AWS Certified CloudOps Engineer - Associate (SOA-C03) #15 フルスケール模擬試験 — 50 問 + 解説
読了 18分
#1 から #14 までの整理が頭に入っているかを確認する段階です。実際の試験と同じドメイン比重で 50 問 を解きます。
解き方 #
- 90~100 分 以内に解いてみます (実際の試験は 65 問/130 分ですが、本模擬試験は 50 問基準)。
- 1 問ずつすぐに解説を見ず、最後まで解いてから採点します。
- 36 問 (72%) 以上 正解すれば安全な合格圏です。
- 不足しているドメインが見えたら、該当の記事に戻って整理し直します。
ドメイン分布 #
| ドメイン | 比重 | 問題数 |
|---|---|---|
| Domain 1. モニタリング・ロギング・復旧・パフォーマンス | 22% | 11 |
| Domain 2. 信頼性とビジネス継続性 | 22% | 11 |
| Domain 3. デプロイ・プロビジョニング・自動化 | 22% | 11 |
| Domain 4. ネットワーキングとコンテンツ配信 | 18% | 9 |
| Domain 5. セキュリティとコンプライアンス | 16% | 8 |
Domain 1: モニタリング・ロギング・復旧・パフォーマンス #
Q1. EC2 インスタンスのメモリ使用率にアラームを設定しようとしたが、指標一覧に見当たらない。適切な対処は?
解説
EC2 の標準指標には OS 内部のメモリ・ディスク使用率がありません。CloudWatch Agent をインストールしてカスタム指標として公開すれば、アラームを設定できます。
Q2. 一時的な CPU スパイクのせいでアラームが鳴りすぎる。本当に持続的な負荷のときだけ鳴らすには?
解説
直近 N 個の期間のうち M 個が違反したときだけアラームへ移るよう Datapoints to Alarm を調整すれば、一時的なスパイクを除外できます。
Q3. アプリケーションログに ERROR が一定回数以上出たら通知を受けたい。標準的な実装は?
解説
CloudWatch アラームは指標にのみ設定できます。ログのパターンをメトリクスフィルターで指標化し、その指標にアラームを設定するのが標準です。
Q4. 障害が発生した時間帯の大量のログを事後に素早く分析して原因を見つけたい。適切なツールは?
解説
Logs Insights は大量のログを SQL に似たクエリでその場で分析するトラブルシューティングツールです。複数のロググループを一度にクエリできます。
Q5. 単一インスタンスがハードウェア (システムステータスチェック) の失敗で停止したとき、同じインスタンスを自動的に復活させたい。適切なものは?
解説
EC2 自動復旧は同じインスタンスを新しいハードウェア上で ID・IP を維持したまま復旧します。状態をインスタンスに持っていて置き換えが難しいときに適しています。
Q6. 複数の単一アラームの通知が多すぎて運用者が鈍感になった。CPU も高く遅延も高いときだけ通知したい。適切なものは?
解説
複合アラームは複数のアラームの状態を論理式 (AND・OR・NOT) で束ねます。AND で束ねると 2 つの条件が同時に満たされたときだけ通知が行き、ノイズが減ります。
Q7. 昼間と夜間のトラフィック差が大きく、固定しきい値ではアラームが不正確だ。適切なものは?
解説
異常検出は過去のパターンを学習して正常範囲のバンドを作り、その外に出ると通知します。時間帯ごとの変動が大きいワークロードに適しています。
Q8. 終了する ASG インスタンスのローカルログを失わずに収集したうえで終了させたい。適切なものは?
解説
終了ライフサイクルフックはインスタンスを終了直前に待機状態で捕まえ、ログ収集・接続整理といった後処理を終えてから終了させます。
Q9. gp2 EBS ボリュームは容量は十分なのに IOPS の上限で遅い。コスト効率よくパフォーマンスを上げるには?
解説
gp3 は容量と無関係に IOPS・スループットを独立して設定できるため、容量は十分なのに IOPS が不足する状況のコスト効率の良い答えです。
Q10. コストは削減しつつパフォーマンスは維持するため、過剰・過少にプロビジョニングされたインスタンスを特定したい。適切なものは?
解説
Compute Optimizer は過去の指標を分析して、インスタンス・ASG・EBS・Lambda の過剰・過少プロビジョニングを推奨します。コストとパフォーマンスを一緒にライトサイジングするツールです。
Q11. Lambda 関数を毎日決まった時刻に実行する必要がある。適切なトリガーは?
