Amazon Route 53
アウトバウンドエンドポイント
アウトバンドへの転送ルールはVPCに紐づける必要がある
ルール
ネットワークの DNS リゾルバーに転送するクエリのドメイン名を指定するには、1 つまたは複数のルールを作成します。各ルールは 1 つのドメイン名を指定します。次に、ネットワークにクエリを転送する VPC にルールを関連付けます。
Aliasレコード
実態はAレコードやCNAMEレコードでも、レコードの作成時にAliasの指定ができる。
ELBなどはIPが変更される可能性があるので、そもそもAliasレコードで作成される。
AWS サポートプラン
プラン変更
変更用ポリシーを持つIAMで変更可能。ルートユーザーでなくても可能。
EC2
システムチェック
インスタンスのホスト上で問題が起きているか確認する。
システムチェックがエラーの場合、インスタンスを一度停止し、インスタンスが実行されるホストを変更する必要がある。
(インスタンスが停止され、再起動すると実行ホストが変更される)
インスタンスステータスチェック
活動しているインスタンス上で問題が起きているか確認する。
メモリの枯渇やファイルシステムの破損などが原因で失敗と判定されることがある。
AWS Systems Manager
Systems Manager Distributor
サードパーティソフトウェアをAWS Systems Managerドキュメント化するサービス。
このサービスでパッケージングすることで、state Managerなどで簡単に使用することができる。
ELB
ALB
7層を扱うので、リスナーはHTTPやHTTPS
NLB
4層を扱うので、リスナーはTCPやUDP
スキーム
外部インターネット向きか、VPC内部向きか選択することができる。
Cloudfrontを前段に設置する場合は、外部インターネット向きで作成する必要がある。
Savings Plans
概要
1年または3年の期間コミットメントした料金で割引をうけることができる。
Compute Savings Plans
柔軟性が高く、インスタンスファミリーやリージョンなどを変更できる。
利用率の監視
SavingsPlansUtilizationメトリクスが存在する。
S3
Glacierの取り出し時間
Glacier Instant Retrieval:即時
Glacier Flexible Retrieval:迅速(5分未満)、標準(3~5時間)、大容量(5~12時間)
Glacier Deep Archive:標準(12時間)、大容量(48時間以内)
AWS OpsWorks
概要
Chef や Puppet のマネージド型インスタンスを利用できるようになる構成管理サービスです。
いにしえソフトをクラウドで実行するツール?
Amazon Athena
概要
S3内のファイルをSQLでクエリできるサービス。
RDS
Aurora Global Database
別リージョンにセカンダリークラスターがレプリケートされる。
IAM
IAMユーザー作成の検知
AWS CloudTrailで検出する。
CloudWatch
メトリクスフィルター
CloudWatch logの中から特定のパターンのログの出現をメトリクスにpushする機能。
サブスクリプションフィルター
CloudWatch logをstream系のサービスにデリバリする機能。
CloudWatchエージェント
procstatプラグイン
インスタンス上で実行されているプロセスをcloudwatch metricsに転送することができるプラグイン。
Cloudfront
代替ドメイン設定機能
Cloudfrontは自身の認識しているドメインでのアクセスしか受け付けない(Route53でCNAME設定するだけではダメ)。
そのため、Cloudfrontの代替ドメイン設定とRoute53のレコード作成どちらも必要
Amazon Detective
概要
Amazon VPC Flow Logs、AWS CloudTrail ログ、Amazon EKS 監査ログ、統合された AWS のサービスから AWS Security Hub に送信された検出結果、Amazon GuardDuty の検出結果などの複数のデータソースからインシデントを検査するサービス。
Amazon GuardDuty
概要
悪意のある操作や不正な動作などアカウント全体を継続監視するサービス。
セキュリティグループ
デフォルト値
インバウンド/アウトバウンドどちらも全てのトラフィックを許可している。