Please enable JavaScript.
Coggle requires JavaScript to display documents.
クラウドプラクティショナー - Coggle Diagram
クラウドプラクティショナー
セキュリティ :lock:
共有モデル
ユーザー :silhouette:
ユーザーのデータ
プラットフォーム
アプリケーション
ID
アクセス管理
クライアント側のデータ暗号化とデータ整合性認証
サーバー側の暗号化
ファイルシステム
データ
ネットワークトラフィック保護
暗号化
整合性
アイデンティティ
クラウド内のセキュリティ :pencil2:
AWS :silhouettes:
ソフトウェア
コンピュータ
ストレージ
データベース
ネットワーキング
ハードウェア
AWS グローバルインフラストラクチャ
リージョン
アベイラビリティゾーン
エッジロケーション
クラウド本体のセキュリティ :pencil2:
利点
4つ
:star:
データの保護 :check:
ユーザーのプライバシー :lock:
コンプライアンスの要件に準拠 :check:
コスト削減 :check:
迅速なスケーリング :check:
ハイパーバイザー
AWSの担当
データセンター :silhouettes:
ハイパーバイザー :silhouettes:
管理プレーンの保護
ユーザーの担当
IDとパスワード
MFA
多要素認証
キーペア
秘密鍵
公開鍵
APIキーの管理
アクセス制御と権限管理
ルートアカウント
最強権限
認証方法
ユーザー名/パスワード
AWS マネージドコンソール
Webブラウザ
アクセスキー/シークレットアクセスキー
AWS CLI
コマンド
AWS SDK
プログラム
:forbidden:
ルートアカウントのAPIキーは作成しない
非マネージドなサービス
ファイアウォールの設定はユーザー担当 :fire:
マネージドなサービス
ユーザー担当
アクセスコントロール設定
アカウント認証情報の保護
ベストプラクティス
4つ
:star:
転送中のデータ保護 :check:
暗号化プロトコルを選択
蓄積データの保護 :check:
データ登録時のデータ暗号化
AWS 資格情報の保護 :check:
IAMユーザーの作成
必要最低限の権限付与
アプリケーションの安全性の保護 :check:
虚弱性診断
虚弱性情報の確認
アプリケーションの改善
IAM
名前
AWS Identity and Access Management
種類
IAMユーザ
APIキーを最大
2つ
もてる :unlock:
IAMグループ
セキュリティグループ
システム
オンプレ
中央集権的ファイアウォール
クラウド
インスタンス毎のセキュリティ
設定
許可ルールの指定 :
拒否ルールの指定
トラフィックのルール指定
インバウンド
アウトバウンド
AWS Shield :lock:
DDoS攻撃の保護
レベル
Standard
無償
Advanced
有償
DDos Response Team
自動化
攻撃通知
分析
レポート
AWS WAF
無償で利用
AWS WAF :lock:
名前
Web Application Firewall
料金
基本
無料
ユーザーカスタマイズ
課金
アクセスコントロールリスト(AWS ACL)数
Web ACL毎に追加するルール
受け取るWebリクエスト数
適用範囲
選択肢
3つ
:star:
Cloud Front :check:
Application Load Balancer :check:
API Gateway :check:
設定
Web セキュリティルールはユーザーが設定
Inspector
目的
虚弱性診断
アプリケーション
セキュリティ
コンプライアンス
診断事項
虚弱性
漏洩
ネットワークセキュリティ
認証
OSのセキュリティ
アプリケーションセキュリティ
PCI DSS 3.0アセスメント
クレジットカード
顧客情報保護
ネットワークサービス
VPC
名前
Amazon Virtual Private Cloud
CIDR
Classless Inter-Domain Routing
ポイント
リージョンを選択して作成
VPCのプライベートIPアドレスの範囲を定義
サブネット
ポイント
アベイラビリティゾーンを選択して作成
プライベートIPアドレスの範囲を定義
インターネットゲートウェイ
ポイント
VPCとパブリックインターネットを接続
ルートテーブル
ポイント
サブネットの経路を設定
サブネット内のリソースがどこに接続できるか定義
セキュリティグループ
ポイント
インスタンスに対しての
仮想ファイアウォール
ホワイトリスト
インバウンドのポート
送信元
ネットワークACL
ポイント
サブネットに対してのトラフィックを制御する仮想ファイアウォール
ブラックリスト
インバウンドのポート
送信元
外部からEC2インスタンスへのアクセス
インターネットゲートウェイをVPCにアタッチ
インターネットゲートウェイへの経路を持つルートテーブルをサブネットに関連つける
EC2インスタンスをそのサブネット内で起動
EC2インスタンスにパブリックIPアドレスを有効にする
ハイブリッド環境構成
ハードウェアVPN接続
