023年12月26日、Amazon Data Firehose で「ゼロバッファリング」がサポートされました。
Amazon Kinesis Data Firehose がゼロバッファリングのサポートを開始
以前の最小値は 60 秒でしたが、本アップデートにより、0 秒を指定できるようになりました。
実際に送信される間隔は数秒以内であるとドキュメントに記載されているので、ご注意ください。
バッファリング間隔をゼロ秒に設定すると、Firehose はデータをバッファせず、数秒以内にデータを配信します。
出典: バッファリングヒント
2024年1~2月アップデート
Q5
Amazon Q と統合されている AWS サービスを全て選択してください。(複数回答)
A) Amazon QuickSight
B) AWS Glue
C) Amazon Athena
D) Amazon Connect
正答はこちら
正答: A, B, D
2024年1月30日、プレビュー版として Amazon Q で AWS Glue ジョブを生成できるようになりました。
AWS Glue への Amazon Q データ統合のお知らせ (プレビュー)
Amazon QuickSight と Amazon Connect については、以前より Amazon Q と連携していました。なお、Amazon Q のコンソールでは AWS Glue ジョブを生成できますが、AWS Glue Studio のコンソールからプロンプトを直接投げることはできないようです。
(参考)
Q6
AWS CodePipeline で実行可能な操作を全て選択してください。(複数回答)
A) GitHubとの連携
B) Git Tagによるパイプライン起動
C) 特定ブランチの更新によるパイプライン起動
D) 特定ファイルパスのファイル更新によるパイプライン起動
E) パイプラインの並列実行とキュー実行
正答はこちら
正答: A~E の全て
2024年2月9日、AWS CodePipeline V2 タイプのパイプラインは、追加のパイプライントリガーフィルターと、2 つの新しいパイプライン実行モード(Parallel/Queued)をサポートしました。
CodePipeline が追加のトリガーフィルターと新しい実行モードのサポートを開始
パイプライントリガーフィルターを使用すると、GitHub.com、GitHub Enterprise Server、Bitbucket.com、GitLab.com、および GitLab セルフマネージドのソースを使用しているお客様は、パイプラインの実行をトリガーするタイミングを制御できます。パイプライン実行モードを使用すると、パイプラインの複数の実行が開始されたときの同時実行動作をお客様が制御できます。
お客様は、プッシュリクエストやプルリクエストなどの Git イベントタイプのフィルターと、ブランチ名やファイルパスなどの Git メタデータのフィルターを使用して、パイプラインのトリガーを定義できます。
本アップデートにより、選択肢 B, D, E の操作を実行できるようになりました。選択肢 A, C については、以前よりサポートされていました。詳細は、以下の AWS ブログをご参照ください。
(参考)
Q7
あなたは AWS Application Load Balancer(ALB)に、AWS Web Application Firewall(WAF)の WebACL を関連付けして作成する必要があります。マネジメントコンソールでの実装手順を全て選択してください。なお、各選択肢は独立した解決策です。(複数回答)
A) ALB を作成する → Web ACL 作成時に「Associated AWS resources-optional」で、ALB を選択する(2 Steps)
B) ALB 作成時に「ロードバランサの背後にWAFセキュリティ保護を含める」をチェックし、「事前定義済みのウェブ ACL を自動作成」を選択する(1 Step)
C) Web ACL を作成する → ALB 作成時に「ロードバランサの背後にWAFセキュリティ保護を含める」をチェックし、「既存のウェブ ACL 」を選択する(2 Steps)
D) Web ACL 作成時に「Create Application Load Balancer」オプションを選択する(1 Step)
正答はこちら
正答: A, B, C
2024年2月6日、ALB の作成画面から WAF 連携を設定できるようになりました。
