【AWS】SAA とは 出題要点/用語整理メモ

※注意本ブログは現在作成中・追記中に付き未完の状態であることをご了承ください。
 最終更新:2026/7/11

1.はじめに

本投稿はAWS SAA(Certified Solutions Architect)の以下の方向けの記事です。

  • AWS SAAの資格勉強中の方
  • 過去取得したが、有効期限延長のために再受験を検討中の方
  • AWSの資格には興味がないが、AWSを業務/個人で利用の予定がある方

特にAWS SAAはAWSサービスの特徴を幅広く学習できる資格の位置づけである事から、取得を検討される方も多いはず。本記事ではAWSの初心者向けにも各サービスの要点や用語をまとめた記事となります。短期での受験を検討されている方への一夜漬けにおすすめな内容としています。

章立てについては可能な限り統一性を持たせて執筆していますが、精緻な状態にはなっていないため、多めに見てください。

2.AWS SAAとは

前述のとおりAWS SAAは幅広くAWSのサービスならびにアーキテクトに関する考え方を網羅する資格となります。(↓AWS SAA 公式HP)

certified-solutions-architect-associate
カテゴリ、Associate。試験時間、130 分。出題形式、65 個の試験問題 (複数選択または複数回答のいずれか)。コスト、150 USD。
試験コードSAA-C03
出題数65問(択一選択問題または複数選択問題)
試験時間130分
合格ライン720点(1000点中)
受験費用150 USD
受験方法ピアソンVUEテストセンター
有効期間3年

資格受験は公式HPより”試験の予約”と進むことで、最寄りのテストセンターにて気軽に受験可能です。

3.出題要点・用語集

※メモ

1.セキュアなアーキテクト設計

IAM(ポリシー、ロール、最小権限)、多層防御、暗号化(KMS) VPCのセキュリティ(セキュリティグループ vs NACL) 頻出:IAM / KMS / Security Group / WAF / Cognito / S3アクセス制御

2.弾力性・回復性に優れたアーキテクト設計

マルチAZ / マルチリージョン設計、疎結合アーキテクチャ 障害時の自動復旧、バックアップ/DR戦略(RTO/RPO) 頻出:ELB / Auto Scaling / RDS Multi-AZ / SQS / Route 53フェイルオーバー / EFS

3.高性能なアーキテクト設計

要件に合ったコンピューティング・ストレージ・DBの選定 キャッシュとコンテンツ配信、スケーリング戦略 頻出:EC2インスタンス選定 / EBS vs EFS vs S3 / ElastiCache / CloudFront / DynamoDB vs RDS

4.コスト最適化されたアーキテクト設計

料金モデルの使い分け(オンデマンド / リザーブド / スポット / Savings Plans) ストレージクラスの選定(S3のライフサイクル、Glacier) 頻出:S3ストレージクラス / EC2購入オプション / データ転送コスト

3-1.セキュアなアーキテクト設計

IAM(AWS Identity and Access Management)

作成したユーザ(IAM)毎にAWSアカウントおよびサービスへのアクセス権限を制御するサービス

ルートユーザアカウント作成時の初期ユーザ 最高権限保有
IAMユーザ個人やサービスに割り当てるユーザー
IAMロール認証情報を得るための権限群
EC2,Lambda等のサービス毎に存在するプリセット
IAMポリシーIAMロールより詳細に権限を定義できるJSONドキュメント
ユーザー/グループ/ロールにアタッチする
  • 相関図
  • IAMポリシー 補足
    ポリシー内にはJSONでサービスへのアクセスに関する記述がある事がわかる

 ポリシー例:接続元IP200.0.0.0/24からのEC2インスタンスの起動/再起動を許可

{
  "Version": "2012-10-17",     
  "Statement": [
    {
      "Sid": "AllowStartAndRebootFromSpecificNetwork",
      "Effect": "Allow",    ← Allow 許可 Deny 拒否
      "Action": [
        "ec2:StartInstances",  ← EC2インスタンスの起動
        "ec2:RebootInstances"  ← EC2インスタンスの再起動
      ],
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "200.0.0.0/24"   ← 接続元IP 200.0.0.0/24
        }
      }
    }
  ]
}

VPC(Amazon Virtual Private Cloud)

