こんにちは、ひろかずです
前回に引き続き、書いていきます。
例によって、ヒアリング能力ゼロの上にリアルタイム執筆なので、いろいろ勘弁してください。
ARC217 - Foundations of AWS Global Cloud Infrastructure
AWSのアクティブユーザーは増え続けていて、安いコストで高いキャオパシティを得て、高い信頼性を得るという好循環
始めの5年間は4リージョンで始まったけど、今では19リージョン
さらに4リージョンの開設が予定されている
リージョンの構造
アベイラビリティゾーン
完全に分離された、十分なパワーを備えた施設
電源も独立している
100,000のサーバがスケールできる
分離されたメトロファイバーぜ完全に冗長化されている
メトロファイバー、AZ内のコネクションはフルメッシュで引かれている。
AZ間のコネクションもAZ単位でフルメッシュで引かれている
各センターに5つのAZがある
Amazonのグローバルネットワークは、常用化された100GBの回線で相互接続されている
グローバルインフラストラクチャ
どうやってリージョンのデータセンターを作っているか?
- 計画
- デザイン
- 憲法?
電力インフラのスケール
- スケールする電力インフラ
- 革新的な商用電源契約
- 再生可能電力へのコミット
再生可能電力へのコミット
- 100%再生可能電力をコミットしている
- 4.8MWバッテリーのPilotをテスラに提供
- ACORE(American Council on Renewable Energy)
- 拡張された電力供給者グループ
- インディアナに風力発電ファームがある(150MW)
- バージニアに太陽光発電ファームがある(260MW)
- バージニアでは政府やテック企業が太陽光発電に力を入れていて、AWSも例外ではない
- 北カルフォルニアの風力発電ファーム(208MW)
利用する水の再生
- 冷却ユニットのOperation
- その場所の水を汚さない
- 水の再利用(飲料水のレベルまで)
Cloudの効率
- 電力効利用リソース利用
- サーバー利用率は、Cloudは65%なのに対して、オンプレは15%
- PUE(電気効率)は、Cloudが1.07-1.15に対して、オンプレは1.7
- これは84%のエネルギー削減を意味する
専用のカスタムインフラを構築する
- カスタムチップ
- カスタムサーバー
- 世界的なインフラ
カスタムサーバのアドバンテージ
- メモリ、HDD、CPUにダイレクトに働く
- 特定のワークロードに適したデザイン
なんでAWSグローバルインフラ名の?
- 未曾有のスケール
感想的な何か
AWSの冗長性と高エネルギー効率、エコであることがよく分かるセッションでした!
STG379-R2 - [REPEAT 2]: Chalk Talk: Deep Dive on Security in Amazon S3 & Amazon Glacier
s3のアクセスコントロールのメカニズム
- IAMポリシー
- SCP
- VPCEポリシー
- バケットポリシー
- ACL
- ブロックパブリック・アクセス(新機能)
s3の暗号化
- 通信の暗号化:HTTP/HTTPS
- RESTでの暗号化
S3デフォルト暗号化
- 一度バッケっとレベルで設定
- すべての新しいオブジェクトは暗号化される
- シンプルなコンプライアンス
- SSE-S3とSSE-KMSをサポートしている
Security設定のモニタ
- S3コンソールでのバケットアクセスコントロールの確認
- Macie
- Trusted Adviser
- AWS Config
- オブジェクト暗号化ステータスの確認
- s3サーバアクセスログ
- CloudTrail
グレイシアのデータセキュリティ
- restベースでの暗号化
- s3からのライフサイクル
- Glacier Vault Access policy
- Glacier Vault Lock
- CloudTrailインテグレーション
データレイクの一般的なパーミッションモデル
- 最小権限
- 認証されないユーザーのアクセス拒否
- 許可されたリソースへのアクセス許可
QA
新しいバケットを作って暗号化をセットしたら、キーを設定しないといけない?
- キーの設定は不要です
マスターアカウントのマスターキーは必要ですか?
- KMSはマルチリージョンなのでrootアカウントであれば使える
SSEとKMSの違いは?
- 違いはない
KinesisがBucketに入れる場合のRollポリシー
- E: Allow
- A: s3プットオブジェクト
- R: w(書き込み) /'xxxx'
KinesisがBucketに入れる場合のBucketポリシー
- E: Allow
- A: s3プットオブジェクト
- R: w(書き込み) /'xxxx'
- P: KinesisRoll
ベンダーがBucketにデータを入れる場合のBucketポリシー
- E: allow
- A: s3put
- R: W /*
- P: ベンダーのIAM ARN
加えて、ベンダーポリシーが以下の設定をする
- E: Allow
- R: W/*
- A: s3Put
- C: x-aws-Bucket-owner-full-control
ベンダーがBucketにデータを入れさせない場合のBucketポリシー
- E: deny
- A: s3put
- R: W /*
- P: ベンダーのIAM ARN
Bucketコピーのポリシーを使えば、s3syncはいらない?
- 同じBucket名は付けられないけど、Bucketコピーのポリシを使えば代用できる
感想的な何か
時間が空いてたのでchack talkに突入しましたが、なかなかにハードでした汗
2xx系のセッションは行けたんですがね...
次からはちょっと考えたいと思います
今日はここまでです
お疲れ様でした。