スタートアップが、事前にサーバーを購入することなくWebアプリをローンチしたいと考えている。
クラウドはCapExをOpExに転換する — コンピューティングに対し従量課金制で、ハードウェア購入は不要。
理由: 変動費は使用量に応じて増減する。休止中のサーバーに遊休資本が拘束されることはない。
CertLabProAWS Certified Cloud Practitioner
最終確認:2026年5月
CLF-C02 試験で問われるアーキテクチャパターンのスキャン可能なリファレンス。上から順に読むか、セクションへジャンプ。
スタートアップが、事前にサーバーを購入することなくWebアプリをローンチしたいと考えている。
クラウドはCapExをOpExに転換する — コンピューティングに対し従量課金制で、ハードウェア購入は不要。
理由: 変動費は使用量に応じて増減する。休止中のサーバーに遊休資本が拘束されることはない。
セールイベント中にワークロードが急増し、夜間はアイドル状態になる。
Elasticity — 需要に応じてリソースを自動的にスケールアップ・ダウンする。実行中のものに対してのみ支払う。
理由: Scalability(最大容量)とは異なる。Elasticityは双方向かつ自動的である。
チームは長期的なコミットメントなしにMLサービスを試したいと考えている。
クラウドアジリティ — 数分でプロビジョニングし、完了したら終了する。資本リスクはない。
なぜクラウドコンピューティングは自分で実行するよりも安価なのか?
規模の経済 — AWSは何百万もの顧客からの需要を集約する。ボリュームが増えるにつれて単位あたりのコストが低下する。
「念のため」サーバーを過剰にプロビジョニングしたり、ピーク時に不足したりするのをやめる。
クラウドでは、必要なものを正確にプロビジョニングし、オンデマンドでスケールし、即座に廃止できる。
理由: アイドル状態のハードウェアに費用を浪費したり、障害のリスクを冒したりする容量計画の賭けをなくす。
各国にデータセンターを構築することなく、グローバルにデプロイしたい。
クラウドでは、RegionとEdge Locationを介して数分でグローバル展開できる。施設建設は不要。
デプロイする場所を選択する:障害分離のための物理的な分離 + 低いクロスゾーンレイテンシー。
Region = 地理的区分(例: `us-east-1`)。Availability Zone = Region内の分離されたデータセンターグループ(Regionごとに3つ以上)。
理由: マルチAZ設計はデータセンター障害を乗り越える。同じRegion内ではAZ間のレイテンシーが低い(1桁ミリ秒)。
世界中のエンドユーザーの近くでコンテンツをキャッシュする。
CloudFront Edge Location + リージョナルエッジキャッシュ。世界中に600以上のPOPがある。
理由: エッジは最も近いPOPから静的コンテンツを提供し、オリジンRegionへの往復よりもレイテンシーを削減する。
Regionでカバーされていない都市部で1桁ミリ秒のレイテンシーが必要。または5Gキャリアエッジにデプロイしたい。
一般的な低レイテンシーにはAWS Local Zones(Regionの都市部拡張)。5GモバイルエッジのユースケースにはAWS Wavelength。
オンプレミスでAWS APIとサービスを実行する必要がある(コンプライアンス、レイテンシー、データレジデンシー)。
AWS Outposts — データセンター内にあるフルマネージドのAWSラック/サーバー。クラウドと同じAPI。
デプロイモデルを選択する:オールクラウド、オンプレミスのみ、または組み合わせ。
Cloud(完全なAWS)、Hybrid(Direct Connect/VPN/Outposts経由で接続されたクラウド + オンプレミス)、On-prem(クラウドなし)。
安全で、信頼性が高く、高性能で、費用対効果が高く、持続可能で、運用上健全なワークロードを設計する。
6つのWell-Architectedの柱:運用の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化、持続可能性。
理由: これらの柱は、AWSの設計チェックリストの規範である。信頼性 = 障害から回復し、需要に応じてスケーリングする。持続可能性(2021年追加) = 環境への影響を最小限に抑える。
