LoginSignup
3
0

More than 1 year has passed since last update.

@oh_yeah_sayryo

AWS学習まとめ(AWS Cloud Practitioner)

Last updated at Posted at 2022-02-20

AWSの認定資格一覧
スクリーンショット 2022-02-01 11.37.24.png

基礎コースの AWS Cloud Practitioner
ワードの意味、役割、特徴をまとめた。

なお、Practitioner Essentialsコースの最終認定試験と
AWS主催のPractitioner対策試験講座の内容も織り込み済み。
個人的なアウトプットとしてまとめており、試験勉強の参考程度と認識してほしい。
模擬試験:この問題だけで合格可能!AWS 認定クラウドプラクティショナー 模擬試験問題集(8回分520問)

先日合格してきた

AWS実務経験なし、ITパス・基本情報の資格なし
勉強期間:1ヶ月半
勉強時間:30H程度
公式無料動画・模擬試験 20時間
udemy問題集 25時間
上記45時間の内15時間くらいは、この記事へのアウトプットに使ったと思う。
おおよその目安は30時間。暇な人なら1週間で合格も十分可能だと思われる。

試験難易度の体感
1割わからない
2割自信ない(50〜80%)
7割わかる
なお、合格ラインは7割で8割で合格した

1.AWSサービスの紹介

AWSのサービス製品

(ここは覚える必要はない)

  • 人工知能
  • ロボット開発
  • ストレージ
  • ネットワークセキュリティ
  • 機械学習
  • ブロックチェーン
  • 映像制作
  • 軌道衛星
  • コンピューティング

現在全てのコンピューティングはクライアントサーバ型。
コンピューティングにおいてクライアントはwebブラウザやアプリのこと。
クライアントがリクエストし、サーバが応える。
ここでいうサーバは、AWSでは仮想サーバの一種であるAmazon Elastic Cloud Compute(EC2)を指す。

オンプレでは容量を3倍に増やすにはその後のコストが気になる。
AWSは容量の増減はボタンひとつ。従量課金制で使った分だけ払う。

※アーキテクチャ:ソフトウェアの基本的な設計概念
※トランザクション:一連のやりとり
※オンプレミス:自社内やデータセンターでユーザ自身で管理運用↔️クラウド:ネットワーク経由

クラウドコンピューティング

クラウドコンピューティング:従量課金制によるインターネット経由でのITリソースのオンデマンド配信

クラウドとは、
ネット経由で
容量を自由に使い
使った分だけ払う

※オンデマンド:要求に応じて提供する形態

クラウドコンピューティングの3つのデプロイモデル

  • クラウドベースのデプロイ

    • 完全クラウドベースでアプリケーションを作れる。
    • アプリケーションの全てをクラウド上で実行する
    • 既存のアプリケーションをクラウドに移行する
    • 新しいアプリケーションをクラウド上で設計及び構築する

  • オンプレミスデプロイ(プライベートクラウドデプロイ)

    • オンプレのアプリに技術やツールを組み込む。
    • 仮想化ツールとリソース管理ツールを使用して、リソースをデプロイする
    • アプリケーション管理と仮想化技術を使用して、リソースの使用率を上げる

  • ハイブリッドデプロイ

    • レガシーアプリをオンプレ運用のままクラウド上のサービスを使う。
    • クラウドベースのリソースをオンプレミスのインフラストラクチャに接続する
    • クラウドベースのリソースを従来の IT アプリケーション と統合する

クラウドコンピューティングの利点

  • 先行支出を変動支出に切り替える
    • 初期費用負担がない
  • データセンターの維持管理費が不要
    • インフラ/サーバ管理に多大な費用/時間が必要だったがクラウドは管理タスク負担低い
  • キャパシティーの予測が不要
    • 需要に合わせスケールイン/アウトできる
  • 圧倒的なスケールメリット
    • 大多数のユーザーが使用するリソースがクラウドに集約されるため、高いスケールメリットを享受できる。よって課金額を安く抑えられる。
  • スピード俊敏性を向上
    • 開発/デプロイが簡単になる
  • 数分でグローバルに展開
    • AWSはグローバル規模のサービスで、低レイテンシーで各国に提供/利用できる

※インフラストラクテャ:インフラ
※スケールメリット:規模のメリット
※イノベーション:革新。変革。新しい捉え方や切り口など幅広い意味あい。
※レイテンシー:遅延

2.クラウドでのコンピューティング(EC2)

オンプレでのサーバ準備

  • ハードウェア購入の先行投資
  • サーバが届くのを待つ
  • サーバを物理センターに設置する
  • サイト公開の設定

上記に対し
Amazon Elastic Compute Cloud (Amazon EC2)
通称EC2はEC2インスタンスとしてAWSクラウドで提供するサーバの準備は容易。

  • EC2インスタンスは数分以内にプロビジョニング、作成できる。
  • ワークロードの実行が完了したら、使用停止できる。
  • インスタンスは起動時のみ料金が発生する(停止/終了は料金発生しない)

※プロビジョニング:設定。提供(ITではインフラをセットアップするプロセスを意味する)
※ワークロード:仕事量

Amazon EC2 インスタンスタイプ

一つの店舗でも様々専門職に特化した従業員がいるように、
インスタンスもタスクに合わせた物をチョイスできる。
インスタンスファミリーには以下のタイプがある。

  • 汎用インスタンス
    • 一般的なアプリに最適。
    • メモリ/ネットワークのリソースをバランスよく提供。
  • コンピューティング最適化
    • 負荷の高いサーバーに最適。
  • メモリ最適化インスタンス
    • 大規模DB、高パフォーマンスDBに最適。
  • 高速コンピューティングインスタンス
    • ハードウェアアクセラレーターやコアプロセッサーでデータ処理を高速化。
    • グラフィックやストリーミングアプリに最適。
  • ストレージ最適化インスタンス
    • 大規模なデータに対する読み取りや書き込みする、高頻度のアンライントランザクション処理システム、分散ファイルシステム、データウェアハウジングアプリに最適。

※ハードウェアアクセラレーター:データ処理を高速化するコンポーネント
※コンポーネント:部品、構成要素。
※コアプロセッサー:CPUコア
※データウェアハウス:データ分析向けに設計されており、大量のデータを読み取り、データ全体で関係や傾向を把握できる。データサイエンティスト等が分析アプリを通してアクセスしたりする。

EC2の料金

料金プラン

  • オンデマンド
    • 初期費用なし。
    • 使用時間秒単位で料金発生。
    • 中断できない不規則・短期なワークに最適。
    • 1年以上のワークには非推奨。
  • Savings Plans
    • 1・3年契約で1時間単位で料金発生。
    • オンデマンドの最大72%オフ節約可能。
    • 契約期間中の1時間あたりの使用量を決めることでオンデマンドより安価。超えた分はオンデマンド価格。
  • リザーブドインスタンス
    • 使用量が予測可能・一定のワーク向け。
    • 全額や一部前払いが可能。1・3年契約でンデマンドの最大75%オフ節約可能
    • Savings Plansと違い使用量を決める必要がない。
  • スポットインスタンス
    • オンデマンドの最大90%オフで利用できる。
    • 中断できる、一時的に利用するワーク向け。
    • 空いているサーバを安く利用する需要と供給で成り立つ。
  • Dedicated Hosts
    • 物理サーバー
    • 他のユーザに利用されない。
    • 最も高価

EC2のスケーリング

オンプレでは利用平均値に合わせハードウェアを購入した場合、繁忙期に耐えられない。
逆に繁忙期に合わせたら、利用率が下がってコストが嵩む。
オンプレでこの問題を解決するのは難しいが、EC2なら対応ができる。

スケーラビリティ

スケーラビリティによって需要に応じて自動的にスケールイン/アウトするアーキテクチャを設計できる。
そのサービスがAmazon EC2 Auto Scaling

※アーキテクチャ:構造

Amazon EC2 Auto Scaling

ウェブにアクセスしてタイムアウトが発生するのはインスタンスが足りていない可能性がある。
Amazon EC2 Auto Scalingを利用すると自動でEC2インスタンスを作成削除する。
その中で2種類のスケーリング方法が用意されている。

  • 動的スケーリング(変化する需要に対応)
  • 予測スケーリング(予測された数を用意)

Auto Scaling グループを設定する際、インスタンスの最小数は1になり、
最大値を設定しておくことも可能。
レジ担当は最大5人、厨房は最大10人のようにグループごとに設定できる。

Elastic Load Balancing を使用してトラフィックを転送する

Elastic Load Balancing(ELB)は、アプリへのトラフィックをEC2インスタンスなどに自動的に分散する。
ELBはリージョンごとに1つ設定できる。
ELBでインスタンスのスケーリングによるトラフィックの偏りを分散できる。
(中でもHTTPS通信を利用するWEBアプリケーションにはALBを基本的に利用する)

アクセス(トラフィック)→ELB(分散)→インスタンス(サーバ)

※ロードバランサー:負荷分散
※リージョン:地域。日本なら東京リージョンしかなかったような気がする。

メッセージングとキューイング

レジで受けた注文を紙ベースでバリスタに毎回渡していた場合、
バリスタが忙しいと注文が停止してしまう。
紙ベースではなく注文受付中のモニターを介すようなバッファを設けることで、
お互いの作業が停止しない。
このように保留を行うことをメッセージング/キューイングという。

アプリ→アプリ:この構成を密結合アーキテクチャ(カスケード障害が起きる)
アプリ→中継(キュー)→アプリ:疎結合アーキテクチャ(後者アプリが死んでも前者は動ける)

※バッファ:余裕(ITでは空きメモリとか)
※カスケード障害:1つの部品の障害がシステム全体に影響を及ぼすこと

モノリシックアプリケーションとマイクロサービス

アプリケーションは複数のコンポーネントで構成されている。
DB・サーバ・UI・ビジネスロジックなどが蜜結合したものを
モノリシックアプリケーションという。

逆にマイクロサービスにアプローチすることで疎結合し、互いの障害の影響を防げる。
AWSではAmazon Simple Notification Service (Amazon SNS) と Amazon Simple Queue Service (Amazon SQS) の 2 つのサービスによって、疎結合を用意に実現できる。

レジ注文→メッセージ→キュー→バリスタ(→メッセージで完了通知)

※マイクロサービス:開発技法の1つでアプリを小分けし独立させる。

Amazon Simple Notification Service (Amazon SNS)

メッセージを発行するサービス。
メッセージに保存されたデータはペイロードと呼ばれ、配信されるまで保持する。
メッセージをユーザに送信することで注文受付/完了といった通知をすることもできる。
サブスクで異なるトピックのニュースを配信することにも使える。
Amazon SNSにおいてサブスクライバーは人ではなく、Webやメール、AWS Lambda関数となる。(システム観点での配信先のこと?)

