各サービスを「たとえ話 + 具体例 + 似たサービスとの違い + 試験での出方」で理解する。検索して、開いて読むだけ。
AWSの中に自分専用のパソコン(サーバー)を1台借りるサービス。OSもアプリも自由に入れられる、いちばん基本のサービス。
| 買い方 | 特徴 | 向いている用途 |
|---|---|---|
| オンデマンド | 使った分だけ。一番割高 | 短期・読めない負荷 |
| リザーブド(RI) | 1〜3年予約で最大75%引き | 24時間ずっと動かす本番 |
| Savings Plans | RIより柔軟に割引 | 安定利用+構成変更したい |
| スポット | 最大90%引き。ただし途中で止められる | 中断OKなバッチ処理 |
| Dedicated Host | 物理サーバーを丸ごと占有 | ライセンスの縛りがある時 |
アクセスが増えたらEC2を自動で増やし、減ったら自動で減らす仕組み。お金とパフォーマンスの両方をムダなく保つ。
ふつう ALB(ロードバランサー)+ Auto Scaling をセットで使い、増えたサーバーに自動で振り分ける。
サーバーを一切用意せず、コードだけ置いておくと、何かが起きた瞬間だけ動いてくれるサービス。動いた時間だけ課金。
Dockerコンテナ(アプリを箱詰めしたもの)を、AWS上で動かす・並べる・増減させるための管理役。
業界標準のコンテナ管理ツール「Kubernetes」を、AWSが面倒な部分を肩代わりして提供してくれるサービス。
ECSやEKSのコンテナを、土台のサーバーを一切意識せずに動かせる実行エンジン。パッチもスケールも全自動。
アプリのコードを渡すだけで、裏でEC2・ロードバランサー・Auto Scalingなどを自動で組み立てて公開してくれるサービス(PaaS)。
小さなサイトやアプリを、月額固定でサクッと立てられるシンプル版サーバー。EC2より設定が圧倒的に少ない。
大量の「まとめて処理する系の仕事(バッチ)」を、キューに溜めて順番に・効率よく実行してくれるサービス。
AWSのサーバー機器を物理的に自社のデータセンターに置くサービス。手元でAWSのAPIがそのまま使える。
容量無制限で、写真・動画・バックアップ・ログなどあらゆるファイルをネット越しに置ける倉庫。AWSで最も使われる基盤サービス。
他にも:バージョニング(履歴保存)/ライフサイクル(自動で安い棚へ移動)/CRR(別リージョンへ複製)/暗号化(SSE-S3 / SSE-KMS / SSE-C)。
S3からファイルを取り出す瞬間にLambdaを挟んで、中身をその場で加工して返す仕組み。元のファイルは1つのまま、相手に応じて違う見せ方ができる。
めったに使わないデータをとにかく安く長期保管する専用ストレージ。取り出しに時間がかかる代わりに激安。
| ティア | 取り出し | アクセス頻度の目安 |
|---|---|---|
| Instant Retrieval | ミリ秒 | 四半期に1回くらい |
| Flexible Retrieval | 数分〜12時間 | 年1〜2回 |
| Deep Archive | 12時間 | 年1回以下・最安 |
EC2にくっつけて使う外付けハードディスク(仮想ディスク)。OSやデータベースのデータを保存する。
複数のEC2から同時にアクセスできる共有ファイル置き場。容量は自動で伸び縮みし、複数AZにまたがって壊れにくい。
「特定のOSや用途に合わせた専用ファイルサーバー」をマネージドで提供。4種類あり、どれを選ぶかが問われる。
オンプレのアプリから、AWSのストレージ(S3/EBS/Glacier)を“すぐ近くにあるように”使える橋渡し装置。手元にキャッシュを置くので速い。
ネット転送だと何週間もかかる大量データを、物理デバイスに入れて宅配便で運んでAWSに移すサービス。
EC2・EBS・RDS・DynamoDB・EFS などバラバラなサービスのバックアップを、1か所のルールでまとめて管理するサービス。
オンプレのファイルサーバーからS3/EFS/FSxへ、高速かつ自動でデータをコピー・同期するサービス。移行や定期バックアップに使う。
昔ながらのSFTP/FTPSでのファイルやり取りを、サーバーを立てずにS3/EFSへ直結させるサービス。既存の取引先のやり方を変えずに済む。
オンプレや他クラウドのサーバーを丸ごとAWSに常時コピーしておき、災害時に数分でEC2として起動する低コストDRサービス(旧CloudEndure / 略称DRS)。
