Weekly AWS アップデート情報 - 2025/3/11 ～Amazon Bedrock のナレッジベースが GraphRAG を一般提供開始～

分析

Amazon Redshift Data API が AWS IAM Identity Center を通じたシングルサインオン (SSO) をサポート
Amazon Redshift Data API が AWS IAM Identity Center を通じたシングルサインオン (SSO) をサポートするようになりました。この API は、セキュアな HTTPS エンドポイントを介して Amazon Redshift に接続することができます。
Amazon Redshift Data API は、データベースドライバー、接続、ネットワーク設定、データバッファリングの管理を不要にし、データウェアハウスやデータレイクへのアクセスを簡素化します。
AWS IAM Identity Center を使用すると、既存の ID プロバイダーを一元管理された場所から接続できます。Microsoft Entra Id、Okta、Ping などの任意の ID プロバイダーを使用して、Amazon Redshift Data API を介して Amazon Redshift クラスタに接続できるようになりました。
この新しい SSO 統合により ID 管理が簡素化され、Amazon Redshift クラスタ用の個別のデータベース認証情報を管理する必要がなくなります。認証後は、Amazon Redshift または AWS Lake Formation で定義された権限を使用して承認ルールが適用されます。
Amazon Redshift クラスタまたはワークグループを AWS Identity Center (IdC) と統合し、信頼された ID 伝播を使用して Amazon Redshift が AWS サービスにプログラムでアクセスできるようにすることで、この機能の使用を開始できます。

アプリケーション統合

AWS Step Functions Workflow Studio が VS Code IDE で利用可能に
AWS Step Functions Workflow Studio が AWS Toolkit for Visual Studio Code で利用可能になりました。これにより、ローカル開発環境で直接ステートマシンワークフローを視覚的に作成、編集、デバッグできるようになりました。
AWS Step Functions は、220以上のAWSサービスから14,000以上のAPI操作をオーケストレーションできる視覚的なワークフローサービスです。Workflow Studioは、キャンバス上でワークフローを構成しながら、バックグラウンドでワークフロー定義を生成する視覚的なビルダーです。
VS Code用のWorkflow Studioは、コンソールの体験をIDEにもたらし、ローカル開発環境でのワークフロー作成を容易にします。この新しいIDE体験は、Infrastructure as Codeツールと連携し、IDE内でTestState APIを使用してワークフローステップをデバッグすることができます。開始するには、AWS Toolkit for VS Codeをダウンロードするか、最新バージョンに更新してください。AWS Toolkitはオープンソースプロジェクトであり、VS Code用ToolkitのオープンソースGitHubリポジトリに問題や機能リクエストを提出できます。

ビジネスアプリケーション

Amazon Connect が 1 つのルーティングステップで複数のエージェントスキルをターゲットに設定可能に
Amazon Connect で、1つのルーティングステップで最大4つの異なるエージェントスキルの組み合わせをターゲットにできるようになりました。最大3つのOR条件を使用することで、ルーティングは4つの異なるタイプのエージェントとコンタクトのマッチングを試み、適切なマッチを見付ける可能性が高まります。
例えば、ニッチな銀行業務スキルのバックアップが、口座管理、登録、税務のトレーニングを受けたエージェントで構成されている場合、残高振替エージェントの初期検索後に、4つのタイプのエージェント全てに対して同時にマッチングを試みることができます。
この機能により、より柔軟で効率的なコンタクトルーティングが可能になり、お客さまサービスの品質向上が期待できます。

Amazon Connect Contact Lens が評価フォームの質問を動的に更新可能に
Contact Lens で動的な評価フォームを作成できるようになりました。このフォームは、前の質問への回答に基づいて質問を自動的に表示または非表示にし、各評価を特定のお客さま対応シナリオに合わせて調整します。
例えば、マネージャーがフォームの質問「お客さまは通話中に購入を試みましたか？」に「はい」と答えた場合、フォームは自動的にフォローアップの質問「エージェントは販売開示を読み上げましたか？」を表示します。
この機能により、異なる対応シナリオに適用可能な評価フォームを、1つの動的な評価フォームに統合でき、関連のない質問を自動的に非表示にします。これにより、マネージャーが関連する評価フォームを選択し、対応に適用される評価質問を判断する労力が軽減され、より迅速かつ正確に評価を行うことができます。

コンピューティング

AWS Outposts が高スループット、ネットワーク集約型ワークロード向けのラックを発表（プレビュー）
AWS は、オンプレミスの高スループット、ネットワーク集約型ワークロード向けに特別に設計された新しい AWS Outposts ラックのプレビューを発表しました。この新しい Outposts ラックにより、通信サービスプロバイダー (テルコ) は AWS のインフラストラクチャーとサービスをテルコの拠点に拡張でき、低レイテンシー、高スループット、リアルタイムパフォーマンスを必要とするオンプレミスのネットワーク機能を展開できるようになります。
新しい Outposts ラックは、第4世代 Intel Xeon スケーラブルプロセッサー (Sapphire Rapids) ベースの Amazon EC2 ベアメタルインスタンスと、高性能ベアメタルネットワークファブリックを特長としています。このアーキテクチャーにより、User Plane Function (UPF) や Radio Access Network (RAN) Central Unit (CU) ネットワーク機能などの要求の厳しい 5G ワークロードに必要な低レイテンシーと高スループットを実現します。
テルコは Amazon EKS (Elastic Kubernetes Service) と組み込みの EKS アドオンを使用して、高スループットと高性能を実現するマイクロサービスベースの 5G ネットワーク機能の展開とスケーリングを自動化できるようになりました。また、ワークロードの場所に関わらず、同じ AWS インフラストラクチャー、AWS サービス、API、ツール、および共通の継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインを使用できます。この一貫したクラウド体験により、運用の負担が軽減され、統合コストが削減され、オペレーターの新機能開発速度が最大化されます。

AWS Lambda が VS Code IDE で Amazon CloudWatch Logs Live Tail をサポート
AWS Lambda が AWS Toolkit for Visual Studio Code を通じて、VS Code IDE での Amazon CloudWatch Logs Live Tail をサポートするようになりました。Live Tail は、インタラクティブなログストリーミングと分析機能を提供し、ログのリアルタイムな可視化を実現します。これにより、Lambda 関数の開発とトラブルシューティングが容易になります。
VS Code IDE での Live Tail サポートにより、開発者は開発環境内で Lambda 関数のログをリアルタイムで監視できるようになりました。これにより、コーディングとログ分析のために複数のインターフェースを切り替える必要がなくなります。開発者は Lambda を使用してアプリケーションを構築する際、コードや設定の変更をリアルタイムで迅速にテストおよび検証できるようになり、作成-テスト-デプロイのサイクルが加速します。また、Lambda 関数コードの障害や重大なエラーの検出とデバッグが容易になり、トラブルシューティング時の平均復旧時間（MTTR）が短縮されます。
VS Code IDE で Lambda 用の Live Tail を使用するには、AWS Toolkit for Visual Studio Code の最新バージョンをインストールした後、AWS Explorer パネルから Live Tail にアクセスします。目的の Lambda 関数に移動し、右クリックして「Tail Logs」を選択するだけで、リアルタイムでログのストリーミングを開始できます。

コンテナ

Bottlerocket がデフォルトのブートストラップコンテナイメージでシステムセットアップを簡素化
コンテナ向けに設計された Linux ベースのOSである Bottlerocket が、システムセットアップタスクを簡素化するデフォルトのブートストラップコンテナイメージを提供するようになりました。これにより、ほとんどのお客さまは初期設定用の独自のコンテナイメージを維持する必要がなくなりました。
ブートストラップコンテナは、メインのアプリケーションコンテナが起動する前に、ディレクトリーの作成、環境変数の設定、ノード固有の設定などの起動前の操作を処理する特殊な目的のコンテナです。
この機能強化により、お客さまはコンテナイメージのメンテナンスやリージョンごとの可用性管理ではなく、起動スクリプトに集中できるようになりました。以前は、お客さまは独自のコンテナイメージを作成、維持、更新し、AWS リージョンごとに別々のイメージリポジトリを管理する必要がありました。
Bottlerocket のデフォルトブートストラップコンテナイメージを使用することで、お客さまは簡単なユーザーデータを通じて設定タスクを指定でき、システムが自動的にイメージの更新を処理します。デフォルトイメージは AWS によって維持されるため、運用オーバーヘッドが削減され、システムのセキュリティが向上します。

Bottlerocket が Kubernetes ワークロード向けに NVIDIA Multi-Instance GPU (MIG) をサポート
AWS は、コンテナ向けに特別に設計された Linux ベースの OS である Bottlerocket が、NVIDIA の Multi-Instance GPU (MIG) 機能をサポートすることを発表しました。これにより、Kubernetes ノード上で NVIDIA GPU を複数の GPU インスタンスに分割できるようになりました。
この機能により、システム管理者は単一の GPU 上で複数のワークロードを同時に実行し、ワークロード間のハードウェアレベルの分離を維持しながら、GPU リソースの使用率を最大化できます。
MIG サポートにより、機械学習の推論タスクなど、GPU の計算能力を完全に活用しないワークロードに対して、GPU リソースの割り当てを最適化できます。各 GPU パーティーションは、完全なハードウェアレベルのメモリと障害分離で動作し、ワークロードの分離と信頼性の高いパフォーマンスを提供します。
Bottlerocket の NVIDIA Multi-Instance GPU サポートは、互換性のある NVIDIA GPU 対応インスタンスが提供されている全ての商用リージョンと AWS GovCloud (US) リージョンで利用可能です。

Bottlerocket が AWS Neuron 搭載インスタンスタイプをサポート
AWS は、コンテナ向けに設計された Linux ベースのOSである Bottlerocket が、Amazon Elastic Kubernetes Service (EKS) および Amazon Elastic Container Service (ECS) の AMI で AWS Neuron 搭載インスタンスをサポートすることを発表しました。
Bottlerocket AMI を使用するお客さまは、Inf1、Inf2、Trn1、Trn2 などの AWS Neuron 高速化インスタンスタイプで、機械学習の推論およびトレーニングワークロードをデプロイおよび管理できるようになりました。EKS のお客さまは、これらの Bottlerocket AMI を Karpenter バージョン 1.2.2 以上で使用できます。
この統合により、Bottlerocket のセキュリティと運用の簡素化に焦点を当てながら、自動化されたデバイス管理とスケジューリング機能が可能になります。お客さまは標準の Bottlerocket AMI を使用して Neuron インスタンスにワークロードをデプロイし、コンテナオーケストレーションインターフェースを通じてデバイスの所有権とリソース割り当てを設定できます。

Amazon EKS がデフォルトで全ての Kubernetes API データのエンベロープ暗号化を有効に
Amazon Elastic Kubernetes Service (EKS) で、Kubernetes バージョン 1.28 以上を実行するクラスタの全ての Kubernetes API データに対して、デフォルトでエンベロープ暗号化が有効になりました。これにより、Kubernetes アプリケーションの多層防御を実装する管理されたデフォルト体験が提供されます。
AWS Key Management Service (KMS) と Kubernetes KMS プロバイダー v2 を使用して、EKS は AWS 所有の KMS 暗号化キーによる追加のセキュリティレイヤーを提供するか、または独自のキーを持ち込むオプションを提供します。
以前は、Amazon EKS は Kubernetes KMS プロバイダー v1 でオプションのエンベロープ暗号化を提供していましたが、現在は Kubernetes API の全てのオブジェクトに対するデフォルト設定となっています。デフォルトでは、エンベロープ暗号化に使用されるキーは AWS が所有しています。また、クラスタのマネージド Kubernetes コントロールプレーンで使用するために、外部で生成されたキーを AWS KMS で作成またはインポートすることもできます。
既存の KMS のカスタマーマネージドキー (CMK) が以前に Kubernetes Secrets のエンベロープ暗号化に使用されていた場合、同じキーがクラスタ内の追加の Kubernetes API データタイプのエンベロープ暗号化にも使用されます。
Amazon EKS のデフォルトエンベロープ暗号化は、Kubernetes バージョン 1.28 以上を実行する全ての EKS クラスタで自動的に有効になり、お客さまの操作は必要ありません。

デベロッパーツール

AWS CodeConnections でコネクションの共有が可能に
AWS CodeConnections で、Connection リソースを個別の AWS アカウント間や AWS Organization 内で安全に共有できるようになりました。
以前は、ソースアクセスが必要な各 AWS アカウントに対して、GitHub、GitLab、または Bitbucket 用の AWS コネクターアプリケーションをインストールして Connection を作成する必要がありました。
今回のアップデートにより、AWS Resource Access Manager (RAM) を使用して、サードパーティーのソースプロバイダーへの Connection を AWS アカウント間で安全に共有できるようになりました。AWS RAM を使用して Connection リソースを共有することで、各 AWS アカウントで Connection を作成する必要がなくなりました。代わりに、1つの AWS アカウントで Connection を作成し、それを複数の AWS アカウントで共有できます。
AWS RAM を使用することで、AWS アカウント間での Connection の共有を自動化し、マルチアカウントデプロイメント戦略をサポートするための運用オーバーヘッドを削減できます。
きめ細やかなアクセス制御を適用するために、Connection が共有されている AWS アカウントでは、IAM ポリシーを使用して IAM ロールが実行できる操作を管理できます。

AWS CodeBuild がオンデマンドフリートでコンテナを使用しないビルドをサポート
AWS CodeBuild が Linux x86、Arm、および Windows のオンデマンドフリートでコンテナを使用しないビルドをサポートするようになりました。コンテナ化せずにホストOS上で直接ビルドコマンドを実行できます。
AWS CodeBuild は、ソースコードをコンパイルし、テストを実行し、デプロイ可能なソフトウェアパッケージを生成する完全マネージド型の継続的インテグレーションサービスです。
コンテナを使用しないビルドにより、ホストシステムリソースへの直接アクセスが必要な場合や、コンテナ化が困難な特定の要件がある場合でもビルドコマンドを実行できます。この機能は、デバイスドライバーのビルド、システムレベルのテストの実行、ホストマシンへのアクセスが必要なツールの使用などのシナリオで特に有用です。

AWS CodeBuild が Node 22、Python 3.13、Go 1.23 をサポート
AWS CodeBuild のマネージドイメージが Node 22、Python 3.13、Go 1.23 をサポートするようになりました。これらの新しいランタイムバージョンは、Linux x86、Arm、Windows、macOS プラットフォームで利用可能です。
AWS CodeBuild は、ソースコードのコンパイル、テストの実行、デプロイ可能なソフトウェアパッケージの生成を行う、フルマネージドの継続的インテグレーションサービスです。
Linux ベースの CodeBuild マネージドイメージでは、buildspec ファイルの runtime-versions セクションで任意のランタイムを指定できます。CodeBuild がサポートする特定のメジャーバージョンとマイナーバージョンを選択したり、カスタムランタイムバージョンを定義したりすることができます。
今回のリリースでは、GitHub Actions 環境で利用可能な一般的なツールが追加され、CodeBuild をセルフホストランナーオプションとして使用するお客さまのサポートが強化されました。

ウェブとモバイルのフロントエンド

AWS Amplify がサーバーレンダリングされた Next.js アプリケーションで HttpOnly クッキーをサポート
AWS Amplify が、Amazon Cognito のマネージドログインを使用する場合に、サーバーレンダリングされた Next.js アプリケーションで HttpOnly クッキーをサポートするようになりました。この機能強化は、サーバーレンダリングされたサイトの既存のクッキー機能をもとに構築されており、HttpOnly 属性を有効にすることで、クライアントサイドの JavaScript がクッキーの内容にアクセスするのをブロックし、アプリケーションのセキュリティ体制を強化します。
HttpOnly クッキーにより、アプリケーションはクロスサイトスクリプティング (XSS) 攻撃に対する追加の保護層を獲得します。これにより、機密情報が安全に保たれ、ブラウザーとサーバー間でのみ送信されるようになり、特に Web アプリケーションでの認証トークンの処理に有効です。HttpOnly 属性を持つクッキーの内容はサーバーでのみ読み取ることができ、リクエストが他のサービスに到達する前にサーバーを経由する必要があります。

IoT

AWS IoT SiteWise が MQTT 対応 SiteWise Edge ゲートウェイを発表
AWS IoT SiteWise の MQTT 対応 SiteWise Edge ゲートウェイが一般提供されました。AWS IoT SiteWise は、産業機器からのデータを大規模に収集、保存、整理、分析することを容易にするマネージドサービスです。
新しく作成されたゲートウェイには、SiteWise Edge とお客さまが構築したエッジコンポーネント間の接続を一元化する MQTTv5 ブローカーコンポーネントが含まれるようになりました。これにより、MQTT プロトコルを使用したパブリッシュ/サブスクライブトポロジーで、独自のエッジコンポーネントと AWS IoT SiteWise Edge 間の通信を統合できます。
エッジコンポーネント間のポイントツーポイント接続を構築する必要がなくなり、エッジデータフローのカスタムロジック統合が簡素化されます。エッジでデータのコンテキスト化のためのコンポーネントを構築できます。これらのコンポーネントを使用して、全体設備効率（OEE）、稼働時間、生産目標に対する進捗状況などの主要業績評価指標（KPI）の計算に必要な運用システム（MES、ERPなど）からのデータで機器のテレメトリデータを強化できます。
AWS IoT SiteWise Edge を通じて、このデータを AWS クラウドに保存し、追加のユースケースに活用するためのネーティブな統合が可能です。エッジで Unified Name Space（UNS）を使用し、AWS クラウドサービスで拡張できます。
新しいゲートウェイは、選択した機器データストリームを AWS IoT SiteWise に安全に送信し、SiteWise Edge の堅ろうなストアアンドフォワード機能を備えたサービスの既存の組織化、保存、分析機能を使用します。

機械学習

SageMaker Hyperpod Flexible Training Plans が即時開始とマルチプルオファーをサポート
SageMaker Flexible Training Plans に、30分以内に開始可能な即時スタート機能が追加されました。この機能により、お客さまは必要な時にすぐにGPUリソースを確保できるようになります。
Flexible Training Plan (FTP) の主な特長：
1. 特定の日時にGPUリソースを予約可能
2. 長期的な契約不要
3. 使用したGPU時間分のみの課金
今回のアップデートにより：
1. 30分以内にリソース予約を開始可能（空き状況による）
2. 単一の連続したリソースブロックが見つからない場合、自動的に2つの時間枠に分割して予約を試みる
3. 最大3つの異なるオプションを提示し、リソース調達の柔軟性を向上
Flexible Training Plan の作成方法：
1. SageMaker AI コンソール：視覚的なインターフェースで包括的なオプションを表示
2. プログラムによる方法：AWS CLI や SageMaker SDK を使用して API と直接やりとり
これらの機能により、機械学習ワークロードのためのコンピューティングリソース調達が加速されます。

Amazon Q Developer がコマンドライン内に新しい CLI エージェントを発表
Amazon Q Developer の CLI エージェントが強化され、より動的な対話が可能になりました。この更新により、Amazon Q Developer は CLI 環境の情報を使用して、以下の操作を支援できるようになりました:
- ローカルファイルの読み書き
- AWS リソースのクエリ
- コードの作成
また、Q Developer にコードの作成、テスト、デバッグの支援を依頼でき、フィードバックと承認に基づいて反復的に調整を行います。これにより、ターミナルを離れることなく、開発プロセスを効率化し、タスクを迅速に完了できます。
強化された CLI エージェントは、Anthropic の最新の高性能モデルである Claude 3.7 Sonnet を搭載しており、Amazon Q Developer の無料版と Pro 版で利用可能です。

Amazon Q Business が音声およびビデオデータからのインサイトをサポート
Amazon Q Business が音声およびビデオデータの取り込みをサポートするようになりました。この新機能により、Amazon Q のお客さまは取り込んだ音声やビデオコンテンツを検索し、これらのメディアファイルに含まれる情報に基づいて質問することができます。
この機能強化により、Amazon Q Business の能力が大幅に拡張され、組織がマルチメディアコンテンツにアクセスし活用するためのより強力なツールとなりました。お客さまは音声やビデオリソースから貴重な洞察を得ることができます。
ユーザーは録画された会議、トレーニングビデオ、ポッドキャスト、その他 Amazon Q Business に取り込まれた音声やビデオコンテンツ内の特定の情報を簡単に検索できるようになりました。この機能により、マルチメディアコンテンツをテキストベースの文書と同様に検索・アクセス可能にすることで、情報検索の効率化、知識共有の強化、意思決定プロセスの改善が図れます。
音声およびビデオの取り込み機能は、Bedrock Data Automation 機能を使用してお客さまのマルチモーダルアセットを処理します。
Amazon Q Business のこの機能は、米国東部（バージニア北部）および米国西部（オレゴン）の AWS リージョンで利用可能です。

Amazon Bedrock の Amazon Nova Pro 基盤モデルがレイテンシー最適化推論をサポート（プレビュー）
Amazon Nova Pro 基盤モデルが、Amazon Bedrock でレイテンシー最適化推論のプレビューをサポートするようになりました。これにより、生成系 AI アプリケーションの応答時間が短縮され、応答性が向上します。レイテンシー最適化推論は、レイテンシーに敏感なアプリケーションの応答時間を短縮し、エンドユーザーのエクスペリエンスを向上させ、開発者がユースケースに応じてパフォーマンスを最適化する柔軟性を高めます。これらの機能にアクセスするために追加のセットアップやモデルの微調整は必要なく、既存のアプリケーションを即座に高速化できます。
Amazon Nova Pro のレイテンシー最適化推論は、米国西部 (オレゴン)、米国東部 (バージニア)、米国東部 (オハイオ) リージョンでクロスリージョン推論を通じて利用可能です。

