😊
AWS Developer Associate

2025/08/30に公開
 VPCフローログVPC内のトラブルシュート# Secret Manager
APIキーを保存

 Dynamo DB
 BatchGetItem1回のリクエストで複数のテーブルからアイテムを取得（読取リクエスト）

 GetItem1回のリクエストで1つのアイテムを取得

 Lambdaスロットリングを解消するAmazon SQSキューとLambdaで緩和する

 特定のパーティションに大量の読み書きトラフィックエラーの再試行とし指数バックオフをじっす
I/Oリクエストを均等に分散

 特定の属性サブセットだけを取得するAWS CLIオプション-projection-expression (projectionは投影の意味。カラムを選ぶ。)

 グローバルセカンダリインデックス（GSI）テーブルとはパーティションキーまたはパーティション/ソートキーが異なるインデックス
特定の属性に基づいて検索が多い場合に、その属性のGSIを作成することでパフォーマンス改善
強整合性保証オプションをサポートしない

 ローカルセカンダリインデックス（LSI）テーブルとパーティションキーは同じだが、ソートキーが異なるインデックス
テーブル作成時のみ作成可能なため、ソートキーを追加するような場合な、新規テーブルを作成しコピーする
強整合性保証オプションをサポートする

 スループットの効率化カーディナリティ（一意性）が高いパーティションキーを使用する

=フィールドが多様性を持つこと

=各レコードがユニークな値を持つ可能性が高い

 セッション情報管理TTLを設定して有効期限を設定する

 読み込み消費量クエリオペレーション

　- 結果整合性  ：小

　- 強力な整合性：中
スキャンオペレーション

　- 結果整合性  ：中

　- 強力な整合性：高

 キャパシティユニットRCU：強力な整合のある読み込みでは1RCUで1回、結果整合のある読み込みでは1RCUで2回

1つあたりの読み込み単位は4KB（超える場合は切り上げられる（5KBなら8KB（2RCU必要）として考える））
WCU：1秒当たりの書き込み

 Dynamo DBストリームテーブルに対する変更（項目の追加、更新、削除）をリアルタイムでキャプチャしてストリームとして提供する。これにより、DynamoDBのテーブルで発生した変更を他のサービスやアプリケーションでリアルタイムに処理することができる。
リアルタイムに変更を読み込む
変更をトリガーにLambdaを呼び出すことも可能

 UnprocessedKeysエラー対応指数バックオフとランダム化された遅延
読み取り容量を増やす

 パーティションパーティションキーの値に乱数を追加して分散することでスループットを改善する

 Amazon MacieSensitiveData:S3Object/Financialで口座情報やクレジットカード情報を検出

 Lambda
 VPCリソースにアクセスさせるAWSLambdaVPCAccessExcecutionRoleをLambda実行ロールに付与

 外部ライブラリを使うLambdaレイヤーを使う

 容量の小さい（10MB未満）一時ファイルを使う/tmpディレクトリを使う

 DBの接続先の情報環境変数を使う

 条件付き書き込み機能条件により書き込みを許可、拒否する

 RDSアクセスが遅いデータベース初期化ロジックをコアロジックから分離し、再利用可能とする

 定期的に実行するAmazon EventBridgeルールを作成する

 開発環境のLambdaが本番環境にアクセスしてしまう障害が起きないようにする開発環境と本番環境でAWSアカウントを分ける

 ログの解析console.logメソッドを追加し、CloudWatch logs APIのPutLogEventメソッドで転送し、- CloudWatch logs Insightで解析

 前回の処理結果を利用するAmazon ElastiCacheに保存して、関数初期化時に利用する

 lambda:InvokeFunctionAWS LambdaのIAMポリシーアクションの一つで、あるIAMユーザーまたはロールがAWS Lambda関数を実行（呼び出し）できる権限を与える

 C言語の利用デフォルトでランタイムが用意されていないためカスタムランタイムを含むレイヤーを用意する

 LambdaオーソライザーAPI Gatewayで使用可能な認証機能
APIリクエストに対する認証と承認を行う（OAuthやSAML等を実装するのに適している）

 ベストプラクティスハンドラー処理を分離（可読性向上、単体テストしやすくなる）
再帰的な処理をしない（意図しない呼び出しにより高額となる場合がある）

 フォールバック制御Lambdaの失敗時、失敗イベントからフォールバック用のLambdaを呼び出す

 格納場所まとめLambdaレイヤーは、共通のライブラリやコードを複数のLambda関数で共有するために使用します。
/tmpディレクトリは、Lambda関数の実行中に一時的なデータやファイルを保存するために使用します。
ZIPファイルは、関数コードや依存ライブラリをまとめてデプロイするために使用します。
環境変数は、アプリケーションの設定や秘密情報をコード内に埋め込まずに管理するために使用します。

 Cloud Formation
 複数のリージョンにリソースを配置するAWA CLI create-set-stack-setコマンドで目的のリージョンにスタックセットを作成する

 AWS X-RayAWS X-Rayデーモンをオンプレミスサーバにインストールし、X-Rayにリレーする
X-Ray SDKでアプリケーションを手動制御できる（PIIをEC2外に送信されるのを防ぐなど）

 トレースの取得GetTraceSummaries API:トレースIDのリストを取得
BatchGetTraces API   :トレースデータを取得

 ECRイメージスキャン機能で脆弱性を検査できる
CodePiplineで本機能を使うようにする

 Amazon Machine Images(AMI)暗号化するには一度削除して再作成する

 Amazon S3
 S3 Object LambdaS3のデータ取得コードを作れる

 EC2からS3にアクセスするための条件S3にアクセス許可とするIAMロールを作成し、EC2に付与
S3バケットポリシーでアクセス許可

 S3ReadPolicyAWS SAMでS3バケットのRead権限

 暗号化通信（HTTPS）のみを許可するS3バケットポリシーで"aws:SecureTransport"が"false"を拒否する

 ユーザ自身の領域のみアクセス可能とするAmazon Cognito IDプレフィックス内のIAMポリシーを利用

 大量データの検索Amazon OpenSearch Serviceを利用

 クロスオリジンリソース共有（CORS）クロスオリジンアカウントからの通信を許可

 SSE-S3Amazon S3が暗号化と鍵管理しオブジェクトレベルで暗号化
HTTPヘッダーにx-amz-server-side-encryption:AES256を指定してアップロード

 S3 Object LambdaAWS Lambda 関数を使用して、標準 S3 GET、HEAD および LIST リクエストの出力を処理

 S3イベント通知PUT、POST、COPY、DELTE、マルチパートアップロードイベントのみで発動可能

（GETリクエストでは発動しない）

 CloudWatchCloudWatch Metrics	AWSリソースやアプリケーションのパフォーマンスデータを収集、可視化。
CloudWatch Alarms	メトリクスに基づいて閾値を設定し、アラームを発火させて通知。
CloudWatch Logs	アプリケーションやシステムのログを収集、保管、分析。
CloudWatch Logs Insights	ログデータをインタラクティブに分析、クエリで迅速に問題特定。
CloudWatch Dashboards	メトリクス、ログ、アラームを視覚的に表示するカスタマイズ可能なダッシュボード。
CloudWatch Events	システムイベントに基づいたアクション（Lambda起動、SNS通知）をトリガー。
CloudWatch ServiceLens	分散トレーシングと統合監視でアプリケーションのパフォーマンスをトラッキング。
CloudWatch Contributor Insights	リソース使用状況やトラフィックパターンを分析、ボトルネックを特定。
CloudWatch Synthetics	ウェブアプリやAPIの可用性とパフォーマンスを合成リクエストで監視。
CloudWatch Evidently	サーバーレスアプリのA/Bテストや機能フラグを管理、効果測定。

 VPCVPC間の通信ができない場合は、セキュリティグループの許可を行う

 Amazon Secrets ManagerAPIの認証情報などを保存
認証情報をローテーションできる

 Amazon Systems Managerパラメータやパスを保存
パラメータストアには無料枠がある
1回きりのライセンスキーの保存に適している

 Elastic Beanstalk
 .ebexentionsファイルアプリケーションを機能させるのに必要なオプションを記載

 ワーカー環境時間のかかる処理をワーカー環境に任せる

 ローリングデプロイのバッチバッチサイズずつ新しいバージョンをデプロイする

 デプロイCloudFormationのスタックで環境を管理し、CodeDeployでデプロイ

 オートスケーリングCPU負荷状況などのアプリケーションの負荷をモニタリングし、スケーリングする機能がある

 Amazon EMRApache HadoopやApache Sparkなどのオープンソースツールを利用した、ビッグデータの分析

 Amazon SQSロングポーリングを使うとキューにメッセージが無いと待機する

（問い合わせ頻度が低下し、コスト削減効果がある）
FIFOキューで重複排除IDを用いて重複しないようにする
FIFOキューでメッセージグループIDを用いて順序制御する
メッセージ処理後、SQSキューを削除することでタイムアウトによる再処理の誤動作を防止する

 API Gateway
 API Gateway Websocket APIクライアントとバックエンドの双方向通信が可能
接続と切断を繰り返す場合、ElastiCacheでステータスを追跡、connectとdisconnectルートを作成する

 Lambdaカスタム統合APIメソッドをLambdaに連携
Lambdaの処理が長期化（29秒以上）している場合INTEGRATION_TIMEOUTエラーが発生する
統合リクエスト、統合レスポンスを構成する

 API Gatewayプロキシ統合Lambdaからのレスポンスは特定の形式に従う必要がある（正しくないと502 Bad Gatewayエラー）
統合リクエストは構成するが、統合レスポンスは構成しない

 キャッシング機能バックエンドから指定したTTLの期間キャッシュして、応答時間を改善

 バックエンドを呼び出すことなく、バックエンド応答をシミュレートリクエストマッピングテンプレートを用いてモックインテグレーションレスポンスを選択する
/mockにリクエストすることで、マッピングテンプレートをレスポンスする

 メソッド確立後にクライアントとバックエンドが直接対話HTTP_PROXYを利用

 AWS Route 53
 加重ルーティングポリシー手動で分配

 レーティングベースのルーティングポリシーレイテンシを考慮してリクエストを処理

 タイムアウト時に確認すべきCloud WatchのメトリクスintegrationLatency：API Gatewayを通過しバックエンドに到達し、応答が処理されるまでの時間
Latency：クライアントからリクエストが発行されクライアントに返るまでの時間

 Amazon Kinesis
 スパイクがありPutRecords APIコールが失敗するときの対応指数バックオフで再実行
リクエストの頻度やサイズを減らす

 Amazon RDS
 バックアップ自動バックアップは最長35日間。それ以上はAmazon EventBridgeスケジュールとLambdaで定期バックアップを取得する。

 実行時間の長いSQLを探すスロークエリログを有効化

 暗号化DBインスタンス作成時に暗号化
透過的データ暗号化（TDE）を利用

（透過的: ユーザーやアプリケーションはデータが暗号化されていることを意識しない）

 too many connectionsの対応RDS Proxyを使いコネクションプールを作り、確立したコネクションを再利用することでDBが効率化する

 Amazon Kinesis Data Streams
 同一データを重複して送ってしまうときの対応レコードに主キーを設定（一意制約違反）

 データの処理順FIFOであるが、シャード間の順序は考慮されない

 Lambdaでレコードを処理する場合、IteratorAgeメトリックが増加し、Lambda実行時間が長くなるKinesisデータストリームのシャード数を増やす
Lambdaのメモリを増やす

