✨
AWS Cloud Quest Security 学習記録 Day1: AWS基盤の基礎とセキュリティ
はじめに
AWS 認定 Security Specialty 取得を目指して、AWS Cloud Quest の Security コースで学習を開始しました。本日は第1回目として、AWSの基盤となる重要な3つのトピックについて学習しました。
- AWS Global Infrastructure(グローバルインフラストラクチャ)
- AWS Well-Architected Framework(ウェルアーキテクテッドフレームワーク)
- Amazon S3(Simple Storage Service)
これらはAWSでセキュアなシステムを構築する上で欠かせない基礎知識です。それぞれ詳しく見ていきましょう。
1. AWS Global Infrastructure
概要
AWS Global Infrastructureは、あらゆる規模の企業が依存できるクラウドインフラストラクチャを提供しています。最も柔軟で、信頼性が高く、スケーラブルで、セキュアなクラウドコンピューティング環境を実現するよう設計・構築されています。
現在の規模(学習時点)
- 105のAvailability Zone
- 33の地理的リージョン
- さらに18のAvailability Zoneと6つのリージョンが追加予定
- 再生可能エネルギーを使用した持続可能な未来への長期的なコミットメント
主要コンポーネント
1. リージョン(Regions)
- 世界中の複数の場所にホストされるクラウドコンピューティングリソース
- 各リージョンは地理的に分離された独立したエリア
- 少なくとも2つ以上のAvailability Zoneを持つ(多くは3つ、最大6つ)
2. Availability Zone(AZ)
- 完全に隔離された場所で、相互に数キロメートル離れて配置
- 各AZは1つ以上のデータセンターで構成(通常3つ)
- フルスケールでは数十万台のサーバーを収容可能
- 各データセンターの特徴:
- 冗長電源
- 専用のメトロファイバー接続
- 個別の施設に収容
3. ネットワーク
- すべてのデータセンター、AZ、リージョンは専用のプライベートグローバルネットワークで相互接続
- 高可用性と低遅延を実現
- グローバルで完全に冗長化された並列ファイバーネットワーク
4. Points of Presence(PoP)
- Amazon CloudFrontによる世界最大規模のCDN(Content Delivery Network)
- エッジロケーションとリージョナルエッジキャッシュサーバーで構成
- 低遅延と高速転送でエンドユーザーにコンテンツを配信
Availability Zoneの重要性
AZを活用することで、アプリケーションのパーティショニングが簡単になります。複数のAZにまたがってアプリケーションを展開することで、以下の災害から保護されます:
- 落雷
- 竜巻
- 地震
- その他の自然災害
実装例:3つのAZにアプリケーションを展開し、ロードバランサーでトラフィックを分散。1つのAZで障害が発生しても、他のAZにトラフィックがルーティングされ、アプリケーションは稼働し続けます。
AWS Global Infrastructureの利点
1. パフォーマンス
- 高品質で中断のないパフォーマンスを保証
- 高性能、低遅延、高度にスケーラブル
- 変化するニーズに対してパフォーマンスを落とすことなく高速に対応
2. 可用性と信頼性
- 物理的な冗長性を備えた設計
- 単一障害点(SPOF)のない回復力のある設計
- リージョンからネットワーキングリンク、ロードバランサー、ルーター、ファームウェアまで、すべてのコンポーネントが冗長性と信頼性を考慮して設計
3. カスタムハードウェア
- Amazon独自のカスタムハードウェアを使用
- カスタム設計のコンピュートサーバー、ロードバランサー、ルーター、シリコン
- AWS顧客のワークロードに最適化
- 最高レベルの信頼性、最速のイノベーション、最低コストを実現
4. セキュリティ
- 世界で最も厳格なセキュリティ要件を満たすよう設計
- 軍事機関、グローバル銀行、その他の高機密性組織のセキュリティ要件を満たす
- 24時間365日の監視により、顧客データの機密性、完全性、可用性を確保
5. スケーラビリティ
- クラウドの概念的に無限のスケーラビリティを活用
- 必要なリソース量をプロビジョニングし、即座にスケールアップ/ダウンが可能
- 数百から数千のサーバーを数分で展開可能
6. 低コスト
- 業界で最も広範なデータセンターフットプリント
- クラウドの規模の経済によるメリット
- IT インフラストラクチャの総所有コスト(TCO)を削減
2. AWS Well-Architected Framework
概要
AWS Well-Architectedは、クラウドアーキテクトが6つの柱を中心に構築されたインフラストラクチャを設計するのに役立ちます。フレームワークには以下が含まれます:
- ハンズオンラボ
- AWS Well-Architected Partner Programへのアクセス
- AWS Well-Architected Tool(ワークロードの評価、高リスク問題の特定、改善の記録)
6つの柱(Pillars)
1. Operational Excellence(運用上の優秀性)
- システムの実行と監視に焦点
- プロセスと手順の継続的な改善
2. Security(セキュリティ)
- 情報とシステムの保護に焦点
- データの機密性、完全性、可用性の確保
3. Reliability(信頼性)
- ワークロードが割り当てられた機能を確実に実行
- 障害から迅速に回復して需要を満たす
4. Performance Efficiency(パフォーマンス効率)
- 適切なリソースタイプとサイズの選択
- パフォーマンスの監視と効率の維持
5. Cost Optimization(コスト最適化)
- 支出傾向の理解
- 資金配分の制御
- オーバースペンドすることなくビジネスニーズに合わせたスケーリング
6. Sustainability(持続可能性)
- クラウドワークロードの環境への影響を最小化
- エネルギー消費とリソース使用の削減
AWS Well-Architected Tool
主な機能
-
カスタムレンズの作成
- 組織にとって最も重要なベストプラクティス、柱、質問を追加可能
-
共有機能
- 最大300の個別IAMユーザーまたはアカウントと共有
- 組織全体での共有も可能
-
持続可能性レビュー
- エネルギー消費と環境への影響を理解
-
規制対応
- AWS GovCloudリージョン(米国)で利用可能
- 特定の規制およびコンプライアンス要件を持つ顧客向け
3. Amazon S3(Simple Storage Service)
概要
Amazon S3はオブジェクトストレージサービスで、以下の要素で構成されます:
- オブジェクト:データとメタデータ(名前と値のペア)で構成
- バケット:オブジェクトを格納するコンテナ
- キー:バケット内でオブジェクトを一意に識別
アクセス例:
http://johnsmith.s3.region.amazonaws.com/photo/puppy.jpg
主な特徴
1. 業界をリードする性能
- スケーラビリティ:変動する需要に自動的に対応
- 耐久性:11ナイン(99.999999999%)のデータ耐久性を実現
- 可用性:複数のシステムにコピーを自動作成・保存
- セキュリティ:暗号化機能とアクセス管理ツール
2. 使用事例
- ウェブサイト
- モバイルアプリケーション
- バックアップとリストア
- アーカイブ
- エンタープライズアプリケーション
- IoTデバイス
- ビッグデータ分析
ストレージクラス
S3は用途に応じた多様なストレージクラスを提供:
1. S3 Standard
- 頻繁にアクセスされるデータ向け
- 低遅延・高スループット
- ミリ秒単位でのデータアクセス
2. S3 Intelligent-Tiering
- アクセスパターンが不明または変化するデータ向け
- アクセスパターンに基づいて自動的にティア間でデータを移動
- パフォーマンスへの影響なし
3. S3 Standard-IA / S3 One Zone-IA
- 長期保存だが頻繁にアクセスされないデータ向け
- S3 One Zone-IAは1つのAZのみに保存(再作成可能なデータに最適)
4. S3 Glacier ストレージクラス
- Glacier Instant Retrieval:即座にアクセスが必要なアーカイブデータ(ミリ秒での取得)
- Glacier Flexible Retrieval:数分での取得、または5-12時間での無料一括取得
- Glacier Deep Archive:最も低コスト、12-48時間での取得
管理機能
1. ライフサイクル管理
- S3 Storage Class Analysis:アクセスパターンに基づいて低コストストレージクラスへの移行対象を発見
- S3 Lifecycle Policy:オブジェクトの自動移行とExpire設定
2. レプリケーション
- Cross-Region Replication:他のAWSリージョンへのデータ複製
- 同一リージョン内でのレプリケーションも可能
3. セキュリティ機能
- S3 Object Lock:定義した保存期間中のオブジェクトの削除を防止(WORM: Write Once Read Many)
- S3 Block Public Access:バケットまたはアカウントレベルでパブリックアクセスをブロック
4. 運用管理
- S3 Inventory Report:保存オブジェクト、メタデータ、暗号化ステータスのリスト化
- S3 Batch Operations:数十億のオブジェクトに対する一括操作
分析機能
Query-in-Place サービス
- データのコピーや移動なしに、S3上で直接ビッグデータ分析を実行
連携サービス
- Amazon Athena:標準SQLでS3データをクエリ
- Amazon Redshift Spectrum:複雑なクエリとエクサバイト規模のデータセットに対応
- S3 Select:オブジェクトの部分データ取得(最大400%のクエリ性能向上、80%のコスト削減)
バージョニング
バケットの3つの状態:
- Unversioned(デフォルト)
- Versioning Enabled:バージョンIDの作成
- Versioning Suspended:新規オブジェクトのバージョンID作成を停止(既存は保持)
重要なポイント:
- 一度有効化すると、無効化はできない(一時停止のみ可能)
- 偶発的な削除や上書きからの保護
- 削除マーカーの挿入により、完全削除を防止
アクセス管理
デフォルト設定
すべてのS3リソース(バケットとオブジェクト)はデフォルトでプライベート
アクセスポリシーの種類
-
リソースベースのポリシー
- Access Control Lists (ACL):レガシーなアクセス制御メカニズム
- Bucket Policies:JSON形式で記述、バケットとその中のすべてのオブジェクトにアクセス権限を提供
-
ユーザーポリシー
- IAM Policies:IAMユーザー、グループ、ロールに添付
バケットポリシーの例
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": ["arn:aws:iam::123456789012:root",
"arn:aws:iam::123456789012:user/alice"]
},
"Action": "s3:*",
"Resource": ["arn:aws:s3:::mybucket",
"arn:aws:s3:::mybucket/*"]
}]
}
IAMポリシーの例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::test-bucket"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::test-bucket/*"
}
]
}
サポート体制
- AWS Partner Network (APN):最大規模のクラウドサービスプロバイダーコミュニティ
- 移行パートナー:S3へのデータ転送支援
- ストレージパートナー:プライマリストレージ、バックアップ、アーカイブ、災害復旧のソリューション
- AWS Marketplace:250以上のストレージ関連ソリューション
まとめ
本日の学習では、AWS Cloud Questを通じて以下の重要な概念を学びました:
- AWS Global Infrastructureは、世界規模で高可用性、高信頼性、高セキュリティなクラウド基盤を提供
- AWS Well-Architected Frameworkの6つの柱を理解し、適切に設計されたクラウドアーキテクチャの重要性を認識
- Amazon S3の包括的な機能と、セキュアなオブジェクトストレージの実装方法
これらの基礎知識は、AWS Security Specialtyの認定取得に向けた重要な第一歩となります。特にS3のアクセス管理やセキュリティ機能は、セキュリティ専門家として深く理解しておく必要がある領域です。
Discussion