##はじめに
こんにちは。今回はAWS資格の最難関SAPについてExam Readinessを視聴し大切だなと感じた部分をメモとして残そうと思います。
それでははじめます(。・ω・)ノ゙
##クロスアカウント認証とアクセス戦略
AWSにはMicrosoft Active DirectoryをAWSのほかのサービスと一緒に使用するための方法があり下記の3つの異なるものがある
-
AWS Managed Microsoft AD
- Microsoft Active DirectoryがAWSクラウド内に必要である
- AWSでマネージド型Active Directoryを使用可能に
-
AD Connector
- オンプレミスのユーザーがADを介してAWSのサービスにアクセスする必要がある
- オンプレミスユーザーがActive Directory経由でAWSのサービスにアクセスできるようにする
- オンプレミスのユーザーがADを介してAWSのサービスにアクセスする必要がある
- Simple AD
- 低スケール、低コストの基本的なADの機能を提供する
* Simple ADはMFAをサポートしてない
◆フェデレーティッドユーザー
フェデレーティッドユーザーとはAWSアカウントを持たないユーザー(またはアプリケーション)を指す
◆フェデレーティッドユーザーのロール
ロールを使用することでフェデレーティッドユーザーに一定の期間にわたりAWSリソースへのアクセス権を付与できます。
これはMicrosoft Active Directory、LDAP、Kerberosなどの外部サービスで認証できるAWS以外のユーザーが存在する場合に役立つ
※LDAP(Lightweight Directory Access Protocol)とは:ディレクトリサービスへとアクセスするためのプロトコル
※Kerberosとは:ケルベロス認証では1度ログインすると次回のログイン時にID/パスワードを再度入力する必要がなくSSOを実現する方式の一種
◆一時的なAWS認証情報
一時的なAWS認証情報とロールを組み合わせて使用するとAWSユーザーとAWS以外のユーザー(企業のアイデンティティおよび認可システム内)との間でIDフェデレーションを提供できる。
##ネットワーク
ハイブリッドに関する理解が必要で以下のサービスおよび知識が必要
##ハイブリッド型-VPN接続
-
AWS マネージドVPN
- リモートネットワーク上のオンプレミスネットワーク機器からVPCにアタッチされたAWSマネージド型ネットワーク機器へのハードウェアVPN接続
-
AWS VPN CloudHub
- 複数のリモートブランチオフィスをVPCに接続するハブアンドスポークモデル
-
ソフトウェアVPN
- リモートネットワーク上の危機から、VPC内で実行されているユーザー管理型ソフトウェアVPNアプライアンスへのVPN接続
##ハイブリッド型-AWS Storage Gateway
Storage Gatewayを設定して、ファイルゲートウェイ・仮想テープライブラリ(VTL)・保管型ボリュームゲートウェイ・キャッシュ型ボリュームゲートウェイを作成する。これらはオンプレミスアプリケーションによってiSCSIデバイスとしてマントできる。
-
ファイルゲートウェイ
- ファイルゲートウェイではNFSなどのファイルプロトコルを使用してS3やGlacierでのオブジェクトの保存や取得を実行できる。
- IAMロールを使用して、選択したS3バケットにマッピングされるファイル共有を設定します。
-
テープゲートウェイ
- 仮想テープのデータはS3内にも保存されGlacierにアーカイブすることも可能
- マネコンでデータ転送とストレージインターフェースのステータスをモニタリングする
- APIまたはSDKを使用して、アプリケーションとゲートウェイ間のやり取りを管理する。
-
保管型ボリュームゲートウェイ
- このゲートウェイに書き込まれたデータは、オンプレミスのストレージに保存されEBSスナップショット形式でS3に非同期でバックアップされる。
- ストレージボリュームは最大16TBまで作成可能でオンプレミスのアプリケーションからiSCSIデバイスとしてマウントされる。
-
キャッシュ型ボリュームゲートウェイ
- 最大32TBのストレージボリュームを作成できオンプレミスからiSCSIデバイスとしてマウントできる。
- 書き込まれたデータはS3に保存されるが、最近書き込みや読み込みをしたデータのキャッシュのみがオンプレミスのストレージにローカルに保存される。
- S3にあるボリュームデータのポイントインタイムスナップショットをEBSスナップショットの形式で作成できる。
- これによりデータ保護と様々なデータ再利用のニーズに合わせて容量効率に優れバージョニングされたボリュームのコピーを提供する。
##VPCエンドポイント
VPCエンドポイントはインターネットゲートウェイや仮想ゲートウェイを通さずにインスタンスがプライベートIPを使用して、サービスと接続することを可能にする仮想デバイスになる。
-
インターフェースエンドポイント
- プライベートIPを持ったENIでAWS PrivateLinkを使用するサービス宛のトラフィックのエントリーポイントになる。
- 試験ではS3DynamoDB以外のエンドポイントはほぼこれ
-
ゲートウェイエンドポイント
- ルートテーブルで指定されたルートのターゲットであるゲートウェイでし。サポートされているAWSのサービスはS3やDynamoDBなどがあります。
##マルチアカウントのAWS環境
AWS のお客様の多くが、ビジネスユニットごとの個別アカウントや、開発、テスト、本番リソースの別個のアカウントなど、組織のために複数の AWS アカウントを作成しています。
開発リソースと本番リソースで別個の AWS アカウント (通常は一括請求 (コンソリデーティッドビリング) と併用) を使用することで、お客様は種類の異なるリソースを明確に分離できます。これにはセキュリティ面での利点もあります。
-
AWS Organizations
- 複数のAWSアカウントをポリシーベースで一元管理する
- すべてのアカウントに対するポリシーを管理し、不要なアクセスをブロックする
- APIを使用して新しいアカウントの作成を自動化
- アカウントを組織単位(OU)で編成
- 一括請求を提供
##おわりに
ひとまずExam Readinessの組織の複雑さに対応する設計部分のメモは終了としてその2として新しく書いていきます。
(。・ω・)ノ゙バイバイ
Comments
Let's comment your feelings that are more than good