Amazon Simple Queue Service (Amazon SQS)

AWSが提供するキューサービス。
SQSキューは処理されるまでメッセージを保存する場所

その他のコンピューティングサービス

AWSは複数のサーバーレスコンピュティングを提供している。
サーバーレスとは基盤となるインフラを意識しないということ。

サーバーレスコンピューティング

EC2の場合の操作手順
・インスタンス(仮想サーバ)をプロビジョニングする
・コードをアップする
・アプリ実行中、インスタンスを管理し続ける

これに対し、サーバーレスはプロビジョニング/管理が必要なくコードをアップするだけ。
もう1つの利点は自動的にスケールもされる。
EC2インスタンスを管理したくない場合はAWS Lambdaを使う。

AWS Lambda

AWS LambdaとはAWSが提供すサーバーレスサービスの1つ。
使用時間に対してのみ課金される。
ラムダは15分以内で完了する処理である必要があるため、ディープラーニングには向かない。

コードUP→ラムダ関数(=UP内容)にトリガーするようコード設定→トリガー実行(15分以内)

ラムダを使わないサーバーレス

サーバーレスの導入で移植や効率性が気になる場合は、ECSとEKSが使える。
プロジェクトをコンテナ化すれば、この2つでコンテナ管理を行うことができ、
AWS Fargateでサーバーレスにできる。

コンテナ

コンテナは、アプリのコードや依存関係を1つのオブジェクトにパッケージ化する技術。
Docker は、アプリケーションをすばやく構築、テスト、デプロイできるソフトウェアプラットフォーム。

Amazon Elastic Container Service (Amazon ECS)

Amazon Elastic Container Service (Amazon ECS) は、スケーラビリティとパフォーマンスに優れたコンテナ管理システム。
コンテナ化されたアプリを AWS で実行およびスケールできる。
Docker コンテナをサポートしている。
ECS では、API コールを使用して Docker コンテナを起動および停止できる。

Amazon Elastic Kubernetes Service (Amazon EKS)

コンテナ管理システム。
AWS で Kubernetes を実行できるフルマネージドサービス。

AWS Fargate

AWS Fargate は、コンテナ向けのサーバーレスエンジン。
Amazon ECS と Amazon EKS の両方で利用できる。

3.グローバルインフラストラクチャと信頼性

グローバルインフラストラクチャ

データセンターに災害が起こった場合、
バックアップを取る対応しかしていないので災害が発生しないことを祈るしかない。
AWSは世界中の各リージョンで動かすことができる。一部で災害が発生してもサービスを停止させる必要はないし、ハードウェア故障コストもない。
デフォではリージョン間でデータは受け付けないため、事前に承認するリージョンを選択しておく必要がある。
選択には以下4つの要素を考慮する。

  • データガバナンスとコンプライアンス
  • 特定の国で実行する/保管しないといけない。
  • 近接性
  • レイテンシーを考慮しユーザと近いリージョンを選択する。
  • リージョン内で利用可能なサービスか
  • 新サービスだと未対応の場合がある。
  • 料金
  • 米国とブラジルをを比較した時、電気代で50%高くなる可能性がある.

アベイラビリティーゾーン(AZ)

リージョン内では1つのデータセンター、またはデータセンターグループで構成されている。
リージョン内は互いに数十キロ離れている。
このリージョンのグループをアベイラビリティーゾーンという。
つまり、リージョンは2つ以上のアベイラビリティーゾーンで構成されている。
AWS グローバルインフラストラクチャの完全に分離された部分でもある。

-リージョン
  l-リージョンa(アベイラビリティーゾーン)
  l-データセンター
  l-リージョンb(アベイラビリティーゾーン)
  l-データセンターグループ
  l-リージョンc(アベイラビリティーゾーン)
  l-データセンター

同じリージョン内のため低レイテンシーを実現できる。リージョンの一部で災害が発生してもゾーン内の他のデータセンターが保険になる。AWSはゾーンで2つ以上での利用を推奨。

障害に備えて、アプリを複数のアベイラビリティーゾーンにデプロイすることは、耐障害性と可用性に優れたアーキテクチャを構築するうえで重要な要素。

AWSの基本はマルチAZ構成(複数AZ構成)でこれにより高い可用性を実現している。

※可用性:システム障害で停止しないこと。稼働率。

エッジロケーション(Point Of Presents)

お客様の近くにリージョンがない場合
各地のエッジロケーションにリージョンからプッシュできる。
エッジロケーションは、Amazon CloudFront(CDNの一種) で、コンテンツのキャッシュされたコピーをお客様の近くに保存するために使用する場所。これにより、リージョンと離れてても低レンテンシーが実現できる。

リージョン→キャッシュ→**エッジロケーション(でAmazon CloudFrontを使用)**→ユーザ

Amazon CloudFront:コンテンツ(html/js/css)配信サービス。APIリクエストとレスポンスの低レイテンシーと高速転送を実現する。データ転送アウト(エッジロケーションから転送されたデータの量)とリクエストとトラフィック分散に基づいて料金が決まる。

Amazon Route 53

Amazon Route 53はDNSの一種でエッジロケーションで実行される
ユーザ↔️エッジロケーションの安定した低レンテンシーを実現する。

AWS Outpost

AWS Outpostはミニリージョンとして十分に機能があり、自社の建物内で使いたい、エッジロケーションを使わない人向けのサービス。(ハイブリッドクラウド(オンプレ)アプローチのインフラ運用サービス)

※DNS:ドメインネームサービス
※CDN:コンテンツデリバリーネットワーク

AWSリソースをプロビジョニングする方法

AWSのサービスはAPIで操作できる

方法①手動ツール

AWS のサービスを操作する方法

APIへ送信したりリソースを操作できる準備された主なツール
操作が簡単順

  • AWSマネジメントコンソール(ブラウザ、UIで操作)
    • ヒューマンエラーのリスクがある
    • 学習用に丁度良い
  • AWSコマンドラインインターフェース(CLI)
    • コマンドでAPIをコールする
    • AWSマネジメントコンソール内容をスクリプト化できる
    • (初期設定でアクセスキーを使用する。)
  • AWSソフトウェア開発キット(SDK)
    • プログラム言語でAWSを操作できる

方法②自動化サービス

AWS Elastic Beanstalk

EC2のプロビジョニングに便利なサービス。
コードと設定情報を提供することで必要なリソースが自動デプロイされる。
よって全ての要素をプロビジョニングする必要はなくなる。
環境は保存されるため、簡単迅速に再度デプロイできる。

以下のようなタスクに必要なリソースが自動デプロイされる。
・キャパシティーの調整
・負荷分散
・自動スケーリング
・アプリケーションの状態モニタリング

AWS CloudFormation

インフラをコードとして扱えるサービス。EC2以外でも使える。
AWS マネジメントコンソールを使用する代わりにコード記述で環境構築できる。
以下のようなリソースをサポートしている。
・ストレージ
・データベース
・分析
・機械学習
リソース定義をテンプレート化(CloudFormationテンプレート)し異なるリージョンにデプロイできる。完全自動化なのでヒューマンエラーリスクが低い。
エラーが出たら自動でロールバックされる。

4.ネットワーク

AWSへの接続

Amazon Virtual Private Cloud (Amazon VPC)

何百万ものお客様がいるとする。EC2インスタンスなどの数百万のリソースが作成されたとする。こうしたすべてのリソースに対する境界がなければ、リソース間でネットワークを流れるトラフィックが制限なく発生してしまう。 この境界を確立するためのサービスが、Amazon Virtual Private Cloud (Amazon VPC) 。
複数のVPCを利用することで異なるプロジェクト間で、リソースとネットワーク構成を分離できる。

VPCではパブリックな一般向けの入口と社内向けのプライベートな入口を設置できる。

インターネットゲートウェイ

インターネットからパブリックトラフィックをVPCに渡すには
インターネットゲートウェイをVPCにアタッチする。
つまり、入口を作らないと誰も入れない(アクセスできない)。
スクリーンショット 2022-02-05 16.26.45.png
※アタッチ:取り付ける。
※サブネット:VPC内のIPアドレスの集合、VPCの一部かつEC2を配置できる場所。
・店に置き換える例(EC2を従業員とする)
サブネット:レジカウンター
VPC:店の外壁。
インターネットゲートウェイ:店の玄関口。

