AWS認定SysOpsアドミニストレータ(SOA)を取得までにやったこと

はじめに

SysOpsアドミニストレータ(SOA)を受験し無事合格しました。 資格取得までに参考にしたものを投稿します。

私のAWSの知識

AWS認定クラウドプラクティショナー(CLF) AWSソリューションアーキテクトアソシエイト(SAA) AWSデベロッパーアソシエイト(DVA)

業務では、EC2,RDS,Lambda,S3を軽く触っている程度になります。

やったこと

2週間、業務終了後の1時間を使って勉強していました。

試験範囲の確認

https://aws.amazon.com/jp/certification/certified-sysops-admin-associate/

AWS WEB問題集をこなす

AWS WEB問題集リンク

以前、ダイヤモンドプランで登録していたので、そのまま利用できました。

こちらの問題集を1周しました。

分からなかった問題は、メモを残しました。

試験の過去問などが無いため、こちらのサービスは重宝します。

Black Beltを見る

AWS Black Beltリンク

試験を受けての感想

アソシエイトレベルの試験を全て合格できて良かったです。

この試験は、業務で全く扱うことのないものばかりだったので、 かなり勉強が大変でした・・。

その他、勉強中に重要そうと思ったまとめ

SNS

• CloudWatchにログを1分おきに送信はできない。

EC2

• S3ベースのAMI=インスタンスストアボリューム

• インスタンスのステータス

• システムステータス:AWS側の問題。再起動し、別ホストで起動。

• インスタンスステータス:客側の問題。原因を調査する。

• EBSのスナップショット数の上限は10万

• プレイスメントグループ

• スプレッド:それぞれ異なるハードウェアに配置される

• クラスター:同じホストに配置

• 暗号化が対応できるのは、AES-NIを対応する

• AMIの作成に必要なもの

• X.509証明書と対応するプライベートキー

• アクセスをELBからのみにしたい場合、ポート8080のセキュリティグループをELBのものを指定する

• EBSのボリュームサイズを変更したら、どうする？ EC2に接続し、CLIで拡張対応を行う。

• スナップショット:インスタンスを停止せず、リアルタイム保存 (推奨は停止して、一貫性を持たせる)

• ディスク使用量、メモリ使用量はカスタムメトリクス

• InstanceLimitExceeded:同時実行のインスタンス数の制限

• InsufficientInstanceCapacity:インスタンス容量の制限

EFS

• 途中で暗号化の変更はできない

Organizations

• サートロールで各アカウントの権限を設定できる

WAF

• ELBだと、ALBにしか使えない

CloudFormation

• StackSets:複数アカウント,複数リージョン https://dev.classmethod.jp/articles/cloudformation-stacksets-all-region/
• 再利用したいなら、パラメータ
• リージョンで使い回すならマッピング https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/mappings-section-structure.html
• DeletionPolicy属性:削除前にスナップショット
• 変更セット:変更を反映する前に、検証することができる。
• テンプレートセクション(Description,Resourcesとか) https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/template-anatomy.html#template-anatomy-sections
• テンプレートの中にLambdaのリンクを貼り、起動させることができる。
• WaitConditionHandle:外部ソースから完了の連絡を受けるまで、他のリソース作成を中止
• DependsOn:依存関係を記述する
• OnFailure:スタック作成に失敗した時の動作(DO_NOTHING,DELETEなど)
• ROLLBACK_COMPLETE:スタック作成が失敗。削除操作だけできる
• ドリフト検出:手動で変更された箇所を検出

CloudFront

• CDN
• エンドユーザの近い場所
• コスト効率化
• 特定の国をブロックすることも可能

CloudTrail

• APIコール全てを記録
• S3に自動的にログを保存

VPC

• デュアルスタック:iPv6のアクセスを両立
• Egress-Only、NATIPv6(書き方::/0)
• S3のVPCエンドポイントを指定可能
• インスタンスがネット接続できないのは、パブリックIPやElasticIPが付与されていないことがある。 https://aws.amazon.com/jp/premiumsupport/knowledge-center/instance-vpc-troubleshoot/
• インスタンスにはデフォルトのセキュリティグループが当てられる。 これは、同じセキュリティグループ間のインバウンドを許可し、アウトバウンドは全て許可
• 特別な理由があって、NATインスタンスを使うことがある。水平スケーリングもできる。
• プライベートサブネットと、VPCエンドポイントを使う。ネットワークを介さない。

VPCエンドポイント

• ゲートウェイエンドポイント:S3とDynamoDBにのみ
• インターフェイスエンドポイントPrivateLink:その他サービスと、プライベートネットで接続

S3

• ボールトロック:削除、変更を防止

• MFAデリート:CLIでデリートする時、認証番号を一緒に送る必要あり

• オブジェクトが見つからない。アクセスできない時は、400系エラー

• 暗号化について

• SSE-S3:S3が暗号化キーを管理

• SSE-KMS:KMSが管理するキー

• SSE-C:お客さんが管理するキー

• CSE:クライアントサイド暗号化

• S3に画像アップする際は、費用がいらない。

• バケットポリシーはオブジェクト単位では定義できない。

• 不正アクセスを見つける S3のアクセスログ記録を残し、Athenaで403系エラーを照会する

• 分析 ストレージクラスの分析とかができる。(ストレージ最適化)

Auto Scaling

• 立ち上げたインスタンスのメトリクスが取れないのは、ウォームアップ中
• デフォルト設定の場合、EC2を閉じる順番は、AZ毎の数を比較する
• 異常なインスタンスを落としたい時は、ELBヘルスチェックを使用するように、AutoScalingグループを設定する
• 最小数,最大数,希望数:現時点で希望するインスタンス数
• AutoScalingを削除する時は、グループのインスタンスを全て削除し、希望容量を0にする。

