先日AWS SAPに合格したのでこれだけは抑えておきたい知識について書いてみます

あくまで概要とさらっとした知識を覚えることを目標にしたいので、詳細についてはリンクを貼るので飛んでみてください

試験概要

公式サイトには、受験者の対象としてこのように書いてあります。

• AWS CLI、AWS API、AWS CloudFormation テンプレート、AWS 請求コンソール、AWS マネジメントコンソール、スクリプティング言語、および Windows と Linux 環境についての知識
• エンタープライズの複数のアプリケーションやプロジェクトのアーキテクチャ設計に対し、ベストプラクティスガイダンスを提供する能力、およびビジネスの目標をアプリケーション/アーキテクチャ要件に関連付ける能力
• クラウドアプリケーション要件を評価し、AWS でアプリケーションの実装、デプロイ、プロビジョニングを行うためのアーキテクチャを提案する能力
• 主要な AWS テクノロジー (VPN、AWS Direct Connect など) や継続的なインテグレーション、デプロイプロセスを使用して、ハイブリッドアーキテクチャを設計する能力

何言ってっかさっぱりわかんねえ🌝

要は小難しい設計とかオンプレミスからの移行とかをうまくやれる知識が欲しいってことですわ

つまり何を勉強したらいいの？

ぶっちゃけ知るべき概念やサービスは大量にあります。そしてそれらは学習しても出題されなかったりするので取捨選択が難しいです。

なので今回は出題される確率がかなり高いサービスや知識について短く説明します。

DR戦略

ディザスタリカバリってやつです。リージョンで災害起きた時に復旧できる用意しとけってやつです。

DR戦略というのは4種類あって、参考記事がたくさんあるのでみてみてください

1. バックアップ & リストア (Backup and Restore)

• 特徴: データを定期的にバックアップし、災害時に手動で復旧。
• RTO: 数時間～数日
• RPO: 数時間
• コスト: 最も低い

---

2. パイロットライト (Pilot Light)

• 特徴: コアリソース（DB等）を常時稼働、必要時に他を起動。
• RTO: 数十分～数時間
• RPO: 数分～数時間
• コスト: 低～中

---

3. ウォームスタンバイ (Warm Standby)

• 特徴: 小規模な本番環境を常時稼働し、災害時に拡張。
• RTO: 数分～1時間
• RPO: 数分
• コスト: 中～高

---

4. マルチサイト (Multi-Site)

• 特徴: 複数リージョンで完全な冗長環境を稼働。即時切り替え可能。
• RTO: ほぼゼロ
• RPO: ほぼゼロ
• コスト: 最も高い

DR戦略に関しては、RPOとRTOが問題文中に必ずあるはずなので、それに応じてどういった形式を選ぶか判断しましょう。

しなみにRPOとRTOが長いやつはAWS Backupを使用し、短いやつはRoute53のフェイルオーバールーティングかレイテンシーベースのルーティング(アクティブ/アクティブ)を使いがちです。

マルチアカウント(Control TowerとSCP)

大量のAWSアカウントを一元管理してえみたいな要件の問題は必ず聞かれます。

詳しい解説はこちら

少し話が逸れますが、SCPとIAMポリシーでは適用対象やリソースレベルでの制御に違いがあるのでここら辺も抑えときましょう。

Control Tower

• 概要
  AWSアカウントを一元管理し、ガードレール（安全基準）を設定するためのサービス。複数のAWSアカウントを簡単に作成し、標準化されたセキュリティと運用ルールを適用できます。
• 特徴:
  • AWS環境を「ランディングゾーン」という標準アーキテクチャでセットアップ。
  • 組織内の新規アカウント作成時に、セキュリティやコンプライアンス基準を自動適用(例: EBSボリュームを強制的に暗号化する)。
  • ガードレールを通じて、設定ミスやポリシー違反を防ぐ。
  • 検出コントロールと予防コントロールの違いが出たりする（検出は違反をアラートするだけ、予防はそもそもポリシー違反行為を実行させない）

---

SCP（サービスコントロールポリシー）

• 概要
  AWS Organizations の機能で、アカウントやOU（組織単位）単位でサービスの利用を制限するためのポリシー
• 特徴:
  • IAMポリシーより上位で動作し、管理者権限（rootアカウント）でも制限を適用可能。
  • 例: 「特定のリージョンでリソースを作成できないようにする」「S3だけ許可し、他のサービスはすべて禁止する」。
  • 複数のAWSアカウントのセキュリティ強化や、ガバナンス維持に利用される。
  • リソースレベルの制御は不可（例: 特定のS3バケットへのアクセス制限）(これ結構大事)

特にSCPがよく出題されます。

問題文の中からの判断としてどの範囲のアカウント群に対して何を制限したいのか判断するようにしましょう。

移行系ツール

まわりくどいことは言わずに先に答えを載せときます。ここら辺も抑えといてください。
Application Discovery ServiceおよびMigration Hub(この2つは大体セットになります)

Database Migration Service(DMS)およびSchema Conversion Tool(SCT)

DatasyncとSnowball Edgeの使い分け

Application Discovery Service

• 特徴:
  • オンプレミス環境のサーバー情報（CPU、メモリ、ネットワーク使用状況など）を収集し、依存関係を可視化。

---

AWS Migration Hub

• 特徴:
  • 移行プロジェクトを一元管理するサービス。
  • 移行状況を可視化し、複数の移行ツール（例: Server Migration Service, Database Migration Service）と連携可能。

---

なぜセットで使いやすいのか

• Application Discovery Service で収集したサーバーやアプリケーションの情報をMigration Hubに統合し、
  移行計画の策定から進捗管理まで一元化できる。
• 移行対象の依存関係やリソース利用状況を事前に把握することで、リスクを最小限に抑えた移行が可能となる。