仮想プライベートゲートウェイ(VGW)

VPC 内のプライベートリソースにアクセスするには、仮想プライベートゲートウェイを使用する。
インターネットトラフィックを暗号化するVPN接続で承認された接続を受け付ける。
スクリーンショット 2022-02-05 16.46.08.png
※VPN:仮想プライベートネットワーク

AWS Direct Connect

インターネットゲートウェイも仮想プライベートゲートウェイも同じ回線(帯域幅)のため、渋滞が生じるリスクがある。AWS Direct Connectでは専用の完全プライベート接続で低レンテンシーを実現できる。近くの提供されたルーターを利用し物理接続を行う。
スクリーンショット 2022-02-05 17.02.09.png

サブネットとネットワークアクセスコントロールリスト

AWSには様々なセキュリティ対策がある。
・ネットワーク強化
・アプリケーションセキュリティ
・ユーザーアンデンティティ
・認証と認可
・分散型サービス妨害(DDoS)攻撃の防御
・データの生合成
・暗号化

以下よりVPCにおけるネットワーク強化の側面を解説する。

サブネット

VPCでパブリックとプライベートを設定できたように、サブネットでも設定できる。
パブリックサブネットではレジ受付のように誰でも一般に利用できるリソースが含まれる。
プライベートサブネットは注文履歴や個人情報を扱うリソース(DB)等が含まれる。

⭕️インターネットゲートウェイ(IGW)→パブリサブ→プラベサブ

❌インターネットゲートウェイ(IGW)→プラベサブ

ネットワークアクセスコントロールリスト (ACL)

サブネット自身にもネットワークアクセスコントロールリスト (ACL)というアクセスチェックがあり、リクエストで飛んできたパケットがアクセス許可リストにあるかチェックしている。

VPCを設定する際、デフォルトACLのデフォ設定は全アクセス許可、
カスタムACLを作成した場合のデフォ設定は全アクセス拒否になっている。

※パケット:ネットまたはネットワークを介して送信されるデータの単位。

セキュリティグループ

ACLはサブネットの出入りしか管理しておらず、サブネット内のEC2インスタンスは管理していない。
個々のEC2インスタンスにはセキュリティグループを設けてパケットをチェックする必要がある。
デフォルトではEC2インスタンスのセキュリティグループは全てのポートをブロックする。(確か8080とかアクセスできるように設定した記憶ある・・)

ステート(フル/レス)パケットフィルタリング

セキュリティグループはステートフルなので、通過(許可)したパケットを記録し2度目以降は確認しないが、ACLはステートレスで、記録せず毎回チェックを行う。

インスタンスのパケット移動
EC2インスタンスA→セキュリティグループ→サブネットA→(Aの)ACL
→(Bの)ACL→サブネットB→セキュリティグループ→インスタンスB

パケットがインスタンスBからAへ戻るときはセキュリティグループのチェックはない。

グローバルネットワーク

ドメインネームシステム (DNS)

DNS は、インターネットで電話帳と同じ役割を果たす。DNS 解決は、ドメイン名を IP アドレスに変換するプロセス。文字列のアドレスする→DNSサーバーがウェブサーバーにアドレスを問い合わせし数値(IPアドレス)に変換→本来のサーバーに送信している。

Amazon Route 53

Amazon Route 53 は DNSウェブサービス。
リクエストをインフラストラクチャ (EC2インスタンスやロードバランサーなど) に接続する。
また、AWS外のインフラストラクチャにルーティングすることもできる。
Webサーバーのヘルスチェックに基づいた正常・非正常の監視に利用でき、正常なエンドポイントにルーティングできる。

もう一つの機能として、ドメイン名のDNSレコードを管理できる。ユーザーは、新しいドメイン名をRoute53に直接登録できる。また、他のドメインレジストラで管理されている既存のドメイン名のDNSレコードを転送することもでき、よって、すべてのドメイン名を1か所で管理できるようになる。

エッジロケーションの説明で安定した低レンテンシーを実現する為に
Amazon Route 53を実装していると上で話したが以下はその図
スクリーンショット 2022-02-05 18.59.29.png

Amazon Route 53でIPを割り出しクライアントに返してから送信される。

5.ストレージとデータベース

インスタンスストアと Amazon Elastic Block Store (Amazon EBS)

インスタンスストア

EC2インスタンスを作成するとインスタンスストレージボリュームというローカルストレージが作成される。AWSホストに物理的にアタッチされている。その上でEC2インスタンスが作成され、通常のハードディスクのように書き込みできる。注意点は直接アタッチされているため、EC2インスタンスを削除すると同じく書き込みデータも削除される。ホストが変わることがある状況に対応するための仕様。主に一時データの保存に使う。

Amazon Elastic Block Store (Amazon EBS)

EBSサービスを利用するとEBSストレージボリュームが提供される。
これはAWSホストにはアタッチされないため、EC2インスタンスが停止削除されてもデータの使用が可能(デフォは同時に削除される)。(EC2にネットワーク経由でアタッチする)
EBSボリュームはサイズ・タイプ・設定を選択できる。
ボリュームのプロビショニングが完了したらEC2インスタンスにアタッチできる。
EBSではバックアップの役割もあり、増分バックアップをEBSスナップショットとして保存できる。
全てを毎回バックアップしているのではなく、変更分のみをスナップショットとしてバックアップデータに追加している。

いずれもブロックレベルのストレージなのでブロック上の変更データのみが上書きされ円滑に動作する。

※スナップショット:バックアップ

Amazon Simple Storage Service (Amazon S3)

オブジェクトストレージ

オブジェクトストレージの各オブジェクトは、データ、メタデータ、キーで構成される。
データ:画像、動画、テキスト等のファイル。
メタデー:データの種類、使用方法、オブジェクトサイズなどの情報。
キー:一意の識別子

ブロックストレージ内のファイルを変更すると、変更した部分のみが更新される。オブジェクトストレージ内のファイルを変更すると、オブジェクト全体が更新される

Amazon S3

S3のサービスはテキストや動画の保存に適している。
・データはオブジェクとして保存される。
・ディレクトリではなくバケットに保存される。
・ストレージは無制限でオブジェクトの最大サイズは5TB
・オブジェクトをバージョン管理できる。
・99.999999999%(イレブンナイン)の耐久性を誇る。
・99.99%の可用性
・クロスリージョンレプリケーションをサポートする。別リージョンにも複製を送信できる。
・設定せずにデフォで自動スケーリングする(EC2、ECS、RDS等は設定が必要)
・オブジェクトURL(オブジェクトに紐づいたURL)から保存したデータのダウンロードも可能にする。

S3 にアップ時、そのファイルの可視性とアクセス許可を設定できる。
S3 のバージョニング機能を使用して、オブジェクトの経時的な変更を追跡することもできる。

※経時的:時間の経過に伴うこと。

Amazon S3 ストレージクラス

S3では実際に使用した分だけ料金発生。
様々なストレージクラスから選択できる。
以下の2つを考慮して選択する。
・データの取得頻度
・データの可用性の要件

ストレージクラス

  • S3標準
    • 高頻度アクセス向け。
    • 最低3つのアベイラビリティゾーンにデータ保存。
  • S3標準-低頻度アクセス(S3標準-IA)
    • 低頻度アクセス向け。
    • S3標準より、ストレージが低料金、取り出しが高料金。
  • S3 1ゾーン-低頻度アクセス(S3 1ゾーン-IA)
    • 1つのアベイラビリティゾーンにデータを保存。
    • S3標準-IAよりもストレージ低料金。
    • ※1ゾーンの為、コスト節約/データ復元が簡単な場合に最適。
  • S3 Intelligent-Tierring
    • アクセスパターンが不明、変化するデータに最適(S3標準とS3標準-IAを自動切替
    • オブジェクトごとに月単位のモニタリングとオートメーション料が必要。
  • S3 Glacier
    • データアーカイブ用の低コストストレージ
    • 数分〜数時間以内にオブジェクトを取得可能。
  • S3 Glacier Deep Archive
    • 最も低コストのオブジェクトストレージで、アーカイブに最適。
    • 12時間以内にオブジェクトを取得可能。

EBSとE3の比較

EBS E3
コスト ○EBSより低コスト
データ更新 ブロックレベル。大容量ファイルでも一部更新で済む オブジェクトレベル。全体更新の為、低頻度アクセス向け
サーバーレス EC2必要 ○EC2必要無し
リスク ○ゾーン共有で安心

※EBSの利点が少なく見えるが、複雑や小規模大量の更新は最適。

Amazon Elastic File System (Amazon EFS)

EFSは共有ファイルシステム
共有ファイルサーバーは従来オンプレで管理されており、
容量が決まっている。
EFSは、

  • スケーリングとレプリケーションをAWSに任せられる。
  • 必要に応じてスケールアップ/ダウンができる(自動)。
  • 複数のインスタンスから同時にアクセスできる。
  • リージョンレベルのLinuxファイルシステム
  • クラウドとオンプレ両方で利用できる。

