Weekly AWS アップデート情報 - 2025/6/23 ～AWS IAM が全てのアカウントタイプのルートユーザーに対して MFA を強制適用～

コンピューティング

P5 および P5en インスタンス向けの 1 年間の EC2 インスタンス Savings Plans が利用可能に
EC2 P5 および P5en インスタンス向けの 1 年間の EC2 インスタンス Savings Plans が、これらのインスタンスが利用可能な全てのリージョンで提供開始されました。
EC2 インスタンス Savings Plans は、1 年間または 3 年間の一定の使用量（$/時間単位）にコミットすることで、特定のリージョンにおける個々のインスタンスファミリーの使用に対して最低価格を提供する柔軟な価格モデルです。
今回のアップデートでは、EC2 P5 および P5en インスタンスに 1 年間のオプションが追加され、オンデマンド価格と比較して最大 40% の節約が可能になりました。これは既存の 3 年間のオプションを補完するものです。

Amazon EC2 C7gd インスタンスが大阪など追加リージョンで利用可能に
Amazon EC2 の C7gd インスタンスが、アジアパシフィック (大阪、ジャカルタ) および南米 (サンパウロ) リージョンで利用可能になりました。これらの特長は以下の通りです:
- 最大 3.8 TB の NVMe ベースの SSD ブロックレベルストレージを搭載
- Graviton3 ベースで DDR5 メモリを採用
- AWS Nitro System 上に構築
- 高速・低レイテンシーのローカルストレージが必要なアプリケーションに適合
- 同等の Graviton2 ベースインスタンスと比較して、リアルタイム NVMe ストレージのパフォーマンスが最大 45% 向上
- 同等のパフォーマンスの EC2 インスタンスと比較して、最大 60% 少ないエネルギー消費でクラウドでのカーボンフットプリントを削減可能

Amazon EC2 Auto Scaling の DescribeAutoScalingGroups API でインスタンス詳細のフィルターリングが可能に
Amazon EC2 Auto Scaling の DescribeAutoScalingGroups API に新しいパラメーターが追加され、インスタンスの詳細情報をフィルターリングできるようになりました。IncludeInstances を false に設定することで、インスタンスの詳細情報を含まずに Auto Scaling グループのメタデータと設定情報にすばやくアクセスできます。これにより、API レスポンスのサイズが削減され、応答時間が改善されます。
この新しいパラメーターは、全ての商用 AWS リージョンと AWS GovCloud (US) リージョンで利用可能です。

AWS Parallel Computing Service (PCS) がジョブ完了メタデータのログ記録機能を発表
AWS Parallel Computing Service (PCS) でジョブメタデータログのサポートが発表されました。主な特長は以下の通りです:
- PCS は Amazon CloudWatch Logs、Amazon S3、Amazon Data Firehose にジョブ完了ログを出力できるように設定可能
- ジョブログには以下のような詳細なメタデータが含まれる:
- ジョブ送信時刻、開始時刻、完了時刻
- ジョブを送信したユーザー
- ジョブを処理したキュー
- ジョブの実行に使用された Amazon EC2 インスタンス
これらのログを使用することで、以下のような分析が可能になります:
- 使用パターンの分析
- ジョブ失敗の特定とトラブルシューティング
- キュー内のジョブ待ち時間の追跡
- ユーザーレベルの使用状況リポートの生成
この機能は PCS が利用可能な全ての AWS リージョンで利用できます。AWS マネジメントコンソールを使用して、新しく作成された PCS クラスタでジョブ完了メタデータのログ記録を有効にできます。

