【学習記録】AWS SAA対策④:ネットワーク設計・ログ・暗号化・フェールオーバー構成
🧯 スケジュールドリザーブドインスタンスの廃止
かつて存在していた スケジュールドリザーブドインスタンス は現在廃止されています。今後のスケジューリングには他の方法(EventBridge + Lambdaなど)を検討する必要があります。
🌐 プライベートサブネットとNATの活用
プライベートサブネット内のEC2インスタンスがインターネットアクセスを必要とする場合、NAT Gateway もしくは NATインスタンス を使用して以下を実現します:
- インターネットからの直接アクセスは遮断
- アドレス変換機能(NAT) により外部への通信は可能
- ソフトウェア更新やバッチのダウンロードが安全に行える
🛠 パターン例
- Webサーバー:パブリックサブネット
- DBサーバー:プライベートサブネット
- NAT Gateway:パブリックサブネット
📶 Amazon MQ への移行
ActiveMQのメッセージキューを使用している場合は、Amazon MQ のマネージドサービスへ移行するのが推奨されます。
- フルマネージドサービス
- 可用性と信頼性の向上
- 運用コストの削減
🔍 VPCフローログと監査機能
✅ VPCフローログ
- EC2のネットワークインターフェース単位でログを取得可能
- セキュリティトラブル時のトラフィック解析に有効
✅ CloudWatch & CloudTrail
- CloudWatch Logs Insights によるリアルタイム分析
- CloudTrail による API 操作の追跡
- マルチアカウント・リージョン対応の 中央ロギング構成 を実現
💾 Data Lifecycle Manager(DLM)の活用
- EBSスナップショットの作成・削除を自動化
- 定期的なバックアップ運用が可能
- コスト最適化と人的ミスの削減
🔐 S3のサーバーサイド暗号化(SSE)
🔑 SSE-C(Customer-Provided Keys)
- ユーザー自身が管理する暗号鍵を使用
- AWSに鍵は保存されず、毎回リクエスト時に提供
- 実装には SDK等の活用 が必要
- 誤って鍵を失うと復号不可
🔁 Route 53のヘルスチェックとフェールオーバー構成
- Route 53の ヘルスチェック機能 を利用し、アクティブ-スタンバイ構成を実現
- ヘルスチェックにより異常検知 → スタンバイサーバーに自動切替
- マルチリージョン/高可用性設計に有効
📝 まとめ
今回学んだトピックは、AWSインフラの可用性・セキュリティ・監視に密接に関わる重要分野です。SAA試験において、システムの構成とその理由を論理的に判断する能力が問われます。