AWS Certified CloudOps Engineer - Associate (SOA-C03) #14 試験のコツとよくある運用シナリオの間違い
読了 5分
#2 から #13 まで 5 つのドメインをすべて整理しました。この記事は試験直前に一気に見直すまとめです。個別のサービス知識よりも、似た選択肢の中から正解を分ける基準と時間を稼ぐ運用方法に集中します。
運用シナリオ問題の読み方 #
#1 で述べたとおり、SOA-C03 の問題はおおむね 状況 → 制約条件 → 質問 の構造です。点数を分けるのは制約条件のキーワードです。次の表現を見れば答えの方向がほぼ決まります。
| 制約キーワード | 答えが向かう先 |
|---|---|
| least operational overhead | マネージド・サーバーレス (Fargate・Lambda・Aurora・AWS Backup) |
| without manual intervention | 自動化 (EventBridge + SSM Automation、Auto Scaling) |
| most cost-effective | ライトサイジング・gp3・エンドポイント・保持ポリシー・Spot |
| most secure | 最小権限・Role・KMS・Session Manager・プライベート |
| fastest recovery / lowest RTO | Warm Standby・Multi-Site・自動復旧 |
| minimal data loss / lowest RPO | 頻繁なバックアップ・レプリケーション・PITR |
| highly available | Multi-AZ・ASG・ELB・Route 53 |
問題を読むときは状況説明よりも末尾の制約と質問を先に読み、その基準で選択肢を絞ると解答時間を大幅に短縮できます。
紛らわしいサービスの分け方 #
似て見えるサービスのペアをキーワードで区別することが SOA-C03 の半分です。
| 区分 | A | B | 分ける基準 |
|---|---|---|---|
| 監査 vs 準拠 | CloudTrail | Config | 行為 (誰が呼んだか) vs 状態 (構成ルール) |
| 準拠 vs 脅威 | Config | GuardDuty | ルール違反 vs 悪意・異常な行為 |
| 検知 vs 集約 | GuardDuty | Security Hub | 直接検知 vs 結果の統合・スコア |
| シークレット管理 | Parameter Store | Secrets Manager | 無料・手動 vs 有料・自動ローテーション |
| 復旧方式 | EC2 自動復旧 | Auto Scaling | 同じインスタンスを生かす vs 捨てて置き換え |
| プライベート接続 | Gateway エンドポイント | Interface エンドポイント | S3・DynamoDB・無料 vs 大半・PrivateLink・有料 |
| ファイアウォール | Security Group | NACL | インスタンス・stateful・allow vs サブネット・stateless・allow/deny |
| VPC 接続 | Peering | Transit Gateway | 1:1・非推移 vs ハブ・多対多 |
| 脆弱性 vs 機密データ | Inspector | Macie | CVE スキャン vs S3 個人情報 |
| 権限付与 vs 上限 | IAM ポリシー | SCP | 付与 vs 制限 (積集合) |
ドメインをまたぐ定番の落とし穴 #
シリーズ全体で繰り返された落とし穴をまとめました。試験直前にこのリストだけ見直しても点数が上がります。
- EC2 のメモリ・ディスクは標準指標ではありません。 CloudWatch Agent が必要 (#2)
- ログに直接アラームは張れません。 メトリクスフィルターで指標化してからアラーム (#3)
- 自動復旧 ≠ Auto Scaling。 生かす vs 置き換え (#4)
- ASG のヘルスチェックは ELB 基準にしてはじめてアプリ障害を捉えます (#5)
- RDS の自動バックアップはインスタンスと一緒に削除されます。 永続保持は手動スナップショット (#6)
- CloudFormation はドリフトを検知するだけです。 防ぎはしません (#7)
- SSM 管理リストの欠落は IAM Role の問題が一次的です (#8)
- 運用負担を最小化するコンテナは Fargate です (#9)
- セキュリティグループは stateful、NACL は stateless (一時ポート) (#10)
- CloudFront 用の ACM は us-east-1 のみ (#11)
- SCP は権限を付与せず上限だけを定めます (#12)
- GuardDuty はログ設定なしで動作します (#13)
時間配分戦略 #
130 分で 65 問なら1 問あたり平均 2 分です。運用シナリオが長くタイトなので、運用方法が点数を守ります。
- 1 回目の通過: わかる問題を素早く解き、詰まる問題は Mark for Review だけして飛ばします。
- 2 回目の通過: マークした問題を再度。1 回目で得た手がかりで解けることが多いです。
- 複数回答の確認: 「Choose TWO/THREE」の表記を毎問の最終行で確認します。個数を間違えると自動的に不正解です。
- 消去法: 制約キーワードに反する選択肢を先に消すと、二択に絞れます。
- 最後のチェック: 空欄がないか提出前に確認します。推測にペナルティはありません。
試験前の最終チェックリスト #
- 教材が SOA-C03 (C02 ではない) 基準かを再確認 (#1)
- ドメイン比重: モニタリング・信頼性・デプロイ 各 22% が試験の 3 分の 2。この 3 つを優先
- コンテナ (ECS・EKS・ECR)・IaC (CDK・Terraform)・Organizations は C03 の新規・強化範囲なので漏れなく
- 制約キーワードの表 (上) を頭に入れて入室
- OnVUE 受験ならシステムチェックを事前に、試験会場受験なら身分証を確認
まとめ #
この記事で押さえたこと:
- 制約キーワードが答えを決めます。least overhead・without manual intervention・cost-effective・secure・RTO・RPO・HA
- 紛らわしいサービスのペアをキーワードで区別。CloudTrail/Config、GuardDuty/Security Hub、Parameter Store/Secrets Manager など
- ドメイン横断の 12 大落とし穴を試験直前に再点検
- 時間配分: Mark for Review で 1・2 回目の通過、複数回答の個数確認、消去法
- 最後のチェック: C03 基準の教材、22% の 3 ドメインを優先、C03 の新規範囲を漏れなく
次: フルスケール模擬試験 #
まとめを終えました。最後は実戦です。
#15 フルスケール選択式模擬試験: 50 問 + 解説 では、実際の試験のドメイン比重に合わせて 50 問を解き、各問の解説で弱いドメインを見つけ出します。時間を計って解いた後、足りない部分は該当ドメインの記事に戻って補強すればよいです。