Amazon Web Services ブログ

Category: Management Tools

[AWS Black Belt Online Seminar] AWS Systems Manager 資料及び QA 公開

先日 (2020/02/12) 開催しました AWS Black Belt Online Seminar「 AWS Systems Manager 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200212 AWS Black Belt Online Seminar AWS Systems Manager AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. SSM Agentを有効化した場合、全てのサービスが利用できるようになるのでしょうか。 RunCommandは利用したいが、Session Managerは利用したくないなどの細かい設定は可能でしょうか? A. Agentを入れただけでは利用できません。利用するにはインスタンスプロファイル(IAM Role)の設定が必要です。IAM Roleにアタッチする IAM Policyにより利用可能なサービスを制限できます。IAM UserまたはIAM RoleのIAM Policyの設定により、アクセス可能な機能を制限することも可能です。 オンプレミスインスタンスの管理については、デフォルトのスタンダード、有料のアドバンスドの2つのティア(Tier)があります。 セッションマネージャーやWindowsアプリケーションのパッチ管理を行う場合はアドバンスドティアをご利用ください。 Q. WorkSpacesでSSMを利用することはできますか? A. ハイブリッド環境としてSSMを利用することは可能ですが、WorkSpacesとして SSMは正式には対応していません。 Q. run commandはOSへの実行、 automation は AWS サービスに対してのみでしょうか? automation は […]

Read More

2019 AWS コンテナセキュリティアンケートの結果

  AWS そして当然ながらコンテナセキュリティに重点を置いているサービスチームにとっても、セキュリティは最も優先すべき事項です。現在の状況をより適切に評価するために、2019年後半に AWS のコンテナユーザーを対象に匿名アンケートを実施しました。全体で運用担当者や SRE から InfoSec、開発者、アーキテクトといったさまざまな役割を持つ 68 名の方々から回答を得ましたので結果を紹介します。さまざまな解釈や結論が含まれています。アンケートに協力してくれた皆さんに感謝したいと思います。質問と結果は GitHub からも入手できます。 まず、主な統計から始めましょう。アンケートを閲覧した 90 名のうち、68 名がアンケートに回答しました。回答にかかった平均時間は、7 分強でした。デモグラフィック情報に関して、我々は 1 つ疑問がありました。それは役割に関するものでした。 質問:私の役割はチーム/組織の中で〇〇〇です。 スペクトル全体は素晴らしい分布でした。テスト/QA に関心があったことは嬉しかったですが、リリース管理に関心が薄いことに少し驚きました。 コンテナセキュリティ全般 全体的な設定に移ります。それほど驚くことではありませんが、特定のユーザーが複数のコンテナオーケストレーターとサービスを使用していることがわかりました。詳細は、次の通りです。 質問:AWS上でどのようにコンテナを起動していますか? EC2 の EKS と EC2 の ECS がそれぞれ 52% と44% で全体をリードしています。ロングテールでは、Docker EE や Nomad の使用が他のシステムでよく見られます。 次に、先を見越した、つまり予防的な方法として、スキャン、署名、およびサプライチェーン管理について注目がありました。全体的な結果は次のようになります。 質問:コンテナイメージをスキャンしていますか? 2019 年 10 月に導入したネイティブ ECR スキャン機能は人気がありますが、それの大部分 (62%) は静的スキャンが注目されていることがわかりました。しかし、動的つまりランタイムスキャンに関する動向はどうでしょうか? 質問:動的にコンテナをスキャンしていますか? それほど大きくはありませんが、ここでは回答者の 83% の大多数がまだ使用していないという結果でした。また、CNCF Falco […]

Read More

[AWS Black Belt Online Seminar] Amazon CloudWatch Container Insights で始めるコンテナモニタリング入門 資料及び QA 公開

昨年 (2019/11/27) 開催しました AWS Black Belt Online Seminar「Amazon CloudWatch Container Insights で始めるコンテナモニタリング入門」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 資料P48 のCloudWatch LogsのEKSのロググループ名で以下の通り記載誤りがございました。資料は正しい内容に修正した上で公開いたします。 誤) EKSの場合:/aws/ContainerInsights/< Cluster名>/performance 正) EKSの場合:/aws/containerInsights/< Cluster名>/performance   20191127 AWS Black Belt Online Seminar Amazon CloudWatch Container Insights で始めるコンテナモニタリング入門 AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. Fargateの場合、ECS インスタンスのメトリクスは見れるのでしょうか? A. Fargate 起動タイプにおけるコンテナ実行環境となる仮想マシンは AWS が管理・運用する仕組みとなっているため、お客様の CloudWatch Container Insights 上では仮想マシンレベルのメトリクスは表示されません。 Q. EKSのメトリクスの表示時は、どのような粒度での表示が可能なのでしょうか(ECSの場合はTasks etc. でしたが) A. Amazon […]

