先に要点
- AWSの用語はサービス名を暗記するより、どこで動かすか・誰が触れるか・何を置くか・どう監視するかの4軸で覚えると速い。最初の10個だけで画面の単語の大半が読める。
- 初心者が痛い目を見る事故は用語ごとに決まっている。IAMは権限の付けすぎ、NAT Gatewayは何もしなくても増える課金、S3は意図しない公開。単語と事故をセットで覚えると一度で身につく。
- NAT Gatewayは東京リージョンで約0.062ドル/時、つまり放置しただけで月約45ドル。さらに通すデータに0.062ドル/GBが乗る。「とりあえず作った」が一番危ない。
- S3は2023年4月以降、新規バケットは公開ブロックが既定で有効。事故の多くは「公開したくて自分で外した結果、外しすぎる」パターン。
先に結論
AWS を最初に学ぶときは、サービス名を片っ端から覚えるより、どこで動かすか 誰が触れるか 何を置くか どう監視するか の4つに分けて覚える方が早いです。
最初の入口として特に押さえたいのは次の10個です。
| 役割 | まず覚える単語 | ざっくり意味 | 初心者がハマる事故 |
|---|---|---|---|
| 置き場所 | Region / Availability Zone | どの地域・どの障害分離単位で動かすか | AZをまたいだ通信で転送料が乗る |
| ネットワーク | VPC / Security Group | どこに置き、どの通信を通すか | 22番を 0.0.0.0/0 に開けて総当たりを浴びる |
| サーバー | EC2 / Lambda | サーバーを持つか、サーバーレスで動かすか | 止め忘れで課金が回り続ける |
| データ置き場 | S3 / RDS | ファイルを置くか、DBを置くか | S3を意図せず公開してしまう |
| 権限と監視 | IAM / CloudWatch | 誰が触れるか、動作を見える化するか | AdministratorAccess を雑に配って事故る |
この10個の関係が見えるだけで、AWSの画面に出てくる単語の多くがかなり読みやすくなります。そしてこの記事の主眼は、その単語ごとに「この事故で痛い目を見る」という勘所をセットで覚えることです。用語と事故をペアにすると、暗記が一気に身体に残ります。
この記事では、2026年6月時点で AWS公式の
AWS Global Infrastructure、AWS Regions and Availability Zones、What is Amazon VPC?、Security groups for your EC2 instances、Introduction to IAM、What is AWS Lambda?、What is Amazon CloudWatch?、What is Amazon S3?、Amazon VPC Pricingを確認しながら整理しています。料金は東京リージョンの2026年時点の公開値を基準にしています。
AWSは「大量の部品の集合」として見る
AWSは1つの製品名ではなく、かなり多くのサービス群の総称です。そのため、AWSを使う と言っても、実際には
を部品ごとに組み合わせていくことになります。
ここを最初から全部覚えようとするとしんどいので、まずは 地図 として理解するのが大事です。そして地図と一緒に、その部品で初心者が必ず踏む地雷も覚えておくと、知識が「テスト用」ではなく「事故を防ぐ用」になります。
まずは「場所」の単語
Region
Region は、AWSリソースを置く地理的な単位です。東京リージョン、オレゴンリージョンのように、どの地域で動かすかを決める入口になります。
料金、使えるサービス、レイテンシ、法規制、障害影響の考え方にも関わるので、かなり基本です。新機能が東京にすぐ来ないことも多く、検証はバージニア北部(us-east-1)で先に試す、という現場の使い分けも覚えておくと役立ちます。
Availability Zone
Availability Zone は、Regionの中にある独立した障害分離単位です。AWS公式でも、1つのRegionには複数のAvailability Zoneがあり、単一AZ障害に備えて複数AZへ分散するのが基本とされています。
初心者向けには、Regionの中に、さらに分けて配置を考える単位がある と覚えると十分です。
次に「ネットワーク」の単語
VPC
VPC は、AWS上で自分用に切り分けるネットワーク空間です。EC2、RDS などをどのネットワークへ置くかを決める土台になります。オンプレミスでいう社内ネットワークを、AWS流に切っている感覚で見ると分かりやすいです。
VPCの中はさらにサブネットに分かれ、インターネットに直接出られるパブリックサブネットと、出られないプライベートサブネットに分けるのが定石です。この「プライベートサブネットからどうやって外へ出るか」が、次のNAT Gateway事故の入口になります。
NAT Gateway(VPCで最初に課金事故が起きる単語)
プライベートサブネットに置いたEC2は、そのままではインターネットに出られません。OSパッケージの更新や外部APIの呼び出しのために外へ出たいとき、登場するのが NAT Gateway です。便利ですが、ここがAWS初心者の請求書を最初に跳ね上げる定番です。
現象
「ほとんど何もしていないのに月末の請求に数十ドルの見覚えのない行がある」。サービス名は EC2-Other や NatGateway として出てくる。
原因
NAT Gatewayは存在するだけで時間課金される。東京リージョンで約0.062ドル/時。これだけで 0.062 × 24 × 30 ≒ 月45ドル。さらに通過データに約0.062ドル/GBが乗る。チュートリアルで作って消し忘れた1個が、毎月静かに課金し続ける。
確認手順
未使用のNAT Gatewayが残っていないか棚卸しする。aws ec2 describe-nat-gateways --filter "Name=state,Values=available" --query "NatGateways[].NatGatewayId" で生存中の一覧が出る。Cost Explorerでサービス別フィルタを NatGateway にすると、月いくら積んでいるかが見える。
Security Group
Security Group は、EC2などに付ける通信制御です。どのポートを開けるか、どこからの通信を許可するかを決めます。AWSのファイアウォールっぽいもの と考えて差し支えありませんが、細かい挙動はOSファイアウォールと同じではありません(戻りの通信を自動で許可するステートフルな動きをします)。
まずは 22番を誰に開けるか 443番を外へ公開するか のような判断に出てくる単語として覚えるとよいです。ありがちな事故は、SSH用の22番を送信元 0.0.0.0/0(=全世界)に開けてしまうこと。公開IPのEC2で22番を全開にすると、数時間で総当たりログイン試行のログが溜まります。送信元は自宅IPや会社IPに絞るか、そもそも22番を開けずに Session Managerとは?22番ポートを開けずにEC2へ入る方法 で入る運用に寄せるのが安全です。
その次に「何で動かすか」
EC2
EC2 は、AWSの仮想サーバーです。OSに入って細かく管理したいときの基本で、Nginx、アプリ、バッチ、社内ツールなどを自由度高く動かせます。
AWSのサーバー と言われたら、まずEC2を思い浮かべるくらいで大丈夫です。事故の定番は「検証で立てたインスタンスの止め忘れ」。停止(stop)と終了(terminate)は別物で、stopしても付随するEBSボリュームやElastic IPの課金は続きます。使わない検証環境はterminateまでやり切るのが基本です。詳しくは EC2とは?AWSの仮想サーバーでできることと押さえたい基本 で掘っています。
Lambda
Lambda は、サーバー管理をなるべく持たずに、コードをイベント駆動で動かすサービスです。S3へファイルが置かれたとき、APIが呼ばれたとき、キューにメッセージが来たとき、のような動かし方と相性があります。
最初は EC2はサーバーを持つ、Lambdaは処理単位で動かす と分けるだけで十分です。
データの置き場所も最初に見る
S3(公開設定のミスが一番こわい単語)
S3 は、画像、動画、バックアップ、ログ、配布ファイルなどを置くオブジェクトストレージです。AWSのファイル置き場 として最初に覚えやすいサービスで、Webアプリではアップロード画像をEC2へ抱え込まずS3へ逃がす構成がよく出ます。
そして情報漏えいニュースの定番がこのS3の公開設定ミスです。用語と事故を必ずセットで覚えてください。
現象
本来は社内限定のはずのバケットの中身が、URLを知っていれば誰でもダウンロードできる状態になっている。セキュリティ診断や外部からの指摘で初めて気づくことが多い。
原因
2023年4月以降、新規バケットは「ブロックパブリックアクセス」が4項目すべて既定で有効、ACLも既定で無効になっている。つまり素のままなら公開されない。事故は「静的サイトを公開したい」などの理由で自分でブロックを外したとき、必要以上に広く外してしまうことで起きる。
確認手順
公開設定を直接確認する。aws s3api get-public-access-block --bucket バケット名 で4項目が true かを見る。設定が存在しない(=ブロックされていない)場合はエラーが返るので、それ自体が要注意のサイン。バケットポリシーは aws s3api get-bucket-policy --bucket バケット名 で "Principal": "*" の Allow が無いか確認する。
回避
公開が必要でも、ブロックを丸ごと外さない。配信はS3を直接公開せず CDN(CloudFront)経由にして、S3自体はブロックを有効のまま保つ構成が定石。アカウント全体のブロックパブリックアクセスをオンにしておくと、個別バケットでうっかり外しても全体で防げる。
RDS
RDS は、MySQL、PostgreSQL などのリレーショナルデータベースをマネージドで使うサービスです。DBサーバーをEC2上で自前運用するより、バックアップ、更新、監視をAWS側へ寄せやすくなります。
ファイルはS3、DBはRDS という見分け方は、かなり初期から役立ちます。RDSは原則プライベートサブネットに置き、外から直接つながない(踏み台やアプリ層を経由する)のが基本姿勢です。
誰が触れるか、どう見るか
IAM(権限の付けすぎで全員が事故る単語)
IAM は、AWSで誰が何をしてよいかを決める権限管理です。人間のログイン権限だけでなく、EC2やLambdaが他サービスへアクセスするときの権限にも関わります。
AWSで事故りやすいのは、サービスを知らないこと以上に、権限を広げすぎることです。IAMはこの記事で最も「事故とセットで覚えるべき」単語です。
現象
とりあえず動かしたくて全員・全アプリに AdministratorAccess を付けてしまう。普段は問題なく動くが、アクセスキーが1本でも漏れた瞬間に、攻撃者がアカウント内の何でもできる状態になる(暗号通貨マイニング用に高額インスタンスを大量起動される、が定番)。
原因
「最小権限の原則」を後回しにしたこと。最初に広く付けると、後から絞るのは「何を使っているか分からない」状態になり、誰も怖くて剥がせなくなる。
確認手順
誰にAdminが付いているか棚卸しする。aws iam list-attached-user-policies --user-name ユーザー名 で AdministratorAccess が出ないか確認。ルートユーザーのアクセスキーは aws iam get-account-summary の AccountAccessKeysPresent が 0 であるべき(1なら今すぐ削除対象)。
CloudWatch
CloudWatch は、メトリクス、アラーム、ダッシュボード、ログなどをまとめて見る監視の基本です。CPU使用率を見る、アラームを鳴らす、ログを見る、といった運用の入口でよく出ます。
CloudTrailが 誰が何をしたか の監査寄りなのに対して、CloudWatchは 今どう動いているか を見る寄りです。なお、ログ保持期間を「無期限」のまま放置するとCloudWatch Logsの保存料が静かに積み上がるので、ロググループごとに保持日数を設定しておくのがコスト面の定石です。
用語と事故を1枚で対応づける
ここまでの「単語 × やらかし」を一覧にしておきます。新しいサービスを触る前にこの行を思い出すだけで、初心者の事故の大半は避けられます。
| 単語 | 典型的な事故 | 一発確認コマンド | 回避の芯 |
|---|---|---|---|
| IAM | AdministratorAccess を雑に配布/キー漏えい | aws iam list-attached-user-policies | 最小権限・キーよりロール・MFA必須 |
| NAT Gateway | 作って放置し月45ドル前後を払い続ける | aws ec2 describe-nat-gateways | 不要なら削除・S3向けはVPCエンドポイント |
| S3 | 公開ブロックを外しすぎて全世界に公開 | aws s3api get-public-access-block | ブロック維持・配信はCloudFront経由 |
| Security Group | 22番を 0.0.0.0/0 に開けて総当たり | aws ec2 describe-security-groups | 送信元を絞る・Session Manager |
| EC2 | 検証インスタンスの止め忘れ・terminate漏れ | aws ec2 describe-instances | 使い終わったらterminate・予算アラート |
まず覚える順番
最初は次の順で入ると、画面を見たときに迷いにくいです。
この順番なら、どこへ置く 何で動かす 何を置く 誰が触る どう監視する の流れでつながります。
よくあるつまずき
1. サービス名を単語帳みたいに覚えようとする
AWSは数が多いので、単独暗記だけだとすぐ崩れます。EC2はVPCの中で動く EC2にはSecurity Groupが付く EC2やLambdaにはIAMが関わる のように、関係で覚えた方が残ります。さらに本記事のように「この単語はこの事故で痛い目を見る」とセットにすると、もう一段忘れにくくなります。
2. S3とRDSとEC2の役割が混ざる
ありがちなのは、データを置く場所 を一括で考えてしまうことです。ファイルならS3、リレーショナルDBならRDS、アプリやOSを動かすならEC2、と分けるとかなり整理しやすいです。
3. CloudWatchとCloudTrailが混ざる
CloudWatchは監視、CloudTrailは監査寄りです。前者は 今の状態を見る、後者は あとから操作を追う と分けると覚えやすいです。CloudTrailの役割は CloudTrailとは?AWSで誰が何をしたか追う監査ログの基本 で詳しく見られます。
個別記事へ進むならこの順
このあと深掘りするなら、順番はこうすると入りやすいです。
- IAMとは?AWSでユーザー・グループ・ロール・ポリシーをどう使い分けるのか
- EC2とは?AWSの仮想サーバーでできることと押さえたい基本
- Session Managerとは?22番ポートを開けずにEC2へ入る方法
- CloudTrailとは?AWSで誰が何をしたか追う監査ログの基本
- CloudFormationとは?AWS構成をコードで管理する基本
この5本まで押さえると、AWSの基本用語が 単語 から 運用の部品 に変わって見えやすくなります。
AWS基本用語に関するよくある質問
Q. AWS の用語が多すぎて混乱します。何から覚えれば?
A. EC2(計算)、S3(ストレージ)、RDS(DB)、VPC(ネットワーク)、IAM(認証)、CloudWatch(監視)、CloudTrail(監査) の7つから。さらに各単語に「この事故で痛い目を見る」を1つ紐づけると、地図と防御が同時に身につきます。
Q. 請求がいきなり跳ねました。まず何を疑えばいい?
A. 初心者の三大課金源は NAT Gateway(放置で月45ドル前後)、止め忘れのEC2/EBS、未削除のElastic IPです。Cost Explorerをサービス別で開き、NatGateway や EC2-Other の行を確認してください。学習用リソースは使い終わったら必ず削除が鉄則です。
Q. S3が「意図せず公開」になっていないか確認するには?
A. aws s3api get-public-access-block --bucket バケット名 で4項目がすべて true かを見ます。設定が無くてエラーになる場合はブロックされていない可能性があるので要注意。2023年4月以降の新規バケットは既定でブロック有効なので、外した覚えがないなら基本は安全側です。
Q. IAMで最初にやってはいけないことは?
A. 全員・全アプリへの AdministratorAccess 付与と、ルートユーザーのアクセスキー発行です。後者は aws iam get-account-summary の AccountAccessKeysPresent が 0 であるべき。アプリ側はキーを埋め込まずIAMロールを使い、全アカウントにMFAを必須化してください。
Q. リージョン、AZ、Edge Location の違いは?
A. リージョン = 地域(東京、バージニア)、AZ = リージョン内の独立データセンター(東京なら複数)、Edge Location = CloudFront の配信拠点(世界数百か所)。冗長化は AZ レベル、配信高速化は Edge レベルで考えます。AZをまたぐ通信には転送料が乗る点も覚えておくとコスト事故を防げます。
Q. VPC、サブネット、セキュリティグループ、NAT Gatewayの関係は?
A. VPC = 大きな仮想ネットワーク、サブネット = VPCを分割した区画(公開/非公開)、セキュリティグループ = リソース単位のファイアウォール、NAT Gateway = プライベートサブネットから外へ出る出口。VPC > サブネット > リソース + セキュリティグループ の階層で、外向き通信だけNAT(または無料のVPCエンドポイント)を挟む、と捉えると整理できます。
Q. AWS 認定資格は取るべき?
A. 体系的に学べる利点はあります。Cloud Practitioner(入門) → Solutions Architect Associate(中核) → Specialty(専門)、の順が定石。実務経験と資格の組み合わせで評価されます。
まとめ
AWSで最初に覚えたい基本用語はたくさんありますが、全部を同じ重さで覚える必要はありません。まずは Region / Availability Zone VPC / Security Group EC2 / Lambda S3 / RDS IAM / CloudWatch のように役割ごとで押さえると、かなり全体像が見えやすくなります。
そのうえで、IAMは権限の付けすぎ、NAT Gatewayは放置課金、S3は公開設定ミスという「単語ごとの事故」をセットで覚えておくと、知識が試験用から実務用に変わります。地図と地雷マップの両方を持って個別サービスへ進めば、AWSの学習はかなり安全で楽になります。
参考リンク
- AWS: Global Infrastructure
- AWS Docs: AWS Regions and Availability Zones
- AWS Docs: What is Amazon VPC?
- AWS: Amazon VPC Pricing(NAT Gateway料金)
- AWS Docs: Blocking public access to your Amazon S3 storage
- AWS Docs: Amazon EC2 security groups for your EC2 instances
- AWS Docs: Introduction to IAM
- AWS Docs: Security best practices in IAM
- AWS Docs: What is AWS Lambda?
- AWS Docs: What is Amazon CloudWatch?
- AWS Docs: What is Amazon S3?
- AWS Docs: What is Amazon RDS?