Memo/AmazonWebServices

IAM user
- 不用なユーザがいないか？
- access keyの使用日時を見て、よく使われているのに問題は無いか？
- Getting credential reports for your AWS account - AWS Identity and Access Management
- awsclideはgenerate-credential-reportで生成の指示を出す。少し待つ。get-credential-reportでダウンロードする。
- AWS CLI【 iam 】認証情報レポートの生成・取得 - Qiita

CloudTrail
- AWS APIに対しての監査

EC2のsshログ
- 変なアクセスが成功していないか？(/var/log/secure)

DNSサーバ
- 変なDNSにアクセスが来ていないか

WindowsServerのイベントログ

レポートの自動作成
- Lambda?

記事
- AWSのIAMユーザー管理簿を毎週自動でメール配信する - Qiita

↑

SageMaker: 機械学習モデルのマネージドサービス †

Amazon SageMaker（機械学習モデルを大規模に構築、トレーニング、デプロイ）| AWS

記事
- Amazon SageMaker と Amazon ES を使用しての画像検索アプリケーションの構築 | Amazon Web Services ブログ

↑

CodeGuru: 機械学習で遅い(実行コストの高い)コードを見つける †

Amazon CodeGuru - アマゾンウェブサービス

対応gitリポジトリ: 2020-07
- AWS CodeCommit
- Bitbucket
- GitHub

対応言語
- Java

CodeGuru Reviewer
- コードレビューの自動化。ソースコードをスキャンしてPRを作ってくれる
- 料金: 100行/0.75 USD と非常に高い。90日間の無償トライアルがある。

CodeGuru Profiler
- パフォーマンス分析
- 料金: リソースのサンプリング時間毎の課金

記事

↑

Shield: マネージドDDoS保護 †

AWS Shield（マネージド型の DDoS 保護）| AWS
- OSI参照モデルのレイヤー3,4保護。Standardはデフォルトで有効。無料
- Shield Advanced: レイヤー7保護は有償。ALBは対応。年間契約で$3000/month

記事
- AWS Shield AdvancedのTips - Qiita
- AWS Shield Advanced で攻撃検出時にDRTから連絡が来るようになりました – サーバーワークスエンジニアブログ

↑

EventBridge: サーバレスのイベントバス †

Amazon EventBridge (サーバーレスイベントバスでアプリ同士を簡単に接続) | AWS

記事
- AWS Chatbot を使って Slack チャネルで Amazon EventBridge イベントを監視 | Amazon Web Services ブログ

↑

Kendra: 機械学習ベースの検索サービス †

Amazon Kendra – アマゾンウェブサービス

記事
- Amazon Kendra を使用して、よくある質問ボットをよりスマートに | Amazon Web Services ブログ

↑

AWSサービスのIP range †

https://ip-ranges.amazonaws.com/ip-ranges.json

記事
- ファイアウォールにて Amazon S3 への接続のみ許可する設定を行う必要があります。AWS で使用される IP アドレスの範囲を教えてください。 | Developers.IO

↑

License Manager: ライセンスの追跡、管理、制御 †

AWS License Manager（ライセンスの追跡、管理、制御）| AWS

記事
- AWS License Managerを使って、ライセンスソフトウェアを自動検出する方法 | Amazon Web Services ブログ
- AWS License Manager（ライセンスの追跡、管理、制御）| AWS

↑

Service Catalog: IT管理者の許可したリソースをユーザに提供 †

AWS Service Catalog（AWSでの使用が承認されたITサービスのカタログを作成）| AWS

記事
- AWS Service Catalogで制御された自由を – サーバーワークスエンジニアブログ

↑

Cloud9: クラウドベースのIDE †

AWS Cloud9（Cloud IDE でコードを記述、実行、デバッグ）| AWS

記事
- 社内で「はじめての Docker コンテナからの Blue-Green デプロイ勉強会」を開催しました | Developers.IO
- pyenvによる仮想Python環境をAWS Cloud9上で構築する | Developers.IO

↑

Macie: 機械学習によるS3上アクセスの保護 †

Amazon Macie（機械学習による機密データの検出、分類、保護）| AWS

記事
- Amazon Macie で特定アラートが誤検知してしまう場合の対処 | Developers.IO

↑

Googleスプレッドシートでの管理 †

記事
- AWS定義情報をGoogleスプレッドシートに出力する｜ Developers.IO
- GoogleスプレッドシートからAWSを操作する - mikedaの日記

