AWS ソリューションアーキテクト アソシエイツ対策まとめ 合格しました💮
【事例まとめ】
VPC内に設置したEC2インスタンスに対してインターネットからアクセスできない場合
↓
・インターネットゲートウェイがサブネットに設定されていない。
・ネットワークACLの設定でインターネットアクセス許可が設定されていない。
・セキュリティグループの設定でインターネットアクセス許可が設定されていない。
・パブリックIPアドレスが付与されていない。AWS上のEC2インスタンスにホストされたアプリケーションにおいて、ユーザー数の増加に柔軟に対応するアーキテクチャ構成を達成するために利用するべきAWSサービスの組合せ
↓
このケースで利用するべきサービスは、ELB、AutoScaling、Route53、SQSが典型的なユースケース踏み出しサーバーがパブリックサブネットに設置されておりますが、アクセスができない
↓
インターネットゲートウェイの設定に不備があることや、IPアドレスの付与などが考えらるAPI Gateway トラフィック急増から守るには
↓
スロットリング制限の使用。例 1000リクエスト/秒、2000リクエスト/秒のバースト処理を構成S3Glacier へのアップロード
↓
CLI、REST API、AWS SDKを使用してリクエストを行うコードを記述。一括取得は、5〜12時間。サブミリ秒のレイテンシーのキャッシング
↓
ElastiCacheが最適同じAvailability ZoneにあるAmazon EC2、Amazon RDS、Amazon Redshift、Amazon ElastiCacheインスタンス、およびElastic Network Interfacesの間で転送されるデータ ↓
無料
グローバルサービス DRサイトの構築不要:IAM,CloudFront,Route 53,S3はグローバルサービスに分類されるがデータは特定のリージョンに保管
リージョンサービス:VPC,DynamiDB,Lambda
アベイラビリティーゾーンサービス:EC2,RDS
[EC2関連]
elastic fabric adapterはmlなどの高速処理が必要な高性能なネットワークアダプター
Auto Scalingグループの動作は以下 1.複数のAvailability Zoneにインスタンスがある場合は、最も多くのインスタンスがあり、スケールインから保護されていないインスタンスが少なくとも1つあるAvailability Zoneを選択します。この数のインスタンスを持つアベイラビリティーゾーンが複数ある場合は、最も古い起動構成を使用しているインスタンスがあるアベイラビリティーゾーンを選択 2. 選択したAvailability Zoneで、最も古い起動設定を使用している保護されていないインスタンスを判断します。そのようなインスタンスがある場合は、そのインスタンスを終了 3. 上記の基準で終了させるインスタンスが複数ある場合は、どの保護されていないインスタンスが次の請求時間に最も近いかを判断します。(これは、EC2インスタンスを最大限に利用し、Amazon EC2の使用コストを管理するのに役立ちます)。そのようなインスタンスが1つあれば、それを終了 4.次の請求時間に最も近い保護されていないインスタンスが複数ある場合、これらのインスタンスのうち1つをランダムに選択する。
Amazon CloudWatchでは、CPU使用率、ネットワーク使用率、ディスクパフォーマンス、ディスクの読み取り/書き込みを監視するためのAmazon EC2メトリクスが用意されています。
以下の項目を監視したい場合は、すぐに使えるメトリクスがないため、Perlなどのシェルスクリプトを使ってカスタムメトリクスを用意する必要があります。
メモリ使用率 ディスクスワップ使用率 ディスクスペース使用率 ページファイル使用率 ログ収集AWS Inspector
EC2インスタンスの意図しないネットワークアクセスやEC2インスタンスの脆弱性をチェックするセキュリティ評価サービスプレイスメントグループ。
クラスター(性能向上)、パーティション、スプレッド(耐障害性向上)の3種類あり。EC2のtシリーズは対象外。リザーブドインスタンス、コンバーティブルとスタンダード。
スタンダードはインスタンスファミリー/OS/テナンシー/支払オプションの変更ができません。コンバーティブルはそれらを変更できる柔軟性があるため割引率がスタンダードよりも低いDedicated HostはEC2インスタンス容量を完全に一つのアカウントのユーザー専用として利用できる物理サーバー。
インスタンスストアは、インスタンス用のブロックレベルの一時ストレージを提供します。このストレージは、ホストコンピュータに物理的にアタッチされたディスク上にあります。インスタンスストアは、頻繁に変更される情報 (バッファ、キャッシュ、スクラッチデータ、その他の一時コンテンツなど) の一時ストレージに最適
RDSにおいて、マルチAZ構成を有効にすることで、別AZにセカンダリーDBを構築することができ、フェイルオーバー構成を作ることが出来ます。フェイルオーバーによって、プライマリーDBが停止しても即座にセカンダリーDBへと移行することができます。
VPC 内の Amazon EFS ファイルシステムにアクセスするには、マウントターゲットが必要です。Amazon EFS ファイルシステムの場合:
