この記事は
2025年12月にAWS Certified Solutions Architect - Associate(SAA-C03)を取得しました。
その際の勉強メモです。
勉強メモのたたき台など参考にして頂ければ幸いです。
| 詳細 | |
|---|---|
| 試験名 | AWS Certified Solutions Architect - Associate(SAA-C03) |
| 受験日 | 2025/12/25 |
| 得点 | 810 |
| 結果 | 合格 |
| 形式 | 自宅受験 |
受験記としてはこちらにまとめています
https://note.com/nodathon1/n/n752a5d0d86ca
メモ↓
EC2
- セキュリティグループ→許可のみ
- プレイスメントグループ
- EC2をまとめる単位
- クラスタ
- パーティション
- スプレッド
- まず、まずプレイスメントグループを構成し、その後にインスタンスタイプとインスタンス数を設定する必要があります。
- EC2をまとめる単位
- EBS block express 高性能スループット
- ベアメタルインスタンス 仮想化(ハイパーバイザー)を通さず、ハードウェアを直接占有
- フリート:艦隊
- Ec2フリート:EC2の群
- スポットフリート:スポットインスタンスを用意しておく。
- スポットブロック:最大6時間まで中断されることのないスポットインスタンスを利用可能な機能 現在廃止
- AMI;EBSスナップショットが含まれる
- Nitro Enclaves:隔離
- AutoScaling
- Desired capacity(希望するキャパシティ)
- クールダウン期間(増減後に、追加を実行するまで待機時間)
- スケーリングポリシー
- 簡易:単純な設定値
- ターゲット追跡 閾値を保つようにする(CPU30%に保つ など)
- ステップ 複数の閾値を指定する、ウォームアップを設定できる
- ターミネーション スケールインの時に、どのEc2から終了させるか
- auto scaling
- NewestInstance新たに設置されたインスタンスを削除
- oldestInstanceは、古いインスタンスを削除
- OldestLaunchConfigurationは、最も古い起動設定に基づいてインスタンスを削除(デフォルト)
- ウォームプール
- フローログ
- 通信トラフィックを記録するログ
- CloudWatch エージェント
- 標準メトリクスだけでなく、OSの詳細ログを取得できる。
- vCPUでEc2の起動制限をかけられる
- ストレージ最適化→EBSとの通り道が太くなる(IO性能があがる)
- インスタンスプロファイル
- EC2インスタンスに対してIAMロールを付与
- 休止状態の有効化 → メモリは残したままですぐ使える
EBS
- Data Lifecycle Manager (DLM)を活用することで、EBSのスナップショットの作成や削除を自動化
- DLMを使わないと定期実行ができない
- DeleteOnTermination属性:EC2の終了時にデータを削除する・しない
- アタッチされたEC2が停止していても課金される
- アタッチ後に、ファイルシステムを作成する
- 暗号化は、初期設定でしかできないので、既存のものは再構成する
- ボリュームタイプ
- gp3 (最新): コストパフォーマンスが最高です。容量とは独立してスループットとIOPS(読み書き速度)をカスタマイズできるのが最大の特徴です。
- SSD 汎用ボリューム(gp2 / gp3)
- gp2: 以前の標準。容量を増やすほど性能が上がる仕組みですが、現在は gp3 の方が安くて高性能なため、新規作成では gp3 が推奨されます。
- SSD プロビジョンド IOPS
- io1 :普通性能、普通耐久
- io2 :普通性能、高耐久
- io2 Block Express:高性能、高耐久
- HDD ボリューム(st1 / sc1)
- 安く保存したい場合
- Raid0(ストライピング構成)にすることでIOパフォーマンスが向上する
- マルチアタッチで、複数のEC2にアタッチできる
- 同一AZ限定
- Provisioned IOPS SSD (
io1またはio2)限定
S3
- バージョニング設定が可能
- ライフサイクル
- 移行アクション:S3 標準-IA → S3 Glacier
- 削除アクション :
- オブジェクトの削除: 作成から〇〇日経過したデータを完全に削除。
- 不完全なマルチパートアップロードの削除: 途中で失敗して残ってしまったアップロードデータを削除し、無駄な課金を防ぎます。
- 以前のバージョンの削除: バージョニングが有効なバケットで、古いバージョンを〇〇日後に削除。
- フィルタもできる
- プレフィックス
- タグ
- オブジェクトサイズ
- Intelligent-Tiering:AWSが裏側であなたの代わりにアクセス頻度を監視し、最も安いストレージクラスへ自動的に移動させてくれる
- ストレージクラス分析:提案のみ(移動はしない)
- MFA削除を有効にすると、削除時にMFA認証が必要になる
- Glacier
- Instant Retrieval ミリ秒で取り出す 保存コストは安いが、取り出し時に高くなる
- Flexible Retrieval 1分~12時間 、取り出し速度を選べる
- Deep Archive 最安 12~24時間
- ボールトロック機能 :write once read many」(WORM)などの制御
- ボールトロックポリシー
- Storage Lens:S3バケットの分析機能
- アクセスを有料会員に限定する→署名付きCookieで検証する
- S3 リクエスタ支払 (Requester Pays) → 所有者ではなく、リクエストした人が支払いする
- マルチパートアップロード:大量のファイルを分割してアップロード
- Amazon S3 Select :S3サービス側でフィルタリング 現在非推奨
- athena は複数のバケットを一括分析
- クロスリージョンレプリケーション
バージョニングを有効にする
所有者ををコピー先のアカウントに設定する - Transfer Acceleration:効率的かつ高速にアップロード(
遠く離れたリージョンの S3 バケットへデータをアップロードする際、Amazon CloudFront のエッジロケーションを経由することで、公共のインターネットを通る距離を最短にし、転送速度を高速化する機能です。) - Amazon S3 Express One Zone
- S3の中で最も高いスループットと低いレイテンシーを提供します
- イベント通知
- 作成、削除、ライフサイクル
- 通知先:SNS,SQS,Lambda
-
ストレージクラス分析
- ストレージアクセスパターンを詳細に分析し、データを適切なストレージクラスに移行する最適なタイミングを見極める
カスタマーゲートウェイ
- site-to-site AWSとオンプレをつなぐ 論理的なVPN (プライベートサブネットを利用する)
- オンプレ側:カスタマーゲートウェイ:デバイス
- AWS側:Virtual Private Gateway
- ルーティング設定をする
Direct Connect
- 専用線・高価
- 専用線なので、VPNではない
- VPNでする場合は、Site-to-Site’(カスタマーゲートウェイ)で行う
サイト間VPN
- オンプレとAWSを結ぶ
- インターネット回線
- Accelerated を使うと、ネットの混雑とパフォーマンスの低下を避けられる
- オンプレ側にカスタマーゲートウェイデバイスが必要
SQS
- プル型
- 可視性タイムアウト(デフォルト30秒、0~12時間) → 重複しないようにする
- 遅延キュー:メッセージ配信後、待たせてからせるようにする(処理待ち、キャンセル猶予など)
- キューを取得した後、有効期限内は、他から取得されない
- 有効期限を過ぎると他から取得される
- スタンダードキュー 最低1回以上の配信を保証
- FIFOキュー first in first out 1回のみ配信
- 削除
- 明示的に削除
- 保持期間の経過
- 優先度が設定できる。
- OrderType: Electronics や Region: Asia といったカスタム属性を付与できる
- Approximate Number Of Messages → キューの数、スケールの基準に設定できる
- メッセージ重複排除ID(Message Deduplication ID)
- 同じ内容のメッセージが二重に処理されるのを防ぐための、5分間のガード機能
- デッドレターキュー
- 手動でしか再処理できない
- デッドレターキューを設定できるサービス
- Lambda
- SQS,SNS
- Kinesis Firehose
- 他のアカウントにアクセスさせたい場合→SQSアクセスポリシー
SNS
- パブリッシャ― (発信)
- サブスクライバー (受信)
- プッシュ型
- トピック→玉のこと
- 配信先を指定できる
- フィルタリング(分類)ができる
- SNS
- → キューA
- → キューB
- SNS
- FIFOトピックが可能
- 複数のシステム(例:配送、在庫管理、請求)に、全く同じ順番で伝えたい場合
- SNS FIFO を使うときは、その先に SQS FIFO がセットで必要になる
- 優先づけはできない
- モバイルSNS通知は設定だけでできる。
- アクセス設定ができる
- 暗号化設定で、KMSを指定できる(KMS側のアクセス許可は不要)
- Lambdaから発行する場合、Lambdaに発行許可が必要
- メール送信できる。
- イベント、プッシュ系、S3イベントからの起動は、SNS。(アプリに組み込むのはSES)
Kinesis
- Streams リアルタイム
- データの収集・蓄積
- 写真を処理することはできない。
- データ処理はできない
- firehose 消防ホース 分析用途 60秒ごと
- Amazon Data Firehose(旧称:Amazon Kinesis Data Firehose)
- データ変換
- Lamda
- 形式変換 (Format Conversion):
- KCL :Kinesis Client Libraly
- ストリームデータ(Jsonなど)の解析
kinesis datastream
↓
kinesis datafirehose
↓
S3
↓(Glueが入っても良い) - Redshift Spectrum S3のデータを分析
kinesis data stream
- シャード時間(1シャードあたり1時間いくら)」に基づく
- マージすることで、密度を高める
- スロットリング(KinesisWritableMemoryFullなど)が発生」 → シャードの分割 (Split) でキャパシティ拡張。
- ホットシャード:処理能力(キャパシティ)の限界
- コールドシャード:リソース(キャパシティ)が余っている
- シャードの割り当て
- プロビジョニング
- オンデマンド
Amazon Managed Service for Apache Flink (旧:Amazon Kinesis Data Analytics)
- ストリーミングデータのリアルタイム分析や
- クエリ処理を行うことが可能
- S3に保存できる
RDS
- Optimized Reads 読み取り高速化
- Optimized writes 書き込み高速化
- RDS Custom OS部分の操作ができる
- RDSプロキシ:Lambdaが急速にスケールした場合、コネクションの枯渇を防ぐために、接続をプールする
- RDS 拡張モニタリング:OSレベルのプロセス、スレッドなど監視できる
- データの変更をイベント通知できない
- PITR(ポイントインタイムリカバリ)が可能
- シャーディング:データベース内の複数のテーブルにデータを分割
Aurora
- デフォルトでマルチAZ構成
- Global Database
- リージョンをまたぐ。リージョン障害に対応できる
- リードレプリカを別リージョンに配置できる → AZダウン時に自動的にプライマリに昇格される
Lambda
- スロットリング:Lambda 関数の同時実行数が制限を超えたために、新しいリクエストが拒否される状態
- デフォルトは1アカウント、1リージョンで1000まで
- 設定された値以上のリクエスト→429 Too Many Requests エラー拒否)
- 非同期呼び出し
- Lambda が自動的に**再試行(リトライ)**を行います。
- 最大 6 時間、間隔を空けながらリトライを繰り返しますが、それでもダメな場合はデータが失われる(またはデッドレターキューへ行く)可能性があります。
- 予約済み同時実行数 (Reserved Concurrency)の設定
- プロビジョニングされた同時実行数 (Provisioned Concurrency):あらかじめ実行環境を「温めて(起動して)」おく
- CloudWatch Metrics で以下のメトリクスを監視することが重要です。
-
Throttles: スロットリングが発生した回数。 -
ConcurrentExecutions: 現在どれくらいの実行数が使われているか。
-
- VPCを指定せずに利用できるサービスだが、特定のVPC内にも構成することができる
- ユースケース:
- プライベートリソースとのセキュアな通信(RDS,ElastiCacheなど)
- VPC エンドポイント経由での通信(インターネットを経由せずに、AWS サービス(S3 や DynamoDB など)と通信したい場合。)
- オンプレミス環境のリソースへのアクセス(Direct Connect や Site-to-Site VPN で接続されたオンプレミスのデータベースや基幹システムと連携したい場合)
- 固定 IP アドレス(NAT Gateway)による外部接続 (通常の Lambda は IP が流動的です。VPC 内のプライベートサブネットに配置し、NAT Gateway を経由させることで、特定の固定されたパブリック IP アドレスからリクエストを送ることができます。
- ユースケース:
- 処理時間は15分以内
- 関数 URL (Function URLs) での設定
- 「NONE(認証なし=パブリック公開)」URLがわかればアクセスできる
- 「AWS_IAM(IAM認証あり)」IAMロールを設定しないとアクセスできない
- URLの発行: 設定を保存すると、即座に https://{url-id}.lambda-url.{region}.on.aws/ という一意のURLが生成。RESTFUL APIにはならない(HTTP)
- Lambdaレイヤー:共通関数
- Lambdaエッジ:CloudFront の各地の拠点(エッジロケーション)でプログラムを実行できる
- Compute Savings Plans 割引価格
ECS
- docker コンテナ
- タスク定義する
- S3へのアクセスなどのIAMロールを定義できる
- コンテナを組み合わせたものがタスク
- fargate モード:EC2を意識せずにプログラム実行できる
- Ec2起動モード:EC2を立てる
VPC
- VPCエンドポイント(パブリックなインターネットを通らずに、VPCの中から直接AWSサービス(S3やDynamoDBなど)に繋ぐための専用のトンネル)
- ゲートウェイエンドポイント
- ルーティングで探しにいく
- VPCの「外壁(ルートテーブル)」に特殊な行き先を追加する、パブリックIP、無料、エンドポイントポリシー
- S3とDynamodbのみ、無料 同一リージョンのみ
- インターフェースエンドポイント
- IPアドレスでさがしにいく(プライベートIP)
- VPCの「内側(サブネット)」に、サービス専用の窓口(ネットワークカード)を設置する、プライベートIP、プライベートサブネット、有料、セキュリティグループ
- NICを作成、オンプレとも可能
- DNS hostnamesオプション→EC2がDNS名を取得する
- ゲートウェイエンドポイント
- DNShostname が有効でない場合、配下のサブネットで起動したEC2は名前解決できない
VPCフローログ
- VPC 内のネットワークインターフェース(ENI)を行き来する IP トラフィックの情報をキャプチャする
CloudWatch
- アラームを設定できる
- 各サービスのメトリクス
- アラーム発生後、次のアクションを
- SNS連携(slack通知、SNS
- Lambdaの起動
- EC2アクション(停止・起動などのの直接操作)
- EC2 Auto Scaling の制御
- Systems Manager (SSM)のアクション
- OpsItemの作成
- インシデントの起票
- Amazon CloudWatch Container Insights
- EKS クラスター、ノード、ポッド、サービス、およびコンテナのパフォーマンスメトリクスを自動的に収集・集約し、可視化するフルマネージドな機能
CloudWatch エージェント
- EC2 にインストールして使うソフトウェア
- OS内の特定のログファイル(システムログ、アプリケーションログ)や、メモリ使用率、ディスク空き容量などの詳細な内部ステータスを収集します。
リザーブドインスタンス
- マーケットプレイスで販売できる。
- スケジュールド は廃止
- 標準 (Standard) の特徴
- 最大の節約: とにかくコストを最小化したい場合に適しています。
-
制限: 一度購入すると、インスタンスファミリー(例:
m5からc5)やOSを変更することはできません。 - 出口戦略: もし不要になった場合、AWSが提供する「RI Marketplace」でサードパーティ(他のユーザー)に転売して現金化できる可能性があります。
-
- コンバーティブル (Convertible) の特徴
- 柔軟な交換: 期間の途中で「新しい世代のインスタンスが出たから乗り換えたい」「計算能力が足りなくなったのでサイズを大きくしたい」といった場合に、差額を支払うことで別のRIに交換できます。
- 等価以上の交換: 交換後のRIの価値が、交換前と同等かそれ以上である必要があります。
- 将来への備え: 3年契約を結びたいけれど、3年後も同じインスタンスを使っているか自信がない場合に非常に有効です。
リザーブド
- EC2
- RDS
- Elasticache
- RedShift
- OpenSearch
- DynamoDB
※S3とEFSにはない
- Organization単位で共有できる
オンデマンドキャパシティー予約
- 実行中: 通常のオンデマンドインスタンス料金(またはSavings Plans/RIの割引料金)がかかります。
未使用時: インスタンスを動かしていなくても、「予約枠の維持費」としてオンデマンドと同額の料金が発生します
→使っていない時間も料金を払う代わりに、確実に起動できる権利を得る
ALB
- リスナールールで、HTTPトラフィックを自動的にHTTPSへリダイレクト(変換)できる
- 複数のAZにトラフィックを分散
- リージョンまたぎできない
NLB
- WAFを適用できない。
- リージョンまたげる
- リクエスト数が数百万レベルの時
Load Balancer Controller
- EKS専用、EKS使うとき必須
- クラスターと、ALB/NLBを自動で結びつける司令塔
- これがないとKubernetes側の変更をいちいち手動でAWSコンソールから設定し直すことになる
- ECSでは使用できない
AWS Data Pipeline
- 異なるストレージ間(例:S3からRDS、オンプレミスからS3など)で、データを移動させる
- 特定の処理(EMRで集計するなど)を実行したりする手順を、カレンダーのようにスケジュール設定して自動化するサービスです。
- 2025年から停止
- 後継
- AWS Glue(ETL処理の場合)
- AWS Step Functions(ワークフロー管理(EMR を起動して、終わったら次の処理へ))
- Amazon AppFlow(salesforce などSaaS連携の場合)
- 後継
app flow
- SaaS(外部サービス)と AWS を、コードを書かずに安全につなぐ全自動パイプライン
- salesforce のデータをS3に保存する
- Lamdaを書く必要ない
Glue
- ETLサービス Extract(抽出)、Transform(変換)、Load(格納)
- S3にあるデータのカタログ化、Spark処理
- Glue Job:
- DynamoDBをソース、S3をターゲットとして設定、
- Spark ジョブ
- Python Shell ジョブ:
- Ray ジョブ:(spark よりも直感的に分散処理を書きたい場合)
- DynamoDBをソース、S3をターゲットとして設定、
- スケジューリング
- Glue トリガー(Triggers):スケジュール指定、手動実行、依存関係を組む
- AWS Glue ワークフロー:複数のトリガーとジョブを視覚的に繋ぎ合わせ、全体の進捗を管理
-
Amazon EventBridge + Glue:
- S3 にファイルが置かれたことを検知して、即座に Glue ジョブを起動するような「イベント駆動型」の連携。
-
AWS Step Functions + Glue:
- エラー時のリトライ処理や、Lambda などの他サービスを含めた高度なオーケストレーション。
- Glue Data Catalog: S3に保存したデータをカタログ化し、そのまま Amazon Athena などでクエリを投げてレポートを作成するのに最適です。
- クローラーを利用してS3バケットを処理して、データをスキャンして、データ分類、スキーマ情報を抽出し、メタデータをAWS Glueデータカタログに保存してデータ分析前のETL処理を行うことができます
- Sensitive data detection API:機密データの検出、処理(パイプラインの中で機密情報をマスクする)
- Glue内にDBを作成して保持できる(S3からathenaクエリで抽出→glueDBに保存)
RedShift
- RDBの分析を目的としたDWH
- Workload Management(ワークロード管理)
- 処理順の管理
- Redshift Enhanced VPC Routing(拡張VPCルーティング)
- Redshift のデータ転送トラフィックを、インターネット経由ではなく、強制的に自分の VPC 内を通るようにする機能
- 有効にすると、VPC経由のフローが強制され、VPCフローログに記録される
- Redshift Spectrum
- S3にある大量のデータを、Redshiftにわざわざ取り込む(ロードする)ことなく、そのままSQLで分析できる
CloudFront
- オリジンアクセスアイデンティティ (OAI) →現在はOAC
- AWS WAF が設定できる
- Cache-Controlのmax-ageがゼロだとキャッシュされない
- 価格クラス:どのリージョン範囲を利用できるするか
System Manager
-
Session Manager(セッションマネージャー):SSHキー(.pem)なしで、ブラウザやCLIから安全にサーバーへログインする
- SSHポートをあけなくて良い
- 鍵(PEM)の管理が不要
- ログが残る
- EC2にセッションマネージャーへのアクセスを許可するIAMロールをインスタンスプロファイルに付与
-
Patch Manager(パッチマネージャー):多数のサーバーに対して、OSのセキュリティパッチ適用を自動化する
-
Run Command(ランコマンド):SSHでログインすることなく、複数のインスタンスに一斉にコマンドを実行する
- sshで接続せずにコンソール上で実行できる
-
Parameter Store::設定値やパスワードの保管 安価に」「シンプルに」
- IAMロールを付与してアクセスさせる
