APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

【AWS認定資格】最難関!? AWS Certified Advanced Networking - Specialty(ANS-C01) に挑戦

はじめに

こんにちは。クラウド事業部の早房です。
先日 AWS Certified Advanced Networking - Specialty(ANS-C01) を受験しました。
ANS は AWS 認定資格全冠を目指す方々の間では 最難関 と言われることも多い試験です。(私もかなり身構えました。)
今回は、本試験を受験するに至ったきっかけや実際の試験の感想まで余すことなく綴らせていただきます。
本投稿が受験を考えている方々の何かしらの一助となれば幸いです。

出題範囲と割合について

出題範囲と割合は以下です。 (公式より参照)

• 第 1 分野: ネットワーク設計 (採点対象コンテンツの 30%)
• 第 2 分野: ネットワーク実装 (採点対象コンテンツの 26%)
• 第 3 分野: ネットワークの管理と運用 (採点対象コンテンツの 20%)
• 第 4 分野: ネットワークのセキュリティ、コンプライアンス、ガバナンス (採点対象コンテンツの 24%)
https://d1.awsstatic.com/ja_JP/training-and-certification/docs-advnetworking-spec/AWS-Certified-Advanced-Networking-Specialty_Exam-Guide.pdf

基本的なネットワークの知識 (ルーティング・DNS など) に加え、AWS 上のネットワーク関連サービスに関する知識が必要になります。
特に DirectConnect、Route 53、Transit Gateway に関する問題は頻出です。
その他、各 ELB の使い分けや VPC フローログの用途など、ネットワークに関わるサービスは幅広く問われます。

以下公式ドキュメントに記載されているような構成を頭の中でイメージすることができるうになると、より一層合格に近づけるかと思います。

オンプレやクライアント ⇔ AWS
docs.aws.amazon.com

VPC ⇔ VPC
docs.aws.amazon.com

受験の目的

  • AWS 認定資格をコンプリートしたい。
  • ネットワークの知識は汎用的に役立つと感じているものの苦手意識が強いので克服したい。
  • そろそろ受験に慣れてきたタイミングなので難しい試験に挑戦してみようと思い立った。

受験前の筆者のステータス

  • オンプレでのサーバー設計構築経験有。
  • 最低限のネットワーク知識有 (ルーディング・DNS など)
  • AWS 歴7ヶ月ほど。業務では Lambda、CloudFormation、Codeシリーズ、AppSync などに触れており、ANS に出題される Direct Connect や Route 53 などをはじめとするサービスは経験なし。
  • AWS 認定資格は 7 つ取得済み (SAA・DVA・SOA・DBS・SCS・SAP・DOP)

学習期間

40h~50h

4 月の後半から始めましたが、なかなかまとまった時間がとれませんでした。
とはいえ、継続は力なりという言葉を信じて起床後や就寝前に気合で 30 分程度の時間を確保・・・
試験 10 日前からはまとまった時間が取れたので、1 日 2 時間程学習できました。

学習教材と学習方法

1. AWS 公式のサンプル問題、練習問題をとりあえず解く。

※試験のレベルや問題の雰囲気を肌感覚で知ることが目的なので、この時点で0点でも全く問題なし。

https://d1.awsstatic.com/ja_JP/training-and-certification/docs-advnetworking-spec/AWS-Certified-Advanced-Networking-Specialty_Sample-Questions.pdf

explore.skillbuilder.aws

2. サンプル問題・公式問題で出題された中で、初めて見聞きしたサービスについて調べる。

Black Belt や書籍、先人の方々が書いてくださったブログを参考にします。
※Google 画像検索で構成のイメージ、GPT-4o にパワーアップした ChatGPT でサービス概要を掴むのも個人的にはおすすめです。

