各サービスを「概要 → 主な特徴・仕組み → 試験の要点」で詳しく。用語にカーソルを合わせると意味が出ます。
AWS上に仮想サーバー(インスタンス)を立て、OS・ミドルウェア・アプリまで完全に制御できる最も基本的なコンピュート。数分で起動でき、停止・終了すれば課金も止まる。Auto ScalingやELBと組み合わせて高可用なWeb基盤を作るのが定番。
CPU使用率やリクエスト数などに応じてEC2インスタンスの台数を自動で増減し、コストと可用性・性能を両立させる。希望/最小/最大台数を定義し、ALBやヘルスチェックと連携して不健全なインスタンスを置き換える。
サーバーを管理せずにコードを実行できるサーバーレスの中核。S3アップロードやAPI Gatewayへのリクエスト、EventBridgeのスケジュールなどイベントをトリガーに起動し、実行時間とリクエスト数だけ課金される。
Dockerコンテナの実行・配置・スケーリングを担うAWS独自のオーケストレーション。AWSサービスとの統合が深く、シンプルにコンテナを動かしたい場合の第一選択。
Kubernetesのコントロールプレーンをマネージドで提供。kubectl/Helmなど既存のK8sエコシステムをそのまま使え、マルチクラウドやオンプレK8sからの移植性を重視する場合に向く。
ECS/EKSのコンテナを、土台のEC2を意識せずに実行できるサーバーレスエンジン。ホストのパッチ適用・スケーリング・キャパシティ管理が不要になる代わりに、EC2起動タイプよりコストは高め。
アプリのコードを渡すだけで、裏でEC2・ELB・Auto Scaling・RDS等を自動構成してデプロイ・運用してくれるPaaS。開発者はインフラ設計をせずにWebアプリを公開できる。
小規模サイトやアプリを月額固定で手軽に立ち上げられるシンプルなVPS。コンピュート・ストレージ・転送量込みの定額で、WordPress等のブループリントが用意されている。
大量のバッチコンピューティングジョブを、ジョブキューとコンピュート環境で効率よく実行するマネージドサービス。ジョブ量に応じて最適なリソース(EC2/Fargate/スポット)を自動で割り当てる。
AWSのインフラ(サーバー/ストレージ)を物理的にオンプレミスへ設置し、手元でAWS APIをそのまま使えるフルマネージドのハイブリッドソリューション。超低レイテンシーやデータ所在地(データレジデンシー)要件に対応。
HTTP経由でアクセスするオブジェクトストレージ。容量無制限・1オブジェクト最大5TB・イレブンナイン(99.999999999%)の耐久性。静的サイト、バックアップ、データレイク、ログ基盤など用途は無限。
S3からオブジェクトを取得(GET)する際に、Lambda関数を経由してデータをその場で変換して返す仕組み。元オブジェクトは1つのまま保ち、呼び出し元やユースケースごとに異なる加工結果を返せるため、加工版の重複保存が不要になる。
めったに使わないデータを極めて低コストで長期保管するアーカイブ専用クラス。取り出しに時間がかかる代わりに保存料が激安で、コンプライアンス由来の長期保持に最適。
| ティア | 取り出し時間 | アクセス頻度の目安 |
|---|---|---|
| Instant Retrieval | ミリ秒 | 四半期に1回程度 |
| Flexible Retrieval | 数分(迅速)〜数時間(標準)〜12時間(大容量) | 年1〜2回 |
| Deep Archive | 標準12時間・大容量48時間 | 年1回以下・最安 |
EC2にアタッチするブロックストレージ(仮想ディスク)。OSやDBのデータ領域に使い、スナップショットでS3に増分バックアップできる。単一AZに紐づく点が重要。
複数のEC2から同時マウントできるマネージドNFSファイルシステム。容量は自動で伸縮し、複数AZにまたがって高可用。共有コンテンツやホームディレクトリ等に使う。
特定プロトコル・用途に最適化されたフルマネージドファイルストレージ。4種類あり、どれを選ぶかが問われる。
オンプレのアプリからAWSストレージ(S3/EBS/Glacier)へシームレスにアクセスするハイブリッド接続。ローカルキャッシュで低レイテンシーを保ちつつ、実体はクラウドに置く。
ネットワーク転送では時間がかかりすぎる大量データを、物理デバイスで運搬してAWSへ移行するサービス群。一部はエッジでの簡易処理にも対応。
EC2/EBS/RDS/Aurora/DynamoDB/EFS/FSx/Storage Gateway等のバックアップを、1つのポリシーで集中管理するサービス。スケジュール・保持期間・コピーをルール化する。
オンプレのNFS/SMBサーバーやオブジェクトストアから、S3/EFS/FSxへ高速かつ自動でデータをコピー・同期するサービス。一括移行にも定期同期にも使える。
SFTP/FTPS/FTP/AS2でのファイル転送を、サーバーを立てずにS3/EFSへ直結させるフルマネージドサービス。既存の取引先のやり方を変えずにクラウドへ移行できる。
オンプレや他クラウドのサーバーをブロックレベルで継続レプリケートし、災害時に数分でEC2として起動する低コストDR(旧CloudEndure DR)。平常時は安価な待機状態で保つ。
オンプレや他クラウドのサーバーを、中身ほぼそのまま(リホスト=リフト&シフト)AWSのEC2へ移行する主力サービス(旧CloudEndure Migration)。最も手間の少ない移行方式。
複数の移行ツール(MGN/DMS等)を使った移行プロジェクトの進捗を、1か所のダッシュボードで横断的に追跡・可視化するサービス。大規模移行の司令塔。
AWSへの移行を計画するために、オンプレミスのサーバー構成・パフォーマンス・サーバー間の依存関係を自動収集するサービス。何をどの順で・どれと一緒に移行するかを根拠を持って決められる。
物理/仮想/EC2/オンプレで稼働中のJava・.NETアプリケーションを、コード変更なしでコンテナ化するCLIツール。コンテナイメージとECS/EKS等へのデプロイ成果物を自動生成し、コンテナ化によるモダナイズ(リプラットフォーム)を加速する。
オンプレミス環境を分析し、AWSへ移行した場合のコスト(TCO)と削減効果を試算して、移行の意思決定に使うビジネスケース(投資対効果)を作成するサービス。旧TSO Logic。移行そのものではなく「移行すべきか・いくら得か」の判断を支援する。
MySQL/PostgreSQL/MariaDB/Oracle/SQL Serverに対応したマネージドRDB。パッチ適用・バックアップ・レプリケーションをAWSが管理し、運用負荷を大きく下げる。
| Multi-AZ | リードレプリカ | |
|---|---|---|
| 目的 | 可用性(自動フェイルオーバー) | 性能(読み取り分散) |
| 複製 | 同期 | 非同期 |
RDS/Auroraへのデータベース接続をプールして共有するフルマネージドなプロキシ。大量かつ短命な接続(特にLambda)によるDBの接続枯渇やオーバーヘッドを防ぎ、フェイルオーバーも高速化する。
MySQL/PostgreSQL互換のままスループット・可用性・自動拡張を底上げしたAWS独自開発のRDB。ストレージは自動で3AZに6コピー、最大128TBまで自動拡張。
Auroraクラスターを複数リージョンにまたがって構成し、プライマリリージョンからセカンダリへストレージレベルで高速レプリケーションする機能。地域規模の災害への備え(DR)と、各リージョンでの低遅延な読み取りを同時に実現する。
キーを指定すると1桁ミリ秒で値が返る、容量無制限のフルマネージドNoSQL(キーバリュー/ドキュメント)。サーバーレスでキャパシティ管理も不要。
Redis/Memcachedのフルマネージドなインメモリキャッシュ。DBの読み取り負荷軽減、セッション管理、リアルタイムランキングなどに使う。
ペタバイト級のデータウェアハウス。列指向ストレージでSQL分析クエリ(OLAP)が高速。BIダッシュボードや定常的な集計レポートの基盤。
ノード間の関係性を効率的に格納・探索するフルマネージドのグラフDB。ソーシャルグラフ、推薦、ナレッジグラフ、不正検出に向く。
MongoDB互換のフルマネージドなドキュメント(JSON)DB。柔軟なスキーマのデータを格納でき、MongoDBからの移行先として使う。
すべての変更履歴がイミュータブル(変更不可)に記録され、暗号的に検証できる台帳(Ledger)DB。監査やコンプライアンス用途に向く。
Apache Cassandra互換のフルマネージドDB。既存のCassandraアプリをコード変更なしで移行でき、サーバーレスで容量自動拡張。
データベースをほぼ無停止でAWSへ移行するマネージドサービス。同種(Oracle→Oracle)も異種(Oracle→Aurora)も対応し、移行元を稼働させたまま継続レプリケートする。
AWS内に論理的に分離された仮想ネットワークを構築する、全リソースの土台。サブネット分割・ルーティング・アクセス制御を自分で設計する。
VPC内からAWSサービスへ、インターネットを経由せずプライベートに接続する仕組み。セキュリティとパフォーマンスの両方が向上する。
VPCをインターネットに接続する出入口。パブリックサブネットのリソースが双方向(インバウンド/アウトバウンド)で外部と通信できるようにする。
プライベートサブネットのリソースが、インターネットへ外向き(アウトバウンド)通信だけできるようにするマネージドサービス。外部からの接続開始は受け付けない。
受信トラフィックを複数のターゲット(EC2/コンテナ/Lambda/IP)へ自動分散し、高可用性とスケーラビリティを支える。ヘルスチェックで異常を除外する。
世界中のエッジロケーションからコンテンツを配信するCDN。静的/動的の高速化、DDoS保護(Shield統合)、S3オリジンの保護(OAC)を提供する。
高可用なマネージドDNS。ドメイン登録・DNSルーティング・ヘルスチェックを提供し、DR構成のフェイルオーバーに不可欠。
VPCとオンプレミス間でDNSの名前解決を相互に行うためのハイブリッドDNS。VPC内に標準で存在するリゾルバー(サブネットの.2)を拡張し、エンドポイントを介してオンプレとAWSの双方向で名前解決できるようにする。
REST/HTTP/WebSocket APIを作成・公開・管理するフルマネージドサービス。Lambdaと組み合わせてサーバーレスAPIを構築する定番。
オンプレとAWSを専用線で接続し、インターネットを経由しない一貫した帯域と低レイテンシーを実現する。開通に数週間〜数ヶ月かかる。
インターネット経由で暗号化トンネルを張り、オンプレやリモートユーザーとVPCを安全に接続する。Direct Connectより安価で即座に使える。
多数のVPCとオンプレをハブ&スポーク型で中央接続する。VPCピアリングの1対1では管理しきれない大規模ネットワークを一元化する。
自社サービス(NLBの裏)を、他のVPCやアカウントへインターネットを経由せずプライベートに公開する。ピアリングと違い一方向・特定サービスのみ。
ユーザーのトラフィックを最寄りエッジからAWSのバックボーンに乗せ、最適なリージョンへ最短経路で届ける。固定Anycast IPを2つ付与する。
「誰が・何に・何をできるか」を制御する認証認可サービス。ユーザー/グループ/ロール/ポリシーで全AWSのアクセスを管理する全セキュリティの土台。
複数のポリシーが重なった時に「結局できるか」を決める判定順序。明示的拒否が最優先という原則が肝。SCPは組織全体の権限上限を定める。
有効期限付きの一時的なセキュリティ認証情報を発行するサービス。長期アクセスキーより安全で、クロスアカウントやフェデレーションの基盤になる。
オンプレミスのサーバー・他クラウド・コンテナなどAWSの外で動くワークロードに、X.509証明書を使ってIAMロールの一時認証情報を取得させるサービス。従来はIAMユーザーの長期アクセスキーを配って実現していたハイブリッドのアクセスを、キーレスで安全にする。
暗号化キーの作成・管理・ローテーションを行い、S3/EBS/RDS等のAWSサービスと統合してデータ暗号化を一元化する。誰がキーを使ったかをCloudTrailで追跡できる。
DBパスワードやAPIキー等の秘密情報を安全に保管し、定期的に自動ローテーションするサービス。RDS/Aurora/Redshiftとネイティブ統合する。
SSL/TLS証明書を無料で発行し、期限前に自動更新するサービス。ALB/NLB/CloudFront/API Gatewayにワンクリックで統合できる。
L7でリクエストをフィルタするWebアプリケーションファイアウォール。SQLインジェクション・XSS・IPブロック・レート制限などのルールを定義する。
DDoS攻撃からリソースを保護する。StandardはL3/L4を無料・自動で、Advancedは高度な保護と24時間の専門チーム(DRT)を提供する。
VPC Flow Logs/CloudTrail/DNS Logsを機械学習で分析し、不正アクセスや異常行動を自動検出する。有効化するだけで設定不要。
EC2/コンテナイメージ/Lambdaのソフトウェア脆弱性(CVE)とネットワーク到達可能性を自動スキャンし、深刻度付きでレポートする。
S3内の個人情報(PII)やクレジットカード番号などの機密データを機械学習で自動検出・分類する。データプライバシー対応に使う。
複数のAWSアカウントや業務アプリへのシングルサインオンを提供する(旧AWS SSO)。Organizations配下に一元的なアクセス管理を実現する。
Web/モバイルアプリにユーザー登録・ログイン・MFAを追加し、さらにAWSリソースへの一時アクセス権も付与できる。
WindowsのActive DirectoryをAWS上で提供する。ドメイン参加・SSO・グループポリシー管理を実現し、オンプレADとの連携も可能。
Network FirewallはVPC全体を守るマネージドFW(IDS/IPS)、Firewall Managerは複数アカウントのセキュリティルールを一括管理する。
GuardDuty等が検出したセキュリティ問題の根本原因を、ログを自動でグラフ化して関連を可視化し調査するサービス。
GuardDuty・Inspector・Macie・Firewall Manager等の検出結果や、各種セキュリティ基準への準拠チェックを1か所に集約し、重要度順に一元管理するサービス。組織全体のセキュリティ体制を可視化し、対応漏れを防ぐ。
AWSリソースのメトリクス監視、ログ収集・分析、アラーム通知を行う統合モニタリング。閾値超えでSNS通知やAuto Scaling、Lambdaを自動起動する。
すべてのAWS API操作(コンソール含む)を記録する監査証跡。「誰が・いつ・何を・どこから」を追跡し、セキュリティ監査に必須。
リソースの設定変更を継続的に記録し、ルールベースで準拠性を自動評価する。非準拠リソースの自動修復も可能。
マイクロサービスやサーバーレスで、1つのリクエストが各サービスをどう流れ、どこで遅延・エラーが起きたかを可視化する分散トレーシング。
EC2やオンプレサーバーの運用を一元化するサービス群。SSHなしのリモートアクセス、パッチ適用、設定値管理などを提供する。
アカウントをベストプラクティスに照らして自動点検し、コスト・性能・セキュリティ・耐障害性・サービス上限の改善点を提案する。
複数アカウントをOU(組織単位)でまとめ、SCPで統制し、一括請求でボリュームディスカウントを得る。
Organizationsの上に立ち、ベストプラクティスに沿ったマルチアカウント環境を自動構築・統制する。
管理者が承認したIT製品(主にCloudFormationテンプレート)をカタログ化し、利用者がガバナンスを守ったままセルフサービスでプロビジョニングできるようにするサービス。標準化された構成だけを展開させ、シャドーIT・設定のばらつきを防ぐ。
AWS側の障害情報や、自分のアカウントに影響するイベント(メンテ予定・障害)を通知するダッシュボード。
システム間に待ち行列(キュー)を挟んで送信側と受信側を切り離し、非同期処理を実現する。処理速度の差を吸収し、スパイクを平準化する。
1つのメッセージを購読する全サブスクライバー(SQS/Lambda/HTTP/Email/SMS)へ一斉配信するPub/Sub型メッセージング。1対多の通知に使う。
AWSサービス/SaaS/カスタムアプリのイベントをルールで振り分けるサーバーレスイベントバス(CloudWatch Eventsの後継)。
複数のLambda等をステートマシン(状態遷移図)でワークフロー化する。条件分岐・並列・リトライ・エラー処理を宣言的に定義する。
ログ・IoT・クリックストリームなどのリアルタイムデータを収集し、カスタムアプリで低遅延に処理するサービス。かつての“Kinesisファミリー”のうち、取り込みを担うコアが Kinesis Data Streams で名称は変わっていない。配信・分析は別サービスに独立・改名した(下記)。
流れ続けるストリーミングデータに対し、SQLまたはApache Flinkで集計・変換・異常検知をリアルタイムに実行するフルマネージドサービス。データを溜めてからの後追い分析ではなく、到着したそばから処理する。
ストリーミングデータを、コードを書かずにS3/Redshift/OpenSearch等へニアリアルタイムで自動配信するフルマネージドサービス。シャード管理不要で「とにかくデータレイク等へ流し込む」用途の定番。
Salesforce・SAP・Slack・Google Analytics・Zendesk等のSaaSと、S3/Redshift等のAWSサービスの間で、データをノーコードで安全に双方向転送するフルマネージドな統合サービス。
Apache Kafkaをフルマネージドで提供するサービス。Kafkaブローカーやメタデータ管理(Zookeeper/KRaft)の構築・パッチ・スケール・監視をAWSが担い、既存のKafkaアプリ・ツールをそのまま使える。
ActiveMQ/RabbitMQ互換のマネージドブローカー。既存のJMS/AMQP/MQTT等を使うアプリをコード変更なしでクラウド移行できる。
複数のデータソースを1つのGraphQLエンドポイントで統合し、リアルタイムのデータ同期やモバイルのオフライン同期も提供する。
S3のデータをサーバーレスで直接SQLクエリできるインタラクティブ分析。スキャンしたデータ量だけ課金され、インフラ管理は不要。
データをダッシュボードやグラフで可視化・共有するサーバーレスBI。SPICE(インメモリエンジン)で高速表示する。
Hadoop/Spark/Hive/Presto等のビッグデータフレームワークをマネージドで実行する。大規模な分散ETL・機械学習に使う。
データの抽出・変換・ロード(ETL)とメタデータ管理をサーバーレスで行う。バラバラなデータを分析できる形に整える。
S3ベースのデータレイクの構築と、列レベル/行レベルのきめ細かいアクセス制御を一元管理する。
全文検索とログのリアルタイム分析・可視化を行うマネージドサービス(旧Elasticsearch Service)。
AWSリソースをJSON/YAMLテンプレートで自動プロビジョニングするIaC。環境の再現性・バージョン管理・自動ロールバックを実現する。
「ソース→ビルド→テスト→デプロイ」の一連のリリース作業を自動化するCI/CDの司令塔。
ソースのコンパイル・テスト・パッケージ化を行うフルマネージドビルドサービス。ビルドサーバーの管理不要で使った分だけ課金。
EC2/Lambda/ECSへのアプリデプロイを自動化する。ダウンタイムゼロのBlue/Greenデプロイもサポート。
Dockerコンテナイメージを保存・管理するフルマネージドレジストリ。ECS/EKSと統合してプル/プッシュする。
過去・現在のコストをグラフで分析し将来を予測する。サービス別・タグ別など多次元で掘り下げできる。
コストや使用量に予算を設定し、超えそうになったら通知する。自動でリソース停止などのアクションも可能。
EC2/EBS/Lambda/ECS Fargateの使用状況をMLで分析し、最適なリソースサイズを推奨する。
1時間あたりの使用量を1〜3年コミットして最大72%割引を受ける料金プラン。RIより柔軟で、EC2/Lambda/Fargateを横断適用できる。
EC2/RDS/ElastiCache/Redshift等を1〜3年予約して割引を受ける購入オプション。安定稼働のワークロード向け。