AWSクラウドの論理的に分離されたセクションである仮想ネットワーク内にAWSリソースを起動できるサービス。

サブネットVPC内で利用可能なIPアドレス範囲を分割したもの。アベイラビリティーゾーン(AZ)ごとに作成する。
ルートテーブルサブネットやゲートウェイからのネットワークトラフィックの転送先を指定する経路情報。
インターネットゲートウェイ(IGW)VPCをインターネットと接続させるための機能。1つのVPCに対し1つしか作成できない。
NATゲートウェイプライベートサブネット内のリソースが外部インターネットと通信するために利用する機能。
VPCエンドポイントインターネットゲートウェイやNATデバイスを使用せずに、プライベートにAWSのサービスへ接続できる機能。
セキュリティグループリソース(EC2インスタンス等)単位でインバウンド・アウトバウンドトラフィックを制御する。許可ルールのみ設定可能(ステートフル)
ネットワークACL(NACL)サブネット単位でインバウンド・アウトバウンドトラフィックを許可または拒否する。許可・拒否どちらも設定可能(ステートレス)
VPCフローログVPC内のネットワークインターフェイスとの間で行き来するIPトラフィック情報をキャプチャする機能。

※ステートフル
 通信の復路を追加のルール設定なしに自動的に許可する。
※ステートレス
 往路を復路を、それぞれ個別にルールとして明示的に許可・拒否する必要がある。

AWS VPN

VPN接続にて拠点もしくはクライアントとAWS間を接続するサービス。AWS VPC同士やAWS VPCとオンプレミス環境、AWS VPCとクライアントPCとの接続に利用可能であり、主に下記2サービスがある。

AWS Site-to-Site VPNVPCとVPC以外のネットワーク(オンプレミス拠点など)とのサイト間接続。
AWS Client VPN個々のクライアント端末とVPC間のリモートアクセス接続。OpenVPN互換クライアントがあればアクセス可能

AWS Direct Connect

ユーザ利用の内部ネットワークと標準イーサネット光ファイバケーブルを介してDirect Connectロケーションという接続拠点をリンクし、インターネットを経由せずにAWSへ接続できるようにするネットワークサービス。

Amazon Cognito

Webアプリケーションやモバイルアプリケーションに「認証(Authentication)」「認可(Authorization)」「ユーザー管理」の機能を提供するマネージドサービス。自前でユーザーデータベースやログイン基盤を構築せずに、サインアップ/サインイン機能を実装できる。

KMS(AWS Key Management Service)

AWSが基盤(HSMを含む)を管理する、マネージド型の鍵管理サービス。バックエンドではAWS所有のマルチテナントHSMを使用しているが、ユーザーはそのハードウェアを意識する必要がなく、APIを通じて鍵の作成・管理・利用を行える。

AWS CloudHSM

ユーザー専用(シングルテナント)の物理HSMアプライアンスをクラウド上で提供するサービス。AWSはハードウェアの設置・電源・ネットワークなど物理層の管理は行うが、HSM内部の鍵データそのものにはAWSも一切アクセスできない。

3-2.弾力性・回復性に優れたアーキテクト設計

Route 53

提供するフルマネージド型の DNS(Domain Name System)サービスです。単なる権威 DNS サーバーとしての機能に加え、ドメイン登録、ヘルスチェック、トラフィックルーティングを統合的に提供する。

Route 53 ルーティングポリシー

フェイルオーバーポリシープライマリのヘルスチェックが異常な場合は、セカンダリのIPアドレスを回答
位置情報ルーティングポリシーユーザーの地域固有の言語で表示するために、クライアントの位置情報から対象言語のコンテンツがあるリソースのIPアドレスを回答
レイテンシールーティングポリシーユーザーから最も遅延の少ないリージョンのリソースのIPアドレスを回答
地理的近接性ルーティングポリシーユーザーと地理的に近いリソースのIPアドレスを回答

ELS(AWS Elastic Load Balancing)

単体または複数のAZへアプリケーショントラフィックを自動的に分散する。常に分散先のターゲットをモニタリングし、正常なターゲットのみにトラフィックをルーティングする。