※レプリケーション:レプリカ(複製)すること。

ファイルストレージ

ファイルストレージは、ファイルパスを使って複数クライアントが同時にアクセス可能。

Amazon EBS と Amazon EFS の比較

1 EBS EFS
アクセスレベル アタッチしたインスタンス ○複数インスタンス
リソースレベル アベイラビリティーゾーン ○リージョン
スケーリング 手動 ○自動

・EFSはリージョナルサービス(リージョンレベル)なので複数ゾーンに保存される。
・リソースレベル内に保存するので、レベル内からじゃないとアクセスできない。
・よって、EBSは同一ゾーン内にEC2とEBSが存在しないとアタッチできない。

※ボリューム:リソースの一種。ハードウェア容量。

Amazon Relational Database Service (Amazon RDS)

リレーショナルデータベース(RDBMS)

リレーショナルデータベースはデータ同士を関連付けて保存操作できる。
SQLを利用してテーブルを結合して確認できる。

Amazon Relational Database Service

RDSはAWSのRDBMS。
Lift&Shiftという移行方法でオンプレDBも扱える。
サポートDBエンジン
・Amazon Aurora
・PostgreSQL
・MySQL
・MariaDB
・Oracle データベース
・Microsoft SQL Server

RDSに備わっている機能

  • 自動パッチ適用
  • 自動バックアップ
    • デフォの保存先はS3
  • 冗長性
  • フェイルオーバー
    • 障害時にレプリケートしたサーバに切替
    • 自動的な高可用性(リカバリ機能)
  • 災害対策
  • マルチAZに対応しており(設定必要)障害時にリードレプリカをDBインスタンスに昇格できる。(時間を要するのでフェイルオーバーには使えない)(※Auroraの場合はプライマリーインスタンスへ昇格可能)
  • 高いスケーラビリティ
    • リージョンにリードレプリカを作成できる。

RDSのプライマリDBが応答しないときにマルチAZ機能による、自動フェールオーバーを行う。
マルチAZ DBインスタンスをプロビジョニングすることで、RDSが異なるAZにデータを複製(レプリケート)している。

※リードレプリカ:読み込み用DBサーバ。処理の高速化と負荷分散すのメリットがある。

Amazon Aurora

Amazon Aurora(オーロラ)にデプロイ/移行するとさらに簡単に構築できる。
Auroraは、エンタープライズ規模のリレーショナルデータベース。以下2つのRDBMSと互換性があり、標準より機能が高い。不必要な入出力 (I/O) オペレーションを減らすことでコストを減らしつつ可用性を確保。

Auroraの特徴

  • PostgreSQL
    • 標準の最大3倍の速度
  • MySQL
    • 標準の最大5倍の速度
  • コストは商用の1/10
  • (デフォで)自動バックアップ
  • データレプリケーション
    • ゾーン間でデータを6つレプリケートする
    • データをS3に継続的にバックアップする
    • リードレプリカを最大15個作成し読み取り負荷低減
  • ポイントインタイムリカバリ
    • 特定の機関からデータ復旧可能

Amazon DynamoDB

非リレーショナルデータベース

非リレーショナルデータベースは、行と列以外の構造を使用してデータを整理する。
NoSQL DBとも呼ばれる。
構造的の 1 つとして、キーバリューペアがある。(FirebaseのJsonで保存するRealtimeDBと同じ感じ。)

キー バリュー
1 名前:あ
住所:A
2 名前:い
住所:B

Amazon DynamoDB

Amazon DynamoDBは非リレーショナルデータベース。
サーバーレスDBなのでDB管理が必要ない。
いつでも項目内の属性追加削除できる。
複雑なsqlクエリは使えない分RDSより高速。

Amazon DynamoDBの特徴

  • NoSQL
    • キーバリュー
  • 数ミリ秒台の応答時間
    • 大規模なスループット機能
    • きめ細かいAPIアクセス
  • フルマネージド型
  • 自動バックアップ(デフォはオフ)
  • 高いスケーラビリティ(自動スケーリング)
    • ペタバイト規模のポテンシャル
    • 数万人がアクセスするアプリのセッションデータ処理
    • デフォルトでAWSリージョンの3つの施設にデータを複製し、マルチAZ構成(フォールトトレランス)に対応。

※スループット:単位時間あたりの処理できるデータ量。

Amazon Redshift

Amazon Redshiftはビッグデータ分析に使用するデータウェアハウンジングサービス
業務システムデータなどのBIシステムやデータウェアハウスとして利用可能なリレーショナルデータベースサービス。
フルマネージド型でペタバイト規模の データウェアハウス を構築する。
運用分析ではなく履歴分析に特化している。
高いスケーラビリティ。
ビッグデータに対して単一のSQLクエリを処理できる。

AWS Database Migration Service

AWS Database Migration Service (AWS DMS)

DMSはDB移行システム。
オンプレやクラウドからAWSに簡単に移行できる。
移行中も通常通り運用できる。

例:
オンプレミス、またはEC2インスタンス、RDSに保存されている MySQL DBがある。そのDBをソースデータベースとし、DMSを使用して、Auroraなどのターゲットデータベースにデータを移行できる。

その他のデータベース

  • Amazon DocumentDB
    • MongoDBをサポートするドキュメントサービス
  • Amazon Neptune
    • グラフデータベースサービス
    • レコメンデーションエンジン、不正検出、ナレッジグラフ等を使うアプリを構築して実行できる
  • Amazon Quantum Leger Database(QLDB)
    • 台帳データベースサービス
    • 如何なるデータも削除できないイミュータブルな記録
  • Amazon Managed Blockchain
    • ブロックチェーンで中央機関を介さずトランザクションを実行しデータ共有する分散台帳システム
  • Amazon ElastiCashe
    • キャッシュレイヤーを追加しリクエストの読み込み時間を高速化する
  • Amazon DynamoDB Accelerator(DAX)
    • DynamoDBのインメモリキャッシュ
    • 非リレーショナルDBの応答を飛躍的に向上

※イミュータブル:オブジェクト作成後、変更できないこと
※ミュータブル:オブジェクト作成後も変更できること
※インメモリキャッシュ:DBの手前でキャッシュを保存するメモリ。例:ROMストレージへアクセスせず、より高速であるRAMを使うように処理速度が向上する。

6.セキュリティ

責任共有モデル

セキュリティの最終責任はお客様とAWS両方にある。
AWS環境は単一のオブジェクトではない。
クラウドはAWS、クラウド内はお客様の責任となる。この概念を共有責任モデルという。

  • AWSは土地や家(物理的なセキュリティとインフラ)
  • お客様は家具や鍵(セキュリティ設定と暗号化)

image.png

ユーザーのアクセス許可とアクセス権

AWS Identity and Access Management (IAM)

IAMはAWSサービスのリソース/サービスのアクセス管理を行う。
デフォルトでは全くアクセス権限がない。
最小権限の原則に従い、特定のタスクを実行するために必要なアクセス許可のみを付与することを推奨。

AWS アカウントのルートユーザー

AWS アカウントを初めて作成するときに、ルートユーザーと呼ばれるアイデンティティが設定される。
ルートユーザーは、アカウントにおけるすべての AWS のサービスとリソースにアクセスできる。

日常タスクではルートユーザーを使用せず、IAMユーザーを作成して使う。
ルートユーザーのアクセスキーがある場合は削除し、AWSリソースへの無制限なアクセスから保護する。

IAMユーザー

IAM(アイアム)ユーザーは、AWS内に作成するIDで、AWSのサービス/リソースを操作するユーザーやアプリを表す。これは、名前と認証情報で構成される。
デフォルトではアクセス許可が何もない。S3やEC2を扱うにはアクセス許可を付与する。
一人に対し1IAMユーザーの割り当てを推奨。
アクセスキーIDとシークレットアクセスキーを紐付けリソースアクセス時の署名に利用する。

IAMポリシー

IAMユーザーに許可/拒否アクションを記述したjsonをIAMポリシーとしてアタッチできる。
IAMグループ・ユーザー・ロールで利用されるドキュメント。

IAMグループ

IAMユーザーの集まり。
IAMポリシーを複数に割り当てたいときに作成する。

IAM ロール

一時的なアクセス権限を付与する。
一時的なアクセスや複数回役割が変わる場合、IAMロールを使用する。
役割毎にロールを作成し、アタッチするロールを切り替えられる。

多要素認証(MFA)

ルートユーザーとIAMユーザーに多要素認証を設定できる

AWS Orgnizitions

AWS Orgnizitionsで、全てのAWSアカウントを一元的に管理できる。
OUと個別垢にアタッチできる。

  • 一括請求(コンソリデーディットビリング)
  • 使用量が多いほど割引があるサービスなどが適用されやすくなる。
  • アカウントのグループ化が可能になる
  • 開発者垢を開発者OUへグループ化とか
  • OU配下はOUにアタッチしたポリシーを継承する
  • AWSサービス/APIアクションのアクセス管理
  • サービスコントロールポリシー(SCP)を利用すれば各垢のアクセス範囲を管理できる。

※OU(Organizational Unit):組織単位

コンプライアンス

AWS Artifact

AWS Artifactは、AWSのセキュリティ/コンプライアンスレポート、契約を提供するサービス。

主要なセクション

  • AWS Artifact Agreements
    • 個別のアカウントと AWS Organizations のすべてのアカウントにおいて契約の確認、受諾、管理を行うことができる。
  • AWS Artifact Reports
    • AWSのセキュリティ制御の証拠として提示することができる。