RDS

• 5分以内のポイント・イン・タイム・リカバリ。バックアップの作成
• マスタをリードレプリカに反映する時のラグReplicaLag
• ミラーリング機能がある
• セキュリティグループが変更されたら通知することができる。 https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/USER_Events.html

Artifact

• コンプライアンスレポートをダウンロードできる

クロスアカウントダッシュボード

• 複数のリージョンの情報を表示
• 単一リージョン全てのEC2インスタンスの統計を取るには、詳細モニタリングが必要

CloudWatch

• Dimensions:メトリクスに付与できるタグみたいなもの(EC2のインスタンスIDとか)

• アラームの3種類

• OK:定義したしきい値を下回っている

• NG:定義したしきい値を上回っている

• INSUFFICIENT_DATA:データが不足している

• どれが標準なのか、カスタムなのかを確認(ディスク使用量、メモリ使用量)

• メトリクスの種類

• 標準メトリクス:5分単位(無料)

• 詳細メトリクス:1分単位(有料)

• 高解像度メトリクス:1秒単位(有料)

• 複数のリージョンにまたがるメトリクスの取得は詳細モニタリング

• 既存のアラーム名変更不可

• アラームの評価期間数に各評価期間の長さをかけた値が1日を超えてはいけない

snowball

• 現在は、snowball Edgeになっている。
• Storage Optimized:大容量のもの
• Compute Optimized:保存前に分析が必要なもの
• リージョンをまたいでデータを移動できない。S3のクロスリージョン使う
• https://aws.amazon.com/jp/snowball/faqs/#General

Aurora

• 読み取りエンドポイント:自動で使えるレプリカにアクセス
• クラスタエンドポイント:プライマリDBにアクセス
• インスタンスエンドポイント:特定のDBにアクセス

Direct Connect

• ゲートウェイを設置すれば、複数リージョンもいける

SSL

• 1つのSSLを実装するときは、IPを複数割り当てる

ELB

• NLBは、ホワイトリストを登録できる

• ELBはリージョンをまたげないので、Route53を使用する

• ELBの種類

• ALB:柔軟性,HTTPヘッダーを受け取る。

• NLB:ラウンドロビン,ステートレスウェブサーバーにルーティング

• CLB:何らかの評価を行い、ルーティングする時に使用

• CLBへアクセスすると、spilloverの値が高い。SurgeQueueLengthの値を監視する。

• CLBでさばききれなかったアクセス管理

• SurgeQueueLength:溜まってる数。1024超えるとアクセス拒否

• SpilloverCount:拒否された数

• Spillover Count:ロードバランサの容量を過剰してしまった数

• 500エラー

• 正常なインスタンスが存在しない。

• レート制限にかかっている

• (インスタンスからは何も返ってこない)

• ロードバランサはヘッダーを変更せずにバックエンドにリクエストを転送 (X-Forwardedは標準ではない)

Storage Gateway

• S3をオンプレミス環境と接続するための仕組み

• ボリュームゲートウェイ

• キャッシュ型:プライマリはs3に。頻繁に使うものはキャッシュでローカルに保存

• 保管型:ローカルに保存

• プロトコルを使用可能

• テーブゲートウェイ:バックアップ向け。glacier等に保存

Route53

• トラフィックを向けられる
• DNS
• ドメイン名を振る
• ヘルスチェックやレイテンシーなどで、ルーティング
• 特定の国を別のソーリーページに飛ばすとかができる

Personal Health Dashboard

• 異常があった時、通知もできる

Systems Manager(Patch Manager)

• EC2インスタンスに対して、パッチを当てられる。
• OSのパッチ適用をまとめてできる。

AWS Config

• 現在のシステムステータスやリソース構成を把握
• 構成履歴を管理
• 設定変更のモニタリング
• S3にパブリック・アクセス可能なバケットが作成されたら通知できる
• Rule:全てのインスタンスのセキュリティグループをテスト

SQS

• キューはデフォルトで4日間保持

Trusted Advisor

• サービス(クォーター)の制限,セキュリティ,コスト,耐障害性,パフォーマンス

大きい順

リージョン→アベイラビリティーゾーン→エッジ

インフラのコード管理

• Elastic BeansTalk:簡易的にデプロイ可能
• CloudFormation:ほぼ全てのAWSリソース管理可能
• OpsWorks:EC2など、特定のリソースを細かく指定(sheff,puppet)

EMR

• ビックデータの分析

AD Connector, Microsoft AD

• AWSマネジメントコンソールへのアクセス権の認可が行える。

• オンプレのAWSコンソールへのアクセス権を付与するには、

• VPNを作成,AD Connectorを使用 もしくは

• Managed Microsoft ADの間に既存の信頼関係を使用する

GuardDuty

• AWSアカウントに対する攻撃を検知する。
• 脅威リストと信頼済みIPリストを設定できる。（マスターアカウントのみ）
• ルールは無効にしたり、削除はできないがアーカイブすることによって通知を発生しないようにできる

QuickSight

• BIツール

Data Lifecycle Manager

• EBSのバックアップの作成・保持・削除の自動化

ElastiCache

• CurrConnections:Redisに接続している数(リードレプリカ除く)

Single Sign-On(SSO)

• AWSアカウントとビジネスアプリのアクセスを一元管理
• SAMLを使用
• ロールを割り当てる