AWS認定SysOpsアドミニストレータ(SOA)を取得までにやったこと

プログラミング
スポンサーリンク
スポンサーリンク

はじめに

SysOpsアドミニストレータ(SOA)を受験し無事合格しました。
資格取得までに参考にしたものを投稿します。

スポンサーリンク

私のAWSの知識

AWS認定クラウドプラクティショナー(CLF)
AWSソリューションアーキテクトアソシエイト(SAA)
AWSデベロッパーアソシエイト(DVA)

業務では、EC2,RDS,Lambda,S3を軽く触っている程度になります。

スポンサーリンク

やったこと

2週間、業務終了後の1時間を使って勉強していました。

試験範囲の確認

AWS Certified SysOps Administrator - Associate 認定
AWS Certified SysOps Administrator - Associate 認定を取得します。試験ガイド、サンプル試験問題、模擬試験を準備してください。詳細はこちら。

AWS WEB問題集をこなす

AWS WEB問題集リンク

以前、ダイヤモンドプランで登録していたので、そのまま利用できました。

こちらの問題集を1周しました。

分からなかった問題は、メモを残しました。

試験の過去問などが無いため、こちらのサービスは重宝します。

Black Beltを見る

AWS Black Beltリンク

試験を受けての感想

アソシエイトレベルの試験を全て合格できて良かったです。

この試験は、業務で全く扱うことのないものばかりだったので、
かなり勉強が大変でした・・。

その他、勉強中に重要そうと思ったまとめ

SNS

  • CloudWatchにログを1分おきに送信はできない。

EC2

  • S3ベースのAMI=インスタンスストアボリューム

  • インスタンスのステータス

  • システムステータス:AWS側の問題。再起動し、別ホストで起動。

  • インスタンスステータス:客側の問題。原因を調査する。

  • EBSのスナップショット数の上限は10万

  • プレイスメントグループ

  • スプレッド:それぞれ異なるハードウェアに配置される

  • クラスター:同じホストに配置

  • 暗号化が対応できるのは、AES-NIを対応する

  • AMIの作成に必要なもの

  • X.509証明書と対応するプライベートキー

  • アクセスをELBからのみにしたい場合、ポート8080のセキュリティグループをELBのものを指定する

  • EBSのボリュームサイズを変更したら、どうする?
    EC2に接続し、CLIで拡張対応を行う。

  • スナップショット:インスタンスを停止せず、リアルタイム保存
    (推奨は停止して、一貫性を持たせる)

  • ディスク使用量、メモリ使用量はカスタムメトリクス

  • InstanceLimitExceeded:同時実行のインスタンス数の制限

  • InsufficientInstanceCapacity:インスタンス容量の制限

EFS

  • 途中で暗号化の変更はできない

Organizations

  • サートロールで各アカウントの権限を設定できる

WAF

  • ELBだと、ALBにしか使えない

CloudFormation

CloudFront

  • CDN
  • エンドユーザの近い場所
  • コスト効率化
  • 特定の国をブロックすることも可能

CloudTrail

  • APIコール全てを記録
  • S3に自動的にログを保存

VPC

  • デュアルスタック:iPv6のアクセスを両立
  • Egress-Only、NATIPv6(書き方::/0)
  • S3のVPCエンドポイントを指定可能
  • インスタンスがネット接続できないのは、パブリックIPやElasticIPが付与されていないことがある。
    Amazon VPC 内のインスタンスへの接続に関するトラブルシューティング
  • インスタンスにはデフォルトのセキュリティグループが当てられる。
    これは、同じセキュリティグループ間のインバウンドを許可し、アウトバウンドは全て許可
  • 特別な理由があって、NATインスタンスを使うことがある。水平スケーリングもできる。
  • プライベートサブネットと、VPCエンドポイントを使う。ネットワークを介さない。

VPCエンドポイント

  • ゲートウェイエンドポイント:S3とDynamoDBにのみ
  • インターフェイスエンドポイントPrivateLink:その他サービスと、プライベートネットで接続

S3

  • ボールトロック:削除、変更を防止

  • MFAデリート:CLIでデリートする時、認証番号を一緒に送る必要あり

  • オブジェクトが見つからない。アクセスできない時は、400系エラー

  • 暗号化について

  • SSE-S3:S3が暗号化キーを管理

  • SSE-KMS:KMSが管理するキー

  • SSE-C:お客さんが管理するキー

  • CSE:クライアントサイド暗号化

  • S3に画像アップする際は、費用がいらない。

  • バケットポリシーはオブジェクト単位では定義できない。

  • 不正アクセスを見つける
    S3のアクセスログ記録を残し、Athenaで403系エラーを照会する

  • 分析
    ストレージクラスの分析とかができる。(ストレージ最適化)

Auto Scaling

  • 立ち上げたインスタンスのメトリクスが取れないのは、ウォームアップ中
  • デフォルト設定の場合、EC2を閉じる順番は、AZ毎の数を比較する
  • 異常なインスタンスを落としたい時は、ELBヘルスチェックを使用するように、AutoScalingグループを設定する
  • 最小数,最大数,希望数:現時点で希望するインスタンス数
  • AutoScalingを削除する時は、グループのインスタンスを全て削除し、希望容量を0にする。

