Zenn
🍣

[SAA-C03対策講座]SAAの学習を始める際に押さえておきたい基礎知識

2024/09/26に公開
AWS
AWS 認定試験
tech

はじめに

SAAの学習を始める際に、かならず押さえておくべき基礎知識を集めてめてみました。

※この記事では、概要レベルでの簡易的な解説になりますので、各項目について個別に理解を深めてください。

基礎知識一覧

  • AWSアカウント
    • ルートユーザー
    • IAM(Identity and Access Management)
  • VPC
    • サブネット
    • ルートテーブル
    • セキュリティグループ
    • ネットワークACL
  • VPN
  • AWSの通信
    • インターネットゲートウェイ
    • NATゲートウェイ
    • VPCピアリング接続
    • AWS Transitgateway
    • AWS PrivateLink
    • AWS Direct Connect

AWSアカウント

アカウントとは?

AWSを利用するための個別の契約単位です。アカウントを作成することで、AWSの各種サービスを利用できます。
アカウントには、請求情報やアクセス権限、リソースなどが紐付けられます。
企業では、複数のアカウントを使い分けることで、部署ごと、プロジェクトごと、環境ごとにリソースを分離し、セキュリティやコスト管理を効率的に行うことが一般的です。

ルートユーザー

アカウント作成時に自動的に作成される、アカウント内で最も高い権限を持つユーザーです。
日常的な運用には使用せず、IAMユーザーを作成して権限を適切に管理することがセキュリティの観点から重要です。

IAM(Identity and Access Management)

AWSリソースへのアクセスを制御するためのサービスです。
IAMユーザー、IAMグループ、IAMロールなどを利用して、ユーザーやアプリケーションに適切な権限を付与できます。
最小権限の原則に従い、必要な権限のみを付与することがセキュリティのベストプラクティスです。

VPC(Virtual Private Cloud)

VPCとは?

AWSクラウド上に論理的に隔離された、あなた専用の仮想ネットワークです。
VPC内には、EC2インスタンス、RDSデータベース、Lambda関数など、様々なAWSリソースを配置できます。
サブネット、ルートテーブル、セキュリティグループ、ネットワークACLなどを利用して、VPC内のネットワークを細かく制御できます。

サブネット

VPCをさらに分割した小さなネットワークです。
サブネットには、パブリックサブネットとプライベートサブネットがあります。
パブリックサブネットは、インターネットに直接アクセスできるサブネットで、Webサーバーなどを配置するのに適しています。
プライベートサブネットは、インターネットに直接アクセスできないサブネットで、データベースサーバーなど、外部からの直接アクセスを避けたいリソースを配置するのに適しています。

ルートテーブル

サブネット内のトラフィックのルーティングを制御するためのルールを定義します。
インターネットゲートウェイ、NATゲートウェイ、VPCピアリング接続などへの経路を指定できます。

セキュリティグループ

インスタンスレベルでのトラフィックの制御を行います。
インバウンドルールとアウトバウンドルールを定義し、許可するトラフィックを指定できます。
ステートフルなファイアウォールであり、アウトバウンド通信を許可すると、その応答のためのインバウンド通信も自動的に許可されます。

ネットワークACL

サブネットレベルでのトラフィックの制御を行います。
インバウンドルールとアウトバウンドルールを定義し、許可または拒否するトラフィックを指定できます。
ステートレスなファイアウォールであり、アウトバウンド通信を許可しても、その応答のためのインバウンド通信は自動的には許可されません。

VPN(Virtual Private Network)

VPNとは?

インターネットなどの公衆回線を利用して、拠点間やリモートアクセスのための安全な通信経路を構築する技術です。
AWSでは、オンプレミス環境とVPCを安全に接続するために、VPN接続を利用できます。

AWSにおけるVPN接続

オンプレミスのVPNデバイスと、VPC内の仮想プライベートゲートウェイを接続することで、プライベートな通信経路を確立します。
データは暗号化されて転送されるため、安全に通信できます。

AWSの通信

インターネットゲートウェイ

VPCとインターネット間の通信を可能にするゲートウェイです。
パブリックサブネットにアタッチすることで、サブネット内のリソースがインターネットにアクセスできるようになります。

NATゲートウェイ

プライベートサブネット内のインスタンスがインターネットにアクセスするためのゲートウェイです。
プライベートサブネットに配置されたインスタンスは、NATゲートウェイを経由してインターネットにアクセスできますが、インターネットからの直接のアクセスはできません。

VPCピアリング接続

2つのVPC間をプライベートに接続する機能です。
ピアリング接続されたVPC間では、あたかも同じネットワーク内にあるかのように通信できます。

AWS Transit Gateway

複数のVPCやオンプレミスネットワークを接続するためのハブとなるサービスです。
大規模なネットワーク環境をシンプルに管理できます。

VPCエンドポイントを介して、VPCからサポートされているAWSサービスや、オンプレミス環境、または他のAWSアカウントが所有するサービスへのプライベート接続を確立します。
下記が特徴となります。

  • インターネットを経由しないため、セキュリティが向上します。
  • パブリックIPアドレスを必要とせず、プライベートIPアドレスのみで通信できます。
  • 高可用性とスケーラビリティを備えています。

AWS Direct Connect

オンプレミス環境とAWS間の専用線接続を提供するサービスです。
下記が特徴となります。

  • インターネットを経由しないため、セキュリティが向上します。
  • 帯域幅を保証し、安定した低レイテンシの接続を実現します。
  • 大容量データの転送に適しています。

まとめ

これらの基礎知識をしっかりと理解することで、AWSの各種サービスを効果的に活用し、セキュアでスケーラブルなシステムを設計・構築できるようになります。AWS Certified Solutions Architect - Associate の試験対策としても、これらの基礎知識は非常に重要ですので、しっかりと学習を進めていきましょう。

Discussion