AWS Certified Solutions Architect - Associate (SAA-C03) #16 フルスケール選択式模擬試験 — 50 問 + 解説
読了 17分
#1 から #15 までの整理が頭に入っているかを確認する段階です。実際の試験と同じドメイン比重で 50 問 を解きます。
解き方 #
- 90~100 分 以内に解いてみます (実際の試験は 65 問/130 分ですが、本模擬試験は 50 問基準)。
- 1 問ずつすぐに解説を見ず、最後まで解いてから採点します。
- 36 問 (72%) 以上 正解すれば安全な合格圏です。
- 不足しているドメインが見えたら、該当の記事に戻って整理し直します。
ドメイン分布 #
| ドメイン | 問題数 | 範囲 |
|---|---|---|
| Domain 1 — セキュリティ (30%) | 15 | Q1 ~ Q15 |
| Domain 2 — 回復力 (26%) | 13 | Q16 ~ Q28 |
| Domain 3 — 高性能 (24%) | 12 | Q29 ~ Q40 |
| Domain 4 — コスト最適化 (20%) | 10 | Q41 ~ Q50 |
Domain 1 — 安全なアーキテクチャ #
Q1. EC2 上で動作するアプリケーションが S3 バケットにアクセスする必要がある。最も安全な方法は?
解説
EC2 に IAM Role を付与すると一時的な認証情報が自動的に供給され、長期キーを保存する必要がありません。キーを保存する方式はすべて不正解です。
Q2. 複数のポリシーが同時に適用されており、そのうち一つに明示的な Deny がある。最終的な結果は?
解説
明示的な Deny はどの Allow よりも優先されます。一つでも Deny があれば最終的な結果は拒否です。
Q3. B アカウントのユーザーが A アカウントのリソースを制御する必要がある。最も適切な設計は?
解説
クロスアカウントアクセスの定石は Role 委任です。A に Role を作り、信頼ポリシーに B を入れて B が AssumeRole します。
Q4. 特定の悪意ある IP 一つをサブネットレベルで遮断する必要がある。適切なものは?
解説
セキュリティグループは許可ルールのみ可能です。特定 IP の遮断 (Deny) は NACL (Network ACL) で処理します。セキュリティグループはインスタンス (ENI) 単位のステートフルなファイアウォールで、NACL はサブネット単位のステートレスなファイアウォールであり Deny ルールをサポートします。
Q5. 開発者に権限を委任しつつ、彼が持てる最大権限を制限したい。適切なものは?
解説
個別の IAM アイデンティティの最大権限の上限は Permission Boundary です。SCP (Service Control Policy) はアカウント/OU (Organizational Unit) 単位の上限であり、信頼ポリシーは誰が Role を引き受けられるかを定め、セッショントークンは AssumeRole で発行される一時的な認証情報です。
Q6. 組織全体でどのアカウントも特定リージョンを使用できないようにする必要がある。適切なものは?
解説
組織 (Organizations) 次元の権限上限 (guardrail) は SCP (Service Control Policy) です。SCP は権限を付与せず、許可範囲を制限します。Permission Boundary は組織全体ではなく個別の IAM アイデンティティ一つの権限上限なので、全アカウントの遮断には合いません。
Q7. すでに稼働中の非暗号化 RDS インスタンスを暗号化しようとする。正しい手順は?
解説
RDS の暗号化は作成時にのみオンにできます。既存のインスタンスはスナップショット → 暗号化コピー → 復元の経路を経ます。
Q8. S3 オブジェクトを誰がいつ復号したかを監査できるようにする必要がある。適切な暗号化方式は?
解説
SSE-KMS は KMS (Key Management Service) キーの使用を CloudTrail で監査でき、「誰が復号したか」の追跡が可能です。SSE-S3 は S3 がキーを全面的に管理するため、個別のキー使用の監査ログを残しません。
Q9. 規制により、鍵マテリアルを専用ハードウェアで単独に制御する必要がある。適切なものは?
