LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@everyday_progm

【AWS学習記録】クラプラへの道⑫:IAM・高可用性・セキュリティサービスの要点を攻略!模擬試験復習 Part6

Posted at

こんにちは!AWSクラウドプラクティショナー資格取得に向けた学習記録、第12弾です!

今回は、模擬試験で間違えてしまった問題の中から、特に重要な3つのテーマをピックアップして徹底的に復習します。「IAMでの効率的な権限管理」「ELB、Auto Scaling、Route 53で作る高可用性アーキテクチャ」、そして「InspectorとConfigの役割分担」です。

どれも少し似ていて混同しやすいサービスですが、それぞれの役割をしっかり理解して、自信を持って答えられるようになりましょう!

1. 権限管理のベストプラクティス!IAMグループを使いこなそう

▼ 復習ポイント

問い: 1000人の従業員がいる会社で、部門単位でAWSのアクセス権限を設定したい。どのIAM設定を利用すべきか?

  • 正解:IAMユーザーグループに対する権限設定
  • 自分の回答:AWS Organizationsによる権限設定

【解説】
ユーザーの権限管理はセキュリティの基本!IAMの機能を正しく理解することが大切です。

  • IAMユーザー: AWSを操作する個人のエンティティ(実体)です。一人ひとりに作成します。
  • IAMグループ: IAMユーザーの集まりです。ここに権限(ポリシー)をアタッチすると、所属する全ユーザーがその権限を継承します。「営業部グループ」「開発部グループ」のように、役割ごとに権限をまとめて管理できるため、ユーザー一人ひとりに権限を設定する手間が省け、管理が非常に楽になります。これがベストプラクティスです!
  • IAMロール: ユーザーやEC2インスタンスなどのAWSサービスが、一時的に特定の権限を引き受けるための仕組みです。長期的な認証情報(パスワードやアクセスキー)を持たないため、より安全に権限を委任できます。「一時的にかぶる帽子」のようなイメージです。
  • AWS Organizations: 複数のAWSアカウントを束ねて、請求やポリシーを一元管理するためのサービスです。アカウント内のユーザーではなく、アカウント自体を管理するのが目的です。

イメージ: 会社全体が「Organizations」、部署が「グループ」、社員が「ユーザー」、役職(部長など)が「ロール」と考えると分かりやすいですね!

2. 単一障害点からの脱却!高可用性の三種の神器

▼ 復習ポイント

問い: 障害の検出と対処を自動化して、「単一障害点」をなくすために利用するサービスは?(3つ選択)

  • 正解:ELB, Auto Scaling, Amazon Route 53
  • 自分の回答:ELB, Amazon Route 53, Amazon CloudFront

【解説】
システムを止めない「高可用性」を実現するために、この3つのサービスはセットでよく利用されます。

  • Elastic Load Balancing (ELB):

    • 役割: 複数のEC2インスタンスなどにトラフィックを分散させる「交通整理員」です。一部のインスタンスに障害が発生しても、正常なインスタンスにだけトラフィックを流してくれるため、サービスが継続できます。

  • Auto Scaling:

    • 役割: アクセスの増減に応じて、EC2インスタンスの数を自動で増減させる「賢いマネージャー」です。ELBと連携し、インスタンスが不健康になったら自動で新しいものと交換してくれるため、障害からの自動復旧も担います。

  • Amazon Route 53:

    • 役割: 高可用なDNSサービスです。ユーザーをWebサイトに案内する「グローバルな案内人」の役割に加え、ヘルスチェック機能を持っています。サーバーが応答しない場合に、正常な待機サーバーへ自動的にルーティングを切り替える(フェイルオーバー)ことができます。

CloudFrontはコンテンツを高速配信するCDNサービスなので、役割が少し異なります。「トラフィック分散のELB」「自動復旧のAuto Scaling」「DNSレベルでの障害回避のRoute 53」、この3つが鉄壁のチームです!

3. クラウドの番人たち!InspectorとConfigの役割分担

▼ 復習ポイント

問い: EC2インスタンスの脆弱性を評価し、ベストプラクティスを満たさないインスタンスを特定するサービスは?

  • 正解:Amazon Inspector
  • 自分の回答:AWS Config

【解説】
どちらもリソースをチェックするサービスですが、目的が全く異なります。

  • Amazon Inspector:

    • 役割: EC2インスタンスやコンテナイメージの内部をスキャンし、意図しないネットワークアクセスや、OSの既知の脆弱性がないかを自動で評価してくれる「セキュリティ診断士」です。
    • キーワード: 脆弱性評価、セキュリティ診断

  • AWS Config:

    • 役割: AWSリソースの設定内容を記録・評価し、それが会社のルール(あるべき姿)に準拠しているかを継続的にチェックする「コンプライアンス監査員」です。例えば、「S3バケットは公開設定になっていないか?」「EBSボリュームは暗号化されているか?」などをチェックします。
    • キーワード: 設定履歴、コンプライアンス監査

  • Amazon GuardDuty (参考):

    • AWS環境全体を監視し、悪意のあるアクティビティや不正な振る舞いを検出する「脅威検知サービスの警備員」です。

覚え方: Inspectorはインスタンスの"中身"の健康診断Configはリソースの"設定"のルールチェック、と覚えると区別しやすいです!

まとめ

今回の復習では、AWSの重要かつ混同しやすいサービスの違いを学びました。

  • IAM: ユーザー管理はIAMグループにポリシーをアタッチするのが基本!
  • 高可用性: ELB + Auto Scaling + Route 53の三種の神器で止まらないシステムを!
  • セキュリティ: Inspectorはインスタンス内部の脆弱性診断Configはリソース設定のコンプライアンス監査
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?