【AWS 学習メモ】SAMLフェデレーション・EFS・NATゲートウェイ・OLTP/OLAP・Kafkaなどの整理
✅ SAML 2.0 フェデレーションと Active Directory 連携
- オンプレミスのActive DirectoryユーザーがAWSにログインできるようにするには、SAML 2.0によるフェデレーション構成が最適。
-
ADグループ ↔ IAMロールをマッピングし、適切なIAMポリシーを付与。
- GUIでのID管理を避け、大規模ユーザー管理に適応可能。
🔗 公式ドキュメント: Enabling SAML 2.0 Federated Users to Access the AWS Management Console
🧱 Amazon EFS:複数AZで共有できるファイルシステム
- 複数のEC2インスタンスから同時アクセスが可能
- スケーラブルかつマネージドなNFSストレージ
- 用途:分析処理、同時ファイルアクセスが必要なアプリなど
| 条件 |
なぜEFS? |
| 複数AZ |
✅ 対応済み |
| 同時アクセス |
✅ NFS対応 |
| 拡張性 |
✅ 自動スケーリング |
🌐 NAT Gateway:プライベートサブネットからインターネットへ出るための中継
-
プライベートサブネットのEC2が直接インターネットに出られないため、NATゲートウェイをパブリックサブネットに配置。
-
アウトバウンド通信のみ対応(インバウンド不可)
🧠 OLTP vs OLAP
| 特性 |
OLTP |
OLAP |
| 目的 |
トランザクション処理 |
データ分析 |
| クエリ |
INSERT/UPDATE |
複雑なSELECT |
| データ構造 |
正規化 |
非正規化 |
| 例 |
銀行、ECサイト注文 |
売上レポート、BI分析 |
| AWS例 |
RDS |
Redshift, Athena |
🔐 RDS 暗号化:非暗号化のDBインスタンスを暗号化する方法
- 非暗号化のスナップショットを作成
- そのスナップショットを暗号化してコピー
- 暗号化スナップショットから新しいDBインスタンスを作成
🔑 **AWS KMSのカスタマー管理キー(CMK)**を使うことで安全性を高められる。
⚡ Kafkaとは何か?(MSK / Kinesis)
- Kafkaは単なるストリーミングツールではなく、疎結合なアーキテクチャを支えるメッセージブローカー
-
リアルタイム処理 + 非同期通信 + ログ保持などに強い
- AWSでKafkaを使うなら:
- ✅ Amazon MSK:Kafkaそのまま
- ✅ Amazon Kinesis:AWS独自のストリーミングサービス
📦 Amazon FSx:マネージドなファイルストレージサービス
| タイプ |
対象 |
プロトコル |
| FSx for Windows |
Windowsアプリ |
SMB |
| FSx for Lustre |
HPC, 機械学習 |
Lustre |
| FSx for NetApp ONTAP |
エンタープライズ向け |
NFS, SMB |
| FSx for OpenZFS |
Unix系 |
NFS |
📁 SMBとは?
- Microsoft製のネットワークファイル共有プロトコル
- NASやFSx for Windowsなどで使われる
- バージョンは SMBv1〜v3(最新はv3推奨)
🔐 データ暗号化(at-rest)
- EC2 + RDS + EBS すべて AWS KMSを使って暗号化
- ユーザー側でアプリ修正不要
- GDPR、HIPAA等のコンプライアンス対策にも有効
☁️ まとめ
- ユーザー管理:SAML 2.0 + ADで統合
- ストレージ共有:EFSを選択
- NAT設計:NAT Gateway必須(プライベートサブネット用)
- 分析基盤:OLTP/OLAPを目的別に分離
- ストリーミング:Kafka(MSK) or Kinesis
- 暗号化:KMSでat-restセキュリティ確保
- FSx:用途別に選べるマネージドファイルストレージ