解説
専用 (シングルテナント) の HSM (Hardware Security Module) で鍵を完全に単独制御する必要があるなら CloudHSM です。KMS 管理キーはマルチテナント環境であり、Secrets Manager・Parameter Store は鍵マテリアル専用の制御ではなくシークレット・構成値を保存するサービスです。
Q10. private サブネットのインスタンスがインターネットを経由せずに S3 にアクセスする必要がある。最もコスト効率の良い方法は?
解説
S3・DynamoDB は無料の Gateway VPC (Virtual Private Cloud) Endpoint でプライベートアクセスします。NAT Gateway はコストがかかり、トラフィックがインターネット経路を通ります。Interface Endpoint は S3 にも使えますが時間・データ量あたりの課金なので、コスト効率の面では無料の Gateway Endpoint が正解です。
Q11. private インスタンスが SQS にプライベート経路でアクセスする必要がある。適切なものは?
解説
S3・DynamoDB 以外のサービス (SQS など) は Interface Endpoint (PrivateLink) でプライベートアクセスします。Gateway Endpoint は S3・DynamoDB の 2 サービスにのみ使え、VPC ピアリング・Transit Gateway は VPC 同士を接続する用途なので、AWS 管理サービスへのプライベートアクセスとは異なります。
Q12. 自社のサービスを顧客の VPC に、VPC ピアリングなしで、公開せずに提供する必要がある。適切なものは?
解説
PrivateLink は NLB (Network Load Balancer) の背後のサービスをエンドポイントサービスとして登録し、ピアリングなしで特定のサービスのみをプライベートに公開します。VPC ピアリングは両側の VPC 全体を接続するため公開範囲が広く、Direct Connect はオンプレミス〜AWS 間の専用回線なので目的が異なります。
Q13. Web アプリケーションを SQL injection と XSS から保護する必要がある。適切なものは?
解説
レイヤー 7 の Web 攻撃 (SQLi/XSS) の遮断は WAF (Web Application Firewall) です。CloudFront/ALB/API Gateway に関連付けます。Shield Standard は L3/L4 の DDoS (Distributed Denial of Service) 防御であり、GuardDuty は脅威検知のみでインラインの遮断は行いません。
Q14. モバイルアプリのユーザーがログイン後に S3 へ直接アップロードできるよう、一時的な AWS 認証情報を与える必要がある。適切なものは?
解説
一時的な AWS 認証情報の発行は Identity Pool の役割です。User Pool は認証 (ログイン・トークン) までです。
Q15. RDS データベースの認証情報を定期的に自動でローテーションする必要がある。適切なものは?
解説
自動ローテーション (rotation) を内蔵しているのは Secrets Manager であり、RDS と統合されます。Parameter Store は自動ローテーションを標準では提供しません。
Domain 2 — 回復力のあるアーキテクチャ #
Q16. HTTP パス (
/api、/img) に応じて異なるターゲットグループにルーティングする必要がある。適切なロードバランサーは?解説
パス・ホストベースの L7 ルーティングは ALB (Application Load Balancer) です。NLB (Network Load Balancer) は L4 なので HTTP パスを見られず、GLB (Gateway Load Balancer) はファイアウォールなどのセキュリティアプライアンスの前段用です。
Q17. 超高性能な TCP 処理と固定 IP が必要だ。適切なロードバランサーは?
解説
L4 の超高性能・超低遅延と固定 IP (Elastic IP) は NLB (Network Load Balancer) の特徴です。ALB には固定 IP がなく、GLB はセキュリティアプライアンス用です。
Q18. CPU 使用率に応じて EC2 の数を自動的に増減する必要がある。適切なものは?
解説
需要ベースの水平増減は ASG (Auto Scaling Group) の Target Tracking ポリシーです。より大きなインスタンスに置き換えるのは垂直スケーリングであり、自動の増減ではありません。
Q19. 毎日午前 9 時にトラフィックが予測可能に急増する。最も適切なスケーリングは?
