AWS SOAのサンプル問題(本番形式・解説付き)
AWS SOA(Amazon Web Services・AWS Certified CloudOps Engineer – Associate(SOA-C03))の出題形式を、実際の問題で確かめられます。ここに掲載する5問は、無料の会員登録ですぐ解ける模試 第1回(65問)の冒頭から抜粋したオリジナル問題です。当サイトは全425問を本番CBT準拠の形式で収録しており、この5問はそのごく一部にあたります。
設問1
あるIAMユーザーに、あるアクションを許可するIDベースポリシーと、同じアクションを拒否するリソースベースポリシーの両方が適用されている場合、IAMのポリシー評価の結果として最も適切なものはどれか。
- より新しく作成されたポリシーが優先されるため、この場合はどちらが後に作成されたかで決まる
- 明示的なDenyが存在する場合、Allowの有無にかかわらず最終的にアクセスは拒否される(正解)
- IDベースポリシーの方がリソースベースポリシーより常に優先される
- 同一アクションに対してAllowとDenyが競合する場合、AWSは自動的にAllow側を優先する
解説
IAMのポリシー評価では、ポリシーの種類や作成時期にかかわらず、明示的なDenyが一つでも存在すればその時点でアクセスは拒否されます。これは「明示的Deny優先」という基本ルールです。
他の選択肢が誤りである理由
- 「より新しく作成されたポリシーが優先されるため、この場合はどちらが後に作成されたかで決まる」IAMのポリシー評価は作成日時の新旧では決まりません。評価ロジックにポリシーの作成タイミングという概念はありません。
- 「IDベースポリシーの方がリソースベースポリシーより常に優先される」IDベースポリシーとリソースベースポリシーのどちらが優先されるかという単純な優先順位は存在せず、両方が評価対象になり、明示的Denyがあればそれが優先されます。
- 「同一アクションに対してAllowとDenyが競合する場合、AWSは自動的にAllow側を優先する」AWSがAllow側を自動的に優先することはありません。明示的なDenyは常にAllowより強い効力を持ちます。
設問2
複数のAWSサービス(EC2、EBS、RDS、DynamoDBなど)にまたがるバックアップを、単一のポリシーベースの管理コンソールから一元的にスケジュール・管理・監査したい。最も適したサービスはどれか。
- AWS Config
- AWS Backup(正解)
- AWS Systems Manager
- AWS CloudTrail
解説
AWS Backupは複数のAWSサービスにまたがるバックアップを、ポリシー(バックアッププラン)ベースで一元的にスケジュール・保持・監査できる集中管理サービスです。
他の選択肢が誤りである理由
- 「AWS Config」AWS Configはリソースの構成変更を記録・評価するサービスであり、バックアップの取得・管理機能ではありません。
- 「AWS Systems Manager」Systems Managerは運用管理(パッチ適用・自動化・パラメータ管理など)が主目的で、複数サービス横断のバックアップ一元管理機能ではありません。
- 「AWS CloudTrail」CloudTrailはAPI呼び出しの証跡を記録するログサービスであり、バックアップの取得・管理は行いません。
設問3
運用担当者が、EC2インスタンスのAmazon CloudWatchコンソールを確認したところ、CPU使用率やネットワークI/Oのグラフは表示されるが、メモリ使用率のグラフが見当たらないと相談してきた。最も適切な説明はどれか。
- メモリ使用率はEC2のデフォルト(標準)メトリクスに含まれないため、収集するにはCloudWatchエージェントの導入が必要である(正解)
- メモリ使用率はEC2の詳細モニタリングを有効化すれば自動的に収集される
- メモリ使用率はAWS Configを有効化すれば自動的に収集される
- メモリ使用率はAmazon CloudWatchでは原理的に取得できない
解説
EC2のデフォルトメトリクスはハイパーバイザー側から取得できる項目(CPU使用率・ネットワーク・ディスクI/O・ステータスチェック等)に限られ、OS内部の情報であるメモリ使用率は含まれません。取得するにはCloudWatchエージェントをゲストOSにインストールする必要があります。
他の選択肢が誤りである理由
- 「メモリ使用率はEC2の詳細モニタリングを有効化すれば自動的に収集される」詳細モニタリングは収集間隔を5分から1分に短縮するだけの機能であり、収集できるメトリクスの種類が増えるわけではありません。
- 「メモリ使用率はAWS Configを有効化すれば自動的に収集される」AWS Configはリソースの構成変更を記録するサービスであり、メトリクス収集の機能を持ちません。
- 「メモリ使用率はAmazon CloudWatchでは原理的に取得できない」CloudWatchエージェントを導入すればメモリ使用率も収集できるため、原理的に取得不可能というのは誤りです。
設問4
CloudFormationテンプレートの Parameters セクションの役割として、最も適切なものはどれか。
- スタック内のリソースの削除順序を制御する
- スタックの作成・更新時に、外部から値を入力できるようにする(正解)
- リソース間の依存関係を自動的に解決する
- 作成したリソースの属性値を、スタック作成後に他のスタックへ自動的に公開する
解説
Parameters セクションは、スタックの作成・更新時にインスタンスタイプや環境名などの値を外部から入力できるようにする仕組みです。削除順序の制御や依存関係の自動解決はテンプレートエンジン側の別の仕組み、他スタックへの値の公開は Outputs と Export の役割です。
他の選択肢が誤りである理由
- 「スタック内のリソースの削除順序を制御する」リソースの削除順序は、暗黙の依存関係(Ref/GetAtt)やDependsOn属性によって決まるものであり、Parametersセクションの役割ではありません。
- 「リソース間の依存関係を自動的に解決する」リソース間の依存関係は、テンプレート内でRefやGetAttを使った時点でCloudFormationが自動的に認識するものであり、Parametersセクションが行う処理ではありません。
- 「作成したリソースの属性値を、スタック作成後に他のスタックへ自動的に公開する」作成したリソースの値を他スタックへ公開するのはOutputsセクションとExportの役割であり、Parametersセクションは値を「受け取る」ためのものです。
設問5
新規に作成したIAMユーザーに、いかなるポリシーもアタッチしていない状態でAPIを呼び出した場合、そのリクエストはどのように扱われるか。
- AWSアカウントのルートユーザーと同じ権限で許可される
- デフォルトで暗黙的に拒否され、明示的なAllowがない限りいかなる操作もできない(正解)
- 読み取り専用の操作のみ自動的に許可される
- IAM Identity Centerに自動登録され、標準権限が付与される
解説
IAMではポリシーが何もアタッチされていない場合、すべてのアクションはデフォルトで暗黙的に拒否されます。明示的なAllowを含むポリシーをアタッチしない限り、何も実行できません。
他の選択肢が誤りである理由
- 「AWSアカウントのルートユーザーと同じ権限で許可される」IAMユーザーはルートユーザーとは別の権限体系を持ち、ポリシー未設定の状態でルートユーザーと同等の権限を持つことはありません。
- 「読み取り専用の操作のみ自動的に許可される」読み取り専用の操作が自動的に許可される仕組みはなく、ポリシー未設定なら読み取りも含めてすべて拒否されます。
- 「IAM Identity Centerに自動登録され、標準権限が付与される」IAM Identity Centerへの登録は明示的な設定作業であり、IAMユーザー作成時に自動的に行われるものではありません。
続きは無料の会員登録ですぐ解けます。第1回模試(65問)は、これから先もずっと無料です。
第1回模試(無料)を解く