SAPめも！

AWS Control Tower

① 概要

AWS Organizations管理下で各アカウントをSCPやConfigで統制するサービス

② ランディングゾーン

管理用アカウント、ログアーカイブ用アカウント、監査アカウント（Configアグリゲータをまとめる）からなるAWS Organizationsの運用形態

③ ガードレール

SCPからなる予防的ガードレールと、Config Rulesからなる発見的ガードレールが存在する

IAM

① セッションタグ

aws cliやIdPを利用したフェデレーション時などに、セッションタグを設定できる
セッションタグでは、そのsts中だけIAMロールにタグが付与される
タグベースでリソース管理したい場合に、IdPの持つ情報をロールの持つタグに埋め込む時などに使う

CodeArtifact

① 概要

npmなどのパッケージマネージャーがダウンロードするモジュールを保存できる？
自由にnpmさせたくないとか？メリットがよくわからん

VPC

① VPCエンドポイントサービス

サービス提供側が、VPCを超えてprivateにサービスやリソースにアクセスするエンドポイントを作成・共有するサービス

② VPCエンドポイントのオンプレ環境からの使用

ゲートウェイエンドポイントではできない
ゲートウェイエンドポイントはAWSの名前解決が必要だから？

③ Direct Connect Gateway

オンプレとVPCをつなぐGateway
VPCとVPCをつなぐわけではない（そっちはTransit）

めっちゃわかりやすい

オンプレから複数リージョンつつける

④ VPCピアリング

リージョンまたぎできる
Transitの弱い版

⑤ Direct ConnectのVIF

pirvateだとVPCリソースしかさわれない
publicだとVPC外リソースもさわれる

⑥ Direct ConnectのVIF～トランジットVIF～

通常のVIFは一つのVPCにしか接続できない

⑦ 仮想プライベートゲートウェイ

VPCの前に置く、つつかれる側のゲートウェイ

⑧ Site-to-Site VPN

仮想プライベートゲートウェイとトランジットゲートウェイで接続

⑨ サブネットのCIDRブロックの変更

後からできないので、再作成する必要があり

⑩ トランジットゲートウェイ

トランジットゲートウェイルートテーブルを各VPCに作ることができる
全部トランジットしたり、一部VPCにはトランジットさせなかったりできる

AWS Network Firewall

① 概要

フィルタリングとか、侵入検知とかしてくれる

AWS Budgets

① 日次チェック

できる。期間を指定できる

AWS Cost Anomaly Detection

① 概要

月次で異常なコストを検出してくれる
https://zenn.dev/cureapp/articles/cost-anomaly-detection

Application Load Balancer

① スティッキーセッション

ALBだけ。NLBにない

② リスナールールで重みづけターゲットグループ

できる

Network Load Balancer

① クライアントIPアドレス保持

クライアントのIPを保持したままターゲットグループにアクセスする設定

Gateway Load Balancer

① 概要

ファイアウォール的な感じのインスタンスをロードバランシングする際に使うと良いっぽいELB

SES

① SMTP

SDKなどでAPI送信もできるし、レガシーなSMTP通信も対応している

DynamoDB

① DynamoDB Accelerator（DAX）

DynamoDB前にインメモリキャッシュを作成する機能
読み取りパフォーマンスを強化する
DAXを有効化しても、書き込みはDynamoDBエンドポイントに送る

② DynamoDBのイベント通知

テーブルレベルのイベントしか受信しない
レコードレベルのイベントはDynamo Streamで検出する

Amazon RDS

① クロスリージョンレプリカ

リードレプリカしか作れない

Amazon Aurora

① クローン

一瞬で終わる

② データベースアクティビティストリーム

できる。すごいな

③ マルチリージョン構成

セカンダリーリージョンを指定してDBクラスターに追加できる
postgreSQLだとリードレプリカしかレプリケーションできない？

その代わり？書き込みフォワードという機能はある。これを使うと同期はできる

Amazon Managed Service for Prometheus

① 概要

なんこれ。Prometheusっていう既存のアプリがあって、そいつを動かすコンテナ環境を作ってくれるらしい
スケーラビリティと可用性が担保される

Compute Optimizer

① 概要

EC2やlambda、ECSなどのComputeするリソースを機械学習でスキャンして最適なサイズや推奨コストを出してくれる

② 自動エクスポート

ない
Export${ComputeResource}Recommendations APIを使用する

Amazon Kinesis Data Streams

① 拡張ファンアウト機能

コンシューマー側で工夫することでstreamの処理を早めることができる
意味不明

