S3についての学習メモ2
アクセスアナライザー
- IAMアクセスアナライザーに連動したS3機能
- パケットポリシー、ACLをモニタリングできる
- パブリック、または共有アクセスポリシーを検出
- バケットポリシー、バケットACL、またはその両方
- 全てのパブリック、共有バケットの結果を共有する
- バケットの実際のアクセス状況を確認する
ライフサイクル
- 一定期間で安価なサービスに移動
- prefix、全体などフィルタ可能
レプリケーション
- クロスリージョン
- バケとに対するオブジェクト操作でレプリケート実行
- バージョニング設定が必要
- リージョン設定必要
- 双方向も可能
- データ転送費用発生
バージョン管理
誤操作削除などを防ぐ + バージョン管理されたオブジェクトを確認することが可能 + ライフサイクルにより、保存する期間の指定も可能 + バケットを削除するときは古いバージョンの別途削除も必要
バックアップ
Glacierを利用してバックアップと復元が可能
分析
S3はアクセス分析を実施することができる。ライフサイクルポリシーの設定に役立てる
イベント通知
S3の操作に大して SNS / SQS / Lambdaにイベント通知ができる。シームレスなシステム連携処理を実現できる。
解析
- S3 select
- より複雑なクエリを行う場合はAthena
- 機密調査には amcie
- Redshiftから直接クエリも可能
バッチオペレーション
S3オブジェクトの大量データに大して一括処理を実行することが可能
S3についての学習メモ
ストレージについて
3種類ある
ブロックストレージ(EBS、インスタンスストア等)
- 高速・広帯域
- ブロック形式でデータを保存
- EC2にアタッチして活用
ファイルストレージ(EFS)
- 複数のEC2から同時にアタッチ可能
- ファイル形式でデータを保存
オブジェクトストレージ(S3、Glacier)
- 安価かつ高耐久性のオンラインストレージ
- オブジェクト形式でデータを保存する
S3について
- 99.999999999%の耐久
- 月額1GBでも約3円
- 冗長化保存され、データ容量に依存しない性能がAWSで保存される
- 転送、保存時にデータを暗号化可能
- 無制限のオブジェクト数
- データサイズは5TBまで保存可能
Glacierについて
- 最安
- データ抽出にコストと時間がかかる(3〜5時間)
- ライフサイクルでしてい
- ボールロック
簡単なpub/pri構成にEC2を建てて通信させる
作成済
作成済 - VPC - サブネット(a/c) - インターネットゲートウェイの設定 - ルートテーブルの設定
構成
udemyの講座通りにやる
手順
EC2
- public/privateサブネットに配置
- http/httpsの許可を追加 サーバ内の設定は割愛
セキュリティグループの作成
private用にpublicサブネットからの通信のみ許可するSGを作成 privateのEC2に設定する publicに配置したE2からpingが飛んでいれば確認はOK
public->subnetのEC2に入る
publicサーバに鍵を配置してssh
privateから外部への通信を通す
ネットワークACLを利用する場合
ACLを作成してEC2単位ではなく、サブネット単位で制御することが可能。 番号の若い方から適用されるため、0.0.0.0/0のallowを設定した後に特定IPのdeny設定をしても無視されてしまうので注意が必要
privateのEC2からS3にアクセスしたい場合
VPCエンドポイントの設定で可能
VPCフローログ
- clowdwatchで新しいグループを作成する
- vpcの設定でフローログを作成し、clowdwatchのグループを指定する
VPCの設定に関するメモ
VPCの設定に関する事柄についての整理用のメモ
設計のポイント
- アドレッシングや他ネットワークとの接続性も考慮。将来の拡張性を見据える。
- CIDRは既存のVPCや社内のDCやオフィスとかぶらないようにアドレス帯を設定する。 -- 将来の組織構成を見据えて設定する。
- 組織とシステムをどのように分割するかも検討する。
- 可用性を高めるために複数のAZを利用する。
- Pub/Sabのインターネット隔離をきちんと考慮する。サブネットは大きいものを利用する。
- セキュリティグループを使ってリソース間のトラフィックを適切に制御する。
- VPC Flow Logsなどでモニタリングできるように務める。
VPCエンドポイント
インターネットゲートウェイ
VPCに設置される。
ルートテーブル
サブネット内にあるインスタンス等がどこに通信にいくかのルールを定めたものです。 AWSのルートテーブルって何よ?VPCとサブネット踏まえて簡単に説明してみる - Qiita IGからpublicサブネットに通信を通す などの設定はここで行う。
トラフィック制御
セキュリティグループ
- ステートフル
- サーバー単位の設定
- 許可のみIN/Outで指定 -- 必要な通信があれば許可するスタイル
- 全ルールを適用
ネットワークALC
- ステートレス
- 戻りのトラフィックも許可設定が必要
- サブネット単位で指定可能
- 許可、拒否をIN/OUTで指定可能
- デフォルトでは全ての送信元IPを許可している
- 番号の順序通りに適用する
サブネット
publicにする方は、publicipアドレスを自動割り当てする