Slide 1

Slide 1 text

2024.12.23 クラスメソッド株式会社 yhana re:Invent 2024 ふりかえり勉強会

Slide 2

Slide 2 text

もくじ 2 ● アップデート紹介(re:Invent 開催前のアップデート含む) ○ コンピューティング ■ Amazon Elastic VMware Service のプレビュー ■ Amazon EC2 Allowed AMI ■ AWS Step Functions が Variables と JSONata の変換 ○ ネットワーク ■ Amazon VPC ブロックパブリックアクセス ■ Amazon CloudFront が VPC origins ■ Resource Configuration & Resource gateways ○ ストレージ ■ AWS Transfer Family web apps ○ データベース ■ Amazon Aurora DSQL のプレビュー ■ Oracle Database@AWS のプレビュー ● その他のアップデートの参考情報

Slide 3

Slide 3 text

コンピューティング

Slide 4

Slide 4 text

コンピューティングのアップデートから紹介する内容 4 ● Amazon Elastic VMware Service のプレビュー ● Amazon EC2 Allowed AMI 機能 ● AWS Step Functions が Variables と JSONata の変換

Slide 5

Slide 5 text

Amazon Elastic VMware Service(プレビュー) 5 ● VMware Cloud Foundation (VCF) ○ ユーザー作成の VPC にデプロイして利用 ○ ユーザー側で仮想化基盤の管理者権限を利用可能 ○ セルフマネージド型またはパートナーによるマネージド型 ● リリース時点でベアメタルインスタンス i4i.netal × 4hosts 構成から ● 限定プレビュー中のため利用には申請が必要 関連ブログ:「ついに来た!Amazon Elastic VMware Serviceの爆速キャッチアップ」というタイトルでCM re:Growth 2024 OSAKAに登壇しました

Slide 6

Slide 6 text

Amazon Elastic VMware Service(プレビュー) 6 アーキテクチャ(ストレージは VMware vSAN)

Slide 7

Slide 7 text

Amazon Elastic VMware Service(プレビュー) 7 オンプレミス拠点と Direct Connect を用いた 閉域接続と VPN 接続が 可能

Slide 8

Slide 8 text

Amazon EC2 Allowed AMI 8 ● AWS アカウント内における AMI の使用を制限する機能 ● 使用制限する設定の他、基準に沿っているか確認できる Audit モードあり ● ルールは JSON 形式で作成 関連ブログ:[アップデート] Amazon EC2 で AMI ガバナンスを強化するために 許可された AMI が導入されました { "imageCriteria": [ { "imageProviders": [ "amazon", "aws-marketplace", "123456789012", "112233445566", ] } ] }

Slide 9

Slide 9 text

Amazon EC2 Allowed AMI 9 Amazon EC2 ダッシュボードの「アカウントの属性」から設定

Slide 10

Slide 10 text

Amazon EC2 Allowed AMI 10 Audit Mode(監査モード)の確認

Slide 11

Slide 11 text

Amazon EC2 Allowed AMI 11 「 Allowed AMI 」導入のベストプラクティス 1. 監査モードを有効にする 2. AMI の基準を決定・設定する 3. 予想されるビジネス(システム)への影響を確認する ○ 影響を受ける Amazon EC2 の「起動テンプレート」の修正なども必要 4. 許可された AMI を有効にする 5. 継続的に問題がないかの確認・見直し AWSユーザーガイド:Control the discovery and use of AMIs in Amazon EC2 with Allowed AMIs - Amazon Elastic Compute Cloud

Slide 12

Slide 12 text

Amazon EC2 Allowed AMI 12 ● 現在サポートされているのは「imageProviders」のみ ○ 個別の AMI 指定はできないと思われる AWSユーザーガイド:Control the discovery and use of AMIs in Amazon EC2 with Allowed AMIs - Amazon Elastic Compute Cloud imageProvidersの有効な値 説明 amazon AWSによって作成されたAMI aws-marketplace AWS Marketplaceで検証済みのプロバイダーによって作成されたAMI aws-backup-vault AWS Backup Vaultに存在するバックアップ AMI AWS account IDs 任意のAWSアカウント none 自アカウントで作成された AMI

Slide 13

Slide 13 text

AWS Step Functions が Variables と JSONata の変換に対応 13 ● Variables (変数) の利用によりステート内で値の引き渡しが不要に ● JSONata は、JSON をクエリ・変換するための言語 ○ 読み方は「じぇいそなーた」 関連ブログ: ・[アップデート] AWS Step Functions で変数が使えるようになりました ・ 「これでLambdaが不要に?!Step FunctionsのJSONata対応について」というタイトルでCM re:Growth 2024 OSAKAに登壇しました https://jsonata.org/

Slide 14

Slide 14 text

AWS Step Functions の JSONata 利用例 14 ● JSONata で変換する例 ● Web上の「JSONata Exerciser」で 動作確認が簡易にできる

Slide 15

Slide 15 text

AWS Step Functions の JSONata 利用例 15 ● 従来はLambdaが必要だった整形処理がJSONataだけで実現できるケースあり ● 従来のStep Functionsの乗算のステート(左図)とJSONataを利用したステート(右図) 引用元:AWS Step Functionsで組み込み関数だけを使って整 数の乗算を実装してみた(AWS CDK)

Slide 16

Slide 16 text

JSONata の利用例 16 ● JSONataでできること ○ 正規表現 ○ 文字列操作 ○ 日付操作 ○ 四則演算 ○ 簡単なプログラミング ■ 変数の利用 ■ 条件分岐の利用 ■ 関数の定義 ■ コメントの利用

Slide 17

Slide 17 text

ネットワーク

Slide 18

Slide 18 text

ネットワークのアップデートから紹介する内容 18 ● Amazon VPC ブロックパブリックアクセス ● Amazon CloudFront が VPC origins ● Resource Configuration & Resource gateways ○ AWS PrivateLink を介した VPC リソースへのアクセスが可能に

Slide 19

Slide 19 text

Amazon VPC ブロックパブリックアクセス 19 ● VPC とインターネット間の通信をブロックをする機能 ● 双方向とインバウンドのみ(インターネット → VPC)のブロックが可能 関連ブログ:ブロックパブリックアクセス(BPA)でインターネットアクセスを遮断してみた Bidirectional (双方向) のブロック Ingress-only (インバウンドのみ) のブロック

Slide 20

Slide 20 text

Amazon VPC ブロックパブリックアクセス 20 ● VPC パブリックブロックアクセスはリージョン毎の設定 ○ AWS Organizations の宣言型ポリシーを用いて組織 / OU 単位でまとめて設定も可能 ● ブロック除外とする VPC の指定も可能

Slide 21

Slide 21 text

Amazon CloudFront VPC origins 21 ● VPC のプライベートサブネットに存在するリソースからのコンテンツ配信を 可能にする新機能 ○ プライベートサブネットの Application Load Balancer (ALB)、 Network Load Balancer (NLB)、また は EC2 インスタンスにアクセス 関連ブログ:CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

Slide 22

Slide 22 text

Amazon CloudFront VPC origins 22 ● これまでの構成と新しく構築できる構成案のイメージ図 これまでの構成 新しく構築できる ようになった構成 ・CloudFront経由以外のアクセス をブロックする考慮が必要 ・グローバルIPアドレスが必要

Slide 23

Slide 23 text

Resource configuration & Resource gateways 23 ● AWS PrivateLink で NLB を利用せずに他 VPC に TCP でアクセス可能に ● 新しい機能である Resource configuration & Resource gateways を利用 これまでの構成 新しく構築できる ようになった構成 関連ブログ:「ネットワークの新要素!Resource Gateway&Configuration関連アップデートまとめ」というタイトルでre:Growth 2024 東京に登壇しました

Slide 24

Slide 24 text

Resource configuration & Resource gateways 24 ● Resource configuration & Resource gateways の利用イメージ

Slide 25

Slide 25 text

Resource configuration & Resource gateways 25 ● Resource configuration & Resource gateways の利用イメージ ○ ①:Resource gateway を作成 Resource gateway ①:Resource gateway 作成