② スループットのスケーリング

自動では行ってくれず、手動でシャードを追加する必要がある
Firehoseは自動でスケーリングする。リアルタイムとトレードオフ

S3

① S3 Multi-Region Access Points

マルチリージョン間のS3バケットを1つのエンドポイントからアクセスできるサービス
フェイルオーバーやレプリケーションの設定も可能

また、エンドポイントからs3への通信はAWS専用線で行われる（らしい）

② Standard → Glacier Deep Archiveへの移行

ライフサイクルポリシーで行う。直操作は不可能

③ アクセスポイント

vpcからのアクセスオンリーで作成できる

API Gateway

① DynamoDBと直接やりとり

できる。Dynamoだけじゃなく色んなAWSサービスとやりとりできる

② カスタムメソッド

非対応

③ HTTP Gateway

REST APIのしょぼい版？
マッピングテンプレートを使用できない

AWS Schema Conversion Tool

① 概要

ソースDBのスキーマ・オブジェクトをターゲットDBにマイグレーションするツール
DMSの下処理

AWS Firewall Manager

① 特徴

アカウントまたは組織で一元的にFWなサービスのルールなどを管理できる
WAFやSGなど

AWS Storage Gateway

① ファイルゲートウェイ

NFSかSMB
直接ゲートウェイサーバーを経由してS3にファイルを保存しにいく

② ボリュームゲートウェイ

iSCSI
ローカルのファイルを、非同期でAWS（S3・EBS）にバックアップしていく
キャッシュ型と保管型があり、前者では頻繁にアクセスされるデータのみローカルに保存しておく
どちらも非同期でデータの全量がS3・EBSにバックアップされる

AWS Service Catalog

① Tag Option

サービスカタログから作成するリソースに、一貫したタグを付与することができる機能

AWS Data Exchange

① 概要

データレイクをサブスク形式で公開できるサービス

AWS Backup

① 実際のフロー

vaultという単位にバックアップを保存していく

② AWS Backup Vault Lock

S3のオブジェクトロックと同じ機能
ガバ・・・一部はいける
コンプラ・・・誰も無理

③ 主な対象リソース

EC2、EBS、RDSデータベースなど。。。
S3はバックアップできない

AWS App2Container

① 概要

JavaやPythonなどのアプリをコンテナ化する

AWS Workspaces

① 概要

仮想デスクトップ環境を提供するサービス

② MFA認証の追加

RADIUSというソフト？をインストールしたEC2を用意する

AWS AppStream 2.0

① 概要

特定のアプリのみのデスクトップ環境を提供するサービス

AWS Global Accelerator

① ユーザーを適切なエンドポイントに振り分け

できる

AWS Budgets

① 固定予算

設定できる。そりゃそうか

Amazon FSx for OpenZFS

① 概要

POSIX準拠のアクセス制御をしたいならEFSじゃなくこっち

AWS DataSync

① 概要

オンプレとAWSで大量のデータを転送するサービス
定期スケジュール実行やフィルタリングなども可能

AWS Elastic Disaster Recovery

① 概要

オンプレのサーバー、VMwareの仮想サーバー、EC2インスタンスを主に対象にDRできる

② フェイルバック機能

ある。元のリソースが元気になったらもとに戻せる

S3

① EFS、FSxと直接統合

できない。DataSync使うとかが必要

② S3 ストレージレンズ

ひとつ作るだけでアカウント、リージョンをまたいで一望できる
コスト最適化のための推奨事項も提供してくれる

③ S3 Transfer Acceleration

エッジロケーションを利用して通信を高速化する
レイテンシーの遅さの原因がロケーションである場合、マルチパートアップロードより効果的かもしれない

④ ストレージクラス分析

Standard IAへの移行が必要か判断する

⑤ レプリケーションルール

プレフィックスなどでフィルターできる

⑥ S3 Replication Time Control

レプリケーションの時間管理ができる。ここまでに終わらせてください、って設定できる

Cloudfront

① フィールドレベル暗号化

オリジンへリクエストを送る前に、特定のデータを暗号化する機能
暗号化はRSA非対称鍵を使って行われる

公開鍵と秘密鍵を分けるので、ディストリビューションは公開鍵だけ持っておけばオッケーになる
また、RSAのほうが高速に暗号化できるため、エッジでの処理が速くなる

② カスタムメソッド

非対応

③ オリジンフェールオーバー

プライマリとセカンダリからなるオリジングループを作成することで、フェールオーバーできる
ディストリビューションを2つ作る意味はない

AWS Directory Service

AWS上でMicrosoft Active Directoryを使用できるようにするサービス
Microsoft Active Directoryを作ったり、既存のもにリダイレクトしたり色々選べる