AWS Lambda が Python および .NET 関数向けの SnapStart を 23 の追加リージョンでサポート
AWS Lambda SnapStart が Python および .NET 関数向けに 23 の追加 AWS リージョンで利用可能になりました。
Lambda SnapStart は、起動パフォーマンスを数秒から 1 秒未満に短縮するオプト イン機能です。リソースのプロビジョニングや複雑なパフォーマンス最適化を行わずに、高応答性でスケーラブルなアプリケーションを構築できます。
予測不可能なトラフィックバーストに対応する遅延に敏感なアプリケーションでは、コールドスタートによる高い起動レイテンシーがユーザー体験に遅延を引き起こす可能性があります。Lambda SnapStart は、関数のコードを事前に初期化し、初期化された実行環境のスナップショットを作成してキャッシュすることで、起動時間を改善します。
関数が呼び出され、その後スケールアップする際、Lambda SnapStart はキャッシュされたスナップショットから新しい実行環境を再開し、起動レイテンシーを大幅に改善します。
Lambda SnapStart は、同期 API、インタラクティブなマイクロサービス、データ処理、ML 推論などのアプリケーションに適しています。
Python 3.12 以降および .NET 8 以降で実行される新規または既存の Lambda 関数に対して、AWS Lambda API、AWS Management Console、AWS CLI、AWS CloudFormation、AWS SAM、AWS SDK、AWS CDK を使用して SnapStart をアクティブ化できます。

AWS Lambda が Avro および Protobuf 形式の Kafka イベントをネーティブサポート
AWS Lambda が Apache Kafka のイベントソースマッピング (ESM) で Avro と Protobuf 形式の Kafka イベントをネーティブにサポートし、スキーマ管理のために AWS Glue Schema Registry (GSR)、Confluent Cloud Schema Registry (CCSR)、自己管理型 Confluent Schema Registry (SCSR) と統合されました。
主な特長:
- スキーマの検証、イベントのフィルターリング、オープンソースの Kafka コンシューマーインターフェースを使用したイベント処理が可能
- Powertools for AWS Lambda を使用して、カスタムデシリアライゼーションコードを書かずに Kafka イベントを処理可能
この機能により:
- カスタムコードを書かずに Avro と Protobuf 形式のデータ処理が可能
- イベントフィルターリングによるコスト最適化
利用可能地域:
AWS Lambda Kafka ESM が利用可能な全ての AWS 商用リージョンで利用可能（イスラエル、マレーシア、カナダ西部を除く）
使用方法:
- 新規または既存の Kafka ESM にスキーマレジストリ設定を提供
- オプションでフィルターリングルールを設定
- Powertools for AWS Lambda を Lambda 関数の依存関係として追加

AWS Compute Optimizer が GPU インスタンスを使用するアイドル状態の EC2 Auto Scaling グループを検出可能に
AWS Compute Optimizer が、G および P インスタンスタイプを使用するアイドル状態の EC2 Auto Scaling グループを検出できるようになりました。これにより、AWS の支出においてさらなるコスト削減の機会を特定できます。
AI 開発の加速に伴い、組織はトレーニングと推論ワークロード用に G および P インスタンスタイプを使用した Auto Scaling グループをより多く作成しています。NVIDIA CloudWatch エージェントを有効にすると、Compute Optimizer は使用状況データを分析し、指定した過去の期間中にジョブを完了してアイドル状態のままだったグループを特定します。これにより、高コストなインスタンスタイプの無駄を特定し防止しやすくなります。
この新機能は、AWS GovCloud (US) と中国リージョンを除く、AWS Compute Optimizer が利用可能な全ての AWS リージョンで利用できます。新しいレコメンデーションは Cost Optimization Hub でも利用可能になります。

