●インシデントや問い合わせ発生時にAWSサポートから15分未満の応答に応えられるAWSサポートプラン
エンタープライズ
●Pre-warming申請内容
5分間で50%以上のトラフィック増加があると、ELBのスケールが間に合わない可能性があるためHTTP503レスポンスを返す期間があり得ます。それに対応するために事前に必要なのが緩和申請(Pre-warming申請)
また、事前に段階的にELBに負荷をかけておくことで調整することも可能
・NLBの特徴として、大規模アクセスが予測される際にCLBやALBで必要だったPre-warming申請が不要
【Pre-warming申請内容】
■ELB名・リージョン、またはFQDN
■予測されるピーク時のリクエスト数(requests/秒)
■予想されるピーク時の1リクエストあたりのリクエストサイズ+レスポンスサイズ(bytes)、または想定スループット(bit/秒)
■Pre-warmingが必要となる期間(開始時刻・終了時刻)
■HTTPSの利用有無、利用する場合にはHTTPとHTTPSの割合(%)
■利用するAZ(アベイラビリティ・ゾーン)の数
■バックエンドインスタンスでのKeep-aliveの設定可否
■イベント日までにバックエンドEC2インスタンス数を増やしますか。
(増やす場合はいつ、どのくらい増やすか)
■トラフィックパターンをお知らせください(どのくらいの期間でどのくらいトラフィックが上がる)
■ユースケースをお知らせください
●ALIASレコード
CloudFrontやELBなどのAWSリソースをドメインと関連づける際にはAWS専用のエイリアスレコードを利用する
□エイリアスレコードはDNSクエリにAWSサービスのエンドポイントのIPアドレスを返答することで、AWSリソースにドメイン名を設定することができる
□以下のサービスに利用
・静的ウェブサイトとして設定されたS3バケット
・CloudFront
・ELB
・AWS Elastic Beanstalk環境
□IPアドレスバージョンに応じたタイプ
・エイリアスターゲットのIPアドレスを伴うAレコード(IPv4アドレス)
・エイリアスターゲットのIPアドレスをAAAAレコード(IPv6アドレス)
ALIASレコードはRoute53独自のDNS拡張機能であり、DNS一般に利用される汎用レコードではない
●データレイクとしてビックデータを蓄積して、ETLを実行するために用いられるサービス
・AWS Glue
・S3
AWSではAWS GlueとS3を組み合わせて、データレイクを構成することができる
データレイクは、大量のさまざまなデータを扱うという課題に対処するためのデータを分析および保存するための方法
データレイクでは、すべての構造化データおよび非構造化データを1つの中央リポジトリに格納できる
データはそのまま保存できるため、あらかじめ定義されたスキーマに変換する必要はない
▼Amazon S3
高い耐久性があり、費用対効果のストレージとしてデータレイクのデータ蓄積を担う
Amazon S3に構築されたデータレイクでは、ネイティブのAWSのサービスを利用して、ビッグデータ分析、人工知能(AI、Artificial Intelligence)、機械学習(ML、Machine Learning)、ハイパフォーマンスコンピューティング(HPC)、並びにメディアデータ処理を行うアプリケーションを実行し、非構造化データセットから洞察を得ることができる
●Amazon OpenSearch Service
ダウンタイムなしで、Elasticsearchを利用することで、高速なデータ検索サービスを構築することが可能
●Amazon Cloud Directory
柔軟性に優れたクラウドネイティブのディレクトリを構築し、複数のディメンションに沿ったデータの階層を編成できる
Cloud Directoryを使用して、組織図、コースカタログ、デバイスレジストリなど、さまざまなユースケースのディレクトリを作成できる
Active Directory Lightweight Directory Services(AD LDS)やその他のLDAPベースのディレクトリなどの従来のディレクトリソリューションでは単一階層に限定されるが、Cloud Directoryでは複数のディメンションにまたがる階層構造のディレクトリを柔軟に作成できる。
具体的には以下のような対応が可能
■複数のディメンションにまたがるデータの階層を効率良く編成する
■マネージド型インフラストラクチャで自動的にスケールさせる
■ディレクトリでオブジェクトと関係性を検索できる。
■階層化するデータ要件を実現させる
■ポリシー管理を簡素化して管理を実施する
■AWS Cloudtrailとタグ付けとの統合して、アクティビティ管理を実施する
●IDフェデレーション
インターネットの外部プロバイダーを利用したユーザー認証連携のことを指す
すでに認証が済んだユーザーIDを使って、別のシステムにアクセスできるようにする仕組みそのものを指している
ウェブIDフェデレーションを使用すると、カスタムサインインコードを作成したり独自のユーザーIDを管理したりする必要はない
その代わりに、アプリのユーザーは、よく知られている外部IDプロバイダー(IdP)を使用してサインインすることができる
AWSではActive Directoryなどを利用してオンプレミス環境のIDフェデレーション認証情報を使用してAWSアカウントにサインインすることができる
AWSのIDフェデレーションでは、シングルサインオン(SSO)を使用して、車内ディレクトリの認証情報によりAWSアカウントにアクセスできる
●RDSに移行について
現行システムが同じMySQLを利用していたとしてもRDSとのGAP分析が必要
RDSを利用して、MySQLを使っていてもすぐに移行を実施するべきではない
●ルートユーザーでできること
■ルートユーザー詳細情報の変更(ルートユーザーのパスワードの変更が含まれる)
■AWSのサポートプランを変更する
■請求の税金請求書を表示する
aws-portal:ViewBillingアクセス許可をもつIAMユーザーは、AWS欧州からVAT請求書を表示およびダウンロードすることができるが、AWS IncまたはAmazon Internet Services Pvt.Ltb(AISPL)からはできない
■AWSアカウントの解約をする
■GovCloudへのサインアップ
■AmazonEC2リクエストの逆引きDNSを送信する。
リクエストを送信するためのページ上の「このフォーム」のリンクは、ルートユーザーの認証情報でサインインする場合にのみ動作する
■長いリソースIDのAmazon EC2設定の変更
■MFA(多要素認証)Deleteが可能なようにAmazon S3バケットを設定する
■無効なVPC IDまたはVPCエンドポイントIDが含まれているAmazon S3バケットポリシーを編集または削除する
■リザーブドインスタンスマーケットプレイスに出品者として登録する。
■EC2インスタンスでのポート25によるEメールのスロットリングの削除リクエストを行う
■コンソールでAWSアカウントの正規ユーザーIDを確認する
■IAMのユーザーアクセス許可をリストアする
■Billing and Cost Managementコンソールを使用してアカウント設定を変更する
●S3を利用した静的WEBホスティングについて
S3バケットを利用した静的WEBホスティングを有効にするには適切なアクセス制御が設定されたバケットポリシーを設定し、インターネットからユーザーがHTMLファイルへアクセスできるように設定する必要がある
静的WEBホスティング
静的サイトを構築する場合は、静的WEBホスティングによる安価なWEBページを構築可能
手順
ブロックパブリックアクセスを無効化する
バケットポリシーでバケットの読み取り許可を設定する
Index.htmlなどのインデックスドキュメントをバケット内に保存する
静的WEBホスティングの設定画面で、Index.htmlなどのインデックスドキュメントを設定し、有効化する
●ユーザーデータの利用
ユーザーデータを利用してEC2インスタンス起動時に実行されるスクリプトを設定できる
ユーザーデータ
EC2インスタンスの詳細設定の自動化に利用
Bashスクリプトなどを設定して、インスタンス起動時に実行されるように準備できる
ブートストラップ
インスタンスにユーザーデータを渡すことで、起動時に実行される処理のこと
●CodeCommit
Gitベースのリポジトリをセキュアにホストする完全マネージド型のソース管理サービス
これを利用して、開発チームはコードのバージョン管理や保存・レビューなどのコラボレーションができる
●ネットワークACLの特徴
・VPCには変更可能なデフォルトのネットワークACLが自動的に設定される
デフォルトでは、すべてのインバウンドおよびアウトバウンドのIPv4トラフィックと、IPv6トラフィック(該当する場合)が許可される
・ユーザーはカスタムネットワークACLを作成して、サブネットと関連づけることができる
デフォルトでは、各カスタムネットワークACLは、ルールを追加するまですべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否する
・VPC内の各サブネットにネットワークACLを関連づける必要がある
ネットワークACLに明示的にサブネットを関連づけない場合、サブネットはデフォルトのネットワークACLに自動的に関連づけられます
・1つのネットワークACLを複数のサブネットに関連づけることができる
ただし、1つのサブネットは1度に1つのネットワークACLにのみ関連づけることができる
サブネットとネットワークACLを関連づけると、以前の関連づけは削除される
・ネットワークACLには、低い番号から順に評価される番号付きのルールリストが含まれ、ネットワークACLに関連づけられたサブネットのインバウンドトラフィックまたはアウトバウンドトラフィックが許可されるかどうかを指定する。ルールに使用できる最も高い番号は32766
まずは増分(例えば10または100の増分)でルールを作成することをおすすめする
こうすると、後で必要になったときに新しいルールを挿入できる
・ネットワークACLにはこばつのインバウンドルールとアウトバウンドルールがあり、各ルールでトラフィックを許可または拒否できる
・ネットワークACLはステートレス
許可されているインバウンドトラフィックに対する応答は、アウトバウンドトラフィックのルールに従う
●Amazon Elastic Transcoder
クラウドのメディア変換サービス
高度なスケーラビリティ、使いやすさ、高い費用効率性を実現する設計で、開発者や企業は、メディアファイルをその元のソース形式からスマートフォン、タブレット、PCなどのデバイスで再生可能できる形式に変換できる
●Amazon Kinesis Video Streams
分析、機械学習(ML)、再生、およびその他の処理のために、接続されたデバイスからAWSへ動画を簡単かつ安全にストリーミングできるようになる
●AWS Elemental MediaConvertは、ブロードキャストグレードの機能を備えたファイルベースの動画変換サービス
大規模なブロードキャストやマルチスクリーン配信向けのビデオオンデマンド(VOD)コンテンツを簡単に作成できる
このサービスでは、シンプルなウェブサービスインターフェイスから操作できる高度な動画機能や音声機能を、従量制の料金体系で使用できる
●Amazon Interactive Video Service
Amazon IVSは、素早く簡単にセットアップできるマネージド型のライブストリーミングソリューションであり、インタラクティブな動画エクスペリエンスの作成に最適
ストリーミングソフトウェアを使用してライブストリームをAmazon IVSに送信するだけで、低レイテンシーのライブ動画を世界中で視聴できるようにするために必要な全てを、このサービスが実行する
●AZ(アベイラビリティゾーン)について
AZによって、単一のデータセンターでは実現できない高い可用性、耐障害性、および拡張性を備えた本番用のアプリケーションとデータベースの運用が実現されている。
AWSリージョン内のすべてのAZは、AZ間に高スループットかつ低レイテンシーのネットワーキングを提供する、完全に冗長性をもつ専用メトロファイバー上に構築された、高帯域幅、低レイテンシーのネットワーキングで相互接続されている。
AZ間の全てのトラフィックは暗号化される
AZ間の同期レプリケーションを実行するのに十分なネットワークパフォーマンスを備えている
AZにより、高可用性実現を目的にしたアプリケーションの分割が簡単になる
アプリケーションがAZ間で分割されている場合、企業は停電、落雷、竜巻、地震などの問題からより安全に保護される
各AZはそれぞれ他のAZから物理的に意味のある距離、つまり数キロメートル離れているが、互いに全て100Km(60マイル)以内に配置されている
●AWS Network Firewallへの経路の作成場所
AWS Network Firewallを導入する際は、Firewall Endpoint専用のパブリックサブネットを構築して、そこにNetwork Firewall用のエンドポイントを設定することが必要
そのエンドポイントを介して、AWS Network Firewallへとトラフィックが経由することになる
AWS Network FirewallはVPCに不可欠なネットワーク保護を実施する侵入防止システムを提供するファイアーウォールサービス
AWS Network Firewallの侵入防止システム(IPS)は、アクティブなトラフィックフロー検査を提供するため、シグネチャベースの検出を使用して脆弱性の悪用を特定してブロックできる
また、AWS Network Firewallは既知の不正なURLへのトラフィックを停止し、完全就職ドメイン名を監視できるウェブフィルタリングも提供する
AWS Network Firewallの柔軟なルールエンジンを使用すると、アウトバウンドサーバーメッセージブロック(SMB)リクエストをブロックsして悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックを詳細まで制御できるファイアウォールルールを定義できる
