AWS Recent Announcements(4/30~5/31)

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています

Amazon RDS now supports Internet Protocol Version 6 (IPv6)

RDSがIPv6に対応しました。VPCがデュアルスタック(IPv4とv6両方のCIDRをアタッチ)であれば既存のRDSも変更ができます。
現状、RDS for MySQLPostgreSQLSQL ServerMariaDBOracleは対応していますが、Auroraは未対応のようです。
 
(DocumentDBなども未対応なので、アーキテクチャー的にインスタンスとストレージが分離されているものはネットワークの扱いが違うのだと思います)
 

AWS adds new management features for EC2 key pairs

キーペアの管理機能が更新され、作成日と公開鍵が取得可能になりました。
また、Cloudformationでキーペアの作成・削除も可能になったので、今後はEC2を立てる前に事前にキーペアを作っておく必要がなくなりました。
(コンソールだとこんな感じ)

 
※作成日の取得について、クラメソさんの記事だとAWS CLI V2は未対応と書かれていますが、今日(4/30 10:20頃)やったらV2でも取得できました
 

AWS Network Firewall now supports AWS Managed Threat Signatures

Network FirewallのマネージドルールにTheat Signatureのマネージドルールが追加されました。
元々Network Firewallは(TrendMicroやPaloAltoなどの製品と比較して)ルールの維持が難しく、Suricataのルールなどを使っていても手動更新になるので運用負荷がかなり高かったのですが、マネージドルールはAWS側で自動更新されるため、そうした運用が軽くなることが期待されます。
 
※ちなみに「Theat Signature」はセキュリティ界隈の一般用語で、「Signature」は(攻撃の)「特徴的なパターン」をという意味らしいです
 

Amazon EKS console now supports all standard Kubernetes resources to simplify cluster management

EKSのコンソールから全ての標準kubernetesリソースが確認できるようになりました。
以前はPodやNodeといった一部のリソースしか確認できませんでしたが、UIも一新されて見やすくなりました。
(カスタムリソースは引き続きkubectlで確認)
 
 

 

Amazon RDS Performance Insights now allows you to more easily see metrics for any time interval

RDSのPerformance Insightsのメトリクス表示がカスタム時間に対応しました。
以前は過去1日や1週間といった大雑把な期間でしか指定できませんでしたが、細かい時間指定が可能になりました。
(元々保持期間が2週間とかなので大した問題ではありませんでしたが、選択肢が増えるのはありがたい)
 

Amazon EBS Snapshots Archive is now available in additional regions

EBSスナップショットを別リージョンにアーカイブする機能が大阪リージョン(他)でサポートされるようになりました。
大阪リージョンで利用可能になったことで、リージョン障害時の選択肢として使いやすくなると思います(海外リージョンだと法律の壁がある場合があるので)
注意点としては、EBSスナップショットは通常増分バックアップですが、アーカイブするとフルバックアップを保持する仕様になるため、あまり何世代も保持するようになっていると余計にコストがかかる場合があります。
(詳しくは↓のサービスアップデートで説明されています)
サービスアップデート Storage 編:Part1 (S3, EBS, EFS, Snow Family)
 

AWS Serverless Application Model CLI now supports enabling AWS X-Ray tracing

SAMのCLIを利用してX-Rayのトレースが有効化できるようになりました。
元々SAMのテンプレートでLambdaのX-Ray有効化はできましたが、sam initに"--tracing"オプションを追加することでテンプレート生成時に自動でX-Ray有効化の設定を追加してくれるものです。
 
LambdaのX-Ray有効化には、Lambda関数で有効化する方式(X-Rayアクティブトレース)とコード本体にSDKを埋め込む方式があります(今回のアップデートは前者の話)
X-Rayアクティブトレースはコード修正無しで設定可能ですが、トレース可能なのはLambda関数での処理であり、接続先(DBなど)の処理は参照不可になります。
(逆に言うと、その制約を許容できるのであれば割と使える機能かと思いました)
 
ちなみにSAMテンプレートではAPI GatewayX-Rayトレースも有効化できます。
 
【SAMテンプレートでのX-Rayアクティブトレース設定例】
Globals:
  Function:
    Timeout: 10
    Tracing: Active # Lambda での X-Ray 有効化
  Api:
    TracingEnabled: True # API Gateway での X-Ray 有効化
 
