Category: General


Amazon Neptune – フルマネージドのグラフデータベースサービス

現代の生活を可能にするために必要な全てのデータ構造やアルゴリズムの中でも、グラフは日々世界を変えています。ビジネスからは、複雑な関係性を持つリッチなデータが生まれ続け、また取り込まれ続けています。しかし開発者は未だにトラディショナルなデータベースの中でグラフのような複雑な関係性を扱うことを強要されています。必然的に、そのような関係性-リレーションシップが追加されるにつれ、パフォーマンスは劣化し、いらいらするくらい高コストで複雑なクエリとなっていきます。我々はそのようなモダンで複雑性が日々高まるようなデータセットやリレーションシップ、パターンを簡単に扱えるようにしたいと考えました。

Hello, Amazon Neptune

2017年11月29日、我々は限定プレビュー版のAmazon Neptuneを発表します。Amazon Neptuneにより、高度に接続されたデータセット間のリレーションシップから簡単に洞察を得ることができます。Neptuneのコア部分は、数十億ものリレーションシップが格納可能で、グラフに対してミリ秒レベルの遅延となるよう最適化された、専用の、高性能なグラフデータベースエンジンです。フルマネージドなデータベースとして提供されることで、Neptuneはお客様をメンテナンスやパッチ適用、バックアップ/リストアなどの退屈なオペレーションから解放し、アプリケーションに集中できるようにします。高速なフェイルオーバー、Point-in-Timeリカバリ、そしてマルチAZでの実装など高可用性のための各種機能も備えるサービスです。最大15個のリードレプリカによりクエリのスループットを秒間10万件レベルまでスケールさせることも可能です。Amazon NeptuneはAmazon VPC内で動作し、データを暗号化して保管でき、保管時や転送時にデータの整合性について完全に制御することができます。

(more…)

ハードウェアにダイレクトアクセスを提供するAmazon EC2 Bare Metal (ベアメタル)インスタンス

お客様からAWSへの優れたリクエストをいただく際、私達は詳細に要望をお聞きし、多くの質問をし、理解をしてニーズに応えられるようベストを尽くしています。これらの活動の結果として私達はサービスや新機能をリリースしています。 一方で私達は決して特定のお客様専用の一度きりの仕組みを作りこんだりはしません。その方法は混乱を生み、スケールさせる事を困難にしますし、私達のやり方ではありません。

そうではなく、全てのAWSのお客様は私達が作ったもの全てにアクセスでき、全員が利益を得ることが出来ます。VMware Cloud on AWSがこの戦略での良い実例でしょう。VMware社は私達に、VMwareの仮想化スタックをAWSクラウドのハードウェア上で直接稼働させたい、それによってお客様がAWSがオファーする拡張性、セキュリティ、信頼性を手に入れることが出来るとリクエストしました。

私達は仮想化層をネストする事によるパフォーマンス低下を望んでいない他のお客様からもベアメタルハードウェアに興味があると聞いていました。お客様は物理リソースにアクセスし、パフォーマンスカウンターIntel® VTといった、仮想化環境では通常サポートされないローレベルのハードウェア機能を利用したいと考えていました。また、非仮想化環境でしか稼働できないライセンスのソフトウェアを稼働させるために必要としている方もいました。

ネットワーク、ストレージ、その他EC2関連機能を仮想化プラットフォームの外に出して、専用ハードウェアに移動させる努力を数年間に渡って続けてきており、より良い環境を提供できるための下地が出来ています。この活動は以前のこのブログ(今すぐご利用可能 – Amazon EC2 コンピューティング最適化インスタンス C5)で紹介しており、ハードウエアアクセラレーターでの性能向上を提供できています。

そして現在ではVMware社からのリクエストにあったように、ベアメタルのハードウェアをVMwareハイパーバイザーとともに用意し、これまで通り全てのAWSのお客様に提供しています。では次は何が出来るようになるのか、ぜひ見てみましょう!

(more…)

Amazon GuardDuty – 継続したセキュリティ監視と脅威の検知

ITインフラ(AWS アカウントでしたり、セキュリティクレデンシャル、またAWS上で稼働する仮想マシン、アプリケーション等)への脅威は日々形を変え、襲いかかります。オンラインの世界は陰険な場で、ITインフラを安全かつ健全に保つために、ツールでしたり、経験知識、知見をお持ちだと思います。

Amazon GuardDuty は正にそのためにデザインされました。公開データ、AWS 上で生成されるデータといった多数のデータをもとに、機械学習を行います。GuradDury はそれらをもとに、見落としがちな傾向、パターン、異常を追跡し、何億ものイベントの解析を行います。GuardDuty は数クリックで利用開始でき、数分でFindings(イベント)が表示されます。

動作方法

GuardDutyは 脅威情報を含む複数のデータストリームから、悪意のあるIPアドレス、デバイスドメインを認識し、あなたのAWSアカウントで悪意のある、もしくは不正な行動があるか特定するために学習します。VPC Flow Logs、CloudTrail のイベントログ、DNS ログを集め組み合わせることにより、GuardDuty は非常に多くのことなったタイプの危険性のある、悪意のある行動を検知します。その中には、既知の脆弱性でしたりポートスキャン、通常とは異なるロケーションからのアクセス等も含まれます。AWS の観点では、不正なデプロイメントでしたり、CloudTrail の異常なアクティビティ、API アクセスパターン、複数のサービスリミットを越えようとするアクセス等、疑わしいAWSアカウントアクティビティの検知を行います。それに加え、GuardDuty は悪意のあるエンティティ、サービス、データを抜き出そうとする行動、暗号侵害を試みるインスタンスと接続する、感染を受けたインスタンスも検知します。