Read More

モダンアプリケーション開発ホワイトペーパー(日本語改定版)が公開されました

皆さん、こんにちは! モダンアプリケーション開発スペシャリスト ソリューションアーキテクトの福井です。 私が執筆したモダンアプリケーション開発のホワイトペーパー(日本語版)がAWSホワイトペーパーサイトで公開されましたので、その内容を紹介させて頂きます。このホワイトペーパーは、以前こちらのブログで紹介させて頂いたModern Application Development on AWS(英語版)の日本語版になります。   ホワイトペーパーの内容 公開されたホワイトペーパードキュメントは、「AWS モダンアプリケーション開発 – AWS におけるクラウドネイティブ モダンアプリケーション開発と設計パターン」(日本語版)というタイトルの51ページのドキュメントで、 はじめに モダンアプリケーション開発 モダンアプリケーションの設計パターン AWSでのCI/CD まとめ の各章から構成されています。各章の簡単なご紹介は下記の通りです。

Read More

AWS クラウド開発キット (CDK) – Java と .NET 用がご利用可能に

 本日は、新たに一般利用が可能になったAWS クラウド開発キット (AWS CDK) のJava と .NET サポートについて発表します。AWS CDK はオープンソースソフトウェアの開発フレームワークで、AWS CloudFormation を通してユーザーのクラウドアプリケーションリソースを作ったり、プロビジョンしたりします。 さらに、AWS CDK はTypeScript and Python のサポートも提供しています。 AWS CDK を使用すると、固有の要件を組み込んだ独自のカスタムリソースを設計、構成、共有できます。例えば、AWS CDK を使用して、関連するルーティングとセキュリティ設定と共に、VPC を作成できます。そうするとコンストラクト にそのコードを入力でき、それからユーザーの残りの組織へ共有できます。この方法で、ユーザーの組織がAWS リソースを作成する手段を標準化するため使用する、これらのコンストラクトのライブラリー作成をスタートできます。 私が気に入っているのは、AWS CDK を使えば、ユーザーが使用しているアプリケーションコードと同じプログラミング言語を用いて、お気に入りの IDE で、基礎構造を含むアプリケーションを作成できる点です。NET か Java のどちらかでAWS CDK をコード化するのと同様に、コード化完了やインラインドキュメンテーションのような生産性メリットがあり、より速く基礎構造を形作ることができます。 AWS CDK のしくみ  AWS CDK 内のすべてがコンストラクトで成り立っています。コンストラクトとは、Amazon Simple Storage Service (S3) バケットや Amazon Simple Notification Service (SNS)トピックなどの単一リソース、静的ウェブサイト、あるいは複数の AWS アカウントとリージョンにまたがる複雑なマルチスタックアプリケーションなどの、複雑なアーキテクチャを表現できる クラウドコンポーネントと考えることができます。 コンストラクトをまとめてスタックにして、AWS 環境や、1 […]

Read More

Amazon ECS向けAmazon CloudWatch Container Insightsについて

本記事は AWS のシニアソリューションアーキテクトの Sirirat Kongdeeによる寄稿記事です。 Amazon CloudWatch を利用することで、Amazon Elastic Container Service(Amazon ECS)のリソースを監視することができます。Amazon CloudWatchは、CPU やメモリの割り当てについてや、クラスター、サービスレベルでのリソース使用率のメトリクスを提供するサービスです。以前は、サービスとタスクについてカスタムモニタリングを有効にする必要がありましたが、CloudWatch Container Insightsを使用することで、すべての Amazon ECS リソースの監視、トラブルシューティング、アラームの設定を行うことができるようになりました。これはフルマネージド型のサービスであり、Amazon ECSのメトリクスとログを収集、集約、要約することが可能となります。

Read More

使用されていないAmazon EBSボリュームを削除してAWSのコストをコントロールする

業界や業種を問わず、お客様にとってコスト管理は最優先事項の1つです。 EBSボリュームのライフサイクルの可視性が十分でないと、未使用のリソースに対してコストが発生する可能性があります。 AWSはコスト管理のサービスを提供しており、コスト情報へのアクセス、コストの理解、コストの制御、およびコストの最適化を行えるようにしています。 未使用、および管理が行き届いていないAmazon EBSボリュームは、AWS のコストに影響します。 EBSボリュームのライフサイクルは、Amazon EC2 コンピューティングインスタンスから独立して管理可能です。そのため、EBS ボリュームに関連付けられている EC2インスタンスが終了しても、EC2起動時に「終了時に削除」 オプションを選択しない限り、EBS ボリュームは削除されません。 また、開発とテストのサイクルの中でEC2インスタンスの起動停止を繰り返す際、自動的にEBSボリュームを削除する処理がないと、 EBS ボリュームが残る可能性があります。 EC2にアタッチされておらず孤立したEBS ボリュームは、アタッチされていない間も料金が発生します。 この記事では、OpsCenter を活用した自動化プロセスについて説明します。OpsCenter は、AWS Systems Manager の一機能として最近発表されたもので、OpsCenterを使えば、EC2 インスタンスにアタッチされておらず、未使用なEBS ボリュームを識別および管理できるようになります。

Read More

JenkinsとAWS CodeBuildおよびAWS CodeDeployとの連携によるCI/CDパイプラインの構築

この記事は、オープンソースの自動化サーバーである Jenkins を用いて、AWS CodeBuild のビルド成果物を AWS CodeDeploy でデプロイし、機能的なCI/CDパイプラインを構築する方法を説明します。適切な設定を行うことで、GitHubリポジトリにプッシュされたソースコードの変更を元にCI/CDパイプラインが起動され、自動的にCodeBuildに送られ、その出力がCodeDeployによってデプロイされることを実現できます。

Read More

re:Invent 2019 の AWS マネジメント&ガバナンスセッションご案内

AWS上で広がり続けるビジネスの運用は、かつてないほど効率的に行えるようになっています。AWS マネジメントツール を使用すると、イノベーションの速度とガバナンスコントロールのどちらかをあきらめる必要は無く、両立させることができるのです。皆さんの環境を効率的に運用管理するために、ビジネスのアジリティ、コンプライアンス、ガバナンスに関するAWSサービスについて興味を持って学んでください!

Read More

Amazon RDS ポイントインタイムリカバリを管理するための AWS CloudFormation カスタムリソースの構築

Amazon RDS は、クラウド内でのリレーショナルデータベースのセットアップ、運用、およびスケーリングを容易にし、ハードウェアのプロビジョニング、データベースの設定、パッチ適用、およびバックアップなどの時間がかかる管理タスクを自動化しながら、コスト効率に優れ、サイズ変更が可能な容量を提供するため、煩わしい作業を AWS にまかせて、ビジネスロジックとアプリケーション機能に集中することが可能になります。 AWS 責任共有モデルでは、データを保護し、災害に備えて適切なバックアップと復旧を確実にすることがユーザーの責任になります。バックアップは、所定の時点におけるデータセットのスナップショットです。最後の完全なバックアップ後に行われた変更のすべてを復元するための復旧戦略を設計してください。 RDS を使用すると、新しいデータベースインスタンスを作成して、特定の時点にデータベースインスタンスを復元することができます。AWS マネジメントコンソール、AWS CLI、または RDS API を使用してポイントインタイムリカバリを実行できます。 組織がコンソールと AWS CLI へのアクセスをデータベース管理者のみに制限している場合があります。現在、AWS CloudFormation はポイントインタイムリカバリをサポートしないため、その次善策として AWS CloudFormation のカスタムリソースがあります。カスタムリソースでは、スタックを作成、更新 (カスタムリソースを変更した場合)、または削除するたびに AWS CloudFormation が実行するテンプレートに、カスタムプロビジョニングロジックを作成することができます。たとえば、AWS CloudFormation のリソースタイプとして使用できないリソースを含めたい場合は、カスタムリソースを使用してこれらのリソースを含めることができます。そうすることで、引き続き単一のスタック内で関連リソースのすべてを管理することができます。 この記事では、カスタムリソースである AWS Lambda 関数を使用して、バックアップ保持期間内の過去の任意の時間に RDS データベースのポイントインタイムリカバリを行う方法について説明します。 ソリューションの概要 RDS サービスは、データベースインスタンスのすべてのトランザクションログを 5 分ごとに Amazon S3 に保存します。コンソールでは、このプロパティがデータベースインスタンスの最終復元時間として表示されます。復元は、バックアップ保持期間内の任意の時点に行うことができます。 この記事では、以下の手順を実行します。 提供されている AWS CloudFormation テンプレートを使用して Lambda 関数と関連する IAM ロールを作成する。 必要なパラメータを持つ Lambda 関数を呼び出して、指定された時間へのデータベースの復旧を検証するために、もう一つの […]

Read More