本日勉強したことをメモします。
DocumentDBについて
DocumentDBはMongoDB互換なので、オンプレミスでMongoDBが動いている環境からなるべく設計を変えずにAWSに移行を計画する場合は、DocumentDBが適している。
CloudWatch Eventsのターゲット数の上限
CloudWatch Eventsはひとつのルールで5個のターゲットを設定できる。
そのため、ひとつのルールで二つのイベントをトリガーすることなどが可能。
IAMで証明書管理可能
ロードバランサーでTLS通信を設定する時に使用する証明書はACMだけでなくIAMから使うこともできる。
各アカウントのアクションを制限する
各アカウントのアクションを制限するには以下のような方法がある。
・AWS OrganizationのSCPでユーザー毎にアクセスできるリソースを定義する
・CloudWatch Eventsでユーザーのアクションによって制限をかけるように設定する
・CloudTrailでユーザーのアクティビティを追跡し、S3などにログをためておく
・IAMポリシーで特定のアクションのみ許可する
逆にLambda関数でユーザー毎に特定のアクションを制限するようなことは効率が悪いため適切ではない。
パフォーマンスの問題を調査する
パフォーマンスの問題を調査するには、X-Rayを活用する。
・X-Rayを使ってアプリケーションのパフォーマンスを監視する。
・X-Ray segmentsとannotationswo使ってグループレベルのトレーシングを行う。
NLBのTLS終端でのIPアドレスの扱い
NLBでTLSを終端している時は、ターゲットグループをインスタンスIDにするとクライアントのIPアドレスもバックエンドに渡される。
ターゲットグループがIPアドレスで設定していると、バックエンドにはロードバランサーのプライベートIPが渡される。
注意点: X-Forwarded-ForはHTTPヘッダーなのでTCPには該当しない。