【AWS】クラウドプラティクショナー学習備忘まとめ【試験対策】

▼SAP転職なら！ LINE追加で気軽に相談▼

AWSクラウドプラティクショナー試験勉強で学んだことを備忘として残しておきます。

＼＼試験対策ならコレ／／

【送料無料】 AWS認定試験対策 AWS クラウドプラクティショナー / 山下光洋【本】

created by Rinker

知りたい情報をチェック

1 Introduction to AWS
- 1.1 ■クラウドベースの導入モデル
- 1.2 ■クラウドのメリット
2 Compute in the cloud
3 Global infrastructure and reliability
4 Networking
5 Storage and Databases
6 SECURITY
7 Monitorint and analytics
8 Pricing and support
9 Migration and innovation
10 The cloud journey
- 10.1 AWS Well-Architected Framework
- 10.2 Advantages of cloud computing

Introduction to AWS

■クラウドベースの導入モデル

アプリケーションのすべての部分をクラウドで実行する。
既存のアプリケーションをクラウドに移行する。
クラウドで新しいアプリケーションを設計して構築する。

クラウドベースの導入モデルでは、既存のアプリケーションをクラウドに移行したり、新しいアプリケーションをクラウドで設計して構築したりすることができます。これらのアプリケーションは、IT スタッフが管理する必要のある低レベルのインフラストラクチャ上に構築することができます。あるいは、コア・インフラストラクチャの管理、アーキテクチャー、およびスケーリングの要件を軽減する高レベルのサービスを使用してアプリケーションを構築することもできます。

例えば、企業は、完全にクラウドをベースにした仮想サーバー、データベース、およびネットワーキング・コンポーネントで構成されるアプリケーションを作成することができます。

■クラウドのメリット

Trade upfront expense for variable expense
Stop spending money to run and maintain data centers
Stop guessing capacity
Benefit from massive economies of scale
Increase speed and agility
Go global in minutes

Compute in the cloud

EC2インスタンスの種類

General purpose instances
- application servers
- gaming servers
- backend servers for enterprise applications
- small and medium databases
Compute optimized instances
Memory optimized instances
Accelerated computing instances
Storage optimized instances

EC2インスタンスの価格

On-Demand
ideal for short-term, irregular workloads that cannot be interrupted. No upfront costs or minimum contracts apply.

Amazon EC2 Savings Plans
enable you to reduce your compute costs by committing to a consistent amount of compute usage for a 1-year or 3-year term. This term commitment results in savings of up to 72% over On-Demand costs.

Reserved Instances
billing discount applied to the use of On-Demand Instances in your account. You can purchase Standard Reserved and Convertible Reserved Instances for a 1-year or 3-year term, and Scheduled Reserved Instances for a 1-year term. You realize greater cost savings with the 3-year option.

Spot Instances
ideal for workloads with flexible start and end times, or that can withstand interruptions. Spot Instances use unused Amazon EC2 computing capacity and offer you cost savings at up to 90% off of On-Demand prices.

Dedicated Hosts
physical servers with Amazon EC2 instance capacity that is fully dedicated to your use.

Auto Scaling

オートスケーリングには以下2つの方式がある。

Dynamic scaling responds to changing demand.
Predictive scaling automatically schedules the right number of Amazon EC2 instances based on predicted demand.

具体的にオートスケーリンググループを作成する例は以下の通り。

Elastic Load Balancing（ELB）

Elastic Load Balancingは、Amazon EC2インスタンスなどの複数のリソースに流入するアプリケーションのトラフィックを自動的に分散させるAWSサービスです。

Amazon Simple Notification Service (Amazon SNS)

Amazon Simple Notification Service（Amazon SNS）は、パブリッシュ/サブスクライブサービスです。Amazon SNSのトピックを利用して、パブリッシャーが購読者にメッセージを公開します。

コーヒーショップを例に取ると、キャッシャーがコーヒーの注文をバリスタに提供して、ドリンクを作ってもらうという流れと似ています。

Amazon SNSでは、購読者はウェブサーバー、メールアドレス、AWS Lambda機能、その他いくつかの選択肢があります。

Serverless computing

Amazon EC2 で実行したいアプリケーションがある場合は、以下の操作を行う必要があります。

Provision instances (virtual servers).
Upload your code.
Continue to manage the instances while your application is running.

サーバーレスという用語は、コードはサーバー上で実行されるが、サーバーのプロビジョニングや管理は不要であることを意味します。サーバーレス・コンピューティングでは、サーバーを維持する代わりに、新製品や新機能の開発に集中することができます。

サーバーレス・コンピューティングのもう一つの利点は、サーバーレス・アプリケーションを自動的にスケーリングできる柔軟性です。サーバーレスコンピューティングでは、スループットやメモリなどの消費単位を変更することで、アプリケーションの容量を調整することができます。

Amazon Lamda

AWS Lambdaは、サーバーのプロビジョニングや管理をしなくてもコードを実行できるサービスです。

AWS Lambdaを利用している間は、消費した計算時間に対してのみ料金を支払うことになります。課金はコードが実行されているときにのみ適用されます。また、事実上あらゆるタイプのアプリケーションやバックエンドサービスのコードを実行することができます。

You upload your code to Lambda.
You set your code to trigger from an event source, such as AWS services, mobile applications, or HTTP endpoints.
Lambda runs your code only when triggered.
You pay only for the compute time that you use. In the previous example of resizing images, you would pay only for the compute time that you use when uploading new images. Uploading the images triggers Lambda to run code for the image resizing function.

