AWS SAP Practice

AWS SAP

1. A
2. S
3. A
4. A
5. A
6. A
7. A
8. A
9. A
10. ABCE
Amazon SESでは設定セット（Configuration sets）を使うことでメールの開封率などを調べることが可能
メトリクスはCloud Watch, Kinesis Firehose, SNSに送信することが可能
以前はできなかったが、２０１７年ごろに可能になった
11. Aa
VPCフローログは送信元IPアドレスや宛先、ポート番号などの基本的な情報しかないがVPCミラーリングで得られたパケットには通信に関する全ての情報がある
それをWireshark等のパケットキャプチャツールで解析すると通信をしているユーザなどの情報を検査できる
パケットの送信先はENIかNetwork loadBalancerのみ。CloudWatch Logsには送信できない
12. A
AWS Personal Health DashboardのAWS_EC2_PERSISTENT_INSTANCE_RETIREMENT_SCHEDULEDイベントは、EC2インスタンスがハードウェアの問題や老朽化などの理由で退役予定であることを示すアラート
このイベントのターゲットとしてAWS AutomationのAWS-RestartEC2Instanceを指定することで自動起動が可能
13. A
Amazon Inspectorにはエージェントが必ずしも必要ない（エージェントレススキャン）
ただ、ソフトウェアの脆弱性を詳細に検査するためにはAgentが必要
14. Aa
Dedicated Hostsのアフィニティオプションを利用することで、インスタンスが再起動したときも同じハードウェアマシン上で起動されるようになる
15. A
S3バケットのリクエスタ支払いを有効にすると、自動的にAWS認証とx-amz-request-payer:requesterをヘッダーに含めたリクエストが必須になる
つまり、バケットポリシーのConditionを追加する必要はない
16. A
KMSマスターキーのエクスポートはできない
素早く安全にデータベースのコピーを相手に渡すには、Aurora MySQLのスナップショットを作成してKMSのCMKをキーポリシーによって使えるようにする
17. A
18. A
DAXにはSaving Plansは存在しない
19. A
Elastic IPアドレスが利用できるAWSのサービスは、EC2, NATゲートウェイ、Network Load Balancerである
20. Aa
AWS SCT (Schema Conversion Tools)を使うことでデータウェアハウスからデータを抽出/変換しS3やSnowball Edgeに移行することができる
21. A
AWS Replication AgentはAWS Application Migration Serviceでも使える
AMSでテストインスタンスの起動も可能
22. C⭕️
23. C⭕️
Kinesisはマネージド→OSの管理が必要ない
24. B/C
Memchaedは暗号化やレプリケーションをサポートしていない

25. DCF/ADF
ENIにはMACアドレスも紐づいている

26. C⭕️
27. BC⭕️
28. DCE/BCD
29. B⭕️
CodepipelineでCodeBuildを実行して、コマンドの戻り値がエラーの場合はパイプラインが終了する

30. EDC/BDE
AWSとオンプレミスの安定な接続→Direct Connect Gateway
マネージドなVPN接続→AWSクライアントVPN
31. A/D
32. A/B
CART（AWS Cloud Adoption Readiness Tool）を利用することでAWS以降に必要な準備について適切な指標を出せる
33. D/C
Egress-Onlyインターネットゲートウェイはサブネットに作成するものではなくVPCにアタッチするものである
34. B/D
35. B⭕️
36. B/C
外部IDはIAMロールのARN登録ごとにランダムに作成する必要がある
37. C⭕️