コンテナ

Amazon ECR の拡張スキャニングがイメージの使用状況を表示可能に
Amazon Elastic Container Registry (ECR) の拡張スキャニング機能が強化されました。Amazon Elastic Kubernetes Service (EKS) と Amazon Elastic Container Service (ECS) でのイメージの使用状況が表示されるようになりました。これには、最終使用日、イメージが使用されたクラスタ数、クラスタの ARN が含まれます。
この情報を活用することで、アクティブに使用されているイメージの脆弱性修正の優先順位付けが可能になります。
ECR 拡張スキャニングは Amazon Inspector と統合されており、コンテナイメージの脆弱性スキャンを提供します。OSとプログラミング言語パッケージの両方の脆弱性をスキャンします。
ECR または Inspector のコンソールと API を使用して、イメージの最終使用日、使用されたクラスタ数、クラスタの ARN を確認できます。イメージの使用状況が変更されると、ECR 拡張スキャニングは継続的に状況を更新し、新しい状況をスキャン結果の一部として表示します。
この機能は、拡張スキャニングを利用しているお客さまに追加コストなしで提供され、拡張スキャニングが利用可能な全ての AWS コマーシャルリージョンと AWS GovCloud (US) リージョンで一般提供されています。

データベース

Amazon RDS for Oracle が R7i および M7i インスタンス向けのリザーブドインスタンスを提供開始
Amazon RDS for Oracle が R7i および M7i インスタンス向けのリザーブドインスタンスを提供開始しました。これにより、オンデマンド価格と比較して最大46%のコスト削減が可能になります。
これらのインスタンスは、第4世代 Intel Xeon スケーラブルプロセッサーを搭載し、最大48xlargeサイズ（192 vCPUと1536 GiBの最新DDR5メモリ）まで提供します。
リザーブドインスタンスの利点はマルチAZと単一AZの両方の構成に適用されます。お客さまは同じデータベースインスタンスクラスタイプ内で自由に構成を変更できるため、変動する本番ワークロードに適しています。
また、Bring Your Own License (BYOL) ライセンスモデルでは、Oracleデータベースエンジンのサイズ柔軟性も提供されます。同じインスタンスファミリー内であれば、リザーブドインスタンスの割引料金が自動的に適用されます。
R7iとM7iインスタンスが利用可能な全てのAWSリージョンで、Amazon RDS Oracle向けのリザーブドインスタンスを購入できるようになりました。
AWS Management Console、AWS CLI、またはAWS SDKを通じてリザーブドインスタンスを購入できます。

Amazon RDS for MySQL が Innovation Release 9.3 を Amazon RDS データベースプレビュー環境でサポート
Amazon RDS for MySQL が Amazon RDS データベースプレビュー環境でコミュニティーの MySQL Innovation Release 9.3 をサポートするようになりました。これにより、Amazon RDS for MySQL で最新の Innovation Release を評価できます。
MySQL 9.3 は、フルマネージドデータベースの利点を提供する Amazon RDS データベースプレビュー環境にデプロイできます。これにより、データベースのセットアップ、運用、監視が簡素化されます。
MySQL 9.3 は MySQL コミュニティーからの最新の Innovation Release です。Innovation Release にはバグ修正、セキュリティパッチ、新機能が含まれています。Innovation Release は次のマイナーリリースまでコミュニティーによってサポートされます。一方、MySQL 8.0 や MySQL 8.4 などの Long Term Support (LTS) リリースは、最大 8 年間コミュニティーによってサポートされます。
Amazon RDS データベースプレビュー環境は、最新世代のインスタンスクラスで Single-AZ と Multi-AZ の両方のデプロイメントをサポートしています。プレビュー環境のデータベースインスタンスは最大 60 日間保持され、保持期間後に自動的に削除されます。プレビュー環境で作成された Amazon RDS データベーススナップショットは、プレビュー環境内でのみ使用できます。
プレビュー環境のデータベースインスタンスの価格は、米国東部 (オハイオ) リージョンで作成された本番用 RDS インスタンスと同じです。

人工知能

Amazon SageMaker のモデルトレーニングと処理が M7i、C7i、R7i インスタンスをサポート
Amazon SageMaker AI が、SageMaker モデルトレーニングと SageMaker 処理で M7i、C7i、R7i インスタンスタイプをサポートするようになりました。
SageMaker モデルトレーニングは、パフォーマンスとコストに最適化された完全マネージドインフラストラクチャーを使用して、機械学習モデルを大規模にトレーニングできます。SageMaker 処理は、完全マネージドインフラストラクチャー上でデータの前処理、後処理、モデル評価ワークロードを簡単に実行できます。
M7i、C7i、R7i インスタンスは、カスタムの第4世代 Intel Xeon スケーラブルプロセッサを搭載し、前世代（M6i、C6i、R6i）インスタンスと比較して最大15%優れた価格性能比を提供します。M6i、C6i、R6i インスタンスは第3世代 Intel Xeon スケーラブルプロセッサを搭載しています。
M7i、R7i、C7i インスタンスは、CPU ベースの計算集約型機械学習ワークロードに適しています。これらのインスタンスは、複数の AWS リージョンで Amazon SageMaker AI のトレーニングおよび処理ジョブを実行できるようになりました。

管理とガバナンス

AWS がリソースコントロールポリシー (RCP) のサポートを 2 つの追加サービスに拡大
AWS のリソースコントロールポリシー (RCP) のサポートが、Amazon Elastic Container Registry と Amazon OpenSearch Serverless の2つのサービスに拡張されました。この拡張により、組織内のより広範な AWS リソースにわたってデータ境界を一元的に確立する能力が向上します。
RCP は、全ての AWS 商用リージョンと AWS GovCloud (US) リージョンで利用可能です。

AWS License Manager が AWS Marketplace 製品のライセンスタイプ変換をサポート
AWS License Manager が AWS Marketplace 製品のライセンスタイプ変換をサポートするようになりました。初期段階では Red Hat Enterprise Linux (RHEL) および RHEL for SAP 製品が対象です。
Amazon EC2 のお客さまは、インスタンスの再デプロイなしに、AWS 提供と Red Hat 提供のサブスクリプションオプションを切り替えることができます。
この機能により、お客さまは異なるサブスクリションモデル間をシームレスに移行でき、ライセンス戦略を最適化できます。ライセンスの切り替え時にインスタンスを再デプロイする必要がなくなり、ダウンタイムと IT 運用のオーバーヘッドが削減されます。
お客さまはベンダーと直接カスタム価格を交渉し、AWS Marketplace のプライベートオファーを通じて取引できます。この柔軟性により、AWS Marketplace でのベンダー支出を統合し、サポートのためのベンダーとの関係を維持できます。
この機能は、AWS Marketplace が利用可能な全ての AWS コマーシャルリージョンと AWS GovCloud (US) リージョンで利用できます。
お客さまは AWS License Manager コンソール、AWS CLI、または License Manager Linux サブスクリプション API を通じて Linux サブスクリプションの検出を設定し、ライセンスタイプの変換を作成できます。

メディアサービス

Amazon IVS リアルタイムストリーミングが E-RTMP マルチトラックビデオ取り込みをサポート
Amazon Interactive Video Service (Amazon IVS) で、E-RTMP (Enhanced Real-Time Messaging Protocol) マルチトラックビデオを使用して、複数の品質のビデオをステージに送信できるようになりました。この機能により、アダプティブビットレートストリーミングが可能になり、視聴者はネットワーク接続に最適な品質で視聴できます。マルチトラックビデオは OBS Studio でサポートされており、IVS ブロードキャスト SDK の既存のシムルキャスト機能を補完します。リアルタイムストリーミングでマルチトラックビデオを使用する際の追加コストはありません。
Amazon IVS は、世界中の視聴者に低遅延またはリアルタイムのビデオを提供するために設計された、マネージド型ライブストリーミングソリューションです。

ネットワーキングとコンテンツ配信

Amazon CloudFront が スマートなデフォルト設定と自動化により CDN セットアップを簡素化
Amazon CloudFront が新しいコンソールエクスペリエンスを導入し、インターネット上のユーザーに安全で高性能なアプリケーションを簡単に提供できるようになりました。
主な特長：
1. CDN設定、ドメイン管理、セキュリティのベストプラクティスに関する深い専門知識が不要になりました。
2. コンテンツ配信とセキュリティに統一されたアプローチを提供し、プロセス全体を合理化しています。
3. Amazon Route 53でのDNSレコードとAWS Certificate Manager (ACM) でのTLS証明書を自動的にプロビジョニングおよび管理します。
4. CDNの専門知識レベルに関係なく、30秒程度で安全で最適化された配信を作成できます。
5. オリジンタイプに基づいて最適化された設定を自動的に適用します。例えば、Amazon S3からの静的Webサイト配信時には：
- Origin Access Controlを自動設定してバケットへの直接アクセスを防止
- パフォーマンス向上のためにキャッシュ設定を最適化
- 推奨されるセキュリティ設定を有効化
6. AWSのグローバルエッジネットワークの活用、エンドユーザーの待ち時間削減、アプリケーションのセキュリティ体制強化が容易になります。
7. 新しいエクスペリエンスは追加コストなしでグローバルに利用可能です。

セキュリティ、アイデンティティ、コンプライアンス

IAM Access Analyzer が AWS 組織内のリソースアクセス権限を持つユーザーを特定可能に
IAM Access Analyzer の機能が拡張され、AWS 組織内で Amazon S3、Amazon DynamoDB、Amazon RDS リソースにアクセスできるユーザーを特定できるようになりました。
主な特長:
1. 自動推論を使用して、各種ポリシーを評価し、重要リソースへのアクセス権を持つ IAM ユーザーとロールを特定
2. IAM コンソールで有効化後、選択したリソースを毎日監視し、結果を統合ダッシュボードに表示
3. 内部および外部アクセスの結果を組み合わせ、重要リソースへのアクセス権限を包括的に可視化
4. セキュリティチームは、意図しないアクセスを即座に修正したり、Amazon EventBridge を通じて開発チームに自動通知を設定可能
5. セキュリティチームがアクセス制御を強化し、コンプライアンスチームが監査要件を満たすのに役立つ
この機能は、全ての AWS 商用リージョンで利用可能です。

Express.js 開発者が Amazon Verified Permissions で数分で認可を追加可能に
AWS が @verifiedpermissions/authorization-clients-js というオープンソースパッケージをリリースしました。このパッケージにより、開発者は Express.js Web アプリケーション API に数分で認可を実装できます。
主な特長:
- 従来のアプローチと比較して、カスタム認可コードを大幅に削減
- Express.js アプリケーションの開発者は、認可ロジックをコード外で管理される Cedar ポリシーに移行可能
- アプリケーションのセキュリティ向上と開発の簡素化を実現
使用例:
ペットストアアプリケーションで、ユーザーロールに基づいて API アクセスを制限できます。管理者にはフルアクセスを許可し、お客さまは閲覧のみに制限するなど、アプリケーションコードに複雑な認可ロジックを埋め込むことなく実現できます。
Amazon Verified Permissions との統合:
1. Express.js アプリケーション用の Cedar スキーマを生成
2. アクセスルールを定義する認可ポリシーを作成
3. Express アプリケーションにミドルウェアコンポーネントを追加
@verifiedpermissions/authorization-clients-js パッケージは GitHub で Apache 2.0 ライセンスで公開され、NPM を通じて配布されています。この統合は、Amazon Verified Permissions がサポートされている全ての AWS リージョンで利用可能で、標準の Verified Permissions 料金以外の追加料金はかかりません。

