Amazon Web Services ブログ

AWS Japan Staff

Author: AWS Japan Staff

Amazon API Gatewayを使用したSAP IDocとAmazon S3の統合

Amazon Web Services (AWS)上でSAPワークロードを稼働している私たちのお客様は、同様にAWS上のデータレイクソリューションを使用することでデータと分析の変換に投資されています。これらのお客様は、さまざまなサードパーティソリューションを使用してSAPアプリケーションからデータを抽出することがあります。ただし、パフォーマンス向上とコスト削減のために、AWSソリューションを使用するネイティブ統合も必要とされています。 これらのお客様がSAPアプリケーションからデータを抽出するために使用する一般的なパターンは、IDocインターフェース/電子データ交換です。SAP NetWeaver ABAPベースのシステムは、長い間IDocをサポートしています。IDocは非常に安定したフレームワークであり、SAPシステムと非SAPシステム間でのマスターデータとトランザクションデータの配信を支えます。 SAP IDocをAmazon Simple Storage Service (Amazon S3)と統合するためのアーキテクチャ上のアプローチは、ブログ記事「Integrating SAP’s IDOC Interface into Amazon API Gateway and AWS Lambda」のように、既にSAPコミュニティで公開されています。しかしながら、これらのアプローチでは、本稼働環境で使用する上で重要なセキュリティ面がカバーされていません。不正なユーザーの脅威から守るためにビジネスクリティカルなAPIを保護することは重要です。 このブログ記事では、AWS Lambda オーソライザーとAmazon Cognitoで認証レイヤーを提供し、Amazon API Gatewayを使用してSAP IDocをAmazon S3に格納する方法を紹介します。

Read More

SAPファイル転送ワークロードのためのAWS Transfer for SFTP – 第1回

この記事は、AWSでパートナーソリューションアーキテクトを務めるKenney Antoney Rajanによるものです。 SAPのようなエンタープライズリソースプランニング (ERP)ソフトウェアを使用する多くの組織は、セキュアファイル転送プロトコル (SFTP)サーバーを稼働および保守して、ビジネス上の重要なデータをSAPから外部のパートナーシステムに安全に転送しています。この一連のブログ記事では、SAP Process Integration (SAP PI)とSAP Process Orchestration (SAP PO)、およびSAP Cloud Platform IntegrationとAWS Transfer for SFTP (AWS SFTP)を統合するための手順を紹介します。また、AWS SFTPがAmazon Simple Storage Service (Amazon S3)に格納するデータを後処理分析に使用する方法も紹介します。

Read More

SAP S/4HANAでのSAP FioriとAWS Single Sign-Onの統合

この記事は、AWS SAP Global Specialty Practiceでシニアコンサルタントを務めるPatrick Leungによるものです。 SAP Global Specialty PracticeにおけるAmazon Web Services (AWS)のプロフェッショナルサービスの一環で、AWS上でのSAPの設計と展開に関してお客様を支援することがよくあります。SAPのお客様は、Amazon Elastic File System (Amazon EFS)やAWS Backupなどのフルマネージド型のAWSサービスを利用して、インフラストラクチャの運用やその他の付加価値を生まない無駄な作業からチームの負担を軽減することができます。 本ブログ記事では、AWS Single Sign-On (AWS SSO)を使用して、SAPユーザーが毎回ログインとログアウトすることなくSAP Fiori launchpadにアクセスできるようにする方法を紹介します。このアプローチにより、SAPユーザーにとって望ましいユーザー体験を提供し、エンタープライズセキュリティの完全性が確保されます。数回クリックするだけで、初期投資や独自のSSOインフラストラクチャを運用するための継続的なメンテナンスコストをかけずに、可用性の高いAWS SSOサービスを有効にできます。そのうえ、AWS SSOを有効にするために追加費用はかかりません。

Read More

Linux Kernel TCP SACK サービス妨害問題

【日本語訳】日本時間 2019年06月25日10:00 最終更新: 2019/06/18 11:45 PM PDT CVE 識別子: CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 Amazon Elastic Container Service (ECS) 2019年6月17,18日にパッチがあてられた Amazon Linux および Amazon Linux 2 のカーネルで更新版の ECS 最適化 Amazon Machine Image (AMI) が提供されました。最新バージョンの入手方法を含む ECS 最適化 AMI に関する詳細は https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-optimized_AMI.html をご覧ください。 Amazon GameLift Linux ベースの Amazon GameLift インスタンス向けの更新版の AMI が、全リージョンで利用可能です。Linux ベースの Amazon GameLift インスタンスを使用しているお客様は更新版の AMI で新規フリートを作成されることをお勧めします。フリートの作成に関する詳細は https://docs.aws.amazon.com/gamelift/latest/developerguide/fleets-creating.html をご覧ください。 […]

Read More

アマゾン ウェブ サービス(AWS)クラウドサポートエンジニア 新卒向けインターンシップのご紹介

アマゾン ウェブ サービス(AWS)では2019年 夏にクラウドサポートエンジニア(CSE)とソリューションアーキテクト(SA)の新卒向けインターンシップを開催します。今回の記事では昨年度AWSのオフィス(目黒)で行われたCSEインターンシップについてご紹介します。   クラウドサポートエンジニア(CSE)とは アマゾン ウェブ サービス(AWS)は、世界中で数百万のお客様に選ばれているクラウドサービスです。クラウドサポートエンジニア(CSE)は、AWSをご利用頂いているお客様の技術的課題の解決や、より効果的に使っていただくための提案をするエンジニアポジションで、お客様からのサポートケース(テキスト/電話/チャット)を通し、サービスの使い方からアーキテクチャのベストプラクティス、高度なトラブルシューティング方法など様々な技術情報を提供し、より良いソリューションを提案します。また、カスタマーコミュニティへのチュートリアルの提供や技術関連記事の投稿、各種イベントへの登壇などAWSの啓蒙活動も行なっており、活動は多岐に渡ります。最先端の幅広い技術領域の習得と活用ができるポジションです。   CSEインターンシップの概要 CSEインターンシップは、クラウドサポートエンジニアの業務の一部や問題解決の手順を実際に体験できるプログラムです。本インターンシップでは、AWSのサービスについて実践的な研修を受け、個人及びグループ課題に取り組みます。ご自身の技術力を活かすことはもちろん、研修や課題解決を通してスキルアップを目指すことも可能です。また、新入社員や海外で活躍する日本人エンジニアとのオンライン座談会も予定しておりますので、AWSの社風、キャリアパス等についてもご理解いただける場となります。   以下は昨年のインターンシップにおける実際のスケジュールです。 Day 1 【AM】CSEの仕事紹介、ハンズオン 【PM】CSE疑似体験ゲーム(トラブルシューティング) Day 2 【AM】SAの仕事紹介、アイデアソン 【PM】プロジェクト(AWSを使ったアプリケーション作成) Day 3 【AM】AWSの紹介、プロジェクト(続) 【PM】サポート事例の紹介、プロジェクト(続) Day 4 【AM】シアトルCSEとのオンライン座談会、プロジェクト(続) 【PM】ダブリンCSEとのオンライン座談会、プロジェクト(続) Day 5 【AM】プロジェクト(続) 【PM】プロジェクト発表会、オフィスツアー         インターンシップ参加者の声 昨年のインターンシップへ参加し、現在CSEとして活躍している東 峻太朗さんと栗原 佳輝さんの声をインタビュー形式でお届けします。   Q)お二人がインターンシップに参加したきっかけは?   東)“AWS” という単語をたまたま耳にし、「ネットで調べてみるか」と興味本位で調べるうちに、インターンシップの存在を発見しました。CSEはAmazon の IT 部門なのかな?と最初は思っていましたが、提供しているサービスやお客様活用事例等を見ているうちに、「何か新しそう、面白そうな予感がする」「インターンシップに行って、会社のことをより詳しく知りたい!」と、そんな気持ちになりました。 栗原)大学院1年生の夏に就活に向けてインターンシップ先を探していたのですが、研究室の都合上あまり長期のインターンシップに応募することはできませんでした。そんな中、先輩から AWS が大阪で5日間の短期インターンシップを開催することを教えていただきました。最初は AWS のことをよく知りませんでしたが、調べていくうちに […]

Read More
週間AWS

週刊AWS – 2019/7/1週

みなさん、こんにちは。AWSソリューションアーキテクトの下佐粉(しもさこ)です。 今週も週刊AWSをお届けします。このシリーズでは、毎日のようにリリースされるAWSの新機能や新サービスを一週間単位でコンパクトに紹介しています。毎週火曜か水曜ぐらいを目処に更新しています。 6月はAWS Summit Tokyo & AWS Summit Osakaという2つの大きなイベントがあったのですが、これの対応でバタバタしていたら7月になっていました。もう1年の半分が終わってしまったのかと思ってビックリしています。今回は7月第1週アップデートからのピックアップですが、米国は7/4が独立記念日(祝日)だった関係でアップデートは7/1~7/3からのピックアップになっています。 では先週のアップデートを見ていきましょう。

Read More

AWS IoT Coreでブートストラップ証明書を使ったプロビジョニング

IoTデバイスを管理する上で、プロビジョニングは一つの重要な事項です。プロビジョニングとは、IoTデバイスをプラットフォームあるいはシステムに登録するプロセスです。デバイスのブートストラップ処理において、中間者攻撃などを防止するために、デバイスとIoTエンドポイントの間で相互認証を確立することが大事です。デバイス認証で現状最もセキュアな方法はデバイス証明書を使用することであり、一般的にデバイスアイデンティティ管理の第一選択肢でもあります。 このブログでは、AWS IoT CoreとAWS IoT Device Managementでブートストラップ証明書を使ったプロビジョニング方法について深掘りしていきます。AWS IoT Coreは、接続されたデバイスがクラウドのアプリケーションや他のデバイスとセキュアかつ簡単に通信することを実現するマネージド型のクラウドサービスです。AWS IoT Device Managementは大規模なIoTデバイスのセキュアなオンボード、管理、モニタリング、遠隔操作を実現するサービスです。 ブートストラップ証明書とは?なぜ必要なのか? 今回は、WiFi接続が可能な歯ブラシを取り扱う”SmartTeeth”という架空な会社のユースケースについて考えていきましょう。SmartTeethは歯ブラシの生産をサードパーティに委託しています。サードパーティの生産会社は、歯ブラシがクラウドと繋がる際のデバイス証明書を歯ブラシに組み込む必要があります。ただし、SmartTeethは歯ブラシが顧客の手元に届いてから、クラウドとどのような通信を許可するか制限したいと考えています。 初期の証明書は、歯ブラシがクラウドに繋がって自分自身を登録し、必要な権限一式が付与された証明書をリクエストすることのみを許可している状況が理想的です。さらに、このプロセスが自動化されており、SmartTeethの顧客からは透過的であること、そして歯ブラシが初めて接続する時、クラウドで必要なリソースが全て作成され、初期の証明書と実用フェーズの証明書を入れ替える部分をファシリテートする形が理想的です。 以下の図は歯ブラシの購入後に初期クレデンシャルを実用フェーズのクレデンシャルに置き換えるフローを示しています。     とあるSmartTeethの顧客がブートストラップ証明書をインストールするとします。ブートストラップ証明書は、デバイスの生産段階で各デバイスに実装される一意で低レベルの権限を持つ証明書です。この証明書には、デバイスがIoT Coreに接続し、最終的な証明書を取得するための特定のMQTTトピックとやりとりをする権限のみが定義されたAWS IoTポリシーが紐づいています。 デバイスプロビジョニングワークフロー ブートストラップ証明書を利用したデバイスプロビジョニングには3つのステップが含まれます: デバイス組立 デバイス登録 デバイスアクティベーション デバイス組立 デバイス組立とはデバイス生産プロセスにおいてサプライヤーが証明書をデバイスに埋め込むタイミングを指しています。このタイミングで一意なブートストラップ証明書がデバイスに格納されます。 このアプローチでは以下の条件を満たす必要があります: CA証明書がAWS IoT Coreに登録されており、デバイス証明書の自動登録が有効化されている デバイスには登録されたCA証明書によって署名されたデバイス証明書が生産時に格納されている デバイス登録 デバイス登録とはAWS IoT Coreのモノ(thing)としてデバイスを登録することを指しています。このプロセスでは以下の項目を実施する必要があります: AWS IoT Coreでモノとブートストラップ証明書を登録する IoTポリシーを作成し、ブートストラップ証明書にアタッチする ブートストラップ証明書とモノを関連づける 実用フェーズの証明書を(inactive状態で)AWS IoT Coreでプロビジョンする モノをAWS IoT モノのグループに、またはタイプを追加する ただし、これらを実施する前に、一つ重要なステップがあります。デバイスのサプライヤーは許可されたデバイスのリストを提供する必要があります(これをホワイトリストとも呼びます)。このファイルはデバイスIDのリストのみ、または他の属性情報を含んでいても構いません: cat ./allowed-device-list.txt demo001 demo002 demo003 デバイス登録プロセスでは、許可されたデバイスのリストに照会し、そのデバイスがサプライヤーにより保証されていることを確認します。また、ブートストラップ証明書が顧客指定のCAによって署名されていることも確認します。 […]

Read More

AWS Fargate で AWS Secrets Managerを使用して認証情報を保護する

本投稿は AWS コンテナサービスのプリンシパルディベロッパーアドボケートである Massimo Re Ferreによる寄稿です クラウドのセキュリティはAWSの最優先事項であり、コンテナチームの取り組みがその証でもあります。およそ1か月前、私たちは AWS Secrets Manager や AWS Systems Manager パラメータストアと、AWS Fargate タスクの統合機能を発表しました。 これにより Fargate のお客様は、ご自身のタスク定義から秘密情報を安全に、パラメータを透過的に利用することができます。 この記事では、秘密情報を確実に保護しつつ Secrets Manager と Fargate の統合を利用する方法の例を紹介します。 概要 AWS は複数の重要なセキュリティ上の基準を以って Fargate を高度にセキュアに設計しました。その 1つは、各Fargate タスクはそれぞれに分離境界があり、下層のカーネル、CPUリソース、メモリリソース、またはElastic Network Interface(ENI)を他のタスクと共有していないところです。 セキュリティに重点を置くもう 1 つの領域は、Amazon VPC ネットワーキング統合です。これにより、ネットワーキングの観点から Amazon EC2 インスタンスを保護する手法で Fargate タスクを保護できます。 この発表は、責任共有モデルの観点でも重要です。例えば、AWSのプラットフォーム上でソリューションを構築して実行するようなDevOpsチームは、アプリケーションコードの実行時に秘密情報、パスワード、機密パラメータをセキュアに管理する適切な仕組みや機能を必要とします。そして、プラットフォームの機能によって彼ら/彼女らがまさにそのようなことを可能な限り簡単に実行できるようにすることが私たちの役割なのです。 私たちは、時に一部のユーザーがセキュリティ面をトレードオフとして俊敏性を得るために、ソースコードに AWS 認証情報を埋め込んだままパブリックリポジトリにプッシュしたり、プライベートに格納された設定ファイルに平文でパスワードを埋め込んでいるのを見てきました。私たちは、さまざまなAWSサービスを利用している開発者が IAM ロールを Fargate タスクに割り当てることができるようし、AWS 認証情報を透過的に取り扱えるようにすることで、この課題を解決しました。 これはネイティブな […]

Read More

AWS Backup が東京リージョンに対応しました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、プロダクトマーケティング エバンジェリストの亀田です。 AWS Backupが東京リージョンに対応しましたのでお知らせいたします。 AWS Backup は、クラウド内で AWS のサービス全体のデータのバックアップの一元化と自動化を簡単に実行できる、完全マネージド型のバックアップサービスです。 バックアップポリシーを一元的に設定し、Amazon EBS ボリューム、Amazon RDS データベース、Amazon DynamoDB テーブル、Amazon EFS ファイルシステム、AWS Storage Gateway ボリュームなどの AWS リソースのバックアップアクティビティを監視することができます。バックアップ対象には Storage Gateway ボリュームのサポートが含まれているため、作成したバックアップに既存のオンプレミスデータを含めることができます。 バックアップスケジュールを作成することができ、バックアップの開始時刻、バックアップの頻度、バックアップウィンドウを指定し、AWS リソースを自動的にバックアップします。バックアップを自動的に保持または失効させる、バックアップ保持ポリシーを設定することも可能で、自動バックアップ保持管理では、バックアップを保持する期間を限定できるため、古い不必要なバックアップがストレージ利用料金を押し上げることを防ぎ、バックアップストレージコストを簡単に最小化できます。 AWS Key Management Service (KMS) と連携しバックアップデータの暗号化も可能です。 Amazon EBSのバックアップ設定を行うサンプル 1.マネージメントコンソールでAWS Backupの画面にいきます。 2.[バックアッププランの作成]を押し、[新しい作成プランの]を選び、バックアッププランに名前を付けます。 3.[ルール名]を入力し、スケジュールを設定します。[バックアップウインドウのカスタマイズ]を選びバックアップを行いたい任意の時間を選択します。 4.[数時間以内にバックアップを開始]でバックアップを行う時間を指定します。 この設定は3.のの[バックアップウインドウ]の時間と連携して動作します。 バックアップウィンドウは、そのバックアップウィンドウの開始時刻と、ウィンドウの期間 (時間単位) で構成されます。バックアップジョブは、このウィンドウ内で開始されます。使用するバックアップウィンドウがわからない場合は、AWS Backup が推奨するデフォルトのバックアップウィンドウの使用を選択できます。デフォルトのバックアップウィンドウは、午前 5 時 (UTC 時間) 開始に設定され、8 […]

Read More
週間AWS

週刊AWS – 2019/6/24週

みなさん、こんにちは。AWSソリューションアーキテクトの小林です。AWS Summit Tokyo 2019に引き続き、AWS Summit Osaka 2019も無事に終了いたしました。大阪会場にもたくさんのお客様にお越し頂き、本当にありがとうございました。7/5(金)に東京・大阪双方のサミットのダイジェストと、2019年前半の重要アップデートをまとめてお伝えするウェビナーを開催させて頂きますので、こちらにもぜひご参加ください。どのセッションやコンテンツも学ぶべき点があり、全部ご紹介したいところなのですがが時間制約の都合上、断腸の思いでご紹介する内容の絞り込みを進めています…… 週刊AWSのブログポストはコンパクトにまとめるのをモットーにしています。ですが今週はRE:INFORCEの兼ね合いもあってか、重要なアップデートが多数発表されました。今回は特大号ということで、通常よりは多めになっていますのでご承知おきくださいませ。

Read More