Weekly AWS アップデート情報 - 2024/6/17 ～SageMaker Canvas が基盤モデルをプロダクション化～

コンテナ

• Amazon ECS on AWS Fargate がお客さまが管理する KMS キーを使用してエフェメラルストレージを暗号化可能に
  Amazon Elastic Container Service (Amazon ECS) と AWS Fargate では、AWS Key Management Service (KMS) のカスタマー管理キーを使用して、Fargate タスクエフェメラルストレージに保存されているデータを暗号化できるようになりました。
  Fargate プラットフォームバージョン 1.4.0 以降で実行されるタスクの一時ストレージは、デフォルトで 所有するキーで暗号化されます。
  この機能により、コンプライアンス要件を満たすのに役立つセルフマネージド型のセキュリティレイヤーを追加できます。
  機密データを扱うアプリケーションを実行するお客さまは、多くの場合、セキュリティや規制の要件を満たすために自己管理キーを使用してデータを暗号化する必要があります。
  また、監査人に暗号化の可視性を提供する必要もあります。
  これらの要件を満たすために、ECS クラスタにカスタマー管理の KMS キーを設定して、クラスタ内の全ての Fargate タスクの一時ストレージを暗号化できるようになりました。
  このキーは、他の KMS キーと同様に管理し、アクセスを監査できます。
  お客さまはこの機能を使用して、開発者による変更なしに、新規および既存の ECS アプリケーションの暗号化を設定できます。

データベース

• Amazon RDS for SQL Server がマイナーバージョン 2022 CU13 をサポート
  Microsoft SQL Server の新しいマイナーバージョンが Amazon RDS for SQL Server で利用可能になり、パフォーマンスの強化とセキュリティ修正が行われました。
  Amazon RDS for SQL Server は、エクスプレス、Web、スタンダード、エンタープライズエディションで SQL Server 2022 の最新のマイナーバージョンをサポートするようになりました。
  ご都合のよいときに Amazon RDS for SQL Server データベースインスタンスをアップグレードすることをお勧めします。
  Amazon RDS マネジメントコンソールで数回クリックするか、AWS CLI を使用してアップグレードできます。
  新しいマイナーバージョンには SQL Server 2022 CU13-16.0.4125.3 が含まれています。

• Amazon RDS for PostgreSQL が延長サポートマイナー 11.22-RDS.20240509 を発表
  Amazon Relational Database Service (RDS) for PostgreSQL は Amazon RDS 延長サポートマイナーバージョン 11.22-RDS.20240509 を発表しました。
  このバージョンにアップグレードして、以前のバージョンの PostgreSQL にあった既知のセキュリティ脆弱性やバグを修正することをお勧めします。
  Amazon RDS 延長サポートを利用すると、ビジネス要件を満たすのに役立つ新しいメジャーバージョンにアップグレードするための期間が最大 3 年延長されます。
  延長サポート期間中、コミュニティがメジャーバージョンのサポートを終了した後に、Amazon RDS は Aurora と RDS 上の MySQL データベースと PostgreSQL データベースに関する重要なセキュリティおよびバグ修正を提供します。
  Amazon RDS の PostgreSQL データベースは、メジャーバージョンの標準サポート終了日から最長 3 年間、延長サポート付きで稼働できます。
  定期メンテナンス時間中に、マイナーバージョン自動アップグレードを利用して、データベースを最新のマイナーバージョンに自動的にアップグレードできます。

ウェブとモバイルのフロントエンド

• Amazon SES が Feedback-ID ヘッダにカスタム値を提供
  Amazon Simple Email Service (SES) は、SES 経由で送信されるメッセージ内の自動生成された Feedback-ID ヘッダの一部をお客さまが制御できるようにする新機能をリリースしました。
  この機能は、お客さまが配信率の傾向を特定するのに役立つ詳細情報を追加します。
  お客さまは PostMaster Tools by Gmail などの製品を使用して、送信者 ID やキャンペーン ID など、選択した識別子別に苦情率を確認できます。
  これにより、独立したワークロードやキャンペーンに関連する配信パフォーマンスの追跡が容易になり、苦情率を診断する際のトラブルシューティングが迅速になります。
  以前は、SES のお客さまに代わって E メールを送信すると、SES は Feedback-ID ヘッダを自動的に生成していました。
  この Feedback-ID は、お客さまが AWS アカウントレベルで苦情率などの配信性能を追跡するのに役立ちます。
  SES では Feedback-ID ヘッダに最大 2 つのカスタム値を含めるようになり、お客さまはこれらの値を送信時に SES に渡すことができます。
  お客さまが「ses: feedback-id-a」または「ses: feedback-id-b」(あるいはその両方) にメッセージタグ値を指定すると、SES はこれらの値を Feedback-ID ヘッダの 1 番目と 2 番目のフィールドとして自動的に (それぞれ) 含めます。
  これにより、Gmail の Postmaster Tools などのツールで配信率メトリクスをさらに細かく表示できるようになります。

マネジメントとガバナンス

• アプリケーションモニタリング (APM) 用の Amazon CloudWatch Application Signals が一般公開
  CloudWatchのOpenTelemetry（OTel）互換のアプリケーションパフォーマンスモニタリング（APM）機能であるAmazon CloudWatch Application Signalsが一般公開されました。
  これにより、AWS上のアプリケーションの最も重要なビジネス目標またはサービスレベル目標（SLO）に対するアプリケーションパフォーマンスの自動計測と追跡が容易になります。
  Application Signalsは、手作業やカスタムコード、カスタムダッシュボードを必要とせず、サービスオペレータに、AWS上の各アプリケーションのアプリケーションパフォーマンスに関する最も重要なメトリクス（ボリューム、可用性、レイテンシー、障害、エラー）を示す事前構築済みの標準化されたダッシュボードを提供します。
  Application Signals は、メトリクス、トレース、ログ、リアルユーザモニタリング、合成モニタリングのテレメトリを相互に関連付けることで、お客さまがトラブルシューティングをスピードアップし、アプリケーションの中断を減らすことを可能にします。
  Container Insights を使用してコンテナインフラストラクチャを監視する開発者は、メモリ不足や、スパイクの原因となっているアプリケーションコードを実行しているコンテナポッドの CPU 使用率の高さなどの根本原因をさらに特定できます。

• Amazon CloudWatch が AI を活用した自然言語クエリ生成を発表
  Amazon CloudWatchは、Logs InsightsとMetrics Insights 向けに、生成系AIを利用した自然言語クエリ生成が一般提供されることを発表しました。
  この機能により、ログやメトリクスデータに関連するクエリをわかりやすい言葉ですばやく生成できます。
  クエリ生成プロセスを簡素化することで、クエリ言語に関する幅広い知識がなくても、オブザーバビリティデータから迅速にインサイトを集めることができます。
  Query ジェネレーターは、自然言語クエリによって CloudWatch Logs と Metrics Insights のエクスペリエンスを簡素化します。
  「Show me the 10 slowest Lambda requests in the last 24 hours」や「Which DynamoDB table is most throttled」など、平易な英語で質問できます。
  これにより、クエリウィンドウで適切なクエリが生成されるか、既存のクエリが絞り込まれます。
  また、指定した期間内のデータを必要とするクエリの時間範囲が自動的に調整されるようになりました。
  また、生成されたコードを 1 行ずつ説明するので、クエリ構文の学習に役立ちます。

• AWS CloudFormation がカスタムリソースのタイムアウトを調整し、開発からテストまでのサイクルを短縮
  AWS CloudFormation は、ServiceTimeoutと呼ばれるカスタムリソースの新しいプロパティをローンチします。
  この新しいプロパティにより、お客さまはカスタムリソースのプロビジョニングロジックの実行の最大タイムアウトを設定できるため、開発/テストサイクルにおけるフィードバックループが速くなります。
  CloudFormation カスタムリソースにより、お客さまは CloudFormation テンプレートに独自のプロビジョニングロジックを記述し、スタック操作中に CloudFormation にそのロジックを実行させることができます。
  カスタムリソースはコールバックパターンを使用しており、 1 時間のタイムアウト以内に CloudFormation に応答する必要があります。
  以前は、このタイムアウト値は設定できなかったため、お客さまのカスタムリソースロジックのコードバグにより待ち時間が長くなっていました。
  新しい ServiceTimeout プロパティでは、お客さまはカスタムタイムアウト値を設定できます。
  この値を超えると、CloudFormation はカスタムリソースの実行に失敗します。
  これにより、障害発生時のフィードバックが速くなり、開発とテストの反復を迅速に行えるようになります。

