AWS Recent Announcements(1/11)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

Announcing the general availability of Amazon Route 53 Application Recovery Controller zonal shift

Amazon Route 53 Application Recovery Controller zonal shiftがGAされました。
ALBとNLBをサポートしており、障害が発生している特定AZへのルーティングを抑止、または再開が可能になります。
(クロスゾーン負荷分散がOFFになっていることが前提)
 
ブログではCloudwatch Synthetics(のメトリクス)でゾーンの異常(レイテンシー増加)を検知してゾーンシフトを行う構成が紹介されています。
実行時には有効期限を設定する必要がありますが、追加コマンドで期限更新も可能のようです。

 

AWS Recent Announcements(9/2)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

Announcing new AWS IAM Identity Center (successor to AWS SSO) APIs to manage users and groups at scale

IAM Identity Center(旧AWS SSO)でユーザーやグループ関連のAPIが拡張されました。
従来のAPIにはかなり制限があり、ユーザーやグループの作成や一覧表示などはAPIが無く、コンソール作業が必須となっていましたが、APIがリリースされたことでユーザー作成などが自動化できるようになりました。
(個人的には1年ぐらいGithubのIssueをウォッチしながらずっと待っていた機能なので非常に嬉しい)
 

AWS Recent Announcements(8/9)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

AWS Direct Connect expands AWS Transit Gateway support at more connection speeds

DirectConnectとTransitGatewayの接続(TransitGateway VIF)が500Mbpsの接続速度をサポートするようになりました。
従来は1Gbpsが必要だったため、既存が100Mbpsなどで利用している環境で利用する際の制約となっていましたが、今後は既存のDX接続でも利用が検討可能になりそうです。

AWS Recent Announcements(7/27)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

AWS Single Sign-On (AWS SSO) is now AWS IAM Identity Center

AWS SSO(AWS Single Sign-On) のサービス名がAWS IAM Identity Centerに変更されました。
機能的には変わっていませんが、(英語の)ドキュメント等での表記が変わっています。
 
(通称はIAMセンターとかIDセンターあたりかもしれませんが、あまり直感的ではないのでSSOと呼び続けるような気がします)
 

Malware protection now a feature of Amazon GuardDuty

GuardDutyでマルウェアの保護機能が追加されました。
案件でセキュリティの設計を行う際にマルウェア(とIDS/IPSなど)はいつもAWSサービスで対策不可になる部分で、TrendMicroなどの製品導入を検討するか許容するかを選択していましたが、今後はAWSサービスで保護できるようになります。

AWS Recent Announcements(7/26)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

Amazon DocumentDB (with MongoDB compatibility) now supports fast database cloning

DocumentDBでDBのクローンが作成可能になりました。
クローンは主に既存の本番DBを複製してテストなどを実施するための機能で、元のDBと同じストレージ上のデータを参照するため、データの複製が不要でスナップショットより高速なのが特徴です。
(クローン時点では同じデータを参照し、変更が発生したらその差分を別データとして管理していく方式)
DocumentDBはAuroraと同じようなアーキテクチャーなので、今後も類似の機能が増えていくものと思います。

AWS Recent Announcements(7/23)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

AWS CloudFormation event notifications with Amazon EventBridge help you create event-driven applications

Cloudformationのスタック作成等のイベントをEventBridgeで利用できるようになりました。
通常の利用(人が構築で利用する時など)はさほど必要ではないかもしれませんが、スタック作成後に個別の処理を実行したい場合やクロスアカウントでの構築を自動化したい場合(たとえばTransitGatewayなど)には有用なケースがあると思います。
 

Amazon Athena adds visual query analysis and tuning tools

Athenaでクエリの分析やデバッグを行うビジュアルツールが提供されました。
この機能を利用することで、クエリの処理時間や実行計画などを可視化することが可能となりました。
 
※参考(ドキュメント)
 
 

AWS Network Firewall now supports VPC prefix lists

Network FirewallでPrefix Listが利用可能になりました。
Prefix Listは個別にIPアドレスのリスト(グループ)を生成できる機能で、セキュリティグループのソースに利用して特定のIPアドレスをまとめて許可するなどの用途で使われます。
従来、Network WallではIPアドレスの増減毎にルールを修正する必要がありましたが、Prefix Listを利用することでその手間が簡略化できるようになりました。
 

AWS Lambda announces support for a new IAM condition key, lambda:SourceFunctionArn

ポリシードキュメントを記述する際に「lambda:SourceFunctionArn」の条件キーが設定できるようになりました。
これを利用することで、「特定のLambda関数から実行された場合のみアクションを許可するIAMポリシー」が作成可能になりました。
 
設定例などはドキュメントを参照下さい。
(似たような条件キーとして「lambda:FunctionArn」がありますが、こちらはイベントソースマッピング専用なので使用不可とのこと)
 

AWS Recent Announcements(7/20)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

AWS Single Sign-On (AWS SSO) adds support for AWS Identity and Access Management (IAM) customer managed policies (CMPs)

AWS SSOの権限セットでカスタマー管理ポリシー(CMPs)が利用できるようになりました。
これまではAWS管理ポリシーかインラインポリシーのみしか使用できず、カスタムの権限を設定したい場合はインラインポリシーで頑張るしかありませんでしたが、これによりカスタムの権限も管理がしやすくなりました。
(逆に何で今までできなかったのかは謎ですが、インラインポリシーに対してCMPsは比較的新しく、IAMポリシーがIAM以外と連携することは無いので意外に実装が難しかったのかもと推測)
 

AWS Lambda announces support for Attribute-Based Access Control (ABAC)

LambdaがAttribute-Baseのアクセス制御(ABAC)をサポートするようになりました。
(正確には関数と関数バージョン、エイリアスのタグでサポートされるようになったというアップデート)
 
ABACは対象リソースのタグ(ResourceTag)とIAMユーザーまたはロールのタグ(PrincipalTag)に基づいてアクセス制御を行う手法で、ポリシーで制御するRBACと比較してリソース毎の権限管理を簡素化できるメリットがあります。
たとえば1アカウント内に複数の環境が共存している場合やマルチテナントの場合、RBACでアクセス制御を行おうとすると中身がほぼ同じIAMポリシーを複数作成する必要がありますが、ABACではリソースとIAMユーザーまたはロールのタグのタグが一致する場合に許可、という書き方ができるため、作成するポリシーは共通で良くなるメリットがあります。
 
※参考情報