AWS SAA 模試直し⑦

現状

Udemyの講座をすべて視聴完了（約１ヶ月半かかった）
AWS-CLI取得済

今回の模試の結果

やっと合格点に到達！！！あと3日後に本番ではあるが合格点に乗ったのはとても嬉しいし自信にもなった。
以前不足していた知識をまとめたものを、すべて見直して覚えた上で受けたのでサービス名だけ答えるものは正解していると思う。またわからないサービス名が選択肢に含まれていることが無くなり、選択肢を絞ることができるようになった。

直し

S3

クロスアカウントアクセス

①IAMポリシーによってS3自体の操作権限をIAMロールに付与
②バケットポリシーにおいて、そのIAMユーザーやAWSアカウント指定してアクセス許可を設定
③異なるAWSアカウントユーザーとの間に信頼関係を設定（AssumeRoleAPIの仕様でも可）

データアップロードを効率化

・Amazon S3 Transfer Acceleration
・マルチパートアップロード
・AWS Storage Gatewayファイルゲートウェイ：Amazon S3バケットへのデータ転送を管理して、低レイテンシーなデータアップロードを支援する機能

AWS Storage Gateway

ファイルゲートウェイ：シームレスにAWSクラウドに接続して、データファイルやバックアップイメージをS3に保存する
ボリュームゲートウェイ：キャッシュ型、保管型
テープゲートウェイ：S3とGlacierにデータを補完する仮想テープストレージとVTL管理

ACMとAPI Gatewayの連携

AWS Certificate Manager（ACM）を利用してSSL/TLS証明書を設定して、HTTPS通信を実現
AWS Certificate Manager（ACM）からSSL/TLS証明書を発行して、API Gatewayにおいて、カスタムドメイン名に作成済みのドメイン名を入力して、ACMを選択して証明書をマッピングすることでAPIリクエスト時の通信の暗号化を達成

リザーブド購入方式

・EC2リザーブドインスタンス
・RDSリザーブドインスタンス
・ElastiCacheリザーブドキャッシュノード
・DynamoDBリザーブドキャパシティ
・Redshiftリザーブドノード

AutoScaling

ターミネーションポリシー

最も古い起動設定により起動しているインスタンスから終了

パブリックホストゾーン

・インターネット上に公開されたDNSドメインレコードを管理するコンテナである
・インターネットのDNSドメインに対するトラフィックのルーティング方法を定義する

Amazon Fraud Detector

Lambda関数から直接実行するだけでは、不正検地内容の保存や、発見時のメッセージ通知などの詳細なワークフローを実装することができない。
Step Functions 内でAmazon Fraud Detector を実行することで、不正検地内容の保存や、発見時のメッセージ通知などをまとめて実装する

RDS

サポート

されているもの：PostgreSQL 13のサポート、PostGIS をサポート、EC2インスタンスとの連携やオンプレミスサーバーとの連携
されていないもの：Amazon RDSはファイルシステムへのアクセスがサポートされていない

Route53

複雑なルーティングを設定するにはトラフィックフローを用いてルーティングの順序を詳細に設定

EKS

・Kubernetes ワーカーノード (EC2 インスタンス)
・Kubernetes コントロールプレーン

異なるVPCに配置されているコントロールブレーンとノードに対する公開範囲を規定した上で、お互いに接続するための通信制御の設定方法

エンドポイントプライベートアクセスを有効化して、エンドポイントパブリックアクセスを非有効化して、EKSのコントロールブレーンを設定
AWS PrivateLinkのインターフェースVPCエンドポイント を使用して、VPC と Amazon Elastic Kubernetes Service 間にプライベート接続

具体的には、以下の手順に従って設定を行います。
１．プライベートサブネットの mapPublicIpOnLaunch は FALSE に設定する必要があります。
ノードは AssociatePublicIpAddress の値を必要としません (この値を CFN テンプレートまたは API 呼び出しに含めないでください)。
２．プライベートクラスターエンドポイントのみを有効にする必要があります (パブリックエンドポイントを無効にします)。クラスターエンドポイントにアクセスするには、VPN 接続が必要です。
３．EC2 とすべての Amazon ECR および S3 リポジトリで AWS PrivateLink を有効にします。 PrivateLink インターフェイスやゲートウェイエンドポイントを設定して、Kubernetes アプリケーションが他の AWS のサービスにアクセスできるようにする必要があります。
４．クラスターで起動するすべてのコンテナイメージは、VPC 用に設定したエンドポイントを持つ ECR リポジトリから取得する必要があります。これには、ClusterAutoscaler やメトリクスサーバーなどの運用ツールのコンテナイメージが含まれます。

オンプレミス環境のMicrosoft Active Directoryを利用して社内インフラの認証管理を実施している会社のユーザー認証プロセスをAWS環境と統合する方法

・AWS Directory Serviceとオンプレミス環境のActive Directoryとの間で信頼関係を設定して、認証情報を共有することが必要
・AWS OrganizationsにおいてAWS IAM Identity Centerを適用することで、複数のAWSアカウントを統合して、シングルサインオンの仕組みを導入することができます。さらにAWS IAM Identity Centerのサードパーティ統合サポートを使用すれば、外部アプリケーションへの認証を実施することが可能

ELB

ALBの特徴

・L７に対応
・URLのパスに基いてルーティングが可能なパスベースルーティングが可能
・WebSocketとHTTP/2のリクエストが利用可能
・1インスタンスに複数ポートを登録可能
・EC2インスタンスをターゲットグループに割り当てる際、複数ポートを個別のターゲットとして登録することが可能なため、ポートを利用するコンテナをロードバランシング可能
・ターゲットグループでのヘルスチェックが可能
・アクセスログが取得できる
・EC2と同様に削除保護が可能
・ALB自体が自動的にキャパシティを増減する

AWSリソースのタグ付け戦略

・個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。
・タグには標準化された、大文字と小文字の区別がある形式を使用し、すべてのリソースタイプに一貫して適用します。
・リソースアクセスコントロールの管理、コスト追跡、オートメーション、整理など、複数の目的に対応したタグガイドラインを考慮します。
・自動化されたツールを使用して、リソースタグを管理できます。AWS リソースグループとリソースグループのタグ付け API を使用すると、プログラムによるタグの制御が可能になるため、タグとリソースの自動的な管理、検索、フィルタリングが容易になります。
・タグの利用が少なすぎるよりは、多く利用することが好ましいです。
・ビジネス要件の変化に合わせてタグを変更するのは簡単ですが、将来の変更の影響を考慮してください。たとえば、アクセス制御タグを変更した場合、そのタグを参照してリソースへのアクセスを制御するポリシーも更新する必要があります。

DynamoDB

定期実行

Amazon DynamoDBテーブルに顧客データを保存後、Amazon EventBridgeによってLambda関数からGlueを利用するイベント処理をDynamoDBテーブルに連携
その後、Amazon EventBridgeのスケジュール機能で月次でAmazon S3にエキスポートするスケジュールを設定

AWS Application Discovery Service

オンプレミスデータセンター内のサーバーにエージェントをインストールすることで、データセンターの利用情報を収集することができるサービス
サーバーの使用率データや依存関係のマッピング

Lambda関数

安価なWEBアプリ作成

Amazon S3バケットにホストされる静的ウェブサイトを作成して、Lambda関数を呼び出せるようにAPIをこの静的ウェブサイトのページに組み込み

VPC内・VPC外の起動

VPC外Lambda→リソース：リージョンサービス、パブリック内リソース　　　※プライベート内リソースは×
リソース→VPC外Lambda：リージョンサービス、パブリック内リソース、VPCエンドポイント付きプライベートリソース　　　※NATゲートウェイ付きなら関係なく実行できる
VPC内パブリックLambda→リソース：プライベート内リソースのみ
リソース→VPC内パブリックLambda：プライベートリソース（エンドポイント無）は不可
VPC内プライベートLambda→リソース：NATゲートウェイ、VPCエンドポイントなければ、プライベートリソースのみ可　　　NAT
NATゲートウェイ、VPCエンドポイントあればすべてアクセス可

Autoscaling

起動しない場合

・最大サイズを5つと設定していてすでに5つ起動している場合
・vCPU ベースのオンデマンドインスタンス制限以上のEC2を起動させている。

KMS

AWS 暗号化 SDK

暗号化の制限を超過しないようにリクエスト処理の仕組みを構成
※AWS KMSリクエストが1秒あたりの制限を超えてしまっている場合に利用

異なるAWSアカウントとスナップショットを共有

スナップショットの作成：スRDSコンソールのスナップショットの共有設定において、共有先AWSアカウントを指定してスナップショットを共有
KMS暗号化キーの共有：共有先AWSアカウントをKMSキーポリシーに追加する

IAMポリシーとIAMユーザーの使い分け

IAMポリシー：他のAWSアカウントのIAMユーザーに対して、一時的に同アカウント内でのAWSアクションを許可するための設定

AWS Lake Formation

・AWS Data Exchangeを連携させて、外部の企業とデータを共有できる
・AWS Glue Sensitive Data Detection を利用してデータレイク内の機密データを識別

EC2

Oracle RAC

複数のコンピュータを束ねて一体のシステムを構成するOracleのクラスタリング機能です。これにより複数のサーバーで一つのデータベースを構成して、「負荷分散」「拡張性向上」「耐久性向上」を実施
※RDSでは実現できない構成

EFS

バーストスループットモード：突然アクセスが増加するケース
最大 I/O モード：ファイルオペレーションのレイテンシーがわずかに長くなる代わりに、より高いレベルの集計スループットと 1 秒あたりの操作にスケール
ロビジョンドスループットモード：デフォルトのバーストモードより高い専用スループットを必要とするアプリケーションをサポートするように設計

Amazon Textract

光学文字認識 (OCR) を使用して、PDF などのスキャンしたドキュメント、フォーム、表からテキストデータを自動的に抽出する人工知能サービス