Amazon Web Services ブログ

Category: General

AWS IoT Coreでブートストラップ証明書を使ったプロビジョニング

IoTデバイスを管理する上で、プロビジョニングは一つの重要な事項です。プロビジョニングとは、IoTデバイスをプラットフォームあるいはシステムに登録するプロセスです。デバイスのブートストラップ処理において、中間者攻撃などを防止するために、デバイスとIoTエンドポイントの間で相互認証を確立することが大事です。デバイス認証で現状最もセキュアな方法はデバイス証明書を使用することであり、一般的にデバイスアイデンティティ管理の第一選択肢でもあります。 このブログでは、AWS IoT CoreとAWS IoT Device Managementでブートストラップ証明書を使ったプロビジョニング方法について深掘りしていきます。AWS IoT Coreは、接続されたデバイスがクラウドのアプリケーションや他のデバイスとセキュアかつ簡単に通信することを実現するマネージド型のクラウドサービスです。AWS IoT Device Managementは大規模なIoTデバイスのセキュアなオンボード、管理、モニタリング、遠隔操作を実現するサービスです。 ブートストラップ証明書とは?なぜ必要なのか? 今回は、WiFi接続が可能な歯ブラシを取り扱う”SmartTeeth”という架空な会社のユースケースについて考えていきましょう。SmartTeethは歯ブラシの生産をサードパーティに委託しています。サードパーティの生産会社は、歯ブラシがクラウドと繋がる際のデバイス証明書を歯ブラシに組み込む必要があります。ただし、SmartTeethは歯ブラシが顧客の手元に届いてから、クラウドとどのような通信を許可するか制限したいと考えています。 初期の証明書は、歯ブラシがクラウドに繋がって自分自身を登録し、必要な権限一式が付与された証明書をリクエストすることのみを許可している状況が理想的です。さらに、このプロセスが自動化されており、SmartTeethの顧客からは透過的であること、そして歯ブラシが初めて接続する時、クラウドで必要なリソースが全て作成され、初期の証明書と実用フェーズの証明書を入れ替える部分をファシリテートする形が理想的です。 以下の図は歯ブラシの購入後に初期クレデンシャルを実用フェーズのクレデンシャルに置き換えるフローを示しています。     とあるSmartTeethの顧客がブートストラップ証明書をインストールするとします。ブートストラップ証明書は、デバイスの生産段階で各デバイスに実装される一意で低レベルの権限を持つ証明書です。この証明書には、デバイスがIoT Coreに接続し、最終的な証明書を取得するための特定のMQTTトピックとやりとりをする権限のみが定義されたAWS IoTポリシーが紐づいています。 デバイスプロビジョニングワークフロー ブートストラップ証明書を利用したデバイスプロビジョニングには3つのステップが含まれます: デバイス組立 デバイス登録 デバイスアクティベーション デバイス組立 デバイス組立とはデバイス生産プロセスにおいてサプライヤーが証明書をデバイスに埋め込むタイミングを指しています。このタイミングで一意なブートストラップ証明書がデバイスに格納されます。 このアプローチでは以下の条件を満たす必要があります: CA証明書がAWS IoT Coreに登録されており、デバイス証明書の自動登録が有効化されている デバイスには登録されたCA証明書によって署名されたデバイス証明書が生産時に格納されている デバイス登録 デバイス登録とはAWS IoT Coreのモノ(thing)としてデバイスを登録することを指しています。このプロセスでは以下の項目を実施する必要があります: AWS IoT Coreでモノとブートストラップ証明書を登録する IoTポリシーを作成し、ブートストラップ証明書にアタッチする ブートストラップ証明書とモノを関連づける 実用フェーズの証明書を(inactive状態で)AWS IoT Coreでプロビジョンする モノをAWS IoT モノのグループに、またはタイプを追加する ただし、これらを実施する前に、一つ重要なステップがあります。デバイスのサプライヤーは許可されたデバイスのリストを提供する必要があります(これをホワイトリストとも呼びます)。このファイルはデバイスIDのリストのみ、または他の属性情報を含んでいても構いません: cat ./allowed-device-list.txt demo001 demo002 demo003 デバイス登録プロセスでは、許可されたデバイスのリストに照会し、そのデバイスがサプライヤーにより保証されていることを確認します。また、ブートストラップ証明書が顧客指定のCAによって署名されていることも確認します。 […]

