[AWS Certified SAP]Solution Architect Professional Cheet Sheets

AWS 認定ソリューションアーキテクト プロフェッショナルの勉強時に自分用のチートシートとして作成したものです。パブリック用に書いてないので読みづらい記事ですが、試験の参考になればどうぞ。各分野で出題されるサービスをまとめまてあります。

組織の複雑さに対応する設計 ( 比重 12.5% )

AWS Organizations

AWS Organizations は、複数の AWS アカウント を作成して一元管理する組織に統合できるようにするアカウント管理サービスです 。 AWS Organizations には、ビジネスの予算、セキュリティ、コンプライアンスのニーズによりよく応えることができるアカウント管理と統合請求機能が含まれています。組織の管理者として、組織内にアカウントを作成し、既存のアカウントを組織に参加するよう招待できます。

複数のAWSアカウントのポリシーベースの管理

AWS Organizations は、複数の AWS アカウントのポリシーベースの管理を提供します。組織を使用すると、アカウントのグループを作成し、アカウントの作成を自動化し、それらのグループのポリシーを適用および管理できます。組織を使用すると、カスタムスクリプトや手動プロセスを必要とせずに、複数のアカウントにわたってポリシーを集中管理できます。

Service Control Policy ( SCP )

デフォルトでは、指定された SCP FullAWSAccess がすべてのルート、OU、およびアカウントに添付されます。このデフォルト SCP は、すべてのアクションとすべてのサービスを許可します。したがって、新しい組織では、 SCP の作成または操作を開始するまで、既存のすべての IAM アクセス許可は引き続き動作します。アカウントを含むルートまたは OU に新しい、または変更された SCP を適用するとすぐに、そのアカウントでユーザーが持っているアクセス許可は SCP によってフィルター処理されます。以前は機能していた権限が、指定されたアカウントまでの階層のすべてのレベルで SCP によって許可されていない場合、拒否される可能性があります。

SCP によって明示的に許可されていないアクションは暗黙的に拒否され、影響を受けるアカウントのユーザーまたはロールに委任することはできません。たとえば、データベースサービスアクセスのみを許可するSCPを割り当てると、そのアカウント内のユーザー、グループ、またはロールは、他のサービスの操作へのアクセスを拒否されます。

SCP で許可されたアクションは、1つ以上の IAM アクセス許可ポリシーによってユーザーまたはロールに許可されている場合に使用できます。

SCP はアカウントでユーザーとロールが使用できるサービスとアクションを指定するだけです。 SCP で作成するポリシーは通常の IAM ポリシーと比べ、出来る事が少なく、細かい制限は IAM で行います。

Organizations への追加

組織を作成し、マスターアカウントに関連付けられたメールアドレスを所有していることを確認したら、既存の AWS アカウントを組織に参加するよう招待できます。アカウントを招待すると、 AWS Organizations は招待をアカウント所有者に送信し、アカウント所有者は招待を受け入れるか拒否するかを決定します。 AWS Organizations コンソールを使用して、他のアカウントに送信する招待を開始および管理できます。組織のマスターアカウントからのみ、別のアカウントに招待を送信できます。

OU

組織単位（OU）を使用してアカウントをグループ化し、単一の単位として管理できます。これにより、アカウントの管理が大幅に簡素化されます。たとえば、ポリシーベースのコントロールを OU に添付すると、 OU 内のすべてのアカウントが自動的にポリシーを継承します。1つの組織内に複数の OU を作成でき、他の OU 内に OU を作成できます。各 OU には複数のアカウントを含めることができ、アカウントをある OU から別の OU に移動できます。ただし、OU 名は親 OU またはルート内で一意である必要があります。

AWS Organizations 内アカウントでの RI

リザーブドインスタンスを他のアカウントと共有したくない場合、組織のマスターアカウントは、その組織のメンバーアカウントのリザーブドインスタンス（RI）共有をオフにすることができます。

AWS Organizations のモニタリング

CloudWatch イベントと CloudTrail 、AWS Config を使用します。

AWS Organizations は、管理者が指定したアクションが組織で発生したときに、 CloudWatch イベントと連携してイベントを発生させることができます。アクションを検索し、生成されたイベントを管理者が定義したターゲットに送信する CloudWatch イベントルールを設定できます。ターゲットは、サブスクライバーに電子メールまたはテキストメッセージを送信する Amazon SNSトピックにすることができます。これを Amazon CloudTrail と組み合わせて、一致する API 呼び出しが受信されるたびにトリガーするイベントを設定できます。

AWS Config のマルチアカウント、マルチリージョンのデータ集約により、複数のアカウントおよびリージョンからの AWS Config データを単一のアカウントに集約できます。マルチアカウント、マルチリージョンのデータ集約は、中央のIT管理者が企業内の複数の AWS アカウントのコンプライアンスを監視するのに役立ちます。アグリゲーターは、複数のソースアカウントとリージョンから AWS Config データを収集する AWS Config の新しいリソースタイプです

