AssumeRoleをSCS視点で完全理解する
AssumeRoleの信頼ポリシー、呼び出し側権限、クロスアカウント、External ID、MFA、セッションポリシー、CloudTrail監査を詳しく解説する。
← タグ一覧
#AWS (116 件)
CloudFormationのセキュリティをSCS視点で完全理解する
CloudFormationのサービスロール、iam:PassRole、Change Sets、Stack Policy、Drift Detection、Hooks、Guard、機密値管理をSCS-C03で判断できる粒度まで整理する。
CloudFrontセキュリティをSCS視点で完全理解する
CloudFrontのHTTPS、OAC、WAF、Shield、署名URL、Origin Shield、ログ監査をSCS-C03で判断できる粒度まで整理する。
AWSフェデレーション設定をSCS視点で完全理解する
IAM Identity Center、外部IdP、SAML、OIDC、permission set、AssumeRoleWithSAML、AssumeRoleWithWebIdentity、ABAC、監査設定をSCS-C03向けに整理する。
AWS STSをSCS視点で完全理解する
AWS STSの一時認証情報、AssumeRole系API、GetSessionToken、セッションポリシー、セッションタグ、リージョナルエンドポイントを整理する。
AWS SCS-C03 合格のための3次元ビジュアル完全攻略(超詳細版)
SCS-C03を『Domain × Incident Timeline × Decision Tree』の3次元で理解する超詳細ガイド。IAM・KMS・VPC・検知運用・ガバナンスを試験で使える判断粒度まで分解。
ACM証明書 — DNS検証・Email検証・自動更新・使用制限
AWS Certificate Manager(ACM)の証明書発行、DNS検証とEmail検証の違い、ALB/CloudFrontでの使用方法、自動更新の仕組み、プライベート証明書、インポート証明書の管理を解説。
ALBリスナールール詳細設計 — 条件・アクション・優先度・認証統合
ALBリスナールールの条件タイプ(パス/ホスト/ヘッダー/クエリ文字列)、アクションタイプ(転送/リダイレクト/固定応答/認証)、優先度設定、Cognitoおよびoidc認証統合を解説。
AWS Audit Manager — コンプライアンス証拠の自動収集と監査対応
AWS Audit Managerのフレームワーク(PCI DSS/SOC 2/HIPAA/GDPR)、証拠の自動収集、カスタムコントロール、評価レポートの生成、Security HubとConfigとの統合による継続的コンプライアンスを解説。
Aurora Serverless v2 — 自動スケーリングDBの仕組みと設定
Amazon Aurora Serverless v2のACU(Aurora Capacity Unit)スケーリング、最小/最大ACU設定、v1との違い、マルチAZとリードレプリカ対応、コスト計算、ユースケース別設定例を解説。
Aurora vs RDS — アーキテクチャの根本的な違いとパフォーマンス特性
Amazon AuroraとRDSの共有ストレージアーキテクチャの違い、フェイルオーバー速度、リードレプリカの仕組み、Aurora Multi-Master、Aurora Global Database、コスト比較を解説。
AWS Backup Vault Lock — ランサムウェア対策のWORMバックアップ
AWS BackupのVault Lock機能、Governance/Complianceモードの違い、最小/最大保持期間の強制、クールオフ期間、ランサムウェア対策バックアップ設計、マルチアカウントへのバックアップを解説。
CloudFrontキャッシュ動作設計 — キャッシュポリシー・オリジンリクエストポリシー・TTL
CloudFrontのキャッシュビヘイビア、キャッシュポリシー(CachingOptimized等)、オリジンリクエストポリシー、カスタムCacheKey設定、TTL制御、Invalidation、Origin Groupsを解説。
CloudFront Origin Shield — オリジンの負荷削減とキャッシュヒット率向上
CloudFront Origin Shieldの仕組み、追加キャッシュレイヤーとしての役割、リージョン別のキャッシュヒット率向上効果、オリジンのスパイク保護、Origin Shieldのリージョン選択基準を解説。