VPNを接続
仮想プライベートゲートウェイと
オンプレ側カスタマーゲートウェイ
ダイレクトコネクト
VPCと
オンプレ環境
Cloud Front
特徴
キャッシュによる低レイテンシー配信
エッジロケーションにキャッシュを持つ
ユーザー付近からの低レイテンシー配信
セキュリティの高さ
Certificate Manager
追加費用なし
通信を保護するための証明書を設定可能
Amazon Route 53
DNSサービス
特徴
ルーティング機能
シンプルルーティング
問い合わせに対して単一のIPアドレスを回答
レイテンシーベース
1つのドメインに対して複数のDNS
地理的に近く
加重ラウンドロビン
1つのドメインに対して複数のDNS
割合
複数値回答
複数のレコードからランダムに回答
ヘルスチェックとフェイルオーバー
ルートドメインとエイリアスレコード
クラウド
定義
オンデマンド
サービス
コンピューティング(仮想サーバー)
データベース
ストレージ(ディスク領域)
アプリケーション
利点
6つ
:star:
固定費が柔軟な変動費 :check:
コストメリット :check:
キャパシティ予測不要 :check:
俊敏性 :check:
データセンターの運用と保守が不要 :check:
即座にデプロイ :check:
設計原理
Design for Failure :recycle:
故障に備えた設計 :recycle:
単一障害点をなくす
SPOF(Single Point Of Failure)
マネージドなサービス
コンポーネントの分離
サービス指向アーキテクチャ
疎結合が良い
方法 :!:
キューサービス(キューイングチェーン)の利用
依存しあわないコンポーネント
非同期
マイクロサービスアーキテクチャ
弾力性
方法
3つ
:star:
巡回スケーリング :check:
一定間隔
イベントベーススケーリング :check:
予定されたスケーリング
スケジュールスケールアウトパターン :red_flag:
オンデマンドの自動スケーリング :check:
監視サービスの利用
スケールアウトパターン :red_flag:
使い捨て可能なリソース :checkered_flag:
並列化
方法
3つ
:star:
ロードバランサー :check:
スケールアップ :check:
性能向上
スケールアウト :check:
台数増加
コンテンツの配置
動的コンテンツ
コンピュータ近く
静的コンテンツ
ユーザー近く
フレームワーク
柱
5つ
:star:
運用上の優秀性 :check:
セキュリティ :check:
信頼性 :check:
パフォーマンス効率 :check:
コスト最適化 :check:
管理サービス
Cloud Watch
標準メトリクス
自動で収集
機能
標準メトリクスの収集・可視化
EC2
EBS
RDS
カスタムメトリクスの収集・可視化
Cloud Watchエージェントを使用
ログの収集
Cloud Watch Logsを使用
Cloud Watchエージェントで取得
EC2をステートレスレスに
文字列のフィルタリング結果をメトリクスとして扱う
アラーム
アクション
EC2の回復
Auto Scalingの実行
SNSへの通知
Trusted Adovisor
チェック項目
コスト最適化
パフォーマンス
使用率の高いEC2インスタンス
セキュリティグループルールの増大
コンテンツ配信の最適解
セキュリティ
S3バケットのアクセス許可
フルアクセスのバケットがないか確認
セキュリティグループの開かれたポート
リスクの高いポートがないか
パブリックなスナップショット
意図しない公開がないか
EBS
RDS
ルートアカウントのMFA、IAMの使用
耐障害性
EBSのスナップショット
EC2、ELBの最適化
RDSのマルチAZ
サービス制限
機能
ベストプラクティスに沿ってアドバイス
Cloud Trail
AWS内のすべてのAPI呼び出し記録
CloudFormation
各リソース
自動作成
更新
管理
Elastic Beanstalk
アプリケーションの環境を構築
コンピューティングサービス
EC2
EC2
Amazon Elastic Compute Cloud
特徴
必要最低限の量
必要インスタンスを起動
インスタンス
仮想サーバー1台
使用したぶんだけのコスト
料金
EC2の稼働
データ転送
リージョン
外へのアウト通信のみ :pencil2:
ストレージ
EBS
名前
Amazon Elastic Block Store
プロビジョニングした料金
ボリュームのサイズとして確保した容量
変更可能なインスタンスタイプ
瞬時にサーバー確保
手順
①リージョンの選択
②AMIを選択
③インスタンスタイプの選択
④起動するネットワークを選択
⑤ストレージを選択
起動の場所問わず
AMIから同一サーバーに複数起動可能
AMI
種類
クイックAMI
マイAMI
AWS Marketplace
コミュニティ AMI
セキュリティグループでトラフィック管理可能
インバウンド(受信)で管理 :checkered_flag:
オペレーションシステムを管理者権限で操作
ユースケースに適した料金
オンデマンドインスタンス
秒単位、時間単位の課金