解説
Lambda 自体にはスケジューラがありません。周期実行は EventBridge スケジュールルール (cron・rate) でトリガーします。
Domain 2: 信頼性とビジネス継続性 #
Q12. RDS インスタンスを削除したあとも、バックアップを永続的に保管する必要がある。適切なものは?
解説
自動バックアップはインスタンス削除時に一緒に消え、最大 35 日しか保持されません。永続保管が必要なら、自分で削除するまで残る手動スナップショットを取る必要があります。
Q13. 数十のアカウントと複数のサービスのバックアップを 1 つの標準ポリシーで強制し、コンプライアンスを証明する必要がある。適切なものは?
解説
AWS Backup は複数のサービスのバックアップをバックアッププランで中央管理し、タグで対象を一括指定し、Organizations と連携して全アカウントに標準を強制・報告します。
Q14. バックアップを修正・削除不可 (WORM) にして、ランサムウェアと誤削除に備える必要がある。適切なものは?
解説
Backup Vault Lock はバックアップを修正・削除できないようにロックし、コンプライアンス要件とランサムウェア・誤削除に備えます。
Q15. コストを最小化する必要があり、復旧が数時間かかっても構わない DR 戦略は?
解説
Backup & Restore は平常時のコストが最も低く RTO が最も長いです。復旧が遅くてもよく、コストが最優先なら適しています。
Q16. RTO が数分と短くなければならず、コストはある程度受け入れられる。適切な DR 戦略は?
解説
Warm Standby は縮小版の全環境を常に起動しておき、障害時に素早く拡張します。RTO 数分の要件に合います。
Q17. ステートレスな Web サーバーグループで、異常なインスタンスを自動的に捨てて新しいものに置き換えるには?
解説
Auto Scaling はヘルスチェックに失敗したインスタンスを終了し、新しいインスタンスに置き換えます。アプリケーション障害まで捉えるには、ヘルスチェックを ELB 基準にします。
Q18. デプロイのたびに一部のユーザーリクエストが切れる。インスタンスをターゲットグループから外すとき、処理中のリクエストを最後まで処理させるには?
解説
登録解除の遅延 (接続ドレイニング) は、インスタンスを外したり終了したりするとき、処理中のリクエストを定められた時間だけ処理し切らせます。
Q19. 毎日午前 9 時にトラフィックが予測可能に急増する。最も適切なスケーリングは?
解説
パターンが予測可能な急増は、Scheduled Scaling で時刻に合わせて事前に容量を確保するのが適しています。予測不能な負荷には Target Tracking を併用します。
Q20. リージョン全体の障害時に別のリージョンへ自動的に切り替える必要がある。適切なものは?
解説
エンドポイント・リージョンレベルの自動切り替えは、Route 53 Failover ルーティングとヘルスチェックで構成します。DNS TTL を下げて切り替えを速くします。
Q21. EBS スナップショットに関する説明として正しいものは?
解説
EBS スナップショットは増分です。最初のスナップショットだけが全体で、以降は変更ブロックのみ保存し、他リージョン・アカウントへのコピーと暗号化が可能です。
Q22. ほとんどの一般的なワークロードで、AZ 障害に備える一次的な可用性構成は?
解説
アソシエイトレベルの基本的な可用性の答えは Multi-AZ です。マルチリージョンはリージョン障害・規制のような明示的な要件があるときに選びます。
Domain 3: デプロイ・プロビジョニング・自動化 #
Q23. 本番の CloudFormation スタックを更新する前に、どのリソースが置き換え・変更されるかを事前に確認したい。適切なものは?
解説
チェンジセットはスタック更新を適用する前に、何が変わりどのリソースが置き換え (replacement) されるかを事前に見せます。
Q24. IaC で作った環境なのに、誰かがコンソールで直接リソースを変えたようだ。食い違ったリソースを見つけるには?
解説
ドリフト検出はテンプレートと実際のリソースを比較して、食い違ったリソースと属性を報告します。手動の変更を見つけるツールです。
Q25. CloudFormation スタックを削除してもデータベースと S3 バケットは残したい。適切なものは?
解説
DeletionPolicy を Retain にすると、スタックを削除してもそのリソース (DB・S3 など) は保持されます。
Q26. 組織のすべてのアカウントに標準セキュリティ設定を一貫してデプロイし、新しいアカウントにも自動適用するには?
解説
StackSets は 1 つのテンプレートを複数のアカウント・リージョンに一括デプロイ・管理し、Organizations と連携して新しいアカウントにも自動的に標準スタックを適用します。
Q27. インスタンスが Systems Manager の管理対象一覧に表示されない。一次的に確認すべきは?
解説
SSM は SSM Agent とインスタンスの IAM Role を前提とします。管理一覧からの欠落は、ほぼ常に IAM Role の欠落 (またはエンドポイント・ネットワーク) の問題です。
Q28. DB のパスワードを定められた周期で自動ローテーションする必要がある。適切なものは?
解説
シークレットの内蔵自動ローテーションは Secrets Manager の機能です。Parameter Store には自動ローテーションがなく、自分で更新する必要があります。
Q29. プライベートサブネットのインスタンスに、SSH キーとインバウンドポートなしで接続し、すべてのセッションを監査記録として残すには?
解説
Session Manager はインバウンドポートや SSH キーなしでシェル接続を提供し、すべてのセッションを CloudTrail・S3・CloudWatch Logs に記録します。
Q30. 数百台のインスタンスに毎月のセキュリティパッチを定められた時刻に自動適用し、未適用のインスタンスを報告する必要がある。適切なものは?
解説
Patch Manager はパッチベースライン・パッチグループ・メンテナンスウィンドウでパッチを自動一括適用し、コンプライアンス (未適用) 報告を提供します。
Q31. K8s の標準が必ずしも必要ではなく、インスタンス管理の負担を最小化しながらコンテナを運用するには?
解説
特に Kubernetes が必要ではなく運用負担を最小化するなら、ECS とサーバーレスコンピューティングの Fargate の組み合わせが適しています。
Q32. コンテナイメージの既知の脆弱性 (CVE) をデプロイ前に検出するには?
解説
ECR イメージスキャンはプッシュ時または常時にイメージの脆弱性をスキャンします。インスタンス・イメージの OS 脆弱性全般は Inspector も扱います。
Q33. ECS タスクのコンテナが AWS API を呼び出す必要がある。最小権限を付与する定石は?
解説
複数のタスクがインスタンスを共有するため、インスタンスロールは過剰な権限になります。タスクロールでタスク単位の最小権限を付与するのが定石です。
Domain 4: ネットワーキングとコンテンツ配信 #
Q34. セキュリティグループのインバウンドは正しく開けたのに、応答が返ってこない。サブネット単位で確認すべきは?
解説
NACL は stateless なので、応答トラフィックにも規則が必要です。インバウンドを許可しても、アウトバウンドの一時ポートがふさがっていると応答が返りません。
Q35. プライベートインスタンスが S3 にアクセスするが、NAT Gateway のデータ処理コストを下げたい。適切なものは?
解説
S3・DynamoDB は Gateway エンドポイントでルーティングテーブルにプライベート経路を追加します。無料であり、トラフィックがインターネット・NAT を経由しないためコストを下げます。
Q36. インターネット・NAT のないプライベートインスタンスから、SSM と ECR にプライベートで接続する必要がある。適切なものは?
解説
SSM・ECR のようなほとんどのサービスは、Interface エンドポイント (PrivateLink) で ENI にプライベート IP を付与し、インターネットなしで接続します。
Q37. VPC A-B、B-C がそれぞれピアリングされている。A から C へ通信できない理由は?
解説
VPC ピアリングは推移しません。A-C は直接ピアリングするか、多数の VPC なら Transit Gateway でハブ接続します。
Q38. トラフィックがどこで拒否されるか、セキュリティグループ・NACL のどちらが原因かを確認したい。適切なものは?
解説
VPC Flow Logs は ENI・サブネット・VPC のトラフィックを ACCEPT・REJECT とともに記録し、どこでトラフィックがふさがれたかの手がかりを与えます。
Q39. 2 つのリソース間の接続可否を、実際のトラフィックなしに事前に検証するには?
解説
Reachability Analyzer は始点と終点を指定すると、経路上で何が接続をふさいでいるかを静的に分析します。
Q40. ルートドメイン (example.com) を Application Load Balancer に接続しようとしている。適切なレコードは?
