【コラム】AWS認定勉強メモ〜その2〜
前回の続きです。同じのもちょこちょこ出てきます。
AWS Data Pipeline
最後のアクティビティが失敗 or 成功したら停止。手動再実行可能。自動再試行は3〜10回で設定可能。
IAM(Not Principal)
Principal Listに例外指定可能
VPCのIPアドレス
IAM Policy
明示的な拒否が最優先。デフォルトはすべて拒否。
Dynamo DB
整合性読み込みOption。条件付き書き込み。(同時書き込みをNGにできる)
Transfer Acceleration
大陸間のデータ転送。最適化されたNetwork Passでデータ転送可能。
AWS Batch
使ったリソースの分だけ費用が発生。力技が必要な時に便利。
Kinesis Data Firehose
直接S3とかRedshiftのデータを格納可能。
Kinesis Data Stream
処理は速いけど、カスタマイズが必要。(上記との違い)
SCP(Service Control Policy)
組織が管理できる。WinSCPのSCPとは全く違うので注意。
AWS KMS
- CMK:カスタマーキー。マスタキーの論理表現。カスター管理はその名の通り自分で管理。AWS管理は、AWSサービスが管理。AWS所有は、AWSが利用。
- データーキー:データを暗号化するためのキー。暗号化したらできる限り早急にメモリから削除する。CMKで暗号化されたキーは別途保存しておく。復号化する時に使う。マスターキーを安全に管理できるのが良い。
VPCフローログ
VPCのネットワークインターフェース間のIPトラフィックをキャプチャ。CloudWatch Logs、S3に発行可能。Athenaより直接クエリが打てる。標準SQLを使用して、S3でデータ分析が可能。
プレイスメントの種類と違い
- クラスタープレイスメント:単一のAZにインスタンスを配置。
- パーティションプレイスメント:パーティションごとにインスタンスを配置。単一のハードウェア障害に良い。
- スプレッドプレイスメント:独自のNW、電源が異なるラックに配置。
Disk Queue Depth:未処理のIOアクセス数
S3とOAI:OAIはCloudFrontとワンセット
VPC CIDRが拡張可能になった。最大四つまで
ADConnector:オンプレのADと接続可能なソリューション
ReadShift WLM(WorkLoadManagement)
クエリに対してリソース指定が可能。
Peering:ネットワークアドレスが一致、重複している場合は不可。
CloudFormationのDeletion Policy
- Delete:基本削除。RDSは設定次第ではSnapshotがデフォルト。
- Retain:保持する。
- Snapshot;EC2、RDSなどの一部のサービスが指定可能
Memchachedのメリット
マルチスレッドアーキテクチャ。CPUを増やせば早くなる。
Public virtual interfaceは、Public endpoint(S3)に接続可能
Egress Only インターネットゲートウェイ:インターネットへの送信のみ可能
移行系のソリューション
- AWS Server Migration Service:オンプレからAWSの移行で使う
- AWS Connector for vCenter:VMware vCenterからEC2に移行する時に
- AWS Import/Export:大量データのアップロード。VM Importとは違うから注意。
- AWS Database Migration Service:データのマッピングや移行方式をタスクとして設定。
CloudFrontを使用しない。→事前署名付きURLを利用しなさい。
AWS appsync:データ同期のサービス
CHAP:Challenge Handshake Authentication Protocolは、PlayBack攻撃から守る
Amazon Rekognition:画像認識
AWS Glue クローラーを動作させ、データカタログを作る
インスタンスストアのバックアップ
AMIツールを利用して、AMIボリュームを作成すれば可能。インスタンスストア単体でのSnapshotは取得できないので注意。
DynamoDBの料金
オンデマンドは使った分だけ。プロビジョニングはあらかじめ予約。
Amazon Cognito
ユーザーの作成、管理、IDフェデレーションが楽。
SAML2.0を利用してのフェデレーション
Idp Service Provider → SAML2.0が利用できない → IDブローカーを構築する
Amazon Mechanical Turk:クラウドソーシングサービス
署名付きCookie
複数の制限されたファイルへのアクセス。現在のURLを変更したくない時に有効。
Get HLS Streaming Session URL:ライブ配信可能
AWS System Manager
今日はいったんこのぐらいで、、、まだまだ続く
