AWSサービスアップデート　2024/11

Transcript

1. AWSサービスアップデート 2024/11 2024年12月02日 ＮＲＩネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 〒105-7114 東京都港区東新橋1-5-2 汐留シティセンター14F 〒530-0005

   大阪府大阪市北区中之島3-2-4 中之島フェスティバルタワー・ウエスト24F

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼ 登壇者：大林

   優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 450以上あるAWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS リソースへのアクセスを一元的に制限するリソースコントロールポリシー

   (RCP) の導入 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/resource-control-policies-restrict-access-aws-resources/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/resource-control-policies-restrict-access-aws-resources/ ◆AWS リソースへの外部アクセスを大規模に一元的に制限 ➢ AWS は、AWS 環境全体でデータ境界を一元的に確立するのに役立つ リソースコントロールポリシー (RCP)をAWS Organizationsに追加すると発表しました。 ➢ RCP は、組織内の AWS リソースに対する予防的制御を一元的に作成して適用するために使用 できる組織ポリシーの一種です。RCP を使用すると、AWS でワークロードをスケーリングする際に AWS リソースに使用可能な最大の許可を一元的に設定できます。 ➢ 既存の組織ポリシーである SCP は組織内の IAM ロールとユーザーの最大許可を一元管理するの に対し、RCP は組織内の AWS リソースに対する最大許可を一元管理します。 ➢ リソースコントロールポリシー (RCP) はすべての AWS 商用リージョンで利用できます。

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS リソースへのアクセスを一元的に制限するリソースコントロールポリシー

   (RCP) の導入 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/resource-control-policies-restrict-access-aws-resources/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/resource-control-policies-restrict-access-aws-resources/ ◼例えば、組織内部のIAMロールのみスイッチを許可する ◼サポート対象サービス： ⚫ Amazon S3/AWS Security Token Service/AWS Key Management Service/Amazon SQS/AWS Secrets Manager Organizational unit AWS Organizations Organizational unit Account RCP Role Account Role Role (External Organizations)

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Identity

   and Access Management (IAM) でルートアクセスを一元管理 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-management/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-management/ ◆ルート認証情報を簡単に管理し、高度な権限が必要なアクションを実行できるようになります ➢ AWS IAM は、AWS Organizations を使用して管理される AWS メンバーアカウント全体で ユーザーがルート認証情報を一元管理し、認証情報の監査を簡素化し、限定的な特権タスクを 実行できるようにする新機能をリリースしました。 ➢ これまでは、個々のメンバーアカウントごとにルートユーザーをセキュアに管理する必要がありました。 ➢ 今回の新機能により、管理者は AWS Organizations のメンバーアカウントの不要なルート認証 情報を削除し、必要に応じて、一時的な認証情報を使用して限定的な特権アクションを実行 できるようになりました。 ➢ 管理者はアカウント内の高い権限のアクセスを制御し、運用上の労力を軽減し、AWS 環境を より簡単に保護できるようになります。 ➢ AWS メンバーアカウントでのルートアクセスを管理する機能は、AWS GovCloud (米国) リージョン と中国リージョンを含む、すべての AWS リージョンで利用できます。

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◆単一コンソールでリソース検索、関連プロパティの表示、リソース整理が可能になりました ➢

   AWS は、AWS のサービスからのリソースのインサイトとプロパティを一元化する AWS Resource Explorer の新しいコンソールエクスペリエンスの一般提供を発表しました。 ➢ リソースプロパティ、Cost Explorer によるリソースレベルのコスト、Security Hub の調査結果、 Config のコンプライアンスと設定履歴、CloudTrail によるイベントタイムライン、接続リソースを示す 関係グラフを閲覧できるようになりました。 ➢ さらに、タグの管理、アプリケーションへのリソースの追加、Amazon Q によるリソースに関する 追加情報の取得など、リソースに対するアクションを Resource Explorer コンソールから直接実行 することもできるようになります。 ➢ Resource Explorer は追加料金なしでご利用いただけますが、コンプライアンス情報や設定履歴 などの機能には、別途料金がかかる AWS Config を使用する必要があります。これらの機能は Resource Explorer が一般提供されているすべての AWS リージョンで利用できます。 AWS Resource Explorer の新しいコンソールエクスペリエンスの一般提供開始 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/security-compliance-operating-metrics-aws-resource-explorer/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/security-compliance-operating-metrics-aws-resource-explorer/

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼Config のコンプライアンスと設定履歴、CloudTrail

   によるイベントタイムラインなどを閲覧できる AWS Resource Explorer の新しいコンソールエクスペリエンスの一般提供開始 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/security-compliance-operating-metrics-aws-resource-explorer/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/security-compliance-operating-metrics-aws-resource-explorer/

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◆新しい集中型の宣言的制御機能 ➢

   AWS は、ネットワーク管理者とセキュリティ管理者が VPC のインターネットトラフィックを確実に ブロックできるようにする新しい集中宣言型制御である VPC Block Public Access (BPA) を 発表しました。 ➢ VPC BPAは、他のどの設定よりも優先され、組織のセキュリティおよびガバナンスポリシーに従って VPCリソースが制限のないインターネットアクセスから保護されるようにします。 ➢ AWS Network Access Analyzer および VPC フローログと統合されており、影響分析をサポートし 高度な可視性を提供し、ユーザーが監査およびコンプライアンスの要件を満たすのに役立ちます。 ➢ VPC BPAは、Amazon VPCが提供されているすべてのAWSリージョンで利用可能です。 この機能を利用するための追加料金は発生しません。 Amazon VPC で Block Public Access (BPA) を提供開始 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/block-public-access-amazon-virtual-private-cloud/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/block-public-access-amazon-virtual-private-cloud/

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼双方向またはイングレスのみに対してブロックパブリックアクセスを設定することができる ◼除外設定を行うことで通信経路を確保できる

   Amazon VPC で Block Public Access (BPA) を提供開始 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/block-public-access-amazon-virtual-private-cloud/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/block-public-access-amazon-virtual-private-cloud/

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◆パブリックサブネットを作成せずにCloudFrontを経由してコンテンツ提供が可能 ➢

    VPCオリジンにより、Application Load Balancer (ALB)、Network Load Balancer (NLB)、EC2インス タンスを、CloudFrontディストリビューションからのみアクセス可能なプライベートサブネットに配置でき ます。 ➢ これまで、VPC内のオリジンはパブリックサブネットに配置し、アクセスコントロールリストやその他の制 限を導入する必要がありましたが、これにより継続的な労力が発生していました。VPCオリジンはこの プロセスを簡素化し、CloudFrontをアプリケーションの単一のフロントドアとして利用できるようにしま す。 ➢ VPCオリジンはAWS商用リージョンで利用可能で、追加コストは発生しません。CloudFormationサ ポートは近日中に提供予定です。 Amazon CloudFront が VPC オリジンを発表 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/security-compliance-operating-metrics-aws-resource-explorer/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/security-compliance-operating-metrics-aws-resource-explorer/

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. ◼パブリックIP、パブリックサブネット不要 ◼プライベートサブネット内のオリジンリソースへのアクセスは、CloudFront経由のみに制限

    Amazon CloudFront が VPC オリジンを発表 AWSサービスアップデート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/security-compliance-operating-metrics-aws-resource-explorer/ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/security-compliance-operating-metrics-aws-resource-explorer/ Virtual private cloud (VPC) Amazon EC2 Instance Amazon Relational Database Service (Amazon RDS) Amazon EC2 Instance Amazon Relational Database Service (Amazon RDS) Elastic Load Balancing Internet gateway Amazon CloudFront Private Subnet Private Subnet

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. その他のアップデート＆情報 ◼

    Amazon Redshift Serverless、AI 主導のスケーリングと最適化を発表 https://aws.amazon.com/jp/about-aws/whats-new/2024/10/amazon-redshift-serverless-ai-driven- scaling-optimization/ ◼ Amazon CloudFront で、AWS WAF によってブロックされたリクエストが課金対象外に https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-cloudfront-charges-requests- blocked-aws-waf/ ◼ AWS が Amazon ECS サービスのサービスバージョニングとデプロイ履歴を導入 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/service-versioning-deployment-history- amazon-ecs-services/ ◼ EC2 Auto Scaling、厳密なアベイラビリティーゾーンのバランスに対するプロビジョニング制御を導入 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/ec2-auto-scaling-strict-availability-zone- balance/ ◼ Amazon Route 53 Resolver DNS Firewall Advanced のご紹介 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-route-53-resolver-dns-firewall- advanced/ AWSサービスアップデート

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. その他のアップデート＆情報 ◼

    Amazon VPC Lattice が Amazon Elastic Container Service (Amazon ECS) をサポートするようになりました https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-vpc-lattice-elastic-container- service/ ◼ Amazon EFS がクロスアカウントレプリケーションをサポート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-efs-cross-account-replication/ ◼ Amazon Aurora Serverless v2 はゼロ容量へのスケーリングをサポート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-aurora-serverless-v2-scaling- zero-capacity/ ◼ Amazon CloudFront が gRPC 配信をサポート https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-cloudfront-supports-grpc- delivery/ ◼ IAM アクセスアナライザーの未使用アクセス分析の範囲をカスタマイズ https://aws.amazon.com/jp/about-aws/whats-new/2024/11/customize-scope-iam-access-analyzer-unused- access-analysis/ AWSサービスアップデート

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. その他のアップデート＆情報 ◼

    Amazon CloudFront がアクセスログの追加のログ形式と出力先をサポートするようになりました https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-cloudfront-log-formats-destinations- access/ ◼ AWS Database Migration Service を使用した EC2 データベースの Amazon RDS への自動移行を発表 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/auto-migration-ec2-databases-amazon-rds-aws- database-migration-service/ ◼ Amazon CloudFront がエニーキャスト静的 IP のサポートを開始 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-cloudfront-anycast-static-ips/ ◼ AWS、Amazon ECS サービスの予測スケーリングのサポートを発表 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/predictive-scaling-for-amazon-ecs-services/ ◼ Amazon Cognito は、パスワードレス認証をサポートし、スムーズで安全なログインを実現します。 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/amazon-cognito-passwordless-authentication- low-friction-secure-logins/ AWSサービスアップデート

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. その他のアップデート＆情報 ◼

    AWS CodePipeline が新しいアクションとして ECR イメージの公開と AWS InspectorScan をサポートするようになりました https://aws.amazon.com/jp/about-aws/whats-new/2024/11/aws-codepipeline-publishing-ecr-image-aws- inspectorscan-actions/ AWSサービスアップデート
16. None