【AWS CLF】試験対策用備忘録メモ【クラウドプラクティショナー】

IT資格
【AWS CLF】試験対策用備忘録メモ【クラウドプラクティショナー】

AWS Certified Cloud Practitioner(クラウドプラクティショナー)試験(CLF-C01)の試験対策用の備忘録メモになります。試験の範囲である、AWSの各サービス・セキュリティ・料金等についてまとめています。

関連記事

クラウドコンピューティング

クラウドコンピューティングの概要

  • クラウドコンピューティングとは、従量課金制による、インターネット経由のITリソースとアプリケーションのオンデマンド配信

  • クラウドコンピューティングには3つのデプロイモデルがある

    • クラウドベース(クラウドへの移行・構築)

    • オンプレミス(リソースをオンプレミスにデプロイ)

    • ハイブリッド(クラウドベースのリソースをオンプレミスのインフラストラクチャへ接続)

  • クラウドコンピューティングの利点

    • 先行支出を変動支出に切り替える

    • データセンターの維持管理費用が不要

    • キャパシティーの予測が不要

    • 圧倒的なスケールメリット

    • スピードと俊敏性を向上

    • 数分でグローバルに展開

Amazon EC2

  • Amazon EC2(Elastic Compute Cloud)は、EC2インスタンスとしてサイズ変更可能で安全なコンピューティングキャパシティーを提供する

