【AWS初学者向け】AWS認定資格SAP直前対策

一般的な管理タスクを自動化し，一回限りの大規模な設定変更を実行できる。EC2にはsshを許可していない状態で，任意のシェルコマンドを実行したいときなど。

すべての機能が有効になっていること。

適用できない。

適用できない。

Auroraのグローバルデータベース。RDSのマルチAZと勘違いしないように。

• 標準：二回目以降は実行されない
• Express：二回目以降も新しいワークフローが実行される

また，Expressには同期型と非同期型があることに注意する。

できる。

Resource Access Managerが利用できる。Service Catalogは，CloudFormationなどのIaCテンプレートやAMIなどをポートフォリオとして管理・共有するためのサービス。

Transit Gateway ID

無効化されている。

• クライアント⇄ALB：ACMを使ってプロビジョニングしたSSL証明書をALBに関連付ける
• ALB⇄Web層：サードパーティーのSSL証明書をEC2にインストールする

ALB⇄Web層でACMを使っていないのは，ACMがパブリックSSL証明書をエクスポートできないからである。

FullAWSAccess

作成できない。Systems Managerにはバッチ実行のイメージがあるが，作成できないというひっかけ。Organizationsの管理アカウントで作成するのがよい。CURはコスト関係の概念であり，Organizationsでは一括請求などコスト関連の操作ができそうであることを踏まえると納得がいく。

1. アカウントAでアカウントBのVPCに対する関連付け承認（association authorization）を作成する
2. アカウントBでVPCをアカウントAのプライベートホストゾーンに関連付ける
3. アカウントAで1.で作成した承認を削除する

1.で承認を作成すると，アカウントBからの関連付けが可能になるというシステム。今後意図しない関連付けを作成しないように3.で削除推奨。

Systems for Cross-domain Identity Management (SCIM) v2.0

update-aliasコマンドを利用して，エイリアスと新しい関数のバージョンを関連付け，重みを設定する。例えば，以下のようなコマンドを利用する。

aws lambda update-alias \
--name prod \
--function-name new-function \
--routing-config AdditionalVersionWeights={"2"=0.5}

/tmpディレクトリに静的アセットをキャッシュし，接続を再利用することができる。

インスタンスを終了させる前に，EventBridgeルールを用いて他のサービスをトリガーすることが可能になる。

ライフサイクルフックが中断し，インスタンスが終了する。

AWS Application Discovery Agent

SAMにCodeDeployが組み込まれている。

• HTTP API：lambda以外のサービスと連携できない
• REST API：lambda以外のサービスとも連携できる

例えば，HTTP APIとDynamoDBを直接連携することはできない。

• アクティブ/アクティブ：フェールオーバーポリシー以外を指定したうえで，リソースレコードセットでPrimaryとSecondaryの指定を行う。
• アクティブ/パッシブ：フェールオーバーポリシーを指定する。

なお，アクティブ/パッシブにおいて，フェールオーバーポリシーを利用して作成したレコードをフェールオーバーレコードという。

よい選択肢である。新たにManaged Microsoft ADを作成する方法よりも，オーバーヘッドが小さい方法になる。

オリジンのプライマリとセカンダリを設定するだけ。プライマリが特定のHTTPステータスを返すと，CloudFrontが自動でセカンダリのオリジンを昇格する。

クレジットが枯渇した状態でも継続してバーストできるようにする設定。

昇格できない。

可能。

可能。

HTTPヘッダのauthorizationフィールドでlambdaの認証を行うことができるAPI Gatewayの機能。IDプールと連携することはできないため，オーソライザというそれっぽい名前に惑わされないように注意する。

Compute Saving Plans。両者にリザーブドインスタンスという概念はないため注意する。

起動できない。起動するサービスに対する権限も必要。

RDS ProxyがAuroraのヘルスチェックを行い，適切にトラフィックを振り分けてくれる。

シングルAZ。

403 Access Deniedが返される。

作成できる。

VPCピアリングを行うと，意図しないサービス同士が通信できるようになってしまう可能性があること。

• REST API：API Gateway
• GraphQL：Appsync

Configアグリゲータ

デフォルトではできない。AWS Backupゲートウェイを設置する必要がある。

可能。

必要ない。VPCエンドポイント自体にはポリシーをアタッチすることが可能。

可能。

Replication Time Controlの略称で，オブジェクトの99.99%を15分以内にレプリケートすることを保証する。レプリケーション時間の可視化も行う。

• 拡張モニタリング：OSのリアルタイムメトリクスを取得
• パフォーマンスインサイト：パフォーマンスに関するメトリクスを取得

可能。スタックにアタッチできる。

タスクごとにENIを作成し，それぞれにSGをアタッチできる方式。

可能。複数リージョン間の通信を行いたい場合に，Transit Gateway同士のピアリングを行う。

• 適用対象：EC2/EBS/lambdaに利用できる
• 条件1：CloudWatchでメトリクスが取得できている
• 条件2：初めて使用する際は結果を得るために最大12時間要する

30日間。

存在する。Route53でレコードを作成する際は，必ずルーティングポリシーを選択する必要がある。レイテンシールーティングポリシーを選択し，エイリアスを設定したレコードのことをレイテンシーエイリアスレコードという。

• 502：中継地点が返すBad Gatewayなので，CloudFront・オリジン間の証明書の有効期限切れが考えられる。
• 504：サーバが完全に沈黙しているエラーなので，タイムアウト時間以内にサーバからのレスポンスが返ってこなかったことが考えられる。

存在する。リージョンに属さないグローバルなサービスで，複数のVPCとDirect Connectロケーションを接続することができる。同一リージョン内に複数のVPCがある場合は，Transit Gatewayで各リージョンのVPCをまとめた上で，Transit GatewayをDirect Connect Gatewayと接続する。

