AWS SAA勉強
モーリーSAAの勉強内容を記載する
も参考
モーリーAWS Global Accerator
通信レイテンシの改善をするサービス
モーリーS3
強い整合性モデルを利用しているためデータの更新がおこなわれたときに誤差が生じることはない
Standard Infrequent Access(Standard-IA)
アクセス頻度が低いオブジェクト向け
ゲートウェイエンドポイント:
プライベートサブネットのルートテーブルに設定することでインターネット経由なしに
VPCからS3にアクセス可能
インターフェイスエンドポイント:
実態はENI
デプロイしたVPCのプライベートサブネットから特定のAWSサービスに
プライベートIPアドレスでインターネット経由なしに接続可能
コストが発生する
モーリーS3オブジェクトロック
Write Once Read Many(WORM)モデルを使用してオブジェクトを保存する
ガバナンスモード
保持期間内において特別な権限をもったユーザ以外削除、上書き禁止
BypassGobernanceRetention
保持期間外において削除、上書きOK
コンプライアンスモード
保持期間内において全ユーザ(root含む)削除、上書き禁止
保持期間外において削除、上書きOK
無期限にしたい場合はリーガルホールドをおこなう
リーガルホールドがオンの場合、オブジェクトの削除ができない
S3:PutObjectLegalHoldの権限をもつユーザがリーガルホールドのオンオフ設定可能
モーリーリクエスタ支払い機能
データをダウンロードするリクエスタがデータ転送費用を支払う
モーリーS3 Inventory
S3に保管されたオブジェクトの一覧を定期的に出力してくれる機能
モーリーAmazon Glacier Flexible Retrieval
迅速取り出し:1〜5分でデータ取得可能
標準取り出し:3〜5時間以内
大規模取り出し:ペタバイド規模のデータを取り出すときに使う
5〜12時間以内に取り出し可能
Glacier Deep Archive
データ取得に最大12時間かかる
大容量取り出しで最大48時間かかる
One Zone 1A
ストレージの可用性は担保されていない
モーリーAWS Shield
DDOS攻撃を防ぐために使用
小規模→standard
Layer3,Layer4のDDOS攻撃
大規模→Advanced
Layer3,Layer4に加えLayer7(アプリケーション層)のDDOS攻撃もカバー
モーリーAWS Secrets Manager
認証情報を自動でローテーションできる
AWS Systems Manager
自動でローテションできない
階層的に管理できる
ex.
/myapp/dev/db/password
KMS
マテリアルの自動ローテーションが可能
暗号化キーの作成、管理をおこなうサービス
カスタマーマネージドキー:利用者が管理するキー
AWS マネージドキー:AWSが管理するキー
AWS所有のキー
KMSでは管理しない
カスタマーデータキー(CDK or データキー)
CMKに基づいてCDKと暗号化されたCDKの二つが作成される
暗号化されたCDKはCMKがないと複合できない
アプリケーション 操作
GenerateDataKeyのオペレーションでCDKからCMKが作成される
暗号化されたCDKはDBに保存
平文データをCDKを使って暗号化
アプリケーション側で平文のCDKと平文データは削除
CMKは4kbyteまでしか暗号化できない
CDKは大容量のデータを暗号化できる
CMKはKMS側で管理
CDKはユーザ側の管理
マルチリージョンKMSキー:
複数のリージョンで同じKMSキーを使用可能
AWSマネージドキー
KMS対象のAWSサービスによって生成、管理される
料金無料
ユーザ側の管理責任なし、カスタマイズ不可
モーリーAWS暗号化SDK
特定のプログラミング言語に依存しない暗号化専用のライブラリ
モーリーCloudWatchダッシュボード
AWSのアカウントやIAMユーザをもたない相手にも共有可能
CloudWatch内のメトリクス、アラーム、Contributor Insightsルール、EC2インスタンスの名前とタグを閲覧する権限のみが付与される
モーリーSession Manager
AWS Systems Maneggerのフルマネージド機能
モーリーAWS Netwark Firewall
VPNのサブネットに配置するマネージドファイアウォール
モーリーIAMロール:
AWSリソースに対して権限を付与するサービス
IAMポリシー:
IAMロール、IAMユーザ、IAMグループにアタッチ
権限の範囲を定義する
IAMグループ:IAMユーザの管理や権限付与
IAMユーザ:AWSを利用する際のAWSアカウント
モーリーAWS Elasctic Beanstalk
Webアプリケーションのデプロイや実行環境の管理が容易になる
モーリーAmazon Transcribe
音声をテキストに変換する
モーリーAmazon Redshift
SQLを使用してデータウェアハウス、データレイクにわたるさまざまなデータを分析するサービス(データベース)
クラスターの稼働時間、バックアップ用のスナップショットに応じて料金が発生する
モーリーAmazon GuardDuty
AWSアカウントやAWS環境の悪意あるアクティビティや不正な行動を継続的にモニタリングする脅威検出サービス(検出するのみ)
