Weekly AWS アップデート情報 - 2025/4/21 ～AWS が Amazon VPC Peering の請求を簡素化～

分析

Amazon OpenSearch Service が OpenSearch UI で SAML シングルサインオンをサポート
Amazon OpenSearch Service の次世代 OpenSearch UI で、IAM フェデレーションを介した SAML (Security Assertion Markup Language) がサポートされるようになりました。
OpenSearch UI は、マネージドドメインとサーバーレスコレクションにまたがるデータから単一のエンドポイントで洞察を得ることができる、最新の運用分析エクスペリエンスです。これまで OpenSearch UI は、AWS Identity & Access Management (IAM) と IAM Identity Center (IDC) による認証をサポートしていました。
今回の機能追加により、アイデンティティプロバイダーと IAM の間で SAML アイデンティティフェデレーションを構成できるようになりました。これにより、エンドユーザーはアイデンティティプロバイダーからログインして直接 OpenSearch UI にアクセスする、シングルサインオン (SSO) エクスペリエンスを利用できます。
SAML サポートでは、デフォルトのリレーステート URL を定義できます。エンドユーザーはこの URL をクリックしてアイデンティティプロバイダーのログインページを開き、SSO を完了した後、OpenSearch UI で定義したページに直接アクセスできます。
また、アイデンティティプロバイダーのユーザーとロールを、OpenSearch の異なる権限を持つ IAM ロールにマッピングすることで、きめ細やかなアクセス制御 (FGAC) を定義できます。これにより、ユーザー権限の管理やアイデンティティプロバイダーからのユーザーアクティビティの追跡が容易になります。

アプリケーション統合

Amazon EventBridge の API デスティネーション接続がカスタマーマネージドキー (CMK) をサポート
Amazon EventBridge の API デスティネーション接続で、Amazon Key Management Service (KMS) のカスタマーマネージドキー (CMK) がサポートされるようになりました。
この機能強化により、API デスティネーションで管理される HTTPS エンドポイントの認証情報を、デフォルトで使用される AWS 所有のキーではなく、お客さま独自のキーで暗号化できるようになりました。CMK サポートにより、API デスティネーションで使用される認証情報に対するセキュリティ制御がより細かくなり、組織のセキュリティ要件とガバナンスポリシーを満たすのに役立ちます。
CMK は、お客さま自身が作成および管理する KMS キーです。CloudTrail を通じてキーの使用状況を監査および追跡することもできます。
EventBridge API デスティネーションは、イベントバスルールやパイプのターゲットとして呼び出すことができるプライベートおよびパブリックの HTTPS エンドポイントです。API デスティネーションは、API キーや OAuth などの HTTPS エンドポイントに対する柔軟な認証オプションを提供し、認証情報を AWS Secrets Manager で安全に保存および管理します。

Amazon EventBridge Connector for Apache Kafka Connect が一般提供開始
Amazon EventBridge コネクター for Apache Kafka Connect が一般提供されました。このオープンソースコネクターにより、Kafka 環境と多数の AWS サービスおよびパートナー統合とのイベント統合が簡素化されます。カスタム統合コードを作成したり、各ターゲットに複数のコネクターを実行したりする必要がありません。
コネクターには以下の機能が組み込まれています：
- Kafka スキーマレジストリのサポート
- 大規模なイベントペイロードの S3 へのオフロード
- IAM ロールベースの認証
コネクターは AWS GitHub 組織で Apache 2.0 ライセンスの下で利用可能です。
Amazon EventBridge は、アプリケーション間、サードパーティーの SaaS アプリケーション、および他の AWS サービス間でイベントをルーティングすることで、高度にスケーラブルなイベント駆動型アプリケーションを作成できるサーバーレスイベントルーターです。
EventBridge Connector for Apache Kafka Connect を使用すると、Kafka 環境で統一されたコネクターを通じて、動的イベントフィルターリング、変換、スケーラブルなルーティングなどの高度な機能を活用できます。コネクターは、Kafka から AWS ターゲット、カスタムアプリケーション、サードパーティーの SaaS サービスへのイベントルーティングを簡素化します。
組織は、Amazon Managed Streaming for Kafka (MSK) Connect を含む任意の Apache Kafka Connect インストールにコネクターをデプロイできます。

ビジネスアプリケーション

Amazon Connect Contact Lens のダッシュボードがエージェント階層を使用したアクセス制御をサポート
Amazon Connect の Contact Lens ダッシュボードで、コンタクトセンター管理者が特定のエージェント階層に基づいてきめ細やかなアクセス制御を適用できるようになりました。
ユーザーに階層を割り当てることで、ユーザーが属する組織グループを定義できます。また、ユーザーが自分の階層内または特定の割り当てられた階層内のエージェントのメトリクスのみを表示できるようにすることで、きめ細やかなアクセス制御を有効にできます。
例えば、チームの階層グループとレベルを設定し、そのチーム内の階層グループに割り当てられたエージェントのみが、それらのエージェントのメトリクスを閲覧できるように構成できます。

Amazon Connect Cases がケースのサービスレベル契約（SLA）管理をサポート
Amazon Connect Cases に、コンタクトセンターがケースのサービスレベル契約 (SLA) を追跡し、達成するための機能が追加されました。
主な特長:
1. 管理者は Amazon Connect UI を使用して、ケース属性に基づく SLA ルールを設定し、目標ステータスと解決時間を構成できます。
2. エージェントとマネージャーは、ケースリストビューで SLA のリアルタイムステータスを確認し、緊急の作業に優先順位を付けることができます。
3. 管理者は、SLA が満たされない場合に自動的にエスカレーションしたり、別のチームにケースをルーティングするルールを作成できます。
例えば、企業はこの機能を使用して、優先度の高いケースが4時間以内にレビューされ、24時間以内に解決されているかを監視し、ケース処理のサービスコミットメントを容易に達成できます。
Amazon Connect Cases は、アジア太平洋 (東京) リージョンを含む複数の AWS リージョンで利用可能です。

コンピューティング

Amazon EC2 M8g インスタンスが東京など追加の AWS リージョンで利用可能に
Amazon Elastic Compute Cloud (Amazon EC2) の M8g インスタンスが、AWS アジア太平洋 (東京、シドニー) リージョンで利用可能になりました。これらのインスタンスは AWS Graviton4 プロセッサを搭載し、AWS Graviton3 ベースのインスタンスと比較して最大 30% 優れたパフォーマンスを提供します。
Amazon EC2 M8g インスタンスは、アプリケーションサーバー、マイクロサービス、ゲームサーバー、中規模データストア、キャッシュフリートなどの汎用ワークロード向けに設計されています。これらのインスタンスは AWS Nitro System 上に構築されており、CPU 仮想化、ストレージ、ネットワーキング機能を専用のハードウェアとソフトウェアにオフロードすることで、ワークロードのパフォーマンスとセキュリティを向上させています。
AWS Graviton4 ベースの Amazon EC2 インスタンスは、Amazon EC2 上で実行される幅広いワークロードに対して、最高のパフォーマンスとエネルギー効率を提供します。これらのインスタンスは、Graviton3 ベースの Amazon M7g インスタンスと比較して、最大 3 倍の vCPU とメモリを持つ大規模なインスタンスサイズを提供します。
AWS Graviton4 プロセッサは、AWS Graviton3 プロセッサと比較して、データベースで最大 40%、Web アプリケーションで 30%、大規模な Java アプリケーションで 45% 高速です。M8g インスタンスは、2 つのベアメタルサイズを含む 12 の異なるインスタンスサイズで利用可能です。最大 50 Gbps の拡張ネットワーキング帯域幅と、Amazon Elastic Block Store (Amazon EBS) への最大 40 Gbps の帯域幅を提供します。

AWS Lambda@Edge が高度なログ制御機能を発表
AWS Lambda@Edge が Lambda の高度なログ制御をサポートし、エッジでの関数ログのキャプチャー、処理、消費方法が改善されました。この機能強化により、ログデータをより細かく制御でき、アプリケーションの動作監視や問題の迅速な解決が容易になります。
Lambda@Edge の新しい高度なログ制御には、以下の3つの柔軟な方法があります：
1. 新しい JSON 構造化ログにより、カスタムログライブラリを使用せずに大量のログエントリーの検索、フィルターリング、分析が容易になります。
2. ログレベルの粒度制御により、ログレベルを即座に切り替えることができ、問題調査時にエラーやデバッグ情報などの特定のタイプのログをフィルターリングできます。
3. カスタム CloudWatch ロググループの選択により、Lambda@Edge がログを送信する Amazon CloudWatch ロググループを選択でき、大規模なログの集約と管理が容易になります。
この機能は、Lambda API、Lambda コンソール、AWS CLI、AWS Serverless Application Model (SAM)、AWS CloudFormation を使用して、Lambda 関数の高度なログ制御を指定することで利用できます。

AWS Lambda が AWS PrivateLink 経由で IPv6 インバウンド接続をサポート
AWS Lambda が IPv6 専用およびデュアルスタックの PrivateLink インターフェース VPC エンドポイントをサポートするようになりました。これにより、パブリックインターネットを経由せず、VPC の限られた IPv4 アドレス数に制約されることなく、Lambda API にアクセスできるようになりました。
AWS PrivateLink は、VPC 内にあるかのようにサービスやリソースにプライベートに接続できる、可用性と拡張性の高いサービスです。
以前は、Lambda は IPv4 専用の VPC エンドポイントを使用して PrivateLink 経由のインバウンドプライベート接続をサポートしていました。今回のアップデートにより、Lambda のインバウンドプライベート接続が IPv6 専用およびデュアルスタック VPC エンドポイントにも拡張されました。これにより、デュアルスタックまたは IPv6 専用 VPC から IPv6 経由で Lambda 関数を呼び出し、管理できるようになりました。
このアップデートは、プライベート接続の利点と、IPv6 プロトコルのより大きなアドレス空間およびシンプルなネットワーク構成の利点を組み合わせています。
AWS Management Console、AWS CLI、AWS CDK、AWS CloudFormation、AWS SDK を使用して Lambda 用の VPC エンドポイントを作成することで、この機能の利用を開始できます。

AWS Batch が Amazon ECS Exec と AWS FireLens ログルーターをサポート
AWS Batch が Amazon Elastic Container Service (ECS) Exec と AWS FireLens ログルーターをサポートするようになりました。これらは Amazon ECS と AWS Fargate 上の AWS Batch で利用できます。
ECS Exec を使用すると、AWS Batch ジョブのコンテナに対してインタラクティブなコマンドを実行し、アプリケーションの進捗状況の追跡やトラブルシューティングが可能になります。
AWS FireLens を使用すると、AWS Batch ジョブのログを Amazon CloudWatch、Amazon S3、Amazon OpenSearch Service、Amazon Redshift、Splunk などのパートナーサービスを含む任意の宛先にストリーミングできます。
ECS Exec と AWS FireLens は、新しい AWS Batch ジョブ定義の登録時や既存のジョブ定義の改訂時に設定できます。
AWS Batch は、開発者、科学者、エンジニアが機械学習モデルのトレーニング、シミュレーション、分析などのバッチ処理を任意のスケールで効率的に実行することをサポートします。

コンテナ

Amazon ECS がデフォルトのログドライバーブロッキングモードを設定する機能を追加
Amazon Elastic Container Services (Amazon ECS) に新しいアカウント設定 「defaultLogDriverMode」 が導入されました。この設定により、タスク定義でログドライバーモードを指定しない場合のデフォルトを「ブロッキング」または「非ブロッキング」のいずれかに定義できます。
「非ブロッキング」モードでは、ログルーティング先が利用できなくなった場合でもアプリケーションの動作を継続できます。ログ取得がアプリケーションにとって重要でない場合、可用性が向上します。
一方、「ブロッキング」モードは、ログを目的の宛先にルーティングできない場合にアプリケーションの実行を継続したくない場合に使用します。例えば、ビジネスクリティカルなトランザクションの記録や規制で義務付けられている場合などです。
この設定は、タスク定義の「mode」ログ設定パラメーターを使用して、アプリケーションごとにオーバーライドすることができます。
新しい defaultLogDriverMode アカウント設定は、全ての AWS リージョンで利用可能です。

データベース

Amazon MemoryDB が IPv6 (インターネットプロトコルバージョン6) をサポート
Amazon MemoryDB クラスタが IPv6 プロトコルをサポートし、クライアントが IPv6 を使用して MemoryDB クラスタに接続できるようになりました。クラスタを IPv6 接続のみを受け入れるように、または IPv4 と IPv6 の両方の接続を受け入れるように設定できます。これにより、IPv6 コンプライアンス要件を満たし、既存の IPv6 ベースのアプリケーションとより効率的に統合できます。
インターネットの継続的な成長により、利用可能な IPv4 アドレスが急速に枯渇しています。IPv6 をサポートすることで、MemoryDB は大幅に拡張されたアドレス空間を提供し、VPC 内の重複するアドレス空間を管理する必要性を排除することで、ネットワークアーキテクチャーの簡素化を支援します。デュアルスタックサポートを通じて既存の IPv4 システムとの互換性を維持しながら、アプリケーションを IPv6 に標準化し、インフラストラクチャーの将来性を確保できます。
新しい MemoryDB クラスタを作成する際に、ネットワークタイプを設定することでサポートするプロトコルを選択できます。IPv6 は、Valkey 7 以上、Redis OSS バージョン 6.2 以上で利用可能です。

デベロッパーツール

Amazon Corretto の 2025年4月四半期アップデートを発表
Amazon Corretto の OpenJDK の長期サポート (LTS) 版と機能リリース (FR) 版に対する四半期ごとのセキュリティおよび重要なアップデートが発表されました。Corretto 24.0.1、21.0.7、17.0.15、11.0.27、8u452 がダウンロード可能になりました。
Amazon Corretto は、無料でマルチプラットフォームに対応し、本番環境で利用可能な OpenJDK ディストリビューションです。Linux システムでは、Corretto の Apt または Yum リポジトリを設定することでアップデートを入手できます。

