●AWSリソースに対して一時的な認証情報を提供する機能
AWS STS(Security Token Service)
AWSのサービスへのアクセスに使用できる一時的な限定権限認証情報を生成して、提供するサービス
STSは限定的で一時的なセキュリティ認証情報を提供するサービス
ただし、他のサポートされているリージョンにあるエンドポイントへのAWS STS API呼び出しを実行することもできる
●パブリックサブネットのEC2インスタンスがインターネットにアクセスできるようにするために、ネットワークと自身の設定に必要な要素
・パブリックIPアドレス
インターネットに公開されているIPアドレス
これを利用して、インターネット上のユーザーローカルネットワークを識別することができる
EC2インスタンスにパブリックIPアドレスがなければインターネットアクセスはできない
・インターネットゲートウェイ
VPCのインスタンスとインターネットとの間の通信を可能にするVPCコンポーネント
インスタンスがインターネットのアクセスできるようにする
●.NETアプリケーションをAWSに素早くデプロイするのに役立つサービス
Elastic BeanStalk
Elastic BeanstalkはAWSクラウド上にアプリケーションを素早くデプロイし、管理を自動化できる
これはGo、Java、.NET、Node.js、PHP、Python、Rubyで開発されたアプリケーションをサポートしており、.NETアプリケーションをAWSクラウドに素早くデプロイすることが可能
Elastic Beanstalk
webアプリケーションの定番構成の構築・デプロイの自動化サービス
・早く簡単にアプリケーションをデプロイするサービス
・Java、PHP、Ruby、Python、Node.js、.NET、Docker、Goに対応してWEBアプリケーションを展開できる
・Apache、Nginx、Passenger、IISなど使い慣れたサーバーでデプロイ及びスケーリングが可能
・コードをアップロードすればキャパシティのプロビジョニング、ロードバランシング、Auto Scalingからアプリケーションのヘルスモニタリングまでデプロイを自動化できる
●Elastic Beanstalkのユースケース
WEBアプリケーションのデプロイを容易にすることや、タスク時間の長いワークロードの展開に利用する
webサーバ環境
・ELB+Auto Scalingでスケーラブルな構成をコード化してバージョンとすることで、スケーラブルなウェブアプリケーションを実行できる
・単一コンテナのDockerコンテナを実行可能
・複数コンテナはECSを使用した環境実行が可能
ワーカー環境
・SQS+Auto Scalingでスケーラブルなバッチ処理ワークを実現
・定期的なタスク実行基盤の作成:毎日深夜1時に動作するバックアップ処理
・ワーカーホスト内でWebアプリケーションを動作させ、ワークロードの時間が係る処理を実行させる
●DockerコンテナイメージをAWSクラウドに保存するために利用するサービス
Amazon ECR(Elastic Container Registry)
ECRを利用して、開発者がDockerコンテナイメージをAWSクラウドに保存・管理することができる
ECRは完全マネージド型のDockerコンテナレジストリとして提供されている
●AWSのコンテナサービス
・レジストリ
コンテナエンジンに実行されるイメージが保管される場所
Amazon ECR
・コントロールプレーン
コンテナを管理するサービス
Amazon ECS
Amazon EKS
・データプレーン
コンテナが実行される環境
AWS Fargate
●Elastic Container Registry(ECR)
フルマネージド型のレジストリサービスでDockerコンテナイメージを簡単に保存、管理、デプロイが可能
・ECSとDocker CLIに統合されており、開発から本稼働までのワークフローを簡略化する
・IAMによる強力な認証管理機構
・エンドポイントにアクセスできるならAWS外からでも利用可能
・ライフサイクルポリシーでイメージの自動クリーンアップできる
・VPCネットワークモードでタスクごとにENIを自動割り当てしてさらにセキュリティーグループをタスクごとに設定可能
●Amazon Lightsail
Amazon Lightsailは、コンテナなどのクラウドリソースを予測可能な低価格で簡単に管理できる、使いやすいプライベートサーバー(VPS)
