aws基礎知識

AWS Secrets Managerは、データベースなどにアクセスする際のシークレット(ログイン時の認証情報など)を管理するサービスです。アプリケーションなどからAWSリソースへアクセスする際にSecrets Managerからシークレットを取得することにより、ログイン情報をアプリケーションにハードコーディングしたり平文で入力しておく必要がありません。
管理者はSecrets Managerを利用することにより、アプリケーションの安全な認証を実現できるようになります。

AWS Resource Access Manager(RAM)は、AWSリソースを複数のAWSアカウントで共有できるサービスです。共有可能なAWSリソースには、Amazon EC2、AWS VPC、Amazon Transit Gatewayなどがあります。

AWS Certificate Manager(ACM)は、SSL/TLS証明書を作成・管理できるマネージドサービスです。ACMで管理しているSSL/TLS証明書(サーバー証明書)をAmazon CloudFront、Elastic Load Balancing、Amazon API Gatewayなどに適用することで、ユーザーとの通信をHTTPSで暗号化するとともに、ドメイン(ping-t.com など)の使用権を確認してアクセス先のサーバーが本物であるという証明をします。

Amazon Cognitoは、モバイルアプリケーションやWebアプリケーション向けのユーザー認証機能を提供するサービスです。新たにユーザー登録を行ったり、外部のIDプロバイダと連携したユーザー認証、およびユーザーの管理を行えます。

ユーザー数の上限がデフォルトで4000万と非常に大きいため、不特定多数のユーザーが利用するアプリケーションのユーザー管理に適しています。

Amazon VPC Latticeは、複数のVPCやアカウントにまたがるアプリケーション間の通信を簡素化し、一元的に管理するフルマネージドサービスです。HTTP、HTTPS、gRPCなどアプリケーション層の通信プロトコルをサポートしており、VPC Latticeを介して各アプリケーションを関連付けることで接続を実現します。特に、マイクロサービスアーキテクチャと呼ばれる、小型のサービスが集まったアプリケーションにおいて、複雑なネットワーク構成を効率的に管理するのに有効です。[VPC Latticeを使用した接続の例]

AWS Outpostsは、AWSのインフラストラクチャやサービスをオンプレミスに拡張して利用できるフルマネージドサービスです。Outpostsを使用すると、AWSのラックやサーバーをオンプレミス環境に導入し、AWSのサービス(例:EC2、S3、RDSなど)をローカルで使用することができます。

Amazon RDS Proxyは、Amazon RDSおよびAmazon Auroraデータベースへの接続を効率的に管理するフルマネージドのプロキシサービスです。RDS Proxyをアプリケーションとデータベースの間に配置することで、データベース接続の管理を効率化し、アプリケーションのパフォーマンス、スケーラビリティ、および可用性を向上させることができます。特に、サーバーレスアーキテクチャやマイクロサービスアーキテクチャで使用されることが多く、頻繁なデータベース接続の確立や切断がパフォーマンスに影響を与えるケースに適しています。[Amazon RDS Proxyの利用例]

ガードレールとは、AWSにおけるベストプラクティスに基づいた構成や設定、ルールの組み合わせが事前定義されたもので、AWS Control Tower内で提供されています。管理者は、セキュリティやコンプライアンスの要件にあわせてこれらを選択し適用することで、各アカウントに対する設定や適用するルールのばらつきが生じることを防ぎ、統制のとれたマルチアカウント環境を容易に展開することができます。データレジデンシーガードレールは、データの保存や処理ができるリージョンに制限をかけることを主な目的としたガードレールです。このガードレールを用いることで、特定のリージョン以外の使用を禁止したり、VPCをインターネットから隔離するといった設定が可能です。これにより、企業のコンプライアンス要件や国際的な法規制などに準拠した環境を構築することができます。

AWS Control Towerは、AWSにおけるベストプラクティスに基づいた、セキュアなマルチアカウント環境(ランディングゾーンと呼ばれます)のセットアップを自動化するマネージドサービスです。Control Towerでは、AWSにおけるベストプラクティスに基づいた構成や設定、ルールの組み合わせをガードレール(コントロールとも呼ばれます)として提供しています。管理者は、セキュリティやコンプライアンスの要件にあわせてこれらを選択し適用することで、各アカウントに対する設定や適用するルールにばらつきが生じることを防ぎ、統制のとれたマルチアカウント環境を容易に展開することができます。また、AWSクラウド上にセキュアなマルチアカウント環境を構築するためには、さまざまなAWSサービス(例: AWS Organizations、AWS Config、AWS CloudFormation等)を組み合わせて実現する必要があります。Control Towerを使用することで、これらのサービスの有効化と構成が自動的に行われ、環境構築の手間を軽減できます。

Amazon Managed Service for Apache Flink(旧 Kinesis Data Analytics)は、ストリーミングデータを処理し、可視化・分析できるサービスです。処理用のテンプレートが用意されていたり、標準SQLのクエリが発行できたり、JavaやPythonなどのプログラミング言語がサポートされているなど、柔軟に処理を組み込むことができます。データをデータベースへ移行することなく処理することで、リアルタイムに結果を得ることができます。

Amazon SageMakerは、機械学習(ML:Machine Learning)モデルを構築、トレーニング、デプロイするためのフルマネージド型のサービスです。なお機械学習とは、大量のデータをコンピューターに学習させて、自動で解析・改善できるようにする技術です。

AWSの主なデータ転送料金は以下のとおりです。

Well-Architected Frameworkの「パフォーマンス効率」の設計原則には、実現したいシステムの要件に合わせてAWSリソースを効率的に使用することと、需要の変化や技術の進化に応じてパフォーマンスを維持するための推奨事項が記載されています。「パフォーマンス効率」の設計原則の一つは、「サーバーレスアーキテクチャを使用する」です。サーバーの運用や管理を意識することなくサービスを展開できます。例えば、S3の静的Webサイトホスティング機能ではWebサーバーの運用や管理をしなくても、S3に保存している静的コンテンツをWebサイトとして公開できます。

Amazon Data Firehose(旧 Kinesis Data Firehose)は、ストリーミングデータをAmazon S3、Amazon Redshift、Amazon OpenSearch Serviceなどへ配信するサービスです。Data Firehoseはプロデューサーからストリーミングデータを受け取り、必要に応じてデータ変換処理やLambda関数の呼び出しを実行した後、データ配信先へ送信します。

本設問の条件「ストリーミングデータをファイルとして保存する」は、Data Firehoseの配信先をS3に設定することによって実現できます。

Kinesis Data Streamsはストリーミングデータを収集するサービスで、データをRDSに保存するにはLambda関数などを使用する必要があります。

AWS Certificate Manager(ACM)は、SSL/TLS証明書を作成・管理できるマネージドサービスです。ACMで管理しているSSL/TLS証明書(サーバー証明書)をAmazon CloudFront、Elastic Load Balancing、Amazon API Gatewayなどに適用することで、ユーザーとの通信をHTTPSで暗号化するとともに、ドメイン(ping-t.com など)の使用権を確認してアクセス先のサーバーが本物であるという証明をします。ACMで管理するSSL/TLS証明書はACMから発行できる他、ユーザー独自の証明書もインポートして利用できます。

AWS IAM Identity Center(旧: AWS Single Sign-on)は、複数のAWSアカウントやアプリケーションへのアクセスを効率的に一元管理するためのサービスです。Identity Centerを使用すると、一度の認証処理で複数のAWSアカウントやアプリケーションへのアクセスが可能になるシングルサインオンの環境を容易に実現できます。

Amazon DocumentDB(MongoDB 互換)は、MongoDBと互換性があるフルマネージド型のドキュメントデータベースサービスです。

Amazon Macieは、S3バケット内のデータ保護に特化したセキュリティサービスです。機械学習とパターンマッチングを用いて、自動的にS3バケット内のオブジェクトを分析し、個人情報や秘匿技術などの機密データを識別・分類します。S3バケットのセキュリティとアクセス制御を継続的に評価し、機密データの未暗号化や不適切な共有、漏洩などの問題について、検知した結果をマネジメントコンソール上に反映します。

Amazon OpenSearch Service(旧Amazon Elasticsearch Service)は、フルマネージド型の検索・分析エンジンサービスであり、テキストの全文検索やログ分析などの用途に利用できます。OpenSearch Serviceは内部の分散ストレージを活用することで、大量のデータに対して高速な検索や分析を実現します。また、高度な検索機能を提供しており、テキストデータのような非構造化データに対しても高速なキーワードおよびフレーズ検索が可能です。

AWS Configは、AWSリソースの設定を管理し、記録・評価するサービスです。AWSリソースの設定がいつ変更されたかを記録し、変更がルールに準拠したものでない場合には「非準拠」として記録されます。

AWS Configを有効化することにより、例えばセキュリティグループの設定が変更された場合や、S3バケットを新たに作成した場合にバージョン管理が有効化されているかなど、様々なリソースの設定状況を監査します。なお、変更があったタイミングでSNSによる通知を受け取ることもできます。AWS Configのルールはユーザーが作成できます。作成時には、AWSが用意したルールをカスタマイズしたり、Lambda関数を使用した独自ルールを追加することもできます。AWSリソースに対して、用途や環境などの管理のためにタグを付与している場合、AWS Configの「required-tags」ルールではタグの付与漏れがないかをチェックできます。2022年6月現在では、EC2、ELB、RDS、Redshift、S3などのリソースに対応しています。

AWS X-Rayは、アプリケーションの動作に関するデータを収集・分析できるサービスです。主にトラブルシューティング目的で利用され、アプリケーション内のリクエストをトレースし、処理時間やレスポンスを分析することで、パフォーマンスのボトルネックやエラーの発生箇所を特定できます。

AWS Compute Optimizerは、コンピューティングリソースの設定と使用状況を分析し、コスト最適化とパフォーマンス向上のための推奨事項を提供します。対象となるリソースには、EC2インスタンス、EC2 Auto Scalingグループ、EBSボリューム、Lambda関数、Fargate利用のAmazon ECSなどが含まれます。

AWS Transfer Familyは、AWSストレージ上へのセキュアなファイル転送を実現するマネージドサービスです。SFTP、FTPS、FTPなどをサポートし、Amazon S3およびAmazon EFSへセキュアにファイルの転送が可能になります。

・オンプレミスのデータを、NFSまたはSMBを使用してAWSストレージへ転送する「AWS Storage Gateway ファイルゲートウェイ」の説明です。

・オンプレミスにエージェントを導入して、AWSストレージとファイルを同期する「AWS DataSync」の説明です。

Amazon Quantum Ledger Database (QLDB) は、フルマネージドの台帳データベースです。データの変更履歴をイミュータブル(不変的)に記録し、履歴が改ざんされていないことを暗号技術によって検証できます。QLDBはデータベースの全ての変更履歴が追跡できるので、金融取引の監査や法的文書の管理など変更履歴の正確性が求められるケースでの利用に適しています。

Amazon AppFlowは、様々なSaaSアプリケーション(例:Salesforce、ServiceNow、Slackなど)と、AWSサービス(例:Amazon S3、Redshift、DynamoDBなど)間でデータを安全に転送できるフルマネージドサービスです。

[AppFlowのフロー設定の流れ]

このサービスは直感的なユーザーインターフェースを提供しており、数クリックでデータフローを設定することが可能です。これにより、技術的な専門知識が少ないユーザーでも簡単にデータ転送を実行できます。デフォルトでAWSのKey Management Service(KMS)が有効になっており、データは保存時および転送中に暗号化されます。さらに、AWS PrivateLinkをサポートするSaaSアプリケーションでは、インターネットを介さずにAWSインフラストラクチャを経由したプライベートなデータ転送も可能です。

AWS Lake Formationは、安全なデータレイクを簡単かつ迅速に構築・運用するためのマネージドサービスです。データレイクとは、データが構造化されているかどうかに関係なく、さまざまなデータを一元的に保存・管理する場所のことを指します。データレイクの構築には、様々なデータソースからのデータの取り込み、標準化およびカタログ化、適切なアクセス権限の設定など、考慮しなければならない事項が多く存在します。AWSでは従来、これらの考慮事項に対応した個別のサービス(Amazon S3、AWS Glue、IAMなど)を手動で組み合わせて実現していましたが、Lake Formationを使用することで、これらを一元的に管理することが可能になります。

この記事は役に立ちましたか?

もし参考になりましたら、下記のボタンで教えてください。

関連記事

コメント

この記事へのコメントはありません。