社内システムをつくろう!

社内システムをつくろう!

あるシステム担当のブログ。本サイトのご利用は自己責任にてお願い致します。

【AWS資格取得日記】#13 某サイトにあった項目をおさえる!!

どうも!今回は某サイトにあった事項をおさえます!!(詳しくは前回の投稿を参照) それでは早速!

プレイスメントグループ

プレイスメントグループとは、単一のAZ内のインスタンスを論理的にグループ化したもの。プレイスメントグループを利用するとアプリが低レンテンシーの10Gbpsネットワークに参加できる。注意点としてはAZをまたげないこと。

SSHのポート番号

これはもちろんTCP22番ポートですね。

セキュリティグループの反映にかかる時間

セキュリティグループの更新から反映までにかかる時間です。これは「即時」ですね。

インスタンスタイプ毎の特徴

後ほど追記

スナップショットの動作

▼slide share / AWS Black Belt Techシリーズ Amazon EBS

www.slideshare.net

ELBがヘルスチェックに失敗した時の動作

異常と判断したインスタンスにはトラフィックを流さない。復旧させるには手動での操作が必要となります。

参考: ▼ELBとRoute 53のヘルスチェック仕様の違い

dev.classmethod.jp

Multi-AZ構成の障害時の動作

RDSでMulti-AZ構成としたとき、プライマリーの障害時には、DBインスタンス用のCNAMEレコードが新しくスタンバイを指すように変更され、サービスを継続することになる。ちなみに同一セグメントを別AZには配置できない(Multi-AZを利用する場合はアクティブ側とスタンバイ側で別のセグメントに配置する必要がある)ので要注意。

参考: ▼【AWS発表】Amazon RDS for Oracle DatabaseでもMulti-AZ オプションが利用可能に

aws.typepad.com

侵入テストの実施

すべての侵入テストには許可が必要。許可をリクエストするには、テストを希望するインスタンスに関連付けられている認証情報を使用して AWS ポータルにログインする必要がある。現時点では、AWS側のポリシーで、m1.small または t1.micro インスタンスタイプのテストは許可していない。これは、お客様がマルチテナント環境で他のお客様と共有する可能性があるリソースに影響する恐れのある動作を防止するため。

参考: ▼AWSについて 侵入テスト

侵入テスト - AWS セキュリティセンター | アマゾン ウェブ サービス(AWS 日本語)

CloudFrontとS3の連携方法

静的コンテンツの配信性能を高めるために、S3とCloudFrontを組み合わせて、CloudFrontからコンテンツを配信する形態は、Cache Distributionパターンとしてよく知られています。 (Developers I.O/[CloudFront + S3]特定バケットに特定ディストリビューションのみからアクセスできるよう設定する)

詳細な構築手順は上記のリンク参照。Cache Distributionパターンについては、CDPのページを参照。

▼CDP:Cache Distributionパターン

CDP:Cache Distributionパターン - AWS-CloudDesignPattern

IAMとLDAPの連携方法

AWS Security Token Service(STS)を利用してIAMとLDAPの連携をすることが可能。具体的な仕組みについては、下記参照。 ▼Amazon Web Serviceブログ 【AWS発表】 AWS IAMがLDAP等とのID統合をサポート

aws.typepad.com

またSTSを利用して実際にLDAPと連携させている環境の構築方法については下記を参照。 ▼インフラブログ 社内のクラウドストレージにownCloud(+AWS S3)を使う。

infra.hatenablog.com

管理者権限が与えられるサービス

これイマイチよく分かんなかった・・・。。。

CloudWatchのカスタムメトリクス

▼Developers I.O / AWS CodeDeployでWindowsのCloudWatchカスタムメトリクス設定を自動化する

dev.classmethod.jp

Amazon S3が採用しているデータ整合性モデル

米国スタンダードリージョンの AmazonS3バケットは、結果整合性を提供します。それ以外のリージョンでのAmazon S3バケットは、新しいオブジェクトの PUT については「書き込み後の読み込み」整合性、PUT および DELETE の上書きについては結果整合性を提供します。

参照:よくある質問(Amazon)
http://aws.amazon.com/jp/s3/faqs/

ちなみにこんな内容もおさえておく

某サイトにはなかった内容ですが、以下についてもおさえておきます。

ELBはリージョンをまたいで負荷分散させられるのか?