●Amazon RDSリードレプリカ
別リージョンに起動可能なRDSの唯一のグローバル機能
別リージョンでの読み取りリクエストを高速化したい場合などに利用することができるが、災害時にはプロモーションすることでマスターDBインスタンスとして自立させることが可能
リードレプリカは読み取りが多いデータベースワークロードの場合、単一のDBインスタンスの容量の制約を超えて柔軟にスケールアウトできる。
特定のソースDBインスタンスの1つ以上のレプリカを作成し、データの複数のコピーから大量のアプリケーション読み取りトラフィックを提供することにより、読み取りスループットの合計を向上させることができる
●Amazon Kinesis Data Stremasをはじめとした Kinesisを利用したストリーミングデータ処理を実施する際に、データ変換処理機能を直接に提供するサービス
Lambda
Amazon Kinesis Data Firehoseがデータ配信をする際にETLを実行することができるが、その際はETLの処理コードをLambda関数を作成してAmazon Kinesis Data Firehoseに組み込むことが必要となる
データ変換処理を直接に実行しているのはLambdaとなる
●APN(アマゾンパートナーネットワーク)コンサルティングパートナー
あらゆる規模の顧客に対し、AWS上でのワークロードとアプリケーションの設計、開発、構築、移行、および管理を支援するプロフェッショナルサービス企業です
コンサルティングパートナーに該当するのは、システムインテグレータ(SI)、戦略的コンサルティング会社、代理店、マネージドサービスプロバイダ(MSP)、および付加価値再販業者(VAR)
APNコンサルティングパートナーになると、アプリケーションをAWSクラウド内にデプロイ、実行、管理するよう顧客をサポートするための幅広いリソースとトレーニングをご利用いただけます
●スタンダードまたはコンバーティブルリザーブドインスタンスを購入する際は以下の3つの支払い方法から選択できる
・全額前払いの場合
リザーブドインスタンスの期間の料金全額を一括で前払いする
この方法を選択すると、オンデマンドインスタンス料金と比較した割引額が最大になる
割引時間単価で計算したインスタンス料金を支払う
・一部前払いの場合
少額を前払いして、リザーブドインスタンス期間が終了するまでの間、割引時間単価で計算したインスタンス料金を支払う
・前払いなしの場合
前払いの必要はなく、期間が終了するまでの間は時間単価が割引となる
●AWSのサービス制限について
サービス制限を把握することは、AWS管理の重要な要素
継続的なモニタリングにより、制限の増加を要求したり、制限に達する前にリソースをシャットダウンしたりできる
AWS Trusted Advisorのサービス制限ダッシュボードを使用して、制限状況をモニタリングすることができる
AWSは各アカウントのサービス制限を維持して、AWSリソースの可用性を保証し、新規顧客の請求リスクを最小限に抑えている。
一部のサービス制限は、AWSを使用すると時間と共に自動的に引き上げられますが、多くは制限の引き上げをサポートに申請することが求められる
サービス制限超過依頼は、サービス制限の増加を選択することによりAWSサポートに依頼することができる
●全てが無料で使用できるサービス
・IAM、AWS Security Token Service(AWS STS)は追加料金なしで提供されるAWSアカウントの機能
IAMユーザーまたはAWS STSの一時的なセキュリティクレデンシャルを使用して他のAWSのサービスにアクセスした場合にのみ課金される
・AWS AutoScalingの使用には追加料金はかからない
その代わり、アプリケーションに必要なスケーリングされたEC2インスタンスなどのAWSリソースと、Amazon CloudWatch拡張モニタリングに対する料金は発生する可能性がある
●ハイブリッドクラウド
プライベートクラウドを含めた異なるクラウドサービスのメリットを組み合わせて利用する方法
AWSでは、ストレージ、ネットワーク、セキュリティ、アプリケーションの展開、管理ツールなどの幅広いハイブリッド機能セットを提供し、複数のクラウドを簡単に統合できるようにしている
例
VPCを使用して企業データセンターとVPCの間にハードウェアVPN接続を作成して、企業データセンターの拡張としてAWSクラウドを活用できる
AWS Directory Service for Microsoft Active Directory
ディレクトリ対応型ワークロードとAWSリソースがAWS内のマネージド型Active Directory(AD)を使用することを可能にする
