問題演習や模擬を通して公式サイトの重要性が少し分かってきたので(遅い)、直前になりますが主要サービスの参考書であまり触れられていなかった点や忘れかけていた点、模擬を通してなんとなく出題さえれもおかしくないと思った点の抜き出しメモ。
各サービス振り返りメモ
S3
引用元:Amazon S3(拡張性と耐久性を兼ね揃えたクラウドストレージ)|AWS
・偶発的な削除を防止するには、S3 バケットの [Multi-Factor Authentication (MFA) Delete] を有効にする。
⇒削除時に認証が求められる。
・S3 イベント通知を設定して、S3 リソースに特定の変更が加えられたときに、ワークフロー、アラートをトリガーして AWS Lambda を呼び出すことができる。
⇒S3にアップロードされたファイルに対してのトランスコードやLamda関数の実行ができる。
・1 つの PUT にアップロード可能なオブジェクトの最大サイズは 5 GB 。
・オブジェクトはひとつの AWS リージョン内で少なくとも 3 つのアベイラビリティーゾーン (互いに離れている) にまたがった複数のデバイスに自動的に保存される。
・作成時は、リソースの所有者のみがその作成した Amazon S3 リソースにアクセスできる。
・バケットに対するアクセスを特定の Amazon VPC エンドポイント、またはエンドポイントのセットからのみに制限するには、Amazon S3 バケットポリシーを使用する。
・Amazon S3 Access Points とは?
⇒S3 上の共有データセットを使用するアプリケーションの大規模なデータアクセスを簡単に管理できるようになる。個別にバケットポリシーを設定する必要がなくなる。
アクセスポイントの追加、表示、削除も、S3 コンソールおよび CLI によるアクセスポイントポリシーの編集ができる。CloudFormation テンプレートによっていも設定が可能。
EBS
引用元:Amazon EBS(EC2 ブロックストレージボリューム)| AWS
・単純に EBS ボリュームをタグ付けし、バックアップの作成と管理のためのライサイクルポリシーの作成を開始します。ポリシーをモニタするには Cloudwatch Events を使い、バックアップが正常に作成されるようにする。
・Amazon CloudWatch と AWS Lambda を使用することで、アプリケーションのニーズの変化に合わせたボリュームの変更を自動化できる。
・EBS の暗号化では、Amazon が管理するキーまたはユーザーが AWS Key Management Service (KMS) を使用して作成と管理を行っているキーを使用し、データボリューム、ブートボリューム、およびスナップショットを暗号化することで、保管中のデータのセキュリティを実現する。
・スナップショットはボリュームがアタッチされ使用中の状態でもリアルタイムで実行できる。
・Fast Snapshot Restore (FSR) を使用するのはどのような場合ですか?
⇒迅速なリストアが可能となる。
仮想デスクトップのインフラストラクチャ (VDI)、バックアップと復元、テストおよび開発用のボリュームコピー、そしてカスタム AMI からのブートなどのユースケースに役立つ。
AWS Lambda
引用元:AWS Lambda(イベント発生時にコードを実行)| AWS
試験的には深いところまではあまりでない。Lamdaに絞った問題よりもユースケースでの出題が多い。
・AWS Lambda にコードをアップロードすれば、関数を特定の AWS リソース (特定の Amazon S3 バケット、Amazon DynamoDB テーブル、Amazon Kinesis ストリーム、Amazon SNS 通知) に関連付けることができる。
・機密情報を環境変数に格納できますか?
⇒データベースのパスワードなどの機密情報については、AWS Key Management Service を使用してクライアント側で暗号化し、この暗号化した値を環境変数に暗号文として格納することが推奨される。
・AWS Lambda は自動的に Amazon CloudWatch のログと統合される。
・Lambda はイベントを送信していない他のサービスのリソースをポーリングすることもできます。たとえば、Lambda では Amazon Kinesis ストリームまたは Amazon SQS キューからレコードを取得し、取得した各メッセージに対して Lambda 関数を実行できる。
Amazon Elastic Container Service
引用元:Amazon ECS(Docker コンテナを実行および管理)| AWS
・タスク定義とは、アプリケーションを構成する 1 つ以上 (最大 10 個) のコンテナを記述する JSON 形式のテキストファイルのこと。
・タスクはクラスター内のタスク定義のインスタンス化したもののこと。
・AWSの独自コンテナサービスが使用されている。
・ ECS タスクに IAM ロールを指定できる。これにより、Amazon ECS コンテナインスタンスの役割を最小限に抑え、「最小権限」アクセスポリシーを遵守しながら、インスタンスのロールやタスクのロールを個別に管理することができる。
・Fargate によって、サーバープロビジョニング、クラスター管理、そしてオーケストレーションといった概念が完全に不要になる。
⇒幅広いカスタマイズオプションが必要な場合はEC2インスタンスを使用する。
Amazon Elastic File System
引用元:Amazon EFS(EC2 用フルマネージド型ファイルシステム)| AWS
・標準ストレージクラスと低頻度アクセスストレージクラス (EFS IA) が存在する。
・格納されたデータは AWS Key Management Service (KMS) によって管理される暗号化キーによって透過的に暗号化されるため、キー管理インフラストラクチャを構築および維持する必要はない。
・Amazon EFS ファイルシステムではストレージのプロビジョニングが不要で、ギガバイト単位からペタバイト単位まで自動的にスケールでき、数千の Amazon EC2 インスタンスから同時にアクセスに対応できる。
・Amazon EFS はどのようなユースケースをサポートしていますか?
⇒ビッグデータと分析、メディア処理ワークフロー、コンテンツ管理、ウェブ配信、ホームディレクトリなど
・Amazon EFS、Amazon S3、Amazon Elastic Block Store (EBS) はそれぞれどのような場合に使用できますか?
⇒EFS:複数のAmazon EC2 インスタンスからの同時アクセスが可能なストレージ
⇒EBS:単一の EC2 インスタンスから最も低いレイテンシーでデータにアクセスする
⇒S3 :インターネット API 経由でデータをどこからでも利用
・EFS ライフサイクルマネジメントを有効にして、有効期限ポリシーを選択すると、EFS IA へのファイル移動が開始する。
・AWS DataSync は、オンプレミスストレージと Amazon EFS の間でデータを迅速かつ簡単に移動することができるオンラインのデータ転送サービス。
Amazon Virtual Private Cloud
引用元:Amazon VPC(仮想ネットワーク内での AWS リソースの起動)| AWS
・VPC エンドポイント: AWS 内でホストされたプライベートな接続をお客様の VPC 内から可能にし、インターネットゲートウェイ、VPN、ネットワークアドレス変換 (NAT) デバイス、またはファイアウォールプロキシは使用できない。
・パブリック IP アドレスがないインスタンスが、インターネットにアクセスするにはどうすればよいですか?
⇒NAT ゲートウェイや NAT インスタンスを通してトラフィックをルーティングし、インターネットにアクセスできる。
⇒オンプレ環境経由で接続する。
・Amazon VPC トラフィックミラーリングはどのように機能しますか?
⇒Amazon VPC 内の EC2 インスタンスの Elastic Network Interface (ENI) からのネットワークトラフィックをコピーする機能のこと。
・Elastic Network Interface(ENI)
ネットワークインターフェイスをアタッチできるインスタンスは、同じアベイラビリティーゾーンに存在するものに限られる。また、同一VPCに限られる。
Elastic Load Balancing
引用元:Elastic Load Balancing(複数のターゲットにわたる着信トラフィックの分配)| AWS
・AWS Certificate Manager を使用して SSL/TLS 証明書をプロビジョンできます。または、証明書リクエストを作成して他のソースから証明書を取得し、証明書リクエストに CA の署名を受けてから、AWS Certification Manager と AWS Identity and Access Management (IAM) のいずれかのサービスを使用して証明書をアップロードすることができる。
AWS Auto Scaling
引用元:AWS Auto Scaling(需要に合わせて複数のリソースをスケール)| AWS
・どのような場合で使用すれば良いですか? AWS Auto Scaling vs.Amazon EC2 Auto Scaling?
⇒複数のサービスにまたがる複数のリソースのスケーリングを管理する場合は、AWS Auto Scaling
⇒Amazon EC2 Auto Scaling グループのみの場合や、目的が EC2 フリートの正常性の維持のみの場合は、EC2 Auto Scaling
Route53
引用元:Amazon Route 53(スケーラブルなドメインネームシステム (DNS))| AWS
・加重ラウンドロビンを使用して、異なる応答が提供される頻度を指定するためにリソースレコードセットに加重を割り当てることができる。
・エイリアスレコードZone Apexの適用サービス
Elastic Load Balancing
Amazon S3 静的webホスティング
Amazon CloudFront ディストリビューション
AWS Elastic Beanstalk 環境
Amazon API Gateway 上でホスティングされているウェブサイト
Amazon VPC エンドポイントでホスティングされているウェブサイト
・プライベート DNS
自社の DNS レコード (リソースの名前や IP アドレスなど) をインターネットに公開せずに VPC 内に権威 DNS を置くことができる。
・(DNSフェイルオーバー)ヘルスチェック不合格のときにのみバックアップサイトを使用するように設定できますか?