Containers

コンテナは、アプリケーションのコードと依存関係を単一のオブジェクトにパッケージ化する標準的な方法を提供します。また、セキュリティ、信頼性、スケーラビリティに不可欠な要件があるプロセスやワークフローにコンテナを使用することもできます。

以下がAWSのコンテナサービス。

●Amazon Elastic Container Service (Amazon ECS)
Amazon Elastic Container Service（Amazon ECS）は、拡張性に優れた高性能なコンテナ管理システムで、AWS上でコンテナ化されたアプリケーションを実行・拡張することができます。

●Amazon Elastic Kubernetes Service (Amazon EKS)
Amazon Elastic Kubernetes Service（Amazon EKS）は、AWS上でKubernetesを実行するためのフルマネージドサービスです。

Global infrastructure and reliability

Region（リージョン）の選び方

リージョンを選ぶ上で大事な観点は以下の4つ。

Compliance with data governance and legal requirements
Proximity to your customers
Available services within a Region
Pricing

Availability Zones（アベイラビリティゾーン）

Availability Zoneは単一のデータセンターまたはリージョン内のデータセンターのグループです。Availability Zoneは、互いに数十マイル離れています。これは、可用性ゾーン間のレイテンシ（コンテンツが要求されてから受信されるまでの時間）が低くなるのに十分な距離です。しかし、災害がリージョンの一部で発生した場合には、複数のAvailability Zoneが影響を受ける可能性を減らすために、十分に離れています。

Edge locations / Amazon CloudFront

エッジロケーションとは、Amazon CloudFrontがキャッシュされたコンテンツのコピーを顧客により近い場所に保存し、より迅速な配信を実現するために使用するスポットのことです。

また、Amazon CloudFrontは、データや動画、アプリケーション、APIなどを低遅延・高速転送で世界中の顧客に届けるためのサービスです。

Amazon CloudFrontは、世界中のエッジロケーションと呼ばれるものを利用して、ユーザーとのコミュニケーションの高速化を支援しています。

Ways to interact with AWS services

・AWS Management Console
AWSサービスにアクセスして管理するためのウェブベースのインターフェース

・AWS Command Line Interface (AWS CLI)
1つのツール内で複数のAWSサービスをコマンドラインから直接制御できるようになるサービス

・software development kits (SDKs)
プログラミング言語やプラットフォームに合わせて設計されたAPIを利用してAWSのサービスを簡単に利用することができるサービス

AWS Elastic Beanstalk

AWS Elastic Beanstalkでは、コードと構成設定を提供し、Elastic Beanstalkは以下のタスクを実行するために必要なリソースをデプロイします。

Adjust capacity
Load balancing
Automatic scaling
Application health monitoring

AWS CloudFormation

AWS CloudFormationでは、インフラをコードとして扱うことができます。つまり、AWS Management Consoleを使ってリソースを個別にプロビジョニングするのではなく、コードの行を書くことで環境を構築することができます。

Networking

Amazon Virtual Private Cloud (Amazon VPC)

Amazon Virtual Private Cloud（Amazon VPC）は、AWSリソースの周囲に境界線を設定するために利用できるネットワークサービスです。

Internet gateway

インターネットゲートウェイは、VPCとインターネット間の接続です。インターネットゲートウェイがなければ、誰もあなたの VPC 内のリソースにアクセスすることはできません。

Virtual private gateway

VPC のプライベートリソースにアクセスするには、仮想プライベートゲートウェイを使用します。

仮想プライベートゲートウェイを使用すると、VPC とオンプレミスのデータセンターや社内ネットワークなどのプライベートネットワークとの間に仮想プライベートネットワーク (VPN) 接続を確立することができます。仮想プライベートゲートウェイは、承認されたネットワークから来ている場合にのみ、VPCへのトラフィックを許可します。

AWS Direct Connect

AWS Direct Connectは、データセンターとVPC間に専用のプライベート接続を確立できるサービスです。

AWS Direct Connectが提供するプライベート接続を利用することで、ネットワークコストを削減し、ネットワークを通過できる帯域幅を増やすことができます。

Subnets

サブネットは、セキュリティや運用上のニーズに基づいてリソースをグループ化できるVPCのセクションです。サブネットは、パブリックまたはプライベートのどちらでも構いません。

パブリックサブネットには、オンラインストアの Web サイトなど、一般の人がアクセスする必要があるリソースが含まれます。

プライベートサブネットには、顧客の個人情報や注文履歴を含むデータベースなど、プライベートネットワークからのみアクセス可能なリソースが含まれます。

VPCでは、サブネットは互いに通信することができます。例えば、パブリックサブネットにあるAmazon EC2インスタンスがプライベートサブネットにあるデータベースと通信するアプリケーションがあるかもしれません。

