Amazon Web Services ブログ

Category: General

Amazon QuickSightのプライベートVPC内のデータアクセスの設定方法について

はじめに 今回の記事では、先日一般公開された「Amazon QuickSightのプライベートVPC内のデータアクセス」の設定方法をご紹介します。この設定を行うことによって、Amazon QuckSight(以下、QuickSight)からプライベートサブネット内のAmazon RDS(以下、RDS)のデータベース、Amazon EC2内のデータベースへのアクセス、また AWS Direct Connect(以下、Direct Connect)を経由したオンプレミスのデータベースにアクセスして分析ダッシュボード、レポートを作成することが可能です。 なお本稿の情報は、2018年6月22日時点の以下のAWS公式ドキュメントをベースにしておりますが、最新の情報は設定前にご確認ください。 Amazon QuickSight: Amazon VPCを操作する 接続構成イメージ 以下で説明する手順を実行すると以下のようなイメージで構成されます。VPC内にあるプライベートサブネットの中にQuickSightアクセス用のセキュリティグループを定義することで、アタッチされるENI(Elastic Network Interface)経由でQuickSightが同一VPC内のデータベース(本例ではRDS)のあるプライベートサブネットに接続することが可能です。 図1. 構成イメージ(プライベートVPC内接続) また上記のように、QuickSightアクセス用のセキュリティグループを構成することで、オンプレミス環境にあるデータベースに対しても、Direct Connect経由でアクセス可能(オンプレミスデータベースへのルーティングが可能である前提)になります。 図2. 構成メージ(オンプレミスへの接続)   設定手順概要 1.QuickSight用のセキュリティグループ作成 AWSのマネージメントコンソールから「VPC → セキュリティグループ」を選択し、「セキュリティグループの作成」ボタンを押し、QuickSight用ENIのセキュリティグループを作成します。 図3. QuickSightアクセス用のセキュリティグループ作成   2.作成したQuickSightアクセス用のセキュリティグループのインバウンドルール設定 ここで前の手順で作成したQuickSightアクセス用のセキュリティグループの「インバウンドルール」を設定します。何故、インバウンドルールを設定するかというと以下のドキュメントの引用のように、QuickSight用のENI(ネットワークインターフェイス)にアタッチされているセキュリティグループの通信はステートフルではないため、本例のRDSからの戻りの通信に対する受信ルールを追加する必要があるのです。 引用:Amazon QuickSight: Amazon VPCを操作する 「ただし、Amazon QuickSight ネットワークインターフェイスにアタッチされているセキュリティグループはステートフルではありません。つまり、送信先ホストからの戻りトラフィックは自動的に許可されません。この場合、ネットワークインターフェイスセキュリティグループに Egress ルールを追加しても機能しません。したがって、明示的に承認するために、受信ルールをセキュリティグループに追加する必要があります。」 図4. QuickSightアクセス用のセキュリティグループ設定上のポイント よって、以下の様にQuickSight用のセキュリティグループのインバウンドルールを以下の様に設定します。 図5. QuickSightアクセス用のセキュリティグループのインバウンドルールの設定例   3.RDSのセキュリティグループの設定 次にRDSのセキュリティグループにQuickSightのセキュリティグループ経由のアクセスを許可する設定を行います。 AWSのマネージメントコンソールから「RDS → インスタンス」を選択し、該当のインスタンス名のリンクをクリックして、インスタンス詳細画面を表示します。 […]

