はじめに
試験前直前に流し読みする用
項目ごとに記述
//memo
2023.06.02
あまりにも殴り書きすぎるため記事内整理..
上位のAWS資格取得の際は再度整理し読み返す必要あり
【ユーザに関わる用語】
AWS マネジメントコンソール
アカウント登録して最初に利用するGUI
AWSマネジメントコンソールを利用する際に、ユーザーIDとパスワードによるログインを実施
IAM AWS Identity and Access Management
アクセス権限管理を行うサービス
各開発者に対してAWSリソースの利用を制御できるサービス
IAMポリシー
最小限のアクセス権として、タスクの実行に必要なアクセス許可のみ付与
IAMユーザグループ
「1000人などの多数のユーザーがいる会社などで各部署ごとにアクセスする場合に有効」
オンプレミス環境では運用チームがID管理をし、AWSで同じ役割を実行するのに役立つサービス
MFA
多要素認証
「ログインするときに、ユーザー名とパスワードに加えて、高いセキュリティ」
EC2 for MySQL
管理はユーザーにゆだねられる
AMI(Amazon マシンイメージ)
EC2インスタンスのイメージを取得して、そのイメージから新しいインスタンスを作成
さまざまな設定のインスタンスが必要なときは各インスタンスをそれぞれ異なる AMI から起動できる
#【課金に関わる用語】
スポットインスタンス
オンデマンド価格より低価で利用できる未使用の EC2インスタンス
オンデマンドインスタンス
「一週間だけサーバーを利用したい」
スケジュールドリザーブドインスタンス
週一回金曜日や、10時から17時といった定期的な利用時間にかぎってインスタンスを利用する場合にコスト最適
リザーブドインスタンス
1年間または3年間
Dedicated host
オンデマンドインスタンスを物理的に占有する場合に選択するオプション設定
リザーブド支払いモデル
大幅に割引された時間単位課金とするために、低額の前払い料金を支払うことにしました。
pay as you go 支払いモデル
オンデマンドの従量課金
【ストレージに関わる用語】
Amazon S3
「ユーザーの設定なしにスケーリングが自動で実施」
どのような量のデータでも保存と取得が可能な耐久性の高いクラウド ストレージ
マルチAZ構成のフォールトトレランスを考慮して設計されているAWSサービス
「リージョンに直接サービスが設置されるサービス」
インターネットからアクセスして写真やビデオなどのアーティファクトを保存するためのストレージレイヤーとして、最適なストレージ
ユーザー側で設定しなくても、AWS側でストレージリソースをスケールアップ/ダウンして、変動する需要に対応
Amazon EBS
ブロックストレージ
インスタンスストア
EC2インスタンスの一時的なデータを保持するストレージ
ホストコンピュータに物理的にアタッチされたディスク上にあります。
Glacier
データを中長期に保存するストレージ
費用対効果が高い
複数のEC2インスタンスから接続・共有可能なストレージ
データを中長期に保存するストレージとしてはコスト最適
アクセスが頻繁ではない場合に使用
【サーバに関わる用語】
Amazon EC2
オートスケーリングの設定をユーザー側で設定することが求められます
EC2インスタンスに接続するため作成時にキーペアを設定して、アクセス認証に必要となるプラベイベートキー(PEMキー)を呼び出すことが必要
仮想サーバーを提供するサービス
SSHプロトコルによる接続を行う
クラウドでサイズが変更できるコンピューティング/仮想サーバーを提供
サブスクリプション形式でサーバーを使用可能となり、ハードウェアに投資する必要がなくなる
ユーザー側で基盤となる仮想インフラストラクチャの完全な管理権限を保持できるサービス
ユーザー側でソフトウェアのインストールや管理を実施することが必要、アプリケーションそのものを実行する仕様
【データベースに関わる用語】
Amazon Aurora
「デフォルトで自動バックアップを提供」
高速な分散型リレーショナルデータベース
Aurora の自動バックアップを無効にすることはできません。
クラウド用に構築されたMySQLおよびPostgreSQL互換のリレーショナルデータベース
Redshift
通常の業務システムデータなどのBIシステムやデータウェアハウスとして利用可能なリレーショナルデータベースサービス
ペタバイト規模のデータを扱う性能
Amazon RDS
マネージド型のリレーショナルデータベースサービス
ユーザーに必要な高速パフォーマンスと高可用性を提供するリレーショナルデータベース
簡易なクリック操作だけでクラウド内にリレーショナルデータベースを設定、運用、スケールすることができます
リードレプリカはマルチAZで構成することで、可用性や耐久性を向上させることが可能です。さらに特定のリージョンを指定してリードレプリカを構成することもでき、特定のリージョンでの読み取り性能を向上させることができます。その際にリードレプリカをスタンドアロンの DB インスタンスに昇格させることで、RDSに対してデータの冗長性を実現し、災害復旧を改善することができます。
ElastiCache
NoSQL型のインメモリDB
「リアルタイムな高速処理に利用可能な高性能なデータレイヤー」
キャッシュを簡単にデプロイ、操作、およびスケーリングできる
インメモリデータストアやインメモリキャッシュを提供
ミリ秒単位の応答時間が必要とされるような、要求の厳しいアプリケーションにも対応できるデータ処理が可能
Amazon DynamoDB
「単一障害点」に対処するため、障害検出と対処を可能な限り自動化するために利用可能なAWSサービス
フルマネージド型の可用性の高いNoSQLサービス
マルチAZ構成のフォールトトレランスを考慮して設計されているAWSサービス
画像などは保存できません。