Read More

AWS Backup が東京リージョンに対応しました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、プロダクトマーケティング エバンジェリストの亀田です。 AWS Backupが東京リージョンに対応しましたのでお知らせいたします。 AWS Backup は、クラウド内で AWS のサービス全体のデータのバックアップの一元化と自動化を簡単に実行できる、完全マネージド型のバックアップサービスです。 バックアップポリシーを一元的に設定し、Amazon EBS ボリューム、Amazon RDS データベース、Amazon DynamoDB テーブル、Amazon EFS ファイルシステム、AWS Storage Gateway ボリュームなどの AWS リソースのバックアップアクティビティを監視することができます。バックアップ対象には Storage Gateway ボリュームのサポートが含まれているため、作成したバックアップに既存のオンプレミスデータを含めることができます。 バックアップスケジュールを作成することができ、バックアップの開始時刻、バックアップの頻度、バックアップウィンドウを指定し、AWS リソースを自動的にバックアップします。バックアップを自動的に保持または失効させる、バックアップ保持ポリシーを設定することも可能で、自動バックアップ保持管理では、バックアップを保持する期間を限定できるため、古い不必要なバックアップがストレージ利用料金を押し上げることを防ぎ、バックアップストレージコストを簡単に最小化できます。 AWS Key Management Service (KMS) と連携しバックアップデータの暗号化も可能です。 Amazon EBSのバックアップ設定を行うサンプル 1.マネージメントコンソールでAWS Backupの画面にいきます。 2.[バックアッププランの作成]を押し、[新しい作成プランの]を選び、バックアッププランに名前を付けます。 3.[ルール名]を入力し、スケジュールを設定します。[バックアップウインドウのカスタマイズ]を選びバックアップを行いたい任意の時間を選択します。 4.[数時間以内にバックアップを開始]でバックアップを行う時間を指定します。 この設定は3.のの[バックアップウインドウ]の時間と連携して動作します。 バックアップウィンドウは、そのバックアップウィンドウの開始時刻と、ウィンドウの期間 (時間単位) で構成されます。バックアップジョブは、このウィンドウ内で開始されます。使用するバックアップウィンドウがわからない場合は、AWS Backup が推奨するデフォルトのバックアップウィンドウの使用を選択できます。デフォルトのバックアップウィンドウは、午前 5 時 (UTC 時間) 開始に設定され、8 […]

Read More
週間AWS

週刊AWS – 2019/6/24週

みなさん、こんにちは。AWSソリューションアーキテクトの小林です。AWS Summit Tokyo 2019に引き続き、AWS Summit Osaka 2019も無事に終了いたしました。大阪会場にもたくさんのお客様にお越し頂き、本当にありがとうございました。7/5(金)に東京・大阪双方のサミットのダイジェストと、2019年前半の重要アップデートをまとめてお伝えするウェビナーを開催させて頂きますので、こちらにもぜひご参加ください。どのセッションやコンテンツも学ぶべき点があり、全部ご紹介したいところなのですがが時間制約の都合上、断腸の思いでご紹介する内容の絞り込みを進めています…… 週刊AWSのブログポストはコンパクトにまとめるのをモットーにしています。ですが今週はRE:INFORCEの兼ね合いもあってか、重要なアップデートが多数発表されました。今回は特大号ということで、通常よりは多めになっていますのでご承知おきくださいませ。

