多すぎるAWSサービスはカラーで覚える!色から機能を連想する視覚記憶術
AWSのサービスは200以上。正直、全部覚えるのは無理ですよね。
でも実は、AWSのアイコンには「色によるカテゴリ分け」というルールがあります。この色を覚えておくだけで、初見のサービスでも「あ、これは○○系だな」と直感的に理解できるようになります。
| カテゴリ | 該当サービスの例 |
|---|---|
| 計算 (Compute) | EC2, Lambda, App Runner |
| ストレージ (Storage) | S3, EBS, EFS |
| データベース (Database) | RDS, DynamoDB, ElastiCache |
| ネットワーク (Networking) | VPC, CloudFront, Route 53 |
| セキュリティ (Security) | IAM, WAF, Secrets Manager |
| 管理 (Management) | CloudWatch, Systems Manager |
| 分析 (Analytics) | Kinesis, Glue, Athena |
ざっくり覚えるなら、この4つだけ
- オレンジ = 計算する系(サーバー、コンテナ、関数)
- グリーン = 保存する系(ファイル、オブジェクト、ブロック)
- パープル/ピンク = データ・通信系(DB、キュー、ネットワーク)
- レッド = 守る系(認証、セキュリティ、アクセス制御)
アーキテクチャ図を見たとき、色の配置だけで「この構成はストレージ重視だな」「セキュリティ周りが手厚いな」といった全体像が掴めるようになります。新しいサービスが出ても、アイコンの色を見れば迷子になりません。
AWSの資格の種類
AWS認定試験は2023/8月時点で12種類に資格があります。
- AWS認定Solutions Architect(ソリューションアーキテクト)アソシエイト(SAA-C02)
システム設計 - AWS認定Developer(デベロッパー)アソシエイト(DVA-C01)
開発 - AWS認定SysOps Administrator(シスオプス アドミニストレーター)アソシエイト(SOA‐C02)
管理運用
| (設計者向け) ソリューションアーキテクト | (開発者向け) デベロッパー | (運用管理者向け) Sys Ops アドミニストレーター | |
|---|---|---|---|
| Professional Level | AWS認定 ソリューションアーキテクト -プロフェッショナルレベル試験 | AWS認定 Dev Ops エンジニア -プロフェッショナルレベル試験 | |
| Associate Level | AWS認定 ソリューションアーキテクト -アソシエイトレベル試験 | AWS認定 デベロッパー -アソシエイトレベル試験 | AWS認定 Sys Ops アドミニストレーター -アソシエイトレベル試験 |
| Foundation Level | AWS認定 クラウドプラクティナー試験 |
インフラエンジニアとしてどのようなことがしたいか、明確にあるほうが、 案件をアサインしやすい 例)AWSの環境構築をしたいので、キャリアは未経験ですが、AWSの資格をアソシエイトを3つプロを一つ取得しました。
AWS認定ソリューションアーキテクト-アソシエイトレベル試験概要
| セキュアなアーキテクチャの設計 | 30% |
| 弾力性に優れたアーキテクチャの設計 | 26% |
| 高パフォーマンスなアーキテクチャの設計 | 24% |
| コストを最適化したアーキテクチャの設計 | 20% |
- 試験時間:130分
- 問題数:65問
- 合格ライン:720点/1000点
| サービス名 | 説明 |
|---|---|
| Enhanced Networking | 拡張ネットワーキング(Enhanced Networking)は、Amazon EC2インスタンスのネットワーク性能を向上させる機能です。 |
| AWS Fargate | AWS Fargate(Fargate起動タイプ)は、コンテナ向けのサーバーレスコンピューティングエンジンです。コンテナ実行環境のCPUやメモリのスペック、アクセス権限(IAM)などを設定するだけで、サーバーの環境構築や管理をすることなくコンテナを実行できます。 Fargateの利用料金は、タスクで指定したCPU/メモリに応じて課金されます。実行したタスクのリソース使用量に対して料金が発生するので、タスクが実行していない時は料金が発生しません。不定期にタスクが実行されるシステムなどに向いています。 |
| Elastic Kubernetes Service (Amazon EKS) | Kubernetesのマネージドサービスです |
| EKS Horizontal Pod Autoscaler (HPA) | CPU使用率やメモリ使用量といったメトリクスに基づきポッドの数を自動的に増減させる水平方向のスケーリング機能です。 |
| Elastic Volumes | 稼働中のAmazon EBSボリュームに対して、サイズの拡張やタイプの変更、IOPS/スループットの調整をインスタンスの停止やボリュームのデタッチを行わずに実行できる機能 |
| AWS Storage Gateway ファイルゲートウェイ | AWS Storage Gateway ファイルゲートウェイは、オンプレミスからNFS(Network File System)またはSMB(Server Message Block)を使用してAWSストレージへアクセスできるサービスです。 |
| Cost Explorer | |
| Budgets(予算) | |
| Amazon RDS Proxy | Amazon RDS Proxyは、Amazon RDSおよびAmazon Auroraデータベースへの接続を効率的に管理するフルマネージドのプロキシサービスです。 |
| Aurora DSQL | MySQL/PostgreSQL互換のデータベースエンジンです。フルマネージド型サービスであるAmazon RDSで利用可能なデータベースエンジン |
| Amazon ElastiCache | ElastiCacheはフルマネージド型のインメモリデータベースサービスです RedisはMemcachedよりも高機能なデータベースエンジンで、耐障害性の機能として「自動フェイルオーバー」「マルチAZ」を備えています。 |
| Amazon DynamoDBのグローバルテーブル | Amazon DynamoDBのグローバルテーブルは、DynamoDBテーブルを複数のリージョンにまたがって運用できるサービスです。複数のリージョンにDynamoDBテーブルが自動的にレプリケートされ、ユーザーは地理的に近いリージョンのDynamoDBテーブルへ高速な読み込みと書き込みが可能になります。 |
| VPC | |
| VPC ネットワーク ACL | ネットワークACLは、VPC内でサブネット単位にネットワークアクセスを制御するファイアウォールです。IPアドレスを元に許可ルールと拒否ルールの両方を設定可能です。 |
| VPC VPN | AWS VPN(Virtual Private Network)はオンプレミスなどのユーザー環境からAWSへ、インターネットVPNでセキュアに接続するサービスです。AWS VPNではインターネット回線を利用するので、専用回線を敷設するDirect Connectよりも安価に、かつ短い期間で接続を開始できます。 |
| AWS Direct Connect | オンプレミスなどAWS外のネットワーク環境からAWSに対して、専用ネットワークで安全に接続できるサービス |
| Amazon Route 53 リゾルバー | ネットワークの DNS と簡単に統合できる VPC 用の DNS リゾルバーサービス |
| 位置情報ルーティングポリシー | Route 53のルーティングポリシーのうち「位置情報ルーティングポリシー」は、ユーザーの位置情報に基づいて回答するIPアドレスを決めます。例えばユーザーの位置情報から、ユーザーの使用言語に合ったコンテンツがあるリソースのIPアドレスを回答します。 |
| レイテンシールーティングポリシー | ユーザーから最も遅延の少ないリージョンのサーバーへアクセスさせたいとき |
| フェイルオーバールーティングポリシー | Webサーバーの障害発生時に代替ページを自動的に表示させたいとき |
| 加重ルーティングポリシー | オンプレミスとEC2インスタンスへのアクセスの割合が3:7になるように割り振りたいとき |
| Amazon Data Firehose(旧 Kinesis Data Firehose) | 規模を問わない、低コストの、あらゆるデータのためのリアルタイムストリーミング配信。 ストリーミングデータをAmazon S3、Amazon Redshift、Amazon OpenSearch Serviceなどへ送信するサービスです。 |
| AWS Secrets Manager | AWS Secrets Managerは、データベースなどにアクセスする際のシークレット(ログイン時の認証情報など)を管理するサービスです |
| AWS Key Management Service | AWS Key Management Service (KMS) は、幅広い AWS のサービスでキーの作成や管理および暗号化の使用を管理するマネージドサービスです。 |
| Amazon Cognito | モバイルアプリケーションやWebアプリケーション向けに、ユーザー認証とアクセス制御を提供するサービスです。ユーザーはユーザー名やメールアドレス、電話番号でアカウントを作成し、パスワード認証に加えて、GoogleやFacebookなどの外部IDプロバイダ(IdP)による認証を利用できます。 |
| AWS WAF | AWS WAFは脆弱性を突く攻撃(クロスサイトスクリプティングやSQLインジェクションなど)から、Webアプリケーションを保護するサービスです。 |
| AWS Shield | Managed DDoS protection service. |
| Amazon GuardDuty | Amazon GuardDutyは、AWS環境内の不正なアクティビティを継続的に監視し、脅威を検出するサービスです。 |
| Amazon Macie | S3バケット内にある機密データの検出・分類に特化したセキュリティサービスです。 |
| IAM | |
| AWS Security Token Service(STS) | AWS Security Token Service(STS)は、AWSユーザーやアプリケーションに、AWSリソースへの一時的なセキュリティ認証情報を提供するサービスです。 |
| Auto Scaling | |
| AWS Step Functions | 標準ワークフローは、最長1年間の連続実行が可能で、長期の大規模バッチ処理や業務プロセスに適しています。 |
| CloudFormation | AWSクラウド上で環境を自動的に構築するサービスです。JSONやYAML形式で記述されたテンプレートをもとに、AWSのインフラストラクチャを構築および管理します。 |
| Amazon MQ | Apache ActiveMQとRabbitMQに対応したフルマネージドの「メッセージキュー」を管理するサービスです |
| Amazon Simple Notification Service(SNS) | Amazon Simple Notification Service(SNS)はフルマネージドのメッセージングサービスです。「メッセージ」とはシステム間を連携する通知やデータのことで、EメールやSMS、Lambda関数、Amazon SQSを通して、複数のアプリケーションやユーザーに対して同時にメッセージを配信します。 |
| Amazon SQS | Amazon SQSはフルマネージドのメッセージキューイングサービスです。「メッセージキューイング」とは個々のサービスやシステムをメッセージを使用して連携する仕組みのことです。 |
| SQS 可視性タイムアウト | Amazon SQSにおいて、キューのメッセージは受信側が明示的に削除の指示をしない限り削除されません。SQSのメッセージを受信するクライアントが複数ある場合、タイミングによっては、メッセージが削除される前に複数のクライアントでメッセージを受信してしまうことがあります。 可視性タイムアウトはこれを防ぐために、一度クライアントがメッセージを受信した後、指定時間(デフォルト30秒)が経過するまでそのメッセージが他のクライアントからは見えないようにします。 |
| AWS CloudTrail | – 管理イベント … ユーザーのログイン、AWSリソース自体の作成、変更、削除といった操作(例:EC2インスタンスの作成など) – データイベント … AWSリソースへの細かな操作(例:S3内のデータ操作、Lambda関数の実行など) – インサイトイベント … 通常と異なる操作(例:書き込みAPIの異常な呼び出しなど) |
| AWS Organizations | 複数のAWSアカウントを一元的に管理するためのサービスです。AWS Organizationsを使用することで、管理対象のAWSアカウントに対する権限の設定や、各アカウントの請求情報を集約した一括請求が利用できます。 |
| AWS Trusted Advisor | AWS Trusted Advisorのチェックは「コスト最適化」「パフォーマンス」「セキュリティ」「耐障害性」「サービス制限(サービスクォータ)」「運用上の優秀性」 |
| AWS Config | AWS Configは、AWSリソースの設定変更を監視、記録し、リソースのセキュリティやコンプライアンスを評価するサービスです。 |
