AWS CloudTrail
www.slideshare.net
概要
- AWSユーザーの操作(API)をロギングするサービス
- ロギングデータはS3に保存される
- ログファイルは暗号化されてgz形式で保存される(SSE)
- CloudTrail自体は無料
- CloudWatch LogsにJSON形式で転送可能
運用例
AWS Confifg
www.slideshare.net
概要
リソースのインベントリ
- 特定のSGを利用しているリソースを検索
- AWSサービスのリソース間の関係を簡易
AWS Config Rules
- 準拠すべきルールを事前に設定
- ルールに沿った構成変更が行われているかを評価
- マネージドルール(AWSが定義)、カスタムルールの2種類がある
- 設定変更時と、それとは別に定期的に評価される
ベストプラクティス
- 全てのアカウントとリージョンでAWS Configを有効化
- グローバルリソースは1リージョンだけ有効化(重複記録を防ぐ)
- ヒストリーとスナップショットはS3に保存(安全のため)
- マルチアカウント環境ではData Aggregation機能推奨(集中管理を実現)
疑問点
- Data Aggregationとは
Amazon Kinesis
Amazon Simple Notification Service(SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS) from Amazon Web Services Japan
www.slideshare.net
概要
- VPCからプライベートにメッセージを発行できる(VPCエンドポイント使用)
- 毎月100万リクエストまで無料(Publish)
- SQS、Lambdaへの通知配信は量に制限なく無料
- アカウントあたりのトピック数の上限:100,000
- SLA:99.9%
Retry Policy
- 遅延なしリトライ
- 最小遅延間隔でのリトライ
- バックオフモデルを使用したリトライ
- 最大遅延間隔でのリトライ
Next
Amazon Pinpoint
Amazon Simple Queue Service(SQS)
www.slideshare.net
概要
- データサイズは256KB
- 保持期間はデフォルト4日、最大14日間
- 毎月100万件のリクエストまで無料利用枠
- 複数のサーバー/データセンターに全メッセージを重複して保持(分散キュー)
キューの種類
設計のポイント
- 冪等性を確保できるようにする
メッセージ属性
- メッセージ本文とは別に、メタデータ等を保持させることができる
- 最大10個
- サーバーサイド暗号化の対象外(本文のみ暗号化される)
- メッセージサイズ上限の256KBに含まれる
Next
Amazon MQ
AWS Lambda
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 & Part2 from Amazon Web Services Japan
www.slideshare.net
Lambda関数の制限
- インバウンドのネットワーク接続はブロックされる
- アウトバウンドはTCP/IPとUDP/IPのみ
- 同時実行数:1,000(上限緩和可能)
- 関数のメモリ割り当て:138MB~3008MB(上限緩和不可)
- 関数のタイムアウト:15分
イベントソース(=トリガー)
- ポーリングベース
- ストリームベース
- それ以外
- それ以外
- Lambda関数はイベントソースから呼び出される
- イベントソースマッピング
VPCアクセス
- インターネットを経由せずにVPC内のサービスにアクセス可能(RDSなど)
- Lambda関数にVPCサブネットおよび、SGを設定することで可能になる
- ENIで動的にサブネットIPを割り当てることでも可能(DHCP)
- 設定をしたタイミングでインターネットアクセスは不可となる
- サブネットIPやENIが枯渇すると処理が失敗するので注意
環境変数の暗号化
- キーと値はAWS KMSにて暗号化して保存される(自動)
Amazon S3
www.slideshare.net
概要
- オブジェクトストレージ(Not Block Storage, Not File Storage)
- 容量無制限。1ファイル最大5TBまで
- 月額1GB/約3円
- 少なくとも3つのAZにデータを格納する
- Data Consistencyモデル(Readは結果整合性)
- 複数同時書き込みのロック処理はおこなわれない
ストレージクラス
- STANDARD
- STANDARD-IA(標準低頻度アクセスストレージ)
- 読み込み時に課金が発生
- S3 Glacier
- 直接復元できず、一度リストアが必要
- S3にもメタデータが残り、そのオブジェクトを削除すると消える
- 低冗長化ストレージ(RRS)
- Glacierの復元先となる。耐久性が99.99%(他は99.9999...%)
Block Public Access
- 意図せずバケットがパブリックアクセスにあることを抑制する
- プライベートからパブリックへの変更を無効化するなどあらかじめ設定する
VPC Endpoint
- VPC内のPrivate SubnetからNAT Gatewayを介さずに、セキュアにS3と通信可 能
- 同一リージョンのS3にのみ対応
署名付きURL
- URLを生成したIAMユーザー/ロールの権限が用いられる
- 有効期限の指定ができる(秒単位)
データの保護
- サーバー、クライアントどちらのサイドでもKMSで管理する鍵が使える
S3 Object Lock
- Write Once Read Many(WORM)
- コンプライアンスモードはrootアカウントでも削除できない
クロスリージョンレプリケーション
ライフサイクル管理
- 最大1,000までLifecycleのルールを設定可能
- 毎日0:00UTCに処理がキューイングされ順次実行
- 128KB未満のデータは30日以上経過してもIAに移動されない
アーカイブ
- オブジェクトのデータはS3 Glacierに移動(実体が移る)
- S3側には8KBのオブジェクト名とメタデータのみ保管
- オブジェクトをGlacierに直接PUT可能
- S3側のデータを消すと、Glacier側のデータも消える
- 90日以内に削除しても90日間利用した分の課金が発生する
- 復元にかかる時間を3種類から選択可能(時間が長いほど安い:12倍程度の価格差)
- Expedited(1~5分)
- Standard(3~5時間)
- Bulk(5~12時間)