AWS メモ
●インスタンスメタデータ
実行中のインスタンスを構成または管理するために
使用できるインスタンスに関するデータ
インスタンスメタデータは、ホスト名・イベント
及びセキュリティグループなどのカテゴリに割り当てられる
これを利用してインスタンスの構成情報などの基本情報を
取得するなどできるため自動化プロセス設定には利用されない
●T3インスタンス
ベースラインレベルのCPUパフォーマンスを提供する
次世代のバースト可能な汎用インスタンスタイプで
いつでも必要な時間だけCPU利用率をバーストさせることが可能
T3インスタンスはバランスのとれたコンピューティング、
メモリ及びネットワークのリソースを提供し、
使用中に一時的なスパイクが生じる中程度の
CPU使用率を持つアプリケーション向けに設計されている
●G4インスタンス
機械学習モデルの本番環境へのデプロイや
グラフィックスを多用するアプリケーションに適している
高機能だがT2及びT3インスタンスよりも高価なため
コスト最適なインスタンスではなく、
また機械学習やゲーミングで利用するインスタンスタイプである
●A1インスタンス
包括的なArmエコシステムによりサポートされる
スケールアウト型のArmベースのワークロードに
最適で大幅なコスト削減を実現できる
A1インスタンスはAWS Gravitonプロセッサで
動作する初のEC2インスタンス
このプロセッサには64ビットのArm Neoverseコアと
AWSが設計したカスタムシリコンタイプでありコスト最適化ではない
●M5インスタンス
Intel Xeon_Platinum 8175Mプロセッサを搭載した
最新世代の汎用インスタンス
このファミリーはバランスのとれたコンピューティング、
メモリ、及びネットワークのリソースを提供し多くのアプリケーションに適している
T2及びT3インスタンスと異なり、バースト性能がないため
CPU使用率の上昇に対しても一定のパフォーマンスを
保証できるインスタンスタイプという要件には合致しない
●AWS Artifact
AWSとの契約やコンプライアンスなどに関わる情報を
一元管理することができるサービス
ユーザーとの契約にかかる文章のほか、
AWS独自のコンプライアンス対応に関するレポートが提供される
AWS Artifactでは、AWSのセキュリティ及び
コンプライアンスレポートと特定のオンライン契約にオンデマンドでアクセスできる
Service Organization Control(SOC)、Payment Card Industry(PCI)レポート、
AWSセキュリティ制御の実装と運用の有効性を検証する
様々な地域やコンプライアンス垂直市場の認定機関からの認定が含まれる
事業提携契約(BAA)と機密保持契約(NDA)を管理することができる
AWSコンプライアンスレポートへの
オンデマンドアクセス用のセルフサービスポータルである
AWS Artificatを使用することにより
PCI DSSコンプライアンス証明(AOC)及び責任概要を利用できる
●AWS Config
AWSリソースの認定を評価・監査・審査できるサービス
ConfigにはAWSリソースの設定が継続的にモニタリング及び記録され、
望まれる設定に対する評価を自動的に実行できる
Payment Card Industry(PCI)レポートに基づいた情報提供はされない
●Amazon Macie
機械学習を使用しAWSの機密データを自動的に検出、
分類、保護するセキュリティサービス
●SpilloverCount
ELB上でEC2インスタンスにルーティングされている
HTTPリスナーとTCPリスナーのリクエスト失敗状況を確認できる
●RequestCount
指定された間隔(1分または5分)の間に完了した
リクエスト数、または接続の数を取得する
完了したリクエストでは失敗状況の判断はできない
●UnHealthyHostCount
ロードバランサーに登録された異常なインスタンス数を取得する
インスタンスはヘルスチェックに対して構成された
異常な閾値を超えると異常な状態とみなしてくれる
異常なインスタンスはヘルスチェックに設定されている状態の
閾値を満たせば再び正常な状態とみなされる
ヘルスチェック結果としての異常なインスタンスを検知することができるが、
リクエストの失敗状況に関する情報を取得することができない
●SurgeQueueLength
異常なインスタンスへのルーティングを
保留中のリクエスト(HTTPリスナー)または接続(TCPリスナー)の合計数