AWS Application Load Balancer がワンクリック WAF 統合を発表
以前は選択肢 A のように 2 ステップの操作が必要でしたが、本アップデートにより、B の少ない手順で設定できます。先に Web ACL を作成する選択肢 C の手順でも実装可能です。なお、Web ACL 作成画面で「Create Application Load Balancer」オプションは存在しないため、選択肢 D は誤りです。
(参考)
Q8
AWS の IaC 開発で実現できることを全て選択してください。(複数回答)
A) 自然言語で AWS CDK のソースコードを生成する
B) IaC 管理外で作成された AWS リソースをスキャンして、AWS CloudFormation テンプレートを生成する
C) IaC 管理外で作成された AWS リソースをスキャンして、AWS CDK ソースコードを生成する
D) AWS CodeCommit への push をトリガーに、AWS CloudFormation スタックを更新する(パイプラインレス)
正答はこちら
正答: A, B, C
2024年2月5日、既存の AWS リソースをスキャンして AWS CloudFormation テンプレートを生成する「IaC ジェネレーター」が発表されました。
既存の AWS リソース用の AWS CloudFormation テンプレートと AWS CDK アプリケーションを数分で生成
AWS CloudFormation テンプレート生成後、AWS CDK のソースコードを L1 Construct で生成することもできます。選択肢 A については、Amazon CodeWhisperer などで以前から実現可能でした。なお、AWS CloudFormation の Git Sync 機能で AWS CodeCommit はサポートしていないため、選択肢 D は誤りです。
(参考)
2024年2~3月アップデート
Q9
2024年3月19日に Amazon DynamoDB で AWS PrivateLink (インターフェイス型 VPC エンドポイント)がサポートされるようになりました。これまでのゲートウェイ型 VPC エンドポイントと比べて、嬉しい点を全て選択してください。(複数回答)
A) 可用性が向上する
B) セキュリティグループ ID やポート番号などで、VPC エンドポイントへのアクセス元を制限できる
C) 専用線で接続されたオンプレミスの環境から、直接 Amazon DynamoDB の API を実行できる
D) 利用料金が安くなる
正答はこちら
正答: B, C
Amazon DynamoDB は、これまでゲートウェイ型 VPC エンドポイントのみをサポートしていましたが、ついにインターフェイス型 VPC エンドポイントもサポートされるようになりました。
Amazon DynamoDB が AWS PrivateLink のサポートを開始
本問題は Amazon DynamoDB 特有というより、2 種類の VPC エンドポイント相違点を確認する内容です。そのため、本問題の選択肢については 1 つずつ解説します。2 種類の VPC エンドポイントにおける主な相違点は以下の通りです。
| DynamoDB のゲートウェイエンドポイント | DynamoDB のインターフェイスエンドポイント |
|---|---|
| ネットワークトラフィックは AWS ネットワーク上に残ります | ネットワークトラフィックは AWS ネットワーク上に残ります |
| Amazon DynamoDB パブリック IP アドレスを使用する | VPC のプライベート IP アドレスを使用して Amazon DynamoDB にアクセスする |
| オンプレミスからのアクセスを許可しない | オンプレミスからのアクセスを許可する |
| 別の AWS リージョンからのアクセスを許可しない | VPC ピアリングまたは AWS Transit Gateway を使用する別の AWS リージョンにある VPC エンドポイントからのアクセスを許可する |
| 請求されない | 請求される |
出典: Types of Amazon VPC endpoints for Amazon DynamoDB2