Black Belt

いつもお世話になってるシリーズ。分からないサービスについては視聴必須です。
youtu.be

youtu.be

youtu.be

ブログ

大変参考になりました。実際に試す機会が限られている Direct Connect 周りを理解するにはもってこいです。
techblog.ap-com.co.jp

blog.takuros.net

zenn.dev

4. 問題集を解く。

Cloud Lisence や Udemy などの問題集を買います。
問題数が多い Cloud Lisence がおすすめです。(類題も体感 2 割ほど出題されます)
1 周解くと自分が間違える問題の傾向 (分野やサービス) が分かるので、再度調査。

※書籍は要点整理から攻略する~シリーズがおすすめです。
www.nri.com

5. 問題集を再度解く。

1 周目より正答率が上がってくるかと思います。
ここで間違えた問題は再度解き直して、なぜ間違えたのかを理解する。
8~9 割程度の正答率になるまで繰り返し問題を解きます。

6. AWS 公式のサンプル問題、練習問題をあらためて解く。

力はついているはずなので全問正解を目指しましょう。

試験本番

試験会場が遠いので、今回もオンライン受験にしました。(便利な世の中)

Speciality なので制限時間は 180 分、問題数は 65 問。
パッと見でわからない問題や解答に自信がない問題はフラグを付けて後回し、解ける問題から解きました。

1 周解き終わった時点で残り時間 80 分、フラグを付けた問題は 25 問でした。
これまでの試験と比べると 1 周解き終わるのに時間がかり、フラグの数がダントツに多かった。。。

ただ他の試験と違い、ネットワーク構成をイメージできれば正しい選択肢をひねり出すことができる問題が多かったので、1 問ずつじっくり時間をかけて解きました。
1 周終わって落ち着きを取り戻してからあらためて挑んでみると解ける問題もちらほら。平常心って大事です。
試験画面上のホワイトボード的なものも使えるので、構成図を書くと整理できるかもしれません。

フラグを付けた問題も全て解答して、全ての問題を見直し、残り 20 分のところで試験終了。
AWS Cloud WAN 周りは完全に学習不足なのでほぼ正確な解答は導けず。。。
それでも解答に自信がない問題は 10 問程度まで減らせたので「まあ大丈夫かな?」といった感触でした。

結果

合格 (847 点)

試験当日の 19:00 頃に結果が出ました。

受験前後の変化

試験勉強~試験本番を通じ、AWS が提供するネットワーク関連のサービスの知識はもちろん、ネットワークの流れや構成をイメージする力がかなり付きました。
ネットワーク関連サービスに限らず、その他サービス同士の連携についてもイメージしやすくなりました。
以下のような構成も、試験勉強を始める前は頭の中でイメージすることは愚か構成図を見ても「???」でしたが、今となっては「なるほどなるほど~」といったように読み解くことができるようになり、これまでに受けた試験の中では自身の成長を最も感じられる試験でした。

最難関?

個人的には SAP ≧ ANS です。
出題範囲がとてつもなく広く「知ってる or 知らない」 で回答の可否が決まってしまう SAP に比べると、ANS は出題範囲や対象のサービスは限られているのでその分楽に感じました。
ただし、知識に加えて構成をイメージする力が問われる試験なので難易度は高めかと思います。問題文の長さも SAP 同等でした。
出題範囲にも記載の通り、セキュリティに関する問題もあるので SCS も先に受けておくと良いかもしれません。 (Amazon GuardDuty、AWS Shield、AWS Network Firewall など)

おわりに

他の Speciality レベルの試験と比べると難易度は高め、暗記だけでの合格は難しい試験だと感じましたが、その分得られるものも多かったです。
これにて、現状リリースされている試験で未取得なものは「DEA・MLS・CLF」の3 つになりました。
良い感じで学習習慣がついているのでこのまま継続したいです。

おまけ 1

試験勉強時に残しておいたメモです。網羅できていませんがご参考ください。

勉強メモ(クリックすると展開されます)

