Amazon Linux 2023 に関するよくある質問

Q: Amazon Linux 2023 とは何ですか?

A: Amazon Linux 2023 (AL2023) は、rpmベースの汎用Linuxディストリビューションで、Amazon Linux 2の後継にあたります。AL2023 は、オペレーティングシステムのアップグレードの計画を簡素化します。AL2023 以降、Amazon Linux の新しいメジャーバージョンは 2 年ごとにリリースされ、四半期ごとのマイナーリリースが含まれるほか、5 年間の長期サポートが付属しています。Amazon Linux 2023 は、AWS サービスと統合され、クラウドでの大規模なデプロイを想定して設計されています。デフォルトでは、AL2023 AMI とコンテナイメージは、パッケージリポジトリの特定のバージョンにロックされ、確実な動作を保証し、継続的インテグレーションとデプロイ環境での OS アップデートの統合を簡素化します。

Q: バグや問題を報告するにはどうすればよいですか?

Amazon Linux 2023 GitHub ページを使用するか、アカウントチームと連携してバグや問題を報告することができます。

Q: Amazon Linux のリリーススケジュールはどのようになっていますか?

A: 新しいメジャーバージョンは 2 年ごとにリリースされ、5 年間の長期サポートが付属しています。各リリースは、アクティブな開発フェーズ (2 年間) とメンテナンスフェーズ (3 年間) といった 2 つのフェーズで構成されます。アクティブな開発フェーズでは、リリースは四半期ごとにマイナーバージョンの更新を受け取ります。各マイナーバージョンは、新機能とパッケージに加えて、セキュリティとバグ修正を含む更新の累積リストです。メンテナンスフェーズ中、リリースはセキュリティ更新と重大なバグ修正のみを受け取ります。これらは利用可能になり次第発行されます。既知のセキュリティ脆弱性のステータスは、「AL2023 Security Center」(AL2023 セキュリティセンター) のページで確認できます。新しいリポジトリがリリースされるたびに、新しい Linux Amazon マシンイメージもリリースされます。

Q: メジャーリリースとマイナーリリースには何が含まれていますか?

A: Amazon Linux のメジャーバージョンには、カーネル、ツールチェーン、glibc、openssl、および他のすべてのシステムライブラリとユーティリティを含む、スタック全体の新機能とセキュリティおよびパフォーマンスの改善が含まれます。Amazon Linux のメジャーリリースの一部は、アップストリームの Fedora Linux ディストリビューションの現在のバージョンに基づいていますが、Amazon は Fedora 以外の他のアップストリームから特定のパッケージを追加または置換することを選択する場合があります (Linux カーネルが kernel.org の Long Term Support の選択肢から提供され、Amazon の Linux 製品専用に維持される、など)。リポジトリ内のパッケージのメジャーリリースの更新は、下位互換性がない場合があることにご留意ください。以前のメジャーリリースからの変更の完全なリストを提供します。四半期ごとのマイナーリリースには、セキュリティ更新、バグ修正、および新機能とパッケージが含まれます。マイナーリリースでの変更の例には、PHP などの最新の言語ランタイムや、Ansible や Docker などの他の一般的なソフトウェアパッケージが含まれます。メンテナンスフェーズ中、リリースはセキュリティ更新と重大なバグ修正のみを受け取ります。これらは利用可能になり次第発行されます。

Q: メジャーリリースとマイナーリリースの更新はどのように提供されますか?

A: 更新は、新しい AMI (Amazon マシンイメージ) リリースと対応する新しいリポジトリの組み合わせを介して提供されます。デフォルトでは、新しい AMI とそれがポイントするリポジトリが結合されますが、実行中のインスタンスで更新を消費するために、時間の経過に合わせて実行中の Amazon EC2 インスタンスを新しいリポジトリバージョンにポイントすることができます。最新の AMI の新しいインスタンスを起動して更新することもできます。

Q: 新しい Amazon Linux AMI はどのくらいの頻度で利用可能になりますか?

A: 新しいバージョン (メジャーバージョン、マイナーバージョン、またはセキュリティリリース) をリリースするたびに、新しい Linux Amazon マシンイメージ (AMI) もリリースします。

Q: メジャーリリースとマイナーリリースから受け取る更新をコントロールするにはどうすればよいですか?

A: AL2023 は、リポジトリの特定のバージョンにロックします (これはメジャーバージョンまたはマイナーバージョンのいずれでもかまいません)。SSM パラメータを介して公開される AL2023 AMI は常に最新であり、重大および重要なセキュリティ更新を含む最新のパッケージと更新が含まれています。起動ウィザードを介して AL2023 AMI を使用して EC2 インスタンスを起動すると、常に最新の更新が提供されます。ただし、古い AMI からインスタンスを起動した場合、更新は自動的に適用されず、プロビジョニングの一部としてインストールされた追加のパッケージは、古い AMI の構築元となったリポジトリバージョンにマッピングします。これにより、特に同じ AMI から複数のインスタンスを起動する場合に、環境全体でパッケージバージョンと更新の一貫性を確保できます。自分に合ったスケジュールに基づいて更新を適用できます。起動時に特定の更新セットを適用することもできます。これらも特定のリポジトリバージョンにロックできるためです。詳細については、ドキュメントを参照してください。

Q: AL2023 リポジトリから利用可能なパッケージ更新をコントロールするプロセスはどのようなものですか?

A: AL2023 リポジトリの新しいバージョンを公開しても、以前のバージョンはすべて引き続きご利用いただけます。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされます。パッケージの更新をコントロールする必要がある場合は、「dnf check-release-update」を実行して更新可能なリポジトリのバージョンを検出し、リストにあるコマンド「dnf -releasever=version update」を実行してバージョンを選択できます。その時点で、「dnf install」または「dnf upgrade」は、選択したリポジトリバージョンからのみパッケージを選択します。パッケージの更新をコントロールする必要がない場合は、「最新」バージョンを選択できます。これにより、常に最新バージョンの AL2023 リポジトリがポイントされます。現在 Amazon Linux 2 を使用している場合、これにより、ユーザーおよび既存のパッチワークフローが想定する可能性のあるパッケージ更新の従来の動作が復元されます。

Q: AL2023 インスタンスは、重大および重要なセキュリティ更新を自動的に受け取りますか?

A: デフォルト設定では受け取りません。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされ、セキュリティ更新プログラムは適用されません。いつでもデフォルト設定を変更して、パッケージの更新を自動的に受け取るようにできます。セキュリティ更新のみを受け取るように指定することもできます。詳細については、ドキュメントを参照してください。

Q.AWS で Amazon Linux 2023 の使用を開始するにはどうすればよいですか?

A: AWS では Amazon Linux 2023 用の Amazon マシンイメージ (AMI) を入手できます。これを使用して、Amazon EC2 コンソール、AWS SDK、CLI からインスタンスを作成できます。詳細については、Amazon Linux 2023 のドキュメントを参照してください。

Q. Amazon EC2 で Amazon Linux 2023 を実行することによるコストは発生しますか?

A: いいえ。Amazon Linux 2023 を実行しても、追加料金は発生しません。Amazon EC2 インスタンスや他のサービスの実行には、Amazon EC2 および AWS の標準料金が適用されます。

Q: AWS の外部で AL2023 を使用できますか?

A: AL2023 イメージは AWS の外部で使用できます。ただし、AWS の外部で使用する場合、これらのイメージは AWS サポートプランの対象外となります。

Q: どのような顧客グループにとって、AL2023 は最適なオプションとなり得ますか?

A: AL2023 は、AWS で使用する汎用 Linux オペレーティングシステムをお求めの場合に最適なオプションです。AL2023 は Amazon EC2 向けに最適化されており、最新の AWS 機能と十分に統合されており、AWS 固有のツール (AWS Systems Manager および AWS CLI) の多くを利用して、統合されたエクスペリエンスを提供します。 現在 Amazon Linux AMI (AL1) または Amazon Linux 2 (AL2) をご利用の場合は、両方の利点を兼ね備えている AL2023 の試用をご検討ください。Amazon Linux 2023 は、頻繁な更新と長期的なサポートを提供するだけでなく、予測可能なリリース頻度、柔軟性、および新しいソフトウェア更新に対するコントロールを提供し、標準のコンプライアンス要件を満たすためのカスタムポリシーの作成に伴う運用オーバーヘッドを排除します。

Q: AL2023 は AL2 のような Amazon-Linux-Extras を搭載していますか?

A: いいえ。AL2023 には extras はありません。言語ランタイムなどの高レベルのソフトウェアパッケージの場合、四半期ごとのリリースを使用して、リポジトリで提供されるデフォルトパッケージに加えて、個別の名前空間化されたパッケージとしてメジャー/マイナー更新をパッケージに追加します。 例えば、Amazon Linux 2023 のデフォルトの Python バージョンは 3.8 である可能性がありますが、Python 3.9 (python39) が利用可能になると、別の名前空間化されたパッケージとして追加されます。これらの追加パッケージは、アップストリームリリース頻度とサポートモデルに厳密に従います。また、それらのサポートポリシーは、コンプライアンスとセキュリティのユースケースのために、パッケージマネージャーによってアクセスされることがあります。デフォルトパッケージは、AL2023 の存続期間を通じてサポート対象であり続けます。

Q: AL2023 のエクスペリエンスについてフィードバックを提供するにはどうすればよいですか?

A: Amazon Linux 2023 に関するフィードバックは、指定された AWS 担当者、Amazon Linux ディスカッションフォーラム、または Amazon Linux 2023 の GitHub ページを通じて提供できます。 

Q: AL2023 のメジャーリリースとマイナーリリースには何が含まれますか?

A: メジャーリリース (2 年ごと) には、カーネル、ツールチェーン、glibc、openssl、および他のすべてのシステムライブラリとユーティリティを含む、スタック全体の新機能とセキュリティおよびパフォーマンスの改善が含まれます。AL2023 のメジャーリリースの一部は、アップストリームの Fedora Linux ディストリビューションの現在のバージョンに基づいていますが、Amazon は Fedora 以外の他のアップストリームから特定のパッケージを追加または置換することを選択する場合があります (Linux カーネルが kernel.org の Long Term Support の選択肢から提供され、Amazon の Linux 製品専用で維持される、など)。リポジトリ内のパッケージのメジャーリリースの更新は、下位互換性がない場合があることにご留意ください。以前のメジャーリリースからの変更の完全なリストが提供されます。これにより、パッケージレベルでインプレースアップグレードを実行できるようになります。

四半期ごとのマイナーリリース (1.1、1.2) には、セキュリティ更新、バグ修正、および新機能とパッケージが含まれます。マイナーリリースの例には、PHP などの最新の言語ランタイムや、Ansible や Docker などの他の一般的なソフトウェアパッケージが含まれます。マイナーリリースでは、アプリケーションの互換性を損なうような変更は行われません。例えば、言語ランタイムのデフォルトバージョンは安定したままですが、新しいバージョンの言語ランタイムは新しいパッケージとしてリポジトリに提供されます。

Q: メジャーリリースとマイナーリリースの更新はどのように提供されますか?

A: 更新は、新しい AMI (Amazon マシンイメージ) リリースと対応する新しいリポジトリの組み合わせを介して提供されます。デフォルトでは、新しい AMI とそれがポイントするリポジトリが結合されますが、実行中のインスタンスで更新を消費するために、時間の経過に合わせて実行中の Amazon EC2 インスタンスを新しいリポジトリバージョンにポイントすることができます。最新の AMI の新しいインスタンスを起動して更新することもできます。

Q: メジャーリリースとマイナーリリースから受け取る更新をコントロールするにはどうすればよいですか?

A: AL2023 は、リポジトリの特定のバージョンにロックします。EC2 起動ウィザードに表示される AL2023 AMI は常に最新であり、重大および重要なセキュリティ更新を含む最新のパッケージと更新が含まれています。起動ウィザードを介して AL2023 AMI を使用して EC2 インスタンスを起動すると、常に最新の更新が提供されます (AL2 の現在のエクスペリエンスと同じです)。ただし、古い AMI からインスタンスを起動した場合、更新は自動的に適用されず、プロビジョニングの一部としてインストールされた追加のパッケージは、古い AMI の構築元となったリポジトリバージョンにマッピングします。これにより、特に同じ AMI から複数のインスタンスを起動する場合に、環境全体でパッケージバージョンと更新の一貫性を確保できます。自分に合ったスケジュールに基づいて更新を適用できます。

Q: AL2023 リポジトリから利用できるパッケージの更新をコントロールするにはどうすればよいですか?

A: AL2023 リポジトリの新しいバージョンを公開しても、以前のバージョンはすべて引き続きご利用いただけます。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされます。パッケージの更新をコントロールする必要がある場合は、「dnf check-release-update」を実行して更新可能なリポジトリのバージョンを検出し、リストにあるコマンド「dnf -releasever=version update」を実行してバージョンを選択できます。その時点で、「dnf install」または「dnf upgrade」は、選択したリポジトリバージョンからのみパッケージを選択します。パッケージの更新をコントロールする必要がない場合は、「最新」バージョンを選択できます。これにより、常に最新バージョンの AL2023 リポジトリがポイントされます。これにより、ユーザーおよび既存のパッチワークフローが想定する可能性のあるパッケージ更新の従来の動作が復元されます。

Q: AL2023 は SELinux をサポートしていますか?

A: はい。SELinux は、アクセスコントロールポリシーを提供するセキュリティモジュールです。Linux サーバーをロックダウンし、悪意のあるアクティビティから保護するために、業界で広く使用されています。AL2023 内の主要なアプリケーションには、あらかじめ SELinux ポリシーが設定されており、お客様のコンプライアンスニーズに対応します。

Q: AL2023 SELinuxのデフォルトの設定はどうなっていますか？

A: AL2023 は、デフォルトでSELinuxがpermissive modeになっています。コマンドラインから 'setenforce' を実行するか、cloud-init userdata から起動時にこのコマンドを実行することで、SELinux の設定をenforced modeに変更することができます。インスタンスを再起動すると、変更しない限り、最初に指定された SELinux 設定が記憶され、使用されます。詳細については、AL2023ドキュメントを参照してください。

Q: リリース候補に含まれないが、GAまでに利用可能になるパッケージは何ですか？

A: 詳細については、Amazon Linux 2023 リリースノートをご覧ください。リリース候補版と GA 版の間の変更の例としては、Hibernation エージェントや、デフォルトで IMDSv2 のみで起動するように登録された AMI（つまり IMDSv1 を無効にしたもの）などがあります。

Q: Amazon Linux セキュリティアドバイザリが CVE をそのバージョンで修正すると主張しているのに、セキュリティスキャナーで Amazon Linux パッケージの未修正の CVE が報告されるのはなぜですか?

A: Amazon Linux は、ほとんどの Linux ディストリビューションと同様に、定期的にセキュリティ修正をリポジトリ内の安定したパッケージバージョンにバックポートします。これらのパッケージがバックポートで更新されると、特定の問題の Amazon Linux セキュリティ速報に、Amazon Linux で問題が修正された特定のパッケージバージョンが一覧表示されます。プロジェクトの作成者によるバージョニングに依存しているセキュリティスキャナーでは、特定の CVE 修正が古いバージョンに適用されたことが検出されないことがあります。Amazon Linux セキュリティセンター (ALAS) でセキュリティ上の問題や修正に関する最新情報を確認できます。

Q: FIPS 140-3 とは何ですか?

A: 連邦情報処理標準 (FIPS) 出版物140-3には、連邦コンピュータシステムのデータ保護と暗号化に関する標準とガイドラインが含まれています。暗号モジュールの有効性を検証するために、米国国立標準技術研究所（NIST）、カナダサイバーセキュリティセンター（CCCS）、および業界ワーキンググループによって開発されました。FIPS 140-3はISO/IEC 19790規格に準拠しており、現在は廃止されたFIPS 140-2規格と比較してセキュリティ要件に新たな強化が導入されています。

Q: Amazon Linux 2023 で FIPS モードを有効にするにはどうすればよいですか?

A: AL2023 で FIPS モードを有効にするには、Amazon EC2 インスタンスに必要なパッケージをダウンロードし、それに接続して FIPS モードを有効にしてください。詳細な手順については、「FIPS モードを有効にする」を参照してください。

Q: AL2023 FIPS 140-3 検証の現在のステータスはどうなっていますか?

A: Amazon Linux 2023 暗号化モジュール (OpenSSL、NSS、Libgcrypt、カーネル、GnuTLS) が FIPS 140-3 検証に提出されました。2024-02-02 の時点で、5 つの暗号モジュールすべてが処理中の FIPS モジュール (MIP) リストに含まれています。MIPリストには、すべてのFIPSテストを完了し、CMVPによる審査と証明書の発行を待っている暗号モジュールが含まれています。暗号モジュール検証プログラム（CMVP）は、商務省傘下の国立標準技術研究所と、通信セキュリティ機関の支部であるカナダサイバーセキュリティセンターが共同で取り組んでいます。AL2023暗号モジュールのFIPSステータスについては、暗号モジュール検証プログラム（CMVP）のWebサイトを参照してください。

Q: FIPS 用の AL2023 モジュールをモジュールに接続したまま使用できますか?
プロセス (MIP) リスト?

A: お客様は、モジュールが MIP リストに含まれていても AL2023 暗号モジュールを使用できる場合があります。 AWS では、お客様がコンプライアンスチームに相談して、FIPS が必要なワークロードに AL2023 暗号モジュールを使用することが許容されるかどうかを確認し、必要に応じて承認を取得することを推奨しています。 

Q: CMVP で検討中の AL2023 暗号モジュールはどれですか?

Q: 提出された Amazon Linux 2023 テストの対象となるオペレーティング環境はどのようなものですか?

A: AL2023 OpenSSL、NSS、Libgcyprt、Kernel、GnuTLS はインテル、AMD、Graviton でテストされました。詳細は最終証明書に記載されます。

Q: AL2023 の長期サポートポリシーはどのような内容ですか?

A: AL2023 はパッケージの更新を提供し、AL2023 で構築されたお客様のアプリケーションのメジャーバージョン内で互換性を維持します。glibc、openssl、openssh、および dnf パッケージマネージャーなどのコアパッケージについては、AL2023 のメジャーリリースの存続期間はサポート対象となります。コアパッケージの一部ではないパッケージは、アップストリームソースによって定義されたサポートの対象となります。「dnf supportinfo packagename」コマンドを実行すると、個々のパッケージの特定のサポートステータスと日付を表示できます。コアパッケージの完全なリストは、プレビュー期間中に確定されます。より多くのパッケージがコアパッケージとして含まれることをご希望の場合は、当社までお知らせください。収集するフィードバックに基づいて評価を実施します。Amazon Linux 2023 に関するフィードバックは、指定された AWS 担当者、Amazon Linux ディスカッションフォーラム、または Amazon Linux 2023 の GitHub ページを通じて提供できます。