ひたすら回答の概要を要約していく予定となります。
(資格取得に向けてはここが一番重要な項目になる予定です。)
箱だけ先に作成
Active Directory
・ IAM Identity Center を Active Directory と統合することで、ユーザー ID の一元管理とグループ/ロールに基づいた条件付きアクセスを実現できる。
・Active Directory は OIDC ではなく SAML 2.0 をネイティブにサポートしているため、OIDC を使うのは適切でない。
ACM
・HTTPS 通信を確保し、すべてのドメインを 1 つの証明書でカバーできる。
ALB
・ALB はリージョンをまたげない
API Cateway
AppSync DataSource
・データ API
Aurora
・リーダー/ライター/レプリカとかがある。
・ライターはオートスケーリングできない
・Aurora は RDS MySQL よりパフォーマンスが高く、1 日 200,000 ユーザーのワークロードに適している。
・高可用性があるため、クロスリージョンレプリカが不要。
・Aurora の自動スナップショットは AWS Organizations 内で他のアカウントと共有可能。
Auto Scaling
・autoscaling:EC2_INSTANCE_TERMINATING フックを使用すると、インスタンス終了時に AWS Lambda をトリガーして適切な処理を実行できる。
・ABANDON を使用すると、Auto Scaling グループがインスタンスの終了を認識しないため、適切なスケーリングが機能しなくなる可能性がある。
Budgets
・各開発者アカウントに対して月ごとの固定予算を設定できる。
・予算を超えた場合にアラートを発生させることが可能。
・直接リソースを削除するアクションは提供されていない。
↑SNS 通知をトリガーに AWS Lambda を実行し、EC2 インスタンスの停止、RDS のスナップショット作成後の削除などを自動化等の方法で実装する必要がある。
Cloud Formation
・Lambda のデプロイには適している
・トラフィックの段階的シフトや自動ロールバック機能はない(エラー検出とリカバリーの迅速化には不向き)
・インフラのデプロイと管理が自動化できる
・自己管理の権限(self-service permissions)では、管理アカウントからの一括デプロイができない。
・StackSet を管理アカウントで作成するとAWS Organizations 全体にデプロイできる。(新しいアカウントにも自動で SNS トピックを作成できる。)
CloudFront
・グローバルなキャッシュ機能を持つ
・オリジングループ(Origin Groups) を使用することで、プライマリオリジンがダウンした際にセカンダリへ自動的にフェイルオーバー する。
CloudWatch
CLI
・
Code Deploy
・
Compute Optimizer
・LLambda の推奨メモリ設定とコスト最適化情報を提供 するツール。
・コンソールでは手動エクスポートのみ可能 であり、自動化できない
Config
・「rds-storage-encrypted」ルールがあり、RDS の暗号化状態を監視できる。
Cost and Usage Report
・AWS Organizations の管理アカウントで集約できる。
・ AWS Organizations 全体の詳細なコストデータを提供
Control Tower
・Mandatory Guardrails(必須ガードレール) は、AWS によって強制的に適用されるポリシー
↑ガードレールは SCP や AWS Config ルールを組み合わせたもの
・RDS の暗号化チェックは提供していない。
・SCP機能があって新しいリソースの作成や変更を制限するが、すでに作成されている「暗号化されていない RDS インスタンス」を検出する機能はない。
Data Pipiline
・データ処理ワークフロー管理のためのサービス
DataSync
・オンプレミスと AWS 間で高速なデータ転送を実現するためのサービス
・データ移行に適している。
Direct Connect
・Direct Connect ゲートウェイ (DXGW) を使用することで、複数のリージョンと VPC に接続可能になる。また、2 つの Direct Connect 接続を通じて冗長性を確保できる。
・パブリック VIF は AWS のパブリックサービスに接続するためのものであり、VPC への直接接続には適していない。
・複数のリージョンとの接続には Direct Connect ゲートウェイが適している。(リージョン内の VPC 間接続にはTransit Gatewayが適している。)
Dynamo DB
・高いスケーラビリティと低レイテンシー
- DynamoDB は大規模な書き込みにも対応でき、データの取得も高速。
- アプリケーションが毎分数百万レコードを処理できるようにスケール可能。
・予約キャパシティ(Reserved Capacity)は長期間一定の負荷がある場合に有効
・オンデマンドモードは変動する負荷に最適
・DynamoDB Accelerator (DAX)
・DAX は読み取りキャッシュ
・DAX を使用すると追加コストが発生する
・TTL(Time to Live)機能で自動削除
- TTL を設定すれば 120日後にレコードが自動削除され、手動の削除処理が不要。
- コスト最適化にも有効(不要なデータが残らない)。
・DynamoDB のアイテムサイズ制限は最大 400 KB
EBS
・ EBS(Cold HDD)は安価
・EBS Multi-Attach は複数のインスタンスにアタッチ可能(ただし高い)
ECR
・AWS のコンテナレジストリで、ECS や Fargate でのデプロイが容易。
↑ECS に移行するための準備ができる
・コンテナイメージを管理し、ECSのオートスケーリング機能により、変動する負荷にも効率的に対応できる。
・オンデマンドモードは一定の RCU/WCU を維持するプロビジョンドモードよりリクエスト単価が高い
・
ECS
・ ECS クラスターの IP は動的に変わる可能性がある(このこともあって ECS は通常、ロードバランサーを前提として運用される。)
・Fargate などのマネージドコンテナで管理しやすい
EC2
EFS
・ファイル共有サービス
・Linux ベースの NFS プロトコルを使用する
・EC2 にマウントする必要がある
・EFS One Zone-IA は低コスト
Elastic Beanstalk
・マネージドサービスに近いけど、完全にマネージドではない
・大規模アプリケーションでは細かい制御がしづらい。
ELB
・NLB は TCP/UDP の静的ポートを公開するのに最適で、複数の AZ に跨る高可用性を提供できる。
・ALB は HTTP/HTTPS 用であり、TCP ベースの静的ポートには適さない
・ALB はターゲットとして EC2 や ECS を想定 しており、Lambda には直接対応しない。
Event Bridge
・
FSx
・Windows ファイルサーバーのフルマネージドサービス
・Windows ネイティブな SMB を使用する。
FSx for Lustre
・ FSx for Lustre は、HPC(ハイパフォーマンスコンピューティング)向けに最適化されており、共有ストレージとして高いパフォーマンスを発揮できる。
・batch loadingはデータを S3 から完全にロードするため、時間とコストがかかる。
・lazy loadingは必要なデータのみロードする
Gateway
・Storage Gateway は、オンプレミスとクラウドのハイブリッド環境向けであり、AWS ネイティブ環境では FSx for Lustre よりパフォーマンスが低い・
IAM
・IAM でフェデレーションアクセスを実装できるが、IAM Identity Center を使用した統合の方が AWS Organizations に適した方法であり、管理の負担も軽減される。
Kinesis Data Streams
・Kinesis Data Streams を使うと、IoTデータをバッファリングでき、DBの負荷軽減が可能
KMS
・CMKを作るとAWSのサービス内だと一番安い。
・非対称暗号化もできる。
・
MQ
・ActiveMQ / RabbitMQ ベースのフルマネージドメッセージブローカー
・一般的にレガシーアプリケーションとの互換性を考慮する際に使用する
Lambda
・サーバーレスで運用負担が低く、リクエストを処理して適切なリダイレクトを実装可能。
・最大15 分の実行時間制限がある
(なので、長時間処理のワークロードには、EC2 やコンテナ(ECS / Fargate)が適切。)
・エイリアス(Alias)を作成し、バージョン間でトラフィックを分割 できる。
・update-alias の routing-config パラメータを使えば、新バージョンに徐々にトラフィックを流すカナリアリリースが可能。
↑ Lambda のトラフィックシフトはこの方法が推奨されている
Organaizations
・ SCP を使用すれば、組織全体の Private Marketplace の管理権限を一元的に制御できる。
・「SCP で role 作成を制限する」ことで、他のアカウントで同じ名前の role を作成して権限を奪うことを防ぐ。
QuickSight
・コストデータを可視化し、各 OU に提供できる。
Secret Manager
、RDS の認証情報管理と自動ローテーションに最適。
SES
・SMTPインターフェース を提供しているが、ポート25の直接利用は推奨されていない
・TLS Wrapper(SMTPS、ポート465)には対応しておらず、STARTTLS(ポート587)を使用する必要がある
・SMTPを利用する場合、IAMのSMTPクレデンシャルを取得して認証する 必要がある
Site to Site VPN
・デッドピア検出機能はある。
・IPv6トラフィックはサポートしていない。(Transit Gatewayを使う必要がある。)
SQS
・サーバーレスで低コスト
Step Functions
・ワークフロー管理に適している
Systems Manager
・Patch Compliance Reporting 機能を使用すると、すべてのサーバーのパッチステータスを一元的に管理し、レポートを作成できる。
・AWS Systems Manager (SSM) Patch Manager は、オンプレミスサーバーとEC2インスタンスのパッチ管理を一元化するために設計されており、統一されたパッチ適用プロセスを提供できる。
・SendCommand を使用すると、リアルタイムでスクリプトを実行できる
・Parameter Store にはネイティブなローテーション機能がない
・Session Managerを使うとSSH を完全に無効化し、Session Manager による安全なアクセスと監査ログを実現。
S3
・Amazon S3 Glacier Deep Archiveが一番安い
・ S3 One Zone-IAとは?
・S3 Intelligent-Tieringとは?
・クロスリージョンレプリケーション(CRR) を設定すれば、オブジェクトの追加・更新時に自動的に第 2 のリージョンの S3 バケットへレプリケーションされる
・CloudFront のオリジングループ を使用すると、プライマリの S3 バケットが利用できない場合、自動的にセカンダリの S3 バケットにフェイルオーバーできる。
・CloudFront を経由することで、S3 からの静的コンテンツの配信が高速化され、パフォーマンスが向上する。
・S3 Transfer Acceleration は Amazon CloudFront のエッジロケーションを利用して、物理的に遠いユーザーでも S3 へのアップロードを高速化できる。
・S3 マルチパートアップロード は、大きなファイルを小さなチャンクに分割してアップロードすることで、失敗時の再試行を容易にする。
↑得に 5GB 以上のファイルではマルチパートアップロードが推奨される。
| ストレージクラス | コスト | アクセス速度 | 用途 |
|---|---|---|---|
| S3 Standard | 高い | ミリ秒 | 頻繁にアクセス |
| S3 Standard-IA | 安い | ミリ秒 | 低頻度アクセス |
| S3 Intelligent-Tiering | 自動最適化 | ミリ秒 | アクセスパターンが不明な場合に最適 |
| S3 Glacier | 非常に安い | 数分〜数時間 | 長期保存向け |
| S3 Glacier Deep Archive | 最安 | 12時間以上 | ほぼアクセスしないデータ |
Transfer for SFTP
・フルマネージドの SFTP サービスであり、可用性とスケーラビリティが向上する。
Transit Gateway
・AWS Transit Gateway は AWS Organizations に統合されていない ため、SCP (B) や Service Catalog (E) では共有できない。
・AWS RAM (A) は、AWS Organizations 内のアカウント間で Transit Gateway を共有できる 唯一の方法。
・Transit Gateway のアタッチメントは AWS RAM を介して共有し、管理アカウントの Transit Gateway に関連付けることで、VPC 間接続を確立できる。
UltraWarm
・コスト削減に役立つ
・何の機能?
RAM
・
RDS
Lambda@Edge
・Lambda@Edgeは、CloudFrontでリクエストがユーザーに届く前やレスポンスがユーザーに送信される前にヘッダーを変更できる。
・Lambda@Edge関数を使って、User-Agentヘッダーを基に問題のあるヘッダーを削除できる
OpsWorks
・構成管理用のツール
Inspector
.脆弱性スキャンツール
Route 53
・プライベートホストゾーンのレプリケーション機能が存在しない。
・
SNS
・
Userdata(AutoScalingとかEC2の機能の一部)
・User Data スクリプトはインスタンス起動時にしか実行されず、終了時には機能しない。
X-Ray
・アプリケーションのトレース分析用ツール
VPC
・VPC プレフィックスリスト(Prefix List)は、複数の IP アドレス範囲を一元管理できる AWS のネイティブ機能 であり、セキュリティグループやルートテーブルで利用可能。
VPN