AWS Certified CloudOps Engineer - Associate (SOA-C03) #15 フルスケール模擬試験 — 50 問 + 解説

読了 18分

#1 から #14 までの整理が頭に入っているかを確認する段階です。実際の試験と同じドメイン比重で 50 問 を解きます。

解き方 #

  • 90~100 分 以内に解いてみます (実際の試験は 65 問/130 分ですが、本模擬試験は 50 問基準)。
  • 1 問ずつすぐに解説を見ず、最後まで解いてから採点します。
  • 36 問 (72%) 以上 正解すれば安全な合格圏です。
  • 不足しているドメインが見えたら、該当の記事に戻って整理し直します。

ドメイン分布 #

ドメイン比重問題数
Domain 1. モニタリング・ロギング・復旧・パフォーマンス22%11
Domain 2. 信頼性とビジネス継続性22%11
Domain 3. デプロイ・プロビジョニング・自動化22%11
Domain 4. ネットワーキングとコンテンツ配信18%9
Domain 5. セキュリティとコンプライアンス16%8

Domain 1: モニタリング・ロギング・復旧・パフォーマンス #

Q1. EC2 インスタンスのメモリ使用率にアラームを設定しようとしたが、指標一覧に見当たらない。適切な対処は?
Q2. 一時的な CPU スパイクのせいでアラームが鳴りすぎる。本当に持続的な負荷のときだけ鳴らすには?
Q3. アプリケーションログに ERROR が一定回数以上出たら通知を受けたい。標準的な実装は?
Q4. 障害が発生した時間帯の大量のログを事後に素早く分析して原因を見つけたい。適切なツールは?
Q5. 単一インスタンスがハードウェア (システムステータスチェック) の失敗で停止したとき、同じインスタンスを自動的に復活させたい。適切なものは?
Q6. 複数の単一アラームの通知が多すぎて運用者が鈍感になった。CPU も高く遅延も高いときだけ通知したい。適切なものは?
Q7. 昼間と夜間のトラフィック差が大きく、固定しきい値ではアラームが不正確だ。適切なものは?
Q8. 終了する ASG インスタンスのローカルログを失わずに収集したうえで終了させたい。適切なものは?
Q9. gp2 EBS ボリュームは容量は十分なのに IOPS の上限で遅い。コスト効率よくパフォーマンスを上げるには?
Q10. コストは削減しつつパフォーマンスは維持するため、過剰・過少にプロビジョニングされたインスタンスを特定したい。適切なものは?
Q11. Lambda 関数を毎日決まった時刻に実行する必要がある。適切なトリガーは?

Domain 2: 信頼性とビジネス継続性 #

Q12. RDS インスタンスを削除したあとも、バックアップを永続的に保管する必要がある。適切なものは?
Q13. 数十のアカウントと複数のサービスのバックアップを 1 つの標準ポリシーで強制し、コンプライアンスを証明する必要がある。適切なものは?
Q14. バックアップを修正・削除不可 (WORM) にして、ランサムウェアと誤削除に備える必要がある。適切なものは?
Q15. コストを最小化する必要があり、復旧が数時間かかっても構わない DR 戦略は?
Q16. RTO が数分と短くなければならず、コストはある程度受け入れられる。適切な DR 戦略は?
Q17. ステートレスな Web サーバーグループで、異常なインスタンスを自動的に捨てて新しいものに置き換えるには?
Q18. デプロイのたびに一部のユーザーリクエストが切れる。インスタンスをターゲットグループから外すとき、処理中のリクエストを最後まで処理させるには?
Q19. 毎日午前 9 時にトラフィックが予測可能に急増する。最も適切なスケーリングは?
Q20. リージョン全体の障害時に別のリージョンへ自動的に切り替える必要がある。適切なものは?
Q21. EBS スナップショットに関する説明として正しいものは?
Q22. ほとんどの一般的なワークロードで、AZ 障害に備える一次的な可用性構成は?

Domain 3: デプロイ・プロビジョニング・自動化 #

Q23. 本番の CloudFormation スタックを更新する前に、どのリソースが置き換え・変更されるかを事前に確認したい。適切なものは?
Q24. IaC で作った環境なのに、誰かがコンソールで直接リソースを変えたようだ。食い違ったリソースを見つけるには?
Q25. CloudFormation スタックを削除してもデータベースと S3 バケットは残したい。適切なものは?
Q26. 組織のすべてのアカウントに標準セキュリティ設定を一貫してデプロイし、新しいアカウントにも自動適用するには?
Q27. インスタンスが Systems Manager の管理対象一覧に表示されない。一次的に確認すべきは?
Q28. DB のパスワードを定められた周期で自動ローテーションする必要がある。適切なものは?
Q29. プライベートサブネットのインスタンスに、SSH キーとインバウンドポートなしで接続し、すべてのセッションを監査記録として残すには?
Q30. 数百台のインスタンスに毎月のセキュリティパッチを定められた時刻に自動適用し、未適用のインスタンスを報告する必要がある。適切なものは?
Q31. K8s の標準が必ずしも必要ではなく、インスタンス管理の負担を最小化しながらコンテナを運用するには?
Q32. コンテナイメージの既知の脆弱性 (CVE) をデプロイ前に検出するには?
Q33. ECS タスクのコンテナが AWS API を呼び出す必要がある。最小権限を付与する定石は?

Domain 4: ネットワーキングとコンテンツ配信 #

Q34. セキュリティグループのインバウンドは正しく開けたのに、応答が返ってこない。サブネット単位で確認すべきは?
Q35. プライベートインスタンスが S3 にアクセスするが、NAT Gateway のデータ処理コストを下げたい。適切なものは?
Q36. インターネット・NAT のないプライベートインスタンスから、SSM と ECR にプライベートで接続する必要がある。適切なものは?
Q37. VPC A-B、B-C がそれぞれピアリングされている。A から C へ通信できない理由は?
Q38. トラフィックがどこで拒否されるか、セキュリティグループ・NACL のどちらが原因かを確認したい。適切なものは?
Q39. 2 つのリソース間の接続可否を、実際のトラフィックなしに事前に検証するには?
Q40. ルートドメイン (example.com) を Application Load Balancer に接続しようとしている。適切なレコードは?
Q41. CloudFront ディストリビューションに ACM 証明書を付けようとしているが、一覧に証明書が表示されない。原因は?
Q42. S3 をオリジンとして使いつつ、ユーザーが S3 URL に直接アクセスするのを防ぎ、CloudFront だけを経由させるには?

Domain 5: セキュリティとコンプライアンス #

Q43. すべての IAM ユーザーのアクセスキー使用の有無と MFA 設定の状態を一度に点検するには?
Q44. S3 バケット・IAM ロール・KMS キーがアカウント外 (外部) に意図せず共有されていないかを検出するには?
Q45. 組織のすべてのアカウントで特定のリージョンの使用を禁止するガードレールを設けるには?
Q46. 「誰がこのリソースを削除したか」を追跡する必要がある。適切なものは?
Q47. 「暗号化されていない EBS ボリューム」を継続的に評価し、違反時に自動的に修正するには?
Q48. アカウント内の悪意ある IP との通信や、異常な API 呼び出しのような脅威を、ログ設定なしに自動検出するには?
Q49. GuardDuty・Inspector・Config など複数のセキュリティサービスの結果を 1 画面に集め、ベストプラクティス準拠のスコアを見るには?
Q50. 暗号化キーを自分で直接コントロールし、別のアカウントと共有する必要がある。適切なものは?

採点とまとめ #

50 問のうち 36 問 (72%) 以上 であれば安全な合格圏です。ドメインごとに束ねて間違えた問題を見れば、弱い領域が浮かび上がります。

間違えたドメイン戻る記事
モニタリング・ロギング・復旧・パフォーマンス#2#3#4
信頼性・継続性#5#6
デプロイ・プロビジョニング・自動化#7#8#9
ネットワーキング・配信#10#11
セキュリティ・コンプライアンス#12#13

シリーズを終えて #

#1 で試験の構造を整理し、5 つのドメインに沿ってモニタリング・信頼性・デプロイ自動化・ネットワーキング・セキュリティを運用視点で一巡したあと、#14 の試験のコツとこの模擬試験で締めくくりました。SOA-C03 が問うのは結局 1 つです。すでに動いている環境で症状を見て、最も適切な運用対処を選ぶことです。制約のキーワードを読み、似たサービスをキーワードで区別し、自動化で手動の介入をなくす感覚が手に馴染めば、合格ラインは十分に超えます。

試験で良い結果が出ることを願っています。実務トラックや他の資格トラックへとつなげていけば、AWS の運用力が一層しっかりします。

X