標準のAD管理ツールが使用でき、グループポリシーやSingle Sign-Onなど組み込みのAD機能を利用して、オンプレミス環境のADとのハイブリッドな認証を可能にする
AWS Storage Gatewayは、オンプレミスと実質無制限のクラウドストレージとを連携するハイブリッドクラウドストレージサービス
ユーザーはStorage Gatewayを使用して、オンプレミスストレージのバックアップにS3を構成するなどのハイブリッド構成を実現できる
●Well-Architected Framework
Reliability
回復性の高いアーキテクチャを設計する
Performance Efficiency
パフォーマンスに優れたアーキテクチャを定義する
Security
セキュアなアプリケーションおよびアーキテクチャを定義する
Cost Optimization
コスト最適なアーキテクチャを設計する
Operational Excellence
オペレーショナルエクセレンスを備えたアーキテクチャを定義する
Sustainability
持続可能性に寄与するアーキテクチャを定義する
Sustainabilityは持続可能性に寄与するアーキテクチャを定義するものであり、電気の利用量を抑えたり、自然エネルギーの利用を促進させることなどが含まれた概念
●最適なデータベースを決定する要因
・読み取り/書き込み処理
・データ量や期間保存
・データサイズ
・データの耐久性
・データの遅延要件
・クエリ数
・サポート対象ユーザー数
・データモデル
・整合性モデル など
●AWS Well-Architected Frameworkの構成要素
・Well-Architected Frameworkホワイトペーパー
・AWSのSAまたは認定パートナーによる支援制度
・Well-Architected Tool
●AWSリソースのタグつけ戦略を検討する際に、検討する必要がある要素
AWSリソースのタグ付戦略を作成するときは、次のタグ付のベストプラクティスに基づいて検討する
・タグには常に標準化された大文字と小文字を区別する形式を使用し、すべてのリソースタイプにわたって一貫して実装する
・リソースアクセス制御、コスト追跡、自動化、および組織を管理する機能をサポートするタグディメンションを検討する
・リソースタグの管理に役たつ自動化ツールを実装する。
Resource Groups Tagging APIを使用すると、プログラムによるタグの制御が可能になり、タグとリソースの自動管理、検索、フィルタリングが簡単になる。また、AWSリージョンごとに1つのAPIコールを使用して、サポートされている全てのサービスのタグデータのバックアップを簡素化する
・少なすぎるタグではなく、多すぎるタグを使用することは誤り
・ビジネス要件の変化に対応するためにタグを使用するのは簡単ですが、特にタグベースのアクセス制御、自動化、またはアップストリーム請求レポートに関連する将来の変更の影響を考慮してください
●AWSで利用している物理的な古いストレージデバイスの最終的な処分方法
・DoD 5220.22-Mを利用してデータを破壊する。
AWSでは国防総省(DoD)クラウドコンピューティングセキュリティ要求事項ガイド(SRG)に基づいて、データの消去を実施している
ストレージデバイスが耐用年数を超えると、AWSでは顧客データが許可されていない個人に公開されるのを防ぐために、廃止プロセスを実行する
AWSは、DoD5220.22-M(「National Industrial Security Program Operating Manual」)またはNIST 800-88(「Guidelines for Media Sanitization」)で詳述されている手法を使用して、廃止プロセスの一環としてデータを破壊する。
廃止された磁気記憶装置は全て、業界標準の慣行に従って消磁され、物理的に破壊される
●AWSクラウドへとアプリケーションの移行計画を立案するために、必要な作業の効率化と時間削減のために役立つサービス
・AWS Application Discovery Service
AWS Application Discovery Serviceを利用してオンプレミスデータセンターに関する情報を収集することにより、エンタープライズのユーザーの移行プロジェクト計画を支援する
データセンター移行計画には何千ものワークロードが存在し、多くの場合それらが相互に深く依存し合っている
サーバーの使用率データや依存関係のマッピングは、移行プロセス初期の重要なステップ
AWS Application Discovery Serviceでは、サーバーの設定データ、使用状況データ、動作データが収集され、ユーザーに提供される。これにより、ユーザーはワークロードを十分に把握することができる