CloudFront署名付きURL vs 署名付きCookie — プライベートコンテンツ配信
CloudFrontの署名付きURL(Signed URL)と署名付きCookie(Signed Cookie)の違い、キーペアの作成、有効期限設定、S3との組み合わせ、OACによるS3直接アクセス禁止設定を解説。
CloudFront + WAF + Shield — エッジでのセキュリティ多層防御
CloudFrontにWAFを適用してSQLインジェクション・XSSをブロックし、AWS ShieldでDDoSを防御する多層エッジセキュリティの設計、WAFルールグループの組み合わせ、Shield Advancedの自動DDoS軽減を解説。
CloudHSM vs KMS — ハードウェアセキュリティモジュールの選択基準
AWS CloudHSMとKMSの根本的な違い、FIPS 140-2 Level 3準拠、シングルテナントHSM、KMSカスタムキーストアとしてのCloudHSM利用、コストと運用負荷の比較を解説。
CloudTrailイベントの種類 — 管理イベント・データイベント・Insightsの違い
AWS CloudTrailの管理イベント(コントロールプレーン)とデータイベント(データプレーン)の違い、S3オブジェクトレベルのログ設定、CloudTrail Insightsによる異常検出を解説。
CloudWatchアラームと異常検出 — Composite Alarm・Auto Scaling連携・OKアクション
CloudWatchアラームの状態(OK/ALARM/INSUFFICIENT_DATA)、複合アラーム(Composite Alarm)、機械学習ベースの異常検出アラーム、Auto Scalingポリシーとの連携、Datapointsを解説。
CloudWatch Logs Insights — ログクエリと分析パターン
CloudWatch Logs Insightsのクエリ構文(fields/filter/stats/sort/limit)、Lambdaエラー分析、APIレイテンシー集計、VPCフローログ分析、コスト最適化のスキャン範囲設定を解説。
AWS Config Rules — コンプライアンス評価と自動修復
AWS Configのマネージドルール vs カスタムルール、設定変更トリガー vs 定期評価、Systems Manager Automationによる自動修復、コンフォーマンスパック、マルチアカウント集約を解説。
AWS Config vs CloudTrail — 監査・コンプライアンスツールの使い分け
AWS ConfigとCloudTrailの役割の違い、Configが記録するリソース設定変更とCloudTrailが記録するAPI操作ログ、GuardDutyとの組み合わせ、セキュリティ調査フロー、両者を補完的に使う設計を解説。
AWS Control Tower — マルチアカウントのランディングゾーン設計
AWS Control Towerのランディングゾーン、Account Factory、コントロール(ガードレール)の種類、SCP/Config Rulesとの関係、OU構造設計、既存アカウントへの適用を解説。
Amazon Detective — セキュリティ調査グラフと GuardDuty との連携
Amazon DetectiveのVPC フローログ・CloudTrail・GuardDuty Findingsを統合した調査グラフ、エンティティ関係の可視化、GuardDuty Findingsからのドリルダウン調査、Detective の有効化手順を解説。
DynamoDB DAX — インメモリキャッシュの仕組みと設計パターン
DynamoDB Accelerator(DAX)のアーキテクチャ、アイテムキャッシュとクエリキャッシュ、TTL設定、DAXが向かないワークロード、ElastiCacheとの使い分けを解説。
DynamoDB GSI vs LSI — インデックスの仕組み・制約・設計パターン
DynamoDBのGSI(グローバルセカンダリインデックス)とLSI(ローカルセカンダリインデックス)の違い、作成タイミング、一貫性、スループット設定、クエリパターンを解説。
DynamoDBパーティションキー設計 — ホットパーティション・カーディナリティ・アクセスパターン
DynamoDBのパーティションキー設計の原則、ホットパーティション問題の発生条件と対策、アダプティブキャパシティ、Writeシャーディングパターン、GSIを活用した設計を解説。
