模擬問題集とか、公式模擬を受けてみて弱かった場所の補完。自分用メモ
いろいろなところから情報をかき集めたり、自分の理解で記述しているため情報内容の保証はできません。
- ワンポイント
- ネットワークACL
- EBSボリュームの暗号化
- RDSのMulti-AZ 構成
- Cloud Frontのアクセスログ
- S3の暗号化
- 透過的暗号化サービス
- AWSサポート
- Auto Scalingの対象サービス
- DynamoDBの使用用途
- ElastiCacheの種類
- S3のライフサイクルポリシー
- Amazon Redshift 拡張VPCルーティング
- ECSのタスク
- Auto Scalingクールダウンタイム(期間)
- プライベートサブネットとパブリックサブネット
- NATゲートウェイ
- S3オブジェクトのプレフィックス追加
- EBSボリュームタイプ
- Amazon S3 Glacier 迅速取り出し
- AWSサービス適用の流れ
- コスト配分タグ
ワンポイント
ネットワークACL
ネットワークACL ではデフォルトですべての送受信トラフィックが許可されている。
トラフィックの制御は、ネットワークACLではなくセキュリティグループで行うのがベストプラクティスとなっている。
EBSボリュームの暗号化
・新規ボリュームを作成するとき
・スナップショットのコピーを作成するとき
いずれもオプションによってつける
RDSのMulti-AZ 構成
Multi-AZ 構成のスタンバイインスタンスにはスタンバイ状態ではアクセスすることはできない。
Cloud Frontのアクセスログ
Webアプリケーションの構築環境でアクセスログを解析する場合は
EBSのログを取得。
CDNのキャッシュのアクセスログを取得する場合にはCloud Frontからログを取得する必要がある。
S3の暗号化
S3のバケットポリシーによってデフォルト暗号化を有効化した上で、以下の設定を行う
・AWS KMS を使用したサーバーサイド暗号化
・S3 管理キーを使用したサーバーサイド暗号化
・ユーザー独自のキーを使用したクライアントサイド暗号化
透過的暗号化サービス
・EBS
・Glacier
・DynamoDB
・Storage Gateway
・SQS
・S3
など
AWSサポート
・ベーシック
・開発者
・ビジネス
・エンタープライズ
ベーシックのみが無料。
緩和申請は全てのサポートプランでできる。
Trusted Adviserはビジネス以上で完全のサービスを受けることができる。
Auto Scalingの対象サービス
再掲
・Amazon EC2 インスタンス(+フリースポット)
・Amazon ECS タスク
・Amazon DynamoDB テーブルとインデックス
・Amazon Aurora レプリカ
DynamoDBの使用用途
・Web のセッション情報
・ストレージのインデックスなどのメタデータ
・ユーザーIDの保存
ElastiCacheの種類
・Memcached用ElastiCache
・Redis用ElastiCache(高機能、以下に対応する)
● データ型:複雑
● 暗号化:あり
● コンプライアンス認証:あり
● マルチスレッド:なし
● 高可用性:あり
● 自動フェイルオーバー:必須
● バックアップと復元:あり
S3のライフサイクルポリシー
公開設定を行っているS3のオブジェクトに対してライフサイクルとして失効アクションと移行アクションを設定することができる。
失効アクション:削除する。
移行アクション:低頻度(Glacier)に移行する。
Amazon Redshift 拡張VPCルーティング
Reddhiftの拡張VPCルーティングを有効にすると、全てのトラフィックがVPCを経由するように強制される。
VPC エンドポイント:同一リージョンのS3にアクセスする場合にはS3のVPCエンドポイントを設定する。
NAT ゲートウェイ:別リージョンのS3、他のリソースにアクセスする場合に設定する
インターネットゲートウェイ :AWS外のリソースにアクセスする場合に設定する
参考:https://docs.aws.amazon.com/ja_jp/redshift/latest/mgmt/enhanced-vpc-routing.html
ECSのタスク
ECS上で Dockerコンテナを実行するには、タスク定義が必要となる。
タスクごとにコンテナが実行されるイメージ。
タスクにはIAMロールを設定することができる。
EC2へのロール付与でなく、タスクに付与することによって、細かなリソースへのアクセス制御を実現できる。
参考
よくある質問 - Amazon ECS | AWS
ECSタスクのためのIAMロールによってコンテナ利用アプリケーションをより安全にする | Amazon Web Services ブログ
Auto Scalingクールダウンタイム(期間)
Auto Scaling自体はシステム全体の適切な可用性やパフォーマンス、コストを保つためにコンピューティングサービス等の起動数を調整するものだが、Cloud watchで監視を行っている場合に過剰起動になる恐れがある。
Cloud watchの監視で起動命令が出てから、実際に起動するためにタイムラグがあるため。
リソースの稼働状態で監視、Auto Scalingの設定を行っている場合、監視、通知期間が起動時間を上回った場合、高稼働状態を検知し続け、起動命令が続けて発行されるため過剰起動になりうる。
それを防ぐために、クールダウンタイム(デフォルト300秒)を設定することで起動指示直後の待ち時間を設けている。
また、Cloud Watchの通知期間を適切に設定することも必要となる。
プライベートサブネットとパブリックサブネット
問題文中に設問としての主題かどうかに関わらず、言葉としては頻出。
いちいち理解するよりも早く、言葉がでてきた時点で構成が把握できるようになっておいた方がよいと思われる。
パブリックサブネット:インターネットにアクセスができる
プライベートサブネット:インターネットにアクセスができない
具体的にはサブネットに設定されたルートテーブルによりインターネットゲートウェイに接続できるようになっているか。
NATゲートウェイ
インターネットからの接続は行わせないが、サブネットからインターネットには接続できるようにするためのゲートウェイ。
プライベートサブネット内のソフトウェア更新などの用途では頻出。
パブリックサブネットにNATゲートウェイを設置し、プライベートサブネットのルートテーブルにインターネットへのアクセスをNATゲートウェイとなるように設定することで実現する。
S3オブジェクトのプレフィックス追加
プレフィックスの追加によりパフォーマンスの向上が見込める。
以前はプレフィックスの追加にランダムなハッシュ値等を設定する必要があったが、バージョンアップにより、日付等を工夫なしに付与してもパフォーマンスを向上できるようになった。
参考:https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/optimizing-performance.html
EBSボリュームタイプ
・プロビジョンド IOPS SSD
最高のスループットを実現、ミッションクリティカルな場合などに使用する。
EBS最適化インスタンスを使うことが推奨
・汎用 SSD
一般的なタイプ。小規模データベースなどに使用する。
・スループット最適化 HDD
I/Oの処理速度は落ちる。I/Oのサイズ自体は大きい。
ビッグデータなど大量のデータ保存も兼ねている場合に使用する。
・Cold HDD
低頻度アクセスの大量データを扱う場合に使用する。
Amazon S3 Glacier 迅速取り出し
オプションにより設定する。課金オプション
オンデマンドリクエストは、1~5 分以内に取り出しを完了できる場合に行う。
プロビジョニングリクエストでは、必要に応じて、迅速取り出しで利用できる取り出し容量を確保する。
AWSサービス適用の流れ
AWS CloudFormationはベストプラクティスに基づいたテンプレートを作成する。
※AWS環境の構築においては実践的にはかなり重要なサービス。
これにより、開発環境から本番環境まで、規則的で一貫した環境を構築することができる。
AWS Config のルールを使用して、ワークロードの標準を作成する。
Amazon CloudWatchではワークロードの運用状態をモニタリングする。
Amazon Elasticsearch Service (Amazon ES) により、ログデータを分析する。
公式ドキュメントより。
コスト配分タグ
コスト配分タグの使用により、AWSの使用量とコストの分類追跡を行うことができる。
AWSでは使用量とタグによって、使用状況のレポートなどが作成される。
組織のカテゴリを表すタグ(コストセンター、ワークロード名、所有者など)をつけることで、複数のサービスにわたってコストを整理することが可能となる。
公式ドキュメントより。
