試験ガイド / DevOps Engineer Professional
Professional

DevOps Engineer Professional

試験概要

AWS Certified DevOps Engineer – Professional(DOP-C02)は、AWS 上での CI/CD・IaC・構成管理・モニタリング・インシデント対応・セキュリティ自動化に関する高度な実践能力を評価する Professional レベルの試験です。合格スコアは 750/1000、試験時間 180 分・75 問で、SDLC の自動化(22%)・構成管理と IaC(17%)・回復力(15%)・モニタリングとロギング(15%)・インシデント対応(14%)・セキュリティ(17%)の 6 ドメインから出題されます。Developer Associate と SysOps Administrator Associate のスキルを Professional レベルに統合した位置付けで、SAP-C02 との同時取得を目指す受験者にも人気です。問題文が長く制約が多いため、「最も運用負荷が低い」「最も短時間でロールバックできる」「最小権限で自動化する」といったトレードオフ判断を毎問求められます。

対象者・前提知識

AWS 上で CI/CD パイプライン設計、IaC によるインフラ管理、本番の可観測性整備、インシデント対応自動化を担う上級 DevOps エンジニア・SRE が対象です。Developer Associate(DVA-C02)または SysOps Administrator Associate(SOA-C02)取得済みで、AWS 実務経験 2 年以上が推奨されます。CodePipeline/CodeBuild/CodeDeploy・CloudFormation/CDK・Systems Manager・CloudWatch・Config・Security Hub を組み合わせた自動化基盤の運用や、マルチアカウントでのガードレール統制を担う方に最適です。SAP-C02 との二冠取得でシニアエンジニアとしての評価を確立できます。

ドメイン構成

SDLC の自動化
22%
CodeDeploy のデプロイ設定は EC2/Lambda/ECS で挙動が異なります。Lambda は Alias の重みづけで Linear(一定間隔で増分)/Canary(2 段階)/AllAtOnce、ECS は CodeDeploy が ALB の TestListener → ProductionListener にトラフィックを段階的に切替、EC2 は AppSpec.yml のライフサイクルフック(ApplicationStop → BeforeInstall → AfterInstall → ApplicationStart → ValidateService)に Lambda やシェルを差し込みます。CodePipeline V2 では Git 連携トリガー(タグ/ブランチ/パスフィルタ)と複数パラメータ化された実行が可能で、CDK Pipelines は self-mutating でパイプライン自身を CDK で定義できます。手動承認アクション・カナリア後の自動ロールバック条件・ECS サーキットブレーカーも頻出ポイントです。
構成管理と IaC
17%
CloudFormation の DependsOn・Ref・Fn::GetAtt・Fn::Sub・Conditions・Mappings といったテンプレート制御要素と、ChangeSet による事前差分確認、Drift Detection による手動変更の検知、Resource Import による既存リソース取り込みは押さえておきましょう。StackSets はセルフマネージド権限(事前にロール作成)とサービスマネージド権限(Organizations 統合・新規アカウント自動デプロイ)を選び、Stack Instance のデプロイオプション(並列度・失敗許容数)が運用負荷に直結します。CDK は L1(CfnResource)・L2(高レベル抽象)・L3(パターン)の階層と Aspects によるコンプライアンスチェック(タグ強制・暗号化必須など)を活用しましょう。SSM Parameter Store/Secrets Manager による構成外部化、EC2 Image Builder のゴールデン AMI パイプラインも定番テーマです。
回復力のあるクラウドソリューション
15%
Route 53 のフェイルオーバールーティング(Primary/Secondary)とヘルスチェックの計算ヘルスチェック(複数の子チェックを論理結合)を組み合わせた DR 自動切替、Auto Scaling のウォームプール(事前ウォームアップでスケールアウト時間短縮)とライフサイクルフック(インスタンス起動/終了時の処理割り込み)、SQS DLQ の redrive ポリシー(maxReceiveCount)と redrive-to-source による再処理、Lambda Destinations による非同期実行成功/失敗時の転送(SNS/SQS/EventBridge/Lambda)を理解しましょう。Aurora Global Database の Managed Planned Failover(RPO 1 秒未満/RTO 1 分前後)、Application Recovery Controller のゾーンシフト/ルーティングコントロールも DR 設計の頻出機能です。
モニタリングとロギング
15%
CloudWatch Composite Alarms は子アラームを AND/OR/NOT で論理結合してアラート疲れを抑制する仕組みで、抑制アラーム(SuppressorAlarm)でメンテナンス中の通知抑止も可能です。Logs Insights のクエリ言語(fields・filter・stats・parse・sort)でのトラブルシュート、Container Insights(ECS/EKS のクラスタ・ノード・タスクメトリクス)、Lambda Insights(拡張版メトリクス)、Application Signals(SLO 管理付き APM)、X-Ray/AWS Distro for OpenTelemetry(ADOT)による分散トレース、Cross-Account Observability によるモニタリングアカウント集約、CloudWatch Synthetics による外形監視を組み合わせた可観測性スタックを設計できるようにしましょう。
インシデントとイベントへの対応
14%
EventBridge ルール × Systems Manager Automation Runbook が自動修復の中心パターンです。Config 非準拠リソースを SSM Document(AWS-PublishSNSNotification・AWS-DisablePublicAccessForSecurityGroup など)で自動修復、GuardDuty 検出 → EventBridge → Lambda/Step Functions による隔離・調査・通報、AWS Health イベント → EventBridge → SNS/Incident Manager による告知、Incident Manager の Response Plan・Engagement Plan・Runbook で escalation を自動化する流れを押さえてください。AWS Fault Injection Simulator(FIS)でのカオス実験設計(実験テンプレート・停止条件・IAM ロール)、EventBridge Scheduler による定期修復タスクも近年の出題範囲です。
セキュリティとコンプライアンス
17%
Config Conformance Pack は CIS Benchmark/PCI DSS/NIST/HIPAA など事前定義テンプレートを組織アカウントに一括展開し、継続的コンプライアンスを実現します。Security Hub Automation Rules は発見事項に対する自動アクション(重要度更新・抑制・ワークフロー進行)を設定でき、Custom Action で手動修復もトリガーできます。Secrets Manager のローテーション Lambda(Single User/Multi User/Master User 戦略)、KMS キーローテーション(年次自動/手動)、GuardDuty Malware Protection(EBS/S3)、Inspector の継続的脆弱性スキャンと SSM Patch Manager との連携、Resource Control Policies(RCP)によるリソース側ガードレール、SCP × Permission Boundary × IAM ポリシーの 3 層統制を整理しておきましょう。

出題傾向

SDLC の自動化(ドメイン 1、22%)が最大ドメインで、CodePipeline V2 の Git 連携トリガー、CodeBuild の並列ビルドとキャッシュ、CodeDeploy の Blue/Green・Canary と AppSpec.yml ライフサイクルフック、Lambda エイリアスのトラフィックシフト、ECS Blue/Green の TestListener/ProductionListener 切替が頻出です。GitHub Actions × OIDC、CDK Pipelines も重要テーマです。

構成管理と IaC(ドメイン 2、17%)では CloudFormation のドリフト検出・変更セット・StackSets、Resource Import、CDK の階層と Aspects、SSM State Manager・Patch Manager・Parameter Store、EC2 Image Builder が問われます。

回復力(ドメイン 3、15%)では Route 53 フェイルオーバー、Auto Scaling ウォームプール/ライフサイクルフック、SQS DLQ と redrive、Lambda Destinations、Aurora Global Database、Application Recovery Controller が頻出です。

モニタリング(ドメイン 4、15%)では CloudWatch Composite Alarms、Logs Insights、Container/Lambda Insights、Application Signals、X-Ray/ADOT、Synthetics、Cross-Account Observability が定番です。

インシデント対応(ドメイン 5、14%)では EventBridge × SSM Automation Runbook による自動修復、Incident Manager の Response Plan/Runbook、AWS Health × EventBridge、Fault Injection Simulator が出題されます。

セキュリティ(ドメイン 6、17%)では Config Conformance Pack、Security Hub Automation Rules、Secrets Manager 自動ローテーション、KMS キーローテーション、GuardDuty Malware Protection、Inspector、SCP/RCP のガードレール設計が問われます。

学習のポイント

DOP-C02 でも Professional 共通の鉄則「制約を先に拾い、満たさない選択肢を機械的に除外する」が最重要です。「ダウンタイムなし」「5 分以内ロールバック」「運用オーバーヘッド最小」「最小権限」といった条件を並べ、残った候補を「自動化の度合い」「マネージドサービス活用度」で比較しましょう。CodeDeploy/CloudFormation/Systems Manager で実現できる要件を Lambda の独自実装で代替する選択肢はほぼ常に不正解候補です。

CI/CD の責務分担を明確に押さえます。CodeCommit・CodeBuild・CodeDeploy・CodePipeline・CodeArtifact・CodeGuru Reviewer の境界、buildspec.yml の phases/cache、appspec.yml のライフサイクルフック、deployment configuration の Linear/Canary/AllAtOnce など具体名を覚えてください。

デプロイ戦略の比較表を作りましょう。In-place・Rolling・Blue/Green・Canary・Linear の特性と、Lambda(Alias 重みづけ)/ECS(CodeDeploy + ALB 切替)/EC2(CodeDeploy + Auto Scaling)/API Gateway(Stage Canary)・CloudFront Continuous Deployment の実装を結び付けて理解します。

自動修復ランブック(Detect → Diagnose → Remediate)は DOP の核です。Config 非準拠 → SSM Automation Runbook、GuardDuty 検出 → EventBridge → Lambda/Step Functions、AWS Health → EventBridge → Incident Manager、Inspector → Security Hub → SSM Patch Manager の頻出パターンを描けるようにしましょう。

マルチアカウント自動化は Organizations × StackSets × IAM Identity Center が中心。SCP による予防的ガードレールと Config/Security Hub による発見的ガードレールを組み合わせて整理しましょう。