概要
運良くSAP(Solutions Architect – Professional)に合格出来ました。(*’▽’)
前日に知人へ誕生日プレゼントを贈っていたため、きっとその時の徳が作用したのでしょう。
3年後の再認定試験の時はボランティアに参加した後に受けようと思います。
それはさておき・・・徳の力にも限界があると思うので、今回のSAP受験に向けた学習の中でメモしていた各サービスや用語を3年後の自分へ向けて記載しておきます。
各サービス・用語メモ
| サービス・用語(☆:頻出) | 概要 | 備考 |
|---|---|---|
| Amazon SWF(Simple WorkFlow Service) | ・処理をフロー化 ・プロセスの結果を親へ返す子プロセスを起動する場合 ・プロセスに介入する外部信号が必要な場合 | ⇔StepFunctions ※基本的にはStepFunctionの利用を推奨 |
| AWS Step Functions | ・処理をフロー化 ・サーバレスオーケストレーションサービス →Lambda関数、ECS、SNS、DynamoDBなどをフロー化 | ⇔SWF |
| ☆Amazon Rekognition | ・AIを使用して画像や動画の分析を自動で実行 →ラベル検出、顔検出、顔検索など | ・用途ごとにAPIが存在 |
| AWS SMS(Server Migration Service) | ・オンプレミスのライセンス環境をそのままAWSへ移行(リホスト) ・VMWare、Hyper-Vなどの仮想マシンの移行を自動化 →オンプレのVMサーバへコネクタをインストール ・RDSの移行も可能 ・MySQL→Postgreなどテーブルマッピングも可能 | ⇔MGN ※基本的にはMGNの利用を推奨 |
| AWS MGN(Application Migration Service) | SMSのアップグレード版 | ⇔SMS |
| AWS License Manager | ・ソフトウェアベンダーのライセンスを管理 →マネジメントコンソールから確認 | |
| プロキシサーバー | ・特定のURLからのアクセスを制御する際に使用 | |
| ☆Egress-Only IGW | ・IPv6を使用してインターネットアクセスしたい時に設置するもの ・Egress(送信)のみで、Ingress(受信)不可 →NATGWのようなもの ※ただしプライベートIPとパブリックIPは1対1で変換 | ・IGWは1対1で変換 ・NATGWはプライベートIPとパブリックIPを多対1で変換 |
| VM Import/Export | ・VMイメージをEC2へインポート →S3からVMインポートなどは出来ない | ⇔AWS Import/Export ・大量のデータを物理ストレージからAWSへ転送 →現在は利用不可 |
| ☆Amazon SNS | ・各種通知 ・モバイルアプリへのプッシュ通知も可能 | |
| Amazon Lex | ・Lambdaと連携してチャットボットなどで会話文を実行可能 | |
| ☆AWS Storage Gateway | S3やEBSなどのクラウドストレージへオンプレミスから接続可能 <種類> ・S3ファイルゲートウェイ →NFSやSMBなどのプロトコルで接続可能 ・FSxファイルゲートウェイ →Windowsファイル用 →Amazon FSx for WindowsFileServerへオンプレからアクセス ・テープゲートウェイ →S3Glacierへバックアップをアーカイブ ・ボリュームゲートウェイ →オンプレからiSCSIデバイスとしてマウント可能 ◦キャッシュボリューム:データをS3へ保存し、頻繁にアクセスするデータをローカル(オンプレ)で保持する ※オンプレのストレージコストを最小限とする ◦保管型ボリューム:全てのデータをローカル(オンプレ)へ保持し、非同期でS3へスナップショットを保存する | 以下はゲートウェイをオンプレにVMなどでデプロイ ・S3ファイルゲートウェイ ・テープゲートウェイ ・ボリュームゲートウェイ |
| ☆AWS Transit Gateway | ・複数のVPCをハブのように繋いでルーティング可能 ・ルートテーブルのようにアクセス設定 ・統計とログが提供され、CloudWatchやVPCフローログなどのサービスで使用可能 ・IDS/IPSで不正侵入検知 ◦IDS(Intrusion Detection System):検知 ◦IPS(Intrusion Prevention System):防御 | |
| AWS Snowball | 物理的な大容量ボリュームによる移行手段 <種類> ・Snowball Edge Storage Optimized:80TB(表記100TB) ・Snowball Compute Optimized:42TB(コンピューティング可能) | |
| ☆AWS STS(SecurityTokenService) | ・一時的なセキュリティ認証情報を持つユーザを提供 →ユーザに対してAWSIDを定義せずにAWSリソースへアクセス許可可能 ・IDフェデレーション ・クロスアカウントアクセス | |
| IDフェデレーション | それぞれ独自のID管理システムを持つ複数のセキュリティドメイン間でそれぞれのユーザIDをリンクさせる(=IDリンク) <種類> ・AmazonCognitoを利用したモバイルまたはウェブベースのアプリユーザのフェデレーション(LoginWithAmazonなど) →ウェブIDフェデレーション ※SAML2.0もサポート ・パブリックIDサービスプロバイダーまたはOpenIDConnectを使用したユーザのフェデレーション(Facebookなど) →ウェブIDフェデレーション ・SAML2.0を使用したユーザのフェデレーション(SSO:シングルサインオン) →エンタープライズIDフェデレーション ※SSOエンドポイントをAWS側へ配置 ・カスタムIDブローカーアプリケーションを作成するユーザのフェデレーション | |