DynamoDB Streams — 変更データキャプチャ・Lambda連携・レプリケーション設計
DynamoDB Streamsのストリームビュータイプ(KEYS_ONLY/NEW_IMAGE/OLD_IMAGE/NEW_AND_OLD_IMAGES)、Lambda関数トリガー、ストリームの保持期間、Kinesis Data Streamsとの違いを解説。
EC2 AMI とインスタンスストア — EBSバックアップとエフェメラルの違い
AWSのAMIタイプ(EBSバックストアvs インスタンスストアバックストア)の違い、EBSボリュームとインスタンスストアのパフォーマンス比較、AMIのコピーとシェア、ゴールデンAMI設計を解説。
EC2 Auto Scaling — ライフサイクルフック・スケーリングポリシー・ヘルスチェック
EC2 Auto Scalingのライフサイクルフック(起動・終了)、スケーリングポリシーの種類(ターゲット追跡/ステップ/スケジュール)、ヘルスチェックの設定、ウォームアップとクールダウンを解説。
EC2 Image Builder — ゴールデンAMIのパイプライン自動化
EC2 Image Builderのコンポーネント・レシピ・パイプラインの設計、AMIへのセキュリティパッチ適用自動化、CISベンチマークテスト統合、マルチリージョン配布、コンテナイメージへの対応を解説。
EC2 IMDSv2 — v1との違い・SSRF攻撃対策・強制設定方法
EC2インスタンスメタデータサービスのIMDSv1とIMDSv2の違い、セッション指向のトークン方式によるSSRF攻撃対策、IMDSv2の強制設定方法、アクセス制限の設定を解説。
EC2配置グループ — Cluster/Spread/Partitionの使い分けと制約
EC2の3種類の配置グループ(クラスター、スプレッド、パーティション)の仕組み、ネットワーク性能への影響、ハードウェア障害の隔離、HPC・大規模分散処理での設計パターンを解説。
EC2料金モデル完全比較 — On-Demand/Reserved/Spot/Savings Plans
EC2の4つの料金モデル(On-Demand、Reserved Instance、Spot Instance、Savings Plans)の詳細比較、コスト削減率、Spot中断への対策、Savings PlansとRIの使い分けを解説。
EBSボリュームタイプ詳細比較 — gp3/io2/st1/sc1の選択基準
Amazon EBSの各ボリュームタイプ(gp3、gp2、io2 Block Express、io1、st1、sc1)のIOPS・スループット・コストの詳細比較、ユースケース別の選択基準、gp2からgp3への移行を解説。
ECS Fargateネットワーキング — awsvpcモード、ENI、セキュリティグループ設計
ECS Fargateのawsvpcネットワークモード、タスクごとのENI割り当て、セキュリティグループ設計、VPCサブネット選択、Service Connectによるサービスディスカバリーを解説。
ECSタスクロール vs 実行ロール — 2種類のIAMロールの役割と設計
ECSのタスク実行ロール(ECSエージェントが使うロール)とタスクロール(コンテナアプリが使うロール)の違い、ECRからのイメージ取得、Secrets Manager統合、コンテナレベルの最小権限設計を解説。
ECS vs EKS — コンテナオーケストレーション選択基準
Amazon ECSとEKSの設計哲学の違い、管理オーバーヘッド、スケーリング機能、ネットワーキング、コスト、ポータビリティの観点での比較と選択基準を解説。
ALB vs NLB vs CLB — ロードバランサー完全比較と選択基準
AWSの3種類のロードバランサー(ALB、NLB、CLB)の動作レイヤー、プロトコルサポート、スティッキーセッション、固定IP、mTLS、WebSocket対応の違いと設計パターンを解説。
保存時・転送時暗号化 — AWSサービス別の暗号化設計パターン
保存時暗号化(Encryption at Rest)と転送時暗号化(Encryption in Transit)の違い、S3/EBS/RDS/DynamoDBの暗号化設定、TLS強制方法、KMSとの統合、エンドツーエンド暗号化設計を解説。
EventBridge vs SNS vs SQS — イベント駆動アーキテクチャの使い分け
