Amazon Web Services ブログ

Category: News

Amazon SageMaker Experiments – 機械学習モデルの整理、追跡、比較、評価

2019年12月3日、機械学習(ML)実験とモデルバージョンの整理、追跡、比較、評価を可能にする Amazon SageMaker の新機能である、Amazon SageMaker Experiments を発表できて非常にうれしく思います。 機械学習では非常に多くの反復プロセスを含みます。1つのプロジェクトの過程で、データサイエンティストと 機械学習エンジニアは、最大限の精度を求めて数千の異なるモデルを定期的に学習を行います。実際、アルゴリズム、データセット、および学習パラメーター(別名ハイパーパラメーター)の組み合わせの数は無限に存在します。それはまさに「干し草の山の中にある1本の針を探す」ということわざのように無駄骨を折る苦労を伴います。

Read More

まもなく登場 – Graviton2プロセッサ搭載の汎用、コンピューティング最適化、メモリ最適化インスタンス

昨年のre:Invent 2018では、ArmベースのGravitonプロセッサ搭載の初代EC2インスタンス(A1)を発表しました。以来、コンテナ化されたマイクロサービス、ウェブサーバー、ログ等のデータ処理といったスケールアウト型のワークロードに対して、何千もの顧客がA1インスタンスを活用しています。 ArmアーキテクチャとA1インスタンスは早期の段階から、OSベンダー、ソフトウェアベンダー双方のコミュニティの強い協力を得られています。今やA1インスタンスに対して、Amazon Linux 2, Ubuntu, Red Hat, SUSE, Fedora, Debian, FreeBSDといった複数のLinux/Unixディストリビューションを選択できます。 さらに稼働させるサービスとしてDocker, Amazon ECS,  Amazon Elastic Kubernetes Serviceといったコンテナサービスを選択できますし、他にも多くのシステムエージェントや、AWS Developer ToolsやJenkinsを始めとする様々な開発ツールも動作します。 これまでにA1インスタンスに寄せられたフィードバックは強力かつポジティブなものばかりで、特にCPUインテンシブあるいはメモリインテンシブなワークロードをどんどんArmベースのサーバーで稼働させていきたいという声を受け取っていました。 Graviton2 本日、次世代のARMベースのEC2インスタンスの登場を先行発表します。このインスタンスはAWS Nitro Systemをベースに、新しいGraviton2プロセッサを搭載したものです。このプロセッサは7nm(ナノメートル)製造プロセスによるAWS独自設計によるもので、64ビットARM Neoverseコアをベースとして、浮動小数点演算処理の2倍の性能向上を含め、最大でA1インスタンスの7倍の性能を発揮するものです。また追加のメモリチャネルと1コアあたり倍加したキャッシュにより、メモリアクセス速度は最大で5倍まで向上しました。 これらの改良は、これまでのM5, C5, R5といった第5世代のインスタンスタイプを上回る、極めて大きな性能向上をもたらします。vCPUあたりの性能をM5インスタンスと比較したとき、初期のベンチマーキングでは次のような結果が得られました。 SPECjvm® 2008: +43% (推定) SPEC CPU® 2017 integer: +44% (推定) SPEC CPU 2017 floating point: +24% (推定) NginxでのHTTPSロードバランシング: +24% Memcached: +43% かつレイテンシの短縮 X.264ビデオエンコーディング: +26% Cadence XcelliumによるEDAシミュレーション: […]

Read More

AWS Identity and Access Management (IAM) Access Analyzer を使った意図しないリソースアクセスの特定

本日の発表をここでシェアしたいと思います。この発表は、AWS 上のビルダーの方のためのセキュリティ強化のみに留まりません。また、設定なしに利用料金不要でオンにすることが出来ます。AWS は、AWS Identity and Access Management (IAM) Access Analyzer と呼ばれる今までにない機能をリリースします。 IAM Acess Analyzer は数学的なアルゴリズムを使って AWS 上のリソースにアタッチされている アクセス制御ポリシーを分析し、他のアカウントもしくは、誰もがアクセスできるリソースが無いか見つけ出します。IAM Access Analyzer は継続的にAmazon Simple Storage Service (S3) バケット、IAM ロール、 AWS Key Management Service (KMS) キー、AWS Lambda 関数、 Amazon Simple Queue Service (SQS) キューといったリソースのポリシーを監視します。 IAM Access Analyzer によって、アクセス制御状況のインパクトを集約、可視化し、 利用されているアカウントの外側からの意図しないアクセスからリソースが保護されていることを確認出来ます。 いくつかの例をご紹介します。 IAM Access Analyzer の結果は my-bucket-1 という S3 バケットが ID 123456789012 の AWS […]

