それ積んどく?

ひたすら何かを積んでいくブログ

AWS Developer Associate(DVA-C01)受験記録

概要

受験者のスペック

  • 2年前に AWS Certified Solutions Architect(SAA-C01) を取得。
    • 3週間ほど前に SysOps(AWS-SOC02) を取得。
  • 受験のきっかけは、最近ようやく AWS 案件に関わることになったから。
    • けどまたオンプレ案件担当に逆戻りしそう。
  • 開発案件は未経験(Git がほんの少し分かる程度)。

勉強期間

  • 勉強期間は2週間位(延べ27時間ぐらい)
  • ポケットスタディを読むのに1週間、ひたすら模擬試験を解くのに1週間の配分。
    • Udemy の問題を2周し終わったのは試験前日(2回目は概ね9割とれた)。
  • 直前にやった模擬試験は 7 割だった。
    • 解説も何も出ないので、どれが正解でどれが不正解だったのかよくわからん。

結論

  • ソリューションや SysOps の知識だけでは合格が難しく、追加の学習が必要。
    • サービスとして範囲は被る部分もあるが、より詳細なユースケースを問われる。
    • 舐めプしたらまず落ちる(と思う)。世間で言われてるほど簡単とは思わない。
  • 公式の模擬試験(¥2,000 掛かる方)はあんまり参考にならない。
    • 言葉足らずな尖った設問が多く、本試験より別の意味で難しい内容が多かった(本試験はもっと普通)。
    • そのくせ20問しか問題数がない。
    • 10 問だけのサンプル問題のほうがより実際のイメージに近い。
  • 本試験は割とあっさりめの問題が多いので、サービスごとのユースケース(問題傾向)をしっかり押さえておけば多分受かる。
  • 設問は消去法による絞り込みを活用すべし。

[結果]

f:id:jigoku1119:20210913171230j:plain
DVA受験結果

使った教材

AWS SysOps Administrator Associate(SOA-C02) 受験記録

概要

受験者のスペック

  • 2年前に AWS Certified Solutions Architect(SAA-C01) を取得。
  • 以来 AWS 経験を積む機会は結局なく、ペーパードライバーとして余生を過ごす。
  • 受験のきっかけは、最近ようやく AWS 案件に関わることになったから。

結論

  • 良くも悪くもない成績ながら無事合格。
  • AWS コンソールを使った操作が中心だから試験ラボは思ったより怖くない。
    • 試験範囲がべらぼうに広い中、一体どんなことをやらされるのかと思ってたら至ってスタンダードな内容だった。
  • でも可能な限り、代表的な使い方については予め実機(AWS コンソール)を触っておくと安心。
    • 画面操作なので設定概念が分かっていたらヤマカンでやれないこともない(今回1問はぶっつけ本番でやった)。
    • 但し、全体の2-3割程度の点数を持っていかれるので、ラボを落とすと合格は相当厳しい。
  • 更新前の試験教材が役に立つかは不明(ちょっと前に Udemy で教材を買っていたものの、結局使わず)。
    • 試験対策カウンター的に試験内容が一新されてそうだったので、素直に他の方のを買い直しました。
  • 新しいの(SAA-C02)は知らんけど、これ SAA よりむずくない??
    • 試験範囲が広く、より突っ込んだ内容が出る。
    • SAA -> SOA -> SDA が良さげ。

[成績]

f:id:jigoku1119:20210823172752j:plain

使用教材に関して

以下の3つです。

Tutorials Dojo は Udemy とプラットフォームが違うだけで、たぶん内容は一緒です。
(プラスで試験ラボ用の問題がついてる)

僕は説明をよく読まなかったので、Udemy と Tutorials Dojo の両方を買ってしまいましたが、よくよく読むと Udemy に Tutorials Dojo の期間限定の利用権が付いてるぽいですね。
(どっちを買うかは好みと Udemy のセールのタイミングとかとご相談かなと。)

  • FREE EXCLUSIVE 3-MONTH ACCESS TO THE TUTORIALS DOJO PORTAL - EXAM SIMULATOR - where you can see the answers right away as you go through each question, plus other training modes and perks! This is an optional feature and registration is required to access the simulator (using your name and email address).

サンプル試験ラボ(公式)

なお、別途試験ラボのサンプルも提供されているみたいです。
試験予約した時のメールにログイン情報とかが書いてありました。
(受かってから気づいた!!)

