AWS 復習

AWS Transit Gateway

AWS CloudTrail

暗号化に使用する鍵（キー）を作成・管理するサービス

データベースなどにアクセスする際のログイン時の認証情報などを管理するサービス, シークレットは定期的に更新（ローテーション）されたりバージョン管理も行われます。

プロトコル は HTTP、HTTPS, レイヤー は L7, 消去保護, URLパスベースのルーティング, ターゲットグループでのヘルスチェック, ホストベース、パスベース、URLクエリ文字でのルーティング, 低速開始, ユーザー認証, バックエンドサーバーの暗号化, スティッキーセッション, デフォルトでクロスゾーン負荷分散が有効

タイムゾーンや最大接続数、監査ログなど、データベースに関する設定を変更する

データベースのエンジンのほか、インスタンスクラス、ディスクサイズなどを選択するだけで利用可能, マルチAZで、自動レプリケーション＋フェイルオーバーを実現（DBクラスター）, リードレプリカ（参照専用のデータベース）, ACID特性 （原子性（Atomicity）、一貫性（Consistency）、独立性（Isolation）、耐久性（Durability））

ELBからドメイン名が複数あるインスタンスへ暗号化通信を転送する

誤り

機械学習とパターンマッチングを用いて機密情報の誤った共有や漏洩を検出する, S3バケット内のデータ保護に特化したセキュリティサービス, 機械学習とパターンマッチングを用いて、自動的にS3バケット内のオブジェクトを分析し、個人情報（PII）や秘匿技術などの機密データを識別・分類する

「EC2」ヘルスチェックのタイプはインスタンスのステータスチェックの結果を確認する, 「ELB」ヘルスチェックのタイプは指定した接続先への応答確認をする, 「EC2」が有効、「ELB」は無効になっている

ブラウザからEC2インスタンスへログインできる

リソースの状態変化に応じてAPI呼び出しなどのアクションを実行できる, アクションとして自作のLambda関数を実行できる

EC2インスタンスが複数のAZに配置された可用性の高い構成を組むことができる, ELBが自動的に構成される, 単一インスタンス・複数インスタンス（Multi-AZ）の構成を選択できる

レイヤー4で負荷分散を行う, TCP、UDP、TLSをサポート, 数百万リクエスト/秒に対応できる高いスループットと低レイテンシー（低遅延）を提供する, 固定IPアドレスを割り当てることができる

IAMユーザーやIAMロールに対して設定できる操作可能な範囲の上限

VPC内でのみ有効なIPアドレス, VPC内の他のインスタンスや、VPCと接続しているネットワークと通信するために使用される, AWSリソースを停止・起動した後も同一のIPアドレスが利用される, VPC内のEC2インスタンスなどのAWSリソースには、パブリックサブネット・プライベートサブネットに関係なく、すべてこのIPアドレスが自動で割り当てられる

VPCのCIDR：10.0.0.0/16、サブネットのCIDR：10.0.2.0/24

VPCエンドポイント

インスタンスにアタッチする, 許可ルールのみ設定する, ステートフル, すべてのルールを適用する, 拒否ルールは指定できない, デフォルトの設定では、すべてのインバウンド通信（外部から内部への通信）を拒否、すべてのアウトバウンド通信（内部から外部への通信）を許可, ALBへのアクセス制限は、ALBのセキュリティグループを設定することで実現できる

前の通信内容を記憶している, 設定不要, クライアントとWebサーバー間の接続時にはセッションがアクティブである限りデータベースが使用されたままになるため、分散システムに適していない, この処理によって、サーバーだけでなくデータベースの負荷も増加, セキュリティグループに利用されている, システムが現在の状態を表すデータなどを保持しており、その内容を処理に反映させる

VPC全体に適用される「メインルートテーブル」に従ってルーティングする

クラスタープレイスメントグループ

パーティションプレイスメントグループ

スプレッドプレイスメントグループ

ネットワークACL

Key Management Service（KMS）では鍵の自動ローテーションをサポートしている, 「AWSマネージド型」の鍵をユーザーが削除することはできない