解説
時刻が分かるパターンは Scheduled Scaling で事前に容量を調整します。Simple Scaling は指標がしきい値を超えたあとに反応する事後的な方式なので、予測された急増には一歩遅れます。
Q20. インスタンスは生きているがアプリケーションが応答しない場合を検知して置き換える必要がある。適切なものは?
解説
アプリケーションレベル (HTTP 200 など) の障害は ELB ヘルスチェックで検知します。EC2 ステータスチェックはインスタンスの状態だけを見ます。
Q21. Web 層に最高レベルの高可用性を提供しようとする。適切な組み合わせは?
解説
複数 AZ に分散 + ALB + ASG の組み合わせが、インスタンス障害と AZ 障害の両方を吸収します。
Q22. DR コストを最小化し、復旧時間が長くても構わない。適切な戦略は?
解説
最も安価ですが復旧が最も遅い戦略は Backup & Restore です。Pilot Light・Warm Standby は一部のリソースを常時オンにしておくため復旧は速いものの、コストはより高くなります。
Q23. DR でデータベースは常に複製しておき、アプリケーションサーバーは災害時に起動しようとする。どの戦略か?
解説
核心 (DB) のみを最小限でオンにしておき、残りは災害時に起動するのが Pilot Light です。Warm Standby は縮小した全スタックを常時動かしておく点でより高価で、Backup & Restore は常時複製を持ちません。
Q24. ほぼ無停止 (RTO/RPO ≈ 0) を要求し、コストは問題にならない。適切な戦略は?
解説
2 つのリージョンが同時に本番トラフィックを受ける Multi-Site Active/Active が RTO (Recovery Time Objective)/RPO (Recovery Point Objective) をほぼ 0 にします。残りの戦略はいずれも復旧に時間がかかり、無停止の要求を満たせません。
Q25. リージョン障害時に DNS を自動的に別のリージョンへ切り替える必要がある。適切なものは?
解説
ヘルスチェックベースの自動 DNS フェイルオーバーは Route 53 Failover ルーティングです。
Q26. RDS を直近 30 日以内の任意の時点に復旧できるようにする必要がある。適切なものは?
解説
RDS の自動バックアップは保持期間 (最大 35 日) 内の任意の時点への復旧 (PITR、Point-In-Time Recovery) を提供します。手動スナップショットは取得した時点にしか復元できないため、任意の時点への復旧はできません。
Q27. EBS・RDS・DynamoDB のバックアップを一つのポリシーで中央集約して管理しようとする。適切なものは?
解説
複数サービスのバックアップを中央ポリシーで管理するサービスは AWS Backup です。
Q28. コンプライアンスのため、バックアップを削除・変更できないように (不変で) 保管する必要がある。適切なものは?
解説
バックアップを WORM (不変) でロックするのは Backup Vault Lock です。S3 は Object Lock で同様に処理します。
Domain 3 — 高性能アーキテクチャ #
Q29. 中断に耐える大量のバッチ処理を最低コストで動かそうとする。適切な購入オプションは?
解説
中断可能な stateless・バッチワークロードには、最大 90% 安い Spot が適しています。RI (Reserved Instance) は常時稼働ワークロードの予約割引であり、Dedicated Host はライセンス・隔離の要件用なので、コスト最小化の目的とは異なります。
Q30. イベントが発生したときだけ短く実行され、サーバーを管理したくない。適切なものは?
解説
イベントベースの短い実行 (最大 15 分) でサーバー管理のない選択肢は Lambda です。
Q31. インメモリデータベースのワークロードで、メモリが非常に多く必要だ。適切なインスタンスファミリーは?
解説
インメモリ DB・大容量メモリのワークロードはメモリ最適化ファミリー (R/X) です。
Q32. データベースの読み取り負荷をインメモリキャッシュで減らしつつ、複製と永続性が必要だ。適切なものは?