AWSリージョンの3つの施設にデータを複製し、サーバー障害またはアベイラビリティーゾーンの停止が発生した場合のフォールトトレランスを提供
#【セキュリティに関わる用語】
セキュリティグループ
「Amazon EC2インスタンスへの外部PCからのアクセスを制御したい」
通信トラフィックを制御するファイアウォール
セキュリティグループを設定できる、そのグループはインスタンスレベルで動作可能
NW ACL
サブネット内外のトラフィックを制御するファイアウォールとして任意のセキュリティを提供
Amazon Inspector
事前に定義されたテンプレートに基づいてEC2インスタンスを分析し、脆弱性をチェックするサービス
セキュリティ評価を実施すると、Amazon EC2 インスタンスへの意図しないネットワークアクセスや、EC2 インスタンス上の脆弱性をチェックできます。Amazon Inspector の評価では、事前に定義されたルールパッケージを使用でき、こうしたルールパッケージは一般的なセキュリティのベストプラクティスと脆弱性の定義にマッピングされています。
#【分析に関わる用語】
Amazon CloudWatch
AWSのEC2インスタンスのCPU使用率を監視するために利用するべきサービス
アプリケーションモニタリングサービス
課金が一定のしきい値を超えた場合に通知を行う機能
アプリケーションログに存在するエラーの数をトラッキングし、エラー率が指定のしきい値を超えたときに管理者に通知を送る。
EC2インスタンスのモニタリングをダッシュボードに表示させることで、CPU使用率を監視、EC2インスタンスからログのモニタリングに役立つサービス
基本的にはメトリクスのレポジトリー。AWS のサービス— (Amazon EC2—など) は、メトリクスをレポジトリーに置き、これらのメトリクスを基に統計が取得されます。独自のカスタムメトリクスをレポジトリーに置いた場合も、それらのメトリクスを基に統計を取得できます。
AWS CloudTrail
ユーザーアクティビティログを取得
アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を行うためのサービス
EC2インスタンスのログを取得することはできません。
AWS マネジメントコンソールでの操作と AWS API コールを記録することにより、ユーザーおよびリソースのアクティビティを把握しやすくなります。
AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。
VPC フローログ
IP トラフィックに関する情報をキャプチャできるようにする機能
フローログデータは Amazon CloudWatch Logs と Amazon S3 に発行
フローログを作成すると、選択した送信先でそのデータを取得して表示できます。EC2インスタンスのトラフィックデータも取得可能ですが、リソースの状態などのログではありません。
Amazon Athena
クエリ文を使用して分析が可能
インタラクティブなクエリサービスで、Amazon S3 内のデータを標準 SQL を使用して簡単に分析
Amazon
S3内データをSQLクエリによって、最も簡易に分析することができるサービス
Amazon EMR
ビッグデータフレームワーク (Apache Hadoop や Apache Spark など) の実行を簡素化して、大量のデータを処理および分析するマネージド型クラスタープラットフォーム
ビッグデータとなるデータセットを処理・分析するために利用するサービス
【通信に関わる用語】
Amazon SNS
メッセージングサービス
メッセージングをプッシュ方式で実施するサービス
Amazon SES
クラウドベースのEメール送信サービス
Amazon SQS
メッセージキューイングサービス
CloudFront
コンテンツを低遅延でグローバルユーザに配信するために
エッジロケーションを使用する
データや動画などコンテンツを配信する高速コンテンツ配信ネットワーク (CDN) サービス
エッジロケーションはAZとは異なるデータセンターであり、Route 53、CloudFront、AWS WAF などが配置されています
Amazon Kinesis
データ分析前のストリームデータの処理段階で利用されるサービス
Amazon ECS
コンテナサポート
Docker コンテナをサポートする拡張性とパフォーマンスに優れたコンテナオーケストレーションサービス
コンテナ化されたアプリケーションを AWS で簡単に実行、スケールができる
EC2インスタンスのクラスターでコンテナ化されたアプリケーションを実行できるAWSサービス
Amazon VPC
仮想ネットワーク
論理的に分離してプロビジョニングすることで、ユーザー専用のネットワーク領域を作成
仮想ネットワーク内の AWS リソースを起動することができる
AWSクラウドの一部をカーブアウトした仮想ネットワークにAWSリソースを起動することができます
従来のネットワークに似ている
関連があるネットワークACLは
サブネット内外のトラフィックを制御するファイアウォールとして任意のセキュリティを提供
RDSマルチAZ構成
プライマリデータベースが応答しない場合に自動フェールオーバーを実行する機能
マルチAZ展開は、データベース(DB)インスタンスの可用性と耐久性を強化することができます。
リードレプリカを追加することで可用性と耐久性を向上させることが可能であり、かつパフォーマンスも改善
ストレージ容量に対して設定、デフォルトでは無効になっており、ユーザー側で設定することが求められます。
マルチAZ構成
DynamoDB、S3
99%以上のSLAを達成することができます
アベイラビリティーゾーンを2つ利用した構成:アベイラビリティゾーン (AZ) 冗長的な電力源、ネットワーク、そして接続機能を備えている 1 つ以上のデータセンターのこと
高い稼働率を達成することができます