カスタマーコンプライアンスセンター

AWS コンプライアンスの詳細を確認することに役立つ。

  • コンプライアンスに関する重要な質問に対する AWS の回答
  • AWS リスクとコンプライアンスの概要
  • セキュリティ監査チェックリスト

サービス妨害攻撃

  • AWS Shield
    • DDoS攻撃から保護するサービスを2つ提供している。
    • AWS Shield Standardは、一般的なDDoS攻撃から無料/自動的に保護する
    • AWS Shield Advancedは、高度なDDoS攻撃を有料で検出/緩和する

その他セキュリティサービス

  • AWS Key Management Service (AWS KMS)
    • 暗号化キーの作成、管理、使用を行える
    • 様々なサービス/アプリでの 暗号化キーの使用を制御できる。
  • AWS WAF
    • リクエストをモニタリングするウェブアプリケーションファイアウォール
    • ACLを使用してAWSリソースを保護する
  • Amazon Inspector
    • 自動化セキュリティ評価で、アプリのセキュリティとコンプライアンスを改善する
    • 脆弱性のあるバージョン検出等も行う
    • 事前に定義されたテンプレ―トに基づいて、EC2インスタンスを分析し、脆弱性をチェックする。
  • Amazon GuardDuty
    • AWSインフラ/リソースの脅威を機械学習等を利用し検出する。
    • AWS環境内のネットワークとアカウントアクティビティの継続的モニタリングで脅威を特定する

※Inspector:監察。監査役。

7.モニタリングと分析

Amazon CloudWatch

Amazon CloudWatch は、様々なメトリクスをモニタリングおよび管理し、それらのデータに基づいてアラームを設定できるウェブサービス。

利点

  • 取得メトリクスの可視化
  • メトリクスベースのアラーム

2種類のメトリクス

  • 標準メトリクス(EC2の場合)
  • CPU平均使用率等の取得
  • カスタムメトリクス
  • OS内でないと取得できないときに使用
  • 例:メモリ使用率

※モニタリング:監視。メトリクスの収集
※メトリクス:数値データ。リソースに関連づけられた変数。

CloudWatch アラーム

CloudWatchで定義したメトリクス値を超えた場合、自動実行するアラームを作成できる。
例えば、CPU使用率を設定し、EC2の停止漏れアラームを作成できる。

CloudWatch ダッシュボード

EC2インスタンスのCPU 使用率、S3 バケットに対して行われたリクエストの合計数などをモニタリングできる。

AWS CloudTrail

AWS CloudTrailは、API コールを記録する。
リクエストや行の追加アクション、誰が操作したか全て記録される。
CloudTrailで、ログを残すことで運用等に活用できる。

CloudTrail Insights

CloudTrail では、CloudTrail Insights を有効にすることもで、異常なユーザーアクティビティ/APIを自動的に検出(通知)できる。
例えば、通常よりもEC2インスタンスが大量に作成された場合など。

AWS Trusted Advisor

Trusted Advisor は、AWS環境を検査し、AWSのベストプラクティスに基づいてリアルタイムの推奨を提供するウェブサービス。まさにアドバイザー。
S3バケットのセキュリティー確認とルートユーザーのMFA認証のチェックを推奨する。

5つのカテゴリチェックを提供する

  • コスト
    • 削除して、コストを削減できる可能性がある未使用のまたはアイドル状態のリソースを見つける
  • パフォーマンス
    • 使用状況や設定を分析する
  • セキュリティ
    • アクセス許可を確認したり、有効にする AWS セキュリティ機能を特定
  • 耐障害性
    • アプリの可用性と冗長性を向上
  • サービス制限
    • 意図しない支出から保護、80%を超過すると通知

image.png
緑の四角は問題なし
黄色の三角は調査の推奨
赤い丸は推奨アクション

8.料金とサポート

AWS無料利用枠

次の3種類のオファーが用意されている。

  • 無期限無料
  • 12ヶ月間無料
  • トライアル

AWSの料金の概念

  • 使用分のみ課金される
  • 予約して支払いを削減する
  • 使用量が増えるほど、ボリュームディスカウントにより支払い料金が少なくなる

AWS料金計算ツール

見積もり作成ができ共有できる。

請求ダッシュボード

AWS の請求書の支払いを行ったり、使用量をモニタリングしたり、コストを分析、管理したりできる。

  • 当月の今日現在の残高と前月を比較したり、現在の使用量に基づいて翌月の予測を入手したりする
  • 今月の初めから現在までのサービス別利用料を確認する
  • サービス別の無料利用枠の使用状況を確認する
  • Cost Explorer にアクセスして予算を作成する
  • Savings Plans の購入や管理を行う
  • AWS のコストと使用状況レポートを発行する

一括請求(コンソリデーティッドビリング)

AWS Organizations では、一括請求 (コンソリデーティッドビリング) ができる。

  • 請求書をまとめられる
  • 複数の垢をまとめた使用量にすると割引を受けれたりする

AWS Budgets

AWS Budgets では、予算を作成してサービスの使用量、サービスのコスト、インスタンスの予約を計画できる。定義使用量を超えた場合アラームを受け取れる。

AWS Cost Exploer

時間の経過に伴う AWS のコストと使用量を可視化して把握し、管理できるツール。

AWSサポートプラン

以下4つのサポートプランが用意されている。
AWSの全ての人へ無料提供されるベーシックプランに加え、
デベロッパー、ビジネス、エンタープライズの3つ有料プランを追加できる。
3つとも月間利用料がかかる。

  • ベーシック
    • 無料
  • デベロッパー
    • 24時間対応メール
    • 12時間以内の障害対応
    • 4時間以内の本番障害対応
    • 1時間以内の本番システムダウン対応
  • ビジネス
    • 上記全てのサポート
    • AWS Trusted Advisorの全チェック機能
    • 電話・チャットの問い合わせ
    • 30分以内にビジネスクリティカルなシステムダウン対応
  • エンタープライズ
    • 上記全てのサポート
    • 15分以内にビジネスクリティカルなシステムダウン対応
    • 専属テクニカルアカウントマネージャー、コンシェルジュ(請求)サポート

テクニカルアカウントマネージャー (TAM)

エンタープライズサポートプランでは、テクニカルアカウントマネージャー (TAM) によるサポートを受けることができる。
TAM が AWS の主要な窓口になり、アプリケーションの計画、デプロイ、最適化に関するガイダンスやアーキテクチャのレビューを提供し、お客様と継続的に連絡をとる。

AWS Marketplace

デジタルカタログ。AWS Marketplace を使用すると、AWS で実行するソフトを見つけて試したり、購入したりできる。色々入ったパッケージを売り買いできる

9.移行とイノベーション

AWS Cloud Adoption Framework(AWS CAF)

Cloud Adoption Frameworkは移行する為の6つの主要なパースペクティブをまとめたガイダンス。
各パースペクティブは、個別の責任に対応する。
計画プロセスは、組織の適切な担当者が事前に変更に備えるのに役立つ。

  • ビジネスパースペクティブ
    • ビジネス戦略と IT 戦略が別々になるモデルから、IT 戦略を組み込むビジネスモデルに移行する
  • 人員パースペクティブ
    • クラウドベースのコンピテンシーを追加して組織のプロセスとスタッフのスキルを新しくすることで、チームでクラウド導入の準備を整える
  • ガバナンスパースペクティブ
    • 必要なスタッフのスキルと組織のプロセスを新しくする方法を理解する
  • プラットフォームパースペクティブ
  • セキュリティの側面
  • オペレーションパースペクティブ
    • アジャイルベストプラクティスを使用してクラウド内で運用する
    • ビジネス要件を満たすワークロード

※アジャイルベストプラクティス:ビジネス要件を満たすワークロード。問題について深く考え・思い込みに疑問をなげ・状況を改善する為実験や検証を元に調整・インクリメンタルかつイテレーティブに進めること。

※ガイダンス:案内。指導。手引き。
※インクリメンタル:増加
※イテレーティブ:反復

移行戦略

移行時に導入できる最も一般的な 6 つの戦略

  • リホスト
    • "Lift & Shift" とも呼ばれる。
    • 変更せずにアプリケーションを移行する。
  • リプラットフォーム
    • 「リフト、ティンカー(手直し)、シフト」とも呼ばれる
    • リホストに手直しを加える
  • リファクタリング/アーキテクチャの再設計
    • クラウドネイティブの機能を使用してアプリのアーキテクチャの設計開発方法を作り直すなど
  • 再購入(Repurchase)
    • 古いライセンスを切って、新しいライセンスを取得や、他への乗り換えなど
  • 保持(Retain)
    • 必要なアプリを移行せず保持や、移行の延期
  • リタイア
    • 不要になったアプリケーションを削除するプロセス

AWS Snowファミリー

AWS Snow ファミリーは、エクサバイト規模までのデータをAWSとの間で物理的に転送できる物理デバイス。
シンプルかつ低コスト、セキュア。

Snowファミリーの3つのデバイス(容量の少ない順)

  • AWS Snowcone
    • 8TBのストレージ
  • AWS Snowball
    • 以下2種類のデバイスがある
    • Snowball Edge Storage Optimized
      -大規模なデータ移行と定期的な転送向け
      -80TBのストレージ
    • Snowball Edge Compute Optimized
      -機械学習/フルモーション動画分析/ローカルコンピューティングスタックなどのユースケース向け
      -42TBのストレージ
  • AWS Snowmobile
  • 大容量データ、エクサバイト規模を転送できる
  • 100PBのストレージ

