AWS DOPサービスまとめ2

・CodeArtifact
開発で使うソフトウェアパッケージを保存・管理するためのAWSのプライベート倉庫。
インターネット上のパッケージを一度ここにキャッシュし、開発者はCodeArtifact経由でしかパッケージを取れないようにできる。

・パッケージバージョンのステータス
公開：通常の状態。パッケージはリスト表示され、ダウンロード可能
非表示：リスト表示からは除外されるが、具体的なバージョン指定でダウンロード可能
アーカイブ済み：ダウンロードできなくなるが、リポジトリには残り、管理者は参照可能
削除済み：リポジトリから完全に削除される

・アップストリーム
CodeArtifactが必要なときに取りに行く元ネタの外部リポジトリ。インターネット上の取得元

・CodeDeployDefault.HalfAtATimeデプロイメント構成（デフォルト構成）
デプロイインスタンス群のうち半分の台数に対して一度に更新を行う。

・CloudFormationのスタックエクスポート/インポート
CloudFormationのスタックエクスポート/インポート機能は、あるスタックで作成されたリソースを別のスタックで参照するための仕組み。エクスポートする側のスタックとインポートする側のスタックは独立して管理できる。

AWS Lambdaの同時実行管理 （コンカレンシー）
・予約コンカレンシー（Reserved Concurrency）
特定の関数に対して最大同時実行数の上限を設定する。予約した枠は他のどの関数にも使われない
・プロビジョンドコンカレンシー（Provisioned Concurrency）
Lambda関数をあらかじめ起動（ウォーム状態）にしておく設定。関数を呼び出した瞬間にすぐ実行できるようにして、コールドスタート（初回起動の遅延）を防ぐ。レイテンシ重視や予測可能なトラフィックの時に使う。

・Amazon FSx for NetApp ONTAP
SMBとNFSの両方をサポートしている。

・AWS Control Tower
→プロアクティブコントロール
非準拠なリソースの作成を事前に防ぐ機能です（予防的）
→ディテクティブコントロール
既に作成されたリソースを継続的に監視し、ポリシー違反を検出してアラートを生成する機能（検出的）

・lambda関数の実行ロールはlambda関数が実行された時にどのAWSリソースにアクセスできるかを定義したもの。lambdaが実行されない時はリソースポリシーで明示的に呼び出し権限を定義する。

・AWS Step Functionsは複数ステージのワークフロー管理に最適なサービス
状態管理: 各ステージの状態（成功/失敗/進行中）を自動的に追跡する
エラーハンドリング: 特定のステージが失敗した場合、そのステージのみを再試行できる

・AWS CloudFormationスタック削除時にS3にオブジェクトが存在してたら削除できない
→lambda関数を使用してCloudFormationスタックが削除される際（RequestTypeがDeleteの場合）に、S3バケット内のすべてのオブジェクトを削除するロジックを追加する

・Canary（カナリア）
二段階（少量→全部）最初は10％→残りの90%

・Linear（リニア）
段階的に増加。10%ずつや20%ずつなど

・Amazon ECR脆弱性スキャン
→基本スキャン
OSパッケージの脆弱性
→拡張スキャン
Amazon Inspectorと統合したより包括的なスキャン。OSと言語パッケージの両方の脆弱性のスキャン

・S3バケット間のフェールオーバー
S3マルチリージョンアクセスポイントをアクティブ-パッシブ構成で設定し、障害時はSubmitMultiRegionAccessPointRoutes APIで自動フェイルオーバー先にルーティングを切り替える。

・Organizationsでの新しいアカウント作成（organizations:CreateAccount）などの重要機能は管理アカウントから行う

・organizations委任管理
AWS Config・Security Hub・GuardDutyなど特定のサービスの設定管理を委譲するための機能。

・AWS Service Catalogは、承認済みテンプレートの管理、ポリシー適用、リージョン制限、バージョン管理など、すべての要件を満たす機能を提供する。

・AWS CodeCommit は一貫してネイティブGitを使う。（CodeCommitリポジトリのクローン、単体テストの実行、タグの作成とプッシュ）

・AWS Buckupのクロスアカウントコピー
→バックアップデータが暗号化されている場合、メインアカウントのKMSキーのポリシーを変更し、新しいアカウントにキーへのアクセスを許可する。
→クロスアカウントコピーを実行するためには、新しいアカウント（宛先アカウント）のバックアップボールトのアクセスポリシーを更新し、メインアカウント（送信元アカウント）からのアクセスを許可する。

・Account Factory
一貫した設定のアカウントを自動作成

・Account Factory Customization (AFC)
Account Factoryで作成したアカウント作成後に追加設定をする。マルチアカウントに一貫した初期設定を適用したい場合

・Kinesis Data Streams
→シャード
Kinesis Data Streamsのスループット（書き込みと読み込みの容量）
→コンシューマ
ストリームからデータを取り出して処理する側。（Lambda、Kinesis Data Firehoseなど）
→拡張ファンアウト
複数のアプリケーションが同時にデータを効率よく、リアルタイムで取得できるようにする機能

・lambdaイベントソースマッピング
ストリーミングサービスとLambda関数を連携させる設定
→ParallelizationFactor
1つのKinesisシャードに対して、Lambdaが同時に何個まで並列で処理するかを決めるパラメータ（処理能力向上）
→ReportBatchItemFailures
どのレコードだけが失敗したのかを個別に報告する

・AWS Systems Manager Parameter Storeはエンドポイントも管理できる

・AWS Device Farm
主にモバイルアプリケーションやウェブアプリケーションのテストを物理デバイスやブラウザで行うためのサービス

・Amazon Detective
AWSのログデータをグラフ分析し、セキュリティインシデントの「根本原因・関連リソース・攻撃経路」を可視化する調査専用サービス

・アプリケーションがAWSサービスにアクセスするときOIDC認証を使って一時的な認証する手順
１．IAM Identity Provider（IAM認証プロバイダー）を作る
→AWSがOIDC認証プロバイダーを信頼できるエンティティとして認識できるようになる。
２．AssumeRoleWithWebIdentity で一時クレデンシャルを取得
→WebアプリからAWSにアクセスできる
３．IAMロールの作成する
→信頼ポリシーではidp-domain:aud == appid_from_idp 条件を入れる。