AWSクラウドプラクティショナー試験の学習用にまとめた単語帳です。
https
「HyperText Transfer Protocol Secure」の略称で、インターネット上のHTTP (HyperText Transfer Protocol)通信が、SSLによって暗号化
SSL/TLS
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、いずれもインターネット上でデータを暗号化して送受信する仕組み。
ウェブサイトから情報を送信する際に、送信する情報を暗号化する為に利用。
SSH
「Secure Shell」の略で、ネットワークに接続された機器を遠隔操作し、管理するための手段です。ポイントはSecure(安全)に!で、そのために必要な仕組みが用意
Linux のEC2インスタンスを起動した後、アクセスして操作する際にSSHで接続する
EBS
Amazon Elastic Block Store (EBS)
・EC2の外付けのHDD的サービス
・EC2 インスタンスにアタッチして利用
・完全な内部サーバー向けのストレージとしてセキュリティを強化することが出来る
・複数のEC2インスタンスから共有して利用することができません
・頻繁かつ詳細な更新が必要なデータのプライマリストレージデバイスとして使用
・他リージョンにおいて、スナップショットによる復元を実施できる
特定のアベイラビリティーゾーンに配置され、1 つのコンポーネントに障害が発生したときにデータを保護できるように、自動的にレプリケートされます。EBS のどのボリュームも、耐久性に優れたスナップショット機能を提供し、99.999% の可用性を維持する設計
レプリケーション
複製(レプリカ)を別のコンピュータ上に作成し、通信ネットワークを介してリアルタイムに更新を反映させて常に内容を同期すること
S3
Simple Storage Service
大量データの保存向けのストレージ
直接リージョンに設置されるサービス
インターネットからのアクセスが可能
ユーザー側で設定しなくても、AWS側でストレージリソースをスケールアップ/ダウン
オブジェクトの99.999999999%の耐久性のために設計
複数の施設と各施設の複数のデバイスに冗長的に保存されます
バケットとオブジェクトが生成される
可用性と耐久性によって評価
クラウド型のオブジェクトストレージサービス*です。ざっくりと言うと容量が無制限なFTPサーバーのようなイメージ
S3のバケットとオブジェクトの関係
Glacier
データをアーカイブしてバックアップするためのストレージ
S3との違いは以下
S3 Select
シンプルなSQL文を用いて、オブジェクトからデータの一部分のみを取り出すことができるS3の機能
CloudFront
スピードと安全性の高さが魅力の「高速コンテンツ配信ネットワーク機能」です。
データ、動画、アプリケーションなど、静的・動的なさまざまなWebコンテンツをスムーズに配信できるコンテンツデリバリネットワーク(CDN)であるため、多くのサービスを支えることができます。
世界中にエッジサーバが配備されており、ユーザを最寄りのエッジサーバに誘導することで高速な配信を、またコンテンツをエッジサーバでキャッシュしてオリジンサーバの負荷を減らすことで安定した配信をすることができます。
エッジロケーションにキャッシュを保存
料金は、AWSからのデータ転送と、顧客へのコンテンツ配信に使用されるリクエストに基づいています。
API クライアントが世界中に分散している場合は、API Gateway でエッジ最適化された API エンドポイントが必要になる場合があります。このタイプのエンドポイントは、クライアントの接続時間を短縮するために AWS マネージド型の CloudFront ウェブディストリビューションを前面で利用しています。API Gatewayは内部でCloudFrontの仕組みを利用しており、スケーラビリティやアベイラビリティの面でCloudFrontの特徴を利用しますが、CloudFrontのフル機能をAPI Gatewayで利用できるわけではないため、ケースに応じてAPI Gatewayの手前にCloudFrontを置く構成を取ることがあります。
エッジロケーション
AZとは異なるデータセンターであり、Route 53、CloudFront、AWS WAF などが配置されています。
世界で50か所以上設置されていて、DNSやコンテンツ配信サービスが使用されています。
Storage Gateway
オンプレミスアプリケーションとAWSのストレージサービスを接続して利用することが出来るゲートウェイサービス
SnowBall
セキュリティに考慮して設計されたデバイスを使用するペタバイト規模のデータ転送ソリューションで、AWS クラウド内外に大容量データを転送できます(80 TBまで)
Snowball を使用すると、高いネットワークコスト、長時間かかる転送、セキュリティ面の懸念といった、大規模なデータ転送に関する一般的な課題を解決
Snowmobile
超大容量データを AWS に移動するために使用できるエクサバイト規模のデータ転送サービスです。セミトレーラートラックが牽引する長さ 14 m の丈夫な輸送コンテナで、Snowmobile 1 台あたり 100 PB まで転送できます。
Snowball Edge
データ移行とエッジコンピューティングのデバイスであり、2 つのオプションがあります。
Snowball Edge Storage Optimized
ブロックストレージと Amazon S3 と互換性のあるオブジェクトストレージの両方、および 24 個の vCPU を提供します。ローカルストレージや大規模データ転送に最適です。
Snowball Edge Compute Optimized
切断された環境における高度な機械学習およびフルモーションビデオ分析などのユースケースのために、52 個の vCPU、ブロックストレージとオブジェクトストレージ、オプションの GPU を提供します。
ECS
Amazon ECS(Amazon Elastic Container Service)
クラスターで Docker コンテナを簡単に実行、停止、管理できる非常にスケーラブルで高速なコンテナ管理サービス
ECR
Elastic Container Registry
ECRは完全マネージド型の Docker コンテナレジストリとして提供
開発者がDockerコンテナイメージをAWSクラウドに保存・管理することができます。
Docker
インフラ関係やDevOps界隈で注目されている技術の一つで、Docker社が開発している、コンテナ型の仮想環境を作成、配布、実行するためのプラットフォーム
Dockerは、Linuxのコンテナ技術を使ったもので、よく仮想マシンと比較されます。VirtualBoxなどの仮想マシンでは、ホストマシン上でハイパーバイザを利用しゲストOSを動かし、その上でミドルウェアなどを動かします。それに対し、コンテナはホストマシンのカーネルを利用し、プロセスやユーザなどを隔離することで、あたかも別のマシンが動いているかのように動かすことができます。そのため、軽量で高速に起動、停止などが可能です。
EC2
オンプレミスでホストされる仮想サーバーに相当するAWSサービス
EC2インスタンスはAZに設置されるサービス
アンマネージド型のAWSサービス
コンピューティングリソースとして使用できる
EC2インスタンスに接続するためにはキーペアが必要
オンデマンドインスタンス
標準の課金体系です。使った分だけ秒単位で料金
リザーブドインスタンス
1年間または3年間の長期使用をする場合に、オンデマンド料金に比べて大幅な割引価格 (最大 75%) が適用され、特定のアベイラビリティーゾーンで使用するキャパシティーを予約できます。
スポットインスタンス
使われていないインスタンスを落札して利用します。
割安ですが、インスタンスのスポット価格が入札価格を超えたら停止するリスク
Dedicated Host
専用の物理EC2 サーバーです。
利用量に応じて時間単位の料金
セキュリティ規定などでインフラ共有が許されない場合などに選択しますが、コストが高くなる
リザーブドインスタンスのインスタンスタイプ
コンバーティブル
スタンダードよりも柔軟に変更可能
・インスタンス自体の交換が可能
・インスタンスファミリー
・OS
・テナンシー
・支払オプション
スタンダード
以下のような属性を変更することが可能です。
・アベイラビリティーゾーンまたは適用範囲
・ネットワークプラットフォーム (EC2-Classic または VPC)
・インスタンスサイズ(Linuxのみ)
CloudWatch
AWSのEC2インスタンスのCPU使用率を監視するために利用するべきサービス
AWS リソースと AWS で実行するアプリケーションのモニタリングサービス
CloudWatch Logs
EC2インスタンス、AWS CloudTrail、Route 53、およびその他のソースのログファイルを監視、保存、アクセスができます。
CloudTrail
AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を行うためのサービス
ユーザーアクティビティログを取得することができます。ユーザー、ロール、または AWS のサービスによって実行されたアクションは、CloudTrail にイベントとして記録されます。イベントには、AWS マネジメントコンソール、AWS CLI、および AWS SDK と API で実行されたアクションが含まれます。
APIコールの履歴を使用してリソースの変更を追跡するのに役立つ
AWS Config
AWS リソースの設定を評価、監査、審査できるサービス
リソース間の関連性を追跡し、変更する前にリソースの依存関係を確認できます。変更が発生したら、リソース設定の履歴をすばやく確認して、過去の任意の時点でリソースがどのように設定されていたかを確認できますが、リソース単位の監視であり、ユーザー毎の確認はできません。
Systems Manager
AWS でご利用のインフラストラクチャを可視化し、制御するためのサービス
他のクラウド環境の VM など、Amazon EC2 インスタンス、オンプレミスサーバー、および仮想マシン (VM) の設定と管理を簡単に行うことができる AWS のサービス
統一されたユーザーインターフェイスを介して複数のAWSサービスからの運用データを表示し、運用タスクを自動化することができます。
OpsCenter
運用エンジニアや IT プロフェッショナルなどが自分の環境に関連する運用上の問題を一元的に表示、調査、および解決できる場所を提供する Systems Manager の機能
セキュリティグループ
EC2インスタンスとの通信を行う際のトラフィックを制御するファイアウォールです。 VPC内でインスタンスを立ち上げた場合、1つのインスタンスに対して同時に最大5つまでのセキュリティグループを設定することができます。
ネットワークACL
ネットワークアクセスコントロールリスト (ACL)
1 つ以上のサブネットのインバウンドトラフィックとアウトバウンドトラフィックを制御するファイアウォールとして動作する、VPC 用のセキュリティのオプションレイヤー
サブネット内外のトラフィックを制御するファイアウォールとして任意のセキュリティを提供します。セキュリティグループの設定と同じようにACLのルールを適応することによって、VPCに追加のセキュリティ層を提供
IAM
アクセス権限管理を行うサービス
AWS でのアクセスを管理するには、ポリシーを作成し、IAM アイデンティティ (ユーザー、ユーザーのグループ、ロール) または AWS リソースにアタッチします。
IAMポリシー
ポリシーとは、JSONフォーマットで記載されたアクセス権限をリスト化したもの
IAMグループ
IAMユーザーをグループ管理することで、ユーザーの権限を管理しやすくなります
IAMロール
許可/禁止する操作を決めるアクセス権限ポリシーが関連付けられている AWS アイデンティティ
IAMユーザー
アクセスキーIDとシークレットアクセスキーに関連付けられたエンティティ