Amazon EventBridge、SNS、SQSの役割の違い、ルーティング機能の比較、デカップリングパターン、イベントバスとトピックとキューの選択基準、クロスアカウント・クロスリージョンを解説。
AWS試験の定石: 要件未指定ならコスト最適を第一候補に置く
要件が曖昧な問題ではマネージドかつ従量課金を優先する。
AWS試験のDR問題: RTO/RPOから解を一発で絞る
目標復旧時間と復旧時点を数値化すると解法が安定する。
AWS試験の四択崩し: 消去法マトリクスの作り方
要件・制約・禁止事項の3軸で選択肢を減点し最終候補を残す。
AWS試験の最後2択: 迷ったときの比較チェックリスト
同系統サービスの差分は責任範囲・拡張性・監査性で比較する。
AWS試験の判断軸: レイテンシ要件とスループット要件を分離して読む
低遅延と高吞吐を混同せず、要件ごとにサービスを当てる。
AWS試験の地雷語: 「必ず」「常に」が出た選択肢の扱い方
絶対表現は誤答率が高いので、例外条件がないかを先に探す。
AWS試験の移行問題: 依存関係から移行順序を逆算する
ネットワーク→アイデンティティ→データ→アプリの順で考える。
AWS試験の読解小技: 否定語(NOT/EXCEPT)を見落とさないための手順
設問の否定語は最初に囲って、選択肢を読む前に「何を除外する問題か」を固定する。
AWS試験の比較術: 運用負荷が低い選択肢を素早く見抜く
「最小の運用」で問われたらサーバレス・フルマネージドを軸にする。
AWS試験の定番: 責任共有モデルで誤答を消す方法
AWS責任と利用者責任を二分すると誤選択肢を大量に除去できる。
Global Accelerator vs CloudFront — TCP/UDPとHTTP配信の使い分け
AWS Global AcceleratorとCloudFrontの根本的な違い、Anycastネットワーク、静的IPアドレス、エッジキャッシュとの比較、ゲーム・VoIP・APIへの適用パターンを解説。
Amazon GuardDuty — 脅威インテリジェンス・検出カテゴリ・自動対応設計
GuardDutyが検出する脅威の種類(UnauthorizedAccess, Backdoor, CryptoCurrency等)、データソース(CloudTrail/VPCフローログ/DNS)、S3 Protection、EKS Protection、EventBridgeとの自動対応を解説。
IAM Access Analyzer — 外部公開リソースの検出と未使用権限の分析
IAM Access Analyzerの2つの機能(外部アクセス分析・未使用アクセス分析)、Zone of Trust設定、CloudTrailベースの権限絞り込み、SCS試験頻出ポイントを解説。
クロスアカウントIAMロール — 設計パターンと落とし穴
AWS複数アカウント構成でのIAMロール連携を解説。スイッチロール設定、External ID、ロールチェーン上限、OrganizationsとRAMを使った効率的な権限管理まで。
IAMアイデンティティポリシー vs リソースベースポリシー — 評価と連携
IAMのアイデンティティベースポリシーとリソースベースポリシーの違い、同一アカウント/クロスアカウントでの評価ロジック、リソースポリシーが使えるAWSサービス一覧を解説。
IAMパーミッションバウンダリー — 権限委任を安全に実現する仕組み
IAMパーミッションバウンダリーの仕組み、有効な権限の計算方法、開発者への権限委任パターン、SCPとの違いを試験対策の観点から解説します。
IAMポリシー条件キー完全ガイド — MFA・IP・タグ・リージョン制御
IAMポリシーのConditionブロックで使える条件キーを網羅解説。MFA必須化、IP制限、リソースタグによる動的制御、aws:CalledVia等の試験頻出キーを実例付きで紹介。
IAMポリシー評価ロジック完全解説 — 明示的Deny・SCP・バウンダリーの優先順位
AWSのIAMポリシー評価順序を完全解説。明示的Deny、SCP、パーミッションバウンダリー、クロスアカウントの双方向Allow要件まで試験頻出ポイントを深掘りします。
IAMロール vs IAMユーザー — 使い分けと設計原則
IAMユーザーとIAMロールの違い、AssumeRoleの仕組み、EC2/Lambda/クロスアカウントでのロール設計、長期クレデンシャルを避けるべき理由を解説します。
IAMサービスリンクロール — AWSサービスが自動作成するロールの仕組み
IAMサービスリンクロールの概念、AWSサービスが自動作成する専用ロール、通常のIAMロールとの違い、削除条件、Organizations SCPとの関係、トラブルシューティングを解説。
