「AWS 認定ソリューションアーキテクト – アソシエイト試験」暗記メモ④

模擬試験で間違えたり、怪しいと思ったものについてのメモ。
これを見るとその時の問題内容がなんとなく思い出せる。
頻繁に見て記憶を定着させる
(記憶が怪しいもの多すぎ。サインインページのURLとか、問題にしないでくれー。)



●AWSの責任共有モデル
・AWSのセキュリティ管理責任
  - 設備
  - ハードウェアの物理的セキュリティ
  - ネットワークインフラ
  - 仮想化インフラストラクチャ
・ユーザのセキュリティ管理責任
  - Amazon Machine Images(AMI)
  - オペレーティングシステム
  - アプリケーション
  - 輸送中のデータ
  - 保管時のデータ
  - データストア
  - 資格情報
  - ポリシーと設定
※EC2インスタンスへのOSパッチの適用は、ユーザ側の責任範囲

●サインインページの URL
・AWS マネジメントコンソール、AWS CLI、または AWS API を使用して、アカウントエイリアスを作成および管理可能。
・アカウント ID
 https://Your_AWS_Account_ID.signin.aws.amazon.com/console/
・エイリアス
 https://Your_Alias.signin.aws.amazon.com/console/

●AMI
・PV AMI ※準仮想化 (PV)
・HVM AMI ※ハードウェア仮想マシン (HVM)

●VPC
・DNS hostnamesオプション
 DNS hostnamesオプションが有効化されていないと、サブネットで起動されたインスタンスはDNS名を取得できない。
 enableDnsSupport 属性を「 true」 に設定した上で、enableDnsHostnames属性を「true」に設定。
・CIDRブロック追加
 許容ブロックサイズは、「/28」サブネットマスクから「/16」のサブネットマスクまで。

●IAMデータベース認証
・EC2インスタンスがIAMデータベース認証を利用してDB インスタンスにアクセスが可能
・DB インスタンスに接続するときにパスワードではなく、認証トークンを使用
・認証トークンはAmazon RDS がリクエストに応じて生成する一意の文字列であり、AWS 署名バージョン 4 を使用して生成される。
 各トークンには 15 分の有効期間がある。
 認証トークンは IAM を使用して外部的に管理されるため、ユーザー認証情報をデータベースに保存する必要はない。

●インスタンスタイプ
・汎用インスタンス
 最も基本的なインスタンスタイプ。
・メモリ最適化インスタンス
 メモリ内の大規模データセットを処理するワークロードに対して高速パフォーマンスを提供するように設計されている。
・ストレージ最適化インスタンス
 ローカルストレージ上の非常に大きなデータセットへの高負荷な読込処理および書込処理を必要とするワークロード用に設計されている。
・コンピュート最適化インスタンス
 バッチ処理ワークロードやメディアトランスコーディングなどの高性能プロセッサの恩恵を受けるコンピューティングバウンドアプリケーションに最適化されている。
・T2インスタンス
・T3インスタンス
 汎用インスタンスの1つ。
 ベースラインレベルの CPU パフォーマンスを提供する次世代のバースト可能な汎用インスタンスタイプで、
 いつでも必要な時間だけ CPU 使用率をバーストさせる機能を備えている。
・A1インスタンス
 汎用インスタンスの1つ。
 スケールアウト型の Arm ベースのワークロードに最適なインスタンスタイプであり、大幅なコスト削減を実現できる。
・M5インスタンス
 汎用インスタンスの1つ。
 バランスの取れたコンピューティング、メモリ、およびネットワークのリソースを提供し、
 多くのアプリケーションに適している。
・3enインスタンス
 GB あたりの料金が最も安価なストレージ最適化インスタンス。
 SSD。
・D2 インスタンス
 HDDベースのストレージ最適化インスタンス。
 最大 48 TB の HDD ベースのローカルストレージ。
・H1インスタンス
 HDDベースのストレージ最適化インスタンス。
 最大 16 TB の HDD ベースのローカルストレージを備えており、
 高ディスクスループット、およびバランスの取れたコンピューティングとメモリを実現。
・R5インスタンス
 メモリバウンドのワークロードに最適なインスタンスタイプ。
 高パフォーマンスデータベース、ウェブ規模の分散型インメモリキャッシュ、中規模インメモリデータベース、リアルタイムビッグデータ分析、その他のエンタープライズアプリケーションなどに利用する。
・Dedicated Host
 物理的にサーバーを占有するインスタンスタイプ。
 IAMユーザーやIAMグループが同じAWSアカウントに属していたとしても、権限が異なる別のIAMユーザーやIAMグループとは物理サーバーを共有しない。
 同AWSアカウント、部署違いでもサーバを分けられる。
・ハードウェア専有インスタンス
 AWSアカウント単位で専有
・ベアメタル
 アプリケーションは基盤 となるサーバーのプロ セッサーとメモリーに直接アクセス可能なインスタンス

●EC2インスタンスの購入形式
・オンデマンドキャパシティー予約
 ※日次、週次、月次の「スケジュールドリザーブドインスタンス」は利用ができなくなった。
・リザーブドインスタンスは、「1年間」または「3年間」という期間を予約

●AWSアカウント一括請求×リザーブドインスタンス
・同じゾーンの同じインスタンスタイプであれば、一括請求グループの全てのアカウントに対して、
 購入したリザーブドインスタンスの数だけ、その価格メリットが適用される

●Amazon FSx for Windows
・SMBプロトコル
・最大数千台
・NTFSファイルシステム
・数百万のIOPS、一貫したミリ秒未満のレイテンシー
・最大 2 GB/秒のスループット
・DFS(Distributed File System)名前空間を使用することで、数百ペタバイトのデータ全体で、
 最大で毎秒数十ギガバイトのスループットに数百万の IOPS までパフォーマンスをスケールアップ可能。

●Amazon FSx for Lustre
・スーパーコンピュータ等に利用する
・超高性能な仕様

●プロビジョンドIOPS SSD
・コスト最適よりも性能が優先される場合
・最大 64,000 IOPS までの一貫したベースラインパフォーマンスを提供し、ボリュームあたり最大 1,000 MB/秒のスループット

●スループット最適化HDD
・性能は落ちるもののコスト最適を求める場合
・高いスループット性能を期待しつつ、プロビジョンドIOPS SSDよりも低コストを実現

●Amazon EFS
・NFSv4プロトコル
・10 GB/秒 を超えるパフォーマンス、および 500,000 超の IOPS

●ポート
・SSH:22
・FTP:20,21

●Amazon S3
・SFTP
・強い整合性モデルを利用しているため、反映に誤差が生じることはない。
 (2020年12月までは、結果整合性モデルだったため誤差があった)
・S3 オブジェクトの所有者はそれをアップロードした AWS アカウント
 →オブジェクト所有者は、オブジェクトのACLを更新(アクセス権を付与)することで、他のアカウントでも触れるようになる。
・静的WEBホスティング
  1.S3静的ウェブホスティング機能を有効化。
  2.次にIndex.htmlを設定。
  3.「パブリックアクセスブロック」の設定を『無効化』する。※「パブリックアクセス許可設定」を『有効化』ではない
  4.バケットポリシーの設定により、インターネットからのバケットへのs3:GetObject を設定。
  ※オブジェクトの読み取りアクセス許可が付与されていない場合は、
   ウェブサイトエンドポイントから HTTP レスポンスコード 403 (Access Denied) が返される。
  ※HTTPSの利用ができない
   →CloudFrontと連携させることでHTTPSを利用することは可能
・S3仮想ホスティング
 http://[バケット名].s3.[リージョン名].amazonaws.com
・Amazon S3 Transfer Acceleration
 長距離のファイル転送を高速、簡単、安全に
・MFA認証を有効化
 削除処理を実施しようとすると毎回MFA認証が求められる
・サーバーサイド暗号化を使用すると、S3 はオブジェクトをディスクに保存する前に暗号化し、ダウンロードするときにS3側で自動で復号する
・S3 バケットに対して暗号化キーによるサーバーサイド暗号化 を有効化すると、
 各アクセスログファイルは、S3 バケットに保存される前に自動的に暗号化され、アクセス時に復号される
・レプリケーション
 バケットに対するオブジェクト作成・更新・削除などのデータ処理のイベントをトリガーとしてレプリケーションが実行される。
・クロスリージョンレプリケーション
 バケットに対するオブジェクト作成・更新・削除などのデータ処理のイベントをトリガーとしてレプリケーションが実行される。
 異なる AWS リージョンにある2つのバケット間でオブジェクトを自動的に非同期にコピーする機能。
 同じ AWS アカウントが所有するバケットにも、異なるアカウントが所有するバケットにも設定可能。
 AWS CLIツールによるコマンド操作は可能。※マネジメントコンソールで同期実行はできない。
・マルチパートアップロード
 マルチパートアップロード API を使用すると、大容量オブジェクトをいくつかに分けてアップロードできるようになる。
 大容量オブジェクトをアップロードすることが容易になり、その際のアップロード処理の負荷を軽減することが可能。
・Amazon S3 Select
 シンプルなSQLステートメントを使用してAmazon S3オブジェクトのコンテンツをフィルタリングし、
 必要なデータのサブセットのみを取得できる。
 結果として、Amazon S3が転送するデータ量を削減でき、データ取得に要するコストを削減し、待ち時間を改善可能。

●Amazon S3 Glacier
・標準取り出し :3~5 時間
・迅速取り出し :数分
・大容量取り出し:大量データを 5~12 時間(1日以内)
・最低保持期間 :90日

●Amazon S3 Glacier Deep Archive
・データ取得に12時間

●S3 Access Analyzer
・AWS アカウントの外部からアクセスできるリソースを特定する総合的な解析結果を生成
・S3バケットに対する外部アカウントからのアクセス情報を分析して、不正なアカウントアクセスがないかを確認