解説
永続性・複製・Multi-AZ が必要なインメモリキャッシュは Redis です。Memcached はマルチスレッドのシンプルなキャッシュで複製・永続性がなく、DAX は DynamoDB 専用のキャッシュです。
Q33. DynamoDB の読み取り応答をマイクロ秒レベルに下げる必要がある。適切なものは?
解説
DynamoDB 専用のインメモリキャッシュである DAX (DynamoDB Accelerator) が読み取りをマイクロ秒に下げます。ElastiCache は汎用キャッシュなので DynamoDB と自動的に統合されず、アプリケーションが自らキャッシュロジックを扱う必要があります。
Q34. 世界中のユーザーにコンテンツを低遅延で配信しようとする。適切なものは?
解説
コンテンツをエッジにキャッシュしてユーザーの近くから配信する CDN (Content Delivery Network) は CloudFront です。Global Accelerator はキャッシュせずに AWS バックボーンでトラフィックを高速化するサービスなので、コンテンツのキャッシュ配信とは目的が異なります。
Q35. 複数の Linux EC2 が複数の AZ で同じファイルを同時に共有する必要がある。適切なものは?
解説
複数インスタンス・複数 AZ が共有する Linux ファイルシステムは EFS です。EBS は単一 AZ・単一インスタンス用です。
Q36. Windows サーバー群が SMB で共有ファイルシステムを使う必要がある。適切なものは?
解説
Windows の SMB (Server Message Block) 共有は FSx for Windows File Server です。EFS は Linux の NFS (Network File System) であり、FSx for Lustre は HPC・機械学習用の高性能な並列ファイルシステムです。
Q37. S3 に保存するデータのアクセスパターンが予測できず、コストを自動的に最適化したい。適切なクラスは?
解説
アクセスパターンが分からないとき、自動的に階層を移してコストを最適化するのは Intelligent-Tiering です。One Zone-IA は単一 AZ なので耐久性が低く、Glacier Deep Archive は即時アクセスが難しいため、パターン不明のデータには合いません。
Q38. ほとんどアクセスしないデータを最低コストで長期保管し、復旧に 12 時間かかっても構わない。適切なクラスは?
解説
最安値の長期保管で、復旧時間が長くても構わない場合は Glacier Deep Archive です。Glacier Instant Retrieval は即時に取り出せる代わりにより高価で、Standard-IA は保管単価がはるかに高くなります。
Q39. リレーショナルデータベースの読み取り負荷を分散する必要がある。適切なものは?
解説
読み取り拡張はリードレプリカです。Multi-AZ は高可用性用であり、standby は読み取りを受けません。
Q40. key-value モデルでミリ秒応答と事実上無制限の拡張、サーバー管理のない DB が必要だ。適切なものは?
解説
サーバーレスで無制限に拡張する NoSQL key-value DB は DynamoDB です。Aurora・RDS は管理型ですがリレーショナルであり、Redshift は OLAP (Online Analytical Processing) のデータウェアハウスなので、key-value の低遅延照会の用途ではありません。
Domain 4 — コスト最適化 #
Q41. 安定したワークロードだが、インスタンスファミリーを変えられる必要があり、Fargate・Lambda も併用する。最も適切な削減オプションは?
解説
インスタンスファミリー・リージョンに関係なく、Fargate・Lambda にまで適用される柔軟なコミットメントは Compute Savings Plans です。EC2 Instance Savings Plans・Standard RI (Reserved Instance) は特定のインスタンスファミリー・リージョンに縛られて柔軟性が低く、Fargate・Lambda には適用されません。
Q42. 世界中のユーザーにコンテンツを配信しつつ、オリジンのデータ転送コストを減らそうとする。適切なものは?
解説
CloudFront はエッジでキャッシュ応答し、オリジンのアウトバウンド転送と負荷を減らします。
Q43. 過去数か月のコストを可視化・分析し、今後のコストを予測しようとする。適切なものは?
