AWS
資格

(途中)旧版:AWS 認定ソリューションアーキテクト – アソシエイト ポイント纏め

はじめに

一度6月に纏めようとしたのですが、途中で折れて未だ全部のサービスを纏めきれてません。
S3以降のサービスについては、後日追記します。

旧版(2018/08/12まで受験可能)の出題ポイント(サービス毎)になります。
新版(06/23時点で受験可能)になると、恐らく古臭い問題(EC2-Classicとか準仮想化インスタンスに絡む問題等)は出ないんじゃないかと思います、出たらごめんなさい・・・。最近の新しいサービスとか出題されると思うので、BlackBeltとかで資料を確認した方がよさそうです。旧版とはいえ出題範囲は下記のように被ってるので、参考にはなると思います。

旧版(2018/08/12まで受験可能)
・AWS におけるスケーラビリティ、高可用性および高耐障害性の設計とデプロイ
・既存のオンプレミスアプリケーションの AWS への引き上げおよびシフト
・AWS とのデータの送受信
・データ、コンピューティング、データベースまたはセキュリティ要件に基づく適切な AWS の各種サービスの選択
・AWS アーキテクチャのベストプラクティスの適切な使用の識別
・AWS のコストの予測とコストコントロールメカニズムの識別

新版(2018/06/23時点で受験可能)
・AWS 上で可用性、優れたコスト効率、耐障害性を備え、スケーラブルな分散システムを設計した 1 年間の実務経験
・AWS のコンピューティング、ネットワーキング、ストレージ、データベースサービスの実践的な使用経験
・AWS のデプロイおよび管理サービスに関する実践経験
・AWS ベースのアプリケーションに関する技術的要件を特定、定義する能力
・提示された技術的要件を満たす AWS のサービスを特定する能力
・AWS プラットフォームで安全性と信頼性の高いアプリケーションを構築するために推奨されるベストプラクティスに関する知識
・AWS クラウドでのソリューション構築における基本的なアーキテクチャの原則に関する理解
・AWS のグローバルインフラストラクチャに関する理解
・AWS に関連するネットワーク技術の理解
・AWS で利用できるセキュリティ関連の機能およびツールと従来型サービスとの連携に関する理解

リージョン

  • 複数のアベイラビリティゾーンで構成
  • リージョンの数や名前を覚えとく

アベイラビリティーゾーン(AZ)

  • 各AZは地理的にも電力的にも独立
  • AZ間は専用線で接続されていて、各AZに配置されたサーバは低レイテンシーで通信可能
  • AZ間でサーバやデータを冗長的に配置することで、可用性の高いシステムを構築出来る

AWSサービスのサービスレベル

  • リージョンサービス(S3、DynamoDB、SQS等)
  • AZサービス(EC2、RDS、ELB等)
  • グローバルサービス(IAM、Route53、CloudFront等)
    ※どのAWSサービスがどこまでの範囲のサービスなのか、把握する事

責任分担セキュリティモデル

  • インフラストラクチャサービス
    -ハードウェア部分までAWSが管理
    -データ・通信の暗号化~データ迄が利用者の責任
    -EC2やVPC等
  • コンテナサービス
    -ハードウェア部分からOS・ミドルウェア部分迄がAWSが管理
    -データ・暗号化・ファイアウォール迄が利用者の責任
    -RDSやEMR等

  • アブストラクトサービス
    -ハードウェアからソフトウェア部分迄がAWSが管理
    -クライアントサイド暗号化~データ迄が利用者の責任
    -S3やDynamoDB等

IAM

  • ルートアカウントは使用せず、ユーザを使用
  • IAMグループ・ユーザには最小限のアクセス権を与える
  • アクセス許可と拒否のIAMポリシーが相反する場合、拒否のIAMポリシーが優先
  • IAMロールを使用する事で、アクセスキーやシークレットキーが無くても、リソースにアクセス出来る
  • IDフェデレーションを使用する事でIAMユーザとして登録してないユーザからのアクセスを一時的に許可する事が出来る。尚、企業の認証基盤(AD)がないと使用不可

VPC

  • VPCの作成順番
    -①VPCの作成
    -②サブネットの作成
    -③ゲートウェイの作成
    -④ルートテーブルの作成
  • サブネット
    -パブリックサブネット(インターネットとのアクセスを許可するサブネット)
    -プライベートサブネット(インターネットとのアクセスを許可しないサブネット)
    -サブネット内に配置するサーバの役割(機能)に応じて作成
    -複数のAZに跨って作成不可 -同じ役割のサブネットを複数のAZに作成する事で冗長的に配置
    -同一VPC内のサブネットであれば、サブネット間の通信可能
    -NATインスタンスを利用する事で、プライベートサブネットからインターネットへ接続可
    -送信元/送信先チェックの無効化
  • EC2インスタンス内のIPアドレス
    -PublicIPとELasticIPの違い
    -インスタンス内のIPの見え方
  • セキュリティグループ(SG)
    -インスタンス単位
    -追加可能なルール:許可のみ
    -デフォルトルール(インバウンド:すべて拒否、アウトバウンド:全て許可)
    -ステートフル
  • ネットワークACL(NACL)
    -サブネット単位
    -追加可能なルール:許可、拒否
    -デフォルトルール(インバウンド:すべて許可、アウトバウンド:全て許可)
    -ステートレス
  • VPCピア接続
    -2つのVPCを接続する
    -複数接続時は接続方法に制限あり。

EC2

  • インスタンスファミリーとインスタンスタイプをざっくり覚えとく
  • ユーザデータとメタデータの用途と参照出来るデータ
  • EC2インスタンス作成の手順~端末操作迄の流れを把握しとく
  • EC2インスタンスのライフサイクル
  • EBSは不揮発性、インスタンスストアは揮発性
    -EC2インスタンスストアを使用時インスタンスを一度停止し、再び起動すると物理ホストが変更される。
    -EBSは停止、起動、再起動、削除。インスタンスストアは再起動と削除のみ
    -インスタンスストアはエフェメラルディスクと同義
  • EBSのタイプ
    -General Purpose SSD
    -Provisioned IOPS SSD
    -Magnetic
  • EBS最適化インスタンスの利点
  • EBSスナップショット
    -任意のタイミングで取得可能
    -差分取得で圧縮されている
    -取得前は、データの整合性を保つ為、IOの停止が推奨
    -取得後は、取得完了を待たずにIO可能
    -EBSスナップショットを介したAZ/リージョン間のEBSボリュームの複製の流れ
  • プレイスメントグループ
  • Dedicated Hostsとハードウェア専有インスタンス
  • インスタンスの削除保護の有効化と無効化

S3

  • 安価で非常に耐久性(99.999999999%)のあるオブジェクトストレージ
  • マルチバートアップロード機能を使用すると1オブジェクト最大5TB、使用しないと5GB
  • オブジェクトの利用用途ごとにストレージクラスがある
    -スタンダードクラス      耐久性:99.999999999% 可用性:99.99%
    -スタンダード-低頻度アクセス 耐久性:99.999999999% 可用性:99.9%
    -低冗長化ストレージ     耐久性:99.99%     可用性:99.99%
  • スタンダードクラスは、失われる事が許されない向けのデータ、低冗長化は再作成可能なデータ向け
  • S3のデータ整合性
    -PUT(新しいオブジェクトの書き込みは、書き込み後の読み取り整合性)
    -PUT(既存オブジェクトの上書きは、結果整合性)
    -DELETE(オブジェクトの削除は、結果整合性)