Snowballというのもあるが現在は非推奨かつ古い。
SnowballよりSnowball Edgeが推奨されている。

AWSでのイノベーション

クラウドジャーニーを続ける上で将来予測される経路

  • サーバーレスアプリケーション
    • AWS Lambda等
  • 人工知能
    • Amazon Transcribe で音声をテキストに変換
    • Amazon Comprehend でテキストのパターンを検出
    • Amazon Fraud Detector で不正の可能性があるオンラインアクティビティを特定
    • Amazon Lex で音声およびテキストチャットボットを構築
    • Amazon Rekognition 画像分析と動画分析で顔認証も可能にする
  • 機械学習(ML)開発ツール
    • Amazon SageMaker で従来のMLより簡単に機械学習モデルを構築/トレーニング/デプロイできる

※クラウドジャーニー:クラウド化への継続的な取り組み。

10.クラウドジャーニー

AWS Well-Architectedフレームワーク

AWS Well-Architected フレームワークは、信頼性、安全性、効率が高く、コスト効率に優れたシステムを設計し、AWS クラウドで運用する方法を理解するのに役立ちます。また、このフレームワークは、ベストプラクティスに照らしてアーキテクチャを評価し、原則を設計し、改善すべき分野を特定する一貫した方法を提供する。
Well-Architected フレームワークは以下の5つの柱に基づく。

  • 運用上の優秀性
    • ワークロードを効果的に実行し、運用の知見を得る
  • セキュリティ
  • 信頼性
    • 正確で一貫したワークロード
  • パフォーマンス効率
    • リソースの効率よく利用しシステム要件を満たし、需要/技術の変化に応じた効率性の維持
  • コスト最適化
    • 安価にシステム実行し、ビジネス価値を実現
  • 持続性(サステナビリティ。2021年に追加された)

AWSクラウドの利点

クラウドコンピューティングの利点6つ

  • 先行支出を変動支出に切り替える
  • 圧倒的なスケールメリットを享受できる
  • キャパシティーの予測が不要になる
  • スピードと俊敏性が向上する
  • データセンターの維持管理にかかる費用が不要になる
  • 数分で世界中にデプロイできる

補足

image.png
image.png

EC2はアンマネージドなのでユーザー側がバックアップやパッチ適用する必要がある。

ほとんどはAZ上に配置されるがリージョンに設置できる代表的なサービスは以下2つ。
・S3
・Dynamo DB

ともにデフォでマルチAZ構成になっている。
(ElastiCache・RDSにマルチAZ適用は設定が必要。EBSに関してはそもそもゾーンレベルリソースなのでマルチAZ対応していない。)
つまり、リージョン内(=AZ間)で自動的にデータが複製される。

キーペア(秘密鍵と公開鍵)

EC2インスタンスにPC端末から接続する際に必要なもの

AMI

EC2インスタンスのイメージを取得して、そのイメージから新しいインスタンスを作成できる機能。
別リージョンへのコピーも可能。
アタッチされていたEBSも同時にコピーされ、同時に作成される。(インスタンスストアは不可)

EMR

ビッグデータセットのデータ処理とデータ分析を実行するために利用するべき最適なサービス
※応用:主なユースケース
・MACHINE LEARNING
・抽出、変換、読み込み (ETL)
・クリックストリーム分析
・リアルタイムストリーミング
・インタラクティブ分析
・ゲノミクス

Athena

S3内データをSQLクエリによって、最も簡易に分析することができるサービス

AWS Config

AWSリソース構成に関するガバナンス、コンプライアンス、およびリスク監査するサービス
(Amazon Inspector は自動化されたセキュリティ評価サービスで、AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上するサービス)

Amazon CloudWatch Logs

EC2インスタンスなどのログのモニタリングに役立つサービス
EC2インスタンス、CloudTrail、Route 53、およびその他のソースのログファイルを監視、保存、アクセスが可能。
(CloudTrail はAWS アカウントに関して監査を行う。取得するログはユーザーアクティビティに関するものであり、EC2のログ取得はできない。)

AWS Pricing Calculator

簡易見積もりツールはAWS Pricing Calculatorに移行された。
選択問題でこの2つがあればAWS Pricing Calculatorを優先する。

AWSプロフェッショナルサービス

ユーザーがAWSを利用したクラウド移転などにおいて目標となるビジネス成果を達成するのために利用可能なAWS公式の支援プログラム。
(AWS TAM(Technical Account Manager)はAWSを導入している企業や個人に対して、効率良く運用するため技術的視点でサポートを行うAWSの専門家で、トラブルや問い合わせなどの支援をする。)

AWS Storage Gateway

オンプレミスのデータセンターにあるストレージを拡張して、データのバックアップに使用できる費用対効果の高いAWSサービス。

WaveLength

WaveLengthゾーンは5G通信を提供する通信プロパイダのロケーションをAWS用に接続した特別なゾーン。

AWS OpsWorks

Chef/Puppetのマネージド型インスタンスを利用した構成管理サービス。ChefやPuppetは、コードを使用してサーバーの構成を自動化するためのオートメーションプラットフォーム。Puppetを使用してEC2インスタンスの構成方法を自動化することができる。

AWS Global Accelerator

世界中のユーザーに対して地理的に近いエンドポイントにアプリケーションのトラフィックを高速に処理するサービス。
(Amazon S3 Transfer Acceleration はS3 との間で高速データ転送を実現するための、バケットレベルの機能)

AWS Network Firewall

VPC経由のネットワークトラフィックに対してファイアーウォールや侵入防止システムを提供するサービス。

AWS CodeCommit

ライブラリなどのアプリケーションリソースをアプリケーションコードと供に保存できるサービス。
Gitリポジトリを簡単にホストできる。

AWS Security Token Service (AWS STS)

IAMロール等で利用される、AWSリソースに対して一時的な認証情報を提供する機能。
例:IAMユーザーにポリシーをアタッチ→CLI/SDKでSTSを利用し一時認証キー発行

Amazon Elastic Container Registry (ECR)

DockerコンテナイメージをAWSクラウドに保存するサービス。
(Dockerについて:管理はECS・EKS、サーバーはFargateを使う)

Amazon Lightsail

コンテナ/クラウドリソースを予測可能な低価格で簡単に管理できる仮想プライベートサーバー (VPS)サービス 。

AWS Systems Manager

統一されたユーザーインターフェイスを介して複数のAWSサービスからの運用向けデータを表示して、運用上の問題を検出し運用タスク(パッチ更新削除デプロイなど)を自動化することができるサービス。

AWS CodePipeline

継続的デリバリーサービスで、素早く確実性のあるアプリとインフラをデプロイ・更新するパイプラインを設定する。

Amazon EC2 Image Builder

イメージの作成/テスト/メンテなどを自動化するパイプラインを作成する。

Amazon Cognito

ウェブ/モバイルアプリにサインアップ/イン機能とアクセスコントロール機能を追加できる。
Facebook、Amazon、Google などでのログインを可能にする。

補足(応用レベル)

上記全て記憶・理解できていればおそらく合格基準の70%に達する。
以下は、難問対策で安定的な合格を目指す為。
実際に10%程度は応用レベルの知識が必要だった。

AWS re:Post

AWSユーザーが技術的な障害を取り除いて、イノベーションを加速するためのコミュニティ型の質問応答サービス

AWS IQ

AWS上のプロジェクトにおけるAWS認定サードパーティーエキスパートの利用を支援するサービス

OpsCenter

運用担当者が自分の環境に関連する運用上の問題を一元的に表示、調査、および解決できる場所を提供する Systems Manager の機能の1つ。

AWSフォーラム

AWSの専用サイトで質問を投稿して回答を確認することができるフォーラム(廃止予定。AWS re:Postの利用を推奨)

AWSナレッジセンター

お客様から寄せられる質問/要望を紹介しており、過去の質問/要望を確認できる。

タグエディタ

タグはAWS リソースを特定し、整理するのに使用できるメタデータ。
コンソールからタグ追加できるが、一度にタグを追加したり、編集/削除するには、タグエディタを使用する。

AWS リソースネーム (ARN)

AWS リソースを一意に識別する識別子

AWS リソースグループ

多数のリソース上のタスクを一度に管理および自動化できるサービス。
デフォルトのAWSマネジメントコンソールはAWSサービスごとに整理されているが、リソースグループを使用すると、プロジェクトと使用するリソースに基づいて情報を整理および統合するカスタムコンソールを作成でき、リソースをグループとして管理できる。

タグポリシー

組織のアカウント内のリソース間でタグを標準化することができるポリシー。タグアタッチの条件付与。

AWS インフラストラクチャイベント管理

重要な時期(イベント)にガイダンスやリアルタイムのサポートを受けることができる。
AWS エキスパートがイベントの計画に関わり、運用等のサポートを提供する。

AWS Managed Service(AWS)

AWS上の移行・運用などの利用にむけた支援を受けれるサービス

クラウドセキュリティ7つの設計原則

  • 強力なアイデンティティ基盤の実装
  • トレーサビリティの実現
  • 全レイヤーへのセキュリティの適用
  • セキュリティのベストプラクティスの自動化
  • 伝送中および保管中のデータの保護
  • データに人の手を入れない
  • セキュリティイベントへの備え

AWS Service Catalog

AWS での使用が承認された IT サービスのカタログを作成および管理してガバナンスを強化するサービス

AWS AppConfig

C2インスタンス、AWS LambdaやECSなどにホストされているアプリケーションに対して、動的に設定変更をデプロイすることができる運用自動化のサービス。
AWS Systems Manager の機能の 1 つ。