まず、ゲートウェイ型 VPC エンドポイントでは冗長化の考慮が不要でしたが、インターフェイス型 VPC エンドポイントは AZ 単位でデプロイする必要があり、可用性設計が必要です。可用性が向上するわけではないため、選択肢 A は誤りです。インターフェイス型 VPC エンドポイントでは、セキュリティグループをアタッチできるため、選択肢 B は正解です。ゲートウェイ型 VPC エンドポイントでは直接 API を実行できませんが、インターフェイス型 VPC エンドポイントでは可能です。従って、選択肢 C は正解です。ゲートウェイ型 VPC エンドポイントは無料ですが、インターフェイス型 VPC エンドポイントでは AZ 毎に1時間当たりの料金が発生します。利用料金は安くならないため、選択肢 D は誤りです。
(参考)
Q10
AWS Systems Manager Parameter Store で共有先として設定できる対象を全て選択してください。(複数回答)
A) 他アカウントの IAM ユーザー
B) 他アカウントの IAM ロール
C) AWS アカウント ID
D) AWS Organizations の組織単位 (OU)
E) AWS Organizations の組織 (Organizations)
正答はこちら
正答: A~E の全て
2024年2月22日、AWS Systems Manager Parameter Store で「クロスアカウント共有」がサポートされるようになりました。
AWS Systems Manager Parameter Store がクロスアカウント共有のサポートを開始
クロスアカウント共有を利用するには、AWS Systems Manager Parameter Store の利用枠を詳細に設定する必要があります。
実際の共有設定は、AWS Resource Access Manager を使用します。
以前は何かしらの作り込みが必要でしたが、本アップデートによりクロスアカウントでの各種パラメータ共有が簡単になりました。例えば、マルチアカウントで VPC エンドポイントを集約している場合、本機能により VPC エンドポイント ID を簡単に共有できます。
Q11
リソースベースポリシーに対応している AWS サービスを全て選択してください。(複数回答)
A) Amazon S3
B) AWS KMS
C) Amazon RDS
D) Amazon DynamoDB
E) AWS CodeCommit
正答はこちら
正答: A, B, D
2024年3月20日、Amazon DynamoDB でリソースベースポリシーがサポートされるようになりました。
Amazon DynamoDB がリソースベースのポリシーのサポートを開始
本アップデートにより、Amazon DynamoDB で柔軟なアクセス制御が可能になりました。従来、Amazon DynamoDB へクロスアカウントアクセスする際、クロスアカウントで引き受ける IAM ロールの設定が必要でしたが、引受しない選択肢もとれるようになりました。Amazon S3 バケットなどと同様にリソースベースポリシーでアクセス元の AWS アカウントを指定できるため、クロスアカウントアクセスの設定が簡単になります。
(参考)
Q12
データ API に対応している AWS のデータベースサービスを全て選択してください。(複数回答)
A) Amazon RDS (Oracle)
B) Amazon RDS (Aurora Serverless v2 PostgreSQL)
C) Amazon RDS (Aurora Serverless v2 MySQL)
D) Amazon Neptune
正答はこちら
正答: B, D
2024年2月22日、Amazon Neptune でデータ API がサポートされるようになりました。
Amazon Neptune で AWS SDK を使用したデータ API のサポートを発表
データ API を使用すると、IAM の認証情報で DB 内のデータへアクセスできます。2023年12月21日、選択肢 B の Amazon RDS (Aurora Serverless v2 PostgreSQL) もデータ API がサポートされるようになりました。本稿執筆時点で、選択肢 A と C は、データ API に対応していません。選択肢以外では、Redshift などもデータ API を使用できます。
(参考)
余談
以下では、クイズの背景や参加者の声などを紹介します。
なぜアップデートに追随する?
