AWS認定DevOpsエンジニア - プロフェッショナル (DOP-C02)試験ガイド

序論

AWS認定DevOpsエンジニア - プロフェッショナル (DOP-C02)試験は、DevOpsエンジニアの役割を担う個人を対象としています。この試験では、AWSでの分散システムおよびサービスのプロビジョニング、運用、管理に関する技術的専門知識が検証されます。

この試験では以下のタスクを実行する能力も検証されます:

• AWSでの継続的デリバリーシステムおよび手法の実装と管理
• セキュリティコントロール、ガバナンスプロセス、コンプライアンス検証の実装と自動化
• AWSでの監視、メトリクス、ログシステムの定義とデプロイ
• AWSでの高可用性、スケーラビリティ、自己修復のシステムの実装
• 運用プロセスを自動化するツールの設計、管理、保守

対象候補者の説明

対象候補者は、AWSの環境のプロビジョニング、運用、管理に2年以上の経験を持っている必要があります。また、ソフトウェア開発ライフサイクルや、プログラミング、スクリプティングの経験があることが望ましいです。

推奨される一般的なIT知識と経験

対象候補者は以下のような経験を持っていることが望ましいです:

• 高度に自動化されたインフラストラクチャの構築経験
• オペレーティングシステムの管理経験
• 最新の開発およびオペレーションプロセスと手法の経験

推奨されるAWSの知識と経験

対象候補者は、AWSインフラストラクチャのセキュリティ確保の経験を持っていることが望ましいです。

対象候補者の範囲外のタスク

以下のリストには、対象候補者が実行できると想定されていないタスクが含まれています。このリストは網羅的ではありません。これらのタスクは試験の範囲外です:

• 高度なネットワーキング知識を持つこと (例: 高度なルーティングアルゴリズム、フェールオーバー手法)
• 開発者に対して高度なセキュリティ提案を行うこと
• データベースのパフォーマンスの設計、クエリ、最適化
• フルスタックのアプリケーションコードの開発

付録には、試験に登場する可能性のある技術とコンセプトのリストと、試験の対象範囲内のAWSサービスと機能のリストが記載されています。

試験内容

回答タイプ

この試験には2つのタイプの問題があります:

• 多肢選択: 1つの正解と3つの誤答 (ディストラクタ) があります
• 複数選択: 5つ以上の選択肢から2つ以上の正解があります

質問に対して最適な回答を1つ以上選択してください。ディストラクタとは、知識や技術が十分でない受験者が選択する可能性のある誤答の選択肢です。ディストラクタは一般的に、内容分野に合致する適切な回答オプションです。

回答しない問題は誤答として採点されます。不正解を選択しても減点はありません。試験には得点の対象となる65問の問題が含まれます。

採点対象外の問題

試験には得点の対象とならない10問の問題が含まれています。これらの問題はAWSが将来の採点問題としての適性を評価するために収集する情報を提供するものです。これらの採点対象外の問題は試験で特定されません。

試験結果

AWS認定DevOpsエンジニア - プロフェッショナル (DOP-C02)試験の合否は「合格」または「不合格」で判定されます。この試験は、AWSの専門家がコンサルティング業界のベストプラクティスとガイドラインに従って設定した最低基準に対して採点されます。

試験の結果は100 - 1,000のスケール得点で報告されます。合格点は750点です。得点はあなたの全体的な試験パフォーマンスを示し、合格したかどうかを示します。スケール得点は、難易度がわずかに異なる複数の試験フォームの得点を等値化するのに役立ちます。

あなたの得点レポートには各セクションのパフォーマンス分類が含まれている可能性があります。この試験は相殺方式の採点モデルを使用しており、各セクションで合格点を取る必要はありません。全体の試験に合格すれば合格となります。

各セクションの試験内容の重み付けが異なるため、一部のセクションには他のセクションよりも多くの問題があります。パフォーマンス分類表には一般的な情報が含まれており、あなたの長所と短所を示します。セクションレベルのフィードバックを解釈する際は注意が必要です。

試験範囲

このガイドには、試験の重み付け、分野、タスク文が含まれています。ただし、試験範囲の網羅的なリストは提供されていません。各タスク文に関する追加の背景情報は、試験の準備にお役立ていただけます。

試験には以下の分野と重み付けが含まれます:

• 分野1: SDLC自動化 (得点の22%)
• 分野2: 構成管理とインフラストラクチャとしてのコード (得点の17%)
• 分野3: 強靭なクラウドソリューション (得点の15%)
• 分野4: 監視とログ管理 (得点の15%)
• 分野5: インシデントおよびイベントへの対応 (得点の14%)
• 分野6: セキュリティとコンプライアンス (得点の17%)