  • EC2インスタンスは数分以内にプロビジョニング・作成ができる

  • ワークロードの実行が終了したら使用を停止できる

  • 料金はインスタンスの実行時に使用したコンピューティング時間に対してのみ支払いが発生する

    • 必要なサーバー容量に対してのみ支払うのでコスト削減できる

EC2インスタンスタイプ

  • 汎用インスタンス

    • コンピューティング、メモリ、ネットワークのリソースのバランスに優れている

  • コンピューティング最適化インスタンス

    • 高パフォーマンスプロセッサにより計算パフォーマンスが高い

    • 計算負荷の高いサーバーなどに適している

    • 多くのトランザクションを処理するバッチ処理にも適している

  • メモリ最適化インスタンス

    • メモリ量が多く高速

    • 高パフォーマンスのデータベースなどに適している

  • 高速コンピューティングインスタンス

    • 浮動小数点数計算、グラフィックス処理、データパターン照合のパフォーマンスが高い

    • ゲームストリーミングや画像処理に適している

  • ストレージ最適化インスタンス

    • ストレージアクセスが速い

    • 分散ファイルシステムなどに適している

EC2の料金

  • オンデマンドインスタンス

    • インスタンスを停止するまで、使用したコンピューティング時間に対して料金が発生する

    • 中断できない不規則で短期的なワークロード向け

  • Amazon EC2 Savings Plans

    • 一定のコンピューティング使用量を1年または3年の期間で契約

    • 契約した使用量に達するまでは割引料金(Savings Plans料金)で、超えた分についてはオンデマンド料金になる

    • オンデマンドの料金に比べて料金を最大72%節約できる

  • リザーブドインスタンス

    • 1年または3年の契約でオンデマンドインスタンスを割引価格で購入

    • 期間の終了後はインスタンスを削除するか、新しいリザーブドインスタンスを購入するまでオンデマンドの料金になる

  • スポットインスタンス

    • 未使用のEC2コンピューティングキャパシティーを使用する

    • キャパシティーが使用できなくなったり、スポットインスタンスの需要の増加でインスタンスが中断される可能性がある

    • 開始時刻と終了時刻が定まっていないワークロードや、中断可能なワークロード向け

    • オンデマンドの料金に比べて料金を最大90%節約できる

  • Dedicated Hosts

    • 専用のインスタンスキャパシティーを備えた物理サーバー

    • 料金は最も高価

EC2のスケーリング

  • EC2 Auto ScalingでEC2インスタンスの自動的な作成・削除が可能

  • 動的スケーリングと予測スケーリングがある

ELB

  • ELB(Elastic Load Balancing)はアプリケーションへのトラフィックを、EC2インスタンスなどのリソースへ自動的に分散するサービス

メッセージング・キューイング

  • Amazon SNS(Simple Notification Service)はメッセージングサービス

    • SNSトピックを使用してウェブサーバ・Eメールアドレス・Lambda関数へメッセージを配信する

  • Amazon SQS(Simple Queue Service)はメッセージキューイングサービス

    • ソフトウェアコンポーネント間でメッセージを送信・保存・受信できる

その他

  • AWS Lambdaではサーバーのプロビジョニングや管理を行うことなく、コードを実行できる

    • 料金は使用したコンピューティング時間に対してのみ発生する

  • Amazon ECS(Elastic Container Service)はAWS上でコンテナを管理できる

    • Dockerをサポートしている

  • Amazon EKS(Elastic Kubernetes Service)はAWS上でKubernetesを管理できる

    • Kubernetesはコンテナ化されたアプリケーションをデプロイ・管理できるオープンソースソフトウェア

  • AWS Fargateは、コンテナ向けのサーバーレスコンピューティングエンジン

    • Amazon ECSと Amazon EKSで利用できる

グローバルインフラストラクチャ

AWSグローバルインフラストラクチャ

  • リージョンの選択には以下の4つの要素を考慮する

    • データガバナンスと法的要件の遵守

    • ユーザーとの近接性

    • リージョン内で利用可能なサービス

    • 料金

  • アベイラビリティーゾーンは、リージョン内の1つのデータセンターまたはデータセンターのグループで構成される

エッジロケーション

  • エッジロケーションは、Amazon CloudFrontでキャッシュコンテンツをユーザの近くに保存・配信するための場所

プロビジョニング

  • AWS マネジメントコンソールは、AWSサービスを管理するためのウェブベースのインターフェイス