| Amazon Redshift | 高速でフルマネージド型のペタバイト規模のクラウドデータウェアハウス。 |
| Amazon SageMaker | |
| QuickSight | 大規模なデータを分析し経営に役立てるためのBI(BI:Business Intelligence※)サービス ExcelやCSV、Amazon Redshiftのデータベースなど、様々なデータソースを基にダッシュボードやレポート、グラフを作成してデータを可視化し、データ分析に役立てます。 |
| Amazon EMR | ビッグデータの処理や分析を行うサービスです。ビッグデータを処理する既存のフレームワークであるHadoop(ハドゥープ)やSpark(スパーク)を用いています。 |
重要サービス
EC2 S3 VPC IAM ELB/Auto Scaling
IAM(AWS Identity and Access Management)
IAM は、AWS リソースへのアクセス権限を管理するためのサービスです。IAM より、AWS アカウントで誰が何(認証・認可)を実行できるかを定義します。
Permissions Boundary(アクセス許可境界)
IAMユーザーやIAMロールの操作可能範囲を限定、制約を設ける機能
リソースの記述はARN(Amazon Resource Name)形式
arn:aws:サービス:リージョン:アカウントID:リソース
VPC(Amazon Virtual Private Cloud)
仮想ネットワーク
↓1つのVPCはリージョン内すべてのAZにまたがる
VPCエンドポイント
インターネットとの通信が制限されているプライベートサブネット内のAWSリソースから、インターネットゲートウェイを経由せずにVPC外のAWSサービスへアクセス可能にする機能
EC2(Elastic Compute Cloud)
elastic … 拡張性
AWS上に仮想サーバを作るサービス
EC2を起動するとき元となるイメージをAMI(Amazon Machine Image)を選んで作成します。
…AMI(Amazon マシンイメージ)は、EC2インスタンスを起動するために必要なOSやミドルウェアなどのテンプレートです。
従量課金型(使った分だけ課金)
・起動中(Running)→費用発生
・停止中(Stopped)→EBSの費用のみ発生
・削除済み(Terminated)→発生しない
ELB(Elastic Load Balancing)
アプリケーションへの負荷やCPUの稼働状況をリアルタイムにモニタリングできるロードバランサーです
RDS(Amazon Relational Database Service)
データベースのマネージドサービス
Aurora AWSが独自に開発
S3(Amazon Simple Storage Service)
・オブジェクトストレージサービス … データを固有のIDを持つ「オブジェクト」として扱う→ディレクトリのような階層構造を持たない
・AWSのストレージサービスの中で1TBあたりの保存料金が最も安い
・保存容量が無制限
| ストレージクラス | 保存料金の高い順 | 取出し料金 | 取出し遅延 | 保存AZ | 最短保存期間 |
|---|---|---|---|---|---|
| S3 Standard 標準(Standard) | 1 | なし | なし | 3以上 | なし |
| S3 Intelligent-Tiering アクセス頻度が予測不能なデータを保存する際に適している | 変動 | なし | 変動 | 3以上 | なし |
| S3 Standard-IA (S3 Standard-Infrequent Access) | 2 | あり | なし | 3以上 | 30日 |
| S3 One Zone-IA | 3 | あり | なし | 1 | 30日 |
| S3 Glacier Instant Retrieval ※アーカイブデータ向け | 4 | あり | なし | 3以上 | 90日 |
| S3 Glacier Flexible Retrieval ※アーカイブデータ向け | 5 | あり | 数分~数時間 | 3以上 | 90日 |
| S3 Glacier Deep Archive ※アーカイブデータ向け | 6 | あり | 数時間 | 3以上 | 180日 |
バケット
Amazon S3のオブジェクトが保存される領域
・一つのバケットにはオブジェクト数が無制限で保存可能
・バケット名はグローバルで一意、作成したバケット名は変更は不可
マルチパートアップロード
S3バケットに5GBを超えるファイルをアップロードするときに利用
※S3バケットに保存できるオブジェクトの最大サイズは5TBですが、一度にアップロードできる最大サイズは5GB
クロスリージョンレプリケーション
S3オブジェクトを自動的に異なるリージョンに保存したい場合に利用
S3 Transfer Acceleration
ユーザーからS3バケットへ最適化したネットワークルートを経由してデータを転送する機能
ライフサイクル
・移行アクション … 利用頻度に応じてストレージクラスを変更
・有効期限アクション … 指定された期限を超えたオブジェクトを削除
ライフサイクルポリシー
S3バケット内のデータに対して、ストレージクラスの変更やオブジェクトの削除を自動化する機能
著名付きURL
アクセスを許可したいオブジェクトに対して期限を指定してURLを発行
バケットポリシー
・S3で保存しているデータにバケット単位でアクセス権限を設定する機能
・サーバー側の暗号化(Server-Side Encryption:SSE)を強制できます
<サーバー側の暗号化には、以下3種類の方法があります>
- Server-Side Encryption:SSE
データをS3に保存する時にサーバーで暗号化する方法 - SSE-KMS
AWS KMS(AWS Key Management Service)に保存されているKMSキーを使用する - SSE-C
ユーザーが管理している鍵を使用する
バージョニング
オブジェクトの世代管理ができる機能
静的Webサイトホスティング
バケットに保存している静的コンテンツ(HTMLやJPGなど)をWebサイトとして公開できる機能
MFA Delete
S3のバージョニング機能で世代管理されているオブジェクトを削除する際に、MFAデバイス認証が必要となる機能
オブジェクトロック
S3バケットに保存したオブジェクトに対して更新・削除を制限する機能
・S3バケット作成時にのみ設定可能
・オブジェクトロックを有効にするとバージョニング機能も有効になります。
※主にオブジェクトが意図的に改ざん・削除されることを防止する目的で使用
- リテンションモード … 一定期間の保護
- ガバナンスモード … s3:BypassGovernance Retention という権限がないと変更できない
- コンプライアンスモード … 保護期間が明けるまで誰も上書き削除ができない
- リーガルホールド … 保護期間を設定しない
グローバルインフラストラクチャとネットワーク
リージョン
日本国内には「東京リージョン」と「大阪リージョン」の2つのリージョンが存在
アベイラビリティゾーン(AZ)
エッジロケーション
ユーザに近いネットワークで高速なコンテンツを配信
CIDRブロック
VPCで作成者はIPアドレス(CIDRブロック)をアサインできます
/16~/28の範囲
ルートテーブル
ルーティング設計
・サブネットに1つずつ設定
インターネットゲートウェイ(IGW)
VPCとインターネットを接続するためのゲートウェイ
NATゲートウェイ
ネットワークアドレス変換機能を持ちプライベートサブネットからインターネットへの通信を可能にする
NATインスタンス
・NATゲートウェイと同じくプライベートサブネットからインターネットへの通信を可能にする
・EC2インスタンスから作成
・ポート転送機能を設定可能
・IPv4専用
仮想プライベートゲートウェイ(VGW)
・VPCごとに1つだけ紐づけることが可能
VPCエンドポイント
インターネットとの通信が制限されているプライベートサブネット内のAWSリソースから、インターネットゲートウェイを経由せずにVPC外のAWSサービスへアクセス可能にする機能
VPCピアリング
2つのVPC間でプライベートな接続をするための機能
・異なるVPCアカウント間でも可能
VPCフローログ
AWS Direct Connectゲートウェイ
オンプレミスと物理専用線で接続するサービス
※インターネットを経由しないプライベートな接続を確保
・ZVPCと拠点を1対1で繋ぎます
AWS Transit Gateway
複数のVPC、Direct Connect、VPNをスター型トポロジーで接続
※ハブを介して、ネットワークを接続するクラウドルーター
→ネットワークが簡素化
AWS Site-to-Site VPN(サイト間VPN)
カスタマーゲートウェイ(オンプレミスのルーター)とVPCの仮想プライベートゲートウェイ(VGW:Virtual Private Gateway)を、インターネットVPN(VPNトンネル)で接続するサービス
コンピューティングと関連サービス
Lambda/API Gateway ECS/Fargate/EKS
EC2(Elastic Compute Cloud)
elastic … 拡張性
AWS上に仮想サーバを作るサービス
EC2を起動するとき元となるイメージをAMI(Amazon Machine Image)を選んで作成します。
…AMI(Amazon マシンイメージ)は、EC2インスタンスを起動するために必要なOSやミドルウェアなどのテンプレートです。
従量課金型(使った分だけ課金)
・起動中(Running)→費用発生
・停止中(Stopped)→EBSの費用のみ発生
・削除済み(Terminated)→発生しない
スポットインスタンス
AWSが余らせているEC2リソースを入札形式で利用
「スポットフリート」はスポットインスタンスのオプションの一つです。必要なインスタンス数を指定することで、指定した数のスポットインスタンスが起動します。スポットインスタンスが中断されて必要なインスタンス数を下回った場合、自動的にインスタンスを補充してインスタンス数を維持します。
ハードウェア専有インスタンス(Dedicated Instances)は、他のAWSアカウントとは分離された専用ハードウェアでEC2インスタンスを利用できる購入オプションです。物理的なCPUソケット、コア数、ホストIDは確認できません。
・Dedicated Hosts(専有ホスト)
他のEC2インスタンスとは分離された専用ハードウェアで利用できる購入オプションです。
物理的なCPUソケット、コア数、ホストIDを確認する必要がない場合、ハードウェア専有インスタンスの方が低価格で利用できるので誤りです。
リザーブドインスタンス(RI)
長期間の利用を約束することで、割引を受ける
ELB
スケールアウト時の負荷分散を担うサービス
・CLB(Classic Load Balancer):L4/L7
・ALB(Application Load Balancer):L7 CLBより後に登場、機能豊富
・NLB(Network Load Balancer):L4 HTTP(S)以外のプロトコル通信時での負荷分散で利用
ヘルスチェック(ELBの機能)
インスタンスが正常に動作しているかチェック
Auto Scaling
EC2の状況に応じて自動的にインスタンスの数を増減させる機能
ECS(Amazon Elastic Container Service)
Docker環境を用意
・Task:EC2インスタンス上で実行されるコンテナ
・Cluster:Taskを保有しているEC2インスタンス
・Task Definition:Cluster上で動作するTaskの定義
Lambda(ラムダ)
サーバーをプロビジョニングしなくてもプロジェクトを実行できるコンピューティングサービス
Lambda関数
実行するプログラムとその実行トリガーとなるイベントを事前に定義する関数
・割り当てるメモリ用
・タイムアウトまでの時間
・Lambdaに割り当てるIAMロール
・VPC内外
ストレージサービス
S3 EBS EFS FSx Storage Gateway Snow Family
EBS(Elastic Block Store)
ブロックストレージ
「Elastic」…用途に合わせて柔軟な使用ができる
| 汎用SSD(gp3) | 3,000IOPS 開発環境を構築する時に最適 1GB〜16TB |
| プロビジョンドIOPS(io2) | 64,000IOPS マルチアタッチ 4GB〜16TB |
| スループット最適化HDD(st1) | 500IOPS 大量のデータ 125GB〜16TB |
| コールドHDD(sc1) | 250IOPS EBSの中で一番低コスト アクセス頻度の低いログデータやバックアップデータの保存 125GB〜16TB |
EFS(Elastic File System)
Amazon EFSはNFS(Network File System)プロトコルをサポートするファイルストレージサービス
▼EFSのパフォーマンスモード
| 汎用モード | ファイルサービスなど一般的な用途を想定したモードで、レイテンシーを優先する場合に使用するモードです。 |
| 最大I/Oパフォーマンスモード | ・レイテンシーが汎用モードに比べ、わずかに長くなる ・合計スループットを優先する場合に使用 |
▼EFSのスループットモード
| バーストスループットモード | ・ベースラインとなるスループットが設定されている ・一時的なスループットの上昇にも耐えられるバースト機能を持っている |
| プロビジョニングスループットモード | バーストモードで許容されている以上の要件がある場合に使用 |
| エラスティックスループットモード | ・自動的にスケールアップダウン ・パフォーマンスもーどが汎用モード時のみ利用可 |
FSx
ファイルストレージサービス
・FSx for Windowsファイルサーバー
・FSx for Lustre
・FSx for NetApp ONTAP
・FSx for OpenZFS
FSx for Windowsファイルサーバー
Windows上にファイルシステムを提供
SMBプロトコルを使用…主にWindowsコンピュータ間において、ファイル共有やプリンタ共有に使用されるプロトコル
Storage Gateway
オンプレミスにあるデータをクラウドに連携させるための受け口
AWS Storage GatewayのS3ファイルゲートウェイは、オンプレミスからNFS(Network File System)またはSMB(Server Message Block)を使用してS3バケットへアクセスできるようにするゲートウェイタイプです。ローカル(オンプレミス)にキャッシュストレージを持つため低レイテンシでのアクセスも可能です。
データベースサービス
RDS/Aurora Redshift DynamoDB ElastiCache
▼AWSのデータサービス
| タイプ | サービス |
|---|---|
| リレーショナル SQL | Amazon Aurora、Amazon RDS、Amazon Redshift |
| NoSQL キー値 | Amazon DynanoDB |
| NoSQL インメモリ | Amazon ElastiCache、Amazon MemoryDB for Redis |
| NoSQL ドキュメント | Amazon DocumentDB |
| NoSQL ワイドカラム | Amazon Keyspaces |
| NoSQL グラフ | Amazon Neptune |
| 時系列 | Amazon Timestream |
| 台帳 | AmazonQLDB |
Amazon RDS
・マルチAZ構成
・リードレプリカ
Amazon Aurora
・DBクラスタ
・Auroraレプリカ
データベースへの負荷に応じて動的にレプリカインスタンスを増減するAuto Scaling機能を備えています。
Redshift
・データウェアハウス向け(データの「倉庫」)
・拡張性
→MPP…処理を複数のノードで分散(スケールアウト)
→シェアードナッシング…各ノードがディスクを共有しない(I/O性能の劣化を回避)
Redshift Spectrum
Redshift内にデータを取り込むことなくクエリの実行が可能
DynamoDB
・Key‐Value型
・NoSQL
・階層的なデータ構造をもったJSON形式のデータの扱いについてもサポート
DynamoDBでは自動的に3つのAZにデータが保存されます
DynamoDB Accelerator(DAX)
DynamoDBの前段にキャッシュクラスタを構成→性能向上
<Amazon DynamoDBには2つのバックアップ方法があります>
・オンデマンドバックアップ…ユーザーが任意のタイミングで作成するバックアップ
・ポイントインタイムリカバリ(PITR)…差分バックアップが定期的に自動で取得(35日前まで遡ることができます)
DynamoDB Streams
Amazon DynamoDBのDynamoDB Streams(ストリーム)とは、テーブルに対して行われた直近の24時間の変更(追加や更新、削除)をログに保存する機能です。
ElastiCache
・インメモリ型データベース
1)Memcached:再起動ですべてのデータが消える
2)Redis:Memcachedよりも多くのデータ型が利用可能、データ永続性能
マネジメント、ガバナンス
CloudWatch CloudTrail Elastic Beanstalk CloudFormation Trusted Advisor AWS Systems Manager
Amazon CloudWatch
AWSサービスやオンプレミス(自社運用)のシステムを監視するサービス
状態に応じたアクションを取らせることができます。
メトリクス…CloudWatchが監視する様々なリソースの情報は「メトリクス」と呼ばれます(インスタンスのCPU使用率やディスクの使用状況
| 標準メトリクス | CPU使用率、 ディスク読み取り書き込み量、 ネットワーク使用率 |
| カスタムメトリクス | メモリ使用量、 ディスク空き容量・使用状況、 プロセス情報 |
AWS CloudTrail
AWSサービスに対して「いつ」「誰によって」「どのような操作が行われたのか」を記録・保存するサービスです
・管理イベント … ユーザーのログイン、EC2インスタンスの作成 など
・データイベント … S3上のオブジェクト(データ)の操作、Lambda関数の実行
・インサイトイベント … 通常と異なる操作(書き込みAPIの呼び出し)
Amazon CloudWatch Logs
Amazon CloudWatch LogsはAWSサービスやEC2インスタンスのOSやアプリケーションのログを収集し、一元管理するサービスです
例)CloudTrailにおけるAWSサービスの操作ログや、VPCフローログ
AWS CloudFormation
AWSのリソースをコード化しプロビジョニング(構築)するサービスです。
→IaC(Infrastructure as Code)
AWS Elastic Beanstalkはアプリケーションが動作する定番の環境を自動で構築するサービスです。開発者は、用意された環境にアプリケーションをアップロードするだけでデプロイ(実行環境への展開)を行うことができます
AWS Systems Manager Session Manager
・EC2インスタンスへマネジメントコンソールやAWS CLIからセキュアにログインできる機能
・プライベートサブネットにあるインスタンスへも踏み台サーバーなしで接続が可能
セキュリティ、アイデンティティ、コンプライアンス
WAF/Shield KMS/CloudHSM
AWS Shield
DDoS攻撃からの保護に特化したサービス
AWS WAF(Web Application Firewall)
脆弱性を突く攻撃(クロスサイトスクリプティングやSQLインジェクションなど)から、Webアプリケーションを保護するサービスです
→Web ACL…地理的制限
Network Load Balancer(NLB)とClassic Load Balancer(CLB)には対応していないので利用できません
AWS Network Firewall
・VPC向けのファイアウォール機能
・侵入防止システム(IPS)やドメイン名によるトラフィックのフィルタリングなど、セキュリティグループやネットワークACLよりもさらに高度な機能
・VPC上のアウトバウンド及びインバウンド両方のトラフィックを検査可能
・特定のドメイン名を含むURLへのアクセスのみを許可したり、特定の送信元からのトラフィック以外は全てブロックするなど、きめ細かな通信の制御が可能
ネットワーク、コンテンツ配信
Route 53 CloudFront Global Accelerator Direct Connect/VPN
CloudFront
AWSが提供する高速でセキュアなコンテンツ配信ネットワークサービス
・「地理的制限」というクライアントからのアクセスを国別に制限できる機能があります
フィールドレベル暗号化
フィールドレベル暗号化は、ユーザーから送信されたHTMLフォームのPOSTリクエストのうち、一部のフィールドを暗号化し、特定のアプリケーションでのみ復号可能とするCloudFrontの機能です。
アプリケーション統合
SQS SNS
SQS(Amazon Simple Queue Service)
フルマネージドのメッセージキューイングサービスであり、サービス同士の橋渡しを担います。SQSはプル型なので、受信側の都合の良いタイミングでSQSへポーリング(問い合わせ)を行って、メッセージを受け取りま
SNS(Amazon Simple Notification Service)
プッシュ型のメッセージングサービス
SNSはプッシュ型なので、サブクライバー(受信者)の状態に関わらずメッセージを配信します。
・トピックという単位で情報を管理
分析
Kinesis EMR Glue Athena
AWS kinesisには大きく分けて3つの機能があります。
- Amazon Kinesis Data Streams
- Amazon Kinesis Data Firehose
- Amazon Kinesis Data Analytics
Kinesis Data Streams
Kinesis Data Streamsはストリーミングデータを収集します。ストリーム上のデータは分析や機械学習などを行うアプリケーションがリアルタイムに読みだして処理します。
Kinesis Data Firehose
Kinesis Data FirehoseはストリーミングデータをAmazon S3やRedshiftなどへ配信するサービスです
AWS Glue
・フルマネージドのサーバーレスETLサービス
・複数のデータソース(S3やDynamoDBなど)からデータを抽出し、変換・統合したデータをターゲット(Redshiftなど)へ格納
・クローラーはデータソースからデータの抽出を行い、データカタログを作成
