基礎知識
●エッジロケーション
リージョン、AZとは異なるデータセンター。
●責任共有モデル
提供されるサービスの管理責任を線引きした考え方。本公式ページ 」にて。
●Docker
オープンプラットフォーム。コンテナサービスのこと。サーバごとに「必要なコンテナを用意して」「実行する」動きをする。
●リポジトリ
ECRのイメージリポジトリには、Dockerイメージ OCIイメージ
リポジトリ ポリシー (コンテナ)イメージへのアクセス権を制御 できる。 (コンテナ) イメージ ECSやEKSで使用することが出来るコンテナイメージをpush、pullする。 認証トークン イメージをpush、pullするにはECRレジストリに対して認証が必要。
インフラ一括管理ツール
Service Catalog
環境カタログ集 。IT管理者が利用者向けの製品やAWSリソースなどをカタログ(ポートフォリオ)として集中管理。
※AWSで使用が許可されたサービスのみ対象
●起動制約
利用者が自由にAWSリソースを作成するのではなく、管理者が定めたルールの中で安全に利用できるようにする のを目的とする。製品の利用方法にルールを設けて、ガバナンスやセキュリティを強化するための仕組み。簡単に言うと、「誰が・どのように・どんな設定で」製品を使えるかを制御できる。
[制約の種類] 起動制約 指定したIAMロールを使って製品を起動させることで、ユーザーに直接の権限がなくても安全にリソースを作成。 テンプレート制約 CloudFormationテンプレートのパラメータに制限をかける。 通知制約 製品の起動や更新時にSNS通知を送る設定ができる。 タグ更新制約 製品に付与されたタグの変更を許可するかどうかを制御する。 スタックセット制約 AWS Organizationsと連携して、複数アカウントにまたがるデプロイを制御できる。
Market Place
外部製品購入 。厳選されたデジタルカタログ。
●Hyperwallet
Paypal が提供する海外口座レンタルサービス。資金をサポートされている他の銀行口座に送金することができる。AWSが標準サービスとしてサービスに組み込んでおり、Hyperwallt の登録が完了するとAWSアカウントに紐づけができるようになる。
VPC
※Virtual Private Cloud 1リージョンにVPCは5つ まで 。
●ENI(Elastic Network Interface)
VPC内のNWインターフェース。
プレフィックスリスト 複数のCDIRブロックを一元管理することができる。
AWSマネージド ※AWS管理 カスタマー管理 ※ユーザー管理
エンドポイント [各エンドポイントの比較]
項目 VPCエンドポイント エンドポイントサービス サービスエンドポイント 役割 AWSサービスや他VPCに接続するための入り口 自分のサービスを他VPCに公開する出口 AWSサービスへのセキュア 利用者 サービスを使いたい側(コンシューマー) サービスを提供する側(プロバイダー) AWSサービスを利用したい VPC内部のユーザー 対象 他者のエンドポイントサービスまたはAWSサービス 他アカウント/VPCに自サービス(EC2等)を公開 S3やDynamoDBなどのAWS公式サービス 構成要素 ENI(インターフェース型) NLB(Network Load Balancer)+PrivateLink ゲートウェイ型/インターフェース型のいずれか 接続方式 PrivateLink PrivateLink AWS内部ネットワーク(PrivateLink含む) 承諾制 なし(自分で作成して利用) あり(接続元からのリクエストを承諾) なし(AWSサービスに直接接続) 課金体系 インターフェース型は時間+処理量課金 PrivateLink利用料+NLB費用 インターフェース型は課金あり/ゲートウェイ型は無料 主なユースケース S3, SNS, SQSなどへのプライベートアクセス SaaS提供やクロスアカウントのサービス共有 S3/DynamoDBなどへのセキュア接続(Private Subnetから)
・VPCエンドポイント :サービスを「利用する側(コンシューマー)」の入り口・エンドポイントサービス :サービスを「提供する側(プロバイダー)」の出口
●サービスエンドポイント
【VPC→AWSサービス】 ※接続元AWSの特定サービス(例:S3やDynamoDB)に対して、インターネットを経由せずにVPC内から直接プライベートにアクセスできるようにする仕組み 。
ゲートウェイ型 ・ S3 / DynamoDBのみ対象 インターフェイス型 ・S3とDynamoDB を含む幅広いサービスを対象(不要なコストと設定負荷を伴う)エントリポイント となるプライベート IP アドレス を持つENI。
属性 ●enable DNS Hostnames 属性
有効化しないと、サブネットで起動されたインスタンス はDNS名を取得できない 。
●enable DNS Support 属性
VPCがAmazon提供のDNSサーバーを介したDNS解決策をサポートするか決定する設定値。デフォルトでは有効化。
