特徴
- Cloud Trailは、グローバルで有効になる
- Cloud Trailは、リージョン単位で有効になる
- 集約の為に、ログは単一のAmazon S3 バケットに集約可能
EC2削除前の確認
EC2インスタンスの削除する前に、所有者が必要でないことを確認する必要があり、Cloud Trailを使うことで確認が可能。
CloudTrailイベントのCloudWatchアラームを作成
他のリージョンのAWS APIのアクティビティを監視する事が可能。
カテゴリー: aws
AWSの情報をまとめる
-
AWS Lambda
Lambdaを呼び出すことができるサービス
- Amazon DynamoDB
- Amazon SNS
トラフィックが増える事が予想される際の対応
API gatewayで1つのAWS lambda関数をトリガーとして使用。Lambdaは受信イベントのレートに合わせてキャパシティを割り当てる。
-
AWS IAM
IAMのルートアカウントの特徴
- 逆引きDNS設定
- CloudFrontのキーペアの作成
- IAMユーザの課金情報へのアクセスのアクティベイト
Active Directoryを利用したAWS Management Consoleへのアクセス権について
会社のポリシー上、IDフェデレーションとロールベースアクセス制御をしたいとする。
企業のアクティブディレクトリのグループを使用してロールが割り当てられているとすると、
AWSコンソールのアクセス権を開発者に与えるには以下の2つが必要になる
- AWS Directory Service AD Connector
AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。
https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/directory_ad_connector.html
- IAM roles
IAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻を表⽰する機能
Access AdvisorのLast Accessed DataにIAMエンティティ(ユーザー、グループ、ロール) が、最後にAWSサービスにアクセスした⽇付と時刻が表⽰されます。
パワーユーザーとは
パワーユーザーはIAMユーザーやグループの管理以外の全てのAWSサービスへのフルアクセス権限を有しています。
管理ポリシー
AWS管理ポリシー
AWSが作成および管理する管理ポリシー
カスタム管理ポリシー
AWSアカウントで作成、管理する管理ポリシー
同じポリシーを複数のIAMエンティティにアタッチが可能
インラインポリシーとは
⾃⾝で作成および管理するポリシー
1つのプリンシパルエンティティ(ユーザ、グループ、ロール)に埋め込まれたポリシー。
プリンシパルエンティティにアタッチすることができる。
1アカウントで
- 5000ユーザまで作成可能
- 所属グループは10グループまで
- 作成は100グループまで
- IAMユーザーは10個のグループまで
所属することが可能。
AWSアカウント内のRoute53のドメイン登録は管理者権限などで実施できる
AMI
AMIの作成時点のEBSボリュームも復元可能
別リージョンへのアタッチ
別リージョンにサービスを立ち上げた際も、既存のIAMロールをアタッチさせる事が可能
-
AWS 料金
リザーブドインスタンスの特徴
- AZ間で利用可能
- Auto Scalingによる起動されるインスタンスも適用可能
- システムの総所有コスト(TCO)を軽減為に使用することが可能
コスト最適化
CPUキャパシティなど、リソースが十分に活用されてないEC2インスタンスを特定するサービス
- AWS truested advisor
- Amazon CloudWatch
-
AWS Direct Connect
転送コストを部署毎に分配する際の対応
AWS Direct Connect経由のデータ転送のコストを各部門にどのように分配すべきか
- 仮想インターフェースを構成
- 仮想インターフェースの所有者を部門のAWSアカウント番号に設定する
-
Amazon Elastic Block Store(EBS)
Amazon Elastic Block Store(EBS)の特徴
- EBSはマルチAZでのレプリケーションが利用できる
- EBSは他のリージョンにおいてレプリケーションを実施できる
- ハードウェア専有インスタンスは同じAWSアカウントのインスタンスとHWを共有する可能性がある
暗号化について
- 全てのAmazon EBSボリュームタイプでサポートされる
- スナップショットは自動的に暗号化される
暗号化する方法
- ボリュームのスナップショットを作成
- スナップショットの暗号化されたコピーを作成
- 新しいスナップショットから新しいボリュームを作成
- ボリュームを交換
EBS-backedとinstance-store backedの最大の違い
EBS backedインスタンスは停止および再起動が可能
プロビジョンドIOPS
その月にIOPSおよびストレージを実際に使用したかどうかに関係なく課金される
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/EBSVolumeTypes.html
スナップショット
スナップショット作成時はデータ整合性を保つため静⽌点を設ける必要がある。
EBSは増加バックアップでS3に保存する事が可能。
無料でのモニタリングデータ取得について
基本(Basic)は5分間のデータを無料で自動に取得可能
-
route 53
特徴
- エイリアスレコードは、1つのDNS名を別のAmazon Route 53 DNS名にマッピングすることができる
- Amazon Route 53 CNAMEレコードは、任意場所にホストされている任意のDNSレコードを指すことができる。
他のVPCでプライベートホストゾーンを利用
プライベートホストゾーンに関連付けさせる必要がある。
-
EC2
インスタンスの停止中に可能な作業
- セキュリティグループの変更
- 詳細な監視の無効
インスタンスファミリー
インスタンスファミリー 特徴 M5 汎用 T2 汎用 C5 コンピューティング最適化 H1 ストレージ最適化 D2 ストレージ最適化 R4 メモリ最適化 X1 メモリ最適化 F1 FPGA G3 GPC 負荷分散
ELBのクロスゾーン負荷分散を利用する事で、ロードバランサに登録されている複数のAZのAmazon EC2インスタンス間で、受信トラフィックを均等に分散させる事が可能。
EC2インスタンスでNATゲートウェイを作成
作成したEC2インスタンスを作成し、インターネットに接続できない場合は、NATゲートウェイサブネットに、インターネットゲートウェイへのルートがない可能性があるので、確認する。
EC2インスタンスのメタデータから利用できるカテゴリ
- インスタンスID
- Auto Scaling起動設定
CPUキャパシティが十分に活用されてないインスタンスを抽出するツール
- AWS trusted advisor
- Amazon CloudWatch
EC2インスタンスのフル管理者権限を保持するサービス
- Amazon Elastic Map Reduce
- AWS Elastic Beanstalk