① Managed Microsoft AD

Microsoft ADをAWS上で構築する

② AD Connector

オンプレのMicrosoft ADにリダイレクトさせる
簡単

③ Simple AD

Samba4という謎のAD基盤を構築する
MSADに比べ昨日がしょぼい

VPC

① VPCピアリング

異なるリージョン間でもピアリングできる
VPCのCIDR範囲が被ると、ルートテーブルが困るので、エラーになる

② VPC DHCPオプションセット:

DHCP（Dynamic Host Configuration Protocol）
VPC内で名前解決をサポートする？リソース
domain-name-servers=AmazonProvidedDNS を指定することで、AWSのDNSを使用できる
AWSのDNSを使用すると、プライベートホストゾーンのDNSを参照できる。
ただ、デフォルトではDHCPオプションはdomain-name-servers=AmazonProvidedDNS なので、あまり意識しなくてもいい。事故防止で指しても良い

AWS IAM Identity Center

① 概要

AWSでSSOする時に使う
このリソースで、SSOしてきたユーザーに対してIAMの紐づけが可能

AWS Application Discovery Service

① 概要

オンプレのサーバーにインストールし、リソースの使用状況やプロセス、ネットワークトラフィックパターンを調査するサービス
AWS Migration Hubと統合されており、この情報をインプットに移行先EC2のスペックなどを計画できる

AWS Server Migration Service

① 概要

仮想サーバーをマイグレーションするためのツール

Migration Evaluator

① 概要

オンプレのなんらかのツールでエクスポートした情報をもとに、予算とかコスト面のことをエクスポートしてくれる

Hyper-Vホスト

に直接インストールできる

IAM Access Adoviser

① 概要

そんなサービスはない
APIなどを使用し、リソースへのアクセス履歴などを参照できる

IAM Access Analyzer

① 概要

IAMやロール・ポリシーによって、どのサービスがどういったアクセスをうけるか？を確認するサービス

めっちゃわかりやすい

AWS Key Management Service

① 対象キー

暗号化も複合化も同様のキーを使用する方式
kms:GenerateDataKeyオペレーション

② 非対象キー

暗号化と複合化で異なるキーを使用する方式
公開鍵と秘密鍵のやつ。RSAのやつ
kms:GetPublicKeyオペレーション

③ キーの選択

オブジェクトアップロードなどの容量大きい奴とかは対象キーでの暗号化が良い
セキュリティをしっかりしたい場合、非対称キーが最強

④ マルチリージョンキー

マルチリージョンなキー

AWS Organizations

① 新しいメンバーアカウント作成作業

管理アカウントに新しいロールが作成される
そのロールを使用することで、新メンバーアカウント内でIAMユーザーのさk末井が可能

② 機能セット

一括請求のみ or 全ての機能という意味不明な選択ができる

AWS Resource Access Manager

① 概要

AWSリソースのアカウント内外のアクセスを管理できるサービス
Organizations管理アカウントでリソース共有機能を有効化すると、組織間でサービスの共有が可能となる
（共有というより、中央アカウントで一括作成し、一部リソースを別組織アカウントに振り出す感じか）

自アカウントのリソースを別アカウントに共有するサービス
クロスアカウントアクセスなどを簡単にセットアップできる
IAMはアクセス制御目的で使用する
RAMはリソースの共有目的で使用する

IAMでの制御はワークロードの中
RAMでの共有は普段の業務、みたいな？

EC2

① Elastic Fabric Adapter

HPCするEC2にオススメのネットワークアダプタ
ENIとかより早いらしい

② EC2 Instance Connect

接続時に一時的なSSHキーを作成する
SSHキーの管理不要！

③ 停止・再起動

ハードウェアが変更される
クラスタープレイスメントしてても同様で、キャパシティ不足が治るかも（なんじゃそら）

ElastiCache (Redis OSS)

① 通信の暗号化

AUTHっていう値をやりとりすることで実施できる
作り直さなくていい！RDSと違う！

② Dynamoとの相性

よくない。RDSのキャッシュ層として運用するのが良い
DynamoでキャッシュはDAX

Amazon Pinpoint

① 概要

SMSやプッシュ通知をユーザーに送ることができるサービス

AWS Migration Hub

① 概要

オンプレ→AWSクラウドへの移行をサポートするサービス
AWS Application Discovery AgentやAgentlessコネクタでオンプレの情報を検出後、アプリケーションという単位でグループ化する
AWS Server Migration ServiceやAWS Database Migration Serviceを利用して移行を実行できる
また、移行作業の追跡もできる