↑

Stash: AWS関連情報を複数のソースから検索 †

AWS Stash

記事
- AWSの膨大な公式情報を一括して爆速検索可能なサイト「AWS Stash」｜ Developers.IO

↑

KMS(Key Management Service): 鍵の管理 †

AWS Key Management Service（マネージド型の暗号化キー作成と管理）| AWS

記事
- AWS KMSで公開鍵暗号してみた｜ Developers.IO

↑

CloudGoat: セキュリティ学習用AWS環境 †

RhinoSecurityLabs/cloudgoat: CloudGoat is Rhino Security Labs' "Vulnerable by Design" AWS deployment tool

記事
- ゆるふわIAM userのadmin権限を奪ってみた（AWSセキュリティ学習環境構築ツールCloudGoatのご紹介）｜ Developers.IO

↑

Elemental MediaConvert: 動画変換サービス †

AWS Elemental MediaConvert（動画を処理してオンデマンドコンテンツを準備）| AWS

記事
- AWS Elemental MediaConvertのイメージ挿入を完全に理解したい｜ DevelopersIO

↑

Forcast: 機械学習を使用した時系列予測サービス †

Amazon Forecast（機械学習を使用した正確な時系列予測サービス）| AWS

記事
- Amazon Forecastの機能だけを使用する為に必要最低限のIAM権限定義を調査した｜ DevelopersIO

↑

DataSync: オンプレミスとS3/EFS間の同期 †

AWS DataSync（シンプルかつ高速なオンラインデータ転送）| AWS

記事:

↑

リソースの命名、タグ付け †

AWSリソースID
- DNSでリソースを区別する事が多々あるため、 半角英数字、ハイフンのみ を使う事推奨。

タグ(key=Value)
- タグの制限

ケバブケース(kebab-case)
- 単語をハイフンで区切る
- ケバブケース（kebab-case）について調べた - Qiita

記事

↑

Global Accelerator: 複数リージョンからのアクセスを固定IPを使って行う †

記事

↑

AWS障害時の対応 †

基本はMultiAZ(3AZ推奨)だが、耐障害性と費用のバランスを考える必要がある。

AWS Service Health Dashboard に障害情報が出るので確認。

記事

↑

AppSync: GraphQL＆サーバレスでバックエンドを実装 †

AWS AppSync（アプリデータをリアルタイムで保存、同期）| AWS

記事
- AWS再入門ブログリレーAppSync編｜ DevelopersIO

↑

Resource Optimization Recommendations †

記事
- EC2の無駄遣いを指摘する Resource Optimization Recommendations がリリースされました – サーバーワークスエンジニアブログ

↑

AWSアカウントの解約/クリーンアップ †

AWS アカウントを解約する
- 解約はルートユーザーのみ
- 解約後、90日以内はAWS consoleにログインでき、AWS サポートで連絡できる。
- RI(リザーブドインスタンス), SavingsPlansの支払い期間が残っていると、解約しても支払いが発生する

記事:

↑

AWSアカウントの譲渡 †

AWS アカウントを別の個人または組織に譲渡する

記事
- AWSアカウント名義変更について - Qiita

↑

Inspector: EC2にagentをインストールして脆弱性診断 †

Amazon Inspector（アプリのセキュリティとコンプライアンスの改善をサポート）| AWS

記事
- Amazon Inspectorから脆弱性情報を取得してGitHub Issuesにチケット発行するのを自動化する - LIVESENSE ENGINEER BLOG

↑

EFS(Elastic File System): NFSでストレージをマウント †

特徴 - Amazon EFS | AWS

記事

↑

DMS(Database Migration Service): †

AWS Database Migration Service（最小限のダウンタイムでデータベースを移行）| AWS

記事

↑

Control Tower: 複数アカウントの管理 †

AWS Control Tower（複数アカウント環境をセキュアに設定、管理）| AWS

記事

↑

Service Quotas: サービス上限の一括管理 †

記事
- [NEW] サービス制限を管理する AWS Service Quotas がリリースされました！｜ DevelopersIO

↑

Security Hub: セキュリティアラートの一元管理 †

AWS Security Hub（統合されたセキュリティ & コンプライアンスセンター）| AWS

記事
- AWS Security Hub とリスク分析を考慮したアラート対応アプローチ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS

AWS Security Hubを有効化したけど見てない人に向けたDevSecOpsの実現方法 / #kayac_andpad_event - Speaker Deck

AWS Security Hubの内容をSlackに通知する（CloudFormation利用） | DevelopersIO

↑

Workspaces: 仮想デスクトップサービス †

Amazon WorkSpaces（セキュアな仮想デスクトップ（VDI）サービス）| AWS

記事

↑

FSx for Windows: SMBファイルサーバー †

Amazon FSx for Windows ファイルサーバー | クラウドファイルストレージ | アマゾンウェブサービス

記事

↑

コンプライアンスの問い合わせ †

普通の技術サポートではなく、専用のwebフォームから問い合わせる。

使いたいサービスが、HIPAA, ISO27001, PCI, etc...に対応しているか

AWS Compliance

記事
- 【レポート】「規制対象になる重要ワークロードをAWSで動かす場合の可視性とセキュリティの確保」 GDPR,PCI,金融業界の機密性の高いワークロードを扱う担当者が実施すべきポイント #AWSSummit ｜ DevelopersIO
- 【レポート】「AWSにおけるクラウドコンプライアンスの実践 ―セキュリティ担当者が理解すべき説明責任のポイント― 」 #AWSSummit ｜ DevelopersIO

↑

AWSグローバルインフラストラクチャの可視化 †

3D AWS Infrastructure Map
- 3D地球儀、2D地図上で、Region, AZ, 等を確認できる

AWS グローバルインフラストラクチャ | AWS
- 2D地図上で、Regionを確認できる。今後追加予定のRegionも表示される

記事
- AWS のグローバルインフラストラクチャがよく分かる！3D AWS Infrastructure Map のご紹介｜ DevelopersIO

↑

Cognito: マネージドユーザ認証 †

Amazon Cognito（ウェブ/モバイルアプリのユーザー管理）| AWS

記事
- AWS Cognitoの罠10選 | 技術者ブログ | 三井物産セキュアディレクション株式会社

[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO

↑

MSK(Amazon Managed Streaming for Kafka) †

Amazon MSK - アマゾンウェブサービス (AWS)

記事

↑

Kinesis: 動画とストリーミングデータの収集、処理、分析 †

Amazon Kinesis (フルマネージド型リアルタイム大規模ストリーミング処理） | AWS

記事
- 【小ネタ】Raspberry Pi と USB接続のWebカメラでRTSPサーバを作って動画を配信する｜ DevelopersIO
- [Amazon Kinesis Video Streams] Docker+RasPi+USB接続Webカメラでの配信｜ DevelopersIO

↑

Lex: AI活用した会話型インタフェース †

【Amazon Lex】人工知能を活用した会話型インターフェイス | AWS
- Facebook Messenger、Slack、Twilio SMS連携

記事
- Amazon Lex チャットボットで、ワンタイムパスワードを使ってユーザーを認証する | Amazon Web Services ブログ
- Amazon Lexを利用したノンコーディングSlackボットを作ってみた｜ DevelopersIO

↑

API Gateway †

Amazon API Gateway（API を簡単に作成・管理） | AWS
- Lambda, ACM, CloudFrontと組み合わせて使う事が多い

Edgeパターン
- us-east-1のACMにSSL証明書をインポート
- 専用のCloudFront Endpointが追加されるので、DNS設定
Regionalパターン
- 各リージョンに設定する。CloudFrontは使わない。ACMも使わず、API gatewayに直接SSL証明書をインポート。
- 専用のLambda Endpointが追加されるので、DNS設定
- 中国はRegionalのみ対応(2019-04)

記事

↑

prowler: 複数のAWSアカウントからセキュリティ監査レポートを作るOSS †

GitHub - prowler-cloud/prowler: Prowler is an Open Source Security tool for AWS, Azure, GCP and Kubernetes to do security assessments, audits, incident response, compliance, continuous monitoring, hardening and forensics readiness. Includes CIS, NIST 800, NIST CSF, CISA, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP, Well-Architected Security, ENS and more

AWS公式docにリンクあり

複数の AWS アカウントから Prowler セキュリティ結果の統合レポートを作成 - AWS 規範ガイダンス

記事:

マルチAWSアカウント環境のセキュリティって無理ゲーじゃね？

↑

セキュリティ †

AWS セキュリティ監査のガイドライン - AWS 全般のリファレンス

通知(SlackやEmail)等を有効にする。各機能を有効にしただけでは、異常が起きても気がつかないため必須。
- CloudWatch Events + SNS でEmail通知
  - 簡単。Slack専用のEmailアドレスに転送するだけなので楽。見た目はシンプル。
- Lambda。Slack専用に見やすくカスタマイズが出来るが、手間がかかる。

CloudTrail
- APIのログが残る。誰がどんな操作をしたかがが分かる。API単位なので件数が多い
GuardDuty
- 不審なアクセスを検出。

Config
- 予め指定したルールに一致しているか検出。

Cybersecurity Awareness training
- セキュリティトレーニング。日本語あり、15分程度

AWS Skill Builder
- セキュリティトレーニング。日本語。無料

開発者:

セキュリティを何から始めれば良いか分からない開発者の方へ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS

記事:

AWSを不正利用された際の反省と教訓 #AWS - Qiita

ITに強いはずのハイテク企業で、1億人超の個人情報が流出……　「新技術こそ優れている」という思い込みが招いた大規模事件 - ログミーBiz

↑

Transfer for SFTP: S3をバックエンドにしたSFTP/SCPマネージドサービス †

AWS Transfer for SFTP
- S3をバックエンドにできるので、堅牢性、容量の面で安心
- ユーザ認証: SSH public key, Active Directory, LDAP
- WinSCP、FileZilla、CyberDuck、OpenSSH(scp)等のメジャーなクライアントから使える

記事

↑

サーバレス †

サーバレス構成でよく使うサービス

API gateway
Lambda
CloudWatch
CloudFront

記事
- AWS公式で「形で始めるサーバーレス設計」が紹介されています！｜ DevelopersIO

↑

Lightsail: VPSサービス †

Lightsail
- WordPress, LAMP, Node.js, Redmine, GitLab, ... といったインストール済みのホストを数クリックで起動できる。
- 月額 $4～

記事
- AmazonのVPSサービス(Lightsail)を使い、独自ドメイン・SSL対応したWordPressを構築($3.50〜/月) ｜ DevelopersIO

↑

サービスの選択 †

記事
- 【AWS Summit Osaka 2019 セッションレポート】AWS におけるデータベースの選択肢とその選定方針 #AWSSummit ｜ DevelopersIO
- [レポート] 正しく選択できているか？AWS が提供するマネージドデータベース #awssummit ｜ DevelopersIO

↑

開発プロセス †

記事
- [レポート] Amazon の開発プロセス – How Services Are Created at AWS #awssummit ｜ DevelopersIO

↑

AWS認定資格 †

AWS 認定 – AWS クラウドコンピューティング認定プログラム | AWS

記事
- AWS資格勉強を始めようと思っている方！今がチャンスですよー〜AWS Innovate試験対策セッションのご紹介〜｜ DevelopersIO
- 書評「ソリューションアーキテクト-アソシエイトの教科書」は、AWSを学ぶ最初の１冊に最適｜ DevelopersIO

↑

Support: サポート †

技術サポートは有償のdevプランから。
購入済みRI があると、初月のサポート料金が跳ね上がる。SIMPLE MONTHLY CALCULATOR はRI購入済みの場合のサポート料金も見積に出るので使った方が良い。

↑

中国リージョン †

Memo/Aliyun の注意点参照
AWS Global版とはアカウントが別になる。
AWS Chinaは中国法人が必要。
ICPライセンスが無いとweb公開(80,443,8080)ができない。
- ICPライセンスの申請は、リージョン毎に別会社。1ヶ月くらいかかる？
- API Gatewayでも同様に、認証無しでのアクセスができない。token認証有りは通信OK。ICPライセンスが無いと「curl -i https://<api-gateway endpoint>」が「x-amzn-ErrorType: AccessDeniedException」になる。
時間帯によって非常に遅くなる。通信が悪い。 南北問題？
リージョンによって、無いサービスも多い。2019-01-30 NingxiaリージョンのみAuroraがある。
- Region Table
API Endpointが異なる。「ec2.cn-northwest-1.amazonaws.com.cns.com.cn」
- AWS Regions and Endpoints - Amazon Web Services
ARNが異なる。「arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Bob」等
- AWS Identity and Access Management - Getting Started with Amazon AWS

