カテゴリー: tech

暗号化について

暗号化するには

• AWSキー管理サービスの管理キーによるAmazon S3サーバーサイド暗号化を使用する
• Amazon S3のユーザ提供キーによるサーバサイド暗号化（SSE-C）を使用する
• 自分のマスターキーを使用して、Amazon S3に取り込む前に、クライアント側のデータを暗号化する

正常時の動作

HTTP 200結果コードとMD 5チェックサムが、操作が成功したことを示す。

暗号化について

保存データをネイティブに暗号化することが可能。

また、保存データのネイティブ暗号化はAmazon Glacierでも可能

料金プラン

type	耐久性	可用性	特徴
STANDARD	99.99999999 %	99.99 %	複数箇所にデータを複製。 耐久性が高い。
STANDARD-AI	99.99999999 %	99.9 %	スタンダードに比べて安価。 データの読み出し容量に応じた課金
One Zone-AI	99.99999999 %	99.5 %	アクセス頻度は低い 必要に応じてすぐに取り出し可能
RRS	99.99 %	99.99 %	低冗長化ストレージ Glacierからの取り出しなどで利用
Amazon Glacier	99.99999999 %	–	安価なアーカイブ用ストレージ データの抽出に３−５時間かかる ライフサイクルマネジメントで指定が可能 ポールロック機能でデータを保持

RRS（Reduced Redundancy Storage）は、

ストレージコストを最適化してデータの高可用性を達成できる。そのため、頻繁に検索されるデータなどに有効。

管理機能

ライフサイクル機能

プロパティ

以下の設定が可能

• バージョン管理
• 静的ホスティング
• オブジェクトレベルのログ管理

アクセス制御

バケットまたはオブジェクトにS3ACLを設定

S3バケットポリシーを設定する

S3-backed AMIのインスタンスが停止した際の挙動

ルートボリュームのデータは自動的に削除される

S3データへのアクセス制限する機能

• バケットまたはオブジェクトにS3 ACLを設定
• S3バケットポリシーを設定

 

 

特徴

• Cloud Trailは、グローバルで有効になる
• Cloud Trailは、リージョン単位で有効になる
• 集約の為に、ログは単一のAmazon S3 バケットに集約可能

EC2削除前の確認

EC2インスタンスの削除する前に、所有者が必要でないことを確認する必要があり、Cloud Trailを使うことで確認が可能。

CloudTrailイベントのCloudWatchアラームを作成

他のリージョンのAWS APIのアクティビティを監視する事が可能。

保存データをネイティブに暗号化することが可能

 

Lambdaを呼び出すことができるサービス

• Amazon DynamoDB
• Amazon SNS

トラフィックが増える事が予想される際の対応

API gatewayで１つのAWS lambda関数をトリガーとして使用。Lambdaは受信イベントのレートに合わせてキャパシティを割り当てる。

 

IAMのルートアカウントの特徴

• 逆引きDNS設定
• CloudFrontのキーペアの作成
• IAMユーザの課金情報へのアクセスのアクティベイト

Active Directoryを利用したAWS Management Consoleへのアクセス権について

会社のポリシー上、IDフェデレーションとロールベースアクセス制御をしたいとする。

企業のアクティブディレクトリのグループを使用してロールが割り当てられているとすると、

AWSコンソールのアクセス権を開発者に与えるには以下の２つが必要になる

• AWS Directory Service AD Connector

AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。 

https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/directory_ad_connector.html

• IAM roles

 

IAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻を表⽰する機能

Access AdvisorのLast Accessed DataにIAMエンティティ(ユーザー、グループ、ロール) が、最後にAWSサービスにアクセスした⽇付と時刻が表⽰されます。

パワーユーザーとは

パワーユーザーはIAMユーザーやグループの管理以外の全てのAWSサービスへのフルアクセス権限を有しています。

 

管理ポリシー

AWS管理ポリシー

AWSが作成および管理する管理ポリシー

カスタム管理ポリシー

AWSアカウントで作成、管理する管理ポリシー

同じポリシーを複数のIAMエンティティにアタッチが可能

 インラインポリシーとは

⾃⾝で作成および管理するポリシー

１つのプリンシパルエンティティ（ユーザ、グループ、ロール）に埋め込まれたポリシー。

プリンシパルエンティティにアタッチすることができる。

1アカウントで

• 5000ユーザまで作成可能
• 所属グループは10グループまで
• 作成は100グループまで
• IAMユーザーは10個のグループまで

所属することが可能。

AWSアカウント内のRoute53のドメイン登録は管理者権限などで実施できる

AMI

AMIの作成時点のEBSボリュームも復元可能

別リージョンへのアタッチ

別リージョンにサービスを立ち上げた際も、既存のIAMロールをアタッチさせる事が可能

リザーブドインスタンスの特徴

• AZ間で利用可能
• Auto Scalingによる起動されるインスタンスも適用可能
• システムの総所有コスト（TCO）を軽減為に使用することが可能

コスト最適化

CPUキャパシティなど、リソースが十分に活用されてないEC2インスタンスを特定するサービス

• AWS truested advisor
• Amazon CloudWatch

転送コストを部署毎に分配する際の対応

AWS Direct Connect経由のデータ転送のコストを各部門にどのように分配すべきか

1. 仮想インターフェースを構成
2. 仮想インターフェースの所有者を部門のAWSアカウント番号に設定する

 

Amazon Elastic Block Store(EBS)の特徴

• EBSはマルチAZでのレプリケーションが利用できる
• EBSは他のリージョンにおいてレプリケーションを実施できる
• ハードウェア専有インスタンスは同じAWSアカウントのインスタンスとHWを共有する可能性がある

暗号化について

• 全てのAmazon EBSボリュームタイプでサポートされる
• スナップショットは自動的に暗号化される

暗号化する方法

1. ボリュームのスナップショットを作成
2. スナップショットの暗号化されたコピーを作成
3. 新しいスナップショットから新しいボリュームを作成
4. ボリュームを交換

EBS-backedとinstance-store backedの最大の違い

EBS backedインスタンスは停止および再起動が可能

プロビジョンドIOPS

その月にIOPSおよびストレージを実際に使用したかどうかに関係なく課金される

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/EBSVolumeTypes.html

スナップショット

スナップショット作成時はデータ整合性を保つため静⽌点を設ける必要がある。

EBSは増加バックアップでS3に保存する事が可能。

無料でのモニタリングデータ取得について

基本（Basic）は５分間のデータを無料で自動に取得可能

 

特徴

• エイリアスレコードは、1つのDNS名を別のAmazon Route 53 DNS名にマッピングすることができる
• Amazon Route 53 CNAMEレコードは、任意場所にホストされている任意のDNSレコードを指すことができる。

他のVPCでプライベートホストゾーンを利用

プライベートホストゾーンに関連付けさせる必要がある。