リザーブインスタンス
365日24時間で予約
スポットインスタンス
Dedicated Hosts
ELB
名前
Elastic Load Balancing
特徴
5つ
:star:
ロードバランサータイプ
3つ
:star:
Application Load Balancer :check:
HTTP
HTTPS
Network Load Balancer :check:
HTTP/HTTPS以外
Classic Load Balancer :check:
ヘルスチェック
インターネット向け/内部向け
高可用性のマネージドサービス
クロスゾーン負荷分散
Auto Scaling
垂直スケーリング
サイズを変更
スケール
スケールアップ
スケールダウン
水平スケーリング
インスタンス数を変更
インスタンス数
スケールアウト
スケールイン
設定
何を
どこで
いつ
ターゲットポリシー
EC2インスタンス平均CPU使用率
シンプルポリシー
CloudWatchのアラーム
クールダウン
待機
ステップポリシー
複数段階でインスタンスの追加、削除
ウォームアップ
インスタンスの頻繁な追加
自動化
ステートレス
EC2インスタンスに情報や状態が無い
ブートストラップ
設計
自動化に適した
ユーザーデータ
最新のプログラムのダウンロード
EC2のパブリックIPアドレスの取得
設定ファイルに書きこむ
メタデータ
IPアドレスやインスタンスIDを取得
Lambda
特徴
7つ
:star:
サーバー構築不要 :check:
サーバー管理不要 :check:
言語のサポート :check:
並列/スケーリング :check:
Auto Scalingの設定不要
柔軟なリソース :check:
ミリ秒単位の課金
他のAWSサービスとの連携 :check:
データベースサービス
RDS
概要
Amazon Aurora
MySQL
PostgreSQL
MariaDB
Oracle
Microsoft SQL Server
RDSによる負担の開放
メンテナンス
バックアップ
ポイントタイムリカバリー
高可用性
マルチアベイラビリティゾーンの使用
自動化
レプリケーション
フェイルオーバー
DMS
名前
AWS Database Migration Service
機能
オンプレからクラウドへの移行
DynamoDB
機能
フルマネージド
リージョンの選択
違い
RDS
中規模程度のアクセス量
整合性
複雑なクエリ
DynamoDB
大規模アクセス
単純なデータモデル
サービス
リージョン :pencil2:
定義
世界のどこでサービス利用するのか
選択条件
データやシステムが適応している
法律
ガバナンス
近さ
ユーザー
連携データ
必要サービスがあるか
コスト効率
アベイラビリティゾーン :pencil2:
定義
データセンターの集合体
各リージョンに2つ以上
理由
災害から守る
Design for Failure
エッジロケーション
用途
低レイテンシーなDNSクエリ
コンテンツの低レイテンシー
利用可能サービス
Amazon Route 53 :check:
AWS Shield適応
Amazon CloudFront :check:
AWS Shield適応
請求と料金
料金モデル
従量課金
コスト配分タグ
ROIの訴求分析
マルチアカウントの管理
AWS Organizations
複数アカウントの一括管理
一括請求
オンプレ
推測
最大ピーク
調達
ストレージサービス
EBS
名前
Amazon Elastic Block Store
特徴
7つ
:star:
EC2インスタンスのボリュームとして使用 :check:
AZ内でレプリケート :check:
ボリュームタイプの変更が可能 :check:
汎用SSD
10,000IOPS以下
プロビジョンIOPS SSD
10,000IOPS超える
スループット最適化HDD
コスト節約
Cold HDD
アクセス頻度
容量の変更が可能 :check:
高い耐久性のスナップショット :check:
イレブンナイン
ボリュームの暗号化 :check:
永続的ストレージ :check:
EBS
データは永続的
インスタンスストア
一時的
S3
名前
Amazon Simple Storage Service
特徴
3つ
:warning:
無制限のストレージ容量 :check:
高い耐久性 :check:
イレブンナイン
インターネット経由でアクセス :check:
セキュリティ
バケット
アクセスコントロールリスト
バケットポリシー
オブジェクト
アクセスコントロールリスト
IAMロールの割当
通信・データの暗号化
S3のキーを使用したサーバーサイド暗号化
KMSの使用
独自キーの使用
デフォルトでプライベート
:lock:
料金
体制
ストレージ料金
リクエスト料金
オブジェクトの容量
ストレージクラス
標準
低頻度アクセス(標準IA)
アクセス頻度が低い
1ゾーン低頻度アクセス(1ゾーンIA)
アクセス頻度が低い
アベイラビリティゾーンに冗長化しない
Amazon Gacier
アクセスほぼしない
ライフサイクル
ストレージクラスの変更を自動化
データ転送料金
リージョンの外への転送に課金発生
:explode: