だまし売りNo

AWS Service Catalog はクラウドリソースのプロビジョニング用のサービス。エンドユーザーがIT serviceを自分で管理し、デプロイできるようにする。インフラ管理者が組織内での利用を許可するAWS serviceをカタログ化し、これにより組織内で利用可能なサービスを制限することでガバナンスを強化する。
サービスには仮想マシンイメージ、サーバ、ソフトウェア、DBから包括的な多層アプリケーションアーキテクチャまで様々なものが含まれる。利用できるIT serviceとそのバージョンや、提供されたサービスでの設定内容を制御できる。個人やグループ別にアクセス許可を付与する対象を管理できる。
IT管理者がエンドユーザー向けのクラウドリソースを全てプロビジョニングする必要はない。エンドユーザーは、日々の業務を遂行するために使用しなければならない承認済みIIT serviceを探して、自分でデプロイする。組織によって設定された制約に従い、必要な承認済みのサービスのみをデプロイする。

Service Catalogの利用手順は以下。
組織内で利用可能なAWSサービスの環境を構築するためのCloudFormation templateを作成する。
ポートフォリオという論理的なリソースを作成する。
製品という論理的なリソースを作成し、関連するCloudFormation templateを紐づけ、グルーピングする。
このポートフォリオの単位で組織内のエンドユーザーに使用許可を与え、利用可能なAWSサービスを制限できる。エンドユーザーはポートフォリオに含まれる製品から必要なものを選択し、製品経由でCloudFormationテンプレートを実行し、必要なAWSインフラを構築できる。
Service Catalogの起動制約には、エンドユーザーが製品を起動する時にAWS Service Catalog が引き受ける AWS IAM roleを指定する。起動の制約はポートフォリオ内の製品に関連付けられる。起動制約がない場合、エンドユーザーは各自の IAM 認証情報を使用して製品を起動し、管理する。
Service Catalog はStack Set Instance操作をサポートする。利用者はAWS Service Catalog管理者が指定した制約内で、Stack Set の個々のInstanceを制御できる。
Service Catalog の AppRegistry は、AWSでリソースコレクションを整理し、アプリケーションメタデータを管理するリポジトリを提供する。管理者は Service Catalog consoleを使用して、アプリケーション、アプリケーションメタデータ、リソースの関連付けを管理できる。

Web Application FirewallはWeb Applicationの通信をフィルター、監視、ブロックする機能。アプリケーションの可用性やセキュリティ侵害、リソースの過剰消費に影響を及ぼす可能性のある一般的な攻撃パターンをブロックする。

アプリケーションレベルで通信の中身を解析し、特定の条件にマッチする通信を検知・遮断する点が一般のFirewallやIPSと異なる。SQLインジェクションやクロスサイトスクリプティングなども対象とする。

AWS WAFはAWSのWAFサービス。Amazon CloudFront distribution, Amazon API Gateway REST API, Application Load Balancer, AWS AppSync GraphQL APIに転送されるHTTP(S)リクエストをモニタリングする。

AWS WAFはリクエスト本文の JSON コンテンツを解釈できる。JSONコンテンツの特定のキーまたは値をAWS WAF ruleで検査する。AWS WAFは、AWS WAF APIかAWS Management Consoleから設定する。

AWS WAFでは、ラベルを生成し、それらのラベルに基づいて WAF ruleをカスタマイズできる。ルールに関連付けられているアクションに関係なく、WAF ruleがリクエストに一致した時に、ウェブリクエストに説明ラベルを追加するように WAF を設定できる。

後続の WAF ruleでこれらのラベルの存在を確認し、他の WAF ruleと組み合わせて、ラベルを含むウェブリクエストに対してアクションを実行することができる。ラベルを作成すると、対応する CloudWatch メトリクスも生成され、可視性を向上させるためにラベルが WAF ログに追加される。

AWS WAF Bot Controlはボットトラフィックの可視化し、制御するManaged rule group。スクレーパー、スキャナー、クローラーなどの普及しているボットを簡単に監視、ブロック、レート制限できる。また、ステータスモニターや検索エンジンなどの一般的なボットを許可することもできる。Bot Control Managed rule groupを、WAFの他のManaged ruleや独自のCustom WAF ruleと一緒に追加し、アプリケーションを保護できる。

AWS Systems Manager Run Command はEC2 Instanceをリモートから管理する。Run CommandはAWS Console, AWS Command Line Interface, AWS Tools for Windows PowerShell, AWS SDKから使用できる。

インバウンドポートを開く必要はなく、アウトバウンドHTTPS上で完全に動作する。アウトバウンドHTTPSはデフォルトでセキュリティグループに対して開かれている。SSHやリモートPowerShellを使用する必要がなくなり、管理タスクを簡素化できる。

Run Commandでコマンドを実行する場合はパスワードなど機密情報を含めてはならない。Account内の全てのSystems Manager API Activityは、Amazon S3 BucketのAWS CloudTrail Logに記録される。つまり、そのS3 Bucketへのアクセス権を持つユーザーは、これらの秘密のプレーンテキスト値を表示できる。

AWS Systems Manager ConsoleからInstanceのログ出力を表示すると、Run Command 呼び出しのステップ毎に出力ログとエラーログが個別に表示されます。各ビューで [ダウンロード] を選択すると、Consoleから出力ログやエラーログをダウンロードできる。

AWS Glue DataBrewはAWSのビジュアルデータ準備ツール。データプロファイル、データクレンジング、データリネージュ機能がある。データのクリーニングと正規化を迅速にする。コードを記述することなく、データをクリーンアップし正規化する。GlueとBrewで韻を踏んでいるのだろうか。
AWS Glueはコーディング前提のサービスであり、既存ETLからのシフトにはハードルがある。これに対してGlue DataBrewはビジュアル操作を強調しており、既存のデータプロファイリングやクレンジングの市場に影響を与えそうである。
Glue DataBrewはデータセット内のデータを視覚的に探索、把握、統合、クリーンアップ、正規化するためのプロジェクトを作成する。複数のデータセットをマージしたり結合したりできる。データの系統を視覚的にマッピングして、データが通過した様々なデータソースと変換ステップをビジュアルで確認する。
コンソールからは値の分布やヒストグラム、箱ひげ図などでデータの異常を特定できる。データ全体のなかで重複している値や欠けているデータの量、データの分散量（カーディナリティ）、分散の様子、ユニーク値にはどんな値があるかがビジュアルに表示される。
AWS Glue DataBrewではプロファイルジョブを実行して 列レベルのカーディナリティ（値の種類の絶対数）、数値的相関、一意の値、標準偏差などのデータ品質統計を自動生成できる。この際に分析するデータセットのサイズを設定することができる。非常に大きいデータセットの場合に一部のデータに対してプロファイルを実行して、結果を素早く取得することができる。
カーディナリティは項目の値の絶対数である。性別ならば2である。社員番号ならば社員数だけある。カーディナリティが低いとは、カラムの値の種類がレコード数に比べて少ないことを意味する。項目内の要素の重複が多くなる。

AWS SSO; Single Sign OnはAWS Accountやクラウドアプリケーションへの SSO アクセスの一元管理を容易にするクラウドベースのSSOサービス。割り当てられたアカウントとアプリケーションの全てに対する1か所からのSSOアクセスをユーザーに提供できるようにする。Microsoft AD; Active DirectoryやAzure AD; Active Directory, Okta Universal Directoryなどの既存のアイデンティティソースに接続することができる。
AWS SSOはオンプレミス環境のADと連携し、AWS Management ConsoleへのSSOを許可することもできる。オンプレミス環境のADの情報を利用し、Management Consoleへのアクセスを許可するためにはSAML 2.0の形式でIdP側とAWSでメタデータ情報を交換し、信頼関係を構築する必要がある。
AWS Directory ServiceのAD Connectorを利用するAD Connectorを利用を利用する場合はManagement Consoleへのアクセスを許可するIAM Roleを作成し、IAM RoleにAWS Directory Serviceとの信頼関係を設定する。AWS Directory Service for Microsoft ADを利用する場合は、AWS Directory Service for Microsoft ADとオンプレミス環境のAD間に信頼関係を設定する必要がある。

Internet Gatewayは、VPCとInternetとの間の通信を可能にするVPCコンポーネント。VPC内のリソースからInternetへアクセスするためのGateway。Internet GatewayはIPv4 トラフィックとIPv6トラフィックをサポートする。
Internet GatewayはInstanceに代わって1対1のNATを論理的に行う。トラフィックがVPC subnetから出てInternetへ向かう時、返信アドレスフィールドはInstanceのPrivate IP AddressではなくPublic IPv4 Addressまたは Elastic IP Addressに設定される。逆にInstanceのPublic IPv4 Addressまたは Elastic IP Address宛てのトラフィックは、その送信先アドレスがInstanceのPrivate IP Addressに変換されてから、VPC に配信される。

AWS Backupはバックアップのサービス。AWS Backupは、Amazon DynamoDB table, Amazon EBS volume, Amazon EFS, Amazon EC2 Instance, Amazon FSx, Amazon RDS, Aurora Cluster, AWS Storage Gateway volumeなどの AWS resourceのバックアップポリシーを一元的に設定し、バックアップアクティビティをモニタリングできる。AWS BackupはAWS Storage Gatewayと統合されており、AWS Storage Gatewayに保存されたオンプレミスデータも同じポリシーでバックアップできる。
AWS Backupはクロスリージョンバックアップやクロスアカウントバックアップが可能。クロスアカウントバックアップはAWS Organizations内の別のAccountにバックアップをコピーできる。AWS Organizationsを活用してソースアカウントと送信先アカウントを定義する。クロスアカウントバックアップとクロスリージョンバックアップの同時適用も可能。これによってバックアップを別のRegionの別のAccountにコピーできる。

AWS Storage Gatewayは既存のオンプレミス環境とAWS Cloudを接続するハイブリッドクラウドストレージサービス。オンプレミスのソフトウェアアプライアンスをクラウドベースのストレージと接続し、オンプレミスのIT環境とAWSのストレージインフラストラクチャをシームレスに統合する。オンプレミスアプリケーションをS3, EBS, Glacierのようなストレージサービスに接続する。オンプレミス環境とクラウド環境との隙間を埋める。
AWS Storage Gatewayはローカルキャッシュを有している。ローカルキャッシュを利用することで、データをオンプレミスに保持し、データアクセスと復元時間を最小限に抑えることができる。GatewayからAWSにデータをアップロードするために利用できるネットワーク帯域幅が限られている場合、アップロードのためにローカルキャッシュに多くのデータをバッファできる。
AWS Storage Gateway にはFile, Volume, Tapeの3種類がある。File Gateway はデータをS3に直接objectとして格納する。S3 object storageへのFile protocol accessを必要とするオンプレミスや EC2 ベースのアプリケーションで使用できる。NFS; Network File SystemやSMB; Server Message Blockなどの業界標準のFile protocolを使用して、S3でobjectの保存や取得を行う。
File Gatewayにはアクセスベースの列挙機能がある。アクセス許可に基づいて開くことができないSMBファイル共有やフォルダ、ファイルがユーザーに表示されないようにすることができる。各ユーザーには自身がアクセスできるフォルダとファイルのみを表示することで、フォルダ構造の簡略化されたビューを提供する。
Volume GatewayはInterfaceにiSCSIを使用。Volume Gatewayにはキャッシュ型と保管型がある。キャッシュ型はプライマリデータを S3に格納する。アクセス頻度の高いデータはローカルにキャッシュすることでデータへの高速アクセスが可能になる。保管型はプライマリデータをローカルに保存し、非同期にS3にバックアップを格納する。
Volume Gateway ではLocal Volumeのスナップショットを取得し、そのスナップショットを Amazon EBSに保存することもできる。このようなスナップショットから新たに Amazon EBS Volumeを作成し、それを Amazon EC2 Instanceにアタッチできる。
Tape Gatewayは物理テープ装置の代替としてデータをS3に格納する。InterfaceにiSCSIを使用。Tape GatewayとVolume Gatewayではスケジュールベースでネットワーク帯域幅を調整できる。Gatewayで設定したスケジュールに基づいて、Gatewayがオンプレミスデータを AWS と同期するために使用するネットワーク帯域幅を調整できる。これにより、ピーク時の帯域幅の使用を調整してネットワークの混雑を最小限に抑え、ピーク時以外の時に使用可能な全ての帯域幅を使用できる。

AWS Systems Manager ExplorerはAWS AccountとRegion全体の運用データを表示する運用ダッシュボード。EC2 Instanceの概要やパッチのコンプライアンスなど、関連する運用データをわかりやすくグラフィカルに表示する。
AWS Configルールと関連のあるリソースコンプライアンスの概要を提供する。AWS Config ウィジェットで準拠/非準拠のルールとリソースを選択し、ルール名、修復アクション、リソースの詳細、Regionなどの詳細を表示できる。これらの詳細をCSVファイルにエクスポートし、Amazon SNS通知を発行できる。

