Amazon Web Services ブログ

AWS Japan Staff

Author: AWS Japan Staff

Amazon Route 53 および AWS Shield を使用した DDoS リスクの軽減

2016 年 10 月後半に、著名な DNS プロバイダーが、複数のサービス妨害攻撃で構成された大規模なサイバー攻撃の標的となりました。数千万の IP アドレスからの大量の DNS 参照で構成された攻撃により、多くのインターネットサイトやサービスが北米および欧州のユーザーに対して利用できなくなりました。プリンター、カメラ、家庭用ネットワークゲートウェイ、さらにはベビーモニターといったさまざまなインターネッツ接続デバイスで構成されたボットネットを使用して、この分散サービス妨害 (DDoS) 攻撃が実行されたと考えられます。これらのデバイスは Mirai マルウェアに感染し、1 秒あたり数百ギガバイトのトラフィックを生成しました。多くの企業ネットワークや教育ネットワークは、このような規模のボリューメトリック攻撃を吸収するだけのキャパシティーを持っていません。この攻撃や、それ以前のその他の攻撃を受けて、さまざまなタイプの DDoS 攻撃に対してより弾力性の高いシステムを構築できるようにするための推奨事項やベストプラクティスについてお客様から当社に問い合わせがありました。簡単な回答としては、スケール、耐障害性、および緩和を組み合わせ (詳細については「AWS Best Practices for DDoS Resiliency」ホワイトペーパーを参照)、 および を利用することです (詳細については、「AWS Shield – Protect Your Applications from DDoS Attacks」を参照)。 スケール – Route 53 は数多くの AWS エッジロケーションでホストされ、大量の DNS トラフィックを吸収することができるグローバルな対象領域を作成します。 と を含むその他のエッジベースのサービスにもグローバルな対象領域があり、大量のトラフィックを処理することができます。 耐障害性 – 各エッジロケーションには、インターネットへの数多くの接続があります。これにより、多様なパスが可能になり、障害の分離と阻止に役立ちます。また、Route 53 はシャッフルシャーディングとエニーキャストストライピングを使って可用性を高めます。シャッフルシャーディングでは、委託セットの各ネームサーバーがエッジロケーションの一意のセットに対応します。この配置によって耐障害性が向上し、AWS のお客様間の重複が最小化されます。委託セットの 1 つのネームサーバーが利用できない場合、クライアントシステムまたはアプリケーションは別のエッジロケーションのネームサーバーを再試行し、レスポンスを受け取ります。エニーキャストストライピングは、最適な場所に DNS リクエストをダイレクトするために使用されます。これは、負荷を分散して […]

Read More

新機能 – AWS OpsWorks for Chef Automate

は、Chef を使用したアプリケーションの設定と実行に役立ちます。ドメイン固有言語 (DSL) を使って、アプリケーションのアーキテクチャと各コンポーネントの設定を定義するクックブックを記述します。Chef サーバーは、設定プロセスで不可欠な要素です。このサーバーはすべてのクックブックを保存し、各インスタンス (Chef の用語ではノード) の状態情報を追跡します。Chef サーバーは新しく起動されたインスタンスが設定されるときは重要なパスにあるため、信頼性が高い必要があります。多くの OpsWorks および Chef ユーザーは、この重要なアーキテクチャコンポーネントを自分でインストールして維持しています。本稼働スケールの環境では、これによりバックアップ、復元、バージョンのアップグレードなどをユーザーが処理する必要があります。 新しい AWS OpsWorks for Chef Automate 今月初めに、AWS OpsWorks for Chef Automate が ステージから開始されました。Chef Automate サーバーは、わずか 3 回のクリックで起動し、数分以内に使用を開始することができます。Chef Supermarket をはじめ、Test Kitchen や Knife などのコミュニティツールからのコミュニティクックブックを使用できます。Chef Automate を使用すると、アプリケーションのインフラストラクチャのライフサイクルを通じてインフラストラクチャを管理できます。たとえば、新しく起動した EC2 インスタンスは自動的に Chef サーバーに接続し、自動関連付けスクリプトを使用して、指定されたレシピを実行できます (詳細については、「AWS OpsWorks for Chef Automate でのノードの自動的な追加」を参照)。登録スクリプトを使用して、Auto Scaling グループを通じて動的に作成された EC2 インスタンスを登録し、オンプレミスサーバーを登録できます。 詳しく見る OpsWorks コンソールから […]

