AWS Certified CloudOps Engineer Associate
最終確認:2026年5月
SOA-C03 試験で問われるアーキテクチャパターンのスキャン可能なリファレンス。上から順に読むか、セクションへジャンプ。
EC2フリートからメモリ、ディスク、プロセスに関するメトリクスを収集します。デフォルトのCloudWatchメトリクスにはこれらが含まれていません。
SSM Distributorまたは`AmazonCloudWatch-ManageAgent` Run Command経由でCloudWatchエージェントをインストールします。Parameter Storeからエージェント構成をプッシュします。
理由: メモリとディスクはゲストOSのメトリクスであり、ハイパーバイザーからは見えません。デフォルトのCWメトリクスは、EBSレイヤーでのCPU/ネットワーク/ディスクIOのみです。
アプリケーションがビジネスKPI(例:1分あたりの注文数)をCloudWatchに公開する必要があります。
カスタム名前空間とディメンションを持つ`PutMetricData` APIを使用します。大容量の使用にはEmbedded Metric Format (EMF) を使用します。構造化されたJSONをログに書き込むと、CWがメトリクスを自動的に抽出します。
高カーディナリティのカスタムメトリクスのコストを削減します。
Embedded Metric Format (EMF) を使用します。構造化されたイベントを一度ログに記録すると、CWがそこからメトリクスを抽出します。1つのログと1つのメトリクスは、ディメンションの組み合わせごとに個別の`PutMetricData`呼び出しを行うよりも安価です。
トラフィックに日次/週次の季節性があるため、静的しきい値アラームが誤検知を生成します。
CloudWatch異常検出アラームを使用します。バンドは学習された季節性に基づいて適応し、メトリクスがバンドから外れるとアラームが発報します。
理由: 季節性のワークロードは正常な変動幅が大きいため、固定しきい値は半分は間違っています。
エラー率が高いANDトラフィックが低い場合の両方でオンコールに通知し、どちらか一方だけが発報した場合は通知しないようにします。
ルール式`ALARM(errors) AND ALARM(low_traffic)`を持つ複合アラームを使用します。基盤となるアラームは個別に発報しますが、複合アラームのみがSNSに通知します。
`ERROR uid=123`のようなログ行をCloudWatchメトリクスに変換してアラームを設定します。
CloudWatch Logsメトリクスフィルター — パターン`ERROR`でメトリクスをインクリメントします。その後、そのメトリクスにアラームを作成します。
理由: フィルターはログ取り込み時に評価されるため、別途パースパイプラインは不要です。
過去1時間以内に多数のログストリームで5xxエラーを引き起こしている上位10個のIPを検索します。
CloudWatch Logs Insightsクエリ: `fields @timestamp, @message | filter @message like /5\d\d/ | stats count() by clientIp | sort count desc | limit 10`。
ロググループの保持期間がデフォルトで「期限なし」になっており、費用が増加しています。
ロググループごとに保持期間(1日~10年)を設定します。`aws logs put-retention-policy`または新しいグループを自動修復するAWS Configルールを介して適用します。
50のアカウントからのログを1つの中央セキュリティアカウントに集約します。
各ソースロググループでサブスクリプションフィルターを設定し、中央アカウントのKinesis Data StreamsまたはFirehoseに送ります。メトリクスとトレースにはCloudWatchクロスアカウントオブザーバビリティを使用します。
低コストで長期的なログアーカイブを作成します。
ロググループをKinesis Firehose → S3にサブスクライブし、Glacierへのライフサイクル移行を設定します。または、スケジュールされた`CreateExportTask`を直接S3に実行します。
理由: Firehoseは継続的であり、ExportTaskはオンデマンドの一括エクスポートです。S3 + GlacierはCW Logsストレージよりも100倍安価です。
IAMアクセス権のないAWS以外の契約者と運用ダッシュボードを共有します。
