Amazon Linux 2023 に関するよくある質問

Amazon Linux 2023 (AL2023) は、rpm ベースの汎用 Linux ディストリビューションであり、Amazon Linux 2 の後継です。AL2023 は、オペレーティングシステムのアップグレードの計画を簡素化します。Amazon Linux 2023 は、AWS サービスと統合され、クラウドでの大規模なデプロイを想定して設計されています。デフォルトでは、AL2023 AMI とコンテナイメージは、パッケージリポジトリの特定のバージョンにロックされ、確実な動作を保証し、継続的インテグレーションとデプロイ環境での OS アップデートの統合を簡素化します。

Amazon Linux 2023 GitHub ページを使用するか、アカウントチームと協力してバグや問題を報告することができます。

Amazon Linux のリリーススケジュールは、 https://docs.aws.amazon.com/linux/al2023/ug/release-cadence.html でご覧いただけます。

Amazon Linux のメジャーバージョンには、kernel、ツールチェーン、glibc、openssl、および他のすべてのシステムライブラリとユーティリティを含む、スタック全体の新機能とセキュリティおよびパフォーマンスの改善が含まれます。Amazon Linux のメジャーリリースの一部は、アップストリームの Fedora Linux ディストリビューションの現在のバージョンに基づいていますが、Amazon は Fedora 以外の他のアップストリームから特定のパッケージを追加または置換することを選択する場合があります (Linux カーネルが kernel.org の Long Term Support の選択肢から提供され、Amazon の Linux 製品専用に維持される、など)。リポジトリ内のパッケージのメジャーリリースの更新は、下位互換性がない場合があることにご留意ください。以前のメジャーリリースからの変更の完全なリストを提供します。四半期ごとのマイナーリリースには、セキュリティ更新、バグ修正、および新機能とパッケージが含まれます。マイナーリリースでの変更の例には、PHP などの最新の言語ランタイムや、Ansible や Docker などの他の一般的なソフトウェアパッケージが含まれます。メンテナンスフェーズ中、リリースはセキュリティ更新と重大なバグ修正のみを受け取ります。これらは利用可能になり次第発行されます。

更新は、新しい AMI (Amazon マシンイメージ) リリースと対応する新しいリポジトリの組み合わせを介して提供されます。デフォルトでは、新しい AMI とそれがポイントするリポジトリが結合されますが、実行中のインスタンスで更新を消費するために、時間の経過に合わせて実行中の Amazon EC2 インスタンスを新しいリポジトリバージョンにポイントすることができます。最新の AMI の新しいインスタンスを起動して更新することもできます。

新しいバージョン (メジャーバージョン、マイナーバージョン、またはセキュリティリリース) をリリースするたびに、新しい Linux Amazon マシンイメージ (AMI) もリリースします。

AL2023 は、リポジトリの特定のバージョンにロックします (これは、いずれのメジャーバージョンまたはマイナーバージョンでも当てはまります)。SSM パラメータを介して公開される AL2023 AMI は常に最新であり、重大および重要なセキュリティ更新を含む最新のパッケージと更新が含まれています。起動ウィザードを介して AL2023 AMI を使用して EC2 インスタンスを起動すると、常に最新の更新が提供されます。ただし、古い AMI からインスタンスを起動した場合、更新は自動的に適用されず、プロビジョニングの一部としてインストールされた追加のパッケージは、古い AMI の構築元となったリポジトリバージョンにマッピングします。これにより、特に同じ AMI から複数のインスタンスを起動する場合に、環境全体でパッケージバージョンと更新の一貫性を確保できます。自分に合ったスケジュールに基づいて更新を適用できます。起動時に特定の更新セットを適用することもできます。これらも特定のリポジトリバージョンにロックできるためです。詳細については、ドキュメントを参照してください。

AL2023 リポジトリの新しいバージョンが公開された後も、以前のすべてのバージョンは引き続きご利用いただけます。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされます。パッケージの更新をコントロールする必要がある場合は、「dnf check-release-update」を実行して更新可能なリポジトリのバージョンを検出し、リストにあるコマンド「dnf -releasever=version update」を実行してバージョンを選択できます。その時点で、「dnf install」または「dnf upgrade」は、選択したリポジトリバージョンからのみパッケージを選択します。パッケージの更新をコントロールする必要がない場合は、「最新」バージョンを選択できます。これにより、常に最新バージョンの AL2023 リポジトリがポイントされます。現在 Amazon Linux 2 を使用している場合、これにより、ユーザーおよび既存のパッチワークフローが想定する可能性のあるパッケージ更新の従来の動作が復元されます。

デフォルト設定では受け取りません。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされ、セキュリティ更新プログラムは適用されません。いつでもデフォルト設定を変更して、パッケージの更新を自動的に受け取るようにできます。セキュリティ更新のみを受け取るように指定することもできます。詳細については、ドキュメントを参照してください。

AWS は Amazon Linux 2023 用の Amazon マシンイメージ (AMI) を提供します。ユーザーはこれを使用して、Amazon EC2 コンソール、AWS SDK、CLI からインスタンスを起動できます。詳細については、Amazon Linux 2023 のドキュメントを参照してください。

いいえ。Amazon Linux 2023 を実行しても、追加料金は発生しません。Amazon EC2 インスタンスや他のサービスの実行には、Amazon EC2 および AWS の標準料金が適用されます。

AL2023 イメージは AWS 以外でも使用できますが、これらのイメージを AWS 以外で使用した場合、 AWS サポートプランの対象にはなりません。

AL2023 は、AWS で使用する汎用 Linux オペレーティングシステムをお求めの場合に最適なオプションです。AL2023 は Amazon EC2 向けに最適化されており、最新の AWS 機能とうまく統合されており、多くの AWS 固有のツール (AWS システムマネージャーと AWS CLI) との統合エクスペリエンスを提供します。 現在 Amazon Linux AMI (AL1) または Amazon Linux 2 (AL2) をご利用の場合は、両方の利点を兼ね備えている AL2023 の試用をご検討ください。Amazon Linux 2023 は、頻繁な更新と長期的なサポートを提供するだけでなく、予測可能なリリース頻度、柔軟性、および新しいソフトウェア更新に対するコントロールを提供し、標準のコンプライアンス要件を満たすためのカスタムポリシーの作成に伴う運用オーバーヘッドを排除します。

いいえ。AL2023 は Extras を備えていません。言語ランタイムなどの高レベルのソフトウェアパッケージの場合、四半期ごとのリリースを使用して、リポジトリで提供されるデフォルトパッケージに加えて、個別の名前空間化されたパッケージとしてメジャー/マイナー更新をパッケージに追加します。 例えば、Amazon Linux 2023 のデフォルトの Python バージョンは 3.8 である可能性がありますが、Python 3.9 (python39) が利用可能になると、別の名前空間化されたパッケージとして追加されます。これらの追加パッケージは、アップストリームリリース頻度とサポートモデルに厳密に従います。また、それらのサポートポリシーは、コンプライアンスとセキュリティのユースケースのために、パッケージマネージャーによってアクセスされることがあります。デフォルトパッケージは、AL2023 の存続期間を通じてサポート対象であり続けます。

Amazon Linux 2023 に関するフィードバックは、指定された AWS 担当者、Amazon Linux ディスカッションフォーラム、または Amazon Linux 2023 GitHub ページを通じて提供できます。 

メジャーリリースには、カーネル、ツールチェーン、glibc、openssl、およびその他すべてのシステムライブラリとユーティリティなど、スタック全体の新機能とセキュリティおよびパフォーマンスの改善が含まれます。AL2023 のメジャーリリースの一部は、アップストリームの Fedora Linux ディストリビューションの現在のバージョンに基づいていますが、Amazon は Fedora 以外の他のアップストリームから特定のパッケージを追加または置換することを選択する場合があります (Linux カーネルが kernel.org の Long Term Support の選択肢から提供され、Amazon の Linux 製品専用で維持される、など)。リポジトリ内のパッケージのメジャーリリースの更新は、下位互換性がない場合があることにご留意ください。以前のメジャーリリースからの変更の完全なリストが提供されます。これにより、パッケージレベルでインプレースアップグレードを実行できるようになります。