VPSとは、一台の物理的なサーバコンピュータ上で仮想的なサーバコンピュータを何台も起動する技術(仮想機械:Virtual Machine)によって作られた仮想的なサーバコンピュータ
VPSは、ホスティングサーバ(レンタルサーバ)事業者のサービスとして提供されている
Amazon Lightsailはコンソールからのクリック操作でウェブアプリケーションやウェブサイトを簡単に立ち上げることができる。
EC2がサーバーの単体機能を提供するのに対して、 Lightsailはインスタンス、コンテナ、データベース、ストレージなどの簡素化された総合的なサービスを提供することが違い
簡易なWEBアプリケーションを即時に立ち上げる際はAmazon Lightsailコンソールは、設定プロセスをガイドし、多くの場合はコンポーネントがすでに設定されている。
●Amazon RDSデータベースをオンプレミス環境でも利用可能とするサービス
AWS Outposts
AWS Outpostsはほぼすべてのデータセンターなどのオンプレミス環境に対して、AWSのインフラストラクチャおよびサービス、API、ツールを展開する事ができるサービス
Amazon RDS on AWS Outpostsでは、クラウドと同様に、オンプレミスでMySQLやPostgreSQLリレーショナルデータベースをセットアップ、運用、スケーリングする事ができる
●オンプレミス環境からAWSへの移行後に支払う必要がないコスト要素
・データセンターの利用料金
・インフラ導入コスト
●すべてのボリュームタイプで複数のEC2インスタンスにマウントして共通ストレージとして利用できるサービス
EFS
AWS EFSは、Amazon EC2から接続できるスケーラブルなファイルストレージを提供する
EFSファイルシステムを作成し、ファイルシステムをマウントするためにインスタンスを設定できる
EBSは単一のEC2インスタンスにしかアタッチできないが、EFSは複数インスタンス間で共有することができるのが特徴
●統一されたユーザーインターフェイスを介して複数のAWSサービスからの運用むけデータを表示して、運用上の問題を検出したり、パッチ管理を自動化するなどして運用タスクを自動化する事が可能なサービス
AWS Systems Manager
AWS System Managerは、AWSで利用しているインフラストラクチャの運用状況を可視化して、制御するためのサービス
統一されたユーザインターフェイスを介して複数のAWSサービスからの運用むけデータを表示して、運用タスクを自動化する事ができる
●Amazon EC2のイメージ作成やメンテナンスタスクを自動化するサービス
Amazon EC2 Image Builder
Amazon EC2 Image Builderはイメージの作成、テスト、メンテナンスなどを自動化するパイプラインを作成し、イメージをセキュアで最新に保つ労力を最小化する事ができる
●AWSサービスへのプログラム呼び出しを認証するために使用される、認証方法
アクセスキー
AWSサービスへのプログラム呼び出しを認証するために使用されるのはアクセスキーとシークレットアクセスキー
AWSサービス側でアクセスリクエストを認可させるためにアクセスキーIDとシークレットアクセスキーを使ってリクエストに署名する事ができる
●EC2インスタンス起動時の「ストレージタイプの選択」において、選択できるストレージタイプ
AWS EBS
AWS EBSは、実行中のインスタンスにアタッチできる耐久性のあるブロックレベルのストレージボリュームを提供する
EC2インスタンスを起動する際はインスタンスストアもしくはEBSを選択することが求められる
最初に設定されたボリュームがルートボリュームとなる
●顧客がモバイルアプリケーションに認証できるようにするためのサービス
Amazon Cognito
Amazon Cognitoを使用すれば、ウェブアプリケーションおよびモバイルアプリにユーザーのサインアップ/サインイン機能とアクセスコントロール機能を追加できる
これによって、ユーザーはユーザー認証を実施する事ができる
Amazon Cognitoは、ウェブアプリケーションやモバイルアプリケーションの認証、許可、ユーザー管理をサポートしている
ユーザーは、ユーザー名とパスワードを使用して直接サインインするか、Facebook、Amazon、Googleなどのサードパーティーを通じてサインインできる
●RDSのプライマリデータベースが応答しない場合に自動フェールオーバーを実行する機能
RDSのマルチAZ構成
RDSにおいてプライマリデータベースが応答しない場合の自動フェールオーバーはマルチAZ配置機能によって実施される