ルートテーブル
サブネット内にあるインスタンス等がどこに通信にいくかのルールを定めたもの
サブネット毎にどこに通信ができるかを定めたものだというところがポイント
DMS
Database Migration Service
オンプレミスのデータベースをAWSへ移行する際、データベースの機能に悪影響を与えず移行できます。
移行中でもソースデータベースは完全に利用可能な状態に保たれ、データベースを利用するアプリケーションのダウンタイムを最小限に抑えられます。
ADS
Application Discovery Service
オンプレミスからAWSへ移行を行う際、自社の各種環境の動作状況を把握するためのデータ収集をしてくれる。
企業のお客様が自社の IT 環境内のサーバーの設定、使用、動作の状態を把握できるようデータを収集し、提供するサービスです。サーバーデータは Application Discovery Service に保持され、AWS への移行計画を助けるためにタグ付けされ、アプリケーションへとグループ化されます。収集されたデータは Excel やその他のクラウド移行分析ツールでの分析用にエクスポートできます。
SMS
Server Migration Service
サーバーの移行を支援するサービス
オンプレミスの VMware vSphere、Microsoft Hyper-V/SCVMM、または Azure 仮想マシンの AWS クラウドへの移行を自動化します。AWS SMS は、サーバー仮想マシンをクラウドホストの Amazon マシンイメージ (AMI) として段階的にレプリケートし、Amazon EC2 にデプロイします。
AMI
AMIには以下の内容が含まれます。
・1 つまたは複数の EBS スナップショット、または、instance-store-backed AMI、インスタンスのルートボリュームのテンプレート (オペレーティングシステム、アプリケーションサーバー、アプリケーションなど)
・起動許可 (AMI を使用してインスタンスを起動する権限を特定の AWS アカウントに与える)
・インスタンスの起動時にインスタンスにアタッチするボリュームを指定するブロックデバイスマッピング
AWS マネジメントコンソール
いつも使ってるウェブベースのGUI
ユーザーIDとパスワードによるログインを実施
AWSダッシュボード
AWSダッシュボードという機能はありません。請求ダッシュボードやCloudWatchダッシュボードなどが利用可能です。
CLI
コマンドラインインターフェイス
GUIツールではなく、コマンドプロンプトなどで実行するAWS サービスを管理するための統合ツールです。
コマンドラインから複数の AWS サービスを制御し、スクリプトを使用してこれらを設定・管理することができます。
接続にはアクセスキーとシークレットアクセスキーを必要とします。
KMS
Key Management Service
データの暗号化に使用される暗号化キーの作成と管理を容易にするマネージド型サービス
EBSボリュームの暗号化で使用される
ElastiCache
クラウド内のインメモリデータストアまたはキャッシュを簡単にデプロイ、操作、およびスケーリングできるようにするウェブサービス
このサービスは、低速のディスクベースのデータベースに完全に依存するのではなく、高速で管理されたメモリ内データストアから情報を取得できるようにすることで、Webアプリケーションのパフォーマンスを向上
ElastiCache では、完全マネージド型の Redis および Memcached をご利用いただけます。
ミリ秒未満のレイテンシを必要とするリアルタイムIoTアプリケーションのデータレイヤーにはElasticacheが最適な選択
NoSQL型のデータベース
自動バックアップ(自動スナップショット)の機能が提供されています(※Redisのみ)
Memcached
Memcachedのクラスターは単純にノードを追加したり減らしたりして負荷を分散することができます(水平スケーリング、スケールアウト/イン)。
ノードの状態をポーリングしてノードにアクセスしにいく形
Redis
Memcachedクラスターとの違いはクラスターのエンドポイントを持っていること。
クラスターがエンドポイントを持っており、アプリケーション側でポーリングする必要がありません。
ElastiCache for Redis
クラウド上にある Redis 互換で完全マネージド型のインメモリデータストアおよびキャッシュであり、1 秒あたり数百万リクエストに対してミリ秒以下の応答時間を提供
SNS
Simple Notification Service
サブスクライブしているエンドポイントまたはクライアントへのメッセージの配信または送信を、調整および管理するウェブサービス
高可用性で、耐久性に優れたセキュアな完全マネージド型 pub/sub メッセージングサービス
SES
Simple E-mail Service
クラウドベースの電子メール送信サービス
SQS
完全マネージド型のメッセージキューイングサービスで、マイクロサービス、分散システム、およびサーバーレスアプリケーションの切り離しとスケーリングが可能です。
プッシュ方式ではなくポーリング処理による通知を実施します。
これを使用すると、アプリケーションコンポーネントを切り離して独立して実行できるため、システム全体のフォールトトレランスが向上します。すべてのメッセージの複数のコピーは、必要なときにいつでも利用できるように、複数のアベイラビリティーゾーンにわたって冗長的に保存されます。
Amazon Elastic Transcoder
開発者は簡単かつ低コストでメディアファイルをさまざまなデバイスで再生できるように変換できます。
機能要件と非機能要件
機能要件、非機能要件は、主にソフトウェア開発、システム開発の業界で使用されている言葉で、システムのインフラを支える、サーバ設計や、ネットワーク設計時にも広く使われている言葉
機能要件
システム開発の要件定義のうち、特に『実装、搭載すべき機能』に関する要件のこと
