【AWS】SAA試験メモ
IAM
- 5 つのアクセスレベル (List、Read、Write、Permissions management、または Tagging)
EFS
- SMB(Server Message Block)プロトコルはWindowsでよく使われる
- Amazon FESはNFSv4プロトコル
- Amazon FSx for Windowsは一番速い
- 複数のAZで冗長化される(EBSは単一のAZ)
- ライフサイクル管理ができる(StandardからIAに移動)
- 汎用モードは最小レイテンシー、最大I/Oは高性能スループット
VPC
- トポロジはネットワークの接続形態
- VPC Peeringはポイントツーポイント
- Transit Gatewayはハブ&スポーク
- カスタマーゲートウェイに静的ルートテーブルを構成するとオンプレミス環境とVPN接続できる
- DNS名を受け取るためにはVPCのDNS hostnamesオプションを有効化する必要がある!
- ネットワークACLはサブネットに、セキュリティーグループはインスタンスにセットされる
- 基本的にはセキュリティーグループベースの制御が望ましい
- VPCエンドポイント
- GateWay型はS3とDynamoDBが対応、それ以外はPrivateLink型
- ネットワークACLルールは低い値から高い値にかけて評価され、一致する許可/拒否ルールが設定されるとすぐに実行されます
- プライベートホストゾーン
- パブリックホストゾーン
Route53
- CNAME(Canonical Name)はホスト名のalias
- A(Address)
- AAAA(Quad A)はAのIpv6用
- MX(Mail Exchange)
- DNSフェールオーバー設定はヘルスチェックをしながらルーティングできる
- ルーティングポリシーのフェールオーバールーティングでもできるが、↑はポリシーに関わらず設定できる
- フェールオーバーはプライマリー、セカンダリーの2つの制御のみ、それ以上はマルチバリュールーティングを使う
- トラフィックフロー
CloudFront
- 署名付きURL/Cookieの用途はアクセス制御ではなく期限付き共有
- OAI(Origin Access Identity)を使うとS3をPublic公開にせずに、CloudFrontからのアクセスに制限できる
- IPアドレスで制限もできる!!
- CloudFront + WAFのWebACLでIPアドレスを限定したアクセス制限が可能
- CloudFront + WAFのReferer制限で直前に閲覧していたページのURLに基づいてアクセス制限が可能
- 外部リンクから自分のサイトに置いてあるファイルをダウンロードされたくない場合に使用
- 地域制限 (地理的ブロッキング)
- フェイルオーバのコントロールが出来る
- ファイルを圧縮して配信できる(S3単体では不可)
- コスト算出の要素
- AWS Globel Accelerator は、世界中の顧客に提供するアプリケーションの可用性とパフォーマンスを改善するネットワークサービスです。AWS がホストするアプリケーションに対して固定エントリポイントとして機能する静的 IP アドレスを提供することでグローバルアプリケーションの管理を容易にし、様々な AWS リージョン、アベイラビリティーゾーンの特定の IP アドレスの管理における複雑さを排除します。EC2 インスタンスと Global Accelerator を接続するには、Accelerator を作成し、EC2 インスタンス ID を使用するエンドポイントにEC2 インスタンスを追加するだけです
- DR環境用
- CloudFrontのキャッシュログを有効化するといった対応はできません
- アクセスログは有効化できる
CloudFormation
- 必須要素はResourcesのみ
- その他セクション
- FormatVersion,Description,Metadata,Parameters,Mappings,Conditions,Transform,OutPuts
- ドリフト: 記述と実リソースとの乖離
EC2
- プレイスメントグループを使うとインスタンス間の通信を高速化できる
- 起動時に設定する
- Tでは設定できない、Mはできる
- リザーブドインスタンスは同じAZであれば同じ組織内で利用できる
- NetworkAclのEgressはアウトバウンド
- CloudWatchのデフォルト以外の情報の取得方法
- CloudWatchエージェントをインストールする
- CloudWatchLogsでログを集約する
- インスタンスファミリー
- I3en -> SSD, H -> HDD, D -> HDD
- Instance Store-Backed
- EBS-Backed
- ホスト専有はホストに1インスタンス、ハードウェア専有は同じホストに同じAWSのインスタンスは作られる
- IPフローティング(EIPを付け替えて、DNSのTTLに影響されずサーバーを切り替えられる)
- VPC・EIP5個、Tag50個、Subnet200個(1VPC)
- AMI = EBSスナップショット + α(管理情報)
- EC2 で vCPU ベースのオンデマンドインスタンス制限が利用可能
- コンバーティブルのみで変更可能な内容は以下のとおりです。
- インスタンスファミリー