② EC2推奨機能

最適なインスタンスの推奨やコスト予測ができる

Amazon Data Lifecycle Manager

① マルチリージョン機能

デフォではない

IAM

① IAM SAMLプロバイダー

IdpとSAML認証でIAMロールを引き渡すリソース
IdPは、このリソースのArnとIAMロールのArnを指定し、フェデレートする

AWS Outposts

① 概要

AWSリソースをオンプレミス環境で実行できる

EC2 Savings Plans

① 値段

Compute Savings Plansより安い
インスタンスファミリーを選ぶ必要あり

VPC

① VPCピアリング

リージョンを超えることができる！
RAM共有はいらない

AWS Organizations

① RemoveAccountFromOrganization

管理者アカウントから実行する

② Saving Plan共有

管理者アカウントから実行する

③ コスト配分タグ設定

管理者アカウントから実行する

AWS Control Tower

① ランディングゾーン

ログ集約アカウントや、config統合アカウントをサクッと作ってくれる

② プロアクティブガードレール（コントロール）

AWS CloudFormationでリソースを作成する際にルールを適用できる
AWS CloudFormation Hooks を利用しているらしい

③ アカウント作成時に設定する

アカウント作成後の設定はできない

ElastiCache vs DynamoDB

① ElastiCache

キャッシュ、セッション、リアルタイムランキング（超早いといけないもの）

② DynamoDB

永続データ、高頻度「書き込み」（IOTとか）

AWS RAM

① 異なるリージョン間共有

できない

cloudfront

① カスタムメソッド対応

してない

② オリジングループ

1つ目のオリジンのレスポンスのHTTPステータスコードで分岐できる

AWS Shield Advanced

① 概要

レイヤー3,4,7でDDoSを防げる
DDoSゆるさない

EC2

① 予測スケーリングポリシー

過去のデータを分析して、トラフィックフローパターンを計測し、動的にスケーリングする

HTTP API Gateway

① 統合先

lambda、SQS、Kinesis、sfnと統合できる
DynamoDBなどは無理

AWS Backup

① 対象サービス

EC2やEBS、RDS

EBS

① アカウントレベルでのデフォルト暗号化

できる。鍵も選べる

Amazon ElastiCache for Memcached

① DynamoDBのキャッシュ

あまり向いてない。単純なkey:valueをインメモリしたい時に使おう

AWS DataPipeline

① 概要

大規模なデータ処理に向いてる
GUIで設定したり、簡単なGlueって感じ
オンプレとも連携できる

AWS DataSync

① 概要

データの転送とその高速化に向いてる

AWS Migration Hub

① 実際の様子

こんな感じらしい

② Athena, QuickSightと連携

できる

③ AWS Application Migration Service

物理マシンも仮想マシンも移行できるサービス
エージェントいる

④ AWS Server Migration Service

仮想マシンをAWSクラウドへ移行させるサービス
エージェントレス

⑤ AWS Agentless Discovery Connector

VMwareベースの環境向けに設計されているMigration前のデータ収集ツール

⑥ AgentlessなCollector

仮想デスクトップはこっち
詳細な情報は得られない。ネット経由でスキャンするだけだから

⑦ AWS Migration Hubインポートツール

オンプレの情報をMigration Hubにインポートする

Migration Evaluator

① 概要

主にコスト面を気にしつつ移行計画を考えてくれる

② エージェントレスコレクタ

Hyper-Vホストにいれるならこっち

AWS Cloud Readiness Assessment (CRA)

移行前にそもそも会社がクラウドの恩恵を受けられるか？を47の質問に答える形で確認する
たぶん、旧AWS Cloud Adoption Readiness Tool（CART）

AWS Database Migration Service

① レプリケーションする

レプリケーション手段としても活用できる

Babelfish for Aurora PostgreSQL

① 概要

Oracle製のDatabaseをPostgreSQLで処理できるようにしたDB
Babelfishというソフトが良い感じにしてくれるらしい

EFS

① POSIX

UNIX用のソフトウェアが準拠してる基準
なんかわからんけど、EFSはそれを守ってるらしい

VPCピアリング

① VPCゲートウェイエンドポイント

オンプレから利用できない。VPCのDNSを使うから？

VPC

① トランジットゲートウェイピアリング

異なるリージョン同士のトランジットゲートウェイをピアリングできる

② AWS Site-to-Site VPN

企業のオンプレVPNとAWS VPCを接続する
インターネット回線

③ AWS Client VPN

VPCとリモートクライアントが接続できるようになるVPNサービス
インターネット回線

VPC Gateway Load Balancer

① VPC Gateway Load Balancer エンドポイント

Gateway Load Balancerを使用するために作成するネットワークインターフェース

Rest API Gateway

① 使用量プラン

キーを複数作れるので柔軟に対応できる

S3

S3 Access Points

S3所持アカウントで作成する
アクセスポイントごとに個別のarnが払い出される
アクセスポイントごとにバケットポリシーを付与できる