Read More

AWS Service Quotas がリリースされました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、プロダクトマーケティング エバンジェリストの亀田です。 AWS Service Quotasがリリースされましたのでお知らせいたします。 AWSのアカウントには、すべてのお客様に可用性と信頼性の高いサービスを提供し、またオペレーションミスなどによる意図しない支出からユーザーを保護するためのクォータ(制限)を実装しています。 従来、その制限値は以下のページにAWSにおける全アカウント共通の汎用の設定値一覧としてまとまっており https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_service_limits.html 個別のAWSアカウントの設定状態を把握することは難しいのが実情でした。 今回実装された新しいサービス AWS Service Quotasでは、AWSアカウント単位、サービス単位で制限値の確認と上限緩和申請を出すことができるようになりました。AWS Organizations と統合し、新しいアカウントでクォータを簡単に設定することもできます。サービスクォータを使用して、AWS Organizations を通じて作成した新しいアカウントに適用される定義済みクォータリクエストテンプレートを設定するだけです。 サンプル:Amazon EC2のサービス制限の確認と緩和申請を行う 1.以下のURLへアクセスします https://console.aws.amazon.com/servicequotas/ 2.画面左のAWSサービスを押します 3.AWSサービス、のところに【EC2】と入力します 4.EC2を選択します 5.EC2が持っているサービスのクォータ一覧が表示されます。 6.例えばVPCで設定できるElastic IPを増やすために [ Number of EIPs – VPC EIPs]を選択してみましょう。 クォータはAWSデフォルトの5が設定されています。 7.クォーターを引き上げる場合【クォータ引き上げリクエスト】を押します 8.引き上げたい値を入力して【リクエスト】ボタンをおします。以上で申請が完了です。 この際、入力されるべき値は、引き上げたい数ではなく、引き上げ後の絶対値で入力する必要があります。以下のように ダッシュボードで、リクエストの状態が確認できます。   従来は、サポートから個別にチケットを作成する必要がありましたが、この機能によりAWSアカウントの状態を把握しやすくなり、またリクエストも簡易に上げることができるようになりました。従来のサポートチケットでは日本語等ローカル言語でのやり取りとなっていましたが、こちらの機能は全リージョン一括で英語で処理されます。 是非ご利用ください。 – プロダクトマーケティング エバンジェリスト 亀田    

Read More

[AWS Black Belt Online Seminar] AWS Config 資料及び QA 公開

先日 (2019/6/18) 開催しました AWS Black Belt Online Seminar「AWS Config」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20190618 AWS Black Belt Online Seminar AWS Config AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. 設定タイムラインで、特定時点の設定を反映させることはできますでしょうか?(巻き戻しの意) A. 特定時点の設定を反映させる(巻き戻す)機能はございません。ただし、特定時点の設定内容を確認することができますので、その内容から手動で設定を修正することは可能です。 Q. AWS Configを使うと自動的にCloud TrailがONになるのでしょうか? A. CloudTrailはデフォルトで有効ですので、AWS Configの利用にかからわずONになっております。 https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-getting-started.html Q. カスタムルールの設定は作成した本人でしか変更ができない認識であっておりますでしょうか。あっている場合、カスタムルールを変更した人が退任した場合の対処方法が確立できるのでしょうか。 A. カスタムルールの設定変更は、作成した本人以外でも、権限をもったユーザであれば可能です。 一例ですが、こちらのフルアクセスのポリシーを持ったユーザでお試しください。 Q. クロスアカウントでConfig等の利用料を発生させるアカウントを1つのアカウントに集中させて、管理することは可能でしょうか? A. AWS Organizationsを利用したアグリゲータの場合は、AWS Organizationsの組織の一括請求を利用して、他のアカウントのサービス利用料をまとめることが可能です。 (Configのアグリゲータ機能を利用した場合は、Config等の利用料は各アカウントにかかります) Q. SageMakerについて、AWS Configは使えますか ? A. 現状では対応しておりません。(サポート対象のリソースについてはこちらをご確認ください) — 今後の AWS Webinar […]