GuardDuty はAWS上で提供され、パフォーマンス、信頼性の観点で既存サービスへの影響はありません。エージェント、センサー、ネットワークアプリケーションも必要ありません。このクリーンで既存に変更を加えない点は、みなさんのセキュリティチームへのアピールにもなりますし、すべてのAWSアカウントでGuardDutyを有効にする後押しになります。

Findings(検知されたアクティビティ) は3つのレベル(低・中・高)で通知され、詳細情報、復旧アクションの提案も合わせて通知されます。また、FindingはCloudwatch Eventsとの連携が可能で、ある特定の問題に関してはLambda ファンクションと連携し、復旧アクションを取ることが可能です。またこの連携機能により、GurdDuty のFinding 情報を、SplunkSumologicPagerDuty 等のイベント管理システムと簡単に連携が可能となりますし、JIRAServiceNowといったワークフローシステムとの連携、Slack連携も可能になります。

GuardDutyのはじめ方

では、簡単にGuardDutyの始め方をご説明します。はじめにGuardDuty Consoleを開き、開始をクリックします。

その後、GuardDuty を有効にするために確認を行います。そうすることで、GuardDuty のログ解析に必要なサービスリンク ロールが準備され、”GurdDuty の有効化”をクリックすると準備が整います。

アカウントによってはFindingがあまり無いアカウントもあるかもしれません。General Setting から、Generate sample findingsをクリックすると、サンプルのFindingsが確認できます。

あるFindingを選択すると、詳細が確認できます。

虫眼鏡アイコンから拡大し、関連リソース、アクション、その他値のフィルターを作成することが出来ます。下記のようにインスタンスに紐づくすべてのFindingsをフィルターすることも可能です。

信頼IP、また悪意のあるIPリストを追加することで、ご自身の環境にあったGuardDuty環境にカスタマイズもできます。

管理者アカウントでGuadDutyを有効にし、その他のアカウトを参加アカウントとして招待します。

それらアカウントが参加を承認すると、それらアカウントのFindingsが管理者アカウントと共有されます。

時間の関係もありGuardDuty の多くすべてをお話できないため、是非30日間のトライアルを是非ご利用下さい。トライアル終了後はVPC Flow Logs、CloudTrail ログ、DNS ログに対し解析を行った量に応じ課金されます。

利用可能リージョン

Amazon GuardDuty は、US East(北バージニア)、US East(オハイオ)、US West(オレゴン)、US West(北カリフォルニア)、EU(アイルランド)、EU(フランクフルト)、EU(ロンドン)、South America(サンパウロ)、Canada(セントラル)、Asia Pacific(東京)、Asia Pacific(ソウル)、Asia Pacific(シンガポール)、Asia Pacific(シドニー)、Asia Pacific(ムンバイ)のリージョンで本日から利用可能です。

– Jeff (翻訳は SA酒徳 が担当しました。原文はこちら)

2018年度のAPN プレミアパートナー様が発表され、国内8社目の新たなプレミアパートナーとしてCTC様が紹介されました。

こんにちは、Partner SA 相澤です。
いよいよre:Invent 2017が始まりましたが、28日のGlobal Partner Summit 2017にて
APN Premier Consulting Partnerが発表されました。

本年度の、新しいプレミアパートナーとして日本からはCTC様が紹介されました。
おめでとうございます!
今まで同様に非常に厳しいクライテリアを満たしたパートナー様のみの選出なっております。

また、既存のプレミアパートナー様も紹介され、日本からは7社のパートナー様が、昨年度から引き続きプレミアパートナー様として紹介されました。
Classmethod様、Cloudpack様、NRI様、ServerWorks様、TIS様、NEC様、 NTT Data様
おめでとうござます!

 

これでグローバルでのプレミアパートナー様は67社となり、そのうち8社が日本の企業です。
引き続き、日本市場へのAWS展開に向けて宜しくお願い致します!

https://aws.amazon.com/jp/solutions/solution-providers-japan/premier-consulting/

———————-
エコシステムソリューション部
パートナーソリューションアーキテクト
相澤 恵奏

 

AWS PrivateLinkのアップデート – お客様のアプリケーション&サービス向けのVPCエンドポイント

今月はじめに、私の同僚であるColm MacCárthaighAWS PrivateLinkに関する記事でVPCエンドポイントを利用したAmazon Kinesis StreamsAWS Service CatalogAWS Systems Manager、そしてEC2ELBのAPIへのアクセス方法についてご紹介しました。VPCエンドポイント (1つまたは複数のElastic Network InterfacesまたはENIで表される) はVPC内に存在し、VPCのサブネットからIPアドレスを取得します。これらのAWSサービスにアクセスするためにはインターネットゲートウェイやNATゲートウェイは必要ありません。このモデルは明確で理解しやすく、言うまでもなくセキュアでスケーラブルです!

 

プライベート接続用のエンドポイント

本日、VPCエンドポイントを利用して自分のサービスにアクセスしたり、他のユーザからサービスにアクセスいただけるようにAWS PrivateLinkを拡張しました。AWSサービス向けのPrivateLinkをローンチする以前から、たくさんのお客様からこの機能に関するご要望をいただいており、おそらく非常に人気のある機能になると考えています。例えば、あるお客様は単一のマイクロサービス(詳細はMicroservices on AWSを参照)を提供する数百のVPCを作成する計画があるとお話いただいたことがあります。

各企業は他のAWSのお客様にプライベート接続を介したサービスを開発・提供することができるようになりました。Network Load Balancerを利用したTCPトラフィックによるサービスを作成し、直接またはAWS Marketplaceでサービスを提供することができます。利用者は新しいサブスクリプションリクエストの通知を受け取り、そのサービスの利用について許可または拒否をすることができます。2018年は強力で活気のあるサービスプロバイダーのエコシステムを構築するために、この機能が利用されていくことでしょう。

サービスの提供者と利用者は異なるVPCまたはAWSアカウントを利用し、エンドポイントを介した一元的な通信がAmazonのプライベートネットワークを経由します。サービス利用者はVPC間のIPの重複やVPCピアリング、ゲートウェイの利用について心配する必要はありません。また、AWS Direct Connectを利用することで、オンプレミスやその他で稼働しているサービスから、AWS上のクラウドベースのアプリケーションへのアクセスを実現することができます。

 

サービスの提供および利用

VPC API、VPC CLI、またはAWSマネージメントコンソールからすべてのセットアップを行うことが可能です。それでは、コンソールからどのようにサービスの提供または利用を行うのかご紹介しましょう。今回はデモ用に単一のAWSにアカウントを利用します。

それでは、サービスの提供について見ていきましょう。サービスはNetwork Load Balancerの背後で実行され、かつTCPを利用する必要があります。EC2インスタンス、ECSコンテナ、またはオンプレミス(NLBのIPターゲットによる設定)を利用し、予想される需要に応じてスケールできるようにします。低レイテンシまたは対障害性を確保するために、リージョン内のそれぞれのAZのNLBをターゲットとすることをおすすめします。

VPCコンソールを開き、[Endpoint Services]を選択し、[Create Endpoint Service]をクリックします。

NLBを選択します。今回の例では一つしか表示されませんが、実際には2つ以上選択し、ラウンドロビン方式で利用者にマッピングさせることも可能です。[Acceptance requred]をクリックし、リクエストベースでのエンドポイントへのアクセスを提供します。

[Create service]をクリックすれば、サービスはすぐに準備完了となります。

もし、AWS Marketplaceでサービスを提供する場合、先に進んでリストを作成します。このブログ記事ではサービスの提供者と利用者が同じため、手順はスキップします。”Service Name”を次の手順で利用するためにコピーします。

VPCダッシュボードに戻り、[Endpoints]を選択し、[Create endpoint]をクリックします。[Find service by name]を選択し、先ほどコピーした”Service Name”を貼り付け、[Verify]をクリックし次に進みます。そしてAZ、サブネット、セキュリティグループをそれぞれ選択し、[Create endpoint]をクリックします。

Endpoint Serviceを作成したときに”Acceptance required”にチェックを入れたため、この接続は”pending acceptance”状態となっています。

Endpoint Serviceに戻ると、リクエスト側でもリクエストが”Pending Acceptance”状態であることが確認できます。(通常は別のAWSアカウントでの確認となります)

数分でエンドポイントが有効で利用可能なります。もし、有料のサービスやアクセスを提供する場合、たくさんのリクエストの中から新しい顧客を許可するために自動化された、定形のワークフローを実行する必要があるでしょう。

サービス利用者側は、新しいエンドポイントに対しDNS名でアクセスすることができます。

AWSまたはAWS Marketplaceから提供されるサービスはsplit-horizon DNSを通じてアクセスが可能です。この名前でアクセスすることで、ベストなエンドポイントが選択され、かつリージョンとAvailability Zoneが考慮されます。

 

AWS Marketplaceについて

前述のとおり、この新しいPrivateLinkの機能はAWS Marketplaceを通じて、新規または既存のサービス提供者の方々に新しい機会を提供します。以下のSaaSはすでにエンドポイントが利用可能で、今後さらに多くのサービスが増えていくことでしょう。(詳しくはAWS Marketplaceをご覧ください。)

CA TechnologiesCA Infrastructure Management Essentials, CA App Experience Analytics Essentials, CA Application Performance Management Essentials.

Aqua SecurityAqua Container Image Security Scanner.

DynatraceCould-Native Monitoring powered by AI.

Cisco StealthwatchPublic Cloud Monitoring – Metered, Public Cloud Monitoring – Contracts.

Sig OptML Optimization & Tuning.

 

本日から利用できます!

このPrivateLinkの新しい機能はいまからご利用できます!

 

日本語訳はSA吉田が担当しました。原文はこちらです。

AWS PrivateLink Update – VPC Endpoints for Your Own Applications & Services

 

AWS Media Services – クラウドベースの映像処理、保存、収益化

初期のWebビデオがどんなものだったのか覚えていますか? スタンドアローンのプレーヤー、低速で不安定な接続、過負荷なサーバー、そして今まで存在していたバッファリングメッセージは、20年も前に標準策定されたものでした。

今日、技術の進歩と幅広い標準のおかげで、物事はずっと改善されています。 視聴者は現在様々な操作が可能で、様々な形、サイズのデバイスを使用して、ブロードキャスト、ストリーミング、またはOTTで送信されたライブおよび録画コンテンツを楽しむことができ、それらコンテンツへの即時アクセスが期待できます。 これらの期待に応えることは、コンテンツクリエイターとディストリビューターにとってのチャレンジです。 ワンサイズのすべての形式でビデオを生成する代わりに、メディアサーバーは、幅広いサイズ、フォーマット、およびビットレートに対応するビデオを制作する準備ができていなければなりません。計画的または計画外の需要の急増にも注意をしなければなりません。このような複雑さに直面しても、コンテンツ収益化モデルを保護するために、コンテンツ及び安定供給するインフラ準備が必要となります。

New AWS Media Services

2017年11月27日、上記課題の1つまたは複数に対応するよう設計された、様々な放送品質のメディアサービスを開始します。これらを一緒に使用して完全なエンドツーエンドのビデオソリューションを構築することも、ビルディングブロックスタイルで1つ以上のサービスを組み合わせて使用することもできます。皆様はインフラストラクチャーのセットアップに使う時間を短縮し、より革新的なコンテンツの作成、配信、収益化に集中することが可能です。サービスはすべて伸縮可能であり、処理能力、接続、ストレージを強化し、100万ユーザー(およびそれを超える)のスパイクを容易に処理できます。

サービスは次のとおりです(一連のインタラクティブコンソールや、包括的なAPIセットからアクセスできます)。

AWS Elemental MediaConvert – OTT、ブロードキャスト、またはアーカイブのためのファイルベースのトランスコーディングサービスで、さまざまなフォーマットやコーデックをサポートします。 マルチチャンネルオーディオ、グラフィックオーバーレイ、クローズドキャプション、いくつかのDRMオプション機能をサポートしています。

AWS Elemental MediaLive – テレビやマルチスクリーンデバイスにリアルタイムでビデオストリームを配信するライブエンコーディングサービスです。エンコードパラメータを完全に制御しながら、信頼性の高いライブチャネルを数分で展開できます。 広告挿入、マルチチャンネルオーディオ、グラフィックオーバーレイ、クローズドキャプションをサポートしています。

AWS Elemental MediaPackage – オリジンサーバーとジャストインタイムパッケージのサービスです。 1つのビデオ入力から、複数のデバイスで視聴するために様々な形式のビデオ出力を生成します。 複数の収益モデル、タイムシフトライブストリーミング、広告挿入、DRM、ブラックアウト管理をサポートしています。

AWS Elemental MediaStoreAmazon Simple Storage Service(S3)の規模と耐久性を活用しながら、ライブストリーミングのような高性能かつ低遅延のアプリケーションで利用可能なメディア最適化ストレージサービスです。

AWS Elemental MediaTailor – 広告配信とサーバーサイド広告挿入、幅広いデバイス、トランスコード、サーバーサイドとクライアントサイドの広告挿入の正確なレポートをサポートする収益化サービスです。

以下のセクションでは、すべての機能をリストするのではなく、できるだけ多くのスクリーンショットをご紹介し、豊富な機能セットとこれら一連のサービスによって得られる設定をよりご理解いただけるように努めます。

AWS Elemental MediaConvert

MediaConvertでは、ファイルに格納されているコンテンツをトランスコードすることができます。 個々のファイルやメディアライブラリ全体を処理することができます。コンテンツと目的の出力を指定する変換ジョブを作成し、それをMediaConvertに送信するだけです。これらはインストールやパッチ適用の必要がなく、納期やパフォーマンスに影響を与えずにニーズに合わせてサービス拡張できます。

MediaConvertのコンソールでは、出力プリセット、ジョブテンプレート、キュー、およびジョブを管理できます:

ビルドインシステムのプリセットを使用することも、独自のプリセットを作成することもできます。 独自プリセットにより設定をフルコントロール可能です:

ジョブテンプレートには名前が付けられ、1つ以上の出力グループが生成されます。クリックしてテンプレートに新しいグループを追加することができます:

すべての準備が整ったら、いくつかの最終的な選択を行いジョブを作成するために「Create」をクリックします。

それぞれのアカウントにおいて、ジョブのデフォルトキューで処理を開始します。キューに入力された仕事はそれぞれのアカウントで使用可能なすべての処理リソースを使用して並列に処理されます。キューに仕事を追加しても、処理リソースは追加されませんが、キュー全体に配分されます。また、あるキューを一時停止して、他のキューに多くのリソースを割り当てることも可能です。より多くのリソースを他に費やすために、キューを一時停止することも可能です。また一時停止したキューにジョブをサブミットすることも可能で、まだ開始していないキューをキャンセルすることもできます。

このサービスの価格は、処理するビデオの量と使用する機能に基づきます。

AWS Elemental MediaLive

このサービスはライブエンコーディング用で、24時間365日稼働させることができます。 MediaLiveチャンネルは、放送業界で顧客が期待する信頼性を提供するために、2つの物理的に分離されたアベイラビリティゾーンに分散した冗長構成で展開されます。 入力信号を指定し、MediaLiveコンソールでチャンネルを定義することが可能です。

入力設定を作成した後、チャンネルを作成し入力設定にアタッチします:

各チャンネルの設定を完全に制御できます:

AWS Elemental MediaPackage

このサービスにより、単一のソースから様々なデバイスにビデオ配信が可能です。コンテンツ保護とジャストインタイムパッケージングに重点を置いており、ユーザーが希望するコンテンツをユーザーが選択した様々なデバイスに提供することができます。チャンネルを作成するだけで利用可能です:

その後、1つ以上のエンドポイントを追加します。 再度申し上げますが、開始ウィンドウやディレイを含む様々なオプション設定が指定でき、フルコントロール可能です:

チャンネルの入力URL、ユーザー名、およびパスワードを確認し、パッケージ化のためにライブビデオストリームをルーティングして利用可能です。

AWS Elemental MediaStore

MediaStoreは、ライブおよびオンデマンドメディア配信に必要なパフォーマンス、一貫性、およびレイテンシを提供します。オブジェクトは、限られた時間の間、オブジェクトストレージの新しい「一時的な」層へ書き込み、読み取られ、S3に暗黙的に移動して長期間の耐久性を実現します。メディアコンテンツをグループ化するためのストレージコンテナを作成するだけで利用可能です。

コンテナは1分程度で利用可能になります:

S3バケットと同様に、MediaStoreコンテナにはアクセスポリシーの設定が可能で、オブジェクトまたはストレージ容量に制限はありません。

MediaStoreは、リクエストレートやパフォーマンス要件に従って、オブジェクトのキー名で管理することにより、容量やスループットの面でS3を最大限に活用するのに役立ちます。

AWS Elemental MediaTailor

このサービスは、サーバー側の広告挿入を処理しながら、即座に広告アセットをトランスコードすることにより、放送品質の視聴者体験を提供します。お客様のビデオプレーヤーがMediaTailorにプレイリストを要求すると、広告サーバを呼び出し、元の動画のオリジナルサーバを参照するプレイリストと、広告サーバが推奨する広告を返します。ビデオプレーヤーは、クライアント側の広告ブロッキングが働かないように、すべての要求を単一のエンドポイントで送信します。 MediaTailor設定を作成するだけで可能です:

コンテキスト情報は、以下のURLにある広告サーバーに渡されます:

このポストの長さにもかかわらず、かろうじてAWS Media Serviceの一面をご紹介できただけです。AWS re:Invent後に、より詳細にこれらのサービスの使い方をご紹介させていただければとおもいます。

Available Now

AWS Media Servicesのセット全体が今すぐ利用可能です。価格はサービスによって異なりますが、利用量課金モデルで提供されています。

Jeff;

原文:AWS Media Services – Process, Store, and Monetize Cloud-Based Video(翻訳:SA安司)

DNS を使って AWS Certificate Manager の検証を簡単に

Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書はインターネット越しのネットワーク通信を安全にし、Web サイトの身元を確認するのに使われています。アマゾンは証明書を発行する前に、そのドメイン名をあなたが管理している事を検証しなければなりません。今回、あなたが管理しているドメイン名について SSL/TLS 証明書の発行リクエストを AWS Certificate Manager (ACM) にした際に、Domain Name System (DNS) 検証を使えるようになりました。これまで、ACM はEメール検証のみをサポートしており、ドメインの所有者は証明書発行リクエストのつどEメール受け取り、確認して承認する必要がありました。

DNS 検証では、そのドメインをあなたが管理している事を証明するために CNAME レコード を DNS 設定に書き込む必要があります。CNAME レコードの設定後は、DNS レコードが変更されない限り、有効期限切れ前には ACM は自動で DNS 検証した証明書を更新します。Amazon Route 53 で DNS を管理している場合は、ドメインの検証がより簡単になるよう ACM が DNS 設定の更新も行うことができます。このブログ記事では、DNS 検証を使って Web サイトの証明書リクエストを行う方法を紹介します。同等のステップを AWS CLI、AWS API、AWS SDK を使って行うには、AWS Certificate Manager in the AWS CLI ReferenceACM API Reference を御覧ください。

SSL/TLS 証明書を DNS 検証を使ってリクエストする

このセクションでは、インターネットで Web サイトの身元を確認するのに必要な SSL/TLS 証明書を ACM を使って発行するのに必要な 4 ステップを順番に行っていきます。SSL/TLS は、通信における重要データの暗号化、Web サイトの身元を証明する証明書を使った認証、ブラウザ、アプリ、Web サイト間の接続の安全性を実現します。DNS 検証や SSL/TLS 証明書は ACM を通じて無償で提供されます。

ステップ 1: 証明書をリエクストする

始めるにあたって、AWS マネージメントコンソール にログインして、ACM コンソールを開きます。証明書をリクエストするには Get started / 今すぐ始める を選んで下さい。

Screenshot of getting started in the ACM console

もしこれまでに ACM で証明書を管理していた場合は、代わりに証明書一覧と新しい証明書をリクエストするボタンが表示されます。新しい証明書をリクエストするには Request a certificate / 証明書のリクエスト を選んで下さい。

Screenshot of choosing "Request a certificate"

Domain name / ドメイン名 のテキストボックスにドメイン名を入力し、Next / 次へ を選んで下さい。この例では、
www.example.com と入力しています。あなたが管理しているドメイン名でなければいけません。あなたが管理していないドメイン名の証明書をリクエストすることは、AWS サービス条件 に違反することになります。

Screenshot of entering a domain name

ステップ 2: 確認方法を選択する

DNS 検証 (DNS validation) では、DNS 設定に CNAME レコードを書き込むことでドメイン名の管理をしている事を検証します。DNS validation / DNS 検証 を選んで、Review / 確認 を選びます。

Screenshot of selecting validation method

ステップ 3: リクエストを確認する

リクエストを確認して、証明書をリクスとするには Confirm and request / 確定とリクエスト を選びます。

Screenshot of reviewing request and confirming it

ステップ 4: リクエストを送信する

ACM がドメイン検証の情報を反映するのに少し経った後、▼ を選択して検証情報の全てを表示させます。

Screenshot of validation information

証明書リクエストしたドメイン名を管理していることを検証するために、DNS 設定に追加が必要な CNAME レコードが表示されます。Route 53 以外の DNS サービスを使っていたり、他の AWS アカウントで Route 53 を使っている場合、検証情報から DNS CNAME 情報をコピーするかファイルにエクスポート (Export DNS configuration to a file / DNS 設定をファイルにエクスポート を選びます) して、DNS 設定に書き込みます。DNS レコードを追加・削除する方法については、お使いの DNS サービスを確認指定下さい。DNS に Route 53 をお使いの場合は、Route 53 ドキュメント を確認して下さい。

同じ AWS アカウントの Route 53 でドメインの DNS レコードを管理している場合、ACM で DNS 設定を更新するために Create record in Route 53 / Route 53 でのレコードの作成 を選択して下さい。

DNS 設定を更新した後、Continue / 続行 を選択して ACM の証明書一覧に戻ります。

ACM は全ての証明書の一覧を表示します。リクエストした証明書も表示され、リクエストのステータスを確認することができます。DNS レコードの書き込みを行った後、(TTL設定によりますが) 一般的にレコードが反映されるまで 30 分程度かかり、さらに Amazon が検証して証明書を発行するまで数時間かかります。ACM はこの期間 Validation status / 検証状態Pending validation / 検証保留中 と表示します。ACM がドメイン名の検証をした後は、Validation status / 検証状態Success / 成功 と表示します。証明書の発行後、証明書のステータスは Issued / 発行済み となります。もし 72 時間経っても ACM が DNS レコードを検証できず証明書を発行できなかった場合は、リクエストはタイムアウトし、検証状態は Timed out / タイムアウト と表示されます。やり直すには、新たにリクエストを作成する必要があります。検証や発行についてトラブルシューティングする手順については、ACM ユーザガイドトラブルシューティングを参照下さい。(訳注:11/27 現在、日本語のユーザガイドはまだ DNS 検証について反映されてないため、英語版を参照下さい。)

Screenshot of a certificate issued and validation successful

これで ACM の証明書は発行されたので、Web サイトを安全にするのに使用できます。証明書を他の AWS サービスにデプロする方法については、それぞれのドキュメント
Amazon CloudFrontAmazon API GatewayApplication Load BalancersClassic Load Balancers を参照して下さい。なお、CloudFront で証明書を使用するには 米国東部(バージニア北部)リージョンに証明書が作成されている必要があります。

ACM は証明書が他の AWS サービスで使用されており、CNAME レコードが残っている限り証明書を自動的に更新します。ACM の DNS 検証についてさらに詳しく知るには、ACM FAQACM ドキュメント を御覧ください。

このブログ記事にコメントがる場合、(原文の)記事のコメントセクションに記載して送って下さい。もしこの記事について質問がある場合は ACM forum に新しいスレッドを作成して質問するか AWS サポート
にお問い合わせ下さい。

– Todd (翻訳は SA 辻 義一 が担当しました。原文はこちら)

Amazon EC2 Systems Manager による Microsoft VSS を使用したスナップショットサポート

私たちはここでWindows AMIを稼働させるAmazon EC2におけるMicrosoftボリュームシャドウコピー(VSS)のサポートをアナウンスできることを嬉しく思います。VSSはMicrosoft Windows(主要なSQL ServerやExchange Serverなどのマイクロソフトアプリケーションを含む互換性のある)環境における非常に一般的なボリュームバックアップ技術です。VSSはファイルの書き込みなどのディスク処理をバックアップ処理実行中も適切に管理するため、アプリケーション一貫性を持ったバックアップが可能となります。 アプリケーション一貫性バックアップは、マシンまたはインスタンスに接続されたボリュームのバックアップと同時に実行され、メモリ内のすべてのデータと処理中のすべてのトランザクションをキャプチャします。

VSSが有効なAmazon EBSボリュームのスナップショット(以降、”VSS有効化スナップショット”と表記) は、Amazon EC2 Systems ManagerのRun Commandから使用可能です。AWSEC2-CreateVssSnapshot コマンドによってWindowsインスタンスのEC2にアタッチされたEBSボリュームを、バックアップ処理の間トランザクションデータの一貫性を失うことなく、アプリケーション一貫性を持ったスナップショットを取得可能です。この機能によってSQL Backupや、カスタムスクリプトなどによって提供されたアプリケーション固有のバックアップソリューションは不要となります。さらに、イメージレベルバックアップにおけるアプリケーション一貫性を維持するためのサードパーティ製ツールも不要になります。

AWSEC2-CreateVssSnapshotの使用方法

VSS有効化スナップショットは、Windowsが稼働するEC2インスタンスに対してAWSEC2-CreateVssSnapshotコマンドをEC2 Systems Manager Run Commandから呼び出すことで実行します。AWS管理コンソールやAWS CLIから実行したり、PowerShellスクリプトやLambda関数から呼び出すことも可能です。本ブログではEC2コンソールからコマンドで実行する例を示します。

AWSEC2-CreateVssSnapshot Run Command

EC2管理コンソールで、AWSEC2-CreateVssSnapshotコマンドのドキュメントを選択し、VSS有効化スナップショットを取得したいEBSボリュームを持つインスタンスを選択します。 インスタンスを選択した後、スナップショットに追加したい説明やタグを設定します。ブートボリュームをスナップショット処理から除外することも可能です。

Calling AWSEC2-CreataeVssSnapshot Run Command

起動されるとRun CommandはVSSコンポーネント(詳細については後述)に対して、EC2 Windowsインスタンス上のVSS対応アプリケーションのすべての処理中のI/Oをコーディネーションするよう指示します。これによってI/OバッファはEBSボリュームに対してフラッシュされ、すべてのI/Oはスナップショット取得が完了するまでフリーズされます。この結果アプリケーション一貫性が維持されます。スナップショットが取得された後、I/Oフリーズが解除され通常処理に復帰します。

Run Commandやスクリプトから取得したスナップショットは、EC2コンソール左側のEBSスナップショットメニューで確認できます。 このプロセスで正常に取得された全てのVSS有効化スナップショットには “AppConsistent:True”というタグが付与されます。本機能についてのより詳細についてはこちらAWSEC2-CreateVssSnapshot のドキュメントを参照してください。

VSS有効化スナップショットを取得するためのEC2インスタンスの準備

  • インスタンスへのスナップショット許可 : IAMコンソールを開き、”Amazon EC2″サービスに対する以下の権限を許可する新しいポリシーを作成します。
    1. DescribeInstances
    2. CreateTags
    3. CreateSnapshot

またIAMコンソールからAmazon EC2ロールAmazonEC2RoleForSSMに対して上記で作成したポリシーを適用します。さらにこのロールを直接EC2 Windowsインスタンスにアタッチします。

IAM permissions to take VSS-enabled EBS snapshots

  • VSSコンポーネントのインストール : 2017年11月以降のMicrosoft Windows Server AMIイメージにはVSSコンポーネントはプリインストールされています。もし使用しているWindowsインスタンスのパッケージが最新でない場合は、VSSコンポーネント(AwsVssComponents)をAWS-ConfigureAWSPakageコマンドをSystems ManagerのRun Commandから呼び出してインストールする必要があります。

AWS-ConfigureAwsPackage to install VSS components

より詳しいVSS有効化スナップショット取得のためのEC2インスタンスのセットアップについてはこちらAmazon EC2 ドキュメントを参照ください。

Installing VSS components on EC2 instances

AWSEC2-CreateVssSnapshot使用する際には、対象のEC2インスタンスに対してEBSスナップショット作成およびタグ書き込み許可のIAM許可が必要となります。コンプライアンスやポリシーの理由から追加のIAM許諾をインスタンスに付与したくない場合には、カスタム可能なサンプルのスクリプトを活用可能です。このスクリプトの詳細についてはこちらAWSEC2-ManageVssIOに関するドキュメントを参照して下さい。

VSS有効化スナップショットのリストアプロセスは通常のEBSスナップショットと同様です。こちらのリストアのサンプルスクリプトも使用できます。このリストア用スクリプトで、指定されたEBSスナップショットからEC2 Windowsインスタンスにリストアすることが可能です。

About the Author

Purvi Goyal is a Senior Product Manager with the Amazon EC2 team, where she strives to enhance the cloud experience of AWS Enterprise customers. Outside of work, she enjoys outdoor activities like hiking and kayaking.

 

(翻訳:SA松崎, 元の記事はこちらです)

Amazon QuickSight の更新 – 地理空間の可視化、プライベートVPCアクセス、その他

AWSでは記念日を敢えて祝うことはあまりしません。100近いサービスによって、週に何度もアップデートを展開するのが当たり前になっています。(まるで週に何度もケーキを食べて、 シャンパンを飲んでいるようなものです。)それは楽しそうに聞こえますが、我々はむしろ、お客様に耳を傾け、イノベーションを起こすことに多くの時間を費やしています。とは言うものの、 Amazon QuickSight は一般提供開始から1年が経ちましたので、簡単にアップデートを紹介したいと思います!

QuickSight の事例

本日、数万のお客様(スタートアップからエンタープライズまで、交通や法律、鉱業、医療などの様々な業界)がお客様のビジネスデータの分析とレポートのためにQuickSightを利用されています。

幾つか例を上げましょう。


Gemini は負傷した労働者を弁護するカリフォルニア弁護士に法的根拠の調達サービスを提供しています。彼らは、カスタムレポートの作成や一度限りのクエリの実行から、ドリルダウンとフィルタリングを使用した動的なQuickSightダッシュボードの作成と共有までを行っています。QuickSightは、販売パイプラインの追跡、注文のスループットの測定、注文処理パイプラインでのボトルネックの特定に使用されています。

Jivochat はウェブサイト訪問者とウェブサイトの所有者とを繋ぐ、リアルタイムメッセージングプラットフォームを提供しています。QuickSightを使用して、彼らはインタラクティブなダッシュボードを作成・共有しながら、元となるデータセットへのアクセスも提供しています。これにより、静的なスプレッドシートを共有するにとどまらず、誰もが同じデータを見ていることを保証し、現時点でのデータに基づいてタイムリーな決定を下すことを後押ししています。

Transfix は、小売業、食品・飲料、製造業およびその他の業種のFortune 500に名を連ねるリテールの荷送主に、荷物にマッチする配送業者を選択でき、ロジスティクスの可視性を高める、オンライン貨物市場です。QuickSightはBIエンジニアと非技術系ビジネスユーザーの両方に分析環境を提供しています。彼らはQuickSightを通じて、輸送ルート、運送業者効率性、プロセス自動化などのビジネスの鍵となる事柄や運営指標を吟味しています。

振り返り / 先読み
QuickSightに対するフィードバックはとても役に立っています。お客様は、自社のBIインフラを設定または実行することなく、従業員がQuickSightを使用してデータに接続し、分析を実行し、データに基づいた高速な決定を下すことができていると教えてくれます。我々は頂いたフィードバックをすべて歓迎し、それを使用してロードマップを推進し、1年で40を超える新機能を導入してきました。以下はその要約です:

今後のことを考えると、お客様に興味深い傾向が見られます。データの分析方法やレポート方法を詳しく見ていくうちに、サーバーレスのアプローチがいくつかの目に見えるメリットをもたらすことに気づき始めるのです。彼らは、Amazon Simple Storage Service (S3) をデータレイクとして使用し、QuickSight と Amazon Athena のコンビネーションによってクエリを実行することで、静的なインフラストラクチャ無しに迅速で柔軟な分析環境を手にしています。また、QuickSightのダッシュボード機能を活用し、ビジネスの結果や運用メトリクスを監視し、数百人のユーザーと彼らの洞察を共有しています。もしこのようなアプローチに興味がある場合は、Building a Serverless Analytics Solution for Cleaner Cities のブログポストや、 Severless Big Data Analytics using Amazon Athena and Amazon QuickSight  のスライドを御覧ください。

新しい機能の追加と拡張
我々は、QuickSightが今後もお客様のニーズを満たすことを確認するために、お客様の声を聞き、それを学ぶことにベストを尽くしています。そして以下の7つの大きな機能をアナウンスできることを幸福に思います:

地理空間の可視化 – 位置情報データセットを地理空間に可視化することが可能になります。

プライベートVPCアクセス – VPC内、またはオンプレミスデータに対し、パブリックなエンドポイント無しにセキュアに接続できる新しい機能のプレビューに参加することができます。

フラットテーブルのサポート – ピボットテーブルに加えて、表形式レポート用のフラットテーブルを使用することができます。詳しくは Using Tabular Reports を参照ください。

SPICE上のデータに対して計算フィールドを適用する – SPICE上のデータに対して計算フィールドを適用することができます。詳しくは 分析への計算フィールドの追加 を参照ください。

ワイドテーブルのサポート – テーブルあたり1000カラムまで使用することができます。

「その他」をまとめて表示 – カーディナリティの高いロングテールデータを、「その他」としてまとめて表示することができます。詳しくは Amazon QuickSight でビジュアルタイプを使用する を参照ください。

HIPAA コンプライアンス – QuickSightでHIPAAコンプライアンス準拠のワークロードに対応できます。

地理空間の可視化
お待たせしました!地理的な識別子(国、都市、州または郵便番号)を含むデータから、数回のクリックで美しいビジュアルを作成できるようになりました。QuickSightはそれらのデータをマップ上の位置情報に変換しますし、緯度/経度にも対応しています。この機能を使用して、州ごとの売上を視覚化したり、店舗を配送先にマップしたりすることができます。視覚化のサンプルは次のとおりです。

詳しくは、Using Geospatial Charts (Maps) , と Adding Geospatial Data を参照ください。

プライベートVPCアクセスのプレビュー
もしあなたがAWS上(もしかすると Amazon RedshiftAmazon Relational Database Service (RDS)  、または EC2上かもしれません)または、パブリック接続の無いオンプレミス上のTeradataやSQL Serverにデータを保持している場合、この機能はあなたのためにあります。QuickSightのプライベートVPCアクセスは、ENIを使用してセキュアに、プライベートにVPC内のデータソースにアクセスします。AWS Direct Connect を使用してセキュアに、オンプレミス上のリソースにプライベートリンクを貼ることもできます。以下のような形です。

プレビューに参加する準備ができている場合、本日からサインアップ可能です。 

Jeff;

(翻訳:SA八木、元の記事はこちらです)

【変更版】11 月の AWS Black Belt オンラインセミナーのご案内

※11/20追記

直前のお知らせとなり申し訳ありません。11/21(火) 12:00-13:00に開催を予定しておりました「AWS上の位置情報」ですが、講師の都合により延期となりました。事前登録いただいておりました皆様、申し訳ございませんでした。また、改めて開催予定日を案内させていただきます。

 

こんにちは。ソリューションアーキテクトの岡本です。AWS Black Belt オンラインセミナー11月の配信についてご案内させて頂きます。初めてご紹介するNLB (Network Load Balancer) を中心としたELBのセッションをはじめ、今月も様々なテーマを取り扱います。

また今年もAWS re:Inventの開催期間中に現地からの生中継で最新アップデートをお伝えする回を予定しておりますので、こちらもぜひご登録いただければと思います。

 

 

 

 

 

 

 

 

 

11月の開催予定

サービスカット
11/1(水) 18:00-19:00 Amazon EMR
11/15(水) 18:00-19:00 ELB Update – Network Load Balancer(NLB)と関連サービス
11/22(水) 18:00-19:00 AWS WAF – OWASP Top10脆弱性緩和策 –

ソリューションカット
11/9(木) 12:00-13:00 Amazon Pinpoint で始めるモバイルアプリのグロースハック  ※ 通常の開催曜日と異なりますのでご注意ください
12/1(金) 12:00-13:00 AWS re:Invent 2017 Report  ※ 通常の開催曜日と異なりますのでご注意ください。また12月開催ですが先行告知させて頂きます

お申し込みは、それぞれ上記のリンクより行って頂けます。キャンセルの際も連絡不要ですので是非お早めにご登録ください。Speaker、Staff 一同みなさまのご参加をお待ちしております。