- はじめに
- 私のAWSの知識
- やったこと
- 試験を受けての感想
- その他、勉強中に重要そうと思ったまとめ
- SNS
- EC2
- EFS
- Organizations
- WAF
- CloudFormation
- CloudFront
- CloudTrail
- VPC
- VPCエンドポイント
- S3
- Auto Scaling
- RDS
- Artifact
- クロスアカウントダッシュボード
- CloudWatch
- snowball
- Aurora
- Direct Connect
- SSL
- ELB
- Storage Gateway
- Route53
- Personal Health Dashboard
- Systems Manager(Patch Manager)
- AWS Config
- SQS
- Trusted Advisor
- 大きい順
- インフラのコード管理
- EMR
- AD Connector, Microsoft AD
- GuardDuty
- QuickSight
- Data Lifecycle Manager
- ElastiCache
- Single Sign-On(SSO)
はじめに
SysOpsアドミニストレータ(SOA)を受験し無事合格しました。
資格取得までに参考にしたものを投稿します。
私のAWSの知識
AWS認定クラウドプラクティショナー(CLF)
AWSソリューションアーキテクトアソシエイト(SAA)
AWSデベロッパーアソシエイト(DVA)
業務では、EC2,RDS,Lambda,S3を軽く触っている程度になります。
やったこと
2週間、業務終了後の1時間を使って勉強していました。
試験範囲の確認
AWS WEB問題集をこなす
以前、ダイヤモンドプランで登録していたので、そのまま利用できました。
こちらの問題集を1周しました。
分からなかった問題は、メモを残しました。
試験の過去問などが無いため、こちらのサービスは重宝します。
Black Beltを見る
試験を受けての感想
アソシエイトレベルの試験を全て合格できて良かったです。
この試験は、業務で全く扱うことのないものばかりだったので、
かなり勉強が大変でした・・。
その他、勉強中に重要そうと思ったまとめ
SNS
- CloudWatchにログを1分おきに送信はできない。
EC2
S3ベースのAMI=インスタンスストアボリューム
インスタンスのステータス
システムステータス:AWS側の問題。再起動し、別ホストで起動。
インスタンスステータス:客側の問題。原因を調査する。
EBSのスナップショット数の上限は10万
プレイスメントグループ
スプレッド:それぞれ異なるハードウェアに配置される
クラスター:同じホストに配置
暗号化が対応できるのは、AES-NIを対応する
AMIの作成に必要なもの
X.509証明書と対応するプライベートキー
アクセスをELBからのみにしたい場合、ポート8080のセキュリティグループをELBのものを指定する
EBSのボリュームサイズを変更したら、どうする?
EC2に接続し、CLIで拡張対応を行う。スナップショット:インスタンスを停止せず、リアルタイム保存
(推奨は停止して、一貫性を持たせる)ディスク使用量、メモリ使用量はカスタムメトリクス
InstanceLimitExceeded:同時実行のインスタンス数の制限
InsufficientInstanceCapacity:インスタンス容量の制限
EFS
- 途中で暗号化の変更はできない
Organizations
- サートロールで各アカウントの権限を設定できる
WAF
- ELBだと、ALBにしか使えない
CloudFormation
- StackSets:複数アカウント,複数リージョン
![]()
[AWS]一撃で複数アカウント、全リージョンに設定を展開する! | DevelopersIOCloudFormatin StackSetsを利用して、複数アカウント・複数リージョンに対して設定を展開する方法dev.classmethod.jp - 再利用したいなら、パラメータ
- リージョンで使い回すならマッピングMappings - AWS CloudFormationテンプレートの Mappings セクションで宣言したマッピングによって、キーと名前付きの一連の値とを対応付けます。docs.aws.amazon.com
- DeletionPolicy属性:削除前にスナップショット
- 変更セット:変更を反映する前に、検証することができる。
- テンプレートセクション(Description,Resourcesとか)テンプレートの分析 - AWS CloudFormationAWS CloudFormation テンプレートの必須の構成要素について詳しく説明します。docs.aws.amazon.com
- テンプレートの中にLambdaのリンクを貼り、起動させることができる。
- WaitConditionHandle:外部ソースから完了の連絡を受けるまで、他のリソース作成を中止
- DependsOn:依存関係を記述する
- OnFailure:スタック作成に失敗した時の動作(DO_NOTHING,DELETEなど)
- ROLLBACK_COMPLETE:スタック作成が失敗。削除操作だけできる
- ドリフト検出:手動で変更された箇所を検出
CloudFront
- CDN
- エンドユーザの近い場所
- コスト効率化
- 特定の国をブロックすることも可能
CloudTrail
- APIコール全てを記録
- S3に自動的にログを保存
VPC
- デュアルスタック:iPv6のアクセスを両立
- Egress-Only、NATIPv6(書き方::/0)
- S3のVPCエンドポイントを指定可能
- インスタンスがネット接続できないのは、パブリックIPやElasticIPが付与されていないことがある。
![]()
Amazon VPC 内のインスタンスへの接続をトラブルシューティングするaws.amazon.com - インスタンスにはデフォルトのセキュリティグループが当てられる。
これは、同じセキュリティグループ間のインバウンドを許可し、アウトバウンドは全て許可 - 特別な理由があって、NATインスタンスを使うことがある。水平スケーリングもできる。
- プライベートサブネットと、VPCエンドポイントを使う。ネットワークを介さない。
VPCエンドポイント
- ゲートウェイエンドポイント:S3とDynamoDBにのみ
- インターフェイスエンドポイントPrivateLink:その他サービスと、プライベートネットで接続
S3
ボールトロック:削除、変更を防止
MFAデリート:CLIでデリートする時、認証番号を一緒に送る必要あり
オブジェクトが見つからない。アクセスできない時は、400系エラー
暗号化について
SSE-S3:S3が暗号化キーを管理
SSE-KMS:KMSが管理するキー
SSE-C:お客さんが管理するキー
CSE:クライアントサイド暗号化
S3に画像アップする際は、費用がいらない。
バケットポリシーはオブジェクト単位では定義できない。
不正アクセスを見つける
S3のアクセスログ記録を残し、Athenaで403系エラーを照会する分析
ストレージクラスの分析とかができる。(ストレージ最適化)
Auto Scaling
- 立ち上げたインスタンスのメトリクスが取れないのは、ウォームアップ中
- デフォルト設定の場合、EC2を閉じる順番は、AZ毎の数を比較する
- 異常なインスタンスを落としたい時は、ELBヘルスチェックを使用するように、AutoScalingグループを設定する
- 最小数,最大数,希望数:現時点で希望するインスタンス数
- AutoScalingを削除する時は、グループのインスタンスを全て削除し、希望容量を0にする。
RDS
- 5分以内のポイント・イン・タイム・リカバリ。バックアップの作成
- マスタをリードレプリカに反映する時のラグReplicaLag
- ミラーリング機能がある
- セキュリティグループが変更されたら通知することができる。Amazon RDS イベント通知の操作 - Amazon Relational Database ServiceAmazon RDS のイベントが発生したときに、Amazon SNS を使用して E メール、テキストメッセージ、または HTTP エンドポイントの呼び出しを通じて通知を受け取ります。docs.aws.amazon.com
Artifact
- コンプライアンスレポートをダウンロードできる
クロスアカウントダッシュボード
- 複数のリージョンの情報を表示
- 単一リージョン全てのEC2インスタンスの統計を取るには、詳細モニタリングが必要
CloudWatch
Dimensions:メトリクスに付与できるタグみたいなもの(EC2のインスタンスIDとか)
アラームの3種類
OK:定義したしきい値を下回っている
NG:定義したしきい値を上回っている
INSUFFICIENT_DATA:データが不足している
どれが標準なのか、カスタムなのかを確認(ディスク使用量、メモリ使用量)
メトリクスの種類
標準メトリクス:5分単位(無料)
詳細メトリクス:1分単位(有料)
高解像度メトリクス:1秒単位(有料)
複数のリージョンにまたがるメトリクスの取得は詳細モニタリング