-
State Manager:このサーバーは常にこの設定(例:特定のウイルス対策ソフトが動いている状態)であること」を定義し、自動的に構成を維持(ドリフト補正)
-
Automation: 複雑な運用手順(例:EBSのスナップショットを撮ってからインスタンスを更新するなど)をワークフローとして自動化
Systems Manager がサーバーを操作するためには、対象のサーバーに SSM Agent という小さなプログラムがインストールされている必要があります。
-
opsCenter
- アラートをチケット管理
AWS Secrets Manager
- パスワードの自動ローテーション 有料
IAM
- 通常、データベース(RDS や Aurora)への接続には「ユーザー名とパスワード」が必要ですが、IAM データベース認証を使用すると、パスワードの代わりに「IAM ロール(認証トークン)」を使って接続できるようになります。
- RDS 側の設定
- I AM認証を有効化
- DB ユーザーの作成
- EC2の設定
- EC2 が特定の DB ユーザーとして接続することを許可するポリシーを作成し、EC2 の IAM ロールにアタッチします。
- 接続コードの実装
- EC2 上のアプリーケーション(または CLI)は、AWS SDK を使用して 一時的な認証トークン を生成します。
- そのトークンを「パスワード」として使用して、データベースに接続します。
- RDS 側の設定
Route53
- レコード
- CNAME::他のドメイン
- Alias:AWSリソース
- AAAAレコードタイプはIPv6
- SOA:DNS転送
- フェイルオーバールーティング
- AWS(メイン)とオンプレミス(バックアップ)の自動切換えを構成できる
- 位置情報ルーティング
- ユーザーがいる**「場所(国や州)」に基づいて、どのリソースに誘導するかを決めます
-
地理的近接性ルーティング
- ユーザーとリソースの間の「物理的な距離」**に基づいて、最も近いリソースに誘導します。
- 複数値回答ルーティング
-
DNSレベルで簡易的なロードバランシング(負荷分散)を行い、かつヘルスチェックで生きているサーバーのみを回答する仕組み
通常のDNS(シンプルルーティング)では、1つのドメイン名に対して1つのIPアドレスを返すのが基本ですが、複数値回答ルーティングでは以下の挙動になります。
-
複数の値を登録: 1つのレコード名(例:
api.example.com)に対して、最大8つの異なるIPアドレス(リソースレコード)を登録します。 - ランダムに回答: クライアントからの問い合わせに対し、Route 53 は登録された中から最大8つの正常なレコードをランダムに選択して回答します。
- ヘルスチェック連動: 各レコードにヘルスチェックを関連付けることができます。もし特定のサーバーがダウンしていると、Route 53 はそのサーバーのIPを回答候補から外します。
-
複数の値を登録: 1つのレコード名(例:
-
- 加重ルーティング (Weighted)
- 重み(ウェイト)」の比率に基づいて、1つのIPアドレス(またはドメイン)だけを回答
- カナリアリリース(新バージョンを一部のユーザーだけに試す)や、ブルー/グリーンデプロイメント。
- エニーキャストルーティング(DDOS対策)
- 速度と広範囲な防御’(物理的に最も近いエッジロケーションに自動的にルーティング、DDoS 攻撃の分散)
- シャッフルシャーディング(DDOS対策)
- 特定の攻撃による影響の封じ込め(ユーザーごとに異なるサーバーの組み合わせ(シャード)を割り当てる)
- トラフィックフロー:ビジュアルエディター
- ホストゾーン
- パブリック:インターネット上に公開
- プライベート:特定の VPC 内
- リゾルバーエンドポイント
- 「オンプレミス環境」と「AWS環境(VPC)」の間で、お互いのプライベートなドメイン名(DNS)を教えう窓
- インバウンド :オンプレ → AMSに聞きに来る
- アウトバウンド:AMS → オンプレに聞きにいく
- オンプレDNSを移行する場合
- Amazon Route 53 で「パブリックホストゾーン」を作成
- オンプレミスDNSから「ゾーンファイル」をエクスポートし、Route 53 へインポート
- ドメイン登録業者(レジストラ)で「ネームサーバー」を更新
EFS
- NAS
- EFSはVPC外 エンドポイントを作る必要がある
- マウントターゲットをつくる必要がある
- スループットモード
- 汎用・弾力性 (Elastic) レイテンシーが一番低い
- プロビジョニング スループットを指定する
- バースト ストレージの容量(サイズ)が大きければ大きいほど、出せる速度も速くなる
- ライフサイクル管理を設定できる
- 低頻度アクセス(IA)、アーカイブに移行する
DynamoDB
- DAXクラスター キャッシュ
- DynamoDB Streams 変更をキャプチャできる
- Lambda+SNSで通知する(SNS直接はできない)
- オンデマンド → 自動スケーリングする
- プロビジョニング → 幅があってその中でスケールする
- グローバルテーブル:他リージョンに同期(レプリケーション)する
- 設定には、DynamoDB Streamsが必要(設定すれば各リージョンに自動作成される)
- ポイントインタイムリカバリ (PITR):管理の手間をかけずに過去35日間の任意の秒単位でデータを復元できる
- データ整合性モデル
- 結果整合性:早いが、結果が最新でない
- 強い整合性:遅いが、結果が最新
- DynamoDB Standard-IA
- 安い
- 大量保存
- 滅多にアクセスしない
- AutoScaling
- CloudWatchと連携して、利用率などを基準にスケールアウト・インできる
KMS
- Key Management Service
- CMK (Customer Master Key)を作成できる
- 権限を他アカウントに許可できる(キーポリシーの変更)
- CloudTrail との連携: 「誰が、いつ、どの鍵を使って何を復号したか」をログに残せる。監査対策
- マルチリージョンキー (Multi-Region Keys)
- 最近のアップデートで、異なるリージョン間で「同じIDを持つ鍵」を複製できるようになりました。
- 東京リージョンで暗号化したバックアップデータを、大阪リージョンでそのまま復号してリカバリ
- AWS暗号化SDK 暗号化ライブラリ(APIを呼び出さずにローカル処理できる)
- キーポリシーで、アクセスできる人を管理する
Cloud Trail
- AWS アカウント内で行われたすべての操作を記録する『防犯カメラ(監査ログ)』
-
管理イベント (Management Events):
「EC2 インスタンスを起動した」「S3 バケットを作成した」「IAM ユーザーのパスワードを変更した」といった、AWS リソースの設定変更に関する操作です。(※デフォルトで 90 日間無料で保存されます) -
データイベント (Data Events):
「S3 内の特定のファイルを表示した」「Lambda 関数を実行した」といった、リソース内部のデータに対する操作です。高頻度になるため、デフォルトでは無効になっており、個別に設定が必要です。 -
Insights イベント (CloudTrail Insights):
「普段と比べて API の呼び出し回数が異常に多い」といった、機械学習による異常なアクティビティを自動検知した記録です。
-
管理イベント (Management Events):
AMI
- LaunchPermission(起動許可) EC2起動を許可されているアカウント一覧
EKS
- Kubernets
- KubernetsはDockerとは異なるコンテナテクノロジーです
- マネージド型ノードグループ (Managed Node Groups) TaintsとTolerationsが利用できない