Slide 26

Slide 26 text

Resource configuration & Resource gateways 26 ● Resource configuration & Resource gateways の利用イメージ ○ ①:Resource gateway を作成 ○ ②:Resource configuration を Resource gateway と関連付けて作成 Resource gateway Resource configuration ①:Resource gateway 作成 ②: Resource configuration 作成 関連付け

Slide 27

Slide 27 text

Resource configuration & Resource gateways 27 ● Resource configuration & Resource gateways の利用イメージ ○ ①:Resource gateway を作成 ○ ②:Resource configuration を Resource gateway と関連付けて作成 ○ ③:VPC エンドポイント(「Resource」タイプ)を Resource configuration と関連付けて作成 Resource gateway Resource configuration ①:Resource gateway 作成 ②: Resource configuration 作成 Resource Configuration を指定 ③: VPCエンドポイント作 成 「Resource」タイ プVPCエンドポイ ント

Slide 28

Slide 28 text

Resource configuration & Resource gateways 28 ● Resource configuration & Resource gateways の利用イメージ ○ ①:Resource gateway を作成 ○ ②:Resource configuration を Resource gateway と関連付けて作成 ○ ③:VPC エンドポイント(「Resource」タイプ)を Resource configuration と関連付けて作成 Resource gateway Resource gateway ①:Resource gateway 作成 ②: Resource Configuration 作成 ③: VPCエンドポイント作 成 TCP 「Resource」タイ プVPCエンドポイ ント

Slide 29

Slide 29 text

Resource configuration & Resource gateways 29 ● Resource configuration & Resource gateways のクロスアカウント利用イメージ

Slide 30

Slide 30 text

Resource configuration & Resource gateways 30 ● Resource configuration & Resource gateways のクロスアカウント利用イメージ ○ ①:Resource gateway を作成 ○ ②:Resource configuration を Resource gateway と関連付けて作成 Resource gateway Resource configuration ①:Resource gateway 作成 ②: Resource Configuration 作成

Slide 31

Slide 31 text

Resource configuration & Resource gateways 31 ● Resource configuration & Resource gateways のクロスアカウント利用イメージ ○ ①:Resource gateway を作成 ○ ②:Resource configuration を Resource gateway と関連付けて作成 ○ ③:Resource configuration を RAM で共有 Resource gateway Resource configuration ①:Resource gateway 作成 ②: Resource Configuration 作成 共有 承認 ③:RAMで共 有

Slide 32

Slide 32 text

Resource configuration & Resource gateways 32 ● Resource configuration & Resource gateways のクロスアカウント利用イメージ ○ ①:Resource gateway を作成 ○ ②:Resource configuration を Resource gateway と関連付けて作成 ○ ③:Resource configuration を RAM で共有 ○ ④:VPCエンドポイント(「Resource」タイプ)を Resource configuration と関連付けて作成 Resource gateway Resource configuration 「Resource」タ イプVPCエンド ポイント ①:Resource gateway 作成 ②: Resource Configuration 作成 ④: VPCエンドポイント作 成 共有 承認 Resource Configuration を指定 ③:RAMで共 有

Slide 33

Slide 33 text

Resource configuration & Resource gateways 33 ● Resource configuration & Resource gateways のクロスアカウント利用イメージ ○ ①:Resource gateway を作成 ○ ②:Resource configuration を Resource gateway と関連付けて作成 ○ ③:Resource configuration を RAM で共有 ○ ④:VPCエンドポイント(「Resource」タイプ)を Resource configuration と関連付けて作成 Resource gateway Resource configuration ①:Resource gateway 作成 ②: Resource Configuration 作成 ④: VPCエンドポイント作 成 共有 承認 TCP ③:RAMで共 有 「Resource」タ イプVPCエンド ポイント

Slide 34

Slide 34 text

Resource configuration & Resource gateways 34 ● SSH を利用する場合の接続イメージ

Slide 35

Slide 35 text

ストレージ

Slide 36

Slide 36 text

ストレージのアップデートから紹介する内容 36 ● AWS Transfer Family web apps

Slide 37

Slide 37 text

37 ● S3 へのファイルアップロード/ダウンロードを GUI で提供する新機能 ○ 例えば、特定 S3 に対してファイルをアップロードするだけのユーザーへの手段提供に便利 ○ マネジメントコンソールにアクセスすることなくファイル操作ができる ● ユーザー管理にアカウントインスタンスの AWS IAM Identity Center を利用可 AWS Transfer Family web apps アカウントインスタンスの AWS IAM Identity Center (AWS Organizations 環境以外でも利用可能) AWS Transfer Family web apps

