AWS使ったことないサービス
Kumamoto-Hamachi前提
SFTP、FTP
AWS Transfer Family
AWS Transfer Family を使用すると、プロトコル経由で Amazon S3 または Amazon EFS との間でファイルを安全に転送できます。ファイル転送には、OpenSSH、WinSCP、Cyberduck などの標準 FTP クライアントを使用できます。
AWS Transfer Family でサポートされているプロトコル:
SFTP (SSH File Transfer Protocol)
AS2 (Applicability Statement 2)
FTPS (File Transfer Protocol Secure)
FTP (File Transfer Protocol)
Transfer FamilyでSFTPサーバーなどを作成すると、ユーザーがアクセスするための接続エンドポイントが設定されます。エンドポイントには、インターネットからアクセス可能な「パブリックエンドポイント」と、VPCでホストされる「VPCエンドポイント」があります。
AWS Transfer Familyのマネージドワークフロー
ファイルのアップロードやダウンロードをトリガーとして、処理を自動実行できる機能。
Kumamoto-HamachiS3関連
S3 Transfer Acceleration
海外リージョンなど、送信元から遠く離れたS3へのデータ転送をAWSのエッジロケーションとネットワークプロトコルの最適で高速化するサービス
ストレージゲートウェイ(オンプレ関連)
ボリュームゲートウェイの保管型とキャッシュ型。
保管型は全部オンプレにある。キャッシュ型はよく使うやつだけオンプレにある。
ボリュームゲートウェイはiSCSI(Internet Small Computer System Interface)というプロトコルでストレージ(S3)へ接続
Amazon S3 File Gateway(オンプレ関連)
オンプレミスからクラウドストレージに対して事実上無制限のアクセスを提供するハイブリッドストレージサービス
他にもFSxゲートウェイとかテープゲートウェイとかボリュームゲートウェイとか...
Kumamoto-Hamachi前提
「仮想」専用通信網というように、共用の回線を諸々の技術によって仮想的に独立した専用回線であるかのように扱うのがVPN接続
AWSのセキュアな接続
(1)Direct Connect
専用線
(2)Site-to-Site VPN
インターネット回線、IPsec VPN
(3)AWS Client VPN
インターネット回線、OPEN VPN
Client VPNが一番手軽。
Site-to-Site VPNはルータの準備が必要でしたが、こちらはツールをダウンロードするだけで接続できるため、安価に即日で接続が可能です。テレワークで自宅環境から会社のAWS環境に接続したい場合などに利用できます。
Kumamoto-Hamachi前提
ETL、DWH、データレイク
AWS Lake Formation
ブループリント:要はデータの出し入れのワークフロー。
ワークフロー:ブループリントから作られる
データカタログ:メタデータストア。Glueのデータカタログ
=>メタデータストア is 何:https://data-viz-lab.com/metadata#1
クロスアカウント共有
Lake Formationでは、テーブル単位や列単位といった、きめ細かなアクセス制御を行うことができます。これにより、異なるアカウントに対して見せたいデータだけを共有することができます
「名前付きリソースでのアクセスコントロール」と「タグ(LFタグ)ベースのアクセスコントロール」
Kumamoto-HamachiRDS系
AWS DataSync(オンプレ系)
オンプレミスと AWS ストレージサービス間のデータ移動を自動化して加速化する安全なオンラインサービス Database Migration Serviceと何がちがうの?Data Syncはあくまでデータ移動に特化。
Database Migration Service(オンプレ系)
データベースのデータ移行を支援するサービスです。
オンプレミス~AWS間、オンプレミス~オンプレミス間のデータ移行を支援
AWS〜AWS間はあまり使わない、じゃあ何使うの? => DBスナップショットのコピーなど。しかし同一リージョン内でしか使えない?
