Amazon Web Services ブログ

Tag: General

【AWS発表】新機能:Service Last Accessed Dataからのより詳細な情報取得

昨年末にAWS Identity and Access Management (IAM) で、IAMエンティティ(ユーザー、グループ、ロール)がAWSサービスに最後にアクセスした時刻を表示する機能としてService Last Accessed Dataをリリースしました。この機能は、最小限の権限付与に大きく役立つツールです。 本日、Service Last Accessed Dataの情報が追加され、どの権限を削除できるかをより簡単に識別することができるようになりました。 今回のリリースで、IAMエンティティとポリシーについて次のような情報にアクセスできます: マネージドポリシーやグループに関連付けられている全てのIAMユーザーおよびロールのLast Accessed Data あるIAMユーザー、ロール、グループに対して、サービスの権限を与えている全てのポリシー これらの追加された詳細データによってアクセスパターンやポリシー構成がより理解しやすくなります。結果として、より良い情報を元に権限管理の決断をくだせます。 この記事では、新しいより詳細なService Last Accessed Dataをウォークスルーし、どのように権限管理をより効果的に行うかについて説明します。   マネージドポリシーあるいはグループに関連付けられた全てのIAMユーザーおよびロールの最終アクセス履歴を参照する   あなたが、ユーザーやアプリケーションのセキュリティを管理する責任をもつIAMの管理者だと想像して下さい。全ての権限が必要ないIAMユーザーやロールに対して、ポリシーが広すぎる形で適用されていないかどうかを知りたいと思うことでしょう。これまでは、マネージドポリシーのアクセスアドバイザータブでは、サービスがいつ最後にアクセスされたかが表示されていましたが、どのユーザーあるいはロールが最後にアクセスしたのかを特定するためには、AWS CloudTrailのログをサーチする必要がありました。今回の機能によって、次のスナップショットに示すように、エンティティによるアクセス列のリンクをクリックすることにより、どのユーザーあるいはロールがそのサービスに最後にアクセスしたかだけではなく、そのサービスに関連付けられた全てのユーザーやロールがいつ最後にアクセスしたのかをすぐに見ることが出来るようになりました。   例えば、次のスクリーンショットは、あるマネージドポリシーで付与されているAmazon EC2の権限についての情報を表示しています。見ての通り、ポリシーをアタッチされている全てのユーザーやロールが実際にEC2にアクセスしているわけではありません。つまり、このユーザーやロールのうちの幾つかは、剥奪可能な過大な権限を持っていることを示しています。   あるユーザー、ロール、グループに対してサービスの権限を付与している全てのポリシーを参照する   さきほどと同じように、あなたが最小権限の原則を適用しようとしているIAM管理者であることを想像してください。あるユーザーやロールに対するService Last Accessed Dataを参照した後に、ユーザーやロールから必要ないポリシーを削除したりデタッチしたりしたいと思うかもしれません。この手助けとして、ユーザーのアクセスアドバイザータブで、どこで権限が付与されているかをクイックに見るために、ポリシーのアクセス権限内のサービス権限のリンクをクリックして下さい。そうすれば、AWS管理ポリシーやIAMグループから継承されたポリシーが表示されます。ダイアログボックスの中でポリシーの名前をクリックすることでそのポリシーを参照でき、簡単に変更を行うことが出来ます。   次のスクリーンショットは、あるIAMユーザーに付与されているEC2に対する権限のソースを示しています。見ての通り、複数のマネージドおよびインラインポリシーが定義されていて、幾つかのポリシーをクリーンナップあるいは統合する事が適切であるということを示唆しています。   Service Last Accessed Dataをより詳細に参照できる機能によって、権限管理がより容易になります。より詳細化されたService Last Accessed Dataについてコメントがある方は、下記のコメント欄にお願いします。ご質問のある方は、IAMフォーラムへの投稿をお願い致します。 – Zaher (翻訳はSA布目が担当しました。原文はこちら)

Read More

新しいAWSコンピテンシー – AWS移行

お客様から大規模ワークロードをAWS上に移行したい、そしてクラウド移行戦略に関する助言を求めている、とますます聞くようになりました。私たちは、AWS Database Migration Serviceを含むいくつかのクラウド移行ツールやサービス、そしてAWS Professional Services Cloud Adoption Frameworkのようなリソースを提供しています。さらに、AWSへの移行を成功に導く支援に関する専門性を発揮している、AWS Partner Network(APN)のコンサルティングおよびテクノロジーパートナーによる強力かつ成熟したエコシステムがあります。 移行を成功させた実績があり技術力を発揮してきたAPNパートナーをお客様が容易に見分けられるよう、AWS移行コンピテンシー(AWS Migration Competency)のローンチについて発表できることを嬉しく思います。 新しい移行コンピテンシー – 移行パートナーソリューション 移行コンピテンシーパートナーは、複雑な移行プロジェクトの調査、計画、移行、運用といったすべてのフェーズを通じて培ったAWSへの移行を成功させるための豊富な経験を持っており、ソリューションを提供します。 AWS Partner Competency Programでは、 以下のパートナーがエンタープライズ顧客のアプリケーションやレガシーなインフラストラクチャをAWS上に移行する支援ができることを確認しています。 カテゴリーとローンチパートナー 移行デリバリーパートナー – プロフェッショナルサービスによる教育、ツール、人員を提供することで成果を加速させ、すべての移行ステージでお客様を支援します。これらのパートナーは、AWS上のワークロードを継続的にサポートすることができるManaged Service Provider(MSP)としてAWSの監査を受けている関係にもあります。以下がローンチパートナーです(abc順、敬称略): 2nd Watch Accenture Classmethod, Inc. (クラスメソッド株式会社) ClearScale Cloud Technology Partners cloudpack (アイレット株式会社cloudpack事業部) Cloudreach Cognizant Technology Solutions CorpInfo CSC FPT Software Infosys Logicworks REAN Cloud Serverworks (株式会社サーバーワークス) Slalom Consulting Smartronix 移行コンサルティングパートナー – 特定の機能の迅速な開発や特定の成果を達成するためのトレーニングと専門知識を提供します。ソリューションの実装やアプリケーションのモダナイゼーションにおいて、DevOpsの適用を可能にするコンサルティングサービスを提供します。以下がローンチパートナーです(abc順、敬称略): […]

Read More

AWS Config – タグの変更検知の高速化、新しいマネージド ルール追加、およびユーザビリティの向上

AWS Config Rulesにいくつかの改良が加わり、より便利に利用できるようになりました。”required-tags“ルールの精度が改善され、タグの変更後数分以内にタグ変更の通知を受け取ることができるよになりました。またIAMユーザに対する多要素認証が有効になっているかを確認するマネジドルールも新たに追加され、JavaのサンプルコードがConfig Rules GitHub レポジトリで公開されています。さらにConfig Rulesコンソールから準拠/非準拠の注釈を確認することができ、Config Rulesの詳細ページからルールの呼び出しであったり、評価の際のタイムスタンプ等より細かい粒度のステータスを受け取ることができるようになりました。 翻訳は酒徳が担当しました。原文はこちら。

Read More

週刊AWS – 2016年4月25日

今日5/6はゴールデンウィークの谷間の平日です。今日はお休みにして、どこかに出かけられている方も多いのではないでしょうか?私は今日は仕事の日ですが外出の予定がありませんでしたので、とあるコワーキングスペースで仕事をすることにしてみました。いつものオフィスとは環境が変わって、案外はかどるものですね。 それでは、いつものように先週AWSの世界で起こった出来事を振り返ってみましょう。 月曜日 4月25日 AWS CloudFormationでEC2、ECS、Lambda、GameLiftのサポート改善を発表いたしました。 AWS IoTがアジアパシフィック(シンガポール)リージョンで利用可能になりました。 AWS Marketplace for Desktop Appsが欧州(アイルランド)リージョンで利用可能になりました。 AWS DevOps BlogにてHashiCorpのConsulとAWS CodeDeployによるデプロイメント がポストされました。 AWS Big Data BlogにてApache Sparkのスキルを磨きましょうがポストされました。 AWS Compute Blogにてゾンビが蔓延する世界をサーバレスなマイクロサービスで生き抜こうがポストされました。(訳注:タイトルは「2016 AWS Zombie Microservices Roadshowのお知らせ」が適切ですが原題が面白いのであえて意訳は最小限にしておきました) AWS Enterprise Blogにてあなたの会社におけるクラウド推進を推し進めるエンジンがポストされました。 AWS Partner Network BlogにてオンプレミスのネットワークエンジニアのためのAmazon VPCがポストされました。 火曜日 4月26日 ClassicLinkがVPCピアリングをサポートいたしました。 Amazon RDS MySQLでMySQL5.6から5.7へのアップグレードをサポートいたしました。(日本語版記事) 新たなホワイトペーパー(英語版)、IoTで重要な事柄を公開いたしました。 Amazon GameDev BlogにてLumberyard Beta 1.2が利用可能になったことを発表いたしました。 Amazon Web Services Blog(英語版)にて機械学習とレコメンデーション、そしてCloud Academyのデータアナリストがポストされました。 AWS […]

Read More

GE Oil &Gas 社 – クラウドでデジタルトランスフォーメーション

GE Oil & Gas 社は、親会社の General Electric 社によって行われた一連の買収の結果、1980 年代後半に誕生した、同社の比較的新しい部門です。現在、GE Oil &Gas 社は、親会社のデジタル革命を主導しています。下記のゲスト投稿は、GE Transportation の CTO で、以前は GE Oil & Gas 社のクラウド設計者であった Ben Cabanas 氏が、2016 年にオーストラリアのシドニーで行われた AWS Summit における同氏の最新のプレゼンテーションのテーマであった、大規模エンタープライズのクラウド移行に必要な主要ステップについて書かれたものです。 詳細については、AWS によるエンタープライズクラウドコンピューティングを参照してください。 課題と変革 GE Oil & Gas は、GE を前進させる重要戦略である、GE のデジタル革命の最前線に立っています。この部門を取り巻く環境として、この業界は激しい競争とコスト課題に直面しており、技術革新を受け入れることが不可欠になっています。GE の CIO である Jim Fowler 氏が言及しているように、今日製造業で成功するには、デジタルイノベーターになる必要があります。 クラウドへの移行は、GE のこの革新の中核部分です。もちろん、これは、これほどの規模、グローバルリーチ、業界における役割を持った、エンタープライズ内の大きな部門にとって、「言うは易く行うは難し」です。GE Oil & Gas では、11 の異なるリージョンと 7 つのリサーチセンターにおいて、45,000 人以上の従業員が働いています。GE Oil […]

Read More

セキュリティ脆弱性診断サービスであるAmazon Inspectorの一般利用開始

我々は、Amazon Inspectorがプレビューを経て全てのお客様に一般利用可能となったお知らせが出来ることを嬉しく思います。 Amazon Inspectorは、セキュリティ脆弱性診断サービスです。これは、Amazon EC2上で稼働するお客様のアプリケーションのセキュリティやコンプライアンス適合の改善を支援します。Amazon Inspector は、自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認し、重大性の順に結果を表示した詳細なリストを作成します。Amazon Inspector には、共通のセキュリティベストプラクティスや脆弱性の定義に対応した何百ものルールが収められたナレッジベースが備えられており、それらはAWS のセキュリティ研究者によって定期的に更新されます。 Amazon Inspectorは前払いの投資も必要ありませんし、追加的なソフトウェアライセンスや保守費用、専用のハードウェアも必要ありません。 お客様はご利用分のみの支払であり、それは柔軟なユースケース、たとえば継続的デプロイメントやオートスケールなどへの対応(それらはホスト毎やIP毎の支払モデルでは難しいものでしょう)を提供します。 Amazon Inspectorは、90日の無償利用を含みます。 ぜひともより詳細な情報を得るためにAmazon Inspectorの製品詳細ページをご覧になってください。   原文はこちら。日本語訳は市崎が担当しました。

Read More

週刊AWS – 2016年4月18日

ついこの間に新年のご挨拶をしたと思っていたら、あっという間に4月も下旬になってしまいました。今週末からゴールデンウィークですが、今年は5/2と5/6をお休みにすると10連休になります。 この機会に旅行に出かける方も多いかもしれませんが、もしも時間が空いたらAWSのことを思い出してみてください!米国時間で4/18,19にAWS Summit Chicagoが開催され数多くの発表が行われました。かなりのボリュームがありますので、この機会に最新情報をキャッチしてみてはいかがでしょうか?(概要はこちらのWebページとこちらの資料をご覧ください) それでは、いつものように先週AWSの世界で起こった出来事を振り返ってみましょう。 月曜日 4月18日 AWS CodePipelineがAWS CodeCommitとの連携をサポートいたしました。 AWS CloudFormationが新たにAmazon API GatewayをサポートしたとともにCloudWatch EventsとAWS WAFのサポートを改善いたしました。 AWS Developer Blogにてサーバーレスなサービスディスカバリ(パート1 – はじめに、パート2 – 参照する)がポストされました。 AWS Mobile Development BlogにてAWS IoTとAmazon Machine Learningでメンテナンスを予測するがポストされました。 AWS Big Data BlogにてStrata+Hadoop 2016におけるAWS:ストリーミングデータ処理のためのスケーラブルなアーキテクチャをAWSで構築するがポストされました。 火曜日 4月19日 Amazon EBSの新ボリュームタイプ、スループット最適化HDDとコールドHDDを発表いたしました。(日本語版記事) AWS Device Farmのアップデート – インタラクティブなテストを可能にするリモートアクセスを発表いたしました。(日本語版記事) Amazon Cognito向けUser Poolsを発表いたしました。(日本語版記事) Amazon Kinesisのアップデート – Amazon Elasticsearch Serviceとの統合、シャード単位のメトリクス、時刻ベースのイテレータを発表いたしました。(日本語版記事) AWS Elastic […]

