SAA 模試2 カバー

リソースにアクセス権つけるならアクセスポリシー

異なるAWSアカウントのAWSリソースに対して、SQSキューへのアクセス権を付与するには、SQSアクセスポリシーにおいて特定のアカウントを指定し、SQSキューへのメッセージの送受信を許可する必要があります。

インスタンスプロファイルでアクセス権限を付与することはできない

インスタンスプロファイルは EC2 <-- IAM ロールの間にはさんであるやつ

内部的には、IAMロールはEC2インスタンスに直接結びつけることができず、InstanceProfile経由でIAMロールを結びつけることでEC2インスタンスでIAMロールを使用できるようにしています。

ファイアウォール、アウトバウンド時は広範囲の指定が必要

SSH接続を行う際には、アウトバウンド通信にはポート番号22ではなく、PC側の広範囲なポート番号である1024から65535の設定が必要です。

そう、これ何度かハマった覚えあるわsta.icon

Amazon Interactive Video Service (Amazon IVS)

世界中の視聴者が低レイテンシーまたはリアルタイムの動画を利用できるようにするライブストリーミングソリューションです。

RTMP（リアルタイムメッセージングプロトコル）およびその暗号化されたバージョンであるRTMPSを使用して、Amazon Interactive Video Service (Amazon IVS) ステージにブロードキャストすることが可能です。

EFS の汎用モードと最大IOモード

汎用モードはレイテンシー低い

最大IOモードは同時アクセス用で、スループットは上がるがレイテンシーは落ちる

🐰レイテンシー（遅延）とスループット（処理量）はトレードオフ

Auto Scalingのウォームプール

スケールアウトで使うインスタンスを事前に起動しておく

リアルタイムかつ処理も完結したければ Spark + Amazon EMR

Textractで言語情報抽出 → Comprehend で分析が鉄板

ニュースサイトのようなテキスト情報を分析する際には、言語識別AIの活用が不可欠です。まず、分析を容易にするために、テキストから文字情報を抽出する必要があります。そのため、Amazon Textractを使用して文字データを取り出すことが求められます。

Textractは以下の理解だったけどちゃうやんけsta.icon

OCR強化版。画像中の表をそのまま表データとして抜き出すとか。

AWS DataSync では SFTP 転送には対応してない

SFTP 転送と来たら Transfer Family を疑え

AWS Load Balancer Controller は k8s 用の LB

EKS でも Windows Server は使える

Amazon Transcribe の PII リダクション機能で文字起こし時に個人情報消せる

ちなみに PII = 個人を特定できる情報（Personal Identifiable Information）

PII をマスキングすることをリダクションというらしい

ファイル共有するならファイルゲートウェイ

ファイル共有を構成するには、AWS Storage Gatewayのボリュームゲートウェイではなく、Amazon S3ファイルゲートウェイを使用する必要があります。

SNSだとメール一斉配信になる、個別に送りたいならSES使え

個別のメール通知を実施するにはAmazon SESによるメール機能の実装が必要となります。

予測モデルは Amazon Forecast は使えない（2024年廃止された）、SageMaker Canvas でノーコードでつくれ

RDS の自動バックアップは AWS Backup 使わなくていい

RDS の手動バックアップ削除は手作業必要、保持期間の概念もない

不特定のIPアドレスからのDDoS攻撃を防ぐなら Amazon Shield Advanced

Shield Response Team (SRT) の協力を得ることが最も効果的な方法です。これにより、攻撃の影響を軽減するための制御をサービスに組み込むことが可能になります。

AWS Transfer for SFTP はかんたんに使えるのでコスト効率いい、EFS や S3 に送れる

FSx for Lustre でパフォーマンスほしいならスクラッチファイルシステム

永続化ファイルシステムはパフォーマンスは落ちる、長期間用

CloudFormation テンプレートだけではアプリケーションのデプロイと管理はできない

たしかに。リソースをつくるだけやsta.icon

AWS ElasticBeanstalk の中で CloudFromation を使える

S3 と RDS 両方に保存したいなら AWS Lake Formation

SNS 通知を実施するには Lambda 関数から SNS 通知を実行する必要がある

DynamoDBテーブルのDynamoDBストリームを有効化する。テーブルにデータが書き込まれるイベントをトリガーにして、すべてのチームのメールアドレスがサブスクライブされた１つのAmazon SNSトピック通知を設定する。

これとかは Lambda 使ってないので通知を設定できない🐰

Amazon DynamoDB Accelerator (DAX)は一時的なアクセス集中にはオーバースペック

を有効化することで、キャッシュレイヤーをテーブルに追加して高速なキャッシュ処理を実現することができます。しかしながら、これは一部のデータ処理を高速化するために利用する機能であり、一時的なアクセス集中に対する方策としては、コスト効率が悪い対応となります。

RDS の Auto Scaling はストレージのスケールであり、CPU やパフォーマンスは関係ない

DB のシャーディングとは

レコードをテーブルに分けて記載する: 1テーブル100万 → 5テーブル20万

テーブル保存先も複数のデータベースやサーバーに分けることも含む

複製（レプリケーション）ではない

AWS App Mesh はマイクロサービス間の通信を制御・観測できるサービスメッシュで、TLS 通信標準化も可能

「XXXを行ってクラスターを構成する」は、XXXX をクラスターの構成要素にするという意味

AWS Lambda関数を作成して、Amazon ECSクラスターを構成する

lambdaは構成要素にはなれないので不可能

日本語ぉsta.icon

ビューアーとは CloudFront にアクセスするクライアントのこと

オリジンとは CloudFront が元データを取りに行く先のこと

オリジンが ELB 以外の場合、ACM は使えないので CA 証明書を使う

不定期実行、短時間で終了、中断可能 → スポットインスタンスを使え

Amazon Managed Service for Apache Flink

Apache Flink を使用してリアルタイムストリーム処理アプリケーションを構築できます。Apache Flink は1秒未満のレイテンシーでデータを継続的に処理し、イベントにリアルタイムで対応します。その後、シンクとして設定されているAmazon S3バケットにApache Flink はデータを取り込みます。

from source to Sink、両方とも指定必須なのでシンク指定がないような選択肢は除外できるsta.icon

sinkには受信装置の意味がある。データが流れ込む先という意味sta.icon

NLB に WAF は設定できない、ALB にしろ

WAFがそもそもアプリ層（L7）なので、L4のNLBじゃないよねって話sta.icon

AWS IAM Identity Center は SSO

複数のAWSアカウントやアプリケーションへのシングルサインオン（SSO）を提供するサービス

AWS Directory Service は Organizations では連携できない

Directory Service

ディレクトリ（ADなど）による認証・認可をAWS上で実現するサービス

認証メカニズムにAWS Directory Serviceを直接使用するようにAWS Organizationsの組織を設定する方法はありません

SNS のパブリッシュとサブスクライブ

パブリッシュは、SNS にデータを送信する

すると SNS がサブスクライバーらに送信する（サブスクライバー側が受信する）

SNSは自らが送信機能を持つ。SQSは持たないただの箱sta.icon

SNS の話は主語や目的語がめちゃくちゃで理解するの無理なので、登場人物から構成を推測しにいっていい

Amazon SNS 標準トピックに複数のAmazon SQSキューをサブスクライブする。Amazon SNS 標準トピックがメッセージを収集して、それを複数のSQSキューに配信する。キューからデバイスデータメッセージを取得して処理するように複数の外部アプリケーションを設定する。

これとか解読不可能

SNS x1、SQS x 複数、で SQS 自体は送信機能は持たないので、publisher --> SNS --> SQSたち、の構成だと一意に特定できる

Data Firehose は DynamoDB テーブルにデータを配信できない

可能なのは S3, Redshift, OpenSearch Service あたり

S3 オブジェクトロックはバケット作成時にのみ有効にできる

S3 オブジェクトロックとは、バケット内のオブジェクトを一定期間または無期限で削除・上書き不可にする機能

IMDS(インスタンスメタデータサービス)

EC2インスタンス内からインスタンス自身の情報や認証情報を取得できるサービス

IMDS(インスタンスメタデータサービス)へのアクセスを封じるにはローカルのファイアウォール使うしかない

CSE はクライアントサイド暗号化の略称

ちなみに S3 や Dynamo で使えるらしい、SDK 使って暗号化処理入れる感じ

複数インスタンスからの同時マウント（データ共有）は EFS。EBS ではできないよ

EFS

EFSはNFS（Network File System）プロトコルを使っています。

NFSは、ネットワーク越しに複数のクライアント（この場合EC2インスタンス）が1つのファイルシステムを同時にマウントして利用できる技術です。

EC2インスタンスタイプ

table:t

A Arm、低コスト a1.medium 軽量用途、Arm必須

M 汎用、バランス型 m5.large、m6g.large あらゆる用途

T バースト型、低価格 t3.micro、t4g.medium 一時的な負荷向き

クラスタープレイスメントグループはインスタンス起動前に定義が必要だし、T3 では使えない

CloudFront における Referer 制限は WAF を設定しないと実施できない

署名付き URL とは ?expires=xxxxx がつくような一時 URL のこと

サーバーサイド側で生成してクライアントに返す

URL は期限切れたら本人でもアクセスできなくなる