IAM

AWS 管理ポリシー

開発者パワーユーザーの場合、アプリケーション開発タスクを実行するユーザーがいる場合は、 AW​​S 管理ポリシー名 PowerUserAccess を使用できます。このポリシーにより、 AWS 対応のアプリケーション開発をサポートするリソースとサービスを作成および構成できます。

このポリシーの最初のステートメントは、 NotAction を使用し、 AWS Identity and Access Management と AWS Organizations を除くすべてのリソースのすべてのアクションを許可しています。

2番目のステートメントは、サービスにリンクされたロールを作成するための IAM アクセス許可を付与します。これは、 Amazon S3 バケットなど、別のサービスのリソースにアクセスする必要がある一部のサービスで必要です。また、組織に、マスターアカウントの電子メールや組織の制限など、ユーザーの組織に関する情報を表示する権限を付与します。

クロスアカウント

あるアカウントのリソースを別のアカウントのユーザーと共有します。この方法でクロスアカウントアクセスを設定することにより、各アカウントに個別の IAM ユーザーを作成する必要がなくなります。さらに、ユーザーは、異なる AWS アカウントにあるリソースにアクセスするために、あるアカウントからサインアウトして別のアカウントにサインインする必要がありません。

フェデレーション

ユーザーがオンプレミスネットワークで一度サインインするだけで、 AWS に同時にアクセスできるように、ユーザーのシングルサインオン認証をセットアップする事が可能です。SAML 2.0 IDプロバイダーを使用してAWSリソースへのユーザーへのフェデレーションアクセスを提供し、オンプレミスシングルサインオン（SSO）エンドポイントを使用してユーザーを認証し、フェデレーションアクセスを提供する前にアクセストークンを付与します。

サードパーティへのリソースアクセス許可

サードパーティが組織のAWSリソースへのアクセスを必要とする場合、ロールを使用してサードパーティへのアクセスを委任できます。たとえば、サードパーティがAWSリソースを管理するためのサービスを提供する場合があります。( DataDog など) IAMロールを使用すると、AWSセキュリティ認証情報 ( Credencials ) を共有せずに、これらのサードパーティにAWSリソースへのアクセスを許可できます。

EC2 からの IAM ロールの参照

アプリケーションインスタンスのインスタンスプロファイルプロパティでその IAM ロールを参照するようになっています。 IAM ロールはインスタンスプロファイルを参照してアプリケーションインスタンスに関連付けられているわけではありません。

AWS Resource Access Manager

AWS Resource Access Manager（AW​​S RAM）を使用すると、所有する特定のAWSリソースを他のAWSアカウントと共有できます。AWS Organizationsで信頼できるアクセスを有効にするには、AWS RAM CLIから、enable-sharing-with-aws-organizationsコマンドを使用します。

Tag

AWSは、プロアクティブなタグガバナンスプラクティスの実装を支援するさまざまなツールを提供しています。リソースの作成時にタグが一貫して適用されるようにします。

AWS CloudFormation で Tagging

AWS CloudFormationテンプレートを使用してAWSリソースを作成する場合、CloudFormation Resource Tagsプロパティを使用して、作成時に特定のリソースタイプにタグを適用できます。

AWS Service Catalog で Tagging

AWS Service Catalogを使用すると、組織はAWSでの使用が承認されているITサービスのカタログを作成および管理できます。これらのITサービスには、仮想マシンイメージ、サーバー、ソフトウェア、データベースから完全な多層アプリケーション環境まで、すべてを含めることができます。AWS Service Catalogは、ユーザーのセルフサービス機能を有効にし、ユーザーが必要なサービスをプロビジョニングできるようにすると同時に、必要なタグやタグ値の適用など、一貫したガバナンスを維持できるようにします。

IAM で Tagging

IAM を使用すると、 AWS サービスおよびリソースへのアクセスを安全に管理できます。 IAM を使用して、 AWS ユーザーとグループを作成および管理し、アクセス許可を使用して AWS リソースへのアクセスを許可または拒否できます。 IAM ポリシーを作成するときに、タグを作成および削除するための特定のアクセス許可を含むリソースレベルのアクセス許可を指定できます。さらに、 aws：RequestTagやaws：TagKeys などの条件キーを含めることができます。これにより、特定のタグまたはタグ値が存在しない場合にリソースが作成されなくなります。

Cloud Trail

AWS CloudTrail は、AWS アカウントのガバナンス、コンプライアンス、および運用とリスクの監査を行えるように支援する AWS のサービスです。

ほとんどのサービスの場合、イベントはアクションが発生したリージョンで記録されますが、IAM, AWS STS, CloudFront, Route53 などのグローバルサービスの場合、発生した場所はバージニア北部リージョンとしてログに記録されてしまいます。

グローバルサービスのイベントロギングの設定を有効にするには、オプション –include-global-service-events が True にする必要があります。

VPC

リージョン間VPCピアリング

リージョン間VPCピアリングは、リージョン間でリソースを共有したり、地理的な冗長性のためにデータを複製したりするためのシンプルで費用対効果の高い方法を提供します。Inter-Region VPC Peeringは、現在のVPCを支える水平方向にスケーリングされた冗長性と可用性の高い同じテクノロジーに基づいて構築されており、単一障害点や帯域幅のボトルネックなしに地域間トラフィックを暗号化します。リージョン間VPCピアリングを使用するトラフィックは常にグローバルなAWSバックボーンに留まり、パブリックインターネットを通過しないため、一般的なエクスプロイトやDDoS攻撃などの脅威ベクトルが減少します。

