1 Minute Tips

投稿者: sumito.tsukada

  • AWS IAM

    AWS IAM

    IAMのルートアカウントの特徴

    • 逆引きDNS設定
    • CloudFrontのキーペアの作成
    • IAMユーザの課金情報へのアクセスのアクティベイト

    Active Directoryを利用したAWS Management Consoleへのアクセス権について

    会社のポリシー上、IDフェデレーションとロールベースアクセス制御をしたいとする。

    企業のアクティブディレクトリのグループを使用してロールが割り当てられているとすると、

    AWSコンソールのアクセス権を開発者に与えるには以下の2つが必要になる

    • AWS Directory Service AD Connector

    AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。 

    https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/directory_ad_connector.html

    • IAM roles

     

    IAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻を表⽰する機能

    Access AdvisorのLast Accessed DataにIAMエンティティ(ユーザー、グループ、ロール) が、最後にAWSサービスにアクセスした⽇付と時刻が表⽰されます。

    パワーユーザーとは

    パワーユーザーはIAMユーザーやグループの管理以外の全てのAWSサービスへのフルアクセス権限を有しています。

     

    管理ポリシー

    AWS管理ポリシー

    AWSが作成および管理する管理ポリシー

    カスタム管理ポリシー

    AWSアカウントで作成、管理する管理ポリシー

    同じポリシーを複数のIAMエンティティにアタッチが可能

     インラインポリシーとは

    ⾃⾝で作成および管理するポリシー

    1つのプリンシパルエンティティ(ユーザ、グループ、ロール)に埋め込まれたポリシー。

    プリンシパルエンティティにアタッチすることができる。

    1アカウントで

    • 5000ユーザまで作成可能
    • 所属グループは10グループまで
    • 作成は100グループまで
    • IAMユーザーは10個のグループまで

    所属することが可能。

    AWSアカウント内のRoute53のドメイン登録は管理者権限などで実施できる

    AMI

    AMIの作成時点のEBSボリュームも復元可能

    別リージョンへのアタッチ

    別リージョンにサービスを立ち上げた際も、既存のIAMロールをアタッチさせる事が可能

  • AWS 料金

    AWS 料金

    リザーブドインスタンスの特徴

    • AZ間で利用可能
    • Auto Scalingによる起動されるインスタンスも適用可能
    • システムの総所有コスト(TCO)を軽減為に使用することが可能

    コスト最適化

    CPUキャパシティなど、リソースが十分に活用されてないEC2インスタンスを特定するサービス

    • AWS truested advisor
    • Amazon CloudWatch
  • AWS Direct Connect

    AWS Direct Connect

    転送コストを部署毎に分配する際の対応

    AWS Direct Connect経由のデータ転送のコストを各部門にどのように分配すべきか

    1. 仮想インターフェースを構成
    2. 仮想インターフェースの所有者を部門のAWSアカウント番号に設定する

     

  • Amazon Elastic Block Store(EBS)

    Amazon Elastic Block Store(EBS)

    Amazon Elastic Block Store(EBS)の特徴

    • EBSはマルチAZでのレプリケーションが利用できる
    • EBSは他のリージョンにおいてレプリケーションを実施できる
    • ハードウェア専有インスタンスは同じAWSアカウントのインスタンスとHWを共有する可能性がある

    暗号化について

    • 全てのAmazon EBSボリュームタイプでサポートされる
    • スナップショットは自動的に暗号化される

    暗号化する方法

    1. ボリュームのスナップショットを作成
    2. スナップショットの暗号化されたコピーを作成
    3. 新しいスナップショットから新しいボリュームを作成
    4. ボリュームを交換

    EBS-backedとinstance-store backedの最大の違い

    EBS backedインスタンスは停止および再起動が可能

    プロビジョンドIOPS

    その月にIOPSおよびストレージを実際に使用したかどうかに関係なく課金される

    https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/EBSVolumeTypes.html

    スナップショット

    スナップショット作成時はデータ整合性を保つため静⽌点を設ける必要がある。

    EBSは増加バックアップでS3に保存する事が可能。

    無料でのモニタリングデータ取得について

    基本(Basic)は5分間のデータを無料で自動に取得可能

     

  • route 53

    route 53

    特徴

    • エイリアスレコードは、1つのDNS名を別のAmazon Route 53 DNS名にマッピングすることができる
    • Amazon Route 53 CNAMEレコードは、任意場所にホストされている任意のDNSレコードを指すことができる。

    他のVPCでプライベートホストゾーンを利用

    プライベートホストゾーンに関連付けさせる必要がある。

     

  • SQS

    SQS

    適切なソリューション(例)

    • 実行または分散および監査可能なビジネスの統制
    • 分散したセンサー群から、1時間に何千ものデータポイントを暗号化して収集

    など

  • EC2

    EC2

    インスタンスの停止中に可能な作業

    • セキュリティグループの変更
    • 詳細な監視の無効

    インスタンスファミリー

    インスタンスファミリー特徴
    M5汎用
    T2汎用
    C5コンピューティング最適化
    H1ストレージ最適化
    D2ストレージ最適化
    R4メモリ最適化
    X1メモリ最適化
    F1FPGA
    G3GPC

