AWSでまずやること
なぐり書き、後でまとめる
#IAM関連
ログインアカウント管理したり、チームメンバーのアカウントの管理をしたりするところ。
##ユーザ種別
ルートアカウント
AWS登録時の大元のアカウント(何でもできる・なるべく使わないこと)
IAMアカウント
一人一人に渡すようなアカウントのこと。
(IAMアカウント使ったらルートではなくIAMアカウントを使うこと)
###主なIAMアカウントに付与するもの
####セキュリティ
グループ
セキュリティグループのこと。そのIAMユーザの権限を限定する。
ロール
リソースに対して設定するものセキュリティロール
ポリシー
ロールやグループに付与できるセキュリティ定義
####タグ
名前の通りアカウントの属性つけられる
{email: 'sample@mail.com', role: 'admin'}な感じで検索などの管理周りで使う
##やるべきこと
①IAMアカウントの登録・管理
②URLエイリアスの登録
③各アカウントのMFA有効化(2段階認証のこと)
④パスワードポリシーの設定
#CloudTrail関連
AWSコンソールのログを取る仕組みのこと。基本はS3上に貯める。
ログの種類は以下の2つがある
管理イベント
コンソール上でのインスタンスの作成やログインなどの管理操作のログのこと
初期状態で無料で常に90日間分は保存してくれる。
データイベント
データに対しての更新や検索のログ(Amazon S3への情報取得など)
##ちゃんとログデータ取りたいときにやること
認証というのを作成。
#CloudWatch関連
AWSリソースのモニタリングをする機能。 請求金額の把握やアラーム設置などできる
デフォルトだとルートアカウントじゃないと設定不可。
#AWSのメモ
Route-53 - DNS設定
VPC-仮想ネットワーク構築
ELB-ロードバランサ
ーEC2
ーEC2
ーRDS-DB
ーS3 ストレージ DBバックアップ等
##AWSサービスはどちらかに分類される
・アンマネージド型
管理面倒・柔軟
EC2など
・マネージド型
管理楽・設定が楽
Route53・RDSなど
##AWSのインフラ構成
リージョン(19) -> アヴァイラビリティゾーンAZ(57) -> エッジロケーション(150)
・リージョンとは?->国・地域ごとの部分類
リージョン間は物理的に独立しているインフラ拠点である
リージョン間は物理的な広帯域のネットワークで接続は可能。
バージニア北部はサービスが最新
国が滅ぶような超最大規模地震対策などにはリージョンを分けることが大事
リージョン選択の際はリージョンのある国の法律に影響されることがあるので注意(中国は政府へのデータの提示義務がある・・・など)
リージョン間で連携できること(意外と少ない・・・)
- AWS Direct Connect経由で接続
- VPCのPeering接続
- EC2のAMIイメージのリージョン間のコピー
- S3のリージョン間のレプリケーション
- RDS・DynamoDBのリージョン間のバックアップ
- route53でのフェイルオーバー
・アヴァイラビリティゾーンAZとは->バカでかいデータセンター単位
同一リージョンのAZ同士は低レイテンシーのリンクで接続
サービスによってAZ間をまたげるものとまたげないものがある
AZを仮想化してEC2などを提供してる
データセンターが止まるリスクに対してはAZを分けよう。
複製AZで冗長性を作るのが普通。
・エッジロケーション->Iot向けやキャッシュデータなどを使う際のさらなる細かいエンドポイント
- CloudFront
- AWS CDN
で使用
##AWSの操作方法
-AWSコンソール(WEBGUI)
-インスタンス操作(SSH)
-AWSCLI操作(AWSコンソールで行うようなことをAWS専用のコマンドで実行できる)
#AWS organization
・AWSアカウントのグループ化(組織別(会社別)などでのグループ化などができる)
・IAMユーザーの自動作成(CLI)
・複数アカウントの一括請求
##機能セットの選択
支払い一括代行or支払い一括代行及び複数アカウントの統制
組織(OU)
- 管理者ルートにマスターアカウントを設置
- IAMユーザーを組織のメンバーに追加
- 組織(OU)を作成
- サービスポリシーを作成(SCP)
まず組織設計とそれぞれに対してなんの権限を与えるかを定義することが初めにやること
IAMとOrganizationは基本無料