Read More

EC2 Image BuilderによるOSイメージビルドパイプラインの自動化

社会人になったばかりの頃、開発チーム向けのOSイメージビルドの仕事がアサインされたのを今でも思い出します。時間はかかるし、エラーはよく出るし、再作成とスナップショット再取得をなんども実行する必要がありました。さらに、ご想像のとおり、そのあとには大量の手動テストが控えていたのです。 OSを最新に保つことの重要性は現在も変わりません。場合によっては自動化スクリプトを開発してくれるチームがあるかもしれませんが、いずれにせよVMのスナップショットを手動で取得するという作業は、多くのリソースを消費し、都度エラー対処が要求される、時間のかかる作業であることに変わりはありません。今日ここで、EC2 Image Builderを発表できることを大変うれしく思います。これは、自動化されたビルドパイプラインによる、簡単、かつ高速にセキュアなWindows ServerおよびLinux OSイメージをビルドし保守していくためのツールです。EC2 Image Builderで作成されたイメージは Amazon Elastic Compute Cloud (EC2)で用いることができ、また満たすべき情報セキュリティ基準を遵守できるよう、セキュリティを強化することができます。今後AWSは規制を受ける業界向けに、はじめの一手として使える“Security Technical Implementation Guide (STIG – セキュリティ設定チェックリスト)”に準拠したセキュリティ強化ポリシーを提供していきます。 EC2 Image Builderパイプラインに含めることのできる設定項目は、OSイメージのレシピ、基盤の構成、イメージの配布先、それからテスト構成です。さらに、セキュリティパッチを含むソフトウェアアップデートに応じて、イメージビルドを自動実行する機能も含まれます。パイプラインにより新たなイメージが作成されたタイミングで、各AWSリージョンにイメージを配布する前に検証すべきテストの自動実行を設定することもできます。またEC2 Image BuilderをEC2 VM Import/Export機能と併用することで、オンプレミスに存在するVMDK, VHDX, OVFそれぞれのフォーマットからなるVMイメージと連携することができます。自動テスト機能ではAWS提供のテストとユーザー定義のテストを組み合わせることもできます。 それでは、EC2 Image Builderの開始方法を見ていきましょう。 OSイメージビルドパイプラインの作成 AWSマネジメントコンソールのサービス一覧からEC2 Image Builderを選択し、EC2 Image Builderマネジメントコンソールに進みます。ここで”Create Image Pipeline”ボタンをクリックします。今回はAmazon Linux 2イメージをカスタマイズしてビルドすることにします。はじめの一歩はソースになるOSイメージを選択し、イメージに適用するビルドコンポーネントを指定し、実行するテストを構成するレシピを定義するところからです。 OSソースイメージの選択では、EC2 Image Builderの提供するAWS管理のイメージを選択しました(“Select managed images”).  この手順では他にも、自分で作成したAMIや共有されたAMIを選択することもできます。AMI IDを直接指定することができます。 “Browse images”ボタンを押すとAWS管理のイメージを選択する画面が開きます。イメージを選択するには、OS名のボックス右上のラジオボタンをクリックします。 続いてイメージに適用するビルドコンポーネントを指定します。これはインストールすべき追加ソフトウェアを指定する手順です。ウィザードの”Create build component”をクリックすると、ユーザー定義の新しいビルドコンポーネント作成のためのオプションを指定することができます。新規にビルドコンポーネントを作成するには、ビルドコンポーネントの名前(と説明書き), OS種別、コンポーネント暗号化のためのAWS Key […]

Read More

新機能 – タグポリシーを使用して、複数の AWS アカウントのタグを管理する

 EC2を開始して間もなく、お客様はインスタンスを特定、分類、または分類する方法を求め始めました。2010年に EC2 インスタンスのタグ付けとその他の EC2 リソースを開始し、他の多くのリソースタイプのサポートを長年にわたって追加してきました。数年前の作成時にインスタンスと EBS ボリュームにタグを付ける機能を追加し、タグ付け API とタグエディターをローンチしました。今日、タグには多くの重要な目的があります。これらを使用して、コスト割り当てのためのリソースを特定し、AWS リソースへのアクセスを (直接または IAMユーザーおよびロールのタグを通じて) コントロールできます。これらのツールに加えて、タグ戦略に関する包括的な推奨事項も提供しています。これは、組織に設定したタグ付け標準の基礎として使用できます。 善意の意図を超えて これらのツールと推奨事項はすべて強力な基盤を形成するものですが、善意の意図でのみタグを使用し始める可能性があります。ただし、Jeff Bezosのように、「善意の意図は機能しませんが、メカニズムは機能します。」 名前、値、大文字、句読点の標準化は素晴らしいアイデアですが、実践するには課題があります。タグを使用してリソースへのアクセスをコントロールしたり、請求書を分割したりすると、小さなエラーが大きな問題を引き起こす可能性があります! 本日、AWS Organization 内の複数の AWS アカウントと組織単位 (OU) にまたがる一貫した高品質のタグ付け規律の実装を支援するメカニズムを提供します。タグポリシーを作成して適用し、組織内の任意の AWS アカウントまたは OU、または組織全体に適用できます。各レベルのポリシーは、アカウントの有効なポリシーに集約されます。 各タグポリシーには、一連のタグルールが含まれています。各ルールは、タグキーをキーの許容値にマップします。タグポリシーは、既存のリソースのタグに影響する操作を実行するときにチェックされます。タグポリシーを設定すると、準拠していないタグ付きリソースを容易に発見することができます。 タグポリシーの作成 タグポリシーは容易に使用できます。組織を表す AWS アカウントにログインすることから始め、設定で タグポリシー が有効になっていることを確認します。 次に、ポリシー および タグポリシー をクリックして、組織のタグポリシーを作成します。 既存のポリシーを確認して、[Create policy] をクリックして別のポリシーを作成できます。 ポリシーの名前と説明を入力します。 次に、タグキーを指定し、大文字と小文字の区別が一致する必要があるかどうかを示し、オプションで許容値のセットを入力します。 この時点で 3 つのオプションがあります。 ポリシーを作成する – ルート、OU、および指定したアカウント内の非準拠リソースについて (レポートを通じて) 通知するポリシーを作成します。 タグキーを追加する – 別のタグキーをポリシーに追加します。 […]

Read More

Amazon CloudWatch ServiceLens を使用して高度に分散化されたアプリケーションを視覚化して監視する

数千のメトリックとテラバイトのログをもつ、ますます分散するアプリケーションは、視覚化と監視が課題になる場合があります。アプリケーションとその依存関係のエンドツーエンドのインサイトを得て、パフォーマンスのボトルネック、運用上の問題、顧客への影響を迅速に特定できるようにするためには、多くの場合、それぞれ情報の特定のファセットを提示する複数の専用ツールを使用する必要があります。これは代わりに、データの取り込みがより複雑になり、さまざまなインサイトを手作業でつなぎ合わせて、全体的なパフォーマンスを判別し、複数のソリューションを維持するコストが増加します。 本日発表された Amazon CloudWatch ServiceLens は、サーバーレスとコンテナベースのテクノロジーの依存するアプリケーションを含む、高度に分散化されたアプリケーションの健全性、パフォーマンス、可用性の視覚化と分析をすべて1か所にまとめた新しい完全マネージ型の可観測性ソリューションです。CloudWatch ServiceLens は、相関メトリック、ログ、およびアプリケーショントレースの分析とともに、問題が発生しているエンドポイントとリソースを簡単に分離できるようにすることで、平均解決時間 (MTTR) の短縮をサービスマップを使用して、このすべてのデータを 1 つの場所に統合するのに役立ちます。このマップから、アプリケーション内の関係と依存関係を理解し、単一のツールからさまざまなログ、メトリック、およびトレースを深く掘り下げて、迅速に障害を特定することができます。さまざまなツールからのメトリック、ログ、およびトレースデータの相関に費やす重要な時間が短縮されるため、エンドユーザーに発生するダウンタイムが削減されます。 Amazon CloudWatch ServiceLensの開始方法 Amazon CloudWatch ServiceLensを利用して、アプリケーションからトリガーされたアラームの根本原因を診断する方法を見てみましょう。サンプルアプリケーションは、AWS Lambda 関数を使用して、トランザクションデータを Amazon DynamoDB テーブルに読み書きします。Amazon API Gateway は、アプリケーションのフロントエンドであり、GET および PUTリクエストのリソースで、対応する GET および PUT ラムダ関数にトラフィックをダイレクトします。API ゲートウェイ リソースと Lambda 関数では AWS X-Ray トレースを有効にしており、Lambda 関数内から DynamoDB への API 呼び出しがAWS X-Ray SDKを使用してラップされます。開発者ガイドで、コードをインスツルメントする方法の詳細と AWS X-Rayの操作方法を確認できます。 エラー状態によりアプリケーションのアラームがトリガーされたため、最初に停止するのは Amazon CloudWatch コンソールで、そこで [Alarm] リンクをクリックします。1 つ以上の […]

Read More

AWS AppConfig を使用したアプリケーション構成設定の安全なデプロイ

数年前、私たちは、従来のコードデプロイよりも迅速に設定を変更でき、コードの変更と同じ運用上の精査を可能にする内部サービスの必要性を特定しました。そのため、このニーズに対応するツールを構築し、AWS、Retail、Kindle、Alexa のほとんどのチームがこの設定デプロイシステムを使用して、数分かかったものを数秒で動的に変更します。コードとは別に設定の変更のみをデプロイできるため、設定を使用するアプリケーションやサービスを再起動する必要がなく、変更がすぐに有効になります。このサービスは、Amazon および AWS 内で 1 日に数千回使用されています。 顧客から寄せられる一般的な質問は、私たちのようにサービスを運営する方法に関するものです。そのため、この内部ツールを利用して、顧客が使用できるように外部化することにしました。本日は、AWS Systems Manager の機能である AWS AppConfig を発表しました。AWS AppConfig を使用すると、Amazon Elastic Compute Cloud (EC2) インスタンス、コンテナ、およびサーバーレスアプリケーションと機能でホストされるあらゆるサイズのアプリケーションで、コードに関係なく、アプリケーション設定の変更を迅速にデプロイすることができます。 API またはコンソールを使用して設定を作成および更新できます。また、定義済みのスキーマテンプレートまたは AWS Lambda 関数を使用して、デプロイする前に変更を検証できます。AWS AppConfig には、設定変更のデプロイをモニタリングし、問題が発生した場合に以前の設定にロールバックするための自動化された安全コントロールも含まれています。設定の更新のデプロイは、実行中のアプリケーションですぐに利用できます。このアプリケーションは、シンプルな API を使用して、利用可能な最新の設定を定期的にポーリングおよび取得します。 AWS AppConfig を使用したアプリケーション構成設定の管理 AWS AppConfig を使用すると、アプリケーションの構成設定を作成および管理するプロセスが簡単になります。最初にアプリケーションを作成し、そのアプリケーションに対して 1 つ以上の環境、設定プロファイル、およびデプロイ戦略を定義します。環境は、ベータ環境や本番環境などの論理的なデプロイグループを表します。または、ウェブ、モバイル、バックエンドコンポーネントなどのアプリケーションのサブコンポーネントである場合もあります。環境ごとに Amazon CloudWatch アラームを設定できます。これは AWS AppConfig によってモニタリングされ、デプロイ中にアラームが発生した場合にロールバックをトリガーします。設定プロファイルは、デプロイする設定データのソースと、デプロイ前に設定データが正しいことを確認するオプションの検証を定義します。デプロイ戦略は、デプロイの実行方法を定義します。 開始するには、AWS Systems Manager ダッシュボードに移動し、ナビゲーションパネルから AppConfig を選択します。設定データを作成をクリックすると、アプリケーションの名前とオプションの説明を指定するページに移動し、必要に応じてアプリケーションにタグを適用することもできます。 アプリケーションを作成すると、環境タブと設定プロファイルタブのあるページに移動します。アプリケーションの本番環境をターゲットとする環境を作成するところから始めましょう。環境タブを選択した状態で、環境を作成をクリックします。表示されたページで、環境に名前を付けてから、モニターで Cloudwatch アラームのロールバックを有効にするを選択します。次に、AWS AppConfig がデプロイ中に選択したアラームを監視できるようにする […]

Read More

AWS ロードバランサー更新 – 多くの新しい機能があります!

 AWS Application Load Balancer (ALB) と Network Load Balancer (NLB) は高い利用可能性、拡張可能性を持つシステムの重要な一部となっています。今日、ALB および NLB の新機能の有用なリストを皆さんとシェアできることをうれしく思います。すべて、カスタマーの要望が原動力となっています。 内容は以下の通りです。 ALB の加重ターゲットグループ 最小未処理 ALB リクエスト NLB のサブネット拡張 内部 NLB に対するプライベート IP アドレス選択 NLB に対する共有 VPC サポート これらの機能はすべて利用可能であり、今すぐ使用することができます。 さてよく見てみましょう… ALBの加重ターゲットグループ 現在、ALB ターゲットグループに対してトラフィックウェイトを使用できます。これは、青/緑デプロイ、カナリア色デプロイ およびハイブリッドマイグレーション/バーストシナリオにとって極めて有用です。ALB ルーティング規則における前方動作で複数のターゲットグループを登録し、お互いにウェイト (0-999) を関連付けることができます。簡単なラストチャンスルールがここにあります。これによりトラフィックの99%を tg1 に、残りの 1%を tg2 に送ることができます。 一貫したカスタマーエクスペリエンスを特定の期間維持するために、この機能をグループレベルのターゲット粘性とともに使用することができます。 より詳しいことは、ロードバランサーのリスナー をご覧ください。 最小未処理 ALB リクエスト 現在、未処理リクエスト数が最小のターゲットに基づいてターゲット全体にわたるリクエストをバランスさせることができます。これは、様々なリクエストサイズの作業負荷、コンテナや頻繁に変わるその他のターゲット、様々なレベルの処理能力を持つターゲット(シングルオートスケーリンググループでインスタンスグループの混在を伴うターゲットを含む)の場合特に有用です。既存のターゲットグループの属性を編集することにより、新しいロードバランスオプションを有効化できます。 このオプションを有効化すると、スロースタートを無効化できます。詳しくは ALB […]

Read More

AWS IoT Dayへようこそ – 8 つの高性能な新機能

先日の AWS Storage Day のとおり、AWS IoT に関するいくつかの発表を pre-re:Invent で行っています。本日お伝えすることは以下の通りです。 セキュアトンネリング – デバイス間のセキュアトンネルを設定し、使うことができます。もし仮にネットワークを抑制するファイアウォールで阻まれていても使用できます。 設定可能なエンドポイント – 一つのアカウント内で、複数の AWS IoT エンドポイントを作成でき、それぞれに異なる特徴を設定できます。 設定可能なエンドポイント向けのカスタムドメイン – ユーザーの自身のドメインとサーバー認証を登録して、それらを使用して AWS IoT Core エンドポイントを作成できます。 拡張されたカスタムオーソライザー – コールバックを使用して、自身の MQTT 接続の認証と承認コードを呼び出すことができるようになりました。 フリートプロビジョニング – クラウドに多数の IoT デバイスを搭載でき、AWS IoT Core への 1 回目の接続時に、それぞれに固有のデジタルアイデンティティと任意の必要な設定を提供します。 Alexa Voice Service (AVS) Integration – Alexa が組み込まれたデバイスを製造する費用を最大 50% 減らすことができ、ローカルパワーやストレージが非常に限られているデバイスを Alexa で利用することができます。 AWS IoT Greengrass のコンテナサポート […]

Read More