- セルフマネージド型ノードグループ (Self-Managed Nodes) 自分で設定できる、TaintsとTolerationsが利用できる
- KubernetsはDockerとは異なるコンテナテクノロジーです
Amazon EventBridge
- 何か(イベント)が起きたら、それを検知して、あらかじめ決めたアクション(ターゲット)を実行する、という「イベント駆動型」の設計を支えるサービスです。
- 「S3 にファイルが置かれた」→「Lambda で画像処理を開始する」
- 「EC2 の状態が Running に変わった」→「SNS で管理者に通知する」
- 「GuardDuty が脅威を検知した」→「自動でセキュリティグループを書き換える」
-
EventBridge Scheduler
- 「毎日 0 時に Lambda を実行してレポートを作成する」
- 「平日の朝 9 時だけ開発環境の EC2 を起動する」
- AWS 以外の外部サービス(SaaS)からイベントを受け取ることができます。
- 「Zendesk でチケットが作成された」→「AWS 上で分析処理を回す」
- 「PagerDuty のアラート」→「Lambda で自動復旧を試みる」
- 特徴: 以前は Webhook などを使って自分で作り込む必要がありましたが、EventBridge を使えばノーコードで安全に連携できます。
- API 宛先 (API Destinations)
- イベントの結果として、AWS の外(外部 API)を叩くことができます。
- 「特定のログが出力された」→「外部の Slack や LINE API に通知を送る」
- 「DB が更新された」→「他社の在庫管理システムへ API でデータを送る」
- イベントの結果として、AWS の外(外部 API)を叩くことができます。
Lustre
- 超高速
- Lustreクライアントを使って接続
- Amazon FSx for Lustre → 超高速ストレージ
- ハイパフォーマンスコンピューティング (HPC)
- タイプ
- 永続:
- 可用性は高いが遅い
- スクラッチ:可用性は低いが、早い
- データの一時的な保存と短期間の処理を目的として設計されており、データはレプリケーションされず、ファイルサーバーに障害が発生した場合には保持されません。スクラッチファイルシステムでは、ストレージ容量TiBあたり200MBpsのベースラインスループットの最大6倍の高バーストスループットを提供します。
- 永続:
API Gateway
- プロキシ統合 (Proxy Integration)
- そのまま渡す
- 非プロキシ統合 (Custom Integration)
- マッピング
- IFの隠蔽
- Lambdaの純粋化
- 設定が大変
- スロットリング:流量制限(サーバ全体 or クライアントごと)→超えたら「429 Too Many Requests」を返す
- キャッシュ機能が使える
- Cognito ユーザープールオーソライザー
- Amazon Cognito で発行された ID トークン(JWT) を検証して、API へのアクセスを自動的に許可・拒否する仕組み
- Lambda オーソライザ
- 外部DB参照の場合
- 使用量プラン
- Throttling / 頻度制限
- Quota / 合計上限
Inspector
- WS 環境の脆弱性を自動で見つけ出し、継続的にスキャンするセキュリティ診断サービス
- サーバー(EC2)やコンテナイメージ、Lambda 関数
STS
- 一時的な認証、外部プロバイダー
- AWS Security Token Service (STS) は、「一時的なセキュリティ認証情報(認証トークン)」を発行し、AWSリソースへのアクセスを制御するためのWebサービスです。
AWS Shield
- DDoS攻撃を専門に遮断するサービス
- standard 無料 守るだけ、通知できない
- Advanced 有料 DDoS コスト保護(EC2 や CloudFront が過剰にスケーリング)、通知できる
- 不特定のIPアドレスに対して行う
- IPアドレスを特定できる場合はWAFでも可能
AWS Elastic Disaster Recovery
- 障害発生時のリカバリプロセスを自動化
AWS Replication Agent
- オンプレサーバーのデータをリアルタイムでAWSへ送り届けるための、運び屋
- オンプレVMをメインにしながら、差分バックアップを日々AWS Ec2に反映する。バックアップ環境を作る
Amazon EMR (Amazon Elastic MapReduce)
- 大量のデータを複数のサーバーで分散処理、ビックデータ、hadoop
- 環境
- EMR on EC2
- EMR Serverless
- EMR on EKS
- Sparkジョブ:Apache Spark」を実行して、膨大なデータの加工や分析を行う処理単位
- Athenaとの違い:
- Athena: 手軽。SQLでパッと分析したい時。
- EMR (Spark): 重厚。複雑なロジックでのデータ加工や、何度もデータを読み書きする高度な計算が必要な時。
- Athenaとの違い:
- APIで起動する
- 起動しているEMRがkinesisのデータを吸い取ることが可能
- Glueと比べてカスタマイズ性が高い
- リアルタイム処理をするには、Structured Streaming機能を使う
AWS Outposts
- AWSのインフラストラクチャとサービスをオンプレミスまたはエッジロケーションに提供し、ハイブリッド構成を実現するためのサービス
- オンプレのHadoopを利用したい場合 → Amazon EMRをAWS Outposts上で利用する
AWS Instance Scheduler
- 設定したスケジュール(例:平日の9時〜18時のみ稼働)に基づいて、EC2インスタンスとRDSインスタンスの両方を自動的に起動・停止させることができます。
Elastic Bean stalk
-
コードをアップロードするだけ:
Java, .NET, PHP, Node.js, Python, Ruby, Go, そして Docker で書かれたコードをアップロード(または Git リポジトリを指定)するだけで、あとは AWS がインフラのプロビジョニングからデプロイまでを完了させます。 -
フルマネージドな自動化:
以下のような設定を自動で行い、維持してくれます。- 負荷分散(Load Balancing)
- 自動スケーリング(Auto Scaling)
- アプリケーションの健全性監視(Health Monitoring)
- インスタンスのパッチ適用やアップデート
-
「コントロール」は手元に残る:
ここが PaaS(Herokuなど)と違う点です。自動で構築された後でも、基礎となる EC2 や ALB の設定を自分で直接カスタマイズすることが可能です。 - 内部でCloudFormation を利用している
GuardDuty
- DDoS攻撃を除くさまざまなネットワークへの不正アクセスを自動的に検出し、緩和することが可能
- AWS WAFでもDDOSを防ぐ設定が可能
Amazon Cognito
- あなたのWebアプリやモバイルアプリに、ログイン機能(認証・認可)を簡単に組み込むためのマネージドサービス
- モバイルアプリ
- 認証(ログイン)」「承認(アクセス制御)」「ユーザー管理」
- ユーザーの名簿を作るのが『ユーザープール』
- ログインした人にS3などの操作を許すのが『IDプール』です。
Athena
S3のデータに対して直接クエリを実行するデータ分析サービス
AWS IoT Core
- スマートホーム: 各家庭のエアコン(デバイス)が温度データを送信。IoT Core がそれを受け取り、DynamoDBに履歴を保存しつつ、ユーザーのスマホアプリへプッシュ通知を送る。
- 車両管理: トラックのGPSデータを送信。IoT Core が Kinesis Data Streams へ流し、リアルタイムでルート最適化の分析を行う
