Amazon Web Services ブログ

Amazon CloudWatch を使用したクロスアカウントクロスリージョンダッシュボード

 AWS クラウドをデプロイするベストプラクティスには、複数のアカウントや複数のリージョンを使用することが含まれます。複数のアカウントは、リソースを分離し、問題の影響を軽減するセキュリティと請求の境界を提供します。複数のリージョンにより、高度な分離、エンドユーザーの低レイテンシー、およびアプリケーションのデータ復元力が保証されます。これらのベストプラクティスには、複雑な問題のモニタリングとトラブルシューティングが伴います。 集中運用チーム、DevOps エンジニア、およびサービス所有者は、複数のリージョンおよび多くのアカウントで実行されているアプリケーションを監視、トラブルシューティング、および分析する必要があります。アラームを受信すると、オンコールエンジニアはダッシュボードにログインして問題を診断する必要があり、他のアカウントにログインして複数のアプリケーションコンポーネントまたは依存関係の追加のダッシュボードを表示する必要があります。サービス所有者は、サービスの可用性に影響を与える可能性のあるアプリケーションリソース、共有リソース、またはアプリケーション間の依存関係を可視化する必要があります。複数のアカウントおよび/または複数のリージョンを使用すると、根本原因の分析のためにコンポーネントを相互に関連付けるのが難しくなり、解決までの時間が長くなります。 本日発表された Amazon CloudWatch クロスアカウントクロスリージョンダッシュボードにより、お客様は高レベルの運用ダッシュボードを作成し、ワンクリックでさまざまなアカウントの特定のダッシュボードへのドリルダウンを利用できます。その際、異なるアカウントへのログインとログアウト、またはリージョンの切り替えを行う必要はありません。アカウントおよびリージョン全体のパフォーマンスおよび運用データを可視化、集計、および要約する機能は、摩擦を軽減し、解決までの時間を短縮するのに役立ちます。クロスアカウントクロスリージョンは、たとえば他のアカウントやリージョンのアラーム/リソース/メトリックのみを表示したい場合、ダッシュボードを構築せずにナビゲーションのみに使用することもできます。 Amazon CloudWatch クロスアカウントクロスリージョンダッシュボードアカウントのセットアップ クロスアカウントクロスリージョンダッシュボードの使用は簡単で、必要に応じて AWS Organizations と統合することもできます。Organizations を使用して複数の AWS アカウントを制御および管理することにより、この記事でこれから紹介するとおり、ログインせずに、CloudWatch コンソールを使用して組織内のどのアカウントの titletitleAmazon CloudWatch ダッシュボード、メトリクス、アラーム間でも移動できます。もちろん、単一のアカウントに対してクロスリージョンダッシュボードをセットアップすることもできます。この記事では、Organizations との統合を利用します。 このブログ記事の助けになるように、Organizations コンソールを使用して組織を作成し、他のいくつかのアカウントを参加させました。前述のように、Organizations を使用すると、後でダッシュボードを設定するときにアカウントを簡単に選択できます。また、Organizations を使用せずにカスタムアカウントセレクターを事前入力することもできます。これにより、ダッシュボードを作成する際、アカウントを覚えたり、必要なときにアカウント ID を手動で入力したりする必要がなくなります。組織のセットアップ方法の詳細については、「AWS Organizations ユーザーガイド」を参照してください。組織のセットアップが完了したら、アカウントの設定を開始する準備が整いました。 私の最初のタスクは、ダッシュボードを作成するアカウントを識別して設定することです。これが私のモニタリングアカウントです (そして、複数持つことができます)。次に、モニタリングするアカウント (Organizations のメンバーアカウントと呼ばれる) を識別する必要があります。これらのアカウントは、モニタリングアカウントとデータを共有するように設定します。このモニタリングアカウントには、CloudWatch が各メンバーアカウントでロールを引き受けることを許可するための Service Linked Role (SLR) が必要です。クロスアカウントのクロスリージョンオプションを有効にすると、コンソールはこのロールを自動的に作成します。各メンバーアカウントを設定するには、アカウント内からモニタリングアカウントとのデータ共有を有効にする必要があります。 モニタリングアカウントから始めて、CloudWatch コンソールホームから、左側のナビゲーションパネルで [Settings] を選択します。Cross-Account Cross-Region がページの上部に表示されているので、[Configure] をクリックして開始します。 これにより、データ共有を有効にするためにメンバーアカウントでも使用する設定画面が表示されます。今のところ、モニタリングアカウントで [Edit] オプションをクリックして、クロスアカウントのクロスリージョンオプションを表示します。 モニタリングアカウントの最後のステップは、AWS Organization […]

Read More

自分にぴったりのトレーニングを見つけて AWS Storage を学ぼう

多くのエンタープライズやビジネスが、データストレージ要件に対するメリットを、AWS ストレージサービスから得られる立場にいらっしゃるでしょうし、多くの場合、それに気付いてもいないかもしれません。AWS に飛び乗る準備はできているという一部の方たちも、その仕様については把握しきれていないことと思います。AWS では、そういった事情を考慮し、ストレージサービスのオプション追加に加え、皆様のビジネスニーズに対応できる機能の追加も継続的に行っています。これから開始するお客様がデータストレージの要件に最も適したサービスを選択しようとしている場合、あるいは、現状でご使用のストレージについて、その組み合わせを最適化する知識を学ぼうとしている場合でも、一歩進んだトレーニングリソースはお力添えになれると思います。AWS トレーニングと認定には、AWS ストレージに関する 30 を超えるトレーニングコースが用意されています。これらのトレーニングはデジタルフォーマットで提供されるので、お客様と同僚の方達は時と場所を問わずオンラインで学習していただけます。さらに、ご提供しているデジタルコースは完全に無料です。 以下のリストで、ストレージにフォーカスした全コースについてご確認ください。複数の機能について、基礎、中級、上級の各レベルでコースが用意されています。AWS ストレージ初心者の方であれば、「AWS Storage Offerings」コースがお勧めです。ここでは、多くの AWS ストレージサービスのご紹介をしています。このコースを手始めに、学ぶ範囲を広げていくことができます。ご自身の要件に合ったコースを AWS ストレージのためのトレーニングページから選択する際、下のリストをご参照ください。 ストレージ以外にも関心があり、ご自身の仕事内容に関係するトレーニングにも時間を割きたいとお考えですか? ご用意したコースには、アーキテクト、開発者、DevOps の方達が、仕事上のスキルを向上させるためのものもあります。これらのコースではインストラクターの指導を受けつつ実験が行え、その内容にはクラウドソリューションの設計法、クラウド向けの開発法、クラウドのインフラストラクチャを管理およびモニタリングする方法などが含まれます。AWS トレーニングと認定にも、そういった職務のための認定が含まれますので、ご自身のスキルが仕事に適合しているかを検証することが可能です。各職務とソリューション領域に関するラーニングパスはこちらでご確認いただけます。 AWS トレーニングと認定により、お客様は実践的なクラウドスキルを通じて、適正や自信そして信頼を獲得することができ、将来のキャリアを革新的なものとして構築できます。当社のコースに参加し、早速トレーニングを始めてください。 このブログ記事にあるコメントセクションでは、皆様のお気に入りのコース、あるいは、学びたい内容になどに関するご意見をお待ちしております。AWS トレーニングと認定ウェブサイトでご自身に合ったトレーニングを見つけましょう。

Read More

[AWS Black Belt Online Seminar] Elastic Load Balancing (ELB) 資料及び QA 公開

先日 (2019/10/29) 開催しました AWS Black Belt Online Seminar「 Elastic Load Balancing (ELB) 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。   20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)   AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. なぜ NLB だけ暖気不要なのでしょうか? A. AWS Hyperplaneと呼ばれる特殊なAWS独自の負荷分散技術を用いているためです。 AWS Hyperplaneに関しては、こちらの資料のP17 – P21をご確認ください。 Q. ALB のルーティング機能を用いると API Gateway を用いた時と同じようなかたちで REST API などの Web App を実装することもできそうに思えます。実際に、そのようなユースケースはあるのでしょうか? もし、そのようなユースケースがある場合は、どのようなケースにおいて、あえて API Gateway […]

Read More

Amazon ECRのネイティブなコンテナイメージスキャン機能について

本投稿は Richard Nguyen と Michael Hausenblas による寄稿を翻訳したものです。 コンテナセキュリティは、開発者、セキュリティ運用エンジニア、およびインフラ管理者を含む、さまざまなアクティビティとツールで構成されます。クラウドネイティブサプライチェーンの重要な要素の 1 つは、コンテナイメージをスキャンして脆弱性を検出し、そこから行動に移せる洞察を得ることです。 私たちはコンテナロードマップのIssue 17で、AWSネイティブソリューションを提供することがいかにお客様にとって重要であるかを学び、そして、ECRイメージスキャン機能を一般公開いたしました。この投稿では、ECR ネイティブのソリューションについて説明し、ユースケースの一つである「定期スキャン」の実装戦略を説明します。 Scanning 101 最初にコンテナスキャンに関する用語を解説し、前提知識を合わせましょう。 コンテナスキャンに精通している場合は、このセクションをスキップいただいても大丈夫です。 概念的には、コンテナセキュリティの一部としてのスキャンは次のようになります。 コンテナ化されたアプリケーションを見てみると、開発者(developer)がContinuous Integration(CI)パイプラインでコンテナイメージをbuildし、これらのアーティファクトをECRにプッシュしています。一方、セキュリティ運用エンジニア(secops)は、1つもしくは複数のECRリポジトリと、ECSやEKSなどのコンテナオーケストレーターを管理しています。この文脈でいうと、コンテナセキュリティは共同の責任であるということに着目することが重要で、developerと secops の役割は、クラウドネイティブのサプライチェーン全体のセキュリティに対処するために連携しています。たとえば、developerは、コンテナのUSER を定義し、イメージ内の不要なビルドツールを削除して攻撃対象領域を最小限に抑えるといった、セキュアなコンテナイメージをbuildするための推奨プラクティスに従います。同様に、secops も、runtimeポリシーを検証して適用するといったことを行ないます。 さらに、2種類のスキャンに分類することができます。 Static scanning (静的スキャン) :デプロイ前のフェーズで実行されるため、developers (もしくは secops) はコンテナが実行される前に脆弱性に気づくことができます。ECR イメージスキャン機能は、このカテゴリに分類され、コンテナイメージ内の OS パッケージをスキャンして、既知のセキュリティ上の脅威公開リストである共通脆弱性識別子 (CVE) を検出します。ECR イメージスキャン機能を利用すれば、独自のスキャンインフラを設定したり、サードパーティのスキャンライセンスを購入したりする必要はありません。 Dynamic scanning (動的スキャン):ランタイム環境で実行されるスキャンのことです。テスト環境、QA 環境、または本番環境で、すでに実行されているコンテナの脆弱性を特定することが可能であり、ビルド時点でインストール済みのソフトウェアに脆弱性が含まれていることが後日発覚した際や、ゼロデイの脆弱性なども検出可能です。動的(またはランタイム)コンテナセキュリティについては、CNCF Falcoなどのオープンソースソリューションから、Aqua Security、Trend Micro、Twistlock など、AWS コンテナコンピテンシーパートナーが提供するサービスまで、サードパーティ製のさまざまなオプションが利用可能です。 みなさまからお寄せいただいたフィードバックとさまざまな選択肢の評価結果に基づき、我々は人気のあるオープンソースプロジェクトであるCoreOS ClairをECRイメージスキャン機能で利用して脆弱性の静的解析を実行することに決定しました。イメージスキャン機能を備えるように ECR API、AWS CLI、SDK の拡張を行い、CI パイプラインやコマンドラインで使用しやすい形で、スケーラブルで信頼性の高いマネージドサービスを実装しました。 具体的な現実世界のユースケースから始めましょう。ECRでのコンテナイメージの定期スキャンです。 […]

Read More

最新情報 – AWS コンピューティングサービスの Savings Plans

私は 10 年前に EC2 リザーブドインスタンスについて初めて投稿しました。 私がその記事を投稿してから、リザーブドインスタンスを使用して AWS リージョン内の特定のインスタンスタイプとオペレーティングシステムの使用をコミットすることで、お客様は数十億 USD を節約しました。 長年にわたり、リザーブドインスタンスモデルを強化して、割引を利用しやすくしました。本サポートに含まれるものは次のとおりです。 リージョンのメリット – この機能強化により、リージョン内のすべてのアベイラビリティーゾーンに RI を適用できるようになりました。 コンバーティブル RI – この機能強化により、オペレーティングシステムまたはインスタンスタイプをいつでも変更できます。 インスタンスサイズの柔軟性 – この機能強化により、特定のインスタンスファミリー内の任意のインスタンスサイズにリージョン RI を適用できるようになりました。 現在のモデルでは、最大 72% の割引が提供されますが、時間の経過とともに変化する使用量を扱う最適な組み合わせを確保するために、RI の購入と交換を調整する必要があります。 新しい Savings Plans 本日、リザーブドインスタンスと同じ割引を提供する新しい柔軟な割引モデルである Savings Plans を提供開始します。これは、1〜3 年の期間にわたって特定の量 (1 時間あたりの USD で測定) のコンピューティングリソースを使用することを約束するものです。 あらゆる種類のコンピューティング使用量には、オンデマンド料金と (より低い) Savings Plan 料金があります。1 時間あたりの特定量のコンピューティング使用量をコミットすると、その量までのすべての使用量を Savings Plan で取り扱い、それ以降はオンデマンド料金で請求されます。 リザーブドインスタンスを所有している場合、Savings Plan は、RI で取り扱っていないオンデマンドの使用に適用されます。RI […]

Read More

ネイティブ EBS およびバケットごとの S3 暗号化オプションを使用して、Amazon EMR でデータを保護

 データ暗号化は、データセキュリティを強化するための効果的なソリューションです。データを暗号化し、暗号化キーへのアクセスを管理することにより、許可されたユーザーまたはアプリケーションのみが機密データを読み取るようにすることができます。医療や金融などの規制された業界の顧客が Amazon EMR を選択する主な理由の 1 つは、データを安全に保存およびアクセスするための準拠環境を提供するためです。 この投稿では、機密データを処理する EMR クラスターのセキュリティ保護に役立つ 2 つの新しい暗号化オプションの詳細なチュートリアルを提供します。最初のオプションは、EMR クラスターに接続されたボリュームを暗号化するネイティブ EBS 暗号化です。2 番目のオプションは Amazon S3 暗号化で使用すると、Amazon EMR で個々の S3 バケットにさまざまな暗号化モードとカスタマーマスターキー (CMK) を使用できます。

Read More

Amazon EFS で可用性と耐久性の高いデータベースバックアップワークフローを実現

データベースのバックアップおよび復元ワークフローの一部として使用するストレージを決定するには、フォーマットのコンプライアンスから、スケーラビリティ、データの可用性と耐久性、コストまで、複数の要因を考慮する必要があります。 Amazon Elastic File System (Amazon EFS) は、AWS クラウドサービスおよびオンプレミスリソースで使用するための、シンプルでスケーラブルで弾力性のある完全マネージド型の NFS ファイルシステムを提供します。Amazon EFS は、データベースワークフローをバックアップするための効果的なソリューションです。バックアップサイズの変更に応じてペタバイト単位で拡張可能な、POSIX 準拠の完全マネージド型のファイルストレージを提供します。また、復元に必要な可用性と耐久性を、わずか 1 か月 0.08 USD/GB の実効料金* で設定します。このブログでは、データベースバックアップワークフローで EFS を使用する際の考慮事項とベストプラクティスを紹介します。 *米国東部 (バージニア北部) リージョンの価格で、ストレージの 80% が EFS Infrequent Access にあると仮定 データベースバックアップワークフローに Amazon EFS の使用を検討する必要がある理由 多くの場合、データベースワークフローは、バックアップ用の POSIX 準拠のファイルストレージの恩恵を受けています。ストレージは、変化するニーズに合わせてスケールアップとスケールダウンする必要があり、緊急時の復元をサポートするために可用性と耐久性が高い必要があります。Amazon EFS は、これらのすべての機能を提供し、1 か月 1 GB あたり数ペニーの実効料金で、インフラストラクチャをプロビジョニングおよび管理する必要がありません。 ストレージインターフェイス まず、データベースで適切に機能するストレージインターフェイスのタイプを検討する必要があります。ほとんどのバックアップソフトウェアはファイルへのバックアップの書き込みを標準でサポートしているため、多くのお客様はデータベースのバックアップに Amazon EFS を使用しています。つまり、EFS ファイルシステムをデータベースにマウントし、EFS のパスにバックアップするだけです。さらに、ほとんどのデータベースは、POSIX 準拠のストレージをデフォルトでサポートしています。EFS は POSIX 準拠の共有ファイルストレージを提供しますが、他のストレージオプションでは、バックアップと復元を有効にするために特別なコードを作成する必要があります。 可用性と耐久性 […]

Read More

SSL/TLS を経由して RDS MySQL, RDS MariaDB, and Amazon Aurora MySQL に sysbench を実行する

sysbench は MySQL 互換のデータベースでベンチマークを実行するために有用なツールです。もし、sysbench を使って Amazon Aurora MySQL のパフォーマンスの評価をしたい場合、Amazon Aurora Performance Assessment Technical Guide が役に立つでしょう。しかし、もし SSL/TLS を経由して sysbench を実行したい場合、このツールや AWS のサービスにあるいくつかの制限について考える必要があります。 この投稿では、RDS MySQL, RDS MariaDB, and Aurora MySQL で sysbench を実行するにあたっての考慮点と、どのように準備するべきかについて、お話いたします。 考慮点 sysbench の最新のパッケージリリースは 1.0.17 になります。もし、yum や RPM のようなパッケージマネージャから sysbench をインストールした場合、このバージョンがインストールされます。このバージョンでは、sysbench は SSL/TLS を使用するにあたって、以下のような制限を持っています: –mysql-ssl オプションは ON または OFF のみが指定可能で SSL_MODE は REQUIRED 固定 クライアント秘密鍵、クライアント公開鍵、CA […]

Read More

実際に手を動かして学ぶ!AWS Hands-on for Beginners のご紹介

こんにちは、テクニカルソリューションアーキテクトの金澤 (@ketancho) です。本日は、先日 11/6 に公開した「AWS Hands-on for Beginners」について紹介します。 みなさまは AWS のサービスを使い始めるときに、どのように学習をされていますか?私は日々、様々な業種のお客様とお話しさせてもらう機会があるのですが、その中で学習方法についてもご相談をいただくことがあります。キャッチアップの方法は様々あり、人によって最適な方法は違ってくると思うのですが、私個人のオススメ勉強方法は「実際に手を動かしてみる」ことです。実際にそのサービスを使ってみることで、構築の流れであったり、細かい機能であったりを知ることができ、机上で学んだ知識が定着しやすくなると考えているからです。AWS Hands-on for Beginners は、この「実際に手を動かしてみる」ことをお手伝いします。 AWS Hands-on for Beginners シリーズ一覧 AWS Hands-on for Beginners ~ Serverless #1 ~ 申し込みページ   AWS Hands-on for Beginners とは? AWS Hands-on for Beginners は、動画にそって実際に手を動かしながら AWS サービスについて学んでいただくコンテンツです。名前の通り、初めて AWS サービスをご利用される方向けの内容ですので、学習の最初のステップとしてご活用いただけます。オンデマンド形式での配信となるので、移動時間などのスキマ時間での学習もできますし、分かりにくい部分を巻き戻して何度でもご覧いただくことができます。   AWS Hands-on for Beginners の第一弾として、サーバーレスアーキテクチャの基本を学ぶ Webiner シリーズを配信しています。このシリーズは、初めてサーバーレスなアーキテクチャを組む方を対象とした内容で、AWS Lambda、Amazon API Gateway、Amazon […]

Read More
Weekly AWS

週刊AWS – 2019/11/04週

みなさん、こんにちは。ソリューションアーキテクトの下佐粉です。 今週も週刊AWSをお届けします。 週刊AWSをこの形式で再開したのが5月でこの号が25回目、約半年間に渡ってお届けしておりますが、みなさんのお役に立てていますでしょうか? ご要望・ご感想などありましたら、ぜひTwitterのハッシュタグ #AWSBlog で教えていただければと思います。 それでは、先週の主なアップデートについて振り返っていきましょう。

Read More