ワークロードは、最小限のダウンタイムでAZ障害を乗り越える必要がある。
マルチAZ設計 — ロードバランサーの背後で2つ以上のAZにデプロイする。データベースにはRDS Multi-AZ。
「Fault-tolerant」と「Highly available」を区別する。
HA = 障害から迅速に回復する(多少のダウンタイムがあり、パッシブレプリカを使用する場合がある)。Fault-tolerant = 知覚できるダウンタイムなし、冗長コンポーネントがライブで実行される。
理由: HAはより安価。Fault-tolerantは重複したアクティブな容量を必要とする。SLAとコストで選択する。
誰が何を保護するか — AWS対顧客。
AWS = クラウドのセキュリティ (ハードウェア、ハイパーバイザー、リージョン、マネージドサービスのパッチ適用)。顧客 = クラウド内のセキュリティ (データ、IAM、KMSキー、ネットワーク構成、EC2上のOSパッチ適用、アプリケーション構成)。
理由: 境界はサービスによって異なる:EC2 = 顧客がOSをパッチ適用する。RDS = AWSがDBエンジンをパッチ適用し、顧客がユーザーとデータを管理する。S3 = AWSがインフラを処理し、顧客がバケットポリシーとオブジェクトを処理する。
root認証情報を共有することなく、開発者にAWSリソースへのアクセスを許可する。
IAMユーザー(個人ごと)、グループ(ロールのバンドル)、ロール(サービスまたはフェデレーテッドIDによって引き受けられる)、ポリシー(JSON権限ドキュメント)。
理由: 人間とワークロードの両方において、長期的なアクセスキーよりもロールと一時的な認証情報が推奨される。
初日からAWSセキュリティのベストプラクティスに従うアカウントを設定する。
rootをロックダウンする(MFA、プログラムによるキーなし、請求/アカウントタスクのみに使用)。IAMユーザーとグループを作成し、すべての人間ユーザーにMFAを有効にし、最小限の権限を付与し、長期的なキーよりもロールを優先し、認証情報をローテーションする。
権限はどこにアタッチできるか?
IDベース(ユーザー/グループ/ロールにアタッチ)、リソースベース(S3バケット、KMSキー、SQSキュー、Lambda関数にアタッチ)、アクセス許可の境界(プリンシパルの最大権限)、SCP(組織全体の最大権限)。
複数のAWSアカウントとSaaSアプリケーションにわたるワークフォースSSOを一元化する。
AWS IAM Identity Center(旧AWS SSO)。既存のIdP(Okta、Entra ID、AD)に接続するか、組み込みディレクトリを使用し、アカウントに許可セットを割り当てる。
組織内のすべてのアカウントが`eu-west-1`および`eu-central-1`外にリソースを起動するのをブロックする。
OUにアタッチされたAWS Organizations Service Control Policy (SCP)。SCPは最大権限を設定し、付与することはできない。
理由: SCPは予防的である — 子アカウントの管理者であっても、これを超えることはできない。
ガードレールがあらかじめ設定されたマルチアカウントランディングゾーンを立ち上げる。
AWS Control Tower — Organizations、IAM Identity Center、Config、CloudTrail、S3ロギング、および事前に構築されたガードレールをオーケストレーションする。Account Factoryはベースライン付きの新しいアカウントをプロビジョニングする。
リソースの設定が社内ポリシーと一致するかを継続的にチェックする。
AWS Config — 時間経過に伴うリソースの状態を記録し、マネージド/カスタムルールに対して評価し、非準拠リソースを表面化し、SSM Automationによる自動修復をサポートする。
AWSアカウントで誰が、いつ、どこから、何をしたかを監査する。
AWS CloudTrail — すべての管理APIコールを記録する。S3/Lambdaのオプションのデータイベント。組織のトレイルはすべてのアカウントを中央のS3バケットに記録する。
侵害されたIAMキー、クリプトマイニングEC2インスタンス、または異常なAPIパターンを検出する。
Amazon GuardDuty — マネージド脅威検出。CloudTrail、VPC Flow Logs、DNSログ、EKS監査ログ、S3データイベント、EBSのマルウェア、RDSログインを分析する。
