本講座のレビューに関して記載された記事数の「直近6カ月の推移」を以下のグラフにまとめました。
Month | Progress |
---|---|
4月 | |
5月 | |
6月 | 1 |
7月 | 1 |
8月 | |
9月 |
DOP-C02の全ての出題範囲を網羅した実践問題集です。
AWS DOP(AWS Certified DevOps Engineer - Professional)に合格したい方はもちろんのこと、AWSでDevOps エンジニア ロールを担う方の効率的なSDLC、設定管理、デプロイ能力、トラブルシュート能力、セキュリティ能力を向上するために最適なコースです。
更新履歴
2025/2: 演習問題1~3 に対して以下の修正(レビューのフィードバック)を実施しました。
表記ゆれの修正 、問題文と解答を照らし合わせて、問題文側に不足している文章を補足、一部選択肢の表現見直し
古い傾向の問題を削除し、最新の傾向の問題に差し替え
2025/5: 演習問題1について大幅な解説強化を行いました。
2025/8: 演習問題2と3について大幅な解説強化を行いました。
本問題集のサンプル
以下本問題集に収録されている問題サンプルです。ご自身が求めているレベルかを確認してください
問題
企業は、AWS Organizationsを使用して複数のAWSアカウントを管理しています。すべてのAmazon VPC CIDRブロックと、その他の非クラウドインフラストラクチャには特定のIPアドレス範囲が割り当てられています。
企業は、指定された範囲外のIPアドレスを使用するすべてのプリンシパルがAWSアカウントでアクションを実行することをブロックする方法を必要としています。
この要件を満たすには、どのような戦略を取るべきでしょうか?
選択肢
A. AWS Firewall Managerを組織全体に設定し、企業の指定したIPアドレス範囲のみを許可するAWS Network Firewallポリシーを作成して適用します。
B. Organizationsを使用して、企業の指定範囲外のIPアドレスを拒否するService Control Policy(SCP)を作成します。このSCPを組織のルートにリンクします。
C. Amazon GuardDutyを組織全体に実装し、企業のIPアドレス範囲を含む信頼できるIPアドレスリストを作成して有効にします。
D. Organizationsで、企業のIPアドレス範囲内のソースIPアドレスのみを許可するSCPを設計し、このSCPを組織のルートに接続します。
・
・
・
・
・
・
・
・
正解:B
解説:
B: Service Control Policy(SCP)は、AWS Organizationsで管理されるアカウントに対して最大許可ポリシーを定義できるサービスです。SCPでは条件キー「aws:SourceIp」を使用して、特定のIPアドレス範囲外からのAPI呼び出しを明示的に拒否できます。組織のルートに適用することで、配下のすべてのアカウントとOUに対して一貫したIPアドレス制限を実装できるため、要件を完全に満たします。
問われている要件
この問題では、AWS Organizations環境において「指定されたIPアドレス範囲外からのすべてのAWSアクションをブロックする」という要件が問われています。重要なポイントは以下の通りです。
複数のAWSアカウントにまたがる制御が必要
IPアドレスベースのアクセス制御
AWSアカウントでの「アクション」(API呼び出し)の制御
組織全体での一貫した適用
前提知識
Service Control Policy(SCP)について
SCPは、AWS Organizationsで管理される組織単位(OU)やアカウントに適用できる権限制御ポリシーです。SCPはJSON形式で記述され、IAMポリシーと似た構文を使用しますが、動作原理が大きく異なります。SCPは「ガードレール」として機能し、組織内のプリンシパル(ユーザー、ロール、ルートユーザー)が実行できるアクションの最大範囲を定義します。
SCPの重要な特徴として、明示的拒否(Explicit Deny)の概念があります。SCPで「Deny」ステートメントが適用されると、他のどのようなポリシー(IAMユーザーポリシー、ロールポリシー、リソースベースポリシーなど)でも、その拒否をオーバーライドできません。これにより、組織レベルでの確実なアクセス制御が実現できます。
AWS Organizationsの階層構造
AWS Organizationsは階層構造を持ち、最上位にルート、その下に組織単位(OU)、さらにその下に個別のAWSアカウントが配置されます。SCPは継承性を持ち、上位レベルで適用されたSCPは自動的に下位のすべてのエンティティに適用されます。ルートレベルでSCPを適用すると、組織内のすべてのアカウントとOUに対して一律に制御が効きます。
IPアドレス制御の条件キー
AWSでは「aws:SourceIp」という条件キーを使用して、リクエストの送信元IPアドレスに基づく制御が可能です。この条件キーは、AWS Management Console、CLI、SDK、APIを通じたすべてのリクエストで利用できます。CIDR表記(例:192.168.1.0/24)を使用して、IPアドレス範囲を指定できます。
他のサービスとの違い
