●AWS Directory Serviceの特徴
AWS Managed Microsoft Active Directoryとも呼ばれるAWS Directory Service for Microsoft Active Directory はディレクトリ対応ワークロードとAWSリソースが、AWSクラウド内のマネージド型Active Directoryを使用することを可能にする
・Simple Active Directoryを利用し、AWSに新規ディレクトリを構築する
・Microsoft Active DirectoryをAWSに構築する
・Active Directory Connectorにより既存のActive Directoryと連携する
●Amazon Elastic Transcoder
Amazon Elastic Transcoderはクラウドのメディア変換サービス
高度なスケーラビリティ、使いやすさ、高い費用効率性を実現する設計で、開発者や企業は、メディアファイルを変換元のソース形式からスマートフォン、タブレット、PCなどのデバイスで再生可能できるバージョンに変換できる
Amazon Elastic Transcoderではメディア変換処理のあらゆる側面を透過的に自動管理する
ソフトウェアの管理、ハードウェアのスケーリング、パフォーマンスの調整、その他の変換インフラストラクチャの管理作業は不要。
変換「ジョブ」は、ソースメディアファイルの場所と変換方法を指定するだけで作成できる
また、Amazon Elastic Transcoderには一般的な出力形式のトランスコーディングプリセットが用意されているので、特定のデバイスに最適な設定を考える必要はない
これらの機能は全て、サービスAPI、AWS SDK、およびAWSマネジメントコンソールから利用できる
●AWS Organizations
AWS Organizationsを使用することでアカウントの作成を自動化し、ビジネスニーズを反映したアカウントのグループを作成し、それらのグループにポリシーを適用して管理する事ができる
全てのAWSアカウントに対して単一の支払い方法を設定すれば、請求を簡単にすることもできる
他のAWSのサービスと統合してOrganizationsを使用すれば、組織のアカウント全体の設定とリソース共有を一元的に定義できる。
全てのAWSユーザーは、追加料金なしでAWS Organizationsを利用でき、以下の特徴がある
・複数のAWSアカウントに適用するポリシーを集中管理
・AWSアカウントの作成と管理の自動化
・複数のAWSアカウントへの一括請求
・AWSのサービス、リソース、リージョンへのアクセスを管理
・複数アカウント間でAWSのサービスを設定可能
●IAMの多要素認証
AWSは多要素認証(MFA)を利用してもパスワードが必要になる
●AWS Pricing Calculator
ニーズに応じたコスト試算ができる
ソリューションを構築する前にソリューションをモデル化して、見積の背後にある価格ポイントと計算を調査し、ニーズに合った利用可能なインスタンスタイプと契約条件を見つけることができる
●AWSクラウド全体の利用コストの削減調査方法 例
・コスト配分タグを有効化する
タグはユーザーまたはAWS開発側がAWSリソースに割り当てるラベル
各タグはキーと値(バリュー)で構成され、キーには複数の値を設定できる。
タグを使用することでAWSリソースを整理し、コスト配分タグを使用してAWSコストを詳細レベルで追跡できる
コスト配分タグをアクティブにすると、AWSはコスト配分を使用し、コスト配分レポートでリソースコストを整理し、AWSコストの分類と追跡を容易にします。
・CloudWatchを利用する
CloudWatchを使用してAWSサービスの請求アラートを有効にし、支出の追跡と管理を行えるようになる
アカウントの請求が指定した値を超えると、アラームがトリガーされアラートが作成されます
・Cost Explorerを利用する
Cost Explorerはコストと使用状況を表示および分析するために使用できるツール
メイングラフ、Cost Explorerコストと使用状況レポート、CostExplorer RIレポートを利用し、使用状況とコストを確認する事ができる
過去12ヶ月までのデータを表示し、今後12ヶ月間にどれくらい費やす可能性が高いかを予測し、リザーブドインスタンスを購入するための推奨事項を得ることができる
Cost Explorerにより、さらに調べる必要がある分野を特定し、コストを把握するために使用できる傾向を確認できる
●昨年度のAWSクラウドの請求情報を確認する方法
・請求ダッシュボード
請求ダッシュボードを利用して過去の請求履歴を確認する事ができる
・AWS Billing and Cost Management
AWS Billing and Cost ManagementはAWSの請求書の支払い、使用量のモニタリング、およびコストの形状に使用する事が可能なサービス
●一括請求(コンソールリデーティッドビリング)
一括請求はAWS Organizationsサービスの一部
組織に複数のアカウントを追加した際には、AWSはリンクされた全アカウントの統合請求書に基づいて請求を行う
一括請求を利用し、全アカウントで発生したAWS料金の組み合わせを表示できるだけでなく、支払いアカウントに関連づけられた個々のアカウントのコストレポートを取得できる
請求目的で、AWSは組織内のすべてのアカウントを1つのアカウントとして扱う
●AWSサービスを利用する際の禁止された利用方法を確認する方法
・AWS Acceptable Use Policy(利用規約)
AWS Acceptable Use PolicyはAmazon Web Services, Inc.および其の関連会社が提供するウェブサービス(「本サービス」)およびウェブサイト「AWSサイト」の利用に関して、禁止される事項を記載したもの
●AWSプランの中で、メールと電話でクラウドサポートエンジニアに年中無休でサポート依頼が可能なプラン
・ビジネス
・エンタープライズ
●EC2インスタンスのコスト削減 例
・必要ない EC2インスタンスの削減
不要な EC2イン寸すの削除することでコストを削減できるため、コスト削減手順として適切
不要な EC2インスタンスが起動状態になっている際には、余計なコストが発生している可能性がある
・使用していないElastic IPの削減
使用していないElastic IPを削除する事でコストを削減できる
Elastic IPは使用していない場合でも料金が発生してしまうため、不要な際には解放することが重要
・NATゲートウェイの削減
NATゲートウェイを削除する事でコストを削減できるため、コスト削減方法として適切