- OS
- テナンシー
- 支払オプション
EBS
- ミラーリングできる
- Amazon DLM(Data Lifecycle Manager)を使用するをスナップショットの取得などが自動化できる
- RAID 0とは、複数のストレージ(外部記憶装置)をまとめて一台の装置のように管理するRAID技術の方式(RAIDレベル)の一つで、複数の装置に均等にデータを振り分け、並行して同時に記録することで読み書きを高速化することができます
- RAID 1はミラーリング構成とすることで、冗長性、および耐障害性を提供することができますが、性能は向上しません
- 拡張ネットワーキング機能はEC2インスタンスに対して高いI / Oパフォーマンスと低いCPU使用率を提供できるものの、これはPV AMIの代わりにHVM AMIを使用する必要がある
- BSボリュームの汎用SSDは同じAZ内のインスタンスにのみアタッチできます。別のAZのEBSにはアタッチできません
SQS
- メッセージ保持期間はデフォルト4日間、最長14日
CloudHSM
S3
- CORS(Cross-Origin Resource Sharing)はxss対策で使う
- RSS(低冗長化ストレージ)は推奨されていない
- デフォルトでオブジェクトのACLはアップロードしたAWSアカウトが所有者になっている
- 1 秒あたり 3,500 回以上の PUT/COPY/POST/DELETE リクエストまたは 5,500 回以上の GET/HEAD リクエストを達成できる
- これ以上の性能向上が必要な場合は日付などのprefixを利用して書き込み先を分散させる
- MFA認証を有効化することができる
- 仮想ホスティングを利用してもURLは変わらない
- 静的ウェブサイトホスティングURL
- pintor.s3-website-ap-northeast-1.amazonaws.com
- オブジェクトごとにACLを設定できる
- 5xxエラーが発生する場合の対処方法
- 503はバージョンが多くなりすぎている可能性があり、ライフサイクル管理でバージョンの有効期限を設定する
- S3Selectで簡単なクエリを投げられる
- Athenaに比べると機能は少ない
- 後から削除不可設定はできない!
- 変更通知の連携はSQS SNS Lambdaが可能(SESはできない)
- S3 パブリックアクセス設定機能はブロックを有効化する機能
- S3アクセスポイントでバケットポリシーをアクセスポイントに分けて管理できる(多すぎる場合は一元管理が難しいのでこれを使う)
- 個々のAmazon S3オブジェクトのサイズの範囲は、最小0バイトから最大5テラバイトです。 1つのPUT操作でアップロードできる最大オブジェクトは5ギガバイトです。
- 高速アップロードという機能はありません!!!!
Glacier
- ボールトロックで変更や削除の禁止ができる
- 迅速取り出し設定なら数分(1-5分以内)で取り出し可能
- Glacierは取り出しが3-5時間かかる、Glacier Deep Archiveは12時間以内で完了する(12時間猶予がある場合は後者を利用する)!!
- 大容量取り出しは 5〜12 時間必要
- ライフサイクルポリシーは設定できない
AutoScaling
- 簡易スケーリングポリシー
- ステップスケーリングポリシー
- 簡易と違い、CPU使用率50%なら1台、70%なら2台などと設定できる
- 条件付きスケーリングというポリシーは無い!
- ピークロードは最大負荷(%)と考える
- ヘルスチェックにはEC2ヘルスチェックとELBヘルスチェックがある
- EC2の場合、サービスがダウンしていてもインスタンスが動いていたらHealthyと判断されてしまう
- Auto Scalingグループのヘルスチェックタイプ | Oji-Cloud
- クールダウン期間はデフォルト300秒、0にもできる
- メモリ利用率をトリガーとした設定がデフォルトで設定できない(CPUはできる)
Lambda
RDS
- 別リージョンにリードレプリカを配置可能(クロスリージョンリードレプリカ)
- Auroraも可能
- Aurora Serverlessを使用すると自動でスケールしてくれる
- 予測不能な場合に使う
- RDSのAutoScalingはストレージ容量のスケーリングのみで、性能は変わらない
- EC2からのアクセスでIAMデータベース認証が利用できる
- リードレプリカは5個まで、Auroraは15
- Aurora Global Databaseを利用することで、高速で性能への影響を最小限にDR環境を構築可能なAuroraのレプリケーションを複数リージョンに展開することが可能
- フェールオーバーの実行時間は、同一の、または異なるアベイラビリティーゾーンに Amazon Aurora レプリカを作成している場合、開始から終了までに通常 30 秒以内に完了します。Amazon Aurora レプリカを作成していない場合 (単一のインスタンスの場合)、フェイルオーバーは 15 分以内で完了することになります
- コスト効率: リードレプリカ>スケールアップ
- RDSのマルチAZ構成はバックアップからRDSを複製する必要はありません。マルチAZを有効化するだけで実現可能です
Redshift
- リザーブドインスタンスは使えるが、スポットインスタンスは使えない
- シングルAZのみ対応!!!