Read More

毎日集計される料金表の通知 ~ AWS料金表API

昨年、AWS のお客様とパートナーから、AWS のサービスの料金を取得するためのシステム的な方法を求める要望が寄せられました。このニーズに対して、昨年 12 月に 13 の AWS のサービスの料金を対象とした AWS の料金表 API を発表しました。この API は、ダウンロード用に JSON および CSV 形式で料金表データを提供し、お客様は AWS のサービスの料金を問い合わせることができます。料金表 API では、Amazon SNS 通知を通じて料金変更の更新情報を受け取ることもできます。 AWS 料金表の API の拡張 過去 3 か月に、当社は AWS の料金表 API サービスを拡張し、すべての AWS のサービスについて料金表データを提供するようにしました。クラウドベースのソリューションの構築またはクラウドへのオンプレミスワークロードの移行に関するコスト分析を行っているお客様は、AWS のサービスの包括的な料金表にこれまでよりも簡単にアクセスできます。これにより、お客様とパートナーは、クラウドソリューションの予算、予測、および計画をより詳細に管理できます。AWS の料金表 API の拡張に加えて、お客様はサインアップして割引料金、新しいサービスやインスタンスタイプの通知を受け取ることができます。通知の受信のサブスクライブの際は、更新情報を受け取るタイミングをカスタマイズでき、1 日 1 回、または料金の更新が発生するたびに設定できます。1 日 1 回の通知を選択した場合、SNS 通知にはその日に適用されたすべての料金変更が含まれます。料金表 API にサブスクライブした場合に受け取る E メール通知のサンプルを次に示します。 料金表 API […]

Read More

事前にご確認ください – AWSにおける2016年12月31日(日本時間2017年1月1日)のうるう秒

2016年末最後の数秒をカウントダウンする場合は、最後に1秒を追加するのを忘れないようにしてください! 次回のうるう秒(通算27回目)が、UTC(世界標準時)の2016年12月31日 23:59:60として挿入されます(訳注:日本標準時では2017年1月1日 8:59:60になります)。これは地球上での時刻(協定世界時)と太陽時(天文時)とのずれを小さくするために行われ、この結果、UTCでは今年最後の1分は61秒あることになります。 参考)「うるう秒」挿入のお知らせ(総務省) 前回のうるう秒の際に出した情報(事前にご確認ください – AWSでのうるう秒対応)は引き続き有効で、今回も同様に処理されますが、少しの違いと進展があります: AWS調整時刻(AWS Adjusted Time) –うるう秒挿入前後の24時間の期間にわたって、うるう秒の1秒を少しずつ分散します(UTCで12月31日の11:59:59から、2017年1月1日12:00:00まで)。AWS調整時刻と協定世界時はこの期間が終了後に同期します。(訳注:この期間の1秒をごくわずかに遅くすることで、追加される1秒を長い時間のなかに分散する方法であり、これは前回うるう秒挿入時と同じ挙動です。詳しくは前回の情報をご確認ください。) Microsoft Windows – Amazonによって提供されたMicrosoft WindowsのAMIを利用しているインスタンスは、AWS調整時刻に従います。 Amazon RDS – 大多数のAmazon RDS インスタンスは (UTCで設定されている場合)“23:59:59” を2回記録します。しかし、Oracle 11.2.0.2、11.2.0.3、12.1.0.1 はAWS調整時刻に従います。Oracle 11.2.0.4と12.1.0.2について詳細な情報が必要な場合はAWSサポートにお問い合わせください。 サポートが必要ですか? このうるう秒挿入についてご質問がある場合は、AWSサポートにコンタクトいただくか、EC2フォーラムにポストしてください。 — Jeff; 翻訳:下佐粉 昭(@simosako) 原文:https://aws.amazon.com/blogs/aws/look-before-you-leap-december-31-2016-leap-second-on-aws/

Read More

EC2 Systems Manager – EC2 およびオンプレミスのシステムの設定と管理

去年、EC2 Run Command をご紹介して、最初に EC2 インスタンスで、次いでハイブリッドおよびクラウド間の環境で大規模なリモートのインスタンス管理をするための使い方をご説明しました。その過程で、Linux インスタンスのサポートを追加したため、EC2 Run Command は幅広く応用できる非常に便利な管理ツールになりました。 ファミリーへようこそ Werner が EC2 Systems Manager を で発表したので、ついにお話しできるようになりました。これは、同じように便利な 8 つの機能と共に EC2 Run Command の強化版を含む新しい管理サービスです。EC2 Run Command と同様に、Windows と Linux を実行するインスタンスとサービスで構成されたハイブリッドおよびクラウド間の環境をサポートします。 を開き、管理するインスタンスを選択して、実施するタスクを定義します (API および CLI のアクセスも可能)。機能拡張と新機能の概要を次に示します。 Run Command – コマンドの実行速度を制御し、エラー率が高くなりすぎたときにコマンドの発行を停止できるようになりました。 State Manager – 定期的に適用される、ポリシーで定義されたシステム設定を維持します。 パラメーターストア – ライセンスキー、パスワード、ユーザーリスト、その他の値の一元管理型 (オプションで暗号化された) ストレージを提供します。 メンテナンス時間 – 更新のインストール、その他のシステムメンテナンスの時間枠を指定します。 ソフトウェアインベントリ – 各インスタンスから、詳細なソフトウェアおよび設定のインベントリ (ユーザー定義の追加を含む) […]

Read More

AWS コストエクスプローラーの更新 – リザーブドインスタンス使用率レポート

コストエクスプローラーは、レポートおよび分析ツールを使用して AWS の使用率を管理できるようにするツールです (詳細については、「The New Cost Explorer for AWS」を参照してください)。1 回クリックするだけでサインアップし、AWS コストの視覚化、傾向の分析、使用率のパターンの確認ができます。使用率は、事前定義された一連のビュー (サービス別、リンクされたアカウント別、日次など) で確認できます。関心のある特定の領域にドリルインしたり、カスタムフィルタを設定したりできます。エンタープライズ規模の AWS のお客様は、リザーブドインスタンスで実現されるコスト削減 (オンデマンドと比較した場合、最大 75%) を常に活用できます。こうしたお客様は、一般的に数千ものリザーブドインスタンス (RI) のサブスクリプションを持っていて、それらを十分に活用できていることを確認したいと考えています。 新しいリザーブドインスタンス使用率レポート 本日、コストエクスプローラーに新しいリザーブドインスタンス使用率レポートが追加されます。リンクされたアカウント間で分散された数千のサブスクリプションにユーザーが増えても、組織全体にわたり RI 全体の使用率を追跡し、管理する機能が得られます。また、1 年前まで遡って、使用率全体または個別の RI の使用率を確認することもできます。さらに、1 年前まで遡って、使用率全体または個別の RI の使用率を確認し、RI 使用率のしきい値を定義して、それに対する実際の使用率をモニタリングすることもできます。事前に定義されたターゲットを使用率が下回っている RI サブスクリプションが見つかった場合、ドリルダウンしてアカウントの所有者、インスタンスタイプ、および未使用の時間を確認できます。また、コストエクスプローラーで提供される既存のフィルタリング関数にすべてアクセスできます。私は数千のリザーブドインスタンスを所有していないので、サンプルのスクリーンショットとテストデータを使って、このレポートの外観と使用方法を示します。新しいレポートはコストエクスプローラーのメニューから日次または月次で利用できます (このメニューには、私が定義した 3 つのレポートが含まれています)。 RI 使用率の日次レポートを次に示します。 RI は RI 使用率の降順に表示されています。デフォルトでは、最も使用されていない RI がリストの先頭に表示されます。クリックすると、時間の経過に伴う使用率と、RI に関する詳細情報が表示されます。 特定の RI に注目するため、インスタンスタイプまたはその他の属性別にフィルタできます。 必要な時間範囲も設定できます。インスタンスタイプでフィルタして時間範囲を設定することで、先月に d2.8xlarge RI を十分に活用したことを次のように確認できます。 使用率ターゲットを目的の割合に設定でき、それが基準線としてグラフに表示されます。ここでは、6 月に使用率が 80% […]

