AWS Certified Solutions Architect - Associate

IAM認可と最小権限の設計

IAM設計では、認証された主体に必要な操作だけを許可する。人にはIAM Identity Centerやロール、サービスには一時的なロールを使う発想が基本になる。

ストレージのライフサイクル最適化

ストレージ費用は、すべてを同じ場所へ置くのではなく、よく使うデータと長期保管データを分け、ライフサイクルで安い階層へ移すことで抑えられる。

ストレージ性能とスケーラビリティ

ストレージ性能は、保存形式だけでなく、読み書きの回数、連続した大きな転送、複数サーバーからの共有などで選び方が変わる。

マルチAZと障害分離

マルチAZ設計は、1つのAZに障害が起きてもサービス全体を止めにくくする配置である。入口、アプリ、データ層のどこに単一障害点があるかを見る。

コンピューティング性能と伸縮性

コンピューティング性能は、1台を大きくするだけでなく、台数を増やす、処理を分ける、サーバーレスで必要時だけ動かすなどの選択で考える。

コンピューティング購入オプションと適正化

コンピューティング費用は、必要な時だけ使うか、長期利用を約束するか、中断可能な余剰 capacity を使うかで変わる。さらに使いすぎのサイズを直すことも重要である。

ネットワーク分離と通信制御

ネットワーク分離では、外部から入る入口と内部だけで使う資源を分ける。通信制御は、セキュリティグループやNetwork ACLで通す通信を絞る。

伸縮性と疎結合

伸縮性は負荷に合わせて処理能力を増減する考え方で、疎結合は部品同士を直接つなぎすぎない考え方である。キューを挟むと一時的な混雑を吸収しやすい。

データベース性能とキャッシュ

データベース性能は、DB本体を大きくするだけでなく、読み取りを分ける、アクセスパターンに合うDBを選ぶ、よく読むデータをキャッシュすることで改善できる。

データベース費用と容量選択

データベース費用は、インスタンスを常時動かすか、リクエスト量に応じて払うか、読み取りを複製で増やすかなどで変わる。性能だけでなく使い方の予測可能性を見る。

データ暗号化と鍵管理

AWSのデータ保護では、保存されているデータと通信中のデータを分けて暗号化を考える。KMSは暗号化に使うキーを管理する中心的なサービスである。

バックアップとRTO・RPO

バックアップ設計では、データを取っておくだけでなく、どの時点まで戻れるか、どれくらいの時間で戻すかを決める。RPOとRTOは復旧要件を読む重要語である。

アプリ保護とシークレット管理

アプリの安全設計では、外部からの不正なリクエストを入口で減らすことと、内部で使うパスワードやAPIキーを安全に保存・更新することを分けて考える。

ネットワーク性能とエッジ配信

ネットワーク性能では、利用者に近いエッジから配信する、名前解決で近い入口へ向ける、AWSグローバルネットワークを使って経路を安定させるなどを考える。

ネットワーク費用とデータ転送

ネットワーク費用は、外へ出る通信、AZやリージョンをまたぐ通信、NAT Gateway経由の通信などで増えやすい。よく使うAWSサービスへの通信はVPCエンドポイントが候補になる。