その他機能 ●Traffic Mirroring
EC2 インスタンスのENIから ネットワークトラフィックをコピー
●DHCPオプション
(Dynamic Host Configuration Protocol) ホストに設定情報を渡す DHCP サーバー と通信してIPアドレス 、または他のネットワーク構成情報 取得できる IP アドレス
仮想サーバー AMI
※(Amazon Machine Image)
・AMIはリージョンに依存する AMI ID 同じIDを異なるリージョンのAMIに割り当てることはできない 。別リージョン で使用するときはコピー
●ゴールデンイメージ
【最適なEC2のAMI】 最適なEC2インスタンスの構成
オプション No Reboot AMI作成時の再起動 サービスの停止
EC2(Elastic Compute Cloud)
AWSが仮想サーバーを提供するサービス
・垂直スケール時、インスタンスを停止する必要があるLinux2はデフォルトでSystemManagerエージェントがプリインストールされている
[インスタンスの再起動について] 一般的に「停止」→「起動」が的確な再起動となる。意図しない再起動 データは残る
[問題のあるインスタンスの調査方法]
メトリクス モニタリングできるメトリクスについて記載。参考公式サイト ] IPアドレス パブリックIPアドレスはインスタンスの作成時、「EC2のバブリックIPの自動割り当て 」を有効にしないと割り当てられない。そのため、Elastic IP で後から指定
機能性 ●SSH(セキュアシェル)キー(公開鍵/秘密鍵)
EC2にログイン(アクセス)するときに必要。インスタンスにアクセスキーを保存することはNG。インスタンスで動作するアプリケーションはAWSの他のサービスにアクセスするために認証情報が必要。
●EC2 Instance Connect
EC2インスタンスへのSSHアクセスを簡素化し、セキュリティを強化する。接続ごとに一時的なSSHキーが生成され、インスタンスに自動的に送信される。(SSHポートをひらく必要がある)また本サービスの利用は、CloudTrailに記録される。
●インスタンスメタデータ
インスタンスに関するデータで、実行中のインスタンスを設定または管理するために使用する。ホスト名、イベント、およびセキュリティグループなどのカテゴリに分けられる。インスタンスメタデータは実行中のインスタンスから取得できる。EC2 コンソールまたは AWS CLI を使用する必要はない。
●ブロックデバイスマッピング
属性 SrcDestCheck 送信元/送信先チェックをデフォルトで実行する。 DisableAptermination 偶発的な削除を防ぐことができる。インスタンスがコンソール、CLI、またはAPIを使用して終了できるか制御してくれる。 テナンシー(テナント属性) EC2 インスタンスが物理ハードウェアに分散される方法を定義する。default :インスタンスは共有するハードウェアで実行される。・dedicated :インスタンスはシングルテナントのハードウェアで実行される。・host :インスタンスはDedicated Hostで実行される。
[ルートデバイスボリューム]
※ルートボリューム :OS領域に割り当てるもの。システムストレージを使用する。
EBS-backed インスタンス インスタンスを起動する際に、EBSが割り当てられる。 Instance store-Backed インスタンス (インスタンスストア )EC2インスタンスに内蔵されている無料の簡易ローカルストレージ。読み書き速度が早い /dev/sda1 はルートボリューム(ルート用に予約されたボリューム)
[ストレージの変換について]
品質改善 停止保護 インスタンスの停止および手動削除を防ぐ機能。 unlimited モード 【バーストパフォーマンス】 送信元/送信先 チェック ※デフォルトで有効化 ハイバネーション 【停止しても継続できる】 自動復旧機能 インスタンスをモニタリングするCloud Watch アラーム 自動的に対象のインスタンスを復旧させる ことができる。復旧されたインスタンスは「インスタンスID 」「プライベートIPアドレス 」「ElasticIPアドレス 」、すべてのメタデータ を含めて、元のインスタンスと同じである。自動復旧 Elastic Fabric Adapter (EFA) 【インスタンスの高速NWデバイス】 大規模な高レベルのノード間通信 【以下をサポート】
インスタンスの起動設定 EC2 フリート 【起動するインスタンスグループ】 起動テンプレート 【設定の処理】 EC2Configサービス 【タスク処理】 初回起動時 ユーザーデータ 【パッケージの処理】 パッケージのアップデート やソフトウェアのインストール の際に有効。インスタンス起動時の一般的なタスク やプログラムはインスタンスにユーザーデータを渡すことで可能。 起動設定の一番下の方で記述 し、ApacheをインストールしてWebサーバーにする、などの使い方をする。EC2 Image Builder [依存関係] アプリケーションとその依存関係のインストールを自動化 [ディストリビューション設定] [カスタムレシピ] ※アプリケーションの依存関係 :対象のアプリケーションが正しく動作するために必要なその他アプリケーションのリスト。