クラウドの進化は日進月歩です。AWS では年間に数千回のリリースを行っており、常識だと思っていたことが急に変わります。2023 年を例に挙げると、以下の変化がありました。
| これまでの常識 | これからの常識 |
|---|---|
| Network Load Balancer にはセキュリティグループをアタッチできない | 2023/8/10 のアップデートでアタッチできるように |
| Amazon S3 Glacier のデータ復元には数時間かかる | 2023/8/9 のアップデートで S3 Glacier Flexible Retrieval の取り出し時間が最大85%改善し、数分~数十分での取り出しが可能に |
| Elastic IP をアタッチしている EC2 インスタンスが起動していれば、Elastic IP の料金は無料3 | 2023/7/30 に新しい料金体系が発表 → パブリック IPv4 アドレスの枯渇対策でアタッチ・デタッチに関わらず有料化($0.005/h) |
特に、Network Load Balancer のセキュリティグループアタッチ不可については、当然のように認識していた仕様でした。そのため、アップデートを意識していないと、実案件での設計に影響があります。2023年には、その他にも沢山の変化がありましたが、割愛します。
また、過去に遡ってみると、以下のような大きな変化もありました。
| 以前のベストプラクティス | 現時点のベストプラクティス |
|---|---|
| オンプレミスとマルチ VPC 間の接続は、中央 VPC を設けて DX・VPC Peering を利用 |
Transit Gateway の登場 オンプレミスとの DX や複数の VPC とハブ&スポーク方式で接続できるように |
| IaC ツールは AWS CloudFormation を利用 |
AWS CDK の登場 慣れたプログラミング言語を使って優れた開発者体験で記述できるように |
このような変化に追随するためにも、アップデートを知ることは重要です。システムを塩漬けにするようなクラウドの利用方法は現実的でなく、アップデートへ追随するマインドが重要です。
どのように問題を作っている?
本稿のクイズは、有志 3 名で作成しました。現状、どのアップデートをクイズにするのか、はっきりとした基準はありません。そのため、3 名で話し合いながら、当社の業務に役立ちそうな内容を主にピックアップしています。例えば、Q1 のクイズではアーキテクチャの選択肢が拡がるため、AWS に携わる人なら知っておいて損はありません。一方、IoT 系サービスなどは当社であまりニーズがないため、クイズ化を見送っています。
当チームはパブリッククラウド活用を推進しており、高いスキルをもったメンバーが多いため、敢えて難しい選択肢にしています。既存の知識確認も狙いとしており、アップデート以外も回答させる複数選択の問題が多いです。作成者自身も間違えてしまうことが多いので、クイズ参加者には気楽に回答するように伝えています。
クイズ参加者からの評判
チーム内のクイズ参加者からは、以下のような声がありました。
- こういった会があるとアップデートを追うモチベーションになります。もしかしたら、自分でクイズを作ったほうがアップデートが頭に入るかもしれないなと思いました。
- AWSは常にアップデートされているため、楽しみながら最新情報を得られるので大変ありがたいです。
- 会議の気分転換になると思いました。
- 楽しみながらアップデートを追え、積極的に情報を知ろうとなれる。
- キャッチアップ出来ていなかった情報が知れて良かった。
- CodePipelineのような、馴染みのあるサービスのアップデートが役に立つし聞いててオモシロイです。難度高いと身構えてしまうので、8割わかる・2割わからないくらいがちょうどいいと思いました。
好印象な声が多く、楽しんでもらえて一安心です。案の定、難しいといった声もあったので、次回以降はライトな問題も増やしていこうと検討しています。
なぜクイズを公開しようと思った?
最大の理由は、本稿執筆に伴う復習により自身の知識を深めるためです。問題文・解説を全て自身で作成しているわけではないため、とても勉強になりました。
副次効果として、注目しているアップデートがチーム外に伝播されることも狙っています。社内に限らず、チーム外で本記事が活用されればとても嬉しいですね…!
おわりに
本記事では、2023年12月~2024年3月までの AWS アップデートに注目した自作クイズを紹介しました。
まだまだ始めたばかりの取り組みなので、各クイズの仕上がりに疑問を持たれた方もいらっしゃると思います。今回の経験を踏まえて、引き続きクイズ運営をカイゼンしていく予定です。
本記事がどなたかのお役になれば幸いです。次回もお楽しみに!?
参考資料
-
もう少しフォーマルな内容でしたが、Microsoft Copilot に「情熱的」という条件で添削を依頼した結果、とてもキャッチーになりました。 ↩
-
本稿執筆時点で、原文は英語のみ対応。 ↩
-
Elastic IP の数は 1 つのみという制限あり。EIPで料金発生するパターンとしないパターン #AWS | DevelopersIO (classmethod.jp) ↩