既知の脆弱性に対してEC2、ECRイメージ、Lambdaを継続的にスキャンする。
Amazon Inspector — 自動化されたCVE + ネットワーク到達可能性スキャン。ECR/Lambdaにはエージェント不要。EC2にはSSMエージェントが必要。
S3バケット内のPII(クレジットカード、SSN、機密情報)を検出する。
Amazon Macie — S3向けのML駆動型機密データ検出。スケジュールされたスキャンとイベント駆動型スキャンを実行し、検出結果をSecurity Hubに報告する。
GuardDuty、Inspector、Macie、IAM Access Analyzer、およびサードパーティツール全体のセキュリティ検出結果を一元的に表示する。
AWS Security Hub — 検出結果を集約し、CIS / PCI-DSS / NISTの自動標準チェックを実行し、クロスアカウント集約をサポートする。
公開WebアプリをSQLインジェクション/XSSから保護し、DDoS攻撃を吸収する。
L7のWebエクスプロイトにはAWS WAF(CloudFront / ALB / API Gatewayでのマネージド + カスタムルール)。L3/L4 DDoSにはAWS Shield Standard(無料、常時稼働)+ 高度な攻撃にはShield Advanced + 24時間365日のDRTサポート。
監査とローテーションを伴うAWSマネージドキーを使用して、保存データを暗号化する。
AWS KMS — マネージドCMK(カスタマーマスターキー)、エンベロープ暗号化、自動年間ローテーション、キーポリシー、CloudTrailに記録された使用状況。ほとんどのAWSサービスがネイティブに統合されている。
データベースパスワード、APIキーを保存およびローテーションする。
AWS Secrets Manager — Lambdaによる自動ローテーション、ネイティブRDS統合、きめ細かいIAM。シンプルな非ローテーション設定にはSSM Parameter Store(Standard)を使用する(これは無料。Secrets Managerはシークレットごとに課金される)。
監査人はAWS環境のSOC 2 / ISO 27001 / PCI-DSSレポートを必要としている。
AWS Artifact — AWSコンプライアンスの証明書と契約書(BAAなど)のセルフサービスダウンロード。
ヘルスケアワークロードがHIPAA準拠のAWSサービスを必要としている。
AWSはHIPAA準拠サービスの一覧を公開し、Artifactを介して事業提携契約(BAA)に署名する。PHIにはリストされたサービスのみを使用する。保存時および転送時の暗号化が必要。
アカウントまたは組織外からアクセス可能なS3バケット、IAMロール、KMSキーなどを検出する。
IAM Access Analyzer — どのリソースが外部から到達可能であるかを証明し、意図しないアクセスにフラグを立てる。CloudTrailから最小権限ポリシーを生成する。
AWSと対話する方法を選択する。
Management Console(Web UI)、AWS CLI(ターミナル)、SDK(Python/Java/Goなど、コード内)、CloudShell(認証情報がプリロードされたブラウザベースのシェル)、Infrastructure as Code(CloudFormation, CDK)。
OS、カーネル、カスタムAMI、GPUインスタンスタイプを完全に制御する必要がある。
Amazon EC2 — サイズ変更可能な仮想サーバー。ワークロード(コンピューティング / メモリ / ストレージ / GPU / ARM Graviton)に基づいてインスタンスファミリーを選択する。
サーバーを管理することなく、短時間(15分以内)のイベント駆動型コードを実行する。
AWS Lambda — リクエストごと + GB-秒で課金される。S3、API Gateway、EventBridge、SQSなどによってトリガーされる。
理由: パッチ適用やスケーリングが必要なインフラは不要。コールドスタートと15分の制限があるため、長時間実行されるワークロードには適さない。
AWSでコンテナ化されたワークロードを実行する。