- クロスリージョンスナップショットが設定できる
- 拡張VPCルーティングでVPC内にデータ移動を制御できる
- RedshiftのWLM(Work Load Management)
- を利用することで、クエリ処理を実施する際に、照会内容をキューに経路指定することが可能
- Redshiftに投げ込まれるクエリに対して割り当てるRedshiftのリソースを指定する機能
- Redshiftで実行されるクエリを管理するキュー
- Amazon Redshift では、暗号化キーの階層を使用してデータベースを暗号化します。AWS Key Management Service (AWS KMS) またはハードウェアセキュリティモジュール (HSM) のいずれかを使用して、この階層の最上位の暗号化キーを管理できます
- Redshiftクラスターのクロスリージョンスナップショットすることで、プライマリクラスターがダウンした場合に備えて即座に利用できる構成を維持することができます
OpsWorks
- スタックはOpsWorksの概念
- CloudFormationやElasticBeanstalkと混同しない
- OpsWorksは設定管理プラットフォームで高度な設定・制御が可能
- ElasticBeanstalkはアプリケーション管理プラットフォームで、コードをアップロードするだけで利用できる
- CloudFormationは基礎構成の管理で、運用・開発の視点は無い
Strage Gateway
- オンプレミス環境からiSCSI(Internet Small Computer System Interface)デバイスとしてマウントできる
- キャッシュボリュームはデータをS3に保存する(頻繁にアクセスするものはローカルに保持)
- S3をプライマリーにする
- 保管型ボリュームはデータをローカルに保持し、定期的にS3にバックアップを保存する
- オンプレミスをプライマリーにする
VPN
- サイト間(Site-to-Site)VPNでオンプレミス機器とVPCを安全に接続できる
- 下記VPC接続は拡張できない(ピアリングした2つのVPCは互いにVPN接続先にアクセスできない)
- Accelerated サイト間VPNがある
- Amazon VPCには、リモートの顧客ネットワークとVPCの間にIPsec VPN接続を作成するオプションがあります。AWS managed VPNを利用することで、オンプレミス環境とVPC間とのサイト間接続を実行することができます
- WS VPN CloudHubというサービスによってサイト間接続をすることも可能です。AWS VPN CloudHub を使用するには、複数のカスタマーゲートウェイを使って仮想プライベートゲートウェイを作成する必要があります
Snowball Edge
- Snowball Edge Compute Optimizedは42TB
- Snowball Edge Storage Optimizedは100TB(実際は80TBほど)
- SnowBallは非推奨
- AWS Snowmobileはエクサバイト
Kinesis
- KCL(Kinesis Client Library)ワーカー
- Firehoseはデータの変換も可能
- Kinesis Data Streamsは一連のデータレコードを持つシャードのセットであり、各データレコードにはKinesis Data Streamsによって割り当てられたシーケンス番号があるため、 メッセージが失われず、重複されず、到着と同じ順序で伝送することが可能
AWS Data Pipeline
- スケジュール実行できる
- ETLサービス(RDS -> S3等)、TransformはSQLレベル
- 異なるAWSサービスとオンプレミスデータソース間でデータを処理および移動するのに利用
- SWFと比較して、こちらはコーディングなしでも実現可能
Amazon Simple Workflow (SWF)
AD Connector
ECS
ELB
- クロスゾーン負荷分散
- Connection Drainingは既存の接続を開いたまま、登録解除または異常なインスタンスへのCLBのリクエスト送信を停止することができる
- NLBはTCP、UPDプロトコルに対応(HTTP/HTTPSはダメ)
- ALBはTCPダメ
AppSync
AWS Step Fnctions
- サーバーレスの処理を複数のLambdaなどを連携させて実現できる
- 手動アクションも設定できる
SQS
- メッセージは無制限
AWS X-Ray
ENI
- Elastic Network Interface(ENI)は、仮想ネットワークカードを表すVPCの論理ネットワークコンポーネントです。 以下の方法でネットワークインターフェースをEC2インスタンスにアタッチすることができます
- 実行中(ホットアタッチ)
- 停止したとき(ウォームアタッチ)
- インスタンスが起動されているとき(コールドアタッチ)
DynamoDB
- 結果整合性のある読み込み(Eventually Consistent Reads)」と「強力な整合性のある読み込み(Strongly Consistent Reads)」の2つのモードがあります。 デフォルトでは、「結果整合性のある読み込み」で、雑に言えば、「書き込みが成功してもそれが反映された最新のデータが取れる保証はないよ」というモードです
- AutoScalingで性能もスケールできる
AWS EMR
- MACHINE LEARNING
- 抽出、変換、読み込み (ETL)
- クリックストリーム分析
- リアルタイムストリーミング
- インタラクティブ分析
- ゲノミクス
- クラスターはEC2インスタンスの集まり、オンデマンドorスポットインスタンスを選択できる(リザーブドも
Other
- SLA(Service Level Agreement)サービスの品質保証
- SFA(Sales Force Automation)営業の自動化
- トランスコードはエンコードしたデータを別の形式に変換(再エンコード)すること
- FargateはEC2の代わりに使う
- AWS OrganizationsのSCP(Service Control Policy)
- 組織単位 (OU)
- Route Origin Authorization (ROA)
- ENI(Elastic Network Interface)
- AWS Server Migration Service (SMS)は仮想マシンのAWSへの移行サービス
- AWS Database Migration Service(DMS)
- AWS Serverless Application Model(SAM)はcloudformationのサーバーレス用の拡張
- デフォルトで保存データを暗号化しているサービスはAWS Storage GatewayとAmazon Gracier!