マルチリージョン展開
災害や地震
ホットスタンバイやウォームスタンバイ方式の構成
災害でリージョンが停止するなどのリスクに対処する展開方式
Amazon Route 53
クラウドのドメインネームシステム (DNS)
「AWSクラウドでDNSを提供するサービス」
Amazon Elastic File System (Amazon EFS)
複数のEC2インスタンスからアクセスする必要があるストレージ
AWS クラウドサービスおよびオンプレミスリソースで使用するための、シンプルでスケーラブル、かつ伸縮自在な完全マネージド型の NFS ファイルシステムを提供
EC2インスタンスからLAN上にあるNASとして利用できる共有ファイルストレージとして提供
AWS クラウドサービスおよびオンプレミスリソースでの使用のためのシンプルでスケーラブル、かつ伸縮自在なファイルストレージを提供
基本はEC2インスタンスからアクセスして利用、インターネットからアクセスして利用するものではない
ELB Elastic Load Balancing
トラフィック制御するロードバランサ―
EC2インスタンス間のトラフィック分散を実施するために、利用するべきサービス
EC2インスタンス、コンテナ、IPアドレス、Lambda関数などの複数のターゲットに着信アプリケーショントラフィックを自動的に分散
その中でもWEBアプリケーション用にはALBを利用することで、HTTPベースのトラフィック分散が実現可能です。 WEBアプリケーションにELBを設定する際は通常はALBを優先的に利用することになります。
ALB
マイクロサービスベースのWEBアプリケーションにおいて、コンポーネントを構成するEC2インスタンスが同じ量のトラフィックを分散処理するため利用するべきサービス
インターネットゲートウェイ
VPCに配置するべきコンポーネント
カスタマーゲートウェイ
VPCとオンプレミス環境を接続する際に利用される
ELB:正常なエンドポイントにのみトラフィックをルーティング
Route53:正常なエンドポイントにのみトラフィックをルーティング
AutoScaling:自動でスケーリング可能となりシステムの可用性を高める
CLB:古いタイプのELB
【転送に関わる用語】
AWS Database Migration Service (DMS)Database
AWS DMS
「MySQLデータベースを機能に悪影響を与えず移行できるサービス」
AWS Server Migration Service(SMS)Server
AWS SMS
サーバーの移行を支援するサービス、簡単に短時間でできる
VMware vSphere、Microsoft Hyper-V/SCVMM、または Azure の
クラウドへの移行を自動化
AWS Application Discovery Service
移行プロジェクトに必要な情報を提供するサービス
AWS Snowball Edge
AWSクラウドへの安全な大量データの転送を可能にするサービス
Amazon S3 Transfer Acceleration
長距離にわたるファイル転送を高速、簡単、安全に行えるようになります。
エッジロケーションを利用してクライアントと S3 バケット間
Amazon CloudFront の世界中に分散したエッジロケーションを利用してユーザーに近いエッジロケーションを介したS3へのファイル転送を可能にするサービス
【フロント側に関わる用語】
AWS Lambda
コードのみを生成・実行
仮想サーバーの設定なしに、コードのみを生成・実行することができるコンピューティングサービス
サーバーを常にプロビジョニングしなくても、必要なときにアプリケーションを実行できるサービス
自己用意しなくても実行可能、
EC2は自分でプロビジョニングする必要がある。
サーバーを準備することなくコードを直接設定することでトリガー、処理、後処理を組み合わせて作れる機能
AWS SDK
選択しすることで、選択したプログラミング言語を使用して、AWS でアプリケーションを開発することができます。
AWSリソースのAPIを利用してアプリケーションへの組み込みが実施できるようになり、AWSベースのアプリケーションが容易に開発できます。
AWS SDK for Java は、Java のデベロッパーにとってなじみ深く整合性のあるライブラリを一式提供し、AWS のサービスを簡単に利用できるようにします。認証情報の管理、再試行、データマーシャリング、シリアル化といった API ライフサイクルに関する検討事項についてサポートを提供
AWS CLI
接続にはアクセスキーとシークレットアクセスキーを必要とします。
スクリプトを使用して複数のAWSサービスの管理に利用されるサービス
スナップショット
「データ消失を予防するために実施するべきアクション」Amazon S3 にバックアップして、データ消失を防ぐことができます
AWS Config
リソースの設定を評価、監査、審査できるサービス
AWS Systems Manager
インフラストラクチャを可視化し、制御する
Auto Scaling
アプリケーションが必要な需要に厳密に一致するようにサーバー容量を自動的に追加/削除する
AWS Organizations
アカウント作成を自動化して、ビジネスニーズを反映したアカウントのグループを作成し、それらのグループにポリシーを適用して管理できます
→これにより、開発者向けのAWSアカウントの作成を自動化し、それらのアカウントのエンティティに必要なAWSサービスへのアクセスのみを許可するために、独自のOUを設定して、SCPによって管理することができます。
Amazon Cognito
ユーザーが開発したアプリケーションのバックエンドリソースに対するアクセスをコントロールするソリューション
AWS Shield
マネージド型の分散サービス妨害 (DDoS) に対する保護サービス
AWS GuardDuty
アカウントとワークロードを継続的にモニタリングし、悪意のあるアクティビティや不正なアクティビティから保護します。
スティッキーセッション
特定のクライアントからのリクエストを特定のサーバに紐付けることが出来る機能
EBS
完全な内部サーバー向けのストレージとしてセキュリティを強化することができます
頻繁にEC2インスタンスからの利用されるデータを保存する場合に使用
EC2インスタンスからアクセスして利用
AWS Fargate
Amazon Elastic Container Service (ECS) と Amazon Elastic Kubernetes Service (EKS) の両方で動作する、コンテナ向けサーバーレスコンピューティングエンジン
ECSのようにアプリケーションそのものを実行するものではありません。
リージョン>AZ
ブロックストレージEBS
ロードバランサ、トラフィック分散、冗長化
Amazon Neptune
グラフデータベースサービス
AWS Security Token Service (AWS STS)
一時的な認証情報を取得
IAMロール
他のリソースへのアクセス許可を割り当てるために使用できるIAMエンティティ
Amazon S3に作成されるアイテム
バケット、オブジェクト
バケットという格納場所を生成して、オブジェクト単位でデータを保存する
Cost Explorer
分析用のブラウザとして利用できるサービス
EMR
ビックデータ分析
LAMDBA/ECS
サーバレスアプリケーションを構築
Amazon Keyspaces
キーと値や表形式を含む大量の構造化データを保存、取得、管理するとができます
デフォルトでAWSアカウント内のすべての権限を完全に管理しているユーザー
ルートアカウント
Route53
ヘルスチェックに基づいた監視に利用できるサービス
Elastic Beanstalk
アプリケーションの容量プロビジョニング、負荷分散、自動スケーリング、およびアプリケーションのモニタリングなどの機能を提供するAWSサービス
クラウド上にアプリケーションをすばやくデプロイし、管理を自動化
AWSにアプリケーションをデプロイするための最も速くて簡単な方法
AWS CloudFormation
インフラ構築をコード化して自動セットアップを支援するサービス
AWS Trusted Advisor
コスト削減、パフォーマンスの向上、セキュリティの向上に役立つオンラインリソース
AWS CodePipeline
素早く確実性のあるアプリケーションとインフラストラクチャをデプロイ・更新を設定
Amazon Cognito
顧客がモバイルからAWSリソースにアクセスできるようにするためのサービス
ウェブアプリケーションおよびモバイルアプリにユーザーのサインアップ/サインイン機能とアクセスコントロール機能を追加できます。
リードレプリカ
RDSにおいてデータベース読み取り処理をオフロードすることができる機能
マルチAZ
RDSにおいてプライマリデータベースが応答しない場合に自動フェールオーバーを実行する機能
CloudWatch
EC2インスタンス内部の重要なメトリクスを収集
AWS Organizations
3つのAWSアカウントに対して一括請求を設定
複数アカウントのボリュームを統合して請求することによって、コストを削減できる可能性があります。
Intelligent-Tering
アクセスパターンが予測できない場合
One Zone-IA
あまりアクセスされず、クリティカルではないデータ向け
-IA
あまりアクセスされない
AWSの責任共有モデル
構成管理
パッチ管理
AWS Artifact
AWSとの契約を管理できるサービス
EC2
アンマネージド型
CloudFormation
クラウド環境内のすべてのインフラストラクチャリソースをコードに記述してプロビジョニングする環境自動化サービス
DynamoDB Streamsを有効化
DynamoDBによるクロスリージョンレプリケーションするために
AWS X-Ray
あなたの会社はマイクロサービスで構成されるアプリケーションをAWS上で開発しています。マイクロサービスは多数あるため、アプリケーションの分析とデバッグのための強力なツールが必要
垂直スケーリング
処理性能をスケールさせることを意味
サーバー自体のパフォーマンスを向上させること
Cost Explorer
コストと使用状況を表示および分析するために使用できるツール
AWS CloudHSM
グローバルな業界標準の暗号化対応実施を保証するために利用されるサービス
Aurora
標準のMySQLの最大5倍のスループットと、標準のPostgreSQLの最大3倍のスループットを実現
スループットは処理能力
コンシェルジュサポート
特定の費用報告に関するトレーニング、サービス制限の支援、一括購入などのサポートを
アカウントセキュリティに関するガイダンスとベストプラクティスを提供
24時間365日のアクセスを提供
Snowball Edge Compute Optimized
切断された環境における高度な機械学習およびフルモーションビデオ分析などを実行するため、52 個の vCPU、ブロックストレージとオブジェクトストレージ、オプションの GPU を提供
Snowball Edge Storage Optimized
ブロックストレージと Amazon S3 と互換性のあるオブジェクトストレージの両方、および 24 個の
vCPU を提供
インシデント対応
AWS 不正使用対策チーム
AWS Trusted Advisor
インフラ構築をする際に、インフラのセキュリティ最適化に関する推奨事項を提供するAWSサービス
EBSボリュームからスナップショットを作成しています。どこで作成されますか?
EBSボリュームからスナップショットを取得すると
そのEBSが設置されているリージョン内にスナップショットを作成
オンプレの自動は?