Read More
週間AWS

週刊AWS – 2019/6/17週

みなさん、こんにちは。AWSソリューションアーキテクトの下佐粉(しもさこ)です。 週刊AWS 第6回をお送りします。このシリーズでは、毎日のようにリリースされるAWSの新機能や新サービスを一週間単位でコンパクトに紹介しています。毎週火曜か水曜ぐらいを目処に更新をしています(と言いながら月曜に出たりするのですが)。 今週は27日(木)にAWS Summit Osaka 2019がグランフロント大阪で開催されますね。すでに申し込み受付は終了してしまっていますが、基調講演を始め一部の技術セッション等はライブストリーミングされますので、ぜひご覧ください。 では先週のアップデートを見ていきましょう。

Read More

Amazon SageMaker の体験ハンズオン動画とQAを公開しました

先日 (2019/5/17) 開催しました 「Amazon SageMaker 機械学習エンジニア向け体験ハンズオン」の動画および資料を公開しました。当日、参加者の皆様から多数頂いた QA についても掲載しています。 Amazon SageMaker は、データサイエンティストやエンジニアが効率よく機械学習を進めるために、 AWS が提供するマネージドサービスです。この動画はSageMakerの基本的な使い方を体験できる1時間のハンズオン動画となっており、動画を見ながら実際に手を動かすことで、SageMakerの利用法を効率よく理解することができます。これからSageMakerを利用して機械学習に取り組む際にはAWS Black Belt オンラインセミナーと合わせて是非ご覧下さい。 【ハンズオンの概要】 1) ビルトインアルゴリズムの利用 ・Random Cut Forest を利用した異常検知 ・XGBoost を利用した画像認識(紹介のみ) 2) Deep Learning フレームワークの利用 ・Chainer を利用した画像認識          ※ 動画の一例 視聴はこちらから >> ※ リンク先でフォームに登録いただきますと、各コンテンツにアクセス可能となります。   当日、参加者の皆様から頂いた QA を以下に掲載します。 Q. SageMakerと他のMachine Learningサービスの区別は?マネージドサービスの中の機械学習サービスの分別とか、適用範囲を教えて頂けませんか A. 機械学習に関連するAWSサービスは、インフラストラクチャ、MLサービス、AIサービスという3つのカテゴリに大きく分けられます。 1. 機械学習を支えるインフラストラクチャには、GPU/FPGA/大量のCPUを搭載したEC2やAWS IoT Greengrass、Amazon Elastic Inferenceなどが該当します。 […]

Read More

[AWS Black Belt Online Seminar] Dive deep into AWS Chalice 資料及び QA 公開

先日 (2019/6/19) 開催しました AWS Black Belt Online Seminar「Dive deep into AWS Chalice」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 発表内容に関しまして、該当箇所 に以下訂正がございましたので、併せて修正させていただきます。 訂正内容: – 誤: バイト型ではなくて文字列型 – 正: バイト型ではなくて dict 型 20190619 AWS Black Belt Online Seminar Dive Deep into AWS Chalice AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. ChaliceはFlaskに似ているように感じましたが、関係がありますか? A. Flask や Bottle のような他のフレームワークのようにデコレータベースでのルーティング定義を行うという慣例に倣っていますが、ライブラリとしての依存関係はありません。 GitHub での FAQ にもう少し詳しい回答があります。こちらも併せてご確認ください。 Q. cloud9環境を作成し、virtualenvにてpython3環境を作成し、インストール/deployを試しました。エラーが出ているのですが、対処方法をご教授いただけないでしょうか。 A. deploy サブコマンドを実行するためには、お手元の環境で認証情報が正しく設定されている必要があります。 aws configure コマンドを実行して、適切な権限を持ったユーザーの AWS Access Key ID […]