●Amazon S3 分析
・ストレージクラス分析
 ストレージアクセスパターンを分析し、適切なデータを適切なストレージクラスに移行すべきタイミングを判断

●Amazon EBS
・DeleteOnTermination 属性 を使用して、EC2インスタンス終了時にボリュームを存続させるべきか、削除すべきかを判断。
・デフォルトでは、インスタンスのルートボリュームの DeleteOnTermination 属性が有効化されており、EC2インスタンスの削除とともにEBSも削除される。
 その他のボリュームタイプではDeleteOnTermination 属性は非有効化されている。
・EBSのスナップショットはEBSの利用状況に関係なく、非同期に作成することができる。

●Amazon DLM(Data Lifecycle Manager)
・EBSのバックアップであるスナップショットの作成、保存、削除を自動化

●Elastic Beanstalk
・WEBアプリケーションやワーカー環境などの構築
・実行時間の長いワーカープロセス
・ELBと Auto Scalingを利用してスケーラブルのデプロイを自動化することが可能
・アプリケーションのバージョン管理を自動化することも可能
・ECSなどのDockerにホストされたWEBアプリケーションの展開もサポート
・Docker を使用することにより、容量のプロビジョニング、負荷の分散、スケーリング、およびアプリケーションの状態の監視の詳細を自動的に処理するインフラストラクチャが提供される。
 ECR、EKSと連携してDocker経由のアプリケーション展開を設定しつつ、バージョン管理や状態の監視の詳細を自動化することが可能
・コンソールを運用ダッシュボードとして、環境の状態とアプリケーションの状態を一目で分かるように表示することが可能。

●AWS batch

●Amazon SWF(SimpleWorkFlow)
・ワークフロー管理アプリケーション
・ステップまたは連続したステップがあるバックグラウンドジョブを構築、実行、スケールすることができるクラウド内の完全マネージド型の状態トラッカーおよびワークフローシステム
・複数マシン間でアプリケーションを連携させるためのツール

●CloudFormation
・AWSリソースをコードによってデプロイ
・Yaml or Json
・1つのスタックの出力値を別のスタックに提供することで、スタック間を連動させてインフラを構成することが可能。
 スタック間で情報を共有するにはスタックの出力値をエクスポートする。
 スタックの出力値をエクスポートするには、スタックのテンプレートの Output セクションの Export フィールドを使用する。

●AWS SAM(Serverless Application Model)
・サーバーレスアプリケーション構築用のデプロイツール。
・YAMLを使用して、サーバレスアプリケーションのLambda関数、API、データベース、イベントソースマッピングをモデリング。
・AWS SAMはCloudFormationと連携してサーバレスアプリケーションを展開。
 SAM が SAM 構文を AWS CloudFormation 構文に変換および拡張することで、サーバーレスアプリケーションの構築を高速化。

●AWS IoT Core
・インターネットに接続されたデバイスから、クラウドアプリケーションやその他のデバイスに簡単かつ安全に通信するためのマネージド型クラウドサービス。
・AWS IoT Core は数十億個のデバイスと数兆件のメッセージをサポートしており、それらのメッセージを AWS エンドポイントや他のデバイスに確実かつセキュアに処理してルーティング。
 AWS IoT Core を使用すれば、アプリケーションがインターネットに接続されていない場合でも、すべてのデバイスを常に追跡して通信できる。

●Amazon EMR
・分析・解析するサービス ※DBではない
 ビッグデータなどの解析に利用される
・マネージド型のHadoopフレームワークを提供。
 しかしながら、Amazon EMRはEC2インスタンスを利用して構成されるため、
 Amazon EMRを構成するEC2インスタンスのオペレーティングシステムなどに、ユーザーはアクセス可能。

●Amazon Neptune
・高速で信頼性の高いフルマネージドグラフデータベース

●AppSync
・リアルタイム行動分析やランキング処理に利用する

●Kinesis Data Analytics
・ストリーミングデータを標準SQLでリアルタイムなデータ処理
・IoTなどのストリーミングデータを対象

●kinesisストリーム
・デフォルトは24Hアクセス可能
・例)Iot→kinesisストリーム→S3
・例)Iot→Kinesis Data Streams→Lambda→Kinesis Data Firehose→S3
 Amazon Kinesis Data Streamsがストリーミングデータ処理を実施して、Lambda関数にデータを渡す。
 Lambda関数がデータに対してデータ変換処理を実施した上で、Amazon Kinesis Data FirehoseがS3にデータを格納

●Kinesis Data Firehose
・ストリーミングデータをデータレイクやデータストア、分析サービスに確実にロードする最も簡単な方法を提供するサービス。
 ストリーミングデータを取り込んで変換し、Amazon S3、Amazon Redshift、Amazon Elasticsearch Service、汎用 HTTP エンドポイント、
 さらに Datadog、New Relic、MongoDB、Splunk のようなサービスプロバイダーに配信
・データを所定の形式に変換しつつS3に蓄積
・例)Iot→Kinesis Data Firehose→S3→Lambda→DynamoDb

●Amazon EKS(Elastic Kubernetes Service)

●Kubernetes
・コンテナ化されたアプリケーションのデプロイ、スケーリング、および管理を自動化するための管理ツールとして汎用的に利用されるOSS
・コンテナ化アプリケーションを大規模にデプロイおよび管理できるオープンソースソフトウェア