四半期ごとのマイナーリリース (1.1、1.2) には、セキュリティ更新、バグ修正、および新機能とパッケージが含まれます。マイナーリリースの例には、PHP などの最新の言語ランタイムや、Ansible や Docker などの他の一般的なソフトウェアパッケージが含まれます。マイナーリリースでは、アプリケーションの互換性を損なうような変更は行われません。例えば、言語ランタイムのデフォルトバージョンは安定したままですが、新しいバージョンの言語ランタイムは新しいパッケージとしてリポジトリに提供されます。

更新は、新しい AMI (Amazon マシンイメージ) リリースと対応する新しいリポジトリの組み合わせを介して提供されます。デフォルトでは、新しい AMI とそれがポイントするリポジトリが結合されますが、実行中のインスタンスで更新を消費するために、時間の経過に合わせて実行中の Amazon EC2 インスタンスを新しいリポジトリバージョンにポイントすることができます。最新の AMI の新しいインスタンスを起動して更新することもできます。

AL2023 リポジトリの新しいバージョンが公開された後も、以前のすべてのバージョンは引き続きご利用いただけます。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされます。パッケージの更新をコントロールする必要がある場合は、「dnf check-release-update」を実行して更新可能なリポジトリのバージョンを検出し、リストにあるコマンド「dnf -releasever=version update」を実行してバージョンを選択できます。その時点で、「dnf install」または「dnf upgrade」は、選択したリポジトリバージョンからのみパッケージを選択します。パッケージの更新をコントロールする必要がない場合は、「最新」バージョンを選択できます。これにより、常に最新バージョンの AL2023 リポジトリがポイントされます。これにより、ユーザーおよび既存のパッチワークフローが想定する可能性のあるパッケージ更新の従来の動作が復元されます。

AL2023 は、リポジトリの特定のバージョンにロックします。EC2 起動ウィザードに表示される AL2023 AMI は常に最新であり、重大および重要なセキュリティ更新を含む最新のパッケージと更新が含まれています。起動ウィザードを介して AL2023 AMI を使用して EC2 インスタンスを起動すると、常に最新の更新が提供されます (AL2 の現在のエクスペリエンスと同じです)。ただし、古い AMI からインスタンスを起動した場合、更新は自動的に適用されず、プロビジョニングの一部としてインストールされた追加のパッケージは、古い AMI の構築元となったリポジトリバージョンにマッピングします。これにより、特に同じ AMI から複数のインスタンスを起動する場合に、環境全体でパッケージバージョンと更新の一貫性を確保できます。自分に合ったスケジュールに基づいて更新を適用できます。

はい。SELinux は、アクセスコントロールポリシーを提供するセキュリティモジュールです。Linux サーバーをロックダウンし、悪意のあるアクティビティから保護するために、業界で広く使用されています。AL2023 内の主要なアプリケーションには、あらかじめ SELinux ポリシーが設定されており、お客様のコンプライアンスニーズに対応します。

AL2023 は、デフォルトで SELinux が許容モードになっています。コマンドラインから 'setenforce' を実行するか、cloud-init userdata から起動時にこのコマンドを実行することで、SELinux の設定をenforced modeに変更することができます。インスタンスを再起動すると、変更しない限り、最初に指定された SELinux 設定が記憶され、使用されます。詳細については、AL2023 ドキュメントをご覧ください。

詳細については、Amazon Linux 2023 リリースノートをご覧ください。リリース候補版と GA 版の間の変更の例としては、Hibernation エージェントや、デフォルトで IMDSv2 のみで起動するように登録された AMI（つまり IMDSv1 を無効にしたもの）などがあります。

Amazon Linux は、ほとんどの Linux ディストリビューションと同様に、定期的にセキュリティ修正をリポジトリ内の安定したパッケージバージョンにバックポートします。これらのパッケージがバックポートで更新されると、特定の問題の Amazon Linux セキュリティ速報に、Amazon Linux で問題が修正された特定のパッケージバージョンが一覧表示されます。プロジェクトの作成者によるバージョニングに依存しているセキュリティスキャナーでは、特定の CVE 修正が古いバージョンに適用されたことが検出されないことがあります。お客様は、Amazon Linux Security Center (ALAS) でセキュリティ上の問題や修正に関する最新情報を確認できます。

Federal Information Processing Standard (FIPS) Publication 140-3 には、連邦コンピュータシステムのデータ保護と暗号化に関する標準とガイドラインが含まれています。暗号モジュールの有効性を検証するために、米国国立標準技術研究所（NIST）、カナダサイバーセキュリティセンター（CCCS）、および業界ワーキンググループによって開発されました。FIPS 140-3はISO/IEC 19790規格に準拠しており、現在は廃止されたFIPS 140-2規格と比較してセキュリティ要件に新たな強化が導入されています。組織が米国やカナダの連邦政府機関である場合や、機密データの取り扱いを連邦政府機関と共同で行っている場合は、FIPS 140-3 が必要になることがあります。

Amazon Linux 2023 (AL2023) は、当社の暗号化モジュールの連邦情報処理標準 (FIPS) 140-3 レベル 1 の検証を達成しました。FIPS 140-2に代わるFIPS 140-3は、暗号モジュールに関する最新の政府セキュリティ標準であり、米国国立標準技術研究所（NIST）とカナダサイバーセキュリティセンター（CCCS）が暗号モジュール検証プログラム（CMVP）を通じて共同で検証しています。検証はFIPS 140-3標準で概説されている厳しい要件に従い、次のような重要な暗号モジュールを含みます。

* openssl-fips-provider 認定パッケージには、openssl-3.0.8-1.amzn2023.0.17 パッケージで認定されたのと同じ openssl FIPS プロバイダーが含まれています。詳細については、「AL2023 での OpenSSL FIPS プロバイダーのスワップ」を参照してください。さらに、証明書の詳細は CMVP アクティブ検証リストで確認できます。

AL2023 で FIPS モードを有効にするには、Amazon EC2 インスタンスに必要なパッケージをダウンロードし、それに接続して FIPS モードをオンにします。詳細な手順については、「FIPS モードを有効にする」をご覧ください。

AL2023 FIPS準拠環境で暗号化モジュールを管理するには、検証済みバージョンとセキュリティアップデートのバランスを取る必要があります。 FedRAMP ポリシーでは、競合が発生した場合は、特定の FIPS 検証ステータスを維持するよりもセキュリティパッチを優先することを推奨することでこの問題に対処しています。これは特に重要です。AL2023のセキュリティ更新は、FIPS検証よりも頻繁にリリースされるため、通常、重大な脆弱性に対処しながら、FIPS準拠の実装を維持します。お客様は、コンプライアンスチームやFedRAMP文書に相談して、特定の規制環境に合わせたリスクベースのアプローチを開発することをお勧めします。

AL2023 はパッケージの更新を提供し、AL2023 で構築されたお客様のアプリケーションのメジャーバージョン内で互換性を維持します。glibc、openssl、openssh、および dnf パッケージマネージャーなどのコアパッケージについては、AL2023 のメジャーリリースの存続期間はサポート対象となります。コアパッケージの一部ではないパッケージは、アップストリームソースによって定義されたサポートの対象となります。「dnf supportinfo packagename」コマンドを実行すると、個々のパッケージの特定のサポートステータスと日付を表示できます。コアパッケージの完全なリストは、プレビュー期間中に確定されます。より多くのパッケージがコアパッケージとして含まれることをご希望の場合は、当社までお知らせください。収集するフィードバックに基づいて評価を実施します。Amazon Linux 2023 に関するフィードバックは、指定された AWS 担当者、Amazon Linux ディスカッションフォーラム、または Amazon Linux 2023 の GitHub ページを通じて提供できます。