Amazon Web Services ブログ

EC2 インスタンスメタデータサービスの拡張により、オープンなファイアウォール、リバースプロキシ、SSRFの脆弱性に対する防御を強化しました

10 年以上前にリリースして以来、Amazon EC2 インスタンスメタデータサービス ( IMDS ) は、安全でスケーラブルなアプリケーションの構築を支援してきました。IMDS は、一時的な認証情報へのアクセスを提供することで、クラウドユーザーにとって大きなセキュリティ上の課題を解決し、手動またはプログラムによってインスタンスに機密認証情報をハードコードしたり、配布したりする必要をなくしました。EC2 インスタンスにアタッチされた IMDS は、特別な「リンクローカル」の IP アドレス 169.254.169.254 で接続され、インスタンスで実行中のソフトウェアだけがアクセスできます。アプリケーションは IMDS にアクセスして、インスタンス、ネットワーク、およびストレージに関するメタデータを利用できます。また、IMDS は、インスタンスにアタッチされている IAM ロール による AWS 認証情報を使用できるようにします。 クラウドでアプリケーションを実行する場合、アプリケーションのセキュリティはインスタンスのセキュリティと同様に重要です。インスタンスで実行されているアプリケーションに脆弱性や設定ミスがあると、重大な問題が生じる可能性があります。アプリケーションセキュリティは多層防御において重要な役割を果たしますが、AWS はインスタンス内であっても、このような状況による被害の可能性を最小限に抑えるために、防御レイヤーを追加する場所をいつも検討しています。 本日、EC2 インスタンスメタデータサービスの v2( IMDSv2 )が利用可能になりました。既存のインスタンスメタデータサービス( IMDSv1 )は完全にセキュアであり、こちらも引き続きサポートします。しかし、IMDSv2 は、IMDS へのアクセスを試みる可能性がある4種類の脆弱性に対して新しい保護を追加します。この新しい保護は、IAM ロールの制限や、ローカルファイアウォールのルールを使用した IMDS へのアクセス制御など、既存の緩和策とシームレスに連携しますが、これらの緩和策よりも効果的に機能します。また、IMDSv2 をサポートする新しいバージョンの AWS SDK および CLI も利用可能です。 IMDSv2 の新機能 IMDSv2 では、すべてのリクエストがセッション認証によって保護されるようになりました。このセッションは、EC2 インスタンスで実行中のソフトウェアがリクエストするもので、ローカルに保存されている EC2 インスタンスのメタデータと認証情報にアクセスするためのものです。ソフトウェアは、IMDSv2 への単純な HTTP PUT リクエストを使用してセッションを開始します。IMDSv2 […]

Read More

SAPファイル転送ワークロードのためのAWS Transfer for SFTP – 第2回

このシリーズ記事の第1回では、 SAP PI / POシステムとAWS Transfer for SFTP (AWS SFTP)を統合する方法、またAWS SFTPがAmazon S3に保存したデータを後処理分析に使用する方法を紹介しました。今回の記事では、SAP Cloud Platform Integration (SAP CPI)とAWS SFTPを統合し、第1回で紹介したAWS分析ソリューションを後処理分析に使用する方法を示します。

Read More
Weekly AWS

週刊AWS – 2019/12/9週

こんにちは、AWSソリューションアーキテクトの小林です。今年もあと2週間になってしまいました。季節も本格的な冬に入り、肌寒い日が続くようになってきていますね。こういう季節になると、恋しくなるのが温泉です。年末年始はチャンスを見つけて温泉に出かけたいなぁと思いながら、なかなか果たすことができないのがここ数年の傾向で、ついつい寝正月になってしまう私です。たまには一風変わった年末年始の過ごし方をしてみたいなとおもうのですが、なかなか良いアイデアがありません。お勧めの過ごし方があれば是非教えてください。

Read More

AWSを使用したSAPアプリケーションのオートスケーリングの有効化

今日、SAP on AWSを稼働しているお客様は、ネイティブクラウドサービスの最も幅広く深いセットを活用しています。これらは、信頼性の高いグローバルインフラストラクチャに加えて、コンピューティング、ストレージ、データベースなどの従来のサービスだけでなく、IoTや機械学習などの新しいテクノロジーにも及びます。 お客様が利用する主な機能の1つは、インスタンスタイプの変更です。ワークロードが変化すると、お客様はインスタンスが過剰に使用されている (インスタンスタイプが小さすぎる)か、十分に使用されていない (インスタンスタイプが大きすぎる)ことに気付きます。 このスケーラビリティの概念は、垂直スケーリングと呼ばれます。もっと簡単に言うと、リソースを追加するだけで追加のワークロードに対応できるシステムの機能です。

Read More

[AWS Webinar] 新割引オプション”Savings Plans”によるコスト最適化 資料公開

先日 (2019/12/12) 開催しました AWS Webinar「 新割引オプション”Savings Plans”によるコスト最適化 」の資料を公開しました。 Savings Plansは従来のリザーブドインスタンスを、より柔軟に発展させたEC2とFargateのための新割引オプションです。リザーブドインスタンスとの違いや、使い所などは是非ウェビナー(30分です)にて、ご確認くださいませ。 20191212 新割引オプション "Savings Plans" によるコスト最適化のご提案 from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Savings Plans導入やAWS導入に関するお問い合わせは、こちらの窓口までお問い合わせくださいませ。 — 今後の AWS Webinar | イベントスケジュール 直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。 AWS re:Invent サービス・ソリューション別 RE:CAP AWS 最大の年次カンファレンス『AWS re:Invent』。会期中に発表されたサービス・ソリューションのアップデートをカテゴリごとに整理してお届けします。業務で必要となる分野の最新情報キャッチアップに是非お役立てください。 日程: 2020 年 1 月 14(火)・15(水)・16日(木) | 詳細・お申込みはこちら≫ — AWS Black Belt Online Seminar: 今年最後のセッションは残り2つのアジェンダとなります。ぜひご視聴ください。 12月分の詳細・お申込はこちら≫ Amazon Connect […]

Read More

【開催報告】ビルシリーズ@住友不動産六本木グランドタワー 第2回 re:Invent 2019 Recap

こんにちは。AWS ソリューションアーキテクトの上原(@pioho07)です。 AWS re:invent 2019開催から二週間経ち、徐々に興味のあるサービスを触り始めていらっしゃる方も多いのではないでしょうか。ちなみに自分はre:inventの前に発表があったAmazon CloudWatch Syntheticsというサービスが気になっています。外形監視をするマネージドサービスで単純なハートビートやGUI画面操作のチェックなどを行います。また、画面キャプチャを残したり各アセットのレスポンスの確認やアラームを上げるといったことができるので、さっそく自分のテストアプリへの監視を初めてみました。(まだプレビューで東京リージョンには来てない点ご注意ください) 本ブログでは本日、住友不動産六本木グランドタワービルにてFringe81様、BASE様、エブリー様、ディップ様、クルーズ様、アイアド 様、ファーストコンサルティング 様、Gunosy様の8社合同で開催したre:Invent 2019 Recapイベントの様子をレポートしていきたいと思います。 Re:invent 2019 Recapとは? Recapイベントとは、毎年AWS re:Inventの前後に多数の新サービス・サービスアップデートが公開されるため、その内容を改めて振り返り、普段の業務のどういったところに使えるサービスなのかを復習できるイベントです。今後もAWS Loftなどの会場やオンラインでRecapイベントを開催していきますので、ご興味のある方はこちらをご確認の上ぜひご参加下さい。 https://aws.amazon.com/jp/about-aws/events/2019/reinvent-2019-recap/ 今回は住友不動産六本木グランドタワービルにオフィスを構えるFringe81様、BASE様、エブリー様、ディップ様で同じようなニーズがあり、Recapイベント+交流会という形で4社様と本ビル周辺にいらっしゃるお客様4社含めてAWS合同で開催いたしました。タイトルにあるビルシリーズって何?という方はビルシリーズ1発目のこちらのブログも是非御覧ください!(他にも麻布十番ビルでもビルシリーズを開催しました)。六本木にある本ビル最上階(43階)の素晴らしい会場をお貸しいただいたFringe81様ありがとうございました。 セッション 当日は8社で計30人以上のエンジニアの方々にお集まり頂きました。re:Invent 2019に参加されたBase 川口様からの熱い現地レポートLTが続きます。コンテナ周りのセッションに注目いただき、”現地でトリの人@toriclsにDMし「Containers Happy Hour」に参加でき、そこでAmazon ECS担当者と内部実装などを聞くことができてよかった”とおっしゃっていました。また、ExpoやJapanNightなども期待以上でおもしろかったそうです。 re:Inventに参加出来なかった方は、こちらの公式Youtubeにre:Inventのセッション映像が逐次アップロードされていくのでぜひ気になるサービスのDive Deepセッションやグローバル事例を確認してみて下さい。最先端の事例が集結しているので様々な学びが得られるはずです! https://www.youtube.com/channel/UCdoadna9HFHsxXWhafhNvKw/videos ここからre:Invent 2019 recapに入ります。AWS ソリューションアーキテクトの加治・大倉・石見からre:Invent前後のアップデートの中で皆様のお役に立ちそうなものをピックアップしてご紹介しました。 当日の話を一部抜粋しますと、例えばコンテナ化に取り組まれている方々には以下のような嬉しいアップデートがありました。 Kubernatesを運用する上でEC2のレイヤーの管理から解放されたいというニーズから開発された、Amazon EKSのAWS Fargate対応https://aws.amazon.com/jp/blogs/news/amazon-eks-on-aws-fargate-now-generally-available/ Fargateをより安価に使いたい方にはFargate SpotやSaving Planが登場https://aws.amazon.com/jp/blogs/news/aws-fargate-spot-now-generally-available/ https://aws.amazon.com/jp/blogs/news/new-savings-plans-for-aws-compute-services/ AWS ECS Cluster Auto ScalingとECS Cluster Capacity Providerの登場によりECS on EC2がより楽に構築・運用できるようにhttps://aws.amazon.com/jp/blogs/news/aws-ecs-cluster-auto-scaling-is-now-generally-available/ Analytics周りでは一部プレビュー状態ではあるものの、今後の分析基盤を大きく変えうる大きなアップデートがありました。これらはそれぞれ「コンピュートとストレージ」「ホットストレージとウォームストレージ」を分離することで、各々を最適化できるよりクラウドらしい構成を目指しているのがポイントです。 Amazon RedshiftのRA3インスタンスとAQUAの登場によりパフォーマンスが非常に向上https://aws.amazon.com/jp/blogs/news/amazon-redshift-update-next-generation-compute-instances-and-managed-analytics-optimized-storage/ […]

Read More

AWS 環境でセキュリティレスポンスの自動化を始める方法

AWS では、AWS 環境内のセキュリティイベントについて自動化による迅速な検知と対応をすることをお勧めしてます。自動化は、検知と対応の速度を向上させることに加えて、AWS で実行するワークロードを拡大するときにセキュリティ運用もスケーリングするのに役立ちます。これらの理由から、セキュリティの自動化は、Well-Architected フレームワークとクラウド導入フレームワークの両方、およびAWS セキュリティインシデント対応ガイドで概説されている重要な原則です。 このブログでは、AWS 環境内に自動セキュリティレスポンスメカニズムを実装する方法を学習します。このブログには、一般的なパターン、実装に関する考慮事項、およびソリューション例が含まれます。セキュリティレスポンスの自動化は、多くの分野にまたがる広範なトピックです。このブログの目標は、基本的な考え方を紹介し、セキュリティレスポンスの自動化の開始を支援することです。

Read More

Amazon RDS for Oracle の Oracle GoldenGate を使用したリージョン間災害復旧機能の実装

多くの AWS ユーザーは、日々のアクティビティの骨の折れる作業に AWS ポートフォリオで利用できるマネージドサービスを活用しています。Amazon RDS はこれらのサービスの 1 つであり、リレーショナルデータベースのデプロイに最適です。RDS を使って、リレーショナルデータベースの管理と保守の管理費用を大幅に削減できます。 この記事では、あるリージョンから別のリージョンに実行されているデータベースインスタンスの Amazon RDS for Oracle でリージョン間の災害復旧 (DR) をセットアップする方法を示します。ソリューションは、Amazon EC2 インスタンスハブにインストールされた、Oracle GoldenGate を使用することです。そのインスタンスハブは、DDL レプリケーションを実行するために統合キャプチャモードで設定されたものです。 概要 次の要因に応じて、DR を実装する方法は複数あります。 目標復旧時間 (RTO) および目標復旧ポイント (RPO) DR サイトのセットアップと保守のコストと管理タスク 地理的多様性のための DR サイトの場所 Amazon RDS for Oracle は、マルチ AZ 配置オプションを提供し、データベース (DB) インスタンスの可用性と耐久性を強化しています。これは、多くの場合、一部の顧客ユースケースに効果的な DR ソリューションです。DR サイトを 2 つの異なるリージョンに分散する必要がある場合、DR にマルチ AZ を使用することはできません。ただし、前述の要因に応じて、このようなソリューションを実装する方法はいくつかあります。 ソリューションのアーキテクチャ ソリューションは、次のコンポーネントで構成されています。 GoldenGate […]

Read More

Amazon DynamoDB の使用開始

Amazon DynamoDB は、任意の規模で 1 桁のミリ秒のパフォーマンスを実現するために構築されたキーと値およびドキュメントデータベースです。これは、マルチリージョンでマルチマスターのフルマネージドデータベースで、組み込みのセキュリティ、バックアップとリストア、およびインターネット規模のアプリケーション用のメモリ内キャッシュを備えています。 この記事では、開始するために知っておく必要がある基本的な事項を確認します。テーブルを作成し、DynamoDB テーブルを設計するときの主な考慮事項について学習します。次に、いくつかのサンプル項目を挿入し、最後にそれらをクエリします。サンプル項目は実際の例で、AWS のオープンデータのレジストリからの Amazon Customer Reviews Dataset です。このガイドでは、データセットのビジネス要件および技術要件が DynamoDB 設計にどのように通知されるかについて説明します。この記事は読者に前提知識がないことを想定しています。 まず、ユースケースを分析しましょう。この記事のこのデータセットは、1 日数百万人のユーザーにサービスを提供している e コマースウェブサイトの本番レビューを表しています。特定の製品のレビューにすばやくアクセスし、投稿したすべてのレビューをユーザーが見られるようにしたい場合があるでしょう。 これらの条件は両方とも、大規模なデータセットへの高速アクセスを必要とします。DynamoDB は、それに対する完璧なソリューションです。 テーブルの作成 最初のステップは、テーブルを作成することです。 以下のスクリーンショットのプレビューに示すように、AWS マネジメントコンソール のサービスの検索で、DynamoDB を入力して選択します。 以下の画像に示すように、[テーブルの作成] を選択します。 テーブル名 には、product_reviews などの名前を入力します。ここで、重要な決定を行います。DynamoDB は、キーを使用して、複数のインスタンスにデータを整理および配布します。キータイプには、次の 2 つの基本的なタイプがあります。 – パーティションキー – これは、DynamoDB が内部ハッシュ関数に使用して、保存するアイテムの物理的な保存場所を決定する値です。 – ソートキー – これは、一致するパーティションキーを持つアイテムをソートするために使用します。複数の値を連結して、複合ソートキーを作成できます。 ホットキーを回避するために、データが可能な限り均等に分散されるパーティションキーを選択します。パーティションキーの設計とホットキーの回避の詳細については、ドキュメントの「ワークロードを均等に分散するためのパーティションキーの設計」を参照してください。DynamoDB でさらに読み取りを行い、hash と ranges キーを参照する場合、これらはパーティションキーおよびソートキーの以前の用語です。 DynamoDB テーブルには、テーブル内の各アイテムを一意に識別するプライマリキーが必要です。プライマリキー には以下の 2 つのタイプがあります。 – […]

Read More

Amazon SageMaker Ground Truth を使って、セマンティックセグメンテーションのラベル付けを実行する際にオブジェクトを自動セグメント化する

Amazon SageMaker Ground Truth は、機械学習 (ML) 用の高精度なトレーニングデータセットをすばやく構築できるよう支援します。Ground Truth で、サードパーティおよび独自のラベル付けを行う人間の作業者に簡単にアクセスでき、一般的なラベル付けタスク用のビルトインのワークフローとインターフェースも提供できるようになります。さらに、Ground Truth では自動データラベル付けを使用して、ラベル付けのコストが最大 70% 削減します。自動データラベル付けとは、人間がラベルを付けたデータから Ground Truth をトレーニングし、サービスが独自にデータにラベルを付けることを学習するものです。 セマンティックセグメンテーションとは、画像内の個々のピクセルにクラスラベルを割り当てるなどのコンピュータービジョン ML の手法です。たとえば、移動中の車両が撮像した動画フレームで、クラスラベルに車両、歩行者、道路、信号機、建物、背景を含めることが可能です。画像内のさまざまなオブジェクトの位置を高い精度で理解することができるため、自律走行車やロボットの知覚システムの構築によく使用されます。セマンティックセグメンテーション用の ML モデルを構築するには、まずピクセルレベルで大量のデータにラベルを付ける必要があります。しかし、このラベル付けプロセスが複雑で、熟練したラベル付けの作業者とかなりの時間を要します。画像を正確にラベリングするのに最大 2 時間もかかる場合もあります。 Ground Truth ではセマンティックセグメンテーションのラベリングユーザーインターフェイスに自動セグメント機能を追加し、ラベル付けスループットと精度を向上し、かつ作業者の疲労を軽減することを目指しました。自動セグメント化ツールでは、最小限の入力だけで画像内の関心対象の領域に自動的にラベルを付けることができるため、タスクが簡素化します。これで、自動セグメントからの結果出力を受け入れる、元に戻す、または修正することができます。次のスクリーンショットは、ツールバーの自動セグメント化機能部分を強調し、画像内の犬をオブジェクトとしてキャプションしたことを示しています。この犬に割り当てられたラベルは Bubbles です。 この新機能で、セマンティックセグメンテーションタスクの作業が最大 10 倍早くなります。多角形をきっちり描画したり、ブラシツールを使って画像内のオブジェクトをキャプションする必要はなく、オブジェクトの最上部、最下部、左端、右端の 4 つの部分を描画するだけです。Ground Truth はこれら 4 つのポイントを入力すると、Deep Extreme Cut (DEXTR) アルゴリズムを使用して、オブジェクトの周りにぴったりとフィットするマスクを生成します。次のデモは、このツールでより複雑なラベル付けタスクのスループットを高速化する方法をご紹介しています。 まとめ この投稿では、セマンティックセグメンテーションと呼ばれるコンピュータービジョン ML の手法の目的と複雑さについてご紹介しました。自動セグメント化機能を使えば、作業者による最小限の入力で画像の関心領域のセグメンテーションを自動化でき、セマンティックセグメンテーションのラベリングタスクが高速化します。 いつものように、AWS では皆さんのフィードバックをお待ちしています。コメント欄よりご意見やご質問をお送りください。 著者について Krzysztof Chalupka は Amazon ML Solutions Lab […]

Read More