| AWS Shield Standard | ・レイヤー3、レイヤー4攻撃を軽減(DDos攻撃など) ・Standardはリアルタイム通知や可視化機能なし ・AWS WAFと組み合わせるケースが多い ・CloudFrontに統合されている | ⇔AWS ShieldAdvance ・レイヤー7対応 ・リアルタイム通知や可視化機能あり |
| AWS RAM(Resource Access Manager) | ・所有する特定のAWSリソースを他のAWSアカウントと共有 | |
| ☆AWS Config | ・AWSリソースの設定を評価、監査、審査可能 ・設定変更履歴を取得 | |
| AWS Directory Service | MicrosoftActiveDirectoryとAWSを接続 <種類> ・AWS ManagedMicrosoftAD →シングルサインオンを実現 ・AD Connector →ディレクトリを接続 ・Simple AD →samba4互換ディレクトリ接続 | |
| ☆AWS Direct Connect | ・オンプレとAWSをIPSecVPNで接続する ・AWS VPN CloudHub →VPCとリモートサイトを相互通信 ・Direct Connectリンク有効化設定 →VGW(仮想プライベートゲートウェイ)へのルート伝搬を有効化 →接続先インスタンスのルートテーブルへオンプレへの返信ルートを設定 | |
| ☆AWS Organizations | ・複数のAWSアカウントを統合して、組織(OU)単位でアカウントを管理 →料金の一括請求なども可能 ・SCP(サービスコントロールポリシー)でIAMユーザなどのアクセス出来るサービスを制限可能 →IAMポリシーはユーザやロールへ別途定義 ・すべての機能を選択してCloudTrailで組織の証跡を有効化する →セキュリティ監査用の証跡取得など | ・SCP設定→既に定義済みのIAMロールなどには影響しない(SCP設定したのに稼働中のサービスがSCP範囲外のリソースへアクセス出来てしまうなど) ・AWS Configとの組み合わせでよく出る |
| Amazon DynamoDB Streams | ・テーブルの変更情報を暗号化してキャプチャ ・トランザクションを別リージョンへコピーする際でも使用 →グローバルテーブル作成 | |
| RDAP(Registration Data Access Protocol) | ・IPアドレスやドメイン名の参照のために使われているプロトコル ・AWSアカウントに対してオンプレのIPアドレス範囲を持ち込むために利用 →X509証明書を発行 | ※※あんまり理解していない |
| ☆Cloudfront Lambda@Edge | ・Node.jsおよびPythonのLambda関数を実行してCloudFrontが配信するコンテンツをカスタマイズし、ビューワーに近いAWS地域でこの関数を実行 →ログインなどの認証プロセスを実行可能 | |
| AES-256(Advanced Encryption Standard) | ・S3で利用されるサーバサイド暗号化方式 →最も強力な暗号化方式 | |
| EC2 プレイスメントグループ | ・EC2インスタンスをグループ化(ネットワークパフォーマンスが向上したり、クラスター化が可能) ・新規にインスタンスを追加したり、異なるインスタンスタイプを使用すると「容量エラー」が発生するため、グループ全体のインスタンスを一旦停止してから追加後に再起動する ・現在軌道しているプレイスメントグループに後から別のインスタンスを追加する事は不可 | |
| ☆Amazon Kinesis Data Streams | ・音声やアプリケーションログ、IoTデバイスからのセンサーデータなどをリアルタイムにキャプチャ ・レコードを順番に保持(順序付け)→後続の複数のアプリで同じ順序でレコードを読み取ったり出来る ・ストリーミング処理が可能 | |
| Amazon Kinesis Video Streams | ・動画撮影デバイスからAWSへ動画を安全にキャプチャ →Amazon Rekognitionへ連携可能 | |
| Amazon Kinesis Data Analytics | ・リアルタイム分析を実行して配信可能 →Data Streams or Firehoseのデータを分析 | |
| ☆Amazon Kinesis Firehose | ・S3、Redshift、Elasticsearchや汎用HTTPエンドポイントなどへストリームデータを配信可能 →S3へ配信日時のプレフィックスを付与した名前のログファイルを出力するなど | ・大抵はS3へログを出力する目的で使用 |
| Amazon Kinesis Client Library(KCL) | ・Javaライブラリ ・EC2インスタンスなどで実行するデータ分析アプリケーション作成のため利用 →Data Streamsのデータを分析 →リアルタイムデータをダッシュボードへ表示可能 | ※※あんまり理解していない |
| ENI(Elastic Network Interface) | ・仮想ネットワークカード ・EC2へアタッチ/デタッチ ・複数のENIをアタッチする事でトラフィックの制御可能 →1つはWebアプリ用、1つはバックエンド処理用など | |
| VPC セカンダリCIDRブロック | ・VPCネットワークを拡張 →IPアドレス枯渇対策 ・最大4つまで | |
