外部記憶

他人に取って価値がないが、自分が忘れることに忍びないため残したい記憶・記録を記す外部記憶装置

AWS Solution Architect Professional取得メモ

少し前から試験の方式が変わっているので一部調べ直さないといけないかも。

AWS 認定 Professional level を大体一ヶ月で取った話 - Qiita

professionalは80問と問題数も多いので、制限時間170分内に全ての問題を終わらせるためには一問あたり最大2分で終わらせないといけないので、わからない問題にはチェックをつけて、後で回答するようにする心構えぐらいで受けたほうが良い。

模擬試験ではたしか60分で20問だったので、問題数はかなり増えていることになる。

AWS Black Belt Online Seminar 2017 AWS 認定試験取得に向けて

認定試験準備に向けて確認しておくべきFAQ EC2, S3, VPC, Route 53, RDS, SQS

よくある質問 - Amazon EC2(仮想サーバー) | AWS

Q: 旧世代のインスタンスは削除される予定ですか? いいえ。C1、C3、CC2、CR1、G2、HS1、M1、M2、M3、R3、T1 の各インスタンスは今後も完全に機能し、この変更のために削除されることはありません。

マジか。初めて知った。

というかこの辺でFAQが以上に充実していることを知る。これドキュメント見てわからなくてもFAQ見ればわかるケースがたくさんあった気がする。

インターネットゲートウェイはルータのイメージ。インターネットゲートウェイへはpublicサブネットからしかアクセスできない? NATゲートウェイはprivateサブネットとpublicサブネットをNATで書き換えるだけ?

仮想プライベートゲートウェイってVPN経由でDCに接続するようなゲートウェイのイメージ?

ネットワーク ACL は、サブネットレベルで動作し、サブネットへ出入りするトラフィックを検証します。

はい。Amazon VPC フローログ機能を使用すれば、VPC のネットワークトラフィックを監視できます。

はい。ピアリング接続は、異なるリージョンの VPC を使用して作成できます。 リージョン間の VPC ピアリングは、世界中すべての商用リージョンで利用できます (中国を除く)。

闇が深い。

サービスの所有者として、お客様はサービスを AWS PrivateLink にオンボードでき、これには Network Load Balancer (NLB) をサービスのフロントに置き、PrivateLink サービスが NLB に登録されるように生成します。お客様の顧客はその VPC 内でエンドポイントを確立して、お客様が顧客のアカウントをホワイトリストと IAM ロールに入れるとお客様のサービスに接続できるようになります。

NLBとPrivate LinkのENIを組み合わせることでVPCエンドポイントでないながらDXやVPN経由でサービスにアクセスすることが可能。

https://media.amazonwebservices.com/jp/AWS_Disaster_Recovery_01242012.pdf

このホワイトペーパーの執筆時点では、米国東部(バージニア北部)、米国西部(北カリフォルニア)、EUアイルランド)、アジアパシフィック(シンガポール)、およびアジアパシフィック(東京)の5つのリージョンで利用可能です。

マジか、東京早かったんだな。

DR では、復旧プロセスの一部として AMI を起動できるように独自の API を設定し、特定することを強くお勧めします。 こうした AMI は、選択したオペレーティングシステムと、アプリケーションスタックの適切な要素で事前設定する必要があります。

前時代的な気もするがそもそもEC2の運用がそうなので、AMIでのバックアップもやむを得ないか。

Amazon S3 には、Elastic Block Store(EBS)ボリュームのスナップショットと Amazon RDS のバックアップが保存されています。

これ公式の記述を探していたんだけどこんなところにあった。

ここら辺で気づいたけど、このペーパーDRの元がデータセンターで先がAWSの前提になっている。話の本質はAWS-AWSでも変わらないとは思うが。

Active-ActiveのソリューションはRoute53で説明されているが、CloudFront Originの問題が出ていたよね?

[アップデート] CloudFrontのみでオリジンフェイルオーバーが出来るようになりました! | DevelopersIO

https://d1.awsstatic.com/International/ja_JP/Whitepapers/KMS%20Best%20Practices%20Whitepaper_JA.pdf

IAM アイデンティティ (つまり、ユーザー、グループ、ロール) これらの総称はこう呼んだらいいのか。

すべての KMS CMK はキーポリシーを持っており、それを使用して CMK へのアクセスをコントロールする必要があります。IAM ポリシー単独では、CMK へのアクセスを許可するのに十分ではありませんが、CMK のキーポリシーと組み合わせて使用することはできます。

なるほど。

機密情報を保護するために CMK が使用されている場合、対応するキーポリシーが最少の権限のモデルに従っていることを確認するように作業する必要があります。これには、IAM ポリシーに kms:* 権限を含めないようにすることが含まれます。

当然だよなあ? 

より細かいレベルのコントロールのためのベストプラクティスは、サポートされているすべての AWS サービスとアプリケーションでカスタマーマネージド型 CMK を使用することです。

デフォルトで作られる鍵とそうじゃないやつのことかね。

前述のように、特定のクラスのデータに対して少なくとも 1 つの CMK を使用することがベストプラクティスです。

キーの削除は、非常に慎重に検討する必要があります。

やっぱりそうか。復号できなくなる危険があるからなあ。

https://dev.classmethod.jp/cloud/aws-certified-solutions-architect-professional-level-sample/

Storage GatewayはEBSとしてリストアされる。

https://acloud.guru/forums/aws-certified-solutions-architect-professional/discussion/-KKgMglgtNynF-JbG0CG/let's_check_our_capability

Cっぽい。

SAML 2.0 フェデレーティッドユーザーが AWS マネジメントコンソールにアクセス可能にする - AWS Identity and Access Management IdP + SSO + SAML 2.0の組み合わせでマネジメントコンソールへアクセスできる。

AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築

これむっちゃ参考になる。

ActiveDirectoryのドメインコントローラ、メンバーサーバ、DNS(ADのいち部としての)、RDGW(リモートデスクトップゲートウェイ。これだけはpublic subnetに置く)などの用語は覚えておこう。 Active Directory Domain Serviceが汎用のADの名前。 AWS Directory Service(Microsoft AD)がマネージドサービス。

Microsoft ADはDomain ADMINをAWSが保持しているので一部成約あり。例えば非managedのドメインコントローラは追加できない。

  • ベストプラクティス: 1AZを1DCとする。VPCにAD DSを拡張してもオンプレミスと合わせてあくまでシングルドメインシングルフォレスト。
  • オンプレミスのみにADDSを配置した場合はオンプレとAWS間の接続を冗長構成推奨。

FSMO(操作マスタ) ADのジャーナルログ的なもの?別サイトや別AZに置くことが推奨される。