モーリーAmazon Textract
スキャンされたドキュメントからテキスト、手書きの文字、データを自動抽出する機械学習サービス
モーリーAmazon Comprehend Medical
保護された医療情報を識別することができるサービス
モーリーQuicksight
BIツール
データの可視化、ダッシュボードの作成、インタラクティブなレポートの生成が可能
モーリーElasticashe
Memcashed
マルチスレッド
Redius
シングルスレッド
→そのかわりいろいろできる
Stringに加えていろいろなデータ型をサポート
モーリーAWS DataSync
オンプレミス環境からAWSへ安全かつ高速にデータを転送する
モーリーAWS Database Migration Service(DMS)
移行元のデータベースを利用可能な状態のまま移行できる
日々の更新を含めた継続的なレプリケーションを実現可能
モーリーAmazon Autora
パイロットライトデプロイ
バックアップ先を普段から待機させ障害発生時に起動する
停止している状態から立ち上げるためウォームスタンバイよりも時間がかかる
ウォームスタンバイデプロイ
通常時にセカンダリリージョンの予備のシステムにメインリージョンのデータを同期させておく
モーリーAWS Lake Formation
データを一元管理、保護、グローバルに共有できる
AWS Glueデータカタログを利用してデータのセキュリティとガバナンスを一元化できる
AWS Data Exchangeと連携することで、外部企業とのデータ共有を可能にする
モーリーGlue
抽出、変換、ロード(ETL)を行う完全に管理されたサービス
AWS GlueではメタデータはAWS Glueデータカタログに保存する
モーリーIOPS性能
1秒間に読み込み、書き込みできる回数
モーリーAmazon FSx for Windows File Server
オンプレミスのWindows Serverのファイルシステムデータを簡単にAWSクラウドに移行できる
ファイルストレージサービス
FSx for Lustre
モーリーAmazon AppFlow
Salesforce、SlackなどSAASアプリケーションとS3などのAWSのデータとの間で安全に転送できるサービス
モーリーAWS Direct Connect
オンプレミスとAWS間の通信の専用線を提供する
モーリーAWS DataSync
データ転送を高速、安全におこなうサービス
モーリーCost Explorer
AWSのコストを時系列で可視化しコストの使用状況の把握、コスト管理をおこなうサービス
AWS Budgets
あらかじめ設定した予算に対してAWSの利用コストと閾値が超過しそうなときアラートを通知する
モーリートラフィックのスパイクが発生する
=Webサイトやネットワークの通信量(トラフィック)が急激に増加する
モーリーDynamoDB:フルマネージドのNoSQLデータベース
オンデマンドモード:需要が予測できないときに使用
Read/Writeで自動スケーリングする
プロビジョニングモード:利用するキャパシティが予測できるときに使用
キャパシティに近づくとHTTP 400コードとProvisionedThroughoutExceededExcepotionが発生する
モーリーDAX(Amazon DynamoDB Accelator)
DynaomoDBのパフォーマンスを向上させるためのフルマネージドサービス
高速、高可用性のインメモリキャッシュサービス
DynamoDB APIコールと互換性があるため既存ロジック変更の必要なし
DAXクラスター:
サブネットグループ上に構築する
実態はユーザが管理する必要のないEC2インスタンス
DAX ClusterはVPCの中に配置し、EC2とDynamoDBの間に配置
DAX ClusterはDynamoDBにアクセスする権限必要
まず、Dax Clusterを問い合わせてキャッシュがなければDynamoDBに問い合わせる
ElasticCasheはキャッシュに向くようにアプリケーションコードを変更する必要あり
ElasticCasheはより多くのデータストアをサポートしている
モーリーポイントインタイムリカバリ
オンデマンドバックアップにより継続的にDynamoDBテーブルを完全な形でバックアップする機能を使ったデータベースを任意の時点(5分前〜過去35日間)のデータにリカバリする機能
グローバルテーブル
複数の異なるリージョンでDynamoDBのテーブルを使う
世界各地、広範囲におけるアプリケーションの可用性と高いパフォーマンスを確保できる
モーリーAmazon EMR
オープンソース分散処理フレームワークを活用して
大量のデータを処理、分析するクラウドビッグデータソリューションサービス
モーリーセキュリティグループ
CIDRを用いてIPアドレスの範囲かセキュリティグループIDを設定することが可能
-
セキュリティグループ
ステートフル
(戻り(インバウンドの拒否ルール)の設定は不要)
ENIに設定
許可ルールのみ設定可能
評価は累積的 -
ネットワークACL
ステートレス
(戻りの設定(明示的に許可)が必要)
サブネット単位で設定
許可ルール、拒否ルールを設定可能
評価は低い番号順におこなう
モーリーAWS Global Accelerator
