Amazon Web Services ブログ

Category: General

ラウンド 2 の ポスト量子暗号 TLS が KMS でサポートされました

AWS Key Management Service (AWS KMS) が AWS KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) 1.2 暗号化プロトコルにおいて新しいハイブリッド型のポスト量子暗号(耐量子暗号)鍵交換アルゴリズムをサポートするようになりました。これらの新しいハイブリッドポスト量子アルゴリズムは、古典的な鍵交換による実証済みのセキュリティと、標準化作業で評価中の新しいポスト量子鍵交換の潜在的な耐量子安全特性を組み合わせたものです。これらのアルゴリズムの中で最も高速なものは、古典的な TLS ハンドシェイクと比較して約 0.3 ミリ秒のオーバーヘッドがあります。追加された新しいポスト量子暗号鍵交換アルゴリズムは、Kyber のラウンド 2 バージョン、Bit Flipping Key Encapsulation(BIKE)、および Supersingular Isogeny Key Encapsulation(SIKE)です。標準化に参加している各組織は、米国国立標準技術研究所(NIST) のポスト量子暗号の標準化プロセスの一環として、アルゴリズムを NIST に提出しています。このプロセスは、複数年にわたる数ラウンドの評価にまたがり、2021 年以降も続く可能性があります。 以前のハイブリッド量子暗号 TLS に関するブログ投稿で、AWS KMS がラウンド 1 バージョンの BIKE と SIKE を備えたハイブリッドポスト量子暗号 TLS 1.2 をリリースしたことを発表しました。ラウンド 1 のポスト量子暗号 アルゴリズムは引き続き AWS KMS でサポートされていますが、ラウンド […]

Read More
週刊AWS

週刊AWS – 2020/12/21週

みなさん、こんにちは。ソリューションアーキテクトの下佐粉です。 今週月曜日に出した週刊AWSで今年最後の号と書きましたが、その後もアップデートが継続して発表されたため、変則的ですが本日追加で出すことにしました。 それでは、12/21~23に発表された主なアップデートについて振り返っていきましょう。

Read More
Amazon Game Tech

AWS Game Tech: 2020年の振り返り

2020年はこれまでの仕事のスタイルが変化し、これまで当たり前だったことが当たり前ではなくなったことで、ゲーム開発や運用の現場も大きな影響を受けました。そんな激動の日々の中、継続してプレイヤーに質の高いエンターテイメントを提供し続けているゲーム業界関係者の方々に敬意を表します。私たちAWS Game Techもゲーム業界の課題解決に貢献できるよう、これからもより一層努力努力してまいります。 さて、本記事ではAWS Game Techの2020年の活動を通した振り返りと、2020年にリリースされたサービスや機能の中からゲーム業界のお客様におすすめしたいものをいくつかご紹介します。   2020年を振り返る 2020年のソリューションアーキテクトの活動を振り返り、昨年に比べて印象に残った変化を挙げてみました。 マルチプレイゲームの増加 日本でも既存・新規IPによるマルチプレイゲームの開発が進み、これまでの3-Tierアプリケーションアーキテクチャに加え、マルチプレイをホストする専用ゲームサーバーをグローバルで展開するようなアーキテクチャをレビューさせていただく機会が多くなりました。Amazon GameLiftによってUnreal Engine 4のDecicated ServerやUnityのHeadless Dedicated Serverのビルドを複数リージョンでどのようにオーケストレーションするか、またゲームのマッチメイキング要件に応じてFlexMatchのマッチメイクルールをどのように記述するかなど、これまでよりさらにゲーム開発の中身に踏み込んだご支援が多くなっています。   コンテナ利用が増加 新規ゲームタイトルのバックエンドを中心にコンテナで実装するケースが増加しました。これまでEC2インスタンス上でそのまま稼働することが多かったPHPやGoなどのアプリケーションをコンテナ化し、Amazon ECSまたはAmazon EKSによってオーケストレーションを行い、データプレーン(コンテナが実際に稼働する部分)についてはインスタンス管理が不要なFargateを利用いただくケースも多くなってきています。現状はAPIまわりでの利用が多いですが、ステートフルな専用ゲームサーバーでも採用を検討するケースも除々に増えてきております。   ゲーム開発でのクラウド検討が進む 昨年から働き方改革やグローバルでの人材獲得を目的としてゲーム開発のクラウド化を検討する機会はありましたが、今年は各社のリモートワーク採用によってその検討が加速しました。オフィスのワークステーションを自宅からAWS Client VPNによってネットワーク接続したり、AWS上のGPUインスタンス上でワークステーションを実行し、リモート接続することで開発者の作業環境を整え、またPerforceなどのバージョンコントロール、EC2インスタンスによるビルドマシンをAWS上に構築し完全リモートに備えるケースも多くなりました。また、すでにビルドマシンがオフィスで稼働している場合、専用線やVPN接続によってAWSとネットワーク接続し、繁忙期のビルドマシン確保をオンデマンドで行うお客様も増えております。分散ビルドで代表的なIncrediBuildもライセンス面、機能面からAWSとの相性が非常に良い点が評価されています。(IncrediBuildのAWS利用についてはUsing IncrediBuild in AWS、ゲームの分散ビルド on AWSをご参照ください)   ゲームのワークロードで役立つサービス・新機能まとめ AWSは今年も数多くのサービス、機能追加を行いました。その中でもゲームのワークロードで有効だと思われるものをピックアップしてみました。   Amazon RDS Proxyがリリース ゲームではMySQLデータベースに対してコネクションプーリングを利用することも多いと思いますが、そのコネクションプーリングを行ってくれるサービス”RDS Proxy”がGAとなりました。EC2やコンテナなどのアプリケーションはもちろん、Lambdaなどイベント毎に都度コネクションを発生されるような場合にRDS側のリソース量をセーブすることが可能です。また、RDSインスタンスの障害時にもアプリケーションとのコネクションを維持しながらフェールオーバー完了を待つことが可能です。昨年末にLambdaのVPC上での実行においてコールドスタートの解消などが行われましたが、RDS ProxyによるRDS/Auroraへのコネクションプーリングが利用できるようになってさらにゲームのような大規模なワークロードでサーバレスを展開しやすくなりました。 詳細はこちらをご覧ください。   Application Load Balancer (ALB) がエンドツーエンド HTTP/2をサポートし、gRPCの負荷分散が可能に ロードバランサの1つであるALBはこれまでクライアントとの通信でHTTP/2をサポートしていましたが、その先のALBのターゲットとなるEC2インスタンスについてもHTTP/2をサポートしました。これによってゲームでも利用が多いgRPCプロトコルの負荷分散もサポートされることになりました。 詳しくはこちらをご覧ください。   AWS Global […]

Read More

Amazon RDS for MySQLでMySQLエンジンバージョンを5.5から5.7へアップグレードする方法

Amazon RDSでは、定期的にメジャーまたはマイナーエンジンバージョンの廃止を行います。メジャーバージョンについては、コミュニティ版の対象バージョンがEOLを迎え、ソフトウェアの修正やセキュリティアップデートが行われなくなった場合に廃止を行います。メジャーバージョンのアップグレードには、既存のアプリケーションと互換性のないデータベースの変更が含まれる場合があります。そのため、DB インスタンスのメジャーバージョンアップグレードは、事前に十分な検証を行うことを推奨致します。この記事では、アップグレードの必要性と、その方法についてご説明します。

Read More

Amazon API Gateway で API キーを使わずに認証とアクセス制御を行う

はじめに Amazon API Gateway の API キーの利用を検討したものの、API キーの制約によってプロダクトの要件を満たせないことがあります。その際、それぞれ Amazon Cognito を利用した認証と AWS WAF を用いた IP ベースのレート制限を利用するという代替案をご紹介いたします。 背景 筆者は普段、プロトタイピングソリューションアーキテクトとして、お客様のプロダクトのプロトタイプ作りをお手伝いさせていただいております。お客様の中には、ユーザー認証やアクセス制御として Amazon API Gateway の API キーの利用を検討している場合があります。しかし、API キーでお客様の要件を満たせるかどうかは、慎重に検討が必要です。 API キーには数の上限があります。Amazon API Gateway のクォータと重要な注意点 にも記載がある通り、1 アカウント、1 リージョンあたりの API キー数の上限は 500 です。そのため、多くのユーザーを抱える API では API キーによる認証は適さないと言えます。 API キーのセキュリティについても検討が必要です。API キーは有効期限が設定できないので、有効期限を設定可能な認証方法に比べ、漏洩した際のリスクが大きいです。 このように、 API キーは容易に利用が可能な反面、いくつかの考慮事項があるため、選定は慎重に行う必要があります。次の考察で、認証とアクセス制限について、それぞれ代替案をご紹介したいと思います。 考察 では、ユースケース別に代替案をご紹介いたします。 一つ目は、認証として API キーを利用したいケースです。それぞれのユーザーに対し、ユニークな API キーを割り当てることを想定しています。この場合、背景にて説明した API […]

