ECSのクラスター、タスク、サービス、コンテナ…登場人物の多さよてんてん
ECSにまつわる登場人物多すぎ、
サイズ感もバラバラでようわからん…
なんとなくこちらの記事のイメージが一番シンプルでわかりやすかった。
https://aws.amazon.com/jp/blogs/news/the-role-of-aws-fargate-in-the-container-world/
Amazon Cloud Directoryについて
Amazon Cloud Directoryについて
https://aws.amazon.com/jp/cloud-directory/
特徴
https://aws.amazon.com/jp/cloud-directory/features/
特に覚えるべきポイントは、
✳︎完全マネージド型のインフラストラクチャ→つまり、自動スケーリングくれる!
✳︎AWS Cloud Trail、およびタグづけとの統合。→ユーザのアクセス、リソースの状態の追跡ができる。
クライドネイティブで環境部分をお任せできる、SVNのようなものと理解。
Amazon Redshiftの暗号化について
こちらの記事を読んだところ、https://docs.aws.amazon.com/ja_jp/redshift/latest/mgmt/working-with-db-encryption.html
"Amazon Redshift では、暗号化キーの階層を使用してデータベースを暗号化します。AWS Key Management Service (AWS KMS) またはハードウェアセキュリティモジュール (HSM) のいずれかを使用して、この階層の最上位の暗号化キーを管理できます。"
★暗号化キーの階層を使用し、Amazon Redshiftで取り扱うデータベースを暗号化する。
★また、暗号化にはAWS KMS/HSMのいずれかを使う。
★階層については、AWS KMSの説明(↓)でなんとなく理解できそう。
"Amazon Redshift によるキー管理用に AWS KMS を選択した場合、4 階層の暗号化キーがあります。これらのキーは、階層の最上位から順にルートキー、クラスターの暗号化キー (CEK)、データベースの暗号キー (DEK)、データ暗号化キーとなっています。"
★ルートキーとはAWS KMSが作成するAWS KMS keys と呼ばれるキーのこと。KMSが作成するおおもとのキーを最上位として、キー管理が行われる。
ちなみに、HSM側は、
"HSM は、キー生成と管理を直接に制御するデバイスです。キーの管理をアプリケーションとデータベースのレイヤーから切り離すことで、より優れたセキュリティを実現します。Amazon Redshift では、キー管理のために AWS CloudHSM Classic がサポートされています。AWS KMS の代わりに HSM を使用して暗号化キーを管理するときは、暗号化プロセスが異なります。"
ということだが注意点として、
"Amazon Redshift では、 AWS CloudHSM Classic のみがサポートされています。新しい AWS CloudHSM サービスはサポートされていません。
新規のお客様は、AWS CloudHSM クラシックをご利用いただけません。"
★つまり、基本的にはAWS CloudHSMはRedshiftで使わない、非推奨ということらしい。
MFAの有効化について
まずは、MFAで何ができるのか?
…通常のログイン認証情報に加え、セキュリティを向上させるには、MFA(多要素認証)メカニズムを使ってセキュリティを高める。
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa.html
手順は?
1.MFA デバイスを入手
2.MFAデバイスを有効にする
"仮想またはハードウェア MFA デバイスを使用するIAM ユーザー: AWS Management Console、AWS CLI、または API から有効にします。"
→マネジメントコンソール以外にも、CLIやAPI実行でも有効にできる、というのがポイント!
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_enable.html
字面が似てるサービスまとめ①"work"にまつわるサービス+α
なんとなーく雰囲気が似てるな…と思っていたキーワードについて、まとめてみました。
1.Amazon WorkSpaces
https://aws.amazon.com/jp/workspaces/
*"あらゆるデバイスからリソースにアクセスできる Windows および Linux 向けのフルマネージドデスクトップ仮想化サービス"
*リモートワークの推進にも役立つ!(機密情報、個人情報を扱うワーカー向けに有用そう。)
2.Amazon Simple Workflow
https://aws.amazon.com/jp/swf/
*並行、連続したステップがあるバックグラウンドジョブの構築、実行、スケールに向けたサービス。
*フルマネージド型のサービス。
*"AWS のサービスのオーケストレート、ビジネスプロセスの自動化、サーバーレスアプリケーションの構築のために、ローコードのビジュアルプロセスフローサービスをお探しの方は、AWS Step Functions の詳細をご覧ください。"とあり、よりビジュアル的に進化したサービスとして、AWS Step Functionsがおすすめされている模様。
3.AWS Step Functions
https://aws.amazon.com/jp/step-functions/
*"分散アプリケーションの構築、IT およびビジネスプロセスの自動化、AWS のサービスを利用したデータと機械学習のパイプラインの構築に使用するローコードのビジュアルワークフローサービス"
*Workflow Studioという機能がある。
→GUIベースでワークフローの確認、編集ができるサービスのよう。
KMSの暗号化対象について
KMSの暗号化対象は、
*ストレージ等に保存しているデータ
*転送中のデータ
となる。
例えば、EC2で取り扱うデータを暗号化する場合、データの保存先であるEBSにて暗号化の設定を行う。
参考:
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/EBSEncryption.html
KMSの連携/非連携サービスについて
KMS…データの暗号化やデジタル署名に使用するキーを簡単に作成して管理する
参考:https://aws.amazon.com/jp/kms/
連携サービスは以下の通り。(多数のサービスで連携できる。)
参考:https://aws.amazon.com/jp/kms/features/
ポイントとしては、以下がサービス対象外であるであること。
✳︎EC2
✳︎Ops Works
→EC2の場合は、データを保存するEBS側で利用するため。また、Ops WorksはEC2を利用するサービスのため対象外となっている。(と思われる。)