AWS認定ソリューションアーキテクト – プロフェッショナルに合格するまで【ネットワーク篇】

AWS認定ソリューションアーキテクトプロフェッショナル試験合格に向けての資料集。以下の資料を何度も読み込んで、手を動かしながら実践を繰り返すことが合格の近道となる。移行と転送 および ネットワーク サービスの詳細はこちら。

カテゴリ サービス名
コンピューティング EC2, ECS, Lambda, Batch, Elastic Beanstalk
ストレージ S3, EFS, Storage Gateway
データベース RDS, DynamoDB, ElastiCache, Redshift
移行と転送 Database Migration Service, Application Discovery Service, Migration Hub, Server Migration Service, Snowball
ネットワーク VPC, CloudFront, Route53, API Gateway, Direct Connect
開発者用ツール CodeCommit, CodeBuild, CodeDeploy, CodePipeline
管理とガバナンス Organizations, Config, CloudWatch, Auto Scaling, CloudFormation, CloudTrail, Config, OpsWorks, Systems Manager
分析 Athena, EMR, CloudSearch, Elasticsearch, Kinesis, QuickSight
セキュリティとコンプライアンス IAM, RAM, Cognito, GuardDuty, Inspector, CloudHSM, AD&SSO, WAF&Shield
モバイル Amplify, Mobile Hub
アプリケーション統合 SNS, SQS

移行と転送

AWS Database Migration Service

AWS Database Migration Serviceは、RDBのAWSへの移行 を支援するサービス。本サービスを利用することで、短期間で安全にデータベースを移行することができる。また、移行作業中も オンプレミス上のデータベースは使用可能なまま、レプリケーションが継続される ため、ダウンタイムを最小限に抑えることができる。同種のデータベースだけでなく 異なるデータベースプラットフォーム間の移行も可能 。異種間の移行では、まず AWS Schema Conversion Tool を用いてスキーマの移行を行い。次に AWS Database Migration Service を利用してデータの移行を行う。これらの仕組みを利用することで、オンプレミス上の本番環境をもとにAWS上に開発環境を作成するなどのシナリオを実行できる。また、AWS上の異なるデータベースを AWS Database Migration Service を用いて統合することもできる。AWS Schema Conversion Tool に加えて、 Workload Qualification Framework を用いることで、mワークロードの評価や移行手順のレコメンドを受けることもできる。

AWS Application Discovery Service

AWS Application Discovery Serviceは、クラウド移行を支援するために、ホスト名、IPアドレス、CPUなどのインフラ情報に加えて、サーバのパフォーマンス情報など、オンプレミス上のデータを収集するサービスである。収集されたデータは暗号化形式で保存され、CSV等でエクスポートすることもできる。また、TCOの計算に使用したり、AWS Migration Hub でも利用できる。エージェントモードエージェントレスモード が存在する。エージェントレスモードは、VMWare上の環境で動作する。一方、非VMWare環境の場合や、詳細情報等を取得したい場合には、Application Discovery Agent をインストールする。

なお、クラウドへの移行方式にはいくつかの一般的手法が存在し、移行コストが低いものから順に、「Retain」(= 現状維持) 、「Retire」(= 廃止) 、「Re-host」(= 単純移行) 、「Re-purchase」(= アプリケーションの新規導入) 、「Re-platform」(= アプリケーションの一部改修) 、「Refactor」(= アプリケーションの修正や再構築) と呼ばれる。

AWS Server Migration Service

AWS Server Migration Serviceは、オンプレミスのワークロードを簡単にAWSに移行できる エージェントレス サービス。VMware vSphere、Windows Hyper-V、 Microsoft Azure などのデータをレプリケートし、AMIの作成を行う。

AWS Server Migration Service Connector と呼ばれる、VMware vCenter上で稼働する仮想マシンを稼働させることで、VMware vCenter のインベントリ情報をキャプチャすることができる。

AWS Migration Hub

AWS Migration Hubを用いることで、上述のサービスを横断的追跡することができ、それぞれのタスクのメトリクスや進捗状況を確認することができる。

AWS Storage Gateway(1)Storage Gatewayの概要

Storage Gateway

Storage Gatewayは、 オンプレミスからクラウドストレージに対してアクセスを提供 する ハイブリッドストレージサービス 。Storage Gatewayを使用することで、ストレージ管理を簡素化し掛かるコストを低減することができる。クラウドへのデータ移行のみならず、バックアップアーカイブDR などにも活用できる。

Storage Gatewayは、

  • テープゲートウェイ
  • ファイルゲートウェイ
  • ボリュームゲートウェイ

の3タイプで構成され、NFS、SMB、iSCSI などの標準ストレージプロトコルでクラウドストレージにアクセスできる。クラウドストレージにデータを保存することで、AWSの他のサービスを活用して保存したデータの処理を行うことができる。Storage Gatewayは、 VMware ESXi などで実行するVMとして、もしくは ハードウェアアプライアンス として オンプレミス上にデプロイ される。EC2上で動作させることも可能