ウェブとモバイルのフロントエンド

Amazon SES が AWS CloudTrail を通じたメール送信イベントのログ記録をサポート
Amazon Simple Email Service (SES) が AWS CloudTrail を通じたメール送信イベントのログ記録をサポートするようになりました。これにより、お客さまは SES API を使用して実行されたメール送信アクションの記録を維持できます。ユーザー、ロール、または AWS サービスが SES で実行したアクションも含まれます。
以前は、お客さまが自身で作成・管理するカスタムデータストアに送信イベント通知をルーティングするために SES イベントデスティネーションを使用する必要がありました。これには、データストレージとデータインデックス作成のためのカスタムソリューションが必要で、開発コストと運用監視コストがかかっていました。
今回のアップデートにより、お客さまはカスタムソリューションの開発なしで AWS CloudTrail へのイベントログ記録を設定できるようになりました。イベントの検索、表示、およびプライベートワークフローで処理するためのイベントリストのダウンロードが可能です。これにより、お客さまはイベント履歴管理のためのターンキーソリューションを利用できます。
SES は、SES が利用可能な全ての AWS リージョンで、送信イベントに対する AWS CloudTrail データイベントをサポートしています。

人工知能

GitLab Duo と Amazon Q が一般提供開始
GitLab Duo と Amazon Q が Self-Managed Ultimate のお客さま向けに一般提供されました。これにより、GitLab のエンタープライズ DevSecOps プラットフォームに、ソフトウェア開発、Java モダナイゼーション、品質保証の強化、コードレビューの最適化のための高度なエージェント機能が組み込まれます。
GitLab Duo と Amazon Q を使用することで、開発者やチームは Amazon Q エージェントと協力して以下のタスクを加速できます：
1. 機能開発の促進
2. コード品質とセキュリティの最大化
3. 脆弱性の検出と解決
4. テストカバレッジの自動化
5. 失敗したパイプラインジョブのトラブルシューティング
6. レガシー Java コードベースのアップグレード
GitLab の統合されたデータストアは、ソフトウェア開発ライフサイクル全体にわたるプロジェクトコンテキストを Amazon Q に提供し、ソフトウェア開発とデプロイメントを加速します。
主な機能：
1. ソフトウェア開発の効率化：任意の課題から Amazon Q エージェントに機能開発を委任できます。
2. コード品質とセキュリティの最大化：エージェント支援によるセキュリティ、品質、デプロイメントリスクのスキャンを各マージリクエストで標準化します。
3. デバッグ、トラブルシューティング、脆弱性解決の高速化：プラットフォームチームは、Amazon Q を活用したコンテキスト対応の Web チャットを使用して、失敗した CI/CD ジョブを迅速にトラブルシュートおよび解決できます。
4. エンタープライズワークロードの変革：GitLab プロジェクトから直接 Java 8 または 11 のコードベースを Java 17 にアップグレードし、アプリケーションのセキュリティとパフォーマンスを向上させ、技術的負債を削減します。

Amazon Q Business がチャットレスポンスのハルシネーション軽減機能をサポート
Amazon Q Business に、チャットレスポンスのハルシネーション（幻覚）を軽減する新機能が追加されました。ハルシネーションとは、生成系 AI アプリケーションが根拠となるデータに基づかずに自信を持って行う応答のことです。
新機能により、お客さまはチャット会話中にリアルタイムでハルシネーションを軽減できるようになりました。生成系 AI アプリケーションの基盤となる大規模言語モデル（LLM）は、応答におけるハルシネーションの程度を減少させていますが、完全には排除できていません。そのため、信頼性の高い応答を生成するにはハルシネーション軽減が必要です。
Q Business のハルシネーション軽減機能は、アプリケーションに接続されたデータからより正確な検索拡張生成（RAG）応答を確保するのに役立ちます。このデータは、接続されたデータソースまたはチャット中にアップロードされたファイルから取得されます。
チャット中、Q Business は応答のハルシネーションを評価します。高い確信度でハルシネーションが検出された場合、チャット中にリアルタイムで応答の矛盾を修正し、新しい編集されたメッセージを生成します。
この機能は API または Amazon Q コンソールを通じて有効化できます。