Read More

週刊 AWS – 2016 年 4 月 11 日

先週 AWS の世界で起こった出来事を振り返ってみましょう。 月曜日 4 月 11 日 AWS データベース移行サービスで詳細なテーブルとスキーマのマッピングがサポートされたことを発表しました。 既存のデータソース設定をコピーすることにより、Amazon ML に新しい Amazon Redshift データソースを簡単に作成できることを発表しました。 Amazon Kinesis Agent を新しいデータ処理機能とともに更新しました。 ECS CLI、AWS CLI、AWS SDK for Java、AWS SDK for Ruby、および AWS SDK for JavaScript を更新しました。 AWS サポートに運用に関する評価、推奨、およびレポート作成が追加されたことを発表しました。 Botmetric で、AWS クラウド内での単一障害点の排除について扱われました。 DZone Cloud Zone で、Amazon CloudWatch Logs を AWS Lambda を使用して Loggly に送信することが扱われました。 Gorillastack が、AWS コスト管理の新機能について発表しました。 Datadog […]

Read More

AWS Elastic Beanstalk 管理されたプラットフォームの更新

アプリケーションが動作するAWS Elastic Beanstalkの環境を、指定したメンテナンス時間帯に、自動的に最新のバージョンに更新するよう選択出来るようになりました。Elastic Beanstalkは、サポートされるプラットフォーム(Java, PHP, Ruby, Node.js, Python, .NET, Go, およびDocker)の新しいバージョンを定期的にリリースしています。こちらには、オペレーティングシステム、ウェブおよびアプリケーションサーバ、言語やフレームワーク等の更新も含まれます。以前は、Elastic Beanstalkコンソール、コマンドラインインタフェース(CLI)、またはAPIを使って手動でElastic Beanstalkの環境の更新を開始しなければいけませんでした。本日より、シンプルに1週間ごとにメンテナンス時間帯を選択して、その時間帯で自動的に環境のプラットフォームバージョンを更新させることが出来るようになりました。 管理されたプラットフォームの更新により、アプリケーションを動作させるプラットフォームへパッチ適用したり、更新し続けるようを気を付ける必要はなくなりました。Elastic Beanstalkは、エンドユーザーへの影響は最小限になるように安全な形で更新を行います。この更新はimmutableデプロイメントメカニズムを使用します。こちらにより、Elastic Beanstalkは同様のAmazon EC2インスタンス群を起動して、環境を交換して既存のインスタンスを終了する前に更新をインストールします。もしElastic Beanstalkのヘルスシステムが更新の間に問題を検知した場合には、アプリケーションのエンドユーザーへのインパクトを最小限に保ちつつ、既存のインスタンス群にトラフィックを向け直します。 Elastic Beanstalkは新しいパッチとマイナープラットフォームのバージョンの更新を自動的に実行できます。環境ごとに異なるメンテナンス時間帯をスケジュール可能です。また定期的にスケジュールが組まれたメンテナンス時間帯以外でアップデートを開始させることも可能です。Elastic Beanstalkは、(例:Java 7 Tomcat 7 からJava 8 Tomcat 8への)メジャーバージョンアップデートを自動的に実行しません。その理由は、メジャーバージョンののアップデートには非互換の変更や追加のテストが必要な場合があるためです。こちらの場合は、手動でアップデートを開始する必要があります。 利用開始するには、Elastic Beanstalkコンソールの設定タブ、EB CLIまたはAPIで、管理されたプラットフォームの更新を有効にしなければなりません。管理されたプラットフォームの更新についての詳細は、ドキュメントまたはFAQをご覧ください。 Elastic Beanstalkの詳細: 製品ページ ドキュメント リリースノート プラットフォームサポートリスト 翻訳は舟崎が担当しました。原文はこちらです。

Read More

AWSストレージアップデート – Amazon S3 Transfer Accelerationとより大きなSnowballをより多くのリージョンに展開

いくつかのAWSチームは、オンプレミスのデータをクラウドへ移動する処理を簡素化し、高速化することにフォーカスしています。当初はとてもベーシックなPUTのオペレーションとマルチパートアップロード機能のご提供から始めて、ディスクを送付する方法をご提供し、昨年のAWS re:Inventで、AWS Import/Export Snowballをローンチすることでそのプロセスはより簡素化されました。(AWS Import/Export Snowball – Amazon所有のストレージアプライアンスを利用して1週間あたり1ペタバイトのデータ転送を実現を参照下さい。) 本日、S3とSnowballに関する重要な改善についてお伝えします。この改善はどちらもデータ移行プロセスをよりシンプルに、より加速させるようデザインされています。以下が新しい機能になります。: Amazon S3 Transfer Acceleration – この新機能はAWSのエッジロケーションとネットワークプロトコルの最適化を利用し、S3へのデータ転送を高速化します。大きなオブジェクトを国を跨いで転送する場合、50%から500%の改善、もしくは特定の環境下ではそれ以上の高速化を見込むことができます。 より大きなSnowballをより多くのリージョンで – より大きなキャパシティ(80TB)のSnobwballが利用可能となりました。加えて、新たに2つのUSリージョン、および2つのインターナショナルリージョンでご利用頂くことができるようになりました。 Amazon S3 Transfer Acceleration 現在AWSは50箇所以上ののエッジネットワークを提供しています。今までは、Amazon CloudFrontによるコンテンツの配信やAmzon Route53による高速なDNSクエリの応答に利用されてきました。本日のアナウンスにより、S3へ、もしくはS3からのデータ転送の高速化にエッジネットワークが活用されます。もしあなたが、高速なインターネット回線を持ち、大容量のオブジェクトもしくは、大量のコンテンツを地域間で転送する際に、その恩恵を受けることが可能となります。 エッジネットワークを、あなたのアップロード場所(デスクトップもしくはオンプレミスのデータセンター)とターゲットのS3 Bucket間のブリッジとして利用いただけます。Bucketにてこの機能を有効にする(AWSマネージメントコンソールのチェックボックスをチェックする)ことで、簡単にBucketのエンドポイントをBUCKET_NAME.s3-accelerate.amazonaws.comのように変更することができます。それ以外の設定は不要です。設定後は、TCPのコネクションが自動的に最寄りのAWSのエッジロケーションにルーティングされます。S3 Transfer AccelerationによりAWSが管理するバックボーンネットワークと効率化されたネットワークプロトコル、エッジとオリジン間のパーシステント接続、最大化された転送ウィンドウなどを活用し、S3へのアップロード転送を行います。 下記が、自分のBucketに対してTransfer Accelerationを有効化する方法になります。(jbarr-public): 私のBucketのエンドポイントはhttps://jbarr-public.s3.amazonaws.com/でしたが、ツールやコードのエンドポイントをhttps://jbarr-public.s3-accelerate.amazonaws.com/に変更するだけです。これだけで、アップロードを行うとS3 Transfer Accelerationの恩恵をうけることができます。また同じルールで構成されたURLを利用することで、ダウンロードも高速化することが可能です。 ネットワーク設定や環境は日々もしくは場所により常に変動することから、Transfer Acceleration によりアップロードパフォーマンスが改善する可能性がある転送の場合のみ費用をお支払いいただきます。高速化転送は、GBアップロードあたり$0.04から課金されます。またS3の他の機能同様、初期費用および長期的なコミットメントは不要です。 新たに提供するAmazon S3 Transfer Acceleration Speed Comparisonを利用することで、Transfer Accelerationの効果を確認いただくことができます。私のUS West(Oregon)リージョンにあるAmazon WorkSpacesで実行した結果が下記となります: 距離に応じた、自分のリージョンからターゲットへの高速化の割合が確認いただけるかと思います。 本機能に関してより詳細を確認したい場合は、S3 開発者ガイドのGetting Started with Amazon S3 Transfer Accelerationを参照してください。本日より北京(中国)リージョンおよびAWS […]

Read More