AWS Firewall ManagerとAWS Network Firewallは、主にOSI参照モデルのネットワーク層(レイヤー3)からアプリケーション層(レイヤー7)でのトラフィック制御を行います。これらは、EC2インスタンス間の通信や、インターネットからVPCへのトラフィックを制御するために使用されますが、AWS APIの呼び出し自体を制御することはできません。
Amazon GuardDutyは、機械学習とルールベースの検出を使用して、アカウント内の悪意のある活動を特定する脅威検出サービスです。GuardDutyは異常なAPIアクティビティを検出してアラートを生成しますが、リアルタイムでのアクセス制御機能は提供しません。
解くための考え方
この問題を解決するための考え方は以下の通りです。
1. 要件の分析 まず、「AWSアカウントでアクションを実行することをブロック」という表現から、AWS APIレベルでの制御が必要であることを理解します。これは、ネットワークトラフィックの制御ではなく、認証・認可レベルでの制御を意味します。
2. 適切なサービスの特定 AWS APIアクションの制御には、IAMポリシーまたはSCPが適しています。複数アカウントにまたがる制御が必要なため、AWS OrganizationsのSCPが最適です。
3. 制御方法の決定 IPアドレスベースの制御には、aws:SourceIp条件キーを使用します。セキュリティの観点から、「許可する範囲を指定」するのではなく、「拒否する範囲を明示的に指定」する方が確実です。
4. 適用範囲の検討 組織のルートレベルでSCPを適用することで、すべての配下アカウントに一貫した制御を適用できます。これにより、新しく作成されるアカウントにも自動的に制御が適用されます。
5. 他選択肢の除外 ネットワークレベルの制御(Firewall Manager)や検出専用のサービス(GuardDuty)は、API制御の要件を満たさないため除外されます。また、明示的な許可のみのSCPは、セキュリティ上不十分であることから除外されます。
参考資料
参考資料
(本編にはリンクが記載されます。)
Service Control Policies (SCPs)
SCPの設定と活用方法についてのガイド。
Managing Access with AWS Organizations
AWS Organizationsを使用したアクセス管理の詳細。
Amazon GuardDuty Overview
GuardDutyの基本情報と使用例。
不正解選択肢の評価
A:AWS Firewall ManagerとAWS Network Firewallは主にネットワークトラフィックレベルでのセキュリティ制御を行うサービスです。これらのサービスは、VPC内外のトラフィックフィルタリングには効果的ですが、AWS APIアクションそのものをIPアドレスに基づいて制御することはできません。今回の要件は「AWSアカウントでアクションを実行することをブロック」であり、AWS Management ConsoleやCLI、SDKを通じたAPI呼び出しの制御が必要なため、ネットワークファイアウォールでは対応できません。
C:Amazon GuardDutyは脅威検出・監視サービスであり、悪意のある活動や異常なアクティビティを検出してアラートを生成します。信頼できるIPアドレスリストは、GuardDuty内で既知の安全なIPアドレスからのアクティビティを除外するために使用されますが、実際にAPIアクションを制御したりブロックしたりする機能はありません。GuardDutyは検出と通知のみを行うため、アクセス制御の要件は満たせません。
D:この選択肢は一見正しそうに見えますが、SCPの動作原理を正しく理解していません。SCPは「最大許可ポリシー」として機能し、明示的に拒否されていないアクションは他のポリシー(IAMポリシーなど)によって許可される可能性があります。単に特定のIPアドレス範囲を許可するだけでは、他のIPアドレスからのアクセスが確実に拒否されるとは限りません。確実にアクセスを制御するには、指定範囲外のIPアドレスを明示的に拒否する必要があります。
DOP-C02の特徴
実践的なシナリオベースの出題です。単にAWSサービスの機能を理解しておくだけでは点数を取ることは難しいです。長文の問題文を読解し、問われている要点を把握することが大切です。また、どのような要件で各AWSサービスを用いればよいのかを説明できるように力をつけておくことが大切です。
本問題集の特徴
DOP-C02の出題形式に沿った本番ライクな問題
全問題に詳細な解説とAWS公式ドキュメントへのリンクを記載
不正解選択肢の理由についての解説
長文の問題文から問われている要点を解説
本コースの特徴を単語単位でまとめました。以下の単語が気になる方は、ぜひ本講座の受講をオススメします。
本講座を受講した皆さんの感想を以下にまとめます。
参考になる受講者の口コミやレビューを以下にまとめます。
・AWS Certified DevOps Engineer - Professional 合格体験記[2025-07-23に投稿]
・【資格】AWS DOPに1発合格しました!!![2025-06-02に投稿]
・AWS Certified DevOps Engineer - Professional (DOP-C02) 合格体験記[2025-01-31に投稿]