AWS PrivateLink
- サードバーティ、SaaSとの連携
- インターネットを経由せず、AWSの専用ネットワーク(バックボーン)だけを通って、異なるVPCやAWSサービス同士を安全に繋ぐ技術
- 自分のVPC内で実行されているかのように、SaaS製品にプライベートにアクセスすることが可能です。
ROA(ルートオリジン認証)
- IPアドレスが正当であることを示す電子署名付きのデータです。
Fargate
- 定期ジョブを実行できる
- サーバを意識しない
AWS Transit Gateway
- マルチキャスト
Transit Gateway が登場する前は、VPC 同士を繋ぐために VPC ピアリング を使っていました。しかし、VPC ピアリングには「ネットワークが増えると管理が爆発的に大変になる」という弱点がありました。
- ピアリングの問題点: ピアリングは「1対1」の接続しかできないため、10個の VPC を互いに繋ぐには 45 本の接続設定が必要です(網目状の複雑な構造)。また、A→B→C という「踏み台(推移的ルーティング)」ができない制限もありました。
- Transit Gateway の解決策: すべての VPC を Transit Gateway という「ハブ」に繋ぐだけで、すべての通信が中央経由で可能になります(スター型のシンプルな構造)。
AWS DataSync
- オンプレミスのストレージや他のクラウド、AWS内のストレージサービス間で、数TB(テラバイト)?数PB(ペタバイト)規模のデータを移動させる際に使用します。
- AWS Direct Connectを通じて使用できる
- オンプレミスのサーバーにAWS DataSyncエージェントをインストール
- 転送先
- S3
- EFS
- FSx for Windows File Server、FSx for Lustre、またはFSx for OpenZFS
Amazon Polly
- オウムの意味
- テキスト→音声生成
Amazon Transcribe
音声→テキスト
P11リダクション機能:個人情報の削除(Personally Identifiable Information)
Amazon Lex (Alexa)
- 自然言語処理技術を活用
- AIチャットボットや音声認識システム
- 会話型、対話型
Amazon Comprehend
- 感情分析
- キーフレーズ、傾向など分析
- Comprehend Medical :医学用語や医療情報を理解することに特化した、AI(自然言語処理)サービス
- Amazon Comprehend PII (個人情報検出)
Amazon Textract
- OCR (PDFから文字起こし)
- AIを活用
Rekognition
- 画像識別
SageMaker
- 機械学習
- Canvas:ノーコードでフローを作りながら、機械学習モデルが構築できる
- Studio:ユーザーが独自に機械学習モデルをコーディングでる
- 以前はAmazon Forecastだったが廃止された
NAT
- NATインスタンス EC2インスタンス上でNATソフトウェアを使用する 非推奨
- NATゲートウェイ フルマネージド、IPv4用
- IPv6の場合は、Egress Onlyインターネットゲートウェイ が同じ機能
ElastiCache
- Redis 永続データ、多機能、高機能
クラスターモードで、パーティショニングができる - Memcached シンプル・純粋なキャッシュ、永続できない
Macie (メイシー)
- 機械学習とパターンマッチングを使用して、S3内の機密データを自動的に検出、分類、保護するデータセキュリティサービス
- 結果はEventBridge、SNSへ
データ共有
AWS Transfer Family (for SFTP)
- SFTPなどを用いてストレージサービス間でファイルを送受信できるフルマネージド型の転送サービス
- SFTPクライアントを通じてウェブコンテンツをアップロードする
DataZone
- データのポータルサイト
- 別企業とデータ共有
- 他アカウントのアクセスを承認する。
- 公開データや商用データの販売・配布
Data Exchange
-
不特定多数のユーザ間
-
マーケットプレイスからデータを購入できる
このサービスには「データ提供者」と「データ利用者」の2つの側面があります。
-
データ利用者(企業・研究者など):
分析や機械学習に必要な外部データ(金融市場データ、気象情報、位置情報、人口統計など)を探している人。 -
データ提供者(ロイター、Foursquareなど):
自社が保有する有用なデータを販売、あるいは無償公開して、広く使ってもらいたい組織。
-
データ利用者(企業・研究者など):
Lake Formation
-
特定のパートナーとのプライベートな分析依頼
-
Data Exchangeと連携して、外部とのデータ共有ができる
-
カタログを作るにはGlueと連携する
従来、Amazon S3 を中心としたデータレイクを構築するには、データのロード、カタログ化、パーティション設定、
そして複雑な権限管理(IAM や S3 バケットポリシー)を個別に設定する必要があり、数ヶ月かかることも珍しくありませんでした。
Lake Formation はこれらを簡略化し、数日で安全なデータレイクを構築できるようにします。
-
S3(構造化されていないデータ)」と「RDS(構造化されたデータ)」に分散しているデータを統合して分析する場合に使う
-
詳細なアクセス管理ができる(テーブル単位・カラム単位)
AppSync
- GraphQLには、「Subscription(サブスクリプション)」 という機能が標準で備わっています。
- リアルタイム更新の自動化: 誰かが投票(Mutation)を行うと、その結果をリスニングしている全ユーザーの画面に対して、AppSyncが WebSocket を通じて自動的に更新データをプッシュします。
サーバーレスの容易さ: 自分で WebSocket サーバー(Socket.ioなど)を立てて管理する膨大な労力が一切不要になります。
AWS SchemaConversionTool
- オンプレミスの Oracle を AWS の Amazon Aurora (PostgreSQL) に作り変えたい
Migration Hub
- さまざまな移行関連サービスの進捗を統合的に管理
AWS Database Migration Service(DMS)
- データベースを稼働させたまま、安全かつ簡単にAWSへ移行するためのマネージドサービス
- フルロード移行タスクで、データ移行できる
- 同じ種類のDB同士(MySQL → MySQLなど)はもちろん、異なる種類のDB間(Oracle → PostgreSQLなど)の移行も強力にサポートします。
- DBからDBへの移行だけでなく、以下のような構成も可能です。
- DB → S3 / Redshift: 分析基盤へのデータ集約。
- S3 → DB: ファイル形式のデータをデータベースへ取り込み
Application Migration Service
- オンプレミスの物理サーバーや仮想マシン、他のクラウド上のワークロードを、ブロックレベルのデータレプリケーションによりAWSクラウドへスムーズに移行するためのマネージドサービス
Migration Hub Orchestrator
- 大規模エンタープライズアプリの移行
AutoScalingにおけるヘルスチェックのタイプ
- EC2タイプ:EC2のステータス
- ELBタイプ:ELBのヘルスチェック
Amazon Fraud (不正)Detector
- 「不正検知」に特化したフルマネージド型のAIサービス**です。
- 最大の特徴は、**「Amazon.com が20年以上にわたって培ってきた不正対策のノウハウ」**を、機械学習の専門知識がなくても自社のシステムに組み込める点にあります。
- Flaud:不正
AWS Organizations
- 組織全員にサービスコントロールポリシー(SCP)を付与する
