Amazon Web Services ブログ

Category: Storage

Amazon EFS の新機能 – IAM 認証とアクセスポイント

アプリケーションを構築または移行する際に、多くの場合、複数の計算ノード間でデータを共有する必要があります。 多くのアプリケーションはファイル API を使用し、Amazon Elastic File System (EFS) では AWS でそれらのアプリケーションを簡単に使用できます。他の AWS サービスおよびオンプレミスリソースからアクセスできる、スケーラブルでフルマネージド型の Network File System (NFS) を提供します。 EFS は、中断することなく、オンデマンドでゼロからペタバイトまで拡張します。また、ファイルを追加および削除すると自動的に拡大および縮小を行い、容量をプロビジョニングして管理する必要性を取り除きます。これを使用することにより、3 つのアベイラビリティーゾーン間で強力なファイルシステムの一貫性が得られます。EFS パフォーマンスは、必要なスループットをプロビジョニングするオプションを使用して、保存されているデータの量に応じて拡大します。 昨年、EFS チームは、EFS Infrequent Access (IA) ストレージクラスを導入することでコストの最適化に注力し、ストレージ料金が EFS 標準と比較して最大 92% 低くなりました。一定期間アクセスされていないファイルを EFS IA に移動するようにライフサイクル管理ポリシーを設定することにより、コストをすぐに削減できます。 現在、アクセスの管理、データセットの共有、EFS ファイルシステムの保護を簡素化する 2 つの新機能を導入しています。 NFS クライアントの IAM 認証と承認により、クライアントを識別し、IAM ポリシーを使用してクライアント固有の権限を管理します。 EFS アクセスポイントは、オペレーティングシステムのユーザーとグループの使用を強制し、オプションでファイルシステム内のディレクトリへのアクセスを制限します。 IAM 認証および承認の使用 EFS コンソールで、EFS ファイルシステムを作成または更新するときに、ファイルシステムポリシーを設定できるようになりました。これは、Amazon Simple Storage Service (S3) のバケットポリシーに類似した […]

Read More

新年の抱負: AWS ストレージブログで AWS ストレージについて説明する

新年を迎えて、AWS ストレージチームは、AWS ストレージブログで 2019 年の最も人気のある投稿をいくつかお見せしたいと考えました。最初の投稿が 2019 年 3 月 25 日にブログに公開されて以来、AWS のクラウドストレージについて、AWS コミュニティおよびクラウドコミュニティ全体の教育のために、私たちはあらゆる努力をしてきました。そうすることで、75 件以上の投稿とカウントを公開し、優れた顧客導入事例、告知、ベストプラクティスなどを含むコンテンツを提供しています。 この投稿では、AWS ストレージブログで 2019 年の最も人気のある投稿をお見せします。AWS ストレージコミュニティの残りメンバーが貴重だと判断した投稿をいくつかご覧いただけます。 2019 年の最も人気のある投稿 私たちは、有用で顧客重視のコンテンツを公開するよう努めており、読者からのご意見やコメントを常にお待ちしています。さて、2019 年の最も人気のある投稿は次のとおりです。 1. AWS Secrets Manager を使用して AWS Transfer for SFTP のパスワード認証を有効にする カスタム ID データプロバイダー (IdP) – AWS Secrets Managerと統合することにより、AWS Transfer for SFTP でパスワード認証を使用し、Amazon S3 にアクセスするための動的ロール割り当てを使用する方法について学びます。 2. AWS Storage Day 2019 2019 年 11 月 20 […]

Read More

Amazon FSx for Lustre と Amazon S3 の間でデータを移動するための新しい機能強化

 Amazon FSx for Lustre のご紹介 Amazon FSx for Lustre は、機械学習、高性能コンピューティング、ビデオ処理、財務モデリング、電子設計自動化、分析などのワークロード向けに最適化された高性能ファイルシステムです。Amazon FSx は Amazon S3 とネイティブに連携し、パフォーマンスの高いファイルシステムでクラウドデータセットを簡単に処理することができます。S3 バケットにリンクされると、FSx for Lustre ファイルシステムは透過的に S3 オブジェクトをファイルとして提示し、結果を S3 に書き戻すことができます。 多くの場合、顧客は、ファイルシステム上の機密データへのアクセスを制御し、シンボリックリンクなどの特殊ファイルを処理し、Amazon S3 などの長期リポジトリにデータをバックアップおよび復元する際にこれらの制御と特殊ファイルを維持する機能を必要とします。Amazon FSx は、新規または変更されたファイルを Amazon FSx から S3 にエクスポートする hsm_archive などのファイルシステムコマンドを提供します。ただし、これらのコマンドはファイル権限をコピーせず、転送を監視またはキャンセルする機能は提供しません。 このブログでは、データリポジトリタスクのアプリケーションプログラミングインターフェイス (API) をご紹介します。これは、Amazon FSx から S3 にファイルを簡単にエクスポートできる新しい AWS API です。新しい API を使用して、新規または変更されたファイルの S3 への書き込みを開始、監視、およびキャンセルできます。AWS ネイティブ API であるため、Lambda ベースのサーバーレスアプリケーションなどのクラウドネイティブワークフローからのデータエクスポートタスクを簡単に調整するために使用できます。 この […]

