前回の続きです。同じのもちょこちょこ出てきます。

AWS Data Pipeline

最後のアクティビティが失敗 or 成功したら停止。手動再実行可能。自動再試行は３〜１０回で設定可能。

IAM（Not Principal）

Principal Listに例外指定可能

VPCのIPアドレス

• .0：ネットワークアドレス
• .1：VPC Router用
• .2：AWS用
• .3：AWS用（将来用）
• .255：ブロードキャスト

IAM Policy

明示的な拒否が最優先。デフォルトはすべて拒否。

Dynamo DB

整合性読み込みOption。条件付き書き込み。（同時書き込みをNGにできる）

Transfer Acceleration

大陸間のデータ転送。最適化されたNetwork Passでデータ転送可能。

AWS Batch

使ったリソースの分だけ費用が発生。力技が必要な時に便利。

Kinesis Data Firehose

直接S3とかRedshiftのデータを格納可能。

Kinesis Data Stream

処理は速いけど、カスタマイズが必要。（上記との違い）

SCP（Service Control Policy）

組織が管理できる。WinSCPのSCPとは全く違うので注意。

AWS KMS

• CMK：カスタマーキー。マスタキーの論理表現。カスター管理はその名の通り自分で管理。AWS管理は、AWSサービスが管理。AWS所有は、AWSが利用。
• データーキー：データを暗号化するためのキー。暗号化したらできる限り早急にメモリから削除する。CMKで暗号化されたキーは別途保存しておく。復号化する時に使う。マスターキーを安全に管理できるのが良い。

VPCフローログ

VPCのネットワークインターフェース間のIPトラフィックをキャプチャ。CloudWatch Logs、S3に発行可能。Athenaより直接クエリが打てる。標準SQLを使用して、S3でデータ分析が可能。

プレイスメントの種類と違い

• クラスタープレイスメント：単一のAZにインスタンスを配置。
• パーティションプレイスメント：パーティションごとにインスタンスを配置。単一のハードウェア障害に良い。
• スプレッドプレイスメント：独自のNW、電源が異なるラックに配置。

Disk Queue Depth：未処理のIOアクセス数

S3とOAI：OAIはCloudFrontとワンセット

VPC CIDRが拡張可能になった。最大四つまで

ADConnector：オンプレのADと接続可能なソリューション

ReadShift WLM(WorkLoadManagement)

クエリに対してリソース指定が可能。

Peering：ネットワークアドレスが一致、重複している場合は不可。

CloudFormationのDeletion Policy

• Delete：基本削除。RDSは設定次第ではSnapshotがデフォルト。
• Retain：保持する。
• Snapshot；EC2、RDSなどの一部のサービスが指定可能

Memchachedのメリット

マルチスレッドアーキテクチャ。CPUを増やせば早くなる。

Public virtual interfaceは、Public endpoint(S3)に接続可能

Egress Only インターネットゲートウェイ：インターネットへの送信のみ可能

移行系のソリューション

• AWS Server Migration Service：オンプレからAWSの移行で使う
• AWS Connector for vCenter：VMware vCenterからEC2に移行する時に
• AWS Import／Export：大量データのアップロード。VM Importとは違うから注意。
• AWS Database Migration Service：データのマッピングや移行方式をタスクとして設定。

CloudFrontを使用しない。→事前署名付きURLを利用しなさい。

AWS appsync：データ同期のサービス

CHAP：Challenge Handshake Authentication Protocolは、PlayBack攻撃から守る

Amazon Rekognition：画像認識

AWS Glue クローラーを動作させ、データカタログを作る

インスタンスストアのバックアップ

AMIツールを利用して、AMIボリュームを作成すれば可能。インスタンスストア単体でのSnapshotは取得できないので注意。

DynamoDBの料金

オンデマンドは使った分だけ。プロビジョニングはあらかじめ予約。

Amazon Cognito

ユーザーの作成、管理、IDフェデレーションが楽。

SAML2.0を利用してのフェデレーション

Idp Service Provider → SAML2.0が利用できない　→ IDブローカーを構築する

Amazon Mechanical Turk：クラウドソーシングサービス

署名付きCookie

複数の制限されたファイルへのアクセス。現在のURLを変更したくない時に有効。

Get HLS Streaming Session URL：ライブ配信可能

AWS System Manager

• State Manager：スクリプト実行とか可能
• Session Manager：SSH接続みたいなことが可能

今日はいったんこのぐらいで、、、まだまだ続く

要点整理から攻略する『AWS認定 セキュリティ-専門知識』 (Compass Booksシリーズ)

• 作者:NRIネットコム株式会社,佐々木 拓郎,上野 史瑛,小林 恭平
• 発売日: 2020/07/29
• メディア: Kindle版