- 特定のユーザーにIAMポリシーを付与する。
- 両方ある権限だけが有効
- SCPのデフォルトはフルアクセス
- IAM Identity Center(旧AWS SSO)を統合できる
- SAML2.0フェデレーション:異なるシステム間で「本人確認情報」をやり取りする言語。
- ADフェデレーション:自社ADのIDを外部で使えるようにする連携形態。
IAMアイデンティティセンター
- 社員や開発者が、複数のAWSアカウントやSaaSアプリへ1回のログインで安全にアクセスできるようにする管理センター
- Okta、Microsoft Entra ID (Azure AD)、Google Workspace などを使っている場合、それらと連携できます。会社のPCにログインする時のパスワードで、そのままAWSにも入れるようになります。
AWS Security Hub
- AWS Foundational Security Best Practices (FSBP)に基づくスキャン
AWS Control Tower
- 組織全体の証跡とリソース変更履歴をログアーカイブアカウントへ集約。
- Account Factoryを通じて作成すると新規アカウントも適用
AWS Firewall Manager
- 組織全体のセキュリティルールを一元管理し、強制適用するための『統制ツール』
- AWS WAF: 全リージョンの全 ALB や API Gateway に共通の防御ルールを適用。
- AWS Network Firewall: VPC 間の境界に設置するファイアウォール設定を一括管理。
- Amazon VPC セキュリティグループ: 「不要なポート(例:22番)を全サーバーで禁止する」といった統制。
- AWS Shield Advanced: DDoS 保護の適用を全リソースで一貫させる。
- Amazon Route 53 DNS Firewall: 組織全体で悪意のあるドメインへのクエリをブロック
- 非準拠リソースの検知と自動修復
CloudFormation
- 実行するのに必要な権限
- CloudFormationの実行権限
- 展開されるリソースに対する権限
- 1つめの内容を、2つめのクラスターから参照したい場合
-
Outputsセクションで、S3バケット名をExport -
Fn::ImportValueを使用して、先ほどエクスポートした名前を呼び出します。
-
- アプリはできない
AWS SAM(Serverless Application Model)
- サーバーレスに特化した AWS CloudFormation の拡張版
- Serverless Framework (SLS):オープンソース
- パッケージしたものをS3に保存する
- AWS::Serverless Transform :バージョンを指定
Snowball Edge
- ストレージ最適化 :200TB
- コンピューティング最適化 :ネット環境のない場所で計算処理を行いたい時に使用する
- CloudFormation
変更セット (Change Sets):実行前に、何が起きるかを確認するためのプレビュー機能
スタックセット (StackSets:数のAWSアカウントやリージョンへ、一括でデプロイするための機能
Amazon FSx for Windows
- Windows用 プロトコル:SMB、AD連携可能
- ※EFSはLinux専用 :プロトコル:NFS
- Amazon FSxファイルゲートウェイ:オンプレからAWSのwindowsファイルサーバアクセスさせる
AWS Step Functions
- 複数のAWSサービスを組み合わせて、一つの大きな仕事の流れ(ワークフロー)を作る
- SWFは非推奨
OpenSearch Service
- 膨大なデータの中から、目的の情報を一瞬で見つけ出す『検索エンジン』と、データを可視化する『分析ツール』をセットで提供するフルマネージドサービス
- PDFの文字起こし
- フレーズ検索
ベクトルストレージ機能
-
類似性検索ができるデータベース
-
テキスト、画像、音声などのデータを「ベクトル(数値の配列)」として保存し、それらの「意味の近さ」で検索できる
-
従来のデータベースが「完全一致(名前が同じか)」で検索するのに対し、ベクトルストレージは「内容が似ているか」で検索します。
-
Amazon OpenSearch Service
- ベクトル埋め込みデータを書き込むようにアプリケーションを設定することができます。
- OpenSearch Serviceは、さまざまなユースケースに最適化された、ベクトル埋め込みを格納および検索するための複数のオプションを提供しています。
-
Amazon S3 Vectors
- およそ1秒以内のベクトル検索機能をネイティブでサポートするAWSサービスです。
- Amazon S3の簡単さ、耐久性、可用性、コスト効率性に、ネイティブのベクトル検索機能を組み合わせて利用可能です。
- ユーザーはベクトル埋め込みを直接S3バケットに保存して検索できるようになります。
-
Amazon DocumentDB
- ドキュメント内のフィールドに埋め込みモデルを使用してベクトルを生成し、ソースデータをDocumentDB内に保存します。
- ベクトルフィールドにベクトルインデックスを作成することで、類似のベクトルを取得しやすくなります。
- これにより、セマンティック検索を使用してDocumentDBデータベースを検索することが可能になります。
-
Neptune ML
- Amazon Neptune が提供する GNN モデルの学習と推論に特化した機能です。
- 機械学習のマネージドサービスである Amazon SageMaker と統合されており、さらに GNN モデルの構築に用いられる Python ライブラリである Deep Graph Library が内部で利用されています。
- この機能を使用しても、ベクトル埋め込みデータの書き込みは実現できません。
Storage Gateway
-
ファイルゲートウェイ (S3 File Gateway)
オンプレミスのサーバーから、S3バケットを**「ネットワーク共有フォルダ」**のように見せるタイプです。
- プロトコル: NFS または SMB(Windowsのファイル共有と同じ)。
-
データの保存形式: S3に**「オブジェクト」**としてそのまま保存されます。
- ここが最大の特徴で、ゲートウェイ経由でアップロードしたファイルを、AWS上の他のサービス(AthenaやLambdaなど)から直接「ファイル」として利用できます。
-
主な用途:
- オンプレミスのファイルサーバーのクラウド拡張。
- S3への直接的なデータ移行やバックアップ
-
ボリュームゲートウェイ (Volume Gateway)
- 「仮想的なハードディスク(ボリューム)」**を提供するタイプ
- 保管型 :プライマリはオンプレローカル
- キャッシュ型 :プライマリはS3
- 「仮想的なハードディスク(ボリューム)」**を提供するタイプ
-
テープゲートウェイ
- 仮想テープライブラリ(VTL)
- S3とGalacier にデータをバックアップ
AWS Service Catalog
- AWS 上の『社内専用 IT ショップ』のようなものです。管理者が安全な商品のラインナップ(分析セット)を揃え、各店舗はそこから選んで使うだけ。
- これにより、シャドーITや不適切なリソース利用を未然に防ぐことができます
App mesh
- マイクロサービス間の通信を、コードを書き換えることなく管理・監視・制御するための専用ツール(サービスメッシュ)
- 証明書を利用した通信が可能
-
「Envoy(エンヴォイ)」 という軽量なプロキシ(中継役)を利用する点です。
- サイドカー方式: アプリケーションのコンテナの「すぐ隣」に Envoy プロキシを配置します。
- 通信の乗っ取り: アプリからの通信はすべて一度この Envoy を通ります。Envoy は App Mesh(管理画面)からの指示に従って、通信をリトライしたり、別のバージョンに振り分けたりします。