ネットワーキングとコンテンツ配信

• AWS Cloud WAN がグローバル規模でのセキュリティ検査を簡素化する Service Insertion を導入
  AWS Cloud WAN の新機能である Service Insertion が発表されました。
  これにより、セキュリティサービスと検査サービスをクラウド WAN ベースのグローバルネットワークに簡単に統合できます。
  この機能を使用すると、セキュリティアプライアンスまたは中央のクラウド WAN ポリシーまたは AWS マネジメントコンソールを使用する検査サービスを介して、Amazon VPC (Virtual Private Cloud)、AWS リージョン、オンプレミスロケーション、インターネット間のグローバルネットワークトラフィックを簡単に誘導できます。
  お客さまは、ファイアウォール、侵入検知/保護システム（IDS/IPS）、安全なWebゲートウェイなどの検査サービスまたはセキュリティアプライアンスを導入して、グローバルなクラウドWANトラフィックを検査および保護します。
  Service Insertion を使用すると、お客さまは複雑なルーティング設定やサードパーティの自動化ツールを作成して管理しなくても、マルチリージョンまたはマルチセグメントのネットワークトラフィックをセキュリティアプライアンスやサービスに簡単に誘導できます。
  Service Insertion を使用すると、インスペクションとルーティングの意図を一元的なポリシードキュメントで定義でき、その設定はクラウド WAN ネットワーク全体に一貫してデプロイされます。
  Service Insertion は AWS Network Firewall とサードパーティのセキュリティソリューションの両方で機能し、世界中の複数の AWS リージョンとオンプレミスの場所で、東西 (VPC から VPC へ) と南北 (インターネットの入口/出口) のセキュリティ検査を簡単に実行できます。

セキュリティ、アイデンティティ、コンプライアンス

• Amazon GuardDuty が Amazon S3 にアップロードされた新しいオブジェクトに含まれるマルウェアを検出可能に
  Amazon S3 向けの Amazon GuardDuty Malware Protection が一般公開されました。
  GuardDuty Malware Protection のこの拡張により、Amazon S3 バケットに新しくアップロードされたオブジェクトをスキャンして、潜在的なマルウェア、ウイルス、その他の不審なアップロードがないかスキャンし、ダウンストリームプロセスに取り込まれる前にそれらを隔離するアクションを実行できます。
  GuardDuty は、お客さまが何百万もの Amazon S3 バケットと AWS アカウントを保護するのに役立ちます。
  GuardDuty Malware Protection for Amazon S3 は AWS によって完全に管理されているため、コンピューティングインフラストラクチャをお客さまに代わって運用することで、データスキャンパイプラインの管理に通常伴う運用の複雑さとオーバーヘッドが軽減されます。
  この機能により、アプリケーション所有者は組織の S3 バケットのセキュリティをより細かく制御できるようになります。
  アカウントでコア GuardDuty が有効になっていなくても、S3 用 GuardDuty Malware Protection を有効にできます。
  アプリケーション所有者には、Amazon EventBridge を使用してスキャン結果が自動的に通知され、隔離バケットへの隔離などのダウンストリームワークフローを構築したり、ユーザやアプリケーションが特定のオブジェクトにアクセスできないようにするタグを使用してバケットポリシーを定義したりできます。

• AWS Identity and Access Management が 2 番目の認証要素としてパスキーをサポート
  AWS Identity and Access Management (IAM) は、複数のデバイスで簡単かつ安全にサインインできるように、多要素認証のパスキーをサポートするようになりました。
  FIDO 標準に基づくパスキーには公開鍵暗号化が使用されているため、パスワードよりも安全な、強固でフィッシングに強い認証が可能になります。
  IAM では、Apple MacBook の Touch ID や PC の Windows Hello 顔認識などの組み込み認証システムのサポートにより、多要素認証 (MFA) 用のパスキーを使用して AWS アカウントへのアクセスを保護できるようになりました。
  パスキーは、ハードウェアセキュリティキーを使用して作成することも、指紋、顔、デバイス PIN を使用して選択したパスキープロバイダーで作成することもできます。
  パスキーはデバイス間で同期され、AWS にサインインします。
  AWS Identity and Access Management は、ID を安全に管理し、AWS のサービスとリソースへのアクセスを制御するのに役立ちます。
  MFA は IAM のセキュリティベストプラクティスであり、ユーザ名とパスワードのサインイン認証情報に加えて 2 つ目の認証要素が必要になります。
  IAM のパスキーサポートは、MFA の使いやすさと回復性をさらに高めるための新機能です。
  AWS アカウントへのアクセスを強化するための FIDO 認定のセキュリティキーなど、サポートされているさまざまな IAM MFA メソッドを使用できます。