記事

↑

ECS: EC2上でDockerコンテナを管理 †

Amazon Elastic Container Service (ECS - 高性能な Docker コンテナ管理) | AWS

記事

↑

Chrome/Firefox拡張機能 †

iann0036/AWSConsoleRecorder: Records actions made in the AWS Management Console and outputs the equivalent CLI/SDK commands and CloudFormation/Terraform templates.
- Console Recorder for AWS: 操作を記録して各種テンプレート(CloudFormation, awscli, CDK, terraform他)を生成してくれるChrome/Firefoxアドオン
- AWSの一部リソースに対応。
- AWSマネジメントコンソールで役に立つChrome拡張機能のご紹介 | Developers.IO
- AWSマネジメントコンソールの操作を記録して再現コードやCloudFormationテンプレート、Terraform定義を生成してくれるブラウザ拡張 – Console Recorder for AWS ｜ DevelopersIO

↑

ホワイトペーパー: 解決すべき課題、要因を分析、解決策を提示 †

ホワイトペーパー | AWS
コンプライアンスリソース –アマゾンウェブサービス (AWS)
- 日本語のpdfあり

↑

ベストプラクティス †

信頼性の柱 - AWS Well-Architected フレームワーク - 信頼性の柱

AWS Answers（クラウドでのアプリ設計、開発、運用に関するよくあるご質問） | AWS

AWS Well-Architected Frameworkホワイトペーパー(PDF)

AWS モダンアプリケーション開発 – AWS におけるクラウドネイティブモダンアプリケーション開発と設計パターン」（日本語版）

AWS Well-Architected Tool（アーキテクチャのレビューとベストプラクティス比較）| AWS

記事

↑

モバイル(Android/iOS)アプリ †

[モバイルアプリ - AWS コンソール | AWS](https://aws.amazon.com/jp/console/mobile/)
- モバイルデバイスでAWSの状態を確認、管理できる

↑

マーケティングEMAILを停止する †

複数AWSアカウント使用時に同じメールが来て邪魔。

AWS Email Preferences を開く
AWS root accountを入力
「Do not send me marketing email」にチェック
Save

↑

DDoS対策 †

DDoSに対するAWSのベストプラクティス(PDF)

記事
- AWS環境におけるDDoS対策 - Qiita
- Top 10 DDoS Protection Services of 2016 | Top Ten Reviews

↑

Aurora: MySQL/PostgreSQL互換のデータベース †

https://aws.amazon.com/jp/rds/aurora/

Auroraのメリット
- Read replicaを複数台利用するケースは早くなる。
- masterしか使わない(書き込みが多い)場合は効果はない
デメリット
- RDS単体よりは高い

記事

↑

Redshift: マネージドデータウェアハウスサービス †

https://aws.amazon.com/jp/redshift/

記事

↑

侵入/脆弱性テスト申請 †

2019-03-01現在、EC2/NAT gateway/ELB/RDS/CloudFront/Lambda@Edge/Aurora/API gateway/Lambda/Lightsail/Elastic Beanstalkへのテストは事前承認無しになった。ただし、JPサイトはまだ更新されていない。ENサイトでは8つのサービスは不要と記述がある。

侵入テスト - AWS
- 1フォームで2種類の申請ができる。テスト元で入力が異なる
- source: EC2からEC2への侵入テスト
- target: 外部IPからEC2への侵入テスト
- 承認番号を含むメールが届くまではテストは許可されない。通常2営業日以内

記事
- 【2019年アップデート】侵入テストについて｜ DevelopersIO
- AWSでの侵入テスト(Penetration Test)について | cloudpack.media
- ホスティング会社・サービスプロバイダーへの脆弱性診断実施の申請方法｜サイバートラスト AWSやAzure環境での申し込み方法の説明がある

AWS以外のホストから、EC2へのスキャンを申請する場合: Scan Infomation

IP Addresses to be scanned (Destination): スキャン先EC2のプライベートIP

aws --profile default --region ap-northeast-1 ec2 describe-instances \
 --filters "Name=instance-state-name,Values=running" \
 --query 'Reservations[].Instances[].NetworkInterfaces[].PrivateIpAddresses[].PrivateIpAddress' \
 --output text | tr '\t' '\n'

172.31.0.1
172.31.0.2
...

