前回の続きです。

akkino-d-en.hatenablog.com

長々とやってきましたが今回が最後です。 

残った部分を終わらせていきましょう。

www.udemy.com

セクション24

• Step Function
• AppSync

セクション25

• STS
• Advances IAM
• Granting a User Permissions to Pass a Role to an AWS Service
• Directory Services

セクション26

• AWS Security
• Encryption 101
• KMS
• KMS Encryption Patterns and Envelope Encryption
• Encryption SDK CLI
• KMS Limits
• KMS and AWS Lambd
• S3 Security Advanced
• SSM Parameter Store
• Secrets Manager
• SSM Parameter Store vs Secrets Manager
• CloudWatch Logs Encryption
• CodeBuild Security

セクション27

• AWS SES
• Summary of Databases (OLTP, OLAP, NOSQL, CACHE)
• Amazon Certificate Manager (ACM)

セクション28

• ハンズオン環境のクリーンアップ

セクション29

• Preparing for the Exam

セクション30

• Congratulations

知らなかったこと・忘れてたこと

AWS STS

• AWSリソースへの限定的かつ一時的なアクセスを許可する(最大1時間)
• AssumeRole：アカウント内やクロスアカウントでのロールの割り当て
• AssumeRoleWithSAML：SAML でログインしたユーザの資格情報を返す。
• AssumeRoleWithWebIdentity
  ・IdP でログインしているユーザーの ID を返す (Facebook ログイン、Google ログイン、OIDC 互換など)
  ・AWSは非推奨としており、代わりにCognito Identity Poolsを推奨している。
• GetSessionToken: MFAの場合、ユーザーまたはAWSアカウントのルートユーザーから取得する。
• GetFederationToken: フェデレーションされたユーザの一時的なクレドを取得する。
• GetCallerIdentity: APIコールで使用されるIAMユーザーまたはロールの詳細を返す。
• DecodeAuthorizationMessage: AWS APIが拒否された場合のエラーメッセージをデコードする

docs.aws.amazon.com

SSM Parameter Store vs Secret Manager

Secrets Manager（コスト高）

• AWS Lambdaを使ったSecretの自動ローテーション
• RDS、Redshift、DocumentDBとの統合
• KMSの暗号化は必須
• CloudFormationとの統合が可能

SSM パラメータストア (コスト低）

• シンプルなAPI
• Secretのローテーションはなし
• KMSの暗号化はオプション
• CloudFormationとの統合が可能

SSMパラメータストアAPIを使用してSecrets ManagerのSecretを引き出すことが可能。

www.1strategy.com

おすすめホワイトペーパー

• AWS Security Best Practices
• AWS Well-Architected Framework
• Architecting for the Cloud AWS Best Practices
• Practicing Continuous Integration and Continuous Delivery on AWS Accelerating Software Delivery with DevOps
• Microservices on AWS
• Serverless Architectures with AWS Lambda
• Optimizing Enterprise Economics with Serverless Architectures
• Running Containerized Microservices on AWS
• Blue/Green Deployments on AWS

aws.amazon.com

まとめ

Udemyでの学習を始めたのが7月の頭なので、後半だいぶスピードを上げましたが、おおよそ一ヶ月ちょっとで終わらせることができました。

翻訳や小テストの時間も含め、合計35時間ぐらいかかったでしょうか。（内動画時間は30時間）

講座自体の評価ですが、全体を通して表をできる限り使うことを避け、その分たくさん図解されていたためわかりやすく、またハンズオンも丁寧に作られておりとても勉強しやすかったです。

AWS SAAの勉強をした時は基本的なサービス以外の講座やハンズオンの動画などはほとんど飛ばしてしまっていたので、知識を得た上で改めて見るとたくさんの発見がありました。

また個人的に高評価なのは声がとても聞きやすかったことです。

どうしても長時間聞くことになる動画形式での講座ですので録音環境が悪かったり、サービスの更新に伴い一つの動画内でつぎはぎで解説音声を修正されていたりすると結構ストレスになります。

この講座ではそういったことはなく、更新するにしても動画単位ごと撮り直されておりとても配慮されているようでした。

最後に

最初は半分復習のつもりで始めましたが、思っていたよりもたくさんのことを勉強することができたので今ではやってよかったと思っています。

しかし資格取得という面ではこれでやっとスタート地点に立てた状態です。

来月中の取得目指して本格的に試験勉強をしていきたいと思います。

前回の続きです。

akkino-d-en.hatenablog.com

だんだん終わりが見えてきました。

今回はCloudWatch, SQS, SNS, Kinesis, Lambda です。

www.udemy.com

セクション17

• Monitoring
• CloudWatch Metrics
• CloudWatch Alarms
• CloudWatch Logs
• CloudWatch Agent & CloudWatch Logs Agent
• CloudWatch Logs Metric Filters
• CloudWatch Events
• EventBridge
• X-Ray
• X-Ray: Instrumentation and Concepts
• X-Ray: Sampling Rules
• X-Ray APIs
• CloudTrail

セクション18

• AWS Integration & Messaging
• AWS SQS
• AWS SQS Dead Letter Queue
• AWS SQS CLI Practice
• AWS SQS FIFO Queues
• AWS SQS Advanced
• AWS SNS
• AWS Kinesis
• AWS Kinesis KCL
• Kinesis Security, Firehose and Analytics
• Data Ordering for Kinesis vs SQS FIFO

セクション19

• AWS Lambda
• Lambda Synchronous Invocations
• Lambda & Application Load Balancer
• AWS Lambda@Edge
• Lambda Asynchronous Invocations & DLQ
• Lambda & CloudWatch Events / EventBridge
• Lambda & S3 Event Notifications
• Lambda Event Source Mapping
• Lambda Destinations
• Lambda Permissions - IAM Roles & Resource Policies
• Lambda Environment Variables
• Lambda Monitoring & X-Ray Tracing
• Lambda in VPC
• Lambda Function Performance
• Lambda Concurrency
• Lambda External Dependencies
• Lambda and CloudFormation
• Lambda Layers
• Lambda Versions and Aliases
• Lambda and CodeDeploy
• Lambda Limits

知らなかったこと・忘れてたこと

Amazon EventBridgeとCloudWatch Eventsの関係

• Amazon EventBridgeはCloudWatch Events をベースに構築された、CloudWatch Events を拡張するサービス
• Amazon EventBridgeではCloudWatch Eventsと同じサービスAPIとエンドポイント、同じ基盤となるサービスインフラストラクチャを使用している
• CloudWatch EventsからEventBridgeへと乗り換えても、これまでと同じAPI、CloudFormationテンプレート、コンソールを引き続き使用可能
• CloudWatch Events はイベント駆動型アーキテクチャを構築するための理想的なサービス
• 独自のアプリケーションとサードパーティーの SaaS アプリケーションからデータを接続できるようにする新しい機能がAmazon EventBridge
• つまり元は両者とも同じ物で、EventBridgeがCloudWatch Eventsが開発された目的であるモニタリングユースケースを超えた拡張となっている

aws.amazon.com

X-Rayが動作しない場合のトラブルシューティング

EC2でX-Rayが動作しない場合

• EC2 IAM Roleが適切な権限を持っていることを確認
• EC2インスタンスがX-Ray Daemonを実行していることを確認

AWS Lambda上で動作しない場合

• 適切なポリシー(AWSX-RayWriteOnlyAccess)でIAM実行ロールを持っていることを確認
• X-Rayがコード内にインポートされていることを確認

まとめ

Lambdaのセクションがかなりボリュームがあったのと、途中英語の口頭ベースで説明される内容が多くて、それらを理解するのが結構キツかったです。

ですがその分ハンズオンがとてもわかりやすく、何言ってるかわからなくても雰囲気で理解することができました。

その分章末の小テストではボロボロだったのであとで勉強し直します……。

あとちょうどSQSあたりの講座を見ているときに、まさに見ている途中で講座が更新されて内容が変わってしまい少しだけ困りました。
ただ目の前で情報がアップデートするのを確認できたおかげで、より意識に残せたかと思います。

前回の続きです。

akkino-d-en.hatenablog.com

ここまでで1/3です。

各セッションが少し短めだったので、その分一個多くなっています。

www.udemy.com

セクション9

• S3
• Versioning
• Encryption for Objects
• Security & Bucket Policies
• S3 Websites
• S3 CORS
• Consistency Model

セクション10

• AWS CLI
• SDK
• IAM Role & Policies
• Policy Simulator
• AWS CLI Dry Runs
• STS Decode
• EC2 Instance Metadata
• CLI Profiles
• CLI with MFA
• Exponential Backoff & Service Limit Increase
• AWS Credentials Provider & Chain
• AWS Signature v4 Signing

セクション11

• S3 MFA Delete
• S3 Default Encryption
• S3 Access Logs
• S3 Replication(CRR & SRR)
• S3 Pre-Signed URLs
• Storage Tiers + Glacier
• S3 Lifecycle Policeis
• S3 Performance
• S3 & Glacier Select
• S3 Event Notifications
• Athena
• Object lock & Glacier Vault Lock