期間限定ではありますが、試験ラボのサンプルを無料で試すことができます。本番の試験の前に試験ラボの環境を実際に体験してください。試験ラボは、最初の受験日から 90 日間にわたって、3 回受験することができます。

試験ラボ

詳細は書けないのですが、出るのはとても一般的な内容です。
AWS コンソールを使って指示された条件でリソースを作る試験になっているようです。
(画面が左右に分かれていて、左側にコンソール。右側に問題って感じです。)

ただ課題の出され方が抽象的なので、どの機能を使って設定すればよいのか自分で想像して考える必要があります。
ウィザードを使ってできることはウィザードの内容で良く、特に指定がなく、 ウィザードが自動設定するものは恐らくデフォルト設定の範囲として扱ってよいはずです。
(というかそれ以上に判断材料がない)

前提リソースを伴うものは、タブをもう一つ開くなり、事前に作るなりして作成すればよいです。
(設問を読んだ段階で、作成順序を整理できるとベスト)

注意書き

  • 試験ラボがめちゃくちゃ遅延してて、1クリックで1分は余裕で待たされる有様でした。
  • 1問20分程度を推奨されていますが、30分は見ておいたほうが精神的に良いです。
    • 学科が1時間で終わったので、今回は時間は売るほど余ってたけど。

対策した内容

基本的に設定概念(要素)を整理しておくことが大事になるかと。
実習した後はリソースの削除を忘れずに!!(超大事)

  • CloudWatch メトリックフィルターの設定
    • 設定する流れと用語について整理。
    • できればやっておいたほうが良い。
  • CloudFormation スタックの展開と更新
    • これは一回経験しておいたほうが良い。
    • テンプレートを最低限読めるようにしておく。
  • EC2、VPC の作成
    • この周辺はどうとでもなりそうだったので、サラッと流した。
  • AWS Backup の設定
    • どういうふうに設定するのかを整理。
      • バックアップ対象の設定方法と出来ることできないことの整理。
  • ALB を伴うオートスケーリンググループの設定
    • どういうふうに設定するのかを整理。
    • 微妙にややこしいので、やっておくと吉。
  • S3 の設定
    • ライフサイクルポリシー、バージョン管理の設定方法。
    • ややこしいので要対策(特にライフサイクル)。
  • KMS の設定
    • これ単体というよりは他と絡むことが多いぽい。
  • SNS の設定
    • これ単体というよりは他と絡むことが多いぽい。
    • 概念を理解しておけば良い。
  • RDS の設定
    • AWS のサンプル問題に載ってたやつ。
    • RDS 触ったことなかったので、実際やった。
  • IAM の設定
    • IAM ポリシーの設定周り。
    • 方法というよりは中身のおおよその書きっぷりを覚えとく。
  • EFS, FSx
    • ウィザードの流れを確認。
  • Dynamo DB
    • ウィザードの流れを確認。
    • RDS 出そうなら出るんかなぁと思った。
  • ElastiCache
    • ウィザードの流れを確認。
    • RDS 出そうなら出るんかなぁと思った。

勉強方法

  1. 模擬試験をひたすら解く。
  2. 解く中で ? と思ったものを調べてひらすらメモを取る。
    1. VS Code でサービスごとにメモを作ってひたすら書く。
      1. BlackBelt も流し読みする。
    2. サービス名を見て何をするものかわからなければ調べて一言でまとめる。
    3. 試験に出そうだなと思ったものは、設定概念と用語を整理する。
    4. 各サービスのユースケース(出題パターン)を覚える。
    5. たまに AWS コンソールを開いて覗く。
  3. 試験ラボ対策に AWS コンソールをいじる。
    1. 今回は教材が提供してる分だけやった(試験前日!)。

AWS アカウントの初期設定

概要

AWSアカウントを作ったら最初にやるべきこと ~令和元年版~ | DevelopersIO をベースにした自分用のメモ書き。
操作はコンソールで行う。

初期設定で有効化するサービス

Azure と違ってリソースグループとかないので作ったリソースを忘れがち。

  • CloudTrail
    • S3 を保存先に使用。
      • aws-cloudtrail-logs-XXX
  • GuardDuty
    • 30 日間は無料。
  • AWS Config
    • S3 を保存先に使用。
      • config-bucket-XXX
  • AWS SNS
    • AWS Config の通知用。
      • Security Hub の CIS 監査用。
  • CloudWatch
    • CloudTrail のロググループを作成。
      • aws-cloudtrail-logs-XXX
  • Security Hub
    • 30 日間は無料。

更新履歴

  • 2021/06/28 新規作成
  • 2021/07/27 「CIS AWS Foundations Benchmark v1.2.0」にかかる SNS トピックの記載を削除

ID管理 / 権限管理

(有料)CloudTrailの有効化

CloudTrail の有効化により AWS API の操作ログの確認を可能にする。
過去90日間のアクティビティを表示、検索、ダウンロードできる。

Cloudtrail 自体は基本無料。S3 への保存に対して課金される。

料金 - AWS CloudTrail | AWS

[作成されるもの]

[操作手順]

  1. サービスの CloudTrail を開く。
  2. 証跡の作成をクリック。
  3. 設定内容
    1. 証跡名:management-events
    2. 証跡ログバケット及びフォルダ: aws-cloudtrail-logs-XXX

[メモ書き]

  • デフォルト設定でマルチリージョン対応してる。
  • ログファイルの暗号化はデフォルトで無効。

[無効化の手順]

  1. サービスの CloudTrail を開く。
  2. 証跡情報より、対象の証跡を選択しゴミ箱アイコンを押して削除する。
  3. サービスの S3 を開く。
  4. 対象の S3 バケットを削除する。
    1. 空にする -> 削除するの流れ。

ルートアカウントのMFA設定

ルートアカウントログイン時に多要素認証(MFA)を有効化する。

[操作手順]

  1. 右上のマイアカウントのメニューより、マイセキュリティ資格情報をクリック。
  2. IAM のセキュリティ認証情報より、多要素認証(MFA)を選択、MFA の有効化をクリック。
  3. 仮想 MFA デバイスを選択。
  4. QR コードを表示、認証アプリ(GoogleAuthenticator等)より読み込み、コードを2つ入力する。

パスワードポリシーの設定

IAM ユーザに設定可能なパスワードのポリシーを設定する。
パスワードポリシーは AWS ルートアカウントや IAM アクセスキーには適用されない。

パスワードポリシーを設定しない場合、デフォルトポリシーが適用される。

  • パスワードの最小の長さは8文字、最大の長さは128文字です。
  • 次の文字タイプの組み合わせのうち少なくとも3つ:大文字、小文字、数字、記号 ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '
  • AWSアカウント名またはメールアドレスと同一ではありません

Setting an account password policy for IAM users - AWS Identity and Access Management

[操作手順]

  1. サービスの IAM を開く。
  2. アカウント管理 - アカウント設定 をクリック。
  3. パスワードポリシーを選択するをクリック。

IAM User / IAM Groupの作成

ルートアカウントは何でも出来るので、普段は専用の IAM ユーザを使用して操作する。
今回は代替となる管理者権限を持ったユーザを作成する。

IAM グループの作成

[設定する権限]

  • AdministratorAccess
    • すべてのリソースに対する、すべての操作権限を有する。
    • 後述の請求情報へのアクセス権 Billing も含む。

[操作手順]

  1. サービスの IAM を開く。
  2. アカウント管理 - ユーザグループ をクリック。
  3. グループの作成をクリック。
  4. 設定内容
    1. ユーザグループ名:任意
    2. アクセス許可ポリシー:AdministratorAccess

IAM ユーザの作成

[操作手順]

  1. サービスの IAM を開く。
  2. アカウント管理 - ユーザー をクリック。
  3. ユーザーを追加をクリック。
  4. ユーザー詳細
    1. ユーザー名:任意
    2. アクセスの種類:
      1. ■ プログラムによるアクセス
      2. AWS マネジメントコンソールへのアクセス
        1. コンソールのパスワード
          1. 自動生成またはカスタムパスワードを設定。
        2. □ パスワードのリセットが必要
  5. アクセス許可の設定
    1. ユーザをグループに追加。
      1. 先ほど作成したグループに参加させる。
    2. アクセス権限の境界の設定
      1. アクセス権限の境界を設定せずに user を作成する。
  6. タグの追加(オプション)

MFA の有効化

権限が強いので、MFA を有効にする。

[操作手順]

  1. サービスの IAM を開く。
  2. アカウント管理 - ユーザー をクリック。
  3. 作成したユーザーをクリック。
  4. 認証情報 - MFA デバイスの割り当てより、管理をクリック。
  5. 以降、ルートアカウントの際と操作は同様。

[メモ]