マルチAZ展開によってRDSのデータベース(DB)インスタンスの可用性と耐久性を強化する事ができる
マルチAZ DBインスタンスをプロビジョニングすると、RDSは自動的にプライマリDBインスタンスを作成し、異なるAZのスタンバイインスタンスにデータを同期的に複製する
各AZは物理的に独立したインフラストラクチャ上で動作し、信頼性が高くなるように設計されている
プライマリーDBでの障害発生時、RDSはスタンバイへと自動フェイルオーバーを実行する。
※RDSのリードレプリカでも災害対応として、リードレプリカをマスターDBとして独立させることは可能だが切替によるダウンタイムが生じフェールオーバーのような素早い切り替えはできない
●RDSのバックアップを定期的に保存するために利用されるストレージ
S3
Amazon RDSではDBインスタンスの自動バックアップはデフォルトでAmazon S3に取得され、指定した期間保存される。さらに、スナップショットを作成することも可能。
スナップショットはユーザー起動型のインスタンスバックアップで、明示的に削除するまで保持される。
RDSのスナップショットもS3に保存される
●世界中のユーザーに対して地理的に近いエンドポイントにアプリケーションのトラフィックを高速に処理するためのサービス
AWS Global Accelerator
AWS Global AcceleratorはAWSの有するグローバルなインフラネットワークを利用して、ユーザートラフィックのパフォーマンスを最大60%向上させるネットワーキングサービス
これによって、インターネットが混雑している場合にパケット損失、ジッター(信号的なズレ)、レイテンシー(遅延時間)を一貫して低く保ち、ローカルまたは世界中のユーザーに提供するアプリケーションの可用性とパフォーマンスを改善する
AWS Global Acceleratorはユーザーからアプリケーションへのパスを最適化し、TCP及びUDPトラフィックのパフォーマンスを改善する。アプリケーションエンドポイントの状態を継続的に監視し、異常なエンドポイントを検出し、1分以内に正常なエンドポイントにトラフィックをリダイレクトする
●クラウドを利用してインフラを構築するメリット
・素早さと柔軟性が高い
・物理的な設定やセキュリティを気にしなくて良い
●AWSを利用したイノベーションを推進するために、かつAWS上のプロジェクトを円滑に進めるために利用かのなサポート
・AWS re:Post
AWS re:PostはAWSユーザーが技術的な障害を取り除いて、イノベーションを加速するためのコミュニティ型の質問応答サービス
AWS上のワークロードに関連するあらゆる質問をすることができコミュニティのエキスパートから回答を得ることが可能となる
・AWS IQ
AWS上のプロジェクトにおけるAWS認定サードパーティエキスパートの利用を支援するサービス
作業を支援してくれるエキスパートを発見して、作業依頼などを円滑に進める事ができる
●AWSリソースを検索し、一括でタグの編集することができるサービス
タグエディタ
タグはAWSリソースを特定し、整理するのに使用できるメタデータ
タグはリソースを構成する際にコンソールから追加する事ができるが、一度にタグを追加したり、タグを編集または削除するには、タグエディタを使用する
●1日間だけ利用するキャンペーンサイト向けに利用する、中断することができないEC2インスタンスの購入オプション
オンデマンドインスタンス
※スポットインスタンスは一時的に借りている予備のインスタンスであるために、突如停止する可能性があるので今回の要件には合致しない
●ウェブアプリケーションが特定のイベント期間に高トラフィックが予想される時、AWSからの支援策として提供されているもの
AWSインフラストラクチャイベント管理
AWSインフラストラクチャイベント管理では、ビジネスを左右する重要な時期にガイダンスやリアルタイムのサポートを受けることができる
AWSエキスパートがイベントの計画に関わり、アーキテクチャや運用に関するガイダンスやアプローチを教えてくれたり、リアルタイムのサポートを提供してくれる
●AWSの利用規定に従ったEC2インスタンスのペネトレーションテストの特徴
AWS側からの許可なしに、顧客がEC2インスタンスへのテストを実施する事ができる
責任共有モデルにおいてEC2インスタンスに対するセキュリティなどは顧客側の責任範囲とされており、EC2インスタンスへのペネトレーションテストは顧客が自由に実施する事が可能
よって、AWS側への申請や許可なしに、顧客がEC2インスタンスへのテストを実施する事ができる
