Help us understand the problem. What is going on with this article?

AWS認定SysOpsアドミニストレータ(SOA)を取得しました

AWS認定SysOpsアドミニストレータ アソシエイト(SOA)を受験し無事合格しました。
資格取得までに参考にしたものを投稿します。

 2020-09-23 14.59.00.jpg

私のAWSの知識

クラウドプラクティショナーに合格しました。
https://qiita.com/gdtypk/items/fa87750ec9278eb0db9a

ソリューションアーキテクトに合格しました。
https://qiita.com/gdtypk/items/52d96a5af0a05f06ebc4

デベロッパーアソシエイトに合格しました。
https://qiita.com/gdtypk/items/4cfcf3c74b9faf3893aa

業務では、EC2,RDS,Lambda,S3を軽く触っている程度になります。

やったこと

2週間、業務終了後の1時間を使って勉強していました。

試験範囲の確認

https://aws.amazon.com/jp/certification/certified-sysops-admin-associate/

AWS WEB問題集をこなす

AWS WEB問題集リンク

以前、ダイヤモンドプランで登録していたので、そのまま利用できました。

こちらの問題集を1周しました。

分からなかった問題は、メモを残しました。

試験の過去問などが無いため、こちらのサービスは重宝します。

Black Beltを見る

AWS Black Beltリンク

試験を受けての感想

アソシエイトレベルの試験を全て合格できて良かったです。

この試験は、業務で全く扱うことのないものばかりだったので、
かなり勉強が大変でした・・。

その他、勉強中に重要そうと思ったまとめ

SNS

  • CloudWatchにログを1分おきに送信はできない。

EC2

  • S3ベースのAMI=インスタンスストアボリューム
  • インスタンスのステータス
    • システムステータス:AWS側の問題。再起動し、別ホストで起動。
    • インスタンスステータス:客側の問題。原因を調査する。
  • EBSのスナップショット数の上限は10万
  • プレイスメントグループ
    • スプレッド:それぞれ異なるハードウェアに配置される
    • クラスター:同じホストに配置
  • 暗号化が対応できるのは、AES-NIを対応する
  • AMIの作成に必要なもの
    • X.509証明書と対応するプライベートキー
  • アクセスをELBからのみにしたい場合、ポート8080のセキュリティグループをELBのものを指定する
  • EBSのボリュームサイズを変更したら、どうする? EC2に接続し、CLIで拡張対応を行う。
  • スナップショット:増分バックアップで、インスタンスを停止せず、リアルタイム保存 (推奨は停止して、一貫性を持たせる)
  • ディスク使用量、メモリ使用量はカスタムメトリクス
  • InstanceLimitExceeded:同時実行のインスタンス数の制限
  • InsufficientInstanceCapacity:インスタンス容量の制限

EFS

  • 途中で暗号化の変更はできない

Organizations

  • サービスコントロールで各アカウントの権限を設定できる

WAF

  • ELBだと、ALBにしか使えない

CloudFormation

CloudFront

  • CDN
  • エンドユーザの近い場所
  • コスト効率化
  • 特定の国をブロックすることも可能

CloudTrail

  • AWS APIコール全てを記録
  • S3に自動的にログを保存

VPC

  • デュアルスタック:iPv4とiPv6のアクセスを両立
  • Egress-Only、NATインスタンスのIPv6(書き方::/0)
  • S3のバケットポリシーで、特定のVPCエンドポイントを指定可能
  • VPC内のパブリックサブネット内のインスタンスがネット接続できないのは、パブリックIPやElasticIPが付与されていないことがある。 https://aws.amazon.com/jp/premiumsupport/knowledge-center/instance-vpc-troubleshoot/
  • VPC内で立ち上げたEC2インスタンスにはデフォルトのセキュリティグループが当てられる。 これは、同じセキュリティグループ間のインバウンドを許可し、アウトバウンドは全て許可
  • 特別な理由があって、NATインスタンスを使うことがある。水平スケーリングもできる。

  • プライベートサブネットと、AWSサービスを通信するときは、NATではなく、VPCエンドポイントを使う。ネットワークを介さない。

VPCエンドポイント

  • ゲートウェイエンドポイント:S3とDynamoDBにのみ
  • インターフェイスエンドポイントPrivateLink:その他サービスと、プライベートネットで接続

S3

  • ボールトロック:削除、変更を防止
  • MFAデリート:CLIでデリートする時、認証番号を一緒に送る必要あり
  • オブジェクトが見つからない。アクセスできない時は、400系エラー
  • 暗号化について
    • SSE-S3:S3が暗号化キーを管理
    • SSE-KMS:KMSが管理するキー
    • SSE-C:お客さんが管理するキー
    • CSE:クライアントサイド暗号化
  • S3に画像アップする際は、費用がいらない。
  • バケットポリシーはオブジェクト単位では定義できない。
  • 不正アクセスを見つける S3のアクセスログ記録を残し、Athenaで403系エラーを照会する
  • 分析 ストレージクラスの分析とかができる。(ストレージ最適化)

Auto Scaling

  • 立ち上げたインスタンスのメトリクスが取れないのは、ウォームアップ中
  • デフォルト設定の場合、EC2を閉じる順番は、AZ毎の数を比較する
  • 異常なインスタンスを落としたい時は、ELBヘルスチェックを使用するように、AutoScalingグループを設定する
  • 最小数,最大数,希望数:現時点で希望するインスタンス数
  • AutoScalingを削除する時は、グループのインスタンスを全て削除し、希望容量を0にする。