オンプレや他クラウドのサーバーを、中身ほぼそのまま(リホスト=リフト&シフト)AWSのEC2へ移行する主力サービス(旧CloudEndure Migration、略称MGN)。
いろいろな移行ツール(MGN/DMS等)を使った移行プロジェクトの進み具合を、1か所のダッシュボードでまとめて追跡・可視化するサービス。
移行を始める前に、オンプレのサーバー構成・使用状況・サーバー同士のつながり(依存関係)を自動で調べて、移行計画を立てやすくするサービス。
今動いているJava/.NETのアプリを、コードを書き換えずにコンテナ化して、ECS/EKSで動かせる形(イメージ+デプロイ定義)に自動変換してくれるCLIツール。
今のオンプレ環境を調べて、AWSに移行したらどれくらい安くなるか(投資対効果)を試算し、移行のビジネスケースを作るサービス(旧TSO Logic)。
MySQLやPostgreSQLなど定番のリレーショナルDBを、面倒な管理(バックアップ・パッチ・冗長化)はAWS任せで使えるサービス。
| Multi-AZ | リードレプリカ | |
|---|---|---|
| 目的 | 可用性(壊れたら自動切替) | 性能(読み取りを分散) |
| 複製方式 | 同期 | 非同期 |
| 使う場面 | 障害時のフェイルオーバー | 読み取りが多くて重い |
自動バックアップ最大35日+手動スナップショットは無期限。
RDS/Auroraへの接続を使い回して共有する仲介役。特にLambdaのように短い接続が大量に来る場面で、DBの接続数が枯渇するのを防ぐ。
RDSの強化版。MySQL/PostgreSQL互換のまま性能・可用性・自動拡張を大幅に底上げしたAWS独自開発のDB。
Auroraを複数リージョンにまたがって展開し、メインのリージョンから他リージョンへ1秒未満でデータをコピーする機能。地域災害への備え(DR)と、世界各地での速い読み取りを両立する。
キーを指定すると1桁ミリ秒で値が返る、容量無制限のNoSQL。サーバー管理もキャパシティの心配も不要。
Redis/Memcachedを使った超高速メモリ上のキャッシュ。DBへのアクセスを肩代わりして読み取り負荷を減らす。
大量データに対する分析・集計クエリを高速で回すためのデータウェアハウス。BIダッシュボードや定常レポートの土台。
「AさんとBさんは友達」「この商品とあの商品は一緒に買われる」といった“つながり・関係性”を高速にたどる専用DB。
MongoDB互換で、JSONのような柔軟なドキュメントを保存・検索できるマネージドDB。MongoDBの移行先。
正式名 Quantum Ledger Database=「台帳(帳簿)」のDB。過去の記録が書き換えられていないことを暗号的に証明できるのが最大の特徴。
Apache Cassandra互換のマネージドDB。既存のCassandraアプリをコード変更なしで移せる。
データベースをほぼ止めずにAWSへ引っ越しさせるサービス。同じ種類同士でも、別エンジンへの引っ越しでも対応。
AWSの中に作る自分専用の区切られたネットワーク。サブネットの分割やアクセス制御を自分で設計する、全リソースの土台。
| セキュリティグループ(SG) | NACL | |
|---|---|---|
| 適用範囲 | インスタンス単位 | サブネット単位 |
| 性質 | ステートフル(戻りは自動許可) | ステートレス(in/out両方要設定) |
| ルール | 許可のみ | 許可+拒否、番号順に評価 |
NAT Gateway=プライベートサブネットから外向き通信だけ通す出口。
VPCの中からS3やDynamoDBなどのAWSサービスへ、インターネットを通らずに直接つなぐ仕組み。安全で速い。
VPCをインターネットにつなぐ出入口。パブリックサブネットのリソースが、外と双方向(行きも帰りも)で通信できるようになる。
プライベートサブネットのリソースが、インターネットへ外向き(アウトバウンド)通信だけできるようにする出口。外からの接続開始は受け付けない。
受け取ったアクセスを複数のサーバーに自動で振り分ける係。1台に集中させず、高可用性とスケールを支える。
コンテンツを世界中の拠点(エッジ)にキャッシュして、ユーザーの近くから配信するCDN。表示を速くし、攻撃からも守る。
ドメイン名(example.com)をIPに変換するDNS。さらに「どのサーバーに案内するか」を状況に応じて賢く振り分けられる。