種類動作層用途
ALB(Application Load Balancer)アプリケーション層(レイヤー7)HTTP/HTTPSトラフィック負荷分散
NLB(Network Load Balancer)トランスポート層(レイヤー4)TCP/UDPトラフィックの負荷分散
GWLB(Gateway Load Balancer)ネットワーク層(レイヤー3)ファイアウォール、侵入検知・防止システム、ディープパケットインスペクションなどのサードパーティ製仮想アプライアンスの導入・スケーリング・管理
CLB(Classic Load Balancer)レイヤー4 or 7ALBやNLBでカバーできない特殊なケース。(旧世代の位置づけ)

AWS Auto Scaling

AWSリソース数を設定した閾値に応じて自動的にスケーリング(Scaling)させるサービスの総称。
主以下ターゲットに対してCloudWatchのメトリクスと連動してスケーリングを行う。

  • Amazon EC2 Auto Scaling
  • Amazon Aurora
  • Amazon Elastic Container Service
  • Amazon DynamoDB

Amazon EC2 Auto Scalingポリシー

種別スケーリングポリシー内容
デフォルトスケーリングポリシーやスケジュールされたアクションをアタッチしていない状態。固定
静的手動希望容量(Desired Capacity)の更新およびインスタンスの終了によって調整する
静的スケジュール特定の時刻にグループのリソース容量を増減させる
動的ターゲット追跡CloudWatchメトリクスの値に基づいてリソース容量を増減させ目標値に寄せるよう調整される。例:CPU 利用率30%に向けてON/OFF調整
動的ステップターゲット追跡よりより細かく自動調整し目標に合わせることが可能。例:CPU利用率30%に向けてスロットル調整
動的簡易一定の閾値を超えた場合にリソースを調整させる。
例:CPU利用率が80を超えたらリソース増強
予測過去の負荷データを分析し容量ニーズを予測する
Amazon EC2 Auto Scaling のターゲットトラッキングスケーリングポリシー – Amazon EC2 Auto Scaling
最適なパフォーマンスとコスト効率を実現するために、メトリクスターゲットに基づいて Auto Scaling グループの EC2 キャパシティを自動的に調整するようにターゲット追跡スケーリングポリシーを設定します。

その他設定

ヘルスチェック猶予期間リソース起動から初回ヘルスチェックまでの待機時間

AWS Lambda

サーバーの管理を行うことなくコードを実行できるコンピューティングサービス。Lambda関数という単位でコードを作成し管理を行う。スケールアップとスケールダウンが自動的に実行され、従量課金制の価格設定が適用される。

Amazon API Gateway

REST、HTTP、およびWebSocket APIを作成、公開、維持、モニタリング、およびセキュア化するためのAWSのサービス。API開発者は、AWSまたは他のウェブサービス、AWSクラウドに保存されているデータにアクセスするAPIを作成できる。

  • API Gateway Lambdaオーソライザー
    認証情報を含んだリクエストをLambdaより受付認証する。開発者自身がロジックを作成できるため、APIアクセス制御への柔軟性は高くなる。

Amazon CloudFront

コンテンツ配信ネットワーク(CDN)サービス。世界中に分散配置されたエッジロケーションを通じてコンテンツをキャッシュ・配信し、オリジン(S3やEC2等)への負荷とレイテンシーを低減する。CloudFrontディストリビューションに「エッジ関数」と呼ばれるコードを記述・アタッチすることで、CloudFrontを通過するリクエスト・レスポンスをカスタマイズできる。

3-3.高性能なアーキテクト設計

Amazon S3

オブジェクトストレージサービスです。データを「オブジェクト」という単位で「バケット」に格納します。1オブジェクト当たりの最大サイズは5TB。
補足:ストレージクラス比較表 高価>安価順

クラス価格順(降順)用途可用性AZ構成最低保存期間取り出し時間
Express One Zone1超低レイテンシ・高頻度99.95%1AZなし即時(1桁ミリ秒)
Standard2頻繁アクセス99.99%3AZ~なし即時(ミリ秒)
Intelligent-Tiering3アクセスパターン不明・変動99.9%3AZ~なし即時※アーカイブ階層有効時を除く
Standard-IA4低頻度・即時アクセス必要99.9%3AZ~30日即時(ミリ秒)
One Zone-IA5低頻度・再作成可能なデータ99.5%1AZ30日即時(ミリ秒)
Glacier Instant Retrieval6ほぼアクセスしないが即時取り出し必要99.9%3AZ~90日即時(ミリ秒)
Glacier Flexible Retrieval7アーカイブ。取り出し時間を許容99.99%3AZ~90日Expedited: 1〜5分 / Standard: 3〜5時間 / Bulk: 5〜12時間
Glacier Deep Archive8長期保管99.99%3AZ~180日Standard: 12時間以内 / Bulk: 48時間以内

