【AWSアプデ 4/8】Amazon Route 53 Resolver DNS Firewall が一般提供開始他8件【#毎日AWS #177 】

はじめに
アップデート内容

はじめに

今回は、 4/8のアップデートについて紹介していきます。こちらの内容については、YoutubeやPodcastでもアップロードしているので、気になる方はぜひチェックしてください。

■ Youtube での配信

youtu.be

■ Podcast での配信

Apple Podcast や Spotifyなど、各種配信サービスにて「サーバーワークス」で検索！

では、さっそく最新1日のアップデートを見ていきましょう。今回は 4/8 、8件のアップデートがありました。

アップデート内容

Amazon Route 53 Resolver DNS Firewall が一般提供開始

ちょうど先週金曜日の放送でも取り上げましたが、ついに Route 53 Resolver DNS Firewall が一般提供開始されました! 前回も一般提供開始と言っていましたが、今回がほんとに一般提供開始ですね。混乱させてしまい申し訳ございません。

前回のアップデートでは一部リージョンでしか使えなかったのですが、今回のアップデートですべてのAWSリージョンで使用できるようになったみたいですね！

ざっくりおさらいすると

〇 Amazon Route 53 Resolver DNS Firewall

悪意ある DNS クエリをフィルタリング/検知するマネージドなファイアウォールを、インバウンドエンドポイント/アウトバウンドエンドポイントに設置できる

■ メリット

DNSクエリを企業要件に沿って制御できるので、名前解決を行わせないことでVPC内リソースへの悪意あるインバウンドアクセスを防いだり、
VPC内リソースからの意図しないDNSクエリを検知したりと、
通信セキュリティを向上することができます。

■ 料金

①ルールグループ内のドメインリストに保存されているドメインごとに月額$ 0.0005。
②ファイアウォールを経由する DNSクエリ、100万件ごとに$0.6
参考: https://aws.amazon.com/route53/pricing
※今は言語を英語にしないと見れませんでした

■ デプロイ方法

AWS FireWall Manager と統合されているため、一つの管理アカウントから複数アカウントに対して一斉にファイアウォールルールをデプロイすることも可能ですし、
AWS Resource Access Manager（RAM）を使用して、ファイアウォールルールをそのまま複数アカウント間で共有することも可能と、
かなり柔軟に複数アカウントに適用することもできるのでぜひ使ってみてください!

IAM Access Analyzer が過去アクティビティから IAM Policy を生成できるように

既存のポリシーを分析して、意図しないアクセス許可などを特定する IAM Access Analyzer のアップデートです。

Access Analyzer が、IAMユーザ/ロールについて、CloudTrail ログから過去アクティビティを分析して、最小権限の IAM ポリシーを自動作成できるようになりました。

■ やり方

分析に使用するトレイルと、分析する期間を選んであげるだけで、簡単にポリシー生成が可能です。

<具体的な手順>

IAM コンソールから、分析したい IAM ユーザ/ロールを開き、
「アクセス権限」タブ > 「CloudTrail イベントに基づいてポリシーを生成」項目で、「ポリシーの生成」を押してあげます。
その後、使用するトレイルと、分析期間を選んであげれば生成されます。

実行すると、既存のIAMユーザ/ロールのポリシーが直接書き変わるわけではなく、あたらしいロールと管理ポリシーが生成されるので、その点はご安心ください。

■ メリット

開発の時はまず広い権限を付けて、実行できることを確認したら徐々にポリシーを絞ってくことが多いので、
この工程を数クリックで自動化できるのはすごい

■ 料金

ドキュメントで記述を見つけられなかったのですが、
IAM Acess Analyzer 自体料金はかからないので、今回も料金はかからないと思われます。
参考: https://aws.amazon.com/jp/blogs/news/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer/

■ リージョン

東京リージョンでも使えました。

今回のアップデート、どれほどの精度があるのかが気になるとこですが、個人的にはかなり積極的に使っていきたいです！

Amazon ElastiCache がタグベースのアクセス制御をサポート

今回大きく2つのアップデートがございました。

ElastiCache へのアクセス制御をタグベースで行えるようになりました。
ElastiCache でタグ付けが出来るリソースが増えました。

① ElastiCache へのアクセス制御をタグベースで行えるようになりました。

タグベースのアクセス制御は、IAM ポリシーの Condition キー内に定義できます。

参考: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Tagging-Resources.html#Tagging-access-control

■ メリット

ユーザが特定のプロジェクトや特定環境の ElastiCache のみ操作出来る、ようなアクセス制御できるので、
誤操作といったトラブルを防げるようになります。

② ElastiCache でタグ付けが出来るリソースが増えました。

具体的にどのリソースのタグ付けが増えたかまでは追えてませんが、少なくともドキュメントを見る限り、「レプリケーショングループ」は今回のアップデートでタグ付けがサポートされたみたいです。

あらためてどのElastiCacheのどのリソースでタグ付けができるのか、詳細はドキュメントを見てください。

参考: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Tagging-Resources.html

■ リージョン

どちらのアップデートも全ての東京リージョンに対応しています。

環境内の IAM ポリシー変更は大変だと思いますが、トラブルを未然に防ぐためにも是非実施をお願いします。

AWS CloudFormation StackSets が複数リージョンの並列デプロイをサポート

1つの CFN テンプレートから、リージョン/アカウントを超えて CloudFormation Stack をデプロイできる Stack Sets が、複数リージョンにおける Stack の並列デプロイをサポートしました。

これから開発者は複数リージョンへのデプロイ時に、順次デプロイもしくは並列デプロイを選択できるようになるそうです。

■ メリット

並列デプロイの方が、順次デプロイよりもわずかにデプロイまでの時間が短縮されます。
リージョンが増えれば増えるほど効果ありそう

■ リージョン

AWS CloudFormationStackSetsが現在利用可能なすべてのAWSリージョンで利用できます

デプロイ方法を選択できる場面では、基本的に並列デプロイを選択するのがよいですね。

AWS Backup が Amazon EFS のバックアップに対してコスト配分タグをサポート

AWS Backup 経由で取得した Amazon EFS のバックアップに対してコスト配分タグを使用出来るようになりました。
EFS のバックアップにつくタグは、バックアップ元の EFS ファイルシステムから自動的に継承するそうです。
コスト配分タグ機能は、AWS Billing and CostManagement コンソールから設定する必要があります。

■メリット

コスト配分タグを使うことで、EFS のバックアップコストを細かく可視化することができます。
- ex) 部門ごとのタグを用意して、各部門がどれだけ使っているか確認する
- ex) ワークロードごとにタグを用意して、それぞれのワークロードごとのコストを割り出す。

■リージョン

AWS Backup が使用できる全てのリージョンに対応

今回の機能を有効活用するために、EFS 構築時に特定のタグを強制するようIAMポリシーで制御してあげるといいんじゃないかなと思います！

AWS Glue が Fill Missing Values トランスフォーム機能を追加

ETL 処理のマネージドサービス AWS Glue が、Fill Missing Values トランスフォーム機能をサポートし、機械学習に基づいて欠測値を代入してくれるようになりました。代入値には、カテゴリデータもしくは数値データをサポートしているそうです。

3/29 の時点で GUI で ETL処理できる AWS GlueStudio でこの機能はサポートされてたみたいなんですけど、今回 Glue も対応したよという感じですね。

仕組みをざっくり解説すると

入力した表形式のデータセットの完全な行データを基にトレーニングし、線形回帰やランダムフォレストなどの機械学習モデルを構築
構築したモデルに、欠測値が含まれる行データをインプットして、欠測値を予測するという感じらしいです。

■ メリット

欠損値をデータセットからlクリーンアップできるため、クエリを投げるときに考慮する必要がないです

■ リージョン

AWS Glue が使用できるリージョンでサポートされます。

まずは、GlueStudio で試してイメージをつかんでから Glueでも試してみるといいんじゃないかなーとおもいます！

Swift Package Manager を介して Amplify iOS を利用できるように

Swift Package Manager を介して AWS Amplify ライブラリをインストールできるようになったというアップデートです。

〇 AWS Amplify

フロントエンドやモバイルアプリを素早く開発するサービス
ウィザードに沿うだけでバックエンドをデプロイしてくれるので、開発者はアプリレイヤーの開発に注力できます

〇 Swift Package Manager(SPM)

2017年にAppleによってリリースされたパッケージ管理ツール
node の npm や、python の pip と同じ。
公式からリリースされているため、Swift で使われるパッケージ管理ツールとしてはデファクトスタンダードぽいです。

■ メリット

SPM を使っていた iOS開発者の人にはうれしいアップデートで、
今までは Amplify ライブラリをインストールするために CocoaPods と呼ばれる別のパッケージ管理ツールが必要でしたが、
今回のアップデートにより、CocoaPods を廃止して、SPM で一元管理できるようになります。

これを機に過去の iOSアプリの開発プロジェクトも見直して見るといいかもしれませんね。

Amazon MQ が RabbitMQ ver3.8.11 をサポート

Apache ActiveMQ や RabbitMQ などのオープンソースなメッセージブローカーサービスをマネージドで提供するAmazon MQ が、新しく RabbitMQ ver3.8.11 を起動できるようになりました。

〇 RabbitMQ
参考: https://www.rabbitmq.com/

いままでは ver3.8.6 がサポートされてたのですが、ver3.8.11 になったことで、いくつかのセキュリティ修正やバグフィックス、新機能が追加されるそうです。
参考: https://www.rabbitmq.com/changelog.html

■ 注意点

「自動マイナーバージョンアップグレード」が有効の場合は、メンテナンス期間中に ver3.8.11 に自動アップグレードしてしまうので、念のため確認することを推奨します。

AWS Audit Manager が NIST 800-53 (Rev. 5) Low-Moderate-High をサポート

AWS Audit Manager で新しく NIST 800-53 Low-Moderate-High フレームワークのリビジョン5に沿った監査が可能になりました。

〇 AWS Audit Manager

re:Invent 2020 で発表されたサービス
AWSの利用状況を継続的に監査して
第三者認定や法規制などのコンプライアンス基準を満たしていることの証拠を収集し、
レポートを作成する参考: https://blog.serverworks.co.jp/overview-of-audit-manager 参考: https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html

〇 NIST 800-53 Low-Moderate-High

米国国立標準技術研究所 NIST が提供する監査フレームワーク
中央政府の情報システムや組織全体に対して推奨の、情報セキュリティ基準や開発ガイドラインについて定義しています。参考: https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html

■メリット