Amazon ECS = AWSネイティブのコンテナオーケストレーター。Amazon EKS = マネージドKubernetes。Fargate = どちらにも対応するサーバーレスコンピューティングバックエンド(管理するEC2なし)。
小規模サイトまたは開発環境向けの、予測可能な月額料金のシンプルなVPSが必要。
Amazon Lightsail — ワンクリックでWordPress / LAMP / Nodeをデプロイできる、バンドル型VPS(コンピューティング + ストレージ + データ転送)。
EC2 + ELB + ASGを自分で構成することなく、Java / .NET / Node / Python Webアプリをデプロイする。
AWS Elastic Beanstalk — EC2、ELB、ASG、RDSをプロビジョニングおよびオーケストレーションするマネージドPaaS。コードをアップロードすると、AWSがプラットフォームを実行する。
11ナインの耐久性を持つ、あらゆる量の非構造化データを保存する。
Amazon S3 — オブジェクトストレージ。バケットはグローバルに名前空間化され、オブジェクトは最大5 TB。ストレージクラスがコストを最適化する。
アクセスパターンに基づいてS3ストレージクラスを選択する。
Standard(頻繁)、Intelligent-Tiering(アクセスに基づいて自動移動)、Standard-IA(低頻度)、One Zone-IA(単一AZ)、Glacier Instant Retrieval(ミリ秒)、Glacier Flexible Retrieval(数分〜数時間)、Glacier Deep Archive(12時間復元、最安)。
EC2インスタンスにアタッチされる永続的なブロックボリュームが必要(OS、DBファイル用)。
Amazon EBS — 1つのEC2にアタッチされるブロックストレージ(io1/io2にはMulti-Attach)。ボリュームタイプはgp3(汎用SSD)、io2(高IOPS SSD)、st1/sc1(スループット/コールドHDD)。
多数のコンピューティングインスタンスにマウントされる共有ファイルシステムが必要。
Amazon EFS — マネージドNFS、マルチAZ、自動スケーリング。Linux向け。Amazon FSx — Windows(FSx for Windows)、Lustre(HPC)、NetApp ONTAP、OpenZFS向けのマネージドファイルシステム。
オンプレミスアプリケーションをローカルキャッシュ付きのS3バックアップストレージにブリッジする。
AWS Storage Gateway — ファイル(NFS/SMB → S3)、ボリューム(iSCSIキャッシュ/保存)、テープ(VTL → S3 + Glacier)。
マネージド型のリレーショナルデータベース(MySQL / PostgreSQL / MariaDB / Oracle / SQL Server)が必要。
Amazon RDS — マネージドエンジン:バックアップ、パッチ適用、Multi-AZフェイルオーバー、リードレプリカ、パラメーターグループ。スキーマ、クエリ、ユーザーは自分で制御する。
より高いスループット、より速いリカバリ、およびマルチリージョンフェイルオーバーを必要とするMySQL / PostgreSQLワークロード。
Amazon Aurora — MySQL/PostgreSQL互換、MySQLのスループットの最大5倍、3つのAZに分散されたストレージ、サブ秒のクロスリージョンレプリケーションのためのAurora Global Database。
あらゆる規模で1桁ミリ秒のキーバリューまたはドキュメントワークロード、スキーマ移行なし。
Amazon DynamoDB — フルマネージドNoSQL。オンデマンドまたはプロビジョニングされたキャパシティ、マルチリージョンアクティブ-アクティブのGlobal Tables、ポイントインタイムリカバリ、自動削除のためのTTL。
TB/PB単位のデータに対して分析SQLを実行する。
Amazon Redshift — ペタバイト規模の分析のためのマネージド型カラムナーデータウェアハウス。Amazon Athena — S3に直接サーバーレスSQL、スキャンされたデータ量に応じて課金。
AWSリソース用の論理的に分離されたネットワークが必要。
Amazon VPC — AWS内の独自のプライベートネットワーク。AZごとのサブネット、ルートテーブル、インターネットゲートウェイ(パブリックアクセス)、NATゲートウェイ(プライベートサブネット → インターネット)、セキュリティグループ(ステートフル)、NACL(ステートレス)。
