🐍
AWSエンジニアによるGoogleCloud PCA合格体験記2025
はじめに
AWSの次は ( -ω- ) ンー
新年早々GoogleCloudの認定資格(Professional Cloud Architect)を受験しました。冬休みに程よく追い込みをかけて合格を勝ち取りました。
2年後の更新に備えて、勉強方法と理解に時間をかけたワードの解説を書きました。
対策方法&受験結果
-
勉強期間は約1か月
-
教材は下記3つ
- 図解即戦力 Google Cloudのしくみと技術がこれ1冊でしっかりわかる教科書[改訂2版](書籍)
まずは書籍を1週間くらいで一読しました。メインは2.なのでさっと目を通すイメージで。 - 【最短攻略】Google Cloud 認定 Professional Cloud Architect 模擬問題集(Udemy)
全170問×3周しました。 - Cloud Architect 模擬試験
Udemyの問題に飽きたので公式の模擬試験も解きました(1回だけ)。
- 図解即戦力 Google Cloudのしくみと技術がこれ1冊でしっかりわかる教科書[改訂2版](書籍)
-
受験結果
無事に1発合格できました。ワァ───ヽ(゚∀゚)ノ───イ
試験時間は120分ですが60分くらいで解き終わりました。「Submit」のボタンをクリックするとすぐに合否が分かります。ちなみに合否のメールが届いたのは翌日になってからです。
AWSと違ってスコアは開示されないようです。
初耳ワード解説
基本的にはAWSのサービスだったら何に相当するのか読み替えることでGoogleCloudのイメージをつかんでいきました。一方で異なる概念や馴染みのない機能もあるので、それらをピックアップして解説します。
ご丁寧なことに公式が比較表を提供してくれていました→AWSサービスやAzureサービスとGoogleCloudを比較する
- トークナイザー
クレジットカード番号や個人識別情報(PII)などを無価値化することをトークナイゼーションといい、それを実行するプログラムをトークナイザーといいます。 - Serverless Network Endpoint Group
まず、Network Endpoint Group(NEG)はCloud Load Lalancing(ロードバランサ)のバックエンドサービスに指定可能なリソースで、Internet NEG、Zonal NEG、Serverless NEG等の種類が存在します。Serverless NEGはCloud Run、Cloud Functions、AppEngine、API Gatewayのいずれかのサービスまたはそのグループへトラフィックをルーティングします。なお、単一のServerless NEGにCloud RunとAppEngine等複数のサービスを混在させることはできないため、各サービスごとにNEGを作成する必要があります。
ネットワークエンドポイントグループの概要 - IAMポリシー
AWSの場合、IAMポリシーに「何に対して(Resource)、何をできるか(action)」を定義し、実行主体であるプリンシパル(IAMユーザー、IAMグループ、IAMロール)にアタッチします。
∴ IAMポリシーは権限を行使する主体に紐づくリソースです。
GoogleCloudの場合、リソース(組織、フォルダ、プロジェクト、リソース)は必ず1つだけIAMポリシーをもち、自身に対して「誰が(members)、何をできるか(role)」を定義します。「何をできるか」の部分がIAMロールであり、AWSのIAMポリシー(権限をまとめたもの)に相当します。
∴IAMポリシーはリソースに紐づくものです。
これで分かった!GoogleCloudのIAMの仕組みやAWSとの違い - タグ vs ラベル
AWSのタグはGoogleCloudのラベルに相当します。GoogleCloudのタグは組織階層の中できめ細かな権限管理を行うための機能で、それ自体がリソースです。IAMポリシーのConditionや組織ポリシーの条件付き制約で利用可能です。別途リソースへの紐づけが必要です。
タグとラベルの違いについて(Tags/Labels) - Serverless VPC Access
Serverless VPC Accessはサーバレス環境のリソースがVPC内部のリソースにアクセスするための仕組みです。Cloud RunやAppEngine等のリソースはGoogleが管理するVPCにデプロイされます。例えば、Cloud RunコンテナがCloudSQLインスタンスにアクセスには、Serverless VPC Accessを設定し、Serverless VPC Accessコネクタを経由させることで実現されます。コネクタにはプライベートIPが付与され、通信がインターネットを経由することはありません。
【ふわっとわかる Google Cloud】サーバレスVPCアクセスとは - Private Google Access (限定公開のGoogleアクセス)
Private Google AccessはVPC内部のリソースがインターネットを経由することなく、GoogleCloudのAPI(サービス)にアクセスするための仕組みです。サブネット単位で有効化が必要です。AWSのVPCエンドポイントに類似します。
限定公開のGoogleアクセスの仕組みと手順をきっちり解説 - VPC Service Controls
VPC Service ControlsはGoogleCloudのAPIに対するAPIリクエストの接続元を制限するために仕組みです。サービス境界と呼ばれる論理的な囲いと、内向きポリシー/外向きポリシーを設定することで、境界外→境界内、境界内→境界外への通信を制限します。内向きポリシー/外向きポリシーにはアクセスレベルというアクセス許可条件が定義されたリソースを紐づけます。
アクセスポリシーはVPC Service Controlsやアクセスレベルをグルーピングするための組織レベルのリソースです。
VPC Service Controlsのリソース構成を図解 - GKE Private Cluster
GKEやKubernetes、それらの管理・運用を容易にするAnthosなど、全く知識がなかったので苦戦しました。ここではPrivate Clusterをとても分かりやすく解説しているQiitaの記事を見つけたのでぜひとも共有させてください。
3パターンあるGKE Private Cluster構成の違い
さいごに
プロフェッショナルレベルの認定資格を取ると、グッズが貰えると聞いてひそかに楽しみにしていました。今日マグカップを発注したので届くのが楽しみです!!!
GoogleCloudのアーキテクト(プロ)を取得したので、次はAzureに挑戦します!(((o(゚∀゚)o)))ワクワク
Discussion