これだけでOK！ AWS 認定ソリューションアーキテクト – アソシエイト試験突破講座（SAA-C02試験対応版）

[Miku39]

SAA-C02

アソシエイト試験範囲

• 顧客の要件に基づき、アーキテクチャ設計原則に沿ってソリューションを定義できること

• プロジェクトのライフサイクルを通して、ベストプラクティスに基づく実装ガイダンスを組織に提供できること

試験分野

1. レジリエントアーキテクチャの設計 30%
2. 高パフォーマンスアーキテクチャの設計 28%
3. セキュアなアプリケーションとアーキテクチャの設計 24%
4. コスト最適化アーキテクチャの設計 18%分野

試験概要

• 130分
• 65問
• 720点が合格点(およそ7割以上)

[Miku39]

EC2にsshで接続する

mv ~/Downloads/udemy_sample.pem ~/.ssh/ chmod 400 ~/.ssh/udemy_sample.pem ssh -i ~/.ssh/udemy_sample.pem ec2-user@18.182.30.158

停止中のインスタンスは課金されない

AWSを利用するためのツール

• AWSマネジメントコンソール
• SSHソフトウェア
• AWSCLI

[Miku39]

IAMの設定 CloudTrailの設定 請求アラートの設定

AWS CloudTrail

AWSユーザの操作(APIコールやユーザのサインインアクティビティ)をロギングするサービス

• ルートアカウント/IAMユーザのオペレーションとAPIコールをトラッキングしてログを取得するサービス
• CloudTrailログファイルは暗号化されてS3に保存
• KMSによる暗号化もサポート
• デフォルトでは90日間ログが保存される
• 無料

[Miku39]

試験分野

• 分野1: レジリエントアーキテクチャの設計
  • 多層アーキテクチャソリューションの設計
  • 可用性の高いアーキテクチャやフォールトトレラントなアーキテクチャの設計
  • AWS のサービスを使用したデカップリングメカニズムの設計
  • 適切な回復力のあるストレージの選択
• 分野 2: 高パフォーマンスアーキテクチャの設計
  • ワークロードに対する伸縮自在でスケーラブルなコンピューティングソリューションの識別
  • ワークロードに対するパフォーマンスとスケーラブルなストレージソリューションの選択
  • ワークロードに対するパフォーマンスが高いネットワーキングソリューションの選択
  • ワークロードに対するパフォーマンスの高いデータベース ソリューションの選択
• 分野 3: セキュアなアプリケーションとアーキテクチャの設計
  • AWS リソースへのセキュアなアクセスの設計
  • セキュアなアプリケーション階層の設計
  • 適切なデータセキュリティオプションの選択
• 分野 4: コスト最適化アーキテクチャの設計
  • コスト効率が高いストレージソリューションの識別
  • コスト効率が高いコンピューティングおよびデータベース サービスの識別
  • コスト最適化ネットワークアーキテクチャの設計

[Miku39]

リージョン > AZ > エッジロケーション

試験範囲

AWS_training6.pdf

■優先度高の範囲

• アプリケーション統合 SQS SNS
• コンピューティング EC2 EC2 Auto Scaling Lambda ELB (ECS) (Elastic Beanstalk)
• データベース Aurora RDS DynamoDB ElastiCache Redshift
• マネジメントガバナンス CloudWatch Auto Scaling CloudFormation マネジメントコンソール (CloudTrail) (Config) (OpsWorks) (Service Catalog) (Systems Manager) (Trusted Advisor)
• ネットワーキングとコンテンツ配信 VPC Route 53 CloudFront (API Gateway) (Direct Connect) (Transit Gateway)
• セキュリティ、アイデンティティ、コンプライアンス Identity & Access Management (IAM) Organizations Key Management Service (kMS) (Cognito) (Single Sign-On) (GuardDuty) (Inspector) (CloudHSM) (Directory Service) (Shield) (WAF) (Artifact)
• ストレージ S3 EBS EC2にアタッチする EFS 複数のEC2インスタンスから使用できる Glacier FSx for Windows (Storage Gateway)

■優先度低の範囲

• 開発者用ツール (CodeCommit) (CodeBuild) (CodeDeploy) (CodePipeline) (コマンドラインインターフェイス)

[Miku39]

IAM

• IAMの概要
• IAM設計
• IAMグループへのポリシー適用
• IAMロールへのポリシー適用
• IAMロールの権限移譲
• アクセスアナライザーの設定
• AWS Organizationsの概要
• AWS Organizationsの設定

IAMの概要

• AWS利用者認証の実施
• アクセスポリシーの設定
• 個人またはグループに設定

安全にAWS操作を実施するたの認証・認可の仕組み IAM

• ユーザー IAMポリシー内でAWSサービスを利用できるユーザー。 ルートアカウント: IAMユーザーではない。 管理者ユーザ: IAMの操作権限まである。ルートアカウントしかできない権限は付与されない。 パワーユーザー: IAM以外の全てのAWSサービスにフルアクセス権限を有するIAMユーザー
• グループ
• ポリシー ユーザーなどへのアクセス権限を付与するための設定ドキュメントのこと（JSON形式の文書）
• ロール AWSリソースに対してアクセス権限をロールとして付与できる