AWS Direct Connect

AWS Direct Connect は、施設から AWS への専用ネットワーク接続を簡単に確立して、プライバシーのメリットを高め、データ転送帯域幅を追加し、データ転送パフォーマンスを予測可能にするクラウドサービスソリューションです。 AWS Direct Connect を使用すると、 AWS とデータセンター、オフィス、またはコロケーション環境の間にプライベート接続を確立できます。これにより、多くの場合、ネットワークベースの接続よりもネットワークコストを削減し、帯域幅スループットを向上させ、より一貫したネットワークエクスペリエンスを提供できます。

Direct Connect Gateway

Direct Connect Gateway は仮想インターフェース ( VIF ) と 仮想プライベートゲートウェイ ( VGW ) の間に位置するコンポーネントで、DX Gateway をいずれかの AWS リージョンで作成すると、全リージョンに複製され、全リージョンで相互接続が可能となります。また、DX Gateway は複数の VIF および VGW と接続が可能です。

Direct Connect Gateway を使用すると、 VPC ごとに複数の BGP セッションを確立する必要がなくなります。これにより、管理作業負荷とネットワークデバイスの負荷が軽減されます。

AWS VPN CloudHub

複数の VPN 接続がある場合、 AWS VPN CloudHub を使用してサイト間に安全な通信を提供できます。これにより、 VPC とだけでなく、リモートサイトが相互に通信できるようになります。 VPN CloudHub は、 VPC の有無に関係なく使用できるシンプルなハブアンドスポークモデルで動作します。この設計は、複数のブランチオフィスと既存のインターネット接続を使用して、これらのリモートオフィス間のプライマリまたはバックアップ接続に便利で低コストのハブアンドスポークモデルを実装したいお客様に適しています。

S3

バージョン管理

バージョニングは、オブジェクトの複数のバリアントを同じバケットに保持する手段です。バージョン管理を使用して、 Amazon S3 バケットに保存されているすべてのオブジェクトのすべてのバージョンを保存、取得、復元できます。バージョニングを使用すると、意図しないユーザーアクションとアプリケーションエラーの両方から簡単に回復できます。

S3 バージョン管理を有効にすると、既存のファイルはすべて、バージョン ID が NULL になります。追加される新しいファイルには、英数字のバージョン ID と、既存のファイルは新しい更新が含まれます。

CloudWatchダッシュボード

単一のCloudWatchダッシュボードを使用して、複数のリージョンのAWSリソースを監視できます。

Amazon Redshiftワークロード管理（WLM）

Amazon Redshiftワークロード管理（WLM）を使用すると、ユーザーはワークロード内の優先順位を柔軟に管理できるため、短時間で実行されるクエリが、実行時間の長いクエリの後ろのキューに詰まることがなくなります。

AWS Directory Service

AWS Directory Serviceは、AWSクラウドでホストされるスタンドアロンのAWS管理Microsoft ADディレクトリをセットアップして実行するのに役立ちます。AWS Directory Serviceを使用して、AWSリソースを既存のオンプレミスMicrosoft Active Directoryに接続することもできます。オンプレミスのActive Directoryと連携するようにAWS Directory Serviceを設定するには、最初に信頼関係をセットアップして、オンプレミスからクラウドまで認証を拡張する必要があります。

新しいソリューションの設計 ( 比重 31% )

• 演習テスト1 済み
• 演習テスト2 途中 問47から

CloudFront

地域制限機能

特定の地理的位置にいるユーザーがCloudFrontウェブディストリビューションを通じて配信しているコンテンツにアクセスできないようにするために、ジオブロッキングを使用できます。CloudFrontがユーザーにファイルへの低遅延アクセスを提供し、FTAFリストの特定の国をブロックできます。地域制限を使用するには、2つのオプションがあります。

• CloudFront地域制限機能
  このオプションを使用して、ディストリビューションに関連付けられているすべてのファイルへのアクセスを制限し、国レベルでアクセスを制限します。

• サードパーティのジオロケーションサービス
  このオプションを使用して、ディストリビューションに関連付けられているファイルのサブセットへのアクセスを制限したり、国レベルよりも細かい粒度でアクセスを制限したりします。

似たような機能に、Route 53 の位置情報ルーティングポリシーと地理的近接性ルーティングポリシーがあります。 位置情報ルーティングポリシーは、ユーザーの場所に基づいてトラフィックをルーティングする場合に使用されます。地理的近接性ルーティングポリシーは、リソースの場所に基づいてトラフィックをルーティングし、必要に応じて、ある場所のリソースから別の場所のリソースにトラフィックをシフトするシナリオに使用されます。

Amazon ECS

機密データの保護

データベースなどの資格情報がコンテナイメージに渡されたときに安全であり、クラスター自体で表示できないことを確認する必要があります。その場合、AWS Secrets Manager または AWS Systems Manager Parameter Store のいずれかに機密データを保存し、コンテナ定義でそれらを参照することにより、機密データをコンテナで使用することができます。