できない。AZはまたげる。

s3の容量制限

格納可能なデータの総量とオブジェクトの数には制限はありません。個々の Amazon S3 オブジェクトは、1バイトから 5 TB までのサイズが可能です。

参考: ▼Amazon S3 よくある質問 http://aws.amazon.com/jp/s3/faqs/

glacierの容量制限

1ファイル40TBまで。ただし総容量の制限はなし。

EBSスナップショットはAZ固定か?

EBSスナップショットは特にAZ固定でない。AZ間でもEBSボリュームをスナップショットから作成したり復元したり出来る。

スナップショットの整合性

バックアップの取得で必ず課題に挙がるのが、整合性の取り方です。スナップショットでは、APIコールを実行してからレスポンスが返ってくるまでを静止点として、ユーザーがデータの整合性を確保する必要があります。スナップショットのステータスは、レスポンス後もしばらく取得中の状態が続きますが、内部ではCOW(Copy on Wirte)で静止点が保たれるため、APIからのレスポンスを受け取ったあとはI/Oを発行して構いません。 実際の運用で確実に静止点を確保するのであれば、EC2にスクリプトを配置し以下の流れで処理を行うのが良いでしょう。 I/Oの停止処理 : DBの停止やディスクのアンマウントなど スナップショットAPIのコール : レスポンス待つようにすること I/Oの停止処理 : DBの開始やディスクのマウントなど (Developers I.O/ AWS re:Invent2013参加レポート #19 EC2 ブロックストレージ(EBS/インスタンスストア)ベストプラクティス)

ルートデバイスについて

インスタンスを起動するときは、ルートデバイスボリュームに格納されているイメージを使用してインスタンスがブートされます。Amazon EC2 のサービス開始当初は、すべての AMI が「Amazon EC2 インスタンスストア backed」でした。つまり、AMI から起動されるインスタンスのルートデバイスは、Amazon S3 に格納されたテンプレートから作成されるインスタンスストアボリュームです。Amazon EBS の導入後は Amazon EBS を基にした AMI も導入されました。つまり、AMI から起動されるインスタンスのルートデバイスが、Amazon EBS スナップショットから作成される Amazon EBS ボリュームであるということです。お客様は、「Amazon EC2 インスタンスストア backed」の AMI と「Amazon EBS backed」の AMI から選択できます。推奨されるのは「Amazon EBS backed」です。この AMI は起動が高速であり、永続的ストレージを使用しているからです。 (aws document / Amazon EC2 ルートデバイスボリューム)

AWSでのSSOについて

Amazon Web Serviceブログ / 【AWS発表】 SAMLを使用したAWS Identity and Access Management http://aws.typepad.com/aws_japan/2013/11/aws-identity-and-access-management-using-saml.html

S3ACL

▼Developers I.O / S3のアクセスコントロールが多すぎて訳が解らないので整理してみる http://dev.classmethod.jp/cloud/aws/s3-acl-wakewakame/

顧客との責任分解点

AWSのセキュリティを理解する上で重要な考え方は「Shared Responsibility」。これはAWSが管理している範囲はAWSが責任を持ち、利用者が管理している部分は、利用者が責任を持つという考え方。例えば、EC2ではOSより上位の層、RDSではユーザアカウントから上位の層については、利用者でセキュリティを確保する必要がある。

AWSが取得している認証

AWSが取得している認証として、「ISO27001」「PCI DSS Level1」「SOC1」「SOC2」がある。

S3のデータ破損と損傷の修復

Amazon S3 は、Content-MD5 チェックサムと周期的冗長検査(CRC)を組み合わせて使用し、データの破損を検出しています。Amazon S3 は、休止中のデータにこれらのチェックサムを実行し、冗長データを用いて損傷の修復を行います。さらに当サービスは、ネットワークの全トラフィックに対してチェックサムを計算し、データの格納または取得時のデータパケットの損傷を検出しています。

参照:よくある質問(Amazon) http://aws.amazon.com/jp/s3/faqs/

試験まであと

AWSソリューションアーキテクト試験の再試験ポリシーにより、次に受験ができるようになるのは受験した1/30から30日後。なので3月の第一週で再受験する予定。それまでまたがんばるぞー!ってかそこ終わるとDBスペシャリスト試験まで以外と時間がない。。。勉強漬けだなコレ。それと考えているのは、IAM、SQS、SNSがとにかく弱いので、そこのところを強化しないとだなぁ。