(アップデート自体は「ふーん」という感じでしたが、LambdaのX-Rayアクティブトレースについてちゃんと知らなかったので確認ついでにピックアップ)
 

Amazon RDS for PostgreSQL supports cascaded read replicas for up to 30X more read capacity

RDS for PostgreSQLのv14.1以降でカスケードリードレプリカが利用可能になりました。
 
カスケードリードレプリカはリードレプリカのソースにリードレプリカを追加して階層構造にする方式で、これによるメリットは主にソースDBインスタンスへの負荷軽減です。
PostgreSQLではWALプロセスがDBの更新内容をキャッチしてリードレプリカインスタンスに送信していますが、読み取りスケールのためにリードレプリカを複数(最大5つ)構築しているとその分WALプロセスの処理負荷が上がり、ソースDBインスタンスの負荷が上がるという問題があります。
カスケードリードレプリカを利用するとリードレプリカのソースをリードレプリカに設定できるため、その更新処理をリードレプリカに外出しすることが可能となり、結果ソースDBインスタンスの負荷が軽減されるというものです。
(ちなみにAnnounceではカスケード込みで最大155まで作成可能とありましたが、この計算方法がいまいちよくわかってないです)
 
※参考
 
RDSも色々と進化しており、マルチAZとリードレプリカのメリデメは資格試験だと定番だったりするのですが、今では「マルチAZ且つリードレプリカ」が作成可能となっており、知識の陳腐化が起こっていたりします。
あとは自分は知らなかったですが、(Auroraではない)RDSでもリージョン間のリードレプリカが作成できるようになっていました。
(普段Auroraしか使わないので見落としていた可能性もありますが)
 

The New Amazon ElastiCache console is now available

Elasticacheのコンソール画面が更新されました。
以前の画面は一部の設定値を表示させる際に無限にリロードが発生するなど(個人的に)かなり使いにくかったですが、他サービスと同じようなUIになりかなり使いやすくなりました。
 

 

AWS Service Catalog Provisioning constructs for the AWS Cloud Development Kit (AWS CDK) are now available

最近Service CatalogでCDKが利用可能になったアップデートがありましたが、CDKのコンストラクトを既存のService Catalog製品から生成してくれるツール(ビルダー)が提供されました。
 
コンストラクトとは、CDKにおけるリソースの構成単位のことで、ある程度のリソースをセット且つ細かいパラメータはwell-architectedに従ってよろしく決めてくれるもの(抽象度の高いもの)から、Cloudformationと同じ単位で細かくパラメータを設定できるもの(抽象度の低いもの)などがあります。
CDKは基本的に記述コストが重いのですが(抽象度の高い方が使えるなら別ですが、実案件では細かいカスタマイズが必要になることが多い)、既存からのインポートができることでその負担軽減が期待されます。
 
(元々はCloudformationのリソース定義をコンストラクトとして引っ張ってくるツールで、それにService Catalogのインポート機能が追加されたものと思われる)
 
※ちなみにService Catalog with CDKのWorkshopもあるようです。
 

Amazon Braket Hybrid Jobs now supports embedded circuit simulations, improving the performance of certain hybrid quantum-classical algorithms by over 10X

Amazon BracketのHybrid Jobsが組み込み回路シミュレーターをサポートするようになり、パフォーマンスが向上したようです。
この場合の「Hybrid」とは、量子コンピューティングと古典(所謂従来型)のコンピューティングを組み合わせるという意味です。
量子コンピュータは特定の計算には強いものの、それ以外の一般的な用途では古典コンピュータの方で十分な性能が出せるということで、それを組み合わせて実用性のある結果を出そうというアプローチ)
 
量子コンピュータは個人的に関心があるものの、中身はよくわかっていないので紹介まで
 

はじめに(定型文)

AWSのUpdate情報の中で、個人的に気になったものをピックアップします。
(Update以外でも新しく知った情報や、たまにAWS以外の情報も記載するかもしれません)
※日本語は反映が遅いので基本英語版で見ています
 

Amazon EC2 adds CloudWatch Events support for Amazon Machine Images

AMIの状態変化(イメージ作成・登録・登録解除など)のイベントをEventbrigeに送信可能になりました。
これにより、たとえばAMIイメージの作成完了後にSNSで通知を行う、インスタンスを起動する、AutoScalingGroup(起動テンプレート)に追加するなどの後続処理を実装することができます。
AMI作成であればパイプラインツール(Codepipelineなど)か、もしくはImageBuilderを利用するかと思いますが、EventBridgeを利用するとアーキテクチャーを疎結合にできるメリットがあります。
 