| AWS CloudHSM | ・AWSで暗号化キーを生成 →データの暗号化自体を行うものではない | ・HSM(Hardware Security Module) |
| AWS Service Catalog | ・スタンプを押すように統一的な環境を構築するためのカタログを作成可能 →CloudFormationスタックとして作成される ・利用者へはServiceCatalogへのアクセス権限を付与するだけで実行可能 ・デプロイされたリソースにタグが自動で付与されるように出来る | ※※あんまり理解していない |
| CloudFormation 記述 | ・CreationPolicy →指定した数の成功シグナルを受信するか、タイムアウト期間を超えるまでステータスが完了にならない | |
| CloudFront | ・OAI(オリジンアクセスアイデンティティ) →特別なCloudFrontユーザ →S3の利用可能ユーザとして指定する事で、CloudFront経由以外でアクセス不能とする事が出来る(署名付きURLと署名付きCookieの利用も可能) ・地理制限機能 →特定の国から"全てのファイルに対するアクセス制限"可能 →国レベルより詳細な地域や、ファイルのサブセットなどへのアクセス制限はサードパーティの位置情報サービスを利用する ・TTL →MaximumTTL、DefaultTTL、MinimumTTLをすべて0にする事でオリジンの変更が即反映される | |
| AWS Systems Manager Automation | ・EC2インスタンスなどのメンテナンスとデプロイのタスクを自動化 | ※※あんまり理解していない |
| ☆Amazon Redshift | ・データウェアハウスサービス ・マルチAZ不可 ・WLM(ワークロード管理)を使用するとワークロードの優先順位を管理課の言う →部門や担当者でワークロード処理を分割可能 | ・RDBMSとは違って継続的な書き込みや更新には向いておらず、一括でデータを書き込み分析のため大容量データを読み出すという処理に最適化されている |
| Amazon S3 | ・バージョニング機能 →バージョニング有効化前から存在する既存ファイルは、有効化後のバージョンIDがNull →新規ファイルと上書きファイルからバージョンからIDが採番される | |
| ☆Amazon Aurora Serverless | ・インスタンスタイプを指定せずに最小と最大のキャパシティーを設定して作成 →ピーク時の時間が未定のOLTP向け →Lambdaみたいな感じ(と思っている) | ※※あんまり理解していない |
| Amazon ElastiCache for Redis | ・Redis互換のインメモリデータストア ・キャッシュ高速化 ・リアルタイムゲーム処理に最適 ・高機能で複雑 | ⇔ElastiCache Memcached |
| Amazon ElastiCache Memcached | ・Memcached互換のインメモリkey-valueサービス ・キャッシュ高速化 ・シンプルで高性能 | ⇔ElastiCache for Redis |
| 拡張ネットワーク | ・高性能ネットワーキングを提供 | |
| AWS CloudSearch | ・AWSの検索ソリューション →S3検索など | ※※あんまり理解していない |
| ロードバランシング | ・スティッキーセッション →ステートフルなサーバへの接続(セッション)をキープするために利用される →有効化していると負荷が偏る ・DNSルックアップをキャッシュする環境 →クロスゾーン負荷分散が無効となっている場合、CLBのAZが分散されない | |
| Amazon Elastic Transcoder | ・動画を形式変換 | ※※あんまり理解していない |
| AWS Elastic Beanstalk | デプロイメントポリシー <種類> ・All at once →サービスを停止してから入れ替え(最短時間) ・Rolling →既存サービスを稼働させながら順次入れ替え ・Rolling with additional batch →Rolling+キャパシティを確保しながらデプロイ(本番向け) ・Immutable →並行して別のAutoScalingグループにある新しいアプリケーションを起動 →新しいアプリケーションが失敗した際に元のインスタンスをそのまま残す | |
| AWS Systems Manager Patch Manager | ・マネージドインスタンスへアップデートパッチを適用するプロセスを自動化可能 | |
| IPv6 | ・VPCのCIDRは「/56」固定 | |
| ☆オンプレからの移行 | 6つのR <種類> ・リホスト(リフトアンドシフト) →SMSなどでリホスト ・リプラットフォーム(リフト、手直し、シフト) →クラウド最適化、アプリケーションの核を変更しない →オンプレのデータベースをRDSへ移行など ・リパーチェス(再購入) →新しいバージョンや別のソリューションへの移行(既存のライセンスモデルを変更) ・リファクタリング →アプリケーションの再設計と開発方法の変更 →クラウドネイティブのサービスを使用する(Lambdaへ移行など) ・リタイア(廃止) →IT資産の不必要な部分の廃止またはアーカイブ ・リテイン(保持) →何もしない、再検討 | |
| ☆AWS DMS(Database Migration Service) | ・データベースのデータをAWSへ移行(オンプレ~オンプレも可能) ・DynamoDBのデータをエクスポートする事も可能(S3へCSVで出力など) | ※※あんまり理解していない |
コメント