Category: General

同僚のStas Vonholskyが、Amazon ECSアプリケーションの秘密情報管理に関する素晴らしいブログを寄稿してくれました。 —– コンテナ化されたアプリケーションとマイクロサービス指向のアーキテクチャが普及するにつれて、アプリケーションデータベースにアクセスするためのパスワードなどの秘密情報を管理することは、より困難かつ重要になっています。 いくつか課題の例を挙げます： dev、test、prodなどのさまざまなアクセスパターンをコンテナ環境全体でサポートしたい ホストレベルではなくコンテナ/アプリケーションレベルで秘密情報へのアクセスを隔離したい サービスとしても、他サービスのクライアントとしても、アクセスが必要である疎結合なサービスが複数存在する この記事では、上で動作するコンテナアプリケーションの秘密情報管理をサポートする、新しくリリースされた機能に焦点を当てています。同僚のMatthew McCleanもAWSセキュリティブログに、S3とDockerを使用してECSベースのアプリケーションの秘密情報を管理する方法についての素晴らしい記事を公開しています。この記事では、コンテナパラメータ変数を使って秘密情報を受け渡し／保存する際の制限について説明しています。 多くの秘密情報管理ツールは、次のような機能を提供しています。 高セキュアなストレージシステム 集中管理機能 セキュアな認証と認証メカニズム 鍵管理および暗号化プロバイダとの統合 アクセスのための安全な導入メカニズム 監査 秘密情報のローテーションと失効 Amazon EC2 Systems Manager パラメータストア パラメータストアは、Amazon EC2 Systems Managerの１機能です。秘密情報のための集中化／暗号化されたデータストアを提供し、Run CommandやステートマネージャーなどのSystems Managerの他の機能と組み合わせることで多くの利点をもたらします。このサービスはフルマネージドで、高い可用性・セキュリティを持っています。 System Manager API、AWS CLI、およびAWS SDKを使用してパラメータストアにアクセスできるため、汎用の秘密情報管理ストアとして使用することができます。秘密情報は簡単にローテートしたり取り消したりすることができます。パラメータストアはと統合されているため、デフォルトまたはカスタムのKMSキーを使用して特定のパラメータを暗号化できます。 KMSキーをインポートすることで、独自のキーを使用して機密データを暗号化することも可能です。 パラメータストアへのアクセスはIAMポリシーによって実現にされ、リソースレベルのアクセス許可をサポートします。特定のパラメータまたは名前空間にアクセス権を持つIAMポリシーを使用して、これらのパラメータへのアクセスを制限することができます。 CloudTrailログを有効にすると、パラメータへのアクセスを記録することも可能です。 Amazon S3も上記の機能の多くを持つので、集約秘密情報ストアの実装にも使用できますが、パラメータストアにはさらに次のような利点があります。 アプリケーションライフサイクルのさまざまなステージをサポートするためのネームスペースを簡単に作成できる インスタンスまたはコンテナからKMSキーにアクセスし、ローカルメモリ内で復号化を実行することで、アプリケーションからパラメータの暗号化を抽象化するKMS統合機能を提供する パラメータの変更履歴を保管できる 他の多くのアプリケーションで使用されるS3とは別に制御できる 複数システムを実装する際のオーバーヘッドを削減する構成情報ストアとなる 使用料がかからない 注：本記事の公開時点では、Systems ManagerはVPCプライベートエンドポイント機能をサポートしていません。プライベートVPCからのパラメータストアエンドポイントへのより厳密なアクセスを強制するには、限られたIPアドレスセットからのみにアクセスを制限するIAMポリシーConditionとともに、Elastic IPアドレスを持つNATゲートウェイを使用します。 タスクIAMロール Amazon ECSタスク用のIAMロールを使用すると、タスク内のコンテナが使用するIAMロールを指定することができます。 AWSサービスと対話するアプリケーションは、AWSクレデンシャルでAPIリクエストに署名する必要があります。ECSタスクIAMロールは、Amazon EC2インスタンスプロファイルがEC2インスタンスにクレデンシャルを提供するのと同じように、コンテナアプリケーションのクレデンシャルを管理する方法を提供します。 AWSクレデンシャルを作成してコンテナに配布したり、EC2インスタンスロールを使用する代わりに、IAMロールをECSタスク定義またはRunTask […]