インスタンスの種類 ●コンピューティング最適化インスタンス
高いコンピューティングパフォーマンス が必要なワークロードに適しているが、コスト効果に優れているとは限らない。
●メモリ最適化インスタンス
メモリ内の大きいデータセット を処理するワークロードに対して高速なパフォーマンスを実現するように設計されている。
●リザーブドインスタンス
(スタンダード / コンバーティブル)(数年間契約「1年間」「3年間」)
スタンダード 別のインスタンスファミリーに変更することができない。オンデマンドインスタンスと比較して、最大72%の割引 を適用することができる。 コンバーティブル 作成時の価格と同等以上のインスタンスであれば、以下の設定を途中で変更できる。その代わりスタンダードRIよりも少し高い 。
[RI割引について] 管理アカウント から参照元サイト ]
●オンデマンドインスタンス
【時間単位、秒単位】
[オンデマンドキャパシティ予約] 属性が一致する個別のインスタンス に対して、任意のタイミングや指定した時刻に終了するキャパシティが予約される。任意の所要時間だけ、利用したい
●スポットインスタンス
AWSサーバ上に存在し、使われてないEC2インスタンス 入札価格が 現在のスポット価格(長期でなく、1回ごとの取引で決定した市場価格)を上回っている限り
①スポットブロック
【スポットインスタンス継続利用】 完了までに一定の時間のかかるジョブに最適
②スポットフリート 【スポットインスタンスのセット 】スポットキャパシティープールを選択 して、フリートのターゲット容量を満たすまでスポットインスタンスを起動する。[起動の仕組み] [リクエスト方法]
[配分戦略] 起動設定によって、スポットフリート がスポットインスタンスを起動できる スポットキャパシティプール (インスタンスタイプおよびアベイラビリティーゾーン) を決定する。インスタンスを起動する際、スポットフリートは指定された配分戦略を使用して、使用可能なすべてのプールから特定のプールを選択する。
capacityOptimized スポットインスタンスのリクエストを行う際、最も余裕のある lowestPrice 最も低い価格の diversified さまざまなインスタンスタイプや可用性ゾーン間でスポットインスタンスのリクエストを分散させる。
③スポットインスタンスアドバイザ [中断軽減] アプリケーションの中断をどの程度許容できるか [EC2インスタンス静止状態割引]
[リクエストのタイプ] リクエストとは、スポットインスタンスを使用するために、希望するインスタンス数、インスタンスタイプ、アベイラビリティーゾーンを決める必要がある。
ワンタイムスポットインスタンスリクエスト 下記の状態にならない限り、アクティブ状態を維持する。 永続スポットインスタンスリクエスト リクエストが受理された後も、リクエストの有効期限が切れるかユーザーによりキャンセルされるまで、アクティブ状態を維持する。キャパシティを利用できない場合は、スポットインスタンスは中断。中断後に、キャパシティが再び利用可能になると、スポットインスタンスが開始 (停止している場合)、あるいは再開 (休止状態の場合) される。
[ステータス] ●ステータスチェック
EC2におけるステータスのモニタリングを実行する。OSまたはミドルウェアからアプリケーション、AWS基盤側の問題などが検出されたか確認。(アプリケーションレベルの障害は検知できない)[1分ごとに実行し、成功・失敗のステータスを更新]
pending: stopped:インスタンスは停止状態、起動は可能 running: shutting-down:削除準備中 stopping: terminated:削除
[インスタンスファミリー] 【M~】汎用 【C~】 バッチ処理、高性能/高負荷なWebサーバ、動画エンコード、ゲームサーバなど 【R~シリーズ】 高性能/高負荷なデータベース、キャッシュサーバ、ビッグデータ分析など 【I,HS~シリーズ】 NoSQL データベース、インメモリデータベース、データウェアハウスなど 【P,Inf,g,f】 【T~シリーズ】 【G~シリーズ】
[参考 ]
[トラブル・エラー] ・Insufficient Instance Capacity (インスタンスの容量不足)[対策]
・Instance Limit Exceeded
・インスタンス起動後、すぐに終了してしまう 引用元サイト ]
クラスター構成 単一AZ内のEC2インスタンス間の通信を広帯域幅・低レイテンシーに実行できる。
クラスタープレイスメントグループ 【単一AZ】 パーティションプレイスメントグループ 【単一AZ内】 スプレッドプレイスメントグループ それぞれの異なるハードウェアに配置される インスタンスのグループ。少数の重要なインスタンスが互いに分離して保持される必要のアプリケーションに推奨。インスタンスが基本ハードウェアを共有するときに発生する可能性のある、同時障害のリスクを軽減できる。