Amazon Bedrock の RAG とモデル評価がカスタム指標をサポート
Amazon Bedrock Evaluations が、Amazon Bedrock や他のクラウド、オンプレミス環境でホストされている基盤モデルや検索拡張生成（RAG）システムの評価を可能にしました。
Bedrock Evaluations は以下の機能を提供します：
1. 人間による評価
2. BERTScore、F1、その他の完全一致指標などのプログラムによる評価
3. モデルとRAGの評価のためのLLM-as-a-judge
LLM-as-a-judgeを使用したモデルとRAGの評価では、正確性、完全性、忠実性（ハルシネーション検出）などの組み込み指標や、回答拒否、有害性、ステレオタイプ化などの責任あるAI指標を選択できます。
今回のアップデートにより、カスタム指標の作成と再利用が可能になりました。これにより、以下のようなカスタマイズが可能になります：
- 独自の判定プロンプトの作成
- カテゴリー別または数値評価スケールの定義
- 組み込み変数を使用したデータセットやGenAIレスポンスの判定プロンプトへの挿入
また、クイックスタートテンプレートを参考にしたり、ゼロから独自のテンプレートを作成したりすることができます。

AWS HealthOmics が動的実行ストレージに Elastic Throughput を導入
AWS HealthOmics の動的実行ストレージにスループットの改善が加えられました。AWS HealthOmics は、ヘルスケアおよびライフサイエンス分野のお客さまが、完全マネージド型の生物学的データストアとワークフローを使用して科学的ブレークスルーを加速できるようにする HIPAA 対応サービスです。
動的実行ストレージは、ワークフローのニーズに基づいてストレージ容量を自動的にスケーリングします。今回のリリースでは、Amazon Elastic File System の Elastic Throughput モードを使用してスループットもスケーリングするようになりました。
この機能は、より高速な開始時間を必要とする実行、予測不可能なストレージ要件を持つワークフロー、反復的な開発サイクルに推奨されます。これにより、研究チームは時間に制約のあるゲノム解析の洞察を得るまでの時間を短縮できます。
Elastic Throughput を備えた動的実行ストレージは、AWS HealthOmics が利用可能な全てのリージョンで利用できるようになりました。これには、アジアパシフィック (東京) リージョンも含まれています。

AWS HealthOmics がワークフローのバージョン管理をサポート
AWS HealthOmics がワークフローのバージョン管理をサポートし、お客さまが生物情報学ワークフローの複数バージョンを効率的に管理できるようになりました。AWS HealthOmics は、ヘルスケアおよびライフサイエンスのお客さまが、完全マネージド型の生物学的データストアとワークフローを使用して科学的ブレークスルーを加速できるようにする HIPAA 対応サービスです。
この機能により、ワークフロー開発者は、一貫したワークフロー ID とベース ARN を維持しながら、ワークフローの複数バージョンを作成・管理できます。ユーザーは実行時に特定のワークフローバージョンを選択でき、分析の制御と再現性が向上します。
また、新しいワークフローバージョンを既存の購読者と自動的に共有するため、手動での再共有が不要になり、チームが常に最新のワークフローイテレーションにアクセスできるようになります。これにより、コラボレーションが簡素化されます。

管理とガバナンス

Well-Architected 生成系 AI レンズを発表
AWS Well-Architected Generative AI Lens が公開されました。これは、クラウド上の生成系 AI ワークロードを最適化するためのガイダンス文書です。
この新しいレンズは Well-Architected フレームワークに強力な追加機能をもたらし、組織が生成系 AI ワークロードの実装の複雑さに対処するためのガイドとなります。初期のインパクト評価からモデルの選択、カスタマイズ、統合、デプロイメント、継続的な改善まで、生成系 AI のライフサイクル全体をカバーする体系的で規範的なガイダンスを提供します。
このレンズは以下のような主要な利点を提供します：
- さまざまな環境や AI ツールに適用可能なクラウドに依存しないガイダンス
- Well-Architected の 6 つの柱全てを包括的にカバー
- AI の取り組みのどの段階にある組織にも柔軟に適用可能
大規模言語モデル (LLM) を使用したアーキテクチャーの徹底的な評価を可能にし、ビジネスリーダーやデータサイエンティストが生成系 AI 実装における重要な決定を行う際の支援をします。
生成系 AI ワークロードに特化したデータアーキテクチャー要件に対応し、継続的な改善のためのフレームワークを提供することで、このレンズは堅ろうで安全かつ効率的なソリューションを促進します。
Generative AI Lens は、AWS Well-Architected Tool の Lens Catalog で AWS 公式レンズとして利用可能です。

