今回はソリューションアーキテクトーアソシエイト(SAA)試験によく出るサービスについて紹介します。
各サービスの組み合わせ方法が試験の内容となるため、文章の内容がよく理解した上で、試験が参加できると思います。
AWSアカウントについて
AWSアカウントについての専門単語、サービスを話します。
ルートユーザ
最初に、AWSサービスを使うとき、メールアドレスと個人情報を入力して、ユーザ登録を行います。
このとき、作成されたユーザはルートユーザです。
多要素認証MFA
ルートユーザはMFAの有効化がおすすめです。
MFA を使用して、AWS 環境のセキュリティを強化します。MFA で保護されたアカウントへのサインイン時には、ユーザー名とパスワード、および MFA デバイスからの認証コードを求められます。
IAMユーザ
IAMユーザを説明する前に、まず、IAM(Identity and Access Management:アイアム)を話します。
IAMとは、AWSのサービスで「認証」と「認可」の設定を行うことができるサービスです。
「認証」「認可」を正しく設定することで、AWSの利用者や、AWSのサービスがアクセスできる範囲を制御することができます。
IAMでは、以下の機能が用意されています。
・IAMユーザー(グループ)
・IAMポリシー
・IAMロール
IAMユーザーとは、AWSを利用するアカウントです。
AWSを操作するコンソール画面にログインを行うときに人が利用します。また、IAMグループを作成し、複数のIAMユーザをまとめて管理をすることができます。会社などで、部署やチームごとにIAMユーザの権限を分けたい場合などに利用するといいでしょう。
IAMロール
IAMロールとは、ユーザーやグループではなく、EC2などのAWSのサービスや他のアカウントに対してにAWS の操作権限を付与するための仕組みです。
例えば、EC2にRDSへの操作を行うアプリケーションを導入する場合は、EC2にRDSへのアクセス権限を記載したIAMロールをアタッチします。また、他アカウントにS3への接続を許可する場合には、自分のアカウントに他アカウント用のIAMロールを作成しておくと、他のアカウントから「スイッチ」することで自アカウントのS3を操作することができるようになります。
IAMポリシー
IAMポリシーとは、IAMユーザや後述のIAMロールにアタッチすることができる、AWSリソースへの操作権限を設定する機能です。IAMポリシーにも大きく分けて3種類あります。
- ・AWS管理ポリシー
AWSが提供するIAMポリシーです。各サービスに対して大まかな制御ポリシーが設定できます。 - ・カスタマー管理ポリシー
ユーザがJSONファイルなどを利用して設定するポリシーです。IPアドレスの制御など、AWS管理ポリシーよりも細やかな制御が可能です。 - ・インラインポリシー
インラインポリシーは特定のIAMユーザやIAMロール専用に作成されるポリシーです。AWS管理ポリシーやカスタマー管理ポリシーは1つのポリシーを作成すれば多くのIAMユーザなどにアタッチすることができますが、インラインポリシーは1つのIAMユーザなど、1対1でのアタッチしかできません。
AWS Organizations
AWS Organizationsは複数のAWSアカウントの統合管理を可能にする機能です。
Amazon VPCについて
Amazon Virtual Private Cloud(Amazon VPC)は、アマゾンがAWS上で提供している機能の1つで、AWSアカウント内に構築できる仮想ネットワークです。
AWSでは、基本的にVPCが必須なのですが、実は勝手にAWS側が用意してくれています。すぐに使えるVPCとしては、Default VPCと呼ばれている、すぐに使うことの出来るVPCがあります。
インターネットゲートウェイ(IGW)
インターネットゲートウェイ(IGW)とは、VPCとその外のネットワークを繋ぐための接合点のようなものです。
IGWを作成して、サブネットに繋ぐことで、サブネットと外部とのネットワークのやりとりを可能にすることができます。
ルーティング
サブネットを利用するために、各サブネットに対してルートテーブルを作成する必要があります。仮想的なルーターと考えるようにしてください。
DHCP
Default VPCの画面では、「DHCP Options Sets」という画面で設定することができます。独自のDHCPが必要な場合は別ですが、基本的には、AWSが予め準備しているものを使えば十分です。
ネットワークアクセスコントロール(NACL)
ネットワーク単位でIPアドレス単位での通信の制御をします。外側と内側の通信に対して、プロトコル・ポート・IPアドレスを入れて許可するのか、しないのかを決めていきます。
サブネット
サブネットは最初にVPCによって作られているCIDRブロックを分割したネットワーク群のことです。
サブネットには、主にパブリックサブネットとプライベートサブネットがあります。パブリックネットは字のごとく、外のネットワークと直接繋がっているサブネットで、プライベートサブネットとは、直接は外のネットワークに繋ぐことのできないサブネットになります。