Amazon Inspector v2 — EC2・Lambda・コンテナの脆弱性スキャン設計
Amazon Inspector v2の継続的脆弱性スキャン、EC2/ECR/Lambda対応、CVSSスコアによる優先度付け、リスクスコア計算、Security Hubとの統合、自動修復パターンを解説。
Amazon Kinesis Data Streams — リアルタイムデータパイプライン設計
Kinesis Data Streamsのシャード設計、パーティションキーとシャード割り当て、プロデューサー/コンシューマーAPI、Enhanced Fan-Out、KCL vs Lambda統合、データ保持期間とコスト最適化を解説。
KMSエンベロープ暗号化 — データキー・GenerateDataKey・パフォーマンスの仕組み
AWSサービスが内部で使うエンベロープ暗号化の仕組み、GenerateDataKeyとGenerateDataKeyWithoutPlaintext、データキーキャッシュによるKMSコスト削減、SDKでの実装方法を解説。
KMSグラントと一時的アクセス委任 — キーポリシーとの違い
KMSグラントの仕組み、CreateGrant/RetireGrant/RevokeGrant操作、グラントトークンの使用、AWSサービスによるグラント自動作成(EBS/S3)、キーポリシーとの適切な使い分けを解説。
KMSキーポリシーの設計 — IAMポリシーとの関係・ロックアウト防止・クロスアカウント
KMSキーポリシーとIAMポリシーの評価の違い、アカウントルートAllow必須の理由、キーポリシーのみでの制御パターン、クロスアカウントでのKMS使用設定を解説。
KMSキーの種類と管理モデル — AWS管理・カスタマー管理・CloudHSM
AWS KMSの3種類のキー(AWS管理キー、カスタマー管理キー、カスタムキーストア)の違い、ローテーション設定、対称/非対称キー、MACキー、削除待機期間を解説。
KMSマルチリージョンキー — レプリカキー・クロスリージョン暗号化の設計
KMSマルチリージョンキーの仕組み、プライマリキーとレプリカキーの関係、クロスリージョンでのデータ復号、DynamoDB GlobalTables/S3レプリケーションとの組み合わせを解説。
Lambda同時実行 — 予約済み/プロビジョニング済み・スロットリング・アカウント上限
Lambda同時実行の仕組み、アカウントレベルの上限(1000)、予約済み同時実行(Reserved)とプロビジョニング済み同時実行(Provisioned)の違い、コールドスタート対策を解説。
Lambda宛先設定とDLQ — 非同期呼び出しの失敗ハンドリング
Lambda非同期呼び出しの成功/失敗時の宛先(Destinations)設定、DLQとの違い、最大試行回数、イベントエイジの上限、EventBridgeとSQSへのルーティングパターンを解説。
Lambdaレイヤーとコンテナイメージ — 依存ライブラリの管理戦略
Lambdaレイヤーの仕組み、最大5レイヤー制限、共有ライブラリの再利用、コンテナイメージとzipデプロイの違い、10GBイメージサポート、Lambda拡張機能を解説。
Lambda実行ロールとリソースポリシー — 2種類の権限モデルの使い分け
Lambda関数の実行ロール(何にアクセスできるか)とリソースベースポリシー(誰が呼び出せるか)の違い、クロスアカウント呼び出し、APIゲートウェイ/S3/EventBridgeからの呼び出し設定を解説。
Lambda VPC設定 — プライベートリソースアクセス・コールドスタート・ENI制限
LambdaをVPC内に配置する設定、プライベートDBやElastiCacheへのアクセス、コールドスタートへの影響、ENI数の計算、インターネットアクセスのためのNAT設定を解説。
Amazon Macie — S3の機密データ検出・分類・コンプライアンス対応
Amazon MacieによるS3バケット内の機密データ(PII、クレジットカード、認証情報)の自動検出、カスタムデータ識別子、検出ジョブ、マルチアカウント管理、GDPRやPCI DSS対応を解説。
NATゲートウェイ vs NATインスタンス — 可用性・スループット・コスト比較
プライベートサブネットのアウトバウンド通信を実現するNATゲートウェイとNATインスタンスの比較、NATゲートウェイのAZ冗長設計、帯域幅スケーリング、コスト計算を解説。