Network traffic in a VPC

クライアントがAWSクラウドでホストされているアプリケーションにデータを要求すると、この要求はパケットとして送信されます。

*パケットとは、インターネットやネットワークを介して送信されるデータの単位のこと

パケットはインターネットゲートウェイを経由してVPCに入ります。パケットがサブネットに入ったり、サブネットから出たりする前に、パーミッションをチェックします。これらのパーミッションは、誰がパケットを送信したか、パケットがサブネット内のリソースとどのように通信しようとしているかを示します。

サブネットのパケットパーミッションをチェックするVPCコンポーネントは、ネットワークアクセスコントロールリスト（ACL）です。

Network access control lists (ACLs)

ACLは、サブネットレベルでインバウンドとアウトバウンドのトラフィックを制御する仮想ファイアウォールです。

デフォルトでは、アカウントのデフォルトのネットワーク ACL はすべての受信と送信トラフィックを許可しますが、独自のルールを追加することで変更することができます。カスタムネットワーク ACL の場合、許可するトラフィックを指定するルールを追加するまで、すべてのインバウンドとアウトバウンドのトラフィックは拒否されます。さらに、すべてのネットワーク ACL には明示的な拒否ルールがあります。このルールは、パケットがリストの他のルールと一致しない場合、パケットが拒否されることを保証します。

Stateless packet filtering

ネットワークACLは、ステートレスなパケットフィルタリングを行います。これは何も記憶せずに、サブネットの境界を横切るパケットをチェックする方式です。

Security groups

セキュリティグループは、Amazon EC2インスタンスのインバウンドとアウトバウンドのトラフィックを制御する仮想ファイアウォールです。

デフォルトでは、セキュリティグループはすべてのインバウンドトラフィックを拒否し、すべてのアウトバウンドトラフィックを許可します。カスタムルールを追加して、許可または拒否するトラフィックを設定することができます。

サブネット内に複数のAmazon EC2インスタンスがある場合、同じセキュリティグループに関連付けるか、インスタンスごとに異なるセキュリティグループを使用することができます。

Stateful packet filtering

セキュリティグループは、ステートフルパケットフィルタリングを実行します。セキュリティグループは、受信パケットに対して行われた以前の決定を記憶しています。

ACLとSecurity groupの関係図

Domain Name System (DNS)

ある企業がAWSクラウドでホストされているWebサイトを持っているとします。顧客はそのWebアドレスをブラウザに入力し、Webサイトにアクセスすることができます。これは、DNS（Domain Name System）解決が原因です。DNS解決には、DNSサーバーがWebサーバーと通信することが含まれています。

DNSはインターネットの電話帳のようなものと考えることができます。DNS解決は、ドメイン名をIPアドレスに変換するプロセスです。

When you enter the domain name into your browser, this request is sent to a DNS server.
The DNS server asks the web server for the IP address that corresponds to AnyCompany’s website.
The web server responds by providing the IP address for AnyCompany’s website, 192.0.2.0.

Amazon Route 53

Amazon Route 53はDNSウェブサービスです。これにより、開発者や企業は、AWSでホストされているインターネットアプリケーションにエンドユーザーをルーティングするための信頼性の高い方法を得ることができます。

Amazon Route 53は、ユーザーのリクエストをAWSで稼働しているインフラ（Amazon EC2インスタンスやロードバランサーなど）に接続します。ユーザーをAWS外のインフラにルーティングすることも可能です。

A customer requests data from the application by going to AnyCompany’s website.
Amazon Route 53 uses DNS resolution to identify AnyCompany.com’s corresponding IP address, 192.0.2.0. This information is sent back to the customer.
The customer’s request is sent to the nearest edge location through Amazon CloudFront.
Amazon CloudFront connects to the Application Load Balancer, which sends the incoming packet to an Amazon EC2 instance.

Storage and Databases

Amazon Elastic Block Store (Amazon EBS)

Amazon Elastic Block Store（Amazon EBS）は、Amazon EC2インスタンスで利用できるブロックレベルのストレージボリュームを提供するサービスです。Amazon EC2インスタンスを停止または終了しても、接続されているEBSボリューム上のすべてのデータは利用可能なままです。

EBSボリュームを作成するには、構成（ボリュームサイズやタイプなど）を定義してプロビジョニングします。EBSボリュームを作成すると、Amazon EC2インスタンスにアタッチすることができます。

EBSボリュームは永続化が必要なデータ用なので、データをバックアップすることが重要です。Amazon EBSスナップショットを作成することで、EBSボリュームの増分バックアップを取ることができます。

Amazon EBS snapshots

EBSスナップショットは増分バックアップです。これは、ボリュームの最初のバックアップでは、すべてのデータがコピーされることを意味します。それ以降のバックアップでは、最新のスナップショット以降に変更されたデータブロックのみが保存されます。

増分バックアップは、バックアップが発生するたびにストレージボリューム内のすべてのデータがコピーされるフルバックアップとは異なります。フルバックアップには、最新のバックアップ以降に変更されていないデータが含まれます。

Amazon Simple Storage Service (Amazon S3)

Amazon Simple Storage Service（Amazon S3）は、オブジェクトレベルのストレージを提供するサービスです。Amazon S3では、データをオブジェクトとしてバケットに格納します。

Amazon S3には、画像、動画、テキストファイルなど、あらゆる種類のファイルをアップロードすることができます。例えば、バックアップファイル、ウェブサイトのメディアファイル、アーカイブされたドキュメントなどを保存するためにAmazon S3を使用することができます。Amazon S3では、ストレージ容量に制限はありません。Amazon S3のオブジェクトの最大ファイルサイズは5TBです。

Amazon S3にファイルをアップロードする際には、パーミッションを設定して可視性やアクセスを制御することができます。また、Amazon S3のバージョニング機能を使用して、オブジェクトの変更を経時的に追跡することもできます。

Amazon Elastic File System (Amazon EFS)

ファイルストレージでは、複数のクライアント（ユーザ、アプリケーション、サーバなど）が共有ファイルフォルダに格納されたデータにアクセスすることができる。このアプローチでは、ストレージサーバーは、ローカルファイルシステムによるブロックストレージを使用してファイルを整理します。クライアントはファイルパスを介してデータにアクセスします。

ブロックストレージやオブジェクトストレージに比べて、ファイルストレージは、多数のサービスやリソースが同時に同じデータにアクセスする必要があるユースケースに最適です。

Amazon Elastic File System（Amazon EFS）は、AWSクラウドサービスやオンプレミスのリソースで使用されるスケーラブルなファイルシステムです。ファイルを追加したり削除したりすると、Amazon EFSは自動的に成長したり縮小したりします。アプリケーションを中断させることなく、オンデマンドでペタバイト規模に拡張することができます。

Comparing Amazon EBS and Amazon EFS

Amazon EBS

An Amazon EBS volume stores data in a single Availability Zone.

To attach an Amazon EC2 instance to an EBS volume, both the Amazon EC2 instance and the EBS volume must reside within the same Availability Zone.

Amazon EFS

Amazon EFS is a regional service. It stores data in and across multiple Availability Zones.

The duplicate storage enables you to access data concurrently from all the Availability Zones in the Region where a file system is located. Additionally, on-premises servers can access Amazon EFS using AWS Direct Connect.

Amazon Relational Database Service (Amazon RDS)

Amazon Relational Database Service（Amazon RDS）は、AWSクラウド上でリレーショナルデータベースを運用できるサービスです。

Amazon RDSは、ハードウェアのプロビジョニング、データベースのセットアップ、パッチ適用、バックアップなどのタスクを自動化するマネージドサービスです。これらの機能があれば、管理業務に費やす時間を減らし、アプリケーションの革新にデータを活用する時間を増やすことができます。Amazon RDSを他のサービスと統合して、AWS Lambdaを使用してサーバーレスアプリケーションからデータベースをクエリするなど、ビジネスや運用上のニーズを満たすことができます。Amazon RDSは、さまざまなセキュリティオプションを提供しています。多くのAmazon RDSデータベースエンジンは、静止時の暗号化（保存中のデータを保護する）と転送時の暗号化（送受信中のデータを保護する）を提供しています。

【AWSにてサポートされているDB】

Amazon Aurora
PostgreSQL
MySQL
MariaDB
Oracle Database
Microsoft SQL Server

【RDSのデータ例】

Amazon Aurora

Amazon Auroraはエンタープライズクラスのリレーショナルデータベースです。MySQLおよびPostgreSQLリレーショナルデータベースと互換性があります。標準的なMySQLデータベースよりも最大5倍、標準的なPostgreSQLデータベースよりも最大3倍高速です。

Amazon Auroraは、データベースリソースの信頼性と利用可能性を確保しながら、不要な入出力（I/O）操作を削減することで、データベースのコストを削減するのに役立ちます。

ワークロードに高可用性が必要な場合は、Amazon Auroraを検討してください。3つの可用性ゾーンに6つのデータコピーを複製し、Amazon S3にデータを継続的にバックアップします。

Nonrelational databases

nonrelational databaseでは、テーブルを作成します。テーブルとは、データを保存したり、クエリを実行したりする場所のことです。

nonrelational databaseは、行や列以外の構造を使用してデータを整理するため、「NoSQLデータベース」と呼ばれることもあります。nonrelational databaseの構造的アプローチの 1 つのタイプは、キーと値のペアです。キーと値のペアでは、データは項目（キー）に編成され、項目は属性（値）を持ちます。属性は、データの異なる特徴と考えることができます。

キー値データベースでは、テーブル内の項目からいつでも属性を追加したり削除したりすることができます。さらに、テーブル内のすべての項目が同じ属性を持つ必要はありません。

【データ例】

Amazon DynamoDB

Amazon DynamoDBは、キーバリューデータベースサービスです。あらゆる規模で一桁ミリ秒のパフォーマンスを実現します。

・サーバレス
Amazon DynamoDBはサーバーレスなので、サーバーのプロビジョニングやパッチ、管理をする必要がありません。

・自動スケーリング
データベースのサイズが小さくなったり大きくなったりすると、DynamoDBは自動的にスケーリングを行い、一貫したパフォーマンスを維持しながら容量の変化に合わせて調整します。そのため、スケーリングしながら高いパフォーマンスを必要とするユースケースに適しています。

