【コラム】AWS認定勉強メモ〜その2〜
前回の続きです。同じのもちょこちょこ出てきます。
AWS Data Pipeline
最後のアクティビティが失敗 or 成功したら停止。手動再実行可能。自動再試行は3〜10回で設定可能。
IAM(Not Principal)
Principal Listに例外指定可能
VPCのIPアドレス
IAM Policy
明示的な拒否が最優先。デフォルトはすべて拒否。
Dynamo DB
整合性読み込みOption。条件付き書き込み。(同時書き込みをNGにできる)
Transfer Acceleration
大陸間のデータ転送。最適化されたNetwork Passでデータ転送可能。
AWS Batch
使ったリソースの分だけ費用が発生。力技が必要な時に便利。
Kinesis Data Firehose
直接S3とかRedshiftのデータを格納可能。
Kinesis Data Stream
処理は速いけど、カスタマイズが必要。(上記との違い)
SCP(Service Control Policy)
組織が管理できる。WinSCPのSCPとは全く違うので注意。
AWS KMS
- CMK:カスタマーキー。マスタキーの論理表現。カスター管理はその名の通り自分で管理。AWS管理は、AWSサービスが管理。AWS所有は、AWSが利用。
- データーキー:データを暗号化するためのキー。暗号化したらできる限り早急にメモリから削除する。CMKで暗号化されたキーは別途保存しておく。復号化する時に使う。マスターキーを安全に管理できるのが良い。
VPCフローログ
VPCのネットワークインターフェース間のIPトラフィックをキャプチャ。CloudWatch Logs、S3に発行可能。Athenaより直接クエリが打てる。標準SQLを使用して、S3でデータ分析が可能。
プレイスメントの種類と違い
- クラスタープレイスメント:単一のAZにインスタンスを配置。
- パーティションプレイスメント:パーティションごとにインスタンスを配置。単一のハードウェア障害に良い。
- スプレッドプレイスメント:独自のNW、電源が異なるラックに配置。
Disk Queue Depth:未処理のIOアクセス数
S3とOAI:OAIはCloudFrontとワンセット
VPC CIDRが拡張可能になった。最大四つまで
ADConnector:オンプレのADと接続可能なソリューション
ReadShift WLM(WorkLoadManagement)
クエリに対してリソース指定が可能。
Peering:ネットワークアドレスが一致、重複している場合は不可。
CloudFormationのDeletion Policy
- Delete:基本削除。RDSは設定次第ではSnapshotがデフォルト。
- Retain:保持する。
- Snapshot;EC2、RDSなどの一部のサービスが指定可能
Memchachedのメリット
マルチスレッドアーキテクチャ。CPUを増やせば早くなる。
Public virtual interfaceは、Public endpoint(S3)に接続可能
Egress Only インターネットゲートウェイ:インターネットへの送信のみ可能
移行系のソリューション
- AWS Server Migration Service:オンプレからAWSの移行で使う
- AWS Connector for vCenter:VMware vCenterからEC2に移行する時に
- AWS Import/Export:大量データのアップロード。VM Importとは違うから注意。
- AWS Database Migration Service:データのマッピングや移行方式をタスクとして設定。
CloudFrontを使用しない。→事前署名付きURLを利用しなさい。
AWS appsync:データ同期のサービス
CHAP:Challenge Handshake Authentication Protocolは、PlayBack攻撃から守る
Amazon Rekognition:画像認識
AWS Glue クローラーを動作させ、データカタログを作る
インスタンスストアのバックアップ
AMIツールを利用して、AMIボリュームを作成すれば可能。インスタンスストア単体でのSnapshotは取得できないので注意。
DynamoDBの料金
オンデマンドは使った分だけ。プロビジョニングはあらかじめ予約。
Amazon Cognito
ユーザーの作成、管理、IDフェデレーションが楽。
SAML2.0を利用してのフェデレーション
Idp Service Provider → SAML2.0が利用できない → IDブローカーを構築する
Amazon Mechanical Turk:クラウドソーシングサービス
署名付きCookie
複数の制限されたファイルへのアクセス。現在のURLを変更したくない時に有効。
Get HLS Streaming Session URL:ライブ配信可能
AWS System Manager
今日はいったんこのぐらいで、、、まだまだ続く
要点整理から攻略する『AWS認定 セキュリティ-専門知識』 (Compass Booksシリーズ)
- 作者:NRIネットコム株式会社,佐々木 拓郎,上野 史瑛,小林 恭平
- 発売日: 2020/07/29
- メディア: Kindle版