AWS認定試験(AWS Certified Cloud Practitioner)で重要な「監視・監査・統制」
AWS Certified Cloud Practitioner(CLF-C02)では、AWSの主要サービスを「目的別に正しく使い分ける」ことが頻出です。特に、運用・セキュリティ・ガバナンスに関わるサービスは、名称が似ていて混同しやすいため、試験前に整理しておく価値が高い領域です。
試験範囲やドメイン構成は公式の試験ガイドで確認できます(参考:https://d1.awsstatic.com/ja_JP/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf)。
4サービスの役割を一枚で理解する
ここで扱う4つは、いずれも「見える化」に関係しますが、見ている対象が異なります。まずは差分をテーブルで押さえます。
| サービス | 何を記録/監視する? | 試験での典型キーワード | 代表的な利用シーン |
|---|---|---|---|
| Amazon CloudWatch | メトリクス/ログ/アラーム(稼働状況・性能) | メトリクス、ログ、アラーム、ダッシュボード | CPU高騰やエラー増加の検知、ログ集約、通知 |
| AWS CloudTrail | AWS操作履歴(誰が・いつ・何をしたか) | APIコール、イベント、監査、ガバナンス | 不正/誤操作の追跡、監査証跡、原因調査 |
| AWS Config | リソース設定の状態と変更履歴(設定ドリフト) | 構成履歴、評価、ルール、コンプライアンス | 「設定が正しいか」を継続チェック、違反検知 |
| AWS License Manager | ソフトウェアライセンスの割当/追跡(契約遵守) | ライセンス管理、BYOL、追跡、上限 | 商用ソフトのライセンス超過リスクの抑制 |
Amazon CloudWatch:稼働状況(体調)を監視する
Amazon CloudWatchは、AWS上のリソースやアプリケーションの状態を、主にメトリクス(数値の時系列データ)とログとして集約し、アラームで通知できるサービスです。
用語ミニ定義(試験で混乱しやすい)
- メトリクス:CPU使用率、リクエスト数、エラー数などの数値データ
- ログ:アプリ/OS/サービスが出力するテキストの記録(例:エラーログ)
- アラーム:メトリクスが閾値を超えたら通知する仕組み
試験で押さえるポイント
- 「障害に気づく」「性能劣化を検知」はCloudWatchが第一候補。
- CloudWatchは“操作ログ(誰が何をした)”ではなく、主に“稼働・性能”の監視。
例(シナリオで覚える)
- EC2のCPU使用率が高い → CloudWatchメトリクスで監視し、閾値でアラーム通知
- アプリのエラーが増えた → CloudWatch Logsに集約し検索・分析
公式ドキュメント:https://docs.aws.amazon.com/cloudwatch/
AWS CloudTrail:「誰が・いつ・何をしたか」を監査する
AWS CloudTrailは、AWSアカウント内で発生した操作(AWS Management Console / CLI / SDK / API)をイベントとして記録するサービスです。セキュリティ監査や原因調査の要になります。
試験で押さえるポイント
- 「誰がS3をパブリックにした?」「いつIAMポリシーが変更された?」→ CloudTrail。
- CloudTrailはアクション(操作)の記録。CloudWatchは状態(メトリクス/ログ)の監視。
例(シナリオで覚える)
- セキュリティグループが突然変更された → CloudTrailで変更を行った主体と時間を追跡
- 想定外のリソース削除が起きた → CloudTrailイベントで削除API呼び出しの履歴を確認
公式ドキュメント:https://docs.aws.amazon.com/cloudtrail/
サービス概要(監査/ガバナンスの位置づけ):https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
AWS Config:設定の正しさ(コンプライアンス)を継続評価する
AWS Configは、AWSリソースの設定状態と変更履歴を継続的に記録し、「ルールに準拠しているか」を評価できるサービスです。CloudTrailが“操作ログ”なら、Configは“設定の結果としての状態”を扱うイメージです。
試験で押さえるポイント
- 「設定がポリシーに準拠しているか」を継続的にチェック → AWS Config。
- 「何が起きたか(操作)」はCloudTrail、「現在/過去の設定がどうだったか」はConfig。
例(シナリオで覚える)
- S3バケットがパブリックになっていないか継続監視したい → Configルールで評価
- 暗号化が必須のリソースで暗号化が外れたら検知したい → Configで違反を検出
公式ドキュメント:https://docs.aws.amazon.com/config/
サービスページ(位置づけの確認):https://aws.amazon.com/config/
AWS License Manager:ライセンス遵守を“見える化”する
AWS License Managerは、商用ソフトウェアのライセンスをアカウント/組織横断で追跡し、超過などのリスクを抑えるための管理サービスです。性能監視ではなく、契約遵守(ライセンスコンプライアンス)の観点で問われやすい領域です。
試験で押さえるポイント
- 「BYOL(Bring Your Own License)の管理」「ライセンスの追跡」→ License Managerが候補。
- 監視の目的は“システムの体調”ではなく、“利用権の超過防止”に寄る。
例(シナリオで覚える)
- 商用DBやOSライセンスの利用数を把握し、上限超過を避けたい → License Managerで追跡
- 複数アカウントにまたがるライセンス状況を一元的に見たい → 組織レベルで管理
公式ドキュメント:https://docs.aws.amazon.com/license-manager/
サービス概要:https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html
試験でよくある“混同”の整理(ここだけ覚える)
- CloudWatch:稼働状況・性能・ログ(メトリクス/ログ/アラーム)
- CloudTrail:操作履歴(誰が・いつ・何をした)=監査証跡
- Config:設定状態と変更履歴(準拠しているか)=コンプライアンス
- License Manager:ライセンスの割当・追跡(超過防止)=契約遵守
直前チェック(5問で自己診断)
- 「CPUが高いので通知したい」→ CloudWatch
- 「誰がIAMポリシーを変更したか知りたい」→ CloudTrail
- 「S3が公開設定になっていないか継続評価したい」→ Config
- 「商用ソフトのライセンス超過を防ぎたい」→ License Manager
- 「操作(原因)と設定(結果)を切り分けられる?」→ CloudTrail(原因)/ Config(結果)
参考(公式)
- CLF-C02 試験ガイド(日本語PDF):https://d1.awsstatic.com/ja_JP/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf
- AWS Certified Cloud Practitioner 公式ページ:https://aws.amazon.com/jp/certification/certified-cloud-practitioner/
- Amazon CloudWatch ドキュメント:https://docs.aws.amazon.com/cloudwatch/
- AWS CloudTrail ドキュメント:https://docs.aws.amazon.com/cloudtrail/
- AWS Config ドキュメント:https://docs.aws.amazon.com/config/
- AWS License Manager ドキュメント:https://docs.aws.amazon.com/license-manager/