⇒『何がしたいのか』、また『何ができないと困るのか』など、そのシステムが必ず満たすべき要件のことを指します。
⇒車で例えるなら『前後に進むこと』、『右折、左折ができること』などが機能要件
非機能要件
そのシステムがどれだけの性能を持っているかなど、主目的(機能要件)以外での要件
⇒車で例えるなら、『どれだけ燃費が良いか』『故障はしないか?』『スピードを出しても安定して走るか?』『故障してもメンテナンスはしてくれるか?』など
SLA
サービスレベルアグリーメント
基本的に、定義された可用性以上で使用できるようにするため商業的に合理的な努力をAWSがすること
インターネットゲートウェイ
VPC のインスタンスとインターネットとの間の通信を可能にする VPC コンポーネントです。VPCに設定することにより、インターネットとのアクセスを可能にします。
カスタマーゲートウェイ
VPCとオンプレミス環境を接続する際に利用されるアンカー
ELB
Elastic Load Balancing
マネージド型のロードバランサ―サービス
ELBインスタンスはAZに設置されるサービス
アプリケーションへのトラフィックを複数のターゲット (Amazon EC2 インスタンス、コンテナ、IP アドレスなど) に自動的に分散するロードバランサー
ALB
ELBの中でもWEBアプリケーション用にはALBを利用することで、HTTPベースのトラフィック分散が実現可能です。 WEBアプリケーションにELBを設定する際は通常はALBを優先的に利用することになります。
NLB
超低遅延で高いスループットを維持しながら利用者の努力なしに、秒間何百万リクエストを捌く様に設計されています。かなり高性能ですが、利用するべき専用の要件が定義されていない限り、WEBアプリケーション用のELBはALBを選択することになります。
CLB
古いタイプのELBであり、基本的には利用しないもの
スティッキーセッション
ELBがサーバにリクエスト振り分ける際、特定のCookieを確認することで、特定のクライアントからのリクエストを特定のサーバに紐付けることが出来る機能です。分散とは逆に特定のEC2インスタンスへのアクセスを振り分けるために利用されるもの
Elastic IP アドレス(EIP)
動的なクラウドコンピューティングのために設計された静的 IPv4 アドレス
RDS
AZに設置されるサービス
マネージド型で提供されるリレーショナルデータベースサービス
自動バックアップ(自動スナップショット)の機能が提供されています。
利用している途中でインスタンスタイプを縮小することができます。
ACIDトランザクションをサポート
RDS リードレプリカ
読み込み専用として利用することができるマスターの複製データベースになります。
マスターのDBインスタンスのデータを非同期にレプリケーションする機能としてこのリードレプリカを提供
読取処理の負荷軽減に役立てることができますが、自動フェイルオーバーを実行することはできません。
良い点
⇒データベース (DB) インスタンスのパフォーマンスと耐久性が向上
⇒読み取り頻度の高いデータベースのワークロードを緩和
⇒全体の読み込みスループットを向上
RDSのマルチAZ構成
RDSにおいてプライマリデータベースが応答しない場合に自動フェールオーバーを実行する機能はマルチAZ構成によって実施されます。
RDSの暗号化対象
DBインスタンス、保存データ、自動バックアップとスナップショットを暗号化することができます。
NAS
ネットワークアタッチトストレージ
ネットワーク接続ハードディスク
コンピュータネットワークに直接接続して使用するファイルサーバ
EFS
Elastic File System
シンプルで、スケラーブル、伸縮自在なフルマネージドな共有ストレージサービスです。Amazon EC2やオンプレミスリソースから使用
EC2インスタンスからLAN上にあるNASとして利用できる共有ファイルストレージとして提供されています。複数のEC2インスタンスから接続・共有可能なストレージとして機能し、かつS3と異なるのはインターネットからアクセスができない、完全な内部サーバー向けのストレージとしてセキュリティを強化することができます。
マウントターゲットを介してEC2インスタンスにアクセスするファイルストレージ
Route 53
可用性と拡張性に優れたクラウドのドメインネームシステム (DNS) ウェブサービス
DNS ヘルスチェックを構成し、トラフィックを正常なエンドポイントにルーティングしたり、アプリケーションやそのエンドポイントの正常性を独立してモニタリングすることができます。
AWSプラットフォームに新しいドメイン名を登録
提供する機能は、、、
・DNSサービス
・トラフィック分散
・ドメイン登録
MFA
多要素認証
Amazon Aurora
Amazon Auroraの DB インスタンスでは常に自動バックアップが有効
Amazon Auroraはクラウド用に構築されたMySQLおよびPostgreSQL互換のリレーショナルデータベース
高速な分散型リレーショナルデータベース
従来のエンタープライズデータベースのパフォーマンスと可用性と、オープンソースデータベースのシンプルさと費用対効果を組み合わせています。 標準のMySQLの最大5倍のスループットと、標準のPostgreSQLの最大3倍のスループットを実現します。
DynamoDB
フルマネージド型の可用性の高いNoSQLサービス
完全マネージド型マルチリージョン、マルチマスターで耐久性があるデータベースで、セキュリティ、バックアップおよび復元と、インターネット規模のアプリケーション用のメモリ内キャッシュが組み込まれています。
AWSリージョンの3つの施設にデータを複製し、サーバー障害またはアベイラビリティーゾーンの停止が発生した場合のフォールトトレランスを提供します。
プッシュボタンスケーリングにより、稼働を停止させることなく、設定オプションをワンクリックするだけでダウンタイムを発生させることなくいつでもDBをスケーリングできます。
