Amazon EC2 のベストプラクティス - Amazon Elastic Compute Cloud

Amazon EC2 のベストプラクティス

このプラクティスのリストにより、Amazon EC2 の利点を最大限に活用できます。

セキュリティ

  • ID フェデレーション、IAM ユーザー、IAM ロールを使用して、AWS リソースおよび API へのアクセスを管理します。AWS アクセス認証情報の作成、配布、ローテーション、および取り消しを行うための認証情報管理のポリシーおよび手順を確立します。詳細については、『IAM ユーザーガイド』の「IAM のベストプラクティス」を参照してください。

  • セキュリティグループに対して、最小権限となるルールを適用します。詳細については、「セキュリティグループのルール」を参照してください。

  • 定期的にインスタンスのオペレーティングシステムやアプリケーションに対してパッチ処理、更新、および保護を行います。Amazon Linux 2 または Amazon Linux AMI の更新の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「ソフトウェアの管理 (Linux インスタンスの場合)」を参照してください。

ストレージ

  • データの永続性、バックアップ、および復元に対するルートデバイスタイプの影響について理解します。詳細については、「ルートデバイスのストレージ」を参照してください。

  • オペレーティングシステム用およびデータ用として個別に Amazon EBS ボリュームを使用します。データのボリュームがインスタンス終了後も保持されることを確認します。詳細については、「インスタンスの終了時の Amazon EBS ボリュームの保持」を参照してください。

  • インスタンスで一時データの格納に使用できるインスタンスストアを使用します。インスタンスを停止、休止、または終了すると、インスタンスストアに格納されたデータは削除されることに注意してください。データベースストレージにインスタンスストアを使用する場合は、耐障害性を確保するレプリケーション係数が設定されたクラスターがあることを確認します。

  • EBS ボリュームとスナップショットを暗号化します。詳細については、「Amazon EBS 暗号化」を参照してください。

リソース管理

バックアップと復旧

  • 定期的に Amazon EBS スナップショットを使用して EBS ボリュームをバックアップし、インスタンスから Amazon Machine Image (AMI) を作成して、それ以降にインスタンスを起動するためのテンプレートとして設定を保存します。

  • 複数のアベイラビリティゾーンにアプリケーションの重要なコンポーネントをデプロイし、データを適切にレプリケートします。

  • インスタンスが再開したときに、動的な IP アドレスを処理するアプリケーションを設計します。詳細については、「Amazon EC2 インスタンスの IP アドレス指定」を参照してください。

  • イベントを管理し、対応します。詳細については、「Amazon EC2 のモニタリング」を参照してください。

  • フェイルオーバーを処理する準備が整っていることを確認します。基本的な解決策として、手動でネットワークインターフェイスをアタッチすることも、代替インスタンスに Elastic IP アドレスを関連付けることもできます。詳細については、「Elastic Network Interface」を参照してください。自動化されたソリューションとして Amazon EC2 Auto Scaling を使用できます。詳細については、「Amazon EC2 Auto Scaling ユーザーガイド」を参照してください。

  • 障害が発生した場合にインスタンスと Amazon EBS ボリュームを復元するプロセスを定期的にテストします。

ネットワーク

  • アプリケーションの TTL (有効時間) 値を IPv4 と IPv6 で 255 に設定します。小さい値を使用すると、アプリケーショントラフィックの送信中に TTL が期限切れになり、インスタンスの到達可能性の問題が発生する危険性があります。