はじめに
2年半ぶりにAWS Solution Architect Professionalを更新したので、勉強メモを残しておきます。
メモ
Lambdaオーソライザー
トークンベース:JSON ウェブトークンやOAuth トークン
リクエストパラメータベース:ヘッダー、クエリ文字列パラメータなどのパラメータを受け取る
QLDB
フルマネージド型の台帳データベース。透過的かつイミュータブルで、暗号的に検証可能なトランザクションログを備えている。
Amazon Managed Blockchain
Hyperledger Fabric や Ethereum を使用して、パブリックネットワークへの参加や、スケーラブルなプライベートネットワークの作成と管理を簡単に行える。
AWS Blockchain Templates
まざまなブロックチェーンフレームワークを使用してブロックチェーンネットワークを迅速に作成し、AWS にデプロイ可能。
CFnのテンプレート。
Step Functions Express Wokrflow
高パフォーマンス低コストのワークフローが利用可能。
EFSの転送中暗号化
マウントヘルパーユーティリティで、-o tlsを指定する。
OpsWorksライフサイクルイベント
Setup:開始されたインスタンスの起動が終了した後で発生
Shutdown:インスタンスをシャットダウンするよう指示したあと、インスタンスが実際に終了する前に発生
CFn CreationPolicy
CloudFormation が指定数の成功シグナルを受信するかまたはタイムアウト期間が超過するまでは、ステータスが作成完了にならないようにする。
Direct Connect LAG
・すべての接続は専用接続でなければならず、ポート速度が1Gbps または10Gbps であることが必要。
・LAGのすべての接続では、同じ帯域幅を使用する事が必要。
・LAGでは最大4個の接続が可能。
・LAGのすべての接続は、同じAWS Direct Connect エンドポイントで終了する必要がある。
SCPのデフォルト
デフォルトでフルアクセスのSCPが付与されている。
IAMロールをEKSに割り当てる
Kubernetes 内の aws-auth ConfigMapを編集して権限をふる。
OpeworksのOS更新コマンド
Chef11.0以前のLinux:Update Dependencies
CloudFrontのエラー「No 'Access-Control-Allow-Origin'」を解決する方法。
・オリジンの cross-origin resource sharing (CORS) ポリシーで、オリジンが「Access-Control-Allow-Origin」ヘッダーを返すことを許可していることを確認
・適切なヘッダーをオリジンサーバーに転送するように CloudFront ディストリビューションを設定する
・HTTP リクエストに対して OPTIONS メソッドを許可するように CloudFront ディストリビューションのキャッシュ動作を設定する
・必要な Access-Control-Allow-Origin ヘッダーを返すように CloudFront レスポンスポリシーを設定する
SWFマーカー
再帰的なワークフローでループの数を数えることができる。
ECSタスクの分割
・binpack
CPUまたはメモリの最小利用可能量に基づいてタスクを配置。
・random
タスクをランダムに配置。
・spread
指定された値に基づいてタスクを均等に配置。
コスト配分タグのアクティベート
マスタアカウントの請求ダッシュボードからアクティベートを行う。
RDS on VMware
自動バックアップやポイントインタイムリカバリが利用可能
Service Catalog Enduserのポリシー
AWSServiceCatalogEndUserFullAccess— エンドユーザーコンソールビューへのフルアクセス権を付与
製品を起動し、プロビジョニング済み製品を管理するアクセス権を付与
AWSServiceCatalogEndUserReadOnlyAccess— エンドユーザーコンソールビューへの読み取り専用アクセス権を付与。製品を起動し、プロビジョニング済み製品を管理するアクセス権は付与しない。
Lambda予約済み同時実行数制限
予約同時実行:予約同時実行は、関数の同時インスタンスの最大数を保証。
プロビジョニング済み同時実行 – プロビジョニング済み同時実行は、リクエストされた数の実行環境を初期化して、関数の呼び出しに即座に応答する準備が可能。課金が発生する。
Route53プライベートホストゾーンを別のAWSアカウントのVPCに関連付ける方法
プライベートホストゾーンを所持しているアカウントから対象のVPC に関連付ける承認を作成する
別アカウントのVPCをホストゾーンに関連付ける。関連付けの承認を削除する。
Lambda Edge
Lambda EdgeでNode.js、Pythonを利用し、ビューアリクエスト、オリジンリクエスト、オリジンレスポンス、ビューアレスポンスをカスタマイズ可能。
SnowBallのパフォーマンス向上
・最新の Mac または Linux Snowball クライアントを使用する
・小さなファイルをまとめてバッチ処理する
・一度に複数のコピー操作を実行する
・複数のワークステーションからのコピー
・ファイルではなくディレクトリを転送する
・ローカル ネットワークの使用を減らす
・不要なホップを排除する
Tag Editor
TagEditorで既存のリソースにまとめてタグ付けが可能。
IAMロールの信頼ポリシーに含める外部ID
IAMロールのARNを把握している場合、悪用される危険がある。
信頼ポリシーに、外部IDを指定することで、外部IDなしでの利用をブロックする。
ELBのLORルーティング
デフォルトはラウンドロビンだが、LORを選択すると、新しいリクエストが到着したときにロードバランサーが未処理のリクエスト数が最も少ないターゲットにリクエストを送信可能。
S3 Publicアクセスのブロック
IgnorePublicAclsをTRUEにする。
Lambda Alias
Aliasを利用し、トラフィックをカナリア的に分散可能。
App Sync
AWS AppSync は、最新のウェブおよびモバイルアプリケーションの構築を簡素化するサーバーレス GraphQL および Pub/Sub API のサービス。
使用量プラン
APIキーを利用し使用量プランを設定することで、スロットリングできる。
Application Discovery Service
Agentlessは、Conectorを使う。(VMWare等)
ECSスポットインスタンスのドレイン
ドレイン機能を利用することで、スポットインスタンスの削除に伴うタスク調整が可能。
DataPipelineで複数のコンピューティングリソースを紐付ける方法
複数のクラスターオブジェクトを定義ファイルに定義し、使用するクラスターを runsOn フィールドで各アクティビティに関連付けする。
Direct Connect LOA-CFAのリクエスト有効期限
クロスコネクトが 90 日以内に完了しない場合は、LOA-CFA が付与した権利は無効になる。
SESの送信アクティビティの転送
Kinesis Data Firehoseを通じてS3にログを転送可能。
DataSync
Network File System (NFS) 共有、Server Message Block (SMB) 共有、Hadoop Distributed File System (HDFS)、セルフマネージドオブジェクトストレージ、AWS Snowcone、Amazon Simple Storage Service (Amazon S3) バケット、Amazon Elastic File System (Amazon EFS) ファイルシステム、Amazon FSx for Windows File Server ファイルシステム、Amazon FSx for Lustre ファイルシステム、Amazon FSz for OpenZFS ファイルシステム、Amazon FSx for NetApp ONTAP ファイルシステムとの間でデータをコピーできる。Agent経由で同期可能。
KMSにおける外部で生成したキーの利用
キーマテリアルなしでKMSを作成、オリジンに「EXTERNAL」を指定することで利用可能。
Aurora Serverless Data API
Lambda等から利用する際に相性がよい。DataAPIエンドポイントへの接続でよいため、常時DBとの接続を実施する必要がなくなる。DataAPIの利用にはSecretManagerが必要。