既存のアラーム名変更不可
アラームの評価期間数に各評価期間の長さをかけた値が1日を超えてはいけない
snowball
- 現在は、snowball Edgeになっている。
- Storage Optimized:大容量のもの
- Compute Optimized:保存前に分析が必要なもの
- リージョンをまたいでデータを移動できない。S3のクロスリージョン使う
- https://aws.amazon.com/jp/snowball/faqs/#General
Aurora
- 読み取りエンドポイント:自動で使えるレプリカにアクセス
- クラスタエンドポイント:プライマリDBにアクセス
- インスタンスエンドポイント:特定のDBにアクセス
Direct Connect
- ゲートウェイを設置すれば、複数リージョンもいける
SSL
- 1つのSSLを実装するときは、IPを複数割り当てる
ELB
NLBは、ホワイトリストを登録できる
ELBはリージョンをまたげないので、Route53を使用する
ELBの種類
ALB:柔軟性,HTTPヘッダーを受け取る。
NLB:ラウンドロビン,ステートレスウェブサーバーにルーティング
CLB:何らかの評価を行い、ルーティングする時に使用
CLBへアクセスすると、spilloverの値が高い。SurgeQueueLengthの値を監視する。
CLBでさばききれなかったアクセス管理
SurgeQueueLength:溜まってる数。1024超えるとアクセス拒否
SpilloverCount:拒否された数
Spillover Count:ロードバランサの容量を過剰してしまった数
500エラー
正常なインスタンスが存在しない。
レート制限にかかっている
(インスタンスからは何も返ってこない)
ロードバランサはヘッダーを変更せずにバックエンドにリクエストを転送
(X-Forwardedは標準ではない)
Storage Gateway
S3をオンプレミス環境と接続するための仕組み
ボリュームゲートウェイ
キャッシュ型:プライマリはs3に。頻繁に使うものはキャッシュでローカルに保存
保管型:ローカルに保存
プロトコルを使用可能
テーブゲートウェイ:バックアップ向け。glacier等に保存
Route53
- トラフィックを向けられる
- DNS
- ドメイン名を振る
- ヘルスチェックやレイテンシーなどで、ルーティング
- 特定の国を別のソーリーページに飛ばすとかができる
Personal Health Dashboard
- 異常があった時、通知もできる
Systems Manager(Patch Manager)
- EC2インスタンスに対して、パッチを当てられる。
- OSのパッチ適用をまとめてできる。
AWS Config
- 現在のシステムステータスやリソース構成を把握
- 構成履歴を管理
- 設定変更のモニタリング
- S3にパブリック・アクセス可能なバケットが作成されたら通知できる
- Rule:全てのインスタンスのセキュリティグループをテスト
SQS
- キューはデフォルトで4日間保持
Trusted Advisor
- サービス(クォーター)の制限,セキュリティ,コスト,耐障害性,パフォーマンス
大きい順
リージョン→アベイラビリティーゾーン→エッジ
インフラのコード管理
- Elastic BeansTalk:簡易的にデプロイ可能
- CloudFormation:ほぼ全てのAWSリソース管理可能
- OpsWorks:EC2など、特定のリソースを細かく指定(sheff,puppet)
EMR
- ビックデータの分析
AD Connector, Microsoft AD
AWSマネジメントコンソールへのアクセス権の認可が行える。
オンプレのAWSコンソールへのアクセス権を付与するには、
VPNを作成,AD Connectorを使用
もしくはManaged Microsoft ADの間に既存の信頼関係を使用する
GuardDuty
- AWSアカウントに対する攻撃を検知する。
- 脅威リストと信頼済みIPリストを設定できる。(マスターアカウントのみ)
- ルールは無効にしたり、削除はできないがアーカイブすることによって通知を発生しないようにできる
QuickSight
- BIツール
Data Lifecycle Manager
- EBSのバックアップの作成・保持・削除の自動化
ElastiCache
- CurrConnections:Redisに接続している数(リードレプリカ除く)
Single Sign-On(SSO)
- AWSアカウントとビジネスアプリのアクセスを一元管理
- SAMLを使用
- ロールを割り当てる
コメント