📝

AWS SAP 勉強メモ 3

2022/04/30に公開

以下の続きです。
AWS SAP 勉強メモ 1
AWS SAP 勉強メモ 2

CloudHSM を使用した SSL / TLS オフロード

プリマスターシークレットが大切です。
https://docs.aws.amazon.com/cloudhsm/latest/userguide/ssl-offload-overview.html

プリマスターシークレット

クライアントはサーバとクライアントだけが知り得る共通鍵を作り出すために、「プリマスタシークレット」と呼ばれる乱数情報を
生成します。

https://www.digicert.co.jp/welcome/pdf/wp_ssl_negotiation.pdf

CloudFront での地理的制限

国レベルなら CloudFront の地理制限機能、より細かいレベルならサードパーティの機能で制限します。
https://docs.aws.amazon.com/ja_jp/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html

ELB の SurgeQueueLength と SpilloverCount

SurgeQueueLength は ELB がキューにバッファしているリクエスト数、SpilloverCount はキューからあふれたリクエスト数です。
https://dev.classmethod.jp/articles/elb-and-cloudwatch-metrics-in-depth/#toc-6

Bastion サーバー

Windowsの場合は、EC2を立ててRDゲートウェイを構築します。RDゲートウェイを利用することで、VPN接続を設定しなくても、WindowsへのリモートデスクトップはHTTPS経由で接続され、暗号化されるためセキュアな接続になります。

https://dev.classmethod.jp/articles/20160930-basion-windows/

EBS 暗号化

1 つのインスタンスに対し、暗号化されたボリュームと暗号化されていないボリュームの両方を、同時にアタッチできます。

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/EBSEncryption.html

Aurora マルチマスタークラスター

マルチマスタークラスターでは、すべての DB インスタンスで書き込みオペレーションを実行できます。単一の読み書きプライマリインスタンスと、複数の読み取り専用 Aurora レプリカの概念は適用されません。別の書き込み DB インスタンスを使用して、失敗したインスタンスの作業を引き継ぐことができるため、書き込み DB インスタンスが利用できなくなっても、フェイルオーバーが発生することはありません。このような可用性は継続的な可用性と呼ばれ、シングルマスタークラスターによって保証される高可用性 (フェイルオーバー中の短時間のダウンタイムを含む) と区別します。

https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/aurora-multi-master.html

SQS に基づくスケーリング

インスタンスあたりのバックログとインスタンスあたりの適正バックログを算出する必要があります。
https://docs.aws.amazon.com/ja_jp/autoscaling/ec2/userguide/as-using-sqs-queue.html#scale-sqs-queue-limitations

Multi Load Balancer

各デバイスからのアクセスに対する挙動を仮想ロードバランサー経由で変更することが可能となる。

http://aws.clouddesignpattern.org/index.php/CDP:Multi_Load_Balancerパターン

VPC の DHCP

VPC の DHCP オプションセット機能を使い、EC2 インスタンスの DNS/NTP サーバの設定ができます。

https://dev.classmethod.jp/articles/dhcp-option-set-dns-ntp/

S3 クライアントサイド暗号化

S3 へのアップロード時にも暗号化したい場合は、クライアント側の暗号化が必要です。
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/UsingClientSideEncryption.html

Lambda@Edge 用のサービスプリンシパル

Lambda とは別に、Lambda@Edge 用のサービスプリンシパルがあります。
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-permissions.html#lambda-edge-permissions-function-execution

グローバル IP の管理構造

階層構造で担当地域を分けて管理しています。
https://wa3.i-3-i.info/word14745.html

S3 のリクエスタ支払い

・リクエスト元がダウンロードコストを支払う
・匿名リクエストはできない
・x-amz-request-payer ヘッダーが必要
https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/RequesterPaysBuckets.html

目標復旧時間 (RTO) と目標復旧時点 (RPO)

RPO が 10 分の DB の場合、1:00 に DB のデータが吹っ飛んだから、1:10 にデータはありませんが、0:50 のバックアップはあります。
だから復旧には 0:50 のバックアップを使いますが、RPO が 10 分なので、0:50 ~ 1:00 まではデータがなくても許容されます。
https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/reliability-pillar/recovery-time-objective-rto-and-recovery-point-objective-rpo.html