• AWS IAM Access Analyzer が未使用のアクセスを絞り込むための推奨事項を提供
  AWS Identity and Access Management (IAM) Access Analyzer は、権限を設定、検証、および調整するためのツールを提供することにより、お客さまに最小限の権限しか与えないように導きます。
  IAM Access Analyzer では、未使用のアクセスを修正するための実践的な推奨事項が提供されるようになりました。
  未使用のロール、アクセスキー、パスワードについては、IAM Access Analyzer は削除に役立つクイックリンクをコンソールに表示します。
  未使用の権限については、IAM Access Analyzer が既存のポリシーを確認し、アクセスアクティビティに合わせた改良版を推奨します。
  中央セキュリティチームのメンバーとして、IAM Access Analyzer を使用して AWS 組織全体の未使用のアクセスを可視化し、権限の適切なサイズを自動化できます。
  セキュリティチームは自動化されたワークフローを設定して、IAM Access Analyzer の新発見を開発者に通知します。
  IAM Access Analyzer が提供するステップバイステップの推奨事項を含めることで、開発者が未使用の権限を絞り込む方法を通知し、簡略化できるようになりました。

• AWS IAM Access Analyzer がパブリックおよび重要なリソースアクセスのポリシーチェックを可能に
  IAM Access Analyzer では、カスタムポリシーチェックを拡張して、デプロイ前にパブリックアクセスを許可したり、重要な AWS リソースへのアクセスを許可したりするポリシーへの不適合な更新を事前に検出できるようになりました。
  セキュリティチームはこれらのチェックを使用して IAM ポリシーのレビューを効率化し、セキュリティ基準に適合するポリシーを自動的に承認し、ポリシーが適合しない場合はより詳細な検査を行うことができます。
  カスタムポリシーチェックでは、自動推論の力を利用して、数学的証明に裏打ちされた最高レベルのセキュリティ保証を提供します。
  セキュリティチームと開発チームは、公開リソースや重要なリソースへのアクセスに関するポリシーレビューを自動化し、規模を拡大することで、イノベーションを加速できます。
  これらのカスタムポリシーチェックを、CI/CD パイプライン、GitHub、VSCode など、開発者がポリシーを作成するツールや環境に統合できます。開発者は IAM ポリシーを作成または変更し、それをコードリポジトリにコミットできます。
  カスタムポリシーチェックによってポリシーがセキュリティ標準に準拠していると判断された場合は、ポリシーレビューを自動化してデプロイプロセスを続行できます。
  カスタムポリシーチェックによってポリシーがセキュリティ標準に準拠していないことが判明した場合、開発者はポリシーを本番環境に展開する前にポリシーを確認して更新できます。

• AWS Audit Manager 生成系AIベストプラクティスフレームワークが Amazon SageMaker を追加
  AWS Audit Manager 生成系AIベストプラクティスフレームワークには、Amazon Bedrock に加えて Amazon SageMaker が含まれるようになりました。
  お客さまはこの構築済みの標準フレームワークを使用して、SageMaker または Amazon Bedrock での生成系AIの実装が AWS 推奨ベストプラクティスにどのように従っているかを把握し、生成系AIの使用状況の監査とエビデンス収集の自動化を開始できます。
  このフレームワークは、AI モデルの使用状況と権限の追跡、機密データへのフラグ付け、問題発生時の警告を行うための一貫したアプローチを提供します。
  このフレームワークには、ガバナンス、データセキュリティ、プライバシー、インシデント管理、事業継続計画などの分野にわたる110の統制が含まれています。
  お客さまは統制を選択してカスタマイズし、自動評価を構築できます。

以上です。最後までお読みいただき、ありがとうございました。

関連サービス