2016年は、前年に引き続きクラウドに移行するうえで障壁とされていた規制やコンプライアンスはなくなりつつあり、ますますクラウドの普及が加速した年でした。また、いかに早くITリソースの調達し、アプリケーション開発を俊敏に行うか、実現するためのサービスも多数発表され、メディアでもクラウドの活用事例を多数目にする機会があったかと思います。 今年も、日々クラウドの普及に大きな貢献をしていただいているJAWS-UG (Japan AWS User Group) の中から、AWS Samurai 2016 を発表いたします。AWS Samurai は、2011年12月から続いている制度で、2016年のユーザーコミュニティにおけるさまざまな継続的な活動において、ユーザーコミュニティの成長およびAWSクラウドの普及に大きく貢献または影響を与えた方々を Amazon Web Services (AWS) から認定させていただく制度です。 今年は下記の3名の方々を AWS Samurai として選出いたします。選出されたみなさま、おめでとうございます！  赤塚 誠二 さん（JAWS-UG 山形支部） Facebook 海外にはJAWS-UGと同様、多くのユーザーグループがあります。その中でも、韓国およびシンガポールのユーザーグループとのミートアップなど、JAWS-UGおよび現地のユーザーグループのメンバーが交流する企画を立ち上げ、言語の異なる他地域との橋渡しを積極的に実施しました。また、ユーザーグループの参加メンバーが中心となり企画から実施までを進めるJAWS DAYS 2016の実行委員長としてチームをまとめ、1,000名以上が参加したコミュニティ主導の大型イベントを実現しました。今後もさらに海外との交流を深めていただき、ユーザーグループのメンバー同士の新たな出会いの機会や交流を通じて、AWSクラウドが世界中で広がるような活動につながっていく事を期待しています。  吉田 真吾 さん（JAWS-UG 横浜支部） Facebook 新たなクラウドのアーキテクチャとして注目されているサーバーレスや開発効率を向上させるための関連フレームワークなど、インフラエンジニアやアプリ開発者向けのイベントや各種勉強会をオーガナイザーとして多くの仲間を集め、東京や大阪地域で積極的に企画および実施しました。また、JAWS-UG横浜をリブートし、次世代のコミュニティリーダーの発掘・育成など、ユーザーグループが今後さらに成長する為の施策を進めました。アプリ／ウェブデベロッパーやインフラエンジニアをはじめとした開発・運用に関わるエンジニアの方々にサーバーレスアーキテクチャを知ってもらい、サービスを活用してイノベーションを起こしてもらえるよう、今後もファンや仲間を増やす活動を進めていただきたいと思います。  青木 由佳 さん（JAWS-UG 初心者支部） Facebook 初心者支部の運営をはじめ、JAWS-UGやAWSクラウド初心者に対して、各支部の活動、「学ぶ」ことの楽しさを、イベント、勉強会やSNSで積極的に情報発信しました。本業はマーケティング職ですが、エンジニアと一緒に何かを実現したいという思いの中、JAWS DAYSの運営や登壇し、クラウドの魅力を自分の視点からわかりやすく伝えています。また、JAWS-UG運営のコアメンバーのひとりとして、60を超える支部が実施する勉強会等の予定をとりまとめ、メール通知やイベントカレンダー表示など、活動のみえる化を実現しました。ユーザーコミュニティの活用法やエンジニア以外の方々がJAWS-UGに継続的に参加していただけるよう情報発信を続けていただきたいと思います。   2016年11月に米国ラスベガスで開催された学習型カンファレンス AWS re:Invent 2016 では、大小合わせて50以上もの新機能やサービスが発表されました。年間の発表数は1,000以上あり、2017年もイノベーションのスピードはますます加速していきます。AWSからも多くの情報提供とインパクトのある新機能やサービスを提供させていただき、人と人がつながり学習する場としてのJAWS-UGの成長をサポートしてまいります。   アマゾン ウェブ サービス ジャパン株式会社 マーケティング本部　シニアプロダクトマーケティングマネージャー 石橋

新年の始まりにあたり、再び Tina Barr が優れた多くのスタートアップ企業をさらに紹介します。ぜひご覧ください。 -Ana 本年も引き続き、AWS を利用しているホットなスタートアップ企業を紹介していきます。本日は、3 つの新しいスタートアップ企業を紹介します。 ClassDojo – 教師、児童生徒、親をクラスへとつなぎます。 Nubank – 銀行取引の概念を変える金融サービスのスタートアップ企業。 Ravelin – 機械学習モデルの上に構築された不正検出会社。 昨年の主なスタートアップ企業の紹介をまだお読みになっていない場合は、「1 年を振り返る」をぜひご覧ください。 ClassDojo (サンフランシスコ) 2011 年に Liam Don 氏と Sam Chaudhary 氏によって開始された ClassDojo は、クラス向けの通信プラットフォームです。教師、親、児童生徒は 1 日を通じて、写真、ビデオ、メッセージングを通じた重要な時間を共有するための場所としてこれを使用できます。今日、多くのクラスが万人向けのモデルとして運営されている中、ClassDojo の創設者は教育システムを改善し、世界中の 7 億人の初等教育の対象児童に、最善のコンテンツやサービスを受けさせたいと考えました。Sam と Liam が、クラスにとって何が最も役立つかを教師に質問したところ、多くの教師は、思いやりや寛容さのあるコミュニティが必要と答えました。つまり、クラスにかかわっている全員につながることができるコミュニティです。ClassDojo では、教師は児童生徒やその親と協力して独自のクラス文化を創造することができます。ClassDojo は 5 年で米国およびその他 180 か国の幼稚園から中学校までの 90% に拡大し、そのコンテンツは 35 か国語以上に翻訳されました。最近、ハーバード大学およびスタンフォード大学と共同作成された「Empathy and Growth Mindset」のビデオシリーズにより、さらに多くのクラスに拡大しました。これらのビデオは、米国の 14 歳以下の子どもの 3 […]

過去数年間に、IPv6 のサポートを AWS の多くの異なる部分に追加してきました。最初は 、、、、、、および S3 Transfer Acceleration から開始し、最終的には先月発表した Virtual Private Cloud の EC2 インスタンスに対する IPv6 のサポート (当初は リージョンで利用開始) にまで拡大されました。本日は、VPC の EC2 インスタンスに対する IPv6 のサポートが、合計 15 のリージョンで利用でき、これらのリージョンのうち 9 つで、IPv6 に対する Application Load Balancer のサポートが利用できるようになったことをお知らせします。IPv6 アドレスを使用できるアプリケーションを構築およびデプロイして、サーバー、オブジェクトストレージ、ロードバランサー、およびコンテンツ配信サービスと通信できます。Apple および他のベンダーからの IPv6 サポートの最新のガイドラインに従い、モバイルアプリケーションは、AWS と通信するときに IPv6 アドレスを使用できるようになりました。 IPv6 が 15 リージョンで利用可能に 新しい VPC および既存の VPC の EC2 インスタンスに対する IPv6 のサポートが、、、、、、、、、、、、、、、および リージョンで利用可能になり、今すぐ使用を開始できます。新しい […]

AWS IoT ボタンは 2015 年 10 月 に AWS re:Invent の AWS IoT サービスの発表で初めて IoT シーンに登場しました。その年の re:Invent の全参加者は、AWS IoT を実践する機会を提供する AWS IoT ボタンを受け取りました。その時以来、AWS IoT ボタンは、クリック可能な IoT デバイスに興味のあるすべての人に広く利用可能になりました。最近開かれた AWS re:Invent 2016 カンファレンスでは、AWS IoT Button Enterprise Program により企業向けの AWS IoT ボタンが公開されました。このプログラムは、物理的なボタンをクリックすることにより新しいサービスを提供したり、既存の製品を改善できるように企業を助けるためのものです。AWS IoT Button Enterprise Program では、企業はプログラム可能な AWS IoT ボタンを使用して、顧客エンゲージメントを高め、アプリケーションを拡張し、ユーザーエクスペリエンスを簡素化して、顧客に新しいイノベーションを提供することができます。IoT の力を活用することにより、企業は製品やサービスに対する顧客の需要にリアルタイムで対応することができ、シンプルなデバイスを通じて顧客に直接的なコミュニケーションを提供することができます。   AWS IoT Button Enterprise Program 新しい […]

本日、Amazon ECSはクラスタ上にどのようにしてタスクを配置するかを汎用的に制御することのできる機能を発表しました。以前は、特定のリソースの要求(例えば、特定のインスタンスタイプ)を満たすコンテナインスタンス上にタスクを配置する必要がある時は、カスタムスケジューラを作成してリソースをフィルタし、発見し、グループ化する必要がありました。 次の図は、新しいタスク配置処理の概要を示しています: これによって、コードを一切書かずともタスクがどのように配置されるかをカスタマイズすることができます。ECSは、インスタンスタイプやアベイラビリティゾーンの様な組み込み済の属性を付与していますし、加えてカスタムの属性もサポートしています。例えば、environment=productionといった属性でコンテナインスタンスをラベル付することができ、これらのリソースを見つけるためにList APIで操作することや、RunTaskとCreateService API操作でこれらのリソース上にタスクを配置することができます。 また、bin packやspreadといったplacement strategy (配置戦略)を使って、タスクがさらにどこに配置されるかを定義することもできます。ポリシーを連鎖させて洗練された配置を達成することもできます。例えば、g2.*のインスタンス上にのみタスクを配置し、アベイラビリティゾーンに渡って幅広く(spread)配置し、そして各ゾーンではメモリを基準にタスクをなるべく詰め込む(bin pack)というポリシーを作成できます。 はじめに、attribute (属性)を見てましょう。インスタンスタイプ等の組み込み済の属性を使って、コンテナインスタンスを見つけ、その上にタスクを配置することができます。以下の例では、クラスタ上の全てのt2インスタンスを見ることができます: aws ecs list-container-instances –filter “attribute:ecs.instance-type matches t2.*” { “containerInstanceArns”: [ “arn:aws:ecs:us-east-1:123456789000:container-instance/40f0e62c-38cc-4cd2-a28e-770fa9796ca1”, “arn:aws:ecs:us-east-1:123456789000:container-instance/eb6680ac-407e-42a6-abd3-1bbf57d7401f”, “arn:aws:ecs:us-east-1:123456789000:container-instance/ecc03e17-6cbd-4291-bf24-870fa9796bf2”, “arn:aws:ecs:us-east-1:123456789000:container-instance/fbc03e17-acbd-2291-df24-4324ab342a24”, “arn:aws:ecs:us-east-1:123456789000:container-instance/f9a69f54-9ce7-4f1d-bc62-b8a9cfe8e8e5” ] } 続いて、us-east-1aのアベイラビリティゾーンにあるt2インスタンスのみをリストしています: aws ecs list-container-instances –filter “attribute:ecs.instance-type matches t2.* and attribute:ecs.availability-zone == us-east-1a” { “containerInstanceArns”: [ “arn:aws:ecs:us-east-1:123456789000:container-instance/40f0e62c-38cc-4cd2-a28e-770fa9796ca1”, “arn:aws:ecs:us-east-1:123456789000:container-instance/eb6680ac-407e-42a6-abd3-1bbf57d7401f”, “arn:aws:ecs:us-east-1:123456789000:container-instance/ecc03e17-6cbd-4291-bf24-870fa9796bf2” ] } カスタム属性はECSのデータモデルを自身のカスタムメタデータ用にキーバリューのペアを使って拡張します。以下の例では、stack=prodという属性を特定のコンテナインスタンスに追加しています: aws ecs put-attributes –attributes […]

は、Chef を使用したアプリケーションの設定と実行に役立ちます。ドメイン固有言語 (DSL) を使って、アプリケーションのアーキテクチャと各コンポーネントの設定を定義するクックブックを記述します。Chef サーバーは、設定プロセスで不可欠な要素です。このサーバーはすべてのクックブックを保存し、各インスタンス (Chef の用語ではノード) の状態情報を追跡します。Chef サーバーは新しく起動されたインスタンスが設定されるときは重要なパスにあるため、信頼性が高い必要があります。多くの OpsWorks および Chef ユーザーは、この重要なアーキテクチャコンポーネントを自分でインストールして維持しています。本稼働スケールの環境では、これによりバックアップ、復元、バージョンのアップグレードなどをユーザーが処理する必要があります。 新しい AWS OpsWorks for Chef Automate 今月初めに、AWS OpsWorks for Chef Automate が ステージから開始されました。Chef Automate サーバーは、わずか 3 回のクリックで起動し、数分以内に使用を開始することができます。Chef Supermarket をはじめ、Test Kitchen や Knife などのコミュニティツールからのコミュニティクックブックを使用できます。Chef Automate を使用すると、アプリケーションのインフラストラクチャのライフサイクルを通じてインフラストラクチャを管理できます。たとえば、新しく起動した EC2 インスタンスは自動的に Chef サーバーに接続し、自動関連付けスクリプトを使用して、指定されたレシピを実行できます (詳細については、「AWS OpsWorks for Chef Automate でのノードの自動的な追加」を参照)。登録スクリプトを使用して、Auto Scaling グループを通じて動的に作成された EC2 インスタンスを登録し、オンプレミスサーバーを登録できます。 詳しく見る OpsWorks コンソールから […]

昨年、AWS のお客様とパートナーから、AWS のサービスの料金を取得するためのシステム的な方法を求める要望が寄せられました。このニーズに対して、昨年 12 月に 13 の AWS のサービスの料金を対象とした AWS の料金表 API を発表しました。この API は、ダウンロード用に JSON および CSV 形式で料金表データを提供し、お客様は AWS のサービスの料金を問い合わせることができます。料金表 API では、Amazon SNS 通知を通じて料金変更の更新情報を受け取ることもできます。 AWS 料金表の API の拡張 過去 3 か月に、当社は AWS の料金表 API サービスを拡張し、すべての AWS のサービスについて料金表データを提供するようにしました。クラウドベースのソリューションの構築またはクラウドへのオンプレミスワークロードの移行に関するコスト分析を行っているお客様は、AWS のサービスの包括的な料金表にこれまでよりも簡単にアクセスできます。これにより、お客様とパートナーは、クラウドソリューションの予算、予測、および計画をより詳細に管理できます。AWS の料金表 API の拡張に加えて、お客様はサインアップして割引料金、新しいサービスやインスタンスタイプの通知を受け取ることができます。通知の受信のサブスクライブの際は、更新情報を受け取るタイミングをカスタマイズでき、1 日 1 回、または料金の更新が発生するたびに設定できます。1 日 1 回の通知を選択した場合、SNS 通知にはその日に適用されたすべての料金変更が含まれます。料金表 API にサブスクライブした場合に受け取る E メール通知のサンプルを次に示します。 料金表 API […]

お客様がコンテナベースのコンピューティングについて習熟していて、コンテナ化の価値について少なくとも基礎的な理解があることを心から願っています。私が 2014 年に述べたように、クラウドベースのアプリケーションをコンテナのコレクションとしてパッケージ化し、それぞれを宣言により指定することで、開発環境と本稼働環境の一貫性、アーキテクチャベースとしての分散アプリケーションプラットフォーム、開発効率、運用効率など、数多くの利点が得られます。当社は 2014 年後半に、Linux コンテナのサポートを含む をリリースしました。今年は、これまでにアプリケーションの負荷分散のサポート、ECS タスクの IAM ロール、サービスの Auto Scaling、Amazon Linux コンテナイメージ、Blox オープンソーススケジューラを追加しました。 Windows コンテナのサポート 本日は、ECS の一連のリリースを継続し、Windows コンテナのベータレベルのサポートを追加します。当社が本稼働環境での使用に向けてこの機能を最終的に完成させる間、お客様は Windows アプリケーションのコンテナ化とテストを今すぐ開始できます。使用を開始するには、クラスターの作成時に Windows Server 2016 Base with Containers AMI を指定するだけです (同じクラスターに Linux と Windows を混在させることはできません)。また、Windows コンテナ AWS CloudFormation テンプレートを開始点として使用することもできます。テンプレートは VPC で実行され、コンテナインスタンスの設定可能な数で Windows を利用するクラスターが作成されます。また、IAM ロール、Application Load Balancer、セキュリティグループ、Amazon ECS タスク定義、Amazon ECS サービス、および Auto Scaling ポリシーも作成されます。テンプレートはそのままで使用することも、お客様独自の使用に合わせて変更することもできます。私はすべてのパーツの連携を示すために、CloudFormation Designer でテンプレートを公開しました。その構造をもう少し明確にするため、項目を再配置しました。それを次に示します。 […]

昨年、 をご紹介 (Amazon Elastic File System – Amazon EC2 の共有ファイルストレージ) し、本年初頭には本番環境での利用可能を発表 (Amazon Elastic File System – 3 つのリージョンで本番環境での利用が可能) しました。本年初頭の始動後、何千人もの AWS のお客様が、クラウド上の共有ファイルストレージを設定、スケーリング、および運用するためにこれを利用してきました。 そしてこの度、シンプルかつ信頼性が高い を介したオンプレミスアクセスの紹介により、EFS はより便利なものとなります。これは、強く求められていた機能で、移行、クラウドバースト、バックアップにおいて有用です。 この機能を移行に使用するには、オンプレミスサーバーに EFS ファイルシステムをアタッチし、データをそこにコピーしてからクラウドで必要に応じて処理するだけです。データはそのまま AWS に長期間保存しておくことができます。クラウドバーストでは、オンプレミスデータを EFS ファイルシステムにコピーし、 インスタンスを使用して高速で分析して、結果をオンプレミスにコピーしたり で視覚化したりできます。オンプレミスサーバーから EFS ファイルシステムにアクセスした場合でも、または EC2 インスタンスからアクセスした場合でも、強力な一貫性とファイルロックを含む同様のファイルシステムのアクセスセマンティックスが得られます (もちろん、両方を同時にもできます)。また、EFS の一部であるマルチ AZ の可用性と耐久性を利用できます。 この新機能を利用するためには、オンプレミスのデータセンターと 間の専用ネットワーク接続を、 を使用して設定する必要があります。 その後、お客様のファイルシステムで、 接続を介して到達可能なサブネットにマウントターゲットがあることを確認する必要があります。 また、マウントターゲットのセキュリティグループにルールを追加して、オンプレミスサーバーからポート 2049 (NFS) へのインバウンドの TCP および UDP トラフィックを許可する必要があります。 ファイルシステムを作成したら、IP […]