CloudWatch Dashboard Sharing — パブリック共有リンク(Cognitoによる認証付き)または匿名(特定のダッシュボードにロック)を使用します。
EC2インスタンスが`stopped`状態になったときにLambdaをトリガーします。
イベントパターン`{"source":["aws.ec2"],"detail-type":["EC2 Instance State-change Notification"],"detail":{"state":["stopped"]}}`を持つEventBridgeルール → Lambdaターゲット。
AWSがRDSインスタンスの予定メンテナンスを発表したときに、自動的にチケットを作成します。
AWS Health → EventBridgeデフォルトバス → LambdaまたはSNS → チケットシステム。`source: aws.health`と影響を受けるリソースでフィルタリングします。
顧客が苦情を言う前に、公開ウェブサイトが404エラーを返すことを検出します。
CloudWatch Synthetics canary — 1分ごとにスクリプト化されたブラウザアクセスを実行し、失敗時にスクリーンショットを撮り、失敗した実行でアラームを発報します。
実際のユーザーからのブラウザ側ページロード時間とJavaScriptエラーを測定します。
CloudWatch RUM。ページ上のスニペットがパフォーマンスとエラーデータを送信します。バックエンド相関のためにX-Rayと組み合わせます。
すべてのインスタンスでCloudWatchを手動で確認することなく、EC2フリートを適切なサイズに調整します。
AWS Compute Optimizer — CWメトリクスとメモリデータ(エージェントを使用)を分析し、インスタンスタイプ変更を推奨します。EC2、ASG、EBS、Lambda、ECS Fargateに対応しています。
200のアカウント全体で「すべてのEBSボリュームで保存時の暗号化が有効になっているか」を確認します。
マルチアカウントマルチリージョン承認を持つAWS Configアグリゲーター。アグリゲーターダッシュボードと高度なクエリ (SQL)。
非準拠のリソースを自動修正します(例:暗号化されていないEBSボリューム → スナップショット+暗号化して再作成)。
AWS Configルール + SSM Automation Runbookを介した自動修復アクション。再試行回数とパラメータを指定します。
カスタムスクリプトを書くことなく、コスト削減の機会とセキュリティリスクを表面化します。
AWS Trusted Advisor。コスト / パフォーマンス / セキュリティ / 耐障害性 / サービス制限のチェック。完全なチェックセットにはビジネスまたはエンタープライズサポートが必要です。
今後のローンチのために、リージョンでEC2 vCPUクォータを引き上げる必要があります。
Service Quotasコンソール — クォータ増加をリクエストします。またはService Quotas APIを使用してスクリプト化します。一部のクォータは自動承認され、その他はサポートを経由します。
月次請求書が届く前に予期せぬコストスパイクをキャッチします。
AWS Cost Anomaly Detection — MLベース。サービス / リンクされたアカウント / コストカテゴリごとにモニターを設定します。SNSまたはEメールでアラートを送信します。
月次予算がしきい値を超えた場合、非本番EC2を自動停止します。
AWS Budgetsアクション — しきい値に達した際に、タグ付けされたインスタンスを停止するか、IAM経由でdeny-all SCPを適用するSSM Automationを実行します。
ASGがインスタンスを終了する前に、接続をドレインし、ログをフラッシュします。
`EC2_INSTANCE_TERMINATING`にライフサイクルフックを設定します。インスタンスは`Terminating:Wait`状態に入り、SSMドキュメントがドレインスクリプトを実行し、完了時に`CONTINUE`アクションを発行します。
平均CPUを約60%に保つように自動スケーリングします。
`ASGAverageCPUUtilization` = 60のターゲット追跡スケーリングポリシーを使用します。ASGは自動的にステップアラームを作成します。
理由: ステップスケーリングよりもシンプルです。対称的なメトリクスに最適です。ステップスケーリングは、スケールアップとスケールダウンの細かいルールに適しています。
トラフィックが毎日午前9時に急増し、リアクティブスケーリングが遅延します。