●Direct Connect

●SMS(AWS Server Migration Service)
・オンプレミスの VMware vSphere、Microsoft Hyper-V/SCVMM、または Azure 仮想マシンの AWS クラウドへの移行を自動化
・サーバー仮想マシンをクラウドホストの Amazon マシンイメージ (AMI) として段階的にレプリケートし、Amazon EC2 にデプロイ。
・AMI を使用すると、クラウドベースのイメージを簡単にテストして更新した上で、本番稼働環境にデプロイできる

●DMS(AWS Database Migration Service)
・オンプレミスにあるデータベースを短期間で安全に AWS に移行。

●AWS STS(Security Tolken Service)
・AWSサービスにアクセスするために、一時的な限定権限認証情報
・アクセスキー、シークレットアクセスキー、セッショントークン
・オンプレミス SAML2.0→シングルサインオン
・クロスアカウントアクセス
 別のAWSアカウントのリソースへのアクセス許可を設定する方法
・SAML IDフェデレーション
 SAML 2.0 (Security Assertion Markup Language 2.0) と互換のある IdP をサポート
・ウェブ ID フェデレーション
 OpenID Connect と互換のある IdP をサポート

●AWS Storage Gateway(ストレージゲートウェイ)
・ストアドボリューム(管理ボリューム)
 オンプレ側がプライマリー
・キャッシュ型ボリューム
 AWS側がプライマリー
・AWS Storage Gatewayによって保存されたすべてのデータは、デフォルトでSSE-S3を使用してサーバー側で暗号化される。
※ネットワーク接続の話ではない

●Amazon Redshift
・DWH
・クロスリージョンスナップショット
・シングルAZのみをサポート
・VPC拡張ルーティング
 クラスターとデータリポジトリ間のすべての COPY と UNLOAD トラフィックが Amazon VPC を通るよう強制する。
・リザーブドインスタンスは使えるが、スポットインスタンスは使えない。
・スナップショットはバックアップストレージに保存され、使用量オーバーすると追加料金を取られる
・Redshiftスペクトラム
 S3バケットに保存されたデータを直接分析することができる。

●DynamoDB
・オートスケーリング可能。容量だけではなく性能アップ
・シングルAZのみをサポート

●DynamoDBストリーム
・DynamoDBストリームを有効化することで、DynamoDBテーブルの変更イベントをトリガーにして、Lambda関数などを起動することができる。
・変更点をログに出力 ※24H

●DAX(DynamoDB Accelerator)
・DAXを有効化することで、DynamoDBテーブルはミリセカンドからマイクロセカンドへの最大 10 倍のパフォーマンス向上を実現する。
・DAXクラスターは、1 つのみのプライマリノードと、0~9 個のリードレプリカノードを構成することができる。
・DAXはキャッシュを利用しているため特定のデータへの処理が高い場合などに中長期的な性能向上のための対策として利用する。
・キャッシュDBのため高コスト

●DynamoDBグローバルセカンダリインデックス
・クエリ処理の柔軟性を高めるための機能

●AWS Data Pipeline
・データの移動と変換を自動化するサービス
・データ駆動型のワークフローを定義して、タスクの正常な完了をトリガーにして、次のタスクを実行できる。
・DynamoDBに設定することが可能であり、定期的なデータ取得タスクを設定することができる。

●ElastiCache
・インメモリDB型のキーバリューストアの高性能データベース
・キャッシュデータにミリ秒以下のレイテンシーにアクセスを提供することで、高速のデータ処理を可能にする。

●CloudFront
・cloud Front署名付きURL/署名付きcookies
 コンテンツにアクセスできるユーザーを制御。
 CloudFrontの署名付きURLと署名付きCookieは基本機能は同じ。
  署名付きURL
  ・個々のファイルへのアクセスを制限する場合
  ・ユーザーがクッキーをサポートしていない場合
  署名付きcookie
  ・制限のある複数のファイルへのアクセスを提供する場合
  ・現在のオブジェクトURLを変更したくない場合
・OAI(オリジンアクセスアイデンティティ)
 →ユーザがコンテンツにアクセスできなくなる日の制御が可能。
  アクセスできるIPアドレスの制御が可能。
・AWS WAFで作成したWeb ACLを
 cloud Frontのディストリビューションに関連付け
 →アクセスできるIPアドレスの制御が可能。
・地域制限
・AWS WAF (Web Application Firewall) を利用し Cloudfront でのReferer制御
 →外部からのリンクを禁止できる
・エッジロケーション
 コンテンツ配信をユーザーの近接リソースから配信することができる。