- Amazon Inspectorはセキュリティー評価サービス
- AWS Well-Architected フレームワーク
- 運用上の優秀性
- セキュリティ
- 信頼性
- パフォーマンスの効率
- コスト最適化
- グローバルサービスS3、リージョンサービスVPC・DynamoDB、AZサービスEC2等
- IAM Access Analyzer は、AWS アカウントの外部からアクセスできるリソースを特定する総合的な解析を実行
- これにより、S3の外部アカウントからのアクセス情報を分析して、不正なアカウントアクセスがないかを確認することができます!
- アクセスの不正検知、アクティビティーの不正検知はCloudTrail
- Amazon WorkSpaces仮想デスクトップ
- ACMはオリジンがELBなら設定しやすい
- Trusted Advisor は AWS で利用している EC2 や RDS などのサービスをコストやセキュリティに関する Best Practice に基づいたアドバイスを自動的に行なってくれるサービス
- AWS Organizationsの一括請求により、単一の組織内の複数のAWSアカウントの支払いを統合できます。 Amazon EC2やAmazon S3などの一部のサービスでは、ユーザーがサービスをより多く使用すればするほど、ユーザーに低価格を提供する特定のボリューム価格が利用されています。したがって、ボリュームを統合して請求することによって、コストを削減できる可能性があります
- リザーブド
- AWS Application Discovery Serviceは、オンプレミスサーバーのインベントリと動作を検出するために使用されます。このサービスは、AWSへの移行計画を作成するときに利用するものです
- AWS Backup は、AWS Storage Gateway を使用して、オンプレミスおよび AWS サービス全体のデータのバックアップの一元化と自動化を簡単に実行できる、完全マネージド型のバックアップサービスです。バックアップポリシーを一元的に設定し、Amazon EBS ボリューム、Amazon RDS データベース、Amazon DynamoDB テーブル、Amazon EFS ファイルシステム、AWS Storage Gateway ボリュームなどの AWS リソースのバックアップアクティビティを監視できます
- EC2とRDSなど、複数サービスを使用したシステム・環境単位でバックアップしたい
- 複数のバックアップを1ヶ所で一元管理したい
- 日次と月次など、複数スケジュールでバックアップしたい
- EC2インスタンスのリストア手順を簡易にしたい
- ※世代管理したいならDLM
- WS 暗号化 SDK は、言語固有の SDK とは別の暗号化ライブラリです。この暗号化ライブラリを使用すると、アプリケーションで暗号化のベストプラクティスをより簡単に実装できます。AWS 暗号化 SDK は Amazon S3 専用ではなく、任意の場所にデータを保存または復号するために使用できます
- AWS Application Discovery Service (ADS)では、オンプレミスデータセンターに関する情報を収集することにより、ユーザーの移行プロジェクト計画作成を支援します
- ACMでサポートされていないリージョンでは、HTTPS接続をサポートする必要がある場合は、IAMをSSL証明書マネージャーとして使用します
- ブートストラップ(Bashシェルスクリプトの利用)
- AWS DataSync は、オンプレミスストレージと Amazon EFS 間でデータを迅速かつ簡単に移動することができるマネージド型のデータ転送サービスです
- Amazon Lex は、音声やテキストを使用して、任意のアプリケーションに対話型インターフェイスを構築するサービス
- Amazon Polly は、文章をリアルな音声に変換するサービス
- Amazon SageMaker は、すべての開発者とデータサイエンティストに機械学習モデルを迅速に構築、トレーニング、デプロイできる手段を提供します。Amazon SageMaker はフルマネージドサービスで、機械学習ワークフロー全体に対応しています
- Amazon Rekognition では、画像分析と動画分析をアプリケーションに簡単に追加できます。Rekognition API に画像または動画を与えるだけで、このサービスが対象物、人、テキスト、シーン、アクティビティ、それに不適切なコンテンツまで検出します。Amazon Rekognition では画像および動画に対し、高精度の顔分析および顔認識を行うこともできます。顔を検出、分析、比較して、多岐にわたるユーザー検証、人数計数、公共安全のユースケースに使えます