# AWSメモ ## Redshiftの暗号化 KMSを利用できる ## kinesis data firehose ストリーミングデータを確実にキャプチャ、変換し、データレイク、データストア、および分析サービスに配信するETLサービス ## s3 glacier 取り出し時間 標準取り出し(Standard) 3～5時間かかる 大容量取り出し(Bulk) 5～12時間かかる　安価 迅速取り出し(Expeditid) 1～5分かかる ## Snowball ペタバイトクラスのデータを転送するのに使うサービス ### Snowmobile 最大1TB/s ## VPCエンドポイント AWS以外のネットワークを介さない、plivatelinkを使用したエンドポイント awsサービス間で外部にデータを漏らしたくないときに使用する VPC側で作成し、作成後ルートテーブルエントリに登録する必要がある サービスがアクセスできるポリシーを作成し、ルートテーブルに設定する必要がある ゲートウェイ型を作成できるのはS3とDynamoDBだけ VPCからのアクセスを許可するポリシーを作成しアタッチする必要がある ## オンデマンドキャパシティー予約 ***特定のAZだけ***で、特定の時間だけ、インスタンスのコンピューティング能力を予約できる キャパシティの予約は1年間または3年間のコミットメント期間なしにいつでも作成できる ## リザーブドインスタンス 長期的に購入することで結果的にオンデマンドより安く購入できるもの ## EC2の休止状態 インスタンスを休止状態にしておくと、そのときのメモリがEBSのルートボリュームに保存される インスタンスを起動するとルートボリュームからRAMの内容が再読み来みされる ### スタンダード 平均割引率　1年(41%)3年(60%) 交換 交換はできない マーケットプレイスでの販売・購入はできる ### コンバーティブル 平均割引率 1年(31%)3年(54%) 期間内であれば違うインスタンスファミリーやプラットフォームに交換ができる マーケットプレイスでの販売・購入はできない ## スポットインスタンス 他のインスタンス利用者のリソースに空きがある場合そこを利用させてもらう ## オンデマンドインスタンス ### オンデマンドキャパシティリザベイション 任意の所有時間だけコンピューティング能力を予約できる １年間または３年間のコミットメント期間なしにいつでも予約ができる ## スポットインスタンス ### スポットフリート 指定した条件によって起動された一連のスポットインスタンス スポットフリートは必要条件に合ったスポットインスタンスプールを選択し、フリートの***ターゲット容量***を満たすまでスポットインスタンスを起動する ### スポットブロック 中断されずに***選択した期間***継続して実行することができる ## Auto Scalling 実際の負荷よりも先にスケーリングする方法 スケジュールに基づくスケーリング Desired Capacity デフォルトの終了ポリシー 1. インスタンスの最も多いAZのインスタンス 2. 残りのインスタンスが配分戦略に合うようにする 3. 最も古い起動設定から起動したインスタンス ## Dynamodb 低レイテンシーのアクセスを提供するドキュメントベースのnosql 事実上無制限のスループットとストレージ サーバーレスで強力な整合性 ### Auto Scalling インデックスデータの保存に役立つ アイテムの最大サイズ以内でテーブルのサイズに制限はない ### DynamoDBストリーム テーブルの変更を監視することができる 項目レベルの変更の時系列シーケンスをキャプチャし、24時間ログに保存する ### DAX(DynamoDB Accelerator) ### スポットインスタンスが中断された場合にEC2インスタンスが削除されるのではなく停止するようにする方法 ルートボリュームをEBSにする スポットインスタンスのリクエストタイプをpersistentにする ## route53 ルーティングポリシー 位置的ルーティングポリシー ユーザの物理的な位置に基づいてトラフィックをルーティングする場合に使用する 地理的近接性ルーティングポリシー リソースの場所に基づいてトラフィックをルーティングする レイテンシールーティングポリシー 複数のAWSリージョンにリソースがあり、より少ない往復時間で最良のレイテンシーを実現する 複数回答ルーティングポリシー ランダムに選ばれた最大８つの正常なレコードを使用してroute53がdnsクエリに応答する場合に使用する 