AWS Control Tower

事前設定された安全なAWS環境であるランディングゾーンを自動で設定するサービス。
マルチアカウントのセキュリティを統制を可能にする。

様々なロードバランサー

  • Gateway Load Balancer(GLB)
    • セキュリティ、コンプライアンス、およびポリシー制御を向上させる。
  • Network Load Balancer(NLB)
    • 高性能なロードバランサーです。毎秒数百万のリクエストを処理できる。
  • Classis Load Balancer(CLB)
    • EC2インスタンス間でのシンプルなトラフィックの負荷分散をする。古いタイプで現在あまり利用されない。
  • Application Load Balancer(ALB)
    • アプリケーションレイヤーで機能する

Amazon API Gateway

数回クリックするだけで、簡単に API の作成、配布、保守、監視、保護が行えるフルマネージドなサービス

Amazon MQ

業界標準API/プロトコルを利用してクラウド内のメッセージブローカーを利用できる。

AWS CodeArtifact

ソフトを安全に保存、公開、共有を容易にする。

AWS Managed Microsoft Active Directory (AD)

ディレクトリ対応型ワークロードと AWS リソースがAWS 内のマネージド型 Active Directory (AD) を使用することを可能にする。

AWS Storage Gatewayのタイプ

AWS Storage GatewayはオンプレストレージをS3に連携す拡張するサービスで
主に以下3種類のゲートウェイがある。

  • テープゲートウェイ
    • クラウドベースの仮想テープストレージを提供。
    • オンプレ→AWS移行でS3利用(のバックアップ)時にこのテープを選択すればバックアップ保存しておける。
  • ボリュームゲートウェイ
    • ストレージの提供。
    • S3と連携しオンプレストレージを拡張する。
  • ファイルゲートウェイ
    • ファイルサーバーの共有
    • バックアップの提供

スケーリング

水平スケーリング

  • スケールアウト/イン
    • サーバー台数の増減

垂直スケーリング

  • スケールアップ/ダウン
    • メモリ/CPUの増減

AWS Budgets

AWSBudgets はリザーブドインスタンス (RI) / Savings Plans の集計使用率とカバレッジメトリクスをモニタリングできる。

AWS Billing alarm

請求設定した値に達した場合にメールなどでアラートする設定。

AWS CloudHSM

暗号化キーのコンプライアンス対応として利用するもの

AWS Audit Manager

AWSリソース の使用状況を継続的に監査して、リスクとコンプライアンスの評価方法を簡素化するサービス。
監査に利用する証拠収集を自動化し、クラウドでの監査機能を拡張。
ポリシー、手順、活動 (コントロール) が効果的に機能しているかを簡単に評価できる。

Amazon Quantum Ledger Database(Amazon QLDB)

フルマネージドな台帳データベースサービス

AWS Ground Station

フルマネージド型の人工衛星の地上局を利用できるサービス。
衛星通信のコントロール、衛星データの処理、衛星運営のスケーリングが可能。

AWSベストプラクティス

という設計原則を公開している。ホワイトペーパーなどにより、確認・学習することが可能。

コンシェルジュサポート

AWSのサポートプランでエンタープライズプランで利用できる、請求やアカウントに関する問い合わせできるサービス。

AWSサポートセンター

AWSサポートへのケース投稿やサポートプランを変更するためのマネジメントコンソール(UI)の操作画面です。
AWSサポートの設定や情報を収集できる。(よくあるお問合せ画面)

AWSの転送コスト

リージョン間の転送やクラウドからネットへの転送は基本有料。
リージョン内の転送やネットからクラウドへの転送は無料。

リザーブドインスタンスの属性

インスタンスの購入オプションの1つにリザーブドインスタンスがある。
リザーブドインスタンスには2つのタイプがある。
スタンダード:インスタンスの交換はできないが、インスタンスマーケットで販売購入可能。
コンバーティブル:変更とインスタンス自体の交換が可能

AWS Trust & Safety チーム

スパム、ポートスキャニング、サービス拒否攻撃 (DOS)、侵入の試み、不快なコンテンツや著作権で保護されたコンテンツのホスティング、マルウェア配信が確認できた時の連絡先

AWSコンサルティングパートナー

AWSパートナーネットワーク内でAWSのユーザーがAWS移行を実施する際のコンサルティングまたはマネージドサービスを提供するプロフェッショナル資格。最適なAWSへの移行を支援する。

AWS Managed Services

変更管理や障害管理など、ITILに準拠した既存のIT運用プロセスをAWS側が運用を自動化して対応してくれる有料サービス。
大企業向けの運用支援サービス。

AWSクイックスタート

ソリューションアーキテクトと AWS パートナーによって構築された自動参照デプロイメント。
AWS のベストプラクティスに沿って、人気の高い技術を AWS にデプロイできる。

Amazon CloudWatchのサービス

  • Amazon CloudWatch RUM
    • ほぼリアルタイムで、アプリのクライアントサイドのパフォーマンスを監視する。
    • Webアプリのクライアントサイドの問題を特定しデバッグできる。
    • ページロードステップ、コアウェブバイタル、JSとHttpエラー等の異常を表示したり、問題セッション数を把握できる
    • CloudWatch RUMはCloudWatch ServiceLensやAWS X-Rayと統合されている。
  • Amazon CloudWatch ServiceLens
    • アプリの正常性、パフォーマンス、可用性を 1 か所で視覚化および分析できるようにする機能です。
  • Amazon Cloudwatch synthetics
    • API/URL/ウェブコンテンツを、毎分24時間年中無休で監視し、アプリエンドポイントが想定動作以外時アラートする。
    • アプリにトラフィックがない間も、カスタマーエクスペリエンスを継続的に検証できるようになる。
  • Amazon CloudWatch エージェント
    • 仮想サーバーやオンプレミス環境にあるサーバーからメトリクスを取得できる。
    • アプリのトラブルシューティングには利用されない。
  • Amazon CloudWatch Events
    • Amazon Web Services(AWS)リソースの変更を記述した、システムイベントのほぼリアルタイムのストリーミングを配信する。
    • この機能はAmazon EventBridgeに統合された。

AWS Compute Optimizer

機械学習を利用してEC2、Auto Scalingグループ、EBSおよびLambda関数の最適化するサービス。
CPU使用率、メモリ、ストレージなどのメトリクスを分析しコスト最適化に向けた推奨事項を提供する。

AWS Cloud WAN

クラウド環境とオンプレミス環境のリソース間でWANを構築し、管理できるWANサービス。
複数の拠点やネットワークにまたがるグローバルネットワークを構築することができ、Cloud WANセントラルダッシュボードを利用して、ネットワークの健全性、セキュリティ、およびパフォーマンスを監視できる。

AWS Transit Gateway

中央ハブを介して VPC とオンプレミスネットワークを接続する。
これにより、ネットワークが簡素化され、複雑なピア接続関係がなくなる。
クラウドルーターとしての機能はWAN接続を統合管理するのでなく、VPC間とオフィスとを接続する際に利用する。

VPC Peering

VPC間を接続するサービス。

Amazon Connect

クラウドベースのコンタクトセンターソリューションを構築することができるサービス。
顧客とのエンゲージメントを開始でき、連絡先のルーティングを最適化できる豊富なメトリックとリアルタイムのレポートを提供しつつ、顧客に適切なエージェントと連絡を取ることで、顧客の問題をより効率的に解決できる。

Amazon WorkMail

既存のデスクトップおよびモバイルメールクライアントアプリケーションをサポートする安全なビジネスメールおよびカレンダーサービス。

Amazon Pinpoint

ユーザーの行動解析に基づいて、最適なタイミングでのメッセージ配信を可能とする、ユーザーエンゲージメントを改善・促進するサービス。

Amazon AppStream 2.0

フルマネージドで非永続的なデスクトップおよびアプリケーションサービス。
リモートで社内ネットワークに接続し、安全に非永続的なデスクトップへのアクセスやアプリケーションを利用できる。

Amazon WorkSpaces

Windows/Linux 向けのフルマネージドデスクトップ仮想化サービス。
社内端末のセッティングやデータ管理をすべてクラウド上で実現するための仕組みであり、リモートからアクセスする場合はAmazon AppStream 2.0を利用する。

Amazon WorkSpaces Web

ブラウザ経由でWorkSpacesに接続するセッションを提供するAmazon WorkSpacesの機能

Amazon WorkLink

従業員が自分の携帯電話から社内ウェブやアプリに簡単にアクセスできるようにするフルマネージド型サービス。

Amazon WorkMail

Webメールおよびカレンダーサービス。

Amazon WorkDocs

コンテンツの作成/編集/共有、ストレージ、コラボレーション用の安全なフルマネージド型サービス。

Amazon Chime

オンライン会議、チャット、業務上の電話を単一のアプリケーションで実現する通信**(ミーティング)サービス**です。

リザーブド

1・3年契約により割引を受けられるオプション、リザーブド購入が可能なサービス一覧

・EC2リザーブドインスタンス
・RDSリザーブドインスタンス
・ElastiCacheリザーブドキャッシュノード
・DynamoDBリザーブドキャパシティ
・Redshiftリザーブドノード

