Amazon Web Services ブログ

Category: Learning Levels

ポスト量子暗号 TLS が AWS KMS でサポートされました

AWS Key Management Service (AWS KMS) が KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) ネットワーク暗号化プロトコルにおけるポスト量子暗号ハイブリッド鍵交換をサポートしました。この投稿では、ポスト量子暗号 TLS とは何か、 ハイブリッド鍵交換とは何か、 なぜこれらの技術が重要か 、この機能でどのようなメリットを得られるのか、そしてフィードバックの方法について説明します。 ポスト量子暗号 TLS とは? ポスト量子暗号 TLS は、ポスト量子暗号の暗号プロトコルを追加する機能です。 AWS はオープンソースの TLS 実装である s2n を使用しています。2019年6月に AWS はポスト量子暗号 s2n をリリースしました。これは、IETF ドラフトで定義されている2種類のポスト量子暗号ハイブリッド暗号スイートを実装しています。暗号スイートは、従来型とポスト量子暗号の両方のセキュリティ保護を行う暗号鍵交換方式を指定するものです。 ポスト量子暗号 TLS の重要性 大規模な量子コンピュータは、TLS 接続の暗号鍵交換で使用されている既存の公開鍵暗号を破る可能性があります。大規模な量子コンピューターは現時点で利用可能ではありませんが、長期的なセキュリティ保護のニーズについて考え、準備しておくことが重要です。記録された TLS トラフィックは将来的に大規模な量子コンピュータで復号出来る可能性があります。TLS 接続の上で送信されているデータの長期間の機密性維持が必要なアプリケーションを開発している場合、大規模な量子コンピュータが実用化され、悪意を持った人に利用可能になる前にポスト量子暗号に移行することを検討するべきでしょう。AWS はこの機能の提供について取り組んでおり、お客様にも準備して頂きたいと考えています。 AWS は大規模な量子コンピュータの実現を待つのではなく、今この機能を提供します。 お客様は、アプリケーションに対する潜在的なパフォーマンス影響を計測することが可能です。また、お客様は、ポスト量子暗号スキームによってもたらされる追加の利点を得ることが可能です。AWS はこの機能が既に存在する KMS エンドポイントへの接続に関するセキュリティーのバーを向上させると考えていると共に、新しい暗号スイート帯域利用率やレイテンシに影響を与えると考えています。また、TLS 接続を中継する中間システムにも影響を与える可能性があります。将来に渡るサービスの改善のために AWS はこれらのお客様環境における影響についてフィードバックして頂きたいと考えています。 ポスト量子暗号 […]

Read More

re:Invent 2019 の AWS アイデンティティセッション、ワークショップ、チョークトークのご案内

AWS re:Invent 2019 が間近にせまってきました! 参加するセッションの優先順位をつけないといけませんね。そこで AWS re:Invent 2019 での AWS Identity セッション、ワークショップ、チョークトークのリストをご用意しました。re:Invent にまだ登録していない場合は、社内承認のためのテンプレートがありますのでこちらもご利用ください。 AWS アイデンティ リーダシップ キーノート SEC207-L — Leadership session: AWS identity (Breakout session) リーダーシップセッション: AWS アイデンティティ (ブレイクアウトセッション) デジタルアイデンティティは、クラウドで最も急速に成長し、最も急速に変化している領域の1つです。ゼロトラストネットワーク、GDPRの懸念、および新しい IoT の機会がニュースでよく報道されています。このセッションではこの重要な業界の変化について触れ、お客様とその顧客の両方のアイデンティティにアプローチする AWS の方法について学びます。 新機能の発表や、オープンスタンダードと業界グループへの取り組みについて議論し、アイデンティティ、アクセス制御、リソース管理をより簡単にする方法を説明します。 自社環境向けの AWS アイデンティティ マネジメント FSI310 — The journey to least privilege: IAM for Financial Services (Chalk talk) 最小権限への旅:金融サービスのための IAM (チョークトーク) AWS […]