RDS

Artifact

  • コンプライアンスレポートをダウンロードできる

クロスアカウントクロスリージョンダッシュボード

  • 複数のリージョンの情報を表示
  • 単一リージョン全てのEC2インスタンスの統計を取るには、詳細モニタリングが必要

CloudWatch

  • Dimensions:メトリクスに付与できるタグみたいなもの(EC2のインスタンスIDとか)
  • アラームの3種類
    • OK:定義したしきい値を下回っている
    • NG:定義したしきい値を上回っている
    • INSUFFICIENT_DATA:データが不足している
  • どれが標準なのか、カスタムなのかを確認(ディスク使用量、メモリ使用量)
  • メトリクスの種類
    • 標準メトリクス:5分単位(無料)
    • 詳細メトリクス:1分単位(有料)
    • 高解像度メトリクス:1秒単位(有料)
  • 複数のリージョンにまたがるメトリクスの取得は詳細モニタリング
  • 既存のアラーム名変更不可
  • アラームの評価期間数に各評価期間の長さをかけた値が1日を超えてはいけない

snowball

  • 現在は、snowball Edgeになっている。
  • Storage Optimized:大容量のもの
  • Compute Optimized:保存前に分析が必要なもの
  • リージョンをまたいでデータを移動できない。S3のクロスリージョン使う
  • https://aws.amazon.com/jp/snowball/faqs/#General

Aurora

  • 読み取りエンドポイント:自動で使えるレプリカにアクセス
  • クラスタエンドポイント:プライマリDBにアクセス
  • インスタンスエンドポイント:特定のDBにアクセス

Direct Connect

  • ゲートウェイを設置すれば、複数リージョンもいける

SSL

  • 1つのインスタンスに複数のSSLを実装するときは、IPを複数割り当てる

ELB

  • NLBは、IPアドレスのホワイトリストを登録できる
  • ELBはリージョンをまたげないので、Route53を使用する
  • ELBの種類
    • ALB:柔軟性,HTTPヘッダーを受け取る。
    • NLB:TCPで受け取り,ラウンドロビン,ステートレスウェブサーバーにルーティング
    • CLB:何らかの評価を行い、ルーティングする時に使用
  • CLBへアクセスすると、spilloverの値が高い。SurgeQueueLengthの値を監視する。
  • CLBでさばききれなかったアクセス管理
    • SurgeQueueLength:溜まってる数。1024超えるとアクセス拒否
    • SpilloverCount:拒否された数
  • Spillover Count:ロードバランサの容量を過剰してしまった数
  • 500エラー
    • 正常なインスタンスが存在しない。
    • レート制限にかかっている
    • (インスタンスからは何も返ってこない)
  • ロードバランサはヘッダーを変更せずにバックエンドにリクエストを転送 (X-Forwardedは標準ではない)

Storage Gateway

  • S3をオンプレミス環境と接続するための仕組み
  • ボリュームゲートウェイ
    • キャッシュ型:プライマリはs3に。頻繁に使うものはキャッシュでローカルに保存
    • 保管型:ローカルに保存
  • iscsiプロトコルを使用可能
  • テーブゲートウェイ:バックアップ向け。glacier等に保存

Route53

  • エイリアスレコード:cloud frontやs3にトラフィックを向けられる
  • DNS
  • ドメイン名を振る
  • ヘルスチェックやレイテンシーなどで、ルーティング
  • 特定の国を別のソーリーページに飛ばすとかができる

Personal Health Dashboard

  • 異常があった時、通知もできる

Systems Manager(Patch Manager)

  • EC2インスタンスに対して、パッチを当てられる。
  • OSのパッチ適用をまとめてできる。

AWS Config

  • 現在のシステムステータスやリソース構成を把握
  • 構成履歴を管理
  • 設定変更のモニタリング
  • S3にパブリック・アクセス可能なバケットが作成されたら通知できる
  • Rule:全てのインスタンスのセキュリティグループをテスト

SQS

  • キューはデフォルトで4日間保持

Trusted Advisor

  • サービス(クォーター)の制限,セキュリティ,コスト,耐障害性,パフォーマンス

大きい順

リージョン→アベイラビリティーゾーン→エッジ

インフラのコード管理

  • Elastic BeansTalk:簡易的にデプロイ可能
  • CloudFormation:ほぼ全てのAWSリソース管理可能
  • OpsWorks:EC2など、特定のリソースを細かく指定(sheff,puppet)

EMR

  • ビックデータの分析

AD Connector, AWS Managed Microsoft AD

  • Active Directoryのユーザに対してAWSマネジメントコンソールへのアクセス権の認可が行える。
  • オンプレのActive DirectoryユーザがAWSコンソールへのアクセス権を付与するには、
    • VPNを作成,AD Connectorを使用 もしくは
    • Managed Microsoft ADの間に既存の信頼関係を使用する

GuardDuty

  • AWS環境やAWSアカウントに対する攻撃を検知する。
  • 脅威リストと信頼済みIPリストを設定できる。(マスターアカウントのみ)
  • ルールは無効にしたり、削除はできないがアーカイブすることによって通知を発生しないようにできる

QuickSight

  • BIツール

Data Lifecycle Manager

  • EBSのバックアップの作成・保持・削除の自動化

ElastiCache

  • CurrConnections:Redisに接続している数(リードレプリカ除く)

Single Sign-On(SSO)

  • AWSアカウントとビジネスアプリのアクセスを一元管理
  • SAMLを使用
  • ロールを割り当てる
gdtypk
エンジニア3年目になってしまいました。
eyemovic-inc
私たちはWeb開発のパートナーとしてお客様のビジネスを立ち上げ、継続的な成長をお手伝いする受託開発会社です。
https://www.eyemovic.com/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away