銀行の振込業務などの複雑なクエリ処理が多いトランザクション処理には利用すべきではありません。
クロスリージョンレプリケーションを実行するためには、まずはDynamoDB Streamsを有効化する必要があります。
JSON形式のデータを保存・処理するドキュメント型データベースとして利用することが可能
Redshift
高速でシンプルかつ費用対効果の高いデータウェアハウスサービス
フルマネージド型サービス
自動バックアップ(自動スナップショット)の機能が提供されています。
小規模利用からペタバイト単位の構造化データまで、複雑な分析クエリを実行でき、スケールアウトも容易に行うことができます。形式はリレーショナルデータベースとなります。
EMR
Elastic MapReduce
オープンソースのフレームワークである Apache Spark と Hadoop を使用して、膨大な量のデータを迅速かつコスト効率よく処理して分析するサービスであり、データベースではありません。
EC2インスタンスを利用して起動
EMRのユースケース
・MACHINE LEARNING
・抽出、変換、読み込み (ETL)
・クリックストリーム分析
・リアルタイムストリーミング
・インタラクティブ分析
・ゲノミクス
Apache Spark
巨大なデータに対して高速に分散処理を行うオープンソースのフレームワーク。
Hadoopが苦手なリアルタイム処理が行える
Hadoop
巨大なデータに対して高速に分散処理を行うオープンソースのフレームワーク。
Hadoopは処理能力の拡張性・安定性が高い
カーブアウト
企業が事業の1部分を切り出して、その事業を社外事業の1つとして独立させること
プロビジョニング
資源の割り当てや設定などを行い、利用や運用が可能な状態にすること
エンティティ
実体、存在、実在(物)、本質、本体などの意味を持つ英単語。 ITの分野では、何らかの標識や識別名、所在情報によって指し示される、独立した一意の対象物
AWS Organizations
アカウントの作成を自動化し、ビジネスニーズを反映したアカウントのグループを作成し、それらのグループにポリシーを適用して管理できます。
一括請求により、単一の組織内の複数のAWSアカウントの支払いを統合できます。
Amazon Cognito
お客様のアプリのバックエンドリソースに対するアクセスをコントロールするソリューション
これを使用すれば、ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追加できます。
支払いモデル
Pay as you go 支払いモデル
オンデマンド、従量課金
リザーブド支払いモデル
定額の前払いで割引を受ける
経済規模モデル
AWSの成長に伴って時間の経過とともに得られる割引のこと
ボリュームディスカウントモデル
より多く使うと、より多くの割引を受けられる
クラウドコンピューティングモデル
SaaS
Software as a Service
これまでパッケージ製品として提供されていたソフトウェアを、インターネット経由でサービスとして提供・利用する形態のこと
PaaS
Platform as a Service
アプリケーションソフトが稼動するためのハードウェアやOSなどのプラットフォーム一式を、インターネット上のサービスとして提供する形態のこと
IaaS
Infrastructure as a Service
情報システムの稼動に必要な仮想サーバをはじめとした機材やネットワークなどのインフラを、インターネット上のサービスとして提供する形態のこと
DaaS
Desktop as a Service
クライアントにPCなどのデスクトップ環境をクラウドのサーバーから提供します。ユーザーは、ディスプレイとキーボードなど必要最低限の機器を用意するだけで、ネットワーク上からデスクトップ環境を呼び出して利用できます。
Amazon ElasticSearch
高速検索エンジン
Amazon S3 Transfer Acceleration
エッジロケーションを利用してクライアントと S3 バケットの間で、長距離にわたるファイル転送を高速、簡単、安全に行えるようになります。
S3 マルチパートアップロード
大きなファイルを複数の部分に分割してS3 バケットにアップロードすることができます。
SQLインジェクション
アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。
WAF
Web Application Firewall
Webアプリケーションの脆弱性を悪用した攻撃をブロックするセキュリティ対策
「Amazon CloudFront」や「ELB(Elastic Load Balancer)」、「ALB(Application Load Balancer)」に付属される形で提供
SWF
Simple Workflow
クラウドのワークフロー管理アプリケーションで、複数マシン間でアプリケーションを連携させるためのツールを開発者に提供
AWS Shield
マネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護します。
DDoS
Distributed Denial of Service (分散型サービス妨害)
インターネットに接続した多数のホストを利用して、特定のネットワークやWebサービスを、 意図的に利用できないようにする攻撃行為
DDoS攻撃は、多数のホストにパケット(DDoSパケット)を送信させることで、 対象のネットワーク帯域を逼迫させたり、 通信に必要なトランスポート層のポート番号などのコンピューター資源を使い切ることで行われます。
Lambda
AWSマネージド型の為、サーバレスでスケーラブルに使用出来ます。
コンピューティングリソースとして使用できる
マネージドサービス
Lambda@Edge
CloudFrontの機能で、アプリケーションのユーザーに近いロケーションでコードを実行できるため、パフォーマンスが向上し、待ち時間が短縮されます。
Amazon Kinesis