コンテナ定義内で、コンテナ secrets に設定する環境変数の名前と、コンテナに提示する機密データを含む Secrets Manager または Systems Manager Parameter Store の完全なARNを指定します。参照するパラメーターは、それを使用するコンテナとは異なる地域からのものでもかまいませんが、同じアカウント内からのものでなければなりません。

AWS Secrets Managerは、アプリケーション、サービス、および IT リソースへのアクセスを保護するのに役立つ秘密管理サービスです。このサービスを使用すると、データベースの資格情報、APIキー、およびその他の秘密をライフサイクル全体で簡単にローテーション、管理、および取得できます。 Secrets Manager を使用すると、AWSクラウド、サードパーティサービス、およびオンプレミスのリソースへのアクセスに使用されるシークレットを保護および管理できます。

認証情報のライフサイクル要件がない場合は、追加料金なしで利用できる Parameter Sotre を使用しましょう。

AWS Storage Gateway

ファイルベース、ボリュームベース、およびテープベースのストレージソリューションを提供します。テープゲートウェイを使用すると、バックアップデータを GLACIER または DEEP_ARCHIVE に費用対効果の高い方法で永続的にアーカイブできます。テープゲートウェイは、ビジネスニーズに合わせてシームレスに拡張する仮想テープインフラストラクチャを提供し、物理テープインフラストラクチャのプロビジョニング、スケーリング、および保守の運用上の負担を取り除きます。

AWS Storage Gateway は、オンプレミスで VM アプライアンス、ハードウェアアプライアンスとして、または AWS で EC2 インスタンスとして実行できます。 AWS で iSCSI ストレージボリュームをプロビジョニングするには、 EC2 インスタンスにゲートウェイをデプロイします。 EC2 インスタンスでホストされているゲートウェイを使用して、災害復旧、データミラーリング、および EC2 でホストされているアプリケーションのストレージを提供できます。

ファイルゲートウェイ

ファイルゲートウェイ は、Amazon Simple Storage Service (Amazon S3) へのファイルインターフェイスをサポートし、サービスと仮想ソフトウェアアプライアンスを組み合わせます。この組み合わせを使用すると、ネットワークファイルシステム (NFS) やサーバーメッセージブロック (SMB) などの業界標準のファイルプロトコルを使用して、Amazon S3 でオブジェクトを保存および取得できます。ソフトウェアアプライアンス、またはゲートウェイキャッシュは、VMware ESXi または Microsoft Hyper-V hypervisor で実行する仮想マシン (VM) として、オンプレミス環境にデプロイされます。ゲートウェイは、S3 内のオブジェクトへのアクセスをファイルまたはファイル共有のマウントポイントとして提供します。

保管型ボリューム Gateway

データセット全体への低レイテンシーアクセスが必要な設定は、最初にすべてのデータをローカルに保存するようにオンプレミスのゲートウェイを設定します。次に、このデータのポイントインタイムスナップショットを非同期的に Amazon S3 にバックアップします。この設定は、ローカルデータセンターや Amazon EC2に復元できる、耐久性が高く低コストのオフサイトバックアップを提供します。たとえば、障害復旧のための代替容量が必要な場合は、Amazon EC2 にバックアップを復元できます。サポートしている合計ボリュームストレージサイズは最大 512 TiB (0.5 PiB) です。

キャッシュボリューム Gateway

データを Amazon Simple Storage Service (Amazon S3) に保存し、頻繁にアクセスするデータサブセットのコピーをローカルに保持します。プライマリストレージのコストを大幅に削減し、ストレージをオンプレミスで拡張する必要を最小限に抑えます。また、頻繁にアクセスするデータへのアクセスを低レイテンシーに保つことができます。サポートしている合計ストレージボリュームサイズは最大 1,024 TiB (1 PiB) です。

AWSサーバーレスアプリケーションモデル（AWS SAM）

AWS でサーバーレスアプリケーションを構築するために使用できるオープンソースフレームワークです。サーバーレスアプリケーションの定義に使用する AWS SAM テンプレート仕様と、サーバーレスアプリケーションの構築、テスト、デプロイに使用する AWS SAM コマンドラインインターフェイス（ AWS SAM CLI ）で構成されています。

AWS SAM は AWS CloudFormation の拡張機能であるため、 AWS CloudFormation の信頼できるデプロイ機能を利用できます。 AWS SAM テンプレートで AWS CloudFormation を使用してリソースを定義できます。また、 AWS CloudFormation で利用可能なリソース、組み込み関数、およびその他のテンプレート機能の完全なスイートを使用できます。

Kinesis Data Streams

リアルタイムのデータ処理といえば Amazon Kinesis です。迅速かつ継続的なデータの取り込みと集約を行うことができます。使用されるデータの種類には、ITインフラストラクチャログデータ、アプリケーションログ、ソーシャルメディア、市場データフィード、およびWebクリックストリームデータが含まれます。データの取り込みと処理の応答時間はリアルタイムで発生するため、通常、処理は軽量です。