Read More

LGWAN経由でAWSサービスを活用する方法

アマゾン ウェブ サービス ジャパンが2019年に公開した調査レポート「自治体におけるクラウド活用の現状」によると、自治体によるクラウド活用は「業務効率化システム」「市民向けサービス」が先行していますが、一部の自治体では「基幹系システム」での活用も始まっており、あらゆる業務領域で活用されるようになってきています。 しかしながら、現状各自治体で施行されている3層分離(インターネット系、内部情報系(LGWAN)、番号事務系(基幹系)でネットワーク層を分離する)を踏まえると、依然として多くの自治体はインターネットに接しない内部情報端末で主たる事務をされておりSaaSやクラウドが利用しづらい環境があります。2020年5月に総務省から公表された「自治体情報セキュリティ対策の見直しについて」において、3層ネットワーク分離の見直しの方向性が示されており、SaaSやクラウドが利用しやすくなる方向と期待されています。一方で、見直しに含まれるβモデル等に切り替えるには運用設計を踏まえた変更が伴うため実現には数年かかる自治体も多いでしょう。また、財政面が厳しい自治体にとっては、地方からクラウドへのネットワーク費用も課題として挙げられます。そこで、全国自治体が接続している既設の閉域ネットワーク網であるLGWANを活用したデータ連携、SaaS利用が1つの選択肢となります。 LGWAN-ASP経由でAWSサービスを活用する方法として、複数のAPNパートナーが提供している接続サービスを選択することが可能です。2020年11月には、株式会社BSNアイネット様によるiNET Cloud Gateway for LG「AWS 接続サービス」がリリースされました。 iNET Cloud Gateway for LG 「AWS接続サービス」は、全国自治体が利用するLGWANを介してAWSのマネージドサービスへ迅速、セキュアに接続するサービスです。 利用者となる自治体は、AWSアカウントを用意するだけで、一定期間、専用線、LGWAN接続、ゲートウェイ費用を負担することなく、オブジェクトストレージ「Amazon Simple Storage Service(Amazon S3)」、ビジネスインテリジェンスサービス「Amazon QuickSight」、インタラクティブなクエリサービス「Amazon Athena」、デスクトップストリーミングサービス「Amazon AppStream 2.0」などのLGWAN-ASP承認を得たAWSサービスを利用することが可能であり、庁内データレイクとして閉域経路で機微なデータの保管および分析といった取り組みを推進することが容易になります。AWS上に保管するデータの所有権は利用者にありますから、利用終了時には利用者自身でデータを消去または移行することが可能です。 ※AWSの利用料金はAWSアカウント所有者に請求されます。 LGWAN経由でAWSマネージドサービスの利用   AWSパブリックセクターでは、自治体様および開発会社(SIer)様がクラウド導入において検討が必要となる自治体特有のセキュリティ面の整理や、LGWAN-ASPと連携した設定方法などAWSサービスについての最適な利用方法に関わる技術サポートについて、お問い合わせ窓口をご用意いたしました。益々注目が高まる行政サービスのデジタル化と国民の利便性の向上に寄与できる取り組みとして、AWSのパブリックセクターで培ったノウハウと経験を提供していきます 問い合わせ窓口: lg-smartcity@amazon.co.jp このブログは、アマゾンウェブサービスジャパン株式会社 パブリックセクター ソリューションアーキテクト 豊原 啓治が執筆しました。

Read More

【開催報告】 e コマース業界における フェーズ別 ML/ANALYTICS 活用セミナー

こんにちは!アマゾンウェブサービスジャパン株式会社 ソリューションアーキテクトの石本です。 2020/11/25 に、 e コマース業界におけるフェーズ別 ML/ANALYTICS 活用セミナーを開催いたしました。セミナーの開催報告として、セミナーでご紹介した内容や、当日の資料・収録動画などを公開いたします。 開催の背景 私たちが普段お客様と接する中で、 e コマース事業に必要となる機能が共通的に存在し、多くのお客様の中で課題になっていることを認識しています。 そこで、みなさまの課題やお悩みを迅速に解決し、 e コマースサイトをさらに成長していただくため、 AWS ユーザー様からご相談の多かった機能にフォーカスして、実現方法やソリューション、事例などをご紹介するセミナーを実施しました。セッションでは、 “画像検索、レコメンド・プッシュ通知を用いた広告ソリューション、次世代カスタマーサポート、不適切コンテンツ・不正行動検知、ライブコマース” と、6つの機能群を取り上げております。 セミナーの内容 / 収録動画 / スライド それぞれのセッションでは、お客様が直面されるであろう課題や、昨今よく話題にあがっているトピックにフォーカスして、課題を解決するソリューション、必要となるデータ、実装に向けたステップ、事例などをご紹介しています。各セッションの概要を下記に記載しておりますので、ご関心をお持ちの内容があれば資料もご覧いただれば幸いです。 画像検索ソリューション (SA 半場 光晴) 20201125 EC Solution Seminar Image Search サイトに訪れたエンドユーザが商品検索時に使うだけではなく、“お客様が興味を示した商品の画像“から、”類似する画像の商品“ をレコメンドするためのバックエンド処理として使われるようなユースケースがあります。また実現方法として、画像をそのまま検索するのではなく、検査される画像群の特徴量を抽出して Indexing しておき、検索対象の画像の特徴量を使って検索する手法をとること、またそれらをサポートする MobileNet や Faiss などの OSS フレームワークが存在することや、 Amazon Elasticsearch Service との連携など、 AWS 上での実現方法を説明しました。 レコメンド・プッシュ通知を用いた広告ソリューション (SA 黄 光川, […]

Read More
Weekly AWS

週刊AWS – 2020/11/23週

みなさん、こんにちは。ソリューションアーキテクトの下佐粉です。 今週も週刊AWSをお届けします。 いよいよAWS re:Invent 2020が開催しました!初のオンライン開催、しかも3週間にわたっての開催ということで、日本語独自のコンテンツや日本の時間に合わせてのキーノート再放送等も予定されていますので、ぜひ以下よりご参加いただければと思います。 https://aws.amazon.com/jp/about-aws/events/2020/reinvent/ また、re:Inventの大量の新発表を追いきれないという方向けに、新発表をまとめて日本語でご説明するオンラインセミナーを毎年開催しているのですが、今回は3週間ありますので、セミナーも3回実施予定です。毎週月曜18時の”AWS re:Invent 速報”シリーズをぜひご利用ください。セミナー視聴の登録はこちらから可能です。 re:invent前ですが、先週も多くの新発表が行われました。さっそく先週の主なアップデートについて振り返っていきましょう。

Read More

セキュリティの実践とベストプラクティス -日本銀行様『クラウドサービス利用におけるリスク管理上の留意点』によせて-

本Blogは、クラウドにおける新しい常識”new normal”を考えるBlogの第五弾です。
多くのお客様は、より安全にサービスを提供するために多様なセキュリティを組み込み、また規制要件を満たしていくことで組織としての説明責任を果たそうとしています。
日本銀行様では、多くの金融機関のお客様がよりクラウドを活用したイノベーションをおこし、サービスを向上するために『金融システムレポート別冊』として「クラウドサービス利用におけるリスク管理上の留意点」(以下、本別冊とします)を発表しました。本Blogでは本別冊に基づき、組織がセキュリティを実践するために必要な考え方のいくつかを示してみたいと思います。

Read More

[AWS Black Belt Online Seminar] Amazon QuickSight のBI機能を独自アプリケーションやSaaSに埋め込む 資料及び QA 公開

先日 (2020/11/17) 開催しました AWS Black Belt Online Seminar「Amazon QuickSight のBI機能を独自アプリケーションやSaaSに埋め込む」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20201117 AWS Black Belt Online Seminar Amazon QuickSight のBI機能を独自アプリケーションやSaaSに埋め込む AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. Amazon QuickSight ACL で SSO ユーザーのグループとサブグループを使用できますか? A. QuickSight内のグループ機能は、SSO(フェデレーション)先のグループとは独立して利用可能です。つまりSSOには関係なくQuickSightの中でグループを作り、ユーザを登録することが可能です。SaaSでの利用において自動的なグループ登録を実現するには、例えばユーザをregister-userで登録した際に、同時にcreate-group-membershipを実行してグループ登録を行うように実行するなどで対応が可能です。 Q. Name spaceの管理はGUIには無いのでしょうか? A. 現時点ではName space機能はコマンドライン(CLI)もしくはAPIでの操作になります。 Q. マップのテーマのカスタマイズで詳細なマップに変更したり、といったことは可能でしょうか? A. QuickSightの地図ビジュアルにおいては、利用者独自のマップに変更するということはできません。 Q. email認証を使って閲覧ユーザーを招待した時に送信されるメールの文面をカスタマイズすることはできますでしょうか? A. GUIで登録した際に自動的に送付されるメッセージのカスタマイズはできませんが、CLIやAPIでユーザを登録すると、登録に必要なURLを取得することができます。 この際には自動ではメールは送信されませんので、お客様側の仕組みなどでURLとメッセージを添えてメールを送っていただくことで対応可能と思われます。 Q. QuichSightでExcelの近似曲線表示のような機能はございますか?ない場合,実現する手段はございますか? A. 近似曲線の機能はございません。代替案としては、たとえばQuickSightの外部で任意のツールでグラフを描画して、それをS3に置いておき、その画像のURLをQuickSightに埋め込むことで、図を表示するということが可能です。 Q. Salesforceのデータを活用して日本でよく多様される集計表形式でデータを表現可能でしょうか。 A. Salesforce.comの使い方はご利用者によってさまざまですので一概には申し上げられませんが、QuickSightはSalesforce.comに接続し、データを取得する機能がございますので、その機能で取得可能なデータであれば、それをQuickSightのビジュアルで、例えばピボットテーブルとして見せることが可能です。具体的な操作例についてはこちらのURLをご確認ください。 […]

Read More