●AWS Systems Manager Automation
EC2インスタンス及び他のAWSリソースの
一般的なメンテナンスとデプロイに関する運用タスクを自動化することが可能
その際に自動化ワークフローを構築しインスタンス及びAWSリソースを設定する
独自のカスタムワークフローを作成するかAWSの定義済みのワークフローを使用することが可能
●IDS / IPS
不正侵入検知(IDS)、不正侵入制御(IPS)
●Palo Alto Networks
全てのVPC上にある悪意のあるトラフィック通信を監視、フィルタリングする
●AWS Shield Advanced
アプリケーションを標的とした攻撃に対する高レベルな保護に使用する
Standard版は高度な保護には不十分
●Amazon GuardDuty
AWSアカウントとワークロードを継続的にモニタリングし、
悪意のあるアクティビティや不正なアクティビティから保護する
●AWS Systems Manager Patch Manager
セキュリティ関連のアップデート及びその他のタイプのアップデートの両方に関して、
インスタンスへのパッチ適用プロセスを自動化する
Patch Managerを使用してオペレーティングシステムと
アプリケーションの両方にパッチを適用することができる
AWS Systems Manager Patch Managerを使用することで、
EC2インスタンスのフリート全体のOSのセキュリティパッチの適用を
スケジューリングして自動実行することが可能となる
●AWS Batch
AWSクラウドでバッチコンピューティングワークロードを実行できる
OSパッチの管理にはAWS Systems Manager Patch Managerを利用する
●EC2Rescue
EC2のWindowsインスタンスへの接続に失敗した場合や、
起動上のトラブルが発生した場合にトラブルの分析に利用するログ収集をなどを実施する
●AWS SAM(Serverless Application Model)
サーバーレスアプリケーション構築用のオープンソースフレームワーク
Lambda関数などのサーバーレスアプリケーションをデプロイする際に利用される
その際の実行環境はCloudFormationに依存しており
CloudFormationテンプレート内にSAMの設定を実施しデプロイを実行する
●AWSTrustedAdvisor
AWSインフラストラクチャサービスを監視し、既知のベストプラクティスと
比較し節約やシステムパフォーマンス、セキュリティの観点からチェックをしてくれるプログラム
これを利用し、ユーザーが利用するAWSリソース構成のセキュリティ対応状況をベストプラクティスと比較してくれる
●TCO計算ツール
AWS移行した際の利用コストを試算することができ、
オンプレミス環境やその他の費用比較が可能となる
また、総コスト計算ツールでは、ビジネスニーズを最適に
満たすように家庭を変更することもできる
あくまで見積もりツール
●AWS Health
AWSのリソース、サービス、およびアカウントの状態をリアルタイムで可視化する
このサービスでは、AWSで実行されるアプリケーションに影響を与えている
リソースのパフォーマンスや可用性の問題の把握と修復のガイダンスを提供する
●Amazon CloudSearch
高速で非常に拡張性の高い検索機能をアプリケーションに容易に統合できる
●Amazon Inspector
EC2インスタンスにおける通信の詳細、安全なチャンネルの使用、
実行中のプロセスの詳細、実行中のネットワークトラフィックなどのデータを収集して評価レポートを作成することが可能
自動化されたセキュリティ評価サービスで、AWSにデプロイしたアプリケーションの
セキュリティとコンプライアンスを向上させることができる
自動的にアプリケーションを評価し、露出、脆弱性、ベストプラクティスからの逸脱がないかどうかを確認できる
評価結果は詳細なリストがAmazon Inspectorによって作成される
この調査結果は直接確認することもできるがAmazon Inspectorコンソール
またはAPIを介して入手可能な詳細な評価レポートで確認できる
●Amazon Cognito
ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーの
サインアップ/サインインおよびアクセスコントロール機能を追加できる
Amazon Cognitoは、数百万人のユーザーにスケールし、Facebook、Google、
AmazonなどのソーシャルIDプロバイダー、およびSAML2.0による
エンタープライズIDプロバイダーを使用したサインインをサポートする
フェデレーションIDプロバイダー用の組み込みUIと簡単な設定を使用すれば
数分でAmazon Cognitoを統合して、アプリケーションにサインイン、
サインアップ、アクセスコントロール機能を追加できる
●AWS Config
AWSリソースに対してカスタムまたは管理されたルールを評価して通知することができる
これは、リソースが定義したカスタムルールに準拠していることを確認する場合にも利用できる
さらに、AWS ConfigにSNSトピックを連携すればSNSを利用した通知設定が可能
例えば、リソースが更新されるとメール通知が実施され、変更内容が表示できる
●cfn-signalヘルパースクリプト
AWS CloudFormationに信号を送り、EC2インスタンスが正常に作成魔tは更新されたかどうかを示す
つまり、cfn-signalヘルパースクリプトの信号を確認し、
直前のタスクが終了したのを確認した上で、次のリソース設定を始めることが可能となる
●AWS::AutoScaling::AutoScalingGroupリソース
UpdatePolicy属性を使用し、AWS CloudFormationスタックが
更新されるときのAutoScalingグループリソースの更新方法を定義する
UpdatePolicy属性が正しく設定されていない場合、ローリング更新によって
予期しない結果が生成される可能性がある
AWS CloudFormationがAutoScalingグループのローリング更新を処理する方法は
AutoScalingRolingUpdateポリシーを使用して制御できる
この共通的なアプローチでは同じAutoScalingグループを保持し、
設定したパラメータに基づいて古いインスタンスの置き換えを行う
●AWS Systems Managerパラメータストア
設定データ管理と機密管理のための安全な階層型ストレージを提供する
パスワード、データベース文字列、ライセンスコードなどの
データをパラメータ値として保存することができる
値は、プレーンテキストまたは暗号テキストとして保存できる
これをCloudFormationテンプレートのパラメーターストアセクションで設定することで
Systems Managerのパブリックパラメータストアを参照して最新AMIを引っ張ってくることができる
テンプレートやパラメータなど何も変更せずにCloudFormationスタックを更新するだけで
リソースの要件に応じてその時点でサイン真のAMIIDに更新される
●set-load-balancer-listener-ssl-certificateコマンド
証明書を設定する
●AWS Server Migration Service(SMS)
数千のオンプレミスワークロードを従来よりも簡単に、かつ短時間でAWSに移行できるエージェントレスサービス
AWS SMSではライブサーバーボリュームの増分レプリケーションの自動化、スケージュール設定、および追跡が可能なため大規模なサーバーの移行作業を簡単に調整できる
●認証情報レポート IAMユーザーが最後にAWSサービスにアクセスした日付と時刻を表示する機能を提供する アカウントの全てのユーザーとユーザーの各種認証情報(パスワード、アクセスキー、MFAデバイスなど)のステータスが表示された認証情報レポートを生成する
●AWS Picing Calculator アーキテクチャソリューションのコストを見積もるサービス
●パワーユーザー 管理者権限以外のあらゆるAWSリソースに対する権限を有したユーザーのこと
●AWS X-Ray リクエスト動作の確認、アプリケーションの問題の検出、アプリケーションのパフォーマンスの向上
●パーティションプレイスメントグループ HDFS、HBase、Cassandraなどの大規模な分散および複製ワークロードを行うラック間ででプライスるために使用できる
●Oracle RAC(Real Application Clusters)
複数のサーバーで1つのデータベースを構成するOracleのクラスタ環境構成
アクティブ・アクティブで構成されるデータベース構成をとるため、サーバリソースを100%活用できることができる
RDS OracleデータベースエンジンではRAC構成を使用することができない
メモ
・ICMP(Internet Control Message Protocol)
・RDP(Remote Desktop Protocol)
・AWSでは第三者に一時的なアクセス権限を付与する際は、IAMロールを利用することが推奨されている IAMユーザーは一時的に利用するものではない
・RDSの自動バックアップを実施すると、S3にスナップショットを取ることでバックアップを迅速に復元しトランザクションログは5分ごとにS3に保存されるため、アプリケーションを15分というRPO以内の状態に復元することが可能
・EFSにはファイルロック機能はあるが、ファイルバージョン管理機能はない
・RAID1はRTO1分以内の回復が可能
・AWSリソースの更新状況を保持しておくサービスはAWS Config、CloudTrailはAWSリソースの更新状況は保持できない
・ELBにCloudWatchメトリクスを適用すると、読み取りリクエスト量と待ち時間などロードバランサーとターゲットのデータポイントに関する統計情報をメトリクスとして取得できる。これらのメトリクスを使用してシステムが正常に実行されていることを確認できる
・プロキシサーバーにより、クライアントからの要求をフィルターし製品の更新に関連する要求のみを許可して製品の更新以外の全ての要求をフィルタリングすることができる(ネットワークACLおよびセキュリティグループはURLに基づいてリクエストをフィルタリングすることができない)
・CloudWatch Eventのターゲットとして設定できるサービス EC2、Lambda関数、Kinesis Data Stream、Kinesis Data Firehoseの配信ストリーム、ECSタスク、Systems Manager Run Command、Systems Manager オートメーション、Batchジョブ、Step Functionステートマシン、CodePipelineの倍プライン、Code Buildプロジェクト、Inspectorの評価テンプレート、SNSのトピック、SQSキュー、EC2 CreateSnapshot API call、EC2 Rebootlnstances API call、EC2 StopInstances API call、およびEC2 TerminateInstances API Call、別のAWSアカウントのデフォルトのイベントパス
・アプリケーションエラーに関連するキーワードをCloudWatchログを調べることで確認し、そのキーワードに基づいてカスタムメトリックを作成できる。さらに、そのキーワードに関するイベントをトリガーとしてEC2インスタンスを再起動するアクションを作成し、そのアクションを呼び出すカスタムメトリクスのCloudWatchアラームを設定できる
・CloudWatchアラームアクションを使用し、EC2インスタンスを自動的に停止、終了、再起動または回復するアラームを作成できる このアラームを利用して、インスタンスを実行する必要がなくなった際に停止または終了アクションを使用できる
・CloudTrailログファイルの整合性の検証を使用することでCloudTrailによるログ配信後にそのログファイルが変更、削除、または変更されなかったどうかを判断することができる
・RedsiftはRDSと異なり、マルチAZ構成によるフェールオーバー機能がないため冗長性が低いデータベース シングルAZ構成しか実行できないため、Redshiftはスナップショットを利用しローカルおよびリモートの量リージョンでデータをセキュアにバックアップすることが最良のソリューション
・DHCP(Dynamic Host Configuration Protocol) TCP/IPネットワークのホストに設定情報を渡すための規格 DHCPメッセージのoptionsフィールドの内容は設定パラメータ パラーメータにはドメイン名、ドメインネームサーバー、netbios-node-typeなどがある DHCPオプションセットでは、VPC上で利用できるDHCPオプションで必要なオプションのみ指定できる
・カスタムメトリクスを使用する場合はPutMetricData権限が必要 PutMetricDataがカスタムメトリクスを呼び出すとアプリケーションの1分未満のアクティビティをより短期間に把握できる
・LDAPはActive Directoryとのデータ読み書きに使用される標準的な通信プロトコル
・CloudFormationテンプレートにおけるCreationPolicy属性のResourceSignalパラメーターで、30分のTimeoutプロパティを追加することで、前提条件となるAWSリソースが起動されるまでのタイムアウト時間を設定することができる