  • IAM ユーザ用のコンソール URL も発行されているので控えておく。
    • https://<ID>.signin.aws.amazon.com/console

(有料)GuardDutyの有効化

セキュリティモニタリングサービス。
以下のデータソースをもとに悪意のあるアクセスなどを検知してくれる。
有効化はリージョン単位で行う。

  • AWS CloudTrail event logs
  • VPC Flow Logs
  • DNS logs

【初心者向け】AWSの脅威検知サービスAmazon GuardDutyのよく分かる解説と情報まとめ | DevelopersIO 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO

[料金に関して]

  • 有料サービスで、30 日間はすべての機能が無料で使える。
  • 分析されたイベント量に応じて課金される。
    • つまり、利用が多ければ多いほど料金がかかる。
  • 個人検証程度のアカウントなら無視できるレベル。

料金 - Amazon GuardDuty | AWS

[操作手順]

※対象リージョンに注意(必要に応じリージョンを移動する)。

  1. サービスの GuardDuty を開く。
  2. GuardDuty を無料で試すの、今すぐ始めるをクリック。
  3. GuardDuty の有効化をクリック。
    1. サービスのアクセス権限の説明が書いてある。
      1. ログソースに対して、GuardDuty からのアクセス許可を設定する。
    2. ロール名:AWSServiceRoleForAmazonGuardDuty

[無効化の仕方]

  1. サービスの GuardDuty を開く。
  2. 設定 - GuardDuty の停止より、停止か無効化をする。

[メモ]

  • ルートアカウントのログインなども検知するので、アラートが頻発する場合は信頼されている IP リストとして接続元を許可しておく。
    • 設定 - リスト より、信頼されている IP リストを設定。
  • 検知の際の通知は別途 CloudWatch EventとSNS の設定が必要。

全リージョンで有効化する場合

推奨は全リージョンでの有効化。

(有料)AWS Config の有効化

AWS リソースの設定変更を評価、監査、審査できる。
規定の設定になっているかのチェックや、過去の設定状況の確認が行える。

AWS Config とは - AWS Config

[作成されるもの]

[料金に関して]

  • 記録された設定項目あたりの料金と、ルールの評価数に応じて課金される。
    • AWS リージョンごとに、AWS アカウントに記録された設定項目あたり 0.003USD

  • その他 S3 バケットの料金が掛かる。

料金 - AWS Config | AWS

[設定手順]

  1. サービスの AWS Config を開く
  2. AWS Config のセットアップの、今すぐ始めるをクリック。
  3. 設定
    1. 記録するリソースタイプ
      1. ● このリージョンでサポートされているすべてのリソースを記録します。
      2. ■ グローバルリソースを含める。※デフォルト無効
        1. IAM ユーザ、グループ、ロール、およびカスタマー管理ポリシーのこと。
      3. AWS Config ロール
        1. AWS Config サービスにリンクされたロールの作成
    2. 配信方法
      1. Amazon S3 バケット
        1. バケットの作成
      2. S3 バケット
        1. config-backet-XXX
      3. Amazon SNS トピック
        1. Amazon SNS トピックへのストリーム設定の変更と通知。
  4. ルール(オプション)
    1. 設定したいルールが有る場合、選択。

(有料)Security Hubの有効化

セキュリティステータスの一元化、およびペストプラクティスに基づくセキュリティチェックが出来る。
対応する AWS サービスは下記。

【AWS Security Hubとは】初心者にもわかりやすく解説 | WafCharm(ワフチャーム) - AIによるAWS / Azure WAFのルール自動運用サービス 【はじめてのAWS】AWS Security Hub を設定しよう - サーバーワークスエンジニアブログ

[前提条件]

  • AWS Config の有効化が必要。
  • 各種サービスへのアクセス権限の設定はウィザード実行時に自動設定される。
  • 有効化はリージョンごとに行う。

[料金に関して]

  • 30 日間は無料で使用できる。
  • セキュリティチェックの実施件数に応じて従量課金される。
    • GuardDuty とセキュリティ基準チェックで $1.57 だった。
  • 設定 - 使用 から利用料金を確認できる。
    • トライアル期間に目安を確認すると良い。

[操作手順]

  1. サービスの Security Hub を開く。
  2. Security Hub の使用を開始するより、Security Hub に移動をクリック。
  3. 設定
    1. AWS Config の有効化
      1. すべてのアカウントと Security Hub を利用するすべてのリージョンで AWS Config を有効にするよう求められる。
        1. SNS トピックの設定を除いては、規定設定での有効化と案内される手順の内容は同じ。
    2. セキュリティ基礎
      1. AWS 基礎セキュリティのベストプラクティス v1.0.0 を有効化
      2. ■ CIS AWS Foundations Benchmark v1.2.0 を有効
      3. PCI DSS v3.2.1 を有効化

[無効化の仕方]

  1. サービスの Security Hub を開く。
  2. 設定 - 一般 より、AWS Security Hub の無効化を選択する。
    1. ※検出結果や設定は削除される。

請求

IAM Userによる請求情報へのアクセス許可

権限を与えても初期設定だと IAM ユーザはアクセスできないのでそれを開放する。

[操作手順]

  1. 右上のマイアカウントのメニューより、マイアカウントをクリック。
  2. IAM ユーザ/ロールによる請求情報へのアクセスより、編集をクリック。
  3. IAM アクセスのアクティブ化を選択し、更新。

支払通貨の変更

ドル立ての支払いを日本円に変更する(外貨取扱手数料が削減できるらしい)。

[操作手順]

  1. 右上のマイアカウントのメニューより、マイアカウントをクリック。
  2. お支払い通貨の設定より、編集をクリック。
  3. USD -> JPY に変更して更新。

Budget の設定

Budget を使用して予算を設定する。
予算を設定すると利用料金の超過を検知できる。

[操作手順]

  1. 右上のマイアカウントのメニューより、マイ請求ダッシュボードをクリック。
  2. 左側の Budget を選択し、予算を作成するをクリック。
  3. 予算タイプを選択
    1. ● コスト予算(推奨)
  4. 予算を設定
    1. 算額を設定
      1. 間隔:月別
    2. 予算有効日:● 定期予算
    3. 開始月:任意
    4. 予算の作成方法を選択:● 固定
    5. 算額:予算を設定($)
    6. 詳細:予算に対する説明
  5. アラートの設定
    1. アラートのしきい値を設定
      1. しきい値:任意の数値 予算額の%
    2. 通知設定
      1. E メールの受信者:任意のメールアドレス
        1. その他、SNS や Chatbot Alerts が選べる。

Cost Explorerの有効化

サービスごとの利用状況が確認できる。Budget で予算を作成すると有効化される。
内容表示には有効化から 24 時間程度の時間が必要。

[操作手順]

  1. 右上のマイアカウントのメニューより、マイ請求ダッシュボードをクリック。
  2. 左側の Cost Explorer を選択し、Cost Explorerを起動をクリック。
  3. 初回は 24 時間後に再アクセスするよう案内が出ておわり。

Cost Usage Report の出力

AWS のコストと使用状況レポートの詳細な情報に基づいて、AWS のコストとコストに関連する製品別の利用状況や利用額をより正確に分析して把握できます。 レポートの明細項目と配信方法はカスタマイズできます。また、レポートダッシュボードから管理できます。

Billing Management Console

下記を含んだレポートが作成できる。

コスト配分タグの設定

AWS 試験でよく出題されるリソースに設定したタグを用いてコスト分析するやつ。

コスト配分タグの使用 - AWS Billing and Cost Management

その他

代替連絡先の設定

個人アカウントなので今回は未設定。

Trusted Advisorの通知設定

デフォルトで有効。
以下の 5 つの観点でベストプラクティス準拠をチェックしてくれる。

  • コスト最適化
  • パフォーマンス
  • セキュリティ
  • フォールトトレランス
  • サービスの制限

サポートプランに応じて使用できる内容が異なる。
特に通知は来ないので、定期的に見たい場合は通知設定より、通知先(E-Mail)を設定する。

Personal Health Dashboard によるイベント監視

自身が使用しているサービスに特化した確認できる。
AWS Service Health DashboardAWS 全体のサービス確認。

Cloud Watch Events でルールを設定して通知設定が可能。

Personal Health Dashboard

有効なリージョンの確認

日本国内で使う分には特に有効化は不要。
逆に使用可能リージョンを絞るのは要検討?
右上のマイアカウントから有効なリージョンが確認出来る。

【追加】準拠法/管轄裁判所の変更

法務部があるような大規模なお客さんとかだと要確認?

日本準拠法に関する AWS カスタマーアグリーメント変更契約とは、現在お客様がご利用中の AWS アカウントに適用されている、 AWS カスタマーアグリーメントの準拠法および管轄裁判所を変更する契約を指します。この契約を有効にすることで、 AWS カスタマーアグリーメントの準拠法を日本法に変更し、更に、同契約に関するあらゆる紛争に関する第一審裁判所を東京地方裁判所に変更することができます。

日本準拠法に関する AWS カスタマーアグリーメントの変更: AWS Artifact | Amazon Web Services ブログ

CloudShell の有効化

Azure と違って初期設定不要。1G のストレージが無料で使える。

AWS CloudShellとは何ですか? -AWS CloudShell

参考サイト

AZ-104(Microsoft Azure Administrator) 受験記録

概要

先日 AZ-104 を受験し無事合格したのでその際に行った勉強法を残します。
(成績は907点でした。ただこれにはカラクリがあります。)

※ちなみに私は Azure はほぼ未経験で、クラウド自体も AWS-SAA を2年前にとっただけのペーパーエンジニアです(実務経験なし)。
(なお本業は他称 Solarisスペシャリスト)

所感

出題は合計 64 問で、前半 60 問がセクション問題を含む選択問題、残り4問が長文問題(想定内容から最適解を導く)でした。
ラボ問題みたいなのは出題されませんでした。
最終的に1時間近く時間が残りましたが、最後に長文問題が出たので時間配分は注意が必要かもです。

トラブルが嫌だったので最寄りの試験会場で受験しました(オンラインもできるらしいですね)。

結論

最初に結論だけ書くと、学習内容に記載の Udemy の問題集を覚えるまでやり込めば誰でも合格できます。
(前述したカラクリの正体がこれです。問題の類犠性が非常に高く、8割"見たことある"内容の問題が出題されました。)

学習内容

問題集を先にやるか、Learn などの学習を先にやるかはお好みで良いと思います。
ただ AZ-900 の解説本は一番最初に読んでおいたほうがあとの理解がずっと楽になります (内容が非常に良質なので必読と言って良いかもしれません)。

AZ-900 を取得済みならいきなし問題集でも問題ないです
(そのレベルの方なら適時 Docs や Learn の参照のほうが効率が良いと思います)。

  • AZ-900 の解説本で Azure の全体像を掴む。
  • Microsoft Learn を眺める。
    • 但し、見るのは AZ-104 系ではなく AZ-900 に分類される比較的初歩的な方を優先で良いです 。
      • 検索で引っ掛ければそれぞれ関連したものが出てきます。
        • 「Azure の基礎」で出てくる6部まであるやつがいい感じにまとまっています。
      • 手を動かせる演習は時間、また興味があればやるで良いと思います。
        Azure はリソースができるのを待つ時間が結構長く、演習の半分ぐらいが待ち時間とかザラだからです。
    • 私は一応 AZ-104 で検索して出てきたものにすべて目を通しましたが、試験に出る?見たいな内容も多く、日本語も頭に入りにくく、さらに網羅性もイマイチに感じた為です。
      • ただ中にはたまに必読と思えるような良質なのも混じってます(特定のユースケースや分野にフォーカスしたものにその傾向が強い?)。
    • その点 AZ-900 系は全体の概要や基本となる考え方が書かれたものが多く、Azure に限らず役に立つのと頭に入りやすいからです。
  • AZ-900 を受験する(オプション)。
    • Microsoft 系の資格試験が初めてであれば推奨。試験会場や受験方法などの下見の意味合いが大きいです。
    • たまにバウチャーをもらえるオンライン講座を Microsoft が主催してるようなので、探してみましょう。
      • わたしはそれでタダで受けました。
  • AZ-104 - Microsoft Azure Administrator Practice Tests 2021 | Udemy をやりこむ。
    • 全編英語ですが、機械翻訳でどうとでもなるので英語がわからなくても臆する必要はありません。
      • 定期的にセールをやってるっぽいので、時期があってればとりあえず買っておくのもアリです。
    • おすすめの理由は、
      • 問題傾向の類似性が非常に高い。
      • 評価が高く、定期的なアップデートの形跡が見える(2021とか)。
      • 解説が充実している。
    • の3点です。
    • 最後が一番のポイントかもしれません。正解理由と参考リンクが書いてありスムーズに学習できます。

必要な期間

私は毎日3-4時間程度勉強するペースで、1ヶ月ぐらい掛けました。
( 半分くらい Learn を頑張って読んだ期間(修行)です。
 程度がわかってればたぶん半分くらいにできたはず。。。)。

  • 最短1週間。
    • Udemy の問題をやり込む時間です。英語の問題集なので、読むために適時翻訳をかけたりする必要があり1問1問に時間がかかります。
  • 理想は3週間。
    • 一定期間集中して時間が取れる想定です(1日3時間程度?)。
    • 前述の AZ-900 系の学習で基礎固めをする期間が2週間、問題をやり込む期間が1週間です。
      • AZ-900 も受験するなら追加で1週間ぐらいでしょうか(試験は受験料も高いし、緊張もするので可能なら別途時間を取ったほうが良いです)。

参考教材

関連して読んだもの。

おまけ

AZ-900 のときはなかったんですが、こんなん出てくるんですね。
1分野だけ普通なのなんか悔しいのですが(笑)。

f:id:jigoku1119:20210523114120j:plain

AZ-104(Microsoft Azure Administrator) 試験範囲(日本語訳)

まえがき

ほんとは受験が終わった後に使った学習コンテンツの情報と一緒に出すつもりだったんですが、 いつ受けるんですか?という具合に延期しまくっている状態なので中身が古くなる前にあげておきます (本音は放置してたサイトをとりあえず更新したかっただけです…) 。
で、いつ受けるんですか??(試験予約してから延長が1か月に突入中)

概要

Exam AZ-104: Microsoft Azure Administrator - Learn | Microsoft Docs
に記載の試験範囲の詳細を記載した pdf の抜粋(の日本語機械翻訳)。
試験範囲を確認したかったけど、一目見て日本語でどうぞになった人用(僕)。

前提条件

  • 2021/03/26 の更新分を対象にする。
  • 3/26 の更新前後で出題割合が変わったものは末尾に差分の数値を記載。下記が変わっていた。
    • ストレージの作成と管理の割合が5%上昇。
    • Azure 計算資源の展開と管理、仮想ネットワークの構成と管理が5%ダウン(但し、もともと両者の割合は大きい)。
    • 細かい内容の比較は途中で挫折したけど、文言やら見た目が変わってただけで大きく変化はなかった印象。
  • 記載範囲は機械翻訳ベースなので必要に応じて原書を参照のこと(え。
  • コピペミスとかあったらすまぬ。。。

試験範囲

1. Azure アイデンティティおよびガバナンスの管理 (15-20%)

Azure AD オブジェクトを管理

  • ユーザーとグループを作成する
  • ユーザーとグループのプロパティを管理する
  • バイス設定の管理
  • 一括ユーザー更新を実行する
  • ストアカウントの管理
  • Azure AD Joinを構成する
  • セルフサービスパスワードリセットの構成

役割ベースのアクセス制御(RBAC)を管理

  • カスタムロールを作成する
  • Azure リソースへのアクセスを提供するために異なるスコープでのロールの割り当て
  • アクセス割り当ての解釈

サブスクリプションとガバナンスの管理

  • Azure ポリシーの設定
  • リソースロックの設定
  • リソースへのタグの適用と管理
  • リソースグループの管理
  • サブスクリプションの管理
  • コストの管理
  • 管理グループの設定

2. ストレージの作成と管理 (15-20%) ↑5%アップ

ストレージの保護

  • ストレージアカウントへのネットワークアクセスの設定
  • ストレージアカウントの作成と構成
  • 共有アクセス署名(SASトークンの生成
  • アクセスキーの管理
  • ストレージアカウントにAzure AD認証を設定する
  • Azure Filesへのアクセスの設定

ストレージの管理

AzureファイルとAzure Blob Storageの構成

  • Azureファイル共有の作成
  • Azure File Syncサービスの作成と構成
  • Azure Blob Storageの構成
  • Azure Blob Storageのストレージ階層の構成
  • ブロブのライフサイクル管理の設定

3. Azure 計算資源の展開と管理 (20-25%) ↓5%ダウン

Azure Resource Managerテンプレートを使用した仮想マシンVM)のデプロイメントの自動化

  • Azure Resource Manager テンプレートの変更
  • 仮想ハードディスクテンプレートの設定
  • テンプレートからのデプロイ
  • Azure Resource Managerテンプレートとしてデプロイメントを保存
  • 仮想マシンエクステンションのデプロイ

VMの設定

  • Azure Disk Encryptionの設定
  • リソースグループ間でのVMの移動
  • VMサイズの管理
  • データディスクの追加
  • ネットワークの設定
  • VMの再配置
  • 高可用性の設定
  • スケールセットの導入と構成

コンテナの作成と構成

Azure App Serviceの作成と構成

  • App Service プランの作成
  • App Service プランでのスケーリング設定の構成
  • App Service の作成
  • App Service の保護
  • カスタム ドメイン名の設定
  • App Serviceのバックアップの設定
  • ネットワーク設定の構成
  • デプロイメント設定を行う

4. 仮想ネットワークの構成と管理 (25-30%)↓5%ダウン

仮想ネットワークの導入と管理

  • ピアリングを含む、仮想ネットワークの作成と設定
  • プライベートおよびパブリックIPアドレスの設定
  • ユーザー定義のネットワークルートの設定
  • サブネットの実装
  • サブネット上のエンドポイントの設定
  • プライベートエンドポイントの設定
  • カスタムDNS設定、プライベートまたはパブリックDNSゾーンを含む、Azure DNSの設定

仮想ネットワークへのセキュアなアクセス

  • セキュリティルールの作成
  • ネットワークセキュリティグループ(NSG)をサブネットまたはネットワークインタフェースに関連付ける
  • 効果的なセキュリティルールの評価
  • Azure Firewallの実装
  • Azure Bastion Serviceの実装

ロードバランシングの設定

仮想ネットワークの監視とトラブルシューティング

オンプレミスのネットワークとAzureの仮想ネットワークの統合

  • Azure VPN Gatewayの作成と構成
  • Azure Expreの作成と構成
  • Azure仮想WANの構築

5. Azure 資源の監視とバックアップ (10-15%)

Azure Monitorを使ったリソースの監視

  • メトリクスの設定と解釈
  • Azure Monitorログの設定
  • ログの照会と分析
  • アラートとアクションの設定
  • Application Insightsの設定

バックアップとリカバリーの実装

  • リカバリーサービスのデータ保管庫の作成
  • バックアップポリシーの作成と設定
  • Azure Backupを使ったバックアップとリストアの実行
  • Azure Site Recoveryを用いたサイト間リカバリーの実行
  • バックアップレポートの設定とレビュー

参考サイト

情報収集する過程でお世話になったサイト。

オフライン環境の Windows10 に .NET framework 3.5 を入れる

概要

  • ネット接続されていない Windows10 に .NET framework 3.5 を入れたかった時のメモ書き。
    • なお、3.5 は 3.0 及び 2.0 の内容も含む。
    • 1系はサポートが切れているためたぶん含まれていない。
  • Windows7 等と異なり、オフライン用のインストーラを使った導入手順ではない。
  • オンライン環境なら何も考えずに、「 Windows の機能の有効化または無効化」すれば良い。

設定手順

  1. Windows10 のメディアを入手する。
    • Windows10 のバージョン(1809とか)は合わせた方が無難(適当に揃えるとソースがないとか言われることがある)。
    • Windows 10 のダウンロード とかから入手可能。
  2. メディアから「\sources\sxs」フォルダを抜き出す。
  3. DLIMコマンドで機能を有効化する。
    • 下記コマンドの「C:\XXX\sxs\」を sxs を設置したパスに変更して「管理者権限」で実行する。

【有効化コマンド】

Dism /online /enable-feature /featurename:NetFX3 /all /Source:C:\XXX\sxs\ /limitaccess

【必要なもの】

microsoft-windows-netfx3-ondemand-package~31bf3856ad364e35~amd64~~.cab
Microsoft-Windows-NetFx3-OnDemand-Package~31bf3856ad364e35~amd64~ja-JP~.cab
  • 【メモ】1903 のメディアだと ~ja-JP~.cab は入ってなかった。

参考

Horizon Client for Linux でのクライアント証明書認証はNG

概要

  • Linux 版でもできるんじゃね?と誰も機能検証をしていなかったら、いざ切り替えて行きましょうという段で死んだというお話。
  • Windows 版でしか機能実装していないので Linux 版ではどのバージョンでも利用不可(2019/12/27時点)。

Linux 版の対応状況

VMware Knowledge Base より、Windows版しか Security - Client Device Authentication に ○ がない。

Windows 版は 4.1 から対応

  • クライアント デバイス認証
    Horizon Client が実行するデバイスを認証できます。

UAG との組み合わせ

  • Unified Access Gateway2.6 以降
  • Horizon 7 バージョン 7.0 以降
  • Unified Access Gateway が許可するクライアント デバイスにインストールされた証明書

オチはない(ガチ)