できない
KMS
AWS Key Management Service
TAM
技術的支援
テクニカルアカウントマネージャー
DAX
DynamoDBにおいて、リクエストのレイテンシをミリ秒からマイクロ秒に短縮する機能
DynamoDB
JSON形式保存DB
【課金に関する用語】
時間単位課金
リザーブド支払いモデル
オンデマンドの従量課金
pay as you go 支払い
1日だけ
オンデマンドインスタンスを利用
Cloudfrontの料金の決まり方
どのくらい転送アウトしたのか
どのくらいトラフィック分散したのか
割引価格リザーブド購入
EC2リザーブドインスタンス
RDSリザーブドインスタンス
ElastiCacheリザーブドノード
DynamoDBリザーブドキャパシティ
Redshiftリザーブドノード
スタンダードのリザーブドインスタンス
リザーブド種類
コンバーティブルリザーブドインスタンス
割引率が最も高
属性を変更可能
割引 (最大でオンデマンド料金の 54% 割引) が適用
スケジュールドリザーブドインスタンス
現在は利用できないサービス
このインスタンスタイプは、1 日、1 週間、または 1 か月に一回といった予約した時間枠内で起動
Pay-As-You-Go
使った分だけライセンスを払う
最大の割引方法
リサーブドインスタンスのスタンダードの前払い購入
Lightsail
最も容易に最も低価格でAWS上に仮想プライベートサーバーを起動および管理することができるサービス
コンバーティブルリザーブドインスタンス
必要に応じてリザーブドインスタンスの属性を交換できインスタンス自体の交換が可能
コンバーティブルリザーブドインスタンス
RDSを利用したスケーリング中できること
インスタンスタイプを縮小することができる
インスタンスストア
EC2に物理的に接続されたストレージクラス
1年または3年利用可能なインスタンス
リザーブドEC2インスタンス
【それぞれの用途・メリット・デメリット】
AWS Lambda
データ処理プロセス実行するAWSサービス
様々なプログラミング言語に対応してコードの実行によりサーバレスで処理を実施することができます
Lambda
プロビジニョンしなくても実行可能
S3イベントなどのイベントをトリガーにして自動的にアプリケーションを実行
Amazon EBS
ストレージ容量の要件が不明な場合において、どのストレージサービスを使用
EC2インスタンスの処理により絶えず変化するデータを保存する場合
データを保存するためEC2インスタンスにアタッチできるリソース
EC2インスタンス設定時に、ストレージタイプとして選択するストレージ
AWS Storage Gateway
オンプレミスアプリケーションがAWSクラウドストレージをシームレスに接続することができるハイブリッドストレージサービス
Storage Gateway
オンプレミスにあるストレージを拡張させることができ、データのバックアップに使用できる費用対効果の高いAWSサービス
CloudTrail
アクセスログ確認
EC2インスタンスのログを取得できない
リソースを起動・終了させるなどのアクションをユーザー毎に確認
リソースの変更を追跡する
ElastiCache
データ高速処理が最速
Aurora(RDSよりもAurora)
AWSデータベースのうち最も高性能なスループットを提供するサービス
最大5倍の処理能力が可能なMySQLが実行可能なデータベース
Amazon S3 メリット
オブジェクトはURLを介してアクセスできる
容量無制限
Amazon S3 特徴
RDSのバックアップを定期的に保存するために利用される費用対効果の高いストレージオプション
オブジェクトストレージ
RDSのバックアップを定期的に保存するために利用される費用対効果の高いストレージオプション
RDSのデフォ
AWSを利用して優れたアーキテクチャを設計するためには、どのような設計原則を考慮する必要か
・Well-Architected Framework
・AWSベストプラクティス
を選択する
AWS Systems Manager 特徴
アプリケーション、環境、リージョン、プロジェクト、キャンペーン、ビジネスユニット、ソフトウェアライフサイクルなど
目的やアクティビティごとに AWS リソースをグループ化
AWS リソースに関連する運用作業項目を一元的に表示、調査、および解決
さまざまなメンテナンスおよびデプロイタスクを自動化またはスケジュール
CloudFrontはコンテンツを低遅延でグローバルユーザーに配信するために何を使用しますか
エッジロケーション
CloudFormationを利用する利点
インフラストラクチャ全体をテキストファイルでモデル化できます
すべての地域とアカウントにわたってアプリケーションに必要なすべてのリソースを、自動化された安全な方法でモデリングおよびプロビジョニングできます。
インフラストラクチャをコード化すると、インフラストラクチャを単なるコードとして扱うことができます
リソースを安全で繰り返し可能な方法でプロビジョニングし、手動のアクションを実行したり、カスタムスクリプトを記述したりすることなく、インフラストラクチャとアプリケーションを構築および再構築できるようにします。 CloudFormationは、スタックを管理するときに実行する適切な操作を決定し、エラーが検出された場合に変更を自動的にロールバックします。
S3ストレージクラスの評価指標は?