Amazon CloudFront

AWS Storage Gateway, AWS Direct Connect, AWS DataSync, Snowファミリー

クライアントとサーバー間でリアルタイムな情報のやり取りを目的とするAPI, 継続的なデータの送受信を行える, チャットや株価情報のような常に情報をモニタリングするようなアプリケーション向け, サーバー・クライアント間で双方向のセッションを確立できる技術を利用したAPI, 通信の状態を管理される「ステートフル」な接続方式

Direct Connect

【EC2】CPU使用率、ディスクの読み取り・書き込み量, 【S3】バケットサイズ、ファイル（オブジェクト）数, 【ELB】リクエスト数、リクエストの応答時間, 【RDS】ストレージの空き容量、秒間の読み取り・書き込み操作の量, 【EC2】ネットワークトラフィック量

Site-to-Site VPN

VPNトンネルを経由したネットワークトラフィック情報は、Amazon CloudWatchで収集できる, Direct Connectのプライベート接続はDirect Connectエンドポイントと仮想プライベートゲートウェイを1対1で接続するので、通常は1つのVPCにしか接続できない, Transit Gatewayは、複数のVPCやオンプレミスネットワークを相互に接続するハブ機能を持つサービス, Direct Connectゲートウェイを併用することで、オンプレミスネットワークとAWS内の複数のVPCを効率的に接続することが可能

コンテナから他のAWSサービスへアクセスするための権限

コンテナが動作するVPCやサブネット

Global Accelerator

1．IaaS、2．PaaS、3．SaaS

Key-Value型（あるキーに対して値がセットになっている形式）のデータを扱う, 自動的に3つのAZにテーブルを保持することにより、可用性を向上させている, インデックスを持ったテーブルを構築することでスループットを向上させることができる, ドキュメント型という、階層的なデータ構造をもった形式のデータを扱, ユーザーが任意のタイミングで作成するバックアップ「オンデマンドバックアップ」の機能がある, 自動的にバックアップを行いたい場合は「ポイントインタイムリカバリ（PITR）」を有効にする

AWS WAF

Amazon API Gateway, Application Load Balancer（ALB）, Amazon CloudFront

EC2インスタンス, Network Load Balancer（NLB）, Amazon CloudFront, Application Load Balancer（ALB）, Classic Load Balancer（CLB）

共有ハードウェア

ハードウェア専有インスタンス

専有ホスト（Dedicated Hosts）

VPCリンク

AWS Control Tower

ストレージは破損したデータの検出と修復を自動的に行うことができる, データベースインスタンスとストレージが分離しており、必要に応じてインスタンスだけを増減できる, 最大15台のレプリカインスタンス（参照専用のインスタンス）を構成することができる, データベースのクローン（複製）を作成する機能がある

バケット単位でアクセス権限を設定するリソースベースのポリシー, 自AWSアカウントのIAMユーザーや他のAWSアカウントのユーザーに対してアクセス権限を設定, アクセス元のIPアドレスやドメイン名によるアクセス制御もできる

IAMユーザー単位でアクセス権限を設定するIDベースのポリシー, AWSアカウントのIAMユーザーやグループ、ロールに対して、S3リソースへのアクセス権限を設定, 他のAWSアカウントには設定できない, アクセス元のIPアドレスやドメイン名によるアクセス制御もできる

AWSアカウント単位でアクセス権限を設定する機能, 他のAWSアカウントに対して、S3バケットやオブジェクトへの読み取りまたは書き込みを許可

AWS Config

複数のシステムからデータを収集・統合・蓄積し、分析に使用するデータベース, 蓄積したデータは、例えば時系列や顧客のデータに基づいて分析され、結果はシステム効率化や経営改善などの意思決定に利用される, BIの分野で活用されている, カラムナ（Columnar:列指向）データベース, 大量のリクエストを分散させ並列で処理するクラスタ構成, Amazon S3上のデータファイルのロード（読み込み）や、S3へのエクスポート（保存）を行うことができる, スナップショットを採取することでバックアップをとる, データウェアハウス

