AWS SAP Practice
nao
Posted on May 7, 2024
AWS SAP
- A
- S
- A
- A
- A
- A
- A
- A
- A
- ABCE Amazon SESでは設定セット(Configuration sets)を使うことでメールの開封率などを調べることが可能 メトリクスはCloud Watch, Kinesis Firehose, SNSに送信することが可能 以前はできなかったが、2017年ごろに可能になった
- Aa VPCフローログは送信元IPアドレスや宛先、ポート番号などの基本的な情報しかないがVPCミラーリングで得られたパケットには通信に関する全ての情報がある それをWireshark等のパケットキャプチャツールで解析すると通信をしているユーザなどの情報を検査できる パケットの送信先はENIかNetwork loadBalancerのみ。CloudWatch Logsには送信できない
- A AWS Personal Health DashboardのAWS_EC2_PERSISTENT_INSTANCE_RETIREMENT_SCHEDULEDイベントは、EC2インスタンスがハードウェアの問題や老朽化などの理由で退役予定であることを示すアラート このイベントのターゲットとしてAWS AutomationのAWS-RestartEC2Instanceを指定することで自動起動が可能
- A Amazon Inspectorにはエージェントが必ずしも必要ない(エージェントレススキャン) ただ、ソフトウェアの脆弱性を詳細に検査するためにはAgentが必要
- Aa Dedicated Hostsのアフィニティオプションを利用することで、インスタンスが再起動したときも同じハードウェアマシン上で起動されるようになる
- A S3バケットのリクエスタ支払いを有効にすると、自動的にAWS認証とx-amz-request-payer:requesterをヘッダーに含めたリクエストが必須になる つまり、バケットポリシーのConditionを追加する必要はない
- A KMSマスターキーのエクスポートはできない 素早く安全にデータベースのコピーを相手に渡すには、Aurora MySQLのスナップショットを作成してKMSのCMKをキーポリシーによって使えるようにする
- A
- A DAXにはSaving Plansは存在しない
- A Elastic IPアドレスが利用できるAWSのサービスは、EC2, NATゲートウェイ、Network Load Balancerである
- Aa AWS SCT (Schema Conversion Tools)を使うことでデータウェアハウスからデータを抽出/変換しS3やSnowball Edgeに移行することができる
- A AWS Replication AgentはAWS Application Migration Serviceでも使える AMSでテストインスタンスの起動も可能
- C⭕️
- C⭕️ Kinesisはマネージド→OSの管理が必要ない
- B/C Memchaedは暗号化やレプリケーションをサポートしていない
- DCF/ADF ENIにはMACアドレスも紐づいている
- C⭕️
- BC⭕️
- DCE/BCD
- B⭕️ CodepipelineでCodeBuildを実行して、コマンドの戻り値がエラーの場合はパイプラインが終了する
- EDC/BDE AWSとオンプレミスの安定な接続→Direct Connect Gateway マネージドなVPN接続→AWSクライアントVPN
- A/D
- A/B CART(AWS Cloud Adoption Readiness Tool)を利用することでAWS以降に必要な準備について適切な指標を出せる
- D/C Egress-Onlyインターネットゲートウェイはサブネットに作成するものではなくVPCにアタッチするものである
- B/D
- B⭕️
- B/C 外部IDはIAMロールのARN登録ごとにランダムに作成する必要がある
- C⭕️
- B⭕️
- B⭕️
- D⭕️
- A/B 追加の勉強が必要
- C⭕️ Transit GatewayのVPN接続でEnable Accelerationを有効にするとGlobal Acceleratorを利用したVPNネットワークの高速化になる
- ADE⭕️
- C/B SCPを利用するにはOrganizationsで全ての機能を有効化する必要がある
- CDF/BCD Firewall Managerで必須の機能→Organizationsで全ての機能を有効化すること、管理者アカウントの設定、Configを有効化すること
- A/D 最小限の権限を設定するためにService Catalogを使える
- D⭕️ Lambda関数に送信元Elastic IPアドレスを設定するには、NATゲートウェイ経由でアウトバンドリクエストを実行する必要がある NAT Gatewayに適用したElastic IPアドレスを使う
- D/C KMSの顧客管理キーはローテーションが可能 パスワードのローテーションが必要な場合はシークレットマネージャーを利用する必要があるが、キーのローテーションならKMSでOK
- A/C
- AC⭕️ Cloud HSMでTDEプライマリ暗号化キーを使用するケースはRDSでサポートされていない。→EC2を利用する必要がある
- D⭕️
- B⭕️
- B⭕️ Direct Connect Gatewayで複数リージョンのVPCにアタッチできる
- CDE/BCE SricataとはオープンソースのIDS Sricata互換での検査をマネージドで提供するサービスはAWS Network Firewall
- C/B
- ABC⭕️ IAMロールを使うことでEC2のメタデータに一時的な認証情報が保存されますが、IMDSv2のみを使用することでサーとパーティ製のWAFの脆弱性に影響されにくい
- C/A Cloud Frontキーペアの作成はrootユーザーでなくてもできる
- C⭕️
- B⭕️
- BD⭕️
- B/C ベストプラクティスは「自動化」
- B/C S3マルチパートアップロードでは不完全なパートが残りっぱなしになるとストレージ容量を逼迫してしまうため定期的に削除することが必要
- D⭕️
- BCE⭕️
- B⭕️ ルートユーザーが使われたことの通知→Guard DutyのRootCredentialUsageイベント
- D⭕️ Application Discovery Serviceで以降の判断や計画を立てることにも使える
- B⭕️
- D/C AWS Outpostsとは自社のデータセンターやオンプレミス環境にAWSのサーバをラックごと設置するもの 住所がはっきりしている特定の場所にデータを保存しなければならない場合などに利用する
- B⭕️ EMRではマスターノードとコアノードは中断されずに実行される必要がある
- ABC/ACD インプレミスのLinuxにEFSをマウントし、転送中のデータを暗号化する場合 amazon-efs-utilsをインストールして、マウントヘルパーコマンドで-o tlsオプションをつけてマウントする マウントするとき、EFSファイルシステムIDを指定するので名前解決できる必要がある
- D/B わからん
- CE/BC RDS Proxyを利用する場合は、パスワード保存用のSecrets Managerが必要 RDS Proxyにとどいたリクエストの認証を行うためhttps://dev.classmethod.jp/articles/how-rdsproxy-uses-secrets-manager/
- B/C CloudFrontのフィールドレベル暗号化とは、CloudFrontでやり取りされる特定のフィールドのデータを暗号化するもの 特定のセンシティブな情報を暗号化する際に利用される KMSキーなどで暗号化をすると、KMSキーが利用できる人ならその情報が見れてしまう
- A/B
- D/A リアルタイム配信は、AWS Elemental MediaLiveとAWS Elemental MediaStoreとCloudFrontで実現可能
- C/D 同じリージョン内のVPC同士を接続する場合→Transit Gateway その後、各リージョンのTransit Gateway同士をピア接続する
- D⭕️
- BD/BE OACはCloudFront経由に限定するだけで、アクセスもとの認証などを判断するものではない
- A/C EventBridgeを利用することでスポットインスタンスの中断などのAWSアカウント内のイベントと、外部SaaS製品のイベントを統合できる
- C⭕️
- DE/CE
- D/C 勉強が必要Step Function 使う
追加で勉強すること
追加でまとめること
- 組織のネットワーク設計
- VPCエンドポイントの利用
- AWS PrivateLinkとVPCエンドポイントの違い
- AWS クライアントVPN/AWS Site-toSite VPN/ソフトウェアVPNなどを使ったVPN構成
- 仮想プライベートゲートウェイとカスタマーゲートウェイ
- AWS Direct Connect
- VPCピア接続
- AWS Transit Gateway
- Direct ConnectとTransit Gateway
- Route53プライベートホストゾーンとRoute53 Resolver
- マルチアカウント戦略、ロール、ユーザ管理について
- 組織内でのクロスアカウントアクセス
- サードパーティ製品へのアクセス許可と混乱した代理問題
- AWS Directory Service
- AWS Organization
- AWS Service CatalogとAWS Resource Access Manager
- AWS Control Tower
- 開発
- Build spec.ymlとapp spec.yml
- EC2インスタンス/ECS/Lambdaへのデプロイ戦略
- CloudFormationのヘルパーリクエスト
- AWS CodePipelineの使用例
- AWS Elastic Beanstalkの使用例
- モニタリング
- AWS Healthイベント Personal Health
- CloudWatchの利用例
- VPCのモニタリング(VPC Flow Logsとトラフィックミラーリング)
- AWS X-Ray
- 構成管理、メンテナンス
- AWS Systems Managerの利用
- AWS Config
- S3のバッチオペレーション
- セキュリティ
- ルートユーザの保護
- AWS KMS
- Cloud HSMのユースケース
- Secret Manager
- Amazon Inspector
- WAF, Shield, Network Firewall, Firewall Manager
- GuardDuty, Macie, Security Hub, Detective
- 信頼性
- 災害対策のために
- 疎結合化による信頼性の改善
- データベースのリクエスト改善
- EC2 オートスケーリング
- ファンアウト
- AWS Service Quotasが必要になる場面
- パフォーマンス
- インスタンスタイプとかバーストとか
- プレイスメントグループ
- ストレージのパフォーマンス(S3,DynamoDB)
- CloudFrontの利用
- Global Accelerator
- ElastiCache
- RDS
- Aurora
- API Gateway
- コスト最適
- EC2のコスト
- S3のコスト
- DynamoDBのコスト
- コストの可視化、予想
- EC2→サーバレスへ
- 移行
- 7つのR
- 移行評価支援のサービス
- データ、アプリケーションの移行サービス
- AWS の活用例
- ECS/EKS/Proton
- App Runner
- Kinesis
- データレイク
- SESを活用したメール送受信
- Transfer Family
- IPアドレスに依存した設計
- 低遅延を実現するサービス
💖 💪 🙅 🚩
nao
Posted on May 7, 2024
Join Our Newsletter. No Spam, Only the good stuff.
Sign up to receive the latest update from our blog.