---

分野1: SDLC自動化

タスク1.1: CI/CDパイプラインを実装する

知識:

• ソフトウェア開発ライフサイクル (SDLC)の概念、フェーズ、モデル
• 単一アカウントおよび複数アカウントの環境におけるパイプラインデプロイメントパターン

スキル:

• コード、イメージ、成果物リポジトリの構成
• バージョン管理を使用してパイプラインをアプリケーション環境と統合する
• ビルドプロセスの設定 (例: AWS CodeBuild)
• ビルドおよびデプロイのシークレットの管理 (例: AWS Secrets Manager、AWS Systems Manager パラメータストア)
• 適切な展開戦略の決定 (例: AWS CodeDeploy)

タスク1.2: CI/CDパイプラインに自動テストを統合する

知識:

• さまざまなタイプのテスト (例: ユニットテスト、統合テスト、受入テスト、ユーザーインターフェイステスト、セキュリティスキャン)
• CI/CDパイプラインの各ステージで適切に使用される様々なタイプのテスト

スキル:

• プルリクエストまたはコードマージ時にビルドやテストを実行する (例: CodeBuild)
• ロード/ストレステスト、パフォーマンスベンチマーク、スケールでのアプリケーションテストの実行
• アプリケーションの終了コードに基づいてアプリケーションの健全性を測定する
• ユニットテストとコードカバレッジを自動化する
• パイプラインでAWSサービスを呼び出してテストする

タスク1.3: アーティファクトの構築と管理

知識:

• アーティファクトの使用事例と安全な管理
• アーティファクトの作成および生成方法
• アーティファクトのライフサイクルに関する考慮事項

スキル:

• アーティファクトリポジトリの作成と構成 (例: AWS CodeArtifact、Amazon S3、Amazon Elastic Container Registry [Amazon ECR])
• アーティファクト生成のためのビルドツールの構成 (例: CodeBuild、AWS Lambda)
• Amazon EC2インスタンスとコンテナイメージのビルドプロセスの自動化 (例: EC2 Image Builder)

タスク1.4: インスタンス、コンテナ、サーバーレス環境向けの展開戦略を実装する

知識:

• 各プラットフォーム (例: Amazon EC2、Amazon Elastic Container Service [Amazon ECS]、Amazon Elastic Kubernetes Service [Amazon EKS]、Lambda) の展開手法
• アプリケーションのストレージパターン (例: Amazon Elastic File System [Amazon EFS]、Amazon S3、Amazon Elastic Block Store [Amazon EBS])
• ミューダブルなデプロイメントパターンとイミューダブルなデプロイメントパターンの違い
• コードを配布するためのツールとサービス (例: CodeDeploy、EC2 Image Builder)

スキル:

• アーティファクトリポジトリへのアクセス権限の構成 (例: AWS Identity and Access Management [IAM]、CodeArtifact)
• デプロイエージェントの構成 (例: CodeDeployエージェント)
• デプロイの問題に関するトラブルシューティング
• 異なる展開方法の使用 (例: ブルー/グリーン、カナリア)

---

分野2: 構成管理とインフラストラクチャとしてのコード

タスク2.1: ライフサイクル全体にわたるシステムのプロビジョニングと管理のために、クラウドインフラストラクチャとリユーザブルコンポーネントを定義する

知識:

• AWSにおけるインフラストラクチャとしてのコード (IaC) の選択肢とツール
• IaC ベースのプラットフォームの変更管理プロセス
• 構成管理サービスと戦略

スキル:

• IaCテンプレートの構築とデプロイ (例: AWSサーバーレスアプリケーションモデル[AWS SAM]、AWS CloudFormation、AWS Cloud Development Kit [AWS CDK])
• 複数のアカウントおよびAWSリージョンにわたるCloudFormationStackSetsの適用
• 最適な構成管理サービスの判断 (例: AWS OpsWorks、AWS Systems Manager、AWS Config、AWS AppConfig)
• 再利用可能なIaCテンプレートにインフラストラクチャパターン、ガバナンス制御、セキュリティ標準を組み込む (例: AWS Service Catalog、CloudFormationモジュール、AWS CDK)

タスク2.2: 複数アカウントまたは複数リージョンの環境でAWSアカウントを作成、オンボーディング、セキュリティ保護する自動化ソリューションを展開する

知識:

• AWSアカウントの構造、ベストプラクティス、関連するAWSサービス

スキル:

• アカウントのプロビジョニングと構成の標準化と自動化
• アカウントの作成、統合、一元管理 (例: AWS Organizations、AWS Control Tower)
• 複雑な組織構造で IAMソリューションを実装および開発する (例: SCP、ロールの引き受け)
• スケールでのガバナンスとセキュリティ制御の実装 (AWS Config、AWS Control Tower、AWS Security Hub、Amazon Detective、Amazon GuardDuty、AWS Service Catalog、SCP)

タスク2.3: 複雑なタスクと大規模な環境向けの自動化ソリューションを設計および構築する

知識:

• タスクおよびプロセスを自動化するためのAWSサービスとソリューション
• ソフトウェア定義インフラストラクチャと対話する方法と戦略

スキル:

• システムのインベントリ、構成、パッチ管理の自動化 (例: Systems Manager、AWS Config)
• 複雑なシナリオのためのLambda関数自動化の開発 (例: AWS SDK、Lambda、AWS Step Functions)
• 目的の状態にソフトウェアアプリケーションの構成を自動化する (例: OpsWorks、Systems Manager State Manager)
• ソフトウェアのコンプライアンスを維持する (例: Systems Manager)

---

分野3: 強靭なクラウドソリューション

タスク3.1: 耐障害性と事業要件を満たすための高可用性ソリューションを実装する

知識:

• 複数AZおよび複数リージョンのデプロイメント (例: コンピューティング層、データ層)
• SLA
• ステートフルなサービスの複製とフェールオーバー手法
• 高可用性を達成するための手法 (例: 複数AZ、複数リージョン)

スキル:

• ビジネス要件を技術的な耐障害性ニーズに変換する
• 既存のワークロードの単一障害点を特定して修正する
• 可能な場合は、クロスリージョンソリューションを有効にする (例: Amazon DynamoDB、Amazon RDS、Amazon Route 53、Amazon S3、Amazon CloudFront)
• 複数AZサービスをサポートするようにロードバランサーを構成する
• アプリケーションと関連サービスを複数の可用性ゾーンおよびリージョンに対応するように構成し、ダウンタイムを最小限に抑える

タスク3.2: ビジネス要件に合わせてスケーラブルなソリューションを実装する

知識:

• サービスをスケーリングするための適切なメトリクス
• 緩く結合された分散型アーキテクチャ
• サーバーレスアーキテクチャ
• コンテナプラットフォーム

スキル:

• スケーリングの問題を特定して修正する
• 適切な自動スケーリング、ロードバランシング、キャッシング ソリューションを特定して実装する
• コンテナベースのアプリケーションをデプロイする (例: Amazon ECS、Amazon EKS)
• グローバルなスケーラビリティのために複数のリージョンでワークロードをデプロイする
• サーバーレスアプリケーションを構成する (例: Amazon API Gateway、Lambda、AWS Fargate)

タスク3.3: RTOおよびRPO要件を満たすための自動リカバリプロセスを実装する

知識:

• ディザスターリカバリの概念 (例: RTO、RPO)
• バックアップおよびリカバリ戦略 (例: パイロットライト、ウォームスタンバイ)
• リカバリ手順

スキル:

• 複数AZおよび複数リージョンのワークロードのフェールオーバーをテストする (例: Amazon RDS、Amazon Aurora、Route 53、CloudFront)
• 適切なクロスリージョンのバックアップおよびリカバリ戦略を特定して実装する (例: AWS Backup、Amazon S3、Systems Manager)
• バックエンドの障害からリカバーするためにロードバランサーを構成する

---

分野4: 監視とログ管理

タスク4.1: ログとメトリクスの収集、集約、保管を構成する

知識:

• アプリケーションとインフラストラクチャの監視方法
• Amazon CloudWatchメトリクス (例: 名前空間、メトリクス、ディメンション、解像度)
• リアルタイムのログ取り込み
• 保管時および転送時のログとメトリクスの暗号化オプション (例: クライアントサイドおよびサーバーサイド、AWS Key Management Service [AWS KMS])
• セキュリティ設定 (例: ログ収集を許可するIAMロールと権限)

スキル:

• ログを安全に保存および管理する
• メトリックフィルターを使用してCloudWatchメトリクスをログイベントから作成する
• CloudWatchメトリックストリームを作成する (例: Amazon S3 またはAmazon Kinesis Data Firehoseのオプション)
• カスタムメトリクスを収集する (例: CloudWatchエージェントを使用)
• ログストレージのライフサイクルを管理する (例: S3ライフサイクル、CloudWatchロググループの保持)
• CloudWatchログサブスクリプションを使用してログデータを処理する (例: Kinesis、Lambda、Amazon OpenSearch Service)
• フィルターとパターン構文または CloudWatch Logs Insightsを使用してログデータを検索する
• ログデータの暗号化を構成する (例: AWS KMS)