NLB固定IPとEIP — Elastic IPによるネットワークロードバランサーの設計
Network Load BalancerへのElastic IP割り当て、AZごとのEIP設計、NLBのターゲットタイプ(インスタンス/IP/ALB)、クロスゾーン負荷分散の無効設定、IPホワイトリストが必要な構成でのNLB活用を解説。
AWS Organizations詳細設定 — 委任管理者・タグポリシー・バックアップポリシー
AWS Organizationsのマスターアカウントとメンバーアカウントの役割、委任管理者(Delegated Administrator)設定、タグポリシーによるタグの標準化、バックアップポリシー、AI サービスオプトアウトポリシーを解説。
AWS Organizations SCPの仕組みと設計 — OU階層・デフォルト動作・落とし穴
Service Control Policiesの評価ロジック、OU階層での継承、管理アカウントへの非適用、よく使うSCP設計パターン(リージョン制限・ルートアクション禁止・S3保護)を解説。
AWS PrivateLink — VPCエンドポイントサービスとインターフェース型の設計
AWS PrivateLinkの仕組み、エンドポイントサービスの作成、NLBとの統合、クロスアカウント・クロスVPCでのプライベート接続、VPCピアリングとの設計上の違いを解説。
AWS Resource Access Manager(RAM) — クロスアカウントリソース共有
AWS RAMを使ったVPCサブネット、Transit Gateway、Route53リゾルバールール、License Managerライセンスのクロスアカウント共有設定、Organizations統合、招待フローを解説。
RDS暗号化 — 有効化のタイミング・スナップショット・クロスリージョンコピーの制約
RDSの暗号化(保存時)の設定方法、作成後の暗号化有効化の手順、暗号化スナップショットのクロスリージョンコピー、KMSキーの変更方法、転送時暗号化の設定を解説。
RDS Multi-AZ vs リードレプリカ — 目的・フェイルオーバー・レプリケーション方式の違い
RDS Multi-AZとリードレプリカの根本的な違い、フェイルオーバー時間、同期/非同期レプリケーション、リードレプリカの昇格、クロスリージョンリードレプリカのDR活用を解説。
Route53ヘルスチェックとフェイルオーバー設計 — 自動DNS切り替え
Route53ヘルスチェックの種類(エンドポイント/計算/CloudWatch)、フェイルオーバールーティング、プライベートリソースへのヘルスチェック、SNS通知との連携を解説。
Route53プライベートホストゾーンとResolver — VPC内DNS設計
Route53プライベートホストゾーンの設定、VPCとの関連付け、Resolverインバウンド/アウトバウンドエンドポイント、オンプレミスとVPC間のDNS解決、スプリットビュー設計を解説。
Route 53ルーティングポリシー完全比較 — 7種類の使い分けと設計パターン
Route 53の7つのルーティングポリシー(シンプル/加重/レイテンシー/フェイルオーバー/地理的/地理的近接性/IP-based)の動作の違い、ヘルスチェックとの連携、マルチバリューを解説。
S3バケットポリシー vs IAMポリシー — 優先順位・使い分け・組み合わせパターン
S3アクセス制御のバケットポリシーとIAMポリシーの評価ロジック、同一アカウントとクロスアカウントの違い、ACLとの関係、バケットポリシーが必要なケースを具体例で解説。
S3暗号化の全種類比較 — SSE-S3/SSE-KMS/SSE-C/クライアントサイド
S3の4種類の暗号化方式(SSE-S3, SSE-KMS, DSSE-KMS, SSE-C, クライアントサイド)を比較。鍵管理の違い、KMS API呼び出しコスト、バケットキー設定、試験頻出ポイントを解説。
S3イベント通知 — SNS/SQS/Lambda/EventBridgeの使い分け
S3イベント通知の設定方法、SNS・SQS・Lambda・EventBridgeへの連携パターン、イベントタイプの種類、ファンアウト設計、重複通知の可能性と対策を解説。
S3ライフサイクルルール — 移行・有効期限・バージョン管理の設計パターン
S3ライフサイクルルールの移行(Transition)と有効期限(Expiration)の設定、ストレージクラス間の遷移制約、マルチパートアップロードの不完全部分削除、コスト最適化パターンを解説。