  • AWS CLI(コマンドラインインターフェイス)は、コマンドラインからAWSサービスを管理する

    • OSはWindows、macOS、Linuxに対応している

  • AWSではSDK(ソフトウェア開発キット)を利用できる

    • AWS SDKはAWSサービスをプログラムなどから操作できるようにするための開発キット

  • AWS Elastic Beanstalkでは、アプリケーションを自動的にデプロイできる

  • AWS CloudFormationでは、安全で繰り返し可能な方法でリソースをプロビジョニングできる

    • インフラストラクチャをコードとして扱うことができる

  • AWS Outpostsでは、AWSのインフラストラクチャとサービスをオンプレミスのデータセンターに拡張できる

ネットワーク

AWSへの接続

  • Amazon VPC(Virtual Private Cloud)では、AWSクラウドに独立した仮想ネットワークを構築できる

    • 仮想ネットワークの中にリソースを起動できる

    • VPC内をサブネットで区別し、リソースをその中に配置することが可能

  • インターネットとVPCを接続するには、インターネットゲートウェイをVPCにアタッチする

  • VPC内のプライベートリソースにアクセスするには、仮想プライベートゲートウェイを使用する

  • AWS Direct Connectで、データセンターとVPCの間に専用のプライベート接続を確立できる

サブネット・ネットワークアクセスコントロールリスト

  • サブネットはリソースをグループ化できるVPC内のセクション

    • パブリック・プライベートに設定することができる

  • ACL(ネットワークアクセスコントロールリスト)は、サブネットへのアクセス許可をチェックする仮想ファイアウォール

    • インバウンドトラフィック・アウトバウンドトラフィックを制御する

    • デフォルトのネットワークACLは、全てのインバウンド・アウトバウンドトラフィックを許可される

    • カスタムネットワークACLは、許可ルールを追加するまで、全てのインバウンド・アウトバウンドトラフィックが拒否される

  • セキュリティグループは、EC2インスタンスのインバウンド・アウトバウンドトラフィックを制御する仮想ファイアウォール

    • デフォルトでは、全てのインバウンドトラフィックを拒否し、全てのアウトバウンドトラフィックを許可する

グローバルネットワーク

  • Amazon Route 53はAWSでホストされているインターネットアプリケーションにエンドユーザーをルーティングする

    • ドメイン名のDNSレコードを管理することもできる

ストレージとデータベース

インスタンスストア・Amazon EBS

  • インスタンスストアは、EC2インスタンスのブロックレベルの一時ストレージ

    • インスタンスが削除されると、インスタンスストアのデータは失われる

  • Amazon EBS(Elastic Block Store)は、EC2インスタンスで使用できるブロックレベルのストレージボリューム

    • EC2 インスタンスが停止または削除されてもEBSのデータベースは保持される

    • EBSスナップショットで、増分バックアップを作成できる

    • 1つのアベイラビリティーゾーンにデータを保存する

Amazon S3

  • Amazon S3(Simple Storage Service)は、データをオブジェクトとしてバケットに保存する

  • S3 標準

    • 頻繁にアクセスされるデータに最適なストレージクラス

  • S3 標準–IA

    • アクセス頻度が低いが、必要なときにすぐに使用できる高可用性が求められるデータ向け

    • ストレージ料金が低く、取り出し料金が高い

  • S3 1ゾーン–IA

    • 1つのアベイラビリティーゾーン内にデータを保存する

    • S3 標準–IAよりもストレージ料金が低い

  • S3 Intelligent-Tiering

    • S3 標準とS3 標準–IAを自動的に移動する

  • S3 Glacier

    • 数分から数時間以内にオブジェクトを取得できる

    • 料金が低価格

  • S3 Glacier Deep Archive

    • 12時間以内にオブジェクトを取得できる

    • 料金が最も低価格

Amazon EFS

  • Amazon EFS(Elastic File System)は、スケーラブルなファイルシステム

  • ファイルを追加・削除でEFSが自動的に拡張・縮小する

  • 複数のアベイラビリティーゾーンにデータを保存する

Amazon RDS

  • Amazon RDS(Relational Database Service)は、AWSでリレーショナルデータベースを実行する

  • Amazon Auroraは、MySQL・PostgreSQLと互換性があり、高速なリレーショナルデータベース

    • 3つのアベイラビリティーゾーン間にデータのコピーが6つ作成される

Amazon DynamoDB

  • Amazon DynamoDBはキーバリューデータベース(NoSQLデータベース)