Read More

AWS 機械学習ソリューションについて学べる新しいデジタルトレーニング

こんにちわ。 アマゾン ウェブ サービス ジャパン、プロダクトマーケティング エバンジェリストの亀田です。   今年の1月に、AWSがご提供している機械学習関連サービスの、無料のトレーニングコースについてご案内しました。このコースはクラウドのスキルを磨いたり Machine Learning (ML)を学びやすくするために提供しており、「ディープラーニングの概要 (Introduction to Deep Learning)」や「Amazon SageMaker の概要 (Introduction to Amazon SageMaker)」といった新しいコースが含まれています。   こちらの日本語版がリリースされましたので、みなさんにご案内いたします。 オンデマンドウェビナー一覧 以下のコースが日本語字幕付きで提供を開始しています。動画視聴がポップアップブロックで開始されない場合は、ブラウザのポップアップブロックを設定してください。 https://www.aws.training にて登録後、各トレーニングをご利用いただけます。 Introduction to AWS Machine Learning Services (Japanese) (日本語字幕版) Introduction to Deep Learning (Japanese) (日本語字幕版) Introduction to AWS Greengrass (Japanese) (日本語字幕版) Introduction to Artificial Intelligence (Japanese) (日本語字幕版) Introduction to […]

Read More

AWS IAM ベストプラクティスのご紹介 – AWSアカウントの不正利用を防ぐために

みなさん、こんにちわ。 アマゾン ウェブ サービス ジャパン株式会社、プロダクトマーケティング エバンジェリストの亀田です。   今日は皆さんが普段ご利用のAWSアカウントに対する不正アクセスを防ぐベストプラクティスと言われる運用におけるガイドラインや設定項目の推奨等についてご紹介します。 AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に制御するためのウェブサービスであり、AWSマネージメントコンソールへのログインに用いるユーザーやAWSリソースへのアクセスに用いるAPIアクセスのキーの管理等に使用されます。マネージメントコンソールへのログインを行う管理用ユーザーを発行する機能が含まれるため、AWSをご利用中のすべての皆さんはAWS IAMを利用していることとなります。 管理者のパスワードが漏洩した場合、外部の第三者がAWSマネージメントコンソールへのログインが可能となるため、この保護は運用上非常に重要な課題となります。 AWSでは「AWS IAMのベストプラクティス」として運用上留意するべきことや、設定のガイドラインをご提供しています。非常に大事な内容が詰まっていますので是非一度目を通してみてください。その中でも特に大事なことについて以下に抜き出してまとめてみます。 ルートユーザーを普段利用しない ルートユーザーとは、AWSアカウントを開設した際に一番最初に作成される管理者ユーザーとなります。ルートユーザーはすべてのAWSリソースへのアクセス権を持ち、非常に強力な権限を保持しています。このため、ルートユーザーのパスワード漏洩を防ぐために、普段の運用や開発業務ではなるべくルートユーザーを用いず、限定された権限を保有するIAMユーザーを新たに発行し普段の業務に用いることを検討してください。そしてその際に、付与される権限は、あとで変更可能であることを踏まえて、必要最低限にしておくことも大事なポイントです。 MFAの有効化 追加セキュリティとして、特権のある IAM ユーザー (機密性の高リソースまたは API オペレーションにアクセスが許されているユーザー) に対して多要素認証 (MFA) を有効化することができます。MFA により、ユーザーは独自の認証コード (ワンタイムパスワード、または OTP) を作成するデバイスを使用することができます。その場合、ユーザーは自身の通常の認証情報 (ユーザーネームやパスワードなど) および OTP を提供する必要があります。MFA デバイスは、ハードウェアの特定部品のほか、またはスマートフォンで作動するアプリのような仮想デバイスでも可能です。 こちらに設定方法などがまとまっています。 アクセスキーの発行を最小にとどめる AWS にプログラムでアクセスするときには、アクセスキーを使用して、自身の ID とアプリケーションの ID を検証します。アクセスキーは、アクセスキー ID とシークレットアクセスキーとで構成されます。IAMユーザーでは、マネージメントコンソールへのログイン用パスワードの他にシークレットキーと言われる秘密鍵を付与することができます。これらは、AWS サービス のAPI への安全な REST […]

Read More

AWS Service Update 動画 (2018/06/21) が公開されました

AWS Service Update 動画が更新されましたのでお知らせします。今回は一般利用可能となったサービスを含む、約 14 の主要なサービスアップデート情報をお届けしています。また、一般利用可能となりました Amazon Neptune や Amazon Elastic Container Service for Kubernetes (Amazon EKS) の詳細を知りたい方は 7 月のオンラインセミナーもご活用ください。

