AWS Systems Manager
State Manager
cron式などで、グループ化されたマネージドノードに対して一括でRunCommandできるサービス。
CloudFormation
サービスロール
デフォルトでは実行IAMのポリシーが参照される(危険)。
サービスロールを指定すると、そちらのIAMポリシーが参照される。
DeletionPolicy 属性
AWSTemplateFormatVersion: '2010-09-09'
Resources:
myS3Bucket:
Type: AWS::S3::Bucket
DeletionPolicy: Retain
スタックの出力値のエクスポート
スタック間でリソースなどの情報を共有するために、スタックから情報をエクスポートできる。
エクスポートした変数はリージョン内の別スタックから参照できる。
Client VPN
概要
インターネット回線経由でAWS VPCに接続するサービス。気軽
Direct Connect:専用線
Site-to-Site VPN:専用機器でインターネット経由
めっちゃわかりやすい↓
スプリットトンネルオプション
指定した一部トラフィックのみVPN経由にする機能。
AWS宛てトラフィックのみをVPNトンネル経由にできる。
Amazon QuickSight
概要
良い感じのBIサービス。
CloudFront
CloudFront Origin Shield
キャッシュ層を追加する機能。
リージョンをまたいでキャッシュを共有する。
IAM Access Analyzer
概要
リソースのポリシーなどを確認し、アクセス状況や可否設定を調査できるサービス。
CloudTrail イベントを分析し、 IAM ポリシーを作成することもできる。
ポートの設定などを確認するものではない。
Amazon Route 53
Aliasレコード
AWSのリソース(ELB、CloudFront, S3など)のドメインを紐づけることができるレコード。
CNAMEレコード(ドメインを返す)に似ているが、CNAMEと違ってゾーンApexドメインでも使用できる。
S3 Glacier
S3 Glacier ボールトロック
ボールトロックポリシーを用いてボールトをロックできる。
ポリシーの適用実施は24時間のテスト期間が設けられる仕組みで、設定適用後、24時間動作確認ができる。
その後、オッケー的な処理をすることで変更が完全に適用される。
EC2
プレイスメントグループ設定によるハードウェア分離
クラスタープレイスメントグループ:同一ハード上でインスタンスを実行する。インスタンス同士の緻密な連携が必要な場合に使用
パーティションプレイスメントグループ:いくつかのハードに分割され実行される。パフォーマンス気にしつつ、可用性気にする
スプレッドプレイスメントグループ:可用性全振り。全てのインスタンスを個別ハードウェア上に配置する
Compute Savings Plans
リージョンをまたいでインスタンスを作成できる。
リザーブドインスタンスはリージョンを跨げない。
KMS
キーマテリアルをインポートして作成したCMKのローテーション
キーマテリアルがAWS製のものではない場合、キーのローテーションは自動で行えない。
ローテーションする場合は、再度新しいマテリアルをインポートする必要がある。
Cloud trail
aws cliを利用したログファイルの妥当性の検証
コマンドでさっくり
DynamoDB
ディザスタリカバリ用防災手順
グローバルテーブルを作成し、DynamoDB Streamsからlambdaか何かでグローバルテーブルに同じ操作を行う。
AWS Trusted Advisor
概要
べスプラの観点で自環境のリソースをコストやセキュリティの観点でチェックしてくれる。
AWS Artifact
概要
AWSのコンプラドキュメントが掲載されているサービス。