典型的なAmazon Kinesis Data Streamsアプリケーションは、Kinesisデータストリームからデータレコードとしてデータを読み取ります。これらのアプリケーションはKinesis Client Libraryを使用でき、Amazon EC2インスタンスで実行できます。処理されたレコードはダッシュボードに送信され、アラートの生成、価格設定と広告戦略の動的な変更、または他のさまざまなAWSサービスへのデータ送信に使用できます。

AWS Shield Advanced

EC2 、 ELB 、Amazon CloudFront 、および Amazon Route 53 リソースで実行されているアプリケーションをターゲットとする攻撃に対するより高いレベルの保護のために、 AWS Shield Advanced にサブスクライブできます。 Standard に付属するネットワークおよびトランスポートレイヤーの保護に加えて、 AWS Shield Advanced は、大規模で高度なDDoS攻撃、攻撃に対するほぼリアルタイムの可視性、および AWS WAF との統合に対する追加の検出と緩和を提供します。また、 AWS Shield Advanced は、 AWS DDoS レスポンスチーム（DRT）への24時間365日のアクセスと、 EC2 、 ELB 、 Amazon CloudFront 、および Amazon Route 53 料金の DDoS 関連スパイクに対する保護を提供します。

AWS Config

AWS リソースの設定を評価、監査、評価できるサービスです。 Config は AWS リソース設定を継続的に監視および記録し、記録された設定の評価を目的の設定に対して自動化できるようにします。 Config を使用すると、 AWSリ ソース間の構成および関係の変更を確認し、詳細なリソース構成履歴を確認し、内部ガイドラインで指定された構成に対する全体的なコンプライアンスを判断できます。これにより、 コンプライアンス監査、セキュリティ分析、変更管理、および運用トラブルシューティングを簡素化できます。

Managed Rules

AWS Config Managed Rules は、 AWS リソースが一般的なベストプラクティスに準拠しているかどうかを評価するために AWS Config が使用する事前定義されたカスタマイズ可能なルールを提供します。たとえば、 Managed Rules を使用して、 EBS ボリュームが暗号化されているかどうか、または特定のタグがリソースに適用されているかどうかの評価をすばやく実行できます。

Disaster Recovery

RTO

目標復旧時間（RTO）とは、業務レベル契約（OLA）で定義されているように、中断後にビジネスプロセスをそのサービスレベルに復元するのにかかる時間です。たとえば、災害が午後12:00（正午）に発生し、RTOが8時間の場合、DRプロセスはビジネスプロセスを午後8時までに許容可能なサービスレベルに復元する必要があります。

RPO

目標復旧時点（RPO）は、時間内に測定された許容可能なデータ損失量です。たとえば、災害が午後12:00（正午）に発生し、RPOが1時間である場合、システムは午前11:00より前にシステムにあったすべてのデータを回復する必要があります。データ損失は、午前11:00から午後12:00（正午）までの1時間のみです。

シナリオ

システムの重要度と DR にかかるコストを考慮し、可用性のレベルを決めて DR のシナリオを決定します。下記の項目は可用性の低い（コストの低い）順で記してます。

バックアップと復元（データのバックアップと復元）
DR サイトにバックアップデータを定期的に送信し、DR 時にそれをリストアする手法です。コスト的に安いですが復旧には時間がかかります。

パイロットライト（最小臨界機能のみ）
このシナリオはバックアップおよび復元シナリオに似ていますが、システム内で中核を成す非常に重要な要素を設定し、AWS で実行しておく必要があります（パイロットライト）。そして復旧時に、その重要な要素に基づいて、大規模な本番環境を迅速にプロビジョニングします。

ウォームスタンバイ（完全機能縮小版）
パイロットライトの要素と準備がさらに拡張されます。この場合は一部のサービスが常に実行されているので、復旧時間がより短縮されます。ビジネスクリティカルなシステムを特定して AWS に完全に復元し、常時稼働させておきます。パイロットライトよりも速い回復時間を提供しますが、このシステムをセットアップするコストはパイロットライトよりはるかに高くなります。

マルチサイト（アクティブ – アクティブ）
マルチサイトはアクティブ-アクティブな構成の DR アプローチです。トラフィックは、 DNS 重み付けルーティングを使用して、必要に応じて両方のサイトに均等に分散します。使用するデータ複製方法は、選択した復旧ポイントによって決まります。最短の復旧時間を提供しますが、実行中のすべてのAWSリソースを支払う必要があるため、最も高価なオプションです。

AWS Well Architected Framework

AWS Well Architected Framework の5つの柱は、運用の卓越性、セキュリティ、信頼性、パフォーマンス効率、コスト最適化です。

信頼性の柱

システムがインフラストラクチャまたはサービスの中断から回復し、需要を満たすためにコンピューティングリソースを動的に取得し、構成の誤りや一時的なネットワークの問題などの中断を緩和する機能が含まれます。これは、リソースを水平方向にスケーリングし、Auto Scalingと複数のアベイラビリティーゾーンの利用を組み合わせることで実現できます。