静的コンテンツと動的コンテンツを低レイテンシーでグローバルに配信する。
Amazon CloudFront — 600以上のEdge Locationを持つCDN。S3、ALB、API Gatewayと統合。エッジロジックにはLambda@Edge / CloudFront Functions。
ヘルスチェックとフェイルオーバールーティングを備えた権威DNS。
Amazon Route 53 — マネージドDNS。ルーティングポリシー:シンプル、加重、レイテンシー、フェイルオーバー、地理位置情報、地理近接性、複数値。
オンプレミスネットワークをAWSにプライベートに接続する。
AWS Direct Connect — 専用の光ファイバーリンク、予測可能なレイテンシー。AWS Site-to-Site VPN — インターネット経由の暗号化されたトンネル、設定がより速い。両方を使用:Direct ConnectのバックアップとしてVPN。
統合サービスを選択する。
Amazon SNS = pub/subファンアウト(多数のサブスクライバー)。Amazon SQS = 再試行機能を備えた疎結合ポイントツーポイントキュー。Amazon EventBridge = スキーマ + フィルタリング + SaaS統合を備えたイベントバス。
AWSリソースのメトリクスを監視し、ログを収集し、しきい値に基づいてアラームを設定する。
Amazon CloudWatch — メトリクス、ログ、アラーム、ダッシュボード、ログクエリ用のLogs Insights、自動化のためのEventBridge統合。
AWSインフラストラクチャをバージョン管理されたテンプレートとして定義する。
AWS CloudFormation — スタックをプロビジョニングおよび更新するJSON / YAMLテンプレート。AWS CDKを使用すると、TypeScript/Python/Java/GoでCloudFormationを作成できる。
EC2フリートにパッチを適用し、コマンドを実行し、設定を保存し、ランブックを自動化する。
AWS Systems Manager — Patch Manager、Run Command、Session Manager(SSH踏み台は不要)、Parameter Store、Automationランブック、Inventory。
サービス全体でコンピューティングリソースを自動的に適切なサイズに調整する。
EC2 Auto Scaling — EC2のASGをスケーリングする。AWS Auto Scaling — EC2、ECS、DynamoDB、Auroraなど全体の統合スケーリングプラン。
EC2 / ECS / Lambdaターゲットにトラフィックを分散する。
ALB — L7 HTTP/HTTPS、パス/ホストルーティング、コンテナ + Lambdaにネイティブ。NLB — L4 TCP/UDP、超低レイテンシー、静的IP。GWLB — インラインのサードパーティセキュリティアプライアンス用。
AWS自体に障害が発生しているかどうかを確認する。
全体的なサービス状況についてはAWS Service Health Dashboard(パブリック)。特定のりソースに影響を与えるイベントについてはAWS Health Dashboard(アカウント内)、API + EventBridge統合あり。
サービス制限を追跡し、引き上げをリクエストする。
AWS Service Quotas — サービスごとのデフォルトおよび適用済みのクォータを表示し、引き上げをリクエストし、制限に近づいたときにCloudWatchアラームと統合する。
AWS向けのコンサルティングパートナーまたはサードパーティソフトウェアを探す。
AWS Partner Network (APN) — コンサルティング + テクノロジーパートナーのディレクトリ。AWS Marketplace — サードパーティのSaaS、AMI、コンテナイメージを購入/デプロイする。
AWSコンソールの質問やビジネスデータに対応する生成AIアシスタント。
Amazon Q Developer — AWSドキュメント / CLI / IDE向けのチャット。Amazon Q Business — Bedrockによってサポートされる回答でエンタープライズデータソースを介してチャット。
