林田力 何者のだましの堤防も崩す

AWS SSO; Single Sign OnはAWS Accountやクラウドアプリケーションへの SSO アクセスの一元管理を容易にするクラウドベースのSSOサービス。割り当てられたアカウントとアプリケーションの全てに対する1か所からのSSOアクセスをユーザーに提供できるようにする。Microsoft AD; Active DirectoryやAzure AD; Active Directory, Okta Universal Directoryなどの既存のアイデンティティソースに接続することができる。
AWS SSOはオンプレミス環境のADと連携し、AWS Management ConsoleへのSSOを許可することもできる。オンプレミス環境のADの情報を利用し、Management Consoleへのアクセスを許可するためにはSAML 2.0の形式でIdP側とAWSでメタデータ情報を交換し、信頼関係を構築する必要がある。
AWS Directory ServiceのAD Connectorを利用するAD Connectorを利用を利用する場合はManagement Consoleへのアクセスを許可するIAM Roleを作成し、IAM RoleにAWS Directory Serviceとの信頼関係を設定する。AWS Directory Service for Microsoft ADを利用する場合は、AWS Directory Service for Microsoft ADとオンプレミス環境のAD間に信頼関係を設定する必要がある。

Internet Gatewayは、VPCとInternetとの間の通信を可能にするVPCコンポーネント。VPC内のリソースからInternetへアクセスするためのGateway。Internet GatewayはIPv4 トラフィックとIPv6トラフィックをサポートする。
Internet GatewayはInstanceに代わって1対1のNATを論理的に行う。トラフィックがVPC subnetから出てInternetへ向かう時、返信アドレスフィールドはInstanceのPrivate IP AddressではなくPublic IPv4 Addressまたは Elastic IP Addressに設定される。逆にInstanceのPublic IPv4 Addressまたは Elastic IP Address宛てのトラフィックは、その送信先アドレスがInstanceのPrivate IP Addressに変換されてから、VPC に配信される。

AWS Backupはバックアップのサービス。AWS Backupは、Amazon DynamoDB table, Amazon EBS volume, Amazon EFS, Amazon EC2 Instance, Amazon FSx, Amazon RDS, Aurora Cluster, AWS Storage Gateway volumeなどの AWS resourceのバックアップポリシーを一元的に設定し、バックアップアクティビティをモニタリングできる。AWS BackupはAWS Storage Gatewayと統合されており、AWS Storage Gatewayに保存されたオンプレミスデータも同じポリシーでバックアップできる。
AWS Backupはクロスリージョンバックアップやクロスアカウントバックアップが可能。クロスアカウントバックアップはAWS Organizations内の別のAccountにバックアップをコピーできる。AWS Organizationsを活用してソースアカウントと送信先アカウントを定義する。クロスアカウントバックアップとクロスリージョンバックアップの同時適用も可能。これによってバックアップを別のRegionの別のAccountにコピーできる。

AWS Storage Gatewayは既存のオンプレミス環境とAWS Cloudを接続するハイブリッドクラウドストレージサービス。オンプレミスのソフトウェアアプライアンスをクラウドベースのストレージと接続し、オンプレミスのIT環境とAWSのストレージインフラストラクチャをシームレスに統合する。オンプレミスアプリケーションをS3, EBS, Glacierのようなストレージサービスに接続する。オンプレミス環境とクラウド環境との隙間を埋める。
AWS Storage Gatewayはローカルキャッシュを有している。ローカルキャッシュを利用することで、データをオンプレミスに保持し、データアクセスと復元時間を最小限に抑えることができる。GatewayからAWSにデータをアップロードするために利用できるネットワーク帯域幅が限られている場合、アップロードのためにローカルキャッシュに多くのデータをバッファできる。
AWS Storage Gateway にはFile, Volume, Tapeの3種類がある。File Gateway はデータをS3に直接objectとして格納する。S3 object storageへのFile protocol accessを必要とするオンプレミスや EC2 ベースのアプリケーションで使用できる。NFS; Network File SystemやSMB; Server Message Blockなどの業界標準のFile protocolを使用して、S3でobjectの保存や取得を行う。
File Gatewayにはアクセスベースの列挙機能がある。アクセス許可に基づいて開くことができないSMBファイル共有やフォルダ、ファイルがユーザーに表示されないようにすることができる。各ユーザーには自身がアクセスできるフォルダとファイルのみを表示することで、フォルダ構造の簡略化されたビューを提供する。
Volume GatewayはInterfaceにiSCSIを使用。Volume Gatewayにはキャッシュ型と保管型がある。キャッシュ型はプライマリデータを S3に格納する。アクセス頻度の高いデータはローカルにキャッシュすることでデータへの高速アクセスが可能になる。保管型はプライマリデータをローカルに保存し、非同期にS3にバックアップを格納する。
Volume Gateway ではLocal Volumeのスナップショットを取得し、そのスナップショットを Amazon EBSに保存することもできる。このようなスナップショットから新たに Amazon EBS Volumeを作成し、それを Amazon EC2 Instanceにアタッチできる。
Tape Gatewayは物理テープ装置の代替としてデータをS3に格納する。InterfaceにiSCSIを使用。Tape GatewayとVolume Gatewayではスケジュールベースでネットワーク帯域幅を調整できる。Gatewayで設定したスケジュールに基づいて、Gatewayがオンプレミスデータを AWS と同期するために使用するネットワーク帯域幅を調整できる。これにより、ピーク時の帯域幅の使用を調整してネットワークの混雑を最小限に抑え、ピーク時以外の時に使用可能な全ての帯域幅を使用できる。

AWS Systems Manager ExplorerはAWS AccountとRegion全体の運用データを表示する運用ダッシュボード。EC2 Instanceの概要やパッチのコンプライアンスなど、関連する運用データをわかりやすくグラフィカルに表示する。
AWS Configルールと関連のあるリソースコンプライアンスの概要を提供する。AWS Config ウィジェットで準拠/非準拠のルールとリソースを選択し、ルール名、修復アクション、リソースの詳細、Regionなどの詳細を表示できる。これらの詳細をCSVファイルにエクスポートし、Amazon SNS通知を発行できる。

AWS DataSyncは、オンプレミスのストレージとAWSストレージサービスやAWSストレージサービス間のデータの移動を簡素化、自動化、高速化するオンラインデータ転送サービス。Network File System; NFS共有やServer Message Block; SMB共有、Amazon S3, Amazon EFS, Amazon FSx for Windowsファイルサーバー間でファイルやオブジェクトを転送できる。
AWS DataSyncは転送中のデータの自動暗号化や転送中および保存中のデータ整合性検証などが可能。送信元のファイルシステムと送信先にある全てのファイルのチェックサムをローカルで計算して比較する。DataSyncは、送信元のファイルシステムと送信先にある全てのファイルのメタデータを比較する。いずれかに相違がある場合には、検証は失敗し、何が失敗したかを明確に指定するエラーコードを表示する。
AWS DataSyncタスクスケジューリングにより、転送タスクを定期的に実行して、ソースからターゲットに変更をコピーできる。タスクスケジューリングは、設定したスケジュールでタスクを毎時または毎日、毎週と自動的に実行できる。
ファイルがロックされていて、サーバーによってDataSyncが当該ファイルを開くことを禁止されている場合、DataSyncは当該ファイルの転送をスキップする。DataSyncはTRANSFERRINGフェーズ中にエラーをログに記録し、検証エラーを送信する。

AWSはDocker containerをサポートするcontainer orchestration service としてAmazon ECS; Amazon Elastic Container Serviceを提供する。ECSにはEC2起動タイプとFargate起動タイプがある。
EC2起動タイプはEC2上にタスクとしてContainerをデプロイし、サービスをスケーリングすることで処理を分散する。Container自体がスケールし、ホストのリソースをひっ迫させた場合もホストするEC2自体がスケーリングするため、ワークロードに合わせたインフラストラクチャを利用できる。起動したEC2に対して費用が発生する。
EC2起動タイプはContainer実行環境であるホストマシンの管理・運用が必要である。インフラストラクチャを含めて設定を管理したい場合に利用する。
Fargate起動タイプはプラットフォームを含めてフルマネージドになる。ホストマシンを意識せずにContainerを実行できる。EC2 Instance typeの選択やクラスターのプロビジョニングとスケール、各サーバのパッチ適用と更新が不要。ユーザーはアプリケーションのデプロイに集中できる。AWS FargateはAmazon ECSとAmazon Elastic Kubernetes Service; EKS の両方で動作するContainer向けのサーバーレスコンピューティングエンジン。
Amazon ECSは、Amazon ECS タスク定義での Amazon FSx for Windows ファイルサーバーの使用をサポートする。これによってECS Container間で永続的な共有ストレージを使用できる。

NICE DCV; Desktop Cloud Visualizationはリモート可視化ソフトウェア。クラウド上の2D/3Dアプリケーションに標準ネットワーク経由で、高速・安全・最適なリモートアクセスを実現するソフトウェア。グラフィックスを多用するアプリケーションを Amazon EC2 Instance上でリモートで実行できる。DCV Session Managerは、DCV Serverのフリート全体でセッションのライフサイクルを作成および管理するための REST API を提供する。
NICE DCV Server Softwareはアプリケーションのビジュアル出力を圧縮し、暗号化されたピクセルストリームでクライアントアプリケーションにストリームを返す。クライアントアプリケーションは圧縮されたピクセルストリームを受信し、復号してローカルディスプレイに出力する。

