- はじめに
- アップデート内容
- Amazon Route 53 Resolver DNS Firewall が一般提供開始
- IAM Access Analyzer が過去アクティビティから IAM Policy を生成できるように
- Amazon ElastiCache がタグベースのアクセス制御をサポート
- AWS CloudFormation StackSets が複数リージョンの並列デプロイをサポート
- AWS Backup が Amazon EFS のバックアップに対してコスト配分タグをサポート
- AWS Glue が Fill Missing Values トランスフォーム機能を追加
- Swift Package Manager を介して Amplify iOS を利用できるように
- Amazon MQ が RabbitMQ ver3.8.11 をサポート
- AWS Audit Manager が NIST 800-53 (Rev. 5) Low-Moderate-High をサポート
はじめに
今回は、 4/8のアップデートについて紹介していきます。 こちらの内容については、YoutubeやPodcastでもアップロードしているので、気になる方はぜひチェックしてください。
■ Youtube での配信
■ Podcast での配信
Apple Podcast や Spotifyなど、各種配信サービスにて「サーバーワークス」で検索!
では、さっそく最新1日のアップデートを見ていきましょう。 今回は 4/8 、8件のアップデートがありました。
アップデート内容
Amazon Route 53 Resolver DNS Firewall が一般提供開始
ちょうど先週金曜日の放送でも取り上げましたが、ついに Route 53 Resolver DNS Firewall が一般提供開始されました! 前回も一般提供開始と言っていましたが、今回がほんとに一般提供開始ですね。混乱させてしまい申し訳ございません。
前回のアップデートでは一部リージョンでしか使えなかったのですが、今回のアップデートですべてのAWSリージョンで使用できるようになったみたいですね!
ざっくりおさらいすると
〇 Amazon Route 53 Resolver DNS Firewall
- 悪意ある DNS クエリをフィルタリング/検知するマネージドなファイアウォールを、インバウンドエンドポイント/アウトバウンドエンドポイントに設置できる
■ メリット
- DNSクエリを企業要件に沿って制御できるので、名前解決を行わせないことでVPC内リソースへの悪意あるインバウンドアクセスを防いだり、
- VPC内リソースからの意図しないDNSクエリを検知したりと、
- 通信セキュリティを向上することができます。
■ 料金
①ルールグループ内のドメインリストに保存されているドメインごとに 月額$ 0.0005。
②ファイアウォールを経由する DNSクエリ、100万件ごとに$0.6
参考: https://aws.amazon.com/route53/pricing
※今は言語を英語にしないと見れませんでした
■ デプロイ方法
AWS FireWall Manager と統合されているため、一つの管理アカウントから複数アカウントに対して一斉にファイアウォールルールをデプロイすることも可能ですし、
AWS Resource Access Manager(RAM)を使用して、ファイアウォールルールをそのまま複数アカウント間で共有することも可能と、
かなり柔軟に複数アカウントに適用することもできるのでぜひ使ってみてください!
IAM Access Analyzer が過去アクティビティから IAM Policy を生成できるように
既存のポリシーを分析して、意図しないアクセス許可などを特定する IAM Access Analyzer のアップデートです。
Access Analyzer が、IAMユーザ/ロールについて、CloudTrail ログから過去アクティビティを分析して、最小権限の IAM ポリシーを自動作成できるようになりました。
■ やり方
分析に使用するトレイルと、分析する期間を選んであげるだけで、簡単にポリシー生成が可能です。
<具体的な手順>
- IAM コンソールから、分析したい IAM ユーザ/ロールを開き、
- 「アクセス権限」タブ > 「CloudTrail イベントに基づいてポリシーを生成」項目で、「ポリシーの生成」を押してあげます。
- その後、使用するトレイルと、分析期間を選んであげれば生成されます。
実行すると、既存のIAMユーザ/ロールのポリシーが直接書き変わるわけではなく、あたらしいロールと管理ポリシーが生成されるので、その点はご安心ください。
■ メリット
- 開発の時はまず広い権限を付けて、実行できることを確認したら徐々にポリシーを絞ってくことが多いので、
- この工程を数クリックで自動化できるのはすごい
■ 料金
ドキュメントで記述を見つけられなかったのですが、
IAM Acess Analyzer 自体料金はかからないので、今回も料金はかからないと思われます。
参考: https://aws.amazon.com/jp/blogs/news/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer/
■ リージョン
東京リージョンでも使えました。
今回のアップデート、どれほどの精度があるのかが気になるとこですが、個人的にはかなり積極的に使っていきたいです!
Amazon ElastiCache がタグベースのアクセス制御をサポート
今回大きく2つのアップデートがございました。
- ElastiCache へのアクセス制御をタグベースで行えるようになりました。
- ElastiCache でタグ付けが出来るリソースが増えました。
① ElastiCache へのアクセス制御をタグベースで行えるようになりました。
タグベースのアクセス制御は、IAM ポリシーの Condition キー内に定義できます。
■ メリット
- ユーザが特定のプロジェクトや特定環境の ElastiCache のみ操作出来る、ようなアクセス制御できるので、
- 誤操作といったトラブルを防げるようになります。
② ElastiCache でタグ付けが出来るリソースが増えました。
具体的にどのリソースのタグ付けが増えたかまでは追えてませんが、少なくともドキュメントを見る限り、「レプリケーショングループ」は今回のアップデートでタグ付けがサポートされたみたいです。
あらためてどのElastiCacheのどのリソースでタグ付けができるのか、詳細はドキュメントを見てください。
参考: https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Tagging-Resources.html
■ リージョン
どちらのアップデートも全ての東京リージョンに対応しています。
環境内の IAM ポリシー変更は大変だと思いますが、トラブルを未然に防ぐためにも是非実施をお願いします。
AWS CloudFormation StackSets が複数リージョンの並列デプロイをサポート
1つの CFN テンプレートから、リージョン/アカウントを超えて CloudFormation Stack をデプロイできる Stack Sets が、 複数リージョンにおける Stack の並列デプロイをサポートしました。
これから開発者は複数リージョンへのデプロイ時に、順次デプロイもしくは並列デプロイを選択できるようになるそうです。
■ メリット
- 並列デプロイの方が、順次デプロイよりもわずかにデプロイまでの時間が短縮されます。
- リージョンが増えれば増えるほど効果ありそう
■ リージョン
AWS CloudFormationStackSetsが現在利用可能なすべてのAWSリージョンで利用できます
デプロイ方法を選択できる場面では、基本的に並列デプロイを選択するのがよいですね。
AWS Backup が Amazon EFS のバックアップに対してコスト配分タグをサポート
AWS Backup 経由で取得した Amazon EFS のバックアップに対してコスト配分タグを使用出来るようになりました。
EFS のバックアップにつくタグは、バックアップ元の EFS ファイルシステムから自動的に継承するそうです。
コスト配分タグ機能は、AWS Billing and CostManagement コンソールから設定する必要があります。
■メリット
- コスト配分タグを使うことで、EFS のバックアップコストを細かく可視化することができます。
- ex) 部門ごとのタグを用意して、各部門がどれだけ使っているか確認する
- ex) ワークロードごとにタグを用意して、それぞれのワークロードごとのコストを割り出す。
■リージョン
AWS Backup が使用できる全てのリージョンに対応
今回の機能を有効活用するために、EFS 構築時に特定のタグを強制するようIAMポリシーで制御してあげるといいんじゃないかなと思います!
AWS Glue が Fill Missing Values トランスフォーム機能を追加
ETL 処理のマネージドサービス AWS Glue が、Fill Missing Values トランスフォーム機能をサポートし、機械学習に基づいて欠測値を代入してくれるようになりました。 代入値には、カテゴリデータもしくは数値データをサポートしているそうです。
3/29 の時点で GUI で ETL処理できる AWS GlueStudio でこの機能はサポートされてたみたいなんですけど、今回 Glue も対応したよという感じですね。
仕組みをざっくり解説すると
- 入力した表形式のデータセットの完全な行データを基にトレーニングし、線形回帰やランダムフォレストなどの機械学習モデルを構築
- 構築したモデルに、欠測値が含まれる行データをインプットして、欠測値を予測する という感じらしいです。
■ メリット
- 欠損値をデータセットからlクリーンアップできるため、クエリを投げるときに考慮する必要がないです
■ リージョン
AWS Glue が使用できるリージョンでサポートされます。
まずは、GlueStudio で試してイメージをつかんでから Glueでも試してみるといいんじゃないかなーとおもいます!
Swift Package Manager を介して Amplify iOS を利用できるように
Swift Package Manager を介して AWS Amplify ライブラリ をインストールできるようになったというアップデートです。
〇 AWS Amplify
- フロントエンドやモバイルアプリを素早く開発するサービス
- ウィザードに沿うだけでバックエンドをデプロイしてくれるので、開発者はアプリレイヤーの開発に注力できます
〇 Swift Package Manager(SPM)
- 2017年にAppleによってリリースされたパッケージ管理ツール
- node の npm や、python の pip と同じ。
- 公式からリリースされているため、Swift で使われるパッケージ管理ツールとしてはデファクトスタンダードぽいです。
■ メリット
- SPM を使っていた iOS開発者の人にはうれしいアップデートで、
- 今までは Amplify ライブラリをインストールするために CocoaPods と呼ばれる別のパッケージ管理ツールが必要でしたが、
- 今回のアップデートにより、CocoaPods を廃止して、SPM で一元管理できるようになります。
これを機に過去の iOSアプリの開発プロジェクトも見直して見るといいかもしれませんね。
Amazon MQ が RabbitMQ ver3.8.11 をサポート
Apache ActiveMQ や RabbitMQ などのオープンソースなメッセージブローカーサービス をマネージドで提供するAmazon MQ が、 新しく RabbitMQ ver3.8.11 を起動できるようになりました。
〇 RabbitMQ
参考: https://www.rabbitmq.com/
いままでは ver3.8.6 がサポートされてたのですが、ver3.8.11 になったことで、
いくつかのセキュリティ修正やバグフィックス、新機能が追加されるそうです。
参考: https://www.rabbitmq.com/changelog.html
■ 注意点
- 「自動マイナーバージョンアップグレード」が有効の場合は、メンテナンス期間中に ver3.8.11 に自動アップグレードしてしまうので、念のため確認することを推奨します。
AWS Audit Manager が NIST 800-53 (Rev. 5) Low-Moderate-High をサポート
AWS Audit Manager で 新しく NIST 800-53 Low-Moderate-High フレームワークのリビジョン5に沿った監査が可能になりました。
〇 AWS Audit Manager
- re:Invent 2020 で発表されたサービス
- AWSの利用状況を継続的に監査して
- 第三者認定や法規制などのコンプライアンス基準を満たしていることの証拠を収集し、
- レポートを作成する 参考: https://blog.serverworks.co.jp/overview-of-audit-manager 参考: https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html
〇 NIST 800-53 Low-Moderate-High
- 米国国立標準技術研究所 NIST が提供する監査フレームワーク
- 中央政府の情報システムや組織全体に対して推奨の、情報セキュリティ基準や開発ガイドラインについて定義しています。 参考: https://docs.aws.amazon.com/audit-manager/latest/userguide/NIST800-53r5.html
■メリット
- 今回追加されたフレームワークによる監査を行う企業にとっては、監査に係る工数を大幅に減らすことができます
■リージョン
AWS Audit Manager が使える全てのリージョンに対応
以上9件、4/8 のアップデートでした。
■ Podcast でも配信中! Apple Podcast や Spotifyなど、各種配信サービスにて「サーバーワークス」で検索!
■ 過去の放送一覧はこちら https://www.youtube.com/playlist?list=PLCRz5JqTKzfmHYSSSQhs2Y-qPFU201s3p
■ サーバーワークスSNS Twitter: https://twitter.com/serverworks Facebook: https://www.facebook.com/serverworks
菅谷 歩 (記事一覧)