解説
zone apex (ルートドメイン) には CNAME を使えません。Route 53 の Alias レコードで ALB に接続します。Alias は無料で、対象 IP の変更を自動追跡します。
Q41. CloudFront ディストリビューションに ACM 証明書を付けようとしているが、一覧に証明書が表示されない。原因は?
解説
CloudFront 用の ACM 証明書は必ず us-east-1 (バージニア北部) で発行する必要があります。他のリージョンの証明書は CloudFront に付けられません。
Q42. S3 をオリジンとして使いつつ、ユーザーが S3 URL に直接アクセスするのを防ぎ、CloudFront だけを経由させるには?
解説
OAC を使うと S3 バケットを非公開にして CloudFront にのみ読み取りを許可し、ユーザーの S3 への直接アクセスを遮断します。
Domain 5: セキュリティとコンプライアンス #
Q43. すべての IAM ユーザーのアクセスキー使用の有無と MFA 設定の状態を一度に点検するには?
解説
認証情報レポート (Credential Report) は、すべての IAM ユーザーのパスワード・アクセスキー・MFA の状態を CSV で一括提供します。
Q44. S3 バケット・IAM ロール・KMS キーがアカウント外 (外部) に意図せず共有されていないかを検出するには?
解説
IAM Access Analyzer はリソースポリシーを分析して、外部に共有されたリソースを特定します。意図しない露出を見つけるツールです。
Q45. 組織のすべてのアカウントで特定のリージョンの使用を禁止するガードレールを設けるには?
解説
SCP は OU・アカウントに適用する権限の上限です。全アカウントにリージョン・サービスの使用禁止のようなガードレールを設けるのに適しています。ただし、権限を付与はしません。
Q46. 「誰がこのリソースを削除したか」を追跡する必要がある。適切なものは?
解説
CloudTrail は誰がいつどの API を呼び出したかを記録する監査ログです。行為追跡の基本ツールです。
Q47. 「暗号化されていない EBS ボリューム」を継続的に評価し、違反時に自動的に修正するには?
解説
Config はリソース構成を規則で評価し、違反を SSM Automation で自動修正します。状態 (構成の準拠) を見るツールです。
Q48. アカウント内の悪意ある IP との通信や、異常な API 呼び出しのような脅威を、ログ設定なしに自動検出するには?
解説
GuardDuty は CloudTrail・VPC Flow Logs・DNS ログを直接オンにしなくても分析して脅威を検出します。能動的な脅威検出が役割です。
Q49. GuardDuty・Inspector・Config など複数のセキュリティサービスの結果を 1 画面に集め、ベストプラクティス準拠のスコアを見るには?
解説
Security Hub は複数のセキュリティサービスの結果を統合・標準化し、CIS・AWS ベストプラクティス基準のスコアを提供します。直接検出はしません。
Q50. 暗号化キーを自分で直接コントロールし、別のアカウントと共有する必要がある。適切なものは?
解説
カスタマー管理キー (CMK) はポリシー・ローテーション・削除をユーザーがコントロールし、キーポリシーでクロスアカウント共有を構成します。
採点とまとめ #
50 問のうち 36 問 (72%) 以上 であれば安全な合格圏です。ドメインごとに束ねて間違えた問題を見れば、弱い領域が浮かび上がります。
| 間違えたドメイン | 戻る記事 |
|---|---|
| モニタリング・ロギング・復旧・パフォーマンス | #2・#3・#4 |
| 信頼性・継続性 | #5・#6 |
| デプロイ・プロビジョニング・自動化 | #7・#8・#9 |
| ネットワーキング・配信 | #10・#11 |
| セキュリティ・コンプライアンス | #12・#13 |
シリーズを終えて #
#1 で試験の構造を整理し、5 つのドメインに沿ってモニタリング・信頼性・デプロイ自動化・ネットワーキング・セキュリティを運用視点で一巡したあと、#14 の試験のコツとこの模擬試験で締めくくりました。SOA-C03 が問うのは結局 1 つです。すでに動いている環境で症状を見て、最も適切な運用対処を選ぶことです。制約のキーワードを読み、似たサービスをキーワードで区別し、自動化で手動の介入をなくす感覚が手に馴染めば、合格ラインは十分に超えます。
試験で良い結果が出ることを願っています。実務トラックや他の資格トラックへとつなげていけば、AWS の運用力が一層しっかりします。