タスク4.2: ログとメトリクスを監査、監視、分析して問題を検出する

知識:

• 異常検知アラーム (例: CloudWatchの異常検知)
• 一般的なCloudWatchメトリクスとログ (例: Amazon EC2のCPU使用率、Amazon RDSのキュー長、Application Load Balancer [ALB] の5xxエラー)
• Amazon Inspectorおよびよくあるアセスメントテンプレート
• AWS Configルール
• AWS CloudTrailログイベント

スキル:

• CloudWatchダッシュボードとAmazon QuickSightの視覚化を構築する
• CloudWatchアラームをCloudWatchメトリクス (標準およびカスタム) に関連付ける
• 異なるサービス (例: コンテナ、API Gateway、Lambda) にAWS X-Rayを構成する
• リアルタイムのログストリームを分析する (例: Kinesis Data Streamsを使用)
• AWSサービス (例: Amazon Athena、CloudWatch Logs Insights) を使用してログを分析する

タスク4.3: 複雑な環境の監視およびイベント管理を自動化する

知識:

• イベント駆動型の非同期設計パターン (例: S3イベント通知やAmazon EventBridgeイベントをAmazon Simple Notification Service [Amazon SNS] やLambdaに送信)
• 様々なAWSサービスの自動スケーリング機能 (例: EC2 Auto Scaling グループ、RDSストレージの自動スケーリング、DynamoDB、ECS容量プロバイダー、EKSオートスケーラー)
• アラート通知とアクション機能 (例: CloudWatchアラームをAmazon SNS、Lambda、EC2自動リカバリに送信)
• AWSサービスのヘルスチェック機能 (例: ALBターゲットグループ、Route 53)

スキル:

• 自動スケーリングのソリューンを構成する (例: DynamoDB、EC2 Auto Scaling グループ、RDSストレージの自動スケーリング、ECS容量プロバイダー)
• カスタムメトリクスとメトリクスフィルター、アラーム、通知 (例: Amazon SNS、Lambda) を作成するCloudWatchを構成する
• S3イベントを使用してログファイルを処理 (例: Lambdaを使用) し、別の宛先 (例: OpenSearch Service、CloudWatch Logs) にログファイルを配信するように構成する
• 特定のイベントパターンに基づいて通知を送信するようにEventBridgeを構成する
• EC2インスタンス (例: AWS Systems Manager Agent [SSM Agent]、CloudWatchエージェント) にエージェントをインストールして構成する
• AWS Configルールを使用して問題を修復するように構成する
• ヘルスチェックを構成する (例: Route 53、ALB)

---

分野5: インシデントおよびイベントへの対応

タスク5.1: イベントソースを管理し、イベントに応答して処理、通知、アクションを実行する

知識:

• イベントを生成、キャプチャ、処理するAWSサービス (例: AWS Health、EventBridge、CloudTrail)
• イベント駆動型アーキテクチャ (例: ファンアウト、イベントストリーミング、キューイング)

スキル:

• AWSイベントソースを統合する (例: AWS Health、EventBridge、CloudTrail)
• イベント処理ワークフローを構築する (例: Amazon Simple Queue Service [Amazon SQS]、Kinesis、Amazon SNS、Lambda、Step Functions)

タスク5.2: イベントに応答して構成変更を実装する

知識:

• フリートマネージメントサービス (例: Systems Manager、AWS Auto Scaling)
• 構成管理サービス (例: AWS Config)

スキル:

• システムに構成変更を適用する
• イベントに応じてインフラストラクチャの構成を変更する
• 望ましくない状態のシステムを修復する

タスク5.3: システムおよびアプリケーションの障害をトラブルシューティングする

知識:

• AWSメトリクスとログサービス (例: CloudWatch、X-Ray)
• AWSサービスのヘルス情報サービス (例: AWS Health、CloudWatch、Systems Manager OpsCenter)
• 根本原因分析

スキル:

• 失敗したデプロイメントを分析する (例: AWS CodePipeline、CodeBuild、CodeDeploy、CloudFormation、CloudWatchの合成モニタリング)
• 失敗したプロセスに関するインシデントを分析する (例: 自動スケーリング、Amazon ECS、Amazon EKS)