38. B⭕️

39. B⭕️
40. D⭕️
41. A/B
追加の勉強が必要
42. C⭕️
Transit GatewayのVPN接続でEnable Accelerationを有効にするとGlobal Acceleratorを利用したVPNネットワークの高速化になる
43. ADE⭕️
44. C/B
SCPを利用するにはOrganizationsで全ての機能を有効化する必要がある
45. CDF/BCD
Firewall Managerで必須の機能→Organizationsで全ての機能を有効化すること、管理者アカウントの設定、Configを有効化すること
46. A/D
最小限の権限を設定するためにService Catalogを使える
47. D⭕️
Lambda関数に送信元Elastic IPアドレスを設定するには、NATゲートウェイ経由でアウトバンドリクエストを実行する必要がある
NAT Gatewayに適用したElastic IPアドレスを使う
48. D/C
KMSの顧客管理キーはローテーションが可能
パスワードのローテーションが必要な場合はシークレットマネージャーを利用する必要があるが、キーのローテーションならKMSでOK
49. A/C
50. AC⭕️
Cloud HSMでTDEプライマリ暗号化キーを使用するケースはRDSでサポートされていない。→EC2を利用する必要がある
51. D⭕️
52. B⭕️
53. B⭕️
Direct Connect Gatewayで複数リージョンのVPCにアタッチできる
54. CDE/BCE
SricataとはオープンソースのIDS
Sricata互換での検査をマネージドで提供するサービスはAWS Network Firewall
55. C/B
56. ABC⭕️
IAMロールを使うことでEC2のメタデータに一時的な認証情報が保存されますが、IMDSv2のみを使用することでサーとパーティ製のWAFの脆弱性に影響されにくい
57. C/A
Cloud Frontキーペアの作成はrootユーザーでなくてもできる
58. C⭕️
59. B⭕️
60. BD⭕️
61. B/C
ベストプラクティスは「自動化」
62. B/C
S3マルチパートアップロードでは不完全なパートが残りっぱなしになるとストレージ容量を逼迫してしまうため定期的に削除することが必要
63. D⭕️
64. BCE⭕️
65. B⭕️
ルートユーザーが使われたことの通知→Guard DutyのRootCredentialUsageイベント
66. D⭕️
Application Discovery Serviceで以降の判断や計画を立てることにも使える
67. B⭕️
68. D/C
AWS Outpostsとは自社のデータセンターやオンプレミス環境にAWSのサーバをラックごと設置するもの
住所がはっきりしている特定の場所にデータを保存しなければならない場合などに利用する
69. B⭕️
EMRではマスターノードとコアノードは中断されずに実行される必要がある
70. ABC/ACD
インプレミスのLinuxにEFSをマウントし、転送中のデータを暗号化する場合
amazon-efs-utilsをインストールして、マウントヘルパーコマンドで-o tlsオプションをつけてマウントする
マウントするとき、EFSファイルシステムIDを指定するので名前解決できる必要がある
71. D/B
わからん
72. CE/BC
RDS Proxyを利用する場合は、パスワード保存用のSecrets Managerが必要
RDS Proxyにとどいたリクエストの認証を行うためhttps://dev.classmethod.jp/articles/how-rdsproxy-uses-secrets-manager/
73. B/C
CloudFrontのフィールドレベル暗号化とは、CloudFrontでやり取りされる特定のフィールドのデータを暗号化するもの
特定のセンシティブな情報を暗号化する際に利用される
KMSキーなどで暗号化をすると、KMSキーが利用できる人ならその情報が見れてしまう
74. A/B
75. D/A
リアルタイム配信は、AWS Elemental MediaLiveとAWS Elemental MediaStoreとCloudFrontで実現可能
76. C/D
同じリージョン内のVPC同士を接続する場合→Transit Gateway
その後、各リージョンのTransit Gateway同士をピア接続する
77. D⭕️
78. BD/BE
OACはCloudFront経由に限定するだけで、アクセスもとの認証などを判断するものではない
79. A/C
EventBridgeを利用することでスポットインスタンスの中断などのAWSアカウント内のイベントと、外部SaaS製品のイベントを統合できる
80. C⭕️
81. DE/CE
82. D/C
勉強が必要Step Function 使う

追加で勉強すること

追加でまとめること

1. 組織のネットワーク設計
   1. VPCエンドポイントの利用
   2. AWS PrivateLinkとVPCエンドポイントの違い
   3. AWS クライアントVPN/AWS Site-toSite VPN/ソフトウェアVPNなどを使ったVPN構成
   4. 仮想プライベートゲートウェイとカスタマーゲートウェイ
   5. AWS Direct Connect
   6. VPCピア接続
   7. AWS Transit Gateway
   8. Direct ConnectとTransit Gateway
   9. Route53プライベートホストゾーンとRoute53 Resolver
2. マルチアカウント戦略、ロール、ユーザ管理について
   1. 組織内でのクロスアカウントアクセス
   2. サードパーティ製品へのアクセス許可と混乱した代理問題
   3. AWS Directory Service
   4. AWS Organization
   5. AWS Service CatalogとAWS Resource Access Manager
   6. AWS Control Tower
3. 開発
   1. Build spec.ymlとapp spec.yml
   2. EC2インスタンス/ECS/Lambdaへのデプロイ戦略
   3. CloudFormationのヘルパーリクエスト
   4. AWS CodePipelineの使用例
   5. AWS Elastic Beanstalkの使用例
4. モニタリング
   1. AWS Healthイベント　Personal Health
   2. CloudWatchの利用例
   3. VPCのモニタリング（VPC Flow Logsとトラフィックミラーリング）
   4. AWS X-Ray
5. 構成管理、メンテナンス
   1. AWS Systems Managerの利用
   2. AWS Config
   3. S3のバッチオペレーション
6. セキュリティ
   1. ルートユーザの保護
   2. AWS KMS
   3. Cloud HSMのユースケース
   4. Secret Manager
   5. Amazon Inspector
   6. WAF, Shield, Network Firewall, Firewall Manager
   7. GuardDuty, Macie, Security Hub, Detective
7. 信頼性
   1. 災害対策のために
   2. 疎結合化による信頼性の改善
   3. データベースのリクエスト改善
   4. EC2 オートスケーリング
   5. ファンアウト
   6. AWS Service Quotasが必要になる場面
8. パフォーマンス
   1. インスタンスタイプとかバーストとか
   2. プレイスメントグループ
   3. ストレージのパフォーマンス（S3,DynamoDB）
   4. CloudFrontの利用
   5. Global Accelerator
   6. ElastiCache
   7. RDS
   8. Aurora
   9. API Gateway
9. コスト最適
   1. EC2のコスト
   2. S3のコスト
   3. DynamoDBのコスト
   4. コストの可視化、予想
   5. EC2→サーバレスへ
10. 移行
    1. 7つのR
    2. 移行評価支援のサービス
    3. データ、アプリケーションの移行サービス
11. AWS の活用例
    1. ECS/EKS/Proton
    2. App Runner
    3. Kinesis
    4. データレイク
    5. SESを活用したメール送受信
    6. Transfer Family
    7. IPアドレスに依存した設計
    8. 低遅延を実現するサービス