🐥

AWS DOPサービスまとめ

に公開
AWS 認定試験
idea

・SCPは管理アカウントには適用されない
組織のルートにSCPを適用したら組織全体(すべてのOUとアカウント)に適用される

SCP は以下の3つの単位にアタッチできます:
1. 組織のルート(Root)
2. OU(Organizational Unit)
3. 個別のアカウント

・AdministratorAccess
各アカウント内で個人に直接つける権限

・AWSSSOMemberAccountAdministrator
IAM Identity Centerのメンバーアカウントに対する権限セットと割り当てを管理する権限を提供する。管理アカウントへのアクセスは制限される。

・パーミッションセット
複数の権限をまとめたもの
→パーミッションセットの中にAdministratorAccessを含めてそれが個々のユーザーに適合するイメージ

・IAMポリシー境界
IAMユーザーやロールが持てる最大権限の上限を決めるもの(SCPのIAM版)
組織単位の制御ではない。IAM単位

・amazon-efs-utils
オンプレミスサーバーからAmazon EFSファイルシステムに安全に接続するための推奨ツール。マウント時に自動で TLS暗号化通信。

・AWS Private Certificate Authority
社内や内部専用の証明書を発行する。IAM Roles Anywhereの信頼アンカー

・IAM Roles Anywhere
オンプレミスや他クラウドのサーバーがAWSロールを使えるようにする仕組み
証明書を使ってIAMロールを安全に使う。
信頼アンカーをIAM Roles Anywhereに登録し、そのIAM Roles Anywhereがロールを発行する

・サーバー内にアクセスキーとシークレットアクセスキーを保存しない

・Container Insights
コンテナのメトリクスを監視する。普通のクラウドウォッチのコンテナ版みたいな感じ

・アプリケーションのメトリクスを見るって時はpodを収集する

・CloudWatchAgentServerPolicy
CloudWatchエージェントがメトリクスデータをCloudWatchに送信するために必要な権限を提供する管理ポリシー。クラウドウォッチを使ってメトリクスを監視するときはこのポリシーが必要
IAMロールに割り当てる

・AWS EKSのコントロールプレーンはAWS側でしかイジれないからユーザーが設定を加えたりすることは出来ない

・Systems Manager State Manager
サーバーやEC2インスタンスを「常に理想状態に保つ」。
新しいインスタンスにも自動適用

・Systems Manager Inventory
インスタンスに関する詳細な情報を自動的に収集する。どのようなソフトウェアが動作してるかどうか

・AWS Control Towerは予防的な制御(ガードレール)と検出的な制御(AWS Config Rules)の両方を提供する

・ALBのDNSホスト名はロードバランサー全体を指すから特定のAZを識別することは出来ない

・Amazon Route 53 Application Recovery Controller
DNSレベルではなくてアプリケーションレベルでのフェールオーバーをする機能
アプリケーションの「準備状態(Readiness)」や「安全な切替(Safety)」も考慮し、
マルチリージョンDRを安全に行うことができる。

・ゾーナルシフト
AZ障害時にロードバランサーからのトラフィックを一時的に分離する

・EKSがEFSに接続するには
1. EFS CSIドライバーがファイルシステムにアクセスするための権限を与えるIAMロールを作成する。
2. EKSノード(EC2)が存在するサブネットやAZにEFSマウントターゲットを作成する
3. EFS側のセキュリティグループでNFSポート(2049/TCP)を開放する

・AWS CDK の「assertionsモジュール」でテストを作成する

・CodeBuildでテストを実行し、失敗したらパイプラインを停止できる

・AWS CodeBuild
ソースコードをコンパイルし、テストを実行し、デプロイ可能なソフトウェアパッケージ(ビルドアーティファクト)を作成する。デプロイ前の準備をする

・AWS SAM
AWSのサーバレスアプリケーションをコマンド一つで作成できる。サーバレス特化型IaCみたいなイメージ
→CodeUri
SAMテンプレートでLambda関数のソースコードの場所を指定するプロパティ
Lambda関数のコードが入っているディレクトリ(またはファイル)のパスを指定する
差分検知をさせたいならLocalを指定してsam deployを実行する。SAMがZIP作成→S3アップロードしてくれる

・AWS Organizations(組織)の管理アカウントに直接IAMユーザーを作成することは、セキュリティのベストプラクティスに反する

・CloudWatch Logsのメトリクスフィルタ
リアルタイムで流れてくるログに対してメトリクスを生成する。CloudWatchアラームのトリガーとして使用出来て自動通知を送信できる
→過去のログを解析したいならCloudWatch Logs Insights を使用する
→クエリを実行して初めてデータを取得できるからリアルタイム性は欠ける

・Amazon CloudWatch Logsのサブスクリプションフィルター
CloudWatch Logs に保存されたログを、リアルタイムで別の宛先へ転送する(Lambda関数、Kinesis Data Streams、またはFirehose)
→SNSには送信が複雑なので効率が悪い。ログデータを処理できるサービスに接続する。

・ウォームプール
事前に初期化されたインスタンスをプールしておくことで、スケールアウト時のアプリケーション起動時間を短縮できる。迅速なスケーリングに最適

・Amazon EC2 Image Builder
安全で最新のAMIやコンテナイメージを自動的に作成・管理・配布できるサービス。設定を標準化するときに使う。
→イメージを複数リージョンに直接配布できる

Discussion