Read More

クラウドにおける安全なデータの廃棄

クラウドにおける統制をお客様が考慮する場合、基本的な考え方は大きく異なるものではありません。ただし、クラウドならではの統制を考慮すべきケースがあることも事実です。その際には、従来のオンプレミスのやり方を無理にクラウドに当てはめようとしてもうまくは行きません。大事なことはその統制が何を目的としていたのかに立ち返り、その上で、New normal(新しい常識)にあった考え方や実装をすすめる必要性を理解し、実践することです。この投稿では、メディアやデータの廃棄を例として、セキュリティのNew normalを考えていきます。 メディア廃棄における環境の変化 データのライフサイクルに応じた情報資産の管理は多くのお客様の関心事項です。 オンプレミスの統制との変更という観点では、メディア廃棄時の統制は従来のオンプレミス環境とクラウド環境では異なります。オンプレミス環境の利用者はハードウェアの消磁や破砕などを実行することでデータの保全を実行してきました。また、メディア廃棄をサードーパーティに委託し、その廃棄証明の提出をもって“確実な廃棄の証跡”として管理しているケースもありました。 AWSの環境ではセキュリティ責任共有モデルに基づき、クラウドのインフラストラクチャの管理はAWSの統制となるため、お客様はその統制が実施されるていることを評価していく必要があります。お客様はAWSが管理するハードウェアデバイスに物理的にアクセスすることはできないため、従来であれば自組織、場合によってはサードパーティに委託していたメディアの廃棄を自組織の統制範囲として行うことはありません。また、仮想環境のストレージは物理的なハードウェアと異なり、特定の利用者が占有しているとは限らないため、廃棄時に利用者に紐付けた管理や通知を行うことは現実的ではありません。 AWSにおけるメディアの廃棄 AWS データセンターは、セキュリティを念頭に置いて設計されており、統制により具体的なセキュリティが実現されています。ユーザーデータの保存に使用されるメディアストレージデバイスは AWS によって「クリティカル」と分類され、そのライフサイクルを通じて非常に重要な要素として適切に取り扱われます。AWS では、デバイスの設置、修理、および破棄 (最終的に不要になった場合) の方法について厳格な基準が設けられています。ストレージデバイスが製品寿命に達した場合、NIST 800-88 に詳細が説明されている方法を使用してメディアを廃棄します。ユーザーデータを保存したメディアは、安全に停止するまで AWS の統制から除外されることはありません。AWSで扱われるメディアはワイプ処理もしくは消磁処理され、AWSのセキュアゾーンを離れる前に物理的に破壊されます。AWS の第三者レポートに文書化されているように、AWS データセンターに対する第三者の検証によって、AWS がセキュリティ認証取得に必要となるルールを確立するためのセキュリティ対策を適切に実装していることが保証されます。お客様はこうした第三者のレポートをAWS Artifactから入手することが可能です。 AWSにおけるサードパーティの管理 AWSにおいては、本投稿執筆時点(2019年12月19日)においてお客様のコンテンツにアクセス可能なサードパーティーのプロバイダはありません。こうした事実は第三者の検証において評価を得るとともに、AWSのサードパーティアクセスページにおいて公表しており、また、変更がある場合にお客様は通知を受けることも可能です。 目的に立ち返る:なんのために”メディア廃棄”を行うか そもそもメディア廃棄の統制を行う目的は何でしょうか。脅威を踏まえて考えれば、組織の所有する(およびしていた)データが許可なく第三者に漏洩することを防ぐことにあります。メディア廃棄の証明をとることは、メディアの廃棄後も、データが第三者により許可なくアクセスされないことを評価するための手段にほかなりません。お客様にとって重要なことはデータがライフサイクルを通じて確実に保護されることです。メディアの廃棄の証明はその手段のうちの一つ(適切に処理されたことの保証手段)にすぎません。お客様の統制を離れたデータが保護されることを確実にすることに焦点をあてることで、環境がクラウドに変わったとしてもお客様の求める管理目的を達成することが出来るのです。 暗号化を活用したデータの保護と廃棄記録 AWSはお客様に重要なデータやトラフィックの暗号化による保護を推奨しており、そのための機能を提供しています。利用終了後もデータを保護する有効な手段として、暗号化による予防的な統制、そして処理の実行を確実に記録することは強く推奨されます。 暗号化がなぜ有効なのでしょうか。暗号化されたデータはそれを復号するための鍵がなければデータとして復元することが出来ません。暗号化に利用する鍵と暗号化されたデータへのアクセスを分離することで権限のない第三者によるデータへのアクセスを予防することが出来ます。このように暗号化を行い、その鍵を消去することはCryptographic Erase(CE:暗号化消去)としてNIST SP800-88においても紹介されています。 AWSのストレージサービスでは利用開始時にデフォルトで暗号化を行う機能を提供(Amazon EBS, Amazon S3)しています。また、Amazon Key Management Services (KMS)によりお客様の鍵によりデータを暗号化することが可能です。これによりお客様が定義したポリシーで鍵へのアクセスを統制しながら利用状況の証跡を取得することが可能となります。また、AWS Configにより意図しない設定の変更や設定ミスの検知および修正を自動化するといった発見的および是正的な統制を組み込むことも容易です。こうした統制を実施することでAWS上のお客様のデータに対して、ライフサイクルに応じた保護を行うことがより容易になりました。 お客様によるデータ廃棄の統制例 統制の一例として、ストレージ領域をデフォルトで暗号化を行う設定とすることで第三者によるアクセスへの保護を実現します。そしてEBSやS3 Bucketを削除する際には、あわせて当該領域の暗号化に用いた鍵をAWS Lambdaを使用してKMSより削除します。これにより従来行っていた当該データの復号が困難になるとともに廃棄証明の代わりとして、暗号化による保護を実施した記録をお客様自身で自動的に取得、管理することができるようになります。鍵へのアクセスが無くなることで、当然AWSによっても、またお客様も廃棄されたデータへのアクセスはできなくなります。   情報セキュリティを管理するためには目的にあわせた管理策を実施する必要があります。しかし一方で、手段自体が目的化してしまい、それを無理に新しい環境であるクラウドにあてはめてしまうアンチパータンが発生することがあります。本投稿ではメディアの廃棄を一つの例示としてとりあげましたが、セキュリティの管理策を実施するうえでの目的に立ち返り、クラウド上で行う上での妥当性、効果や効率性、そして何よりもクラウドの特性を生かしたさらなるセキュリティの向上を実現することでNew Normalに前向きに取り組むことができます。   このブログの著者 松本 照吾(Matsumoto, Shogo) セキュリティ アシュアランス本部 本部長 […]

Read More

S3 の Access Analyzer を使用して、Amazon S3 バケットを監視、確認、保護する

AWS のセキュリティは単なる機能ではありません。考え方です。本日、私たちは S3 の Access Analyzer を発表しました。これは、ユーザーの代わりにリソースポリシーを監視する新機能です。デフォルトでは、S3 で作成されたすべてのバケットとオブジェクトはプライベートに設定されています。AWS では、アクセスコントロールリスト (ACL) やバケットポリシーなどのメカニズムを使用して、詳細なアクセスレベルを設定できます。S3 の Access Analyzer はアクセスポリシーを監視する新しい機能です。これにより、ポリシーは S3 リソースへの意図したアクセスのみを提供するようになります。S3 の Access Analyzer がバケットアクセスポリシーを評価することで、ユーザーは不正アクセスの可能性があるバケットを見つけ、迅速に修正できるようになります。 組織やワークロードが大きくなると、S3 の Access Analyzer はすべてのポリシーを評価し、AWS アカウントの外部で共有され、不正アクセスの危険にさらされているパケットについて警告します。この投稿では、Amazon S3 の Access Analyzer を有効にする方法を順を追って説明します。また、この新機能を使用することによって、S3 バケットへのアクセスが意図したものであり、それだけに過ぎないことを確認できるユースケースについて考察します。 バケットへのアクセスが共有アクセスである可能性を示す結果が確認された場合、S3 マネジメントコンソールでワンクリックするだけでバケットへのすべてのパブリックアクセスをブロックでき、必要に応じてより詳細なアクセス許可を設定することもできます。静的なウェブサイトホスティングなど、パブリックアクセスを必要とする特定の検証済みのユースケースについては、バケットの解析結果を承認およびアーカイブして、バケットをパブリックまたは共有のままにするつもりであることを記録できます。これらのバケット設定は、いつでも確認および変更できます。監査の目的で、S3 の Access Analyzer の解析結果を CSV レポートとしてダウンロードできます。 S3 マネジメントコンソールを開始する前に、IAM コンソールにアクセスして、AWS Identity and Access Management (IAM) Access Analyzer を有効にします。こうすることで自動的に、S3 の Access Analyzer が S3 マネジメントコンソールの中に表示されるようになります。S3 の Access Analyzer は、re:Invent 2019 にて本日リリースされた IAM Access Analyzer に基づいています。 S3 […]

Read More

7 日間 Amazon EFS 低頻度アクセスのユースケース

最近、Amazon EFS では 7 日間ファイルへのアクセスがなかった場合に、そのファイルを EFS 低頻度アクセスストレージクラス (EFS IA) へ移行するライフサイクル管理のための新ポリシーの提供開始を発表しました。ストレージブログを定期的にご覧になっている方は既にご存知かもしれませんが、多数のお客様が数ペタバイトに及ぶ大量のデータを EFS 上で、月額 0.08/GB* というコスト効率の良い価格で保存しています。この保存方法により、本サービスをご利用のお客様は、年間数百万ドルもの処理費用を節約しています。 *米国東部 (バージニア北部) リージョンの料金であり、EFS IA のストレージの 80% を想定しています。他のリージョンでの料金については、Amazon EFS の料金ページをご参照ください。 それでは、提供されているより長い期間の他のポリシーとは対照的に、この新しい 7 日間ポリシーを選択するのが推奨されるのはどのような場合でしょう? 最も明白な答えは、より短期間に、多くのお金を節約するためです。それ以外では、7 日間 EFS IA ポリシー (データベースバックアップと ETL) を使用する一般的なユースケースが 2 つあります。 データベースのバックアップ データベースアプリケーションではファイルシステムストレージとバックアップ/復元プロセスがファイルネイティブであることを想定しているため、EFS がデータベースのバックアップにいかに適しているかについての記事を投稿しました。EFS の提供するビルトインデータ保護と EFS の特徴と言える高可用性/高耐久性により、ユーザーは自分のバックアップが必要なときにいつでも取り出せるという安心を得ることができます。EFS IA では、ユーザーは実質的にコンソール上で 1 つのチェックボックスをオンにするだけで費用を節約できるため、DB バックアップのためのシンプルなコスト最適化策であると言えます。ユーザーはファイルシステムにそのままバックアップを保存することで、復元時間目標 (RTO) を短縮できます。言い換えれば、ストレージプラットフォーム間でファイルを移動するために時間や手間をかける必要がありません。万一のとき、また、バックアップからデータベースを復元する必要が生じたときには、復元コマンドを実行するだけです。EFS と EFS IA を使用することで、すべてのファイルが同じファイルシステムの名前空間に存在し、いつでもアクセスできるようになります。 新しい 7 […]

Read More

Amazon S3 レプリケーションに関連するデータ転送コストをモニタリングする

 この記事では、コンプライアンス、災害復旧、データ主権などのユースケースについて、Amazon S3 レプリケーションのコストと使用の詳細をモニタリングする方法を確認します。 Amazon Simple Storage Service (Amazon S3) では、Cross-Region Replication (CRR) を使用して別の AWS リージョンの異なるバケットに、または Same-Region Replication (SRR) を使用して同じ AWS リージョン内部のバケット全体にデータを自動的かつ非同期に複製できます。SRR と CRR が連携して Amazon S3 レプリケーションを形成し、クロスアカウントレプリケーションなどのエンタープライズクラスのレプリケーション機能を提供し、偶発的な削除や Amazon S3 ストレージクラスへのレプリケーションを防ぎます。 CRR は、地理的に異なる場所にデータのコピーを保持することにより、コンプライアンス要件を満たし、レイテンシーを最小限に抑えるのに役立ちます。SRR は、開発者アカウントとテストアカウント間のライブレプリケーションを設定し、データの主権に関する法律を遵守するのに役立ちます。どちらの設定でも、Amazon S3 はソースバケット内のすべてのオブジェクトを宛先バケットに複製するか、オプションでオブジェクトのサブセットを複製します。CRR または SRR の両方で、プレフィックスとタグを使用して、複製可能なデータを制御できます。 大きなプロジェクトまたは特定のユースケース (コンプライアンス、災害復旧など) の一部として Amazon S3 レプリケーションに固有のコストと使用状況をモニタリングする方法に課題が生じます。 ユーザーは AWS のコストと使用状況レポートを使用して、アカウントおよびその AWS Identity and Access Management (IAM) ユーザーが使用する各サービスカテゴリーの […]

Read More

ネイティブ EBS およびバケットごとの S3 暗号化オプションを使用して、Amazon EMR でデータを保護

 データ暗号化は、データセキュリティを強化するための効果的なソリューションです。データを暗号化し、暗号化キーへのアクセスを管理することにより、許可されたユーザーまたはアプリケーションのみが機密データを読み取るようにすることができます。医療や金融などの規制された業界の顧客が Amazon EMR を選択する主な理由の 1 つは、データを安全に保存およびアクセスするための準拠環境を提供するためです。 この投稿では、機密データを処理する EMR クラスターのセキュリティ保護に役立つ 2 つの新しい暗号化オプションの詳細なチュートリアルを提供します。最初のオプションは、EMR クラスターに接続されたボリュームを暗号化するネイティブ EBS 暗号化です。2 番目のオプションは Amazon S3 暗号化で使用すると、Amazon EMR で個々の S3 バケットにさまざまな暗号化モードとカスタマーマスターキー (CMK) を使用できます。

Read More

使用されていないAmazon EBSボリュームを削除してAWSのコストをコントロールする

業界や業種を問わず、お客様にとってコスト管理は最優先事項の1つです。 EBSボリュームのライフサイクルの可視性が十分でないと、未使用のリソースに対してコストが発生する可能性があります。 AWSはコスト管理のサービスを提供しており、コスト情報へのアクセス、コストの理解、コストの制御、およびコストの最適化を行えるようにしています。 未使用、および管理が行き届いていないAmazon EBSボリュームは、AWS のコストに影響します。 EBSボリュームのライフサイクルは、Amazon EC2 コンピューティングインスタンスから独立して管理可能です。そのため、EBS ボリュームに関連付けられている EC2インスタンスが終了しても、EC2起動時に「終了時に削除」 オプションを選択しない限り、EBS ボリュームは削除されません。 また、開発とテストのサイクルの中でEC2インスタンスの起動停止を繰り返す際、自動的にEBSボリュームを削除する処理がないと、 EBS ボリュームが残る可能性があります。 EC2にアタッチされておらず孤立したEBS ボリュームは、アタッチされていない間も料金が発生します。 この記事では、OpsCenter を活用した自動化プロセスについて説明します。OpsCenter は、AWS Systems Manager の一機能として最近発表されたもので、OpsCenterを使えば、EC2 インスタンスにアタッチされておらず、未使用なEBS ボリュームを識別および管理できるようになります。

Read More

Amazon EC2 インスタンスの起動時にカスタム暗号化キーを使用して、暗号化された Amazon EBS ボリュームの作成が可能に

Amazon Elastic Block Store (EBS) は Amazon EBS ボリュームの暗号化ソリューションを提供するため、ブロックストレージの暗号化キーを管理するための独自のインフラストラクチャを構築、維持、保護する必要はありません。Amazon EBS 暗号化は、暗号化されたの Amazon EBS ボリュームを作成するときにAWS Key Management Service (AWS KMS) のカスタマーマスターキー (CMK) を使用し、AWS KMS の使用に関連する 利点をすべて提供します。Amazon EBS ボリュームを暗号化するには、AWS 管理型 CMK またはカスタマー管理型 CMK のいずれかを指定できます。カスタマー管理型 CMK を使用する場合、AWS KMSでの CMK を毎年ローテーションするなど、暗号化キーをきめ細かく制御できます。CMK の作成の詳細については、のキーの作成を参照してください。 この投稿では、EC2 コンソール、AWS CLI、AWS SDK から EC2 インスタンスを起動するときに、カスタマー管理型 CMK を使用して暗号化された Amazon EBS ボリュームを作成する方法を示します。 EC2 コンソールから暗号化された Amazon EBS ボリュームを作成する […]

Read More