[Miku39]

IAM

STS: 一時的な認証情報を付与する機能

ポリシー VPCはEC2の中に入っている

ロール 一時的に第三者などにアクセス権限を付与することもできる

[Miku39]

AWS Organizations

複数のAWSアカウント自体の管理を実施

OU 組織単位

SCP サービスコントロールポリシー SCPというポリシーを利用して、OU内のメンバーに対して権限境界を設定することができる。

[Miku39]

IPアドレス

グルーバルIPアドレス

プライベートIPアドレス

設定できるIPアドレス範囲 10.0.0.0 ~ 10.255.255.255 172.16.0.0 ~ 172.32.255.255 192.168.0.0 ~ 192.168.255.255

[Miku39]

サブネットマスク

IPアドレス表記の後ろに /数値 でくっついている IPアドレス + サブネットマスク = IPの範囲

CIDR IPアドレスの範囲のこと サブネットマスクによってCIDRの範囲が決まる /16 は左から16桁目(2進法表記)までが同じネットワーク範囲 CIDRを設定してプライベートネットワークをサブネットに分けることができる

[Miku39]

VPC

それぞれのリージョンに1つずつデフォルトで作成されている それぞれのサブネットにも1つずつデフォルトでパブリックサブネットが作成されている

VIRTUAL PRIVATE CLOUD

• Egress Only インターネットゲートウェイ ipv6用
• キャリアゲートウェイ 5G専用のゾーン Wavelengthゾーン
• DHCP オプションセット DNSの名前解決をVPC内で行う
• Elastic IP アドレス 固定なIPアドレスを付与
• マネージドプレフィックスリスト IPアドレス範囲を設定できる CIDRの設定をすると、プレフィックスリストとして登録される
• エンドポイントのサービス 他のアカウントからVPCにアクセスするときに使う
• NATゲートウェイ プライベートサブネットにいるインスタンスがインターネットとアクセスするとき
• ピアリング接続 VPCとVPCを接続する際に使う

セキュリティ

• ネットワークACL サブネットのトラフィックを制御するFWの機能を提供
• セキュリティグループ EC2のセキュリティグループと同じ

REACHABILITY

• Reachaboloty Analyzer 到達可能性アナライザー VPCの任意の2つのリソース間に関する到達可能性をチェックできる

仮装プライベートネットワーク(VPN)

VPN接続に使う

TRANSIT GATEWAY

VPCを多数使用しているときに多数の接続をうまく構成する

トラフィックのミラーリング

複雑なネットワークを運用するために VPCからのネットワークの異常な検出、インサイトを抽出

Settings

• ゾーン AZとWavelengthゾーンを設定できる
• コンソールの実験

ElasticIP インスタンスなどに割り当てていれば無料 割り当ててない場合は有料

[Miku39]

ルートテーブルの設定

サブネットのルートテーブルにインターネットゲートウェイへのルートを設定することでパブリックサブネットになる privateはnatが設定される?

NATゲートウェイは高くないけど有料

• DHCPサーバー ローカル端末に対してプライベートIPアドレスを付与して、接続できるようにしてくれる
• NAT グローバルIPアドレスとプライベートIPアドレスとを対応づけるのがNATという機器またはソフトウェア
• IPマスカレード NATが1対1で変換するのに対して、IPマスカレードは複数のプライベートIPアドレスをグローバルIPアドレスに変換する

DHCP, NAT, IPマスカレードのような機能が一つのルーターで実行されることが多い

プライベートサブネットからの返信トラフィックはNATゲートウェイを介して変換されてインターネットゲートウェイに送ることができ、インターネットへの返信が可能となる

[Miku39]

セキュリティグループ

インスタンスへのトラフィックのアクセス可否を設定するファイアーウォール機能を提供 デフォルトは全て拒否 ステートフル

ネットワークACL

サブネットに対するトラフィック制御を実施する デフォルトは全て許可 カスタムで作った場合は全て拒否 ステートレス（アウトバウンドも設定が必要）

インスタンスはクライアントにリファレルポートという動的なポートを使って返すため、下記も設定が必要 アウトバウンド カスタムTCP 1024-65535

[Miku39]

EC2

OSまでは自動設定 Amazon Machine ImageにOS設定を作成し、保存して 再利用が可能

RDSに接続するときはネットワーク経由なのでIAMロールは不要

SSH

(Secure Shell) クライアントとリモートマシン間の通信を暗号化するプロトコル SSHコマンド

Apachのインストール

sudo su
yum update -y
yum install httpd -y
cd /var/www/html/
systemctl start httpd
systemctl enable httpd

[Miku39]

S3バッチオペレーションよく出る