Application Migration ServiceとMigration Serviceの詳細な説明についてはこちら

DMS（Database Migration Service）

• 特徴:
  • データベース移行を行うサービス。
  • 異なるDBエンジン間（例: Oracle → Amazon Aurora）や同一DB間の移行をサポート。
  • 移行中もソースDBを稼働させたまま移行（ダウンタイムを最小化できる）。

---

AWS SCT（Schema Conversion Tool）

• 特徴:
  • 異なるデータベース間でスキーマ（テーブル構造やストアドプロシージャ等）を自動変換するツール。

---

なぜセットで使いやすいのか？

• SCT は移行前にスキーマやコードの変換を担当し、ソースとターゲットDB間の非互換部分を解消します。
  • 例: OracleのPL/SQL → PostgreSQLのPL/pgSQLへ変換
• DMS は変換済みのDBスキーマに対してデータの移行を行います。
• 組み合わせの流れ : SCT でスキーマ変換 → DMS でデータ移行

SCTとDMSの説明や使い分けはこの記事がわかりやすかったです。ただし、スキーマ間の変換が必要ない場合はSCTは使わないので注意。

AWS DataSync

• 特徴:
  • 継続的なデータ移行や同期に適したサービス。
  • オンプレミスからAWSストレージ（S3、EFS、FSx）へのデータ移動を高速化。
  • ネットワーク経由でデータを転送し、データの変更を定期的に同期可能。
• 用途:
  • 大容量データの継続的な移行や定期的なデータ同期。
  • データレプリケーションやクラウド移行時の継続的更新。

---

AWS Snowball

• 特徴:
  • 単発のデータ移行に適した物理デバイスを使ったサービス。
  • 大容量データ（数TB～PB規模）を専用デバイスに保存し、物理的にAWSへ送付して移行。
  • オンライン転送がしにくい環境（低帯域・オフライン環境）での利用に最適。
• 用途:
  • 一度きりの大規模データ移行やオフライン環境でのデータ転送。
  • データセンター移行やバックアップデータのAWSへの取り込み。

---

違いと使い分け

特徴	AWS DataSync	AWS Snowball
移行タイプ	継続的なデータ移行・同期	単発の大容量データ移行
転送方法	ネットワーク経由	物理デバイスを使用
適したシナリオ	頻繁なデータ同期やレプリケーション	オフライン環境、大規模データの単発移行
データ容量	中～大規模	大規模（数TB～PBレベル）
環境依存	ネットワーク帯域に依存	ネットワーク帯域に依存しない

---

この2つに関してはセットで使われることはまずありません。

重要なのは、DataSyncは継続的なデータ移行向き、Snowballは単発でのデータ移行に向いているということです。

この記事を参照してください。特にTransfer for SFTPとStorage Gatewayもよく出るから抑えといてネ

ネットワーク

Direct ConnectとTransit Gatewayを使ったオンプレミスとAWS環境の通信や、大量のVPCのハブとなるネットワーク設定についても知っておきましょう

AWS Direct Connect

• 特徴:
  • オンプレミスとAWSを専用線で接続するサービス。
  • 安定した低遅延かつ大容量のネットワーク帯域を提供。
  • インターネットを介さずに安全な接続が可能。
• ユースケース:
  • 高帯域幅が必要なデータ転送（例: ハイブリッドクラウド構成）。
  • 安定性や低遅延が求められる通信（例: リアルタイムアプリケーション）。
  • データセンターやオフィスネットワークからAWSへの専用接続。

---

AWS Transit Gateway

• 特徴:
  • 複数のVPCやオンプレミスネットワークを一元的に接続・管理するハブ型ネットワークサービス。
  • 各VPC間やVPN接続、Direct Connectとの統合が可能。
  • ネットワーク構成をシンプルにし、運用負荷を軽減。
• ユースケース:
  • 複数VPCを持つ大規模環境のネットワーク一元管理。
  • オンプレミスとAWSの複数VPC間の通信を最適化。
  • Direct Connectと組み合わせて、ハイブリッドクラウドの接続ハブとして利用。

---

この辺は図で覚える方が良きです。

Direct ConnectはオンプレミスとAWSの専用接続を高帯域で提供し、Transit Gatewayは多数のVPCとの専用接続をハブとして提供し一元管理をします

そしてこの2つはTransit VIFとDirect Connect Gatewayを使用してオンプレミスから異なるリージョン間での接続に使ったり、組み合わせることもできます。

どうやって勉強しようかな

とりあえず出題されやすい傾向のサービスをここまで紹介しましたが実際に問題を解かないと多分受かりません。

自分はCloud Licenseの模擬試験的なやつで平均8割を安定して取れるまで勉強しました。他にUdemyや書籍も頑張りましたが正直な話、これだけでよかったと今なら思います。

問題と解説を読んで理解できるものはきちんと理解して点数を落とさないようにしましょう

もしも

問題と解説を読んでも理解できないことが結構な頻度でありました。

そういう時は問題と答えを暗記するつもりでやってしまえばOKです。言い方は悪いですが脳死で選ぶ的な感じです。

実際これでも点数自体は取れます。(AWS SAPに受かるという目標においてはこれで良いかもしれん)

最後に

自分はかなり遠回りして無駄足ばかり踏んで多大な時間をかけてしまったので、ここに書いてあることをざっと理解して、あとはCloud Licenseで問題をいっぱい解けば割と短い期間で簡単に受かると思います。

これからもこういう試験対策系の記事を書いたりしますネ