可用性
耐久性
AWSサービスへのプログラム呼び出しを認証するために使用される、認証方法
アクセスキーとシークレットアクセスキー
AWSクラウドコンピューティングサービスの信頼性の要素
早期復旧
自動プロビジョニング
AWSへの移行後、あなたが料金を支払う必要がないもの
データセンターの利用料金
インフラ導入コスト
AWSセキュリティ利点
迅速な拡張性
データの安全な保護
AWS主な設計
スケーラビリティ
デプロイ可能なリソース
環境の自動化
疎結合化
サーバーの代わりのマネージドサービス
柔軟なデータストレージオプション
AWSをどのように設計するべきか
自動プロビジョニングにする
オンデマンドにする
AWSとアプリケーションを分離する理由
相互依存関係を減らして障害影響を減らすため
規模の経済
AWSを利用する人や提供するサービス量が拡大すればするほど、AWSはサービスのコストを抑えることができる
技術以外のサポート
コンシェルジュ
技術サポート
プロフェッショナルサービス
暗号化対象として間違っているもの
オブジェクト
Amazon Keyspaces
キーと値などの大量の構造化データを保存・取得・管理を容易にし
オープンソースと互換性のあるNoSQLデータベースを、マネージド型のAWSサービス
各フェーズに応じたカスタムコンソールを作成するには、どの仕組みを利用する必要があるか
リソースグループツールを利用する
AWSの責任共有モデルにおいて、ユーザー側で実行される管理
・OS.ミドルウェアの脆弱性対応
・ネットワーク設定
・アプリケーション
・データ暗号化
・ネットワークトラフィック保護
・パスワードルール設定
EC2インスタンスのトラフィック制御に利用されるサービス
セキュリティグループ
クラウドを利用してインフラを構築するメリット
迅速に柔軟に実施できること
アプリケーションの応答時間が最適になるように、データをどこに保存すると最も高速なデータ処理が可能
データの高速処理はElastiCache
Amazon EMRのユースケース
ユースケース(定義)
・抽出、変換、読み込み (ETL)
・クリックストリーム分析
・リアルタイムストリーミング
・インタラクティブ分析
・ゲノミクス
EMRはビックデータプラットフォーム
組織単位(OU)によるアクセス許可を設定するドキュメント
SCP
サービスコントロールポリシー
需要変動によりAWSが従来のデータセンターよりも経済的になる理由
オンデマンドでEC2インスタンスを増減できること
AWSでインフラを構築する際利用するサービス
AWSのコストと使用状況レポート
Amazon RDSにおいてサポートされていないデータベースエンジン
DB2
AWS側の責任
アプリケーションプラットフォーム管理
インフラ管理
ユーザー側
アクセス管理
プロビジョニング管理
EC2インスタンスのセキュリティに関して,ユーザー側が対応するべき内容
アプリへのバッチを適応
課金されないケース
・Elastic IP アドレスが EC2 インスタンスに関連付けられていの
・Elastic IP アドレスに関連付けられているインスタンスが実行中
・インスタンスに 1 つの Elastic IP アドレスが付与「アタッチ」されている
・解放している
チャットを利用したAWSサポート
ビジネスプラン
多数のオンプレミスワークロードを迅速にAWSに移行することが可能
SMS:AWS Server Migration Service
権限のないアカウントのキーを生成するなどの不正行為が発生した場合に、AWSインフラストラクチャを保護するために行うべき対応
・すべてのIAMアカウントのユーザー名とパスワードを変更
・すべてのアクセスキーを回転(変更)
・MFAを有効
・IP制限を設定
ルートアカウントの保護に役立つサービス設定方法
アクセスキーを設定しない
グローバルなユーザーを保有するWEBサービスを展開しています。このアプリケーションの可用性を高める目的でエンドポイントにトラフィックをルーティングするために、どのサービスを利用するか
AWS Global Accelerator
ACIDトランザクションのサポートを必要とするアプリケーションを構築する場合のDB
RDS
しきい値をモニタリングするためには、 どのサービスを利用するべきですか?
Amazon Alarm
AZ間でデータを自動的に複製するサービス
マルチAZ構成
DynamoDB S3
パワーユーザー
IAMアクセス管理権限以外のすべてのAWSリソース操作権限を有したユーザーのこと
ルートアカウントが有するアクセス権限
管理者権限:一番
Amazon EC2のクラスタープレイスメントグループとは
一つのAZ内におけるEC2インスタンスグループ
低レイテンシーネットワークパフォーマンスを実現できる
インラインポリシー
ユーザーが⾃⾝で作成および管理するポリシーで
プリンシパルエンティティにアタッチすることができる
アクセス許可を設定する際に必要なサービス
カスタマー管理ポリシー
AWSアカウントが作成・管理するのはポリシー
日付と時刻を記録
Access Advisor
5倍でMysql可能DB
Aurora
ルートアカウント>管理者権限>パワーユーザー
RDS自動バックアップデフォルトするにあたり利用するインスタンス
S3
クラウドを利用してインフラを構築するメリット
・柔軟的にできる
・物理的な設定やセキュリティをきにしなくていいAWSは無料で数分でサーバをたちあげることができるオンプレだと時間がかかってしまいコストがかかる
イノベーションを推進するためのサポート
・AWS re:Postコミュニティ型の質疑応答サービス
・AWS IQ作業を支援してくれるエキスパートを発見し作業依頼などを円滑に進めてくれる
リソースを検索しタグの編集をすることができる
タグエディタ
スポットインスタンスは料金が爆安だが途中で停止する可能性も有る
一日だけ使用したいなどがある場合は無難にオンデマンドインスタンスを利用する
ペネトレーションテストを実施する理由
インフラ側はどうにかセキュリティが担保されているがユーザが構築したアプリケーションにはユーザ側に委ねられることになるため推奨されている
NoSQLとRDBMS
NoSQLは処理速度速い、RDBのように複雑化していないためJSON方式でドキュメント型で処理されているのがNoSQL他にキーと照らし合わせているキー型などもある、RDBはカラムとテーブルの一般的なデータベース型
AWS Contol Tower
Onganization連携をして複数のアカウントに対し事前設定された安全な環境設置を自動化するサービス
マネージド型とアンマネージド型の違い
Saas、Iaasによって異なる括りインフラとOSはクラウド上で運用保守してくれているのがマネージド型だがIaaSのように一部保守できない場合もある、それがアンマネージド型Herokuなどは実際にデプロイから保守してくれているがEC2などはほぼ全てユーザ側で保守しなければならない、そこの違い
ストレージデータをAWSにバックアップもしくは移行することができる
AWS Storage Gateway
暗号化対応を実施するサービス
HSMハードウェアセキュリティモジュール
暗号化キーを作成および管理する
KMSキーマネジメントシステム
【AWSというよりIT分野における用語】
AZ(アベイラビリティーゾーン)
データセンタの集合の単位
リージョン
エリア
プロビジョニング
用意、準備
エンティティ
実体
インスタンス
物体、実体
フェールオーバー
冗長化
プライマリーデーターベース
最初に携わるデータベース
リソース
資源
マイクロサービス
いくつもの独立した機能を組み合わせることで構成されたサービスシステム
ACID
特製はエラーや停止時に使用するプロパティのこと
データベーストランザクション時に関連がある属性のこと
ユースケース
定義
プラットフォーム
土台のこと、つまりはOSやハードの基盤になる
ミドルウェア
アプリケーションとOSの間に位置するソフトウェア
NginxやMysqlなどアプリに直接関係するもの
オンプレ→クラウド
昔はサーバは減価償却を鑑みて"いくらくらい使用しどの程度の規模を使うのか"
を計算したのち提供設定していたが、昨今のクラウドにより
特別気にしない環境化になっている
macインスタンス
使い始めと使い終わりを記録をしてインスタンス内の管理をする
コントローラも備え付けられていて
インスタンスのコントロールも行い、従来課金のため使用しなければ金額がかからない
macOS版AWS
AutoScalling
上記のインスタンスを管理するための自動サービス
可用性を高めるためのサービス
責任共有モデル背景
例)インスタンスAMIをLinuxにして立てた
このLinuxのイメージを使用してインスタンスを作った詳細はAWS側には分からない
なのでお客様側<>AWSインフラ側で一律の管理体制を設けなければならない
障害
エンドユーザ側にどの程度の影響が及ぼすのかの段階ごとで
障害の切り分けを行うのが一般的
開発側にアラートが飛びそこから障害対策が行われる
Nginx
静的コンテンツの表示やリバースプロキシなどのwebサーバの基本的な動作挙動を得意とする、Apacheより全体的に強め
Apache
平均ベース、可もなく不可もないwebサーバ、負荷が少ないほうがよりいいパフォーマンスを出せるミドル
AZ
データセンターの集合体
【個人的に忘れやすい項目集】
Mysql,PostgreSQLの互換用DB
Aurora
スケーリングを自動で実施するストレージ
S3
中期的に保存するストレージ
Glacier
EC2インスタンス起動時
キーペア
アクセス認証に必要なもの
プライベートキー
AWS CLI
アクセスキー
プログラムを呼び出すために必要なもの
アクセスキーとシークレットアクセスキー
マネジメントコンソール利用時必要なもの
ユーザIDとパスワード
インストールやアプリの起動が必要なサービス
EC2
必ずバックアップするDB
Aurora
インメモリキャッシュで高速処理を実現するDB
ElastiCache
インスタンスのログを取得できない、ユーザーのアクティビティログを取得するツール
CloudTrail
クエリ分分析
Athena
ビックデータを分析
EMR
RDSマルチAZ構成のデフォ状態
無効、なので設定を求められる
DNS
Route53
セッションデータを処理する
DynamoDB
EC2インスタンスからアクセスする必要があるストレージ
一般的な共有ストレージとして扱われる
Amazon EFS
プロビジョニングする必要があるサービス
EC2
プロビジョニングしなくてもよいサービス
Lambda
AZとは
データセンターの集合体
脅威検出サービス
AWS GuardDuty
保護サービス
AWS Shield
リージョン内に設置するストレージ
S3
デプロイが簡易になる
Elastic Beanstalk