プライベートサブネットにある EC2インスタンスに対してインターネットからのアクセスが必要でない場合は、NATゲートウェイは有料であるため削除するべき
●CloudTrail
CloudTrailはAWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を行うためのサービス
AWSインフラストラクチャ全体でアカウントアクティビティをログに記録し、継続的に監視し、保持できる
AWS CloudTrailを使用する事でAWSマネジメントコンソールでの操作、APIコールを記録することもでき、ユーザーおよびリソースのアクティビティを把握しやすくなる
AWSを呼び出したユーザーとアカウント、呼び出しもとIPアドレス、呼び出し日時を特定できる
●スピンアップ
スピンアップとはインスタンスの起動からアプリケーションのロードを行い、リクエストを受ける事ができる状態にするまでの処理を意味する
●AMI
Amazon マシンイメージ(AMI)にはインスタンスの起動に必要なもの情報が用意されていて、インスタンスを起動するときは、AMIを指定する必要がある
同じ設定で複数のインスタンスが必要な場合は、1つのAMIから複数のインスタンスを起動できる
さまざまな設定のインスタンスが必要なときは、各インスタンスをそれぞれ異なるAMIから起動できる
VMテンプレートの代わりに、AWSクラウドで EC2インスタンスをスピンアップする時にAMIは使う
●EC2インスタンスの請求価格 要素
・購入オプション(オンデマンド、予約済み、スポット、ハードウェア専用、Dedicated)
・選択されたAMI
・選択されたインスタンスタイプ
・リージョン
・データの入出力
・ストレージ容量
・利用時間
●セキュリティグループ
セキュリティグループは、インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバンドトラフィックをコントロールする
VPC内でインスタンスを起動した場合、そのインスタンスには最大5つセキュリティグループを割り当てることができる
セキュリティグループは、サブネットレベルでなくインスタンスレベルで動作する
そのため、VPC内のサブネット内のインスタンスごとに異なるセキュリティグループのセットに割り当てる事ができる
起動時に特定のグループを指定しないと、インスタンスはVPCのデフォルトセキュリティグループに自動的に割り当てられる
●VPCのセキュリティグループの基本的な特性
・VPCあたりで作成可能なセキュリティグループの数、各セキュリティグループに追加できるルールの数、ネットワークインターフェイスに関連つける事ができるセキュリティグループの数に制限がある
・許可ルールを指定できる 拒否ルールは指定できない
・インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に指定できる
・セキュリティグループを作成する時には、インバウンドルールはない
従って、インバウンドルールをセキュリティグループに追加するまで、別のホストからインスタンスに送信されるインバウンドトラフィックは許可されない
・デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれている。
ルールを削除し、任意の発信トラフィックのみを許可するアウトバウンドルールを追加できる
セキュリティグループにアウトバウンドルールがない場合、インスタンスから送信されるアウトバウンドトラフィックは許可されない
・セキュリティグループはステートフル
インスタンスからリクエストを送信する場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループルールにかかわらず、流れる事ができる
許可されたインバウンドトラフィックに対する応答(戻りのトラフィック)はアウトバウンドルールにかかわらずアウト側に対し通過する事ができる
●ステートレス
ステートレスのプロセスまたはアプリケーションは、分離性で理解できる
過去のトランザクションに関する情報や参照は保存されない。
トランザクションは常に初めて発生するかのようにゼロから作られる
●ステートフル
ステートフルなアプリケーションおよびプロセスは、オンラインバンキングやでんしメールのように、何度でも繰り返し利用するもの
以前のトランザクションは、以前のトランザクション中に生じたことに影響を受ける可能性がある
そのため、ステートフル・アプリケーションは、毎回同じサーバーを使用してユーザーの要求を処理する
●AWS Artifact
AWS Artifactは世界各地にある様々な監査機関の指定する基準/規制の遵守状況を検証したコンプライアンスレポートを提供しており、ユーザーはそれらを利用する事ができる
また、AWSアカウントとの契約の確認・受託・管理を実施する
●AWS Service Catalog
AWS Service CatalogはCloudFormationのテンプレートを利用して管理されるAWSリソース定義や、これらの利用権限をカタログとして一元管理する機能を提供する
●AWS Config 機能
・構成変更を管理するストリーム
・履歴管理するヒストリー
・構成要素を保存するスナップショット
●Cloud Watch
AWSリソースとAWSで実行するアプリケーションに対して様々なメトリクスやログを収集・追跡するモニタリングサービス
●Cloud Trail
AWSユーザの行動ログを取得しガバナンス、コンプライアンス、および運用とリスクの監査を行えるよう支援する
●GuardDuty
AWS上での悪意のある操作や不正な動作を継続的にモニタリングする脅威検出サービス
●CloudHSM
不正使用防止策が取られている専用HWモジュール(HSM)により暗号キーを保護するサービス
●AWS Service Catalog
AWS Service Catalogを利用し、AWSで使用が承認されたITサービスカタログの作成・管理ができる
これらのITサービスには仮想マシンイメージ、サーバー、ソフトウェア、データベース、包括的な多層アプリケーションアーキテクチャなどが含まれる
一般的にAWS Service CatalogではデプロイされたITサービスを集中管理でき、一貫性のあるガバナンスを実現し、コンプライアンス要件を満たすと同時に、ユーザーは必要な承認済みのITサービスのみを素早くデプロイできる
主な利点は以下の通り
・ITサービスライフサイクルを集中管理
・企業標準へのコンプライアンスを確保
・従業員は承認済みのITサービスを素早く見つけてデプロイ可能
・ITサービスマネジメント(ITSM)/ITOM)ソフトウェアに接続可能