解説
コストの可視化・分析・予測は Cost Explorer です。AWS Budgets はしきい値の通知用であり、CloudWatch はリソースメトリクスの監視なので、コスト推移の分析ツールではありません。
Q44. 月のコストが定めたしきい値を超えたら通知を受けたい。適切なものは?
解説
しきい値超過の通知は AWS Budgets です。Cost Explorer は分析・予測ツールであり、CUR (Cost and Usage Report) は詳細な請求データのエクスポート、Compute Optimizer はリソースの適正サイズ推奨なので、通知の用途ではありません。
Q45. アカウント全体でアイドル・低使用率のリソースを見つけてコストを減らそうとする。適切なものは?
解説
コスト・セキュリティ・性能・上限を総合点検し、アイドルリソースを識別するのは Trusted Advisor です。CloudTrail は API 呼び出しの監査ログ、Config は構成変更の追跡・準拠評価、Inspector は脆弱性 (CVE) スキャンなので、コスト削減の識別とは異なります。
Q46. EC2・EBS・Lambda の適正サイズ (right-sizing) 推奨を受けたい。適切なものは?
解説
使用メトリクスに基づく right-sizing 推奨に特化したツールは Compute Optimizer です。Trusted Advisor もアイドルリソースを指摘しますが、ML ベースのインスタンス適正サイズ推奨は Compute Optimizer が専任で担い、Cost Explorer はコスト分析ツールです。
Q47. 複数アカウントの請求をまとめてボリューム割引を受け、一つの請求書で管理しようとする。適切なものは?
解説
マルチアカウントの請求統合とボリューム割引は Organizations の一括請求 (Consolidated Billing) です。コスト配分タグは請求を分解して見る用途であり、Savings Plans は予約割引なので、単一の請求書に統合する機能ではありません。
Q48. コストをチーム・プロジェクト別に分解して見たい。適切なものは?
解説
リソースにタグを付けてコストを分解するのはコスト配分タグです。
Q49. 再生成が可能なデータを最も安く S3 に保存し、単一 AZ 保存も許容される。適切なクラスは?
解説
単一 AZ (Availability Zone) でより安い One Zone-IA は、損失時に再生成できるデータに適しています。Standard-IA は複数 AZ に保存されるためより高価で、Glacier Instant Retrieval はあまり使わないアーカイブ用なので性格が異なります。
Q50. ラインアイテムレベルの最も詳細な請求・使用データを分析用に受け取りたい。適切なものは?
解説
最も詳細な請求データを S3 へエクスポートして Athena/QuickSight で分析するのは CUR (Cost and Usage Report) です。Cost Explorer はコンソールのグラフ程度の要約分析なので、ラインアイテム単位の生データは提供しません。
採点と仕上げ #
総合スコア
正解 0 / 0
回答 0 / 0
36 問 (72%) 以上なら安全な合格圏です。間違えた問題は単に正解を暗記するのではなく、「制約キーワードが何で、なぜその選択肢が最適なのか」 を #15 の基準で説明できるようになるまで復習してください。特に比重の大きいセキュリティドメインと、よく混同するペア (Multi-AZ vs リードレプリカ、SG vs NACL、Gateway vs Interface Endpoint) を最後まで確実にします。
シリーズを終えて #
#1 試験の紹介 から始めて、セキュリティ (30%) → 回復力 (26%) → 高性能 (24%) → コスト (20%) の四つのドメインを一周し、試験戦略と模擬試験で締めくくりました。SAA-C03 は単なる暗記ではなく 要件に合った設計の選択 を問う試験だという点を覚えておけば、初めて見るシナリオにも動揺しません。
合格後の次のステップとしては、開発者観点の Developer Associate (DVA-C02) や運用観点の SysOps Administrator Associate (SOA-C02) のトラックが自然につながります。実務感覚がさらに必要なら AWS 実務トラック 27 編 に戻り、コンソール上で実際に動かしてみるのも良い復習です。合格を応援しています。