Read More

【開催報告】AWS Data Lake ハンズオンセミナー (+個別案件相談会)

こんにちは。AWS ソリューションアーキテクトの八木達也 (@ygtxxxx) です。 6月14日に、「AWS Data Lake ハンズオンセミナー (+個別案件相談会)」を開催いたしました。前回行ったワークショップの二回目となります。前回も盛況でしたが、今回も60名を超すお客様にご参加頂きました。 はじめに、AWSにおけるデータ活用のベストプラクティスであるAmazon S3を中心とした Data Lakeについて解説し、ビッグデータ分析基盤の考え方として有名なラムダアーキテクチャの解説を行いました。 当イベントでは、AWSサービスを駆使して実際にラムダアーキテクチャを構築してみる、というのがゴールです。とはいえすべてを構築し切るのはボリュームが大きいため、今回から、コース別に取り組めるようにハンズオンコンテンツを用意しました。最初にコースの説明を行い、出席いただいたお客様ご自身の課題に合わせてコースを選択頂き、ハンズオンを行っていただきました。 アンケートでは以下のようなお声を頂き、満足頂けた方が多かったように思えます。 ・お客様の声 「非常にわかりやすいテーマと資料でした。すぐ実践できそうな内容で満足でした。」 「個々のサービスのサンプルは御社サイトから読めますが、今回のように組み合わせた具体的なサンプル提示は大変助かります。」 「わかりやすいハンズオンでした。実践的に提案する場合でも利用できる内容なので、提案時に勧めたいです。」 また、ハンズオン後にはソリューションアーキテクトによる個別案件相談会(事前登録制)も実施致しました。相談者の方々には具体的なソリューションを持ち帰って頂くことができたと思います。 次回は秋ごろに開催予定です。ご参加お待ちしております。

Read More

【開催報告】re:Mix in AWS Summit Tokyo – AWSユーザーとともに

こんにちは。コミュニティプログラム担当の沼口です。先週行われたAWS Summit Tokyo (2018/5/30 – 6/1)の2日目に「re:Mix networking mixer in AWS Summit Tokyo」が開催されました。 これまで「JAWS-UGナイト」や「JAWS-UG 勉強会 in AWS Summit Tokyo」と呼ばれていたナイトイベントを、今年は「re:Mix」という名称に変え、構成・建付けを変更しました。 AWSをお使いになられるユーザーが急速に増加するに従い、日本のAWSユーザーグループである「JAWS-UG (Japan AWS User Group)」を知らないユーザーの数も相対的に増えてきています。この新しいユーザーとJAWS-UGに参加されているユーザーをつなげ、AWSユーザーとAWS社員をつなげ、新しいエコシステムを構築するきっかけにすることを目的としました。このイベントの名称は、すでにある曲から新しい曲を作成する”remix”にかけて、「re:Mix networking mixer」と名付けました。 これまでのイベントではJAWS-UGの勉強会を体験してもらおう、という意味合いがありましたが、re:MixはAWSとJAWS-UGの共同企画のイベントとしての位置づけから、弊社ソリューションアーキテクトの清水崇之と、エンジニア・タレントとして活躍されている池澤あやかさんに総合MCをお願いしました。 総合MCの池澤あやかさん re:Mixはドリンクを飲みながらカジュアルな時間を楽しんでもらえるナイトイベントです。乾杯のご挨拶はフジテック株式会社CIO、Enterprise JAWS(エンタープライズ企業のAWSユーザー会)の会長であり、2017 AWS Samurai (卓越したリーダーシップを発揮したJAWS-UGメンバーに送られるアワード)の友岡賢二様にお願いしました。 社内報告書よりソーシャルでのアウトプットの重要性をお話された友岡様 イベントは大きく3つの構成に分け、第1部は50以上の支部を持つJAWS-UGから注目の3支部に支部紹介をしてもらいました。 初心者支部コアメンバーによる支部紹介 AI支部の紹介では池澤さんの写真で顔認識アプリケーションを紹介 さまざな業界のイノベーションを勉強するX-Tech JAWSは支部の新ロゴを発表 第2部では、今注目のAlexaの紹介とAlexaスキルのコンテスト(スキルアワード)の発表をAmazonのエバンジェリストの畠中俊巳が行いました。 スキルアワードについては、こちらの公式アカウントのツィートも(https://twitter.com/alexaskillaward)チェックしてください。 Amazon 畠中によるAlexaスキルの紹介とアワードの発表 そして、なんと、池澤さんもAlexaスキルの開発をして、壇上でデモンストレーションに挑戦、、、ですが、Alexaのデモは魔物が住む、、、(騒々しい会場では雑音などを拾うためです) Echoに話しかける池澤さん なんとか、デモを成功させた池澤あやかさんは、今回発表になったAlexa スキルアワードの審査員も務めるとのことです。 そして、最後は恒例のAWSウルトラクイズです。 今回は3名様勝ち抜けの方にre:InventのFull Conference Passを進呈することになりました。 そして、見事に勝ち抜けした3名の猛者たち。おめでとうございます! 今回、このナイトイベントは最終日ではなく2日目に開催されたこと、さらにWeb受付直後に1000名を越えるお申し込みがあり早々に受付終了になったことなどから、参加できなかった方も多かったと聞いております。当日の入場制限は開演後20分ほどで解除されましたが、ご来場者の安全のためのこの措置を何卒ご理解ください。 そして、re:Mixは大阪でも開催します。池澤あやかさんも総合MCとして登壇され、そして大阪初のAWSウルトラクイズも実施します。勝ち抜け2名様にre:Inventのfull conference passを進呈いたします。 […]

Read More

Amazon ECSとKubernetesの統合サービスディスカバリー

本日(訳注:2018年5月31日)から、Amazon Elastic Container Service(Amazon ECS)およびKubernetesによって管理されるサービスの統合サービスディスカバリーを活用することができます。私たちは最近、Amazon Route 53 Auto Naming(オートネーミング)APIを使用してサービス名のレジストリを作成および管理することにより、コンテナ化されたサービスの発見と相互接続を容易にするECSサービスディスカバリーを導入しました。サービス名は、一連のDNSレコードセットに自動的にマップされます。これにより、コード内でサービスを名前(backend.example.comなど)で参照可能となり、実行時にサービスのエンドポイントを名前で解決するためのDNSクエリを記述することができます。 私たちは、Kubernetesユーザーにもオートネーミング APIが活用できるようにするため、オートネーミング APIをKubernetesもサポートするように拡張しました。この統合によって、オートネーミング APIによって管理されるサービスレジストリにKubernetesのサービスとイングレスを自動的に複製できるようになりました。 Kubernetesクラスタの外部にあるクライアントから、フレンドリーなサービス名を使用してこれらのサービスエンドポイントを簡単に解決できます。この統合を可能にするために、私たちはKubernetesインキュベータープロジェクトであるExternal DNSにコントリビュートしました。 これにより、Amazon ECSで実行されるサービスから、Route 53へのシンプルなDNSクエリを作成することで、Kubernetesで動作するサービスを発見して接続することができます。

Read More

Amazon CloudFront 日本で9番目のエッジロケーションがリリースされました。

みなさん、こんにちわ。アマゾン ウェブ サービス ジャパン、プロダクトマーケティング エバンジェリストの亀田です。   開催中の AWS Summit Tokyo 2018期間中に、Amazon CloudFront の日本における9番目のエッジロケーションがアナウンスされました。 今回リリースされた拠点は東京で8番目となり、これで東京8拠点、大阪で1拠点の合計9拠点となります。 2016年末時点では、日本のエッジロケーションは4拠点でしたので、順調に拡張されていますね。 AWS Summit Tokyo 2018では、期間中にこのほかにも、マネージド型グラフデータベースである Amazon Neptune の一般利用開始やApplication Load Balancer の 認証機能追加、などいくつかのサービスや機能追加等がリリースされています。 6月26日にまとめと振り返りのBlackbelt Webinerが予定されていますので、ぜひお申込みください。 – プロダクトマーケティング エバンジェリスト 亀田    

Read More

AWS Fargate の 東京リージョン対応予定がアナウンスされました

みなさん、こんにちわ。 アマゾン ウェブ サービス ジャパン、プロダクトマーケティング エバンジェリストの亀田です。 現在開催中のAWS Summit Tokyo 2018の、Day3基調講演において、AWS Fargate の 東京リージョンにおけるリリースが、2018年7月予定としてアナウンスされました。 AWS Fargateはサーバーやクラスターの管理をすることなくコンテナの実行環境が提供されるサービスとなり、コンテナを実行するために、仮想マシンのクラスターをプロビジョニング、設定、スケールする必要がなくなります。これにより、サーバータイプの選択、クラスターをスケールするタイミングの決定、クラスターのパッキングの最適化を行う必要がなくなります、サーバーやクラスターの操作や検討が不要になります。 開発者の皆さんは、アプリケーションを実行するインフラストラクチャの管理ではなく、アプリケーションの設計や構築に注力できます。 Amazon ECS には、Fargate 起動タイプと EC2 起動タイプという 2 種類のモードが用意されています。 Fargate 起動タイプでは、コンテナ内のアプリケーションのパッケージ化、CPU 要件やメモリ要件の指定、ネットワーキングポリシーや IAM ポリシーの定義、アプリケーションの起動のみが必要です。一方、EC2 起動タイプでは、コンテナアプリケーションを実行するインフラストラクチャに対して、サーバーレベルの詳細なコントロールを実行できます。 また、FargateのEKS(Amazon Elastic Container Service for Kubernetes)対応も予定されております。Fargteの東京リージョンのラウンチ正式アナウンスも含めて、ぜひ続報をおまちください。 – プロダクトマーケティング エバンジェリスト 亀田

Read More

Amazon SageMaker の 東京リージョン対応とChainerサポートがアナウンスされました。

みなさん、こんにちわ。 アマゾン ウェブ サービス、プロダクトマーケティング エバンジェリストの亀田です。 現在開催中のAWS Summit Tokyo 2018で Amazon SageMakerの東京リージョンサポートとChainerフレームワークのサポートが発表されました。 Amazon SageMakerは開発者やデータサイエンティストが、機械学習モデルをあらゆる規模で、迅速かつ簡単に構築、トレーニング、デプロイできるようにする完全マネージド型プラットフォームとなっており、学習基盤のメンテナンスなどの運用作業工数を可能な限り少なくし、本来の目的である学習と推論モデル構築にフォーカスいただくことが可能になります。 Amazon SageMaker には、Amazon S3 に保存されているトレーニングデータを簡単に分析し可視化できる、ホスト型の Jupyter ノートブックが含まれ、S3 のデータに直接接続するか、AWS Glue を使用して Amazon RDS、Amazon DynamoDB、Amazon Redshift からデータを S3 に移動して、それらのデータをノートブックで分析できます。 アルゴリズムの選択に役立つよう、最も一般的な機械学習アルゴリズムが事前にインストールされ最適化されており、他の機械学習サービスと比べて最大 10 倍のパフォーマンスでこれらのアルゴリズムを実行できます。 無料利用枠を利用して、無料で Amazon SageMaker を試すことができます。最初の2ヶ月間、1ヶ月あたり、notebook 利用に  t2.medium インスタンスを 250時間、モデル学習に m4.xlarge インスタンスを 50 時間、ホスティングに m4.xlarge インスタンスを 125 時間ご利用いただけます。無料利用枠を超えた場合、リージョン毎に利用料金は異なりますが、サービスに関連する秒単位のインスタンス利用料、GB単位のストレージ、サービスに対する GB単位のデータ転送量が課金されます。   7月3日にSageMakerのハンズオンを弊社目黒オフィスで開催いたします。ご興味のある方は是非お越しください。 https://pages.awscloud.com/AmazonSageMaker20180703-jp.html – プロダクトマーケティング […]

Read More