S3マルチパートアップロード — 必須条件・並列処理・中断時の対処
S3マルチパートアップロードの仕組み、5MB/5GB/5TBの各制限、並列アップロードによる高速化、Transfer Accelerationとの組み合わせ、中断した場合のコスト管理まで解説。
S3 Object Lock — WORM準拠・ガバナンスモードとコンプライアンスモードの違い
S3 Object LockのWORM(Write Once Read Many)実装、ガバナンスモードとコンプライアンスモードの違い、Legal Hold、バケット設定の注意点を規制対応の観点から解説。
S3署名付きURL(Presigned URL)— 仕組み・有効期限・セキュリティ注意点
S3署名付きURLの仕組み、有効期限の設定(最大7日間)、IAMユーザーvsロールでの有効期限上限の違い、セキュリティリスクと対策、マルチパートアップロードとの組み合わせを解説。
S3レプリケーション完全解説 — CRR/SRR・レプリケートされるもの/されないもの
S3のCRR(クロスリージョン)とSRR(同一リージョン)レプリケーションの設定、レプリケートされないオブジェクトの条件、双方向レプリケーション、Time Control機能を解説。
S3ストレージクラス完全比較 — コスト・取り出し時間・最小保存期間
S3の全ストレージクラス(Standard, IA, One Zone-IA, Glacier Instant/Flexible/Deep Archive, Intelligent-Tiering)のコスト構造、取り出し時間、最小保存期間を試験対策視点で比較。
S3バージョニング — 削除マーカー・ライフサイクルへの影響・コスト管理
S3バージョニングの有効化・一時停止の違い、削除マーカーの仕組み、バージョン数増加によるコスト管理、ライフサイクルルールとMFADelete設定を試験対策視点で解説。
Secrets Manager vs SSM Parameter Store — コスト・機能・ローテーションの使い分け
AWS Secrets ManagerとSSM Parameter Storeの機能比較、コスト差、シークレットの自動ローテーション、パラメータ階層、KMS統合、Lambda/ECS/EC2での参照パターンを解説。
セキュリティグループ vs ネットワークACL — ステートフル/ステートレスの本質
VPCのセキュリティグループとネットワークACLの根本的な違い(ステートフルvsステートレス)、評価順序、インバウンド/アウトバウンドルールの書き方、設計パターンを解説。
AWS Security Hub — セキュリティスコア・コンプライアンス基準・統合管理
AWS Security Hubのセキュリティコントロール、FSBP/CIS/PCI DSS/SOC2準拠チェック、複数AWSアカウントの集中管理、Finding集約、EventBridgeとの自動修復設計を解説。
AWS Shield Standard vs Advanced — DDoS保護の差異とコスト正当化
AWS Shield StandardとAdvancedのL3/L4/L7保護の範囲、SRTサポート、コスト保護、WAFとの連携、CloudFront/Route53/ALBへの適用、Shield Advancedが必要なケースを解説。
SNSメッセージフィルタリング — サブスクリプションフィルターポリシーの設計
SNSサブスクリプションフィルターポリシーの構文、属性ベースフィルタリング、数値条件、プレフィックスマッチ、MessageAttributesとMessageBodyフィルタリングの違いを解説。
SQSポーリング — ロングポーリング vs ショートポーリングとコスト最適化
SQSのショートポーリングとロングポーリングの違い、WaitTimeSecondsの設定、ReceiveMessageWaitTimeSecondsによるキュー設定、Lambdaとの統合時のポーリング動作、コスト削減効果を解説。
SQS Standard vs FIFO — 順序・重複・スループット・設計パターン
SQSのStandardキューとFIFOキューの違い、at-least-once配信と exactly-once処理、メッセージグループID、重複排除ID、スループット制限、デッドレターキューの設計を解説。
SQS可視性タイムアウトとDLQ — メッセージ処理失敗時の設計
SQSの可視性タイムアウトの仕組み、延長方法、デッドレターキュー(DLQ)の設定と最大受信回数、VisibilityTimeoutとLambdaのタイムアウトの関係を解説。