EC2の料金モデルを選択する。
オンデマンド(コミットなし、時間料金が最高)。Savings Plans / Reserved Instances(1年または3年のコミット、最大72%オフ)。Spot(最大90%オフ、2分前通知で中断される可能性あり)。Dedicated Hosts(コンプライアンス / BYOL)。
理由: 安定したベースライン → Savings Plans/RI。急増 → オンデマンド。フォールトトレラントなバッチ → Spot。
Savings PlansとReserved Instancesを比較して選択する。
Savings Plans — 柔軟性があり、EC2/Fargate/Lambdaに対して時間あたりのコミット(Compute SP)または特定のインスタンスファミリー(EC2 Instance SP)に適用される。RIs — インスタンス固有で、EC2 / RDS / Redshift / ElastiCache / OpenSearchで機能する。
費用をかけずに試す。
AWS無料利用枠 — 3つのカテゴリ:12ヶ月無料(例:t2.micro 750時間/月)、常に無料(例:Lambdaリクエスト100万回/月、DynamoDB 25GB)、トライアル(Inspector 60日間など)。
デプロイする前に、新しいアーキテクチャの月額コストを見積もる。
AWS Pricing Calculator — サービスごとにリソースをモデル化し、月額と年間の内訳コストを取得し、URL経由で共有する。
AWSの費用が時間の経過とともにどこに使われているかを視覚化する。
AWS Cost Explorer — インタラクティブなチャート、サービス / タグ / リンクされたアカウントでフィルタリング、翌月の予測、Savings Planの推奨事項を提示。
月額費用がしきい値を超える前にアラートを受け取る。
AWS Budgets — コスト / 使用量 / RI / Savings Planの予算をしきい値付きで設定し、Eメール/SNSアラートを受信する。Budget Actionsは自動修復(SCP適用、EC2停止など)を実行できる。
予期せぬコストの急増を早期に検出する。
AWS Cost Anomaly Detection — サービス / リンクされたアカウント / コストカテゴリ / タグに対するMLベースのモニター。費用がベースラインから逸脱した場合にEメール + SNSアラート。
AWSの費用をチーム / プロジェクトにチャージバックする。
コスト配分タグ — 請求コンソールでユーザー定義タグをアクティブ化し、Cost Explorer + CURレポートをタグでグループ化/フィルタリングする。Organizationsでタグポリシーを使用して命名を強制する。
組織内の複数のリンクされたアカウント。
AWS Organizationsによる統合請求 — 単一の支払い者アカウント、集約されたボリュームティア(S3、データ転送)、組織全体でのRI / Savings Planのメリット共有。
AWSサポートプランを選択する。
Basic(無料、アカウント/請求のみ)。Developer(営業時間内のEメール、月額29ドル以上)。Business(24時間365日のチャット/電話、Trusted Advisorの全機能、月額100ドル以上)。Enterprise On-Ramp(月額5,500ドル以上、プールされたTAM、クリティカルSLA 30分)。Enterprise(月額15,000ドル以上、専任TAM、クリティカルSLA 15分、IEM、Well-Architectedレビュー)。
コスト、パフォーマンス、セキュリティ、フォールトトレランス、サービス制限に関するベストプラクティスチェック。
AWS Trusted Advisor。Basic / Developerプランではコアチェック(S3バケット公開、rootにMFA、セキュリティグループ)。Business / Enterpriseプランではすべてのチェックセット + APIアクセス。
専任のAWS連絡担当者とプロアクティブなイベントサポートが必要。
Enterprise Support — 専任のテクニカルアカウントマネージャー(TAM)、ローンチ/移行のためのインフラストラクチャイベント管理(IEM)、Well-Architectedレビュー、運用レビュー。