サーバー占有率 ベアメタル型 インスタンス 【物理へアクセス可能】 Dedicated Instance 【ハードウェア専有インスタンス 】他のAWSアカウント から別アカウントのEC2インスタンス が同じサーバ上で起動しないことを保証する下記の場合に最適 。EC2 Dedicated Host 【完全個室】 (Dedicated Instance 上位版) 完全にお客様専用
AWSコンテナオーケストレーションサービス ●Pod
一つ以上のコンテナをグループ化 (集合体)
Topology Spread Constraints Podを複数のアベイラリティゾーンに均等に分散 させる。これにより単一障害をなくす。Podの均等な分散はリソースの最適利用を可能にし、スケーラビリティとワークロードのバランスを保つ。Kubernetes Cluster Autoscaler 予測不可能な数 のステートレスPodに対応するためのスケーリング を提供。Kubernetesクラスタ内のノード数を自動で増減させるコンポーネント。
レプリカセット(ReplicaSet) Kubernetes Horizontal Pod Autoscaler(HPA) 「Horizontal」 :Podの数(横方向)を増減する。CPUやメモリの使用率などに基づいてスケーリング。・目的 :負荷に応じてPodの数を自動調整し、アプリケーションのパフォーマンスとリソース効率を最適化する。
デプロイ設定 Canary すでにデプロイされているバージョンと新しいバージョンの間でトラフィックを分割。移行する割合 (%) を分単位で指定できる。 Linear 基本的にCanaryと同じであるが、新環境へのデプロイ割合が等分である。トラフィックは等しい増分で分割する。増分ごとに移行するトラフィックの割合 (%) と、増分間の間隔 (分) を指定できる。 All-at-once 新しいバージョンを全てのインスタンスに同時にデプロイする。 Blue / Green 新しいバージョンを完全に別の環境にデプロイし、すべてのユーザーを新環境に切り替える。
起動タイプ
Amazon ECSまたはEKSを利用する際は、EC2起動タイプかFargate起動タイプ(エンジン)を選択する。画像引用元 ]
EC2起動タイプ【通常のEC2利用】 Fargate【ECS / EKS】 通常のEC2インスタンスを利用するための設定が必要。 管理しているEC2 インスタンスのクラスターで、コンテナ化されたアプリケーションを実行できる。使用されたEC2とEBSボリュームに基づいて課金される。インスタンスの選択やオペレーティングシステムの管理などが必要。故に自身で制御することが可能。 EC2を使わずに コンテナを実行する環境運用を自動化する。コンテナを実行するために仮想マシンのクラスターをプロビジョニング、設定、スケールを実施する。サーバーのプロビジョンとCluster管理は不要 )。vCPU とメモリリソース に基づいて課金 。
EKS
※Elastic Kubernetes Service Kubernetes でコンテナ化されたアプリケーション のデプロイ、管理、スケール を管理し、Kubernetesをマネージドで使えるサービス。
★Kubernetes とは…コンテナ管理を自動化する ための「コンテナオーケストレーションツール 」。(オープンソース
仕組み(構造) コントロールプレーン (マスターノード) ※AWSによって管理されているため、ユーザー側の操作は不要ワーカーノード やコンテナ情報を管理、Kubernetesオブジェクトの状態を保持する。クライアントからのコマンドや設定ファイルを受け取り、APIアクションを呼び出してコンテナのデプロイや更新を行う ワーカーノード上のKubelet(エージェント) が動作する。Kubeletはコントロールプレーンからの指示を受けてコンテナを起動する。 ワーカーノード コントロールプレーンからの指示を受けてノード上にコンテナを起動する。 起動タイプとして、EC2またはFargateを選択できる。コンテナイメージを事前に取得することで、Podの起動時間を短縮できる。 データプレーン 伸縮自在であり、Kubernetes はアプリケーションを自動的にスケーリングして修復できる。回復力のあるデータプレーンは、2 つ以上のワーカーノードで構成され、ワークロードに合わせて増減し、障害から自動的に回復できる。
その他機能 kubeconfig ファイル kubernetes を扱うための kubectl コマンドの接続先クラスターを管理する設定ファイル。EKSクラスターに接続できない 。 EKS Anywhere (EKS-A) AWS が提供する オンプレミスやエッジ環境で Kubernetes クラスターを構築・運用できるソリューション 。クラウドに依存せず、自社インフラ上で EKS のような体験を実現したい場合に最適。EKS Distro(EKS-D) をベースにした Kubernetes ディストリビューションオンプレミスやエッジ環境 に Kubernetes クラスターを構築可能セルフマネージド型 :ユーザーがクラスターのライフサイクル(作成・アップグレード・スケーリングなど)を管理AWS サポートあり :EKS Anywhere のコンポーネントは AWS によるサポート対象 Pod Identity Kubernetes 上の Pod に対して IAM ロールを直接割り当てる方法 。従来の IRSA(IAM Roles for Service Accounts)に代わる、よりシンプルでスケーラブルな仕組み。●EKS Pod Identity エージェント :Pod Identity の利用を夕刻するために本エージェントのインストールが必要。
[EKSをOutposts にデプロイ] ●拡張クラスター
Outpost の AWS リージョンとノードで Kubernetes コントロールプレーンを実行する。
●ローカルクラスター
Outpost で Kubernetes コントロールプレーンとノードを実行する。
ECS
【フルマネージドk8s】 Elastic Container Service (k8s=Kubernetes )AWS が管理 し、コンテナ化されたアプリケーションを実行するマイクロサービスを構築する。Kubernetesを知らなくても
●Task :コンテナCluster :EC2インスタンスTask Definication :Cluster上のタスクを定義する
●awslogsログドライバー
タスクのコンテナを設定してCloudWatch Logsにログ情報を送信できる。タスクでFargate起動タイプを使用すると、コンテナからログを表示できる。EC2起動タイプを使用すると、コンテナからの異なるログを1か所に便利に表示できる。また、コンテナインスタンスのディスク容量をコンテナログが占有してしまうことも防止できる。
[公式引用サイト ]
[代表的なコマンド] ・Pull コマンド 【イメージをローカルに】
ECR
【ストレージ】 Elastic Container Registry Docker コンテナレジストリ (S3に保存 Dockerコンテナイメージ を保存・管理(暗号化)でき、デプロイが素早く簡単に起動できる。
・AWS CLI でECRにログインする時はget-loginではなくget-login-password を使うこと
●プルスルーキャッシュ
パブリックな一メージを一度キャッシュした後、後続の取得をVPC内部から可能にする。クラスターインスタンスの直接的なインターネット接続を廃止した状態でも、最新のイメージを取得できる。なお、事前に各イメージを最低一回取得することでキャッシュの初期かが行われるため、VPCのインターネット接続削除前にイメージの取得を行うことが必須である。
コンテナイメージ ECSを利用する際はコンテナイメージを ECRに配置することが必要 HTTPS経由で転送 され、保管時には自動的に暗号化される。
パブリックレジストリ 高可用性でスケーラブルなアーキテクチャ。コンテナイメージをホストし、アプリケーションにコンテナを確実にデプロイする 。Docker イメージと Open Container Initiative (OCI) イメージで構成されるパブリック イメージ リポジトリを管理できる。 プライベートレジストリ 高可用性でスケーラブルなアーキテクチャでコンテナイメージをホストする。Docker イメージ、Open Container Initiative (OCI) イメージ、アーティファクトで構成されるプライベートイメージリポジトリを管理。
ポリシー リポジトリポリシー 個別の Amazon ECR リポジトリへのアクセスを制御することを目的として特に使用される IAM ポリシーのサブセット。 ライフサイクルポリシー プライベートリポジトリごとに設定が可能。適用されたリポジトリ内で、指定した有効期限の基準を満たしたイメージを自動的に削除する。
スキャンタイプ ECR(Elastic Container Registry)に保存されたコンテナイメージに対して実行できる
[スキャン対象と検出内容]
OSレイヤーの脆弱性 (基本スキャン・拡張スキャン)アプリケーションレイヤーの脆弱性 (拡張スキャンのみ)
[スキャンのタイミング]
イメージの登録時(基本スキャン)
イメージのプッシュ時(拡張スキャン)
任意のタイミング(手動スキャン)
[スキャンタイプ]
スキャンタイプ 特徴 使用ツール・サービス 基本スキャン イメージの登録時に自動実行。OSパッケージの脆弱性を検出。 Amazon Inspector 拡張スキャン OSパッケージに加え、アプリケーションの脆弱性も検出。イベント駆動型で柔軟なスキャンが可能。 Amazon Inspector + EventBridge 手動スキャン 任意のタイミングでスキャンを実行可能。 AWS CLI または API
Transfer Family
【SFTPサーバー】 従来のファイル転送(SFTP/FTP/FTPS)をクラウド上で安全に行えるサービス 。外部からのファイル受け渡し窓口 の役割。ファイル転送の宛先は S3 や EFS 。外部のパートナーや社内からのファイル受け渡しを 簡単・安全にクラウドへ移行可能 。
・AD連携やカスタム認証 にも対応しており、セキュリティ面も柔軟設定をそのまま維持しながら 、ファイル転送ベースのワークフローを AWS に移行できる。
基本構成 サーバーエンドポイントの作成 SFTP/FTP/FTPS/AS2 のいずれかのプロトコルを選択 ユーザー管理の設定 サービスマネージド(Transfer Family内で管理) ストレージの指定 Amazon S3 または Amazon EFS を転送先として設定 認証方式の選択 SSHキー認証(SFTP)
[設定方法]
●マネージドワークフロー
ファイル処理用のマネージドワークフローをサポートする。管理されたワークフローを使用すれば、SFTP、FTPS、またはFTPでファイルが転送された後に、ワークフローを開始することができる。ファイル処理タスクをオーケストレーションすることで、ダウンストリームのアプリケーションで消費される前にデータを前処理するのに役立つ。
[静的IPとしての機能]
[サポートされている転送プロトコル]
Secure Shell (SSH) File Transfer Protocol (SFTP): バージョン 3
File Transfer Protocol Secure (FTPS)
File Transfer Protocol (FTP)
適用性ステートメント 2 (AS2)
Cloud Front
(静的・動的)コンテンツを配信する、スケーラブルで可用性の高いコンテンツ配信サービス。ユーザがウェブページ・コンテンツをリクエストすると、コンテンツ処理に最適なエッジロケーション エッジロケーションにない時 は、オリジンサーバから取得する。
・コンテンツを保持するためのバックエンドサーバ (ELB , EC2 , S3の静的ホスティングを利用できる)。静的なIPアドレスを持たない
ストリーミング RTMP(Real Time Messaging Protocol)を使って動画のストリーミング配信をする。動画のストリーミングはプログレッシブオプションに設定されたダウンロードオプションを利用。 プリンシパル AWS リソースに対するアクションをリクエストできる、 IAM ユーザ、ロール、フェデレーションユーザ、またはアプリケーション。 ビューワーリクエスト CloudFrontを参照するリクエスト。 キャッシュミス リクエストされたオブジェクトがエッジロケーションでキャッシュされないこと。
[キャッシュについて] キャッシュの有効期限が切れない限り最新のファイルを提供しない 。エッジキャッシュからファイルを無効にする ことで最新ファイルの入手ができる。
※キャッシュ保持期間制御 ・Cache-Control:max-age 個々のページに対するTTLを設定
[ダウンロード方法]
ディストリビューション (1つのオリジンに対して)コンテンツデリバリーの設定や構成などの配布形態を意味する。CloudFrontディストリビューションではフェールオーバーオプション プライベートIPアドレスはもっていない。 セキュリティソフトウェアのパッチ は静的ファイル 本機能を利用してキャッシュ できる●地理的ディストリビューション
【制限 機能】
オリジン ●オリジンサーバ
コンテンツを配信する元となるサーバー。エッジロケーションに保存 。
オリジンリクエスト CloudFrontがオブジェクトを取得するためのリクエストをオリジンに送信する。 オリジンフェイルオーバー 【ディストリビューションの冗長化】 オリジングループ
ヘッダー ●カスタムヘッダー
オリジンに送信するリクエストにカスタムヘッダーを追加できる。CloudFront を経由しないアクセスを防げる
以下設定を変更する。
●ビューワープロトコルポリシー
【HTTP】 HTTPS の使用が求められる ようにディストリビューションを設定。
HTTP and HTTPS HTTPとHTTPS。ビューワーは両方のプロトコルを使用可能。 Redirect HTTP to HTTPS HTTP を HTTPS にリダイレクト。ビューワーは両方のプロトコルを使用できるが、HTTP リクエストは自動的に HTTPS リクエストにリダイレクトされる。 HTTPS Only HTTPSのみ。ビューワーは HTTPS を使用している場合にのみコンテンツにアクセス可能。
●オリジンプロトコルポリシー
【プロトコル】
HTTPS Only HTTPSのみ。CloudFront は HTTPS のみを使ってカスタムオリジンと通信する。 Match Viewer ビューワーに合わせる。ビューワーのリクエストのプロトコルに応じて HTTP または HTTPS を使用し、カスタムオリジンと通信する。
[参考 ]
[その他ヘッダー]
ホワイトリストヘッダー 【認証】 リクエストをオリジンに転送するときに、認証ヘッダーを含む一部のヘッダーを削除する。特定のキャッシュ動作のために常に認証ヘッダーを転送する場合は、必ずそのキャッシュ動作のヘッダーをホワイトリストに登録する。 User-Agent ヘッダー クライアント側のOS・ハードウェア・ブラウザ情報 などが含まれたHTTPヘッダー。Webサーバ側は受け取ったUser-Agent ヘッダーの情報をもとに最適なレスポンスを返す。Cache-Controlヘッダー HTTPヘッダーの一つ。ブラウザがオブジェクトをキャッシュするかどうか、またどのようにキャッシュするか制御する。「max-age=0」を指定するとブラウザは常に最新のオブジェクトを取得する。 Hostヘッダー リクエストが送信される先のサーバーのホスト名とポート番号を指定するためのヘッダ情報。 Authorizationヘッダー 認証部分。
トリガー オリジン応答イベント オリジンからのレスポンスを CloudFront に返す前にトリガーされるイベント。 ビューワー応答イベント Cloud Front がキャッシュされたコンテンツをユーザーに返す目にトリガーされるイベント。
取得設定 (Allowed HTTP Methods)コンテンツを操作する際 にHTTP メソッドを指定 。許可するHTTPメソッド多くの場合は[GET,HEAD]を設定。WEBDAVなどデータをアップする際などは[GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE]CloudFront が処理してオリジンに転送する HTTP メソッドを指定する。
[GET, HEAD] CloudFront を使用して、オリジンからのオブジェクト の取得またはオブジェクトヘッダー の取得のみを行うことができます。 [GET, HEAD, OPTIONS] CloudFront を使用して、オリジンからのオブジェクトの取得、オブジェクトヘッダーの取得、またはオリジンサーバーがサポートするオプションのリスト 取得のみを行うことができます。 [GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE] CloudFront を使用して、オブジェクトの取得、追加、更新、削除 、およびオブジェクトヘッダーの取得を行うことができる。また、ウェブフォームからのデータの送信など、その他の POST 操作も実行できる。
暗号化設定 (Field Level Encryption) Allow HTTP Methodsを「GET,HEAD,OPTIONS,PUT,POST,PATCH,DELETE」を選択した場合に設定可能。 フィールドレベルの暗号化
【特定のデータ保護】
その他機能 署名付きURL 一定時間だけアクセスを許可 OAI 【オブジェクトのアクセス権】(オリジンアクセスアイデンティティ) S3で機能 OAC (オリジンアクセスコントロール) CloudFront Functions 簡単なリクエストの操作やレスポンスのヘッダー操作に最適。【比較点】 ・CloudFront Functions Lambda@Edge Lambda@Edge 【CloudFrontでLambda】 CloudFrontのエッジサーバ でCroudFrontが配信するコンテンツをカスタマイズする関数を(Lambdaで定義した)コード実行できる。リクエストやレスポンスに対するカスタムロジック 自動的にスケーリング できる。キャッシュ機能ではない アクセスログ (標準ログ) ウェブサイトのコンテンツに流れるトラフィックに対してログファイルを作成できる。格納先をS3に指定
連携サービス WAF WAF はウェブACL でディストリビューションに対して、ウェブリクエストの検査と管理ができる。これによりセキュリティ性の高さを確保できる。参考サイト ]
貸し出しサービス Outposts
【オンプレミス機器のレンタル】
・オンプレミスのインフラストラクチャの調達、管理、アップグレードのために必要な、差別化につながらない面倒な作業を取り除く。
[以下環境を提供]
フルマネージド型AWS インフラストラクチャ
ネイティブな AWS サービス
API、ツール
オンプレミス施設
●Outpostsラック
42U(42段分)のAWSラックを自社データセンターなどのオンプレミス環境に設置して利用するサービス。
●Outpostsサーバー
1台のAWSサーバーをオンプレミス環境に設置して利用するサービス。1Uサーバーか2Uサーバー、どちらかを選んで利用できる。Outpostsサーバーが直接配送され、自社データセンターの現場担当者か、設置委託会社のいずれかの設置が必要になる。ネットワークに接続した時点で、AWSがコンピューティングリソースとストレージリソースが構築される。Outpostsラックよりも必要とする電力は小さい分、利用できるAWSサービスにも限りがある。
Local Zones ・提供形態:ユーザーが使うのは仮想リソース(EC2、EBSなど)
[特徴とメリット]
特徴 説明 低レイテンシー 地理的に近いため、1桁ミリ秒の応答が可能 データレジデンシー対応 規制や契約上、データを特定地域に保持したい場合に有効 簡単な導入 AWSマネジメントコンソールから有効化・利用可能 親リージョンと連携 管理プレーンは親リージョンに依存し、操作は一貫性あり
WorkSpaces Family あらゆるユースケースに対応して、セキュリティ性、柔軟、そして費用対効果の高い仮想デスクトップサービス。
WorkSpaces 【KVM提供】
・ハードウェアの調達とデプロイ、または複雑なソフトウェアのインストールの必要性を排除。
・複数デバイスやWebブラウザから 仮想デスクトップ
●IPアクセスコントロールグループ
特定のIPアドレス範囲からのアクセスを許可または拒否する。
●WorkSpaces Personal
デベロッパーやナレッジワーカー、それにアプリケーションをインストールしたり、ファイルやデータを保存したり、デスクトップに設定を保存したりする必要のあるその他のユーザー向けに、永続的な仮想デスクトップを提供して、パーソナライズされたデスクトップエクスペリエンスをもたらす。 ユーザーはサインインするたびに同じ仮想デスクトップにアクセスする。
●WorkSpaces Pools
デスクトップにファイル、データ、設定を保存する必要のないタスクワーカーやコンタクトセンターの従業員などのユーザー向けに、非永続的な仮想デスクトップを提供。ユーザーはサインインのたびに新しい仮想デスクトップにアクセスできる。
●クロスリージョンリダイレクト機能
完全修飾ドメイン名(FQDN)をWorkSpaces の登録コードとして使用できる。DNS ルーティングポリシーと連携して、プライマリ WorkSpaces が利用できない場合に WorkSpaces ユーザーを別の WorkSpaces にリダイレクトする。
WorkSpaces Core サードパーティのVDIソフトウェア向けの仮想デスクトップインフラAPI。
WorkSpaces Secure Browser 社内WebサイトやSaaSアプリにアクセスするための安全で低コストのブラウザサービス。
通常のWorkSpacesとは異なり、自分で仮想マシンイメージを作ることはせず、AWSが用意したWEBブラウザ(Chrome)入りのイメージを利用する。そして利用者のクライアント環境のWEBブラウザからイメージ内部のWEBブラウザを使いユーザー企業内イントラサイトなどのリソースへアクセスする仕組み。また、ユーザー認証にAcitive Direcotryを使わず外部のIdP(AWS SSO,Azure AD,Okta 等)でSAML認証が必須となっています。
App Stream(2.0)
【Appクラウド化】
・ユーザーはサポートされているデバイスから、いつでもどこでも、必要なデータ、アプリケーション、およびデスクトップ・リソースに安全にアクセスできる。
・デスクトップアプリケーションを集中管理し、任意のコンピュータのブラウザへ安全に配信できる。
※ユーザープールでユーザーを作成および管理できる
●Image Builder
EC2 インスタンスをベースに構成されており、ストリーミングしたいアプリケーションと必要な設定を含むカスタムイメージを独自に作成できる。オリジナルアプリケーションの移行にも利用できる。
付帯コンテンツ機能 CloudSearch 【検索機能付与】
AWSクラウドにおけるマネージド型サービス。ウェブサイトまたはアプリケーション向けの検索ソリューションを容易かつコスト効率よく設定、管理、スケールできる。
・34言語をサポートし、ハイライト表示、自動入力、地理空間検索などの検索機能を備えている。
Elastic Transcoder ▲2025 年 11 月 13 日にサービス終了。以降は AWS Elemental MediaConvert
【ソース形式変更】 クラウドのメディア変換サービス。
・高度なスケーラビリティ、使いやすさ、高い費用効率性を実現する設計。再生可能できるバージョンに変換
Amazon Connect 【カスタマーサービス】 セルフサービスのクラウド型コンタクトセンター。インテリジェントな会話ボット Lex を対応フローに組み入れることで、自動応答が自然な会話に変化する。
※世界中のスタッフが日々百万件ものお問い合わせに対応するアマゾンのコンタクトセンターと同じ技術が使われている。
エージェント エージェントはブラウザとヘッドセットがあれば電話対応可能。 Amazon Connect 問い合わせコントロールパネル (CCP) を使用して問い合わせと通信する。ただし、エージェントが CCP にアクセスし、問い合わせを処理できるようになる前に、行わなければならない操作がいくつかある。 フラグ フラグコールボタンを追加することで使用できる。トリガーのような役割をもつ。 Contact Control Panel (CCP) インストール不要のエージェントインターフェイス(ブラウザからURLアクセス)
[引用元サイト:Blackbelt ]
IVS(Interactive Video Service) 【ライブストリーミング】
・Twitchを支えるネットワークとインフラ
