Amazon Web Services ブログ

Amazon DocumentDB 向けのロールベースのアクセス制御 (MongoDB 互換) のご紹介

Amazon DocumentDB (MongoDB 互換) は、MongoDB 3.6 ワークロードをサポートする高速でスケーラブル、かつ可用性に優れた完全マネージドのドキュメントデータベースサービスです。お客様は、基盤となるインフラストラクチャを気にすることなく、現在ご使用のものと同じ MongoDB 向けのアプリケーションコード、ドライバー、ツールを、そのまま Amazon DocumentDB 上で実行や管理をしたり、処理負荷を調整したりするのに使えます。 Amazon DocumentDB にロールベースのアクセス制御 (RBAC) のサポートが追加されました。RBAC では、1 つ以上の事前定義されたロール (たとえば、read、readWrite、または dbOwner) をユーザーに付与できます。これにより、1 つ以上のデータベースで実行を許可されている操作が決まります。RBAC の一般的な使用例は、単一のアプリケーション内で最小権限アクセスを実施することです。もう 1 つの一般的な使用例は、マルチテナントアプリケーションを構築することです。マルチテナントアプリケーションでは、複数の顧客にサービスを提供するソフトウェアとハードウェアをデプロイします。Amazon DocumentDB のコンテキストでは、マルチテナントアプリケーションの例に、各顧客 (またはテナント) がクラスター内のデータベースにアクセスする場合が挙げられます。 この記事では、Amazon DocumentDB の RBAC の概念と機能を紹介し、2 つのユースケースを取り上げ、RBAC を使用してマルチテナントアプリケーションを構築する際の設計上の考慮事項について説明します。新しい RBAC 機能の詳細については、ドキュメントの「ロールベースのアクセス制御 (組み込みロール)」を参照してください。 概念 Amazon DocumentDB は、以下の RBAC の主要な概念を用いています。 ユーザー – 認証して操作を実行できる名前付きエンティティ パスワード – ユーザーを認証する秘密の言葉 ロール – ユーザーが […]

Read More

Amazon EKS ワーカーノードの謎を解くクラスターネットワーク

AWS で Kubernetes を実行するには、AWS のネットワーク設定と Kubernetes のネットワーク要件の両方を理解する必要があります。デフォルトの Amazon Elastic Kubernetes Service (Amazon EKS) の AWS CloudFormation テンプレートを使用して、Amazon Virtual Private Cloud (Amazon VPC) と Amazon EC2 ワーカーノードをデプロイすると、通常の場合、すべて機能します。しかし、設定に小さな問題があると、エラーが発生してイライラさせられることがあります。 このブログでは、Amazon VPC を設定するさまざまな方法を見ながら、Amazon EKS が管理する Kubernetes クラスターの EC2 ワーカーノードを実行します。ノードがクラスターコントロールプレーンに接続できるようにサブネットが適切に設定されていることを確認する方法について、特に注目します。 このブログでは、VPC CNI、サブネットのサイズ設定、ポッドの IP アドレス割り当てなどのポッドネットワーキングの概念については取り上げません。これらのトピックの詳細については、EKS ドキュメントをご覧ください。 注 – VPC とノードの Cloudformation テンプレート、および EK が管理するノードグループがパブリック IP アドレスをノードに割り当てる方法を変更しています。詳しくは ブログをご覧ください。 EKS クラスターのアーキテクチャ EKS クラスターは […]

Read More

EKS マネージドノードグループの IP 割り当てに対する今後の変更

Amazon EKS を使用する場合、すべてのノードは、EKS がホストする Kubernetes クラスターと、Amazon Elastic Container Registry (ECR) や Amazon S3 などの他の AWS API に接続できる必要があります。ノードはプライベートサブネットまたはパブリックサブネットで実行できます。プライベートサブネットの場合、このトラフィックは通常、AWS PrivateLink 接続を経由して、VPC または NAT ゲートウェイ内のエンドポイントに到達し、VPC の外部のエンドポイントに到達します。パブリックサブネットの場合、VPC の外部の API エンドポイントに到達するには、ノードにパブリック IP が割り当てられている必要があります。 現在、EKS マネージドノードグループは、起動するすべてのノードにパブリック IP アドレスを自動的に割り当てます。EC2 インスタンスまたは起動テンプレートで AssociatePublicIpAddress フラグを使用して、パブリック IP アドレスが割り当てられると、サブネットの設定が上書きされます。つまり、VPC がパブリックサブネットとプライベートサブネットの両方、またはプライベート専用サブネットアーキテクチャで設定されている場合でも、パブリック IP は依然としてプライベートサブネットでインスタンスを作成するノードに割り当てられます。 2020 年 4 月 20 日よりマネージドノードグループの動作が更新され、パブリック IP がノードに割り当てられなくなります。この日以降、パブリック IP の割り当ては、ノードがインスタンスを作成するサブネット設定を介して制御する必要があります。 この変更は 4 月 20 日以降に作成した新しいマネージドノードグループにのみ影響し、既存のマネージドノードグループの動作には変更はありません。 […]

Read More

BuildforCOVID19 グローバルオンラインハッカソン

 COVID-19 グローバルハッカソンは、ビルダーが現在のコロナウイルス (COVID-19) の世界的な流行に関連する課題に取り組むことを目的として、社会的影響を推し進めるソフトウェアソリューションを開発するチャンスです。 AWS では、これをお読みの皆さん、つまり世界各国のビルダーたちが、提案されたさまざまなテーマと課題の分野で自分が選んだテクノロジーを使用し、#BuildforCOVID19 (COVID19 のために構築) することを奨励しています。これらのテーマと課題には、世界保健機関などのヘルスパートナーから提供されたものもあります。このハッカソンは、地域および世界に焦点を当てたソリューションを歓迎し、開発者なら誰でも参加できます。 AWS は、Facebook、Giphy、Microsoft、Pinterest、Slack、TikTok、Twitter、および WeChat といったテクノロジー企業と連携してこのハッカソンをサポートしています。AWS は参加者全員に技術面でのメンターシップを提供し、参加者にはその功績が認められます。 BuildforCOVID19 に参加して、COVID19 Global Hackathon Slack チャンネルで参加仲間、そして AWS メンターとチャットしましょう。 — Jeff;

Read More

新規 – Amazon FSx for Windows File Server の低コスト HDD ストレージオプション

Amazon FSx for Windows File Server では、多岐にわたるソースからのアクセスが可能で、既存の Active Directory 環境を使用してユーザーを認証するファイルシステムを作成することができます。同サービスには昨年、セルフマネージドディレクトリ、ネイティブマルチ AZ ファイルシステム、SQL Server のサポート、詳細なファイル復元、オンプレミスアクセス、リモート管理 CLI、データの重複削除、プログラムによるファイル共有設定、転送中の暗号化の適用、ストレージクォータといった多くの機能が追加されました。 新しい HDD オプション 本日は、Amazon FSx for Windows File Server に新たに追加された HDD (ハードディスクドライブ) ストレージオプションについてご紹介します。既存の SSD (ソリッドステートドライブ) ストレージオプションは、データベース、メディア処理、分析といった、レイテンシーの影響を受けやすい最高パフォーマンスのワークロード向けに設計されています。一方、新しい HDD ストレージは、ホームディレクトリ、部門別共有、コンテンツ管理システムといった広範なワークロード向けに設計されています。 シングル AZ HDD ストレージは 1 GB の月額料金 0.013 USD、マルチ AZ HDD ストレージは 1 GB の月額料金 0.025 USD に設定されています。Amazon FSx for Windows File […]

Read More

Amazon RDS for PostgreSQL のバージョン 9.4 から移行する

歴史的にPostgreSQL コニュニティーでは、年に一度メジャーバージョンをリリースし、それをもって古いメジャーバージョンのエンドオブライフ (EOL) とするポリシーです。これにより、バージョンとアップデートがいつ行われたのか、将来的にも日付で良く分かるようになっています。コミュニティーのこの EOL ポリシーは、メジャーバージョンをその初期リリースから 5 年間サポートするのが目的です。5 年後には、メジャーバージョンは不具合修正を含むマイナーバージョンを 1 つリリースしてから EOL と扱われ、その後はサポートされなくなります。PostgreSQL のすべてのバージョンの最終リリース日は、コミュニティーの Web サイトで見ることができます。直近では、メジャーバージョン 9.4 が 2020 年 2 月 13 日に EOL に達しました。 何が起こるのか PostgreSQL コミュニティーからの追加不具合修正、特にセキュリティに関連する修正が行われなくなります。すべての PostgreSQL 9.4 インスタンスをアップグレードするには、今がちょうど良い機会です。2020 年 2 月 15 日に Amazon Relational Database Service (RDS) はコンソールからの PostgreSQL 9.4 インスタンスの新規作成サポートを 停止したため、PostgreSQL の新しいバージョンを使った方が良いでしょう。既存の PostgreSQL 9.4 スナップショットからのリストアと、9.4 インスタンスのリードレプリカ作成は、2020 年 4 月 […]

Read More

Teespring は Amazon S3 を使用してレガシーデータを制御

すべての Amazon Simple Storage Service (Amazon S3) バケットの内容を正確にご存知でしょうか? すべてのオブジェクトに正しいオブジェクトタグのセットが適用されていますか? 現在および将来のオブジェクトが自動的に管理されるように、ライフサイクルルールを設定していますか? 上記の質問に対して答えがすべて「はい」である場合、この記事はスキップしてもいいかもしれません。けれども、Amazon S3 バケットにレガシーデータファイルがあり、構造がほとんどなく、ネーミングに一貫性がなく、またはメタデータが不足している場合は、是非読み続けてください! この記事では、S3 Intelligent-Tiering および S3 Batch Operations がレガシーデータの制御を回復するのにどのように役立つかを説明します。最終的に、これらの機能はストレージコストの削減に役立ち、最新の S3 機能を採用して最も古いデータの価値を引き出すための明確な道筋を示します。 次の動画は、私の 15 分の re:Invent 2019 セッションです。この動画では、Teespring が S3 Intelligent-Tiering と S3 Batch Operations をどのように使用するかについて説明しています。 Teespring の出発点 Teespring は、商取引を通じてクリエイターとファンをつなげています。クリエイターは Teespring プラットフォームで伝統的な商品、カスタム限定版アイテム、デジタル商品をデザインします。そのクリエイターのファンは、パートナーを通じて、または直接当社のウェブサイトでこれらの商品を購入します。次の画像は当社のホームページで、クリエイターたちに当社のプラットフォームを使い始めるご案内を表示しています。 このプロセスの肝要な部分は、商品のデザインと画像を生成することと、これらのデジタル資産を保管することにあります。アパレル、ステッカー、マグカップなど、当社が製造する商品の高解像度のプレビューが必要です。さらに、プリンター、刺繍機、型抜き機、その他の機械に供給する、さらに高解像度のカスタマイズ資産も必要です。このプロセスの概要を次の図に示します。作成者は、製造および生産を通じて Amazon S3 を介して保存および送信されたデザインを提供します。 Teespring のリストでは、購入者が優れたショッピングエクスペリエンスを実現できるようにするために、500 以上の一意の画像が必要になるのが一般的です。これらは、内部および外部の製造業者のネットワークに正確な製品カスタマイズ仕様を提供するためにも必要です。 会社の創業当初はすべてのスタートアップがそうであるように、当社の焦点は製品の実用的な初回版を開発することに 100% 注がれていました。スケーラビリティ、保守性、または運用効率には焦点は当てられていませんでした。Teespring にとって幸いだったのは、最適化されていないストレージコストが上昇する中で、リスティングの数と販売数が指数関数的に増加したことです。当社のエンジニアリングチームは、ビジネスの急激な増加に追いつくのに忙しすぎて、オブジェクトストレージを再検討する余裕はありませんでした。これにより、識別可能な構造がほとんどないペタバイト規模のバケットがいくつもあり、ライフサイクルルールがなく、止まることがないかのようにストレージコストが増加していく状況に追い込まれてしまいました。 Teespring は、誰もがどこからでも新製品を発売できるようにしたことを誇りに思っています。初期費用がかからず、リスクもゼロです。これにより、Teespring […]

Read More

Amazon EKS クラスター向けのマルチテナント設計時の考慮事項

この投稿は、AWS ソリューションアーキテクトの Roberto Migli による寄稿です。 Amazon Elastic Kubernetes Service (Amazon EKS) は、今日、コンテナアプリケーションを大規模に実行するために、数千の顧客が使用しています。よくある質問の中でも、マルチテナントの Amazon EKS クラスターをチームに提供することについてよく耳にします。 1 つまたは多くのクラスターを実行する必要がありますか? チームごと、環境ごと、アカウントごとに 1 つのクラスターを使用する必要がありますか? 正解や不正解はありません。この投稿では、正しい判断を下すためにいくつかの側面を検討していきます。 問題 マルチテナンシーでは、異なるワークロードまたはチームが同じクラスターを共有し、それらをある程度、論理的または物理的に分離する必要があります。さまざまな理由から分離が必要になる場合があります。たとえば、セキュリティは、各チームが意図したワークロードでのみ動作し、他のチームのワークロードでは動作できないようにするか、アプリケーション間でネットワークを分離 (デフォルトでは、すべての名前空間内のすべてのポッドが相互通信できる) します。もう 1 つの理由は、同じインフラストラクチャを共有するさまざまなワークロード全体でリソース (CPU、メモリ、ネットワークなど) を公平に配分するためです。顧客ごとにソリューションをデプロイするサービスのソフトウェア企業は、同じクラスター上で複数のテナントを実行することでインフラストラクチャの利用率を高めることができますが、各テナント間をさらに高度に分離する必要があります。 マルチテナンシーのための Kubernetes ネイティブソリューション Kubernetes は、1 つのクラスター内でマルチテナンシー設計に役立つネイティブの Kubernetes API と構造をいくつか提供します。コンピューティング、ネットワーキング、ストレージの主な構成要素を以下に示します。 分離を計算する Kubernetes のドキュメントは、名前空間を「複数のユーザー間でクラスターリソースを分割する方法」と定義しているため、マルチテナンシーの基礎となります。Kubernetes オブジェクトのほとんどは名前空間に属しています。下の図には 2 つの名前空間があり、それぞれが互いに実質的に分離されたオブジェクトのセットを実行しています。   名前空間はワークロードやユーザーの分離を提供しませんが、次のコンポーネントを理解するための核心です。1 つ目はロールベースのアクセスコントロール (RBAC) です。Kubernetes API で誰が何を実行できるかを定義する方法を提供します。承認は ClusterRole を介してクラスターに適用することも、Role を介して 1 […]

Read More

Amazon DynamoDB への CSV 一括取り込みの実装

この記事は、Amazon DynamoDB へのデータの取り込みに今日どのようなソリューションが存在するかを再検討するとともに、Amazon S3 バケットから DynamoDB テーブルへの CSV ファイルの一括取り込みのための能率化されたソリューションについて説明して、AWS アカウントへの簡単なデプロイメントのために、このソリューションの AWS CloudFormation テンプレートを提供します。 Amazon DynamoDB は、規模を問わず 1 桁台のミリ秒でのパフォーマンスを実現する key-value /ドキュメントデータベースです。今日、AWS の何十万人ものお客様が、モバイル、ウェブ、ゲーミング、アドテクノロジー、IoT、および低レイテンシーのデータアクセスを必要とするその他アプリケーションのために DynamoDB の使用を選択しておられます。一般的なユースケースは、DynamoDB へのデータの一括取り込みの実装です。大抵の場合、このデータは CSV 形式であり、すでに Amazon S3 内に保存されている場合があります。この一括取り込みは移行取り組みを迅速化するための鍵であり、取り込みのパイプラインジョブを設定する必要性を軽減し、全体的なコストを削減して、Amazon S3 からのデータの取り込みをシンプル化します。 この記事では、DynamoDB に加えて、ソリューションを作成するために AWS の以下のサービスを 200~300 レベルで使用します。 Amazon S3 AWS Lambda AWS CloudFormation 前提条件 この記事のソリューションを完成させるには、以下が必要です。 AWS アカウント。 DynamoDB、Amazon S3、Lambda、および AWS CloudFormation にアクセスできる IAM ユーザー。 DynamoDB […]

Read More

AWS 認定で AWS データ分析の専門知識を検証する

AWS トレーニングと認定に AWS データ分析 – 専門知識認定の試験が新たに追加しました。これは、効率的で費用対効果が高く、セキュアな分析ソリューションを設計、構築、管理する専門知識を検証するためのものです。 この新しい試験には、収集、保存、データ管理、処理、分析、視覚化、セキュリティなど、あらゆる領域にわたる更新済みコンテンツが含まれます。AWS データ分析 – 専門知識認定を取得することで、AWS データ分析のエキスパートが設定する基準を満たしていることをアピールすることができます。 この認定は、以前 AWS 認定ビッグデータ – 専門知識と呼ばれていたものです。この新しい名称となり、データや分析に関する幅広い技術的スキルと経験を、認定が検証することにフォーカスしています。 この認定で、検証済みの専門知識を見つけて開発でき、組織のイノベーションの迅速化が実現します。この結果、チームはデータが幅広さおよび奥深さの両方を備えていることが確信でき、詳しい分析情報を提供できます。S&P Global のリードアーキテクトである Rob Koch 氏は、次のように述べています。「データの背後に隠れている価値を探ることは、どの組織にとっても非常に重要です。特定の目的のためにデータにアクセスし分析する能力を、戦略化することは重要です。それは、新製品もしくは既存の製品の場合でも、または 2 つの異なるデータセット間の新しい接続を発見する場合でも同じく重要な能力なのです。」 Koch 氏はまた、AWS データヒーローズの 1 人です。AWS データヒーローズとは、分析、データベース、ブロックチェーンテクノロジーに対する情熱を IT リーダーや教育者と共有する世界に広がるグループです。 AWS 認定はロールベースの特定の技術スキルに焦点を当てており、認定の取得で、同僚や組織のリーダーからひと目置かれる存在になれるでしょう。AWS データ分析 – 専門知識では、AWS のデータ分析サービスを定義し、データライフサイクル全体でどのように連携するかを理解する能力を示します。Koch 氏は基礎およびアソシエイトレベル、さらに専門知識の AWS 認定を取得しており、データ分析サービスの専門知識を持つ専門家に、この認定の取得を奨励しています。Koch 氏は次のように述べています。「この認定を取得することで、ビジネスニーズを満たしながら、適切なクラウドテクノロジーを活用した理想的なアーキテクチャシナリオを提供できる人材とともに作業を行う自信がつくでしょう。」 試験を受けるべき人 AWS で分析ソリューションを設計、構築、保護、および管理する 2 年の実務経験、かつデータ分析テクノロジーにおいて 5 年の一般的な経験を持つ人が対象です。推奨される知識と経験についての一覧は、「AWS Certified Data Analytics – Specialty exam […]

Read More