#1○
ALB,API、EC2、S3のアーキテクチャのシステムがある。DDOS、SQLインジェクション、HTTPフラッド、BOTスクレイピングを対策したい。
サービス公開の際には必ずフロントを噛ませる。さらにフロントでWAFとシールドのアドバンスを有効化して紐つけてWebアプリに対する様々な攻撃に対して対処可能になる。
#2○
リージョン間コピーされたAMIのPEMキーの扱いについて
AMI作成時に明示的に公開鍵を除去しない場合には、内包されたままになる。また、秘密鍵はリージョンで管理されているので、別で移行する必要がある。
#3×
USEAST1でサービスを提供している。今度EUCENTRAL1でも展開することにした。53のレイテンシベースルーティングで80%をUSEAST1へ転送しますが、徐々にEUCENTRALへの転送を増やしていき、最終的にはEUCENTRAL1へのリクエストは全て転送する予定。また、どちらか一方のリージョンで障害が発生した場合には、他方のリージョンへルーティングされるようにしたい。アプリはALB配下のインスタンスで稼働しており、マルチAZのオートスケーリングが適用されている。DBはマルチAZのMySQLを使っている。テストでEUCETNRAL1へのRDSへのアクセスをブロックしたところ、フェイルオーバしなかった。どうすれば自動フェイルオーバを実現できるか。
最初は加重で振り分けて最後にレイテンシーベースで振り分けする。フェイルオーバにはターゲットヘルスチェックを有効化して、万が一の時に対応してエラーページを用意しておく。
#4○
ファイルIDやファイル名などの属性が付与されたデータを24時間以内に取り出せるようなアーカイブ方式を検討している。1ファイルあたり数GB。コスト最適な方式はどれか。
グレイサーにアーカイブする時には圧縮するとなお良い。また、DyanmoDBにアーカイブIDとファイルの属性情報を紐つけておくことでもっと良い。
#5×
4つのリージョンでモバイルゲームを展開。利用者のデータを保存しているDbは複数リージョンから参照でき、静的ファイルについてはグローバル共通のファイルとローカルリージョン用のファイルが存在。静的ファイルは最小レイテンシーで取得できるようにしたい。
DynanoDBを使ってグローバル対応するにはDynamoDBのグローバルテーブルを作成すればマルチマスターDBを構築できる。そのためにはストリームを有効化する必要がある。
S3のCCRを利用する。
リージョン間と言われたらグローバルテーブル、CCR機能が思いつくこと。
#6×
組織で運用している、AWSアカウントで稼働しているリソースを停止または削除するにはどうしたら良いか?
複数のアカウントを同一の管理者が管理する場合にはロールを用いたクロスアカウント先のアカウントにロールを作成して対応。
#7×
HRC用のEC2がある。プレイスメントグループに所属しているEC2インスタンスの通信速度をあげるには何をしたらいいか?
起動中のEC2をプレイスメントグループに入れるには、インスタンスが停止状態な必要がある。
#8○
AWS上のリソースを継続的に監視し、監査するための手段として最適なものはどれか?
Cloudtarail&Config
#9×
ALBオートスケーリングEC2でホストされたEC2がある。全てのブログコンテンツをEFSに保存している。このアーキテクチャをコストとスケーリング力に優れた方法は何か?
ストレージとしてS3を選択しよう。それだけ
#10○
AWSでDevopsを実現するためたのアプローチは何か?
基本ブルーグリーン
#11○
CICD環境を最も早く構築できる方法は?
EBは、シンプルなアプリケーションの環境を構築するためのサービスであり、CICDの構築には向いていない。
CFは可能だがテンプレートの中で設定を行う必要があり、早急な対応には向いていない。
オプスワークはチェフとパペットのマネージドサービスであり、CFと同様設定が必要となる。
#12×
EC2とS3で構成されたアプリケーションがある。コスト最適化のために何をすべきか。
基本的な理念はサーバレスにすること。EC2があればそれをラムダに置き換えることを意識することでコスト削減ができる。また、CFを噛ませてグローバルに画像ファイルを公開。
S3でファイル公開→フロントを噛ませる。EC2動かす→ラムダに置き換え。
#13×
新規AWSアカウント作成の自動化とセキュリティポリシーの適用には何をすべきか
組織に対するトレイル昨日を有効化する。これで組織の全アカウントに対して、証跡の取得設定を自動化できる。
#14×
署名付きアップロードが失敗する原因
発行元のクレデンシャルに問題があるか、期限が切れているかのどっちか。
#15○
各事業部のAWS利用に関する費用の一元化
組織を構成。
#16○
ホストのアフィニティ設定をホストにすると同じハードで起動できる。占有インスタンスではハードウェアまで固定できるがどのハードかまでは無理。
占有インスタンス<占有ホスト
#17 ×
EBSのIOPSクレジットのトラシュ。
EBSサイズをスケールアップするか、タイプをIOPSにするかで解決。
#18×
ペタバイト級のデータ移行については大人しくトラック呼びましょう。後、EMRはタスクノードについてはスポット使ってノードが落ちたとしても他のノードが補ってくれるので安心してスポット使いましょう。
#19×
複数のAWSアカウントのそれぞれのVPCから互いのリソースの名前解決を行うには?
まずDNS管理用VPCを作成して、関連づけられる方はCreateVPCASOCCIneationAuthentificationAPIを呼び出して、参照側はAsocateVPCWithHostZoneAPIを呼ぶ。
プライベートホストゾーンとは
プライベートホストゾーンは、Route53の機能のひとつで、VPC内のみで名前解決をしてくれるものです。(VPC内のサーバー間で名前解決したい場合など)
対して、VPC外で名前解決をするのはパブリックホストゾーンとなります。
###紐付けの記事
https://dev.classmethod.jp/articles/set-route-53-private-zone-across-accounts/
##同じアカウント内でのVPCの紐付け
プライベートDNSアソシネート
#20 ○
RDSの対策
読み込み不可はリードレプリカやキャッシュの追加で、書き込みにはインスタンスタイプあげる
#21 ○
モバイルアプリケーションでは認証処理をクライアント側にオフロードし、Javascritでアプリケーションを作成する
#22 ○
CIDRブロックは追加できる
#23 ×
静的コンテンツはS3に置いて前段にフロント噛ませて、かつビジネスロジックはラムダとAPIGATEWATY使って構築して、DBはDynamoDB。
#24 ○
ELBをエイリアスで登録しよう
#25 ○
#26 ○
#27 ×
基本的に暗号化の手段としては、EBS暗号化・OSの暗号化機能の利用・SSEである。
#28 ○
社外AWSアカウントから自社へのAWSアカウントへはクロスアカウントアクセスを利用する。そのためにはIAMロールを準備して、ロールの信頼ポリシーに外部IDを設定する事
#29 ○
100TBは雪玉でOK
#30 ○
#31 ○
フロントはバックエンドのIPはプライベートを設定できない。
#32 ×
オンプレのユーザディレクトリを利用して、AWSアプリにアクセスする。ASML連携やAWSSSOが利用できるl。AWSSSOではオンプレの認証を用いたシングルサインオンと多要素認証を実現できる。AWSSSOとADの連携にはADコネクターが使える。AWSMSADだけでは情報との統合ができない。
#33 ○
RDSはマルチAZにして、EC2はオートスケーリングにする
#34 ○
複数リージョン間を接続するにはDXゲートウェイ
LAG
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/lags.html
#35 ×
SCPでは権限の範囲を決めれる。
#36 ○
#37 ×
監査人用にIAMユーザを作ってあげる。いい感じのポリシーを付与してあげる。セキュリテイオーディっとはリソース単位で権限が必要なものや、ログが格納されたバケットを覗けないのでだめ。
#38 ×
DnamoDBのパフォーマンスはインメモリキャッシュとしてDAXで読み取り性能。オートスケーリング有効化してキャパシティメトリクスの自動調整・WVUの緩和など。デフォは40000なのでそれ以上はサポートに問い合わせが必要。
#39 ○
ディザスタリカバリについて、S3はCCR。RDSは別リージョンにリードレプリカを置く。Route53はDNSフェイルオーバを設定。
#40 ×
CFはクロススタック参照とネストを利用。また、サービスカタログは、テンプレートを作ってそれを製品という単位で紐づける。あとはサービスカタログユーザに権限の許可をする。
#41 ×
IPV6を有効にする方法は、IPv6CIDRをサブネットに関連づける。ルートてブルを更新。プライベートサブネットの場合は、Egressオンリーインターネットゲートウェイを設定。SGとACLを更新。
#42 ×
SAML2.0でIDP側とAWS側でメタデータを交換し信頼関係を構築。
#43 ×
#44 ○
無限位データを保存できるのはDayanmoDB
#45 ○
#46 ×
エッジ最適化APIエンドポイントを作成する事でクライアント最寄りのCFにリクエストがツーティングされるようになる。ユーザ管理をコグニトに移行。ラムだオーソライざだとオース20やSAML20と連携する必要がある。
#47 ×
重要度が高いファイルはスタンダードS3で、常時稼働が予測されないワークロードにはオンデマンドかスポットがいい。
#48 ×
デプロイ方式のにはかなりー・線形・オールワンスの三つがある。かなりーは割合決めて、線形は一定、ワンスは一度。
#49 ○
キャッシュエンジンはマルチスレッド機能を使わない場合Redis一択。
#50 ○
#51 ○
#52 ×
RDSonVMでは、ポイントインタイムリカバリ、オードバックアップと世代保持、OSとDBエンジンのパッチ適用
#53 ○
#54 ×
Kinesis+ES+Kibana+Athena
#55 ×
コードコミットはリージョン間のデータレプリケーション機能がない。
#56 ○
#57 ×
集計処理はDWH!!
#58 ○
#59 ○
#60 ○
#61 ○
#62 ○
#63 ○
#64 ×
NITRO以前のインスタンスでは基本的にEC2にIDS/IPSエージェントをインストして不正アクセスを検知する・
#65 ×
フロントのアクセスログをS3に格納して、S3へのログ保存をトリガーとしてLamda関数を実行して、アクセスログを解析し、不正なものがあった場合はWAFのブロックリストにIPをぶっこむ
#66 ○
#67 ○
IDSにはホストにソフトウェアをインストするホスト型と、ネットワークトラフィックを収拾して分析するネットワーク型がある。たくさんEC2がある場合にはネットワーク型を使う。IDS/IPS専用のVPCを構築したあと全てのトラフィックをVPCへルーティングして構築が可能。
#68 ○
#69 ○
#70 ○
#71 ○
#72 ○
#73 ×
DB読み取り性能=リードレプリカ+キャシュ。DRは別リージョンにリードレプリカを置いてRoute53のDNSファイルオーバ機能で何とかする。その際にはターゲットヘルスチェックを有効化する。
#74 ○
#75 ○
×=31/75