Author: AWS Japan

多数のIoTデバイスを持つ組織では、運用上の問題を特定して対処するために、複数のデバイス間で発生したイベントを追跡する効率的なソリューションが必要となります。この記事では、AcmeTrackerという架空の組織が、IoTデバイスを使用して車両のジオロケーションを追跡するサービスを提供しており、車両が予想されるジオロケーションの境界から外れるとサポートチームに通知する仕組みについて紹介します。AcmeTrackerはAWSのIoTサービスを使用してデバイスとそのデータを管理しています。各デバイスはAWS IoT CoreのFleet Provisioning機能を利用して固有のデバイスのクレデンシャル（証明書と秘密鍵）を取得し、各デバイスのジオロケーションはAWS IoT Eventsで監視しています。 今回の記事では、前述の車両監視ソリューションの運用概要を説明した後、以下のAWS IoTサービスのセットアップ方法について説明します。 AWS IoT Eventsを設定し、GPS座標を監視する AWS IoT CoreのFleet Provisioningでユニークなクレデンシャルをデバイスに設定する ソリューションの概要 とある複数の車両が特定のルートに従わなければならないシナリオを考えてみましょう。ジオロケーションの入力は、各車両を監視し、車両が予想される旅程に沿っていない場合に車両オペレータに通知するために使用されます。AcmeTrackerという組織は、プロビジョニング クレーム クレデンシャル(証明書と秘密鍵)を組み込んで製造されたIoTデバイスを提供しています。 デバイスはAWS IoT Device SDK for Pythonを使用してAWS IoTで認証するために、プロビジョニング クレーム クレデンシャルを使用します。Python以外のプログラミング言語もAWS IoT Device SDKでサポートされており、サポートされているプログラミング言語の一覧はこちらのページをご覧ください。 この車両監視ソリューションでは、以下のような一連のデータとメッセージのやり取りが行われます。 デバイスは、MQTTトピックを介してAWS IoT Coreサービスに、固有のデバイスクレデンシャルの作成（証明書と秘密鍵の作成）を要求します デバイスは、AWS IoT Coreサービスで定義されたプロビジョニングテンプレートに基づいて、MQTTトピックを介してAWS IoT Coreサービスへの登録（固有のデバイスクレデンシャルの有効化）を要求します デバイスは衛星からGPS座標を取得します デバイスは、そのGPS座標をMQTTトピックを介してAWS IoT Coreサービスにpublishします AWS IoT Coreルールエンジンは、MQTTトピックからGPS座標を取得します AWS IoT Coreルールエンジンは、そのGPS座標をAWS IoT Eventsに送信します AWS IoT Eventsサービスには検知器モデルがあり、受信したIoTイベント（GPS座標）を監視して、デバイスが想定される境界線内にあるかどうかを検出します […]

全国のAWSに関係する方・興味をお持ちの方、お待たせいたしました。今週も週刊AWSをお送りいたします。 今週の担当はソリューションアーキテクトの小林です。 ここのところ仕事をする環境の関係で、全身の筋肉が凝り固まっているような感じがしています。やはり体を動かす機会が減ってしまったのが原因だと思うので、ものは試しにラジオ体操をやってみることにしました。実際やってみると、案外全身の筋肉がほぐれてよい感じです。子供の頃、ラジオ体操なんか楽勝だと思っていたのですが、今改めてしっかりとやってみると(第一と第二を通しでやります)結構疲れることに驚いています。それだけ体が衰えているのだなと感じつつ、筋肉のコリが楽になるような気がしますので、ぜひ一度試してみてはいかがでしょうか？ それでは、先週の主なアップデートについて振り返っていきましょう。先週はアップデートの数が多かったので超大盛りです。その分説明文をぎゅっと凝縮していますので、気になるトピックは是非とも詳細を確認してください。

IT リソースへのアクセスを保護することは非常に重要です。従業員が使用するウェブベースのアプリケーションの数が増えるにつれて、ログイン認証情報を記憶しておくことは困難になります。多くの企業では、リソースへのアクセスを合理化し、従業員のルーチンを簡素化するために、さまざまな ID プロバイダーによるシングルサインオンを採用しています。Amazon Connectは、SAML 2.0準拠のIDプロバイダーを使用したコンタクトセンターへの認証を提供可能です。このBlogでは、OktaをAmazon ConnectのIDプロバイダーとして使用するために必要な手順についてご説明します。 Oktaは、SAML 2.0認証を使用したSingle Single-Onサービスとして、最も一般的に使用されているプロバイダーの1つです。Oktaのセットアップ方法は他のSAML プロバイダーの設定とほとんど同じですが、本投稿ではOktaを使用するためのステップを具体的にご説明します。これは、一般的なガイダンスであるAmazon ConnectでのID管理用にSAMLを設定するを簡略化したものになっています。

こんにちは、テクニカルソリューションアーキテクトの金澤 (@ketancho) です。先月末に「はじめの一歩」ハンズオンを公開したのですが、皆様ご覧いただけましたでしょうか？ちょうど春先の時期だったこともあり、多くの AWS 初学者の方にご視聴いただけているようでありがたい限りです。 さて、この記事ではアカウントを作った次のステップとしてぜひご覧いただきたい新作ハンズオン「アカウント作成後すぐやるセキュリティ対策」ハンズオンを紹介します。「不正な操作/動作を継続的にモニタリングする方法は？」「コストレポートってどうやって設定すればいいの？」といったアカウント開設直後にまずは抑えておきたい考え方とやっておきたい設定についてご案内します。また、記事の後半では「ハンズオンで躓いてしまったときはどうすればいい？」という方向けに、切り分けの方法も紹介しています。こちらもあわせてご覧いただければと思います。 AWS Hands-on for Beginners シリーズ一覧 前回の記事: “ハンズオンはじめの一歩” 編を公開しました！- Monthly AWS Hands-on for Beginners 2020年3月号   AWS Hands-on for Beginners とは？ AWS Hands-on for Beginners は、動画にそって実際に手を動かしながら AWS サービスについて学んでいただく無償のコンテンツです。名前の通り、初めて AWS サービスをご利用される方向けの内容ですので、学習の最初のステップとしてご活用いただけます。オンデマンド形式での配信となるので、移動時間などのスキマ時間での学習もできますし、分かりにくい部分を巻き戻して何度でもご覧いただくことができます。   [New] “アカウント作成後すぐやるセキュリティ対策” 編を公開しました 4/20(月) に AWS Hands-on for Beginners “アカウント作成後すぐやるセキュリティ対策” 編を公開しました。こちらのシリーズは、テクニカルソリューションアーキテクトの大松が担当しています。 さて皆様、AWS アカウントを作成したあとまず何をしますか？何をしましたか？ 「サーバーを立てて、ミドルウェアを入れて、アプリをデプロイします！」 分かります。動くものを早く公開したいですよね。 「この間のハンズオンでｘｘというサービスを知ったので、もう一度使ってみようかと！楽しみです！」 ありがとうございます。復習大事ですよね。 でもちょっと待ってください！その前にセキュリティ面で、最初に抑えておきたい考え方と検討していただきたい設定がございます。前回の「はじめの一歩」ハンズオンでは、ルートユーザーではなく、IAM ユーザーを使って日々の作業を進めましょう、という話をしました。しかし、それ以外にも知っておいていただきたい対策がございます。このような […]

はじめに IoTソリューションを構築するソリューションアーキテクト、開発者、およびシステム設計者は、ソリューション全体において、データとデータを操作する機能を適切に保護する必要があります。この投稿では、 AWS IoT Core を使用したマルチユーザーおよびマルチデバイスのユースケースに焦点を当て、認可ポリシーのスケーリングのためのいくつかの設計手法について説明します。デバイス、ユーザー間のカーディナリティやスケールのレベルに応じたパターンを紹介します。 AWS IoT サービス上にソリューションを構築する際のセキュリティ設計やアーキテクチャ検討時に活用頂ければと思います。 IoT デバイス、ネットワークパス、エンドユーザーデバイス、データベース、バックエンドシステムなど、データのやり取りが発生するあらゆるコンポーネントにおいてセキュリティ対策が必要です。IT セキュリティにおいて、セキュアなアーキテクチャを検討する際には、「AAA」と言われる3つのAを考慮する必要があります。 それぞれ、 Authentication （認証）、 Autorization （認可）、 Accounting （アカウンティング）または Auditing （監査）です。 AAA は、セキュリティ要件を整理し、それらの要件とソリューションアーキテクチャを対応付ける方法です。この方法により、ソリューションの利害関係者、エンドユーザー、およびコンプライアンスの専門家は、関連する重要な要件を満たすために、どのようにソリューションが設計されているかを把握することができます。 IoT ソリューションは、固有の設計要素をもつ分散システムアーキテクチャを意味します。分散システムアーキテクチャでは、補完的な分散セキュリティソリューションが必要になります。多くのお客様は、クラウド内の分散システムや、クラウドとオンプレミスのエンタープライズシステムを統合するハイブリッドアーキテクチャの ID （認証）機能を実現するために、 ID フェデレーション（ ID 連携）を使用しています。この手法は IoT のデータと機能の保護にも利用できます。 AWS ID フェデレーションオプションの詳細については、 ID フェデレーションの記事をご覧ください。 ID の強固なソリューションを導入すれば、2番目の「A」である認可の要件への対応に集中できます。 IoT ソリューションの開発者が直面する一般的な認可のユースケースに焦点を当てます。一般的に、ユーザー、デバイス間の構成は 1:1 、もしくは 1:多となることが多いため、以降ではそれらのケースについて例をご紹介します。 単純なユースケース： 1 ユーザー 1 デバイス（1:1） 1 ユーザーが 1 つのデバイスを利用するケースは、最も理解しやすく、 IoT […]

皆さんAmazon Chimeはご存じでしょうか？Amazon Chimeは組織の内外で会議やチャットなどができるサービスです。既に会議などでは多くご利用頂いてはおりますが、遠隔授業・講義でももちろんご利用頂くことが可能です。 Amazon ChimeではクライアントソフトウェアやWebブラウザ、SIPまたはH.323準拠のテレビ会議デバイスから遠隔授業に参加できます。もちろんiOSやAndroidのスマートフォンやタブレットも利用できます。またネットワーク回線が安定しない場所からの参加の場合には、電話を使用して音声での参加も可能です。 Amazon Chimeの特徴は、サービスのページ( https://aws.amazon.com/jp/chime/features/)に詳しくはありますが、同じ遠隔授業の仮想ミーティングルームへ 250 接続まで同時参加が可能です。ビデオはデスクトップは最大16名(モバイルデバイスは最大8名)の表示が可能です。遠隔授業の仮想ミーティングルームに接続すると、同一画面内にチャット領域があり、ファイルの転送も可能です。これを例えば質疑応答に使ったり、授業内で出てきたURLを共有したり、補足資料ファイルの配布などに利用したりすることができます。 また、セキュリティについても関心が高いと思われますが、Amazon Chimeはサービスに直接組み込まれたセキュリティ機能が備わっています。メッセージ、音声、ビデオ、コンテンツは AES 256 ビット暗号化を用いて暗号化されます。また、既存のディレクトリサービスと接続し、認証情報を使用して Amazon Chime にログインさせることもできます。     Amazon Chimeのセットアップ ■ 遠隔授業に参加される方 クライアントソフトウェアまたはWebブラウザでアクセスし、仮想ミーティングルームのID(設定されている場合は仮想ルームのPIN)を入力して参加します。ログインは不要です。 あらかじめ https://app.chime.aws/check から接続環境のチェック、クライアントソフトウェアのダウンロードが可能です。クライアントソフトウェアをご利用いただく方が安定してご利用いただけるかと思います。 ■ 遠隔授業を開催される方 仮想ミーティングルームの作成は、作成権限があるユーザ(Proユーザ)でログインします。必要に応じて新規の仮想ミーティングルームのIDを作成しておきます。遠隔授業に参加される方にはあらかじめ仮想ミーティングルームのID等をお伝えしておきます。授業の時間になりましたら、仮想ミーティングIDへ接続し、遠隔授業を開始します。 遠隔授業では、画面シェアできる人、発言できる人を限定したい場合があるでしょう。その場合には、クライアントソフトウェア内のメニューから開催中の遠隔授業をイベントモードに変更し、プレゼンターの指定や参加者のミュート、参加者がミュートを解除できないようにするなどの設定をします。また会議をロックすることが可能ですので、新たな参加者の参加を防ぐ設定も可能です。これらは自由にon/offできますので、授業の説明のときには、イベントモード、質疑応答の時にはイベントモードの解除といったことができます。 ■ Amazon Chimeの管理者 Amazon Chimeの環境構築は https://docs.aws.amazon.com/ja_jp/chime/latest/ag/what-is-chime.html にあります開始方法を参照していただき、AWSアカウントにログインし、Amazon Chimeのアカウントの環境構築をしてください。仮想ミーティングルームを作成できるProユーザの作成・管理も手順にしたがって人数分行い、遠隔授業を主催される先生方にProユーザをそれぞれ割り当ててください。   遠隔授業開催のTIPS ここではAmazon Chimeに限りませんが、遠隔授業開催時のちょっとしたコツをお伝えします。 １） 参加者は必要の無いときはミュートします。ノイズが入ってしまって他の方が聞きづらかったり、音が回ってしまうことを防ぎます。 ２） お話する方はできるだけヘッドセットを使いましょう。会議用のマイク・スピーカーでも良いのですが、お部屋の状況によっては音が反射してしまい、他の参加者が聞き取りづらくなることがあります。また自宅からほとんどの方は参加されると思いますが、ヘッドセットを利用すると生活音などの雑音を拾いにくくなりますので、相手方も聞き取りやすくなります。ヘッドセットが用意できない場合には、イヤホンマイク、それも難しい場合は、音はイヤホンで聞いてください。音の回り込みを減らすためです。 ３） ビデオが本当に必要かは考えましょう。ビデオを利用するとその分ネットワークの帯域を消費しますので、できるだけビデオは切るのが良いでしょう。板書などをしたいという方がおられると思いますが、残念ながら一般的にカメラ映像での板書は見づらくなります。数千円程度でタブレットが購入可能な時代ですので、タブレットとペイントソフト（またはPowerPointの描画機能）などを組み合わせ、その画面をシェア（またはアプリケーションウィンドウのシェア）してあげることで、見やすくしてはどうでしょうか。また妨害やストーカー行為などを懸念される先生方もいらっしゃるでしょう。その観点からも必要無ければ参加のビデオをoffとするのも良いでしょう。 ４） セキュリティには気をつけましょう。大学等の講義であれば参加者を厳密に管理する必要性はないかもしれませんが、学校などで参加者を限定したい場合には、仮想ミーティングIDの他にPINを設定しておくなどの必要があるでしょう。またAmazon Chimeの管理者はどの地域で仮想ミーティングをホストするのかの選択も可能です。 ５） 可能であれば、事前に資料（や動画・音声）などをLMSなどで配信しておくことでネットワーク負荷を分散させることができるかもしれません。コンテンツはトピックごとに5〜15分程度におさまるようにしておくのが良いでしょう。一部コンテンツが古くなってアップデートする際に、全部変えなくても良くなり、再利用性が高まります。また授業時間を事前学習時間分短くし、双方向のオンライン授業では質疑やディスカッションの場にするのも面白いかもしれません。 […]

IoT@Loft の第9回目は「IoTにおけるカメラ・動画の扱い方」をテーマに、初のオンライン開催を行いました。 見守りカメラや監視カメラ、ドライブレコーダーやロボットなど、IoTではカメラや動画を扱う様々なユースケースが存在します。一方で、デバイスやメディアを取り扱う際には、セキュリティやスケーラビリティなどのIoTならではの課題があります。また、Webカメラの普及や低価格化により、デバイスだけではなくサービスとしての差別化が必要になってきており、例えばクラウド側やエッジ側での認識技術などと組み合わせることによる付加価値の提供も重要です。 この回では、エッジAI処理カメラやIoT通信プラットフォームを提供されているソラコム様、防犯カメラのクラウドサービスを提供されているセーフィー様に登壇いただき、カメラデバイスや動画を扱うサービスやソリューションにおけるAWSのユースケースや課題についてお話しいただきました。また、AWSからは、IoTにおける動画ソリューションの構築方法やその事例について紹介しました。

こんにちは！AWS テクニカルトレーナーの冨田修平です。様々なクラスルームトレーニングとプライベートオンサイトトレーニングを担当しています。 さて、本日は AWS トレーニングの新コース「Planning and Designing Databases on AWS」を紹介します。既に以下のリリース記事の通り、本コースは 2020年1月 に発表された新コースです。そして、日本では 2020年6月 から受講できることになりました。 新しい 3 日間のクラスルームコース: Planning and Designing Databases on AWS コース概要 AWSにおける設計のベストプラクティスの一つに”適切なデータベースソリューションを選択する”があります。 適切なデータベースとは何でしょうか？ 一般的にはデータベースといえばリレーショナルデータベースが多く使われていますが、不向きなケースもあります。例えばデータの項目が様々で事前にスキーマを定義しておくことが難しいケース、一秒間に数十万、数百万回など非常に高い頻度のアクセスが必要なケース、大量のデータを高速に並列処理しなければならないケースなどがあります。このトレーニングに登場するさまざまなデータベースはこういったリレーショナルデータベースが不得意とする領域をカバーすることができますが、逆にリレーショナルデータベースの得意とするトランザクションやデータの一貫性が不得意なケースもあります。大規模なシステムを構築、もしくは既存のシステムをリファクタリングする際には、データモデル、データベースごとの機能/非機能要件に合わせた使い分けが重要となります。 「Planning and Designing Databases on AWS」はまず様々なデータベースを使い分けるための基礎となる原則や概念について学びます。続いて、AWSの8つのマネージドデータベースサービスについて、それぞれに適したワークロードとデータモデリング、リソースの設計について学習します。 参考までに本コースの「モジュール構成」を以下に載せます。演習（ラボ）もあります。 モジュール 1 : Database Concepts and General Guidelines モジュール 2 : Database Planning and Design モジュール 3 : Databases on Amazon […]

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン シニアエバンジェリストの亀田です。 昨今、世の中の状況の変化に伴い、ITリソース使用量の増減の振れ幅が大きく、また予測が難しい、通常とは異なるビジネスの状況に多くのお客様が直面しています。また、その状況に対応するためリソースの流動性を確保するためにシステムをクラウドへ移行するケースが増えています。既存システムのクラウド移行にはいくつかのアプローチがありますが、稼働中のシステムを移行させる場合、移行作業の影響を最小限にするため、Lift & Shiftという手法がとられます。システムアーキテクチャやアプリケーションへの変更を極小化したなるべく同じ状態でクラウドへシステムを移行し、稼働後必要に応じて適宜アーキテクチャ、アプリケーションなどを最適化していく方法です。一度クラウド化されたシステムはそのコピーを容易に作成させることができるため、リソースが有限であるオンプレミス上でシステム変更を行うよりは効率の良い移行方法といえます。 この際、アーキテクチャやアプリケーションへの修正影響範囲を極小化したまま、AWSのコストを最適化させる方法もいくつか存在しています。これは移行にかかわらずAWSを利用している全てのお客様が検討すべきであり、かつ迅速に効果が見込められる9つのコスト最適化のためのツールとアプローチをこのブログにて3回連載で取り上げます。 #1　未使用状態のAmazon EC2やAmazon RDS インスタンスへの支払いを止める #2　未使用状態の Amazon Redshift クラスターへの支払いを止める #3　Amazon S3 Intelligent-Tieringを有効にする #4　Amazon DynamoDB にはオンデマンドのキャパシティーモードを利用する #5　十分に活用されていないEC2 インスタンスへの支払いを止める #6　十分に活用されていないネットワークリソースを削除する #7　EC2 スポットインスタンス を利用する #8　Compute Savings Plans を利用する #9　リザーブドインスタンスを利用する いずれも迅速なコスト最適化が実現できる方法です。いくつかはAWSリソースの設定並びに管理方法の変更を必要としますが、特に８、９は購入オプションの変更により即時コストを削減可能となります。この第一回目の記事では、#1から#3を取り上げます。 #1 未使用状態のEC2やRDS インスタンスへの支払いを止める 開発環境、テスト環境などの本番環境以外で実行されているワークロードや、ミッションクリティカルでないワークロードなどにおいて、夜間、週末および祝日で、利用していない時間帯のEC2やRDSの費用を支払っている可能性があります。AWS では、AWS CloudFormationで事前に構築された以下の図において、AWS Instance Schedulerと呼ばれるソリューションを用いることで、インスタンスのスケジューリングを容易に実行することができます。AWS Instance Schedulerは、EC2 および RDS インスタンスの開始と停止のスケジュールを簡単に設定できるシンプルなソリューションです。 このソリューションは導入が容易で、AWS利用コストだけではなく運用コストの削減にも有効です。 インスタンスのスケジューリングにより、クラウドの伸縮自在な性質を活用し、必要な分だけ料金を支払うことができます。例えば、以下のグラフでは、EC2 インスタンスのコストを削減するために週末の稼働時間を削減していることを確認できます。 環境のサイズや複雑さに応じて、実装に数分から数時間かかります。このソリューションを使用して、金曜日の午後 6 時から月曜日の午前 6 […]

本投稿は ワールドワイドで金融業界を担当している プリンシパルソリューションアーキテクト の Ilya Epshteyn による寄稿を翻訳したものです。 グローバル展開されている金融事業グループの中でプリンシパルソリューションアーキテクトとして、私が最もよく聞かれる質問の1つは、特定の AWS サービスが 金融サービスで利用可能かどうかです。金融サービスのような規制された業界では、クラウドへの移行は単純なリフト＆シフト作業ではありません。代わりに、金融機関は、 一般的にホワイトリストと呼ばれる秩序だったサービスごとの評価プロセスを使用して、クラウドサービスが規制上の義務にどのように対応できるかを実証しています。このプロセスが明確に定義されていない場合、クラウドにデータを移行する作業が遅れる可能性があります。 この記事では、最も機密性の高いデータに対するクラウドサービスのホワイトリスト化を簡素化するため、金融機関が焦点を当てるべき 5つの重要な考慮事項 で構成されるフレームワークについてご説明します。また、⾦融サービス組織がこの作業をする上で役⽴つ重要な AWS 機能についても概説します。 5 つの重要な考慮事項は、以下の通りです： コンプライアンスの達成 データ保護 コンピューティング環境の隔離 API による監査の自動化 運用上のアクセスとセキュリティ 私がこれまで関わってきたビジネスリーダーやテクノロジーリーダーの多くにとって、俊敏性と素早い変革がクラウド化の最大の推進要因です。金融サービス機関はクラウドに移行することで、パーソナライズされたデジタルエクスペリエンスの開発、データサイロの打破、新商品の開発、既存商品の利益率の向上、グローバルなリスクとコンプライアンス要件への積極的な対応を行いやすくしています。幅広い AWS サービスを使用する AWS のお客様は、クラウド導入の段階を進むにつれて俊敏性を高めることができるようになります。幅広いサービスを使用することで、組織は差別化につながらない面倒な部分を AWS に任せて、コアビジネスと顧客に集中することができます。 私の目標は、金融サービス機関が（本番環境とミッションクリティカルなワークロードの両方で）自社の極めて機密性の高いデータをクラウドに移行することに対し、ガイドを提供することです。以下の考慮事項は、金融サービス組織がクラウドサービスへの準備状況を判断し、クラウドで成功を収めるのに役立つでしょう。 1. コンプライアンスの達成 ホワイトリストのプロセスを使用する金融機関にとっての最初のステップは、クラウドサービスプロバイダー (CSP) のサービスの基盤となるコンポーネントが、基準となるコンプライアンスのベースラインを満たせるようにすることです。これについて確信を持つための重要な前提条件は、 AWS 責任共有モデルを理解することです。責任共有とは、AWS 上でアプリケーションが安全に機能するためには、CSP としてのAWSおよびお客様との両者でのアクションが必要であることを意味します。AWS のお客様は、クラウド 内 のセキュリティに責任があります。お客様は、コンテンツ、アプリケーション、システム、ネットワークのセキュリティを制御および管理します。 AWS は、 クラウドの セキュリティを管理し、サービスと機能の適切な運用の提供および維持し、AWS のインフラストラクチャとサービスの保護、運用上の優秀性の維持、関連する法的および規制要件を満たします。 責任共有モデルのAWS 側への信頼を確信するために、お客様は、独立した第三者監査人が作成したAWS System and Organization Controls […]