基本データ型

int a = 77;
double b = 77.7;
String c = 'abcdefg';
bool d = true;
// 型推論
var e = 77; // number

// 配列
List a = [ 1, 2, 3, 4 ];
// 値が重複できない配列
Set b = { 1, 2, 3, 4 };
// key value
Map c = { 'a': 1, 'b': 2, 'c': 3 };

print(a);
// [1, 2, 3, 4]
print(b);
// {1, 2, 3, 4}
print(b.toList());
// [1, 2, 3, 4]
print(c);
// {a: 1, b: 2, c: 3}
print(c['b']);
// 2

定数

• final、constを使う
• 違いはよく分かってない

qiita.com

jpsepower.sakura.ne.jp

final a = 77;
// a = 777; はエラー
const b = 77;
// b = 777; はエラー

// 定数の配列
List c = const [1, 2, 3];
// ↓はエラー
List d = final [1, 2, 3];

制御

var list = [ 1, 2, 3, 4 ];
list.forEach((v) { print(v); });
// 1 2 3 4

var set = { 1, 2, 3, 4 };
set.forEach((v) { print(v); });
// 1 2 3 4

var map = { 'a': 1, 'b': 2, 'c': 3 };
map.forEach((key, value) { print('$key $value'); });
// a 1  b 2  c 3


for (var i = 0; i < 4; i++) {
  print(i);
}
// 0 1 2 3


for (var i in list) {
  print(i);
}
// 1 2 3 4

for ( var v in map.values) {
  print(v);
}
// 1 2 3

var n = 0;
while (true) {
  if (n == 3) {
    break;
  } else {
    print(n);
    n++;
  }
}
// 0 1 2

var m = 0;
do {
  m++;
  print(m);
} while (m <= 3);
// 1 2 3 4

VPC

• Virtual Private Cloud
• AWSクラウドのネットワークからユーザー専用の領域を切り出してくれる仮想ネットワーク
  • 論理的に分離されたセクションを作り、ユーザーが定義した仮想ネットワークを構築するサービス
• VPCのネットワーク内にAWSリソースを配置していく

docs.aws.amazon.com

• 任意のIPアドレス範囲を選択して仮想ネットワークを構築
• サブネットの作成、ルートテーブルやネットワークゲートウェイの設定
• 必要に応じてクラウド内外のネットワーク同士を接続することも可能
• 接続オプションが複数ある

AWS側ですでに設定されていて、使用できないアドレスもある（.0、.1、.2、.3、.255）

VPCを作成するとサブネットが自動で作成されるため、「1AZ内の1VPC内に1サブネット」という状態が最小単位

AWSアカウント作成時

• AWSアカウントを作成すると、自動的に各リージョンに1つずつデフォルトVPCとデフォルトサブネットが生成される
  • サイズ/16のVPC
  • 各AZにサイズ/20のデフォルトサブネット
  • インターネットゲートウェイが自動的に作成され、デフォルトVPCに接続される
  • デフォルトのセキュリティグループが作成され、デフォルトVPCに関連付けられる
  • デフォルトのネットワークアクセスコントロールリスト（ACL）が作成され、デフォルトVPCに関連付けられる
  • デフォルトVPCを備えたAWSアカウントにはデフォルトDHCPオプションセットが関連付けられる
  • パブリックとプライベートのDNSホスト名が付与される

VPCウィザードを利用することでVPCを簡単に構成できる

VPCウィザードを利用しない作成手順

1. VPC作成（CIDRの設定）
2. サブネットを作成
3. インターネット経路を設定（インターネットゲートウェイ）
4. VPCへのトラフィック許可の設定（ネットワークACL）

サブネット

• VPC内に複数設置できる
• 1つのAZを指定して配置する（AZをまたがって配置することはできない）
• パブリックとプライベートが存在する
• 1つのVPC内の作成上限は200個
• VPCのCIDRの範囲内でCIDRを指定する
• CIDRが付与されネットワークレンジが決まる

パブリックサブネット

• インターネットゲートウェイにルーティングされる
• ルートテーブルのターゲットにインターネットゲートウェイを指定する

プライベートサブネット

• インターネットゲートウェイへのルートがない
• インターネットに接続するためにはパブリックサブネットに、NATゲートウェイを作成する

VPCの外部接続

パブリックサブネットからVPCの外側にあるリソースと通信するには、 パブリックのAWSネットワークか、エンドポイントを利用する

インターネット経路の設定

• ルートテーブルとCIDRアドレスでルーティングを設定する
  • ルートテーブルでパケットの行き先を設定
  • VPC内はCIDRアドレスでルーティングを行う