予測スケーリングを使用します。ASGはCWの履歴から48時間先の負荷を予測し、スパイクの前にプリスケーリングします。
インスタンスの起動に8分かかり、スケールアウトが遅すぎます。
ASGウォームプール — 事前に初期化された停止/休止状態のインスタンスを使用します。スケールアウト時、コールド起動の代わりに停止状態 → サービス中へ移行します。
コスト削減のためにほとんどSpotインスタンスでASGを実行しつつ、安定性のためにオンデマンドのベースラインを確保します。
混合インスタンスポリシー — 起動テンプレート + ベースキャパシティ(オンデマンド) + ベースを超える割合をSpotインスタンスで構成します。Spot多様化のために複数のインスタンスタイプを使用します。
起動設定から移行します。
起動テンプレートを使用します。AWSは新しいASGの起動設定を非推奨としており、LTのみが新しい機能(ウォームプール、混合インスタンス、IMDSv2強制、EBS gp3など)をサポートしています。
RDSデータベースが、最小限のダウンタイムでAZ障害を乗り切る必要があります。
マルチAZデプロイメント。別のAZに同期スタンバイを配置し、ホスト/ストレージ障害またはAZ障害によってフェイルオーバーがトリガーされます。エンドポイントは同じままです。
理由: マルチAZはHA用であり、リードスケールアウト用ではありません。リードスケールアウトにはリードレプリカを追加します。
クロスリージョン災害:リードレプリカをプライマリに昇格させます。
`PromoteReadReplica` APIまたはコンソールアクションを使用します。新しいレプリカはスタンドアロンの書き込み可能なインスタンスになり、アプリケーションのエンドポイントを更新します。
EFS、RDS、EBS、DynamoDB、FSxのバックアップを1つのスケジュールと保持ポリシーで一元管理します。
AWS Backup — ルール(頻度、保持、コールドストレージへのライフサイクル)、バックアップ選択(リソースARNまたはタグフィルター)を含むバックアッププランを作成します。
規制上の不変バックアップ要件(WORM)に準拠します。
コンプライアンスモードのAWS Backup Vault Lockを使用します。一度適用されると、ルートユーザーであっても保持期間が終了するまでバックアップを削除することはできません。
タグ付けされたすべてのEBSボリュームのデイリースナップショットを30日間保持します。
Amazon Data Lifecycle Manager (DLM) ポリシー — スケジュール + タグフィルター + 保持を設定します。コードもスケジュールされたLambdaも不要です。
アクティブ/パッシブDR:プライマリが障害を起こした場合、Route53はトラフィックをスタンバイリージョンに送信する必要があります。
Route 53フェイルオーバールーティングポリシーと、プライマリエンドポイントに対するヘルスチェックを使用します。ヘルスチェックの失敗時、DNSはスタンバイに解決されます。
デフォルトの30秒よりも早くエンドポイントの障害を検出します。
Route 53ヘルスチェックを高速インターバル(10秒)と3回失敗のしきい値で設定します。複数のヘルスチェックを計算済みチェックで組み合わせます。
デプロイ中にALBがターゲットを削除すると、長期間の接続が切断されます。
ターゲットグループの登録解除遅延(デフォルト300秒、必要に応じて増加)を設定します。新しいリクエストは直ちに停止し、遅延が終了するまで進行中の接続がドレインされます。
ターゲット登録解除中にALBが進行中のリクエストを待機する時間を設定します。
登録解除遅延と同じです。ターゲットグループごとに設定します。NLBには別個ですが並行したメカニズムがあります。
バースト負荷時にEFSのパフォーマンスが低下します。
Elastic Throughputモード(自動スケーリング)に切り替えます。または、予測可能なワークロードにはProvisioned Throughputを使用します。デフォルトのBurstingはクレジットベースであり、持続的な負荷では使い果たされます。
RPO/RTO予算に基づいてDR戦略を選択します。
バックアップ&リストア (RTO 数時間、RPO 数時間、最も安価)。パイロットライト (RTO 数分、RPO 数分)。ウォームスタンバイ (RTO 数分、RPO 数秒、スケールダウンされたスタンバイが稼働)。マルチサイトアクティブ/アクティブ (RTO 約0、RPO 約0、最も高価)。
コンプライアンスとDRのために、S3オブジェクトをセカンドリージョンにレプリケートします。
S3 Cross-Region Replication (CRR)。ソースと宛先のバケット、IAMロール、レプリケーションルールを設定します。15分SLAにはReplication Time Control (RTC) を使用します。
偶発的または悪意のある削除からオブジェクトを保護します。
バケットでバージョン管理 + MFA Deleteを有効にします。MFA Deleteは、バージョンを完全に削除したり、バージョン管理を無効にしたりするために、ルート認証情報とMFAコードを必要とします。
TCP/UDPアプリケーションが静的IPとリージョン間の高速フェイルオーバーを必要とします。
AWS Global Accelerator — AWSバックボーン経由で最も近い正常なリージョンエンドポイントにルーティングする2つのエニーキャストIP。30秒未満のフェイルオーバー。
理由: 非HTTPトラフィックの場合、Route 53フェイルオーバーよりも優れています。クライアントは同じIPを維持します。
誰かがコンソールでリソースを変更しました。CloudFormationテンプレートから何が逸脱したかを確認します。
スタックに対してCloudFormationドリフト検出を実行します。プロパティレベルの差分とともに、リソースごとのドリフトステータスを報告します。
テンプレートの変更を適用する前に、CloudFormationが何を修正するかを正確に確認します。
まず変更セットを作成し、提案された変更をレビューし、安全な場合にのみ実行します。変更セットはネストされたスタックとクロススタック参照をサポートします。
スタック内の重要なリソース(例:本番RDS)への偶発的な更新を防ぎます。
CloudFormationスタックポリシー — 特定の論理リソースIDに対する`Update:*`を許可または拒否するIAM形式のドキュメント。IAMとは別にスタックに適用されます。
組織内のすべてのアカウントに同じベースライン(例:CloudTrail、Config、GuardDuty)をデプロイします。
サービス管理のアクセス許可とターゲットOU内の新しいアカウントへの自動デプロイメントを備えたCloudFormation StackSetsを使用します。
EC2ユーザーデータから設定を実行し、CloudFormationに完了を通知します。
cfn-init(設定)、cfn-signal(CreationPolicyの通知)、cfn-hup(メタデータ変更の適用)。CreationPolicyにより、スタックは`CREATE_COMPLETE`とマークされる前にシグナルを待ちます。
デプロイ後にCloudWatchアラームが発報した場合、スタックを自動的にロールバックします。
CloudFormationロールバック設定 — CWアラームのリストと監視時間を指定します。ウィンドウ中にいずれかのアラームが発報した場合、スタックは自動的にロールバックされます。
タグによって500台のEC2インスタンスに一度限りのシェルコマンドをプッシュします。
`AWS-RunShellScript`ドキュメントとタグによるターゲット指定でSSM Run Commandを使用します。SSHは不要です。S3 / CloudWatch Logsにログを記録します。
すべてのインスタンスで構成(例:CloudWatchエージェントがインストールされていること)を継続的に適用します。
SSM State Managerアソシエーション — スケジュール + ドキュメント + ターゲット。SSMはスケジュールに従って希望の状態を適用し、コンプライアンスを報告します。
ロールバックの安全性確保付きで、OSパッチをスケジュールに基づいてフリートに適用します。
SSM Patch Manager — パッチベースライン(ルール:重大度、分類、承認遅延) + パッチグループ(タグ) + 実行用のメンテナンスウィンドウ。
踏み台ホストや開かれたインバウンドポートなしで、プライベートサブネットのインスタンスにSSH接続します。
SSM Session Manager — エージェント + IAMロールがSSM Messages APIを介してセッションを開きます。パブリックIPなし、SSHキーなし、完全なセッションロギング。
アプリが実行時にフェッチするためのDB接続文字列を保存します — チェックインされたシークレットなし。
SSM Parameter Store SecureString (KMS暗号化) またはSecrets Manager (ローテーション)。アプリはIAMロールで`GetParameter`を呼び出します。
理由: Parameter Storeは標準ティアで無料です。Secrets ManagerにはRDS/DocumentDB/Redshiftの組み込みローテーション機能があります。
コンプライアンス違反の検出結果を自動修復します(例:世界に公開されたセキュリティグループ → 制限する)。
SSM Automation Runbook(カスタムYAMLまたはAWS所有)。EventBridge / Config / 手動でトリガーされます。ステップ:分岐、並列、再試行、中止。
パッチ適用を日曜日の02:00~04:00の間のみ実行します。
SSM Maintenance Window — スケジュール (cron)、ターゲット、タスク。Run Command / Automation / Lambda / Step Functionsの呼び出しをラップします。
事前インストールされたエージェントを使用して、強化されたLinux/Windows AMIをスケジュールに基づいて構築します。
EC2 Image Builder — パイプライン(イメージレシピ + コンポーネント + インフラ設定 + 配布)。AMIsを複数のリージョン/アカウントに出力します。
完全なロールアウトの前に、EC2/ECS/Lambdaのごく一部に新しいアプリバージョンをデプロイします。
CodeDeployをカナリアまたはリニアデプロイ構成で使用します。Lambdaカナリア`Lambda10Percent5Minutes`はエイリアスの重みを通じてトラフィックをシフトします。
ALBの背後にあるASG上でブルー/グリーンデプロイを実行します。
CodeDeployブルー/グリーンデプロイメントグループ — 新しいASGをプロビジョニングし、ALBターゲットグループに登録し、ヘルスチェックを待ち、トラフィックを切り替え、古いものを終了します。
ツールアカウントのパイプラインが開発/ステージング/本番アカウントにデプロイします。
クロスアカウントCodePipeline — デプロイステージはターゲットアカウントからのクロスアカウントロールを使用します。ツールアカウントのKMSキーはターゲットと共有されます。
開発チームに完全なIAM権限を与えることなく、承認済みのインフラ(例:VPC、S3バケット)をセルフサービスで提供します。
AWS Service Catalog — 管理者が製品(CFNテンプレート)を公開し、ユーザーは基盤となるリソースではなく、製品ロールを起動するためのIAM権限を介して起動します。
組織全体で、すべてのリソースに`Environment`と`CostCenter`タグが必須であることを強制します。
AWS Organizationsタグポリシー。許可されたタグキーと値を定義し、非準拠のタグ付けはResource Groups Tag Editor + Configで表示されます。
OpsWorks Stacksからの移行(2024年5月EOL)。
OpsWorks StacksはEOLです。AWS Systems Manager + EC2上のネイティブChef/Puppetに移行するか、ECS/EKSに変換するか、SSM Automation + CFNで再構築します。
ネストされたスタックとクロススタック参照のどちらかを選択します。
ネストされたスタック:密接に結合されており、ライフサイクルが一緒に管理されます(単一の更新)。クロススタック`Export`/`ImportValue`:疎結合されており、独立したライフサイクルを持ち、エクスポートされた値はインポートされている間は不変です。
90日以上前のアクセスキーを持つIAMユーザーを特定します。
Credential Reportを生成します(`generate-credential-report` + `get-credential-report`)。各ユーザーの最終使用日とキーの経過日数を示すCSV。最小特権のレビューのためにAccess Analyzerと組み合わせます。
アカウント/組織の外部からアクセス可能なIAMロール、S3バケット、KMSキーを検索します。
IAM Access Analyzer — 信頼ゾーンスキャンが外部アクセスに関する検出結果を報告します。外部アクセスアナライザーは無料、未使用アクセスアナライザーは有料です。
過剰に許可されたIAMポリシーを削減します — プリンシパルが一度も使用しなかったサービスを削除します。
ロール/ユーザーごとのIAM最終アクセス情報。サービスレベルと(一部のサービスでは)アクションレベルの最終使用情報をリスト表示します。未使用のアクセス許可を削除します。
組織内のすべてのアカウントでのすべてのAPIコールを中央ストレージで監査します。
管理アカウントまたは委任管理者アカウントで組織トレイルを作成します。単一のS3バケットに保存され、現在および将来のすべてのメンバーアカウントをカバーし、メンバーによって無効にすることはできません。
機密性の高いバケットでのすべてのS3オブジェクトの読み取りを記録します。
S3のCloudTrailデータイベントを有効にします(バケットごとまたはすべて)。標準トレイルは管理イベントのみをキャプチャし、データイベントは別途課金されます。
侵害された認証情報、ポートスキャン、仮想通貨マイニング、異常なAPIアクティビティを検出します。
すべてのリージョンでGuardDutyを有効にします。セキュリティアカウントの委任管理者が組織全体の検出結果を集約します。高重大度のアラートにはEventBridgeルール → SNSを使用します。
EC2 AMIおよびECRイメージの継続的なCVEスキャン。
Amazon Inspector v2。EC2 + ECR + Lambdaを自動検出。結果はSecurity Hubに表示されます。重大度スコア付きのCVE。
GuardDuty、Inspector、Macie、IAM Access Analyzer、サードパーティツールからの検出結果を単一のダッシュボードで確認します。
AWS Security Hub。標準(CIS AWS Foundations、AWS Foundational Security Best Practices、PCI DSS)。クロスリージョン集約と委任管理者。
S3内のPII / クレジットカードデータを検出および分類します。
Amazon Macie。バケットに対する自動検出ジョブ。マネージドデータ識別子 + カスタム正規表現。検出結果はSecurity Hub / EventBridgeに送信されます。
データを再暗号化せずにKMS暗号化キーをローテーションします。
カスタマーマネージドCMKで自動キーローテーション(年間)を有効にします。KMSは既存の暗号文を復号するために古いキーマテリアルを保持し、新しい暗号化には最新のマテリアルを使用します。
RDSマスターパスワードを30日ごとに自動ローテーションします。
RDSエンジン用のAWS提供のLambdaを使用したSecrets Managerローテーション。シングルユーザーまたは交互ユーザーのローテーション戦略。
組織全体にCISベンチマークを適用します。
AWS Config Conformance Pack — Configルールと修復アクションのバンドル。アグリゲーターを介してすべてのConfigアカウントにデプロイし、管理アカウントを介して組織レベルでデプロイします。
EC2インスタンスメタデータを読み取るSSRF攻撃をブロックします。
すべてのインスタンスでIMDSv2 (`HttpTokens=required`) を必須にします。トークンベースであり、認証されていないSSRFによるインスタンスロール認証情報の読み取りをブロックします。
アカウント全体で、いかなるS3バケットも公開読み取り不可能であることを永久に保証します。
アカウントレベルでS3 Block Public Accessを有効にします。これはバケットごとのポリシーを上書きします。HTTPS専用にするために`aws:SecureTransport` SCPと組み合わせます。
SOC 2 / HIPAA / PCI監査のための証拠収集を自動化します。
AWS Audit Manager — フレームワークはコントロールを証拠ソース(Config、CloudTrail、Security Hub)にマッピングします。証拠を自動的に収集し、査定者向けのレポートにまとめます。
サブネット間の疑わしい横移動トラフィックを調査します。
VPCフローログをCloudWatch Logs / S3 / Firehoseに送信します。`pkt-srcaddr` + `pkt-dstaddr`を含むカスタム形式は、実際のパケットの送信元/送信先(ENIの送信元/送信先ではなく)を公開します。
テラバイト規模のVPCフローログを安価にクエリします。
フローログをParquet形式でS3にストリームし、年/月/日でパーティション化されたAthenaでクエリします。アーカイブ分析の場合、CW Logs Insightsよりも安価です。
ECSタスクがRDSに到達できない理由(SG、NACL、ルートテーブル、NATのいずれか)を特定します。
VPC Reachability Analyzer — ソースENI → 宛先ENI。到達可能/ブロックされた状態と、どのコンポーネントがブロックしているか(例:インバウンドSGルール)を報告します。
組織全体で、インターネットからデータベースサブネットへのすべてのパスを検索します。