●クラウドセキュリティの7つの設計原則
・強力なアイデンティティ基盤の実装
最小権限の原則を実装し、役割分担を徹底させ、各AWSリソースとの通信において適切な認証を実行する
権限の管理を一元化し、長期的な認証情報への依存を軽減あるいは解消する
・トレーサビリティ(追跡可能)の実現
ご使用の環境に対して、リアルタイムで監視、アラート、監査のアクションと変更を行う事ができる
システムにログとメトリクスを統合し、自動で応答してアクションをとる
・全レイヤーへのセキュリティの適用
外部に接する単一のレイヤーを保護する事だけに重点を置くのではなく、深層防御をその他のレイヤーにも適用してセキュリティをコントロールする
全てのレイヤー(エッジネットワーク、VPC、サブネット、ロードバランサー、全てのインスタンス、オペレーティングシステム、アプリケーションなど)に適用する
・セキュリティのベストプラクティスの自動化
自動化されたソフトウェアベースのセキュリティメカニズムにより、スケール機能を改善して、安全に、より早く、より費用対効果の高いスケールが可能になる
バージョン管理されているテンプレートにおいてコードとして定義および管理されるコントロールを実装するなど、セキュアなアーキテクチャを作成する
・伝送中及び保管中のデータの保護
データを機密性レベルに分類し、暗号化、トークン分割、アクセスコントロールなどのメカニズムを適宜使用する
・データに人の手を入れない
データに直接アクセスしたりデータを手動で処理したりする必要を減らす、あるいはなくすメカニズムとツールを作成する。こ俺により、機密性の高いデータを扱う際のデータの損失、変更、ヒューマンエラーリスクを軽減する
・セキュリティイベントへの備え
所属組織の要件に合わせたインシデント管理プロセスにより、インシデントに備える。
インシデント対応シュミレーションを実行し、自動化されたツールを使用して、検出、調査、復旧のスピードを上げる
●AWS CLIの初期設定時に必要となる情報
・アクセスキー
・シークレットアクセスキー
・AWSリージョン
●予測不可能なアクセスパターンを持つデータを保存するのに最適なS3ストレージクラス
Amazon S3Intelligent Tiering
●DynamoDBを利用しない方がいい例
銀行の振込処理
DynamoDBは複雑なトランザクション処理が発生する業務システムには利用すべきではない
DynamoDBはNoSQLデータベースであるため、JOIN/TRANSACTION/COMMIT/ROLLBACKが必要な処理には向いていない
●AWSの責任共有モデルにおいて、AWS側において実行される管理内容
・インフラのパッチ適用
・インフラの構成管理
●AWS Artifact
AWS ArtifactはAWSアカウントの契約やAWS側のコンプライアンスレポートなどの重要なコンプライアンス関連情報にかかる一元管理型のリソース
AWS ArtifactではAWSのセキュリティ及びコンプライアンスレポートと特定のオンライン契約にオンデマンドアクセスできる
AWS Artifactには、Service Organization Control(SOC)、Payment Card Industry(PCI)レポート、AWSセキュリティ制御の実装と運用の有効性を検証する、さまざまな地域やコンプライアンス垂直市場の認定機関からの認定が含まれる
AWS Artifactで利用可能な契約には、事業提携契約(BAA)と機密保持契約(NDA)が含まれる
●マルチアカウントのAWS環境をできるかぎり安全にセットアップする方法を自動化することで、全てのIAMユーザーに対してリソースの安全な利用を制御する事ができるサービス
AWS Control Tower
AWS Control TowerはAWS Organizationsと連携して複数アカウントに対してランディングゾーン(事前設定された安全な環境)の設定を自動化するサービス
多数のアカウントを保有しているマルチアカウントのAWS環境において、継続的なポリシーの取得及び統合ダッシュボードを利用することにより、各アカウントのセキュリティ設定の統合を行う
●DynamoDBによるクロスリージョンレプリケーション
・DynamoDB Streamsを有効化する必要がある
DynamoDBのクロスリージョンレプリケーションでは複数のAWSリージョンにまたがって自動的にレプリケートされるテーブルを作成できる
これにより、レプリケーションプロセスを管理することなく、高速で大規模にスケールされたグローバル規模のアプリケーションを構築できる。