Read More

使用されていないAmazon EBSボリュームを削除してAWSのコストをコントロールする

業界や業種を問わず、お客様にとってコスト管理は最優先事項の1つです。 EBSボリュームのライフサイクルの可視性が十分でないと、未使用のリソースに対してコストが発生する可能性があります。 AWSはコスト管理のサービスを提供しており、コスト情報へのアクセス、コストの理解、コストの制御、およびコストの最適化を行えるようにしています。 未使用、および管理が行き届いていないAmazon EBSボリュームは、AWS のコストに影響します。 EBSボリュームのライフサイクルは、Amazon EC2 コンピューティングインスタンスから独立して管理可能です。そのため、EBS ボリュームに関連付けられている EC2インスタンスが終了しても、EC2起動時に「終了時に削除」 オプションを選択しない限り、EBS ボリュームは削除されません。 また、開発とテストのサイクルの中でEC2インスタンスの起動停止を繰り返す際、自動的にEBSボリュームを削除する処理がないと、 EBS ボリュームが残る可能性があります。 EC2にアタッチされておらず孤立したEBS ボリュームは、アタッチされていない間も料金が発生します。 この記事では、OpsCenter を活用した自動化プロセスについて説明します。OpsCenter は、AWS Systems Manager の一機能として最近発表されたもので、OpsCenterを使えば、EC2 インスタンスにアタッチされておらず、未使用なEBS ボリュームを識別および管理できるようになります。

Read More

AWS Snowball Edge を使用して HDFS ファイルを Amazon S3 データレイクに移行する

 データのソースが増えると、新しく接続されたデータを保存する必要性が高まります。企業のお客様は、オンプレミス Hadoop アプリケーションのデータレイクストレージリポジトリとして Hadoop 分散ファイルシステム (HDFS) を使用しています。お客様は、より安全で、スケーラブルで、アジャイルで、費用対効果の高いソリューションを求めて、データレイクを AWS に移行しています。 AWS への高速転送速度が妥当ではない HDFS 移行には、AWS は AWS Snowball Edge サービスを提供しています。AWS Snowball Edge を使用した HDFS 移行のベストプラクティスは、ファイル転送に中間ステージングマシンを使用することです。このブログ記事では、移行中に中間ステージングマシンを使用する方法を詳しく説明します。 AWS Snowball Edge がお客様に出荷するのは、物理的なデータ移行およびエッジコンピューティングデバイスです (図 1)。デバイスは大量のデータを Amazon Simple Storage Service (Amazon S3) に転送するために使用します。 Amazon S3 は、業界をリードするスケーラビリティ、データの可用性、セキュリティ、およびパフォーマンスを提供するオブジェクトストレージサービスです。バルク取り込みの場合、データレイクのエントリポイントが Amazon S3 です。99.999999999% (9 が 11 個) の耐久性を持つオブジェクトストアである Amazon S3 は、10,000 データレイク以上をホストします。 AWS のデータレイクストレージの基盤として、Amazon S3 […]