●クラスタープレイスメントグループ
・単一のAZ内のインスタンスの論理的なグループ
 →複数のEC2インスタンス間での通信を向上させる仕組み

●拡張ネットワーキング機能
・EC2インスタンスに対して高いI/Oパフォーマンスと低いCPU使用率を提供。
・HVM AMIを使用する必要がある。

●Route53
・位置情報ルーティング
 ユーザーの位置情報、つまりDNSクエリの発信位置に基づいてトラフィックを処理するリソースを選択できる。
 ex)
  ヨーロッパからのすべてのクエリをノルウェー地域のELBロードバランサーにルーティングして、
  アジア地域のクエリは東京リージョンのELBロードバランサ―にルーティングを設定する
・地理的近接性ルーティング
 ユーザーとリソース間の物理的な距離に基づいてトラフィックをルーティング。
・ALIASレコード
 Route 53固有の拡張機能
 指定可能:CloudFrontディストリビューション、Elastic Beanstalk環境、ELB Classic、Application、Network Load Balancer、静的Webサイトとして設定されているAmazon S3バケットへのポインタ、同じホストゾーン内の別のRoute 53レコード。
 ELBを指定する場合
  AliasのAレコードセット (IPv4 アドレスの場合)
  AliasのAAAAレコードセット (IPv6 アドレスの場合)
・フェイルオーバー設定
  アクティブ/アクティブ
  アクティブ/パッシブ
 フェイルオーバー以外のいずれかのルーティングポリシー (またはルーティングポリシーの組み合わせ) を使用して、
 フェイルオーバー (アクティブ/アクティブ) を設定し、フェイルオーバールーティングポリシーを使用してフェイルオーバー (アクティブ/パッシブ) を設定する。

●IPフローティング
・フローティングIPを利用してElastic IPアドレスをフローティングすることで、
 即時に別のEC2インスタンスへとトラフィックを切り替えることができる。
 障害発生時には稼動系からElastic IPアドレスを外し、待機系インスタンスに割り当て直すことで、
 瞬時にトラフィックの向け先を変更できる。

●ELB
・CLB
 ※複数のバックエンドサービスにトラフィックをルーティングする際は、サブドメインを分割するなど構成が複雑になる
・ALB
 パスルーティング方式:URL パスに基づいてリクエストを転送するルールを持つリスナーを作成可能。
・NLB
 OSIモデルの第 4 層で機能する毎秒数百万のリクエストを処理できる高性能なロードバランサー。
 パスルーティングも実行可能。
 かなりの大規模システム向けの高性能なELB。
・クロスゾーン負荷分散
 ELBのクロスゾーン負荷分散を有効とすると、有効なすべてのアベイラビリティーゾーンの登録済みターゲットにトラフィックを分散する。
・リクエストルーティング
 ホストベースのルーティング機能であり、ホスト のヘッダーを使用してトラフィックを任意のターゲットグループにルーティングするようにルールを設定。
・Connection Draining
 既存の接続を開いたまま、登録解除または異常なインスタンスへのCLBのリクエスト送信を停止。
 これにより、EC2は新しいリクエストが振られることなく、現在の処理を完了&レスポンスすることができる。
 タイムアウト値は1~3,600秒に設定可(デフォルトは300秒)。最大時間制限に達すると、ロードバランサーは登録解除インスタンスへの接続を強制的に閉じる。

●AWS VPN CloudHub
・カスタマーゲートウェイ ⇔ 仮想プライベートゲートウェイ
・短時間で設定可能

●NATゲートウェイ
・NATインスタンスの代わりに使用できるマネージド型サービスで、AWS側で拡張性などが保証されておりボトルネックの改善につながる

●AWS CloudHSM(ハードウェアセキュリティモジュール)
・安全なキーストレージや高パフォーマンスの暗号化オペレーションを AWS アプリケーションに対して簡単に追加できるようにするクラウドベースのHSM。
・ゼロ化してキーをロスすると、コピーを取ってない場合、新しいキーは取得不可能。
・不正使用防止策が施された HSM へのシングルテナントアクセスを利用できる。
・暗号化モジュール向けの FIPS 140-2 レベル 3 標準に準拠。
・AWS CloudHSMを利用した鍵管理により、EUなどの各国の厳しいセキュリティ基準を満たすことができる。

●VPC Transit Gateway
・ハブの役割をして、ルーティングを制御

●Auto Scaling
・ステップスケーリングポリシー
・簡易スケーリングポリシー
・スケジュールスケーリングポリシー
・SQSキューサイズを確認するAutoScalingトリガー
・Auto Scalingの起動時に問題が発生すると、起動プロセスを停止する
・ヘルスチェック
 EC2タイプ
 ELBタイプ
・クールダウン
 クールダウン期間:デフォルト300秒
・Desired capacity
 Desired capacityのインスタンス数を手動で変更することで、稼働するインスタンス数を増減させることができる。

●Amazon SNS

●Amazon SQS
・メッセージ保持期間
 デフォルト:4日、最長:14日
・可視性タイムアウト
 0~12h
 デフォルト:30秒

●Amazon MQ
・Apache ActiveMQとマッチしたマネージド型のメッセージブローカーサービス。
・業界標準に沿ったメッセージングを使用している場合に、そのメッセージング機能をそのまま迅速にAWSクラウドに移行するにはAmazon MQが最適。
 業界標準のAPIとプロトコルをサポートしているので、アプリケーションのメッセージングコードを書き換えることなく、標準ベースのメッセージブローカーからAmazon MQに切り替えることができる。

●API Gateway
・スロットリング制限設定とキャッシュを有効化
 →処理性能向上
・最低料金や初期費用はなく、受信したAPI コールと転送データ量に応じて課金。

●Lambda
・同時実行数:1000
・関数とレイヤーストレージ:75GB
・一時ボリューム:512MB
 最大512MBまでのデータ容量を扱うことができる。
・タイムアウト設定:デフォルト3秒。最大900秒(15分)。
 指定されたタイムアウトに達するとLambda関数は実行を終了。

●Step Functions
・サーバーレスのオーケストレーションサービスであり、 AWSリソースと組み合わせたワークフローを作成するサービス。
・人間による操作を必要とするような長時間実行される、半自動化されたワークフローを作成することもできる。
 手動アクションが処理されなければタスクは停滞することになる。

●Aurora
・マルチAZ構成による高速フェイルオーバー
 MasterとSlaveを判断して接続先を変更する方法。レプリカが必要。
・ソースDBクラスターとは異なるリージョンにリードレプリカを作成することができる。
 障害回復機能を向上させ、読み取り操作をユーザーに近いリージョンに拡張しつつ、あるリージョンから別のリージョンへの移行を容易にすることができる。
・Aurora Serverless
 最小と最大のキャパシティー仕様に基づいて Aurora Serverless がリソースを自動的にスケール。
 不定期、断続的、または予測不能なワークロードに対してコスト効率の良いデータベースとして利用する仕組み。
・リードレプリカを最大15個設置可能。

●RDS
・拡張モニタリング
 RDSの拡張モニタリングを有効化することにより、
 DBインスタンスのOSのリアルタイムメトリクスが確認できるようになる。
 RDSコンソールを使用してDBインスタンスのメトリクスを表示でき、CloudWatch Logsからの拡張モニタリングを利用することができる。
 デフォルトでは、拡張モニタリングメトリクスは30日間CloudWatch Logsに保存される。

●OpsWorks
・クラウド企業内のアプリケーションを設定および運用する環境自動化サービス
 ・Puppet
 ・Chef
・AWS OpsWorks Stacksを使用すると、AWSおよびオンプレミスでアプリケーションとサーバーを管理できる。
 負荷分散、データベース、アプリケーションサーバーなど、さまざまなレイヤーを含むスタックとしてアプリケーションをモデル化できる。

●CloudWatch
・EC2インスタンスのデフォルトメトリクス以外の詳細なログ情報を取得するためには、「CloudWatchエージェント」と「CloudWatch Logs」が必要。
・CloudWatchエージェント
 エージェントを対象のEC2インスタンスにインストールすることで、CloudWatchによりサーバー内部の詳細なログが取得できるようになる。
 オンプレミスサーバーにも適用可能。
・CloudWatch Logs
 取得したログを集約することができ、EC2インスタンスのログ管理を実施することができる。

●フローログ
・フローログを有効化することで、ネットワークのトラフィックログをCloudWatchで取得することができる。
 フローログではEC2インスタンスのネットワークトラフィックが取得される。

●Snowball Edge
・既存のインターネット接続の空き容量を使用してデータをAWSにアップロードするのには1週間以上かかる場合、SnawballEdgeを検討する。
 →Snowball Edgeの検討
・Snowball Edge Storage Optimized
 Snowball Edgeストレージの最適化は100TB
 ※しかしながら、利用可能なボリュームは80TB程。
  ★★ex)100TB移行するには2台必要。
・Snowball Edge Compute Optimized
 Snowball Edge Computeの最適化は42TB

●ECS
・Fargate起動タイプ
 バックエンドインフラストラクチャをプロビジョニングおよび管理する必要なく、コンテナ化されたアプリケーションを実行できる。
 タスク定義を登録するだけで、Fargateがコンテナを起動
・EC2起動タイプ
 管理している Amazon EC2 インスタンスのクラスターで、コンテナ化されたアプリケーションを実行できる。EC2の設定が必要

●Amazon Elastic Transcoder
・メディア変換サービス。
 高度なスケーラビリティ、使いやすさ、高い費用効率性を実現する設計で、
 開発者や企業は、メディアファイルをその元のソース形式から
 スマートフォン、タブレット、PC などのデバイスで再生可能できるバージョンに変換 (または「トランスコード」) できます。

●AWS Cognito
・ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追加
・MFAによる多要素認証と保存データおよび転送データの暗号化
・Google、Facebook、Amazon などのソーシャル ID プロバイダーや、SAML による Microsoft Active Directory などのエンタープライズ ID プロバイダーを通してサインイン

●AWS SSO(Single Sign-On)
・SAMLによる認証の仕組みを実現することが可能
・AWS SSO は SAML IdP 機能を AWS Managed Microsoft AD または AWS SSO ディレクトリに追加。
 それにより、ユーザーは、AWS マネジメントコンソール やサードパーティー製アプリケーションなど、SAML をサポートするサービスへの SSO が可能となる。

●IdP(Identity Provider)
・SAML認証での認証情報の提供者のこと。IDP(Intruder Detection & Protection)など、他の用語との誤用を防ぐためか、通常、「d」を小文字で表記する。

●AD Connector
・IAMとオンプレミス環境のADとを連携するのに利用する。
・AD ConnectorはIAM側のディレクトリ・リクエストをオンプレミスの Microsoft Active Directory へとリダイレクトするのに使用するディレクトリゲートウェイ。

●Simple AD
・Samba 4 Active Directory Compatible Server を使用するスタンドアロンのマネージド型ディレクトリ。
・これを利用してAWS上に新規にActive Directoryを構成することができる。

●Amazon Athena
・標準 SQL を使用して S3でのデータの直接分析を簡易化するインタラクティブなクエリサービス
・S3 から直接データに対してクエリ処理が可能
・実行するクエリに対してのみ料金が発生し、各クエリでスキャンされるデータ量に基づいて課金
・データの圧縮、分割、列形式への変換を行うと、大幅なコスト削減とパフォーマンス向上を実現でき、データ処理コストを抑えることができる

●SSE(Server Side Encryption)
・サーバサイド暗号化
 サーバ側で暗号化・複合を行う方式
・SSE-XXと「XX」の部分にはキーをどこで管理するかが入る。
 SSE-S3:S3で管理
 SSE-KMS:KMSで管理
 SSE-C:クライアントが管理

●SSE-S3
・S3 で管理された暗号化キーにより実施されるサーバーサイド暗号化
・ユーザーがキーに対するアクセス管理はできないが、署名バージョン4によりアクセス制限が設定され、所有者であるAWSアカウントID以外からのアクセスを拒否する。
・SSE-S3は暗号化と復号をS3が自動で実施してくれるため【最も管理に手間がかからない】暗号化方式
・AES-256暗号化を使用した暗号化方式

●SSE-C
・ユーザが管理する鍵により暗号化を実施できる。これにより、S3上に置かれたコンテンツを柔軟に保護できるようになる。
・ユーザーが用意した暗号化キーでのSSE-Cを使用すると、独自の暗号化キーを設定できる

●CSE(Client Side Encryption)
・ユーザーが独自の暗号化キーを利用して暗号化、暗号化キーの生成・管理もクライアントで実行する形式
・クライアントサイド暗号化
 クライアント側で暗号化・複合を行う方式
・CSE-XXと「XX」の部分にはキーをどこで管理するかが入る。
 CSE-KMS:KMSで管理
 CSE-C:クライアントが管理

●KMS
・暗号化キーを簡単に作成・管理するサービス
・暗号化キーの作成と管理をマネージド型サービスで提供
・(SSE-KMS)マネージド型でキーを管理することができるが、何も管理する必要がないSSE-S3と比較して、ユーザーがKMS上でのキー作成と管理を実施する必要がある。

●CSE-KMS
・暗号化
 KMS APIのGenerateDataKeyで「CMKで暗号化されたCDK」と「平文のCDK」を取得。
 クライアント側でこの平文のCDKを使ってデータを暗号化、「暗号化されたCDK」と「平文のCDKで暗号化されたデータ」をクライアント側で保存して管理。
 平文のCDKは、データの暗号化後すみやかに破棄。
・複合
 パラメータに「暗号化されたCDK」を指定してKMS APIのDecryptで、「平文のCDK」を取得。
 このCDKを使ってデータを復号。

●CMK(Customer Master Key)
・CDKを暗号化するキー。CMKは、KMS上では暗号化された状態で管理されている。

●CDK(Customer Data Key)
・データの暗号化・復号時に実際に使用するキー。

●CloudTrail
・AWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を行うためのサービス。
・アカウントアクティビティをログに記録し、継続的に監視し、保持

●AWS Config
・AWS リソースの設定を評価、監査、審査できるサービス
・AWS リソースの設定が継続的にモニタリングおよび記録され、望まれる設定に対する記録された設定の評価を自動的に実行

●Amazon Inspector
・自動化されたセキュリティ評価サービスで、AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させることができる。
・露出、脆弱性、ベストプラクティスからの逸脱がないかどうかを確認。

●AWS Cost Explorer
・利用している Amazon EC2 インスタンスなどのリソースの最適な利用に関する推奨事項を把握することができる。
・アカウントやリージョンでアイドル状態のインスタンスや使用されていないインスタンスを特定することができる。

●AWS Budgets
・カスタム予算を設定して、コストまたは使用量が予算額や予算量を超えたとき (あるいは、超えると予測されたとき) にアラートを発信できる機能。
・AWSの利用コストをリアルタイムで把握するためのモニタリングツール

●AWS Organizations
・AWSアカウントを統合管理

●SCP(サービスコントロールポリシー)
・AWS Organizations のメンバーアカウントを持つ個々の AWS アカウント、または組織単位 (OU) 内のアカウントのグループに対して、
 AWS のサービスへのアクセスを許可または拒否ができる。
 ※IAMポリシーとは別物。
・SCPとIAMの適用範囲や関係性
 IAMユーザーの権限がSCPとIAMの両方で許可されていれば、IAMユーザーは権限が付与された対象リソースの実行が可能となる。

●OU(組織単位)
・組織単位 (OU) を使用すると、アカウントをまとめてグループ化し、単一のユニットとして管理。

●ACM(AWS Certificate Manager)
・SSL証明書を集中管理。
・ACM はAWS サービスとユーザーの内部接続リソースで使用するパブリックまたはプライベートの SSL/TLS 証明書を作成・登録・管理する。
・AWS Certificate Manager を使用すれば、SSL/TLS 証明書の購入、アップロード、更新という時間のかかるプロセスを手動で行う必要がなくなる。

●オーバーレイマルチキャスト
・クライアント・パソコンにインストールしたアプリケーション・ソフトでマルチキャスト(1対多通信)を実現する技術
・仮想オーバレイネットワークをインスタンスのOSレベルで起動させる
・マルチキャストは、通常、1つ以上の送信元がマルチキャストグループ内に存在する加入者にネットワークパケットを送信できる。
 ※VPCはマルチキャストまたはブロードキャストネットワーキングをサポートしていないことに注意

●ROA(Route Origin Authorization:ルート発信元認可)
・RIR を介して作成されるドキュメント。
 これには、アドレス範囲、そのアドレス範囲を公開することを許可された ASN(ASを識別する番号である固有の自立システム番号)、および有効期限が含まれている。
 ROA は Amazon が特定の AS 番号のアドレス範囲を公開することを承認する。
・IPアドレスの移行の話
 AWS アカウントに対してアドレス範囲を AWS に持ち込むことを承認するには、
 アドレス範囲について RDAP の注釈で自己署名付きの X.509 証明書を発行する必要がある。
 証明書にはパブリックキーが含まれており、AWS はこれを使用してあなたが提供する認証コンテキスト署名を確認する。
 プライベートキーを安全に管理し、これを使用して認証コンテキストメッセージを署名。
 これによって、既存のオンプレミス環境で利用していたホワイトリストをAWSに移行することが可能となる。

●RDAP(Registry Data Access Protocol)
・IPアドレス等のレジストリに登録したデータにアクセスするためのプロトコル

●AS(Autonomous System:自律システム)
・統一された運用ポリシーによって管理されたネットワークの集まりを意味し、
 BGPというプロトコルにより接続される単位となる。
 AS間で経路情報の交換を行うことにより、 インターネット上での効率的な経路制御を実現

●DR(Disaster Recovery)対応
・パイロットライト
 利用可能であるアプリケーションの最小バージョンを準備しておくこと
・マルチサイト
 起動しているサーバー構成を準備して、マルチリージョンやマルチAZ構成を利用する構成
・バックアップ&リストア
 スナップショットやAMIを別リージョンに保持しておくこと。
 最もコストがかからないDR対応
・ホットスタンバイ
 稼働可能な状態となっているインフラを準備し、アクティブにするだけで切り替えることができるスタンバイ構成

●ピーク‐ロード(peak load)
・通信や交通で需要量が最大になること。

●SFA(Sales Force Automation)
 営業支援システム・ツール
 営業の効率化やボトルネックの発見で、売上と利益を上げるツール

●CRM(Customer Relationship Management)
 顧客管理。顧客の氏名や年齢、属性、購買履歴、志向などの顧客に関わる情報を一元管理。

●バックログ (キュー)

●CIDRのサブネットマスク設定と利用できるIPアドレス数
・/24…256個
・/23…512個
・/22…1024個
・/21…2048個

●レガシーシステム
 主にコンピュータの分野で、代替すべき新しい技術などのために古くなったコンピュータのシステムや技術などのこと

●RAID
・RAID0:ストライピング
 2台以上のHDDにデータを分散して書き込んでいくモード。
 処理速度の高速化。
・RAID1:ミラーリング
 「2台」のHDDにまったく同じデータを書き込むことで、どちらかのHDDが故障や破損した場合でも、
 もう1台のHDDからデータの読み出しを行えるモード。
・RAID5
 データ復旧のために誤りを訂正する符号(パリティ)を生成しながら書き込みを行う、特に耐障害性に配慮されたモード。
 RAID5はデータを分散して複数のHDDへ書き込むため、RAID1より処理は高速になり、パリティを生成するためRAID0より安全性が高い。
・RAID10
 「RAID1」と「RAID0」の特徴を組み合わせたRAID構成。
 複数台のHDDをミラーリングすることで同一データを書き込み、さらにストライピングも行って書き込むデータを分散化。
 高速化と安全性を両立。

●オーケストレーション
・コンピュータシステム、アプリケーション、およびサービスにおける、設定、管理、調整の自動化。

●ブルー/グリーンデプロイメント
・異なるバージョンのアプリケーションを実行する環境を各1つずつ。
・新しいバージョンのソフトウェアのテスト
 →加重ルーティング

●データをsharding(水平分割)
・一定のルールに従い、データを複数のDBに分ける

●Hadoop
・データを複数のサーバに分散し、並列して処理するミドルウェア(ソフトウェア基盤)。
 テラバイト、ペタバイト級大容量データの分析などを高速処理できるため、「ビッグデータ」活用における主要技術として活用が進んでいる。



テーマ : プログラミング
ジャンル : コンピュータ

コメントの投稿

非公開コメント

検索フォーム
カテゴリ
AWS (5)
カレンダー
11 | 2021/12 | 01
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 -
最新記事
おすすめ

RSSリンクの表示
リンク
QRコード
QR