Amazon Web Services ブログ

Harunobu Kameda

Author: Harunobu Kameda

I enjoy working with technologies and AWS services, writing blogs, and presenting our message to the market. I also love to walking around among the Japan AWS user community (JAWS) over the weekend, as much as possible. In private, I play with my dogs, read books, and drink together with my friends.

Amazon DevOps Guru が一般サービス提供開始となり東京リージョンでもお使いいただけます

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 2020年の re:Invent でアナウンスされた Amazon DevOps Guruが一般サービス提供開始となり、東京リージョンでもご利用いただけますのでお知らせいたします。 Amazon DevOps Guru DevOps Guru はアプリケーションの可用性を向上させる 機械学習 駆動のクラウドオペレーションサービスであり、これを用いることでアプリケーションの運用パフォーマンスと可用性を簡単に向上させることができます。機械学習が通常の運用パターンを学習し、そこから逸脱した動作を検出し、迅速に運用上の問題を特定することができます。例えば、異常なアプリケーションの動作となる、レイテンシーの増加、エラー率、リソースの制約などを特定し、ダッシュボードに情報を集約させ、さらに、アラートを管理者に自動的に送信し、関連する異常の概要、考えられる根本原因、および問題が発生した時期と場所に関する情報を提供します。そして、可能な場合、DevOps Guru は、問題を修正する方法に関する推奨事項もあわせて提供するため、運用者は問題の特定と修正アクション開始が容易になります。 DevOps Guru は、Amazon CloudWatch、AWS Config、AWS CloudFormation、AWS X-Ray などの複数のソースからの運用データを継続的に分析および統合し、運用データの異常を検索して視覚化を行い、以下のような、単一のコンソールダッシュボードを提供します。 ダッシュボードに集約された情報はさらに、個別の項目をドリルダウンしていくことが可能で、問題が検知された日時、その原因の推察、対処方法の推奨項目などが以下に表示されます。 発見された問題は、DevOps GuruとAmazon SNSの連携により、管理者に通知を自動で送出するや、サードパーティツールとの連携を構築することが可能です。 DevOps Guru はVPC エンドポイントを用いることで、VPC内部から検知された異常の詳細を取得可能なAPIに対してセキュアにアクセスさせることが可能です。 AWS CloudFormation との連携と予防的/事後的インサイト DevOps Guru でリソースを監視対象に設定させるためには、2種類の設定方法があります。設定を行うAWSアカウントの当該リージョンでサポートされているすべてのリソースを監視対象に含める方法と、個別にCloudFormationでリソース群を指定する方法です。CloudFormationで管理されていないリソースを個別に管理対象に登録はできないことに留意してください。DevOps Guru がサポートするリソースは、AWS Lambda を中心としたサーバレスサービス群だけではなく、Amazon EC2 やAmazon RDS、Amazon S3等幅広いAWSのサービスをサポートしています。 2020年 re:Invent でのアナウンス後提供されていたプレビューでは、問題が発生してからインサイトが提供される、事後的インサイト、の機能のみが提供されていましたが、一般サービス提供開始時点で新たに、予防的インサイト、が提供されるようになります。この予防的インサイトは運用上のデータメトリックスをもとに、将来発生すると予測される問題に対処するための推奨事項が出力されます。例えば、ディスク使用率などの有限のリソースメトリックを監視し、日々の増加状況からディスクキャパシティにかかわる問題が発生することを予測し、ダッシュボードに問題を出力します。 上記のように1方向にデータが遷移するパターンは検知が容易ですが、例えば定期的なスパイクを迎えているシステムの場合、一時的なリクエスト増は定常状態にあるとも言えます。このようなデータを取り扱う場合、一般的な閾値モデルでは対処が難しいケースがあります。DevOps Guru は機械学習を異常検知に用いるため、そのデータ増が異常なのか定常的なものなのかを自動で判別します。 これはAPIリクエストの定常的なスパイクを記録したグラフです。このようなケースではDevOps […]

Read More

大阪リージョンに2つのアップデート ; AWS Network Firewall と Amazon RDS for SQL Server のMultiAZ 構成

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 大阪リージョンに新たに2つのサービスオプションが追加されましたのでお知らせいたします。 AWS Network Firewall と Amazon RDS for SQL Server のMultiAZ 構成です。 AWS Network Firewall Network Firewall は、すべての Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。このサービスは、数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張されるため、インフラストラクチャのデプロイと管理について心配する必要はありません。提供される柔軟なルールエンジンを使用することで、アウトバウンドのServer Message Block (SMB) リクエストをブロックし悪意のあるアクティビティの拡散を防ぐなど、ネットワークトラフィックを詳細まで制御できるファイアウォールルールを定義できます。 従来VPCには、セキュリティグループと Access Control List という2つのネットワークセキュリティ制御機能がそなわっていました。これらは主にレイヤ3及び4を中心として、IPアドレス、プロトコル、ポートなどの組み合わせでVPCに対するインバウンド、アウトバウンド通信を保護することが可能でした。このNetwork Firewallを組み合わせることで、さらにレイヤ7まで網羅したネットワークセキュリティを簡単に設定することが可能です。 Network FirewallはSuricataというオープンソースルール形式でルールを作成することができ、さらに、AWS Firewall Manager と連携させることができるため、Network Firewall ルールに基づいてポリシーを構築し、それらのポリシーを VPC とアカウント全体に一元的に適用することができます。 2021年4月に大阪リージョンでは新たに、AWS Transit Gateway がサービス提供開始となりましたが、Network Firewall はTransit Gatewayとの連携により、オンプレミス環境との通信における AWS […]

Read More

AWS TransitGateway が大阪リージョンでご利用いただけます

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS Transit Gatewayが大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。 AWS Transit Gateway Transit Gateway は、中央ハブを介して VPC とオンプレミスネットワークを接続しクラウドルーターとして機能するため、複数VPCの接続などでVPC Peeringを用いた複雑なピア接続関係ネットワークを簡素化することができます。データは自動的に暗号化され、インターネットを介して移動することはありません。また、IPv4 環境だけではなくIPv6環境をサポートします。 数千の Amazon VPC にまたがるアプリケーションを構築する際、個別VPCのPeeringやルートテーブルを更新せずに新しい接続関係を作成することが可能になります。新しい VPC を追加でアタッチする場合、その CIDR が、既にアタッチされている別のVPC と同一である場合、Transit Gateway では、新しい VPC のルートを ルートテーブルに伝播しないため、異なるCIDR持つ必要があることをVPC作成時点で留意いただく必要があります。この際、静的ルーティングは行われず、BGPによりルートは自動でアドバタイスされ、BGP セッションはGeneric Routing Encapsulation (GRE) トンネル上に確立されます。 VPC接続だけではなく、AWS Direct Connect ゲートウェイを追加して、オンプレミスネットワークトのルーティングも管理を行えます。 異なるリージョン間のTransit Gatewayをピアリング接続させるための、Peering接続は2021年4月27日時点で、大阪リージョンで未サポートですので、リージョンをまたぐ接続は従来通りVPC Peeringをご利用いただくことなります。また同様に、Transit Gateway はマルチキャスト IGMPをサポートしており、アプリケーションを再設計することなく、マルチキャストアプリケーションをAWS上にホストすることもできますが、現時点で大阪リージョンにはまだ未対応ですのでご留意ください。これらの機能のご要望をお持ちのお客さまは是非サポートまでご意見をお寄せください。 – シニアエバンジェリスト 亀田

Read More

大阪リージョンに AWS Service Catalog が対応しました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンンジェリストの亀田です。 AWS Service Catalog が大阪リージョンでご利用いただける用になりました。 AWS Service Catalog Service Catalog はAWSアカウント内で使用できる、 IT サービスのカタログを作成および管理するサービスです。AWSサービスに関連する仮想マシンイメージ、サーバー、データベース、だけではなく、ソフトウェアやさらに包括的な多層アプリケーションアーキテクチャまでを定義することができるため、一貫したガバナンスの実現、そして、コンプライアンス要件を満たすための運用構築を実現できます。エンドユーザーは管理されているカタログから必要な製品のみを選択して起動できるため、組織における俊敏性が向上します。 この機能は AWS CloudFormation との連携により実現され、テンプレートを使用するかカスタムテンプレートを作成し、 Service Catalog コンソールを使用してテンプレートをアップロードします。その後、使用する製品の詳しい説明、バージョン情報、サポート情報、タグなど、リストに掲載する製品の詳細情報を入力できます。またTerraformもサポートしており、利用をご希望される方はこちらのドキュメントをご参照ください。 AWS Service Management Connector Service Management Connector を使うと、IT サービスマネジメント (ITSM) の管理者が、プロビジョニングされた AWS やサードパーティー製品に対するガバナンスを、Service Now や Jira Service Desk等、外部サービス用いて構築している場合、Service Catalogとの連携を実現させます。例えばService Nowの管理者は、Service Catalogの管理に加え、このService Management Connectorを用いることで、ServiceNowのCMDBテーブルに基づき、新しいリソースタイプを定義し、これらをリソースの追跡とジ変更を行う AWS Configのカスタムリソースと同期させたり、AWS Systems Manager を介したプレイブックの実行、AWS Security Hub のセキュリティにまつわる調査結果をServiceNowのインシデントや問題に同期させたりすることができます。 こちらに、開始ガイドがありますのでご覧ください。 […]

Read More

AWS CodeCommit が大阪リージョンでご利用いただけます

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS CodeCommit が大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。 AWS CodeCommit CodeCommit はプライベートなGit ベースのリポジトリをセキュアにホストする完全マネージド型サービスです。お客様は独自のソースコントロールシステムを稼働させる必要がなくなり、インフラストラクチャのスケーリングに関する不安要素を払しょくできます。ソースコードからバイナリまですべてのものを1ファイサイズあたり最大2GB まで、セキュアに保存でます。すべての Git コマンドをサポートし、既存の Git ツールとの連動がサポートされています。使い慣れた開発環境のプラグイン、継続的統合/継続的デリバリーシステム、グラフィカルクライアントを CodeCommit と合わせて引き続き使用することができます。 CodeCommit は、通信中および保管中のファイルをAWS Key Management Service (KMS) との連携により自動的に暗号化し、AWS Identity and Access Management (IAM) と統合されているため、ユーザー固有のアクセス許可をリポジトリに簡単に設定することができます。プルリクエスト、分岐、マージを介して、チームメイトとのコードによるコラボレーションを支援します。コードレビューとフィードバックを含むワークフローの実装や、特定の分岐を変更できるユーザーの管理も簡単です。 Subversion、Perforce などのその他のリポジトリに関しては、まず Git インポーターを使用して Git リポジトリに移行いただく必要があります。詳しくは以下の手順をご覧ください。 Migrate an Existing Repository to AWS CodeCommit  CodeCommit のモニタリング CodeCommit はAWSサービスとの連携により様々なモニタリングを構築することができます。例えば以下のようなサービスとの連携があります。 Amazon EventBridge アプリケーションの可用性の問題やリソースの変更などのAWSサービスからのシステムイベントは、ほぼリアルタイムでEventBridgeに配信されます。CodeCommitはEventBridgeとの連携により、関心のあるイベントと、イベントがルールに一致したときに実行する自動アクションを行う簡単なルールを作成することができます。例えば発生しているアプリケーション障害をもとに自動でプルリクを起こすことなどで用います。 Amazon CloudWatch Events […]

Read More

大阪リージョンに AWS Console Mobile Application が対応しました

みなさん、こんにちは。 アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今日、2021年4月13日は1 Day セミナー「はじめての AWS 大阪リージョン」を開催しています。ライブQAなどもあり、今からでも申し込み可能ですので、ご利用を検討されている方は是非参加してみてください。クロージングセッションでは、私が皆さんからの質問を纏めて回答するコーナーもありますよ。 大阪リージョンは開設後、サービスの拡充が続いておりますが、本日は、AWS Console Mobile Application が大阪リージョンに対応しましたので、お知らせいたします。 AWS Console Mobile Application Console Mobile Application を利用すると、AWSの基本的な管理や操作がモバイルアプリケーションから行うことができるようになり、緊急時の対応などに役立てることができます。Amazon CloudWatch、Personal Health Dashboard、およびAWS Billing and CostManagement から提供されるリアルタイムデータを用いた専用のダッシュボードを介してリソースを監視し、選択したAWSサービスの構成の詳細、メトリック、およびアラームを表示することができます。 Console Mobile Application の利用には、IAMユーザー、アクセスキー、またはフェデレーションロールを使用してサインインします。サインインすると、コンソールモバイルアプリケーションは資格情報を保存して、複数ID環境をお持ちの場合、簡単に切り替えることができます。 ハードウェアMFAデバイスまたは別のモバイルデバイス上の仮想MFAのいずれかを使用することをお勧めします。iOS 12.0以降、とAndroid8.0以降、がサポートされており、以下のサービスが管理可能となっています。 Amazon API Gateway, AWS Billing and Cost Management, AWS CloudFormation, AWS CloudTrail, Amazon CloudWatch, Amazon DynamoDB, AWS Elastic Beanstalk, […]

Read More

東京リージョンに2つのAWS Transit Gateway アップデート; AWS Transit Gateway Connect と Internet Group Management Protocol (IGMP) Multicast

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 東京リージョンのAWS Transit Gateway に2つの新しい機能アップデートが行われましたのでお知らせいたします。 AWS Transit Gateway Transit Gateway は Amazon VPC、AWS アカウント、オンプレミスネットワークを単一のゲートウェイに簡単に接続し、中央ハブを介した相互接続実現します。これにより従来メッシュ型であったネットワークトポロジを簡素化し、運用性を向上させます。また、リージョンをまたいだ接続を、 Transit Gateway ピアリングにより実現させ、グローバルなネットワーク管理基盤を構築可能です。 さらに、AWS Transit Gateway Network Manager という機能を用いることで、プライベートネットワークの単一のグローバルビューが提供されます。 今回新たに東京リージョンで利用可能になった2つの機能は、Transit Gateway Connect と IGMPサポートです。 AWS Transit Gateway Connect Transit Gateway Connect は、Software – Defined Wide Area Network (SD-WAN) アプライアンスを AWS にネイティブ統合することを可能とします。Generic Routing Encapsulation (GRE) や Border Gateway Protocol […]

