はじめに
AWS認定 DevOpsエンジニア プロフェッショナルでは、ソリューションアーキテクト プロフェッショナル同様、個人利用だけでなく企業利用を想定しているケースの知識を求められるものがあるため、個人で検証しにくいサービス構成に関する設問も多い。これらのサービスに関するポイントをまとめてみた。
なお、試験範囲はDOP-C02を前提として作成している。
障害復旧系
障害復旧系は、実際に障害が発生しないと検証ができないため、実務経験の中で知識を蓄えていくのに時間がかかる分野だ。
※ただし、一部の障害はAWS Fault Injection Serviceで発生させることが可能になったので、FISが無かった頃と比べると検証しやすくなったと言えるだろう。
EC2
EC2アクション
CloudWatchアラームに基づいてEC2インスタンスに対して自動的に行うことができる操作のことを指す。
- 対応するアクションは、インスタンスの停止、終了、再起動、復旧(回復)
- 復旧(回復)は、障害の発生したインスタンスを作り直すので、サーバの電源故障やネットワークの障害に対応可能
- 復旧(回復)に対応できるアラームは、StatusCheckFailed_Systemのみ。StatusCheckFailed_Instanceは未対応
AWS Organizations系
複数AWSアカウント(しかも数百という単位)を扱うためのノウハウであるため、環境を揃えにくくて実証を伴った勉強がしづらい分野。
Amazon GuardDuty
マネージド型の脅威検出サービスで、個人利用も可能だが、組織の管理アカウントでGuardDuty管理者アカウントを設定し、既存のアカウントをメンバーとして追加することで、管理や監視を集中管理することができる。
- 発生した脅威のイベントをEventBridgeで処理することが可能
AWS CloudFormation
AWS CloudFormationの拡張機能で、複数のAWSアカウントまたは複数のリージョンに対してスタックを作成、管理することができる。
AWS CloudFormation StackSets
複数のAWSアカウントまたはリージョンにわたって一連のAWSリソースを作成と管理を自動化する。制定されたポリシーに準じたデプロイに適している。
- AWS Service Catalogとの住み分けとして、AWS Service Catalogは組織(Organization)管理で、こちらは組織とは関係なく使用できるという違いがある
AWS Service Catalog
承認されたITサービスを組織全体で一元管理し、迅速なデプロイや制御されたポリシーを体現する。
IAM Identity Center
AWSやオンプレミスアプリケーションとサービスへのシングルサインオンアクセスを管理する。
権限セット
1つまたは複数のIAM ポリシーのコレクションの定義を作成および維持するテンプレート。組織内のユーザーとグループAWSアカウントへのアクセスの割り当てを簡素化する。
AWS Config組織アグリゲータ
組織全体のAWS Configのデータを集約するためのリソース。このアグリゲータを使用することで、組織内のすべてのアカウントからの設定情報を一元的に確認できる。
Active Directory系
Active Directoryの運用自体を個人で検証するのが難しい上に、IdPとして連動するものを扱うとなると更にハードルが上がる。
SSMとの連動
- CloudFormationのAWS::SSM::Associationを使って、オートメーションランブックのAWS-JoinDirectoryServiceDomainを呼び出してADをEC2を関連付けすることができる
- AWS::SSM::Associationで連動する場合は、EC2側にAmazonSSMManagedInstanceCore, AmazonSSMDirectoryServiceAccessのポリシー付与が必要なので注意