AWS Recent Announcements(6/22)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

Announcing a new AWS Bills page experience

請求書のUIが更新されました。
見た目以外だと料金や使用量などの項目でフィルターやソートが可能になっており、検索がしやすくなっています。
(が、個人的にはゴテゴテしていてちょっと使いにくい印象)
 

 

AWS WAF Captcha is now generally available

AWS WAF ChapthaがGAになりました。
(2021/11/4に一部リージョンでリリースされていたものが、全リージョンに拡張されたものになります)
AWS WAF Chapthaはユーザーアクセス時にロボットではないかのチャレンジを要求する機能で、Botなどの不要アクセスをBlockするのに役立ちます。
設定はAWS WAFのルールに対するAction(「Allow」や「Block」など)の一つとして設定するもので、一般的なWebサイトでよく見る(とても見にくい)画像の文字列を入力するものよりやや複雑なパズルが要求できるようです。
 
※詳細はこちらの記事がわかりやすい
 

AWS App2Container now supports Azure DevOps for setting up a CI/CD pipeline

AWS App2ContainerがAzure DevOpsで実行可能なCICDパイプライン設定を生成できるようになりました。
App2Containerはレガシーアプリケーション(.NetとJavaがサポート)の移行に利用するサービスで、アプリケーションのコードやライブラリを分析し、実行可能なコンテナイメージや実行用の定義(ネットワーク構成やECSタスク、kubernetesう Podの定義)を生成します。
AWSサービスでAzure DevOpsのサポートはあまり聞かなかったので気になりましたが、.NetがAzureで動いていることが多いのでそこを狙い撃ちするためのアップデートなのかもしれません)

AWS Recent Announcements(6/17)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

UI Improvements in AWS Budgets

AWS BudgetsのUIが改善されました。
この手の更新はいつも触っているものでないとどう変わったのか実感が持ちにくいですが、どうも概要(一覧)の画面で予算の詳細(設定した予算のうちどこまで消費されているか等)が表示されるようになったようです。
 
(画面例)

 
またこれは知らなかったのですが、BudgetsはAWSのコスト以外にもサービスの使用量に対してもアラートを設定することができ、たとえばS3のAPIが呼ばれた回数やInbound/Outboundの通信量に対してアラートを設定することも可能のようです。
(特定のサービスが使われ過ぎていないかなどをチェックするのが目的。あまり直感的に理解しやすい情報ではないのでコスト監視の方が良いと思いますが)
 

AWS Config now supports 15 new resource types

AWS Configでサポートされるリソースタイプが追加されました。
気になったのは「AWS::ElasticLoadBalancingV2::Listener」で、たとえば意図しないポート(HTTP:80など)が公開されたのを検知してアラートorアクションを実行するようなケースはあり得るかと思いました。
 

Amazon Aurora Serverless v1 supports in-place upgrade from MySQL 5.6 to 5.7

Aurora Serverless v1でin-placeでのアップグレードが可能になりました(MySQL)。
Aurora Serverlessはバージョンの制約が強いので「そういえばアップグレードできなかった」と今更ながら気付きました(in-placeなのでエンドポイントが変わらないのもメリット)。

AWS Recent Announcements(6/15)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

Amazon Quicksight now provides drag controller for rows and columns for table and pivot table

Quicksightで行と列の幅を変更できるようになりました。
(Quicksightを普段使わないので逆に今までできなかったのかと思いましたが)
 
※変更イメージはドキュメントを参照
 

AWS Transfer Family expands server configuration options to support a broader set of clients

Transfer Faimilyでファイル転送をする際にSETSTATコマンドのエラーを無視するオプションが追加されました。
ファイル転送クライアント(WinSCPなど)を利用している場合、ファイルを送信する際にSETSTATコマンドを発行してタイムスタンプ(元ファイルのタイムスタンプを保持)や属性変更を行っていますが、送信先がS3の場合はSETSTATに対応しておらずエラーになっていました。
今回の更新により、TransferのServer作成時にSetStatOptionを設定できるようになったので、これを無効(ENABLE_NO_OP)にすることで、エラーを回避できます。
また、SFTPでTLSセッションの再開がサポートされていない転送クライアント用に、TLSセッション再開要求をするかどうかのオプションも追加されています。
 

Amazon RDS for SQL Server Now Supports TDE enabled SQL Server Database Migration

RDS for SQL ServerでTDE(データ暗号化)が有効になったデータベースの移行をサポートするようになりました。
SQL ServerのバックアップをS3経由でRDSにリストアする方法は以前からありましたが、既存DBでTDEが有効になっている場合は一度無効にする必要がありました。
TDE証明書もS3に配置することで、暗号化の状態のままリストアが可能となっています。
 
※TDE:Transparent Data Encryption
 
 

【読書所感】「ヤフーの1on1―――部下を成長させるコミュニケーションの技法」

What's this?

  • 読んだ本の記憶定着を目的としたアウトプットの一環
  • 読了後、なるべく早く書く(想起学習)
  • 書評や要約ではないです

やり方(WIP)

  • 読みたい本を読む(重要)
  • 読みながら気になった箇所、ピンときた箇所に線を引く
    • 紙の本なら付箋+傍線、Kindleならマーカー
  • 読了後、目次を見ながら書いてあった内容を書けるだけ書く
  • あまりにもうろ覚えだった場合は諦めて中身を見直す
  • その後、線を引いた箇所を見返してまとめる
  • 面白かったら二回目に突入する
  • もういいと思ったらそこで試合終了

今回の本

「ヤフーの1on1―――部下を成長させるコミュニケーションの技法」

https://www.amazon.co.jp/gp/product/B0716B52LP

選んだ理由

  • 新しくGLになったので、グループの運営に取り入れたいと思ったため
  • 「1 on 1」という言葉は日常的に使うものの、その意義や目的についてちゃんと理解していなかったため
    • 単に1対1で会話することを指すなら、定期的な(評価)面談や普通の雑談も1 on 1になる

読書所感

  • 「1 on 1」の目的は、メンバーが日々の業務の振り返りを通して新たな学びや改善のアクションを見つけられる手助けをすること
    • 業務の中で良かったことや悪かったこと、その他思ったことなどを話す中で、メンバーが新たな気付きを得られるようにする
    • Yahooでは「経験学習の促進」という言い方をしている
  • 「1 on 1」はメンバーのためのものである
    • メンバーが話したいことを話す、というのが基本
      • Yahooでは「今日は何ついて話そうか」がキーワード
      • 特に無い時のために事前にいくつか用意しておくのはあり
    • リーダーが知りたいことを聞いてはいけない(報告の場ではないので)
    • 部下の会話を促すような質問・反応を心がける
  • リーダーからアドバイスはしなくていい
    • メンバーの気付きを促進する
    • 極論、オウム返しだけでも良い
      • メンバーが自身の言葉を聞くことで、それが気付きに繋がる場合もある
    • クリティカルシンキングソクラテス問答法など)の考え方にも通じる
  • 「何を話しても良い」という空気(信頼関係)が大事
    • 所謂「心理的安全性」
    • どんなことでもまずは受け入れる
    • レコグニション=ありのまま受け入れること
    • 部下からの意見には何でも賛成するべき、という意味ではない
  • アクティブリスニングを意識する
    • 日本語では「傾聴」
    • 黙って聞くのではなく、相手の話に「反応」すること(頷き、相槌など)
  • 「業務に追われて時間が無い中で1 on 1で時間を取ってもらうのは申し訳ない」とリーダーまたはメンバー(あるいは双方)が思うようであれば、会社のルールとして「xx週ごとにyy分実施する」と強制力を働かせる方法もある
    • 「会社がやれと言っているからしょうがないよね」という言い訳があると実施するハードルが下がる(こともある)

AWS Recent Announcements(6/1~6/12)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

AWS Step Functions launches an interactive workshop for building and deploying application workflows

Step Functionsの学習用ワークショップ資料が公開されました。
(What's Newの中にワークショップ資料の追加までアナウンスされるイメージはあまりなかったですが)
Step Functionsは去年あたりから大幅に更新が入ってかなり使いやすくなっており、様々なAWSサービスと統合されてLambdaを書く必要性も少なくなっているので、勉強しておいて損はないサービスだと思います。
 

Amazon EMR Serverless is now generally available

EMR Serverlessがリリースされました。
EMRはSparkやPrestoといった分散フレームワークを容易に構築できるサービスです。
複数のEC2、もしくはEKSクラスターなどのインフラを必要とするので、提案の際にコストがネックになりがちでしたが(Redshiftなども同様)、Serverlessが使えることにより小規模なシステムでも利用しやすくなると思います。
(東京リージョンでも使えます)
 

AWS Elastic Disaster Recovery now supports multiple staging and target accounts

AWS Elastic Disaster Recovery(DRS)が複数のステージング・ターゲットアカウントに対応しました。
DRSはオンプレ(VMwareHyper-V)やEC2をAWSの別リージョンにレプリケーションしてくれるサービスで、主に災害対策として利用されるものです。
(以前はCloudEndureのDisaster Recovery機能として提供されていたものと記憶)
 
今回、ステージアカウントとターゲットアカウント(※)を複数(最大300→3000と謳っているのでおそらく10個まで)選択できるようになりました。
(下記のようなイメージです(ドキュメントより抜粋))

※ステージはレプリケーション用のインスタンスを配置する環境で、ターゲットはリストア先の実働環境という位置付け
 

Announcing AWS Cost Allocation Tag API

コスト割り当てタグの設定がAPIで実施できるようになりました。(以前はコンソールのみ)
これにより、アカウントの初期構築作業などの中で自動化できそうと思いましたが、現状Cloudformationには対応していないようです。
(個人的にはAWS SSOのidentitystore APIでユーザー・グループが作れるようになるのも待っています)
 

AWS Mainframe Modernization is now generally available

メインフレームのアプリケーション移行用のサービスがリリースされました。
AWS上でマネージドランタイムというPaaS環境を立ち上げ、アプリケーションのコードを解析してリファクタリング(To Java)またはリプラットフォームをして実行するサービスのようです。
リファクタリングとしてAWS BluAge、リプラットフォームとしてMicroFocusが利用可能)
 

AWS Health Dashboard streamlines service transparency via Connector for ServiceNow

AWS Service Management ConnectorでServiceNowと連携できるようになりました。
(おそらく連携自体は個別実装すればできたかと思いますが、それがConnectorで簡単にできるようになった)
上記リンクはHealth Dashboardと連携できるようになった旨のアップデートですが、同様にServiceNowと連携できるようになった系のアップデートがいくつか出ていました。
 
ServiceNowはITILで言うところのITサービスマネージメント(ざっくり言うと運用)に位置付けられるプロダクトで、大きめ且つハイブリッド環境のところだとよく使われるので、できることを覚えておくと業務の幅が広がるかもしれません。
 
(ちなみにJIRAも対応)
 

Amazon Aurora PostgreSQL-compatible edition now supports zero-downtime patching

Aurora PostgreSQLでゼロダウンタイムパッチ(ZDP)がサポートされるようになりました(元々はMySQL版でのみサポートされていた機能)。
これにより、マイナーバージョンとパッチバージョンの更新時はダウンタイムが発生しないため、実働環境で無停止でのバージョンアップが可能となります。
(元々マイナーバージョンアップであればダウンタイムは30秒~1分ぐらいの短期間ではありましたが)
 
※どうでもいいですがこの機能、サービス利用者にはすごく重要だと思うのですが、ドキュメントで明確に記載されている箇所が無い(見つけられていないだけもしれませんが)のはかなり謎です
 

Amazon Aurora PostgreSQL supports LO module

Aurora PostgreSQLでラージオブジェクト(LO。もしくはBLOB)が拡張機能でサポートされるようになりました。
ラージオブジェクトはテーブルにサイズの大きなデータ(動画や画像など)を大容量オブジェクトとして格納する際に利用する機能で、これによりDBのトランザクション機能を利用しつつ大きなサイズのデータを扱えるようになるメリットがあります。
拡張機能ではPostGISぐらいしか入れたことないので、正直あまりピンとは来ていないですが)
(DynamoDBではサイズの大きなデータをS3に配置し、テーブルにはその配置先を格納するユースケースがあるので、その別解だと想像)
 
全然関係無いですが、ずっと前から東京リージョンにも欲しいと思っていたAuroraのバックトラックの機能、MySQL版限定ですがいつの間にか日本上陸を果たしていたようです(6/12時点で英語ドキュメントのみ記載)

AWS Recent Announcements(4/30~5/31)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています

Amazon RDS now supports Internet Protocol Version 6 (IPv6)

RDSがIPv6に対応しました。VPCがデュアルスタック(IPv4とv6両方のCIDRをアタッチ)であれば既存のRDSも変更ができます。
現状、RDS for MySQLPostgreSQLSQL ServerMariaDBOracleは対応していますが、Auroraは未対応のようです。
 
(DocumentDBなども未対応なので、アーキテクチャー的にインスタンスとストレージが分離されているものはネットワークの扱いが違うのだと思います)
 

AWS adds new management features for EC2 key pairs

キーペアの管理機能が更新され、作成日と公開鍵が取得可能になりました。
また、Cloudformationでキーペアの作成・削除も可能になったので、今後はEC2を立てる前に事前にキーペアを作っておく必要がなくなりました。
(コンソールだとこんな感じ)

 
※作成日の取得について、クラメソさんの記事だとAWS CLI V2は未対応と書かれていますが、今日(4/30 10:20頃)やったらV2でも取得できました
 

AWS Network Firewall now supports AWS Managed Threat Signatures

Network FirewallのマネージドルールにTheat Signatureのマネージドルールが追加されました。
元々Network Firewallは(TrendMicroやPaloAltoなどの製品と比較して)ルールの維持が難しく、Suricataのルールなどを使っていても手動更新になるので運用負荷がかなり高かったのですが、マネージドルールはAWS側で自動更新されるため、そうした運用が軽くなることが期待されます。
 
※ちなみに「Theat Signature」はセキュリティ界隈の一般用語で、「Signature」は(攻撃の)「特徴的なパターン」をという意味らしいです
 

Amazon EKS console now supports all standard Kubernetes resources to simplify cluster management

EKSのコンソールから全ての標準kubernetesリソースが確認できるようになりました。
以前はPodやNodeといった一部のリソースしか確認できませんでしたが、UIも一新されて見やすくなりました。
(カスタムリソースは引き続きkubectlで確認)
 
 

 

Amazon RDS Performance Insights now allows you to more easily see metrics for any time interval

RDSのPerformance Insightsのメトリクス表示がカスタム時間に対応しました。
以前は過去1日や1週間といった大雑把な期間でしか指定できませんでしたが、細かい時間指定が可能になりました。
(元々保持期間が2週間とかなので大した問題ではありませんでしたが、選択肢が増えるのはありがたい)
 

Amazon EBS Snapshots Archive is now available in additional regions

EBSスナップショットを別リージョンにアーカイブする機能が大阪リージョン(他)でサポートされるようになりました。
大阪リージョンで利用可能になったことで、リージョン障害時の選択肢として使いやすくなると思います(海外リージョンだと法律の壁がある場合があるので)
注意点としては、EBSスナップショットは通常増分バックアップですが、アーカイブするとフルバックアップを保持する仕様になるため、あまり何世代も保持するようになっていると余計にコストがかかる場合があります。
(詳しくは↓のサービスアップデートで説明されています)
サービスアップデート Storage 編:Part1 (S3, EBS, EFS, Snow Family)
 

AWS Serverless Application Model CLI now supports enabling AWS X-Ray tracing

SAMのCLIを利用してX-Rayのトレースが有効化できるようになりました。
元々SAMのテンプレートでLambdaのX-Ray有効化はできましたが、sam initに"--tracing"オプションを追加することでテンプレート生成時に自動でX-Ray有効化の設定を追加してくれるものです。
 
LambdaのX-Ray有効化には、Lambda関数で有効化する方式(X-Rayアクティブトレース)とコード本体にSDKを埋め込む方式があります(今回のアップデートは前者の話)
X-Rayアクティブトレースはコード修正無しで設定可能ですが、トレース可能なのはLambda関数での処理であり、接続先(DBなど)の処理は参照不可になります。
(逆に言うと、その制約を許容できるのであれば割と使える機能かと思いました)
 
ちなみにSAMテンプレートではAPI GatewayX-Rayトレースも有効化できます。
 
【SAMテンプレートでのX-Rayアクティブトレース設定例】
Globals:
  Function:
    Timeout: 10
    Tracing: Active # Lambda での X-Ray 有効化
  Api:
    TracingEnabled: True # API Gateway での X-Ray 有効化
 
(アップデート自体は「ふーん」という感じでしたが、LambdaのX-Rayアクティブトレースについてちゃんと知らなかったので確認ついでにピックアップ)
 

Amazon RDS for PostgreSQL supports cascaded read replicas for up to 30X more read capacity

RDS for PostgreSQLのv14.1以降でカスケードリードレプリカが利用可能になりました。
 
カスケードリードレプリカはリードレプリカのソースにリードレプリカを追加して階層構造にする方式で、これによるメリットは主にソースDBインスタンスへの負荷軽減です。
PostgreSQLではWALプロセスがDBの更新内容をキャッチしてリードレプリカインスタンスに送信していますが、読み取りスケールのためにリードレプリカを複数(最大5つ)構築しているとその分WALプロセスの処理負荷が上がり、ソースDBインスタンスの負荷が上がるという問題があります。
カスケードリードレプリカを利用するとリードレプリカのソースをリードレプリカに設定できるため、その更新処理をリードレプリカに外出しすることが可能となり、結果ソースDBインスタンスの負荷が軽減されるというものです。
(ちなみにAnnounceではカスケード込みで最大155まで作成可能とありましたが、この計算方法がいまいちよくわかってないです)
 
※参考
 
RDSも色々と進化しており、マルチAZとリードレプリカのメリデメは資格試験だと定番だったりするのですが、今では「マルチAZ且つリードレプリカ」が作成可能となっており、知識の陳腐化が起こっていたりします。
あとは自分は知らなかったですが、(Auroraではない)RDSでもリージョン間のリードレプリカが作成できるようになっていました。
(普段Auroraしか使わないので見落としていた可能性もありますが)
 

The New Amazon ElastiCache console is now available

Elasticacheのコンソール画面が更新されました。
以前の画面は一部の設定値を表示させる際に無限にリロードが発生するなど(個人的に)かなり使いにくかったですが、他サービスと同じようなUIになりかなり使いやすくなりました。
 

 

AWS Service Catalog Provisioning constructs for the AWS Cloud Development Kit (AWS CDK) are now available

最近Service CatalogでCDKが利用可能になったアップデートがありましたが、CDKのコンストラクトを既存のService Catalog製品から生成してくれるツール(ビルダー)が提供されました。
 
コンストラクトとは、CDKにおけるリソースの構成単位のことで、ある程度のリソースをセット且つ細かいパラメータはwell-architectedに従ってよろしく決めてくれるもの(抽象度の高いもの)から、Cloudformationと同じ単位で細かくパラメータを設定できるもの(抽象度の低いもの)などがあります。
CDKは基本的に記述コストが重いのですが(抽象度の高い方が使えるなら別ですが、実案件では細かいカスタマイズが必要になることが多い)、既存からのインポートができることでその負担軽減が期待されます。
 
(元々はCloudformationのリソース定義をコンストラクトとして引っ張ってくるツールで、それにService Catalogのインポート機能が追加されたものと思われる)
 
※ちなみにService Catalog with CDKのWorkshopもあるようです。
 

Amazon Braket Hybrid Jobs now supports embedded circuit simulations, improving the performance of certain hybrid quantum-classical algorithms by over 10X

Amazon BracketのHybrid Jobsが組み込み回路シミュレーターをサポートするようになり、パフォーマンスが向上したようです。
この場合の「Hybrid」とは、量子コンピューティングと古典(所謂従来型)のコンピューティングを組み合わせるという意味です。
量子コンピュータは特定の計算には強いものの、それ以外の一般的な用途では古典コンピュータの方で十分な性能が出せるということで、それを組み合わせて実用性のある結果を出そうというアプローチ)
 
量子コンピュータは個人的に関心があるものの、中身はよくわかっていないので紹介まで
 

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

Amazon EC2 adds CloudWatch Events support for Amazon Machine Images

AMIの状態変化(イメージ作成・登録・登録解除など)のイベントをEventbrigeに送信可能になりました。
これにより、たとえばAMIイメージの作成完了後にSNSで通知を行う、インスタンスを起動する、AutoScalingGroup(起動テンプレート)に追加するなどの後続処理を実装することができます。
AMI作成であればパイプラインツール(Codepipelineなど)か、もしくはImageBuilderを利用するかと思いますが、EventBridgeを利用するとアーキテクチャーを疎結合にできるメリットがあります。
 
疎結合のメリットは、呼び出し元(ソース)と呼び出し先(ターゲット)の機能を分離することで、ユーザーに応答を早く返せるのでレスポンス速度が上がる、機能や宛先の追加時には呼び出し先(ターゲット)の追加だけで済むので拡張性が高まるといったあたりです
(参考)
 

Announcing new workflow observability features for AWS Step Functions

StepFunctionsの実行結果確認画面が拡張されました。
従来の表示(グラフビュー)に加え、Table view、Event viewが追加され、アクション単位での処理結果やステートマシン実行の事前処理などの所要時間といった詳細情報が見やすくなりました。
(「新しい実行ページ」をオンにすると見れます)
 
※下記はEvent viewの画面例

 

AWS Secrets Manager now publishes secrets usage metrics to Amazon CloudWatch

Secrets Managerのシークレット数(count)のメトリクスがCloudwatchで取得可能になりました。
単純に取れる情報が増えたのは嬉しいことですが、「an unexpected increase or decrease in number of secrets.(予期せぬシークレット数の増減)」というのがどんな状況なのかわかっていないので、具体的な用途は思いつかないですが(監視目的?)。
 
 

Amazon Athena now supports views in Apache Hive metastores

Athenaが外部のHiveメタストアのビューに対してクエリを実行できるようになりました。
Hiveメタストアとの接続は以前から(AthenaからLambdaを呼び出して)できたものの、Hiveビューを参照するためのクエリがAthenaでサポートされていなかったため利用できなかったものが今回解消した、というアップデートのようです。
(Athenaがクエリを自動解釈可能になった)
 
※Hiveメタストアの利用方法
 

AWS PrivateLink announces support for IPv6

PrivateLink(インターフェース型VPCエンドポイント)がIPv6に対応しました。
以前はIPv6VPC上でPrivateLinkを利用する場合、NAT Gateway(NAT64)を配置する必要がありましたが、今後はダイレクトで利用できるようになり構成がシンプルになります。
 
※以前の構成

 

Amazon VPC Traffic Mirroring now supports sending mirrored traffic to Gateway Load Balancer backed monitoring appliances

VPC Traffic Mirroringのターゲット(送信先)にGateway LoadBalancer(正確にはGateway LoadBalancerのエンドポイント)を指定できるようになりました。
(以前はENIとNLBのみ)
VPC Traffic MirroringはVPC上を経由するパケットの情報を指定したターゲットにコピーして送信する機能で、VPC FlowLog(L4レイヤー)では確認できないパケットフィルタリングやパケットの監査を行う時などに利用する機能です。
ターゲットにGateway LoadBalancerを指定できるようになったことで、(Paloaltoなどが提供する)監視アプライアンスとの連携が容易になりました。
 
AWSブログ記事
 
※構成図

 

Amazon VPC now supports multiple IPv6 CIDR blocks

VPCにアタッチできるIPv6 CIDRが1個→5個になりました。
CIDR追加が可能になったメリットの例は、Amazon管理のCIDRに追加して顧客管理のIPv6 CIDRの利用(BYOIP)が可能となり、ネットワーク上の境界を設けることができるようになった点です。
(現状IPv6を利用する案件はまだ無いですが、諸々の制約が徐々に解消されているので、そろそろ使わない利用は無くなってきているのかなと個人的には思い始めています)
 

AWS Control Tower can now use customer provided core accounts

Control Towerのコアアカウントで既存のアカウントを指定できるようになりました。
 
Control TowerはAWSのベストプラクティスに基づいたマルチアカウントのAWS環境を構築・管理するための機能です。アカウント管理の単位をランディングゾーンと呼びます。
コアアカウントはControl Towerの中でも特別な機能を持つアカウントで、管理アカウント、監査アカウント、ログアーカイブアカウントの3種類があり、今回のアップデートでランディングゾーン設定時に既存アカウントが指定できるようになったとのことです。
(Control Towerにあまり明るくないので何のことかわかりませんでしたが、設定時の画面で「既存のアカウントの使用」というのができるようになったということみたいです)

 

Amazon CloudWatch announces improved console experience

CloudwatchのUIが更新され、ダッシュボードやロググループのお気に入り設定が一覧表示できるようになりました。
最初ロググループのお気に入り設定のやり方がわかりませんでしたが、ロググループを参照すると下記画面の「最近のアクセス」のところに追加されるので、そこで星マークを押すと登録できるようです(直感的ではないのでそのうち修正されそうですが)

 
またこれは今回のアップデートではないと思いますが、ロググループのサブスクリプションフィルターにFirehoseを設定するようになっていました。(以前はCLI限定だったと思います)

 
あとAWS標準ダッシュボードが提供されるようになっていました(これも前は無かったかと)

 

AWS Resilience Hub adds support for Terraform, Amazon ECS, and additional services

Resilience HubでECSやRoute53などのサービス追加の他、Terraformのコードがサポートされるようになりました。
Resilience Hubはアプリケーションのコードをアップロードすると復旧時間などをレジリエンススコアとして評価してくれる機能で、ProtonのようにTerraformと連携できるサービスは今後も増えていくかもしれません。
(Resilience Hub自体は使ったことないのであまりピンと来ていませんが)
 

Announcing general availability of 1-click public embedding available with Amazon QuickSight

QuickSightのダッシュボードを外部のダッシュボードなどに埋め込みができるようになりました。
Quicksightは元々お値段控えめの読み取り専用ユーザー(閲覧者)のライセンスも提供していましたが、こちらはライセンス不要なので、社内のポータルサイトダッシュボードを表示させる、といった用途に利用できます。
(Quicksightのダッシュボードだけ見せたい、というケースは多そう)
AWSブログを見ると、公開したい外部ドメインを設定し、そこに対してパブリック公開を許可するようなイメージのようです。
 

Announcing Multi-Account Support for AWS Transit Gateway Network Manager

Transit Gateway Network ManagerがOraganization内のマルチアカウント管理に対応しました。
Network Managerはリージョン間やVPCなどのネットワークトポロジー間の通信経路を可視化できる機能で、従来は単一アカウントのみでしたが、これがマルチアカウントに対応できるようになりました。
Network Managerという機能自体は遠い昔の記憶で何となく覚えがありますが、実際に使ったことはなかったので、マルチアカウントで大規模なネットワーク管理を行っている場合は使えそうな機能だと思いました。
(また、Network Managerで管理しているとRoute Analyzerでルーティングの検証も可能なので、Reachavility Analyzerと合わせてできることは色々ありそうです)
 

Two new storage locations available for AWS DataSync

DatasyncのLocationとしてAzure Storageと(GCの)Cloud Storageがサポートされるようになりました。
DataSyncはオンプレミスやAWSストレージ間でデータ同期を行うサービスで、主に移行やバックアップの用途で使うことが多いですが、AzureやGCのデータをS3に転送(同期)できるようになったことで、クラウド移行やマルチクラウドの運用に選択肢ができたと思います。
(直近、Azure→AWSの移行案件をやっているので、可能なら試してみたいと思います)
 

Amazon EC2 enables customers to protect instances from unintentional stop actions

EC2インスタンスで停止保護が設定できるようになりました。
インスタンス終了(削除)保護は前からありましたが、停止保護を設定することでステートフルワークロード用途やインスタンスストア(一時)ボリュームを使っている場合に意図しない停止から保護することができます。
(停止保護が入っていると終了保護も入るようです)
 

AWS Systems Manager announces support for port forwarding to remote hosts using Session Manager

SSM(セッションマネージャー)でリモートホストに対してポートフォワーディングする機能がリリースされました。
従来はSSHを利用する必要がありましたが、SSMの機能(ドキュメント)で実施できるようになりました。
SSH経由だとSCPも使えて便利なので、完全上位互換というわけではないとは思いますが)
 
アップデート記事にリンクされているドキュメントからはやり方などがよくわからなかったので、自分でも試してみました。詳細は下記に記載しています。
 

Amazon ECS simplifies Capacity Provider integration with Auto Scaling groups

ECSのキャパシティプロバイダーとEC2 AutoScaling Groupの統合が簡素化されました。
普段はFargateしか使わないので詳細は雰囲気程度にしかわかっていませんが、これまではターゲット追跡ポリシーでECS(on EC2)のAutoScalingを設定する場合、ECSタスクを増やすポリシーと実行するEC2インスタンスを増やすポリシーを設定していたものが、ターゲット追跡ポリシーの中で両方書けるようになって簡素化した、という内容のようです。
(間違っていたらすみません)

SSMでリモートホストにPortForwardingする

はじめに

下記アップデートにて、SSMのドキュメントでPortForwardingができるようになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/05/aws-systems-manager-support-port-forwarding-remote-hosts-using-session-manager/

リンク先のドキュメントは何も書いてないに等しかったので、調査がてら試してみることにしました。 (尚、コンソールのセッションマネージャーやRunCommandからできたら楽だったのですが、現状はできない模様です)

やりたいこと 今回はローカルPCからプライベートサブネット上のDocumentDBにログインしてみます。

【接続経路】
ローカルPC(WSL2)→EC2(AmazonLinux2)→DocumentDB(Port:27017)

※接続先がDocumentDBなのは今案件で使っていて試しやすかっただけで他意はないです(EC2やRDSでも可能です) ※そのせいでMongo-shellの実行環境を作る必要があって地味にめんどくさかったのは秘密

事前準備

PortForwarding用のEC2インスタンスを作成します。 基本デフォルト(キーペアもSGのインバウンドルールも不要)で問題ないですが、セッションマネージャーで接続ができることが前提なので「AmazonSSMManagedInstanceCore」権限のあるインスタンスプロファイル(IAMロール)をアタッチしてあれば良いです。

また、PortForwardingはSSMエージェントのバージョンが「3.1.1374.0以降」である必要があります。 尚、検証時点(※5/28)のAmazonLinux2のAMIにデフォルトで入っているエージェントは地味にバージョンが足りないので、利用する場合は手動アップデートが必要になります。 (昨日今日に追加された機能なので、そのうち更新されると思います)

※検証時点(※5/28)で起動したインスタンスのSSMエージェントバージョン

# rpm -qa | grep -i ssm 
amazon-ssm-agent-3.1.1188.0-1.amzn2.x86_64

※バージョンアップ手順はこちら

https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-al2.html

※更新後のバージョン

# rpm -qa | grep -i ssm 
amazon-ssm-agent-3.1.1446.0-1.x86_64

接続コマンド

SSMドキュメント名は「AWS-StartPortForwardingSessionToRemoteHost」です。 詳細はドキュメントの説明(SSMのコンソールから見れます)に譲りますが、パラメータにローカル/リモートのポートと転送先のホスト(今回はDocumentDBのエンドポイント)を設定すれば接続できます。

$ aws ssm start-session --target i-xxxxxxxxxxxx --document-name AWS-StartPortForwardingSessionToRemoteHost --parameters 'portNumber=27017,localPortNumber=27017,host=docdb.cluster-abcdefghij.ap-northeast-1.docdb.amazonaws.com'

Starting session with SessionId: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
Port 27017 opened for sessionId xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
Waiting for connections...

実行後、別画面でlocalhost宛てに接続すれば転送先にログインできます。

$ mongo --host localhost:27017 --username mongo
MongoDB shell version v4.4.14

Enter password: 

connecting to: mongodb://localhost:27017/?compressors=disabled&gssapiServiceName=mongodb

Implicit session: session { "id" : UUID("c5988ed1-5497-4e17-9138-16ae18b0b71e") }

MongoDB server version: 4.0.0


(※中略)

rs0:PRIMARY>

参考

WSL2でMongo-shellを使いたい場合、単にaptではインストールできないようです。 自分は下記サイトを参考にしました。 (DBが必要なわけではないのでmongodb-org-shellのみインストールしました)

https://www.lisz-works.com/entry/mongodb-wsl-ubuntu