AWS認定資格:SAA学習メモ2
Udemy動画で取りこぼした知識やうろ覚えなものをつらつらと。。。今回はセクション6(VPC)とセクション7(S3)を
6.VPC
CIDR
- 0,1,2,3,255は使えない
サブネット
- VPCあたりのサブネット作成上限数はデフォルト200
- VPCにCIDR16, サブネットは24に設定することが推奨
- VPCの外側にあるリソースとの通信はパブリックのAWSネットワークからVPCエンドポイントを使用
VPCトラフィック設定
- セキュリティグループ
- ステートフル:戻りトラフィックの考慮が入らない
- 許可のみをIN/OUTで設定
- デフォルトでは同じセキュリティグループ内の通信のみが許可
- 必要な通信は許可設定が必要
- ネットワークACL
- ステートレス:戻りトラフィックの許可設定がいる
- サブネット単位
- 許可と拒否をIN/OUTで指定
- 番号順に適用していくやつ
Direct Connect GateWay
- 複数リージョンの複数AZから複数リージョンの複数VPCに接続するサービス
VPCエンドポイント
- Gateway型はサブネットにルートテーブルを設定し、VPC内部から直接外のサービスと通信する(無料)
- PrivateLink型はDNS名前解決でルーティング(有料)
VPC Flow Logs
- ネットワークトラフィックを取得しCloudWatchでモニタリングできるようにする
- ネットワークインタフェースを送信元/ 送信先とするトラフィックが対象
- セキュリティグループとネットワークACLのルールでaccepted/rejectされたトラフィックログを取得
- ログの取得自体にお金はかからない
- S3にログが溜まりのでそちらで課金対象になる
7.S3
ストレージサービス
- ブロックストレージ(EBS, インスタンスストア)
- オブジェクトストレージ(S3, Glacier)
- ファイルストレージ(EFS)
ストレージタイプ
- STANDARD:最も汎用的
- STANDARD-IA:STANDARDに比べて安価, データ読み出し容量に応じた課金
- One-Zone-Ia:アクセス頻度は低いが,必要に応じいてすぐ取り出すデータ向け(可用性が99.5)
- RRS:低冗長化ストレージ
- Glacier:最安のアーカイブ用ストレージ,データ抽出に時間がかかる
暗号化
- サーバサイド暗号化
- SSE-S3, SSE-KMS, SSE-C
- クライアントサイド暗号化
- AWS-KMS, クライアント独自キー
クロスリージョンレプリケーション
- リージョン間でレプリケーションすることで対障害性を高める
- バージョニング機能を有効化しないといけない
- データ転送費用がかかる
ライフサイクル管理
- ストレージクラスの変更のスケジューリング
- データ削除のスケジューリング
この記事が気に入ったらサポートをしてみませんか?