Jayendra’s Blog

この記事は自己学習用に「AWS Certification Exam Cheat Sheet(Jayendra’s Blogより)」を日本語に訳した記事です。

AWS認定試験チートシート

AWS 認定試験は、多くのトピックと、機能、パターン、アンチパターン、およびその他のサービスとの統合のための微細な詳細とサービスの広い範囲をカバーしています。このブログの記事は、ちょうどあなたが試験のために表示される前にチラッとすべてのサービスとキーポイントの簡単な要約を持っていることです。

AWS Region, AZs, Edge locations

  • 各リージョンは、他のリージョンから隔離された独立した地理的領域であり、最大限のフォールトトレランスと安定性を実現するのに役立ちます。
  • リージョン間のコミュニケーションは公共のインターネットを渡ってある。
  • 各リージョンには複数のアベイラビリティーゾーンがあります。
  • 各 AZ は物理的に分離され、地理的に互いに切り離され、独立した障害ゾーンとして設計されています。
  • AZは、低レイテンシのプライベートリンクと接続されています。(パブリックインターネットではありません)
  • エッジの場所は、データセンターの世界的なネットワークを通じて AWS によって維持される場所で、コンテンツの配信によって待機時間を短縮します。

AWSサービス

請求の統合

  • 複数のリンクアカウントでアカウントを支払う。
  • 有料アカウントは独立しており、請求目的にのみ使用する必要があります。
  • 有料アカウントは、クロスアカウントの役割を通じて排他的にアクセスする場合を除き、他のアカウントのリソースにアクセスすることはできません。
  • リンクされたアカウントはすべて独立しており、ソフトリミットは20です。
  • AWS アカウントごとに1つの請求書。
  • アカウント全体で使用するためのボリューム価格設定割引を提供します。
  • 未使用のリザーブドインスタンスをグループ全体に適用できるようにします。
  • 無料の層は、アカウント全体に適用されません。

タグとリソースグループ

  • タグは、AWS リソースとのキーと値のペアとして指定されたメタデータです。
  • ラベリングの目的であり、リソースの管理、整理に役立ちます。
  • 自動スケーリング、CloudFormation、Elastic Beanstalkなどなどから作成されたリソースを作成するときに継承することができます。
  • 以下のような使い方もできる。
    • AWS コストを分類して追跡するためのコスト配分。
    • タグに基づくリソースへのアクセスを許可または拒否するアクセス許可を定義するための条件付きアクセス制御ポリシー。
  • リソースグループは、1つ以上のタグを共有するリソースの集まりです。

IDS/IPS

  • AWS とハイパーバイザーがインスタンスにトラフィックを配信しないため、プロミスキャスモードは許可されません。
  • IDS/IPS 戦略
    • ホストベースのファイアウォール – インスタンスに IDS 自体がインストールされている配置済み IDS を転送します。
    • ホストベースのファイアウォール – データを一元的な IDS システムに送信/複製するインスタンスに IDS エージェントがインストールされているトラフィックレプリケーション。
    • インラインファイアウォール – 疑わしいパケットを識別して削除する受信 IDS/IPS 層 (WAF 構成など)。

DDoS 緩和

  • 攻撃面を最小化する
    • ELB/CloudFront/Route53 を使用して負荷を分散する
    • プライベートサブネットのリソースを管理し、Bastion サーバーを使用する
  • スケールして攻撃を吸収する
    • スケーリングは、攻撃の分析と対応に時間を費やすのに役立ちます
    • ELB による自動スケーリングにより、攻撃を吸収するための負荷の増加を処理
    • CloudFront、Route53は本質的に要求ごとにスケール
  • 公開リソースの保護
    • エイリアスにRoute53を使用して、ソース IP とプライベート DNS を非表示にする
    • CloudFront ジオ制限とオリジンアクセスアイデンティティ を使用する
    • インフラストラクチャの一部として WAF を使用する
  • 通常の動作を学ぶ (IDS/WAF)
    • 通常の動作に関するルールを定義するための分析とベンチマーク
    • CloudWatch を使う
  • 攻撃に対する計画を作成する

AWS サービスリージョン、AZ、サブネット VPC の制限

  • IAM (ユーザー、ロール、グループ、SSL 証明書)、Route53、STS などのサービスは、リージョン全体でグローバルに利用できます。
  • その他のすべての AWS サービスはリージョンまたはリージョンに限定され、構成されていない限り、リージョン間でデータを排他的にコピーしません。
  • AMI はリージョンに限定され、他のリージョンにコピーする必要があります。
  • EBS ボリュームはアベイラビリティーゾーンに制限されており、スナップショットを作成して別のリージョンにコピーすることによって移行できます。
  • リザーブドインスタンスはアベイラビリティーゾーンに限定され、別のリージョンに移行することはできません。
  • RDS インスタンスはリージョンに限定され、スナップショットを使用するか、リードレプリカをプロモートすることによって、別のリージョンで再作成できます。
  • プレイスメントグループはアベイラビリティーゾーンに限定されます。
  • S3 データはリージョン内で複製され、クロスリージョンレプリケーションを使用して別のリージョンに移動することができます。
  • DynamoDB は、DynamoDB クロスリージョンレプリケーション (DynamoDB ストリームを使用) または EMR (古いメソッド) を使用したデータパイプラインを使用して、リージョン内のデータを別のリージョンにレプリケートできます。
  • Redshift クラスターはアベイラビリティーゾーン内でのみ使用され、スナップショットを使って他の AZ で作成できます。

災害復旧ホワイトペーパー

  • RTO とは、ビジネス・プロセスをサービス・レベルに復元するために中断した後、災害発生前に測定されたデータ損失の許容量を RPO (目標復旧時間) です。
  • 技術 (RTO と RPO が下がるにつれてコストは上がります)
    • バックアップと復元 – データは、何も実行されずにバックアップおよび復元されます。
    • パイロットライト – RDS などの最小限の重要なサービスのみが実行され、残りのサービスは回復時に再作成およびスケーリングできます。
    • ウォームスタンバイ – 最小限の構成で完全に機能するサイトが利用可能であり、回復時にスケーリングすることができます。
    • 同一の構成を持つマルチサイト – 完全に機能するサイトが利用可能であり、負荷を処理します。
  • サービス
    • リージョンと AZ を複数の施設にわたってサービスを開始します。
    • AZ にまたがって拡張および起動する機能を持つ EC2 インスタンス。
    • 異なる AZ またはリージョンのボリュームを再作成するためのスナップショットを持つ EBS。
    • AMI は、構成済みの EC2 インスタンスをすばやく起動します。
    • ELB および オートスケーリングを実行して、AZ 間でインスタンスを拡張および起動します。
    • プライベート、孤立したセクションを作成する VPC。
    • 静的 IP アドレスとしての Elastic IP アドレス。
    • 事前に割り当てられた MAC アドレスと ENI。
    • Route53は、さまざまな AZ とリージョンの EC2 インスタンスと ELB 間でトラフィックを分散するための高可用性およびスケーラブルな DNS サービスです。
    • 高速データ転送のためのダイレクトコネクト(セットアップに時間がかかり、vpn よりも高価)。
    • S3 および Glacier (RTO (3-5 時間)) は、永続的なストレージを提供します。
    • RDS のスナップショットとマルチ AZ は、リージョン間でのレプリカのサポートと読み取りを行います。
    • クロスリージョンレプリケーションを使用した DynamoDB。
    • クラスタを再作成するための Redshif スナップショット。
    • AWS のデータをバックアップするためのストレージゲートウェイ。
    • インポート/エクスポートにより、大量のデータを AWS に移動することができる (インターネット速度がボトルネックの場合)。
    • 自動化のためのオーケストレーションツールとして CloudFormation、ElasticBeanstalk OpsWork、インフラストラクチャを再作成します。