Amazon Bedrock Data Automation が一般提供開始
Amazon Bedrock Data Automation (BDA) が一般提供されました。これは Amazon Bedrock の機能で、開発者が非構造化マルチモーダルコンテンツ（文書、画像、動画、音声など）から価値ある洞察を自動生成し、生成系AI ベースのアプリケーションを構築できるようにします。
BDA の主な特長：
- 開発時間と労力の削減
- インテリジェントな文書処理、メディア分析、その他のマルチモーダルデータ中心の自動化ソリューションの構築が容易に
- 単独機能または Amazon Knowledge Bases RAG ワークフローのパーサーとして使用可能
- Amazon Q Business で使用され、マルチモーダルアセットの処理と洞察の提供に活用
一般提供版での改善点：
- さまざまな文書タイプにおける精度向上
- シーンレベルおよび動画全体の要約精度の向上
- 画像と動画内の 35,000 以上の企業ロゴ検出のサポート
- AWS クロスリージョン推論のサポートによるスループットの最大化
セキュリティ、ガバナンス、管理機能の追加：
- AWS Key Management Service (KMS) カスタマーマネージドキー (CMK) による暗号化サポート
- AWS PrivateLink を使用した VPC 内での BDA API への直接接続
- BDA リソースとジョブのタグ付けによるコスト追跡と IAM でのタグベースのアクセスポリシー適用
BDA は US West (Oregon) と US East (N. Virginia) の AWS リージョンで利用可能です。

AWS HealthOmics のワークフローが NVIDIA L4 および L40S GPU と拡張された CPU オプションをサポート
AWS HealthOmics が最新の NVIDIA L4 および L40S グラフィカル プロセッシング ユニット (GPU) と、最大 192 vCPU のより大きな計算オプションをワークフロー向けにサポートするようになりました。AWS HealthOmics は、完全マネージド型の生物学的データストアとワークフローを提供し、医療・ライフサイエンス分野のお客さまの科学的ブレークスルーを加速させる HIPAA 対応サービスです。
今回のリリースでは、ゲノム研究と分析のためのより要求の厳しいワークロードをサポートするために、ワークフローの計算能力が拡張されました。既存の NVIDIA A10G および T4 GPU のサポートに加えて、NVIDIA L4 および L40S GPU のサポートが追加されました。これにより、研究者はタンパク質構造予測や生物学的基盤モデル (bioFM) などの複雑な機械学習ワークロードを効率的に実行できるようになります。
最大 192 vCPU と 1,536 GiB のメモリを備えた強化された CPU 構成により、大規模なゲノムデータセットの処理が高速化されます。これらの改善により、研究チームは重要なライフサイエンス研究の洞察を得るまでの時間を短縮できます。

マネジメントとガバナンス

Amazon CloudWatch RUM がデータ取り込みアクセスのためのリソースベースポリシーをサポート
CloudWatch RUM（Webアプリケーションのパフォーマンスをユーザーインタラクションの追跡によってリアルタイムでモニターリングするサービス）が、データ取り込みのアクセスを簡素化するリソースベースのポリシーをサポートするようになりました。
リソースベースのポリシーを使用することで、以下が可能になります：
1. どの IAM プリンシパルが RUM アプリケーションモニターにデータを取り込めるかを指定
2. より高いボリュームでのデータ取り込み
3. RUM へのデータ入力に対するより細かな制御
この機能により、Amazon Cognito を使用して IAM ロールを引き受けたり、AWS Security Token Service (STS) を使用してセキュリティ認証情報を取得したりすることなく、アプリケーションモニターへの取り込みアクセスを管理できます。
これは、Cognito のクォータ制限によるスロットリングや潜在的なデータ取り込みの失敗を回避できるため、高スループットのユースケースに有益です。パブリックリソースポリシーを使用すれば、認証されていないユーザーやクライアントを含め、誰でも CloudWatch RUM にデータを送信できます。
さらに、AWS グローバルコンテキストキーを使用して、特定の IP をブロックしたり、RUM へのデータ送信を無効にしたりすることもできます。これらのポリシーは、AWS コンソールまたは AWS CloudFormation を使用してコードで設定できます。

移行と転送

AWS Transfer Family が SFTP サーバーのログイン遅延を短縮
AWS Transfer Family の SFTP サーバーサイドのログイン遅延が、1〜2秒から500ミリ秒未満に短縮されました。
AWS Transfer Family は、SFTP、AS2、FTPS、FTP、およびWebブラウザーベースの転送を使用して、AWS ストレージサービスとの間でファイル転送を行うためのフルマネージドサポートを提供します。
この最適化により、特に自動化されたプロセスや迅速なファイル操作を必要とするアプリケーションなど、高頻度・低遅延のユースケースで大きな利点が得られます。
サーバーサイドのログイン遅延の短縮は、新規および既存の全ての Transfer Family SFTP サーバーで即時に利用可能です。