VPC エンドポイント
VPCエンドポイントは「VPC」と「VPC外のサービス」との通信を可能にするコンポーネントです。このVPCエンドポイントを使うことで、インターネットに出ずに(NATインスタンスやインターネットゲートウェイを経由せずに)VPC外のサービスと通信できます。
VPC ピアリング(peering)
VPC ピアリング接続は2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。
どちらの VPC のインスタンスも、同じネットワーク内に存在しているかのように、相互に通信できます。VPC ピアリング接続は、自分の AWS アカウントの VPC 間や、他の AWS アカウントの VPC との間に作成できます。VPC は複数の異なるリージョンに存在できます (これはリージョン間 VPC ピアリング接続とも呼ばれます)。
Transit Gateway
AWS Transit Gateway は、中央ハブを介して VPC とオンプレミスネットワークを接続します。これにより、ネットワークが簡素化され、複雑なピア接続関係がなくなります。
グローバルに展開すると、リージョン間ピア接続は AWS グローバルネットワークを使用して AWS Transit Gateway を相互に接続します。データは自動的に暗号化され、公共のインターネットを介して移動することはありません。
VPCフローログ
VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログデータは Amazon CloudWatch Logs または Amazon S3 に発行できます。フローログを作成すると、選択した送信先でそのデータを取得して表示できます。
Amazon EC2について
Amazon Elastic Compute Cloud (Amazon EC2) は、安全でサイズ変更可能なコンピューティング性能をクラウド内で提供するウェブサービスです。ウェブスケールのクラウドコンピューティングをデベロッパーが簡単に利用できるよう設計されています。
EC2は以下のようなインスタンスが存在します。各インスタンスの使用料金の違いは覚えましょう。
オンデマンド
オンデマンドインスタンスでは、実行するインスタンスに応じて、コンピューティングキャパシティーに対して時間あたりまたは秒あたりの料金が発生します。長期間の契約や前払いは必要ありません。
スポットインスタンス
Amazon EC2 スポットインスタンスを使用すると、オンデマンド価格から最大 90% 割引で予備の Amazon EC2 コンピューティングキャパシティーをリクエストできます。
リザーブドインスタンス
リザーブドインスタンスは、オンデマンドインスタンスに比べて料金が大幅に (最大 75%) 割引になります。さらに、特定のアベイラビリティーゾーンにリザーブドインスタンスを割り当てると、キャパシティーが予約されるため、必要な時に安心してインスタンスを作成することができます。
Savings Plans
Savings Plans は、1~3 年期間で一貫したコンピューティング使用量 (例: USD/時間で測定) を契約するかわりに、低い EC2 および Fargate 使用料金が提供される柔軟な料金モデルです。
Dedicated Hosts
Dedicated Hosts は、お客様専用の物理 EC2 サーバーです。Dedicated Hosts は、既存のサーバー限定のソフトウェアライセンス (Windows Server、SQL Server、SUSE Linux Enterprise Server など) をライセンス条項の下で使用できるので、コストを削減するのに役立ちます。また、コンプライアンス要件を満たすのにも役立ちます。
ベアメタルインスタンス
Amazon EC2 ベアメタルインスタンスでは、アプリケーションは基盤となるサーバーの Intel® Xeon® スケーラブルプロセッサとメモリリソースに直接アクセスできます。
Amazon マシンイメージ (AMI)
Amazon マシンイメージ (AMI) には、インスタンスの起動に必要な情報が用意されています。インスタンスを起動するときは、AMI を指定する必要があります。同じ設定で複数のインスタンスが必要な場合は、1 つの AMI から複数のインスタンスを起動できます。さまざまな設定のインスタンスが必要なときは、各インスタンスをそれぞれ異なる AMI から起動できます。
Elastic IP アドレス
Elastic IP アドレスは、動的なクラウドコンピューティングのために設計された静的 IPv4 アドレスです。
EC2インスタンスのパブリックIPアドレスは再起動により変わるため、Elastic IP アドレスをインスタンスに関連付けて、EC2インスタンスのIPが固定されます。
※他のサービス内容はこの後更新します。