AWS Professionalメモ①
IPv6の追加手順
現在のVPC, subnetにIPv6を関連付け
パブリックサブネットはIGWへ、プライベートサブネットはEgress-only IGWへ送る
セキュリティグループ, ネットワークACLでIPv6を許可
VMwareのオンプレからの移行サービス
Server Migration Service(SMS)
AWS Connector for vCenter(VM Import)
AWS Server Migration Service は EC2 VM Import を大幅に強化したサービスです。AWS Server Migration Service では、自動化されたライブのサーバー増分レプリケーションおよび AWS コンソールのサポートが提供されています。EC2 VM Import を移行のために使用しているお客様には、AWS Server Migration Service を使用することをお勧めします。
名前似ているAWS Import/Exportはsnowballとかのデータ移行サービス
データ移行
ネットワーク転送で間に合うならネットワーク
数百TBなら、Snowball複数(1つあたり50or80TB)
数PBなら、Snowmobile
DBの移行
Database Migration Service
以下をサポート
同じ種類のDBをオンプレからAWSヘ移行
別の種類のDBへの移行
テーブルマッピングを定義して、実行する(
事前署名付きURL
s3の機能、期間指定してオブジェクトを公開できる
似た名前の署名付きURLはCloudFrontの機能
公開期間とアクセス可能なIPを指定できる
構成管理強制系
AWS Config
立ち上がっているリソースが事前に定義したルールに基づいてるかをチェックできる
Cloud Trail
リソースに対するAPI呼び出しを記録する
15分ほどタイムラグあり
Tagによる管理
IDSとIPSのベストプラクティス
IDSは「Intrusion Detection System」の略であり、侵入検知システムという意味です。IDSは悪意のある第三者からのアクセス・侵入を検出し通知するセキュリティです。
IPSは「Intrusion Prevention System」の略であり、侵入防止システムという意味です。不正な通信を検出し通知するほか、その通信を遮断します。
IDS/IPSを用意したVPCを用意して、全てのトラフィックをそこを経由するようにすればいい
ロケーション通知系
SNSにロケーション通知機能はない、アプリ側に通知機能を実装して、それを捌くのにSQSを利用
AWS Security Token Service (AWS STS)
IAMの機能の一部assume roleで一時的な権限付与で使ったり, SAML統合とか
Route 53 のシャッフルシャーディングとエニーキャストストライピング
DDoS対策
シャッフルシャーディングでは、委託セットの各ネームサーバーがエッジロケーションの一意のセットに対応します。この配置によって耐障害性が向上し、AWS のお客様間の重複が最小化されます。委託セットの 1 つのネームサーバーが利用できない場合、クライアントシステムまたはアプリケーションは別のエッジロケーションのネームサーバーを再試行し、レスポンスを受け取ります。エニーキャストストライピングは、最適な場所に DNS リクエストをダイレクトするために使用されます。これは、負荷を分散して DNS レイテンシーを減らす効果があります。
CloudFormationのDeletionPolicy
Retain - 削除せずに残る
Snapshot - スナップショットをとってリソースは削除する(RDSなど向け)
Delete - 普通に削除
AWS Organaizations
SCP
IAMと比べて細かい管理はできない(特定のインスタンスだけ起動できるとか)
サービス単位になってしまう
Redshift災害復旧
スナップショットをとるのが良い(増分スナップショットなので、結構容量節約もできる)
AWS Resource Access Manager(AWS RAM)
AWS Resource Access Manager (RAM) を使用すると、AWS アカウント全体または組織内でリソースを安全に共有できます。リソースを一元的に調達し、RAM を使用して他のアカウントとリソースを共有できるため、アカウントごとにリソースをプロビジョニングして管理する必要がありません。リソースを他のアカウントと共有する場合は、そのアカウントにリソースへのアクセス権が付与され、そのアカウントのポリシーとアクセス許可が共有リソースに適用されます。
AWS内でのパラメーター(DB接続パスとか)の管理
AWS Secrets Manager
AWS Systems Manager Parameter Store
シークレットマネージャーとパラメーターストアの違いは何ですか?
AWS シークレットマネージャーは、ローテーション、監査、アクセスコントロールと言った組織でのシークレットのライフサイクルを中央で管理するためのサービスです。シークレットマネージャーを使うと、シークレットを自動的にローテーションできるようになるので、セキュリティとコンプライアンスの要件を満たすのに役立ちます。シークレットマネージャーは MySQL、PostgreSQL、Amazon Aurora on Amazon RDS への統合を組み込むことができ、これは Lambda 関数のカスタマイズで他のタイプのシークレットにも拡張できます。AWS Systems Manager パラメータストアには、設定データ管理のためのセキュアで、階層的なストレージがあり、これにはシークレットも含みます。データベース接続タイプ、文字れる、パスワードとライセンスコードはパラメータ値として保存され、監査とアクセスコントロールが可能です。保存された値はプレーンテキストでも暗号化されたデータでも構いません。値はパラメータ固有の名前で参照できます。システムマネージャーパラメータを参照してジェネリック設定と自動化スクリプトを構築して、Amazon ECS や AWS CloudFormation など様々な AWS サービスにわたって使用できます。
AWS Directory Service
AD Connector
オンプレミスのActive Directoryを使って、認証情報だけもらう
Microsoft Active Directory
Active Directory自体をAWS側でやる
Direct Connectの接続
1. AWS側(仮想プライベートゲートウェイ)のルート伝播を有効にする
AWS Amplify
セキュアでスケーラブルなモバイルアプリケーションとウェブアプリケーションを構築するための開発プラットフォーム
AWS Mobile Hub
AWS Mobile Hub を使用すると、さまざまな強力な AWS のサービスを使用して、初心者でも簡単にモバイルアプリのバックエンド機能をデプロイして設定できます。
DynamoDBストリーム
DynamoDB ストリーム は、DynamoDB テーブル内の項目レベルの変更の時系列シーケンスをキャプチャし、この情報を最大 24 時間ログに保存します
ある AWS リージョンのアプリケーションが、DynamoDB テーブルのデータを変更します。別のリージョンの 2 番目のアプリケーションがそのデータ変更を読み込み、データを別のテーブルに書き込みます。このとき、元のテーブルと同期されたレプリカを作成します
BYOIP
オンプレからIP維持したままAWSへ移行するためのしゅだん
Route53 Cnameとalias
CNAME
Alias
Aliasの方がパフォーマンスは出やすいけど、AWS内で利用する限られたDNS名に対してのみ指定可能
セカンダリCIDRブロック
VPCのCIDR拡張
最大4つまで増やせる
CloudHSM
暗号化キーの生成管理サービス
KMSとの違い
HSMは専用のハードウェアが提供されるので、他がアクセスできない