Amazon Redshift

  • Amazon Redshiftはビッグデータ分析に使用できるデータウェアハウジングサービス

AWS DMS

  • AWS DMS(Database Migration Service)でデータベースの移行ができる

その他

  • Amazon DocumentDBは、MongoDBをサポートするドキュメントデータベースサービス

  • Amazon Neptuneは、グラフデータベースサービス

  • Amazon QLDB(Quantum Ledger Database)は、台帳データベースサービス

  • Amazon Managed Blockchainでは、ブロックチェーンネットワークを作成・管理できる

  • Amazon ElastiCacheは、データベースの上にキャッシュレイヤーを追加するサービス

  • Amazon DAX(DynamoDB Accelerator)は、DynamoDB のインメモリキャッシュ

セキュリティ

責任共有モデル

  • AWSの責任共有モデルには、AWSが責任を持つものとユーザが責任を持つものがある

  • AWSはクラウド本体のセキュリティに責任を持つ

    • データセンターの物理的なセキュリティ

    • ハードウェア・ソフトウェアインフラストラクチャ

    • ネットワークインフラストラクチャ

    • 仮想化インフラストラクチャ

  • ユーザはAWSクラウド内で作成・配置したものに対するセキュリティの責任を持つ

    • ユーザのコンテンツへのアクセス権の管理

    • EC2インスタンスで実行するOSの選択・設定・パッチ適用・セキュリティグループの設定

ユーザのアクセス許可・アクセス権

  • AWS IAM(Identity and Access Management)ではAWSサービス・リソースへのアクセスを管理できる

  • ルートユーザーはAWSアカウントを初めて作成する時に作成される

    • 全ての操作ができ、最も権限が強い

    • 日常的なタスクではルートユーザーを使用すべきでない

  • IAMユーザーは、ユーザがAWS内に作成するID

    • 名前と認証情報で構成される

    • デフォルトではアクセス許可が何も無いので、IAMユーザーに必要なアクセス許可を付与する

    • AWSにアクセスする必要があるユーザー毎に、個別のIAMユーザーを作成することが推奨される

  • IAMグループは、IAMユーザーの集合

  • IAMポリシーは、AWSサービスとリソースへのアクセス許可を付与・拒否するドキュメント

    • リソースへのユーザーのアクセスレベルをカスタマイズできる

    • 特定のS3バケットへのアクセスのみを許可するなど

    • IAMポリシーをIAMユーザー・IAMグループにアタッチして使う

  • IAMロールでは、アクセス許可を一時的に利用するために引き受けることができる

    • IAMロールを引き受けると、以前のロールのアクセス許可が取り消され、新しいロールのアクセス許可が与えられる

    • サービスやリソースへのアクセス権を一時的に付与する場合に適している

  • 多要素認証(MFA)でセキュリティを更に強化できる

    • スマホやハードウェアデバイスでの2つ目の認証形式

AWS Organizations

  • AWS Organizationsでは、複数のAWSアカウントをまとめて管理できる

  • SCP(サービスコントロールポリシー)で複数のAWSアカウントのアクセス権を管理できる

  • 一括請求を行える

  • アカウントを組織単位(OU)にグループ化してアカウントの管理を行える

コンプライアンス

  • AWS Artifactでは、AWSセキュリティ・コンプライアンスレポートと特定のオンライン契約を提供する

  • カスタマーコンプライアンスセンターでは、AWSコンプライアンスの詳細に関するドキュメントを確認できる

サービスへの攻撃

  • AWS Shieldでは、DDoS攻撃をリアルタイムで検出し、自動的に攻撃を緩和する

    • AWS Shield Standardでは無料で一般的なDDoS攻撃の検出・緩和を行う

    • AWS Shield Advancedでは有料で詳細な攻撃診断と高度なDDoS攻撃の検出・緩和を行う

その他

  • AWS KMS(Key Management Service)では、暗号化キーの作成・管理・使用を行う

    • 暗号化キーは、AWSサービス・アプリケーションで使用・制御できる

  • AWS WAFは、ウェブアプリケーションを保護するファイアウォール

    • ウェブACL(アクセスコントロールリスト)でトラフィックを許可・ブロックする

  • Amazon Inspectorでは、アプリケーションのセキュリティ評価を自動で実行する

    • セキュリティの脆弱性・ベストプラクティスからの逸脱を検出する

  • Amazon GuardDutyでは、VPCフローログ・DNSログ等からデータを分析し、脅威を検出する

モニタリングと分析

Amazon CloudWatch

  • Amazon CloudWatchは、様々なメトリクスデータをモニタリング・管理する

  • 設定したしきい値を超えた時に、アクションを実行するアラームの作成ができる

  • ダッシュボードでメトリクスデータを可視化できる

AWS CloudTrail

  • AWS CloudTrailは、AWS環境でのアカウントのAPIコールの記録・確認ができる

    • つまり、AWSアカウント内の操作(ユーザーアクティビティも)が記録される

AWS Trusted Advisor

  • AWS Trusted AdvisorはAWS環境を検査し、リアルタイムの推奨事項(AWSのベストプラクティスに基づく)を提供する

  • 5つのカテゴリ(コスト最適化・パフォーマンス・セキュリティ・耐障害性・サービスの制限)の推奨事項が提供される

料金とサポート

AWS無料利用枠

  • AWS無料利用枠では、無料でAWSのサービスを使用できる

    • 無期限無料・12か月間無料・トライアルの3種類

AWSの料金の概念

  • AWSサービスでは、実際に使ったリソースの量に応じて料金が発生する

    • 一部のサービスには、前払いで割引を受けられるオプションがある

    • 一部のサービスでは、段階制料金(使用量が増えるほど、単位あたりのコストが下がる)が用意されている

  • AWS 料金計算ツールでは、コスト見積りの作成・比較ができる

請求ダッシュボード

  • AWSマネジメントコンソールの請求ダッシュボードでは、リージョン別のサービスのコスト、今月の初めから現在までの支出など、AWS請求書の詳細を確認できる

  • 請求ダッシュボードではアラートは設定できない

一括請求(コンソリデーティッドビリング)

