Amazon Web Services ブログ

Category: Launch

IAM Access Analyzer の更新 – ポリシー検証

AWS Identity and Access Management (IAM) は AWS の重要で基本的な部分です。特定の AWS のサービスやリソースへのアクセスのレベルを定義する IAM ポリシーおよびサービスコントロールポリシー (SCP) を作成して、そうしたポリシーを IAM プリンシパル (ユーザーおよびロール)、ユーザーの グループ、または AWS リソースにアタッチすることができます。IAM で得られるきめ細かなコントロールでは、IAM を適切に使用する責任が発生します。ほとんどの場合、最小権限アクセス確立するのが妥当です。IAM チュートリアルは詳細を学ぶのに役立ち、IAM Access Analyzer は、外部エンティティと共有されているリソースを特定するのに役立ちます。最近、IAM Access Analyzer の更新を開始しました。これにより、アクセス許可の変更をデプロイする前に S3 バケットへのアクセスを検証することができます。 新しいポリシーの検証 本日、IAM Access Analyzer にポリシー検証を追加することを発表いたします。この強力な新機能は、時間をかけてテストされた AWS のベストプラクティスを活用する IAM ポリシーと SCP を構築するのに役立ちます。 デベロッパーおよびセキュリティチームが使用できるように設計されており、IAM プリンシパルにポリシーがアタッチされる前に検証が行われます。セキュリティ体制を改善し、大規模なポリシー管理を簡素化できるように設計された 100 以上のチェックが実行されます。各チェックの結果には、詳細な情報や具体的な推奨事項が含まれます。 検証には、IAM コンソールの JSON ポリシーエディタ、ならびにコマンドライン (AWS Access Analyzer 検証ポリシー) […]

Read More

Amazon S3 の 15 年目の記念日 – 5,475 日が経ち 100 兆のオブジェクトを扱うようになった今が出発点です

私は15 年前の今日、Amazon Simple Storage Service (S3) について発表するブログ記事を公開しました。その記事では、これがデベロッパーをターゲットとし、API 経由でアクセスできるサービスであることを明言しながら、いくつかの主要な機能の概要についてと、料金情報についてを説明しました。その投稿をお読みになったデベロッパーの手で、S3 API を使用してオブジェクトを格納および取得するコードを記述していただけるようになり、後は歴史が物語るとおりです。 現在その S3 が、100 兆以上 (1014、つまり 100,000,000,000,000) のオブジェクトを保存しているという事実を語るのも嬉しい限りで、リクエスト数は、毎秒最大で数千万件に達しています。この数は、世界の人工で換算して 1 人につき約 13,000 のオブジェクトがあることを意味します。または、宇宙に散らばる (2021 estimateにると) 約 2 兆個の銀河でみると、その 1 つずつに、約 50 個のオブジェクトの割り当てとなります。 スタートはシンプル その立ち上げ段階を振り返って見ると、当社がそこで行った意思決定は、後に正当性がが証明されるものだったと言えます。デベロッパーが S3 を数分で理解し、簡単に使い始られるようにしたのです。 当社で最初に取り組んだのは単純な概念モデルでした。それは、保持できるオブジェクト数に制限がなく、それぞれが文字列キーによる一意の名前で識別されるバケットのモデルでした。初期の API も同様にシンプルでした。バケットの作成、すべてのバケットの一覧表示、オブジェクトの配置、オブジェクトの取得、アクセス制御リストの定義などがその機能です。このシンプルさは、一方通行のドアを避けるのにも役立ち、お客様からのフィードバックに応じて S3 を進化させる多くの余地を残しました。この時点で決定したことは、今でも変更されていません。発表の日に書かれたコードは今日でもうまく機能します。 多くの異なる料金モデルについて議論した後 (逆方向の働きかけについては時間を割きました)、当社はコストフォローモデルを選択しました。Colin と Bill の考えはこうです。 コストフォローモデルでは、S3 を使用するデベロッパーの目的が何であれ、彼らは自身の要件に合った方法でそれを使用し、コストを最小限に抑えるように努めます。そして当然、当社もそれに協力します。このシステムにはあそびは存在せず、また価格を設定するために平均的なお客様を想定して、S3 がどのように使用されるかを見積もる必要もありません。 このコストフォローモデルを踏まえながら、当社では、S3 の GB あたりの月間の価格を何度も削減してきました。また、まれにしか参照しないデータを格納するコストをさらに節約するため (S3 Glacier と S3 […]

Read More

2021 年の最初の新しい AWS ヒーローを紹介!

グローバル AWS ヒーロープログラムは、地域の技術コミュニティで著名なリーダーである個人を表彰します。ヒーローは、ブログ記事、プレゼンテーション、ソーシャルメディア、オープンソースプロジェクトを通じて知識を共有したり、イベント、交流会、ワークショップを開催したりすることで、他のユーザーが AWS について学ぶのを助けます。グローバルコミュニティが成長するにつれ、新たなリーダーが登場し続けています。今回は、オーストリア、ベルギー、ブルガリア、コロンビアの初めてのヒーローを含め、2021 年に初登場した AWS ヒーローをご紹介いたします。 Ben Bridts – アントワープ、ベルギー コミュニティヒーローである Ben Bridts は、2015 年から AWS を専門的に使用しており、Cloudar の AWS テクノロジストとして、スタートアップ企業から大企業まで幅広い種類の企業と仕事をしています。また、彼は AWS 認定インストラクターでもあり、The Campus で AWS クラスルームトレーニングの講師を勤めています。彼のブログ記事は Cloudar ブログに掲載されており、GitHub にも参加していります (CloudFormation スタックには彼が書いたコードが使用されている可能性があります)。ベルギーの AWS ユーザーグループの共同主催者でもあり、他のさまざまなイベントで頻繁に講演しています。彼は、サーバーレス、自動化、ビルダーの有効化など幅広い関心を持っています。現在、お気に入りのサービスとして CloudFormation、Lambda、KMS、CloudFront、Lambda @Edge などを挙げています。 Nana Janashia – ウィーン、オーストリア コンテナヒーローである Nana Janashia は、DevOps のコンサルタント兼トレーナーです。彼女は「Techworld with Nana」チャンネルを開始し、さまざまな DevOps トピックに関する専門知識を共有し、愛好家がより簡単にこの分野へ入れるように支援しています。CI/CD、コンテナー化、オーケストレーションの既存のプロセスの改善を支援するために、デベロッパーや DevOps エンジニアのチームに対してコンサルティングを行っています。2020 年、彼女は DevOps […]

Read More

Amazon S3 Object Lambdaの紹介 – コードを利用して S3 から取得するデータを処理

Amazon Simple Storage Service(S3)にデータを保存すると、複数のアプリケーションで使用するためにデータを簡単に共有することができます。しかし、それぞれアプリケーションごとに固有の要件があり、データの異なるビューが必要になる場合があります。例えば、eコマースアプリケーションによって作成されたデータセットには個人識別情報(PII)が含まれる場合がありますが、データ分析のために処理するときには個人識別情報は不要であり、編集(マスキング等)がされているべきです。一方、同じデータセットがマーケティングキャンペーンに使用されている場合は、顧客ロイヤルティデータベースからの情報など追加の詳細データで補填する必要があるかもしれません。複数のアプリケーションにデータの異なるビューを提供するには、現在、2つのオプションがあります。データの派生コピーを追加作成、保存、維持して、各アプリケーションに独自のカスタムデータセットを持たせるオプションと、S3 の前にプロキシレイヤーとしてインフラストラクチャを構築および管理して、リクエストごとにデータをインターセプトして処理するオプションです。両オプションともに複雑性とコストが追加で発生するため、S3 チームはよりよいソリューションを構築することを決定しました。

Read More

新機能 — AWS Outposts での Amazon Elastic Block Store のローカルスナップショット

今後、AWS Outpostsのお客様がAmazon Elastic Block Store (EBS) ボリュームのローカルスナップショットを作成して、データレジデンシー要件とローカルバックアップ要件を簡単に満たせることを、本日お知らせいたします。AWS Outposts は、ほぼすべてのデータセンター、コロケーションスペース、オンプレミス施設に同じ AWS インフラストラクチャ、サービス、API、ツールを提供し、真に一貫性のあるハイブリッドエクスペリエンスを実現するフルマネージドサービスです。これまでは、Outposts の Amazon EBS スナップショットは、AWS リージョンのAmazon Simple Storage Service (S3)にデフォルトで保存されていました。ご利用の Outpost がOutposts 上の Amazon S3でプロビジョニングされている場合、今後は Outpost でスナップショットをローカルに保存できます。 お客様は AWS Outposts を使用して、低レイテンシー、ローカルデータ処理、またはデータの保管に関する要件を満たすためにオンプレミスで実行が必要なアプリケーションをサポートします。現在、AWS リージョンが存在しない国で AWS サービスを利用しようとしているお客様は、Outposts でのアプリケーションの実行を選択できます。規制、契約、または情報セキュリティの理由から、データを特定の国、州、自治体に保持する必要がある場合があります。これらのお客様は、アプリケーションを稼働させるために、スナップショットとAmazon マシンイメージ(AMI)のデータを、Outposts でローカルに保存する必要があります。さらに、一部のお客様は、ローカルバックアップに対して低レイテンシーアクセスを必要とするワークロードを求めることもできます。 Outposts の EBS ローカルスナップショットは、スナップショットと AMI データを Outposts の Amazon S3 でローカルに保存できる新機能です。AWS マネジメントコンソール、AWS コマンドラインインターフェイス (CLI) 、AWS SDK を使用して、Outposts で […]

Read More

新機能 – AWS Transfer Family での Amazon Elastic File System サポート

AWS Transfer Family は、完全マネージド型の SFTP (Secure File Transfer Protocol)、TLS 経由のファイル転送プロトコル (FTP)、および Amazon Simple Storage Service (S3) の FTP サポートを提供し、ファイル転送ワークフローをシームレスに AWS に移行します。 AWS Transfer Family は Amazon S3 に加えて、Amazon Elastic File System (EFS) ファイルシステムへのファイル転送もサポートするようになりました。この機能により、ビジネスパートナーは Amazon EFS ファイルシステムに格納されているファイルへのアクセスを簡単かつ安全に提供できます。SFTP、FTPS、または FTP プロトコルを使用する既存のワークフローを維持しながら、転送されたファイルを完全に管理されたファイルシステムに格納し、運用上の負担を軽減できます。

Read More

新機能 – AWS Systems Manager Fleet Manager

クラウド環境とオンプレミス環境全体で、ますます多様化する IT インフラストラクチャのポートフォリオ管理に関する課題に、組織とそのシステム管理者は日常的に直面しています。さまざまなツール、コンソール、サービス、オペレーティングシステム、手順、ベンダーはどれも、比較的よく見られまた関連性のある管理タスクを複雑にしています。ワークロードが最新化して Linux やオープンソースのソフトウェアが採用されるようになると、上記のシステム管理者は、Windows バックグラウンドからの GUI ベースの管理ツールに精通していても、新しいツール、アプローチ、スキルセットに継続的に適応し、迅速に学習する必要があります。 AWS Systems Manager は、AWS およびオンプレミスのリソースを管理できるオペレーションハブです。本日よりご利用いただけるようになった Fleet Manager は、Systems Manager の新しいコンソールベースの機能です。これにより、システム管理者は、SSH または RDP を使用したリモート接続に頼ることなく、オペレーティングシステムに依存しない方法で、マネージドインスタンスのフリートを単一の場所から表示および管理できるようになります。ドキュメントで説明されているように、マネージドインスタンスには、AWS クラウドとオンプレミスの両方で Windows、Linux、macOS オペレーティングシステムを実行しているインスタンスが含まれます。Fleet Manager では、コンピューティングインスタンスが存在している場所に関係なく、それらを集約して表示します。 クラウドサーバーかオンプレミスサーバーかに関わらず、必要なものは、各マネージドサーバーに Systems Manager エージェントがインストールされており、AWS Identity and Access Management (IAM) のアクセス許可および、Systems Manager の Session Manager で有効になっている AWS Key Management Service (KMS) だけです。これにより、現在使用している高価な管理ツールのライセンス料金を支払う必要がなくなり、複数の環境で実行しているサーバーのリモート管理を、容易かつコスト効率に優れたアプローチで実現できます。先に述べたように、macOS 上で実行中のインスタンスでも動作します。エージェントソフトウェアとアクセス許可を設定すれば、Fleet Manager を使って単一のコンソール環境からサーバーを検索および管理できます。例えば、Amazon CloudWatch エージェントをインストールすることなく、ファイルシステムの移動、Windows サーバー上のレジストリの操作、ユーザーの管理、ログのトラブルシューティング (Windows イベントログの表示を含む)、一般的なパフォーマンスカウンターのモニタリングを行うことができます。 […]

Read More

新機能 – AWS Systems Manager がアプリケーション管理を統合

統合された、シンプルな運用管理を求めるのは、クラウドインフラストラクチャだけに限られるものではありません。当社のお客様では、アプリケーションのポートフォリオを監視および管理するための、“1 つの枠組みによる” アプローチを、お求めになることが増えています。 これらのお客様がおっしゃるのは、アプリケーションの検出と調査に、余分な時間と労力がかかっているということです。DevOps エンジニア達は、調査対象であるアプリケーションの問題に関するコンテキストを取得するために、一般的に複数のコンソールやツールを使用しているというのがその理由です。さらに、リソースの使用量に関するメトリクスや、ログなどの情報ソースを参照することも必要になります。ここで言う “アプリケーション” とは、アプリケーションコードのみを指すのではありません。アプリケーションをホストするためのユニットとして機能するリソースの論理グループや、オペレータのための所有権の境界、さらに開発、ステージング、および実稼働などの各環境なども含まれています。 今回、AWS Systems Manager の新機能として、この Application Manager をご紹介できる運びとなりました。Application Manager を使用すると、複数の AWS のサービスや、Systems Manager の機能に関する運用情報を1 つのコンソールに集約することで、アプリケーションの運用データを簡単に表示できるようになります。 さらに便利な機能として、このサービスでは、アプリケーションの自動検出も行えます。現在、この自動検出機能は、AWS CloudFormation スタックおよび Amazon Elastic Kubernetes Service (EKS) クラスターで実行されているアプリケーション、または AWS Launch Wizard から起動されたアプリケーションに対しご利用いただけます。また、アプリケーションは、リソースグループからも検出できます。 自動検出機能の大きなメリットは、アプリケーションのコンポーネントやリソースが、継続的かつ自動的に最新の状態に維持されることです。加えて、必要に応じてコンポーネントを手動で追加または削除すれば、アプリケーションをいつでも改訂することも可能です。 検出されたアプリケーションを単一のコンソールに統合することで、運用上の問題をより簡単に診断し、最小限の時間と労力で解決できるようになります。アプリケーションのコンポーネントまたはリソースをターゲットとする自動 Runbook を実行することで、運用上の問題の修復に役立てることができます。1 つのコンソールを離れることなく、任意のアプリケーションについてリソースを選択し、関連する詳細内容を調べられます。 たとえば、アプリケーションにより Amazon CloudWatch ログ、運用メトリックス、AWS CloudTrail ログ、および設定変更を表示できるので、複数のツールやコンソールを使用する必要がなくなります。担当のエンジニアは、問題をより迅速に把握できるので、その解決にかかる時間を短縮できます。 Application Manager を使用したアプリケーションの調査 Application Manager には、Systems Manager のホームページからアクセスできます。ページが開いたら、検出されたアプリケーションの概要が表示され、アラームが存在するかをすぐに確認できます。コンテキストを Amazon CloudWatch […]

Read More

AWS CloudShell – AWS リソースへのコマンドラインアクセス

多くの自動化を構築していても、Infrastructure as Code (IAC) の実践に優れていても、ペットから家畜への移行が成功したとしても、コマンドラインで AWS リソースとやり取りする必要が時折出てきます。設定ファイルの確認や調整、本番環境での迅速な修正、または AWS の新しいサービスや機能を試す必要があります。 ウェブブラウザでの作業が最もストレスがないと感じているお客様もいますが、独自のコマンドラインインターフェイス (CLI) を設定またはカスタマイズしていることはありません。こうしたお客様は、クライアントアプリケーション、パブリックキー、AWS 認証情報、ツールなどを使いたくないと言います。これらの手順はどれも難しいことではないし、時間がかかることもありません。私たちはいつでも複雑さや手間の多い作業が増えているお客様のお手伝いをする準備ができています。 AWS CloudShell の導入 本日、AWS は AWS CloudShell をローンチしました。これは、AWS 対応のシェルプロンプトの作業を簡単かつセキュアにし、できるだけ手間を少なくすることを目的としたものです。CloudShell で実行するすべてのシェル環境には、AWS コマンドラインインターフェイス (CLI) (v2) がインストールおよび設定されており、AWS のコマンドを即座に実行できます。環境には Python と Node のランタイムも含まれ、今後さらに多くのランタイムを追加する予定です。 開始するには、AWS マネジメントコンソールで CloudShell アイコンをクリックします。 ほんの数秒でシェルが自動的に設定され、すぐに最初の AWS のコマンドを発行することができます。 シェル環境は Amazon Linux 2 に基づいています。ホームディレクトリにはリージョンごとに最大 1 GB のファイルを保存でき、そのリージョンでシェルを開くたびに利用可能になります。これには、.bashrc ファイルやシェル履歴ファイルなどのシェル設定ファイルが含まれます。 SSO または AWS マネジメントコンソール (フェデレーションロールを含みます) にログインできる任意の IAM […]

Read More

AWS Systems Manager Change Manager のご紹介

皆様の元には、お客様からのフィードバックが日常的に届いていることでしょう。それを基に、アプリケーションやインフラストラクチャをくり返し修正し、イノベーションのための改善をされていると思います。クラウドに置いた IT システムの変更は継続的なものです。ただ、現実を見てみると、稼働中のシステムで何かを変えることは、何かを壊すことでもあります。この結果、時には予測できない副作用を引き起こす危険があるのです。テストを何回行ったのかは重要ではありません。一方、変化を加えないということは停滞を意味します。その後に続くのは的外れのサービス提供、そして、その終了という結末です。 そのため、あらゆる規模とタイプの組織が、変更を上手に継続するための文化を、内部に醸成しています。一部の組織では、ITIL v4 で定義されている変更管理プロセスなどのシステムを採用しています。DevOps や、継続的デプロイを導入していたり、他の方法を採用している組織も存在します。いずれの場合にしても、変更管理プロセスを上手く運用するのに大切なのは、ツールを用意することです。 今回、AWS Systems Managerの新しい変更管理機能である、AWS Systems Manager Change Manager がリリースされました。このサービスにより、アプリケーションの構成やインフラストラクチャに対し運用エンジニアが行う、運用的な変更の追跡、承認、実装が簡素化されます。 Change Manager の使用には、主に 2 つの利点があります。第 1 の利点は、アプリケーションの構成やインフラストラクチャに加えられた変更の安全性を向上させ、サービスの中断のリスクを軽減することです。変更内容を追跡し、承認されたもののみが実装されるようにすることで、運用的な変更をより安全に実施できます。第 2 の利点は、AWS Organizations や AWS Single Sign-On などの他の AWS のサービスと緊密に統合されていることです。さらに、Systems Manager の変更カレンダーや Amazon CloudWatch アラームとも連携しています。 Change Manager では、組織全体で行われた変更、その目的、それらを承認および実施した人物などについて一貫性のある監査を行いレポートを作成することで、変更に対する責任を担保できます。 Change Manage は、AWS リージョン間、あるいは、複数の AWS アカウント間で機能します。Organizations、あるいは、AWS SSO と緊密に連携しているので、一元的なポイントからの変更の管理や、グローバルインフラストラクチャ全体に対する制御された方法でのデプロイが可能になります。 関連用語 AWS Systems Manager Change Manager は、単一の […]

Read More