疎結合のメリットは、呼び出し元(ソース)と呼び出し先(ターゲット)の機能を分離することで、ユーザーに応答を早く返せるのでレスポンス速度が上がる、機能や宛先の追加時には呼び出し先(ターゲット)の追加だけで済むので拡張性が高まるといったあたりです
(参考)
 

Announcing new workflow observability features for AWS Step Functions

StepFunctionsの実行結果確認画面が拡張されました。
従来の表示(グラフビュー)に加え、Table view、Event viewが追加され、アクション単位での処理結果やステートマシン実行の事前処理などの所要時間といった詳細情報が見やすくなりました。
(「新しい実行ページ」をオンにすると見れます)
 
※下記はEvent viewの画面例

 

AWS Secrets Manager now publishes secrets usage metrics to Amazon CloudWatch

Secrets Managerのシークレット数(count)のメトリクスがCloudwatchで取得可能になりました。
単純に取れる情報が増えたのは嬉しいことですが、「an unexpected increase or decrease in number of secrets.(予期せぬシークレット数の増減)」というのがどんな状況なのかわかっていないので、具体的な用途は思いつかないですが(監視目的?)。
 
 

Amazon Athena now supports views in Apache Hive metastores

Athenaが外部のHiveメタストアのビューに対してクエリを実行できるようになりました。
Hiveメタストアとの接続は以前から(AthenaからLambdaを呼び出して)できたものの、Hiveビューを参照するためのクエリがAthenaでサポートされていなかったため利用できなかったものが今回解消した、というアップデートのようです。
(Athenaがクエリを自動解釈可能になった)
 
※Hiveメタストアの利用方法
 

AWS PrivateLink announces support for IPv6

PrivateLink(インターフェース型VPCエンドポイント)がIPv6に対応しました。
以前はIPv6VPC上でPrivateLinkを利用する場合、NAT Gateway(NAT64)を配置する必要がありましたが、今後はダイレクトで利用できるようになり構成がシンプルになります。
 
※以前の構成

 

Amazon VPC Traffic Mirroring now supports sending mirrored traffic to Gateway Load Balancer backed monitoring appliances

VPC Traffic Mirroringのターゲット(送信先)にGateway LoadBalancer(正確にはGateway LoadBalancerのエンドポイント)を指定できるようになりました。
(以前はENIとNLBのみ)
VPC Traffic MirroringはVPC上を経由するパケットの情報を指定したターゲットにコピーして送信する機能で、VPC FlowLog(L4レイヤー)では確認できないパケットフィルタリングやパケットの監査を行う時などに利用する機能です。
ターゲットにGateway LoadBalancerを指定できるようになったことで、(Paloaltoなどが提供する)監視アプライアンスとの連携が容易になりました。
 
AWSブログ記事
 
※構成図

 

Amazon VPC now supports multiple IPv6 CIDR blocks

VPCにアタッチできるIPv6 CIDRが1個→5個になりました。
CIDR追加が可能になったメリットの例は、Amazon管理のCIDRに追加して顧客管理のIPv6 CIDRの利用(BYOIP)が可能となり、ネットワーク上の境界を設けることができるようになった点です。
(現状IPv6を利用する案件はまだ無いですが、諸々の制約が徐々に解消されているので、そろそろ使わない利用は無くなってきているのかなと個人的には思い始めています)
 

AWS Control Tower can now use customer provided core accounts

Control Towerのコアアカウントで既存のアカウントを指定できるようになりました。
 
Control TowerはAWSのベストプラクティスに基づいたマルチアカウントのAWS環境を構築・管理するための機能です。アカウント管理の単位をランディングゾーンと呼びます。
コアアカウントはControl Towerの中でも特別な機能を持つアカウントで、管理アカウント、監査アカウント、ログアーカイブアカウントの3種類があり、今回のアップデートでランディングゾーン設定時に既存アカウントが指定できるようになったとのことです。
(Control Towerにあまり明るくないので何のことかわかりませんでしたが、設定時の画面で「既存のアカウントの使用」というのができるようになったということみたいです)

 

