【AWS Certified Cloud Practitioner】AWS環境の作り方と運用の基本：マルチアカウント、CLI/SDK、VPN、IaC（CloudFormation）を整理

この記事で扱う範囲（AWS Certified Cloud Practitioner向け）

AWS Certified Cloud Practitioner（CLF-C02）では、個別サービスの深い設計よりも「AWS環境を安全に・再現性高く作り、運用するための基本概念」を理解しているかが問われます。この記事では、試験で頻出になりやすい以下の軸を、初学者でも混乱しにくい順に整理します。

• AWSアカウントの分け方（単一/マルチアカウント）とガバナンス（Organizations / SCP）
• AWSの操作手段（マネジメントコンソール / AWS CLI / AWS SDK）
• ネットワーク接続の基本（Site-to-Site VPN / Client VPN）
• 自動構築の基本（IaC / CloudFormation、スタックの考え方）
• 上位レイヤーの自動化（Elastic Beanstalk / Service Catalog）

公式の試験ガイド（出題範囲の前提）は次を参照してください：https://d1.awsstatic.com/ja_JP/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf

1. AWSアカウント運用：単一アカウント vs マルチアカウント

用語ミニ定義

• AWSアカウント：AWS利用の基本単位。課金、権限、リソース管理の境界になりやすい。
• マルチアカウント：用途（本番/開発/セキュリティ/ログ保管など）ごとにアカウントを分けて運用する考え方。

単一アカウント運用（最初は分かりやすい）

学習・個人検証の段階では、1アカウント内にすべてのリソースを置く形が分かりやすいです。一方で、環境が大きくなるほど「本番と開発が混ざる」「請求や監査の境界が曖昧になる」などの課題が出やすくなります。

マルチアカウント運用（ガバナンスと安全性を高める）

現場の運用でよくある例は次のような分割です。

• prod：本番
• dev：開発
• security：セキュリティ集中管理（例：統制や監査向け）
• log-archive：ログ保管（監査証跡の集約）

マルチアカウントは「事故の影響範囲を小さくする」「請求や監査を整理しやすくする」目的で採用されます。AWS公式では、複数アカウントの集中管理とガバナンスを支援するサービスとしてAWS Organizationsが説明されています：https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_introduction.html

2. OrganizationsとSCP：複数アカウントを“上から”統制する

用語ミニ定義

• AWS Organizations：複数アカウントを階層（ルート/OU）でまとめ、ガバナンスや請求の簡素化などを支援する仕組み。
• OU（Organizational Unit）：アカウントをグルーピングする箱。
• SCP（Service Control Policy）：組織内アカウントに対して「最大許可（ガードレール）」を定義するポリシー。

SCPは「できることの上限（天井）」を決める

SCPは、Organizations配下のアカウントに対して、IAMユーザー/ロールが利用できる権限の上限を一元管理するための仕組みとして説明されています：https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html

IAMポリシーとの関係（試験で混乱しやすいポイント）

IAMポリシーは「このユーザー/ロールに何を許可するか」を定義します。一方、SCPは「組織として絶対に超えさせない上限」を定義します。IAM側で許可しても、SCP側で禁止されていれば実行できません。IAMのポリシー種類や評価の概念は次を参照してください：https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies.html

例：開発OUには強い制約をかける

例えば「開発アカウントでは特定のリージョン利用を禁止」「監査ログ関連の削除を禁止」など、組織の方針に沿って“やってはいけない操作”を上から抑えるのが典型です。試験では「複数アカウントに対して中央から権限の上限を制御するのはどれか？」という形で問われやすいです（答え：SCP）。

3. AWSの操作手段：コンソール / AWS CLI / AWS SDK

AWSは同じ操作でも入口が複数あります。CLF-C02では「どれが何のための手段か」を押さえるのが重要です。

(1) AWSマネジメントコンソール（GUI）

ブラウザで操作する管理画面です。学習の初期は、リソースの関係性（VPC、サブネット、セキュリティグループなど）を視覚的に理解しやすいのが利点です。

(2) AWS CLI（コマンドライン）

AWS CLIは、AWSサービスを一貫したコマンド体系で操作できる公式ツールです。繰り返し作業の自動化（スクリプト化）や、運用手順の標準化に向きます：https://docs.aws.amazon.com/ja_jp/cli/

「試験的なポイント」としては、GUIではなくCLIで操作する選択肢があること、そして“同じAWS操作でも複数の方法がある”ことを理解しておくことです。

(3) AWS SDK（プログラムから操作）

AWS SDKは、各言語（Python/Java/JavaScriptなど）からAWS APIを呼び出すためのライブラリ群です。例えば「毎日S3バケット一覧を取得してレポート化する」「設定を点検して通知する」など、アプリやバッチ処理に組み込みやすいのが特徴です。SDK全般の公式リファレンス概要は次を参照してください：https://docs.aws.amazon.com/ja_jp/sdkref/latest/guide/overview.html

4. VPN：オンプレミス/端末からAWSへ安全に接続する基本

Site-to-Site VPN（拠点ネットワークとAWSをつなぐ）

AWS Site-to-Site VPNは、オンプレミスのネットワーク機器（ルータ等）とVPCを、暗号化されたトンネルで接続する方式です。概要は次の公式ドキュメントで説明されています：https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPC_VPN.html

例：社内ネットワークにあるサーバーと、AWS上のEC2/RDSをプライベートに相互接続したい。

Client VPN（個人端末からAWSへ“リモート接続”）

AWS Client VPNは、クライアント端末（PC等）からVPNクライアントを使ってAWSリソースやオンプレミスへ安全にアクセスするマネージドVPNです：https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/what-is.html

例：在宅勤務の利用者が、社内/クラウドのプライベートサブネットに安全にアクセスしたい。

5. IaC（Infrastructure as Code）とCloudFormation：自動構築の基本

CloudFormationとは

AWS CloudFormationは、テンプレート（JSON/YAML）でAWSリソースの構成を定義し、繰り返し・予測可能にプロビジョニングするサービスです：https://docs.aws.amazon.com/ja_jp/cloudformation/

超重要：テンプレートとスタック

• テンプレート：作りたい構成の設計図（例：VPC、サブネット、EC2、セキュリティグループ）。
• スタック（Stack）：テンプレートを実行して作られたリソース一式をまとめて管理する単位。

この「テンプレート → スタック → リソース一式」という流れを押さえると、試験でのIaC系の問題が一気に解きやすくなります。CloudFormationの概要説明（英語）ですが、定義が端的です：https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html

例：同じ検証環境を何度でも作る

「検証用に“同じネットワーク＋同じEC2構成”を毎回用意したい」場合、手作業（GUI）だとミスや差分が出ます。CloudFormationならテンプレートを使って同じ構成を反復作成でき、変更も差分として管理しやすくなります。

6. Elastic Beanstalk：Webアプリのデプロイを“まとめて簡単に”

AWS Elastic Beanstalkは、コードをデプロイすると、必要なAWSリソース（例：EC2のプロビジョニング、ロードバランシング、ヘルスチェック、スケーリングなど）をまとめて用意・運用しやすくするサービスです：https://docs.aws.amazon.com/ja_jp/elasticbeanstalk/latest/dg/Welcome.html

試験での押さえ方：IaC（CloudFormation）は“インフラ構成をコードで再現する”のに対し、Elastic Beanstalkは“アプリ運用を楽にするためにインフラの多くを抽象化する”方向性です。

7. Service Catalog：承認済みテンプレートを組織で配布する

AWS Service Catalogは、組織内で使用を承認したITサービス（例えばCloudFormationテンプレート等）をカタログ化し、利用者がセルフサービスで展開できるようにする仕組みです：https://docs.aws.amazon.com/ja_jp/servicecatalog/

例：「標準VPC」「標準EC2（タグ必須、特定インスタンスサイズのみ）」などを“商品”として用意し、利用者はカタログから選んで作成する。勝手に危険な構成を作らせにくくできます。

8. 直前チェック：よくある設問パターン（暗記より“使い分け”）

• 複数アカウントを集中管理し、ガバナンスを適用する：AWS Organizations
• 組織全体で「権限の上限（ガードレール）」を設定する：SCP
• ブラウザで操作する管理画面：AWSマネジメントコンソール
• コマンドでAWSを操作・自動化する：AWS CLI
• プログラムからAWS APIを呼び出す：AWS SDK
• オンプレ拠点ネットワークとVPCをVPN接続：Site-to-Site VPN
• 端末からAWSへリモートアクセス用VPN：AWS Client VPN
• インフラ構成をテンプレートで自動作成（IaC）：AWS CloudFormation
• Webアプリのデプロイ/スケーリング等をまとめて簡単に：Elastic Beanstalk
• 承認済み構成をカタログ配布しセルフサービス化：AWS Service Catalog

参考（公式一次情報）

• AWS Certified Cloud Practitioner（試験概要）：https://aws.amazon.com/certification/certified-cloud-practitioner/
• CLF-C02 試験ガイド（PDF）：https://d1.awsstatic.com/ja_JP/training-and-certification/docs-cloud-practitioner/AWS-Certified-Cloud-Practitioner_Exam-Guide.pdf
• AWS Organizations とは：https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_introduction.html
• SCP（Service control policies）：https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html
• IAMのポリシーとアクセス許可：https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies.html
• AWS CLI ドキュメント：https://docs.aws.amazon.com/ja_jp/cli/
• AWS SDKs & Tools Reference：https://docs.aws.amazon.com/ja_jp/sdkref/latest/guide/overview.html
• Site-to-Site VPN 概要：https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPC_VPN.html
• AWS Client VPN 概要：https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/what-is.html
• AWS CloudFormation ドキュメント：https://docs.aws.amazon.com/ja_jp/cloudformation/
• Elastic Beanstalk（概要）：https://docs.aws.amazon.com/ja_jp/elasticbeanstalk/latest/dg/Welcome.html
• AWS Service Catalog ドキュメント：https://docs.aws.amazon.com/ja_jp/servicecatalog/