Read More

新機能 – Amazon Cognito グループ、およびきめ細かなロールベースのアクセス制御

アプリケーションの構築における課題の 1 つは、ユーザー認証と管理に関する事柄です。この課題に直面しても、多くの開発者はアプリケーション用の別のユーザー ID と認証システムを構築したいとは考えていませんし、必要な場合を除いてユーザーにさらに別のアカウントを作成させたいとも思っていません。Amazon Cognito では、アプリケーションのデータとバックエンドシステムにアクセスするために、開発者がユーザーの ID、認証、および権限を簡単に管理できるようになっています。それに加えて、開発者がアプリケーションの異なるユーザーに異なる権限を割り当てるのを簡単にするサービス機能があればどんなによいでしょう。本日、Cognito ユーザープールがグループをサポートし、Cognito フェデレーション識別がきめ細かなロールベースのアクセス制御 (RBAC) をサポートするようになったことが発表されました。Cognito でのグループのサポートにより、開発者は異なるユーザータイプとアプリケーションの使用権限を表すグループを作成して、ユーザーのアプリケーションエクスペリエンスを簡単にカスタマイズできます。開発者は、グループからのユーザーの追加や削除、およびユーザーのセットに対してグループで権限を管理できます。権限に関しては、Cognito フェデレーション識別でのきめ細かなロールベースのアクセス制御 (RBAC) のサポートにより、開発者は異なる認証をされたユーザーに異なる IAM ロールを割り当てられます。これまで、Amazon Cognito ではすべての認証されたユーザーに対して 1 つの IAM ロールのみをサポートしていました。きめ細かな RBAC を使用すると、開発者はフェデレーティッドユーザーに異なる IAM ロールをマッピングすることができます。この機能は Facebook や Active Directory などの既存の ID プロバイダーと Cognito ユーザープールを使用したユーザー認証の両方で利用できます。 Cognito ユーザープールのグループ 新しい Cognito のグループの機能について調べる最善の方法は、Amazon Cognito コンソールで新しいグループを作成して、さまざまなグループタイプにユーザーを追加してみることです。   [my user pool]、[TestAppPool] を選択すると、[Users and groups] という更新されたメニュー項目があります。メニューオプションを選択すると、パネルに [Users] と [groups] […]

Read More

Amazon ECS – Windows コンテナ (ベータ版) のサポート

お客様がコンテナベースのコンピューティングについて習熟していて、コンテナ化の価値について少なくとも基礎的な理解があることを心から願っています。私が 2014 年に述べたように、クラウドベースのアプリケーションをコンテナのコレクションとしてパッケージ化し、それぞれを宣言により指定することで、開発環境と本稼働環境の一貫性、アーキテクチャベースとしての分散アプリケーションプラットフォーム、開発効率、運用効率など、数多くの利点が得られます。当社は 2014 年後半に、Linux コンテナのサポートを含む をリリースしました。今年は、これまでにアプリケーションの負荷分散のサポート、ECS タスクの IAM ロール、サービスの Auto Scaling、Amazon Linux コンテナイメージ、Blox オープンソーススケジューラを追加しました。 Windows コンテナのサポート 本日は、ECS の一連のリリースを継続し、Windows コンテナのベータレベルのサポートを追加します。当社が本稼働環境での使用に向けてこの機能を最終的に完成させる間、お客様は Windows アプリケーションのコンテナ化とテストを今すぐ開始できます。使用を開始するには、クラスターの作成時に Windows Server 2016 Base with Containers AMI を指定するだけです (同じクラスターに Linux と Windows を混在させることはできません)。また、Windows コンテナ AWS CloudFormation テンプレートを開始点として使用することもできます。テンプレートは VPC で実行され、コンテナインスタンスの設定可能な数で Windows を利用するクラスターが作成されます。また、IAM ロール、Application Load Balancer、セキュリティグループ、Amazon ECS タスク定義、Amazon ECS サービス、および Auto Scaling ポリシーも作成されます。テンプレートはそのままで使用することも、お客様独自の使用に合わせて変更することもできます。私はすべてのパーツの連携を示すために、CloudFormation Designer でテンプレートを公開しました。その構造をもう少し明確にするため、項目を再配置しました。それを次に示します。 […]