Slide 38

Slide 38 text

38 ● 利用イメージ ○ ユーザーはマネジメントコンソールにアクセスすることなく権限のある S3 バケットを操作可能 ○ AWS IAM Identity Center のユーザーを作成する必要はあるが、IAMユーザーは不要 AWS Transfer Family web apps

Slide 39

Slide 39 text

39 AWS Transfer Family web apps 構築の流れ 1. AWS Transfer Family Web App を作成 2. S3 Access Grants で利用する IAM ロールを作成 ○ Configure IAM roles for Transfer Family web apps - AWS Transfer Family 3. S3 Access Grants を作成 ○ インスタンスを作成 ○ ロケーションを作成(IAM ロールを指定) ○ AWS IAM Identity Center を関連付け ○ ユーザーに対する権限を設定 4. 対象の S3 バケットの Cross-Origin Resource Sharing (CORS) ポリシーを設定 ○ Set up Cross-origin resource sharing (CORS) for your bucket - AWS Transfer Family AWS Transfer Family web apps 関連ブログ:Announcing AWS Transfer Family web apps for fully managed Amazon S3 file transfers | AWS News Blog

Slide 40

Slide 40 text

データベース

Slide 41

Slide 41 text

ストレージのアップデートから紹介する内容 41 ● Amazon Aurora DSQLのプレビュー ● Oracle Database@AWS のプレビュー

Slide 42

Slide 42 text

Amazon Aurora DSQL(プレビュー) 42 ● Active-Active で⾼い可⽤性を備えた分散 SQL データベースのサービス ○ 事実上無制限のスケーラビリティ ● PostgreSQL 互換 ● マルチリージョンで強い整合性を提供 ● 現在、東京・大阪リージョン未提供 引用元:Amazon Aurora DSQL の紹介 | Amazon Web Services ブログ 関連ブログ:Aurora DSQLの楽観同時実行制御を手を動かして学ぶ

Slide 43

Slide 43 text

Oracle Database@AWS(プレビュー) 43 ● AWSとOracle の協⼒による新しいサービス ○ 2024年9月12日に オラクルと Amazon Web Services、戦略的パートナーシップを発表 ● AWS のデータセンター内に設置された Oracle Cloud Infrastructure (OCI) が 管理する Exadata インフラで動作する Oracle Database Service を利⽤可能 ● 限定プレビューのため利用には申請が必要 ○ 現在、東京・大阪リージョン未提供 関連ブログ:公開情報のみでプライベートプレビューの Oracle Database@AWS を掘り下げてみた

Slide 44

Slide 44 text

Oracle Database@AWS(プレビュー) 44 ● 右図が仕組み ● AWS のデータセンター 上に構築 ● コントロールプレーン は OCI 側にある ● ODB ピアリングはVPC ピアリングとは異なる 仕組み 引用元:How Oracle Database@AWS works - Oracle Database@AWS

Slide 45

Slide 45 text

その他のアップデートの参考情報

Slide 46

Slide 46 text

AWS 公式の re:Cap 46 資料(PDF):AWS-Black-Belt_2024_AWS-reInvent_1206_v1.pdf 動画(YouTube):AWS Black Belt Online Seminar 2024 年 AWS re:Invent 速報 #AWSDevLiveShow #AWSBlackBelt - YouTube

Slide 47

Slide 47 text

クラスメソッド re:Growth 2024 47 ● 東京・大阪・福岡・札幌で AWS re:Invent ふりかえり勉強会を開催 ● YouTube 動画 ○ [東京] AWSパートナー国内最多の全認定資格保有者!クラスメソッドが選ぶ #reinvent 2024 注目アップデート ○ [大阪] AWS re:Invent 2024 ふりかえり勉強会「クラスメソッド re:Growth 2024 大阪」 ● 登壇フログ ○ クラスメソッド re:Growth 2024 の記事一覧

Slide 48

Slide 48 text

No content