本日勉強したことをメモします。
EC2 Image Builder について
・EC2 Image Builder pipelineではユーザーは自動でAMIをEC2インスタンスか別リージョンのAuto Scalingグループにデプロイできる。
・EC2 Image Builder pipelineでは生成されたAMIは自動で複数のAWSリージョンに配信されるか他のAWSアカウントにシェアされる。
AWS Resource Managerについて
AWS Resource Access Manager (RAM) は、組織内の AWS アカウント間または AWS Organizations 内の組織単位 (OU) 間で、ならびにサポートされているリソースタイプの IAM ロールおよび IAM ユーザーとの間で、リソースを安全に共有するのに役立ちます。AWS RAM を使用して、トランジットゲートウェイ、サブネット、AWS License Manager ライセンス設定、Amazon Route 53 Resolver ルール、およびその他のリソースタイプを共有できます。
AWS OrganizationsのOU間でユーザーを移動させる権限
AWS OrganizationsのOU間でユーザーを移動させるには以下の権限が必要。
・organizations:DescribeAccount(移動がコンソールで行う場合は必要)
・organizations:MoveAccount
既存のOU構造を変えたい場合
Rootの下に同じ階層で二つのOU-AとOU-Bがあった場合、OU-BをOU-Aの子OUにするには新しくOU-Cを作ってOU-Aの子にし、OU-BのユーザーをOU-Cに移動させる。
OU-BをコンソールでそのままOU-Aの子にドラッグ&ドロップはできない。
また、OU-Bのユーザーを一度AWS Organizations外に出す必要はない。
SCPで許可されているが一度も使用されていないサービスの見つけ方
IAMコンソールでService Control Policiesをクリックし、サービスへのアクセス履歴がNeverになっているものを確認することができる。
・AWS Organizationsコンソールから確認することはできない。
明示的なDenyは他のアクションより優先される
SCPでRootが全てのアクションを許可していても、その下の階層で拒否されている場合はそこに属するユーザーはそのアクションを実行できない。
AWS Organizationsの一括請求とAll featuresは作成後切り替えできない
AWS Organizationsの一括請求とAll featuresは作成後切り替えできない。
また、AWS Organizationは無料のサービスのためどちらもコストに影響はない。
AWS OrganizationはOUの数に制限はない。
VPC間の通信をインターネットに出さない
VPC間の通信をインターネットに出さないようにするには、PrivateLinkをVPCに設定し、他のAWS環境がインターフェースVPCエンドポイントを使って通信を繋げられるようにする。
VPC peeringも方法として可能ではあるが、比較的古いソルーションで、VPC一つにつき最大125個のピアリングしか設定できない、またIPアドレスが重複していないことなどの制限がある。
Direct ConnectとS3のパブリックエンドポイントを接続させる
Direct ConnectとS3のパブリックエンドポイントを接続させるには、パブリック仮想インターフェースを設定し、オンプレイスのルーティングをS3への通信はDirect Connectを使うよう設定する。
Direct Connectはオンプレミスのネットワークを直接AWS Direct Connectにあるデバイスと繋げることができる。
パブリック仮想インターフェースを設定し、オンプレミスのルーティングをDirect Connectのパブリックに公開されたサービスにつなげる。
Direct Connectはなかなか理解が進まないのでこちらの動画を見てみた。
パブリック仮想インターフェースとプライベート仮想インターフェースの違い
トランジットゲートウェイに接続するにはトランジット仮想インターフェイスを、パブリックリソース (非 VPC サービス) に接続するにはパブリック仮想インターフェイスを、VPC に接続するにはプライベート仮想インターフェイスを作成できます。
Amazon Managed Blockchainのメンバーの追加方法
Amazon Managed Blockchainがセットアップされた時、AWSアカウント内の最初のメンバーがいるので、このAWSアカウントに追加するため新しいメンバーに招待を送るか、違うAWSアカウントの万バーに招待を作成できる。
AutoScalingの設定
AutoScalingでCPU使用率に応じて自動でインスタンスを削除するには、CPU使用率が設定した水準を下回ったときに通知を送るようCloudWatchアラームを設定しAutoScalingグループがインスタンスを削除するようにする。
