カテゴリー: tech

Lambdaを呼び出すことができるサービス

• Amazon DynamoDB
• Amazon SNS

トラフィックが増える事が予想される際の対応

API gatewayで１つのAWS lambda関数をトリガーとして使用。Lambdaは受信イベントのレートに合わせてキャパシティを割り当てる。

 

IAMのルートアカウントの特徴

• 逆引きDNS設定
• CloudFrontのキーペアの作成
• IAMユーザの課金情報へのアクセスのアクティベイト

Active Directoryを利用したAWS Management Consoleへのアクセス権について

会社のポリシー上、IDフェデレーションとロールベースアクセス制御をしたいとする。

企業のアクティブディレクトリのグループを使用してロールが割り当てられているとすると、

AWSコンソールのアクセス権を開発者に与えるには以下の２つが必要になる

• AWS Directory Service AD Connector

AD Connector は、クラウドの情報をキャッシュせずにディレクトリリクエストをオンプレミスの Microsoft Active Directory へリダイレクトするのに使用するディレクトリゲートウェイです。 

https://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/directory_ad_connector.html

• IAM roles

 

IAMエンティティ(ユーザー、グループ、ロール) が最後にAWSサービスにアクセスした⽇付と時刻を表⽰する機能

Access AdvisorのLast Accessed DataにIAMエンティティ(ユーザー、グループ、ロール) が、最後にAWSサービスにアクセスした⽇付と時刻が表⽰されます。

パワーユーザーとは

パワーユーザーはIAMユーザーやグループの管理以外の全てのAWSサービスへのフルアクセス権限を有しています。

 

管理ポリシー

AWS管理ポリシー

AWSが作成および管理する管理ポリシー

カスタム管理ポリシー

AWSアカウントで作成、管理する管理ポリシー

同じポリシーを複数のIAMエンティティにアタッチが可能

 インラインポリシーとは

⾃⾝で作成および管理するポリシー

１つのプリンシパルエンティティ（ユーザ、グループ、ロール）に埋め込まれたポリシー。

プリンシパルエンティティにアタッチすることができる。

1アカウントで

• 5000ユーザまで作成可能
• 所属グループは10グループまで
• 作成は100グループまで
• IAMユーザーは10個のグループまで

所属することが可能。

AWSアカウント内のRoute53のドメイン登録は管理者権限などで実施できる

AMI

AMIの作成時点のEBSボリュームも復元可能

別リージョンへのアタッチ

別リージョンにサービスを立ち上げた際も、既存のIAMロールをアタッチさせる事が可能

リザーブドインスタンスの特徴

• AZ間で利用可能
• Auto Scalingによる起動されるインスタンスも適用可能
• システムの総所有コスト（TCO）を軽減為に使用することが可能

コスト最適化

CPUキャパシティなど、リソースが十分に活用されてないEC2インスタンスを特定するサービス

• AWS truested advisor
• Amazon CloudWatch

転送コストを部署毎に分配する際の対応

AWS Direct Connect経由のデータ転送のコストを各部門にどのように分配すべきか

1. 仮想インターフェースを構成
2. 仮想インターフェースの所有者を部門のAWSアカウント番号に設定する

 

Amazon Elastic Block Store(EBS)の特徴

• EBSはマルチAZでのレプリケーションが利用できる
• EBSは他のリージョンにおいてレプリケーションを実施できる
• ハードウェア専有インスタンスは同じAWSアカウントのインスタンスとHWを共有する可能性がある

暗号化について

• 全てのAmazon EBSボリュームタイプでサポートされる
• スナップショットは自動的に暗号化される

暗号化する方法

1. ボリュームのスナップショットを作成
2. スナップショットの暗号化されたコピーを作成
3. 新しいスナップショットから新しいボリュームを作成
4. ボリュームを交換