タスクノード。マスターノードとコアノードはオンデマンド，タスクノードはスポットという設定が典型。

ソースバケットと同一リージョンかつ同一アカウント。

Timestream

EC2のプールに対して自由な設定を行うことができる機能。スポットインスタンスのように，長時間のワークロードに向いていないわけではなく，例えばリザーブドインスタンスを含めることもできる。

ActiveMQやRabbitMQを移行するユースケース。

考えられる。

ElastiCache for Redis

Managed Streaming for Apache Kafka（MSK）

• WorkSpaces：デスクトップ環境
• AppStream2.0：特定のアプリケーション

• 429：Too Many Requests。API Gatewayのスロットリング制限またはクォータを超過したケース。
• 502：Bad Gateway。lambdaの同時実行数のクォータを超過したケース。

• 書き込み：1MB/s（プロビジョニングモード）
• 読み込み：2MB/s

CDKで書いた使い慣れた言語によるスクリプトを用いて，CloudFormationのリソースをデプロイするという関係性。

S3バケット

適切な選択肢である。

Concurrency Scaling

ECRリポジトリに保存されているイメージを利用して，コンテナ化されたアプリケーションを迅速にデプロイすることができるフルマネージド型サービス。

リージョン単位。複数リージョンで利用したい場合は，クロスリージョンレプリケーションを利用する。

Timestreamの方が約1000倍高速になることがある。

数日〜数週間。

• VPCピアリング：CIDRが重複してはいけない。あたかも1つのVPCのように結合する。
• PrivateLink：CIDRは重複してもよい。対向側のNLBに接続するインタフェース型VPCエンドポイント。

ラックはオンプレミス環境と合体させて，AWSクラウドとして振る舞わせるイメージ。サーバはそのものがAWSクラウドとして振る舞うイメージ。また，対応しているサービスも異なる。特に，サーバ側で対応していないサービスをおさえておくとよい。

• outpostsサーバ非対応のサービス
  • EKS/S3/RDS/Elasticache/EMR

つまり，outpostsサーバにS3をインストールすることはできない。

AWS Transfer for SFTP。　パブリックサブネットにEIP，VPCにVPCエンドポイントを自動生成し，インターネットからのアクセスを可能にする。アクセス制御はSGによって行う。

Systems ManagerのPatch Managerを利用する。

オンプレミスのDBからAWSクラウド上の異なるエンジンのDBに移行するユースケース。自動的に変換できないスキーマを洗い出し，DMSを利用する前に変換しておくことができる。

移行できるが，MongoDB互換のDocumentDBに移行した方が無難。

ファイルゲートウェイ。ファイルという名前が付いていることから理解する。詳しくは下記を参照されたい。

• ゲートウェイ型：利用できない
• インタフェース型：利用できる

インタフェース型はルートテーブルによる通信制御を行わないため，と理解しておく。

利用できない。

VPCエンドポイント同士で通信を行う方式をPrivateLinkという。

1つのVPCには1つの仮想プライベートゲートウェイしか接続できない。

行うことはできる。IAMポリシーの適用・SCPの適用・EC2インスタンスの停止・RDSの停止などを行うことができるが，全てのアクションを行うことができる訳ではない。

• 概要：マルチリージョンレプリケーション
• 条件：DynamoDB Streamsを有効化していること

EC2のDedicated Hostsに関する概念で，停止したEC2を再度起動させる際に同じHost上で起動させるかを指定する。Host AffinityをHostに指定すると同じHost上で起動し，Offに指定するとベストエフォートで同じHost上で起動する。なお，Dedicated Hostsでは自動配置オプションはデフォルトで無効になっているが，有効にすると「インスタンスタイプが一致するDedicated Hosts」のうちいずれかで起動される。

できない。SMSでは仮想マシンの移行を対象としている。物理マシンの移行はAWS Application Migration Service（MGN）を利用する。

AWS Cloud Adoption Readiness Tool（CART）。選別された質問からなるアンケートで評価する。

syncは差分のみを更新可能で，バッチオペレーションは全件操作になる。

サポートしていない。

AWS Agentless Discovery Connector

FSxをAZに作成する際のオプション。

• シングルAZ1（旧世代）
• シングルAZ2
• マルチAZ

を選択することができる。

単体では使用しない。パーティションキーと組み合わせて使用する。ソートキーのみに言及されている選択肢には要注意。

担保できない。60秒のラグが発生する。リアルタイム性を担保する場合はKinesis Datastreamを利用する。

合致しない。

向上させない。あくまでも高可用性を担保する。

疎通できない。lambdaにENIをアタッチする必要がある。

Blue-Green方式の中でLinear・Canary・All-At-Onceを指定できるという関係。Linearでは少しずつ旧バージョンから新バージョンにトラフィックを切り替えていく。Canaryでは1回目の切り替えで問題なければ2回目で一気に切り替える。

記録されない。ペイロードを記録するためにはVPCフローログを利用する。

サポートしていない。

実行できない。Configルールはアクションを行うサービスではなく，ベストプラクティスに準拠しているかどうかを評価するサービス。

サードパーティーデータを簡単に検索・サブスクライブ・使用できるようにするサービス

SaaSアプリケーションとAWS サービス間でノーコードでデータを安全に転送できるようにする統合サービス

Apache Cassandra互換のマネージドデータベースサービス

MLを利用した静的解析ツール。Guruは専門家という意味。

Codeシリーズのサービスをまとめて構築できるサービス。プロバイダ連携も可能。

フロントエンドアプリケーションの開発プラエットフォーム。