  • AWS Organizationsでは、一括請求(コンソリデーティッドビリング)ができる

  • 一括請求で、1つの請求で複数のアカウントの支払いができる

  • 複数アカウントの支払いをまとめられるため、料金のボリューム割引を受けることができる

AWS Budgets

  • AWS Budgetsで、予算を作成してサービスの使用量・コスト・インスタンスの予算を計画できる

  • 使用量が予算量を超えた時のカスタムアラートを設定できる

AWS Cost Explorer

  • AWS Cost Explorerは、AWSのコスト・使用量を可視化して把握・管理する

  • 上位5つのサービスのコスト・使用量のレポートがデフォルトで見られる

AWSサポートプラン

  • AWSには、無料・有料のサポートプランがある

    • 有料のプランはデベロッパーが一番安く、エンタープライズが一番高い

  • ベーシック

    • アカウントの作成時に提供される無料のプラン

    • Trusted Advisorのチェックの一部が利用できる

  • デベロッパー

    • Trusted Advisorのチェックの一部や、基盤となるアーキテクチャのサポートが受けられる

  • ビジネス

    • Trusted Advisorの全てのチェックや、ユースケースのガイダンスを受けられる

  • エンタープライズ

    • 他のサポートプランの全ての機能を利用できる

    • テクニカルアカウントマネージャー(TAM)によるサポートを受けることができる

AWS Marketplace

  • AWS Marketplaceでは、ソフトウェアベンダから提供されるソフトウェアで構成されたデジタルカタログ

  • AWSで実行するソフトウェアの試用・購入が可能

移行とイノベーション

AWS CAF(Cloud Adoption Framework)

  • AWS CAF(Cloud Adoption Framework)は、AWSへのクラウド導入フレームワーク

  • CAFでは、6つの分野(パースペクティブ)がある

  • ビジネスパースペクティブ

    • ITへの投資とビジネスの成果の結び付きに重点を置く

  • 人員パースペクティブ

    • 組織全体の変更管理戦略に重点を置く

  • ガバナンスパースペクティブ

    • IT戦略をビジネス戦略に合わせるためのスキル・プロセスに重点を置く

  • プラットフォームパースペクティブ

    • クラウドの導入・移行のための原則・パターンに重点を置く

  • セキュリティパースペクティブ

    • セキュリティ目標の達成に重点を置く

  • オペレーションパースペクティブ

    • ITワークロードの運用と復旧に重点を置く

移行戦略

  • アプリケーションのクラウドへの移行では、6つの移行戦略がある

  • リホスト

    • アプリケーションを変更せずに移行する

  • リプラットフォーム

    • クラウドの最適化を行う

    • 最適化はアプリケーションの中核となるアーキテクチャを変更せずに行う

  • リファクタリング・アーキテクチャの再設計

    • アプリケーションのアーキテクチャの設計方法や開発方法を作り直す

  • 再購入

    • 従来のライセンスからSaaSへ移行する

  • 保持

    • ソース環境でビジネスに重要なアプリケーションを従来の環境で維持する

  • リタイア

    • 不要になったアプリケーションを削除する

AWS Snowファミリー

  • AWS Snowファミリーは、エクサバイト規模までのデータをAWSとの間で転送できる物理デバイス

  • AWS Snowconeは、小型で堅牢・安全なエッジコンピューティング・データ転送デバイス

  • AWS Snowballは、2種類のデバイスがある

    • Snowball Edge Storage Optimizedデバイスは、大規模なデータ移行・定期的な転送のワークフロー・大容量を必要とするローカルコンピューティングに適している

    • Snowball Edge Compute Optimizedデバイスは、機械学習・フルモーション動画分析・ローカルコンピューティングスタックなどに適している

  • AWS Snowmobileは、最大100PBのデータをAWSに転送できる

AWSのイノベーション

  • AWSでのサーバーレスは、サーバーをプロビジョニング・維持・管理の必要がない

    • AWS Lambdaなど

  • AWSには、人工知能(AI)を利用したサービスがある

    • Amazon Transcribeで音声をテキストに変換する

    • Amazon Comprehend でテキストのパターンを検出する

    • Amazon Fraud Detectorで不正の可能性があるオンラインアクティビティを特定する

    • Amazon Lexでは、会話型チャットボットを素早く構築できる

  • AWSでの機械学習は、Amazon SageMakerで機械学習モデルをすばやく構築できる

クラウドジャーニー

AWS Well-Architectedフレームワーク

  • AWS Well-Architectedはフレームワークは5つの柱に基づくアーキテクチャフレームワーク

  • 運用上の優秀性

    • システムを運用・監視する能力

  • セキュリティ

    • 情報・システム・アセットを保護する能力

  • 信頼性

    • サービス障害からの復旧・コンピューティングリソースの動的な取得・サービスの中断を軽減する能力

  • パフォーマンス効率

    • コンピューティングリソースを効率良く使用し、システム要件を満たし、効率性を維持する能力

  • コスト最適化

    • 最も安価にシステムを実行する能力

参考文献