パフォーマンス効率の柱

サーバーレスアーキテクチャの使用

AWS Blue Green Deployments

Blue/Green デプロイメントは、ほぼゼロのダウンタイムリリースおよびロールバック機能を提供します。Blue/Green デプロイメントの背後にある基本的な考え方は、アプリケーションの異なるバージョンを実行している2つの同一環境間でトラフィックをシフトすることです。Blue 環境は、実稼働トラフィックを処理する現在のアプリケーションバージョンを表します。並行して、環境の異なる環境でアプリケーションの異なるバージョンを実行します。Green の環境の準備とテストが完了すると、運用トラフィックは Blue から Green にリダイレクトされます。問題が特定された場合、トラフィックを Blue 環境に戻すことでロールバックできます。

DynamoDB

Global Tables

Global Tables は、 DynamoDB のグローバルフットプリントに基づいて構築され、大規模なグローバルアプリケーションに高速、ローカル、読み取りおよび書き込みのパフォーマンスを提供する、完全に管理されたマルチリージョンおよびマルチマスターデータベースを提供します。 Global Tables は、選択した AWS リージョン全体で Amazon DynamoDB テーブルを自動的に複製します。

Global Tables は、リージョン間でデータを複製し、更新の競合を解決するという困難な作業を排除し、アプリケーションのビジネスロジックに集中できるようにします。さらに、Global Tables を使用すると、万が一リージョンが分離または劣化した場合でも、アプリケーションの高可用性を維持できます。

Route 53

プライベートホストゾーン

プライベートホストゾーンは、Amazon VPC サービスで作成する 1 つ以上の VPC 内のドメインとそのサブドメインに対する DNS クエリに Amazon Route 53 が応答する方法に関する情報を保持するコンテナです。

OpesWorks

AWS OpsWorks は、Puppet または Chef を使用して、クラウドエンタープライズでアプリケーションを設定および運用するための設定管理サービスです。

AWS OpsWorks Stacksを使用すると、AWSおよびオンプレミスでアプリケーションとサーバーを管理できます。OpsWorksスタックを使用すると、負荷分散、データベース、アプリケーションサーバーな ど、さまざまなレイヤーを含むスタックとしてアプリケーションをモデル化できます。各レイヤーでAmazon EC2インスタンスをデプロイおよび構成したり、Amazon RDSデータベースなどの他のリソース>を接続したりできます。OpsWorks Stacksでは、事前設定されたスケジュールに基づいて、またはトラフィックレベルの変化に応じてサーバーの自動スケーリングを設定できます。また、環境のスケーリ ングに合わせてライフサイクルフックを使用して変更を調整します。

スタックとレイヤー

OpsWorks では、スタックとレイヤーをプロビジョニングします。スタックは最上位の AWS OpsWorks Stacks エンティティです。通常、 PHP アプリケーションの提供などの共通の目的があるため、>集合的に管理したいインスタンスのセットを表します。スタックは、コンテナとしての機能に加えて、アプリケーションやクックブックの管理など、インスタンスのグループ全体に適用されるタスクを>処理します。

各スタックには1つ以上のレイヤーが含まれ、各レイヤーは、ロードバランサーやアプリケーションサーバーのセットなどのスタックコンポーネントを表します。AWS OpsWorks Stacksレイヤーを使用 するときは、次のことに注意してください。

• スタック内の各レイヤーには少なくとも1つのインスタンスが必要であり、オプションで複数のインスタンスを持つことができます。
• スタック内の各インスタンスは、登録済みインス>タンスを除き、少なくとも1つのレイヤーのメンバーでなければなりません 。SSHキーやホスト名などの一部の基本設定を除き、インスタンスを直接構成することはできません。適切なレイヤーを作成>および構成し、インスタンスをレイヤーに追加する必要があります。

自動ヒーリング

すべてのインスタンスには、サービスと定期的に通信する AWS OpsWorks スタックエージェントがあります。AWS OpsWorks スタックでは、インスタンスの状態のモニタリングにこの通信が使用されます。エージェントとサービスとの通信が約 5 分以上途絶えると、AWS OpsWorks スタックではインスタンスが失敗したと見なされます。

自動ヒーリングはレイヤーレベルで設定されます。レイヤーで自動ヒーリングが有効になっている (デフォルトの設定) 場合、AWS OpsWorks スタックはそのレイヤーの失敗したインスタンスを置き換えます。

AWS CloudHSM

AWS CloudHSMは、AWSクラウドで独自の暗号化キーを簡単に生成して使用できるようにするクラウドベースのハードウェアセキュリティモジュール（HSM）です。CloudHSMを使用すると、独自の暗号化キーを管理し、ハードウェアプロビジョニング、ソフトウェアパッチ、高可用性、バックアップなどの時間のかかる管理タスクを自動化できます。