Read More

事例から学ぶAWS Educateの授業での活用法

AWS Educateは14歳以上の学生がクラウドについて学習するためのオンライン教材と実習のためのAWS利用クレジットを提供する無償のプログラムです。 AWS Educateを活用し、世界中で数十万人の学生がクラウド技術を学んでいます。学生が自習するだけではなく授業やハッカソンなどのイベントでもAWS Educateが活用されています。 具体的にAWS Educateを使った授業を行うためにどのような準備をすればよいのか、一例をご紹介したいと思います。 まず授業を行うには大きく分けて二つの方法があります。 【方法1】教員がAWS Educateのメンバーになり教員ポータルの機能を使い学生を招待したり、クラス専用のクレジットを配ったりする(※クラス専用クレジットは機関加盟している教育機関の教員メンバーだけが使える機能です。)。 【方法2】教員ポータルの機能は使わずに独自にクラス運営を行い、AWS Educateが提供する利用クレジットを実習のために使わせる。 どちらでも自由に選んでいただけます。最初にAWS Educateを使った授業をされる場合、後者の教員ポータル機能を使わずに授業を行われている(方法2)場合が日本では多いです。理由はクラス作成リクエストなどの教員ポータル内での作業が発生せず簡単に授業の準備が行えるためです。 教員ポータルのクラス管理機能を使わずに簡単に授業を行う場合の流れをご紹介します。 1.教員が学生にAWS Educateのメンバー登録するようにメールで申し込みフォームのURLを案内する。学生の申し込みフォーム:https://www.awseducate.com/registration#INFO-Student 2.学生は各自でWebの申し込みフォーム(リンク)に必要事項を入力し、申し込みを行う。(原則として学校から提供されるメールアドレスでのお申し込みが必要です。学校から提供されたメールアドレスが無い場合は他の方法がありますので後述します。) 3.申し込んだ学生に申し込みに使ったメールアドレス宛に確認メールが届くので本文内の確認リンクをクリックする。確認が行われないと審査に進めず申し込みが承認されないままになります。 4.メールアドレス確認後、申込内容に不備が無ければ翌日中には審査が完了し、学生にWelcomeメールが届く。 5.学生はWelcomeメール内のリンクよりパスワード設定を行い、ポータルにログインする。 6.初回ログイン後、初期画面右に表示されているセクション内でスターターアカウントを使うかご自身のAWSアカウントIDを使うかを選択してください。スターターアカウントはクレジットカードの登録が不要な学習用コンソールです。(スターターアカウントで使用できるサービスリスト) 以上で実習を行う準備が完了します。 申し込み時の入力画面(6月より新しくなり、入力項目が減り簡単になりました。) 教育機関名:英語表記で。加盟校であれば途中まで入力いただくとリストアップされますので該当の校名を選択してください。 国・地域:日本・Japanを選択してください。 名と姓:ローマ字表記または外国人の方は英語表記で記入してください。 Eメール:学校から提供されているメールアドレスが原則です。無い場合は任意で構いませんが学生証などの証明のデータの提出を後からお願いする連絡が送られます。 卒業、誕生年月:資格確認をしますので正確に入力してください。 プロモーションコード:オプションですので受け取っている場合だけご記入ください。 申し込み時の入力事項の誤りなどが原因で、申し込みの承認が完了するまでに3日程度を要する場合があります。