EBS-backedとinstance-store backedの最大の違い

EBS backedインスタンスは停止および再起動が可能

プロビジョンドIOPS

その月にIOPSおよびストレージを実際に使用したかどうかに関係なく課金される

https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/EBSVolumeTypes.html

スナップショット

スナップショット作成時はデータ整合性を保つため静⽌点を設ける必要がある。

EBSは増加バックアップでS3に保存する事が可能。

無料でのモニタリングデータ取得について

基本（Basic）は５分間のデータを無料で自動に取得可能

 

特徴

• エイリアスレコードは、1つのDNS名を別のAmazon Route 53 DNS名にマッピングすることができる
• Amazon Route 53 CNAMEレコードは、任意場所にホストされている任意のDNSレコードを指すことができる。

他のVPCでプライベートホストゾーンを利用

プライベートホストゾーンに関連付けさせる必要がある。

 

適切なソリューション（例）

• 実行または分散および監査可能なビジネスの統制
• 分散したセンサー群から、１時間に何千ものデータポイントを暗号化して収集

など

インスタンスの停止中に可能な作業

• セキュリティグループの変更
• 詳細な監視の無効

インスタンスファミリー

インスタンスファミリー	特徴
M5	汎用
T2	汎用
C5	コンピューティング最適化
H1	ストレージ最適化
D2	ストレージ最適化
R4	メモリ最適化
X1	メモリ最適化
F1	FPGA
G3	GPC

負荷分散

ELBのクロスゾーン負荷分散を利用する事で、ロードバランサに登録されている複数のAZのAmazon EC2インスタンス間で、受信トラフィックを均等に分散させる事が可能。

EC2インスタンスでNATゲートウェイを作成

作成したEC2インスタンスを作成し、インターネットに接続できない場合は、NATゲートウェイサブネットに、インターネットゲートウェイへのルートがない可能性があるので、確認する。

EC2インスタンスのメタデータから利用できるカテゴリ

• インスタンスID
• Auto Scaling起動設定

CPUキャパシティが十分に活用されてないインスタンスを抽出するツール

• AWS trusted  advisor
• Amazon CloudWatch

EC2インスタンスのフル管理者権限を保持するサービス

• Amazon Elastic Map Reduce
• AWS Elastic Beanstalk

 

特徴

• 各サブネットには、単一のAZにマッピング
• デフォルトでは、プライベートかパブリックか関わらず、全てのサブネット間でルート可能

VPC

単一のVPCにパブリックサブネットが1つデフォルトで設定される

VPCを設置しないでEC2インスタンスを立ち上げる場合、サブネットの設定が必須になる

VPCエンドポイント

グローバルIPを持つAWSサービスに対して、VPCの内部から直接接続するための出口。

• 無料
• AWSが管理

 

Gateway型

Gateway型はサブネットに特殊なルーティングを設定し、VPC内部から直接外のサービスと通信する

VPC peeringは一部のリージョン間に限られている。

 

プライベートリンク型

サブネットにエンドポイント用のプライベートIPを設定して使用する

エンドポイントポリシーによりアクセス制御を実施

VPC Flow log

accepted/rejectedされたトラフィックを保持する

10分間で収集・プロセッシング・保存する

サブネット枯渇時の対応

VPC内の全てのIPアドレスを利用している場合は、VPCのCIDRブロックを変更して、新しいサブネットに十分な空きスペースを作成する事で枯渇時対処することも可能。

専用テナンシーについて

セキュリティを高める際に利用する

具体的には、アプリケーションが動いているインスタンスは他のAWS顧客とハードウェアを共有してはいけない場合、以下の構成を検討する事ができる

1. デフォルトてナンシーでVPCを作成
2. 専用てナンシーでアプリケーションが動くインスタンスを起動。
3. 共有テナンシーで、その他インスタンス（セキュリティ要件がないインスタンス）を起動する

単一のWebサーバを公開するのに必要な作業

• インターネットゲートウェイの設定を行う
• ウェブサーバにElastic IPを設定し関連付ける
• Webサーバのセキュリティグループを変更。Webトラフィックに使用されているポート上のWebトラフィックを許可する
• サブネットのルーティングテーブルを設定