AWS CloudTrail

AWS Management & Governance

www.slideshare.net

概要

  • AWSユーザーの操作(API)をロギングするサービス
  • ロギングデータはS3に保存される
  • ログファイルは暗号化されてgz形式で保存される(SSE)
  • CloudTrail自体は無料
  • CloudWatch LogsにJSON形式で転送可能

運用例

AWS Confifg

AWS Management & Governance

www.slideshare.net

概要

  • 構成変更の追跡やセキュリティ分析、コンプライアンス準拠を容易にするサービス
  • AWSリソースの構成変更をロギング
    • 保持期間は30日~7年の間で設定可能(デフォルトは7年)

リソースのインベントリ

  • 特定のSGを利用しているリソースを検索
  • AWSサービスのリソース間の関係を簡易

AWS Config Rules

  • 準拠すべきルールを事前に設定
  • ルールに沿った構成変更が行われているかを評価
  • マネージドルール(AWSが定義)、カスタムルールの2種類がある
  • 設定変更時と、それとは別に定期的に評価される

ベストプラクティス

  • 全てのアカウントとリージョンでAWS Configを有効化
  • グローバルリソースは1リージョンだけ有効化(重複記録を防ぐ)
  • ヒストリーとスナップショットはS3に保存(安全のため)
  • マルチアカウント環境ではData Aggregation機能推奨(集中管理を実現)

疑問点

  • Data Aggregationとは

Amazon Kinesis

AWS Analytics

www.slideshare.net

概要

  • Kinesis Streams
  • Kinesis Firehose
    • ストリームデータをS3、Redshift、Amazon ESに簡単に配信
  • Kinesis Analytics
    • ストリームデータをSQLクエリでリアルタイムに分析

疑問点

  • 既存の環境に導入する方法
  • Firehoseを使ってS3に配信した際のファイルフォーマット

Amazon Simple Notification Service(SNS)

AWS Application Integration

www.slideshare.net

概要

  • VPCからプライベートにメッセージを発行できる(VPCエンドポイント使用)
  • 毎月100万リクエストまで無料(Publish)
  • SQS、Lambdaへの通知配信は量に制限なく無料
  • アカウントあたりのトピック数の上限:100,000
  • SLA:99.9%

Retry Policy

  • 遅延なしリトライ
  • 最小遅延間隔でのリトライ
  • バックオフモデルを使用したリトライ
  • 最大遅延間隔でのリトライ

Next

Amazon Pinpoint

Amazon Simple Queue Service(SQS)

AWS Application Integration

www.slideshare.net

概要

  • データサイズは256KB
  • 保持期間はデフォルト4日、最大14日間
  • 毎月100万件のリクエストまで無料利用枠
  • 複数のサーバー/データセンターに全メッセージを重複して保持(分散キュー)

キューの種類

  • スタンダードキュー
  • FIFOキュー

設計のポイント

  • 冪等性を確保できるようにする

メッセージ属性

  • メッセージ本文とは別に、メタデータ等を保持させることができる
    • 最大10個
    • サーバーサイド暗号化の対象外(本文のみ暗号化される)
    • メッセージサイズ上限の256KBに含まれる

Next

Amazon MQ

AWS Lambda

AWS Compute

www.slideshare.net

Lambda関数の制限

  • インバウンドのネットワーク接続はブロックされる
  • アウトバウンドはTCP/IPUDP/IPのみ
  • 同時実行数:1,000(上限緩和可能)
  • 関数のメモリ割り当て:138MB~3008MB(上限緩和不可)
  • 関数のタイムアウト:15分

イベントソース(=トリガー)

  • ポーリングベース
    • ストリームベース
    • それ以外
  • それ以外
    • Lambda関数はイベントソースから呼び出される
    • イベントソースマッピング

VPCアクセス

  • インターネットを経由せずにVPC内のサービスにアクセス可能(RDSなど)
  • Lambda関数にVPCサブネットおよび、SGを設定することで可能になる
  • ENIで動的にサブネットIPを割り当てることでも可能(DHCP)
  • 設定をしたタイミングでインターネットアクセスは不可となる
  • サブネットIPやENIが枯渇すると処理が失敗するので注意

環境変数の暗号化

  • キーと値はAWS KMSにて暗号化して保存される(自動)

Amazon S3

AWS Storage

www.slideshare.net

概要

  • オブジェクトストレージ(Not Block Storage, Not File Storage)
  • 容量無制限。1ファイル最大5TBまで
  • 月額1GB/約3円
  • 少なくとも3つのAZにデータを格納する
  • Data Consistencyモデル(Readは結果整合性)
  • 複数同時書き込みのロック処理はおこなわれない

ストレージクラス

  • STANDARD
  • STANDARD-IA(標準低頻度アクセスストレージ)
    • 読み込み時に課金が発生
  • S3 Glacier
    • 直接復元できず、一度リストアが必要
    • S3にもメタデータが残り、そのオブジェクトを削除すると消える
  • 冗長化ストレージ(RRS)
    • Glacierの復元先となる。耐久性が99.99%(他は99.9999...%)

Block Public Access

  • 意図せずバケットがパブリックアクセスにあることを抑制する
    • プライベートからパブリックへの変更を無効化するなどあらかじめ設定する

  • VPC Endpoint

  • VPC内のPrivate SubnetからNAT Gatewayを介さずに、セキュアにS3と通信可 能
  • 同一リージョンのS3にのみ対応

署名付きURL

  • URLを生成したIAMユーザー/ロールの権限が用いられる
  • 有効期限の指定ができる(秒単位)

データの保護

  • サーバー、クライアントどちらのサイドでもKMSで管理する鍵が使える

S3 Object Lock

クロスリージョンレプリケーション

ライフサイクル管理

  • 最大1,000までLifecycleのルールを設定可能
  • 毎日0:00UTCに処理がキューイングされ順次実行
  • 128KB未満のデータは30日以上経過してもIAに移動されない

アーカイブ

  • オブジェクトのデータはS3 Glacierに移動(実体が移る)
  • S3側には8KBのオブジェクト名とメタデータのみ保管
  • オブジェクトをGlacierに直接PUT可能
  • S3側のデータを消すと、Glacier側のデータも消える
  • 90日以内に削除しても90日間利用した分の課金が発生する
  • 復元にかかる時間を3種類から選択可能(時間が長いほど安い:12倍程度の価格差)
    • Expedited(1~5分)
    • Standard(3~5時間)
    • Bulk(5~12時間)

パフォーマンスの最適化

  • RANGE GET
  • マルチパートアップロード
    • 100MB以上のデータのアップロードで快適
    • SDKで利用可能。CLIは自動で判断する