Network Access AnalyzerとNetwork Access Scope(例:`Source: internet, Destination: db-subnet-tag`)を使用します。レビューのために一致するネットワークパスを返します。
プライベートサブネット内のEC2が、NATエグレス費用なしでS3 / DynamoDBに到達する必要があります。
S3 / DynamoDB用のゲートウェイVPCエンドポイント。無料。ルートテーブルプレフィックスリストを使用します。NATバイトを回避します。
VPCから他のほとんどのAWSサービス(KMS、SSM、ECRなど)へのプライベート接続。
インターフェースVPCエンドポイント (PowerLink)。サブネット内のENIを使用し、AZごと+GBごとに課金されます。エンドポイントポリシーを使用して特定のAWSリソースに制限します。
NAT Gatewayのデータ処理料金が請求の大部分を占めています。
S3/DynamoDBトラフィックをゲートウェイエンドポイント(無料)に移行します。他のAWSサービストラフィックをインターフェースエンドポイントに移行します。VPC間の場合、NAT経由でのルーティングの代わりにTransit Gateway / VPCピアリングを使用します。
40個のVPCがN×Nピアリングなしで任意対任意接続を必要とします。
Transit Gatewayをハブとして使用します。VPCはTGWにアタッチされ、ルートテーブルがどのVPCが通信できるかを制御します。O(N²)のピアリング接続の代わりに、単一のマネージドハブ。
オンプレミスのDNSが`internal.company.com`をプライベートVPCリソースに解決し、その逆も解決する必要があります。
Route 53 Resolverインバウンド+アウトバウンドエンドポイントと転送ルール。インバウンド = オンプレミスがAWSにクエリ。アウトバウンド = AWSがオンプレミスにクエリ。
VPCからどのDNS名が解決されているかを監査します。
Route 53 ResolverクエリログをCloudWatch Logs / S3 / Firehoseに送信します。VPCごとのロギング設定。
CloudFrontオリジンが5xxを返し、セカンダリオリジンへの自動フェイルオーバーが必要です。
プライマリとセカンダリオリジン、およびフェイルオーバー条件(ステータスコード500/502/503/504/404)を持つオリジングループ。キャッシュ動作がグループを指します。
主に静的なコンテンツのキャッシュヒット率を最大化します。
オリジン応答に`Cache-Control: max-age=...`を設定し、CloudFrontが必要なキャッシュキーのみを転送するように設定します(すべてのヘッダー/Cookie/クエリ文字列を転送するとキャッシュ効率が低下するため避けます)。
S3の前にCloudFrontを配置し、直接S3アクセスをブロックします。
Origin Access Control (OAC)。従来のOrigin Access Identity (OAI) を置き換え、SigV4、KMS暗号化バケット、すべてのリージョンをサポートします。バケットポリシーは非OACプリンシパルを拒否します。
ALB上でSQLインジェクションをブロックし、攻撃的なクライアントのレート制限を行います。
AWS WAFv2 Web ACL: AWSマネージドルールグループ`AWSManagedRulesSQLiRuleSet` + レートベースのルール(例:IPアドレスあたり5分間に2000リクエスト)。ALB / API Gateway / CloudFront / AppSyncに関連付けます。
費用保護保証付きで、持続的なレイヤー7 DDoSを軽減します。
AWS Shield Advanced — プロアクティブなエンゲージメント、アプリケーション層DDoS検出、24時間年中無休のSRTアクセス、攻撃中のスケーリングスパイクに対する費用償還。Route 53 / CloudFront / ALB / EIP / Global Acceleratorで有効化します。
すべての組織アカウントでWAF / Shield / SG / Network Firewallポリシーを一元管理します。
AWS Firewall Manager(委任管理者)。ポリシーはスコープ内のアカウント/リソースに自動的に適用され、非準拠を報告します。
Direct Connectの障害によりハイブリッド接続が停止します。
インターネット経由のSite-to-Site VPNをバックアップとして使用します。BGPはDXを優先(低いMED / 短いAS-PATH)し、自動的にVPNにフェイルオーバーします。
