現状
Udemyの講座をすべて視聴完了(約1ヶ月半かかった)
AWS-CLI取得済
今回の模試の結果
前よりは10%上がったが、まだまだ合格には遠い、、、
模試の直し
パブリックサブネットとプライベートサブネット
※相互の通信ではない
インターネットゲートウェイ→パブリック→プライベート
プライベート→NATゲートウェイ→インターネットゲートウェイ
APIゲートウェイ
アクセス制御
・APIキーを使用する使用量プラン
・プライベートAPIに設定してリソースポリシーで選択したVPCからのみ許可
※アクセス制御
・APIキー、IAMロール、Cognito
S3
ユースケース
処理中のデータを一時保存→S3
※RRSは現在非推奨で高価になった
プレイスメントグループ
単一のアベイラビリティゾーン内のインスタンスの論理的なグループ
クラスタープレイスメントグループ:ネットワークの待ち時間が短い、高スループット、低レイテンシー
パーティションプレイスメントグループ:同一ラックをパーティションで分割、ハードウェア障害を軽減
スプレッドプレイスメントグループ:少数の重要なインスタンスを分離して保持できる、同時障害軽減
ElasticCache
セッションデータ管理、高速処理、インスタンスに影響されずに処理継続できる
EC2
長期的な負荷増加
Auto Scalingは向いていない
Autoscaling
ターゲット追跡スケーリングポリシー
一定のCPU利用に応じてスケーリングを実施
オンプレミスとの接続
VPN接続
カスタマーゲートウェイに静的ルートテーブルを構成して、仮想VPCに接続
Direct connect
AWSとオンプレミスを専用線接続するサービス
SQS
クラッシュしたメッセージ
デフォルト:可視性タイムアウトが設定されていて、30秒後に別のインスタンスでキュー取得
別方法:デッドレターキュー設定をして、デッドキューに移動
Kenesis
カスタムコンシューマーアプリ
プロデューサーアプリは作成不可
S3
バケットのアクセス制御
特定のユーザからのアクセス制御→IAMロール
不特定のユーザーからのアクセス制御→バケットポリシー
イベント通知
1つのS3イベント通知には1つのリソース、複数は不可なのでSNSを利用する
Ajax通信
同一生成元ポリシーによってWebページを生成したドメイン以外へのHTTPリクエストができない。
S3を用いて構成している場合はCORSを有効化して、第三者からの不正リクエストを防ぎながら通信できる
EBS
別リージョンでの利用
スナップショットをS3にコピーして別リージョンで複製
そのまま移動は不可
EBSのRAID構成
RAID0:パフォーマンス向上
RAID1:ミラーリングで冗長性向上
※レプリケーションという機能は存在しない
RDS
セカンダリーDBインスタンスとリードレプリカ
セカンダリーDBインスタンス:プライマリーとフェールオーバー構成を実現する。待機系として利用
リードレプリカ:読み込みリクエストをリードレプリカで処理し、パフォーマンス向上
暗号化
KMS用いた暗号化は不可
RDSの設定ですべて暗号化する
プロキシ
アプリケーションとRDSデータベースの間の仲介役として機能
必要となるデータベースへのコネクションプールを確立および管理し、アプリケーションからのデータベース接続を少なく抑える機能
Lambda関数からデータベースに直接流れるすべてのデータベーストラフィックを処理
※スティッキーセッション機能はない!!ALBの機能
SNS
イベント発生時をトリガーにしている時に使用
AmazonECS
他のAWSリソースにアクセスをする際は、タスクに対して、そのサービスへのアクセス許可が設定されたIAMポリシーを付与したIAMロールを設定することが必要
タスク IAM ロールはtaskRoleArn API オペレーションによって定義
VPCエンドポイント
ゲートウェイ型:DynamoDBとS3のみ適用可能
インターフェース型:多くのAWSサービスに適用、S3は対応、DynamoDBは対応不可能
EC2インスタンスの複製
AMIを別リージョンにコピーする(EBSも含まれる)
スナップショットはEBSのみの対応
HTTPSへのリダイレクト
ALBのリスナールールにリダイレクト先のport443を設定する。
S3 Transfer Acceleration
長距離にわたるファイル転送を高速、簡単、安全に行える
AWS Nitro Enclaves
EC2インスタンスにAWS Certificate Manager上のSSL証明書を設定できる
高度な機密情報の保護や安全措置を向上する、分離されたコンピューティング環境を実現するEC2インスタンスの特別な仕組み
EFS
マウントターゲットが必要
アベイラビリティーゾーンごとに 1 つのマウントターゲットを作成
Amazon FSx For Lustre
スーパーコンピュータで使用されている分散ファイルシステム
Amazon S3との完全な双方向同期が可能
AWS Glue
AWS Glueクローラーを利用してS3バケットを処理して、データをスキャンして、データ分類、スキーマ情報を抽出し、メタデータをAWS Glueデータカタログに保存してデータ分析前のETL処理を行うことができます。その後、このデータをRedShiftにおいて処理することが可能です。
Lambda
プロキシ統合・非プロキシ統合
プロキシ統合:クライアントが単一の Lambda 関数をバックエンドで呼び出すことを可能にする
非プロキシ統合:プロキシ統合のセットアップステップに加えて、受信リクエストデータがどのように統合リクエストにマッピングされるか、統合レスポンスデータの結果がメソッドレスポンスにどのようにマッピングされるかを指定
外部からの攻撃対策
WAF:SQLインジェクション、クロスサイトスクリプティング
AWS Shield:DDos攻撃
Inspector:自動化されたセキュリティ評価サービス
SQSのスケーリング
コスト重視:Lambda関数でスケーリング
性能重視:Autoscaling
AWS Systems Manager パラメーターストア
、設定データ管理と機密管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、Amazon Machine Image (AMI) ID、ライセンスコードなどのデータをパラメータ値として保存
※パラメーターストアにあるパラメータの読み取りアクセス許可を設定したIAMポリシーを付与したIAMロールを割り当てることが必要
ECSとEKS
ECS:Docker
EKS:Kubernets
EventBridge
イベントを使用してアプリケーションコンポーネントを接続するサーバーレスサービス
Amazon CloudWatch Eventsは現在使われていない