ストリーミングデータをリアルタイムで収集、処理、分析することが簡単になるため、インサイトを適時に取得して新しい情報に迅速に対応できます。
Amazon Athena
インタラクティブなクエリサービスで、Amazon S3 内のデータを標準 SQL を使用して簡単に分析できます。
Amazon Inspector
事前に定義されたセキュリティテンプレートに対してEC2インスタンスを分析し、脆弱性をチェックすることができます。
これにより、自動化されたセキュリティ評価サービスで、AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させることができます。
AWS GuardDuty
AWS アカウントとワークロードを継続的にモニタリングし、悪意のあるアクティビティや不正なアクティビティから保護します。
インスタンスストア
EC2インスタンスの一時的なデータを保持するストレージ
インスタンス用のブロックレベルの一時ストレージを提供します。このストレージは、ホストコンピュータに物理的にアタッチされたディスク上にあります。
AWS Fargate
Amazon Elastic Container Service (ECS) と Amazon Elastic Kubernetes Service (EKS) の両方で動作する、コンテナ向けサーバーレスコンピューティングエンジン
ECSの中でEC2インスタンスの代わりにコンピュートエンジンとして利用されるもので、コンテナー化されたアプリケーションの構築の際に利用されますが、ECSのようにアプリケーションそのものを実行するものではありません。
Fargate ではサーバーのプロビジョンと管理が不要となり、アプリケーションごとにリソースを指定してその分のみ料金を支払うことができ、設計段階からのアプリケーション分離によりセキュリティを強化します。
Fargate では、インスタンスの選択やクラスター容量のスケーリングなしに、適切なコンピューティング容量が割り当てられます。
VPC フローログ
VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能
フローログデータは Amazon CloudWatch Logs と Amazon S3 に発行できます。フローログを作成すると、選択した送信先でそのデータを取得して表示できます。EC2インスタンスのトラフィックデータも取得可能ですが、リソースそのもののログではありません。
AWS SDK
各言語に対応したAWS SDKを選択しすることで、選択したプログラミング言語を使用して、AWS でアプリケーションを簡単に開発することができます。
マネージドサービス
AWS側はソフトウェアのメンテナンス、パッチ管理、モニタリング、バックアップ、災害復旧などを担当
フォールトトレランス
その構成部品の一部が故障しても正常に処理を続行するシステム
Amazon Managed Apache Cassandra
スケーラブルで可用性の高い、NoSQL型のApache Cassandra 互換のマネージドデータベースサービス
簡易見積ツール
AWSユーザーが月間AWS請求書をより効率的に見積もるのに役立ちます。 この計算機を使用して、ベストケースとワーストケースのシナリオを決定し、開発分野を特定して、毎月のコストを削減し、ユーティリティスタイルの課金(従量課金)を提供しない他のサービスプロバイダーと比較することもできます。
AWSプロフェッショナルサービス
AWSクラウドを使用して期待するビジネス上の成果を実現するようお客様をサポートできる、専門家からなるグローバルチーム
AWSコンシェルジュ
コンシェルジュチームは、お客様と連携して請求およびアカウントのベストプラクティスを実装するAWSの請求およびアカウントのエキスパート
AWS Trusted Advisor
コスト最適化、セキュリティ、フォールトトレランス、パフォーマンス、サービス制限の5つのカテゴリにわたってベストプラクティスチェックと推奨事項の豊富なセットを提供するオンラインツール
サポートプラン
・ベーシック
・開発者
・ビジネス
・エンタープライズ
可用性
システムを障害(機器やパーツの故障・災害・アクシデントなど)で停止させることなく稼働し続けること、またはその指標のこと
AWS OpsWorks
Chef や Puppet のマネージド型インスタンスを利用できるようになる構成管理サービス
Chef や Puppet
サーバ設定や更新を自動化するツール
CloudFormation
「自動的にAWS上で作りたいものを作ってくれる」サービス。
自分が作りたい環境を定義したファイルを作って、その定義書を読み込んで自動で環境を作ってくれる。
インフラ構築をコード化
Elastic Beanstalk
AWS Elastic Beanstalk により、開発者は AWS クラウドのアプリケーションを迅速にデプロイし管理することがより簡単になります。
開発者は単にそのアプリケーションをアップロードするだけで、Elastic Beanstalk が自動的に容量のプロビジョニング、負荷分散、Auto-Scaling、およびアプリケーション状態モニタリングといったデプロイの詳細を処理します。
CodeDeploy
EC2、AWS Lambda、オンプレミスサービスなど、さまざまなコンピューティングサービスへのソフトウェアのデプロイを自動化する、完全マネージド型サービス
アプリ開発者がサーバに関して詳しくなくても、S3やGithubにコードを置いてデプロイボタンを押すだけで簡単にデプロイができる便利なサービス
RDBMSとNoSQLの比較
RDBMSのメリット
・データ処理の一貫性が保証されている
NoSQLのメリット
・データの処理速度が早い
RDBMSのデメリット
・スケールアウト(分散性)・拡張性・処理速度の点でデメリットが有ります
NoSQLのデメリット
・データの一貫性や検索能力においてデメリットが有ります
NoSQLに期待すること
・一台のサーバには収容できないほど膨大なデータを扱う
・データを複数のサーバに分割して割り当てる