---

分野6: セキュリティとコンプライアンス

タスク6.1: スケールに合わせたアイデンティティとアクセス管理の手法を実装する

知識:

• 人間のアクセスとマシンのアクセスに適した IAMエンティティの使用 (例: ユーザー、グループ、ロール、ID プロバイダー、ID ベースのポリシー、リソースベースのポリシー、セッションポリシー)
• ID フェデレーション手法 (例: IAM ID プロバイダーとAWS IAM Identity Centerを使用)
• IAMパーミッションバウンダリを使用したアクセス許可管理の委任
• 組織SCP

スキル:

• 最小特権アクセスを強制するポリシーの設計
• ロールベースおよび属性ベースのアクセス制御パターンの実装
• マシンID for回転自動化 (例: Secrets Manager)
• 人間のIDとマシンIDのアクセス許可を管理する (例: MFA の有効化、AWS Security Token Service [AWS STS]、IAMプロファイル)

タスク6.2: セキュリティコントロールとデータ保護の自動化を適用する

知識:

• ネットワークセキュリティコンポーネント (例: セキュリティグループ、ネットワークACL、ルーティング、AWS Network Firewall、AWS WAF、AWS Shield)
• 証明書と公開鍵インフラストラクチャ (PKI)
• データ管理 (例: データ分類、暗号化、鍵管理、アクセス制御)

スキル:

• 複数アカウントおよび複数リージョンの環境でセキュリティコントロールを自動的に適用する (例: Security Hub、Organizations、AWS Control Tower、Systems Manager)
• 縦深防御を適用するためにセキュリティコントロールを組み合わせる (例: AWS Certificate Manager [ACM]、AWS WAF、AWS Config、AWS Configルール、Security Hub、GuardDuty、セキュリティグループ、ネットワークACL、Amazon Detective、Network Firewall)
• 大規模にセンシティブデータを発見する自動化 (例: Amazon Macie)
• 転送中および保管中のデータを暗号化する (例: AWS KMS、AWS CloudHSM、ACM)

タスク6.3: セキュリティ監視およびオーディットソリューションを実装する

知識:

• セキュリティオーディットサービスとフィーチャー (例: CloudTrail、AWS Config、VPC Flow Logs、CloudFormationドリフト検知)
• セキュリティの脆弱性とイベントを特定するAWSサービス (例: GuardDuty、Amazon Inspector、IAMアクセス アナライザー、AWS Config)
• 一般的なクラウドセキュリティの脅威 (例: 安全でないWebトラフィック、公開されたAWSアクセスキー、暗号化が無効化されたパブリックアクセス許可のあるS3バケット)

スキル:

• 堅牢なセキュリティオーディットを実装する
• 予期せぬまたは異常なセキュリティイベントに基づいてアラートを設定する
• サービスおよびアプリケーションのログを設定する (例: CloudTrail、CloudWatch Logs)
• ログ、メトリクス、セキュリティ情報を分析する

---

付録

試験で登場する可能性のある技術とコンセプト

以下のリストには、試験で登場する可能性のある技術とコンセプトが含まれています。このリストは網羅的ではなく、変更される可能性があります。このリストの項目の順序や配置は、試験における相対的な重みや重要性を示すものではありません:

• アプリケーションのデプロイ
• アプリケーションの統合
• アプリケーションのパイプライン
• 自動化
• コードリポジトリのベストプラクティス
• コストの最適化
• デプロイ要件
• ハイブリッドなデプロイメント
• IAMポリシー
• メトリクス、監視、アラーム、ログ
• ネットワークACLとセキュリティグループの設計と実装
• 運用上のベストプラクティス
• ロールバック手順

試験範囲内のAWSサービスと機能

以下のリストには、試験の対象範囲内のAWSサービスと機能が含まれています。このリストは網羅的ではなく、変更される可能性があります。AWSのサービスは、その主な機能に合わせてカテゴリ分けされています:

Analytics

• Amazon Athena
• Amazon EMR
• Amazon Kinesis Data Firehose
• Amazon Kinesis Data Streams
• Amazon OpenSearch Service
• Amazon QuickSight

Application Integration

• Amazon AppFlow
• Amazon EventBridge

Compute

• AWS App Runner
• Amazon EC2
• Amazon EC2 Auto Scaling
• EC2 Image Builder
• AWS Elastic Beanstalk
• AWS Serverless Application Repository

Containers

• AWS App2Container
• AWS Copilot
• Amazon Elastic Container Registry (Amazon ECR)
• Amazon Elastic Container Service (Amazon ECS)
• Amazon Elastic Kubernetes Service (