 データ保存期間デフォルトは24時間で最長は７日間。24時間以内に処理が完了しないと、一部のデータは削除されるため保存期間を延長する必要がある。

 暗号化サーバ側の暗号化を用いて暗号化できる

 AWS KMS
 AWS KMSキーを使用したS3の暗号化アップロードリクエストにaws:kmsの値を持つx-amz-server-side-encryptionヘッダーを含める

 暗号化できる最大データサイズ4kバイト

 CloudFormationAWS SAMを利用する場合は、Transformセクションでバージョンを指定する（ドキュメントルートに含める）
スタックのエクスポート名はAWSアカウント単位のリージョン内で一意である
Lambdaのコード配置はZipFileで指定する
他リージョンのAMI IDの参照、スタック作成不可
リソースにパスワードを設定する場合は、Secrets Managerのシークレットとしてパスワードを生成する
AllowedValuesに承認対象のインスタンスタイプを指定できる
DeletionPolicy:Reain（Retainポリシー）でリソースの削除を防止
スタックポリシー: スタック更新や削除時に特定のリソースを保護するためのポリシー。
Retainポリシー: スタック削除時に特定のリソースを残すためのポリシー。
S3のLambda関数（ZIP）を指定する際は、S3Bucket、S3Key、S3ObjectVersionを指定する

 セクションParametersセクション：入力された値に基づいてプロビジョニング
Outputsセクション：他のスタックからの値を参照

 ECSのクラスタ名クラスタ名を/etc/ecs/ecs.configに記述する

 共通パターンネストされたスタックを利用する

 複数リージョンへのデプロイFn::FindInMap:[MapName,TopLevelKey,SecondLevelKey]で設定

 ローカルでLambdaをテストcdk syncコマンドAWS CDKをCloudFormationと合成、sam local invokeコマンドで関数構成識別子とCloudFormationパスを指定。

 疑似パラメータ（Pseudo parameters）テンプレート内で動的に取得できる特殊なパラメータで、ユーザーが明示的に指定することなく、CloudFormationによって自動的に設定される。これらは、スタックの作成や更新時にCloudFormationが自動的に解決し、リソースの設定やプロビジョニングに役立てることができる。

 RDS RroxyAmazon RDSの接続数が多い場合に接続処理を効率化

 Amazon Aurora
 カスタムエンドポイントトラフィックを振り分けることができる（例：顧客操作、スタッフ操作）

 ElastiCache
 ElastiCache for Memcachedセッションデータを管理
マルチスレッド
write-throughキャッシュはDB書き込みと同時にキャッシュ

 ElastiCache for Redisシングルスレッド
静止時と転送時の暗号化をサポート
#Amazon SQS

 可視性タイムアウトSQS のキューに入ったメッセージが処理開始直後に重複して処理されないように処理中の場合、一時的に他のプロセスからは、メッセージが存在していることを見えないようにする設定

 AWS IAM
 MFA認証で一時的な認証情報を使用GetSessionToken APIを利用する

 Amazon CloudFront
 ビヘイビアURLのパスで振り分けを行う。（認証の要否設定などを行うことができる）

 Elastic Load Balancing
 Application Load BalancerCookieフィールドによるルーティングが可能（βバージョンのテストなどに利用）
X-Forwarded-ForヘッダーでバックエンドサーバにクライアントのIPアドレスを渡す

 Amazon Cognito
 Cognito Syncでユーザプロファイルを同期
 ユーザプールとIDプールユーザプール：認証
IDプール    ：認可、一時的な認証情報を発行

 Amazon OpenSearch Service
 AWS StepFunctionsデータフローのオーケストレーションを管理
ワークフローを作成し順番に処理、エラー時の再処理等

 AWS KMS
 KMS GenerateDataKey APIデータキーを取得し、暗号化できる

 AutoScaling
 EC2のメモリ使用率に基づいてオートスケーリングする方法CloudWatchのカスタムメトリクスを作成し、PutMetricDataを使用してアラームを作成する

 AWS SAMサーバーレスアプリケーションを簡単に定義、構築、デプロイするためのフレームワーク

ロールバック機能もある

 AWS SAMテンプレートAWS::Serverless::Function
AWS::Serverless::Api
AWS::Serverless::SimpleTable

 SAMのデプロイ$ sam package

リソースをZip化してS3にアップロード
$ sam deploy

パッケージ化されたリソースをデプロイ

 AWS CLI
 リージョンの指定-regionオプションを利用する

 出力項目の最大値設定-max-itemsオプションを利用する

 出力項目の項目数制限-page-sizeオプションを利用する

 IAMアクセス権限を設定するaws configure CLIコマンドでIAMアクセスキーIDとシークレットキーを指定する（~/.aws/credentials）

 ecs create-serviceコマンド--service-nameオプション   ：サービス名

--task-definitionオプション：タスク定義名

--desired-countオプション  ：稼働するコンテナ数

 ロールの切り替え-profileパラメータ

 AWS X-Rayサンプリングリクエスト数

= リザーバーサイズ＋（1秒当たりの着信リクエスト - リザーバーサイズ）×固定レート
リザーバーサイズ: 1秒間で記録する数
固定レート: リザーバサイズを超えた分の記録する割合

 Amazon ECS
 IAMロールを許可するための設定ECS_ENABLE_TASK_IAM_ROLE=True

 binpack戦略CPUやメモリのリソースに基づき最小となるように配置

 Spread戦略インスタンスまたはAZに対して均等になるように配置

 AWS CodeBuildビルド出力アーティファクトを暗号化する場合はカスタマーマネージドキーを指定する（-encryption-key）
Build Spec fileにビルドの設定を記述する。ローカル環境で施行する。

 AWS CodeDeployオンプレミスサーバにもアプリケーションをデプロイできる
AppSpec fileでインスタンスで実行されるスクリプトを指定できる
CodeDeployDefault.ECSCanary10Percent15Minutes

.appspecでデプロイ設定を定義

 AWS Amplifyホスティング継続的なデプロイでフルスタックのサーバーレスウェブアプリケーションをホストするための Git ベースのワークフローを提供
ブランチへのマージを検出して自動デプロイ-
amplify.yamlでビルド設定する（ビルド時にテストフェーズを使いする等）

 AWS認証プロバイダ環境変数＞IAMロールの優先度する（IAMロールで拒否していても環境変数で許可していたら許可となる）

 Amazon EventBridgeS3イベントよりも高度な処理設定が可能

 中央アカウントで集中イベント管理レシーバアカウントへのアクセス権限
EventBridegeルールのターゲットにレーシーバーアカウントのイベントバスを指定

 その他
 パブリックIPv4アドレスを知る方法http://xxx.xxx.xxx.xxx/latest/meta-data/からインスタンスメタデータを確認（CurlやGetコマンドを利用）

 テストフェーズビルド仕様amplify.ymlで設定できる

 デプロイメント
 All at onece新旧の一括切り替え

 Rolling Deployment（ローリングデプロイメント）新旧並行稼働し、1つずつデプロイメント
デプロイ中は新旧が混在

 Immutable Depoyment（イミュータブルデプロイメント）バランサ配下に新を段階的にデプロイ
ローリングデプロイは、段階的にアップデートする方法であり、イミュータブルデプロイは新しいインスタンスを完全に使ってアップデートする方法です。

 Blue Green Deployment（ブルーグリーンデプロイメント）新をデプロイメント後に、DNS切り替え

 カナリアリリースAPI Gateway配下（ステージ変数で制御）で新旧Lambdaを用意（エイリアスで制御）

 インプレースデプロイメント稼働環境にデプロイ

CodeDeployの実行順（AppSpec.yamlに設定）

ApplicationStop→（DownloadBundle）→BeforeInstall→AfterInsatall→ApplicationStart→（ValidateService）

 署名付きAWS APIリクエスト・Authorization HTTPヘッダーに署名を追加する

・X-Amz-Signatureクエリ文字列に署名を追加する