Amazon Managed Service for Prometheus がラベルベースのアクティブシリーズ制限をサポート
Amazon Managed Service for Prometheus で、ワークスペース内のラベルベースのアクティブシリーズ制限がサポートされるようになりました。この機能により、ワークスペースを共有するアプリケーション、サービス、チームなどの異なるプロデューサー間でアクティブシリーズの量を管理できます。
ワークスペース内の異なるメトリクスプロデューサーに特定のアクティブシリーズ制限を割り当てることができ、重要なメトリクスを保護できます。メトリクスのサブセットが予期せず急増した場合、同じラベルベースのアクティブシリーズ制限を共有するメトリクスのみがスロットリングされます。
例えば、{app="payment-service", environment="prod"}のようなラベルセットを使用して、異なるアプリケーションからのメトリクスに異なる制限を設定できます。payment-serviceアプリケーションがメトリクスの予期せぬ急増を引き起こした場合、payment-serviceアプリケーションから発生した取り込まれたメトリクスのみがスロットリングされます。
この機能は、新しいワークスペース設定APIによって実現されています。これらのAPIを使用して、ワークスペースのデータ保持期間も管理できます。ワークスペース内のメトリクスデータを完全に削除する前に保持する日数を指定できます。

Amazon CloudWatch エージェントが SELinux をサポート
Amazon CloudWatch エージェントが Security-Enhanced Linux (SELinux) 環境をサポートするようになりました。事前設定されたセキュリティポリシーにより、セキュリティ強制が必要なシステムでのモニターリングが可能になります。
この機能は、Linux インフラストラクチャー全体で厳格なセキュリティ管理を維持する規制産業や政府機関のお客さまに利点をもたらします。これらのセキュリティポリシーを CloudWatch エージェントのインストール前に適用することで、重要なモニターリングデータを収集しながらセキュリティ体制を維持できます。
組織は SELinux が有効な環境で CloudWatch エージェントを展開しながら、セキュリティ体制を維持できるようになります。アクセス制御の強制が不可欠な重要なニーズに対応します。事前設定された SELinux 設定により、お客さまはコンプライアンス要件を遵守しながら AWS のモニターリングと可観測性機能を利用できます。
この機能は、デプロイメントプロセスを簡素化し、エージェントのインストール中のセキュリティ設定ミスのリスクを軽減するのに役立ちます。

Amazon CloudWatch エージェントが Red Hat OpenShift Service on AWS (ROSA) をサポート
Amazon CloudWatch エージェントが Red Hat OpenShift Service on AWS (ROSA) をサポートするようになりました。これにより、Container Insights や Application Signals などの CloudWatch ツールを使用してアプリケーションとインフラストラクチャーの監視が可能になります。ROSA は、お客さまがオンプレミスと同じ一貫した OpenShift エクスペリエンスで、AWS 上でコンテナ化されたアプリケーションを迅速にデプロイ、運用、スケーリングできるフルマネージドクラウドサービスです。
この新機能により、DevOps チームとアプリケーション所有者は、AWS のネーティブな可観測性ツールを活用して、ROSA クラスタのパフォーマンス、健全性、リソース使用率について深い可視性を得ることができます。ROSA 上の CloudWatch エージェントは、コンテナ化されたアプリケーションと基盤となるインフラストラクチャーコンポーネントからメトリクス、ログ、トレースを収集・分析し、異常がエンドユーザーエクスペリエンスに与える影響を特定するのに役立ちます。
この統合により、トラブルシューティングプロセスが効率化され、チームは ROSA クラスタや他の AWS サービス全体の問題を迅速に特定できます。統合されたインフラストラクチャーとアプリケーションの監視を通じて、お客さまは自動アラートの設定、パフォーマンストレンドの追跡、アプリケーションスタック全体でのイベントの相関付けを行うことができます。

AWS Control Tower が 223 の新しい AWS Config ルールをサポート
AWS Control Tower が、セキュリティ、コスト、耐久性、運用などのさまざまなユースケースに対応する223の追加のマネージド Config ルールをコントロールカタログでサポートするようになりました。
この機能により、以下のことが可能になります：
- AWS Control Tower から直接これらの追加ルールを検索、発見、有効化、管理
- マルチアカウント環境でより多くのユースケースを管理
使用方法：
1. AWS Control Tower のコントロールカタログで、実装フィルターに AWS Config を指定して検索
2. カタログ内の全ての AWS Config ルールを確認
3. 関連するルールを AWS Control Tower コンソールから直接有効化
また、ListControls、GetControl、EnableControl API も利用可能です。
ListControls と GetControl API が更新され、以下の3つの新しいフィールドをサポートするようになりました：
- 作成時間
- 重要度
- 実装
これにより、例えば前回の評価以降に作成された重要度の高い Config ルールをプログラムで検索できるようになりました。
AWS Control Tower が利用可能な全ての AWS リージョンで、新しい AWS Config ルールを検索できます。ルールをデプロイする際は、そのルールがサポートされているリージョンのリストを参照してください。

