【AWS SAPのお勉強】振り返り用メモ

模擬試験などを通して、自分が弱いところを振り返り用にメモしておくぜよ。

Lambda、SQSにDLQ(デッドレターキュー)を設定することで、想定外のエラー発生時でも情報が失われない。

DynamoDBにはプロビジョニングモード(デフォ)とオンデマンドモードがある。
オンデマンドは容量計画なしで数千リクエスト/secを柔軟に捌ける。

S3 RTC(Replication Time Control)を有効にすると99.99%のオブジェクトは15分以内にレプリケートされる。15分を境にレプリケートされたオブジェクトのイベント通知を作成可能。

データ変換ETLにはGlueが最適。CSVの区切り文字が一般的でなくてもカスタム分類子を追加すれば大丈夫。

SESでメール送信し、メールのイベントはKinesis Data Firehoseに送信可能。FirehoseからS3に保存。

VPC Flow LogsはTCP/IP層。それ以上の層はVPCトラフィックミラーリング。

ライセンスがらみはDedicated Hosts。Dedicated Hostsのアフィニティオプションが必要。

EIPはAPI Gateway、ALBはサポート外。NLBにはOK。

VMWareにはServer Migration Conecctionをインストールして、レプリケーションジョブの作成が可能。

Kinesis Data AnalyticsからはKinesis Data Firehose経由でS3に連携が必要。

ElastiCacheのキャッシュ戦略
「遅延読み込み」:必要なときにのみキャッシュにデータを読み込むキャッシュ戦略です。
「ライト(書込)スルー」:データがデータベースに書き込まれると常にデータを追加するか、キャッシュのデータを更新します。
「TTLの追加」:遅延読み取りはデータが古くなる可能性がありますが、空ノードによる障害は発生しません。書き込みスルーでは常に新しいデータとなりますが、空ノードの障害が発生して、過剰なデータがキャッシュに入力される可能性があります。それぞれの書き込みに有効期限 (TTL) の値を追加することで、それぞれの戦略のメリットが得られます。同時に、過剰なデータでキャッシュがいっぱいになる事態が避けられます。

ElastiCache Memcachedには暗号化機能はない。

ENIは料金かからない。AutoScalingのスケールアウトライフサイクルイベントでLambda呼んで、 EC2にENIアタッチするオペレーションが可能。

Code PipelineでCodeBuildを実行して、コマンドの戻り値がエラーの場合は、パイプラインが停止する。

VPCからオンプレ DNS使うのはRoute53 Resolver アウトバウンドエンドポイント

ゲートウェイエンドポイントはS3、DynamoDB(無料)
インターフェイスエンドポイントはその他
(NATゲートウェイより安い、ENIをサブネットに配置)

Organizationsのモード「すべての機能」「一括請求」。
SCP使うなら「すべての機能」。OUには継承以外に1つ以上のSCPが必要。
AWSFullAccessをアタッチして、制限用のSCPをアタッチするのがベストプラクティスらしい。

組織でFirewallを管理したいならFirewall Managerがいい。
Firewall Managerを使うにはOrganizationsのすべての機能の有効化と、Configを有効化することが必須。

LambdaにIPを持たせたい場合は、LambdaをVPCサブネットで起動してパブリックサブネットのNATゲートウェイに紐付けたEIPを登録する。
lambda実行するとVPCにENIが作られる、ENIにはプライベートIPがアタッチされるので、外部への通信が必要な場合はNATゲートウェイが必要

Secrets Managerは有料(ローテーションできる)。
Systems ManagerのParameter Store Secure Stringは無料。

DynamoDBのグローバルテーブル機能で、DynamoDBストリームを介して他リージョンにレプリケーション可能。マルチマスターとして動作するため、各リージョンで書き込み可能。

容量の大きいファイルをアップする際は、S3マルチアップロードAPIを使用。
ライフサイクルポリシーで不完全なパート削除日数を設定する。

「ルートユーザーの認証に対しての通知」はGuardDutyのRootCredentialUsageイベントで検知可能。
「CloudTrailのログ改ざん検知」は整合性検証オプションの有効化で可能。

AWS Shield Standardの対象はCloudFrontのみ
AWS Shield Advancedの対象はALBや EC2

AWS WAFの対象はCloudFront、ALB、API Gateway

Please share this page: