AWS - user000422/0 GitHub Wiki
■リージョン … 世界の地域単位の領域 2つ以上のアベイラビリティゾーンで構成 日本だと「東京リージョン」、「大阪リージョン」がある
サーバレス … サーバ運用を意識しない
| 種類 | 管理権限 |
|---|---|
| AWSアカウント(ルートユーザー) | すべて |
| IAMユーザー | AWSアカウントが設定 |
| クラウド事業者が提供 | 備考 | |
|---|---|---|
| SaaS | 全て | 知識なしで運用できるが自由度はない |
| PaaS | ハードウェア、ミドルウェア、OS | ---- |
| IaaS | ハードウェア | 自由に環境を選べるが知識が必要 |
インスタンス基本構成(Udemyより) … ELB Route53 AutoScaling CloudFront
障害対策定番構成(PingTより) … ELB + Auto Scaling
Webサーバ
| EC2 | ECS | Lightsail | |
|---|---|---|---|
| 特徴 | 簡易webサーバ | ||
| 構築難易度 | 簡単 | ||
| 価格 | 普 | 安 | |
| Auto Scaling | ○ | × |
**ユーザ作成手順(ルートユーザのみは危険なため)**
IAM > ユーザー > ユーザーを追加
EC2(Amazon Elastic Compute Cloud)
アンマネージド型(ユーザが管理する必要がある) EC2作成時にキーペアを作成し、インスタンス接続に用いる
| インスタンスタイプ | 説明 | 料金 |
|---|---|---|
| オンデマンド | 最も柔軟 | 使用した分だけ |
| スポット | インスタンス中断リスク有 バッチ処理に最適 | 最安 静止状態割引 |
| リザーブド | 1年または3年の利用が必要 | 長期使用で割引 |
| リザーブド(スタンダード) | タイプの変更が不可能 | コンバーティブルより安い |
| リザーブド(コンバーティブル) | タイプの変更が可能 | スタンダードより高い |
Elastic IP … 固定IPアドレスを割り当てる(EC2のパブリックIPアドレスを固定できる)
EC2インスタンス起動手順
EC2 > インスタンス > インスタンスの起動 > 選択 > インスタンスタイプを選択
EC2インスタンス停止手順
EC2 > インスタンス > インスタンスの状態 > インスタンスの停止
Lambda
イベント駆動型コンピューティング コストは「リクエスト数」と「実行時間」 ソースを用意するだけで構築(運用、管理)を行ってくれる イベントをトリガーにしてアプリケーションを実行することもできる アップロードするzipファイルの作成はコツが必要(内部のファイルを指定して圧縮するイメージ)
CloudWatch
■設定雛形
CloudWatch Agent インストール > EC2にロール付与 > Agentのウィザード(対話形式)で設定 > ロググループ確認(反映されていたら完了)
サービス
**■AMI(Amazon Machine Image)** EC2インスタンスを起動する 1つのAMIから複数のEC2インスタンスを起動することができる クイックスタートAMI … AWSが予め用意しているAMI、合致するものがあればこれでもよい マイAMI … 個人で作成するAMI、起動しているEC2から作成できる
■AWS Fargate … コンテナ向けのサーバーレスコンピューティング
■Elastic Beanstalk ウェブアプリケーションをデプロイおよび、スケーリングする 頻繁なリソースの更新にも対応
■SNS(Simple Notification Service) … フルマネージド型メッセージングサービス
■AWS Connect … コンタクトセンターを構築(コールセンターとして利用できる)
■Device Farm … 各ブラウザやモバイル端末でテスト検証が行えるサービス
■Code Guru … コード品質の向上のためコードレビューを実施する機能
ストレージ
※別ページに移行済み。
ネットワーク
※別ページに移行済み。
データベース
| RDS | DynamoDB | Aurora | Neptune | |
|---|---|---|---|---|
| タイプ | リレーショナル | キーと値 | リレーショナル | グラフ |
| 対応エンジン | ほとんど | - | MySQL、PostgreSQL | |
| 管理 | マネージド | フルマネージド | - | フルマネージド |
| リードレプリカ | 最大5個 | - | 最大15個 | |
| 自動バックアップ | ○(S3) | ○ | ○ | |
| 処理能力 | 中 | 高() | 高(MySQLの5倍) | 高() |
・リードレプリカ … 冗長化、災害復旧対策を実現
・AWS DMS(Database Migration Service) … データベースをAWSに迅速かつ安全に移行する
・Elastic Cache … インメモリ型のキャッシュデータベース、超高速な処理に対応
■RDS(Relational Database Service) … AWSのリレーショナルデータベース EC2でデータベースを運用するよりRDSで運用するほうがものすごく楽、アプリの最適化しかしなくていい 厳密なトランザクションを必要とする場合はRDSが最適 デフォルトで自動スナップショット機能が有効化されている
■DynamoDB … NoSQL型 大規模なアクセスに最適 セッションデータの処理に最適 JSON形式のデータを扱うことができる
データ分析
| 用途 | |
|---|---|
| Redshift | データウェアハウス |
| Amazon Athena | S3内のデータをSQLクエリで分析 |
| EMR | ビックデータ分析 |
サービス(管理)
■IAM(AWS Identity and Access Management) … ユーザのAWSクラウドリソースへのアクセス管理サービス
| アクセス権限管理 | 対象 | |
|---|---|---|
| IAMユーザ | ○ | |
| IAMグループ | ○ | |
| IAMロール | ○ | AWSリソース |
| IAMポリシー | --- | IAMロール |
| 監視 | 目的 | その他 | |
|---|---|---|---|
| Cloud Watch | インスタンスの現在状態・情報 | アラームの設定も可能 | |
| Cloud Watch Logs | Cloud Watch ログを収集 | ||
| Cloud Watch Agent | EC2のカスタムメトリクス取得 | ||
| Cloud Trail | ユーザーのアクティビティ、API使用状況、アカウントのガバナンス、コンプライアンス | アクセスログ解析 | |
| AWS Config | リソースの設定、変更履歴 | 自動でSNS連携 | |
| AWS Systems Manager | インフラストラクチャ | ||
| GuardDuty | AWSアカウント、ワークロード | 脅威検出 | |
| AWS Security Hub | AWS内 | セキュリティ状態 | |
| AWS Migration Hub | アプリケーション移行の進捗状況 | ||
| X-Ray | アプリケーション | リクエスト監視 |
■Trusted Advisor … AWS環境を自動でチェックしアドバイスをレポートする EC2などの利用料金の見直しをチェック パフォーマンス低下の原因をチェック セキュリティリスクのチェック
■Auto Scaling … アプリケーションをモニタリングし容量を自動で調節 インスタンスの数は、Auto Scalingグループで設定した最小数と最大数の間で調整される
■AWS Organizations … AWSアカウントの権限を管理
■AWS CLI … スクリプトを使用して複数のAWSサービスを管理 コマンド実行時に内部でBoto3(PythonのAWS SDK)が利用される pip(Python)でインストール可能。
■AWS CodeCommit … Gitリポジトリ管理 ユーザIDとパスワードはIAMで管理(IAM > ユーザー > セキュリティ認証情報) パスワードは発行後しか確認できないため再確認したい場合はパスワードリセットなど行うこと
請求
| Cost Explorer | AWS料金計算ツール | Pricing Calculator | |
|---|---|---|---|
| 特徴 | 月額コスト予測分析 | 毎月の請求額見積もり | ユースケースによるコスト分析 |
サポート
サポートプラン
| ベーシック | デベロッパー | ビジネス | エンタープライズ | |
|---|---|---|---|---|
| サポート | サポート画面 | 営業時間内(メール) | (電話/チャット/メール) | 年中無休 |
| Trusted Advisor | ベーシック | 7項目 | 全 | 全 |
AWSインフラストラクチャイベント管理 … イベントなどの重要な期間にリアルタイムでエキスパートが支援
AWS re:Post … コミュニティ型の質問応答サービス、エキスパートが回答する
セキュリティ
クラウドセキュリティ7つの原則 データを手動で操作させない … 人間が操作するとヒューマンエラーなど起こる可能性がある トレーサビリティの実現 … 監視、通知を行う
**■セキュリティ(AWS担当)** 物理的なセキュリティ(環境レイヤー、物理的な境界防御レイヤー、インフラストラクチャレイヤー、データレイヤー) ハイパバイザーのセキュリティー ファイアウォールの設定
**■セキュリティ(ユーザ担当)** IDとパスワードの管理 ルート権限は使わず、必要な作業に応じて専用のユーザを作成すること クラウド上に配置するあらゆるものの保護 APIキー … アクセスキーとシークレットキーのペアで管理 転送中データの保護 … 適切なプロトコル、暗号化アルゴリズムはユーザが責任を持って選定すること
■MFA() … 多要素認証
**■AWS Shield(DDos攻撃に対する保護サービス)** オンプレでは対策機器を別途購入していた Standard(無償) Advanced(有償)… WAFを無制限に利用可能
■Amazon Inspector … 脆弱性診断サービス セキュリティ上の脆弱性評価を自動化できる
マルチAZ(複数のAZ)で高可用性が実現できる
応用
■ec2-user以外にEC2にssh接続できるユーザを作成 参考 : https://graff-it-i.com/2021/11/21/del-ec2-user