Kumamoto-Hamachiセキュリティ・認証系
WAF
「Web ACL」:接続元のIPアドレスから国別にアクセスを制限できる機能(地理的一致ルール)や、特定の時間内にリクエスト数が設定値を超えたIPアドレスをブロックする機能。(レートベースのルール)
ShieldとShield Advanced
Amazon Inspector
脆弱性を検出するセキュリティサービス。
インスタンス間のネットワークトラフィックを監視。
AWS Security Token Service(STS)
AWSリソースへのアクセスを必要とするユーザーやアプリケーションに対して、一時的なセキュリティ認証情報を提供。
STS AssumeRole API?
ロールを引き受けるためには、AWS STS(Security Token Service:一時的なセキュリティ認証情報提供するサービス)のAPI「AssumeRole」を使用
スイッチロールとはまた違う?=>スイッチロールは手動でやるもん。AWS STSのAssumeRole APIを使用して、プログラムやスクリプトから一時的に別のロールの権限を得る際に使用はプログラムとかでやるよね
一時的じゃなくシングルサインオンがやりたいならaws organizationsをやった上で、Identity Centerを使うのがよさそう
Amazon Cognito
モバイルアプリケーションやWebアプリケーション向けのユーザー認証機能を提供するサービス。
ユーザープール
Cognitoユーザーの認証と管理を行うコンポーネント?
アダプティブ認証:新しいデバイス、位置、ネットワーク情報など、通常とは異なる状況でのログインを検知すると、動的にセキュリティレベルを調整する仕組み
AWS Firewall Manager
複数のAWSアカウントやサービスを対象に、firewallのルールを一元的に設定・管理するセキュリティ管理サービス。
Kumamoto-HamachiWindows系
AWS Directory Service
Active Directory(AD)
ADはシングルサインオンを実現するためのSAMLプロトコルと互換性がない?
Active Directory(アクティブディレクトリ:AD)とはWindows Serverに備わっている機能で、組織のシステム管理者がユーザーを管理するシステム
で上記をAWSで使えるようにしたのがAWS Directory Service
Kumamoto-HamachiAWS PrivateLink(インターフェース型のVPCエンドポイント)
データをインターネットに公開することなく、VPC と AWS のサービス間の接続を確立する
Kumamoto-HamachiVPCエンドポイント
VPCと他のサービス間の通信を可能にするVPCコンポーネント(仮想デバイス)です。
VPCエンドポイントを作成することで、VPC内のインスタンスとVPC外のサービスをプライベート接続で通信できるようになります。
ほなPrivate Linkとどう違うの?
Kumamoto-Hamachi仮想プライベートゲートウェイ(VGW)オンプレ関連
1つのVPCとオンプレミス環境をVPN経由で接続する時にVPCに設置する通信の出入口
カスタマーゲートウェイ
カスタマーゲートウェイは、VPCとオンプレミス環境をVPN経由で接続する時にAWSアカウントに設置する出入口で、オンプレミス側を特定する際に使います。
VGWとの違いわからん...
トランジットゲートウェイ
トランジットゲートウェイとは、複数のVPCとオンプレミス環境をVPN経由で接続する時にVPCに設置する通信の出入口です。1つのトランジットゲートウェイに複数のVPCをアタッチでき、同じトランジットゲートウェイにアタッチされたVPC同士で通信することも可能です。
Kumamoto-Hamachi入口っぽいやつ。ややこいな
VPCエンドポイント、VGW、AWS Client VPN エンドポイント
NFSは主にUNIX系OSに使用されており、SMBは主にWindows系OSに使用
なんでActive Directoryの話のときにファイルゲートウェイの話になるのか?SMBに対応?
Kumamoto-HamachiLambda系
VPCアクセス
Lambda関数をVPCに関連付けること。
VPCのサブネットに接続用のENI(Elastic Network Interface)を作成して、Lambdaがサブネットへアクセスできるようになる。
Kumamoto-HamachiFSx
Kumamoto-HamachiAppFlow
SaaS アプリケーションと AWS サービス間の双方向のデータフローをわずか数クリックで自動化