Amazon CloudFront, Application Load Balancer, Amazon API Gateway, AWS AppSync

誤り

Quantum Ledger Database (QLDB)

誤り

ユーザープールは、ユーザーの認証と管理を行うコンポーネントで、ユーザーのサインアップやサインイン、パスワードリセットなどの基本的な機能を提供する, IDプールは、認証済みのユーザーに対する認可を行う。認証時の属性情報に応じて、事前に定義したIAMロールが割り当てられ、このIAMロールに付与された権限に基づいて、AWSの各種サービスにアクセスできる一時的な認証情報が発行される, Cognitoのアダプティブ認証は、新しいデバイス、位置、ネットワーク情報など、通常とは異なる状況でのログインを検知すると、動的にセキュリティレベルを調整する仕組みで、多要素認証(MFA)などを要求できる

CloudWatch Logs

CloudWatch Logs Insights

誤り

AWSのEC2インスタンスやオンプレミスのサーバーに対してリモートでコマンドやスクリプトを安全に実行する機能, サーバーにログインしなくても安全でセキュアに大規模なサーバー群をリモートで管理できる, パッチ管理に限定されずリモートから任意のコマンドやスクリプトの実行ができるため、多様なタスクの自動化や一斉実行が可能, ソフトウェアのインストール、設定ファイルの変更、システムの再起動、診断情報の収集など、多岐にわたる処理に使用できるため、さまざまなタスク管理に対応可能で

スナップショット（Amazon S3への保存）機能によるバックアップ・リストアが可能, データを永続的に保持しておくことができる, 耐障害性の機能として「自動フェイルオーバー」「マルチAZ」がある, マルチAZではAZ（Availability Zone）を跨いだレプリケーションが可能, 機密性がある（保管しているデータの暗号化やSSL/TLSによる通信の暗号化、クライアントをパスワードで認証するRedis認証を行うことができる）

正しい

誤り

受け取りたいメッセージの形式（プロトコル）を選ぶ, 通知を受け取りたいトピックを選択する

ユーザーからS3バケットへ最適化したネットワークルートを経由してデータを転送する機能

誤り

正しい

EFSでは、ファイルシステムに対する読み取り・書き込み性能（パフォーマンス）をユーザーが調整できる, パフォーマンスの設定には、ファイルシステム作成時にのみ設定する「パフォーマンスモード」と、運用中に変更が可能な「スループットモード」がある, パフォーマンスモードではファイルシステムの基本的な性能を設定, スループットモードでは秒間の転送容量（GB/秒）を調整して一時的な高負荷に対応することができる

複数のEC2インスタンスを論理的にグループ化し、インスタンス間での低遅延な通信や、ハードウェア障害による影響を軽減できる機能

ユーザーから送信されたHTMLフォームのPOSTリクエストのうち、一部のフィールドを暗号化し、特定のアプリケーションでのみ復号可能とする機能, リクエストをオリジンに転送する前にCloudFrontがさらにデータを暗号化するので、HTTPS通信のセキュリティがより強固になる, ECサイトで送信される個人情報のような高い機密性が求められるデータに利用する

誤り

フルマネージド型, MongoDBと互換性を持つため、既存のMongoDBのアプリケーションやツールをほぼそのまま利用することができる, ドキュメント型のデータベースサービス, ストレージとコンピューティングが分離されており、それぞれ独立にスケーリングできる, 低レーテンシーリードレプリカ（15まで）を追加することができる, ３つのAWS AZにまたがって6個のデータのコピーを作成する