認証
STS
暗号化
HSM
オンプレのストレージを扱うことができるストレージ
Storage Gateway
スケジューリングや作業項目を表示し解決に向ける
System Manager
AWSにおいてユーザー側で求められるもの
ネットワーク設定
データ暗号化
パスワードルール設定
ネットワークトラフィック保護
AWS側責任
アプリのプラットフォーム管理
インフラ管理
ユーザ側の責任
アクセス管理
プロビジョニング管理
ネットワークからアクセス可能
S3
ネットワークからアタッチ(接続が)可能
EBS
構成を管理するサービス
OpsWorks
マルチアカウントAWS環境セットアップを自動で処理するサービス
AWS Control Tower
EC2インスタンスに対する具体的なセキュリティ対策、何をすればいいか
バッチ処理を実行
チャットができるAWSサポート
ビジネスプラン
ターミネーションポリシー
インスタンスの終了を設定できる
アクセス許可を設定するドキュメント
SCP
RDSをオンプレで利用できるようにするサービス
Outposts
AWS上の移行、運用、構築などオペレーションやサポートを提供
AWS Managed Service
作業を支援してくれるエキスパートを発見し作業サポート
AWS IQ
予算設定をしコスト次第でアラートを通知するサービス
AWS Budgets
監査に対する証拠収集を自動化
Audit Manager
正確なレコードを作成する台帳DBサービス
QLDB・監査結果を集計したりする場合
セキュリティアラート及びコンプラ状況を包囲的に確認できるサービス
AWS Security Hub
セキュリティ問題の調査・分析
Amazon Detective
全てのレポートにアクセスできる、契約書管理できているため
AWS Artifact
スケーリングに関するガイダンス
AWS インフラストラクチャイベント管理
ソフトウェアを配布しタスクを自動化することができるサービス
Amazon WAM Workspace Aplication Manager
承認されたソフトウェアのみを利用するために設定するサービス
AWS Service Catalog
S3のコストに影響を与える要素
ストレージクラス・オブジェクト全体の容量
IAM内でしか設定できないもの
IAMポリシー
従来のネットワークよりもAWSが経済的になる理由
Auto Scallingをしているからインスタンスの増減ができるから本来であれば需要変動が集中的に集まると逼迫するケースがあるオートスケーリングしていることで変動に対応できる
webアプリケーションは頻繁に更新する必要がある、これを簡単に行うサービス、リソースに直接変更が自動的にされる】
Elactic BeanStalk
ルートアカウントを保護するために必要なこと
アクセスキーを作成しない誰でも無制限にアクセスできてしまうため管理上よくない
ストレージデータをAWSにバックアップもしくは移行することができる
AWS Storage Gateway
暗号化対応を実施するサービス
HSMハードウェアセキュリティモジュール
暗号化キーを作成および管理する
KMSキーマネジメントシステム
エンドポイントにトラフィックをルーティングするために利用するネットワークサービス
AWS Global Accelerator
世界中の顧客に提供するためにパフォーマンスを改善するネットワークサービス
ACID特製、このトランザクションをサポートするべく必要なDBサービス
DynamoDB
OSやDB環境へのアクセスを必要とするアプリ用MysqlDBが必要
RDS Custom
普通のRDSとは異なりユーザによるアクセスが可能になる
しきい値(CPU使用率70%以下など)を設定しモニタリングする監視方法
CloudWatch Alarm
スパコンに利用される分散ファイルシステムとして機能するサービス
Amazon FSx for Lustre
パワーユーザのアクセス権限とは
IAM管理以外のフル権限を所有
コンバーティブルインスタンスを交換する際の条件
別のインスタンスに変更することが可能
別のリージョンのコンバーティブルインスタンスにはできない
1つ以上のコンバーティブルインスタンスを変更することが可能
一部を変更する場合には2つ以上の予約に変更して1つを交換することが可能
全額前払いと一部前払い同士のインスタンスは同方交換が可能
スナップショットのバックアップ方法
最初はバックアップを実施し後は増分バックアップを実施する
アプリの移行を追跡することができるダッシュボードサービス
AWS Migration Hub
顔認証のサービス
Amazon Rekognition
EC2インスタンスを利用する際に使用するサービス
AMI
多くのOSイメージを保有、ここからインスタンスを使用する際にイメージがもってこられる
EC2インスタンスを削除した際に共に構成されているEBSボリュームの挙動、削除されるか
設定に応じて変更が可能、必ず削除されるわけではない
DynamoDBのモード2種
キャパシティーモード
プロビジョニングモード
利用付加があらかじめ予測できる場合のDynamoDBのモード
プロビジョニングモード
EC2インスタンスを作成した際、EC2が配置さるVPC
デフォルトVPCのパブリックサブネットにEC2インスタンスが配置される
機能別ごとにバランシングしたい場合の方式
ABLを利用したパスルーティングを使用する
これを使用することにより複数のエンドサービスにトラフィックをルーティングすることができる
Auroraのリードレプリカ数
最大15個、高速読込が可能
RDSのリードレプリカ数
最大5個
RDSの方が少ない
EC2インスタンスのスケーリングに関して、何に設定をすることでAutoScallingされるか
AutoScallingグループにELBターゲットグループを設定することでできる
DynamoDB
session data
control tower
セットアップが自動で行われる
SCP
アクセス許可
Outposts
RDSをオンプレで
Security Hub
セキュリティアラート
AWS インフラストラクチャイベント管理
スケーリングのガイダンス
Amazon WAM Workspace Aplication Manager
ソフトウェアを配布しタスクを自動化
AWS Service Catalog
承認されたソフトを利用するため設定するサービス
AWS Global Accelerator
RDS Custom
ユーザがアクセス可能
おわりに
全体的に6~7割覚えて試験挑んだ所無事合格できました