AWS Console モバイルアプリケーションが Amazon Lightsail をサポート
AWS Console モバイルアプリケーション内から Amazon Lightsail にアクセスできるようになりました。これにより、外出先でも Lightsail のインスタンス、コンテナ、データベース、ネットワーク、ストレージ、スナップショット、ドメイン、DNS の監視と管理が可能になります。
AWS Console モバイルアプリケーションは、特定のリソースの監視と管理、プッシュ通知の受信を可能にし、外出先でも AWS リソースの状況を把握し接続を維持できます。サインインプロセスは生体認証をサポートしており、AWS リソースへのアクセスがシンプル、安全、迅速に行えます。
Lightsail は、使いやすい仮想プライベートサーバー (VPS) インスタンス、ストレージ、データベースなどを、コスト効率の良い月額料金で提供します。
ネーティブで利用できない AWS サービスについては、アプリケーション内ブラウザーを通じて AWS マネジメントコンソールにアクセスし、追加の認証や手動のナビゲーション、アプリケーションからブラウザーへの切り替えなしでサービスページにアクセスできます。

メディアサービス

AWS Elemental Link UHD が HD 取り込みレートを追加し、Link HD が販売終了へ
AWS Elemental Link HD デバイスの販売が 2024 年 4 月 15 日をもって終了することが発表されました。AWS Elemental Link UHD デバイスは引き続き購入可能です。HD コンテンツの取り込みワークフローをサポートするため、Link UHD に HD 取り込み価格が追加され、新規導入のためのシームレスな移行パスが提供されます。
既存の Link HD デバイスは引き続きサポートされますが、HD と UHD の両方の取り込みワークフローには Link UHD が推奨ソリューションとなります。
Link UHD デバイスで HD 価格設定を有効にするには、デバイスがアクティブにストリーミングしていない時に、Link デバイス設定ページでデバイスの入力解像度を設定できます。この設定オプションにより、Link UHD デバイスを通じて HD コンテンツを取り込む際のコスト最適化が可能になります。
この機能は、Link UHD がサポートされている全ての AWS リージョンで即時利用可能です。入力解像度の設定オプションは、全ての Link UHD デバイスで AWS マネジメントコンソールからアクセスできます。

移行と転送

AWS Mainframe Modernization がランタイム環境の高度な操作機能を導入
AWS Mainframe Modernization サービスが、モダナイズされたメインフレームアプリケーションを実行するマネージドランタイム環境のより細かい制御機能とともに利用可能になりました。主な新機能は以下の通りです：
1. リファクタリングされたアプリケーションとリプラットフォームされたアプリケーションの両方で、データセットを Amazon S3 バケットにエクスポートできるようになりました。オプションでエクスポートされたデータセットの暗号化も選択可能です。
2. AWS Blu Age でリファクタリングされたアプリケーションでは、特定のステップからバッチジョブを再開できるようになりました。
3. Rocket Software でリプラットフォームされたアプリケーションでは、非マネージド環境にデプロイされた Rocket Enterprise Server と互換性のあるベース構成を使用して、マネージドランタイムアプリケーションを設定できるようになりました。これにより、CICS や IMS の詳細なパラメーターなど、Rocket Enterprise Server がサポートする多数の高度な設定パラメーターを使用できます。
4. Amazon EC2 にデプロイされた Rocket Enterprise Server からエクスポートされた設定パラメーターを、AWS Mainframe Modernization のマネージドランタイムアプリケーションに転送できるようになりました。
これらの新機能により、環境間でのデータ移動やデータセットのアーカイブが容易になり、バッチ操作や復旧手順の高度な制御が可能になります。

ネットワーキングとコンテンツ配信

Amazon CloudFront が Anycast Static IP による apex ドメインのサポートを発表
Amazon CloudFront が apex ドメインに対する Anycast Static IP のサポートを発表しました。これにより、お客さまはルートドメイン（例：example.com）を CloudFront で簡単に使用できるようになりました。この新機能は、従来の21個ではなく3個の静的IPアドレスを提供することでDNS管理を簡素化し、CloudFrontディストリビューションでapexドメインの設定と管理を容易にします。
以前は、お客さまはドメインをCloudFrontに向けるためにCNAMEレコードを作成する必要がありました。しかし、DNSルールにより、ルートドメイン（apexドメイン）はCNAMEレコードを指すことができず、AレコードまたはRoute53のALIASレコードを使用する必要がありました。新しいAnycast Static IPのサポートにより、お客さまはapexドメインのAレコードを簡単に設定できるようになりました。
組織は既存のDNSインフラストラクチャーを維持しながら、CloudFrontのグローバルコンテンツデリバリーネットワークを使用して、低レイテンシーと高速データ転送でapexドメインを配信できます。Anycastルーティングは自動的にトラフィックを最適なエッジロケーションに誘導し、世界中のエンドユーザーに高パフォーマンスのコンテンツ配信を保証します。
CloudFrontは全てのCloudFrontエッジロケーションからAnycast Static IPをサポートしています。