VPC

ピアリング

CIDR重複してたら使えない。

トラフィックミラーリング

トラフィックをミラーリングして、データを解析できる。
フローログより詳細な情報が見れる。(DNSリクエストとか)
トラフィックミラーリング→CloudWatchLogs→CloudWatchLogsInsighs の流れで分析できる。

インターフェースエンドポイント

対象サービスにはプライベートIPでアクセスされる。有料。DirectConnect経由でオンプレからもアクセスOK。ピアリングでほかのVPCからもアクセスOK。

ゲートウェイエンドポイント

対象サービスにはパブリックIPでアクセスする。無料。VPC内からのみアクセス可。

VPCフローログ

VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャ。ただしDNSのリクエストなどは見えない。
S3にもCloudWatchLogsにもkinesis Data Firehoseにも発行できる。

VPC Reachability Analyzer

VPC内の2つのエンドポイント間や、VPC間の通信の到達性に関する問題を解決できる。

Transit Gateway

VPC同士をつなぐハブ的な役割。接続するVPCはCIDR重複市内必要がある。

Transit Gateway Network Manager

Route Analyzerを使用すると、ネットワークアーキテクチャにおいてルーティングポリシーを視覚的に表示、トラフィックフローを模擬して構成のミスや欠如しているルートを特定することができる。

ピアリング機能

リージョン間の接続とルーティングを効率的に実現ができる。
双方のリージョンにTransit Gatewayを作成してピアリングをする。

BGPルーティング

BGPは、大規模なインターネットネットワークで使用され、インターネット上のルーティングテーブルを構築し、最適なパスを選択してパケットを転送するのに役立ちます。これにより、インターネット上のトラフィックが効率的にルーティングされ、異なるネットワーク間での通信が可能になります。

Amazon Route 53

Route 53 プライベートホストゾーン

https://zenn.dev/fdnsy/articles/1b4933f719f98f#route53-%E3%83%9B%E3%82%B9%E3%83%88%E3%82%BE%E3%83%BC%E3%83%B3
プライベートホストゾーンはVPC内でユーザーが取得したDNS名での名前解決ができる。
IPアドレスにユーザーのカスタムドメインを割り当てられるため、リソースの識別が容易になります。
そのため、複数のVPC間での名前解決やオンプレミスとのハイブリッド環境で使用されます。
同一アカウント内であれば複数のVPCで一つのプライベートホストゾーンで名前解決が可能です。
しかし、複数のアカウントでVPC内の名前解決をする場合はResource Access Manager (RAM)を使って、プライベートホストゾーンを共有する必要があります

Route 53 パブリックホストゾーン

AWS上のリソースにカスタムドメイン名を割り当てて、インターネット上で検索できるようにする。

Route 53 Resolver

Route 53 ResolverはVPC内にてデフォルトで存在するフォワーダーとしての機能を持つDNSサーバーで、名前解決を行うネームサーバー(今回はRoute 53 プライベートホストゾーン)へ通信を転送する機能を持っている。

インバウンドエンドポイント

VPCの外部(ダイレクトコネクトやVPNで接続されているオンプレミスなど)から、VPC内のRoute 53 Resolverを使用して、VPC内の名前解決を可能にするためのエンドポイント。
Route 53 Resolver インバウンドエンドポイントを立てることでエンドポイント経由でRoute 53 Resolverにクエリ処理を送ることができるようになり、Route 53 プライベートホストゾーンに転送できるようになり名前解決が可能となる。

アウトバウンドエンドポイント

オンプレミスからの拡張などで、すでに配置されているDNSサーバーを使いたい際などに有効。
オンプレミスのDNSサーバーで名前解決をする際は、Route53 Resolverで名前解決はオンプレミスのDNSサーバーを使うという設定をする必要がある。

DNSSEC

DNSデータの認証と整合性を確保できる。

Amazon Direct Connect

オンプレとAWSをつなぐ。
トランジットゲートウェイに接続するにはトランジット仮想インターフェイスを、パブリックリソース (非 VPC サービス) に接続するにはパブリック仮想インターフェイスを、VPC に接続するにはプライベート仮想インターフェイスを作成。