AWS Batch
- EC2をバッチジョブのコンピューティングリソースとして設定できるため、
- Windowsパッチジョブ処理のためにEC2インスタンスのWindowsサーバーを起動して、バッチジョブを構成することができます。
- ユーザーはジョブ定義とジョブキューを設定するだけで、インフラ管理やスケーリングが自動的に実行されます
AWS ParallelCluster
- ハイパフォーマンスコンピューティング(HPC)クラスターをデプロイおよび管理するためのオープンソースのクラスター管理ツールです。]
- EC2 HPCコンピューティング環境を構築し、デプロイ・管理
Elastic Fabric Adapter
AI、機械学習 (ML) 、HPC)を高速化するために EC2にアタッチできるネットワークデバイスです
ケース
- ACM期限切れ
- EventBridgeで検出し、SNSトピック通知
- 直接リンクを防ぐ
- WAFのReffer
- 署名付きURL
- CPUリソースにアクセスしたい
- ECSのfargateではなく、EC2起動タイプ
- AWS Global Accelerator:リージョン間の負荷バランス
- 世界中からアクセスがある場合
- ALB(NLB,EC2,IPアドレス)に設定する
- 標準:AWSにお任せ
- カスタム:カスタム設定ができる
- オンプレADとの連携
- IAM Identity Centerを設定する必要がある
- Directory Service
- AD Connector
- AWSにアカウントを持たす、オンプレADへ認証を転送するだけ
- ユーザー認証リクエストを既存のADに転送し、AWSリソースへのアクセスに既存のADアカウントを利用できます。
- AWS Managed Microsoft AD
- AWS上でフルマネージド型の Microsoft Active Directory を提供する
- 自律性とパフォーマンス
- LDAPのサポート
- ※単にマネジメントコンソールにログインしたいだけなら AD Connector で十分
- AWS上で Windows サーバーを本格的に運用したり、回線障害に強い堅牢なハイブリッド環境を作りたいなら、AWS Managed Microsoft AD
- AWS上でフルマネージド型の Microsoft Active Directory を提供する
- Simple AD(SAMBA)
- 安価
- AWSクラウド上にMicrosoft ADの機能サブセットを実装。既存のオンプレミスAD環境は不要。AWS内に独立したユーザー管理基盤を構築したい場合に適しています
- AD Connector
トピック
-
ネットワークACL:ステートレス、インバウンド、アウトバウンド両方必要。
-
セキュリティグループ:ステートフル。インバウンドがあれば、アウトバウンドの許可は必要ない
-
エファメル=短命な、はかない)割り当てられる送信元ポート番号
-
アクティブ/アクティブ(イテンシ―などのルーティング):プライマリ、セカンダリ両方にふる。障害が発生したリソースにはふらない
アクティブ/パッシブ(フェイルオーバールーティング ):プライマリだけにふる。プライマリ障害時にセカンダリにふる -
セキュリティグループ
- デフォルト
- インバウンド:全て拒否
- アウトバウンド:全て許可
- デフォルト
-
パブリックサブネット
- ルートテーブル:インターネットゲートウェイ (IGW) へのルートがある
- パブリックIPアドレスを持っている。
-
プライベートサブネット
- ルートテーブル:インターネットゲートウェイ (IGW) へのルートがない
- プライベートIPアドレスのみ
-
特定の国からのアクセスを防ぎたい
- 地理的な一致条件に基づいてトラフィックをブロックするルールを持つAWS WAFのウェブACLを作成して、ALBに関連付ける。
-
S3を監査されるが、中身は見せたくない
- KMS暗号化
-
ネットワークACL:ルール番号の低いほうから適用される
-
Kubernetes
-
Node(ノード)
コンテナが実際に動く**サーバー(マシン)**のことです。AWSでは、主に「EC2インスタンス」がこれに当たります。先ほどお話しした通り、Fargateを使う場合は「サーバーレスなノード」となります。 -
Cluster(クラスター)
複数のノードを束ねた集合体全体を指します。1つの大きな「システム基盤」と考えると分かりやすいです。Amazon EKSは、このクラスターを簡単に作れるサービスです。 -
Pod(ポッド)
Kubernetesにおける最小の実行単位です。1つ以上のコンテナ(Dockerなど)が入った「さや」のようなものです。K8sではコンテナを直接操作せず、このPod単位で動かしたり消したりします -
Deployment(デプロイメント)
Podを「どのように動かすか」という**設計図(宣言)**です。「Podを常に3つ起動しておいてね」といった指示を出し、もし1つ壊れても自動で新しいPodを立ち上げて維持してくれます(セルフヒーリング)。 -
Control Plane(コントロールプレーン)
クラスター全体を管理する**「司令塔」**です。どのノードにどのPodを配置するかを決めたり、システムの状態を監視したりします。EKSでは、この難しい司令塔の管理をAWSが代行してくれます。 -
kubectl(キューブコントロール)
Kubernetesを操作するためのコマンドラインツールです。エンジニアはこのコマンドを使って、「Podを増やせ」「設定を変えろ」という指示を司令塔に送ります。 - StorageClassでEFSをマウントする
- Pod内にデータを保存できない
- Karpenter
- ノードレベルの柔軟なスケーラー(旧:Cluster Autoscaler)
- Horizontal Pod Autoscaler(水平pod自動スケーリング)
- Podの数(レプリカ数)を自動的に増減
- Vertical Pod Autoscale(垂直スケーリング)
- CPU/メモリを調整
- 1台のEC2インスタンスの上には、複数のPodを相乗り
- ノードを増やす→Ec2の数が増える
- podを増やす → Ec2に余裕があれば、podの配置を変える
-
Node(ノード)
-
ACM証明書を適用できるサービス
- ALB,NLB
- Cloud front
- APIGateway
- Cognito
- ACMで発行した証明書は、ELBやCloudFrontなどの『AWSのマネージドサービス』にしかインストールできず、EC2などのオリジンサーバー(OS内部)には直接インストールできない
- その場合、サードパーティー製の証明書を使う
-
動画配信
-
amazon IVS (Interactive Video Service)
- Twitch を支える超低遅延なライブ配信技術
- AWS Elemental MediaLive
- TV 放送やインターネット接続機器に配信するための高品質なストリームを作成する放送局レベルのライブビデオ処理サービス
-
amazon IVS (Interactive Video Service)
-
セッション管理
- dynamoDB
- ElastiCaxhe for Redis
-
kinesis系 比較
| サービス名 | 役割(ひとことで) | データの処理内容 | 難易度と柔軟性 |
|---|---|---|---|
| Kinesis Data Streams (KDS) | 「貯水池・ハブ」 | そのまま蓄積(計算はしない) | 高(開発が必要) |
| Kinesis Data Firehose (KDF) | 「配送トラック」 | 形式変換(JSON→Parquet等) | 低(設定のみ) |
| Managed Service for Apache Flink | 「浄水・加工工場」 | 複雑なリアルタイム計算・分析 | 中〜高(SQLやJava) |