世界中の顧客に提供するアプリケーションの可用性とパフォーマンスを改善するネットワーキングサービス
自動フェールオーバーがある
CloudFront→コンテンツを現在地に近づける
Global Accelerator→AWSネットワークをエンドユーザの場所に近づける
モーリーAmazon GuardDuty
AWSアカウントやAWS環境内の脅威に対して機械学習による高度な以上検知を継続的におこなうサービス
AWS CloudTrail logなど複数のAWSリソースからのデータを継続的に監視する
もし異常がある場合は3つの重要度に分類する
Amazon Detective
セキュリティインシデントの調査を提供するサービス
GuardDuty,AWS CloudTrailなど複数のAWSリソースから情報を自動で収集・グラフデータ化し
コンソール画面にまとめて表示してくれる
下記の情報を収集する
- ロールやユーザのAPI呼び出し頻度
- EC2インスタンスなどのインターネットトラフィック量
- 接続元IPアドレスや使用認証情報
- アカウントのコスト予測
AWS WAF
OSIモデルの7層を防御する
SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクション
DDoS攻撃などを防いでくれる
Refer制限:
HTTPリクエストに含まれるページURLに基づいてそのURLリンクへのリクエストを制限する機能
ウェブACLを作成することで特定のIPアドレスからのアクセスを拒否する
WAFv2 Geo match条件:国別にリクエストを許可、拒否できる
AWS Security Hub
AWSのセキュリティアラートを一元管理できるサービス
EventBridgeを経由してほかのAWSサービスと連携可能
例:EventBridgeによりSecurityHubの特定のイベントを検知→Amazon SNSと連携して通知する
AWS Artifact
AWSのコンプライアンスレポートのダウンロードサービス
Amazon Macie
S3バケット内のオブジェクトに機密情報が含まれていることを機械学習を用いて検知し
通知したり保護処理を実行する
Amazon Inspector
EC2インスタンスやLambda関数、ECRのコンテナイメージの脆弱性を診断するサービス
モーリーAWS ParallelClusterを利用することで、実証環境および本番環境のHPC(ハイパフォーマンスコンピューティングクラスタ)コンピューティング環境を迅速に構築し、デプロイすることが可能
モーリーAuto Scalingは処理が正常に行われずに24時間以上経過した場合、自動的に処理を停止する
起動設定の利用は推奨されておらず起動テンプレートを利用する
自動設定ではOldestLaunchConfigurationにもとづいて削除
→最も古い起動設定に基づくため既存のEC2インスタンスが削除される可能性が高い
モーリーSQS
可視性タイムアウト
ChangeMessageVisibility APIを利用しタイムアウトを設定する
ほかのコンシューマがメッセージを重複して取得するのを防ぐ
モーリーRDS
リードレプリカ
レプリケーションラグ:非同期的にデータを複製するので古いデータが表示されることがある
暗号化オプションはDBインスタンスの作成時にのみ有効にすることができ、作成後のインスタンスでは有効にすることができない
RDS Proxy
大量接続要求に対するDBの負荷を軽減する
モーリーRoute53
フェイルオーバー:
プライマリサーバやシステム、ネットワークに異常が発生したときに自動的に待機中のセカンダリ構成に切り替える
マルチバリュールーティング
ランダムに選ばれた最大8つの正常なレコードを用いて
Route53がDNSクエリに応答する際に使用される
モーリーLambda
一般的にVPC外にデプロイされるため
ネットワークACLは使えない
API Gatewayを使用するのが一般的
HTTP経由での呼び出しを実現するためには
- Lambdaの関数URLをパブリックに設定する
- API Gatewayを設置してLambdaファンクションと統合する
モーリーDynamoDB
完全マネージド型のNoSQLデータベース
ユーザセッションの迅速処理にはNoSQLを使うといい
項目のサイズ制限は400KBのため大きなデータは保存できない
ストレージの容量制限はない
モーリーKinesis Data Streams
大量のストリーミングデータをリアルタイムで収集し、処理してほかのサービスに配信されるサービス
シャードの分割:
1つのシャードを2つに分割することで
ストリーム内のシャード数が増加し、ストリームのデータ容量が増加する
シャード単位で課金されるため分割によってストリームのコストは増加する
シャードの結合:
2つのシャードを1つにまとめる
ストリーム内のシャード数が減少し、ストリームのデータ容量とコストは削減される
割り当てられたシャードが十分に活用されていない
→シャード数に余剰が生じている
Amazon Kinesis Data Firehose
ストリーミングデータを取得し、データ交換を行いながらS3などの配信先にデータを保存するストリーミングサービス
リアルタイム処理には向かない
モーリーAIサービス
Amazon Transcribe
音声記録をテキストに変換する
AmazonTranslate
様々な言語に対応
深層学習をもとにした翻訳AIツール
Amazon Comprehend
英語のテキストに対する感情分析
Amazon Polly
深層学習を利用し人間の声に近い音声を合成する音声生成AIサービス
Rekognition
画像、動画の分析がおこなえる
不適切なコンテンツの検出が可能
Amazon Lex
音声、テキストを用いてさまざまなアプリケーションにチャットbotを構築するサービス
モーリーリザーブドノード
・EC2リザーブドインスタンス
・RDSリザーブドインスタンス
・ElastiCacheリザーブドキャッシュノード
・DynamoDBリザーブドキャパシティ
・Redshiftリザーブドノード
モーリーTransit Gateway
複数のAWSアカウントにまたがる多数のVPCを接続するのに使う
オンプレミスとVPCを相互に接続するためのネットワーク中継ハブとして機能する
Gateway Load Balancer
ファイアウォール、侵入検知および防止システム、ディープバケットインスペクションシステムなどの仮想アプライアンスをデプロイ、スケーリング、管理できる
OSIモデルの第3層(ネットワークレイヤー)で機能する
モーリーStep Functions
ワークフローを作成することができる
モーリースタンダード→変更不可
コンパーティブル→変更可能
コンパーティブルのみで変更可能
・インスタンスファミリー
・OS
・テナンシー
・支払オプション
モーリーELB
ステッキーセッション:
セッション中に同じユーザからきたリクエストをすべて同じEC2インスタンスに送信する
SSL Terminination
ロードバランサー側でSSL認証をおこなう
Connection Draininig
インスタンスが登録解除されるか異常が発生したときにバックエンドインスタンスへの新規リクエスト送信を中止する
モーリーEBS
作成時にのみ暗号化を適用
EBS
RAID設定をサポートしている
モーリーECS
ステップスケーリングポリシー:
ステップスケーリングポリシーを活用することで、CPUの負荷が上昇した際に自動的にパフォーマンスを段階的に向上させる
複数の閾値を組み合わせて段階的にスケーリングを実施する手法
ターゲット追跡スケーリング
メトリクスのターゲット値を設定し、需要に応じたスケーリング構成をおこなう
CPU使用率などの1つの閾値を設定した際に、その値を維持するために自動的にスケールアウトおよびスケールインを調整するスケーリング手法
モーリーAWS Directory Service
Simple AD
Samba 4 にサポートされた AWS Directory Service からの、Microsoft Active Directory との互換性があるディレクトリ
AD Connector
AWSアプリケーションを既存のオンプレミスに簡単に接続できるプロキシサービス
モーリーAWS Organizations
AWS OrganizationsにAWS IAM Identity Centerを導入することで、複数のAWSアカウントを統合し、シングルサインオンの機能を実現できる
AWS IAM Identity Centerを通じてユーザを作成することを推奨
モーリーEC2インスタンスストア
インスタンスの停止、終了時にデータが失われる
コスト面でEFSよりS3のほうが優秀(S3のほうが安価)
モーリーAurora
データベースクローン作成機能
→データベースのデータ複製を行わないため非常に高速ですぐに使用可能
モーリーNetwork Firewall
インバウンドのトラフィックを検査、侵入を防ぐ
モーリーAWS Application Discovery Service
オンプレミスのデータセンター内にエージェントをインストールすることでデータセンターの利用状況を収集するサービス
サーバの設定データ、使用状況データ、動作データなどを収集することができる
収集されたデータは暗号化された形式で保存される
モーリーEFS
汎用モード
デフォルトでは汎用モード
レイテンシが最も低い
最大I/Oモード
何十〜何千というクライアントからの同時アクセスが必要な
大規模構築に利用
バーストスループットモード
ピーク時にクレジットを消費してバーストを実行し
一時的な性能を向上させる
プロビジョンドスループット
一貫したスループットを事前に設定する
モーリークラスタープレイスメントグループ
→HPC(ハイパフォーマンスコンピューティング)を用いたワークロードに適している
モーリーAWSのパブリックIPアドレスは動的
→EC2インスタンスが停止するとIPアドレスが変更される
解決策:Elastic IPを割り当てる
利用は無料。解放せずに利用しないと有料になる。
モーリーStorage Gateway
キャッシュ型ボリュームゲートウェイ
プライマリーはS3ストレージ
頻繁にアクセスするデータはオンプレミスにキャッシュ保存することでテイレンテンシーなアクセスが可能
保管型ボリュームゲートウェイ
プライマリーはオンプレミスストレージ
データを非同期にS3にバックアップする
モーリーカスタマーゲートウェイ:
オンプレミスのネットワークとVPCを接続するために使用されるゲートウェイ
ゲートウェイエンドポイント:
VPC内のサービス(EC2など)がインターネットを介さずにVPC外のサービス(S3など)と通信する