セッション12

• CloudFront
• CloudFront Caching & Caching Invalidations
• CloudFront Security
• CloudFront Signed URL / Cookies

知らなかったこと・忘れてたこと

S3のキー

• S3のオブジェクト（ファイル）にはキーがあり、接頭辞 + オブジェクト名で構成される。
• 例：s3://my-bucket/my_file.txt - s3://my-bucket/my_folder1/another_folder/my_file.txt
• UIに騙されるかもしれないが、バケット内には「ディレクトリ」という概念はない。
• スラッシュ("/")を含む非常に長い名前のキーのみ。

自分は完全に騙されてました。

docs.aws.amazon.com

IAMPolicy Simulator

実際に作成したIAMポリシーが想定したリソースへのアクセスが可能かどうかを確認できる。

docs.aws.amazon.com

Dry Runs

• いくつかのAWS CLIコマンド（EC2など）は、実行するとコストが高くなることがあるため、不用意にコマンドを実行するのはNG。
• 全てではないがいくつかのAWS CLIコマンドには --dry-runオプションが含まれており、APIコールをシュミレートすることが可能。

dev.classmethod.jp

STS Decord

• API 呼び出しを実行して失敗すると、長いエラーメッセージが表示される。
• このエラーメッセージは、STS コマンドラインを使用してデコードすることが可能。
• 例：sts decode-authorization-message
• ただしデコードするには専用のポリシーが必要

aws.amazon.com

CLI with MFA

CLIでMFAを使用するには一時的なセッションを作成する必要があり、STS GetSessionToken API コールを実行する必要がある。

例：
aws sts get-session-token -serial-number arn-of-the-mfa-device --tokencode code-from-token --duration-seconds 3600

aws.amazon.com

Amazon Glacier

• Amazon Glacier：最低90日間の保存期間が必要
• Amazon Glacier Deep Archive：最低180日間の保存期間が必要だがその分安い。

Amazon Glacierの検索オプション

• 迅速（1～5分）
• 標準（3～5時間）
• 大容量（5～12時間）

Amazon Glacier Deep Archiveの検索オプション

• 標準（12時間）
• バルク（48時間）

S3のパフォーマンス

• Amazon S3は自動的に高リクエスト率、レイテンシ100-200msにスケーリングする。
• 少なくとも 3,500回のPUT/COPY/POST/DELETE および、バケット内のプレフィックス1つにつき1秒間に5,500回のGET/HEADリクエストが可能。
• バケット内のプレフィックスの数に制限はない。
• 例 (オブジェクトパス => プレフィックス)
  - bucket/folder1/sub1/file => /folder1/sub1/
  - bucket/folder1/sub2/file => /folder1/sub2/
  - bucket/1/file => /1/
  - bucket/2/file => /2/
• 4つのプレフィックスすべてに均等に広げれば、GETとHEADは22,000回/秒まで可能。

docs.aws.amazon.com

Athena

• S3ファイルに対して直接分析を実行するサーバーレスサービス。
• SQL言語を使用してファイルを照会する。
• JDBC / ODBCドライバを持っている。
• クエリごととスキャンしたデータ量によって課金。
• CSV, JSON, ORC, Avro, Parquet をサポート (Presto 上に構築)
• 使用例：ビジネスインテリジェンス/分析/レポーティング、分析、クエリ、VPCフローログ、ELBログ、CloudTrailトレイルなど。
• S3で直接データを分析する場合はAthenaを使うと覚えておくと◎

aws.amazon.com

CloudFrontとS3 Cross Region Replicationの使い分け

CloudFront

• グローバルエッジネットワーク。
• ファイルはTTL（おそらく1日）の間キャッシュされる。
• どこでも利用可能な静的コンテンツに最適。

S3 Cross Region Replication

• レプリケーションを実行したいリージョンごとに設定する必要がある。
• ファイルはほぼリアルタイムで更新。
• 読み取り専用。
• 少ないリージョンで低レイテンシーで利用できる必要があるダイナミックコンテンツに最適。

まとめ

今回は小ネタというか、そんなのあるんだ！ってなるようなものが多かったです。

特にS3やCloudFrontの細かい設定方法などに実際に触れる機会がなかなかないので勉強になりました。

あとAthenaは完全に初めて知りました（もしかしたらチラッと名前だけは聞いたことあったかも？）

こちらも具体的な設定方法やクエリの実行方法などが学ぶことができたので良かったです。

次回から結構ボリュームがあるところなので引き続き頑張っていこうと思います。