・高価なハードウェア等ではなく、安価な汎用ハードウェアの上で稼働する
・データに紛失がなく、データは安全な状態に格納されている
・システム全体としては、いつでも使える状態にある
・障害が発生しても短時間で復旧できる
・リアルタイムに近い応答性能を備えている
Amazon IoT Core
インターネットに接続されたデバイスから、クラウドアプリケーションやその他のデバイスに簡単かつ安全に通信するためのマネージド型クラウドサービス
Bash
Linux系OSでは初期選択されているシェル(ユーザーインターフェースソフト)です。
Windowsでいうところのエクスプローラーみたいなもの
AWS Global Accelerator
ローカルまたは世界中のユーザーに提供するアプリケーションの可用性とパフォーマンスを改善します。AWS グローバルネットワークを使用してユーザーからアプリケーションへのパスを最適化し、TCP および UDP トラフィックのパフォーマンスを改善します。アプリケーションエンドポイントの状態を継続的に監視し、異常なエンドポイントを検出し、1 分以内に正常なエンドポイントにトラフィックをリダイレクトします。
グローバルテーブル
DynamoDBの機能
マルチリージョンにマルチマスターデータベースをデプロイするための完全マネージド型のソリューション
マーケットプレイス
ユーザーが製品を構築してビジネスを営むために必要なソフトウェアやサービスを見つけ、購入し、移行して、すぐに使用し始められるオンラインストアです。
AWS用のサードパーティのソフトウェアソリューションとサービスの検索することができます。
CodeCommit
完全に管理されたソース管理サービスであり、企業が安全で拡張性の高いプライベートGitリポジトリを簡単にホストできるようにします。
ソースコードからバイナリまでのあらゆるものを安全に保存でき、ライブラリなどのアプリケーション資産をコードとともに保存することが可能です。
CodePipeline
完全マネージド型の継続的デリバリーサービス
素早く確実性のあるアプリケーションとインフラストラクチャのアップデートのための、パイプラインのリリースを自動化
CodeBuild
継続的スケーリングと分単位の料金でクラウド内のコードをビルドおよびテスト
Amazon Neptune
高速かつ信頼性の高いフルマネージドグラフデータベースサービス
洗練されたインタラクティブなグラフアプリケーションを作成できる
STS
Security Token Service
AWS のサービスへのアクセスに使用できる一時的な限定権限認証情報を取得
AWS Step Functions
AWS の複数のサービスをサーバーレスのワークフローに整理できるため、すばやくアプリケーションをビルドおよび更新できます。
認証情報の種類と対象
E メールとパスワード
・ルートユーザーで使用
ユーザー名とパスワード
・IAM ユーザー
多要素認証 (MFA)
・IAM ユーザー
アクセスキー(アクセスキー ID とシークレットアクセスキー)
・AWS CLI コマンド (SDK を使用)
・AWS API オペレーションを使用する場合
キーペア
・EC2
・CloudFront
TCO計算ツール
「今、データセンターにサーバがどのくらいあるか」を入力すると、それらをAWSに移行した場合の料金を計算してくれます。
Infrastructure Event Management
ビジネスを左右する重要な時期にガイダンスやリアルタイムのサポートを受けることができ、アプリケーション公開、インフラストラクチャ移行、マーケティングイベントに利用されます。AWS エキスパートがイベント計画に関わり、アーキテクチャや運用に関するガイダンスや、規範的で段階的なアプローチを使用したリアルタイムのサポートを提供してくれます。
ペネトレーションテスト
ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法
S3ストレージクラス
S3 Intelligent-Tiering (インテリジェントティアリング)
S3 Intelligent-Tiering はアクセスパターンをモニタし、連続30日間アクセスされていないデータを低頻度のアクセス階層に移動します。もしそのデータがのちにアクセスされた場合は、高頻度アクセス階層に自動的に戻されます。すなわち、アクセスパターンが変化するような状況でも、性能の影響なく、運用のオーバーヘッドもなく、データ取り出しのための料金もなく、利用料金を節約することができるのです。
S3 One Zone-IA
長期保管で、あまりアクセスされず、クリティカルではないデータ向けに設計されています。
S3 Standard
よくアクセスされるデータ向けに設計されています。
S3 Standard-IA
長期保管で、あまりアクセスされないデータ向けに設計されています。
責任共有モデル
AWS側
・パッチ管理
・構成管理
ユーザ側
・OSやミドルウェアの脆弱性対応
・適切なネットワーク設定
・アプリケーション
・データの暗号化
・ネットワークトラフィック保護
・パスワードルールの設定
AWS Artifact
重要なコンプライアンス関連情報の頼りになる一元管理型のリソース
AWS のセキュリティおよびコンプライアンスレポートと特定のオンライン契約にオンデマンドでアクセスできます。
AWSの監査人が発行する全てのレポートにアクセスすることができる
AWS X-Ray
本番環境や分散アプリケーションを分析およびデバッグ
使用すると、アプリケーションやその基盤となるサービスの実行状況を把握し、パフォーマンスの問題やエラーの根本原因を特定して、トラブルシューティングを行えます。
AWS CloudHSM
クラウドベースのハードウェアセキュリティモジュール (HSM)
AWS クラウドで暗号化キーを簡単に生成して使用できるようになります。
設計原則
・AWSベストプラクティス
・Well-Architected Framework
サポートコンシェルジュ
エンタープライズサポートプランの一部として含まれている
ユーザーとユーザーのアカウントによく通じたシニアカスタマーサービスプロフェッショナルが、ユーザーからの請求、アカウントに関するお問い合わせに迅速かつ効率的に回答
テクニカルアカウントマネージャー(TAM)
エンタープライズレベルのユーザーが利用可能
さまざまな提言およびガイダンスを提供し、ベストプラクティスに沿ったソリューションの計画と構築、およびユーザーの AWS 運用環境を正常に保つようサポートをしてくれます。
AWSクラウドコンピューティングサービスの信頼性の要素
・障害への早期復旧
・自動スケーリングや自動プロビジョニング
AWS 不正使用対策チームに連絡
・スパム
・ポートスキャニング
・サービス拒否攻撃 (DOS)
・侵入の試み
・不快なコンテンツや著作権で保護されたコンテンツのホスティング
・マルウェア配信
AWSクラウドの主要な設計原則
✔スケーラビリティ
✔デプロイ可能なリソース
✔環境の自動化
✔疎結合化
✔サーバーの代わりのマネージドサービス
✔柔軟なデータストレージオプション
Amazon Connect
カスタマーコンタクトセンターのセットアップと管理が簡単になり、あらゆる規模で信頼できるカスタマーエンゲージメントを実現
Amazon Lightsail
ラウドで低コストのVPSを提供するサービス
Amazon WorkMail
既存のデスクトップおよびモバイルメールクライアントアプリケーションをサポートする安全なビジネスメールおよびカレンダーサービス
リソースグループ
デフォルトでは、AWSマネジメントコンソールはAWSサービスごとに整理されています。
リソースグループツールを使用すると、プロジェクトと使用するリソースに基づいて情報を整理および統合するカスタムコンソールを作成できます。
DAX
DynamoDB Accelerator
DynamoDBにおいて、リクエストのレイテンシをミリ秒からマイクロ秒に短縮する機能
リザーブド購入可能なもの
・EC2リザーブドインスタンス
・RDSリザーブドインスタンス
・ElastiCacheリザーブドノード
・DynamoDBリザーブドキャパシティ
・Redshiftリザーブドノード
AWSセキュリティの利点
・データの安全な保護
・コンプライアンス要件を満たす
・節約
・迅速な拡張
サーバレスアプリケーションを構築する際に利用できるもの
・Lambda
・ECS(Fargate)
S3の価格は次のような要素によって決定
✔選択したストレージクラス
✔保存したデータの合計量(GB)
✔データ転送
✔リクエスト数
サービスコントロールポリシー (SCP)
組織を管理するために使用できるポリシーのタイプ
SCP は、組織内のすべてのアカウントの最大使用アクセス権限を一元的に管理できる機能を提供し、アカウントが組織のアクセスコントロールガイドラインに沿って活動することを確実にします。SCP は、すべての機能が有効になっている 組織でのみ使用できます。組織が一括請求機能のみを有効にしている場合、SCP は使用できません。
コストと使用状況レポート
サービス、料金、予約などに関するメタデータ (例: Amazon EC2 リザーブドインスタンス (RIs)) を含む、AWS のコストと使用状況に関する最も包括的なデータを提供します。AWS のコストと使用状況レポートには、アカウントとその IAM ユーザーが使用した各サービスカテゴリの AWS 使用状況が、時間単位または日単位の明細項目として一覧表示されているほか、コスト配分のためにアクティブ化されたタグも表示されます。また、AWS のコストと使用状況レポートをカスタマイズし、使用状況のデータを日単位または時間単位で集計することも可能です。
RDSで利用できるデータベースエンジン
・Aurora
・PostgreSQL
・MySQL
・MariaDB
・Oracle データベース
・SQL Server
Amazon Kinesis Data Streams (KDS)
大規模にスケーラブルで持続的なリアルタイムのデータストリーミングサービス
AWSルートアカウントの保護
アクセスキーを作成しない
ACID
(Atomicity、Consistency、Isolation、Durability)とは、エラーや停止が発生した場合でもデータの有効性を保証するためのデータベーストランザクションのプロパティのセット
一般的にはリレーショナルデータベースに必要な特性
Lightsail
仮想サーバー、ストレージ、データベース、およびネットワーキングを予測可能な低価格で提供するサービス
アプリケーションやウェブサイトの構築に必要なすべてのものに加えて、コスト効率が良い月額プランを提供
AZ間でデータを自動的に複製するサービス
・S3
・DynamoDB
ストレージサービスに関して
・ファイルストレージ
⇒EFS
・オブジェクトレベルのストレージ
⇒S3
Access Advisor
IAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻を表⽰する機能
Auto-Scalingのターミネーションポリシー
スケールインが発生した時に、どのインスタンスを終了させるかを決めるもの
デフォルトでは最も古い起動設定のインスタンスから削除
CloudFormationを使用する利点
・インフラストラクチャ全体をテキストファイルでモデル化
・リソースを安全で繰り返し可能な方法でプロビジョニング
・インフラ構築をコード化による利点
・すべての地域とアカウントにわたってアプリケーションに必要なすべてのリソースを、自動化された安全な方法でモデリングおよびプロビジョニング
AWSのコスト
・コンピューティング
・ストレージ
・およびデータ転送アウト
Amazon Rekognition
画像分析と動画分析をアプリケーションに簡単に追加
Amazon Polly
文章をリアルな音声に変換するサービス
Amazon SageMaker
機械学習モデルを迅速に構築、トレーニング、デプロイできる
Amazon Lex
音声やテキストを使用して、任意のアプリケーションに対話型インターフェイスを構築するサービス