Amazon DynamoDB

キーバリュー型のデータをサポートするフルマネージド型のデータベースサービスです。大量のアクセスに対応しており、低いレイテンシでの運用が可能。
補足:キーバリュー型について

IDnamecondition
1yamadaA
2tanakaB
3yamamotoA

Amazon FSx for Lustre

HPC(ハイパフォーマンスコンピューティング)、機械学習、動画処理などの計算集約型ワークロード向けに設計された、フルマネージドの高性能ファイルシステム。

AWS Snowball

物理ストレージデバイスを使用して、Amazon S3とオンサイトのデータストレージロケーションの間でデータを転送するサービス。インターネット回線を経由しない物理輸送、帯域幅が制限されている環境や厳しい通信環境にて利用する。(AWSから機器をレンタル)

AWS DataSync

オンラインのデータ移動サービス。データ移行を簡素化し、ファイルやオブジェクトのデータをAWSストレージサービスへ、迅速・簡単・安全に移動する。NFS、SMB等のファイルシステムに幅広く対応。オンプレのハイパーバイザーまたはEC2にエージェントを展開して使用する。

AWS Storage Gateway

オンプレミスとクラウドベースのストレージを接続し、AWSをクラウドストレージとして利用可能とするサービス。低遅延。

ゲートウェイタイプインターフェース概要
S3 File GatewayNFS / SMBオンプレミスからファイル単位でアクセスし、バックエンドはS3バケットにオブジェクトとして格納
Volume GatewayiSCSIブロックストレージとして以下2パターンで提供。
①キャッシュ型ボリューム(Cached Volumes)
 ⇒プライマリデータ:S3
  頻繁にアクセスするデータ:オンプレにキャッシュ
②保管型ボリューム(Stored Volumes)
 ⇒プライマリデータ:オンプレ
  非同期でS3へバックアップ
Tape GatewayiSCSI-VTL(仮想テープライブラリ)仮装テープストレージとしてS3 Glacierへ格納
FSx File GatewaySMBオンプレミスからAmazon FSx for Windows File Serverへの低レイテンシアクセスを提供

Amazon Kinesis Data Streams

ストリーミングデータをリアルタイムに取り込み、一定期間保持し、複数のコンシューマー(消費側アプリケーション)が読み取れる状態で提供するフルマネージドサービス。Data Firehoseが「配送特化」であるのに対し、KDSは「取り込み・保持」を行う。

Amazon MSK(Managed Streaming for Apache Kafka)

オープンソースの Apache Kafka を基盤としたストリーミングデータプラットフォームをフルマネージドで提供するサービス。Kafka クラスタの構築・運用(ブローカーのプロビジョニング、パッチ適用、監視、障害時の交換など)をAWSが代行し、利用者はKafka本来のAPIやツールをそのまま使ってストリーミングデータの発行・購読を行える。

Amazon Managed Service for Apache Flink(旧 Kinesis Data Analytics)

ストリーミングデータをリアルタイムに処理・分析するためのフルマネージドサービスです。JavaやPythonなどのプログラミング言語もサポートされている。

Amazon Data Firehose(旧 Kinesis Data Firehose)

ストリーミングデータをキャプチャし、変換した上で、指定した配信先へ自動的にロードするフルマネージドサービス。Kinesis Data Streamsと異なり、「ストリームを保持・購読する」のではなく、「ストリームを受け取って別の場所へ配送する」ことに特化している。

Amazon Athena

Amazon S3に格納されたデータに対して標準SQLで直接クエリを実行できる、サーバーレスのインタラクティブクエリサービス。事前のデータロードやETL処理、専用クラスタの構築が不要で、S3上のデータをそのまま分析できる点が最大の特徴。

3-4.コスト最適化されたアーキテクト設計

コメント

タイトルとURLをコピーしました