セキュリティ、アイデンティティ、コンプライアンス

Amazon Verified Permissions がポリシーストアの削除保護をサポート
Amazon Verified Permissions のポリシーストアで削除保護を有効にできるようになりました。削除保護を設定したポリシーストアは、どのユーザーも削除できなくなります。これにより、本番環境のポリシーストアがデプロイ中に誤って削除されることを防ぎ、アプリケーションの回復性を確保できます。
AWS コンソールで作成された新しいポリシーストアでは、デフォルトで削除保護が有効になっています。AWS コンソール、AWS Command Line Interface、API を通じて、ポリシーストアの削除保護を有効化または無効化できます。削除保護を明示的に無効化しない限り、ポリシーストアの削除をリクエストすることはできません。
Amazon Verified Permissions は、開発するアプリケーション向けのスケーラブルな権限管理および細かい粒度の認可サービスです。オープンソースのポリシー言語である Cedar を使用して、開発者や管理者はロールや属性を使用したポリシーベースのアクセス制御を定義し、よりきめ細やかなコンテキスト対応のアクセス制御を実現できます。例えば、HR アプリケーションが Amazon Verified Permissions を呼び出して、Alice が HR マネージャーグループに所属している場合に Bob の業績評価へのアクセスが許可されているかどうかを判断することができます。

AWS Security Incident Response が AWS PrivateLink との統合をサポート
AWS Security Incident Response が AWS PrivateLink との統合を発表しました。これにより、お客さまは Amazon Virtual Private Cloud (VPC) から直接サービスメンバーシップを管理できるようになりました。
AWS PrivateLink との統合により、お客さまは AWS Security Incident Response API にアクセスする際、トラフィックをパブリックインターネットから分離できます。これにより、機密性の高いセキュリティイベントの管理と復旧時に、セキュリティの層が追加されます。
この統合は、AWS のお客さまに以下のメリットをもたらします：
1. 全てのトラフィックを AWS がサポートするプライベートネットワーク内に保持することで、インシデント対応プロセスのセキュリティ境界を改善します。
2. インターネットゲートウェイ、NAT デバイス、ファイアウォールルールの要件を排除し、ネットワークアーキテクチャーを簡素化します。
3. 機密性の高いセキュリティ対応と復旧にプライベート接続を義務付けるコンプライアンス要件を満たすのに役立ち、規制産業の組織が AWS Security Incident Response を採用し使用しやすくなります。

AWS STS グローバルエンドポイントがデフォルトで有効なリージョンでリクエストをローカルに処理するように
AWS Security Token Service (AWS STS) のグローバルエンドポイント（sts.amazonaws.com）へのリクエストが、デプロイされたワークロードと同じ AWS リージョンで自動的に処理されるようになり、耐障害性とパフォーマンスが向上しました。これまでは、STS グローバルエンドポイントへの全てのリクエストが米国東部（バージニア北部）リージョンで処理されていました。
この強化により、リクエストがワークロードと同じリージョンで処理されるため、アプリケーションのレイテンシーが改善され、障害の分離が向上します。例えば、米国西部（オレゴン）で実行されているアプリケーションが STS グローバルエンドポイントを呼び出す場合、リクエストは米国東部（バージニア北部）にルーティングされる代わりに、米国西部（オレゴン）でローカルに処理されるようになりました。
この更新は、デフォルトで有効になっている全ての AWS リージョンで利用可能です。お客さま側で対応は不要です。デフォルトで有効になっていないリージョン（オプトインリージョン）からの STS グローバルエンドポイントへのリクエストは、引き続き米国東部（バージニア北部）で処理されます。
可能な限り、適切な STS リージョナルエンドポイントを使用することを引き続き推奨します。

ストレージ

Amazon S3 Tables がカスタマーマネージドキーを使用した AWS KMS によるサーバー側暗号化をサポート
Amazon S3 Tables が AWS Key Management Service (SSE-KMS) を使用したサーバー側暗号化をカスタマーマネージドキーでサポートするようになりました。テーブルバケットに保存されたテーブルを独自の KMS キーで暗号化し、規制やガバナンス要件を満たすことができます。
デフォルトでは、S3 Tables は S3 マネージドキー (SSE-S3) を使用して全てのオブジェクトを暗号化します。カスタマーマネージドキーのサポートにより、テーブルバケット内の全ての新しいテーブルにデフォルトのカスタマーマネージドキーを設定したり、テーブルごとに専用のキーを設定したり、両方のアプローチを組み合わせたりすることができます。
SSE-KMS サポートにより、S3 Tables はコスト最適化のためにデフォルトで S3 Bucket Keys を使用し、カスタマーマネージドキーの使用を監査するための AWS CloudTrail ログを提供します。

今週のWeekly AWSは、以上です。最後までお読みいただき、ありがとうございました。

関連サービス