テープゲートウェイ

iSCSI ベースの 仮想テープライブラリVTL)として使用することができる。データは、 S3 もしくは Gracier に保存することができる。主要なバックアップアプリケーションとの互換性があり、データのバックアップやアーカイブに使用することができる。ゲートウェイはそのデータをローカルに保存した後、S3に 非同期的にアップロード する。

ファイルゲートウェイ

ファイルゲートウェイを使用することで、 NFS および SMB プロトコルを使用して S3 にファイルを保存できる。ファイルゲートウェイは、S3に 非同期でデータを更新 し、データはS3上で SSE-S3 で暗号化される。

ローカルキャッシュ を利用することで、最近アクセスしたデータへの底レイテンシーアクセスとコストの低減が可能になる。

ボリュームゲートウェイ

ボリュームゲートウェイを用いることで、 iSCSI プロトコルを使用している ブロックストレージ をオンプレミスのアプリケーションに提供する。このデータはボリュームの スナップショット としてバックアップして、 EBSスナップショット として保存できる。バックアップは、スケジューラを使うことも、 AWS Buckup を使用することもできる。スナップショットは、差分のみが保存されるため料金を最低限に抑えることができる。ボリュームゲートウェイは、Stored Volume 型と Chached Volume 型に分類される。ボリュームゲートウェイを使用してDR対策を実現できる。

Stored Volume

データ全体をローカルに保存 した上で、非同期コピー を用いて S3ボリュームへのコピーEBSスナップショットの作成 ができる。ボリュームは、 1 GiB~32 TiBの間で設定でき、最大32個のボリュームがサポートされる。 データはオンプレミスに置いておきたいが、バックアップはAWSに置いておきたい という場合に最適。ローカルのディスクは、DAS もしくは SAN ディスクとしてオンプレミスから利用可能。データを復元する場合は、EBSスナップショットをゲートウェイストレージ上に復元できる。また、EC2にEBSボリュームとしてアタッチすることもできる。

Chached Volume

プライマリデータをS3 に保存し、 頻繁に利用するデータをローカルに保存 する。ボリュームは、 1 GiB~32 TiBの間で設定でき、最大32個のボリュームがサポートされる。ゲートウェイストレージ上には、cache storageupload buffer が作成される。データを復元する場合は、EBSスナップショットをゲートウェイストレージ上に復元できる。また、EC2にEBSボリュームとしてアタッチすることもできる。

AWS認定ソリューションアーキテクト – プロフェッショナルに合格するまで【分析篇】

AWS認定ソリューションアーキテクトプロフェッショナル試験合格に向けての資料集。以下の資料を何度も読み込んで、手を動かしながら実践を繰り返すことが合格の近道となる。分析 サービスの詳細はこちら。

カテゴリ サービス名
コンピューティング EC2, ECS, Lambda, Batch, Elastic Beanstalk
ストレージ S3, EFS, Storage Gateway
データベース RDS, DynamoDB, ElastiCache, Redshift
移行と転送 Database Migration Service, Application Discovery Service, Migration Hub, Server Migration Service, Snowball
ネットワーク VPC, CloudFront, Route53, API Gateway, Direct Connect
開発者用ツール CodeCommit, CodeBuild, CodeDeploy, CodePipeline
管理とガバナンス Organizations, Config, CloudWatch, Auto Scaling, CloudFormation, CloudTrail, Config, OpsWorks, Systems Manager
分析 Athena, EMR, CloudSearch, Elasticsearch, Kinesis, QuickSight
セキュリティとコンプライアンス IAM, RAM, Cognito, GuardDuty, Inspector, CloudHSM, AD&SSO, WAF&Shield
モバイル Amplify, Mobile Hub
アプリケーション統合 SNS, SQS

Amazon CloudSearch

AWS認定ソリューションアーキテクト – プロフェッショナルに合格するまで【管理&ガバナンス篇】

AWS認定ソリューションアーキテクトプロフェッショナル試験合格に向けての資料集。以下の資料を何度も読み込んで、手を動かしながら実践を繰り返すことが合格の近道となる。管理ガバナンス に関するサービスはこちら。

カテゴリ サービス名
コンピューティング EC2, ECS, Lambda, Batch, Elastic Beanstalk
ストレージ S3, EFS, Storage Gateway
データベース RDS, DynamoDB, ElastiCache, Redshift
移行と転送 Database Migration Service, Application Discovery Service, Migration Hub, Server Migration Service, Snowball
ネットワーク VPC, CloudFront, Route53, API Gateway, Direct Connect
開発者用ツール CodeCommit, CodeBuild, CodeDeploy, CodePipeline
管理とガバナンス Organizations, Config, CloudWatch, Auto Scaling, CloudFormation, CloudTrail, Config, OpsWorks, Systems Manager
分析 Athena, EMR, CloudSearch, Elasticsearch, Kinesis, QuickSight
セキュリティとコンプライアンス IAM, RAM, Cognito, GuardDuty, Inspector, CloudHSM, AD&SSO, WAF&Shield
モバイル Amplify, Mobile Hub
アプリケーション統合 SNS, SQS

AWS認定ソリューションアーキテクト – プロフェッショナルに合格するまで【セキュリテイ&コンプライアンス篇】

AWS認定ソリューションアーキテクトプロフェッショナル試験合格に向けての資料集。以下の資料を何度も読み込んで、手を動かしながら実践を繰り返すことが合格の近道となる。セキュリテイコンプライアンス に関するサービスはこちら。

カテゴリ サービス名
コンピューティング EC2, ECS, Lambda, Batch, Elastic Beanstalk
ストレージ S3, EFS, Storage Gateway
データベース RDS, DynamoDB, ElastiCache, Redshift
移行と転送 Database Migration Service, Application Discovery Service, Migration Hub, Server Migration Service, Snowball
ネットワーク VPC, CloudFront, Route53, API Gateway, Direct Connect
開発者用ツール CodeCommit, CodeBuild, CodeDeploy, CodePipeline
管理とガバナンス Organizations, Config, CloudWatch, Auto Scaling, CloudFormation, CloudTrail, Config, OpsWorks, Systems Manager
分析 Athena, EMR, CloudSearch, Elasticsearch, Kinesis, QuickSight
セキュリティとコンプライアンス IAM, RAM, Cognito, GuardDuty, Inspector, CloudHSM, AD&SSO, WAF&Shield
モバイル Amplify, Mobile Hub
アプリケーション統合 SNS, SQS

セキュリティ & コンプライアンス

AWS Identity and Access Management

AWS Resource Access Manager

AWS認定ソリューションアーキテクト – プロフェッショナルに合格するまで【モバイル&アプリケーション統合篇】

AWS認定ソリューションアーキテクトプロフェッショナル試験合格に向けての資料集。以下の資料を何度も読み込んで、手を動かしながら実践を繰り返すことが合格の近道となる。モバイルサービス ならびに アプリケーション統合 サービスはこちら。

カテゴリ サービス名
コンピューティング EC2, ECS, Lambda, Batch, Elastic Beanstalk
ストレージ S3, EFS, Storage Gateway
データベース RDS, DynamoDB, ElastiCache, Redshift
移行と転送 Database Migration Service, Application Discovery Service, Migration Hub, Server Migration Service, Snowball
ネットワーク VPC, CloudFront, Route53, API Gateway, Direct Connect
開発者用ツール CodeCommit, CodeBuild, CodeDeploy, CodePipeline
管理とガバナンス Organizations, Config, CloudWatch, Auto Scaling, CloudFormation, CloudTrail, Config, OpsWorks, Systems Manager
分析 Athena, EMR, CloudSearch, Elasticsearch, Kinesis, QuickSight
セキュリティとコンプライアンス IAM, RAM, Cognito, GuardDuty, Inspector, CloudHSM, AD&SSO, WAF&Shield
モバイル Amplify, Mobile Hub
アプリケーション統合 SNS, SQS

AWS CloudHSM(1)CloudHSMの概要

AWS CloudHSM

AWS CloudHSMは、業界標準のAPIや規格に準拠したクラウドベースのハードウェアセキュリティモジュールで、これを用いることでクラウドで安全に 暗号化キーを生成、保管 できる。AWSのサービスの中では、AWS KMS(Key Management Service)と似た機能を有するが、CLoudHSMはシングルテナント構成で、共通鍵だけでなく 秘密鍵も保管できる 。また、AWS KMSのCMK(カスタマーキー)をCloudHSMで保管することも可能である。

AWS Resource Access Manager(1)RAMの概要

AWS Resource Access Manager

AWS RAMを利用すると、プロビジョニングもしくは管理されたリソースを 他のAWSアカウントと共有することができる 。サポートしてるAWSリソースは以下の通り。

  • Amazon Aurora(クラスタ)
  • AWS CodeBuild(プロジェクトとレポートグループ)
  • Amazon EC2(サブネット、TransitGatewayなど)
  • Amazon EC2 Image Builder
  • AWSライセンスマネージャー(ライセンス)
  • AWSリソースグループ
  • Amazon Route 53

Organaizations内のアカウント間でこれらのリソースを共有する場合は、invitationは送信されない 。EC2リソースを共有する場合、アカウント毎に同一リージョンのアベイラビリティゾーンの名称が異なる可能性がある。このため、正確にリソースの場所を特定するためには、 AZ ID を使用する。

