AWS ソリューションアーキテクト試験のまとめ②

１.　Amazon Cognito

Amazon Cognitoを利用してアプリケーションの認証機能を実装することが可能。

その際は、MFAによる多要素認証と保存データ及び転送データの暗号化が実施できます。

また、Amazon Congnitoを利用することで、Google、FacebookなどのソーシャルIDプロバイダーや、SAMLによるMicrosoft Active DirectoryなどのエンタープライズIDプロバイダーを通してサインインすることができます。

 

２.　EBSの定期的なスナップショット設定

Amazon Data Lifecycle Manager(Amazon DLM)を使用するとEBSのバックアップであるスナップショットの作成、保存、削除を自動化するスケジュールを設定することができます。

 

３.　S3のアクセスログ暗号化

S3バケットに対して暗号化キーによるサーバーサイド暗号化を有効化すると、各アクセスログファイルはS3バケットに保存される前に

自動的に暗号化され、アクセス時に複合されます。

 

４.　EC2インスタンスの稼働状況ログ取得

EC2インスタンスのデフォルトメトリクス以外の詳細なログ情報を取得するためにはCloudWatchの2つのサービスを利用する必要がある。

1つはCloudWatchエージェントです。このエージェントを対象のインスタンスにインストールすることで、CloudWatchによりサーバ内部の詳細なログが取得できるようになります。2つ目のサービスはCloudWatchLogsです。

CloudWatchLogsは取得したログを集約することができ、EC2インスタンスのログ管理を実施することができます。

 

５.　DynamoDBのスループット低下時の対処方法

DynamoDBのAuto Scalingを導入して、テーブルとグローバルセカンダリインデックス（GSI）に対する性能強化を自動化できます。

DynamoDBのAuto Scalingはテーブルとインデックスを監視して、アプリケーショントラフィックの変化に応じて自動的にスループットを調整します。これにより一時的な負荷増加に対して、DynamoDBテーブル処理パフォーマンスの管理が容易になり、アプリケーションの可用性を最大化しつつ、DynamoDBのコストを削減することができます。

 

６.　AmazonECS（コンテナー管理サービス）のトラフィック制御

AmazonECSはELBのいずれかのタイプのロードバランサーを使用できます。

7.　S3のクロスリージョンレプリケーション

バケットに対するオブジェクト作成・更新・削除などのデータ処理のイベントをトリガーとしてレプリケーションが実行されます。

 

８.　AWS Elastic Beanstalk

ELBとAuto Scalingを利用してスケーラブルなデプロイを自動化することが可能です。

また、アプリケーションのバージョン管理を自動化することができます。

Amazon ECSなどのDockerにホストされたWEBアプリケーションの展開もサポートしています。

Elastic BeanstalkでDockerを使用することにより、容量のプロビジョニング、負荷の分散、スケーリング、およびアプリケーションの状態の監視の詳細を自動的に処理するインフラストラクチャが提供されます。

９.　AWS CloudHSM

AWS CloudHSMを利用した鍵管理により、EUなどの各国の厳しいセキュリティ基準を満たすことができます。

AWS CloudHSMは安全なキーストレージや高パフォーマンスの暗号化オペレーションをAWSアプリケーションに対して簡単に追加できるようにするクラウドベースのハードウェアセキュリティモージュル（HSM）です。

HSM は暗号化モジュール向けの FIPS 140-2 レベル 3 標準に準拠しています。

１０.　Standard-IAとOne Zone-IAを比較

Standard-IAとOne Zone-IAを比較する基準は、保存されるデータの重要度です。ログファイルなどのマスターではないデータは、One Zone-IAを利用することがユースケースとして最適であるため、

 

１１.　キャッシュ型ボリュームゲートウェイと保管型ボリュームゲートウェイ

キャッシュ型ボリュームゲートウェイ	・プライマリーはS3ストレージ ・オンプレミス環境のストレージをS3に拡張する ・頻繁にアクセスされるデータはローカルのストレージゲートウェイに保持して、Amazon S3をプライマリデータストレージとして使用 ・頻繁にアクセスするデータはオンプレミス環境にキャッシュ保持することで、低レイテンシーなアクセスが可能
保管型ボリュームゲートウェイ	・プライマリーはオンプレミスストレージ ・プライマリデータをローカルに保存する一方で、そのデータを非同期にAmazon S3にバックアップする ・オンプレミスのアプリケーションがそのデータセット全体に低レイテンシーでアクセスが可能となる

１２. SQSの特定のキューに対して特定のインスタンスでの処理を優先させて、複数のインスタンスでキューが処理されるのを防ぐための可用性タイムアウト設定

SQSを利用して可用性タイムアウトを設定することで、特定のインスタンスにおいて一定期間キューが処理されない場合に限り、

可用性タイムアウトを超過するとスポットインスタンス側でキューが見えるようになり処理が実行されるようになります。

この設定により、特定のEC2インスタンスでの処理が優先されるものの、可視性タイムアウトを超過した場合にのみ、別のインスタンスによって処理されるような設定することが可能です。

 

１３.　AWS Data Pipeline

様々なAWSデータベースやストレージ間のデータの稼働と変換を自動化するサービスです。

AWS Data Pipelineはデータ駆動型のワークフローを定義して、タスクの正常な完了をトリガーにして、次のタスクを実行できます。

AWS Data PipelineはDynamoDBに設定することが可能であり、定期的なデータ取得タスクを設定させることができます。

１４.　オンプレミス環境で保有しているIPアドレスをAWSで利用可能なようにIPアドレスを移行する方法

Route Origin Authorization(ROA)は、RIRを介して作成されるドキュメントです。

ROAにはAmazonが特定のAS番号のアドレス範囲を公開することを承認します。

これを利用して、パブリックにルーティング可能なIPv4またはIPv6アドレス範囲の一部または全部を、オンプレミスのネットワークからAWSアカウントに導入することができます。

 

１５.　SAML（Security Assertion Markup Language）

SAML（Security Assertion Markup Language）はインターネット上で、IDやパスワードなどの認証情報を連携するためのXMLベースの仕様です。

SAMLは主にエンタープライズアプリケーション間の認証で使われています。SAMLはMicrosoft Active Directoryを使用しているため、AWSクラウドへのAPIアクセス用にSAMLベースのフェデーレションを設定できます。

AWS Single Sign-Onなどのサービスを利用することで、SAMLによる認証の仕組みを実現することが可能です。AWS SSO は SAML IdP 機能を AWS Managed Microsoft AD または AWS SSO ディレクトリに追加します。それにより、ユーザーは、AWS マネジメントコンソール やサードパーティー製アプリケーションなど、SAML をサポートするサービスへの SSO が可能になります。