VPCとオンプレミスの間で、お互いのDNS(名前→IP変換)を引けるようにするハイブリッドDNS。「オンプレからAWS内の名前を引く」「AWSからオンプレの名前を引く」を両方実現。
APIの受付・認証・流量制限などをまとめて引き受ける玄関口。Lambdaと組ませてサーバーレスAPIを作る定番。
自社データセンターとAWSを専用線で直結。インターネットを通らないので、帯域が安定し低レイテンシー。
インターネット越しに暗号化トンネルを張って、オンプレやリモートPCとVPCを安全につなぐ。Direct Connectより安く、すぐ使える。
たくさんのVPCやオンプレを1つのハブに集めて、まとめて接続・ルーティングする仕組み。大規模ネットワークの整理役。
自社で作ったサービスを、他のVPCやアカウントへインターネットを通さずプライベートに公開する仕組み。
ユーザーのトラフィックを最寄りのエッジからAWSの高速バックボーンに乗せ、最適なリージョンへ最短ルートで届ける。固定IPが2つもらえる。
「誰が・何に・何をできるか」を決めるAWSの認証認可の根幹。全セキュリティの土台。
複数のルールが重なった時に「結局できるのか/できないのか」を決める判定順序。「明示的拒否が最優先」が肝。
有効期限付きの“一時パス”を発行する仕組み。ずっと使える鍵より安全。
EC2なら当たり前に使えるIAMロールを、オンプレや他クラウドのサーバーでも、X.509証明書を使って利用できるようにする仕組み。長期アクセスキーを配らずに済む。
データを暗号化する鍵を作って・管理して・自動で交換するサービス。S3/EBS/RDSなどと統合。
カスタマー管理キーは年1回の自動ローテーション可。
DBパスワードやAPIキーなどの秘密情報を安全に保管し、定期的に自動で変更(ローテーション)できるサービス。
HTTPS化に必要なSSL/TLS証明書を無料で発行し、期限切れ前に自動で更新してくれるサービス。
Webへの悪意あるリクエスト(SQLインジェクション・XSS等)をL7でフィルタするファイアウォール。特定IPブロックやレート制限も。
DDoS攻撃(大量アクセスでサービスを潰す攻撃)から守るサービス。Standardは無料で自動、Advancedは高度な保護+専門チーム。
各種ログを機械学習で自動分析して、不正アクセスや怪しい動きを検出する。有効化するだけ、設定不要。
EC2やコンテナイメージのソフトウェアの脆弱性(CVE)やパッチ漏れを自動スキャンするサービス。
S3の中に個人情報(PII)やクレジットカード番号などの機密データが紛れていないか自動検出・分類する。
複数のAWSアカウントや業務アプリへ1回のログインでアクセス(SSO)できるサービス。旧称AWS SSO。
Web/モバイルアプリにユーザー登録・ログイン・MFAを追加し、さらにAWSリソースへの一時アクセス権も渡せる。
Windows環境で使うActive Directory(ユーザー/PCの一元管理)をAWS上で提供。オンプレADとの連携も可能。
Network Firewall=VPC全体を守るマネージドFW(IDS/IPS)。Firewall Manager=複数アカウントのセキュリティルールを一括管理。
GuardDutyなどが検出した問題の“原因”を深掘り調査するサービス。ログを自動でグラフ化して関連を可視化。
GuardDutyやInspector、Macieなどあちこちのセキュリティサービスの検出結果を1か所にまとめ、重要度順に一覧で見られるようにする統合ダッシュボード。
AWSリソースの状態(CPU等)を監視し、ログを集め、閾値を超えたら通知・自動アクションする統合モニタリング。
AWSへのすべての操作(API呼び出し)を記録する監査証跡。「誰が・いつ・何を・どこから」やったかを追える。
リソースの設定変更を記録し、「ルールに沿っているか(準拠)」を自動チェックする。例:「SGがポート22を全開放していないか」。
マイクロサービスやサーバーレスで、1つのリクエストがどのサービスをどう通り、どこで時間がかかった/失敗したかを可視化する分散トレーシング。
EC2やオンプレサーバーの運用作業(リモート操作・パッチ・設定値管理)をまとめて行う道具箱。
アカウントをベストプラクティスに照らして自動点検し、改善点を提案。コスト・性能・セキュリティ・耐障害性・上限を横断的にチェック。
たくさんのAWSアカウントをグループ(OU)にまとめ、ルール(SCP)で統制し、請求も一本化する仕組み。
Organizationsの上に立ち、ベストプラクティスに沿ったマルチアカウント環境を自動で構築・統制するサービス。
管理者が「これは使ってOK」と承認した構成(テンプレート)をカタログに並べ、利用者はそこから選んで自分でデプロイできるようにする仕組み。ルールを守らせつつ手間を減らす。
AWS側の障害情報や、自分のアカウントに影響するイベント(メンテ予定・障害)を知らせるダッシュボード。
システム間に「待ち行列(キュー)」を挟んで、送る側と受ける側を切り離す仕組み。処理速度の差を吸収して非同期処理にする。
1つのメッセージを購読している全員に一斉配信するPub/Sub型メッセージング。1対多の通知に使う。
AWSやSaaSの“出来事(イベント)”をルールで振り分けて、適切な処理を起動するサーバーレスのイベントバス。CloudWatch Eventsの後継。
複数のLambdaなどを「次にこれ、条件によって分岐」と視覚的な流れ図(ステートマシン)で組み立てるオーケストレーション。
次々と流れてくるリアルタイムデータ(ログ・IoT・クリック)を受け取り、カスタムアプリで低遅延に処理する。Kinesisの中核で、名称は今も「Kinesis」。
流れてくるデータ(ストリーム)に対して、SQLやApache Flinkでその場でリアルタイムに集計・変換・異常検知するマネージドサービス(旧Kinesis Data Analytics)。
流れてくるストリームデータを、コードを書かずにS3/Redshift/OpenSearch等へニアリアルタイムで自動的に届けて貯めるサービス(旧Kinesis Data Firehose)。
SalesforceやSlackなどのSaaSと、S3/Redshift等のAWSの間で、データをコードなしで安全にやり取りするフルマネージドな連携サービス。
Apache Kafka(分散ストリーミング基盤)をフルマネージドで提供するサービス。既存のKafkaアプリをコード変更なしで動かせ、サーバー運用はAWS任せ。
ActiveMQ/RabbitMQ互換のマネージドブローカー。既存のJMS/AMQP等を使うアプリを、コード変更なしでクラウド移行できる。
複数のデータソースを1つのGraphQLエンドポイントで統合し、リアルタイムのデータ同期も提供するサービス。
S3に置いたデータをサーバーを立てず、その場でSQLクエリできる。スキャンしたデータ量だけ課金。
データをダッシュボードやグラフに可視化して共有するBIサービス。SPICEというインメモリエンジンで高速表示。
Hadoop/Sparkなどのビッグデータフレームワークをマネージドで実行。大規模な分散処理・ETL・機械学習に使う。
データの抽出・変換・ロード(ETL)とメタデータ管理をサーバーレスで行う。バラバラなデータを分析できる形に整える。
S3ベースのデータレイクの構築と、きめ細かいアクセス制御を一元管理するサービス。
全文検索とログのリアルタイム分析・可視化を行うマネージドサービス(旧Elasticsearch Service)。
AWSリソースをテンプレート(設計図)に書いて、ボタン一つで丸ごと自動構築・複製する(Infrastructure as Code)。
「ソース→ビルド→テスト→デプロイ」という一連のリリース作業を自動で流すCI/CDの司令塔。
ソースコードのコンパイル・テスト・パッケージ化を行うビルド係。ビルドサーバーの管理不要、使った分だけ課金。
EC2/Lambda/ECSへのアプリのデプロイを自動化。ダウンタイムゼロのBlue/Greenデプロイも可能。
DockerコンテナイメージをAWS上に保存・管理する専用倉庫(レジストリ)。ECS/EKSと統合して使う。
過去・現在のAWSコストをグラフで分析し、将来のコストを予測する。サービス別・タグ別など多角的に掘り下げ。
コストや使用量に予算を設定し、超えそうになったら通知する。自動でリソース停止などのアクションも可能。
EC2/EBS/Lambda等の使用状況をMLで分析し、「もっと小さく/大きくすべき」と最適サイズを提案する。
「1時間あたり◯ドル使う」と1〜3年コミットすると最大72%割引。RIより柔軟で、EC2/Lambda/Fargateを横断適用。
EC2/RDS等を1〜3年予約することで割引を受ける購入オプション。ずっと動かす安定ワークロード向け。