AWS

AWS Cloudの価値とクラウド経済

AWS Cloudでは、サーバーを先に買い切る発想から、必要なときに使い、使った分に近い形で支払う発想へ移る。

AWS責任共有モデル

AWSはクラウドを支える基盤を守り、利用者はクラウド上で作る設定、データ、権限などを守る。責任の分担はサービスによって変わる。

IAM認可と最小権限の設計

IAM設計では、認証された主体に必要な操作だけを許可する。人にはIAM Identity Centerやロール、サービスには一時的なロールを使う発想が基本になる。

料金・請求・サポート

コンピューティングの購入オプション

AWSのコンピューティング料金は、必要な時に使うOn-Demand、利用を約束して割引を狙うReserved/Savings Plans、中断されてもよい処理に向くSpotなどに分かれる。

ストレージのライフサイクル最適化

ストレージ費用は、すべてを同じ場所へ置くのではなく、よく使うデータと長期保管データを分け、ライフサイクルで安い階層へ移すことで抑えられる。

ストレージ性能とスケーラビリティ

ストレージ性能は、保存形式だけでなく、読み書きの回数、連続した大きな転送、複数サーバーからの共有などで選び方が変わる。

マルチAZと障害分離

マルチAZ設計は、1つのAZに障害が起きてもサービス全体を止めにくくする配置である。入口、アプリ、データ層のどこに単一障害点があるかを見る。

リージョン・アベイラビリティーゾーン・エッジロケーション

リージョンは地理的な地域、アベイラビリティーゾーンはその中の分離されたデータセンター群、エッジロケーションは利用者に近い配信拠点である。

料金・請求・サポート

Cost Explorer・Budgets・Pricing Calculator

AWSの費用管理では、使う前の見積もりはPricing Calculator、使いすぎの警戒はBudgets、過去の分析はCost Explorer、複数アカウントの集約はOrganizationsで考える。

IAMと最小権限

IAMはAWSリソースへのアクセスを安全に制御するサービスで、認証された主体に対して、必要最小限の操作だけを許可する考え方が重要である。

コンピューティングサービスの選び方

AWSのコンピューティングは、仮想サーバーを扱うEC2、コンテナを動かすECS/EKS、サーバー管理を減らすLambdaやFargateなどに分かれる。

コンピューティング性能と伸縮性

コンピューティング性能は、1台を大きくするだけでなく、台数を増やす、処理を分ける、サーバーレスで必要時だけ動かすなどの選択で考える。

コンピューティング購入オプションと適正化

コンピューティング費用は、必要な時だけ使うか、長期利用を約束するか、中断可能な余剰 capacity を使うかで変わる。さらに使いすぎのサイズを直すことも重要である。

ネットワーク分離と通信制御

ネットワーク分離では、外部から入る入口と内部だけで使う資源を分ける。通信制御は、セキュリティグループやNetwork ACLで通す通信を絞る。

伸縮性と疎結合

伸縮性は負荷に合わせて処理能力を増減する考え方で、疎結合は部品同士を直接つなぎすぎない考え方である。キューを挟むと一時的な混雑を吸収しやすい。

高可用性・弾力性・俊敏性

高可用性は止まりにくさ、弾力性は需要に合わせた増減、俊敏性は始める速さや変更のしやすさを表す。

料金・請求・サポート

AWS Supportプランと公式リソース

AWSには、すべての利用者が使えるドキュメントやBasic Supportに加え、より手厚い技術支援を受ける有料Supportプランや、環境の状態確認を助けるTrusted Advisor、AWS Healthがある。

Well-Architected Frameworkの6本柱

Well-Architected Frameworkは、AWS上のシステムを6つの柱で点検し、安定・安全・効率のよい設計へ近づけるための考え方である。

ストレージサービスの基本

AWSのストレージは、ファイルを丸ごと扱うオブジェクト、サーバーのディスクのようなブロック、複数から共有するファイルの考え方に分けられる。

データベース性能とキャッシュ

データベース性能は、DB本体を大きくするだけでなく、読み取りを分ける、アクセスパターンに合うDBを選ぶ、よく読むデータをキャッシュすることで改善できる。

データベース費用と容量選択

データベース費用は、インスタンスを常時動かすか、リクエスト量に応じて払うか、読み取りを複製で増やすかなどで変わる。性能だけでなく使い方の予測可能性を見る。

データ暗号化と鍵管理

AWSのデータ保護では、保存されているデータと通信中のデータを分けて暗号化を考える。KMSは暗号化に使うキーを管理する中心的なサービスである。

バックアップとRTO・RPO

バックアップ設計では、データを取っておくだけでなく、どの時点まで戻れるか、どれくらいの時間で戻すかを決める。RPOとRTOは復旧要件を読む重要語である。

ルートユーザー・MFA・認証情報の保護

ルートユーザーは強い権限を持つため日常利用を避け、MFAで保護する。人やアプリの通常作業には、役割に応じた一時認証情報を使う考え方が重要である。

アプリ保護とシークレット管理

アプリの安全設計では、外部からの不正なリクエストを入口で減らすことと、内部で使うパスワードやAPIキーを安全に保存・更新することを分けて考える。

クラウド移行と導入戦略の入口

クラウド移行は、単にサーバーを移す作業ではなく、目的を決め、現状を把握し、適した移行方法を選び、移行後に改善する流れで考える。

セキュリティ・コンプライアンス・ログの基本

AWSのセキュリティ関連サービスは、攻撃を防ぐだけでなく、操作を記録し、状態を監視し、設定変更を追い、準拠情報を確認する役割に分かれる。

データベースサービスの基本

AWSのデータベースは、表どうしの関係を扱うRDS/Aurora、キーで高速に取り出すDynamoDB、よく使うデータを近くに置くElastiCacheなどに分かれる。

ネットワーク性能とエッジ配信

ネットワーク性能では、利用者に近いエッジから配信する、名前解決で近い入口へ向ける、AWSグローバルネットワークを使って経路を安定させるなどを考える。

ネットワーク費用とデータ転送

ネットワーク費用は、外へ出る通信、AZやリージョンをまたぐ通信、NAT Gateway経由の通信などで増えやすい。よく使うAWSサービスへの通信はVPCエンドポイントが候補になる。

災害復旧戦略の選び方

DR戦略は、普段からどれだけ待機環境を動かしておくかで費用と復旧速度が変わる。速く戻したいほど、平常時のコストは上がりやすい。