RDS

Artifact

  • コンプライアンスレポートをダウンロードできる

クロスアカウントダッシュボード

  • 複数のリージョンの情報を表示
  • 単一リージョン全てのEC2インスタンスの統計を取るには、詳細モニタリングが必要

CloudWatch

  • Dimensions:メトリクスに付与できるタグみたいなもの(EC2のインスタンスIDとか)

  • アラームの3種類

  • OK:定義したしきい値を下回っている

  • NG:定義したしきい値を上回っている

  • INSUFFICIENT_DATA:データが不足している

  • どれが標準なのか、カスタムなのかを確認(ディスク使用量、メモリ使用量)

  • メトリクスの種類

  • 標準メトリクス:5分単位(無料)

  • 詳細メトリクス:1分単位(有料)

  • 高解像度メトリクス:1秒単位(有料)

  • 複数のリージョンにまたがるメトリクスの取得は詳細モニタリング

  • 既存のアラーム名変更不可

  • アラームの評価期間数に各評価期間の長さをかけた値が1日を超えてはいけない

snowball

  • 現在は、snowball Edgeになっている。
  • Storage Optimized:大容量のもの
  • Compute Optimized:保存前に分析が必要なもの
  • リージョンをまたいでデータを移動できない。S3のクロスリージョン使う
  • https://aws.amazon.com/jp/snowball/faqs/#General

Aurora

  • 読み取りエンドポイント:自動で使えるレプリカにアクセス
  • クラスタエンドポイント:プライマリDBにアクセス
  • インスタンスエンドポイント:特定のDBにアクセス

Direct Connect

  • ゲートウェイを設置すれば、複数リージョンもいける

SSL

  • 1つのSSLを実装するときは、IPを複数割り当てる

ELB

  • NLBは、ホワイトリストを登録できる

  • ELBはリージョンをまたげないので、Route53を使用する

  • ELBの種類

  • ALB:柔軟性,HTTPヘッダーを受け取る。

  • NLB:ラウンドロビン,ステートレスウェブサーバーにルーティング

  • CLB:何らかの評価を行い、ルーティングする時に使用

  • CLBへアクセスすると、spilloverの値が高い。SurgeQueueLengthの値を監視する。

  • CLBでさばききれなかったアクセス管理

  • SurgeQueueLength:溜まってる数。1024超えるとアクセス拒否

  • SpilloverCount:拒否された数

  • Spillover Count:ロードバランサの容量を過剰してしまった数

  • 500エラー

  • 正常なインスタンスが存在しない。

  • レート制限にかかっている

  • (インスタンスからは何も返ってこない)

  • ロードバランサはヘッダーを変更せずにバックエンドにリクエストを転送
    (X-Forwardedは標準ではない)

Storage Gateway

  • S3をオンプレミス環境と接続するための仕組み

  • ボリュームゲートウェイ

  • キャッシュ型:プライマリはs3に。頻繁に使うものはキャッシュでローカルに保存

  • 保管型:ローカルに保存

  • プロトコルを使用可能

  • テーブゲートウェイ:バックアップ向け。glacier等に保存

Route53

  • トラフィックを向けられる
  • DNS
  • ドメイン名を振る
  • ヘルスチェックやレイテンシーなどで、ルーティング
  • 特定の国を別のソーリーページに飛ばすとかができる

Personal Health Dashboard

  • 異常があった時、通知もできる

Systems Manager(Patch Manager)

  • EC2インスタンスに対して、パッチを当てられる。
  • OSのパッチ適用をまとめてできる。

AWS Config

  • 現在のシステムステータスやリソース構成を把握
  • 構成履歴を管理
  • 設定変更のモニタリング
  • S3にパブリック・アクセス可能なバケットが作成されたら通知できる
  • Rule:全てのインスタンスのセキュリティグループをテスト

SQS

  • キューはデフォルトで4日間保持

Trusted Advisor

  • サービス(クォーター)の制限,セキュリティ,コスト,耐障害性,パフォーマンス

大きい順

リージョン→アベイラビリティーゾーン→エッジ

インフラのコード管理

  • Elastic BeansTalk:簡易的にデプロイ可能
  • CloudFormation:ほぼ全てのAWSリソース管理可能
  • OpsWorks:EC2など、特定のリソースを細かく指定(sheff,puppet)

EMR

  • ビックデータの分析

AD Connector, Microsoft AD

  • AWSマネジメントコンソールへのアクセス権の認可が行える。

  • オンプレのAWSコンソールへのアクセス権を付与するには、

  • VPNを作成,AD Connectorを使用
    もしくは

  • Managed Microsoft ADの間に既存の信頼関係を使用する

GuardDuty

  • AWSアカウントに対する攻撃を検知する。
  • 脅威リストと信頼済みIPリストを設定できる。(マスターアカウントのみ)
  • ルールは無効にしたり、削除はできないがアーカイブすることによって通知を発生しないようにできる

QuickSight

  • BIツール

Data Lifecycle Manager

  • EBSのバックアップの作成・保持・削除の自動化

ElastiCache

  • CurrConnections:Redisに接続している数(リードレプリカ除く)

Single Sign-On(SSO)

  • AWSアカウントとビジネスアプリのアクセスを一元管理
  • SAMLを使用
  • ロールを割り当てる

コメント

タイトルとURLをコピーしました