Amazon Web Services ブログ

AWS Japan Staff

Author: AWS Japan Staff

AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定

本日の発表をここでシェアしたいと思います。この発表は、AWS 上のビルダーの方のためのセキュリティ強化のみに留まりません。また、設定なしに利用料金不要でオンにすることが出来ます。AWS は、AWS Identity and Access Management (IAM) Access Analyzer と呼ばれる今までにない機能をリリースします。 IAM Acess Analyzer は数学的なアルゴリズムを使って AWS 上のリソースにアタッチされている アクセス制御ポリシーを分析し、他のアカウントもしくは、誰もがアクセスできるリソースが無いか見つけ出します。IAM Access Analyzer は継続的にAmazon Simple Storage Service (S3) バケット、IAM ロール、 AWS Key Management Service (KMS) キー、AWS Lambda 関数、 Amazon Simple Queue Service (SQS) キューといったリソースのポリシーを監視します。 IAM Access Analyzer によって、アクセス制御状況のインパクトを集約、可視化し、 利用されているアカウントの外側からの意図しないアクセスからリソースが保護されていることを確認出来ます。 いくつかの例をご紹介します。 IAM Access Analyzer の結果は my-bucket-1 という S3 バケットが ID 123456789012 の AWS […]

Read More

EC2 Image BuilderによるOSイメージビルドパイプラインの自動化

社会人になったばかりの頃、開発チーム向けのOSイメージビルドの仕事がアサインされたのを今でも思い出します。時間はかかるし、エラーはよく出るし、再作成とスナップショット再取得をなんども実行する必要がありました。さらに、ご想像のとおり、そのあとには大量の手動テストが控えていたのです。 OSを最新に保つことの重要性は現在も変わりません。場合によっては自動化スクリプトを開発してくれるチームがあるかもしれませんが、いずれにせよVMのスナップショットを手動で取得するという作業は、多くのリソースを消費し、都度エラー対処が要求される、時間のかかる作業であることに変わりはありません。今日ここで、EC2 Image Builderを発表できることを大変うれしく思います。これは、自動化されたビルドパイプラインによる、簡単、かつ高速にセキュアなWindows ServerおよびLinux OSイメージをビルドし保守していくためのツールです。EC2 Image Builderで作成されたイメージは Amazon Elastic Compute Cloud (EC2)で用いることができ、また満たすべき情報セキュリティ基準を遵守できるよう、セキュリティを強化することができます。今後AWSは規制を受ける業界向けに、はじめの一手として使える“Security Technical Implementation Guide (STIG – セキュリティ設定チェックリスト)”に準拠したセキュリティ強化ポリシーを提供していきます。 EC2 Image Builderパイプラインに含めることのできる設定項目は、OSイメージのレシピ、基盤の構成、イメージの配布先、それからテスト構成です。さらに、セキュリティパッチを含むソフトウェアアップデートに応じて、イメージビルドを自動実行する機能も含まれます。パイプラインにより新たなイメージが作成されたタイミングで、各AWSリージョンにイメージを配布する前に検証すべきテストの自動実行を設定することもできます。またEC2 Image BuilderをEC2 VM Import/Export機能と併用することで、オンプレミスに存在するVMDK, VHDX, OVFそれぞれのフォーマットからなるVMイメージと連携することができます。自動テスト機能ではAWS提供のテストとユーザー定義のテストを組み合わせることもできます。 それでは、EC2 Image Builderの開始方法を見ていきましょう。 OSイメージビルドパイプラインの作成 AWSマネジメントコンソールのサービス一覧からEC2 Image Builderを選択し、EC2 Image Builderマネジメントコンソールに進みます。ここで”Create Image Pipeline”ボタンをクリックします。今回はAmazon Linux 2イメージをカスタマイズしてビルドすることにします。はじめの一歩はソースになるOSイメージを選択し、イメージに適用するビルドコンポーネントを指定し、実行するテストを構成するレシピを定義するところからです。 OSソースイメージの選択では、EC2 Image Builderの提供するAWS管理のイメージを選択しました(“Select managed images”).  この手順では他にも、自分で作成したAMIや共有されたAMIを選択することもできます。AMI IDを直接指定することができます。 “Browse images”ボタンを押すとAWS管理のイメージを選択する画面が開きます。イメージを選択するには、OS名のボックス右上のラジオボタンをクリックします。 続いてイメージに適用するビルドコンポーネントを指定します。これはインストールすべき追加ソフトウェアを指定する手順です。ウィザードの”Create build component”をクリックすると、ユーザー定義の新しいビルドコンポーネント作成のためのオプションを指定することができます。新規にビルドコンポーネントを作成するには、ビルドコンポーネントの名前(と説明書き), OS種別、コンポーネント暗号化のためのAWS Key […]

Read More

AWS KMS の新機能 公開鍵暗号によるデジタル署名

AWS Key Management Service で公開鍵暗号をサポートするようになりました。AWS SDK の新しい API を使ってアプリケーションデータを保護するために公開鍵、秘密鍵のキーペアを作成、管理、利用することが可能になりました。既に提供されている共通鍵暗号機能と同様に、公開鍵暗号の秘密鍵は KMS サービスの外側には出ないカスタマーマスターキー(CMK)として生成出来ます。また、データキーとしても生成可能で、データキーの秘密鍵の部分はアプリケーションに CMK で暗号化して渡すことが可能です。公開鍵 CMK の秘密鍵の部分は、AWS KMS のハードウェアセキュリティモジュールに格納されるため、AWS 従業員を含む誰も平文のキーマテリアルにアクセスすることは出来ません。AWS KMS のサポートする公開鍵のタイプは、 RSA 2048, RSA 3072, RSA 4096, ECC NIST P-256, ECC NIST P-384, ECC NIST-521, ECC SECG P256k1となります。 リリースの背景 システム間でデジタルメッセージの整合性を保証する一般的な方法はデジタル署名です。送信者は元のメッセージに暗号アルゴリズムに基づいた暗号鍵を使ってデータ構造を追加します。これにより、暗号鍵にアクセス出来る受信者は暗号学的にメッセージが改変されていないことを確認できます。受信者が送信者が使ったのと同じ暗号鍵にアクセス出来ない場合に、公開鍵暗号によるデジタル署名の仕組みが役立ちます。送信者は鍵の公開部分をすべての受信者に公開できますが、送信者は鍵の秘密部分を使って署名をコントロールすることが引き続き可能です。公開鍵暗号は信頼されたソースコードや認証認可用のトークン、文書の電子署名、エレクトリックコマースのトランザクション、セキュアメッセージングなどに利用されています。AWS KMS は 基本的なデジタル署名と言われている機能をサポートします。これは署名オブジェクトの中に ID 情報が含まれていないものです。一般的に ID 情報をデジタル署名に添付する方式はデジタル証明書です。もしお客様のアプリケーションが署名や署名確認のためにデジタル証明書を必要としている場合には、AWS Certificate Manager のプライベート CA 機能をおすすめします。 このサービスはデジタル署名アプリケーションのためにプログラム的に暗号鍵を含んだ証明書を作成してデプロイする機能を提供します。典型的なデジタル証明書を使うアプリケーションは、Webサーバー上で通信をセキュアにするために使われるTLS 処理です。 AWS KMS […]

Read More

Amazon Braket –量子コンピューティングを開始しましょう

ほぼ10年前、エイプリルフールの日にQuantum Compute Cloudについて書きました。未来が到来し、量子アルゴリズムを作成して実際の量子コンピューターで実行する機会が得られました。本日発表する内容は次のとおりです。 Amazon Braket –科学者、研究者、開発者が1か所で複数の量子ハードウェアプロバイダーのコンピューターで実験を開始できるようにする完全に管理されたサービスです。サービスの名称は、一般に量子力学的な状態を示すために使用されるブラケット表記にインスパイアされました。 AWS量子コンピューティングセンター – カリフォルニア工科大学(Caltech)に隣接する研究センター。世界をリードする量子コンピューティングの研究者とエンジニアを集めて、量子コンピューティングハードウェアとソフトウェアの開発を加速します。 Amazon Quantum Solutions Lab – AWSの顧客をAmazonの量子コンピューティングの専門家と非常に厳選されたコンサルティングパートナーのセットと結びつける新しいプログラムです。 量子コンピューティングとは 通常の(古典的な)コンピューターは、ビットのコレクションを使用して状態を表します。各ビットは明確に0または1であり、nビットがある場合、可能な状態の数は2 ^ nです。1ビットは2つの状態のいずれかになり、2ビットは4つの状態のいずれかになります。1 MiBのメモリを搭載したコンピューターには、CPUレジスタと外部ストレージを除く2つの状態(8 * 1048576)があります。これは大きな数ですが、有限であり、計算できます。 量子コンピューターは量子ビット(qubit)と呼ばれるより洗練されたデータ表現で状態を記述します。各量子ビットは状態1または0に存在できますが、1と0の重ね合わせにも存在できます。つまり、量子ビットは両方の状態を同時に占有します。このような状態は、1組の複素数を含む2次元ベクトルによって指定でき、無限の数の状態になります。各複素数は確率振幅であり、基本的に量子ビットがそれぞれ0または1である確率です。 古典的なコンピューターは、特定の時間にそれらの2 ^ n状態のうちの1つだけになることがありますが、量子コンピューターはそれらすべてを並行して占有できます。 長期間ITに携わっていたなら、ムーアの法則によって、私がこれを書いているように2テラバイトをサムドライブに保存するメモリチップを製造できるようになったことを知っています。これを可能にする物理的および化学的プロセスは驚くべきものであり、研究する価値があります。残念ながら、これらのプロセスは量子ビットを含むデバイスの製造には直接適用されません。私がこれを書いているとき、最大の量子コンピューターには約50量子ビットが含まれています。これらのコンピューターはいくつかの異なる技術で構築されていますが、共通する2つの属性があるようです。それらは希少であり、慎重に制御された物理環境で実行する必要があります。 動作方法 量子コンピューターは、状態ベクトルの振幅を操作することにより動作します。量子コンピューターをプログラムするには、必要な量子ビット数を把握し、それらを量子回路に配線して実行します。回路を構築するとき、正しい答えが最も可能性の高いものであり、残りのすべてが非常にありそうもないようにそれを設定します。古典コンピューターはブール論理を使用しないで使って構築され、OR、およびANDゲートに対し、量子コンピューターは、重ね合わせとの干渉を使用し、使用して構築されている量子論理ゲートを、新しいとエキゾチックな名前(X、Y、Z、CNOT、アダマール、トフォリなど)で構成します。 中期暗号化とデータ保護を検討する際には、これを念頭に置く必要があります。また、ポスト量子暗号について知る必要があります。現在、s2n(TLS / SSLプロトコルの実装)には、すでに量子耐性のある2つの異なるキー交換メカニズムが含まれています。新しい暗号化プロトコルが広く利用可能になり安全に使用できるようになるには約10年かかることを考えると、大規模な量子コンピューターが利用可能になる時期を先取りするのに早すぎるということはありません。 量子コンピューティングは今日主流ではありませんが、その時が来ています。これは、古典的に解決することが困難または不可能な特定の種類の問題を解決できる非常に強力なツールです。40年または50年以内に、量子コンピューターで実行されるサービスを使用して、多くのアプリケーションが部分的に機能するようになると思います。そのため、GPUまたは数学コプロセッサーのように考えるのが最善です。それらは単独では使用されませんが、ハイブリッド古典/量子ソリューションの重要な部分になります。 私たちの目標は、いくつかの適切なユースケースを探しているあなたに、いくつかのテストや実験を行う開始する量子コンピュータについて十分に知っているようにすることです。私たちは、現実にしっかりと根ざした強固な基盤を構築し、あなたと協力して、量子の力を活用した未来に移行したいと考えています。 Amazon Braket この新しいサービスは、量子ビットと量子回路を実際に体験できるように設計されています。シミュレーション環境で回路を構築およびテストしてから、実際の量子コンピューターで実行できます。Amazon Braketは完全に管理されたAWSサービスで、各レベルでセキュリティと暗号化が組み込まれています。 ノートブックスタイルのインターフェースを介してAmazon Braketにアクセスできます。 PythonコードはAmazon Braket SDKを利用します。1行のコードで量子回路を作成できます(これは、私の同僚によると、「量子ビット0と量子ビット1が最大にもつれた (エンタングルした) ベル状態」とのこと)。 bell = Circuit().h(0).cnot(0, 1) そして別のものでそれを実行します: print(device.run(bell, s3_folder).result().measurement_counts()) 古典計算機の力を借りたシミュレーション環境に加えて、Amazon Braketがアクセスを提供するD-Wave、IonQ、およびRigettiの量子コンピュータがあります。これらのデバイスにはいくつかの共通点があります:最先端の技術であり、構築と実行に費用がかかり、通常、電気のない状態に保つ必要がある非常に極端で特殊な環境(過冷却または真空に近い)で動作します。まとめると、ほとんどの組織が量子コンピューターを所有することは決してなく、クラウドベースのオンデマンドモデルの方が適していると考えています。プロダクション規模の量子コンピューターが最初はクラウドのみのテクノロジーである場合もあります。 実際の量子コンピューターは芸術作品であり、いくつかのクールな写真を共有できることを嬉しく思います。D-Wave 2000Qは次のとおりです。 The Rigetti 16Q Aspen-4: そして、IonQリニアイオントラップ: AWS量子コンピューティングセンター […]

Read More

re:Invent 2019 12月1日のまとめ

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、プロダクトマーケティング シニアエバンジェリストの亀田です。re:Invent 2019 初日(12月1日)が終了しました。 それでは早速本日のまとめです。 Amazon SageMaker Operators for Kurbenetesがリリースされました Kubernetes用のAmazon SageMaker Operatorsは、Kubernetesを使用する開発者やデータサイエンティストがAmazon SageMakerで機械学習(ML)モデルのトレーニング、調整、デプロイを行うことを容易にします。モデルのトレーニング、モデルのハイパーパラメーターの最適化、リアルタイムの推論、およびバッチの推論にAmazon SageMaker Operatorsを使用することができ、マネージドスポットトレーニングとの連携で最大90%のコスト削減が可能です。 サポート終了のWindows Serverアプリケーションに対する新しいAWSのプログラムが発表されました 2020年1月14日に、Windows Server 2008および2008 R2のサポートは終了しますが、新しく発表されたAWSのWindows Server向けサポート終了移行プログラム(EMP)では、テクノロジと専門家のガイダンスを組み合わせて、Windows Serverの古いバージョンで実行されているレガシーアプリケーションを、AWSでサポートされている新しいバージョンに移行します。こちらにSQLServer2000の移行デモがありますのでご確認ください。 AWS IoT SiteWiseが5つの新機能と新しい価格を発表しました MQTTまたはREST APIを使用してAWS IoT SiteWiseでデータを収集し、時系列データストアに保存できるようになりました。これは、AWS IoT SiteWiseゲートウェイソフトウェアを使用してOPC-UAを通じて産業機器からデータを収集するための既存のサポートに追加されます。 数十万の資産の階層にまたがることができる工業施設の仮想表現またはモデルを作成できるようになりました。これらのモデルを使用して、単一のセンサー、組立ライン、またはサプライチェーンを表すことができます。機器データをこれらのモデルにリンクし、管理されたスケーラブルで効率的な時系列データストアに時系列としてデータを保存できます。 数学演算子と統計演算子の組み込みライブラリを使用して、機器データの変換を作成し、メトリックを計算できます。たとえば、生産プラントの全体的な機器の有効性(OEE)などの一般的な産業指標を作成および監視できます。 AWS IoT SiteWise内から、機器にリンクされた測定値と計算されたメトリックスを含むライブデータストリームを公開できるようになりました。その後、AWS IoT Coreを介してこれらのデータストリームへのMQTTサブスクリプションを設定し、カスタムアプリケーション内でデータを使用できます。 新しいSiteWise Monitor機能を使用して、AWS IoT SiteWiseに保存されている機器データを企業ユーザーに可視化する完全に管理されたWebアプリケーションを作成できます。SiteWise Monitorを使用すると、ユーザーはAWS IoT SiteWiseで取り込んでモデル化した機器データを自動的に検出して表示でき、データをほぼリアルタイムで表示したり、複数の機器やさまざまな期間の資産データの履歴を比較および分析したりできます。 Amazon EventBridge Schema Registryがプレビューリリースされました イベント構造(またはスキーマ)を共有の中央の場所に保存し、それらのスキーマをJava、Python、およびTypescriptのコードにマップするため、イベントをコード内のオブジェクトとして簡単に使用することができます。スキーマ検出機能をオンにすると、イベントバスのスキーマがレジストリに自動的に追加されます。AWSコンソール、APIから、またはJetbrains(Intellij、PyCharm、Webstorm、Rider)およびVS […]

Read More

re:Invent 2019 Midnight Madness / AWS DeepComposer

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、プロダクトマーケティング シニアエバンジェリストの亀田です。re:Invent 2019 Midnight Madnessが終了しましたので、その模様と発表された新サービス、AWS DeepComposerについてお届けします。 Midnight Madnessでは、AWS恒例のタトンカチャレンジが行われました。熱々の辛めの鳥の手羽揚げの大食い大会です。バッファローウイングとも言われます。今年も多くの方が参加し、日本からもチャレンジされた方が何名かいらっしゃったので、会話ができた方をご紹介いたします。 Media JAWS 代表 辛さを抑えるため、日本からマヨネーズを持ち込むも、怒られるチーム 昨年は決勝へ進出するも、今年は残念ながら決勝を逃したJapan Digital Designチーム Midnight MadnessのChicken Wingの大食い大会は決勝ラウンドへ。日本から参加のYukiさんが勝ち残っています!😆🍗 #reInvent pic.twitter.com/niZAHw75iK — AWS / アマゾン ウェブ サービス (@awscloud_jp) December 2, 2019 なんと日本勢で唯一決勝に進出されたYukiさん 会場は大きく盛り上がりました。(他にも参加された方で掲載希望の方がいらっしゃればhkameda@amazon.co.jpまでご連絡ください!) そしてStageではエアーバンドなどで盛り上がる中、12時ごろ、Midnight Launchと画面に大きく表示され、新しいデバイスが発表されました。 AWS Deep Composer 2017年 DeepLens、2018年 DeepRacer と発表され、2019年のDeepシリーズへの期待が高まっていましたが、AWS Deep Composerが発表されました。 ミュージカルキーボードと最新の機械学習技術を使用して、実際に音楽を作ることのできるキーボードとなり、Amazonで99ドルで発売予定です。 使い方は簡単で機械学習の難しい知識は不要です。AWS DeepComposerキーボードをコンピューターに接続してメロディを入力するか、AWS DeepComposerコンソールで仮想キーボードを演奏します。ロック、ポップ、ジャズ、クラシックから事前にトレーニングされたジャンルモデルを使用して、オリジナルの音楽作品を生成します。Amazon SageMakerとの連携で独自のカスタムジャンルを作成することもできます。その後DeepComposerは楽曲を自動で編曲し、トラックをSoundCloudに公開して、作品を共有できます。 現在プレビュー申込中です。こちらからサインアップください。 – シニアエバンジェリスト 亀田

Read More
Weekly AWS

週刊AWS – 2019/11/25週

みなさん、こんにちは。ソリューションアーキテクトの下佐粉です。 今週も週刊AWSをお送りします。最近めっきり冷え込むようになってきましたね。いよいよ冬本番が近づいてきた感じがします。 前回は大きな発表多数で「特大号」でしたが、予想通りAWS re:Invent 2019直前という事もあって、今回も多くの発表がありました。AWS IoT dayと称してIoT関連のアップデートが多数発表されたりもしましたね。 そのため今回も特大号でお送りします!米国は11月28日(木)がサンクスギビングデーなので、月~水曜までの内容です。

Read More

re:Invent 2019に向けて 2019年11月後半アップデートのまとめ 第五弾

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、プロダクトマーケティング シニアエバンジェリストの亀田です。re:Invent 2019に向けて11月15日以降発表されたアップデートを、第一弾から第四弾までお届けしてまいりました。U.SがThanks Givingで休暇に入ったため、今回で最後です。急に静かになりましたね。re:Invent 2019へ向けて最後の充電です。今回は11月27日から11月28日(米国時間基準)分をお届けします。このブログシリーズでは11月15日からのアップデートを纏めてきましたが、それ以前のAWSのアップデートをお知りになりたい方は、ソリューションアーキテクトが別途纏めている「週刊AWS」を合わせてご覧ください。毎週のアップデートから厳選されたものをピックアップしてまとめをお届けしています。 11月27日 Amazon CloudWatch Contributor Insights for Amazon DynamoDBがプレビューリリースされました DynamoDBテーブルのトラフィックの傾向を一目で確認できる新しい診断ツールです。最も頻繁にアクセスされるキーを特定するのに役立ち、テーブルのアイテムアクセスパターンを継続的に監視でき、アクティビティのグラフと視覚化が提供されます。 AWS Single Sign-onが新しくなりAzure ADユーザーのAWSアクセスを一元管理できるようになりました Azure Active Directoryを一度AWSシングルサインオン(SSO)に接続し、AWSへのアクセス許可を一元管理することができるようになり、ユーザーがAzure ADを使用してサインインして割り当てられたAWSアカウントとアプリケーションにアクセスできるようになりました。AWS SSOを使用すると、ロールまたはプロジェクトに合わせて柔軟なアクセス許可を作成し、すべてのAWS Organization管理アカウントでユーザーとグループのアクセスを一元的に割り当てることができます。個々のアカウントで追加のセットアップを必要とせずに、アカウントのすべてのアクセス許可を自動的に集中的に構成および維持します。この新しいリリースでは、SAML(Security Assertion Markup Language)2.0標準を使用してAzure ADを接続し、AWS SSOを使用してAWSアカウントへのアクセスを一元管理し、ユーザーはOffice 365サインインエクスペリエンスでサインインすることができます。 Amazon Redshiftがマテリアライズドビューをプレビューリリースしました マテリアライズドビューにより、ダッシュボード、ビジネスインテリジェンス(BI)ツールからのクエリ、ELT(抽出、ロード、変換)データ処理など、繰り返し予測可能な分析ワークロードのクエリパフォーマンスを大幅に高速化することができます。クエリの計算された結果を保存し、ソーステーブルに加えられた最新の変更をインクリメンタルに処理することでマテリアアライズドビューは効率的に維持できます。マテリアライズドビューを参照する後続のクエリは、その結果を使用して、はるかに高速に実行されるようになります。マテリアライズドビューは、フィルター、プロジェクション、内部結合、集計、グループ化、関数、その他のSQL構造を使用して、1つ以上のソーステーブルに基づいて作成できます。 – シニアエバンジェリスト 亀田

Read More

AWS IoT Device Management フリートインデックスを使用してデバイスの集約情報を取得する

AWS IoT Device Management のフリートインデックスは、機器の集約情報を取得するために、GetStatistics、 GetPercentiles、GetCardinality の3つのAPIを提供開始しました。これらのAPIを使用すると、次のような質問にすばやく回答できます。AWSIoTに接続しているデバイスの割合はどのくらいですか?デバイスのバッテリーレベルの最大値、最小値、平均値はいくつですか?OSバージョンは現在何種類ありますか? この投稿では、データセンターの温度監視シミュレーションについて説明し、フリートインデックス APIを使用してデバイスの集約情報を取得する方法を理解します。データセンターには、サーバーの温度を監視する多くのセンサーがあります。GetStatistics によって最小/最大/平均温度を取得する方法を学習します。GetPercentiles を使って温度の90パーセンタイルを取得します。また、GetCardinality を使って異常な温度のサーバーラックの数を取得します。

Read More

Kinesis と DynamoDB をイベントソースにする際の AWS Lambda の新しいスケーリング管理

AWS Lambda は、Amazon Kinesis Data Streams と Amazon DynamoDB ストリームのイベントソースで利用可能な、新しいスケーリングパラメータを導入しました。Parallelization Factor は、各シャードにおける Lambda 関数呼び出しの同時実行数を増やす設定を可能にします。このパラメータは、デフォルトでは 1 です。これによって、処理されるレコードの順序を保証しながら、シャード数を過大にスケールすることなく、より高速なストリーム処理が可能になります。

Read More