Amazon Redshift

Amazon Redshiftは、ビッグデータ分析に利用できるデータウェアハウスサービスです。多くのソースからデータを収集する機能を提供し、データ全体の関係性や傾向を理解するのに役立ちます。

AWS Database Migration Service (AWS DMS)

AWS Database Migration Service (AWS DMS)を利用すると、リレーショナルデータベースや非リレーショナルデータベース、その他のタイプのデータストアを移行することができます。

AWS DMSでは、ソースデータベースとターゲットデータベースの間でデータを移行します。移行元のデータベースと移行先のデータベースは、同じ種類のものでも異なる種類のものでも構いません。移行中もソースデータベースは稼働したままなので、データベースに依存しているアプリケーションのダウンタイムを減らすことができます。

例えば、Amazon EC2インスタンスまたはAmazon RDSに格納されているMySQLデータベースがあるとします。このMySQLデータベースをソースデータベースと考えてください。AWS DMSを使用して、Amazon Auroraデータベースなどのターゲットデータベースにデータを移行することができます。

SECURITY

The AWS shared responsibility model

AWS Identity and Access Management (IAM)

AWS Identity and Access Management（IAM）を利用することで、AWSのサービスやリソースへのアクセスを安全に管理することができます。IAMを利用することで、企業固有の運用上およびセキュリティ上のニーズに基づいてアクセスを柔軟に設定することができます。

下記がIAMのメイン機能。

IAM users, groups, and roles
IAM policies
Multi-factor authentication

AWS account root user

【ベストプラクティス】
AWSアカウントを作成する際は、ルートユーザーから始めます。ルートユーザーは、AWSアカウントを作成する際に使用したメールアドレスとパスワードでサインインすることでアクセスすることができます。ルートユーザーは、例えるとコーヒーショップのオーナーに似ています。このユーザーは、アカウント内のすべてのAWSサービスやリソースに完全にアクセスすることができます。通常タスクにはルートユーザーを使用しない。代わりに最初のIAMユーザーを作成する際にルートユーザーを使用し、他のユーザーを作成するための権限を割り当てる。 その後、他のIAMユーザーを作成し続け、それらのユーザを利用してAWS全体で通常タスクを実行する。ルートユーザーのみが利用できる限られた数のタスクを実行する必要がある場合にのみ、ルートユーザーを利用する。例としては、ルートユーザーのメールアドレス変更、AWSサポートプランの変更などが挙げられる。

IAM users

IAMユーザーとは、AWSで作成するユーザのことです。これはAWSのサービスやリソースと相互作用する個人やアプリケーションを表します。名前と資格情報で構成されます。

デフォルトでは、AWSで新しいIAMユーザーを作成すると、そのユーザーには権限が関連付けられていません。Amazon EC2インスタンスの起動やAmazon S3バケットの作成など、IAMユーザーがAWSで特定のアクションを実行できるようにするには、IAMユーザーに必要なパーミッションを付与する必要があります。

【ベストプラクティス】
AWSにアクセスする個人毎に、個別のIAMユーザーを作成する。同じレベルのアクセスを必要とする従業員が複数いる場合でも、それぞれに個別のIAMユーザーを作成する必要がある。これにより、各IAMユーザに固有のセキュリティ認証情報を持たせることができ、セキュリティの強化につながる。

IAM policies

IAMポリシーとは、AWSのサービスやリソースへのアクセス権限を許可したり、拒否したりするためのドキュメントです。

IAMポリシーを利用することで、ユーザーのリソースへのアクセスレベルをカスタマイズすることができます。例えば、AWSアカウント内のAmazon S3バケット全てへのアクセスをユーザーに許可したり、特定のバケットのみへのアクセスを許可したりすることができます。

【ベストプラクティス】
権限を付与する際には、最小特権のセキュリティ原則に従う。この原則に従うことで、ユーザーやロールがタスクを実行するために必要以上の権限を持つことを防ぐことが可能。例えば、従業員が特定のバケットのみへのアクセスを必要とする場合、IAMポリシーでバケットを指定する。

*ドキュメント例

IAM groups

IAMグループは、IAMユーザーの集合体です。グループにIAMポリシーを割り当てると、グループ内のすべてのユーザーにポリシーで指定された権限が与えられます。

グループレベルで IAM ポリシーを割り当てることで、従業員が別の仕事に移ったときに権限を調整することも容易になります。例えば、キャッシャーがインベントリのスペシャリストになった場合、コーヒーショップのオーナーは、「キャッシャー」というIAMグループから外し、「インベントリのスペシャリスト」というIAMグループに追加します。これにより、従業員は現在の役割に必要な権限のみを持つことができます。

IAM roles

IAMロールとは、一時的にアクセス権限を得るために想定できるアイデンティティのことです。

IAMユーザー、アプリケーション、サービスがIAMロールを想定する前に、そのロールに切り替えるための権限を付与する必要があります。誰かがIAMロールを引き受けると、以前のロールの下で持っていたすべての以前の権限を放棄し、新しいロールの権限を引き受けることになります。

【ベストプラクティス】
IAMの役割は、サービスやリソースへのアクセスが長期的ではなく、一時的に付与される必要がある状況に最適。

Multi-factor authentication

IAMでは、多要素認証（MFA）はAWSアカウントにセキュリティの追加レイヤーを提供します。

例えば、パスワードと携帯電話に送信されるランダムコードなどの第二の認証が必要なものなどがあります。

AWS Organizations

あなたの会社が複数のAWSアカウントを持っているとします。AWS Organizationsを利用して、複数のAWSアカウントを一元的に統合して管理することができます。

組織を作成すると、AWS Organizationsは自動的にルートを作成し、組織内のすべてのアカウントの親コンテナとなります。

AWS Organizationsでは、サービスコントロールポリシー（SCP）を利用して、組織内のアカウントの権限を一元的に制御することができます。SCPを利用することで、各アカウントのユーザーやロールがアクセスできるAWSサービス、リソース、個別のAPIアクションに制限をかけることができます。

Organizational units

AWS Organizationsでは、アカウントを組織単位(OU)にグループ化して、ビジネスやセキュリティ要件が似ているアカウントを簡単に管理することができます。OUにポリシーを適用すると、OU内のすべてのアカウントがポリシーで指定された権限を自動的に継承します。

別々のアカウントをOUに整理することで、特定のセキュリティ要件を持つワークロードやアプリケーションをより簡単に分離することができます。例えば、特定の規制要件を満たすAWSサービスのみにアクセスできるアカウントがある場合、これらのアカウントを1つのOUにまとめることができます。そして、規制要件を満たしていない他のすべてのAWSサービスへのアクセスをブロックするポリシーをOUにアタッチすることができます。

AWS Artifact

企業の業界によっては、特定の基準を維持する必要があるかもしれません。監査や検査を受けることで、企業がそれらの基準を満たしているかどうかを確認することができます。

AWS Artifactは、AWSのセキュリティとコンプライアンスのレポートや選択したオンライン契約書にオンデマンドでアクセスできるサービスです。AWS Artifactは、主に2つのセクションで構成されています。「AWS Artifact Agreements」と「AWS Artifact Reports」です。

Customer Compliance Center

カスタマーコンプライアンスセンターには、AWSのコンプライアンスについて学ぶためのリソースが用意されています。カスタマーコンプライアンスセンターでは、規制された業界の企業がどのようにしてコンプライアンス、ガバナンス、監査上の課題を解決しているかを知るために、カスタマーコンプライアンスのストーリーを読むことができます。

また、以下のようなトピックに関するコンプライアンスのホワイトペーパーやドキュメントにアクセスすることもできます。

コンプライアンスに関する重要な質問に対するAWSの回答
AWSのリスクとコンプライアンスの概要
監査セキュリティチェックリスト

さらに、カスタマーコンプライアンスセンターには、監査員向けのラーニングパスが用意されています。このラーニングパスは、監査、コンプライアンス、法務の役割を担う個人を対象としたもので、AWSクラウドを利用して社内業務がどのようにしてコンプライアンスを実証することができるのかを学びたいと考えている方を対象としています。

Denial-of-service attacks（DoS攻撃）

DoS攻撃は、webサイトやアプリケーションをユーザーが利用できないようにする意図的な試みです。

Distributed denial-of-service attacks（DDoS攻撃）

DDoS攻撃では、複数のソースを使用して、webサイトやアプリケーションを利用できなくすることを目的とした攻撃を開始します。これは、攻撃者のグループから来る場合もあれば、単一の攻撃者から来る場合もあります。単一の攻撃者は、複数の感染したコンピュータ（「ボット」とも呼ばれる）を使用して、ウェブサイトやアプリケーションに過剰なトラフィックを送信します。

アプリケーションへのDoSやDDoS攻撃の影響を最小限に抑えるためには、AWS Shieldを利用します。

AWS Shield

AWS Shieldは、DDoS攻撃からアプリケーションを保護するサービスです。AWS ShieldはStandardとAdvancedの2つのサービスを提供しています。

AWS Shield Standard

AWS Shield Standardは無償のサービスで、最も一般的で頻繁に発生するタイプのDDoS攻撃からAWSリソースを保護します。

アプリケーションにネットワークトラフィックが侵入してくると、AWS Shield Standardは様々な分析技術を用いて悪意のあるトラフィックをリアルタイムで検出し、自動的に緩和します。

AWS Shield Advanced

AWS Shield Advancedは有料のサービスで、詳細な攻撃診断を提供し、高度なDDoS攻撃を検知してミティゲーションを行う機能を備えています。

また、Amazon CloudFrontやAmazon Route 53、Elastic Load Balancingなどの他のサービスとの統合も可能です。さらに、複雑なDDoS攻撃を軽減するためのカスタムルールを記述することで、AWS ShieldとAWS WAFを統合することができます。

AWS Key Management Service (AWS KMS)

AWS KMSを利用することで、暗号鍵を利用した暗号化処理を行うことができます。暗号鍵とは、データのロック（暗号化）とアンロック（復号化）に使用されるランダムな数字の文字列のことです。AWS KMSを利用して、暗号鍵の作成、管理、利用を行うことができます。また、様々なサービスやアプリケーションでの鍵の利用を制御することも可能です。

AWS KMSでは、鍵に必要なアクセス制御のレベルを具体的に選択することができます。例えば、鍵を管理できるIAMユーザやロールを指定することができます。また、一時的に鍵を無効にして、誰も鍵を使用しないようにすることもできます。

AWS WAF

AWS WAFは、Webアプリケーションに侵入してくるネットワークリクエストを監視するためのWebアプリケーションファイアウォールです。

AWS WAFはAmazon CloudFrontやApplication Load Balancerと連携しています。

Amazon Inspector

Amazon Inspectorは、自動化されたセキュリティ評価を実行することで、アプリケーションのセキュリティとコンプライアンスを改善するのに役立ちます。これは、Amazon EC2インスタンスへのオープンアクセスや脆弱性のあるソフトウェアバージョンのインストールなど、セキュリティの脆弱性やセキュリティのベストプラクティスからの逸脱がないかどうか、アプリケーションをチェックします。

Amazon Inspectorがアセスメントを実行した後、セキュリティの発見事項のリストを提供します。リストには、各セキュリティ問題の詳細な説明と修正方法の推奨事項が記載されており、深刻度レベル別に優先順位が付けられています。ただし、AWSは、提供された推奨事項に従うことですべての潜在的なセキュリティ問題が解決することを保証するものではありません。責任共有モデルでは、お客様は、AWSサービス上で実行されるアプリケーション、プロセス、ツールのセキュリティに対して責任を負うことになります。

Amazon GuardDuty

Amazon GuardDutyは、AWSのインフラストラクチャとリソースに対して脅威検知を提供するサービスです。AWS環境内のネットワークアクティビティやアカウントの動作を継続的に監視することで脅威を識別します。

AWSアカウントでGuardDutyを有効にすると、GuardDutyはネットワークとアカウントのアクティビティの監視を開始します。追加のセキュリティソフトウェアを導入したり、管理したりする必要はありません。その後、GuardDutyは、VPCフローログやDNSログなど、複数のAWSソースからのデータを継続的に分析します。

GuardDutyが脅威を検知した場合、AWSマネジメントコンソールから脅威に関する詳細な調査結果を確認することができます。調査結果には、推奨される是正措置が含まれています。また、AWS Lambda機能を設定して、GuardDutyのセキュリティ調査結果に応じて自動的に是正措置を取ることもできます。

Monitorint and analytics

Amazon CloudWatch

Amazon CloudWatchは、さまざまなメトリクスを監視・管理し、それらのメトリクスのデータに基づいてアラームアクションを設定できるWebサービスです。

CloudWatchはメトリクスを使ってリソースのデータポイントを表現します。AWSサービスはメトリクスをCloudWatchに送信します。そしてCloudWatchはこれらのメトリクスを使用して、パフォーマンスが時間の経過とともにどのように変化したかを示すグラフを自動的に作成します。

CloudWatch alarms

CloudWatchを使用すると、メトリックの値が事前に定義されたしきい値以上または以下になった場合に、自動的にアクションを実行するアラームを作成することができます。

例えば、開発者がアプリケーション開発やテスト目的でAmazon EC2インスタンスを使用しているとします。開発者が時々インスタンスを停止するのを忘れてしまうと、インスタンスは実行され続け、料金が発生してしまいます。

このシナリオでは、CPU利用率が一定期間、一定のしきい値を下回った場合にAmazon EC2インスタンスを自動的に停止するCloudWatchアラームを作成することができます。アラームを設定する際に、このアラームがトリガーされたときに通知を受け取るように指定することができます。

CloudWatch dashboard

CloudWatchのダッシュボード機能を使用すると、リソースのすべてのメトリクスに一箇所からアクセスすることができます。

例えば、CloudWatchダッシュボードを使用して、Amazon EC2インスタンスのCPU使用率、Amazon S3バケットへのリクエストの合計数などを監視することができます。

また、異なるビジネス目的、アプリケーション、またはリソースごとに個別のダッシュボードをカスタマイズすることもできます。

AWS CloudTrail

AWS CloudTrailは、アカウントのAPIコールを記録します。記録された情報には、API呼び出し元の身元、API呼び出しの時間、API呼び出し元のIPアドレスなどが含まれています。CloudTrailは、誰かが残したパンくず（またはアクションのログ）の「痕跡」と考えることができます。

AWSリソースのプロビジョニング、管理、設定にAPIコールを利用できることを思い出してください。CloudTrailを使えば、アプリケーションやリソースのユーザーアクティビティやAPIコールの完全な履歴を見ることができます。

イベントは通常、APIコール後15分以内にCloudTrailで更新されます。APIコールが発生した日時、アクションを要求したユーザー、APIコールに関与したリソースの種類などを指定してイベントをフィルタリングすることができます。

CloudTrail Insights

CloudTrailでは、CloudTrail Insightsを有効にすることもできます。このオプション機能により、CloudTrailはAWSアカウント内の通常とは異なるAPIアクティビティを自動的に検出することができます。

例えば、CloudTrail Insightsでは、通常よりも多くのAmazon EC2インスタンスがアカウント内で最近起動されたことを検出することができます。その後、イベントの詳細を確認して、次にどのようなアクションを取る必要があるかを判断することができます。

