はじめに
昨日シスオプ試験で引っかかった問題があったので調べ直しをして、pro試験のサンプルの直しやります。
学習
AWS organization
https://engineer.crowdworks.jp/entry/2018/07/17/103453
以下の機能がある
- 新規アカウント作成
- 新規アカウント作成で、なんとAWSアカウントをAPIで作成することが可能
- アカウントの階層的なグループ化
- OU(Organizational Unit)という単位でAWSアカウントをグループ化
- 各アカウントのAPIへのアクセス制御(root含む)
- OUもしくはAWSアカウントに対して、ポリシーを定義し、APIへのアクセス制御
- 一括請求
AWS PlivateLink
VPCエンドポイントの方式
- ゲートウェイVPCエンドポイント
- ゲートウェイVPCエンドポイントではAWSのAPIへはパブリックIPへ向いており、アクセス制御はゲートウェイのアクセスポリシーで行います。
- インターフェイスVPCエンドポイント
- 今回追加されたものは、下図のようにサービスのエンドポイントとENIをPrivateLinkと呼ばれるものでリンクされます。DNSを使ってENIのプライベートIPに<サービス名>.<リージョン>.amazonaws.comのようなAレコードが設定されます。この方式をインターフェイスVPCエンドポイントと呼びます。インターフェイスVPCエンドポイントではENIに対してアクセスするため、アクセス制御はセキュリティグループで行います。
今回このPrivateLinkのエンドポイントを自分で作れるようになりました。つまり、PrivateLinkのエンドポイントを作って公開することで、独自アプリケーションを特定のVPCへ公開することができます。このアーキテクチャは例えばVPCを数百作成し、マイクロサービスを提供するということが実現できるようになります。
現在PrivateLinkで指定できるエンドポイントはNLB(Network Loadbalancer)になります。公開するアプリケーションはNLBを介して、PrivateLinkのエンドポイントとして提供されます。
ケース
- PrivateLinkを利用すると、特定のNLBのみ公開できるのでアクセスを限定できる。逆にVPCピアリングだとセグメントレベルでの共有になるので、アクセス制限を意識する必要がある
- 相手側ネットワークのセグメントを意識する必要がない。VPCピアリングだと、ネットワークセグメントがかぶるとそもそもピアリングができない
- マーケットプレイスが用意されます。2018に公開されるとのことです。APIのエンドポイントをサブスクリプション形式で買って利用することができるようになります
これよめばいいと思う
まとめ
目標の三冠を達成したので今日は休み。
明日から本気出す。