要点整理から攻略する『AWS認定 セキュリティ-専門知識』 (Compass Booksシリーズ)
- 作者:NRIネットコム株式会社,佐々木 拓郎,上野 史瑛,小林 恭平
- 発売日: 2020/07/29
- メディア: Kindle版
【コラム】AWS認定勉強メモ〜その1〜
部屋を整理していたら、AWS認定試験勉強時のメモが出てきたので、復習がてらひたすら書き込んでみる。
”気になる→調べる→メモのこす”ってサイクルだったので順不同、間違った解釈だったらすみません。結構な量があったので、何回かに分けて掲載予定。
Route53
ヘルスチェックの間隔は10秒 OR 30秒。ヘルスチェッカーが正常性を確認。18%がOKしたらOK。
[ヘルスチェックの種類]
SWF(Simple Workflow Service)
- ワークフロースターター:トリガーのこと
- ディサイダー:SWFを受け取ったタスクを元に次のタスクを実行。ユーザー自身がプログラミングをして設定。
- ワーカー:自分でプログラミング
- Lambda:Lambda関数をサクッと呼べる
STS(Security Token Service)
- assumeRole:API(IAMRoleの権限を引き受け可能)
- getFederationToken:temporary Security Credentials を取得するアクション。デフォルトの有効期限が長い。〜36時間まで
EBS replication
同一AZなら自動。他のAZはSnapshotをとっておくしかない。
RRS(低冗長化ストレージ)
VM Impot
作成されるのはAMI
Login With Amazon
アマゾンのログイン機能を拝借できる。
Elastic BeanStalk
環境の再構築。勝手に構成変更するとエラーになる
Public Data Set
ビジネスで利用できるオープンデータ。(天気、人口統計とか)
シャーディング(horizontal partitioning)
複数のDBに振り分けてアクセス
AWSのWAF
Cloudfront、ELBに付属
IDS(Intrusion Detection System)とIPS(Intrusion Prevention System)
侵入検知と防止
AWS Datapipeline
データの変換と移動の自動化
Task Runner
タスクをポーリングし、タスクを実行する。EC2やオンプレのサーバにインストール可能。
AWS Shield
DDoS攻撃からの保護。ELB、Route53、CloudFrontで利用可能
- Standard:追加費用なし
- Advanced:コスト保護機能あり。お金はかかるよ
HLSプロトコル
動画配信用。AppleのHTTPベースのストリーミングプロトコル
Elastic Tracnscoder
任意の動画ファイルを他の形式に変換できる
Kinesis
プロデューサー → シャード → コンシューマー(EC2、S3、DynamoDB)。BLOBが送信可能。SQSよりサイズが大きいものが扱えるのが良いところ。
Procy Protocol Support
X-forwarded-forに対応。HTTPヘッダに送信元のIPアドレスを格納。ロードバランサのIPじゃないやつを。
VPN Gateway、Customer Gateway
arn:aws service:region:account-id:resource
アランとパーティでサービスを受けたらリケジョにアカンとリソースかけられた。謎の呪文。すいへーリベー的な。
署名付きURL
Cloud Frontを経由する場合は、それ用のURL発行が必要。
Amazon Cognito
ユーザーのアイデンティティやデータ同期に関する機能。サクッとユーザー登録機能が作れる。ログイン機能とか?
Cloud Formation
スタックの作成、更新、削除
AWS SSO
社内のADをSSOに接続可能。
オンプレAD → AD Connector → AWS SSO → BOX、Slack、Office365 等々
Tomcat Clustring
セッションのレプリケーション。複数のサーバを統合して一つとして扱う。AWSはmulticastが使えないから工夫が必要。
Glaicer
Snapshotの直接格納はNG
Dyanamo DB
スループットが10,000超えたら連絡
RDSのインスタンス変更
Apply immediately?
Code Deploy
インスタンスにAgent導入が必要。取得元はS3かgithub。
VPN
- Customer Gateway(CISCO,Juniperとか)
- Static:インターネットにルーティング可能なIPアドレス
- Dynamic:BGPに対応。Customer Gatewayの自律システム番号(AS)
Duplicated Hostの制限
Auto Scalingがサポート外。RDSがサポート外。
IAMロールの名前の長さは最大64文字まで
PIOPS(プロビジョンドIOPS)
一定のIOPS値を保証する。使わない方が速い時もある。データ容量とIOPSは比例?的な関係??
Cognito
- Basic:IDとパスワード
- Custom:SMSとのMFA、CAPTCHAが利用できる
ARNlike:大文字、小文字の区別なし
内部ELB
AZ毎に一つのサブネットしか選択不可。
いったん今日はここまで、、、、
CISA(公認情報システム監査人)の勉強方法〜初の自宅受験に挑戦〜
2020年も後半。今年中にもう一個ぐらい資格を取ろうかと検討中。
情報処理試験はまた直前で中止になると勉強がパーになるので、試験日・会場が柔軟に変えられるテストセンターで受けられる資格に絞って検討。
そこで、候補に挙がったのが”CISA(公認情報システム監査人)”である。しかも今年から、自宅から受験も可能とのことで、『受けられない』っていう最悪の事態も避けられそうである。
<そもそもCISAってなんの資格??難易度は?>
”システム監査”に関する資格である。
『システム監査=情報システムの信頼性・安全性・効率性を検証し、評価すること』
CISAは”考え方や監査人としてのあるべき姿”といった概念的な出題が中心で、ベンダー試験の様に具体的な技術や手法はあまり問われない。
その為、この試験を通じて ”技術的なスキルを高めたい” と考えている人には向いていないので注意!!!要は、情報処理試験の『システム監査技術者の合格者≠ハイスキラー』であるのと一緒である。
難易度は、ネットの情報を見る限りそこまで高くなさそう。ただ、情報が少ないので判断が難しい。。。
<CISAの勉強方法>
日本語の問題集、参考書が売っていないに等しい。一応、amazonに一冊売っているのを見つけたが、発行年が2007年となっており、多分使い物にならない。
残念ながら、本を出すほど需要がない資格ってことであろう。業界内では多少の需要はあるかもしれないが、簿記とかFPとかと比べたら、必要としている人は極小なので致し方なしかと、、、
参考書や問題集での勉強ができないとなると、e-learningなどの別の手段に頼わらざるをえない。
[手段①]専門学校的なものに通ってみる。
会社が費用負担してくれるなら別だが、自腹の場合はおすすめしない。CISAの合格のメリットと講座の費用が割に合わない。受験料も高いので、結構な出費になる。
素直にもっと知名度の高い資格に自己投資したほうが良いと考えている。
[手段②]Udemyの講座で勉強してみる。
日本語の講座はないが、英語の講座はそれなりにある。セールの時に買えば、2,000円以下になるので、コスパよし。
Udemyの講座はアタリ/ハズレが激しいので購入は慎重に。平均評価だけではなく、”評価数”もみることがポイント。”評価数”が多く”平均評価”も高ければ、当然だがいい講座の確率が高い。”平均評価”は高いが”評価数”が少ない講座は要注意。地雷の可能性あり。地雷だったら即返金申請を。遠慮は不要。
[手段③]Kindleを使って英語の参考書、問題集で勉強してみる。
英語の本にはなってしまうが、"Kindle Unlimited"に加入していれば、無料で読める参考書や問題集はあるので、活用できそうである。
↓ちょっとした裏ワザ↓
"Kindle Unlimited"の月額費用を払いたくない人は、無料期間中に上限の10冊をKindle端末やスマホにダウンロードし、その後解約し、機内モードにしておけば1ヶ月過ぎても読むことはできる。ただ、機内モードのままだと翻訳ができないので、英語が苦手の人にはちょっときつい。(Kindle端末の場合、内蔵の辞書がいけてないのでなおきつい。。)
直近はUdemyとKindle使って勉強する予定。英語での勉強なので、進みは遅そう。。。
今年中には受験予定?なので、申込方法や結果はそのうち紹介。
CISMとかCRISCとかも気になる資格なので、合格したらいろいろ調べてみようかなと。
★更新★
ISACAの公式ホームページから、”公式問題集”が買えます。
非会員で159ドル。(約17,000円)
高いが、日本語もあり。詳細は下記参照。買うか迷い中・・・・
CISA Review QAE Manual, 12th Edition
★更新★
合格しました。合格までの道のりは以下で紹介しています。