AWS DataSyncは、オンプレミスのストレージとAWSストレージサービスやAWSストレージサービス間のデータの移動を簡素化、自動化、高速化するオンラインデータ転送サービス。Network File System; NFS共有やServer Message Block; SMB共有、Amazon S3, Amazon EFS, Amazon FSx for Windowsファイルサーバー間でファイルやオブジェクトを転送できる。
AWS DataSyncは転送中のデータの自動暗号化や転送中および保存中のデータ整合性検証などが可能。送信元のファイルシステムと送信先にある全てのファイルのチェックサムをローカルで計算して比較する。DataSyncは、送信元のファイルシステムと送信先にある全てのファイルのメタデータを比較する。いずれかに相違がある場合には、検証は失敗し、何が失敗したかを明確に指定するエラーコードを表示する。
AWS DataSyncタスクスケジューリングにより、転送タスクを定期的に実行して、ソースからターゲットに変更をコピーできる。タスクスケジューリングは、設定したスケジュールでタスクを毎時または毎日、毎週と自動的に実行できる。
ファイルがロックされていて、サーバーによってDataSyncが当該ファイルを開くことを禁止されている場合、DataSyncは当該ファイルの転送をスキップする。DataSyncはTRANSFERRINGフェーズ中にエラーをログに記録し、検証エラーを送信する。

AWSはMQ; Message Queue のマネージドサービスとして、Amazon SQS; Simple Queue ServiceやAmazon MQを提供する。MQの利用によって疎結合アーキテクチャの実装が容易になる。
Amazon MQ は、Apache ActiveMQやRabbitMQというオープンソースメッセージブローカーをプロビジョニングおよび管理するフルマネージドサービス。メッセージブローカーはAmazon EFS; Elastic File Systemによって耐久性を有し、メッセージは複数のAZに冗長に保存する。

AWSはEmailのサービスとしてAmazon SES; Simple Email Serviceを提供する。Amazon SESでは利用者が自分の連絡先リストを管理できる。連絡先リストにはエンドユーザー情報とそのユーザーに関連するトピックが含まれている。Amazon SESではEmailフッターのサブスクリプション解除リンクやlist-unsubscribeヘッダーを追加できる。Amazon SESはエンドユーザーのサブスクリプション設定に基づいてリストを自動的に更新する。

Amazon API Gatewayでは、デフォルトで自動生成されたHTTP APIやREST APIのEndpointを無効化できる。API Gateway のデフォルトの REST API Endpointは「https://{restapi_id}.execute-api.{region}.amazonaws.com」となる。この機能はAPIにカスタムドメイン名を使用し、APIへの全てのトラフィックをデフォルトのEndpointではなくカスタムドメイン名のみを通過するようにしたい利用者向けである。

gRPC はトランスポートに HTTP/2 を使用し、マイクロサービスベースのアーキテクチャ上に構築されたアプリケーションのサービス間通信で普及しつつある。AWSのALBはgRPCプロトコルをサポートする。ALBを使用してマイクロサービス間または gRPC 対応のクライアントとサービス間でgRPCトラフィックをルーティング及び負荷分散できる。

【AWS Service Catalog】
AWSはクラウドリソースのプロビジョニングのためにAWS Service Catalogを提供する。AWS Service Catalog はStack Set Instance操作をサポートする。利用者はAWS Service Catalog管理者が指定した制約内で、StackSet の個々のInstanceを制御できる。

開発環境などに向いている安価なInstance TypeにT3がある。バーストパフォーマンスインスタンスと呼ばれる。ベースラインレベルの CPU パフォーマンスを実現する。必要な時間だけ CPU 使用率をバーストできるが、CPUクレジットの制約がある。
CPUクレジットは1単位で1vCPUを1分間使用率100%にする単位である。長時間に渡って高いCPU使用率となるような場合は、CPUクレジットを使い尽くすことになる。CPUクレジットを使い尽くした場合、Standard modeでは性能に影響がある。Unlimited modeは性能を確保できるが、課金される。T3 InstanceのデフォルトはUnlimited modeである。
T3aインスタンスはAMD製CPUを使用する。T3aインスタンスはT3インスタンスよりも10%低い価格で提供される。
以下は価格差の一例である。
t3a.xlarge　0.2558USD/時間
m5.xlarge　0.308USD/時間
https://aws.amazon.com/jp/ec2/instance-types/t3/
EC2の料金。
https://aws.amazon.com/jp/ec2/pricing/on-demand/
固定割引料金体系としてリザーブドインスタンスがあるが、1年または3年の期間で購入するもの。
Amazon EBS の価格
https://aws.amazon.com/jp/ebs/pricing/
Amazon WorkSpacesの種類や料金
https://aws.amazon.com/jp/workspaces/pricing/