AWS(6)コストと請求

Billing and Cost Management

Billing and Cost Management には、コストの見積もりと計画閾値を超えた場合のアラームの受信 を含め以下のような機能を有する。

機能 内容
グラフによるコスト分析 Cost Explorer による表示
予算 Cost Explorer による追跡と SNS通知
支払い通貨 通貨の指定
レポート レポートのS3出力( Organizationsマスターアカウントのみ

Billing and Cost Management では、以下のページが用意されている。

名称 用途と機能
請求情報とコスト管理ダッシュボード 使用状況の確認, ダッシュボード
Cost Explorer AWS 使用量を追跡および分析
Bugets 予算の管理
Bugets Reports
Cost & Usage Reports レポートのS3出力
請求書 現在の料金の確認
注文と請求書 過去の支払い履歴の確認

| 予算 | 使用状況の確認, 予算の管理 |

AWS Organizations(1)Organizationsの概要

AWS Organizations

AWS Organizationsは、 複数のAWSアカウントを統合 するためのアカウント管理サービス。アカウント管理1や 一括請求 機能をはじめとした、以下の機能が備わっている。

  • アカウントの一元管理
  • 一括請求
  • アカウントのグループ( OU )化
  • アカウント毎の アクセスコントロール
  • タグの標準化
  • IAMの統合

これらの機能を実現するために、AWS Organizationsは以下のAWSサービスと連携している。

サービス名 有効化 実現できること
AWS IAM 不要 サービスアクティビティ による 最終アクセス時間の確認
AWS Artifact 必要 組織契約 による 契約の受諾
AWS CloudTrail 必要 組織の証跡 による 証跡の組織への適用
AWS CloudWatch Events 不要
AWS Config 必要 アグリゲータ による 集約ビュー の表示
AWS Control Tower 不要
AWS Directory Service 必要
AWS Firewall Manager 必要 AWS Firewall Manager による WAFルールの管理
AWS ライセンスマネージャー 必要
AWS RAM 必要
AWS Service catalog 必要
Service Quotas 不要
AWS シングルサインオン 必要
AWS System Manager 必要 Systems Manager Explorer によるデータの同期
タグポリシー 必要

AWS Organizationsを有効化すると、複数のAWSアカウントを一括管理することができる。それぞれのアカウントは、ルートを親として 組織単位 (OU)ごとに分類することができる。アカウントは、 マスターアカウント (=ルート)と メンバーアカウント に分かれ、マスターアカウントにはメンバーアカウントを管理するための様々な権限が付与される。AWS Organizationsの全ての機能を有効化することも、 一括請求機能のみを有効化 することもできる。各OUもしくはアカウント単位に、 サービスコントロールポリシー と呼ばれる各アカウントが持つ権限を明示したポリシーを適用することができる。 サービスコントロールポリシーとタグポリシーは、デフォルトでは無効化されている ので、利用する場合は有効化する。

組織とアカウント

AWS Organizationsが持つことのできるマスターアカウントは1つのみである。マスターアカウントでOrganizationsを有効化し、その後参加するアカウントを招待することで、メンバーアカウントを追加することができる。 マスターアカウントはサービスコントロールポリシーの影響を受けない 。Organizationsを削除すると復元できず、またポリシーも削除される。削除する際には、 全てのメンバーアカウントを消去する必要 がある。

Organizationsに参加したメンバーアカウントでは、サービスコントロールポリシーやタグポリシーが即座に適用され、またサービスの信頼を有効化している場合は、そのサービスからメンバーアカウントに対してアクションを実行することが許可される。また、Organizations内で新規のメンバーアカウントを作成することもできる。

ポリシー

サービスポリシー

サービスポリシーは、 最大で使用できるアクセスの権限を各アカウントに対して指定できる機能アカウントのルートユーザにも適用され、アカウントに与える影響が非常に大きいため適用する際には詳細のテストが必要である。IAMのサービスアクティビティに表示される、各アカウントの最終アクセス時刻を参考にポリシーの内容を決定することが望ましい。

サービスポリシーは以下のタスクには影響しない。

  • マスターアカウント
  • Service-linked Role
  • ルートユーザの認証
  • サポートプランの変更
  • CloudFrontの一部機能

サービスポリシーは、IAMポリシーとほぼ同じ構文を使用する。複数のポリシーが適用されている場合は、明示的なDenyがAllowよりも優先される。ポリシーの例は、 サービスコントロールポリシーの例 を参照のこと。

タグポリシー

タグポリシーを用いることで、タグキーおよびタグ値の大文字と小文字の処理方法の設定などを規定することができる。デフォルトでは、タグポリシーへのコンプライアンスの強制はされない。強制をサポートするAWSサービスは 強制をサポートするサービスとリソースタイプ を参照のこと。