    負荷分散

    ELBのクロスゾーン負荷分散を利用する事で、ロードバランサに登録されている複数のAZのAmazon EC2インスタンス間で、受信トラフィックを均等に分散させる事が可能。

    EC2インスタンスでNATゲートウェイを作成

    作成したEC2インスタンスを作成し、インターネットに接続できない場合は、NATゲートウェイサブネットに、インターネットゲートウェイへのルートがない可能性があるので、確認する。

    EC2インスタンスのメタデータから利用できるカテゴリ

    • インスタンスID
    • Auto Scaling起動設定

    CPUキャパシティが十分に活用されてないインスタンスを抽出するツール

    • AWS trusted  advisor
    • Amazon CloudWatch

    EC2インスタンスのフル管理者権限を保持するサービス

    • Amazon Elastic Map Reduce
    • AWS Elastic Beanstalk

     

  • CloudWatch

    CloudWatch

    CloudWatch Logsエージェントがデフォルトでデータを送信する頻度

    5秒ごと

    CloudWatchの無料枠で受け取る事ができるメトリックアップデートの頻度

    5分

    受信および集計するデータの最小時間間隔

    1分

  • VPC

    VPC

    特徴

    • 各サブネットには、単一のAZにマッピング
    • デフォルトでは、プライベートかパブリックか関わらず、全てのサブネット間でルート可能

    VPC

    単一のVPCにパブリックサブネットが1つデフォルトで設定される

    VPCを設置しないでEC2インスタンスを立ち上げる場合、サブネットの設定が必須になる

    VPCエンドポイント

    グローバルIPを持つAWSサービスに対して、VPCの内部から直接接続するための出口。

    • 無料
    • AWSが管理

     

    Gateway型

    Gateway型はサブネットに特殊なルーティングを設定し、VPC内部から直接外のサービスと通信する

    VPC peeringは一部のリージョン間に限られている。

     

    プライベートリンク型

    サブネットにエンドポイント用のプライベートIPを設定して使用する

    エンドポイントポリシーによりアクセス制御を実施

    VPC Flow log

    accepted/rejectedされたトラフィックを保持する

    10分間で収集・プロセッシング・保存する

    サブネット枯渇時の対応

    VPC内の全てのIPアドレスを利用している場合は、VPCのCIDRブロックを変更して、新しいサブネットに十分な空きスペースを作成する事で枯渇時対処することも可能。

    専用テナンシーについて

    セキュリティを高める際に利用する

    具体的には、アプリケーションが動いているインスタンスは他のAWS顧客とハードウェアを共有してはいけない場合、以下の構成を検討する事ができる

    1. デフォルトてナンシーでVPCを作成
    2. 専用てナンシーでアプリケーションが動くインスタンスを起動。
    3. 共有テナンシーで、その他インスタンス(セキュリティ要件がないインスタンス)を起動する

    単一のWebサーバを公開するのに必要な作業

    • インターネットゲートウェイの設定を行う
    • ウェブサーバにElastic IPを設定し関連付ける
    • Webサーバのセキュリティグループを変更。Webトラフィックに使用されているポート上のWebトラフィックを許可する
    • サブネットのルーティングテーブルを設定

     

     

  • RDS

    RDS

    高負荷対策

    Amazon RDS MySQL DBインスタンスで現在、利用可能な最大のインスタンスタイプで実行されているとする。

    DBインスタンスはCPUおよびネットワーク帯域幅に近いキャパシティで動作。

    今後、トラフィックが増加することを予想される。より多くのトラフィックを捌くアプローチ

     

    • 別アベイラビリティゾーンにMasterデータベースの読み取りレプリカを作成。レプリカに読み取り専用呼び出しを送信するよう、アプリケーションを設定する。
    • Amazon ElasticCacheクラスタを作成。頻繁にアクセスされるデータやクエリをキャッシュから取得するようにアプリケーションを設定する

    障害時の挙動

    プライマリDBインスタンスに障害が発生した場合、RDSマルチアベイラビリティゾーンのデプロイは、

    標準名レコード(CNAME)がプライマリからスタンバイに変更される。

    ElasticCacheについて

    セッション情報をRDSではなく、ElasticCacheを利用する際の挙動

    • セッションデータの読み取り・書き込みパフォーマンスを向上
    • データベースインスタンスの負荷を軽減

    RDSへの接続できない場合確認すべきポイント

    • VPCセキュリティグループの不正なルール
    • ローカルファイヤウォールのAmazon RDSエンドポイントポートの制限を確認する
    • Amazon RDSインスタンスが実行状態であるか

    ページの読み取り時間の改善

    • セッション情報と頻繁なDBクエリのために、アプリケーションにAmazon ElasticCacheを追加
    • Amazon CloudFront dynamic content supportを設定。サイトの再利用可能なコンテンツのキャッシングを有効にする
    • Amazon RDSデータベースをhigh memory extra largeインスタンスタイプへ変更

     

    ストレージ容量の拡大させる

    追加ストレージを割り当てる事が可能。割り当て中にパフォーマンスが低下する期間を計画する。