ネットワーキングとコンテンツ配信

Application Load Balancer が Amazon VPC IPAM との統合を発表
AWS Application Load Balancer (ALB) で、ロードバランサーノードへの IP アドレス割り当てに使用する公開 IPv4 アドレスのプールを提供できるようになりました。お客さまは、自社所有の Bring Your Own IP アドレス (BYOIP) または Amazon が提供する連続した IPv4 アドレスブロックで構成される、パブリック IP アドレスマネージャー (IPAM) プールを設定できます。
この機能により、パブリック IPAM プールで BYOIP を使用してパブリック IPv4 のコストを最適化できます。また、パブリック IPAM プールで Amazon が提供する連続した IPv4 ブロックを使用することで、エンタープライズのアクセス許可リストと運用を簡素化できます。
ALB の IP アドレスは IPAM プールから取得され、パブリック IPAM プールが枯渇した場合は自動的に AWS マネージド IP アドレスに切り替わります。このインテリジェントな切り替えにより、スケーリングイベント中のサービス可用性が最大化されます。

セキュリティ、アイデンティティ、コンプライアンス

IAM Access Analyzer が IPv6 をサポート
AWS Identity and Access Manager (IAM) Access Analyzer が、新しいデュアルスタックエンドポイントを通じて Internet Protocol version 6 (IPv6) アドレスをサポートするようになりました。既存の IPv4 をサポートする IAM Access Analyzer エンドポイントは、下位互換性のために引き続き利用可能です。新しいデュアルスタックドメインは、インターネットからまたは AWS PrivateLink を使用して Amazon Virtual Private Cloud (VPC) 内からアクセスできます。
IAM Access Analyzer の IPv6 サポートは、AWS コマーシャルリージョン、AWS GovCloud (US) リージョン、および中国リージョンで利用可能です。

Amazon Connect、Amazon WorkSpaces、Amazon AppStream 2.0 が Chrome Enterprise Recommended 認証を取得
Amazon Connect、Amazon WorkSpaces、Amazon AppStream 2.0 が Chrome Enterprise Recommended (CER) 認証を取得しました。この認証は、これらのサービスが ChromeOS、ChromeOS Flex、Chrome ブラウザー環境に最適化されていることを示し、Chrome デバイスを使用する企業にシームレスな統合とパフォーマンスを保証します。
これらの Chrome 最適化サービスにより、以下の利点が得られます：
1. Amazon Connect を通じてブラウザーベースのコンタクトセンター機能にアクセス
2. Amazon WorkSpaces を通じて Windows または Linux の仮想デスクトップにアクセス
3. Amazon AppStream 2.0 でアプリケーションを再構築せずにストリーミング
お客さまは ChromeOS の組み込みセキュリティ機能を活用しながら、効率的なスケーリングと従来のインフラ排除によるコスト削減を実現できます。また、古いデバイスに ChromeOS Flex をインストールすることで、ハードウェア投資を最大限に活用し、Amazon WorkSpaces 上で Windows 11 を実行したり、既存の Microsoft 365 Apps for Enterprise ライセンスを WorkSpaces で使用したりすることができます。

Amazon Cognito がマシンツーマシン(M2M)認可フローのアクセストークンカスタマイズをサポート
Amazon Cognito で、M2M フローのアクセストークンをカスタマイズできるようになりました。これにより、アプリケーション、API、ワークロードできめ細やかな認可を実装できます。
M2M 認可は、スケジュールされたデータ同期タスク、イベント駆動型ワークフロー、マイクロサービス間通信、システム間のリアルタイムデータストリーミングなどの自動化されたプロセスで一般的に使用されます。
M2M 認可フローでは、アプリケーションクライアントがソフトウェアシステムやサービスを表し、リソースとやりとりするためのアクセストークンをリクエストできます。
今回のアップデートにより、カスタムクレーム（アプリケーションクライアントに関する属性）とスコープ（アプリケーションクライアントがリソースにリクエストできるアクセスレベル）を使用してアクセストークンをカスタマイズできるようになりました。これにより、自動化されたシステム間の相互作用の制御と管理が容易になります。
アクセストークンに直接カスタム属性を追加できるため、アプリケーションコードで必要な認可ロジックの複雑さが軽減されます。例えば、レポーティングシステム用のアプリケーションクライアントにはデータの読み取りのみを許可し、データ処理サービス用のアプリケーションクライアントにはデータの読み取りと変更の両方を許可するクレームでアクセストークンをカスタマイズできます。
これにより、トークン発行プロセス中にカスタム認可属性を直接アクセストークンに埋め込むことで、認証を効率化できます。
M2M 認可のアクセストークンカスタマイズは、Essentials または Plus ティアを使用する Amazon Cognito のお客さまが利用できます。

AWS WAF が JA4 フィンガープリントを追加し、レートベースルールで JA3 と JA4 フィンガープリントの集約を可能に
AWS WAF が JA4 フィンガープリントをサポートし、既知のクライアントの許可や悪意のあるクライアントからのリクエストのブロックが可能になりました。また、WAF のレートベースルールで JA4 と JA3 フィンガープリントを集約キーとして使用できるようになり、クライアントフィンガープリントに基づいてリクエストレートを監視・制御できます。
JA4 TLS クライアントフィンガープリントは、クライアントからセキュアな接続を開始するために使用される TLS Client Hello の 36 文字のフィンガープリントを含みます。このフィンガープリントを使用して、HTTP リクエストの検査時に適用する既知の正常および悪意のあるアクターのデータベースを構築できます。
これらの新機能により、クライアントの動作パターンに基づいてより精密なルールを作成し、高度な攻撃を特定および軽減する能力が向上します。JA4 と JA3 のフィンガープリント機能を活用することで、自動化された脅威に対する堅ろうな保護を実装しながら、アプリケーションへの正当なトラフィックフローを維持できます。

AWS Secrets Manager が APIの秒間リクエストレートを引き上げ
AWS Secrets Manager の主要な API 操作である GetSecretValue と DescribeSecret について、より高いリクエストレートがサポートされるようになりました。GetSecretValue は1秒当たり最大10,000リクエスト、DescribeSecret は1秒当たり40,000リクエストをサポートします。この API 制限の引き上げは追加コストなしで自動的に AWS アカウントに適用されるため、お客さま側での対応は不要です。

ストレージ

Amazon FSx for NetApp ONTAP が SnapLock ライセンス料を撤廃
2025年3月5日より、Amazon FSx for NetApp ONTAP は SnapLock ボリュームに保存されたデータに対する SnapLock ライセンス料を撤廃します。これにより、お客さまはビジネスクリティカルなデータをランサムウェア、不正削除、悪意のある改ざんから保護するためのコストを削減できます。
SnapLock は、指定された保持期間中のデータの改変や削除を防ぐ Write Once, Read Many (WORM) 保護を提供する ONTAP の機能です。これにより、お客さまは規制コンプライアンスを満たし、データ保護を強化できます。
この課金変更後、SnapLock が有効なボリュームにはライセンス料が発生しなくなります。このライセンス撤廃はお客さまのアプリケーションに変更を加える必要がなく、新規および既存の SnapLock ボリュームに対して自動的に適用されます。

その他

Amazon GameLift Streams を発表
Amazon GameLift Streams が新たに発表されました。この新機能により、開発者は最大1080p解像度、60フレーム/秒でゲームをストリーミングし、WebRTC対応ブラウザーを搭載した任意のデバイスに配信できます。
主な特長は以下の通りです：
1. さまざまな3Dエンジンで構築されたゲームを、ほとんど修正せずにアップロードできます。
2. 特定のAWSリージョンでストリーミング容量をプロビジョニングし、すぐにテストストリーミングを開始できます。
3. プレイヤーは、PCやスマートフォン、タブレット、スマートTVなどで、数秒でAAA、AA、インディーゲームをプレイ開始できます。
Amazon GameLift Streamsを使用することで、以下が可能になります：
- 新しい直接配信チャンネルの作成
- インスタントプレイゲームデモンストレーションの立ち上げ
- セキュアなプレイテストの実施
- 収益化機会の拡大
Windows、Linux、Protonランタイムをサポートし、ストリーミング用のゲームコード修正や再構築の手間とコストを削減できます。プレイヤーの需要に応じて柔軟にスケーリングが可能で、必要な容量のみをプロビジョニングし、支払うことができます。
この新機能により、プレイヤーとの関係、エクスペリエンス、ブランディング、ビジネスモデルを完全にコントロールしながら、ゲームのリーチ、エンゲージメント、販売を拡大する機会が広がります。

今週のWeekly AWSは、以上です。最後までお読みいただき、ありがとうございました。

関連サービス