Read More

AWS Control Tower が東京リージョンでご利用いただけるようになりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS Control Tower が東京リージョンで利用可能となりましたのでお知らせいたします。 AWS Control Tower Control Tower はセキュアなマルチアカウント AWS 環境をセットアップおよび管理するために利用できるサービスです。複数の AWS アカウントやチームがある場合、クラウドのセットアップと管理はそれぞれのコンプライアンスポリシーなどに照らし合わせて設定を行う必要があり、複雑で時間のかかる作業になってしまうケースが多くあります。Control Tower では、新しくセキュアなマルチアカウントの AWS 環境を、セットアップし管理するための最も簡単な方法が提供され、AWS が何千ものエンタープライズのクラウド移行業務を通して確立した、ベストプラクティスに基づいて開発されています。 Control Tower を用いて一度ガバナンスとベストプラクティスを設定した後は、追加のAWSアカウントは、数クリックだけでプロビジョニングすることができるようになります。 Landing Zone 従来東京リージョンでは、Control Tower が利用できなかったため、Landing Zoneという、セキュアなマルチアカウントの AWS 環境をより迅速に設定できるようにするソリューションが提供されていました。Landing Zoneを使うと、環境セットアップが自動化され、コアアカウントとリソースの作成時に初期セキュリティベースラインの実装が行われます。さらに、マルチアカウントアーキテクチャ、ID およびアクセス管理、ガバナンス、データセキュリティ、ネットワーク設計、ログ作成を開始するためのベースライン環境設定などが行われます。現在Landing Zone は引き続きサポートが提供されますが、新しい機能提供などはControl Tower が基本となり今後行われていくことになります。 Control Tower では、ID、フェデレーティッドアクセス、アカウント構造のためのベストプラクティスの設計図を使用して、新しい Landing Zone のセットアップが自動化されます。例えば以下のような設計図が用意されています。 AWS Organizations を使用したマルチアカウント環境の作成 AWS Single Sign-On (SSO) のデフォルトのディレクトリを使用した ID […]

Read More

大阪リージョンに2つのアップデート、Amazon Macie と Amazon MQ

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今日は大阪リージョンに新しく2つのサービスが加わりましたのでお知らせいたします。Amazon Macieと Amaozn MQ です。 Amazon Macie Macieは機械学習とパターンマッチングを使用して AWS の機密データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。選択したAmazon S3 バケットに機械学習とパターンマッチング手法を適用し、個人識別情報 (PII) などの機密データを特定してアラートを発信します。 アラートや検出結果は AWS マネジメントコンソールからの検索やフィルタリングが可能で、Amazon EventBridge に送信して既存のワークフローやイベント管理システムと簡単に統合したり、AWS Step Functions などの AWS のサービスと組み合わせて自動修復アクションを実行させることができます。 クレジットカード番号や生年月日、AWSクレデンシャルなど、Macieがあらかじめ備えていえる識別子情報に加えて、UTF8文字コードで作成されたファイルであれば、独自識別子をPCRE(Perl Compatible Regular Expressions)形式の正規表現を記載することが可能になっています。例えばIPアドレス等であれば以下のような指定を行うことになります。 ^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$ Macieは主要な圧縮アルゴリズムもサポートしており、圧縮されたファイルも検査対象に含めることができ、AWS KMS との連携により暗号化されたファイルも処理が可能です。日本語が含まれた情報を対象とする場合、S-JISやEUC文字コードなどは処理対象外となることにご注意ください。 Amazon MQ MQはメッセージブローカーの設定や運用を簡単に行えるようにしてくれる、 Apache ActiveMQ および RabbitMQ 向けのマネージド型メッセージブローカーサービスです。メッセージブローカーのプロビジョニング、セットアップ、メンテナンスがマネージド型で提供されるため、運用の負荷が軽減されます。JMS、NMS、AMQP 1.0 および 0-9-1、STOMP、MQTT、WebSocket 等、業界標準の API とプロトコルがサポートされているため、現在のアプリケーションがそれらをお使いの場合、コードを書き直すことなく システムをAWS に移行することができます。 従来AWSではメッセージキューサービスとしてAmazon SQS を提供していましたが、MQは開発者に向けた新たな選択肢になります。既存のアプリケーションで処理しているメッセージングを、クラウドにすばやく簡単に移したい場合、MQ のご検討をお勧めします。業界標準の API とプロトコルがサポートされているため、どのような標準に準拠したメッセージブローカーからでも、アプリケーション内のメッセージングコードを書き換えることなく Amazon […]

Read More