プライベートVIF

Direct Connectにより、オンプレミス環境から特定のVPC内のサービスを利用する際に使用。
VPC内に作成したVirtual Private Gatewayに向けて接続する。
複数のVPCに接続したい場合は、VPCごとにプライベートVIFを用意する必要がある
VPC外のサービス(S3、DynamoDB)にアクセスしたい場合は、インターフェースエンドポイント経由でアクセスする。

パブリックVIF

DirectConnectにより、オンプレミス環境からVPC外のサービスを利用する際に使用する。
この場合、オンプレミスとAWS間はパブリックIPで通信される。
プライベートVIFと違い、全リージョンのサービスを使用することが可能。
パブリックIPがアドバタイズされるため、セキュリティを強化したい場合はAWS Site-to-Site VPNと組み合わせて使うと良。

トランジットVIF

Transit Gateway とオンプレミスを Direct Connect で接続する際に使用。

VGW(Virtual Private Gateway)

VPCに設置するVIFの受け口

カスタマーゲートウェイ

オンプレミス側のVIFの受け口

MACsec

DirectConnect使用時にセキュリティを高める。

AWS Site-to-Site VPN

デッドピア検出

VPN接続がアクティブかどうかを確認するための機能。
デッドピア検出タイムアウトが発生した場合のアクションを設定できる。

非対称ルーティング

行きと帰りで異なる経路をたどる接続

AWS Network FireWall

HOME_NET 変数

ネットワーク内部のIPアドレス範囲を指定するために使用され、内部トラフィックと外部トラフィックを区別することができる。

EXTERNAL_NETルールグループ変数

ネットワーク外部のIPアドレスを指すため、VPCのアドレス範囲を含めると内部ネットワークが外部として扱われてしまい、セキュリティリスクが高い。
   

ALB

リクエストヘッダーのX-Forwarded-Forでアクセス元IPアドレスを取得することができる。

スティッキーセッション

アクセスするユーザーごとに割り振り先を固定する機能

ターゲットタイプ

インスタンスを選択すると、ターゲットグループに含められるのはEC2インスタンスのみとなる。
IPを選択すると、EC2インスタンスに加えオンプレミスサーバーもターゲットグループに含めることが可能となる。

NLB

TCPリスナーを使用して、トラフィックを複合化せずにトラフィックを通過させることができる。クライアント証明書を利用したアクセス等、クライアントから末端のアプリまで複合したくない時に使う。

GateWay Load Balancer

サードパーティーのセキュリティアプライアンス製品を使用する場合に使用される事が多い。
監査対象のアプリケーションサーバーが配置されているVPC上に、GateWay Load Balancer用のエンドポイントを設置、セキュリティアプライアンス製品が配置された別のVPCにGateWay Load Balancerを配置、ターゲットはセキュリティアプライアンス製品で、セキュリティアプライアンス製品の死活監視やAutoScallingが可能。

CloudFront

HTTP/HTTPSの通信に特化

Global Accelerator

UDPもサポート。速いけど高い。

おまけ 2

AWS 認定に AI 系の試験 (初級レベル) と機械学習系の試験 (アソシエイトレベル) が追加されます。
どちらもベータ試験の登録は 2024 年 8 月 13 日 開始予定となっています。

aws.amazon.com

aws.amazon.com

お知らせ

APCはAWS Advanced Tier Services(アドバンストティアサービスパートナー)認定を受けております。


その中で私達クラウド事業部はAWSなどのクラウド技術を活用したSI/SESのご支援をしております。
www.ap-com.co.jp

https://www.ap-com.co.jp/service/utilize-aws/

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp

本記事の投稿者: hybs_yuuuu
AWSをメインにインフラ系のご支援を担当しています。 https://www.credly.com/users/hybs_yuuuu/badges