インターネットゲートウェイ

• マネジメント型
• VPCと1対1で紐付いて、インターネットに公開する

EgressOnlyインターネットゲートウェイ

• IPv6用のIGW

DHCPオプションセット

• デフォルトで1つ作成される
• 名前解決をVPC内でする

Elastic IPアドレス

• 固定のIPアドレス
• VPCを再起動したりすると、IPアドレスは動的に変更される

エンドポイント

• VPC外のサービスと接続する際に使用する

NATゲートウェイ

• プライベートサブネットのインターネット接続を可能にする

ピアリング接続

• VPCとVPCをつなげる

ネットワークACL

• サブネットのトラフィックを制御するファイアウォールの機能

セキュリティグループ

• インスタンスのトラフィックを制御する
• EC2で作成したものも表示される

TRANSIT GATEWEY

• 多数のVPCの接続を管理する

IAM

• AWSサービスやリソースへのアクセスを管理する
• AWSのユーザーとグループを作成、管理し、アクセス権を使用してAWSリソースへのアクセスを許可、拒否する

IAMポリシー

• JSON形式で設定する

• Effect

  • ”Allow" => 許可
  • "Deny" => 拒否
• Action
  • 対象のAWSサービス
• Resource
  • 対象のAWSリソース（ARN形式）
  • AmazonResourceName(https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-arns-and-namespaces.html)
• Condition
  • アクセス制御が有効となる条件

IAMユーザー

• IAMポリシーを付与されたユーザー
• rootアカウント
  • AWSアカウント作成時に作成される
  • rootユーザーのみ実施できる権限がある
  • 普段は使わないほうがいい
• 管理者ユーザー
  • 管理者権限の許可が付与されたIAMユーザー
  • IAMを操作できる
• パワーユーザー
  • IAM以外のすべてのAWSサービスにフルアクセスできる
  • IAMの操作はできない

IAMグループ

• グループとして権限をまとめて設定された単位のこと

IAMロール

• AWSWSリソースに対するアクセス権限のこと

IAM権限ベストプラクティス

• AWS アカウントのルートユーザー アクセスキーをロックする
• 個々の IAM ユーザーを作成する
• IAM ユーザーへのアクセス許可を割り当てるためにグループを使います
• 最小限の特権を認める
• AWS 管理ポリシーを使用したアクセス許可の使用開始
• インラインポリシーではなくカスタマー管理ポリシーを使用する
• アクセスレベルを使用して、IAM アクセス許可を確認する
• ユーザーのために強度の高いパスワードポリシーを設定する
• MFA の有効化
• Amazon EC2 インスタンスで実行するアプリケーションに対し、ロールを使用する
• ロールを使用してアクセス許可を委任する
• アクセスキーを共有しない
• 認証情報を定期的にローテーションする
• 不要な認証情報の削除
• 追加セキュリティに対するポリシー条件を使用する
• AWS アカウントのアクティビティの監視

docs.aws.amazon.com

IAM設計

• 少数利用はIAMユーザー
• 組織利用はIAMグループ

IAMポリシー

• AWSリソースにアクセスするための権限設定
• AWSが用意してくれているものがめちゃくちゃある
• AWSが用意しているポリシーを組み合わせて自作のポリシーが作成できる
  • EC2フルアクセスとS3フルアクセスをまとめたポリシーとか
• IAMユーザー、IAMロール、IAMグループに紐付ける

IAMロール

• AWSリソースやユーザーに付与するもの
• 実態はIAMポリシーの集合
• EC2にS3へのアクセス権を持ったロールを付与することで、EC2からS3へ保存処理
• EC2やLambdaに付与して、「それらが他AWSリソースに対してできることを増やす」みたいな使い方が多いらしい
• 監査人などに一時的な権限を移譲するときにも使う
  • アカウントAでロールを作成し、アカウントBでロールARNを指定して権限を移譲する
  • JSON形式でポリシー指定

アクセスアナライザー

• AWSリソースに紐付いているポリシーを検査し、管理者として"意図せぬ公開設定がされていないか"を検出および可視化してくれる機能
• 新規または更新されたポリシーを継続的に監視
• 付与されたアクセス許可を数学的なロジックや推論を使用して分析
• アクセス制御状況のインパクトを集約、可視化
• 利用されているアカウントの外側からの意図しないアクセスからリソースが保護されていることが確認できる

AWS Organizations

• 複数のAWSアカウントをまとめて管理する
  • IAMはアカウント内のユーザーを管理