📘🎮 AWSの超速理解パターン（1ヶ月目）をやる

[yanachuwan9sm]

As a

FEとして

I want to

知見のないAWSをサービス全体を理解し、実務でもタスクを取れる（会話を理解）ようにしたい。

So that

クラウド周辺を理解することで、サービス全体の理解に繋がるから。

GOAL

以下の項目をやる。（もっといけそうなら追加する）

• [x] Amazon Web Servicesの基礎知識
• [ ] ネットワークとコンテンツ配信
• [ ] コンピューティング
• [ ] セキュリティ、アイデンティティ、コンプライアンス

[yanachuwan9sm]

[Amazon Web Servicesの基礎知識 memo]

AWSの利点

エッジロケーション

エッジロケーションとは、CloudFrontがコンテンツをキャッシュする拠点であり、AZとは異なる。

AZの利点

• 各AWSリージョンに複数のAZが、各々障害から隔離されるように設計
• AZはデータセンターであり、場合によっては複数のデータセンターで構成
• リージョン内のAZは同一リージョンの他のAZに低遅延のネットワークで接続されている。 👉 データセンター間で同期的にデータ複製を行うので、フェイルオーバーを自動化して、ユーザーは特に意識することなく、使用する事ができる。

https://aws.amazon.com/jp/about-aws/global-infrastructure/

認証方法

アクセスキー（アクセスキーID + シークレットキー） -> AWSの操作(AWS SDK / AWS CLI)を行うことができる。

コンソールパスワード -> AWSマネジメントコンソールにユーザーをサインインするためのもの

キーペア -> EC2インスタンスへのログイン認証・パスワード取得に使用

クラウドプラクティショナー

AWSコスト管理ツール -> 「日別、サービス別、組織のAWSアカウント別にAWSコストを可視化する事」 -> 「予算の作成・使用量が予算を超えた場合、通知を送ることができる」

[yanachuwan9sm]

IAM

https://zenn.dev/mi_01_24fu/articles/aws-iam-2024_03_26

IAMとは「誰が(認証)何を(認可)行うことができるのか」を定義したり管理したりすることでセキュリティを向上させることができるサービス。

IAMユーザーとルートユーザー

ルートユーザー

• AWSアカウントを作成する際に自動的に作成される最初のユーザーアカウント
• リソースとサービスに対するフルアクセス権限が付与
• なんでも出来る最強権限を持ってる。

IAMユーザー

AWS Identity and Access Management (IAM) のユーザーとは、AWS で作成したエンティティのことです。IAM ユーザーは、AWS とやり取りするために IAM ユーザーを使用する人間のユーザーまたはワークロードを表します。AWS のユーザーは名前と認証情報で構成されます。 管理者アクセス許可を持つ IAM ユーザーが AWS アカウントのルートユーザー ということではありません。ルートユーザー の詳細については、「AWS アカウントのルートユーザー」を参照してください。 IAM ユーザー

IAMユーザーはルートユーザーと違い「権限に制約をかけられる」

IAMユーザーの必要性

最小権限の原則 各IAMユーザーには、そのユーザーが必要とする最小限の権限のみが付与される これにより、不必要なリスクを排除することができる

責任の明確化 IAMユーザーを使用することで、誰がどのリソースにアクセスできるかを明確に管理できる これにより、監査やトラブルシューティングが容易になる

セキュリティの強化 ルートユーザーではなくIAMユーザーを使用することで、不正アクセスや誤操作による被害を最小限に抑えることができる

ルートユーザーはすべての権限を持っているのに対して、IAMユーザーは必要な権限のみ付与することができるため、誤操作などによるリソース削除の危険を取っ払える、というのがIAMユーザーの必要性であり重要な点。

IAMの4つの概念

• IAMユーザー
• IAMグループ
• IAMロール
• IAMポリシー

ユーザー作成

• Identity Center でユーザーを指定（推奨）
• IAMユーザーを作成

---

AWS Identity Center(旧称 AWS Single Sign-On、AWS SSO)