加重ルーティングポリシー 指定した比率で複数のリソースにトラフィックをルーティングする場合に使用する 新しいバージョンのソフトウェアのテストに使われる ## Storage Gatewayのボリュームゲートウェイ ## キャッシュ型 プライマリーデータをs3に保存して頻繁にアクセスされるデータはキャッシュしてローカルに保持する 頻繁にアクセスするデータに関しては素早くアクセスできる あくまでもＳ３がメインでローカルはキャッシュ程度 ## 保管型 メインデータはローカルに保持する一方でそのデータを非同期にAWSにバックアップする データ全体がローカルにあるので全データは素早くアクセスできる あくまでもS3がバックアップ専用の運用 ## AWS Global Acceletor リージョンレベルでバランシングしてくれる優れもの アプリレベルでのパフォーマンスを改善できる ## CloudFront 世界中のCloudFrontのエッジロケーションにコンテンツをキャッシュし、必要なときにオリジンからコンテンツを取得することでオリジンのワークロード削減につながる ## Cross-Origin Resource Sharing(CORS) ブラウザはウェブとは異なるドメインをもつサーバから発信されたスクリプトの実行をブロックするため、S3バケットでCORSを有効化する 有効化することでS3はスクリプトの実行を許可するHTTPヘッダーを送信するようにCORSで設定することができる ## Amazon FSx for Lustre 費用対効果の高い高性能ファイルシステム HPCに利用されている SMPもNFSも対応している ## AWS Snowball Edge Storage Optimized 大規模なデータ移行と定期的な転送ワークフローをサポートする ## EC2インスタンスのロール設定 基本的に他のサービスへアクセスするときは、認証情報を直で書くか、専用のIAMロールを作成し、インスタンスプロファイルプロパティからロールを参照する ## Elastic Beanstalk RDSを利用したWEBアプリや実行時間の長いワークロードに活用される ## ウェブIDフェデレーション よく知られた外部IDプロバイダーを使用してサインインすることができる 認証トークンを受け取ったらそのトークンをAWSアカウントのリソースを使用するためのアクセス許可を持つIAMロールにマッピングし、AWSの一時的なセキュリティ認証情報に変換できる ## SQSで空の応答を減らしたい場合 ロングポーリングを実施 キューの待ち時間を増やすといい ## Amazon DynamoDB Auto Scaling DynamoDBが需要に応じてコスト効率の高い方法でスケーリングしてくれる ## athena emr redshift 違い efs　ファイルレベルでアクセス制御 rds mysql 認証情報 ## AWS Transit Gateway AWSのネットワークサービス(VPC)とオンプレを結ぶためのハブアンドスポーク設計ができるサービス ## Amazon S3 Trasfer Acceleration クライアントとS3間のアップロードとダウンロード速度の向上に役立つ クライアントとS3間で長距離にわたるファイル転送を高速化できるようにするバケットレベルでの機能 ## AWS Secrets Manager リソースへのアクセスに必要なシークレットの保護を支援する このサービスはデータベースの認証情報、APIキー、その他のシークレットをライフサイクルを通して容易にローテーション、管理、取得できるようにする ユーザとアプリはSeacret Manager APIを呼び出してシークレットの取得を行う ## S3 Glacierの取り出し - 迅速取り出し 1～5分以内にオブジェクトを取得できる - 標準取り出し 3～5時間かかる(デフォルトではこれが選択される) - 大容量取り出し 5～12時間かかる ## Kinesis Data Firehose リアルタイムのストリーミングデータなどの目的地へS3、Redshift、Elasticsearch Service、SplunkやDatadogなどサポート対象のサードパーティなどに送ることができる ## S3の汎用性 S3に保存されたファイルをEBSに一時的に移動することができる イベント機能があり、イベント通知によりLambdaの実行ができる 日付ベースの順次命名を使用してオブジェクトを保存することでアクセス時のパフォーマンス改善につながる ## AWS CloudTrail AWSリソースをいじった時に記録されるログ すべてのリージョンに適用される証跡を作成すると、今後新しいリージョンで何かを作成しても自動的に追加される ## AWS STS セキュリティトークンサービスで信頼されたユーザを作成しAWSリソースへのアクセスを一時的にに制御できる認証情報を提供することができる アクセスキー、シークレットキー、セッショントーク ## ElastiCache インメモリDBで高スループットかつ低レイテンシーなインメモリデータストアからデータを取得して大量のデータを扱うアプリを構築したりできる ゲームなどに使われ ## NATgateway パブリックに設置するもので、プライベートサブネットへのパスとなるもの ## Storage Gateway コード変更せずに移行されたデータにアクセスするためのNFSファイル共有を使用する ## Elastic BeanStalk エイリアスレコードで指定できる ## DynamoDB セッションデータやメタデータの蓄積 Kinesisストリームが処理した一連のデータの蓄積 ベストプラクティスとして、アイテムのサイズを小さくする データ/時間に基づいたアクションを設定する際には、テーブルを分ける必要がある アクセス頻度が高いデータを低いデータを別々にする 400kb以上はS3に保存し、DynamoDBではポインタを利用する ## S3 Standard 可用性 99.99 AZ 3以上 Standard-IA 可用性 99.9 AZ 3以上 Intelligent-Tiering　取り出し費用あり 可用性 99.9 AZ 3以上　取り出し費用あり One Zone IA 取り出し費用あり 可用性99.5 AZ １ Glaceir　取り出し費用あり 可用性 99.99% 3以上 ## S3 1-zone-IA(低頻度アクセス) アクセス頻度は少ないが、アクセスされた際にはすぐに取り出すことができる ## RDSのシャーディング データベース内の複数のテーブルにデータを分割する ## snowball オンプレからクラウドに移行する際にデータ転送による移行ではなく物理的なハードディスクをトラックで運んで移行させる ## snowballの種類 Snowball Edge Storage Optimized データ転送用 snowball Edge Storage Optimized(EC2搭載) 最大80TB、40個のvCPU snowmobile データ移動用でエクサバイト単位での移行ができる 実際にトラックが来る snowcone 最もコンパクトなデバイス ## カスタマーゲートウェイ AWSとユーザをVPC接続させるときにユーザのエージェント、またはアンカーとして働くもの クライアント側なので冗長性を気にする場合は単一にしないほうがいい ## 仮想プライベートゲートウェイ VPCがVPCやDirectConnectとの接続をするためのゲートウェイのこと AWSマネージドで管理されているため冗長性を気にする必要はない DirectConnectなどにつなぐ際に自動的に暗号化されるとのこと ## OpsWorks Chefレシピを利用した環境構築が可能 CICD系のやつ ## エンドポイントを使用してDynamoDBにアクセス - DynamoDBのゲートウェイエンドポイントを作成する - エンドポイントのルートテーブルエントリを作成する ## Amazon Ahtena アテナを利用したクイックサイトはコスト効率の高い方法でSQLを使用してS3のデータをクエリして可視化することができる アテナは初期状態でGlueデータカタログと統合されていて、様々なサービスにわたるメタデータの統合リポジトリを作成できる ## Kinetisストリーム デフォルトだと24時間経過したデータはアクセスできない ## trasit gateway とんでもない数のvpcをつなぐために使う vpn意外にも使うとき ## ハブアンドスポークン 100は対応していない auroraのフェールオーバー grobal accerarater transfer acceletion s3インターフェースエンドポイント s3ゲートウェイ aws shield standard ec2にデフォルトでついてくる standard以外にもあるがそれは各自設定が必要 ## kms 共用環境に保存する aws側で鍵の管理は行ってくれるがユーザごとの権限設定が可能なのが特徴 seacret manager ## lambdaでDBアクセスの場合はseacretmanagerかパラメータストアか ## cloudhsm 専有環境に🔑を保存する 暗号化のアルゴリズムがより強固 ## EMR ログ解析に使われる 動的で複数のec2から贈られる膨大なデータ処理を高速に行うことができる ## SSE-S3 S3がデータとマスターの暗号化キーを管理する方式 暗号も復号もS3側で行ってくれる ## メタデータ インスタンスの構成情報がまとめられたデータ ## CloudTrailで記録される2種類のイベント 管理イベント リソースの状態を管理するイベント データイベント S3のオブジェクトレベルのAPIアクティビティ ## キュー ### FIFOキュー 重複しないことの証明するキュー 順序を保証する 最大1秒300件 疎結合が～と出てきたらこれ ### スタンダートキュー 1回以上のメッセージ配送数がある 順序を保証しない ほぼ無制限 ## SNSのサポートされているプロトコル HTTPS 電子メールJSON ## ウォームスタンバイ 現状の構成の縮小構成が常に動いている構成 ディザスタリカバリにも対応できる ## ネットワークACLのデフォルト構成 インバウンドもアウトバウンドも常にすべてのトラフィックが拒否されている ## RDSの負荷軽減 ElastiCacheを前に置き、リードレプリカを利用する ## 新サブネットの動き サブネットは新しく生成されると、デフォルトでメインルートテーブルに紐づけされる ## AutoScallの動き 新しいAMIを適用するには新しい起動設定を使用して、ASGに新しい起動設定を使用するように更新する ## すべてのアカウントのパスワードポリシーの変更方法 すべてのアカウント全体に適用されるパスワードポリシーを設定すればいい ## APIゲートウェイのアプリへの1秒あたりのアクセス数の制限 APIゲートウェイにスロットリングルールを実装すればいい リクエスト数を制限することでトラフィックの低下につながる ## インスタンスストア EC2に付属する物理的なエフェラメルストレージ 既存のEBSよりIOを高めたい場合はこれを使うと費用対効果がいい(一時的ではあるが) ***データは一時的なもので高いパフォーマンス***を求められているときは正答率が高い 複数のインスタンスストアのボリュームをグループ化してRAID0構成にすることもできる ## S3の暗号化 クライアント側の暗号化はKMSに保存されたカスタマーマスターキーですることができる S3管理のキーで暗号化することはできない ## VPCフローログ VPCのネットワークインターフェースを通過するトラフィック情報を保存する機能 フローログはCloudWatch LogsかS3に保存される ## 拡張VPCルーティング RedshiftからS3へのコピーアンロードをVPCエンドポイント経由ですることができる ## AWSがペネトレーションテストで許可している項目 事前承認なしに一部リソースへのペネトレーションの許可をしている 例)Amazon EC2 インスタンス、NAT ゲートウェイ、Elastic Load Balancer Amazon RDS Amazon CloudFront Amazon Aurora Amazon API Gateway AWS Fargate AWS Lambda 関数および Lambda Edge 関数 Amazon Lightsail リソース Amazon Elastic Beanstalk 環境 ## RDSプロキシ アプリとデータベースの中間に立ってデータを処理することができる ## EBSの暗号化 EBSは常に暗号化して保存されている インスタンスとボリュームの間の通信も暗号化される ## Route53を使ったフェールオーバー Route53でヘルスチェックをすることができる ### アクティブ-アクティブ構成 複数のリソースをアクティブに返す、障害発生時には別のものにフェールオーバーする ### アクティブ-スタンバイ構成 障害が発生したときにバックアップリソースにフェールオーバーする ## SQSの可視性タイムアウト 可視性タイムアウトの時間内に処理されたらキューが削除される仕組み 処理されない場合に、2回配信できる機能 SQSのキューの最大保持期間は14日 ## S3 Transfer Acceleration S3とクライアント間で高速にファイルの長距離転送ができる グローバルなんとかと問題に出て、CloudFrontかこれが選択肢に出た場合これを選ぼう ## DataSync データそのものをバックアップするための仕組み これを使うとスピードやパフォーマンスに期待できる データの欠損や中断が発生しない ## Data Migration Service データベースを移行するためのもの ## AWS inspecter デプロイ後のアプリやセキュリティ、コンプライアンスを評価できるサービス ## CloudFormation ユーザが一貫した方法でデプロイするのに適している リソースに適した方法のテンプレートを作成することもできる デプロイ前に構成を確認することができる ## Aurora Replica 読み取り処理の負荷分散を担ってくれる ## インターフェース型エンドポイント AWS Plivatelinkを使用しサポートされているサービスのトラフィックのエンドポイントとして機能するプライベートIPを持つENI ## Kinesisデータストリームのシャード増減の解消 単純にKinesisのシャード数を増やせばいい ## EC2のCPU使用率を一定に保つ方法 CPU使用率に応じて、スケーリングするAutoScallを設定する ## APIゲートウェイのキャッシュ APIゲートウェイはキャッシュ機能を持っていて有効化することができる ステージに対して有効、指定したTTLの時間だけキャッシュを保持する ## DirectConnect ゲートウェイ 同じAWSアカウントのバーチャルプライベートゲートウェイと仮想プライベートインターフェースをグループ化することで任意のAWSリージョンのインターフェースの使用を可能とするもの ## EBSのIOPS 汎用SSDは3000iopsまでバースト可能、最大16000iopsまで可能 スループット最適化HDDは500iopsまで可能 プロビジョンドのiops block~ 256000iopsまで可能 ## RDSのリストア 直近5分以内までのデータはリストア可能 新しいDBインスタンスにはデフォルトのDBセキュリティグループが適用される ## FSx for Lustre 高性能なファイルシステムを求められたら大抵これでok ## DynamoDB DAX 読み取り処理が重い場合の運用時に使えるもの リードレプリカはRDSのみ利用できてDynamoDBには利用できない ## 拡張ネットワーク 高い帯域幅、より高いパケット毎秒のパフォーマンスや低いレイテンシーを提供できるネットワークサービス ## Saving Plans 1年間か3年間、契約する代わりに安くなる ## オンデマンドキャパシティ予約 特定のアベイラビリティゾーンにあるEC2を任意期間予約することができる 加えて、SavingPlansを使用するとコスト削減につながる ## ストレージのパフォーマンス向上 プロビジョニングIOPSを使う これは1Gあたりの必要なIOPSを指定できる EBS最適化インスタンスを使う すべてのEBSボリュームで使用できる EBSの専用容量を使える ## Amazon ElastiCache Memcached データベースのキャッシュ層として利用できるもの 複数コア複数スレッドに対応できるものとして利用される 一方Redisに関しては単一のCPUコア、スレッドを提供している ## 複雑なクエリや多数のデータレイクに対応できるもの Redshift Spectrum Athenaでクエリの実行ができる Glueは変換、抽出ができる ## S3 Glasire アーカイブの99.99999999%を保証する AZ全体での障害でもデータは復元される リージョン障害は不可能 ## S3に重ためのファイルを転送するときは マルチパートアップロードを推奨していて、100MBを超えるときには使用するべき ## Lambdaのデフォルトの監視項目 1リクエストあたりのレイテンシー 総リクエスト数 エラーになったリクエストを見れる ## Lambda関数を使用するために必要な情報 VPCサブネットID VPCセキュリティグループID ## EFS ストレージデータに拡張性を求めるとき ## SQS バッチ処理などで複数から単体のEC2へデータを受け渡すサービスは、メッセージキューイングサービス ## メッセージブローカー システムが相互通信をしてメッセージを送るサービス Amazon MQなどがある ## IAMクエリAPI IAMウェブサービスを直接呼び出すサービス APIを認証させるために認証にアクセスキーとシークレットキーが必要 ## AWSのSQLサーバー 独自のデータベースミラーリングの機能が使用される ## S3 APIコールを使用してファイルを書き込める REST APIを使用するS3と互換性がある ログファイル保存向け ## SNS トピックに送信されるメッセージのターゲットとしてLambdaがある EC2で稼働しているアプリとLambdaを切り離し、Lambda関数をサポートしている ## AWS Systems Manager AWS上のインフラの可視化と制御ができる ## AWS Batch サードパーティの商用またはバッチ処理の運用を不要にする ## 今は亡きスケジュールドリザーブドインスタンス 利用時間に応じて決められた料金を支払う通常のインスタンス利用形態 通常はオンデマンドインスタンスでいい、利用時間に対して決められた料金を支払うプラン ## オンデマンドキャパシティー予約 特定のAZのEC2インスタンスの計算容量を任意の期間で予約することができる ## NATインスタンス パブリックサブネットに設定し、プライベートサブネットから指定することで プライベートから外に出ることができる ## EBSのIOPS ・SSD、汎用（GP2）は、1 GB あたり 3 IOPS、最大 16,000 IOPS を提供します。ボリュームサイズは1GBから16TBまでです。 ・Provisioned IOPS (Io1) は、GiB あたり最大 50 IOPS、ボリュームあたり最大 64,000 IOPS までの IOPS を割り当てた IOPS を提供します。ボリュームサイズは4GB～16TBです。 ・スループット最適化HDD（ST1）は、ボリュームあたり最大500 IOPSを提供しますが、IOPSのSLAは提供 ## Amazon GuardDuty 組み込みの検出技術を利用することができる 検出アルゴリズムはAWSセキュリティによって維持れる 検出こうもくとして、偵察インスタンスの侵害アカウントの侵害、パケットの侵害がある ## 署名付きURL 画像をアップロードするために発行するURL ## Amazon Cognito モバイルアプリのサインアップとサインインサービスを提供する ## Amazon Inspector 脆弱性を特定し、セキュリティのベストプラクティスに照らして評価することに重点を置いている ## RedShift データウェアハウスサービス データを収集・統合・蓄積し、分析のために保管しておくシステム けいぞくてきな書き込みより大容量のデータを一括でデータを書きこみ分析のため大容量データを読み出すという処理に最適化される RedShift expectramを使うとクエリの実行もできる ## EBSスループット最適化HDD Kafka、ログ処理、データウェアハウス、ETLワークロードなど大きなデータセットと大きなIOサイズで頻繁にアクセスされる、スループット集中型のワークロードのユースケースに適しています コストの最適化と文章に出たら高確率でこれ ## AWS Trusted Advisor 使用量と制限を表示するサービス制限のチェックを提供する プロビジョニングするためのリアルタイムのガイダンスを提供 コスト削減、パフォーマンス向上、セキュリティ強化を支援するサービス ## AWS Trusted Advisor 使用量と制限を表示するサービス制限のチェックを提供する プロビジョニングするためのリアルタイムのガイダンスを提供 コスト削減、パフォーマンス向上、セキュリティ強化を支援するサービス 出る ## AWS config 継続的なコンプライアンスに使用されるサービスであり、サービスの使用量や制限を表示するものではない リソースの設定を監査、審査できるサービス 設定に対して記録された設定の評価を自動的にしてくれる ## Amazon CloudWatch パフォーマンス監視のために使用されるサービス ## プレイスメントグループ 単一のAZ内のインスタンスでの論理グループ ネットワークの待ち時間が長かったりスループットが高い場合にメリットがあるアプリケーションにお勧め ## CloudTrailのイベント ### データイベント S3のAPIやLambda関数呼び出しアクティビティなどのAWSのAPIに関して監視できる ### 管理イベント S3やIAMリソースの作成や管理など ルーティングテーブルの設定などのリソースの作成削除移動などの変化を追える ### インサイトイベント 管理イベントを分析できる 異常なアクティビティを検出できる ## SQSの標準キュー メッセージの配信回数が1回以上ある 順序が変わる場合もある スループットはほぼ無限 順序性に依存しない場合 処理の重複を許容できる ## SQSのFIFOキュー メッセージの配信回数が1回のみ 順序は保証してくれるのがFIFOキュー キューに重複が発生しないことを保証する必要がある スループットは最大300件・1秒