Amazon Web Services ブログ

Category: News

AWS 構成ルールの更新: アカウントおよびリージョンにまたがる集約コンプライアンスデータ

既に述べたことがありますが、高度な AWS 顧客は複数の AWS アカウントを制御していることが常です。これらのうちのいくつかは、買収、またはボトムアップからの持ち越し、クラウドコンピューティングの部門採用の結果です。また人によっては、開発者、プロジェクト、部門で区別するために、複数のアカウントを作成することがあります。私たちは、これをアカウントのポリシーベース管理のためにベストプラクティスとして採用し、多くの AWS サービス、ならびに AWS Organizations のクロスアカウント機能で補強することを強く支持します。また、これらの顧客は AWS Config を十分に活用しており、Config Rules (自分で作成したもの、および Config から提供されたもの) を使用して AWS リソースのコンプライアンスをチェックします。 アカウントおよびリージョンにまたがる集約 現在私たちは、複数の AWS アカウントおよびリージョンにまたがるルールによって生成されたコンプライアンスデータを集約する機能を追加することによって、さらに役立つ Config Rules を作成することを可能にしました。集約データは、単一のダッシュボードに表示することができるので、ガバナンスとコンプライアンスを改善するための優れた手段になります。さらに良いことに、集約機能とダッシュボードは、AWS Config ユーザーであれば無料で利用することができます。 これのセットアップ方法を簡単に説明します。最初に、いくつかの用語を定義しておきます。 aggregator – これは新規の Config リソースです。これは集約対象となるコンプライアンスデータのソース (アカウントおよびリージョン) を特定します。複数の aggregator を同時に使用できるので、ガバナンスおよびコンプライアンスモデルをさらに細かくチューニングすることができます。 aggregator アカウント – これは 1つ以上の aggregator を所有する AWS アカウントです。 ソースアカウント – これは集約対象のコンプライアンスデータを持つ AWS アカウントです。 集約ビュー – […]

Read More

新機能 ー Amazon EFS における伝送データの暗号化

Amazon Elastic File System はファイルベースのストレージへの共有アクセスが必要なクラウドネイティブなアプリケーション向けにファイルシステム選択肢の一つとなるよう設計されました。私たちは2016年中頃に EFS の提供を始めて、以降、”Direct Connect 経由のオンプレミス環境からのアクセス”や”保管データの暗号化”など重要な機能をいくつも追加してきました。また、EFS を提供する AWS リージョンの追加も行ってきており、直近では US West (北カリフォルニア) が追加されました。EFS 自体がそうであったように、これらの機能追加はお客様からのフィードバックにより為されたもので、益々拡大するお客様の声に応えたいという私たちの願望を反映しています。 伝送データの暗号化 今日、EFS をより便利なものにするために伝送データの暗号化サポートを追加しました。既にサポートしている保管データの暗号化と共に使用する場合、多層防御セキュリティ ストラテジーによる格納ファイルの保護が実現されます。 伝送データの暗号化の実装をより簡単にするために、EFS マウント ヘルパーもリリースします。このヘルパー(ソースコードと RPM 形式で提供)は、EFS への TLS トンネルの確立を助けてくれるもので、また ID によるファイルシステムのマウントもできるようにするものです。この 2 つの機能はそれぞれ独立しています。ヘルパーを使用して、伝送データの暗号化をしていなくても ID でファイルシステムをマウントできます。ヘルパーは実際の mount コマンドのデフォルトオプションの推奨セットも提供してくれます。 暗号化のセットアップ Amazon Linux インスタンスに EFS マウントヘルパーをインストールするところから始めます。 $ sudo yum install -y amazon-efs-utils 次に、EFS コンソールを開き、ファイルシステム ID を取得します。 そして、その ID […]