Read More

Amazon EFS の更新 – Direct Connect を介したオンプレミスアクセス

昨年、 をご紹介 (Amazon Elastic File System – Amazon EC2 の共有ファイルストレージ) し、本年初頭には本番環境での利用可能を発表 (Amazon Elastic File System – 3 つのリージョンで本番環境での利用が可能) しました。本年初頭の始動後、何千人もの AWS のお客様が、クラウド上の共有ファイルストレージを設定、スケーリング、および運用するためにこれを利用してきました。 そしてこの度、シンプルかつ信頼性が高い を介したオンプレミスアクセスの紹介により、EFS はより便利なものとなります。これは、強く求められていた機能で、移行、クラウドバースト、バックアップにおいて有用です。 この機能を移行に使用するには、オンプレミスサーバーに EFS ファイルシステムをアタッチし、データをそこにコピーしてからクラウドで必要に応じて処理するだけです。データはそのまま AWS に長期間保存しておくことができます。クラウドバーストでは、オンプレミスデータを EFS ファイルシステムにコピーし、 インスタンスを使用して高速で分析して、結果をオンプレミスにコピーしたり で視覚化したりできます。オンプレミスサーバーから EFS ファイルシステムにアクセスした場合でも、または EC2 インスタンスからアクセスした場合でも、強力な一貫性とファイルロックを含む同様のファイルシステムのアクセスセマンティックスが得られます (もちろん、両方を同時にもできます)。また、EFS の一部であるマルチ AZ の可用性と耐久性を利用できます。 この新機能を利用するためには、オンプレミスのデータセンターと 間の専用ネットワーク接続を、 を使用して設定する必要があります。 その後、お客様のファイルシステムで、 接続を介して到達可能なサブネットにマウントターゲットがあることを確認する必要があります。 また、マウントターゲットのセキュリティグループにルールを追加して、オンプレミスサーバーからポート 2049 (NFS) へのインバウンドの TCP および UDP トラフィックを許可する必要があります。 ファイルシステムを作成したら、IP […]

Read More

AWS ブログチームを拡大 – 新メンバーに Ana、Tara、ローカリゼーションチームが参加

AWS の最初のブログを公開したのは 2004 年のことです。それ以来 2,700 件以上のブログを投稿してきました (先月中に投稿したブログだけでも 52 件ありました)。AWS のイノベーションのペースは以前に増して高まり、皆さんにご紹介する優れた機能も増え続けているためブログチームも拡大することになりました。では、新メンバーとなる Ana、Tina、Tara の 3 人をご紹介します。 Ana Visneski (@acvisneski) は米国沿岸警備隊の初の公式ブロガーでした。沿岸警備隊では捜索救助の調整やソーシャルメディアの確立においてチームをリードしていました。Ana はワシントン大学コミュニケーションリーダーシッププログラムを卒業、デジタルメディア分野の修士号 (MCDM) およびコミュニティ & ネットワーク分野のコミュニケーション修士号 (MCCN) の両方を初めて完了した経歴の持ち主です。Ana はブログのゲスト投稿者と協力し、AWS ブログのメトリクスをトラックしたり AWS ブログのアクティビティ調整に使用するチケットシステムの管理を担当しています。 Tina Barr (@tinathebarr) は AWS コマーシャルセールス部のリクルーティングコーディネーターです。Tina は、候補者に良い第一印象を提供しようと AWS お客様の成功事例を読み進めていくうちに、スタートアップ企業に特別な興味を抱くようになりました。リクルーティング業務に加え、Tina は AWS ホットスタートアップ (9 月、10 月、11 月) のブログを毎月投稿しています。Tina はウエスタンワシントン大学でコミュニティヘルスの学士号を取得、物を書くことが大好きだそうです。 Tara Walker (@taraw) は AWS のテクニカルエバンジェリストです。数社に渡るハイテク企業やメディア企業で開発者やソフトウェアエンジニアを務めた経験があります。IoT、モバイル、ゲーム、サーバーレスアーキテクチャ、クロスプラットフォーム開発に注目する Tara は、最新で優れた技術的なトピックに深くのめり込み思わず引き込まれるようなデモを構築することが大好きだといいます。Tara […]

Read More