Are the instances the source of the scan or the target of the scan ?: Target

Instances IDs*: スキャン先EC2のインスタンスID

aws --profile default --region ap-northeast-1 ec2 describe-instances \
 --filters "Name=instance-state-name,Values=running" \
 --query 'Reservations[].Instances[].InstanceId' \
 --output text | tr '\t' '\n'

i-00000001
i-00000002
...

Scanning IP addresses (Source)*: スキャン元IP
```
1.2.3.4
```

↑

Windows Server/SQL Server †

記事

↑

2段階認証 †

IAMでのログイン時に2段階認証を利用できる。セキュリティのため利用したほうが良い

ソフトウェアキーの場合: 2FA/MFA/二段階認証参照

ハードウェアキーを使う場合:

未定

記事:

↑

IPアドレス範囲 †

記事
- AWSサービスで使用されているIPアドレスを確認する方法 Windows/Linux/Python3 ｜ DevelopersIO
- Amazon Web Services ブログ: 【AWS発表】AWSのIPアドレスレンジをJSONで提供

↑

不正利用 †

IAM keysがgithubに漏れたり、SSL Heartbleed bug等の致命的な問題の時、AWSからメールが来る(aws-verification@amazon.com)。このメールには必ず返信が必要で、返信しないでいるとEC2を新規に立てられなくなるといった制限が付く(該当リージョンのみ)
すぐにAWSサポートへ連絡。連絡して、適切な処理をする事で、不正利用された金額が戻ってくる(こともある)
IAM keysが漏れた場合、該当キーをinactiveにするだけはだめで、deleteする必要がある

記事
- 【実録】アクセスキー流出、攻撃者のとった行動とその対策｜ DevelopersIO
- AWSが不正利用され300万円の請求が届いてから免除までの一部始終 - Qiita

↑

SSL Heartbleed bug対応 †

AWS Services Updated to Address OpenSSL Vulnerability

http://filippo.io/Heartbleed/ テストできる

↑

API上限 †

Web Service Limits - AWS Data Pipeline
- WebService: 5秒に1回、連続10回

↑

ネットワーク図 †

アイコン
- AWS Simple Icons

Google Docs用テンプレート
- AWS Simple Icons v2.0

Memo/draw.io

Cacoo用 AWSクラウドデザインパターンテンプレート

記事
- Diagramsを使ってPythonでシステム構成図を描く | Developers.IO

↑

AWS側のメンテナンス †

EC2/RDS等、ハードウェア交換等でOSのリブートやインスタンスのstop/startをするようにとメールが来る場合がある。

Amazon EC2 のメンテナンスのヘルプページ
system-reboot
- EC2 EBSベースなら、EC2のstop/start
- EC2 S3ベースなら terminate/start。エフェメラルディスクの内容は消えるため、必要ならばバックアップが必要
instance-reboot
- OSの再起動をすれば良い。reboot or shutdown -r now
- エフェメラルディスクの内容はそのまま

機器が古いのかus-west-1では多い(気がする)

↑

Elastic Transcoder †

AWSで動画の変換サービス
米国東部リージョンで標準解像度(SD, 720p未満)の元動画1分あたり0.03ドル
入力形式：MP4, 3GP, AAC, AVI, FLV
出力形式：MP4, H.264, AAC

記事

↑

サービス上限緩和の申請 †

現在の上限はAWS Management Consoleの Services > EC2 > Limitsから確認できるようになった。上限緩和申請もここからできる。

お問い合わせ窓口 | アマゾンウェブサービス（AWS 日本語）から行う
- 通常、3～5営業日かかる。
- 有償のAWS サポートデベロッパー以上に入っていれば、12時間以内に応答がある

記事
- vCPUベースのオンデマンドインスタンス起動数の制限を試してみた。｜ DevelopersIO
- AWSの上限数とAWS Supportに泣きつく方法 - サーバーワークスエンジニアブログ

↑

各種ログの保存期間 †

Athenaで分析できる形式でS3に保存し、Athenaのqueryで検索するのが料金的にも安くて良い。
- Memo/Linux/Fluent-Bitでログを収集し、Memo/AmazonWebServices/Athenaでログを検索。グラフ化はMemo/Grafana/Athenaが便利
OpenSearchはクラスター構成のため固定費が高く(最低$1000 USD/month)、複数人が毎日大量に分析業務をする等でなければ料金に合わない。

記事: