Amazon Web Services ブログ

AWS KMS の暗号化機能を使って、Amazon RDS のデータを保護する

あらゆる業界の組織にとって、データのプライバシーは不可欠です。暗号化サービスは、不正アクセスからデータを保護する標準的な方法の 1 つです。暗号化では正しい復号化キーがないと、データが読み取れないようにデータを変更します。 Amazon RDS は AWS が所有するキーを使用して、デフォルトでデータを暗号化します。デフォルト以外のキーを使用してデータを暗号化することを希望するお客様もいます。そのため、デフォルト以外のキーを使用する場合、堅牢なキーの作成、管理、削除のツールとプロセスがデータセキュリティに不可欠です。こうしたツールとプロセスは、キーの有効期限がデータの可用性に影響することを防ぐのにも役立ちます。 この投稿では、AWS KMS が RDS に保存したデータのデータ暗号化とキー管理プロセスを簡素化する方法について説明します。今回取り上げるトピックは、次のとおりです。 キー管理 キーの作成 暗号化データベースの作成 暗号化データベーススナップショットの作成とコピー キーのローテーション キーアクセスの制御 AWS KMS の導入 KMS を使用して、RDS などの AWS のサービスに保存しているデータを暗号化できます。キーのアクセス許可は、IAM と完全に統合しています。さらに、すべての KMS API 呼び出しは AWS CloudTrail への書き込みを行い、キーの作成、使用、削除の完全な監査証跡を提供します。KMS キーの長さは 256 ビットで、ガロア/カウンターモード (GCM) の Advanced Encryption Standard (AES) を使用します。詳細については、AWS Key Management Service Cryptographic Details (PDF) をご参照ください。 RDS はすべてのキータイプをサポートしますが、次のテーブルは KMS で使用される […]

Read More

Amplify コンソール – フルスタックのサーバーレスウェブアプリのためのホスティング

AWS Amplify コンソールはフルスタックウェブアプリケーションのホスティングサービスで、使用したいソースコードリポジトリからの継続的なデプロイメントが可能です。Amplify コンソールは、2018 年 11 月に AWS re:Invent で発表されました。それ以来、チームはお客様のフィードバックに耳を傾け、迅速にイテレーションを行って 新しい機能をいくつかリリースしました。以下はそれらの簡単な要約です。 キャッシュの即時無効化 Amplify コンソールでは、コンテンツ配信ネットワーク、つまり CDN を介して、サーバーレスバックエンドを使用する単一ページのウェブアプリ、または静的サイトをホストすることができます。CDN は、世界中のエッジロケーションでファイルをキャッシュする分散されたサーバーのネットワークで、ウェブファイルアセットの低レイテンシー分散を可能にします。 これまで、CDN でコンテンツを更新するには、キャッシュを手動で無効化し、変更がグローバルに伝播されるまで 15~20 分待つ必要がありました。頻繁な更新を行うために、開発者はアセットヘッダーに短い TTL (time-to-live) を設定する (これによって更新は速くなりますが、パフォーマンスには悪影響が生じます) などの次善策を講じていましたが、今では、より迅速なデプロイメントとより高速なパフォーマンスの間で妥協する必要はありません。Amplify コンソールは、リポジトリに対するコミットコードごとに変更を構築して CDN にデプロイし、これらはブラウザで即時に表示できます。 「Deploy To Amplify Console」ボタン GitHub でプロジェクトソースコードをパブリッシュするときは、Readme ドキュメントに「Deploy To Amplify Console」ボタンを提供することによって、他の開発者がアプリケーションを簡単に構築してデプロイできるようにすることが可能です。ボタンをクリックすると Amplify コンソールが開き、コードをデプロイするための 3 つのステップのプロセスを提案します。 このプロセスをこれらのプロジェクト例でテストして、こちらのドキュメントも参照してください。独自のコードリポジトリへのボタンの追加は簡単で、この行を Readme ドキュメントに追加するだけです (GitHub URL の username と repository の名前を置き換えるようにしてください)。 [![amplifybutton](https://oneclick.amplifyapp.com/button.svg)](https://console.aws.amazon.com/amplify/home#/deploy?repo=https://github.com/username/repository) 手動でのデプロイメント […]

Read More

Amazon SageMaker を使用した Spectral MD による創傷ケアの近代化

Spectral MD, Inc. は、臨床研究ステージの医療機器会社であり、自らを「光の障壁を破って体内の奥底を見つめる」と説明しています。 最近、FDA によって「画期的デバイス」に指定された Spectral MD は、最先端のマルチスペクトルイメージングと深層学習テクノロジーを使用して、創傷ケアに優れたソリューションを提供します。ダラスに拠点を置くこの会社は、Amazon SageMaker や Amazon Elastic Compute Cloud (Amazon EC2) などの AWS サービスに基づいて、前例のない創傷ケア分析への取り組みをサポートしています。クラウドプロバイダーとして AWS を使用することで、Spectral MD チームは、データが迅速かつ効果的に保存および処理されることを認識し、革新的な医療に集中できます。 「AWS を選択したのは、医療機器で使用される最先端の深層学習アルゴリズムを迅速にトレーニング、最適化、検証するために必要な計算リソースにアクセスできるからです」と、Spectral MD ソフトウェアチームのリードである Kevin Plant 氏は説明します。「AWS は、アルゴリズムの研究、開発、デプロイに不可欠な臨床データセットの安全なリポジトリとしても機能します」 アルゴリズムは 10 年前の会社独自の DeepView Wound Imaging System を用いています。非侵襲的なデジタルアプローチを使用して、臨床研究者が患者と接触することなく、隠れた病気を確認することができます。具体的にこのテクノロジーは、視覚的入力とデジタル分析を組み合わせて、複雑な創傷状態を理解し、創傷の治癒能力を予測します。ポータブルイメージングデバイスと AWS の計算能力を組み合わせて、臨床医は人間の目には見えない規模でも正確なスナップショットをキャプチャできます。 Spectral MD の革新的なソリューションでは、AWS サービスのおかげでコアな計算能力と機械学習による巧妙な処理、両方を実現することができました。会社は、デバイスでキャプチャしたデータを Amazon Simple Storage Service (Amazon S3) に保存し、メタデータを Amazon DynamoDB […]

Read More

Amazon Lex チャットボットで、ワンタイムパスワードを使ってユーザーを認証する

現在、多くの企業がワンタイムパスワード (OTP) を使って、ユーザーを認証しています。アプリケーションを続行するには、パスワードの入力を求められます。このパスワードはテキストメッセージを介して登録済みの電話番号に送信され、このパスワードを入力すると認証が行われます。ユーザー ID を検証するには、簡単で安全なアプローチです。このブログ投稿では、同じ OTP 機能を Amazon Lex チャットボットに統合する方法について説明します。 Amazon Lex では音声とテキストの両方を使って、既存のアプリケーションにリアルな対話型インターフェイスを簡単に構築できます。 詳細に進む前に、OTP について詳しく見てみましょう。OTP は通常、1 つのログインセッションまたはトランザクションに対してのみ有効な一連の数字です。OTP は一定の期間が経過すると失効します。その後は新しい OTP を生成する必要があります。ウェブ、モバイル、その他のデバイスなどさまざまなチャネルで使用できます。 このブログ投稿では、モバイルデバイスでの料理注文チャットボットの例を使用して、ユーザーを認証する方法をご紹介します。Amazon Lex ボットでは OTP が認証したときだけ、ユーザーの注文が行えるようになります。 OTP を使用した次の会話を考えてみましょう。 先ほど説明したやり取りを実現するために、以下のインテントで最初に出前のボットを構築します。OTP パスワードは OrderFood などのトランザクションを含むインテントで使用します。 OTP をキャプチャする 2 つの実装 (音声によるものと、テキストによるもの) をご紹介します。最初の実装では、OTP は音声またはテキストモダリティとして Amazon Lex が直接キャプチャします。OTP 値はスロット値として Amazon Lex に直接送信されます。2 つ目の実装では、OTP はクライアントアプリケーションが (テキストモダリティを使用して) キャプチャします。クライアントアプリケーションは、クライアントのダイアログボックスから OTP をキャプチャし、それをセッション属性として Amazon Lex に送信します。セッション属性は暗号化できます。 Amazon […]

Read More

新着 – カーネルパニックをトリガーし、応答しない EC2 インスタンスを診断

オンプレミスのデータセンターにデプロイされたシステムで作業を行っていたころ、ときどき、応答しないサーバーのデバッグをしなければならないことがありました。その場合、通常は誰かに頼んで、フリーズしたサーバーでマスク不可能割り込み (NMI、non-maskable interrupt) ボタンを物理的に押してもらうか、あるいはシリアルインターフェイス (はい、シリアルです。RS-232 など) を介してコマンドコントローラーに信号を送信してもらう必要がありました。このコマンドによってシステムがトリガーされ、フリーズしたカーネルの状態がファイルにダンプされて、さらなる分析が行われます。このようなファイルは通常、コアダンプあるいはクラッシュダンプと呼ばれます。クラッシュダンプには、クラッシュしたプロセスのメモリのイメージ、システムレジスター、プログラムカウンター、その他フリーズの主要因を特定するのに役立つ情報が含まれています。 本日発表された新しい Amazon Elastic Compute Cloud (EC2) API を使うと、EC2 インスタンスでのカーネルパニックの生成を、リモートでトリガーすることができます。EC2:SendDiagnosticInterrupt API は、物理マシンで NMI ボタンを押す場合と同様に、診断割り込みを、実行中の EC2 インスタンスに送信します。それにより、インスタンスのハイパーバイザーがマスク不可能割り込み (NMI、non-maskable interrupt) をオペレーティングシステムに送信します。NMI 割り込みを受信したときのオペレーティングシステムの挙動は、システムの設定に依存します。通常はカーネルパニックの状態に入ります。カーネルパニックの挙動もオペレーティングシステムの設定に依存し、クラッシュダンプデータファイルの生成がトリガーされたり、バックトレースが取得されたり、差し替えのカーネルがロードされたり、システムが再起動されたりします。 組織内でこの API を使用できる人を管理するには IAM ポリシーを使用します。以下に例を示します。 クラウドエンジニアやシステムエンジニア、あるいはカーネル診断やデバッグ作業のスペシャリストが、クラッシュダンプの中からカーネルがフリーズした原因を分析するための非常に重要な情報を見つけ出します。ダンプを調べるときは、WinDbg (Windows) や crash (Linux) といったツールを使用します。 診断割り込みの使用 この API の使用プロセスは、3 つのステップからなります。まず、割り込みを受信したときの OS の挙動を設定しておく必要があります。 Windows Server AMI のメモリダンプは、デフォルトですでにオンの状態になっています。メモリダンプが保存された後の自動再起動も選択されています。メモリダンプファイルのデフォルトの場所は %SystemRoot% です。これは C:\Windows に相当します。 これらのオプションには、次の場所に進むとアクセスできます。 スタート > […]

Read More

【開催報告】AWS re:Inforce 2019 re:Cap Seminar

2019年7月30日、AWS Loft Tokyo にて、AWS re:Inforce 2019 で発表・紹介されたセキュリティサービスやソリューションの最新情報を振り返るイベントが開催されました。 AWS re:Inforce 2019 とは、2019年6月25、26日に米国ボストンで開催された AWS セキュリティ&コンプライアンス最大のカンファレンスです。エンドユーザー様、パートナー様を中心に、世界50カ国以上中から8,000人以上の来場者が集まりました。基調講演や170を超えるセッション、パートナー様展示ブースからなる Security Learning Hub、参加者同士のネットワーキングイベントなどからなるとても大きなイベントでした。 そこで本セミナーでは、AWS re:Inforce 2019 に参加されたAWS利用者を迎え、企業のセキュリティ意思決定者・担当者に向けて効率的に情報収集いただく目的で開催されました。以下より、登壇者の発表から伝わる AWS re:Inforce 2019 の熱気をお感じください!

Read More

Amazon SageMaker 2019年4月から8月のアップデート

みなさま、こんにちは。AWS 機械学習ソリューションアーキテクトの大渕です。 すでにみなさまにご利用いただいている機械学習のマネージドサービス Amazon SageMaker ですが、現在も新機能がどんどん追加されています。そこで今回は、2019 年 4 月から 8 月までに Amazon SageMaker に追加された機能をご紹介したいと思います。 ご自身にピッタリの機能がないか、ぜひチェックしてみてください。

Read More

Amazon ECS で Amazon Elastic Inference ワークロードを実行する

Amazon Elastic Inference (EI) はInvent 2018 で発表された新しいサービスです。Elastic Inference では、スタンドアローンの GPU インスタンスと比較して、深層学習実行コストを最大で 75% まで削減します。Elastic Inference を使えば、任意の Amazon SageMaker か Amazon EC2 インスタンスタイプにアクセラレーターをアタッチすることができ、TensorFlow、Apache MXNet、ONNX モデルでの推論を実行できます。Amazon ECS は、高度にスケーラブルかつ高性能なコンテナオーケストレーションサービスで Docker コンテナーをサポートしています。コンテナ化されたアプリケーションを、AWS の上で、容易に実行もしくはスケーリングすることが可能です。 このブログ記事では、Elastic Inference を利用して、Amazon ECS での深層学習推論ワークロードを高速化する方法を解説します。また、同じ ECS コンテナインスタンスで別々のワークロードを実行している可能性がある場合などに、複数のコンテナで 1 つの Elastic Inference アクセラレーターを共有する方法も示します。このように共有することで、アクセラレーターの利用率を高められます。 ECS では、2019 年 2 月 4 日時点で、 これらの GPU でのタスク実行をサポートしています。これは、トレーニング用ワークロードのためには良く機能するものです。しかし、推論ワークロードで ECS の Elastic Inference を利用すれば、これらの GPU […]

Read More

新規オープン – AWS 中東 (バーレーン)

中東で最初の AWS リージョンがオープンしました。本日より、ご利用いただけます。正式名称は中東 (バーレーン)、API 名称は me-south-1 です。 本日のサービス開始により、AWS クラウドは、世界で 22 か所の地理的リージョン内の 69 のアベイラビリティーゾーンに広がりました。 中東 (バーレーン) リージョンは 3 つのアベイラビリティーゾーン (AZ) で構成されています。3 つのアベイラビリティーゾーンを持つことで、中東の組織はビジネス継続性と災害対策の要件を満たすことができ、高可用性、フォールトトレラント、拡張性を備えたアプリケーションを構築することもできます。 インスタンスとサービス この 3-AZ リージョンで実行されるアプリケーションは、C5、C5d、D2、I3、M5、M5d、R5、R5d および T3 インスタンスを使用でき、Amazon API Gateway、Application Auto Scaling、AWS Certificate Manager (ACM)、AWS Artifact、AWS CloudFormation、Amazon CloudFront、AWS CloudTrail、Amazon CloudWatch、CloudWatch Events、Amazon CloudWatch Logs、AWS CodeDeploy、AWS Config、AWS Config Rules、AWS Database Migration Service、AWS Direct Connect、Amazon DynamoDB、EC2 Auto Scaling、EC2 Dedicated […]

Read More

Amazon DynamoDB Accelerator コンソールのウォークスルー – パート 2

Amazon DynamoDB は、応答時間が 1 桁のミリ秒単位で測定されるスケーラビリティとパフォーマンスを提供します。マイクロ秒単位の応答時間が必要なユースケースでは、DynamoDB Accelerator (DAX) がその実現に役立ちます。DAX は DynamoDB と互換性がある API マネージドキャッシュで、リアルタイムのゲーム、入札、気象分析、取引など、要求の厳しいアプリケーションに高速のインメモリパフォーマンスを提供します。DAX を使用すると、読み取り容量単位を効率的にプロビジョニングすることでコストを削減し、最終的に一貫した読み取りワークロードの応答時間がマイクロ秒に短縮されるため、スループットが向上します。 このブログ記事では、ウェブベースの DynamoDB コンソールを使用して、数回クリックするだけで DAX を有効にすることに焦点を当てています。このウォークスルーの過程で、クラスター、ノード、サブネットグループ、パラメータグループ、イベントなどの DAX 主要コンポーネントについて理解を深めることができます。 DynamoDB コンソール DynamoDB Accelerator セクションの詳細ウォークスルー DynamoDB の設定については、このブログ記事のパート 1 を参照してください。このウォークスルーは、DynamoDB コンソールに 1 回以上アクセスしたことを前提としています。コンソールの DynamoDB DAX セクションで利用可能なすべての機能と、そこからアクセスする方法についてステップバイステップのウォークスルーに沿って説明します。 DynamoDB DAX コンソールに初めてアクセスした後は、常にコンソールの [ダッシュボード] ページから始めます。ダッシュボードには、Amazon CloudWatch アラームによってトリガーされた最近のアラート、DAX サービスヘルス、DynamoDB Accelerator に関するその他の情報に関する DAX コンポーネントの詳細が表示されます。 上のスクリーンショットで番号付けされているように、ダッシュボードのセクションは以下のとおりです。 # セクション 説明 1 クラスターの作成 ダッシュボードから直接、DAX […]

Read More