・アベイラビリティーゾーンごとに 1 つのマウントターゲットを作成できます。
・VPC のアベイラビリティーゾーンに複数のサブネットがある場合、それらのサブネットの 1 つのみにマウントターゲットを作成できます。アベイラビリティーゾーンのすべての EC2 インスタンスは、1 つのマウントターゲットを共有できます。
[S3関連]
Amazon Macieは、Amazon S3に保存されているセンシティブなデータを自動的に発見、分類、保護することで、データの損失を防ぐことができる、MLを活用したセキュリティサービス。
AWS Storage Gateway S3へNFS、SMB、iSCSIといった標準プロトコル。EC2インスタンスだけでなくオンプレミスサーバーにS3をマウント可能。
Amazon S3のバケットは無制限。個々のオブジェクトのサイズは、最小0バイトから最大5テラバイトまでです。1回のPUTでアップロード可能な最大のオブジェクトは5ギガバイト。100メガバイトを超えるオブジェクトについては、マルチパートアップロード機能の利用を検討
【用語まとめ】
amazon MQ:オンプレの既存メッセージングかつ標準的なAPIの移行向け
Amazon SQS :最大メッセージ保持期間を超えてキューに入っているメッセージを自動的に削除します。デフォルトのメッセージ保持期間は 4 日間。SetQueueAttributes アクションを使用して、メッセージの保持期間を最大 14 日間に増やすことができます。
Application Load Balancer :リクエストレベル (レイヤー 7) で動作し、トラフィックをリクエストの内容に基づいて、ターゲット (EC2 インスタンス、コンテナ、IP アドレス、および Lambda 関数) にルーティング
aurora:レプリカは最大15台
AWS CloudHSM :クラウドベースのハードウェアセキュリティモジュール (HSM) です。これにより、AWS クラウドで暗号化キーを簡単に生成して使用できるようになります。CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理
AWS Fargate:Amazon Elastic Container Service(ECS)とAmazon Elastic Kubernetes Service(EKS)の両方と連携するコンテナ用のサーバーレスコンピュートエンジンです。Fargateは、お客様がアプリケーションの構築に集中することを容易にします。Fargateは、サーバーのプロビジョニングと管理の必要性を排除し、アプリケーションごとにリソースを指定して支払うことができ、デザインによるアプリケーションの分離を通じてセキュリティを向上。
Amazon kinesis:ストリームに追加された時点から最大24時間アクセス可能。拡張データ保持を有効にすることで、最大7日間まで引き上げ可能。
DynamoDB Accelerator (DAX)機能:主にデータベースのメモリ内読み取り性能を大幅に向上させるために使用される
lambda:関数の最大処理時間は15分。一時ボリューム最大512MB、同時実行1000、関数とストレージ75GB
Permission boundary: IAMユーザーに対して権限境界を設定して、付与可能な権限範囲をあらかじめ制限できる。
RDS Proxy:アプリケーションとRDSデータベースの間の仲介役として機能します。RDS Proxyは、必要となるデータベースへのコネクションプールを確立および管理し、アプリケーションからのデータベース接続を少なく抑える機能です。RDS Proxyは、Lambda関数からデータベースに直接流れるすべてのデータベーストラフィックを処理
Step Functions: アプリケーションの状態を維持し、アプリケーションがどのワークフローステップにいるかを正確に追跡し、アプリケーションコンポーネント間でやり取りされるデータのイベントログを保存します。これにより、ネットワークに障害が発生したり、コンポーネントがハングアップしたりしても、アプリケーションが中断したところから再開することができます。 Step Functionsでは、アプリケーションのワークフローをビジネスロジックとは別に定義・管理することができるため、アプリケーションの開発がより早く、より直感的に行えます。一方を変更しても他方には影響しません。複数のポイントツーポイントの統合の管理、監視、維持に苦労することなく、ワークフローの更新や変更を一箇所で簡単に行うことができます。Step Functionsは、関数やコンテナを余分なコードから解放するので、アプリケーションの作成速度、耐障害性、保守性が向上します。
VPCとサブネット、リージョン:同一リージョンないに最大5つのVPC可能。緩和申請も可。VPCはリージョンを超えられない。AZ内に作成できるサブネット数は最大200。IPを固定したい場合、elastic IP。エンドポイント 他のAWSアカウントに利用させることが可能
VPC:DNS hostnamesオプションの有効化でDNS名の取得可能。
Web Identity Federation Playground:SSOやオンプレとのAD連携など
x-ray:API gatewayを経由して、基礎となるサービスに移動する際にトレースし分析して
この記事が気に入ったらサポートをしてみませんか?