AWS Trusted Advisor

AWS Trusted Advisorは、AWS環境を検査し、AWSのベストプラクティスに沿ってリアルタイムで推奨事項を提供するWebサービスです。

Trusted Advisorは、コスト最適化、パフォーマンス、セキュリティ、フォールトトレランス、サービス制限の5つのカテゴリーにおいて、調査結果をAWSのベストプラクティスと比較します。各カテゴリのチェック項目については、Trusted Advisorが推奨するアクションのリストと、AWSベストプラクティスの詳細を知るための追加リソースを提供しています。

AWS Trusted Advisorが提供するガイダンスは、導入のあらゆる段階で貴社にメリットをもたらします。例えば、新しいワークフローを作成したり、新しいアプリケーションを開発したりしている間に、AWS Trusted Advisorを利用して支援することができます。また、既存のアプリケーションやリソースを継続的に改善する際にも利用できます。

AWS Trusted Advisor dashboard

AWS Management ConsoleのTrusted Advisorダッシュボードにアクセスすると、コストの最適化、パフォーマンス、セキュリティ、フォールトトレランス、サービス制限などのチェックが完了したことを確認することができます。

・緑色のチェックは、問題を検出しなかった項目の数を示しています
オレンジ色の三角形は、推奨される調査の数を表しています
赤丸は推奨される行動の数を表しています

Pricing and support

AWS Free Tier

AWS Free Tierを利用することで、指定された期間はコストを気にせず特定のサービスの利用を開始することができます。

下記3種類のオプションがあります。

Always Free
12 Months Free
Trials

AWS Pricing Calculator

AWS Pricing Calculatorでは、AWSのサービスを調査し、AWS上でのユースケースにかかるコストの見積もりを作成することができます。AWSの見積もりは、定義したグループによって整理することができます。グループは、コストセンター別の見積もりを提供するなど、企業の組織形態を反映させることができます。

見積もりを作成したら、保存したり、リンクを生成して他の人と共有したりすることができます。

AWS Billing & Cost Management dashboard

AWS Billing & Cost Managementダッシュボードを使用して、AWSの請求書の支払い、利用状況の監視、コストの分析と管理を行うことができます。

具体的には下記が可能。

Compare your current month-to-date balance with the previous month, and get a forecast of the next month based on current usage.
View month-to-date spend by service.
View Free Tier usage by service.
Access Cost Explorer and create budgets.
Purchase and manage Savings Plans.
Publish AWS Cost and Usage Reports

Consolidated billing

AWS Organizationsのconsolidated billing を利用すると、組織内のすべてのAWSアカウントに対して1つの請求書を受け取ることができます。連結することで、組織内で連携しているすべてのアカウントの合計コストを簡単に把握することができます。組織に許可されるアカウントの最大数はデフォルトでは4つですが、必要に応じてAWSサポートに連絡して枠を増やすことができます。

毎月の請求書では、各アカウントで発生した費用を項目別に確認することができます。これにより、組織のアカウントの透明性を高めつつ、月次請求書の利便性を維持することが可能になります。

consolidated billing のもう一つの利点は、組織内のアカウント間で一括割引価格、貯蓄プラン、予約インスタンスを共有することができることです。例えば、1つのアカウントでは、割引価格を適用するのに十分な月間利用量がない場合があります。しかし、複数のアカウントが結合されている場合、それらの利用状況を集計した結果、組織内のすべてのアカウントに適用されるメリットが得られる可能性があります。

AWS Budgets

AWS Budgetsでは、サービスの利用状況やサービスコスト、インスタンスの予約などを計画するための予算を作成することができます。AWS Budgetsの情報は1日3回更新され、これにより利用状況が予算額やAWS Free Tierの制限値にどれだけ近いかを正確に把握することができます。

また、AWS Budgetsでは、利用量が予算額を超えた（または超えると予測される）場合のアラートをカスタム設定することもできます。

AWS Cost Explorer

AWS Cost Explorerは、AWSのコストと利用状況を長期的に可視化、理解、管理できるツールです。

AWS Cost Explorerには、コストが発生している上位5つのAWSサービスのコストと利用状況のデフォルトレポートが含まれています。カスタムフィルタやグループを適用してデータを分析することができます。例えば、リソースの利用状況を時間単位で表示することができます。

AWS Support

AWSでは、問題のトラブルシューティングやコスト削減、AWSサービスの効率的な利用を支援する4つのサポートプランを提供しています。

企業のニーズに合わせて、以下のサポートプランから選択が可能。

Basic
Developer
Business
Enterprise

AWS Marketplace

AWS Marketplaceは、何千ものソフトウェアのリストを掲載したデジタルカタログです。AWS Marketplaceを利用して、AWS上で動作するソフトウェアを探したり、テストしたり、購入したりすることができます。

AWS Marketplaceに掲載されている各リストについて、価格オプション、利用可能なサポート、他のAWSユーザーからのレビューなどの詳細情報にアクセスすることができます。

また、業界やユースケース別にソフトウェアソリューションを検索することもできます。例えば、あなたの会社がヘルスケア業界にあるとします。AWS Marketplaceでは、患者の記録を保護するソリューションを導入したり、機械学習モデルを使用して患者の病歴を分析し、起こりうる健康リスクを予測したりするなど、ソフトウェアが対応するのに役立つユースケースを確認することができます。