※DynamoDBによるクロスリージョンレプリケーションを実行するためには、まずはDynamoDB Streamsを有効化する必要がある
●DynamoDBストリーム
DynamoDBテーブルに保存された項目の追加・変更・削除の発生時の履歴をキャプチャできる機能
ユースケース
データ更新をトリガーとして処理を実行するアプリケーション機能や、DynamoDBテーブルのレプリケーションに活用できる
●垂直スケーリング
拡張方法
スケールアップ:メモリやCPUの追加・増強
低減方法
スケールダウン:メモリやCPUの削減・低性能化
●水平スケーリング
拡張方法
スケールアウト:処理する機器/サーバー台数を増加する
低減方法
スケールイン:処理する機器/サーバー台数を低減する
●リザーブドインスタンス(RI)またはSavings Plansの集計使用率とカバレッジメトリクスを管理するAWSサービス
AWS Budgets
AWS Budgetsは予算設定管理をするサービス
AWS Budgetsを利用すると、予算を設定に対してコストまたは使用量が予算額や予算量を超えた際などにアラートを通知する事ができる。また、リザーブドインスタンス(RI)またはSavings Plansの集計使用率とカバレッジメトリクスをモニタリングできる
●AWSサービスの中で、EUなどで求められる業界標準の暗号化対応実施を保証するために利用されるサービス
AWS CloudHSM
AWS CloudHSMは、クラウドベースのハードウェアセキュリティモジュール(HSM)
これにより、AWSクラウドで暗号化キーを簡単に生成して使用できるようになる
こちらは暗号化キーのコンプライアンス対応として利用するもの
AWS CloudHSMを使用すると、PKC#11、Java Cryptography Extensions(JCE)、Microsoft CryptoNG(CNG)ライブラリといった業界標準のAPIを使用して、カスタムアプリケーションを統合できる
また、キーを他のHSMソリューションに転送して、AWS内外にキーを簡単に移行することもできる
●AWSリソースの監査に利用する証拠収集を自動化できるサービス
AWS Audit Manager
AWS Audit ManagerはAWSリソースの使用状況を継続的に監査して、リスクとコンプライアンスの評価方法を簡素化するサービス
監査に利用する証拠数集を自動化することで、クラウドでの監査機能を拡張できるようにする
Audit Managerを使用すると、ポリシー、手順、及び活動(コントロールとも呼ばれる)が効果的に機能しているかどうかを簡単に評価できる
●AWSを利用して優れたアーキテクチャを設計するためには、どのような設計原則を考慮する必要があるか
・AWSベストプラクティス
AWSではAWSベストプラクティスという設計原則を公開しているこうした原則はAWSホワイトペーパーなどにより、確認・学習する事が可能
・Well Architected Framework
Well Architected Frameworkは、クラウドアーキテクトがアプリケーション向けに実装可能な、安全で高いパフォーマンス、障害耐性を備え、効率的なインフラストラクチャを構築するのをサポートする目的で開発されました。
このフレームワークでは、6つの柱(運用上の優秀性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化、サステナビリティ)に基づいて、ユーザーとパートナーがアーキテクチャを評価し、時間と共にスケールする設計を実装するための一貫したアプローチが提供される
●AWSクラウドコンピューティングサービスの信頼性の要素
・障害からの早期復旧
・自動プロビジョニング
●AWS Snowball Edge種類
・Snowball Edge Storage Optimized
ブロックストレージとAmazon S3と互換性のあるオブジェクトストレージの両方、及び24このvCPUを提供する。ローカルストレージや大規模データ転送に最適
・Snowball Edge Compute Optimized
ネットワーク外環境における高度な機械学習およびフルモーションビデオ分析などを実行するアプライアンス
52このvCPU、ブロックストレージとオブジェクトストレージ、オプションのGPUを提供する。
Snowball EdgeでEC2 AMIの実行やAWS Lambdaコードのデプロイを行うことにより、機械学習や他のアプリケーションでローカルに処理及び分析を行う事ができる