【毎日AWS #174】 Amazon VPC Flow LogsとAmazon Athenaが統合可能に他7件 #サバワ

はじめに
スクリプト
さいごに

はじめに

サーバーワークス毎日AWS火曜日担当の古川です。4/6放送の毎日AWS #174のトークスクリプトの公開を致します。

www.youtube.com

今回は4/3、8件のアップデートがありました。

スクリプト

1. Amazon VPC Flow LogsがAmazon Athenaと統合可能に

Amazon VPC Flow Logsでは、Amazon Athenaを使用してVPCフローログを簡単にSQL検索できるようになりました。

VPC Flow LogsとはVPC内のネットワークトラフィックをログとして保存する機能です。また、Amazon AthenaはS3内のデータをSQL検索するサービスです。

従来は、VPC Flow Logsを出力するためのS3バケットを自分で用意し、S3バケットに保存されたフローログをAthenaでSQL検索できるよう設定する必要がありました。

今回のアップデートにより、マネージメントコンソールから事前に作成したVPCフローログを選択し、「Generate Athena integration」を選択します。それにより、パーティション化されたAthenaテーブルを自動的に作成できる、AWS CloudFormationテンプレートが生成されます。

このテンプレートからスタックを作成し、Amazon Athenaコンソールのクエリエディタにアクセスして、Amazon S3に配信されたVPCフローログの分析をすぐに開始します。さらに、この統合により、Athenaテーブルに新しいデータを自動的に投入することができるため、常に最新のフローログをSQL検索することができます。

この機能は、マネジメントコンソール、AWS CLI、AWS SDKから使用可能です。

Amazon Athenaを使用してVPCフローログの分析を利用されたことある方には、設定の手間が省けるのでありがたいアップデートではないでしょうか

参考）https://aws.amazon.com/about-aws/whats-new/2021/04/amazon-vpc-flow-logs-accounces-out-of-box-integration-with-amazon-athena/

2. AWS BatchがジョブレベルでEFSボリュームをサポート

AWS Batchのジョブ定義でEFSのファイルシステムを指定できるようになりました。

AWS Batchとは、バッチコンピューティングジョブを簡単かつ効率的に実行するマネージドサービスです。ジョブを実行する際は、Amazon EC2またはAWS Fargateどちらかを選択することが可能です。

AWS BatchジョブにEFSを使用することで、ユーザーが指定したファイルシステムをジョブ定義で自動的にマウントでることが可能です。

これにより、ジョブレベルで永続的な共有ストレージを定義し、使用することができます。

AWS Fargateでは元々EFSによるマウントが可能でしたが、今回のアップデートにより、AWS Batch上からでもEFSマウントが実施できるようになりました。

容量の大きいバッチコンピューティングシステムを構築する予定の方は、AWS Fageteだけでなく、AWS Batchの使用も検討してみてはいかがでしょうか。

参考）https://aws.amazon.com/about-aws/whats-new/2021/04/aws-batch-supports-efs-volumes-job-level/

AWS WAFがLabelsをサポートし、ルールのカスタマイズとレポーティングを改善

AWS WAFでは、ラベルを生成し、そのラベルに基づいてWAFルールをカスタマイズできるようになりました。

AWS WAFとは、ウェブリクエストに対して独自で設定したルールに基づき、許可、ブロック監視を設定し、ウェブアプリケーションを攻撃から保護するファイアーウォールです。

今回のアップデートにより、定義したWAFルールがリクエストにマッチしたときに、Webリクエストにラベルを追加するよう設定することができます。また、次に続くWAFルールで、Webリクエストに追加したラベルが存在するかをチェックし、ラベルを含む場合はそのWebリクエストに対してアクションを起こすことができます。

また、ラベルを生成すると、対応するCloudWatchメトリックスが生成され、WAFのログにラベルが追加されるので、可視性が上がります。

ラベルを使用するための追加費用は必要なく、AWS WAFの一般的な使用料のみで利用することができます。

ラベルを使用することで、特定のラベルを追跡することができるので、より厳密にWAFルールの設定が可能になり、ウェブアプリケーションの保護をより強固なものにできるのではないでしょうか

参考）https://aws.amazon.com/about-aws/whats-new/2021/04/aws-waf-supports-labels-to-improve-rule-customiazation-and-reporting/

4. CloudFormationでAWS Budgets予算アクションのサポートが可能に

AWS CloudFormationのテンプレート、スタック、StackSetsで、AWS Budgetsリソースの予算制限を強制するバジェットアクションを設定できるようになりました。

AWS Budgetsのバジェットアクションとは、定義した予算金額の閾値を超えたときに、アカウントで実行するアクションを定義できます。コントロールにより、アカウントでの意図しない支出超過を減らすことができます。

AWS CloudFormationを使用して、CloudFormationテンプレートの一部として予算アクションを作成、編集、削除し、IaCにおけるコスト管理を強化できるようになりました。

新しいAWSアカウントもしくは、IAMからインフラストラクチャを構築する度に、AWS Budgetsのバジェットアクションも一緒に作成することができるので、IaC上でアカウントを多数管理している企業にとっては、コスト管理がしやすくなるので、有用なアップデートではないでしょうか。

参考）https://aws.amazon.com/about-aws/whats-new/2021/04/aws-budgets-announces-cloudformation-support-for-budget-actions/

5. Amazon Comprehendが、カスタムモデルに対するIAM Condition KeyとCMKのサポート

Amazon Comprehendは、機械学習を用いてテキスト文書を分析し、テキスト中の感情、言葉の意味や関連性、トピックを識別する自然言語処理サービスです。

今回のアップデートでは、セキュリティに焦点を当てた2つの機能がサポートされました。

まず1つ目がIAMConditionキーのサポートです。IAMポリシーでIAMのConditionキーを使用すると、Amazon Comprehend APIのAmazon Virtual Private Cloud（VPC）と暗号化設定を制御することができます。

IAMポリシーで新しい条件キーを使用することにより、例えば、セキュリティ要件として、すべてのComprehendの非同期ジョブがVPCエンドポイントを使用することをを強制できるようになりました。

2つ目は、顧客が管理するKMSキーによるカスタムモデルの暗号化のサポートです。Amazon Comprehendででは推論に使用されるトレーニングデータや機械学習ボリュームを暗号化するためのカスタマー・マネージド・キー（CMK）をすでにサポートしていましたが、それに加えて、カスタムモデルの暗号化もサポートしました。

最近、AWSはAmazon Comprehendを頻繁にアップデートしており、特に今回はセキュリティ関連のアップデートがあったので、Amazon Comprehendの世界的な需要の高まりを感じます。

参考）https://aws.amazon.com/about-aws/whats-new/2021/04/announcing-support-iam-condition-keys-cmk-custom-models-amazon-comprehend/

6. JDBCをサポートするデータベースや、Amazon Redshiftのデータを、AWS Glue DataBrewで使用可能に

AWS Glue DataBrewでネイティブJDBC接続を介して、数回クリックするだけでAmazon Redshift、Snowflake、Microsoft SQL Server、MySQL、Oracle Database、PostgreSQLから、データのクリーンアップと変換ができるようになりました。

AWS Glue DataBrewは、データ準備のための250以上の事前に用意されている変換機能を使用して、コードを記述することなく簡単に、データのクリーンアップと正規化を行うことができるビジュアルデータ準備ツールです。

また、JDBC接続とは、Java Database Connectivityの略称で、リレーショナル・データベースにアクセスするための標準Java APIです。

今回のアップデートにより、マネジメントコンソールからこれらのJDBC接続を設定し、コードを書くことなく、AWSデータレイク、データウェアハウス、データベースからのデータセットを直接探索したり、操作することができます

AWS Glue DataBrewによって、データの準備をより迅速にできるようになるので、機械学習の導入が容易になりました。JDBCを使用したアプリケーションを本番運用されている方は、ぜひご利用を検討してみてはいかがでしょうか

参考）https://aws.amazon.com/about-aws/whats-new/2021/04/prepare-data-from-amazon-redshift-other-databases-in-aws-glue-databrew/

7. AWS Firewall Managerで、AWS WAF Bot Controlを組織全体へ展開可能に

AWS Firewall Managerでは、セキュリティ管理者が中央管理者アカウントから、AWS WAF Bot Controlを AWS OrganizationsのSCPに展開できるようになりました。

AWS WAF Bot Controlとは最近リリースされたサービスで、アプリケーションへのボットトラフィックの可視化と制御を可能にする、新しいマネージドルールグループです。ボットコントロールを使用することで、過剰なリソースを消費したり、メトリクスを歪めたり、ダウンタイムを引き起こしたり、その他の悪意のある活動を行う自動化されたボットからWebアプリケーションを保護することができます。

AWS WAFボットコントロールを識別するAWS Managed Rule Group（AMR）をセキュリティポリシーに含めることで、セキュリティ管理者は、組織内で新しいアカウントやリソースが作成された場合でも、組織全体でボットコントロールのルールを一貫して適用することができます。

今回のリリースでは、Firewall Managerが自分のアカウントに展開したボット制御ルールグループに対して、ボットおよびボットカテゴリーのラベルを生成することもできます。このラベルは、特定のボットからのトラフィックを許可またはブロックするために、組織内の個々のアカウントで使用することができます。

AWS WAF Bot ControlはAWS Firewall Managerに統合されているサービスなので、Firewall Managerを導入されている方は、AWS WAF Bot Controlを使用してボットトラフィックをブロックすることにより、よりセキュリティを向上できるのではないでしょうか。

参考）https://aws.amazon.com/about-aws/whats-new/2021/04/aws-firewall-manager-supports-centralized-deployment-new-aws-waf-bot-control/