GetFederationToken

GetFederationToken で特定の権限での一時的なサインイン用 URL を生成できます。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_enable-console-custom-url.html

https://dev.classmethod.jp/articles/its-not-switch-role-its-assumerole/

Direct Connect + VPN

速度と安全性を両立する構成です。
https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-vpn.html

Direct Connect での暗号化

AWS Direct Connect では、転送中のトラフィックはデフォルトでは暗号化されません。AWS Direct Connect を通過する転送中のデータを暗号化するには、そのサービスの転送暗号化オプションを使用する必要があります。

https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/encryption-in-transit.html

VPN CloudHub

VPN CloudHub というサービスがあるわけではなく、構成の一種です。

https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPN_CloudHub.html

ECS で使用する IAM ロール

Task Role はアプリに IAM 権限が必要なときに設定するもの、 Task execution role は ECS Agent のようなコンテナ実行環境のエージェントが必要とする IAM 権限を設定するものです。

AWS RAM の注意点

Organizations の組織で利用する場合、AWS RAM コンソールまたは enable-sharing-with-aws-organization コマンドで共有を有効化する必要があります。
https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html

CloudFront の Cache-Control: s-maxage ディレクティブ

s-maxage は共有キャッシュに特化したキャッシュ設定です。
https://dev.classmethod.jp/articles/play-with-shared-cache-response-header-s-maxage/

共有キャッシュ

共有キャッシュは、複数のユーザーが再使用するためにレスポンスを保存するキャッシュです。プライベートキャッシュは、ひとりのユーザーのためのキャッシュです。

https://developer.mozilla.org/ja/docs/Web/HTTP/Caching

Route 53 のシャッフルシャーディング

DDos 攻撃への防御策です。
https://aws.amazon.com/jp/builders-library/workload-isolation-using-shuffle-sharding/

Route 53 のエニーキャストストライピング

こちらも DDos 攻撃への防御策です。
https://aws.amazon.com/jp/blogs/news/reduce-ddos-risks-using-amazon-route-53-and-aws-shield/#:~:text=エニーキャストストライピングは、最適,お客様を保護します。

Transit Gateway Network Manager

ネットワークの可視化ができるようです。
https://dev.classmethod.jp/articles/transit-gateway-network-manager-vpn/

AWS の IDS / IPS サービス

IDS は GuardDuty、IPS は Network Firewall です。

https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/

https://aws.amazon.com/jp/blogs/news/networking-and-content-delivery-deployment-models-for-aws-network-firewall/

Rekognition での類似顔画像検索

Collection に情報を登録します。
https://dev.classmethod.jp/articles/amazon-rekognition-searchfacesbyimage/

ドメインベースでのアクセス制限

・VPC 単位なら AWS ネットワークファイアウォール
・ALB 等 WAF と統合されているサービスなら WAF
・EC2 単位ならプロキシサーバーの構築

https://aws.amazon.com/jp/blogs/news/aws-network-firewall-new-managed-firewall-service-in-vpc/

プレイスメントグループと拡張ネットワーキングは無料

どちらも無料です。
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/placement-groups.html

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/enhanced-networking.html

EC2 G3 インスタンス

G3 インスタンスはグラフィックを大量に使用するアプリケーションに最適です。

https://aws.amazon.com/jp/ec2/instance-types/g3/

ELBのスティッキーセッション

スティッキーセッションだけではなく、Cookie についてもわかりやすく説明されている素敵な記事でした。

https://blog.serverworks.co.jp/tech/2017/01/05/elb-sticky/

勉強メモはここまで

Twitter にメモしていた内容を Zenn に書き出してみたら意外と多かったです。
一言 + 参考リンクというかたちで記事を 3 本書きましたが、あらためて勉強になることもあったので、よい復習になりました。

個人的なメモ書きですが、認定試験を受ける方やドキュメントをお探しの方の参考になれば幸いです。

Discussion

ログインするとコメントできます