誤り

Config は AWSリソースの設定を監視する, CloudTrail は ユーザーの操作を監視する, Configで違反項目を検出した後、CloudTrailにより誰が対象のリソースを変更したのかを調べることができる

S3, EFS, Amazon FSx, Snowcone, Hadoop Distributed File System (HDFS), Network File System (NFS) 共有, Server Message Block (SMB) 共有

正しい

AWS Shield Standard は ネットワーク層およびトランスポート層への一般的なDDoS攻撃からAWSリソースを保護する, AWS Shield Advanced は EC2インスタンスを保護する, AWS Shield Advanced は ELB（ALB、NLB、CLB）を保護する, AWS Shield Advanced は CloudFrontを保護する, マネージド型のサービス

脆弱性を突いた外部からの攻撃や不正アクセスから、Webアプリケーションを保護するサービス, 「SQLインジェクション」や、「クロスサイトスクリプティング」などを防御, ユーザーは「Web ACL」と呼ばれるアクセス制御リストで、訪問者のIPアドレスや、ウェブページへのリクエスト内容（例：HTTPヘッダー、HTTP本文、ウェブページのアドレスなど）に基づいて、どのようなアクセスを許可し、どのようなアクセスを遮断するかを細かく決めることができる, 特定の国からのアクセスを全て遮断したり（地理的一致ルール）、短時間に異常に多くのリクエストを送ってくるIPアドレスを自動的にブロックする（レートベースのルール）などの設定が可能, API Gateway に割り当てができる, 「SQLインジェクション」 とはウェブサイトに悪意のあるデータを送り込むことで情報を盗み出すこと, 「クロスサイトスクリプティング」とは ユーザーになりすまして不正な操作を行うこと

正しい

Amazon RDSおよびAmazon Auroraデータベースへの接続を効率的に管理するフルマネージドのプロキシサービス, RDS Proxyをアプリケーションとデータベースの間に配置することで、データベース接続の管理を効率化し、アプリケーションのパフォーマンス、スケーラビリティ、および可用性を向上させることができる, 特に、サーバーレスアーキテクチャやマイクロサービスアーキテクチャで使用されることが多い, 頻繁なデータベース接続の確立や切断がパフォーマンスに影響を与えるケースに適している, RDS Proxyは接続プールを使用して、複数のデータベース接続を効率的に管理する, RDS Proxyはデータベースのフェイルオーバー時に接続を管理し、新しいデータベースインスタンスに自動的にルーティングする, マルチAZ配置もサポートしており、アプリケーションのダウンタイムを最小限に抑えることができる, IAMやSecrets Managerと統合して、データベースの認証情報を安全に管理する

1年または3年の期間、一定のサービス使用量（1時間あたりの利用料金）を決めて契約することで、通常よりも低価格になる購入オプション, リザーブドインスタンスとは違って使用するインスタンスタイプを事前に決める必要はない, Amazon EC2、AWS Lambda、AWS Fargate 全体の使用量に適用される

Amazon EC2インスタンスのネットワーク性能を向上させる機能, インスタンス間での高スループット・低レイテンシーを実現できるため、リアルタイム性が求められるアプリケーションに最適, 追加料金がかからない

インスタンスのスケーリングが発生するシステムでは、クライアントとのセッションを維持しているサーバーがスケールインした時に、セッション情報が破棄される, セッションを安定して維持するためには、セッション情報をデータベースに保存してインスタンス間で共有するのが効果的, Systems Manager Session Managerは、EC2インスタンスへブラウザ（マネジメントコンソール）やAWS CLIからセキュアにログインできる機能

DynamoDBテーブルを複数のリージョンにまたがって運用できるサービス, 複数のリージョンにDynamoDBテーブルが自動的にレプリケートされ、ユーザーは地理的に近いリージョンのDynamoDBテーブルへ高速な読み込みと書き込みが可能になる, データのレプリケーションは通常1秒以内に完了し、リージョン間のデータ冗長化によって高可用性が確保される

Kinesis上のストリーミングデータを処理し、可視化・分析できるサービス, リアルタイムの分析が可能

AWS Cost Explorer

コンピューティングリソースの設定と使用状況を分析し、コスト最適化とパフォーマンス向上のための推奨事項を提供する, EC2インスタンス は対象となるリソースである, EC2 Auto Scalingグループ は対象となるリソースである, EBSボリューム は対象となるリソースである, Lambda関数 は対象となるリソースである, Fargate利用のAmazon ECS は対象となるリソースである, ECSタスク定義のCPUとメモリ設定に関する最適な推奨事項を得ることができ、コストの最適化とパフォーマンスの改善が期待できる

S3オブジェクトをリアルタイムでカスタマイズする機能, S3 Object Lambdaアクセスポイントを、Lambda関数とS3バケットに作成したS3アクセスポイントに紐づける, S3 Object Lambdaアクセスポイントを経由したS3オブジェクトへのリクエストをトリガーとして、Lambda関数を実行し、処理後のデータを返すことができる

オンプレミスとAWSのストレージサービス、またはAWSのストレージサービス間で、高速かつ信頼性の高いデータ移行と同期をサポートするマネージドサービス, 対応するAWSストレージは、Amazon S3、Amazon EFS、Amazon FSx, オンプレミスとAWSストレージ間でデータを移行する際は、DataSyncエージェントをオンプレミスにインストールする

正しい

管理イベント ... ユーザーのログイン、EC2インスタンスの作成など, データイベント ... S3上のオブジェクト（データ）の操作、Lambda関数の実行など, インサイトイベント ... 通常と異なる操作（書き込みAPIの呼び出しなど）, データイベントおよびインサイトイベントはデフォルトでは有効になっておらず、「証跡情報」を登録しそれぞれのイベントの記録を有効にするか否かを選択します。

主にCloudFormationテンプレートを製品として登録し、他のAWSユーザーへ共有できるサービス, 共有先のAWSユーザーは、セルフサービスで製品からAWS環境をデプロイ（構築）できる, 製品の管理者は、製品のバージョンや、製品がいつ・誰に使用されたかを一元的に管理できる

誤り

複数のVPCやアカウントにまたがるアプリケーション間の通信を簡素化し、一元的に管理するフルマネージドサービス, HTTP、HTTPS、gRPCなどのアプリケーション層の通信プロトコルをサポートしている, VPC Latticeを介して各アプリケーションを接続できる, サービスディスカバリー機能が組み込まれており、他のサービスの位置情報（例えば、IPアドレスやポート番号）を動的に検出できる, アプリケーション層での通信管理を提供し、アプリケーション間の通信を最適化する

外部APIとの連携を簡単に行うことができる機能, イベントが発生した際に外部のエンドポイントに対してHTTPSリクエストを非同期に送信することが可能

異なるVPCやアカウント間での通信をインターネットを介さずにセキュアかつプライベートに行うためのサービス, 特に、VPC間でCIDRブロックが重複している場合や、高いセキュリティが求められる環境において非常に有効, まず、一方のVPC内でネットワークロードバランサー（NLB）を設定し、このNLBを使ってVPCエンドポイントサービスを作成・公開する。その後、もう一方のVPC内で、この公開されたエンドポイントサービスに接続するためのVPCエンドポイントを作成する。

ユーザーが専有の機器を配置して接続する「専用接続」と、AWS Direct Connectパートナーが用意した機器と回線を共用する「ホスト接続」がある, 専用接続の場合は1Gbps、10Gbps、100Gbps、ホスト接続の場合は50Mbps、100Mbps、200Mbps…500Mbps（特定のユーザーのみ1Gbps～10Gbps）の間で利用可能, Direct Connectと比べてSire-to-Sire VPN（サイト間VPN）は安価で、かつ短い期間で接続を開始できる, Direct Connectで接続を開設するには数日～数週間かかる