Amazon Web Services ブログ

Amazon Connect S3バケットへのアクセスを制限する

このブログでは、Amazon S3へのカスタマーアクセスポリシーを作成する方法について説明します。 これらのバケットはデフォルトでは公開されていません。このブログではさらに踏み込んで、Amazon Connectのレポートと通話録音が保存されているバケットをAmazon Connectにロックします。 Amazon Connectアカウントに割り当てられた適切な権限を使用することで、スケジュールされたレポートと保存されたレポートを表示したり、Amazon Connectインターフェイスから通話録音を再生したりできます。 セキュリティとデータのプライバシーは多くの顧客にとって最優先事項であるため、組織やプライバシーの要件を遵守することが重要です。 そのためには、IAMポリシーを使用して、Amazon S3に格納されているAmazon Connectアーティファクトのセキュリティをさらに強化することができます。 これは、顧客情報を危険にさらす可能性があるデータ漏洩または侵害を回避するのに役立ちます。 これにより、顧客のプライバシーを維持するためのセキュリティが強化され、ローカルの規制を遵守するのに役立ちます。 警告 セキュリティ設定を変更するときは注意してください。 これらの変更は恒久的なものであり、あなた自身のアクセスを制限してしまうかもしれません。まずはテストバケットで試すことをお勧めします。 もし間違えると、管理しようとしているリソースへのすべてのアクセスが失われるかもしれません。 これは、Amazon Connectインスタンスの動作に悪影響を及ぼす可能性があります。本番環境で行う前に、テストS3バケットでアクセス制限を試してみることを検討してください。 この記事で説明する次の手順は、S3バケットへのアクセスを制限するために必要です。 インスタンスに使用されているS3バケットを特定する Connectに使用されているIAMロールを特定する コマンドラインを使ってロールIDを特定する S3バケットポリシーを作成する S3バケットへのアクセスを確認する それでは始めましょう。 S3バケットを特定する Amazon Connectインスタンスに関連付けられているバケットを特定します。 インスタンスの作成時に既存のS3バケットを使用しなかった場合は、新しいバケットが作成されています。 次の例に示すように、Amazon Connectダッシュボードで、Amazon Connectに使用されているバケットを見つけることができます。 私のインスタンスの例で使用されているバケット名は、connect-25fd0a3be3ef です。 IAMロールを特定する Amazon Connectサービスに使用されているIAMロールを特定します。Amazon Connectインスタンスでの権限は、IAMロールにより許可されています。 注:Amazon ConnectはService-linkedロールを導入しました 。 この記事の手順は、2018年10月17日にService-linkedロールが導入される前に作成されたAmazon Connectインスタンスに適用されます。 近日中に、この記事をService-linkedロールに関する情報で更新する予定です。 Amazon ConnectサービスのIAMロールを見つけるには IAMコンソールを開きます。 Amazon Connectインスタンスを作成したときに作成されたロールを見つけます。 複数のインスタンスを作成した場合は、作成時間を確認することで、どのロールが各インスタンスに関連付けられているかを判断できます。 作成時間の列が表示されていない場合は、ページの右上隅にある歯車のアイコンから追加できます。 どのロールがどのインスタンスに対応しているか判断できない場合は、ロールがアクセス権を持つS3バケットが、そのインスタンスで使用されるバケットと一致するかを確認します。 正しいロールを使用していることを確認する […]

Read More

新登場 – Open Distro for Elasticsearch

Elasticsearch は、分散型ドキュメント指向の検索および分析エンジンです。これは構造化クエリと非構造化クエリをサポートし、事前にスキーマを定義しておく必要がありません。Elasticsearch は検索エンジンとして使用でき、ウェブスケールのログ分析、リアルタイムのアプリケーションモニタリング、およびクリックストリーム分析のために使用されることがよくあります。 元々は真のオープンソースプロジェクトとして開始されましたが、Elasticserach への最近の追加機能はプロプライエタリとなっています。私の同僚である Adrian が、彼の Keeping Open Source Open という記事で、私たちが Open Distro for Elasticsearch を始めた動機について説明しています。オープンソースソフトウェアに強い信念を持つ支持者として、私たちはこのプロジェクトがオープンソースの Elasticsearch イノベーションを促進し続けるために役立つと確信しています。 Open Distro for Elasticsearch 本日、私たちは Open Distro for Elasticsearch をローンチします。これは完全なオープンソース (Apache 2.0 ライセンス) で、AWS にサポートされる、Elasticsearch の付加価値ディストリビューションです。Open Distro for Elasticsearch は、Elasticsearch と Kibana 向けのオープンソースコードを活用します。これはフォークではありません。これらのプロジェクトを発展させるために、私たちは今後も引き続きコントリビューションとパッチをアップストリームに送り続けます。 Elasticsearch と Kibana に加えて、最初のリリースには高度なセキュリティ、イベントモニタリングとアラート、パフォーマンス分析、および SQL クエリの各機能一式が含まれます (詳細については少し後で説明します)。ソースコードリポジトリの他にも、Open Distro for Elasticsearch と Kibana は、SQL […]

Read More

Amazon DynamoDB コンソールについて知りたかったが、質問できなかったすべてのことについての詳しいウォークスルー

2012 年にリリースされて以来、Amazon DynamoDB は、あらゆる規模で高速かつ予測可能なパフォーマンスを提供できるように設計された、完全マネージド型でマルチリージョン、マルチマスター対応のデータベースサービスとなりました。DynamoDB は、ウェブベースのコンソール、AWS コマンドラインインターフェイス (CLI)、多数のプログラミング言語用の SDK のセットという、操作を実行するための 3 つのオプションを提供する NoSQL データベースです。 このブログ記事では、DynamoDB のコアコンポーネント (テーブル、項目、属性)、グローバルテーブル、読み取り/書き込みキャパシティーモード、リザーブドキャパシティーの購入、バックアップメカニズムについて理解を深めるために、DynamoDB コンソールについて詳しく説明します。 DynamoDB コンソールについての詳細なウォークスルー DynamoDB コンソールを開始するには、以下の手順を実行します。 DynamoDB ホームページへ移動し、[Get started with Amazon DynamoDB] を選択します。(まだ AWS アカウントを設定していない場合は、[Create an AWS Account] を選択すると、アカウントを設定するプロセスが案内されます。) AWS マネジメントコンソールにサインインして、DynamoDB コンソールを開きます。 DynamoDB コンソールを初めて使用する場合は、[ようこそ] ページが表示され、DynamoDB に関する情報とその使用方法が表示されます。[ようこそ] ページには、一般的な操作を実行するための次の 3 つのオプションがあります。 テーブルの作成 項目の追加および照会 テーブルの監視および管理 DynamoDB コンソールに初めてアクセスした後は、常にコンソールの [ダッシュボード] ページから始めます。ダッシュボードには、Amazon CloudWatch アラームによってトリガーされた最近のアラート、プロビジョニングされたテーブルの合計キャパシティー、サービスヘルス、DynamoDB に関するその他の情報の詳細が表示されます。 上のスクリーンショットで番号付けされているように、ダッシュボードのセクションは以下のとおりです。 […]

Read More

Amazon S3 で AWS KMS 暗号化データのクロスアカウント Amazon Redshift COPY および Redshift Spectrum クエリを有効にする方法

この記事では、Amazon S3 のサンプルデータセットを使用してクロスアカウントの Amazon Redshift COPY および Spectrum クエリを設定する方法を段階的に説明します。サンプルデータセットは、AWS KMS で管理されたキー (SSE-KMS) を使用して保管時に暗号化されます。 AWS Key Management Service (AWS KMS) について AWS Key Management Service (AWS KMS) を使用すると、保管中のデータを保護するために使用される暗号化キーを集中管理することができます。データの暗号化に使用する暗号化キーの作成、インポート、ローテーション、無効化、削除、使用ポリシーの定義、および使用の監査ができます。AWS KMS は FIPS 140-2 検証済み暗号化モジュールを使用して、マスターキーの機密性と整合性を保護します。 AWS KMS は、ほとんどの AWS のサービスとシームレスに統合されています。この統合により、簡単にカスタマーマスターキー (CMK) を使用して、これらのサービスに保存されているデータの暗号化を制御することができます。Amazon Redshift などのサービスでデータを暗号化すると決めると、Amazon Redshift が KMS で自動的に作成する AWS 管理の CMK を使用することを選択できます。キーの使用状況を追跡することはできますが、それはお客様ではなくサービスによって管理されています。場合によっては、CMK のライフサイクルを直接管理する必要がある場合や、他のアカウントに CMK の使用を許可したい場合があります。このような場合は、Amazon Redshift などの AWS […]

Read More

Amazon Lex を組み合わせた Amazon Connect でダイヤルボタンの数字選択と発話入力を使う

あなたは公共の場所に座っていて、電話でカスタマーサポートに問い合わせる必要があるとします。あなたは移動中で、予約の確認か変更をしたい、もしくは口座の残高照会をする必要があるかもしれません。そしてあなたはアカウントのパスワードをリセットする必要があります。なぜならあなたはいつも電話ではなくタブレットから自身のアカウントにアクセスしているためです。私たちはみなそうしてきました。 そこで、あなたはカスタマーサポートに電話をかけます。しかし、あなたが公共の場所にいて機密の個人情報を入力したいとき、それを声に出すことは安全ではないかもしれません。あなたのまわりの誰もがあなたが話すことを聞こえるからです。もし、あなたがまわりの騒音の中で話そうとするときは特にそうです。 さて、あなたが喜ぶために、カスタマーサポートがあなたの個人情報をダイヤルボタンを使って数字入力できるようにすることを想像してみてください。あなたは何も言う必要はありません。 Amazon Lex のチャットボットを組み合わせた Amazon Connect は、問い合わせフローを使用した場合に顧客がキーパッドを押した数字を入力としてキャプチャーできます。Amazon Lex はキーパッドで押された数字をプッシュ信号 (DTMF) として解釈します。Lex はあなたが発話を話すときと同じ方法で、その入力に基づいてインテントと一致させます。これにより、顧客がコンタクトセンターと対話する柔軟性が向上します。これはまた、風邪のためか前の歯医者の予約によるためのどちらでも、話すことが難しい誰にとってもより容易になります。 お客様は、キーパッドに個人情報やアカウント番号などの機密情報を入力する方法を選択できるようになり、Amazon Lex の背後にある自然言語理解エンジンを使用して Amazon Connect を通じて Amazon Lex ボットと会話できるようになりました。 このブログポストでは、Amazon Connect の問い合わせフローの中で使うための Amazon Lex のボットを作成する方法を説明します。あなたも、リアルタイムで私のバージョンを試すことができます。 概要 このソリューションは以下のタスクを含みます。 Amazon Lex のボットを作成する ― 名前を指定し、ボットのその他設定を選択する ボットを構成する―ボットがどのように動くかを定義するために設定を更新する。これは以下のステップを含みます。 インテントを作成する ― インテントとは、口座残高の取得など、お客様が実行したいアクションです。ボットは1つ以上のインテントを持つことができます。 スロットを追加する ― スロットは、顧客が意図を満たすために提供しなければならないデータを定義します。 インテントを構成する ― 入力に基づいて、顧客の意図に一致する発話とスロットのコレクションを選択し、次に何が起こるかを決定します。 ボットのエラーハンドリングを構成する ― 呼び出し元の発話が理解できない場合など、ボットがエラーを処理する方法を設定します。 ボットをビルド、テストする ― ボットが意図したとおりに動くか確認します。 ボットを公開し、エイリアスを作成する ― ボットを公開し、対話を可能にします。 […]

Read More

AWS Partner Network (APN) Award 2018 受賞パートナーの発表

みなさん、こんにちは。AWSパートナーネットワーク(APN) プログラムマネージャーの長浜です。 昨日3月7日、ベルサール汐留にてAWS Partner Summit 2019 Tokyoを開催し、昨年2018年の功績を称える「AWS Partner Network (APN) Award 2018」の授賞式も行われました。APN Awardは、一年間を通して各分野で卓越した成果と実績を挙げられたパートナー企業に授与される賞です。今年は4つの賞に計4社が選定されています。各賞の審査基準、受賞パートナー、選定理由については以下の通りです。

Read More

AWS Serverless Application Repository のコンポーネントを使用したサーバーレスアプリの構築

AWS サーバーレスヒーローである Aleksandar Simovic 氏によるゲスト投稿。Aleksandar は、Science Exchange のシニアソフトウェアエンジニアであり、Manning Publications から出版されている Slobodan Stojanovic 氏との「Serverless Applications with Node.js」の共著者です。また、彼はサーバーレスのビジネス面と技術面の両方についてもメディアに寄稿しています。 皆さんの多くは、ユーザーログインまたは認証サービスを一から構築したご経験をお持ちではないでしょうか。そして、おそらく、支払いを処理するサービスや、PDF をエクスポートする別のサービスも何度も構築してきたことでしょう。私たちは皆それを経験しており、多くの場合、何度も行ってきました。AWS Serverless Application Repository を使用すると、より多くの時間とエネルギーをビジネスロジックの開発に費やし、顧客にとって重要な機能をより迅速に提供することができるようになります。 AWS Serverless Application Repository とは? AWS Serverless Application Repository を使用すると、開発者はチームや組織の間で共通のサーバーレスコンポーネントをデプロイ、公開、共有できます。パブリックライブラリには、カスタマイズ可能なパラメータと事前に定義されたライセンスで即座に検索とデプロイが可能な、コミュニティで構築されたオープンソースのサーバーレスコンポーネントが含まれています。これらは、AWS リソースのテンプレート化に使用されるコードとしてのインフラストラクチャである AWS サーバーレスアプリケーションモデル (AWS SAM)、YAML 言語を使用して構築および公開されています。 本稼働環境で AWS Serverless Application Repository を使用する方法 顧客が製品を選択して代金を払えるようにするアプリケーションを構築したいと考えています。相当な労力のようですね。 AWS Serverless Application Repository を使用すると、実際にはそれほど時間がかかりませんでした。 大まかに言って、以下を作りました。 自動的に Stripe Checkout SDK […]

Read More

PostgreSQL ユーザーとロールの管理

PostgreSQL は最も人気のあるオープンソースのリレーショナルデータベースシステムの 1 つです。30 年以上の開発作業を経て、PostgreSQL は、多数の複雑なデータワークロードを処理できる、信頼性が高く堅牢なデータベースであることが証明されています。Oracle などの商用データベースから移行する場合、PostgreSQL はオープンソースデータベースの主要な選択肢と見なされています。アマゾン ウェブ サービス(AWS)は、管理された 2 つの PostgreSQL オプションを提供します:PostgreSQL および Amazon Aurora PostgreSQL 用の Amazon Relational Database Service(Amazon RDS)。この記事では、PostgreSQL でユーザーとロールを管理するためのベストプラクティスについて説明しています。 PostgreSQL を使用すると、きめ細かいアクセス権限を持つユーザーとロールを作成できます。新しいユーザーまたはロールには、各データベースオブジェクトに必要な権限を選択的に付与する必要があります。これはエンドユーザーに多くの力を与えますが、それと同時に、正しい許可を持つユーザーとロールを作成するプロセスを潜在的に複雑にしています。 PostgreSQL では、データベースユーザーに直接権限を付与することができます。ただし、グッドプラクティスとして、アプリケーションとアクセスの要件に基づいて、特定の権限のセットを持つ複数のロールを作成することをおすすめします。次に、各ユーザーに適切な役割を割り当てます。ロールは、データベースオブジェクトにアクセスするための最小権限モデルを強制するために使用するべきです。Amazon RDS および Aurora PostgreSQL インスタンスの作成中に作られたマスターユーザーは、他のユーザー、ロール、およびデータベースの作成などのデータベース管理タスクにのみ使用する必要があります。マスターユーザーはアプリケーションによって使用されるべきではありません。 PostgreSQL できめ細かいアクセスコントロールを設定するための推奨アプローチは次のとおりです: マスターユーザーを使用して、readonly や readwrite などのアプリケーションまたはユースケースごとにロールを作成します。 これらのロールがさまざまなデータベースオブジェクトにアクセスできるように権限を追加します。例えば、readonly ロールは SELECT クエリのみを実行できます。 機能にとって最低限必要な権限をロールに付与します。 app_user や reporting_user のように、アプリケーションごとまたは個別の機能ごとに新しいユーザーを作成します。 適切なロールをこれらのユーザーに割り当てて、ロールと同じ権限をすばやく付与します。例えば、readwrite ロールを app_user に付与し、readonly ロールを reporting_user に付与します。 […]

Read More

Amazon Elastic Inference を使ったモデルサービング

 Amazon Elastic Inference (EI) は、Amazon EC2 および Amazon SageMaker インスタンスに低コストの GPU アクセラレーションをアタッチできるようにするサービスです。EI は深層学習推論の実行コストを最大 75% 削減します。Model Server for Apache MXNet (MMS) は、大規模な推論のための MXNet および ONNX ベースのモデルのデプロイメントを可能にします。このブログ記事では、Elastic Inference Accelerator (EIA) がアタッチされた汎用 EC2 インスタンスで実行される MMS の使用について掘り下げていきます。 Model Server for Apache MXNet (MMS) とは? MMS はオープンソースのモデルサービングフレームワークで、大規模な推論のための深層学習モデルをサーブするタスクをシンプル化するように設計されています。MMS は、Apache MXNet を使用して深層学習モデルを訓練した後、本番環境で大規模な推論のために訓練済みモデルをデプロイすることを容易にします。以下のアーキテクチャ図は、標準的な MMS のスケーラブルアーキテクチャを示しています。 Amazon Elastic Inference とは? 深層学習アプリケーションでは、推論がアプリケーションのコンピューティングコストの約 90 パーセントを占めています。推論は GPU […]

Read More

AWS Samurai 2018 の発表

AWS Samurai 2018 の発表 先日、AWSユーザーグループのJAWS-UG(Japan AWS User Group)による1大イベント「JAWS DAYS 2019」が東京 五反田で開催されました。過去最高の1,900名を超える参加者数を記録、最大規模の質と量を誇るセッション数を提供、その懇親会の場で恒例の AWS Saumrai 2018 受賞者4名が発表されました。

Read More