EFSやS3にはリザーブド購入はなく、使用データ量に対して支払う。

AWS Local Zones

レイテンシーの影響を受けやすい(1 桁ミリ秒単位のレイテンシーを要求する高速アクセスが必要な革新的な)アプリをエンドユーザーにより近い場所で実行することができる特別なゾーン。
リアルタイムゲーム、ライブストリーミング、オーグメンティッドリアリティやバーチャルリアリティ (AR/VR)、バーチャルワークステーションなどを実現するために利用される。

Amazon Keyspaces(Amazon MCS)

DynamoDBと同じようにNoSQLデータベースサービスだが、こちらはAWS専用ではないのでオープンソースと互換性がある。

AWS Firewall Manager

ファイアウォール(AWS WAF)ルールを一括で設定するための機能。
複数のアカウントおよび複数のリソース間で管理およびメンテナンスタスクを簡略化し、保護を一度設定するだけで、既存のアカウントやリソースに (追加する新しいリソースにも) 自動的に適用される。

AWS X-Ray

本番環境や分散アプリケーション (マイクロサービスアーキテクチャで構築されたアプリなど) を分析/デバッグできる。
アプリやその基盤となるサービスの実行状況を把握し、パフォーマンスやエラーの根本原因を特定して、トラブルシューティングできる。
また、アプリ内で転送されるリクエストがエンドツーエンドで表示され、アプリの基盤となるコンポーネントのマップも表示される。

AWS Device Farm

様々なデバイスへの対応ができているかを効率的にテスト検証できる。

AWS Mobile Hub

モバイルアプリ向けにCognito、Lambda、Device Farm、PinpointなどのAWSサービスと連携してアプリケーションの構築、テスト、モニタリングを実施することができるプラットフォーム。

AWS Amplify

クラウド向けWEB/モバイル開発向けのJavaScript/iOS/Androidライブラリ

EC2 Instance Connect

設定なしでプラウザからEC2に接続できる(ブラウザでコンソールが開かれSSHで接続できる)

AWS CLI

コマンドプロンプトやターミナルにインストールして設定すればAWSリソースを操作できるツール

AWS CloudShell

ブラウザ経由のコンソール。AWS CLI操作を可能にするが、EC2接続には設定が必要

VPC エンドポイント

VPCとAWSサービス間の接続を有効化する機能

AWS Security Hub

GuardDuty、Inspector、Macieやサードパーティのセキュリティアラートや検出結果をまとめて確認できる

Amazon Detective

CloudTrail、VPC Flow Logs、GuardDutyのログを自動的に収集し問題を調査・分析できる

Amazon CodeGuru

コードレビューを自動化する

Amazon Honeycode

コード記述なしでアプリ構築できるサービス

Amazon WorkSpaces Application Manager(Amazon WAM)

Amazon WorkSpacesへのソフトウェア配信を管理するサービス

AWS Launch Wizard

CloudFormationテンプレートに基づいてAWSクラウドアプリのベストプラクティスに従ったアプリを簡単にデプロイするために利用されるサービス

総コスト計算ツール

AWS使用時の節約コストを見積もる

コスト配分レポート

AWS使用状況を製品カテゴリ別およびリンクされたユーザー別に表示する機能。

AWS Batch

数十万件の大規模のバッチコンピューティングジョブを簡単かつ効率的に実行できるサービス

Step Functions

サーバーレスオーケストレーションサービスで、Lambda関数とその他AWSサービスを使用して、アプ構築できる。グラフィカルコンソールでアプリのワークフローをイベント駆動ステップとして確認できる。

Amazon Simple Workflow Service

分散コンポーネント全体にわたって作業を調整するアプリを簡単に構築できる

AWS Server Migration Service (AWS SMS)

エージェントレス型の仮想マシンの移行を行うサービスで、50台までの稼働中のオンプレサーバを一度にAWSに移行できる。エージェントレス型のため、本番稼働サーバーに影響を与えない移行が特長

VM Import/Export

仮想マシンイメージを既存の環境から Amazon EC2 インスタンスにインポートすることや、元のオンプレミス環境にエクスポートすることが簡単にできる。

Cloudendure

OSごとにエージェントを導入して、物理・仮想マシンを移行できるサーバー移行サービス。
移行先サーバーにそのままデータ移行でき、切り替えるだけで移行完了する。(最短のダウンタイム移行)
Direct Connectを利用した移行が可能であるため、ネットワーク帯域を制御して実施できる。
移行時の台数制限がないが、対象サーバー内にエージェントをインストールする必要がある。
高度に自動化されたLift&Shiftソリューションを提供し、クラウド移行をシンプル/時間短縮/コスト削減する。

ACID

ACID(Atomicity、Consistency、Isolation、Durability)とは、エラーや停止が発生した場合でもデータの有効性を保証するためのデータベーストランザクションのプロパティのセット。
RDSやAuroraのRDBで提供されているが、NoSQLのDynamoDBでも提供されている。

Amazon RDS Custom

OS/DB環境へのアクセスを必要とするレガシー/カスタム/パッケージアプリ向けのマネージド型のデータベース。
RDSとは異なり、ユーザーによるアクセスを可能にするために、アクセス権をデータベースと基盤となるオペレーティングシステムに付与する。RDS CustomはSQL Server、Oracleで利用が可能。

AWS Fault Injection Simulator

AWS でフォールト挿入実験(ボトルネックを発見する)を実施して、アプリのパフォーマンス、オブザーバビリティ、回復性を簡単に改善する。

プレイスメントグループ

1つのAZ内に対して設定できるインスタンスグループのこと。EC2インスタンスをグループ化する。
タイプ3つ
image.png

Amazon FSx for Lustre

Lustre を搭載した ファイルシステムで、レイテンシーがミリ秒未満の共有ファイルストレージ、1 秒間に最大でテラバイトのスループット、百万単位の IOPS を提供します。高性能ファイルシステムと S3 API 両方からのデータに同時にアクセスして処理することが可能。

Amazon FSx For Windows File Server

Windows File Serverと互換性のあるストレージで、Windows上に構築され、Windows AD、OSやソフトウェアとの連携が豊富に可能。ファイルシステムあたり複数 GB/秒のスループット、ファイルシステムごとに数百万の IOPS、一貫したミリ秒未満のレイテンシーでのファイルオペレーションを実現する。

Amazon FSx for NetApp ONTAP

完全なフルマネージド ONTAP ファイルシステムを起動して実行できるストレージサービス。
ONTAPは従来のオンプレミスのネットワークアタッチドストレージ (NAS) を装備し、広く採用されているデータアクセスとデータ管理機能一式を提供する NetApp のファイルシステム技術。
ファイルシステムごとに数 GB/秒のスループット、およびファイルシステムごとに数十万の IOPS を実現。

Amazon FSx for OpenZFS

フルマネージド OpenZFS ファイルシステムを起動、実行、およびスケールできるストレージサービスです。OpenZFS ファイルシステムの使い慣れた機能、パフォーマンス、および機能を、フルマネージドの AWS のサービスの俊敏性、スケーラビリティ、およびシンプルさとともに提供。
最大 12.5 ギガバイト/秒 (GB/s) のスループットと、頻繁にアクセスされるキャッシュデータについて最大 100 万 IOPS をサポート。

IAMポリシーのタイプ

  • ユーザーベースのポリシー
    • 管理ポリシー
      • AWS管理ポリシー:AWSが作成管理するポリシー
      • カスタマー管理ポリシー:AWS垢で作成管理するポリシー。複数IAMエンティティにアタッチ可能
    • インラインポリシー
      • ユーザ自身が作成管理し、プリンシパルエンティティ(ユーザー、グループ、ロール)にアタッチするポリシー
  • リソースーベースのポリシー
    • S3のパケットポリシー等の、JSON形式のポリシーをリソースにアタッチするポリシー

Access Advisor

IAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻を確認できる。

パワーユーザー

ユーザー管理(IAM)に関する権限以外の全てのAWSサービスへのフルアクセス権限を有するユーザー。

AWS Migration Hub

アプリ移行の移行状況を追跡できるダッシュボードサービス

AWS CodeStar

統合されたUIを備えているため、ソフトウェア開発アクティビティを 1 つの場所で管理できる。
CI/CDのツールチェーン全体を数分で設定でき、コードのリリースをすばやく開始できる。
プロジェクトダッシュボードにより、作業項目のバックログからチームの最新のコードデプロイまで、ソフトウェア開発プロセス全体の進行状況を簡単に追跡できる。
(レポジトリにAWS CodeCommitとGitHubを選択できる。CodePipelineを利用した自動デプロイを管理する。)

AWS Transfer Family

SFTP、FTPS、FTP プロトコルを使用して、S3 および EFS への企業間ファイル転送を実施できる

DynamoDBのキャパシティーモード

テーブルで読み込み及び書き込みを処理するための読み込み/書き込みキャパシティーモード設定。
以下どちらか選択できる。

  • オンデマンドキャパシティーモード
    • 負荷予測不可
  • プロビジョンドモード
    • 負荷予測可能

スティッキーセッション

ELBの機能で、セッション中に、同じユーザから来たリクエストを全て、常に同じEC2インスタンスに送信する機能

ホストゾーン

  • パブリックホストゾーン
    • インターネット上に公開されたDNSドメインレコードを管理するコンテナ
    • インターネットのDNSドメインに対するトラフィックのルーティング方法を定義する
  • プライベートホストゾーン
    • VPCが相互アクセス可能であれば複数リージョンのVPCでも、同じホストゾーンを利用可能
    • プライベートサブネット内にあるドメインをルーティングすることが可能
3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0