マウスポインターのカラー変更は［簡単操作］の［カーソルとポインター］の設定画面から実施します。
［ポインターの色を変更する］に設定が増えています。
一番右のアイコンを選択すると、下に［推奨されるポインターの色］と［ユーザー設定のポインターの色を選択します］というメニューが現れます。

Amazon WorkSpaces をクライアントアプリケーションから利用するためには443ポートと 4172ポートのアウトバウンド通信が必要。社内LANからの接続では4172ポートが社内ポリシーにより許可されていないために利用できないことがある。この場合もブラウザベースのWeb Accessは利用できる。

WorkSpacesのユーザーのパスワードのリセット手順はログイン前とログイン後の2パターンある。ログイン前の手順はログインできていなくても（現在のパスワードを知っていなくても）リセットできる順である。手順は以下。
WorkSpacesクライアントのログイン画面を開き、「Forgot Password?」をクリックする。
ユーザー名とCAPTCHAの答えを入力し、「Recover Password」をクリックする。
通知先にメールが送信され、そのリンクをクリックする。
ログイン後の手順は「CTRL-ALT-DELを送信」を実施し、「パスワードの変更」を選択する。

WorkSpacesではIPアクセスコントロールグループ機能によって、WorkSpacesにアクセス可能なIP Addressを制限できる。IPアクセスコントロールグループは、ユーザーが自分のWorkSpacesにアクセスできるIP Addressを制御する仮想ファイアウォールとして機能する。
手順は以下。
AWSのManegement Consoleにログインする。
Amazon WorkSpacesのページを開く。
左側のナビゲーションペインから「IPアクセスコントロール」をクリックする。
「IPグループの作成」をクリックする。
グループ名と説明を入力し、「作成」をクリックする。
作成したグループを選択すると、画面下部にグループのルールが表示される。
編集をクリックする。
「WorkSpaces に対するユーザーのアクセス元として許可される IP アドレスを追加します」と表示されるので、「ルールの追加」をクリックする。
「ソース」欄にアクセスを許可したい送信元IPアドレスを入力する。
入力が完了したら、「保存」をクリックする。

API管理はAPIの作成、配布、保守、監視、保護を行う仕組み。自社システムのAPIをインターネット上に公開し、他社システムと連携させて新サービスを生み出すAPI Economyが広がっている中で注目されているジャンルである。代表的なAPI管理製品にはAmazon API Gateway, Azure API Management, Google Cloud Endpoints, IBM API Connectなどがある。
API管理の機能はAPI GatewayとAPI Portalに大別される。API GatewayはAPIとして公開したいサービスのREST Endpointを作成し公開することが中核機能。認証や流量制御を行う。API実行状況のログを出力できる。API実行状況を監視し、異常があればアラートをプッシュする。負荷に応じてAPI実行基盤をスケールする。EAI/ETL/iPaaS寄りのものはAPIとして呼び出される処理自体の開発やテストができる。代表格はMuleSoft Anypoint Platformである。
API Portalは開発者のAPI開発や利用を支援する。APIを呼び出す外部の開発者のために、API活用の手引きとなるドキュメントを公開し、APIの利用申請を受け付ける。

AWSへの接続方法はインターネットとIPsec VPN; Virtual Private Networkと専用線（AWS Direct Connect）の3種類に大別される。AWS VPNは、AWSサイト間VPNと AWS Client VPNで構成されている。AWSサイト間VPNは、社内ネットワークとAmazon VPCの間やAWS Transit Gateway間に暗号化したトンネルを作成する。VPN接続をする際はVPCでゲートウェイとしてVirtual Private Gateway; VGWを設定する。
VPN接続には、冗長性のために2つのトンネルがある。両方のトンネルを設定することが推奨される。トンネルが1つだけ確立された VPN 接続は、シングルトンネルVPNと呼ばれる。
AWS Client VPN は無料VPNソフトウェアクライアントを使用して、利用者をAWSのリソースに接続する。Client VPN利用者はClient VPN セルフサービスポータルからVPN プロファイルと AWS Client VPN デスクトップアプリケーションを自分のコンピュータに直接ダウンロードできる。セルフサービスポータルへのアクセスは、フェデレーション ID プロバイダー (SAML2.0 ベース) または Active Directory を介した認証用のユーザー名とパスワードの認証情報を入力する必要がある。