AWS SOA 用語01
認証されたAMIを利用するように強制したい。
Config Managed Ruleを使用することで効率的に検知することができる。検知後は、SNSに通知することができる。コードは「approved-amis-by-id」や「approved-amis-by-tag」を打ち込む。
◉VPCピアリング接続やTransitGatewayの通信はネットワーク外でないため、非常に安全。
認証情報の低レイテンシーのトラフィック通信を達成するためには
プライマリサーバーと同期する別のLDAPサーバーを起動することで対応が可能。LDAP Active Directoryとのデータの読み書きに使用される標準的な通信プロトコル。Active Directoryのユーザーやグループの追加、削除、検索を行ったり、ユーザーの認証をするための認証情報を送ったりすることができる。
Metrics Math CloudWatchメトリクスに数式を使用して、新しいメトリクスを作成することができる。カスタムメトリクスみたい。
HTTP S3で、503エラーが表示される原因と対策
原因:いくつものバージョンが同時に存在している。対策:S3インベントリツールを設定して、蓄積しているオブジェト(いくつものバージョン)を解析し、レポートとして吐き出す。
S3インベントリ ストレージ管理。レプリケーションや暗号化、ステータスを操作し、レポートを吐き出してくれる。
実行されているインスタンスのロールの一時的資格情報を取得するためには
・ロールが実行できる許可範囲を決定する。・IAMアクセス許可が必要
サービスがロールを引き受けることを許可する。
UPdateAssumeRolePolicyアクションをしようして、ロールに信頼ポリシーを添付する。信頼ポリシー IAMロールの権限譲渡の操作に特化したポリシー。
ユーザーが承認されたロールのみ渡すことを許可する。
IAMユーザーにアタッチされているIAMアクセス許可ポリシーにてIam:PassRoleパーミションとiam:GetRoleパーミションが必要。IAMロールはリソースへの認証付与だけではなく、一時的な認証付与にも使える。
AWS Encryption SDK 複数の暗号レベルを提供できる暗号化ライブラリ。ELBで送受信されるデータを保護することができる。
Chatbot SlackチャンネルやChimeチャットルームでAWSのリソースを簡単にモニタリングしたり、操作したりするシステム(バカ便利)。Healthのイベントを通知することができる。
Evaluate Target Healthフラグを有効化にすることでELBのヘルスチェックによってELBの背後にあるEC2インスタンスのレイテンシーを確認して、最適なルーティングを実施するように設定できる。
Service CatalogのTagOptionライブラリ タグの管理が楽になる。整合性のあるタグの分類が可能なる。タグ付けのルール化や義務化ができる。
ステップスケーリングポリシーを使用すると新しく起動されたインスタンスが起動するまでに時間がかかる。インスタンスが起動するまでの時間はメトリクスが含まれないで注意(テストで問われそう!)
クロスオリジンリソース共有(CORS)オプションが有効になっていると、S3のリソースが他のアカウントにシェアすることができる。
◉AutoScalingのAddToLoadBalancer(インスタンスを自動でELBに登録する機能)を中断している最中にインスタンスを起動した場合は、そのインスタンスを手動で、ELBに登録しなければならない。
Redshiftにはクロスリージョンレプリケーションの機能がないため、冗長化を行う際はクロスリージョンスナップショットを利用する。(まぎらわしい)
カスタマーゲートウェイを作成するのに必要なこと
・BGPプロトコルで動的ルーティングを作成
・IPアドレスの静的ルーティングを作成
◉時間帯が決まっているなら、スポットブロックでスポットインスタンスを作成する。(昼の12時から2時間など)
リザーブドインスタンス スタンダードで変更できる項目
ElasticBeantalkに適切なIAMロールが設定されていないとインスタンスプロファイルを作成できない。
CloudWatchダッシュボードには特定の周期で更新し、グラフを作成する能力がある。
APIに直接リクエストに対しての4xxエラー → アプリケーションのプログラムソースコードをデバックする(5xxは再試行処理、4xxはデバック)
◉EBS-Backedインスタンス EBSをOSのルート領域として利用したEC2インスタンス。不揮発性があり、EC2を停止しても永続的にデータが残る。わざと停止状態に移行できる。
◉Instance Store-Backedインスタンス インスタンスストアをOSのルート領域として利用したEC2インスタンス。揮発性があるため、EC2を停止するとデータが消える。
停止状態に移行できない。Instance Store - backed AMI を使用してEC2インスタンスを作成すると、そのデータはインスタンスストアに保存される。
EBS暗号化によって、EBS独自の鍵管理インフラができる。簡単な暗号だけど。
◉EC2が削除された時にアタッチされたEBSを存続させたい場合、DeleteOnTerminaiton属性を使用する。(削除時の設定)
ミラーリングはコストが高い。リージョン間でミラーリングができない。
ユーザーデータ EC2の初回起動時に1回だけ実行できるスクリプト。デプロイを行うシステム。そのときに必要な情報としてメタデータがある。
メタデータはURLにアクセスすると取得できる。AMIからEC2インスタンスを起動する際に、最新のコンテンツを反映する場合に利用される。例:起動時にJava言語が自動的にダウンロードされる。
メタデータ EC2の情報を取得できる。
インスタンスメタデータ EC2インスタンスに関する情報で、実行中のインスタンスの設定・管理に使われる。
手に入る情報
・インスタンスID
・プライベートIPv4アドレス/パブリックIPv4アドレス
・ローカルホスト名
・公開鍵
リンクローカルアドレス プライベートIPアドレスみたいなもの
EC2rescue EC2インスタンスへの接続に失敗した場合や、起動上のトラブルが発生した場合に、トラブルの分析に利用するログ収集などを実行する。
windows用だったり、Linux用がある。潜在的な問題を積極的に検索することもできる。EBSルートボリュームを調べることもできる。