(誕生年月の誤記で14歳未満と判断されてしまう、卒業年月の誤記ですでに卒業したと判断される、メールアドレスの誤記で確認が完了しないままになるといったことが多いです。)余裕を持って授業で実習をされる日の一週間前には学生の方が申し込みを行うよう指示をしてだくことをお勧めします。 なお学校が学生にメールアドレスを提供していない場合は以下の方法があります。教員メンバーが教員ポータルから学生を招待する方法や、必要に応じて提供されるプロモーションコードを発行する方法で学生は申し込みを行うことが可能になります。 実際にAWS Educateのスターターアカウントを使って行われた授業として、岐阜工業高等専門学校専攻科の先端融合開発専攻で行われた「構造解析学特論」をご紹介します。 この授業では先端融合開発専攻の学生がオープンソースのCAEツールである”DEXCS-WinXistr”のシステム環境をクラウド上に起動、操作する方法を専攻科1年(大学3年生に相当)の学生が学習しました。その後その解析環境を使って授業を続けていくことになっています。具体的には、演習用テキストをベースにし、アクティブラーニングとして学生自らが演習を進める形式です。この演習を実現するには、特定の演習室の利用では実現できず、「いつでも・どこでも」解析環境にアクセスできるクラウドの効果が発揮されています。 教員側はオープンソースのソフトウエア環境を学生用の端末すべてに構築する必要がなく、授業の中で学生自身に必要な環境を短時間でクラウド上のリソースに構築させることができました。さらに、クラウド上に環境が存在することで、どこからでも実習環境にアクセスすることが可能となり、自宅からでもクラウド上の高速なコンピューティングリソースを利用して、実習の続きや復習が行えるようになりました。実は以前の授業では、学生各自のPCに解析環境を構築する作業を行なっており、この時には授業時間全体の3割ぐらいが、準備作業に費やされてしまい、本来の目的である構造解析演習が十分できない反省があったそうです。 教材スライドの一例:EC2の説明 ■実際の学生の様子 この授業を履修した学生はAWSスターターアカウントを事前に登録して、最初の授業に出席しました。授業の中ではクラウドコンピューティングについて概要を紹介した後、AWSのマネジメントコンソールからAmazon EC2を立ち上げて、この先の授業で使用するCAE環境を起動しました。学生は全員、AWSの操作ははじめてでしたが、30分ほどの簡単な操作レクチャーで、全員がクラウド上に授業用の環境を起動できました。(下は学生がクラウド上に構築したCAE環境のデスクトップ画面です。) こちらは授業の様子です。クラウドに関する部分の講師はソリューションアーキテクトの小川が担当しました。 AWS Educateを授業で使用するメリットは以下のようなものが有ります。 クレジットカード不要かつ無償で学生がAWS環境を持つことができる。  AWSの利用枠が決まっている為、予算オーバーや費用請求の心配をせず使える。  学生が共通の演習環境を利用するため、互いの解析技術の情報共有が進む。 (授業で使わせる場合の注意点) スターターアカウントで利用できるリージョンやサービスに制約がある。 クレジットを無駄遣いしないようインスタンスの停止を習慣づける指導が必須。 加盟校になることで所属する学生ならびに教員に付与されるクレジットが増えるので早めに準備を始め加盟校になっておく方がよい。 (教員の柴田先生からのコメント) 学生が自ら学ぶ環境として、自由度の高いクラウドは非常に効果的です。 高性能なインスタンスを用意することで、大規模解析にも展開できます。 解析システムをブラックボックスではなく、学生が仕組みを理解して利用できました。 (参加された学生からのコメント) […]

