🐍

AWSエンジニアによるGoogleCloud PCA合格体験記2025

に公開
AWS
Google Cloud
IAM
Udemy
Google Cloud認定資格
tech

はじめに

AWSの次は ( -ω- ) ンー
新年早々GoogleCloudの認定資格(Professional Cloud Architect)を受験しました。冬休みに程よく追い込みをかけて合格を勝ち取りました。
2年後の更新に備えて、勉強方法と理解に時間をかけたワードの解説を書きました。

対策方法&受験結果

  • 勉強期間は約1か月

  • 教材は下記3つ

    1. 図解即戦力 Google Cloudのしくみと技術がこれ1冊でしっかりわかる教科書[改訂2版](書籍)
      まずは書籍を1週間くらいで一読しました。メインは2.なのでさっと目を通すイメージで。
    2. 【最短攻略】Google Cloud 認定 Professional Cloud Architect 模擬問題集(Udemy)
      全170問×3周しました。
    3. Cloud Architect 模擬試験
      Udemyの問題に飽きたので公式の模擬試験も解きました(1回だけ)。

  • 受験結果
    無事に1発合格できました。ワァ───ヽ(゚∀゚)ノ───イ
    試験時間は120分ですが60分くらいで解き終わりました。「Submit」のボタンをクリックするとすぐに合否が分かります。ちなみに合否のメールが届いたのは翌日になってからです。
    AWSと違ってスコアは開示されないようです。

image

初耳ワード解説

基本的にはAWSのサービスだったら何に相当するのか読み替えることでGoogleCloudのイメージをつかんでいきました。一方で異なる概念や馴染みのない機能もあるので、それらをピックアップして解説します。
ご丁寧なことに公式が比較表を提供してくれていました→AWSサービスやAzureサービスとGoogleCloudを比較する

  1. トークナイザー
    クレジットカード番号や個人識別情報(PII)などを無価値化することをトークナイゼーションといい、それを実行するプログラムをトークナイザーといいます。
  2. Serverless Network Endpoint Group
    まず、Network Endpoint Group(NEG)はCloud Load Lalancing(ロードバランサ)のバックエンドサービスに指定可能なリソースで、Internet NEG、Zonal NEG、Serverless NEG等の種類が存在します。Serverless NEGはCloud Run、Cloud Functions、AppEngine、API Gatewayのいずれかのサービスまたはそのグループへトラフィックをルーティングします。なお、単一のServerless NEGにCloud RunとAppEngine等複数のサービスを混在させることはできないため、各サービスごとにNEGを作成する必要があります。
    ネットワークエンドポイントグループの概要
  3. IAMポリシー
    AWSの場合、IAMポリシーに「何に対して(Resource)、何をできるか(action)」を定義し、実行主体であるプリンシパル(IAMユーザー、IAMグループ、IAMロール)にアタッチします。
    ∴ IAMポリシーは権限を行使する主体に紐づくリソースです。
    GoogleCloudの場合、リソース(組織、フォルダ、プロジェクト、リソース)は必ず1つだけIAMポリシーをもち、自身に対して「誰が(members)、何をできるか(role)」を定義します。「何をできるか」の部分がIAMロールであり、AWSのIAMポリシー(権限をまとめたもの)に相当します。
    ∴IAMポリシーはリソースに紐づくものです。
    これで分かった!GoogleCloudのIAMの仕組みやAWSとの違い
  4. タグ vs ラベル
    AWSのタグはGoogleCloudのラベルに相当します。GoogleCloudのタグは組織階層の中できめ細かな権限管理を行うための機能で、それ自体がリソースです。IAMポリシーのConditionや組織ポリシーの条件付き制約で利用可能です。別途リソースへの紐づけが必要です。
    タグとラベルの違いについて(Tags/Labels)
  5. Serverless VPC Access
    Serverless VPC Accessはサーバレス環境のリソースがVPC内部のリソースにアクセスするための仕組みです。Cloud RunやAppEngine等のリソースはGoogleが管理するVPCにデプロイされます。例えば、Cloud RunコンテナがCloudSQLインスタンスにアクセスには、Serverless VPC Accessを設定し、Serverless VPC Accessコネクタを経由させることで実現されます。コネクタにはプライベートIPが付与され、通信がインターネットを経由することはありません。
    【ふわっとわかる Google Cloud】サーバレスVPCアクセスとは
  6. Private Google Access (限定公開のGoogleアクセス)
    Private Google AccessはVPC内部のリソースがインターネットを経由することなく、GoogleCloudのAPI(サービス)にアクセスするための仕組みです。サブネット単位で有効化が必要です。AWSのVPCエンドポイントに類似します。
    限定公開のGoogleアクセスの仕組みと手順をきっちり解説
  7. VPC Service Controls
    VPC Service ControlsはGoogleCloudのAPIに対するAPIリクエストの接続元を制限するために仕組みです。サービス境界と呼ばれる論理的な囲いと、内向きポリシー/外向きポリシーを設定することで、境界外→境界内、境界内→境界外への通信を制限します。内向きポリシー/外向きポリシーにはアクセスレベルというアクセス許可条件が定義されたリソースを紐づけます。
    アクセスポリシーはVPC Service Controlsやアクセスレベルをグルーピングするための組織レベルのリソースです。
    VPC Service Controlsのリソース構成を図解
  8. GKE Private Cluster
    GKEやKubernetes、それらの管理・運用を容易にするAnthosなど、全く知識がなかったので苦戦しました。ここではPrivate Clusterをとても分かりやすく解説しているQiitaの記事を見つけたのでぜひとも共有させてください。
    3パターンあるGKE Private Cluster構成の違い

さいごに

プロフェッショナルレベルの認定資格を取ると、グッズが貰えると聞いてひそかに楽しみにしていました。今日マグカップを発注したので届くのが楽しみです!!!
GoogleCloudのアーキテクト(プロ)を取得したので、次はAzureに挑戦します!(((o(゚∀゚)o)))ワクワク

Discussion