Amazon CloudWatch announces improved console experience

CloudwatchのUIが更新され、ダッシュボードやロググループのお気に入り設定が一覧表示できるようになりました。
最初ロググループのお気に入り設定のやり方がわかりませんでしたが、ロググループを参照すると下記画面の「最近のアクセス」のところに追加されるので、そこで星マークを押すと登録できるようです(直感的ではないのでそのうち修正されそうですが)

 
またこれは今回のアップデートではないと思いますが、ロググループのサブスクリプションフィルターにFirehoseを設定するようになっていました。(以前はCLI限定だったと思います)

 
あとAWS標準ダッシュボードが提供されるようになっていました(これも前は無かったかと)

 

AWS Resilience Hub adds support for Terraform, Amazon ECS, and additional services

Resilience HubでECSやRoute53などのサービス追加の他、Terraformのコードがサポートされるようになりました。
Resilience Hubはアプリケーションのコードをアップロードすると復旧時間などをレジリエンススコアとして評価してくれる機能で、ProtonのようにTerraformと連携できるサービスは今後も増えていくかもしれません。
(Resilience Hub自体は使ったことないのであまりピンと来ていませんが)
 

Announcing general availability of 1-click public embedding available with Amazon QuickSight

QuickSightのダッシュボードを外部のダッシュボードなどに埋め込みができるようになりました。
Quicksightは元々お値段控えめの読み取り専用ユーザー(閲覧者)のライセンスも提供していましたが、こちらはライセンス不要なので、社内のポータルサイトダッシュボードを表示させる、といった用途に利用できます。
(Quicksightのダッシュボードだけ見せたい、というケースは多そう)
AWSブログを見ると、公開したい外部ドメインを設定し、そこに対してパブリック公開を許可するようなイメージのようです。
 

Announcing Multi-Account Support for AWS Transit Gateway Network Manager

Transit Gateway Network ManagerがOraganization内のマルチアカウント管理に対応しました。
Network Managerはリージョン間やVPCなどのネットワークトポロジー間の通信経路を可視化できる機能で、従来は単一アカウントのみでしたが、これがマルチアカウントに対応できるようになりました。
Network Managerという機能自体は遠い昔の記憶で何となく覚えがありますが、実際に使ったことはなかったので、マルチアカウントで大規模なネットワーク管理を行っている場合は使えそうな機能だと思いました。
(また、Network Managerで管理しているとRoute Analyzerでルーティングの検証も可能なので、Reachavility Analyzerと合わせてできることは色々ありそうです)
 

Two new storage locations available for AWS DataSync

DatasyncのLocationとしてAzure Storageと(GCの)Cloud Storageがサポートされるようになりました。
DataSyncはオンプレミスやAWSストレージ間でデータ同期を行うサービスで、主に移行やバックアップの用途で使うことが多いですが、AzureやGCのデータをS3に転送(同期)できるようになったことで、クラウド移行やマルチクラウドの運用に選択肢ができたと思います。
(直近、Azure→AWSの移行案件をやっているので、可能なら試してみたいと思います)
 

Amazon EC2 enables customers to protect instances from unintentional stop actions

EC2インスタンスで停止保護が設定できるようになりました。
インスタンス終了(削除)保護は前からありましたが、停止保護を設定することでステートフルワークロード用途やインスタンスストア(一時)ボリュームを使っている場合に意図しない停止から保護することができます。
(停止保護が入っていると終了保護も入るようです)
 

AWS Systems Manager announces support for port forwarding to remote hosts using Session Manager

SSM(セッションマネージャー)でリモートホストに対してポートフォワーディングする機能がリリースされました。
従来はSSHを利用する必要がありましたが、SSMの機能(ドキュメント)で実施できるようになりました。
SSH経由だとSCPも使えて便利なので、完全上位互換というわけではないとは思いますが)
 
アップデート記事にリンクされているドキュメントからはやり方などがよくわからなかったので、自分でも試してみました。詳細は下記に記載しています。
 

Amazon ECS simplifies Capacity Provider integration with Auto Scaling groups

ECSのキャパシティプロバイダーとEC2 AutoScaling Groupの統合が簡素化されました。
普段はFargateしか使わないので詳細は雰囲気程度にしかわかっていませんが、これまではターゲット追跡ポリシーでECS(on EC2)のAutoScalingを設定する場合、ECSタスクを増やすポリシーと実行するEC2インスタンスを増やすポリシーを設定していたものが、ターゲット追跡ポリシーの中で両方書けるようになって簡素化した、という内容のようです。
(間違っていたらすみません)