AWS CloudFormation

Deletionpolicy

DeletionPolicy オプションには3つのタイプがあります。

• Delete
• Retain
• Snapshot

Delete の場合、 CloudFormation は、スタックの削除中に該当する場合、リソースとそのすべてのコンテンツを削除します。

Retain の場合、 CloudFormation は、スタックが削除されるときにリソースまたはそのコンテンツを削除せずにリソースを保持します。

Snapshot の場合、CloudFormation はリソースを削除する前にリソースのスナップショットを作成します。

Amazon EFS

Amazon EFSは、Amazon EC2で使用するファイルストレージサービスです。Amazon EFSは、ファイルシステムインターフェイス、ファイルシステムアクセスセマンティクス（強力な一貫性、ファイルロックなど）、および最大数千のAmazon EC2インスタンスに同時にアクセス可能なストレージを提供します。EFSはS3と同じレベルの高可用性と高スケーラビリティを提供しますが、このサービスはPOSIX互換のファイルシステムが必要なシナリオや、急速に変化するデータを保存する場合により適しています。

AWS Systems Manager

State Manager

AWS Systems Manager State Managerは、安全でスケーラブルな構成管理サービスであり、Amazon EC2とハイブリッドインフラストラクチャを定義した状態に保つプロセスを自動化します。

次のリストは、State Managerで実行できるタスクのタイプを説明しています。

• 起動時に特定のソフトウェアを使用したブートストラップインスタンス
• SSMエージェントを含む、定義されたスケジュールでエージェントをダウンロードおよび更新します
• ネットワーク設定を構成する
• インスタンスをWindowsドメインに参加させる（Windowsインスタンスのみ）
• ライフサイクル全体にわたるソフトウェア更新プログラムを使用したインスタンスのパッチ
• LinuxおよびWindows管理対象インスタンスでライフサイクル全体でスクリプトを実行します

Patch Manager

AWS Systems Manager Patch Manager は、セキュリティ関連の更新と他のタイプの更新の両方で管理対象インスタンスにパッチを適用するプロセスを自動化します。 Patch Manager を使用して、オペレーティングシステムとアプリケーションの両方にパッチを適用できます。

オペレーティングシステムの種類ごとに、 Amazon EC2 インスタンスのフリートまたはオンプレミスサーバーと仮想マシン（ VM ）にパッチを適用できます。これには、 Windows Server 、 Ubuntu Server 、 Red Hat Enterprise Linux（RHEL） 、 SUSE Linux Enterprise Server（SLES） 、 CentOS 、 Amazon Linux 、および Amazon Linux 2 のサポートされているバージョンが含まれます。インスタンスをスキャンして、欠落しているパッチのレポートのみを表示できます。または、不足しているすべてのパッチをスキャンして自動的にインストールできます。

Patch Managerは、パッチベースラインを使用します。これには、リリース後数日以内にパッチを自動承認するためのルールと、承認済みパッチと拒否済みパッチのリストが含まれます。Systems Managerのメンテナンスウィンドウタスクとして実行するようにパッチをスケジュールすることにより、パッチを定期的にインストールできます。Amazon EC2タグを使用して、パッチを個別にインストールしたり、インスタンスの大規模なグループにインストールしたりすることもできます。タグを作成または更新するときに、パッチベースライン自体にタグを追加できます。

パッチグループを使用して、インスタンスを特定のパッチベースラインに関連付けることができます。パッチグループは、関連するパッチベースラインルールに基づいて、適切なインスタンスのセットに適切なパッチを確実に展開するのに役立ちます。パッチグループは、適切にテストされる前にパッチを展開することを回避するのにも役立ちます。たとえば、さまざまな環境（開発、テスト、本番など）のパッチグループを作成し、各パッチグループを適切なパッチベースラインに登録できます。

Direct Connect

AWS Direct Connect 接続のバックアップ

めったに使用しないDirect Connect接続を確立するには、多大な費用がかかります。より費用対効果の高いソリューションを実現するために、AWS Direct Connect接続でフェイルオーバー用のバックアップVPN接続を設定できます。

短期的または低コストのソリューションが必要な場合は、ハードウェアVPNを直接接続接続のフェールオーバーオプションとして構成することを検討してください。VPN接続は、ほとんどのダイレクトコネクト接続で利用できる帯域幅と同じレベルを提供するようには設計されていません。VPNをDirect Connect接続のバックアップとして構成する場合は、ユースケースまたはアプリケーションがより低い帯域幅を許容できることを確認してください。

Redis

Faul Tolerance

ElastiCache Redis クラスターは、キャッシュされたデータの災害復旧またはフォールトトレランスを実装するために、さまざまなレベルのデータの耐久性、パフォーマンス、およびコストを提供します。次のオプションを選択して、 ElastiCache クラスターのデータの耐久性を向上させることができます。

• 毎日の自動バックアップ
• Redis 追加専用ファイル（ AOF ）を使用した手動バックアップ
• 自動フェイルオーバーを備えたマルチ AZ のセットアップ

デフォルトでは、 ElastiCache Redis ノードのデータはメモリにのみ存在し、永続的ではありません。ノードが再起動されるか、基礎となる物理サーバでハードウェア障害が発生すると、キャッシュ内のデータが失われます。

データの耐久性が必要な場合は、 Redis の追加専用ファイル機能（ AOF ）を有効にできます。この機能を有効にすると、ノードはキャッシュデータを変更するすべてのコマンドを追加専用ファイルに書き込みます。ノードが再起動され、キャッシュエンジンが起動すると、 AOF が「再生」されます。その結果、すべてのデータが無傷のウォーム Redis キャッシュが作成されます。

AOF はデフォルトで無効になっています。 Redis を実行しているクラスターで AOF を有効にするには、 appendonly パラメーターを yes に設定してパラメーターグループを作成し、 そのパラメーターグループをクラスターに割り当てる必要があります。 appendfsync パラメーターを変更して、 Redis が AOF ファイルに書き込む頻度を制御することもできます。

Lambda

インターネットへのアクセス

AWS Lambda は、指定された VPC 情報を使用して、 Lambda 関数が VPC リソースにアクセスできるようにする ENI をセットアップします。各 ENI には、指定したサブネット内の IP アドレス範囲からプライベート IP アドレスが割り当てられますが、パブリック IP アドレスは割り当てられません。したがって、 Lambda 関数でインターネットアクセスが必要な場合（たとえば、 VPC エンドポイントを持たない AWS サービスにアクセスする場合）、 VPC 内で NAT インスタンスを設定するか、 Amazon VPC NAT ゲートウェイを使用します。

S3

事前署名済みURL (A pre-signed URL)

事前署名された URL の作成者がそのオブジェクトにアクセスする権限を持っている場合、事前署名された URL は URL で識別されたオブジェクトへのアクセスを提供します。つまり、オブジェクトをアップロードするための事前署名 URL を受け取った場合、事前署名 URL の作成者がそのオブジェクトをアップロードするために必要な権限を持っている場合にのみ、オブジェクトをアップロードできます。

デフォルトでは、すべてのオブジェクトとバケットはプライベートです。事前署名されたURLは、ユーザー/顧客に特定のオブジェクトをバケットにアップロードさせたいが、AWSセキュリティ認証情報またはアクセス許可を必要としない場合に役立ちます。事前署名されたURLを作成する場合、セキュリティ認証情報を提供してから、バケット名、オブジェクトキー、HTTPメソッド（オブジェクトをアップロードするためのPUT）、および有効期限を指定する必要があります。事前署名されたURLは、指定された期間のみ有効です。

同じ機能で CloudFront でも有効期限付きの URL を発行できますが、S3 の事前署名済み URL と言い方が異なり、署名付きURL (A signed URL)といいます。

サーバー側の暗号化

Amazon S3 で管理されたキーによるサーバー側の暗号化 (SSE-S3)
強力な多要素暗号化を使用します。Amazon S3は、一意のキーで各オブジェクトを暗号化します。追加の安全対策として、定期的にローテーションするマスターキーを使用してキー自体を暗号化します。Amazon S3サーバー側の暗号化では、利用可能な最も強力なブロック暗号の1つである256ビットAdvanced Encryption Standard（AES-256）を使用してデータを暗号化します。

Cloudsearch

S3は、耐久性と拡張性に優れた優れたオブジェクトベースのストレージであることを常に忘れないでください。ただし、そのネイティブ検索機能は効果的ではありません。したがって、検索機能を処理するための別個のサービスが必要です。

Amazon CloudSearchは、AWSクラウドのマネージドサービスであり、ウェブサイトまたはアプリケーションの検索ソリューションのセットアップ、管理、スケーリングを簡単かつ費用対効果の高いものにします。Amazon CloudSearchは、34の言語と、強調表示、オートコンプリート、地理空間検索などの一般的な検索機能をサポートしています。

AWS Security Token Service (AWS STS)

AWS リソースへのアクセスをコントロールできる一時的セキュリティ認証情報を持つ、信頼されたユーザーを作成および提供することができます。一時的セキュリティ認証情報の機能は、IAM ユーザーが使用できる長期的なアクセスキー認証情報とほとんど同じですが、次の相違点があります。

• 一時的セキュリティ認証情報は、その名前が示すとおり、使用期限が短くなっています。有効期限は数分から数時間に設定できます。認証情報が失効すると、AWS はそれらを認識しなくなります。また、その認証情報によって作成された API リクエストによるあらゆるタイプのアクセスが許可されなくなります。
• 一時的セキュリティ認証情報はユーザーとともに保存されることはなく、ユーザーのリクエストに応じて動的に生成され、提供されます。一時的セキュリティ認証情報が失効すると（または失効する前でも）、ユーザーは新しい認証情報をリクエストできます。ただし、リクエストするユーザーがまだその権限を持っている場合に限ります。

移行の計画 ( 比重 15% )

※未完成

コスト管理 ( 比重 12.5% )

※未完成

既存のソリューションの継続的な改善 ( 比重 29% )

Amazon VPCでのWebサービスアクセスにSquidプロキシインスタンスを使用する

特定の URL へのアウトバウンドリクエストのみを開始できるようにする必要がある場合、プロキシサーバを使用します。プロキシサーバーは通常、内部リソース（サーバー、ワークステーションなど）とインターネット間のリレーとして機能し、プライベートネットワークを離れるネットワークアクティビティをフィルタリング、加速、および記録します。プライベートネットワークに入るネットワークアクティビティを制御し、場合によっては負荷分散するために使用されるリバースプロキシーとは異なります。

※未完成