AWS Storage Gateway はCHAPを使用して、ゲートウェイと iSCSI イニシエータの間の認証を行うことができる。
CHAP を設定するには、AWS Storage Gateway コンソールと、ターゲットへの接続に使用される iSCSI イニシエータソフトウェアの両方で、設定を行う必要がある。
Storage Gateway では相互 CHAP が使用され、イニシエータがターゲットを認証するときに、ターゲットもイニシエータを認証する。
セキュアな iSCSI接続を実施するために必要なこと
iSCSI によって接続された機器に対する指示を出す部分
参考情報
ダウンタイムを許容する際の移行方法について
AWS Server Migration Serviceを利用して、物理マシンのみならずVMware vSphereインフラストラクチャからAmazon EC2に仮想マシンをインポートすることができる。
https://aws.amazon.com/jp/server-migration-service/
AWS Server Migration Service は、短時間で AWS に移行できるサービス。
ライブサーバーボリュームの増分レプリケーションの自動化、スケジュール設定が可能。
VMware のインスタンスに対してAWS SMSを利用する際は、AWS Connector for vCenterと言うコネクターを移行対象となるオンプレミス環境のサーバーにインストールする。
これにより、GUIを使用してVMware vSphereインフラストラクチャからAmazon EC2に仮想マシンをインポートできる。
と言う順番で行う。
VM を既存の仮想化環境から Amazon EC2 にインポート、それを元の環境にエクスポートすることができる。
この方法を使うメリットとして、
といった点を挙げることができる。
VM Import ではインポートプロセス中に VM が Amazon EC2 AMI に変換される。
以下の振る舞いを持つ サードパーティの Webアプリケーションを使用する際の制御
外部から自社の エンドポイントを叩くユースケースへの対応を考える必要がある。
クロスアカウント許可を設定するIAMロールによって、限定的なアクセスを委任することができる。
WEBアプリケーションが必要とする権限のみに限定したアクセス権限を付与したIAMポリシーを設定する必要がある。
それに基づいたクロスアカウントアクセスが可能となるIAMロール(サードパーティ社用のロール)を作成し、該当WEBアプリケーションに設定する流れだ。
これにより、第三者に資格情報を漏洩することなく、IAMロールの管理によって第三者の情報もコントロールすることができるようになる。
ユーザーが所有する異なる AWS アカウント にあるリソースへのアクセスを委任する方法としてクロスアカウントアクセス許可とIAMロールの設定がある。
特定のアカウントにある特定のリソースを別のアカウントのユーザーと共有することができる。
クロスアカウントアクセスを設定するメリットとして、利用者はアカウントごとに IAM ユーザーを作成する必要がなくなる。
ちなみに、API Gatewayを使う際、APIリクエストはIAMロールなどの権限がない外部システムやユーザーから実行が可能。
また、AWS Organizationsはアカウントで IAM ロールを使って、特定のAWSアカウントのリソースへのアクセス権を別の AWS アカウントに付与できる。
この場合は IAMユーザーを利用するわけではない。
Dockerfile に
COPY data /direcotry/上記 の通り記載したところ
cannot copy to non-directory: /var/lib/docker/overlay2/mmfii39iwldt2x2p997ukyz4m/merged/directory/exportというエラーになった。
コピー先のディレクトリ名まで記載することで問題は解消できる
COPY data /direcotry/data
MONTH や DAY が 8 (一桁) の時、
YYYYMMDD 形式でフォーマットが崩れないようにするためのワンライナー
YYYYMMDD=${YEAR}$(printf "%02d" ${MONTH})$(printf "%02d" ${DAY})以下の順番に対応する
オンプレミスの DB2、SAP、Windows などを AWS に移行する方法について
上記2点を考える必要がある。
これらのライセンスをそのまま移行するためには、
EC2インスタンスにソフトウェアをインストールすることになる。
そのための移行方法としてAWS SMSを利用してECインスタンスへの移行が選択肢になる。
AWS License Manager を利用する
ライセンスルールを定義。
ライセンス対象となるソフトウェアをインストールしたEC2インスタンスに適用することができる。
コンソールを利用してライセンス利用状況を追跡することも可能。
ソフトウェアベンダーのライセンスを簡単に管理できるようになる。
管理者はライセンス契約の規約をエミュレートするカスタマイズされたライセンスルールを作成することで、EC2 のインスタンスの起動時にそれらのルールを適用できる。
管理者はこれらのルールを使用して、契約が定める以上のライセンスを使用する。
または短期的に異なるサーバーにライセンスを再度割り当てるといったライセンス違反を規制できる。
AWS License Manager は AWS のサービスと統合し、1 つの AWS アカウントを通じて、複数のアカウント、IT カタログ、オンプレミスにわたってライセンスの管理を簡素化することができる。
また、ライセンス管理者は AWS Service Catalog でルールを追加することができる。
AWS Licence Manager
https://aws.amazon.com/jp/license-manager/features/
AWS Service Catalog
Amazon Rekognition
画像検品作業は可能だが、
画像検品に特化したサービスではない
もし画像検品などを行いたい場合は、
G2インスタンスにソフトウェアを導入するなどの対応が必要。
低レイテンシネットワーキングを備えた高度なグラフィック処理サーバーについて言及する場合は、EC2インスタンスの中のG2インスタンスが最適。
開発者が
するケース。
SWFはAWSサービスとの人間のやり取りを含むワークフローをサポートするが、
現在ではワークフロー作成にはSWFではなくAWS Step Functions の利用が推奨されている
公式は以下の通り
組織内のマスターアカウントとすべてのメンバーアカウントの CloudTrail イベントを同じ
に配信できるようにする設定である。
組織の証跡を作成すると、組織のための統一されたイベントログ記録戦略を定義するのに役立つ。
組織の証跡を作成すると、自分の組織に属するすべての AWS アカウントに、指定した名前の証跡が作成される。
メンバーアカウントで CloudTrail アクセス許可を持つユーザーは、
この証跡 (証跡 ARN を含む) を表示することができる。
各AWSアカウントでアクティビティが発生すると、そのアクティビティはCloudTrailイベントに記録される。
イベント履歴に移動すると、CloudTrailコンソールで最近のイベントを簡単に表示できる。
マルチリージョンおよびグローバルイベントの追跡を有効にすることもできる。
デフォルトでは、CloudTrailによってバケットに配信されるログファイルは、
Amazon S3管理の暗号化キー(SSE-S3)を使用したAmazonサーバー側の暗号化によって暗号化される。
直接管理可能なセキュリティレイヤーを提供するために、
CloudTrailログファイルにAWS KMS管理キー(SSE-KMS)を使用したサーバーサイド暗号化を使用できる。
ログを保護するには、S3バケットを暗号化し、バケット作成時にデータ削除不可の設定を行うことで、永続的にログを保存することが可能。
マスターアカウントに対して単一のCloudTrailを有効化して、ターゲットアカウント設定において他の子アカウントをターゲット設定・・・と言うことは必要ない。
AWS Organizationsを利用して、CloudTrailの「組織の証跡」を利用することで子アカウントにも自動的にCloudTrailログを設定することが可能になるからだ。