• AWS アカウントとビジネスアプリケーションの両方へのアクセスを一元管理するためのクラウドベースのサービス
• ユーザーは一つのユーザーID(シングルサインオン)で複数のAWSアカウントやアプリケーションにアクセスできるようになる

👉 管理者は、中央の場所からユーザーのアクセス権を簡単に管理し、セキュリティを強化しながらユーザーのアクセス管理を効率化できます

＜Identity Centerを選択する場合＞

• 複数のAWSアカウントの管理が必要な場合
• 外部アプリケーションやサービスへのアクセスを一元管理したい場合
• ユーザーが複数のサービスやアプリケーションにシングルサインオンでアクセスする必要がある場合

＜メリット＞

• アクセスの一元管理: 複数のAWSアカウントやアプリケーションへのアクセス権を一か所で管理できる
• ユーザーは複数のサービスに対して一つのIDとパスワードでログインできるため、利便性が向上する
• 中央でのアクセス管理により、アクセス権の不適切な付与を防ぐことができる

＜IAMユーザーを作成する場合＞

• 単一のAWSアカウント内でのアクセス管理が主な目的の場合
• アプリケーションやスクリプトがAWSリソースにプログラムによるアクセスを必要とする場合
• 組織内のユーザー数が少ないか、AWSアカウントの管理が比較的シンプルな場合

＜メリット＞

• 各IAMユーザーに対して、AWSリソースへのアクセス権を細かく設定できる
• APIキーを利用して、プログラムからAWSサービスへのアクセスを可能にする
• 特定のユーザーやユースケースに合わせたアクセスポリシーを設定できり

＜使い分け＞

• 複数のAWSアカウントや外部アプリケーションのアクセスを管理する必要がある大規模組織では、Identity Centerが適している。⇨ 一元管理により、アクセス制御を簡素化し、ユーザーの利便性を高めることができます

• 単一のAWSアカウントを使用する小規模な組織や、特定のAWSサービスへのプログラムによるアクセスが必要な場合は、IAMユーザーが適しています。👉 細かなアクセス権の管理や特定のリソースへのアクセスが必要な場合に柔軟に対応できます

[yanachuwan9sm]

IAMポリシーとIAMロール

IAMポリシー

• 「AWSのユーザーがどのリソースに対してどのような操作を許可するのか否か」というルールを定めたもの
• IAMグループに割り当てる「ルール」を「ポリシー」と呼ぶ

[yanachuwan9sm]

請求画面はルートユーザーではないとアクセスできない。

[yanachuwan9sm]

サブネット（Public/Private）

Public Subnet -> ルートテーブルにインターネットゲートウェイへのルーティング有

Private Subnet -> ルートテーブルにインターネットゲートウェイへのルーティング無

Route table

• サブネットに関連づけて使用
• サブネットから外に出る通信を「どこ」に向けて発信するかを決めるルール・定義
• ルートと呼ばれるルールで構成される

NAT Gateway

• プライベートサブネットからインターネット接続を可能とする目的で使用する
• アウトバウンドはできるけど、インバウンドはできない。
• 👍 NAT Gateway -> インターネット / 🆖 インターネット -> NAT Gateway

ENI（Elastic network interface）

• 仮想ネットワークインターフェイス
• EC２インスタンスのIPアドレスの招待はこれ。

Security Group

• 仮想ファイアウォールサービス

[yanachuwan9sm]

Public IP Address / Elastic IP Address

インターネット接続用のIPアドレスは以下の二通り。

Public IP Address

グローバルIPアドレスのこと。AWSのIPアドレスプールから割り当てられるもの。（自動割り当て）

インスタンスが停止・終了するとまた別のIPアドレスが割り当てられる -> セキュリティ制御の変更・他アプリとの通信設定

Elastic IP Address

• インスタンスにアタッチ/デタッチが可能で静的なパブリックIPアドレス
• インスタンスが再起動・停止・終了しても同一アドレス