Read More

EFS File Sync、Amazon EFS ファイルシステムへの高速なファイル転送

AWS re:Invent 2017 の数日前に使用可能になった EFS File Sync について、お話できるようになりました。 大量のファイルをオンプレミスまたはクラウドのファイルシステムから Amazon Elastic File System に移動させる必要があるなら、このツールが最適です。たとえば、 cp および rsync などのシンプルで、シングルスレッドのコマンドラインツールは、クラウドに対応しておらず、膨大な量のデータをある場所から別の場所へ移動するために必要なスループットを提供することができません。こうしたツールは、多くの場合、スケジューリング、オーケストレーション、ネットワークセキュリティに関するスクリプトで、ビルディングブロックとして使用されるのが一般的です。 安全および並列 EFS File Sync は、安全で高度な並列データ転送メカニズムを使用しており、前述のツールよりも最大 5 倍高速で動作します。VMware ESXi または EC2 インスタンスで実行され、NFS (v3 および v4) 経由でソースファイルシステムにアクセスし、EFS が利用可能なすべての AWS リージョンで使用できるエージェントとして利用できます。このエージェントが AWS とのすべての通信を開始するので、VPN を設定したり、ファイアウォールを介してインバウンド接続を許可したりする必要はありません。 AWS マネジメントコンソールで、エージェントと同期タスクを起動、制御、監視することができます。ジョブは、ファイルシステム全体または特定のディレクトリツリーの転送を指定することができ、転送先にすでに存在するファイルを検出してスキップすることもできます。ファイルのメタデータ (変更やアクセスの時間、POSIX の所有権とアクセス許可、シンボリックリンク、ハードリンク) もコピーされます。 EFS File Sync の使用 このブログへの投稿を書くために、EC2 インスタンスを起動し、NFS ファイルシステム (/data) をエクスポートし、ファイルシステムに Linux カーネルのソースコードを転送しました。 […]

Read More

最新の AWS コミュニティヒーロー (2018 年春季)

AWS コミュニティヒーロープログラムでは、世界中の腕の良い AWS デベロッパーによって行われている革新的な作業の一部を紹介しています。 このようなヒーローは、クラウドの専門知識と、コミュニティ構築および教育に対する熱意を組み合わせて、ソーシャルメディアや実際に顔合わせができるイベントで時間と知識を共有しています。ヒーローは、ミーティング、ワークショップ、会議などでコンテンツの推進を積極的に支援しています。 今年 3 月、私たちのクラウドイノベーターのネットワークに、5 人のヒーローが加わりましたのでご紹介させていただきます: Peter Sbarski Michael Wittig Fernando Hönig Anders Bjørnestad Peter Sbarski Peter Sbarski は、A Cloud Guru のエンジニアリング担当副社長です。サーバーレスアーキテクチャとテクノロジーに特化した世界初の会議 Serverlessconf の主催者です。彼は A Cloud Guru の仕事として、サーバーレスアーキテクチャー、クラウドコンピューティング、AWS について講演したり、執筆活動などを行っています。彼は Serverless Architectures on AWS という書籍を執筆しています。現在 Tim Wagner および Yochay Kiriaty と「Serverless Design Patterns」という書籍を共同執筆中です。 Peter はクラウドコンピューティングと AWS について、いつも喜んで語っています。彼の姿は年間を通じて、カンファレンスやミーティングで見かけることができます。彼はオーストラリアのメルボルンとシドニーにおける Serverless Meetups の開催を援助しおり、興味深く革新的なクラウドプロジェクトに取り組んできた経験を共有したいと常に心がけています。 Peter が熱意を注いでいるものとして、サーバーレステクノロジー、イベント駆動型プログラミング、バックエンドアーキテクチャ、マイクロサービス、システムのオーケストレーションなどがあります。Peter はオーストラリアのモナッシュ大学でコンピュータサイエンスの博士号を取得しており、Twitter、LinkedIn、Medium、GitHub で彼をフォローできます。 […]

Read More

AWS ドキュメントがオープンソースになり、GitHub でご利用可能に

今年に入ってから GitHub のリポジトリとして、AWS SDK の開発者ガイドを公開 (すべて awsdocs 組織で閲覧可能) し、関心を示した団体・組織を招いて、プルリクエスト (編集結果の送信) 方式で変更および改善への協力を募りました。 今日現在で、さらに 138 件の開発者ガイドとユーザーガイドが組織に追加されています。さらに皆さんからのリクエストが届くのを楽しみにしています。皆さんには正確さや分かりやすさの観点から、バグの修正、コードサンプルの改善 (または新しいサンプルの送信)、詳細の追加、 文や段落の書き換えなどにご参加いただけます。また新しい機能やサービスの開始についてさらに詳しく学んだり、ドキュメントの改善を追跡するために、コミット履歴を見ることもできます。 参加する 始める前に、関心のある AWS サービスについて Amazon Open Source Code of Conduct を一読し、Contributing Guidelines の文書をご覧ください (一般的に CONTRIBUTING.mdという名称)。その後、GitHub のアカウントをまだお持ちでなければ、アカウントを作成します。 変更または改善する内容を見つけたら、文書の HTML 版にアクセスし、ページの上部で Edit on GitHub (GitHub で編集) ボタンをクリックします。 この操作により、ソース形式 (一般的な Markdown または reStructuredText 方式) で文書を編集できるようになります。 ソースコードは文書を HTML、PDF、および Kindle 版で生成するために使用されます。 GitHub にアクセスしたら、鉛筆アイコンをクリックしてください。 これにより「フォーク」が作成されます。フォークとは独立した環境でファイルを編集できるようにファイルを別途コピーしたものです。 […]

Read More

いよいよモバイルワールドコングレスの開催です。コネクテッドカーのデモをご覧ください!

バルセロナ (私たちのお気に入りの都市のひとつ) で開催される Mobile World Congress 2018 (モバイルワールドコングレス) へ参加のご予定ですか? それなら、第 5 ホール、5E41 ブースで実施中の、コネクテッドカーのデモをお見逃しなく。 AWS Greengrass チームでは、コネクテッドカーで自動車業界がどう変わるかを実証するために Vodafone と Saguna の友人とともに、概念実証に取り組んできました。今回のデモは MEC (マルチアクセスエッジコンピューティング) の新進コンセプトに基づいて構築されています。 自動車メーカーは自社の車両に最新のデジタル技術を組み込みたいと考えてはいるものの、コスト、パワー、製品化までの時間といった懸念事項により、車両に搭載されたコンピューティングリソースへの大がかりなアップグレードは望んでいません。また、既に道を走っている車両への後付けによって生じるであろう問題については言うまでもありません。MEC はモバイルネットワークのエッジを活用すること、たとえば、アクセスネットワークのハブサイトの活用によって、処理リソースの負担を軽減します。このモデルは自動車メーカーが、ローレイテンシーのコンピューティングリソースを活用し、その一方で自動車を発展させ、車両の寿命をときには 20 年以上も延ばす技術を提供するのに一役買います。また、複雑さや車載部品のコストも抑制します。 MWC のデモでは Vodafone の 4G LTE ネットワーク上で、AWS Greengrass を活用する Saguna の AI 搭載 MEC ソリューションを使ったライブビデオフィードをストリーミングしています。今回のデモではドライバーの安全性に重点を置くとともに、他の人とのおしゃべりや車内の別のものに気をとられているドライバーの検知を目標としています。モバイルネットワークのエッジで稼動する、AI 搭載の動作追跡およびパターン検出機能を備える車載カメラをドライバーに向け、注意散漫の状態を検知し、ドライバーに警告するというものです。このアーキテクチャではほとんどのコンピューティング機能はモバイルネットワークのエッジで処理されることから、これを使用することで、自動車メーカーは既存の自動車にも機能強化を実装しやすくなります。 モバイルワールドコングレスに参加できない方もご心配は無用です。このソリューションのビデオはこちらからご覧いただけます。 — Jeff;

Read More

Amazon Relational Database Service – 2017 年を振り返って

2017 年には Amazon RDS チームによって、およそ 80 個もの機能がリリースされました。一部はこのブログでもご紹介しましたが、AWS データベースブログや AWS の最新情報またはフォーラムの投稿でもご紹介しています。今週のしめくくりに、これらの情報を振り返って整理したいと思います。ではご紹介します! 認証とセキュリティ 1 月 – FedRAMP Certification for Amazon RDS for MySQL, Oracle, and PostgreSQL 2 月 – Forced SSL Support for SQL Server 4 月 – AWS IAM で RDS for MySQL と Amazon Aurora データベースへのアクセスを管理 6 月 – TDE Encrypted Cross-Region Snapshots for RDS […]

Read More

New – DynamoDB の保存時の暗号化

AWS re:Invent 2017 では、Werner は対象者に対して、次のように勧めました。「誰も見ていないようにダンスをして、誰もがしているように暗号化してください。」 AWS チームは常に、機密データを保護し、またコンプライアンスの目標を達成するために支援することを容易にする機能を追加したいと考えています。たとえば、2017 年に当社は SQS と EFS に対して保存時の暗号化を開始し、S3 に対して追加の暗号化オプション、さらに Kinesis データストリームのサーバー側の暗号化を開始しました。 今日、Amazon DynamoDB に対して保存時の暗号化の導入に、別のデータ保護オプションを提供しています。新規テーブルを作成するときに暗号化を有効にするだけで、後は DynamoDB が行います。お使いのデータ (テーブル、ローカルセカンダリインデックス、グローバルセカンダリインデックス) は、AES-256 およびサービスデフォルトのAWS Key Management Service (KMS) キーを使用して暗号化されます。暗号化はストレージオーバーヘッドを追加せず、完全に透過的です。以前のように、アイテムを挿入、クエリ、スキャン、および削除できます。チームは暗号化を有効にして、暗号化した DynamoDB テーブルで異なるいくつかのワークロードで実行した後、レイテンシーで変更を観察しませんでした。 暗号化テーブルの作成 AWS マネジメントコンソール、API (CreateTable)、または CLI (create-table) から暗号化テーブルを作成できます。私はコンソールを使用します。私は通常通り、次のように名前を入力して、プライマリーキーを設定します。 先に進む前に、[デフォルト設定の使用] をオフにして、[暗号化] セクションまで下方にスクロールして、[暗号を有効化] をオンにします。次に、[作成] をクリックすると、私のテーブルが暗号化形式で作成されます。 一目でテーブルの暗号化設定を確認することができます。 コンプライアンスチームが、DynamoDB でキーを使ってデータを暗号化する方法を尋ねられたら、AWS CloudTrail トレールを作成して、アイテムを挿入し、テーブルをスキャンして AWS KMS API へのコールを確認することができます。以下がトレールからの抽出です。 { “eventTime”: “2018-01-24T00:06:34Z”, “eventSource”: […]

Read More

水門は開いた – EC2 インスタンスのネットワーク帯域幅が増大

2016 年の中頃、Elastic Network Adapter (ENA) を使用するために AMI と現世代の EC2 インスタンスを構成するようお勧めしましたが、皆さんはきちんと宿題をこなしましたか。ENA の特徴は高スループット低レーテンシであること、その一方でホストプロセッサの負荷を最小限に留めることなどが挙げられます。複数の vCPU 環境で適切に機能するようデザインされ、複数の送信および受信キューを使ってインテリジェントにパケットのルーティングを行います。 今日、私たちは水門を開けて (帯域幅の制限を取り払って)、すべての AWS リーションでより多くの帯域幅をご利用いただけるようになりました。仕様は以下のとおりです (それぞれの事例で実際の帯域幅はインスタンスのタイプとサイズによって異なります): EC2 – S3 間 – Amazon Simple Storage Service (S3) との送受信通信量は、帯域幅で最大 25 Gbps ご利用いただけます。これまで、この通信量の帯域幅は上限が 5 Gbps に設定されていました。これは S3 にある大規模なデータにアクセスする、またはバックアップおよびリストアに S3 を使用するアプリケーションに有益です。 EC2 – EC2 間 – 同一リージョン内で、同一または異なるアベイラビリティーゾーンにある EC2 同士の通信では、ここで解説したようにプライベート IPv4 または IPv6 アドレスを使用することにより、シングルフロー通信の場合最大 5 Gbps、マルチフロー通信の場合最大 25 Gbps […]

Read More

新規 – リージョン間 VPC ピアリング

最新の AWS re:Invent 2 つのローンチに追いつこうとしているところです! 本日は、リージョン間の VPC ピアリングについてお話したいと思います。2014 年初頭以降、同じ AWS リージョンの仮想プライベートクラウド (VPC) 間でピアリング接続を作成することができるようになっています (詳細は、「New VPC Peering for the Amazon Virtual Cloud」を参照してください)。一旦確立されると、ピアリングされた VPC の EC2 インスタンスは、プライベート IP アドレスを使用して、同じネットワーク上にあるかのように、ピアリング接続を介して互いに通信できます。 re:Invent において、ピアリングモデルを拡張し、AWS リージョン全体で機能するようにしました。既存のモデルと同様に、同じ AWS アカウント内または一対のアカウント間でも機能します。私の以前の投稿に記載されているユースケースはすべて、引き続き適用されます。組織全体の VPC に共有リソースを集中させ、複数の部門ごとの VPC とピアリングすることができます。また、コンソーシアム、コングロマリット、または合弁企業のメンバー間でリソースを共有することもできます。 さらに、リージョン間 VPC ピアリングにより、AWS リージョン間に存在する高度な分離を活用しながら、リージョンにまたがる高度に機能的なアプリケーションを構築することができます。たとえば、計算やストレージリソースの地理的な場所を選択して、規制要件やその他の制約を遵守するのに役立てることができます。 ピアリングの詳細 この機能は、現在米国東部(バージニア州北部)、米国東部(オハイオ州) 、米国西部(オレゴン州)、および EU(アイルランド)リージョン、および IPv4 トラフィックでご利用いただけます。これらのリージョン内の任意の 2 つの VPC は、明確な、重複しない CIDR ブロックを有する限り、接続できます。これにより、すべてのプライベート IP アドレスが一意であることが保証され、一対の VPC […]

Read More