Read More

WinTicket 、 AWS メディアサービスで競輪ファンに高画質レース映像を低遅延ライブで提供

WinTicket は、インターネットテレビ局 AbemaTV の番組「競輪チャンネル」と連動し、24時間どこでも投票チケットを購入できるほか、レース情報・オッズ・ AI 予想機能、そして開催中の熱戦レースのライブ映像を提供しています。 時速 60km ~ 70km で 9 名の選手がレースする中、 WinTicket のユーザーが視聴環境を問わず、レースの状況を高画質・低遅延で視聴できるようにすることは重要です。そのため、 WinTicket は動画配信ワークフローをクラウドに移行し、AWSメディアサービスを活用することで高画質・低遅延のライブ配信を確立させました。 WinTicket のライブ配信は、全国40以上の競輪場から集約した映像で構成されています。 AbemaTV の番組スタジオで映像を集めてクラウドへ伝送し、 AWS Elemental MediaLive で ABR エンコード、 AWS Elemental MediaPackage で HLS にパッケージ化し、 Amazon CloudFront 経由で視聴者へ低遅延なライブ配信しています。 「 WinTicket はサービスの特性上、レース状況や結果がすぐにわかるようにしなければ、ユーザー体験に影響を及ぼしてしまいます。 AWS Media Services は、他のサービスよりも 1.5 倍ほど低いレイテンシでコンテンツを配信できるため、戦略的な強みが得られました。」と、株式会社サイバーエージェントの CATS ソフトウェア エンジニア 江頭 宏亮 氏は語っています。「今回、 AWS Media Services を採用したことで、配信ワークフローの開発工程数を抑えた、冗長性のある可用性の高いライブ配信システムの構築ができました。配信管理ツールとして採用したサーバレスアーキテクチャを含め、利用している時間帯だけ課金されるため、運用コストを抑えられます。また、スケジュール管理上で蓋絵 […]

Read More

EC2 インスタンス起動ウィザードから Amazon EFS ファイルシステムを自動でマウントするには

Amazon Elastic File System (EFS) を他の AWS のサービスで使用するベストプラクティスや統合について過去に投稿したところすばらしいフィードバックが寄せられており、さらなる投稿へのご要望をいただいています。そこで今回は、Amazon EFS ファイルシステムを EC2 インスタンス起動ウィザードから直接 EC2 インスタンスにマウントする流れを単純化、自動化する方法についてご説明します。ぜひ、先月の EFS を用いた Amazon Sagemaker でのモデルトレーニングの加速と単純化や Amazon Elastic Container Service (ECS)、Elastic Kubernetes Service (EKS) でのコンテナストレージ用 EFS 使用方法に関するベストプラクティスと併せて、皆様の EFS クックブックに加えていただけたらと思います。 Amazon EFS は、AWS クラウドサービスとオンプレミスリソースで使用するための Linux ベースのワークロードに対し、単純でスケーラブルかつ伸縮自在な NFS ファイルシステムを、わずか 0.08 USD/GB-月* の実効料金で提供します。EFS ファイルシステムのマウントとファイルデータの共有は何千という数の EC2 インスタンスで行うことができます。このたび、EC2 インスタンス起動ウィザードを使い、Amazon EC2 インスタンスを構成して Amazon EFS ファイルシステムをマウント可能になりました。これにより、EC2 インスタンスを構成し、起動時に推奨されるマウントオプションで EFS ファイルシステムをマウントするプロセスが単純になります。ここからは、EC2 […]

Read More

IoTソリューションにおける10のゴールデンルール

Internet of Things(IoT)ソリューションは、さまざまな業界や用途で業務と顧客体験を変革するのに役立ちます。その無限の機会は興奮をもたらしますが、セキュリティ、リスク、プライバシーの懸念も持っています。顧客、デバイス、および企業を保護するには、すべてのIoTソリューションがセキュリティで始まり、セキュリティで終わる必要があります。最高のIoTセキュリティソリューションは、エッジからクラウドまでの多層保護を提供し、IoTデバイス、接続、およびデータを保護します。理想的には、独自の要件と制約に合わせたIoTソリューションのすべてのビルディングブロックについて、セキュリティプラクティスでパブリックに知られている再利用可能なリストに依存することができます。ただし、実際には、セキュリティルールをガイドとして使用して、セキュリティ戦略の少なくとも一部を自分で計画する必要があります。設計と実装から継続的な運用と管理まで、ビジネスとIoTエコシステムの保護に役立つ次のベストプラクティスをまとめました。高レベルの推奨事項のリストも各ルールに従います。これらの推奨事項は完全なリストではなく、各ルールの背景にある基本概念を明確にするものになります。

Read More