⇒DNS フェイルオーバーを使用すると、バックアップサイトを用意しておいて (例えば、静的サイトを Amazon S3 ウェブサイトバケット上で運用する)、プライマリサイトが到達不可能になったときに、このバックアップサイトにフェイルオーバーさせることができる。
・エンドポイントの 1 つが AWS の外部にあります。このエンドポイントに対して DNS フェイルオーバーを設定できますか?
⇒Route 53 リソースレコードを作成するときに AWS 外部のアドレスを指定できるのと同様に、ヘルスチェックの対象として、アプリケーションのうち、AWS の外部で実行される部分を指定することができる。
・障害状態のエンドポイントが再び正常状態となったときに、DNS フェイルオーバーはどのようにして元に戻されるのですか?
⇒障害状態のエンドポイントが、ヘルスチェックを作成するときに指定したヘルスチェックによる監視の回数 (デフォルトのしきい値は 3 回) に連続して合格すると、Route 53 は DNS レコードを自動的に復元し、そのエンドポイントに対するトラフィックは再開される。
・エンドポイントがヘルスチェックで不合格になった場合、どのように通知を受けますか?
⇒Route 53 ヘルスチェックの結果は、CloudWatch メトリクスとして公開される。
・Amazon Route 53 リゾルバーとは何ですか?
⇒Route 53 リゾルバーは、EC2 にホストされたネームおよびインターネット上のパブリックネームを検索する再帰的な DNS を提供する地域型の DNS サービスのこと。
AWS Direct Connect
Amazon CloudFront
引用元:Amazon CloudFront(グローバルなコンテンツ配信ネットワーク)| AWS
・Amazon CloudFront では HTTP またはWebSocket のプロトコルを使用して送信可能なコンテンツがサポートされている。
・独自のドメイン名と独自の SSL 証明書を使用して HTTPS 接続でコンテンツを配信する場合は、独自 SSL 証明書機能を使用する。(デフォルト証明書ではだめ)
AWS Identity and Access Management
引用元:AWS IAM(ユーザーアクセスと暗号化キーの管理)| AWS
・ ユーザーをリージョンごとに定義できますか?
⇒今はできません。AWS アカウントと同様、ユーザーは、グローバルエンティティ。
・Auto Scaling の起動設定にパラメータとして IAM ロールを追加し、その起動設定を使用して Auto Scaling グループを作成できる。
・ IAM ポリシーは、Amazon S3、Amazon SQS、Amazon SNS、および AWS KMS リソースベースのポリシーと共に使用した場合、どのように評価されますか?
⇒IAM ポリシーはサービスのリソースベースのポリシーと共に評価される。
⇒明示的否定が最優先。
Amazon RDS
引用元:Amazon RDS(マネージドリレーショナルデータベース)| AWS
・Amazon RDS は、データベースとログの格納に EBS ボリュームを使用する。
・自動化バックアップと DB スナップショットの違いは何ですか?
⇒自動バックアップ機能によって、DB インスタンスのポイントインタイムリカバリが可能になる。
⇒DB スナップショットはユーザーにより開始され、指定した頻度で既知の状態で DB インスタンスをバックアップすることができる。
・基になる IP アドレスは変わる可能性があるため (フェイルオーバーなど)、DB インスタンスに接続するときは DNS 名を使用することが推奨されている。
・VPC 内にある DB インスタンスをアプリケーションからアクセスできるようにするには、どのような注意事項がありますか?
⇒マルチ AZ 配置の場合は、フェイルオーバー後に、クライアントの EC2 インスタンスと RDS DB インスタンスは異なるアベイラビリティーゾーンに属する可能性があるため、AZ 間の通信が可能になるようにネットワーキング ACL を設定する必要がある。
・DB スナップショットと自動バックアップは、マルチ AZ 配置とどのように連携するのですか?
⇒マルチ AZ 配置で実行している場合は、自動バックアップと DB スナップショットはスタンバイから取得される。