AWS SysOps Administrator Associate

AWS Budgetsに設定するアラート閾値は、実績値と予測値のどちらかを選択することができる, 閾値を超えた場合に設定できるアクションは、IAMポリシーの適用、SCPのアタッチ、EC2またはRDSインスタンスアクションの３つである, Billing Alertを設定できるのはスタンドアロンのアカウントまたは支払いアカウントである

EC2インスタンスのAMIを作成し、元のAWSアカウントのus-east-1リージョンにコピーする。コピーしたAMIのアクセス権限を別のAWSアカウントに付与して共有し、別のAWSアカウントで新しいEC2インスタンスを起動する

EC2インスタンスが存在するVPCにS3 VPCエンドポイントを作成して、S3 VPCエンドポイント経由でデータを保存する

応答時間をログファイルに書き込むようにアプリケーションを構成する。Amazon CloudWatchエージェントをインスタンスにインストールする。アプリケーションログをCloudWatch Logsに収集するようAmazon CloudWatchエージェントを構成する。ログから応答時間のメトリクスフィルターを作成し、応答時間メトリクスの1分間の平均値が閾値を5回連続で上回ったときにAmazon SNS通知を送信するCloudWatchアラームを作成する。

CloudTrailイベント履歴を検索し、証跡ログの内容にS3内部エラーが含まれているかを確認し、内部エラーが含まれている場合にAmazon SNSトピックに通知をパブリッシュする。

東京リージョンと大阪リージョンのバケットにバージョニング設定がされていないので、バージョニング設定を追加する。

該当のS3バケットの参照権限のあるIAMロールを作成する。そのIAMロールに対して、B社の特定のIAMユーザーからのみ一時的な認証情報を付与する。

サブネットはAZ単位で作成することができる, 複数のサブネットに同一のルートテーブルを関連付けすることができる, VPC内に複数のサブネットがある場合、それぞれのサブネットを個別のNATゲートウェイにルーティングすることができる, 仮想プライベートゲートウェイを向く経路があるサブネットを、プライベートサブネットと呼ぶ

シンプルルーティングポリシーは、同一レコードに複数のIPアドレスなどの複数の値を指定できる

NACLでエフェメラルポートでのアウトバウンドトラフィックを許可する

CloudFrontのアクセスログ, ALBのアクセスログ

c5

営業時間外にDBインスタンスをマルチAZ構成に変更する

Amazon S3バケットをオリジンとしたAmazon CloudFrontをRoute53エイリアスレコードに登録し、静的コンテンツをキャッシュする。, ALBの背後にAuto ScalingグループでEC2インスタンスが起動するように変更する。

AWS生成コスト配分タグのaws:createdByを有効にする, AWS Cost Explorerで使用状況を分析する

AWSマネジメントコンソールを使用して、Amazon S3バケットにある対象オブジェクトの以前のバージョンをダウンロードする, AWSのマネジメントコンソールを使用して、Amazon S3バケットにある対象オブジェクトの削除マーカーを削除し、取得する, aws s3api delete-objectコマンドで--version-idに削除マーカーおバージョンIDを指定して、Amazon S3バケットにある対象オブジェクトの削除マーカーを削除し、取得する

AWS Organizationsで全ての機能を有効化し、管理アカウントで組織の証跡を作成する

ap-northeast-1に存在しないAWSリソースを使用しようとしたため, スタックを作成したIAMユーザーに一部のAWSリソースに対するアクセス権限がなかったため, スタックを作成したAWS CloudFormationサービスロールに一部のAWSリソースに対するアクセス権限がなかったため

Amazon S3バケットでサーバーアクセスログを有効にし、アクセスログ用バケットに保存するように設定する, Amazon Athenaを使用してS3バケットに保存されているログを検索する

Amazon CloudWatch Events（Amazon EventBridge）により、「EC2 API Call via CloudTrail」のイベントタイプで”eventName":"TerminateInstance"に一致するイベントパターンがAmazon Simple Notification Service（Amazon SNS）トピックにパブリッシュされるようにイベントルールを設定する

SSE-KMS

EC2に、コスト配分タグに指定するkey=department、value=[部署名]のタグを付ける, ユーザー定義コスト配分タグを指定しても、EC2側にそのコスト配分タグが指定されていなければ費用を分けることができない

AWS WAFを設定したApplication Load BalancerにClassic Load Balancerを置き換える

AWS Systems Managerパラメータストアに認証情報をSecure Stringパラメータとして環境ごとのタグを付けて保存し、CloudFormationテンプレートから環境ごとのタグをユーザーデータでEC2インスタンスに設定するようにしてデプロイする。EC2インスタンスは多義に対応する認証情報を取得する。

ノードタイプをサイズの大きいものに変更する垂直スケーリング, リードレプリカの追加

WebサーバーをオリジンとしたAmazon CloudFrontを作成してAWS WAFをデプロイする。ドメインの参照先をCloudFrontに指定し、WebサーバーへのHTTP/HTTPSアクセスをCloudFrontからのトラフィックに指定する

変更セットを使用してデプロイ前に変更内容と影響を表示し、意図しない変更がないか確認する, スタックポリシーを使用してすべてのリソースを許可した上で、保護するリソースの「Update」アクションを明示的に拒否する。

パラメータグループに適切な設定がされている, DBインスタンスおよびDBインスタンスへの接続が暗号化されている, セキュリティグループに必要最低限のアクセスルールが適用されている

AWSアカウントでIAMロールを作成し、信頼ポリシーでSAMLプロバイダーを会社とAWS間の信頼関係を確立するプリンシパルとして設定する, 会社のIDプロバイダー(IdP)で会社のユーザーまたはグループをIAMロールにマッピングするアサーションを定義する

AWS Organizationsを使用して対象のAWSアカウントをメンバーにし、Consolidated Billing(一括請求)のみを有効化する。

EC2インスタンスにアタッチしているIAMロールにCloudWatch Logsに必要な権限が付与されていない。, EC2インスタンスがプライベートサブネットに配置され、VPCエンドポイントまたはNATゲートウェイ経由でのCloudWatch Logsへのログ送信設定がされていない。

AWS SSOでアクセス権限セット(Permission sets)を作成して、ディレクトリで設定したユーザーまたはグループに割り当てる

S3バケットのアクセス制御リスト(ACL)の設定を確認する, S3バケットポリシーの設定を確認する

AWS Trusted AdvisorとAmazon CloudWatch, AWS Service QuotasとAmazon CloudWatch

ALBのヘルスチェックが失敗して、ALBヘルスチェックを参照しているAuto ScalingがEC2インスタンスを終了して書き換えているため

TotalErrorRate

StackSets

本番用AWSアカウントをまとめた組織単位(OU)を作成して、承認されたAWSサービスを許可リストとしてサービスコントロールポリシー(SCP)を適用する

Amazon Route53加重ルーティングポリシーを使用してトラフィックを旧バージョン環境から新バーション環境へ徐々にシフトする, ALBで加重ターゲットグループをしようしてトラフィックを旧バージョン環境から新バージョン環境に徐々にシフトする

WebサーバーをオリジンとしたAmazon CloudFrontを作成してAWS WAFをデプロイする。ドメインの参照先をCloudFrontに指定し、WebサーバーへのHTTP/HTTPSアクセスをCloudFrontからのトラフィックに限定する

Amazon EFSでデータを共有し、EFSライフサイクル管理を有効化して30日経過後ファイルを低頻度アクセス(IA)ストレージクラスに移行する

本番アカウントのIAMで本番S3バケットへの参照アクセスを許可するポリシーをIAMロールにアタッチして、開発アカウントのIAMユーザーがIAMロールを引き受けることを信頼ポリシーで許可する