SSM Parameter Store Standard vs Advanced — 設定値管理の詳細比較
AWS Systems Manager Parameter StoreのスタンダードとAdvancedティアの違い、パラメータポリシー、パラメータバージョン管理、KMS暗号化、シークレットマネージャーとの比較、ラベル付けを解説。
AWS Step Functions — サーバーレスワークフローの設計パターン
AWS Step FunctionsのStandard vs Expressワークフロー、状態タイプ(Task/Choice/Parallel/Wait/Map)、エラーハンドリングとリトライ、Lambda/ECS/SQS統合パターン、SAGAパターン実装を解説。
EBS vs EFS vs S3 — AWSストレージサービス完全比較
Amazon EBS(ブロックストレージ)、EFS(ファイルシステム)、S3(オブジェクトストレージ)の特性、ユースケース、パフォーマンス、コスト、マルチAZ対応の違いを解説。
AWS Storage Gateway — オンプレミスとAWSの統合ストレージ設計
AWS Storage Gatewayの4種類(S3 File Gateway、FSx File Gateway、Tape Gateway、Volume Gateway)の用途の違い、キャッシュ設計、オンプレミスからS3への透過的なアクセス、ハイブリッドストレージアーキテクチャを解説。
AWS Trusted Advisor — コスト・セキュリティ・パフォーマンスの自動チェック
AWS Trusted Advisorのチェックカテゴリ(コスト最適化/セキュリティ/パフォーマンス/耐障害性/サービス制限)、無料チェックと有料チェックの違い、Organizations統合、自動対応の設定を解説。
VPC CIDRプランニング — プライマリ/セカンダリCIDR・ピアリングの制約・サブネット設計
AWSのVPC CIDRブロック設計、許可されるIPv4範囲、セカンダリCIDRの追加、VPCピアリング時の重複CIDR問題、サブネット設計のベストプラクティスを解説。
VPC多層防御設計 — ネットワークセキュリティの実践パターン
VPCの多層防御設計、セキュリティグループとNACLの組み合わせ、AWS Network Firewall、WAFとShieldの配置、プライベートサブネット設計、踏み台サーバーの廃止(SSM Session Manager)を解説。
VPCエンドポイント — InterfaceとGatewayの違い・プライベート接続の設計
VPCのInterfaceエンドポイントとGatewayエンドポイントの仕組みの違い、対応サービス、料金、エンドポイントポリシー、DNS設定、PrivateLinkとの関係を解説。
VPCフローログ — キャプチャされる情報・されない情報・分析方法
VPCフローログが記録するフィールド、キャプチャされないトラフィックの種類、CloudWatch Logs/S3への出力設定、Athenaによるクエリ分析、セキュリティ調査での活用法を解説。
VPC IPv6デュアルスタック — IPv6アドレス設計と移行パターン
VPCのIPv6デュアルスタック設定、Egress-Only Internet Gateway(IPv6専用)、IPv4のみのリソースとの共存、IPv6 CIDRブロックの割り当て、セキュリティグループとNACLのIPv6対応を解説。
VPCピアリング vs Transit Gateway — スケール・コスト・ルーティングの違い
VPCピアリングとTransit Gatewayのアーキテクチャの違い、推移的ルーティング問題、スケーラビリティ、コスト比較、マルチアカウント構成での使い分けを解説。
Site-to-Site VPN vs Direct Connect — 可用性・速度・コスト・セキュリティ比較
オンプレミスとAWSを接続するSite-to-Site VPNとDirect Connectの詳細比較、Direct Connect Gateway、Transit VIF、VPN + DXの冗長構成、帯域幅オプションを解説。
AWS WAF ルール設計 — マネージドルール・カスタムルール・レート制限・ログ分析
AWS WAFのルールグループ、AWSマネージドルールセット、レートベースルール、地理的制限、ボット制御、IPセット管理、CloudFront/ALBとの連携パターンを解説。