CloudOps Engineer Associate
試験概要
AWS Certified SysOps Administrator – Associate(SOA-C03、現名称は CloudOps Engineer Associate)は、AWS インフラストラクチャの運用管理・監視・自動化・セキュリティ・コンプライアンスに関する実践的なスキルを評価する Associate レベルの試験です。合格スコアは 720/1000、試験時間 130 分・65 問で構成され、「モニタリング・ロギング・修復」「信頼性とビジネス継続性」「デプロイ・プロビジョニング・自動化」「セキュリティとコンプライアンス」「ネットワークとコンテンツ配信」を中心とした複数ドメインから出題されます(以前は試験ラボ問題が含まれていましたが、現在ラボ形式は中止されており、すべて選択式問題で構成されています)。SAA-C03 が「設計」、DVA-C02 が「開発」を中心に問うのに対し、SOA-C03 は「運用」と「自動化」が主軸であり、CloudWatch・Systems Manager・CloudFormation・AWS Config・AWS Backup を縦横に組み合わせて、検出から自動修復までを完結させる実装力が問われます。
対象者・前提知識
AWS インフラの日常運用(デプロイ・パッチ管理・監視・バックアップ・障害対応)を担当するクラウドオペレーター・SysAdmin・SRE を主な対象とし、AWS 環境での実務経験が 1 年以上ある方が望ましい受験者像です。オンプレミスのインフラ運用経験を AWS 環境に移行したい方、Auto Scaling/Multi-AZ/CloudFormation/Systems Manager といったマネージド運用ツールを使いこなしたい方に最適です。Solutions Architect Associate(SAA-C03)取得後に運用面の知識を深めたい方、Developer Associate(DVA-C02)取得者がインフラ運用へ守備範囲を広げたい場合にも推奨されます。本資格は DevOps Engineer Professional(DOP-C02)への足掛かりとして優れた位置付けにあり、Specialty 系の Security や Networking への準備としても有効です。
ドメイン構成
出題傾向
モニタリング・ロギング・修復(ドメイン 1)では、CloudWatch アラームの状態(OK/ALARM/INSUFFICIENT_DATA)と評価期間/データポイント/欠損データ処理、複合アラームによる「CPU 高負荷 AND メモリ不足」のような AND/OR 条件設計、Anomaly Detection(機械学習ベースのしきい値)、CloudWatch Logs サブスクリプションフィルター → Kinesis/Lambda/OpenSearch への転送、Logs Insights のクエリ構文(fields/filter/stats/sort)、EventBridge ルールから Systems Manager Automation/Lambda を起動する自動修復パターンが頻出です。
信頼性とビジネス継続性(ドメイン 2)では、Auto Scaling のターゲット追跡/ステップ/スケジュール/予測スケーリングの選択、ライフサイクルフック・ウォームプール、AWS Backup のバックアッププラン(タグ条件によるリソース選択・ライフサイクルでコールドストレージ移行)、RDS の自動バックアップ/スナップショット/Point-in-Time Recovery/Blue/Green デプロイメント、Application Recovery Controller(ARC)のゾーンシフトが中心テーマです。
デプロイ・プロビジョニング・自動化(ドメイン 3)では、CloudFormation のドリフト検出・Change Sets・StackSets(Organizations 全体に一括展開・自動デプロイメント)・Hooks による事前検証、Systems Manager の Patch Manager/Run Command/State Manager/Automation/Distributor/Session Manager の使い分け、EC2 Image Builder による Golden AMI パイプライン、AppConfig の段階的デプロイが頻出です。
セキュリティとコンプライアンス(ドメイン 4)では、AWS Config(リソース設定の継続評価・マネージド/カスタムルール・自動修復)と Security Hub(CIS/PCI DSS/FSBP の統制集約)と GuardDuty(脅威インテリジェンス検知)の役割分担、Inspector v2(EC2/ECR/Lambda の継続的脆弱性スキャン)、IAM Access Analyzer(外部アクセス・未使用権限検出)、CloudTrail の Log File Integrity Validation が問われます。
ネットワークとコンテンツ配信では、VPC Reachability Analyzer/Network Access Analyzer による疎通/到達性デバッグ、Route 53 のヘルスチェックと加重・フェイルオーバー・レイテンシー・地理位置ルーティングの組み合わせ、CloudFront のキャッシュポリシー/オリジンシールド/署名付き URL、Transit Gateway/VPC ピアリング/VPC Lattice の使い分けが頻出します。
学習のポイント
CloudWatch アラームの状態遷移とデータポイント設定は試験の核心です。「評価期間 5 分・データポイント 3 of 5」のような設定で誤検知と未検知のバランスを取る考え方、欠損データ処理(missing/notBreaching/breaching/ignore)の選択、複合アラームによる AND/OR 条件、Anomaly Detection(過去 14 日以上のデータから機械学習で動的しきい値)、メトリクスフィルター(ログから数値抽出 → メトリクス化)の使い分けを暗記しましょう。
Systems Manager は SOA 試験で最も登場頻度の高いサービスです。Session Manager(踏み台サーバー不要・SSH キー不要・CloudTrail 監査)/Run Command(リモートコマンド一斉実行)/Patch Manager(Patch Baseline・メンテナンスウィンドウ・コンプライアンスレポート)/State Manager(構成のドリフト修正・定期実行)/Automation(マルチステップのランブック・承認ステップ)/Distributor(ソフトウェアパッケージ配布)/Parameter Store(設定値・SecureString)/Inventory/Compliance の役割を、それぞれ 1 行で説明できる状態に仕上げましょう。
CloudFormation は「ドリフト検出=IaC 管理リソースが手動変更されていないか継続確認」「Change Sets=適用前の差分プレビュー」「StackSets=Organizations 全体への一括展開・自動デプロイメント・Stack Instances」「Hooks=事前検証によるポリシー違反の阻止」「Modules/Macros=再利用可能テンプレート」と機能ごとの目的を明確に整理してください。デプロイ失敗時のロールバック動作、UPDATE_ROLLBACK_FAILED 状態からの復旧手順も頻出です。
AWS Config/Security Hub/GuardDuty/Inspector の役割分担を整理しましょう。Config=リソース設定の継続評価・履歴・コンプライアンスルール、Security Hub=複数セキュリティサービスの所見集約と CIS/PCI DSS/FSBP 基準スコアリング、GuardDuty=VPC Flow Logs/DNS/CloudTrail からの脅威検出、Inspector v2=EC2/ECR/Lambda の脆弱性スキャン、IAM Access Analyzer=外部アクセス/未使用権限検出。それぞれの「入力データ」「出力」「自動修復連携先」を表で整理することを強く推奨します。
ハンズオンでは CloudWatch アラーム → SNS → Lambda 自動修復、EventBridge ルール → Systems Manager Automation、Config 非準拠 → Auto Remediation の 3 つのパイプラインを実機で構築しましょう。AWS 公式の Skill Builder ラボや Well-Architected Labs(Reliability/Operational Excellence Pillar)が効果的で、本試験で繰り返し問われる「検出 → 通知 → 自動修復」の感覚を体得できます。