LoginSignup
1
0

More than 1 year has passed since last update.

@pankata79(Happy Village)

Exam Readiness:SAProのメモ

Posted at

はじめに

 こんにちは。今回はAWS資格の最難関SAPについてExam Readinessを視聴し大切だなと感じた部分をメモとして残そうと思います。

 それでははじめます(。・ω・)ノ゙

クロスアカウント認証とアクセス戦略

AWSにはMicrosoft Active DirectoryをAWSのほかのサービスと一緒に使用するための方法があり下記の3つの異なるものがある

  • AWS Managed Microsoft AD
    • Microsoft Active DirectoryがAWSクラウド内に必要である
      • AWSでマネージド型Active Directoryを使用可能に
  • AD Connector
    • オンプレミスのユーザーがADを介してAWSのサービスにアクセスする必要がある
      • オンプレミスユーザーがActive Directory経由でAWSのサービスにアクセスできるようにする
  • Simple AD
    • 低スケール、低コストの基本的なADの機能を提供する
      • Simple ADはMFAをサポートしてない

フェデレーティッドユーザー
 フェデレーティッドユーザーとはAWSアカウントを持たないユーザー(またはアプリケーション)を指す

フェデレーティッドユーザーのロール
 ロールを使用することでフェデレーティッドユーザーに一定の期間にわたりAWSリソースへのアクセス権を付与できます。
 これはMicrosoft Active Directory、LDAP、Kerberosなどの外部サービスで認証できるAWS以外のユーザーが存在する場合に役立つ
 
   ※LDAP(Lightweight Directory Access Protocol)とは:ディレクトリサービスへとアクセスするためのプロトコル
   ※Kerberosとは:ケルベロス認証では1度ログインすると次回のログイン時にID/パスワードを再度入力する必要がなくSSOを実現する方式の一種

一時的なAWS認証情報
 一時的なAWS認証情報とロールを組み合わせて使用するとAWSユーザーとAWS以外のユーザー(企業のアイデンティティおよび認可システム内)との間でIDフェデレーションを提供できる。

ネットワーク

 ハイブリッドに関する理解が必要で以下のサービスおよび知識が必要

ハイブリッド型-VPN接続

  • AWS マネージドVPN

    • リモートネットワーク上のオンプレミスネットワーク機器からVPCにアタッチされたAWSマネージド型ネットワーク機器へのハードウェアVPN接続

  • AWS VPN CloudHub

    • 複数のリモートブランチオフィスをVPCに接続するハブアンドスポークモデル

  • ソフトウェアVPN

    • リモートネットワーク上の危機から、VPC内で実行されているユーザー管理型ソフトウェアVPNアプライアンスへのVPN接続

ハイブリッド型-AWS Storage Gateway

 Storage Gatewayを設定して、ファイルゲートウェイ・仮想テープライブラリ(VTL)・保管型ボリュームゲートウェイ・キャッシュ型ボリュームゲートウェイを作成する。これらはオンプレミスアプリケーションによってiSCSIデバイスとしてマントできる。

  • ファイルゲートウェイ

    • ファイルゲートウェイではNFSなどのファイルプロトコルを使用してS3やGlacierでのオブジェクトの保存や取得を実行できる。
    • IAMロールを使用して、選択したS3バケットにマッピングされるファイル共有を設定します。

  • テープゲートウェイ

    • 仮想テープのデータはS3内にも保存されGlacierにアーカイブすることも可能
    • マネコンでデータ転送とストレージインターフェースのステータスをモニタリングする
    • APIまたはSDKを使用して、アプリケーションとゲートウェイ間のやり取りを管理する。

  • 保管型ボリュームゲートウェイ

    • このゲートウェイに書き込まれたデータは、オンプレミスのストレージに保存されEBSスナップショット形式でS3に非同期でバックアップされる。
    • ストレージボリュームは最大16TBまで作成可能でオンプレミスのアプリケーションからiSCSIデバイスとしてマウントされる。

  • キャッシュ型ボリュームゲートウェイ

    • 最大32TBのストレージボリュームを作成できオンプレミスからiSCSIデバイスとしてマウントできる。
    • 書き込まれたデータはS3に保存されるが、最近書き込みや読み込みをしたデータのキャッシュのみがオンプレミスのストレージにローカルに保存される。
    • S3にあるボリュームデータのポイントインタイムスナップショットをEBSスナップショットの形式で作成できる。
    • これによりデータ保護と様々なデータ再利用のニーズに合わせて容量効率に優れバージョニングされたボリュームのコピーを提供する。

VPCエンドポイント

 VPCエンドポイントはインターネットゲートウェイや仮想ゲートウェイを通さずにインスタンスがプライベートIPを使用して、サービスと接続することを可能にする仮想デバイスになる。

  • インターフェースエンドポイント

    • プライベートIPを持ったENIでAWS PrivateLinkを使用するサービス宛のトラフィックのエントリーポイントになる。
    • 試験ではS3DynamoDB以外のエンドポイントはほぼこれ

  • ゲートウェイエンドポイント

    • ルートテーブルで指定されたルートのターゲットであるゲートウェイでし。サポートされているAWSのサービスはS3やDynamoDBなどがあります。

マルチアカウントのAWS環境

 AWS のお客様の多くが、ビジネスユニットごとの個別アカウントや、開発、テスト、本番リソースの別個のアカウントなど、組織のために複数の AWS アカウントを作成しています。

開発リソースと本番リソースで別個の AWS アカウント (通常は一括請求 (コンソリデーティッドビリング) と併用) を使用することで、お客様は種類の異なるリソースを明確に分離できます。これにはセキュリティ面での利点もあります。

  • AWS Organizations
    • 複数のAWSアカウントをポリシーベースで一元管理する
    • すべてのアカウントに対するポリシーを管理し、不要なアクセスをブロックする
    • APIを使用して新しいアカウントの作成を自動化
    • アカウントを組織単位(OU)で編成
    • 一括請求を提供

おわりに

 ひとまずExam Readinessの組織の複雑さに対応する設計部分のメモは終了としてその2として新しく書いていきます。
 
 (。・ω・)ノ゙バイバイ

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0