Read More

学術研究機関でのSINET5を経由したAWSの利用

日本の学術研究機関においてもAWSの利用が進んでいます。それに伴い、最近SINET5関連の質問が増えて参りましたので、ここで少し整理をしてみたいと思います。 そもそもSINET5とは何でしょうか?SINETとは学術情報ネットワーク(Science Information NETwork)で、日本全国の大学、研究機関の学術情報基盤として国立情報学研究所が構築、運用している情報通信ネットワークです。詳しくは構築、運用元である国立情報学研究所のSINETのWebページ(https://www.sinet.ad.jp/)を見ていただければよいと思います。当該ページには参加機関の情報も載っており、既に多くの学術研究機関がSINETに接続されております。インターネットへの接続はSINETの基本サービスである「インターネット接続(IPv4/IPv6 Dual)」を利用し、SINETを経由して行っている機関が多数です。 さて本題のSINET5を経由したAWSの利用ですが、実は次の2つの形態があります。 学術教育機関内から普通にAWSを利用する SINETクラウド接続サービスを利用する どちらの場合も通常SINET網からパケットが外に出て行くことなくAWS網内に到達します。 多くの機関では、最初の方で触れたSINETの基本サービスである「インターネット接続(IPv4/IPv6 Dual)」にてインターネットへと接続していますので、インターネットへ出て行くパケットは図1の(1)の経路を通り、インターネットへ抜けていきます。この状態でAWSを使うとどうなるでしょうか?実はAWSはSINETとIX(Internet Exchange)にてピアリングをしています。PeeringDBなどで確認いただけると思いますが、SINETとAWSが複数のIXで100Gbps以上でピアリングしております。つまり、普通に機関内からAWSにアクセスすると図1の(2)の経路のように、SINETの出口でAWS網内に入る形となり、いわゆる一般的なインターネットに出て行くことなく通信が可能です。何か手続き等は必要ありませんので、普通にAWSを使うだけです。学内、SINET網内は他のパケットと混在する形になりますので、必要に応じて通信の暗号化をしていただくことをお勧めしています。 さて、次にSINETクラウド接続サービスを利用した場合について説明します。このクラウド接続サービスは簡単に言うとSINET接続拠点間に論理的に分離されたVLANを提供するものです。これはSINETのL2VPNのサービスを利用したものとなり、L2レベルで分離したネットワークを利用可能ですが、AWSを利用する場合には、AWS側と機関側の間でルーティング情報の交換の必要があるため、機関側にBGPルータが必要となります(図1の(3))。本ブログ執筆時(2019年6月時点)では、SINET5とAWS間を結ぶ物理回線費用はAWS側が負担しており既に物理回線は開通済みで、60を超える機関でご利用頂いております。AWS側から見てデータoutとなるデータ転送費は利用者に負担して頂く必要がありますが、インターネット経由と比べDirect Connect経由となるため転送費が抑えられるメリットがあります。利用にはSINETの接続拠点間の設定と、AWSアカウントへDirect Connectの仮想インタフェースを割り当てる必要がありますので、SINET側、AWS側それぞれに申請が必要となります。ブログ執筆時点では電子メールベースで学術研究機関から申請する形となります。詳しくはSINETのWebページから「クラウド接続」のページをお読みください。本ブログ執筆時点では、SINETクラウド接続サービス用に10Gbpsの回線複数本でSINET5-AWS間を接続しておりますが、SINET側接続部にて単一障害点が発生する可能性があり、インターネットVPNでの経路バックアップを推奨しています。インターネットVPNと呼んではいますが、先に説明をしましたように、実際には図1の(2)の経路を通ることになりますので、SINET網内出口からAWS網内へ入る形となります。 最後に、どちらの形態を選ぶかですが、AWSを利用する目的により個々で異なりますので、一概に語ることはできません。目安となる点をお伝えしておきたいと思います。 通常の利用をお勧めする場合 とにかく高速(数Gbps超)にデータをAWSに転送し続けたい 小さく始めたい。研究室単位で始めたい BGPルータを用意することができない 研究データ管理基盤(GakuNin RDM)のストレージ先 データバックアップ先としての利用 パブリックエンドポイントを提供するサービスの利用(Amazon S3, Amazon Workspaces等) クラウド接続サービスをお勧めする場合 定常的に大量のダウンロードが発生する 機関として1つのアカウントに集約済み 機密性の高いデータの転送(機関にて利用する通信経路の規約等がある場合) AWSへのデータ転送は追加費用が必要ありませんので、データoutの方向についてデータ量がどれくらいなのか?や、BGPルータの導入維持費とデータ転送・インターネットVPNの費用との比較などもどちらの形態にするかの検討する材料となるでしょう。 — パブリックセクター ソリューションアーキテクト 櫻田 図1 SINET5とAWSの接続

Read More