Amazon Inspector がコードセキュリティ機能を導入し、開発段階でのセキュリティ強化を実現
Amazon Web Services (AWS) が Amazon Inspector のコードセキュリティ機能の一般提供を発表しました。この新機能は、アプリケーションがプロダクション環境に到達する前にセキュリティを確保するのに役立ちます。
主な特長:
1. GitHub と GitLab にネーティブ統合
2. アプリケーションのソースコード、依存関係、Infrastructure as Code (IaC) 全体のセキュリティ脆弱性と設定ミスを迅速に特定・優先順位付け
3. リポジトリでのコード変更、CI/CD パイプライン内、またはスケジュールされたスキャンでソースコードを評価
4. Amazon Inspector コンソールで組織全体の集計ビューを表示
5. ソースコード管理プラットフォーム内で開発者にフィードバックを提供
この拡張機能は、Amazon EC2 インスタンス、Elastic Container Registry (ECR) のコンテナイメージ、AWS Lambda 関数のスキャンなど、既存の Amazon Inspector 機能に基づいています。
Amazon Inspector は以下の3つの主要な機能を提供します:
1. Static Application Security Testing (SAST): アプリケーションソースコードの分析
2. Software Composition Analysis (SCA): サードパーティーの依存関係の評価
3. Infrastructure as Code (IaC) スキャン: インフラストラクチャー定義の検証
Amazon Inspector のコードスキャンは、米国東部（バージニア北部）、米国西部（オレゴン）、米国東部（オハイオ）、アジアパシフィック（シドニー）、アジアパシフィック（東京）、ヨーロッパ（フランクフルト）、ヨーロッパ（アイルランド）、ヨーロッパ（ロンドン）、ヨーロッパ（ストックホルム）、アジアパシフィック（シンガポール）を含む10のリージョンで利用可能です。

Amazon GuardDuty Extended Threat Detection が Amazon EKS をサポート
Amazon GuardDuty Extended Threat Detection の機能が強化されました。
主な特長:
1. Amazon EKS クラスタを標的とする多段階攻撃の検出が可能に
2. EKS 監査ログ、プロセスのランタイム動作、マルウェア実行、AWS API アクティビティなど、複数のセキュリティシグナルを相関分析
3. 長期間にわたる複数のリソースとデータソースをカバーする新しい攻撃シーケンス検出
4. AI と機械学習アルゴリズムを使用して、重大な脅威を自動的に検出
5. 特権コンテナの異常なデプロイ、永続化の試み、暗号マイニング、リバースシェルの作成などを単一の重大度の高い検出結果として識別
6. 各検出結果には、インシデントの概要、詳細なイベントタイムライン、MITRE ATT&CK® タクティクスとテクニックへのマッピング、修復の推奨事項が含まれる
7. GuardDuty を利用可能な全てのリージョンで、追加コストなしで自動的に有効化
8. EKS クラスタに関連する攻撃シーケンスを検出するには、GuardDuty EKS Protection を有効にする必要がある
9. より包括的なセキュリティカバレッジのために、GuardDuty Runtime Monitoring for EKS の有効化を推奨
10. GuardDuty コンソール、AWS Security Hub、Amazon EventBridge との統合を通じて検出結果に基づいたアクションが可能

AWS WAF が Web アプリケーションのセキュリティ設定を簡素化し、エキスパートレベルの保護を提供
AWS WAF の簡素化されたコンソールエクスペリエンスが一般提供開始されました。主な特長は以下の通りです:
1. Web アプリケーションのセキュリティ設定手順を最大 80% 削減
2. エキスパートレベルの保護を提供し、アプリケーションセキュリティの最適化を支援
3. 事前設定された保護パックにより、数分で包括的な保護を実装可能
4. 一般的な Web 脆弱性、悪意のあるボットトラフィック、アプリケーション層 DDoS イベント、API 固有の脅威に対する広範なセキュリティカバレッジを提供
5. アプリケーションタイプに基づいて最適化された専門家による保護ルールを自動適用
6. 統合ダッシュボードでセキュリティメトリクス、脅威検出、ルールパフォーマンスデータを提供
7. 直感的な単一ページインターフェースで主要なセキュリティコントロールをカスタマイズ可能
8. 全ての AWS リージョン（AWS GovCloud (US) リージョンと中国リージョンを含む）で利用可能

AWS Security Hub がリスクの優先順位付けと大規模な対応を可能に（プレビュー）
AWS Security Hub が強化され、重要なセキュリティ問題の優先順位付けと大規模な対応が可能になりました。主な特長は以下の通りです：
- 脅威検出や脆弱性管理からのセキュリティシグナルを相関付けて重要な問題を検出
- クラウド環境のアクティブなリスクを迅速に特定し優先順位付け
- 複数のセキュリティツールからの情報を手動で統合する複雑さを軽減
- 直感的な可視化と文脈に応じた分析により、相関付けられたセキュリティシグナルを実用的な洞察に変換
- 重要なパターンやトレンドの特定、セキュリティ運用の一元化をサポート
- 公開されたリソースの脆弱性や機密データへのアクセスなどのシナリオを検出・相関付け
- エクスポージャーの発見、セキュリティ重視の資産インベントリ、攻撃パスの可視化、チケットシステム統合による自動応答ワークフローなどの機能を強化
- 一元管理により、大規模な修復を効率化し、潜在的な運用中断を最小限に抑制
Security Hub は既存の AWS セキュリティ機能と統合され、追加の運用オーバーヘッドなしで包括的なセキュリティ体制を提供します。個別のアカウントまたは AWS Organization 全体で有効化でき、一元的な展開と管理が可能です。

AWS Payment Cryptography が大阪などのアジアパシフィックで利用可能に
AWS Payment Cryptography がアジアパシフィック地域で拡大し、アジアパシフィック (ムンバイ) とアジアパシフィック (大阪) の2つの新しいリージョンで利用可能になりました。この拡大により、レイテンシーに敏感な決済アプリケーションを持つお客さまは、クロスリージョンサポートに依存せずに、追加のAWSリージョンで構築、デプロイ、または移行できるようになりました。アジアパシフィック (東京) で決済ワークロードを処理しているお客さまにとって、新しい大阪リージョンはマルチリージョンの高可用性のための追加オプションを提供します。
AWS Payment Cryptography は、クラウドホスト型決済アプリケーション向けの決済固有の暗号化操作と鍵管理を簡素化する完全マネージドサービスです。このサービスはビジネスニーズに応じて弾力的にスケールし、PCI PINセキュリティ要件に準拠していると評価されており、専用の決済HSMインスタンスを維持する必要がありません。
アクワイヤラー、決済ファシリテーター、ネットワーク、スイッチ、プロセッサー、銀行を含む決済機能を実行する組織は、専用の決済HSMを持つ補助データセンターやコロケーション施設への依存を減らしながら、決済暗号化操作をクラウドアプリケーションにより近い位置に配置できるようになりました。
AWS Payment Cryptography は、米国東部 (オハイオ、バージニア北部)、米国西部 (オレゴン)、ヨーロッパ (アイルランド、フランクフルト)、アジアパシフィック (シンガポール、東京、大阪、ムンバイ) のAWSリージョンで利用可能です。

AWS Network Firewall がアクティブ脅威防御機能をサポート
AWS Network Firewall に、アクティブ脅威防御という新しいセキュリティ機能が追加されました。この機能は、Amazon の脅威インテリジェンスを使用して、AWS のグローバルインフラストラクチャー全体で観測された脅威活動から Amazon Virtual Private Cloud (VPC) ワークロードを保護します。
アクティブ脅威防御を備えた AWS Network Firewall は、AWS インフラストラクチャー全体で観測された動的かつ継続的な脅威活動に対して、自動化されたインテリジェンス駆動の保護を提供します。有効にすると、ファイアウォールポリシーのマネージドルールグループを設定して、コマンド＆コントロール（C2）通信、埋め込まれた URL、悪意のあるドメインなどの不審なトラフィックを自動的にブロックできます。
この機能は、現在の脅威活動に基づいてルールを継続的に更新することで保護を提供します。AWS Network Firewall は、アクティブ脅威防御ルールグループの可視性を向上させ、保護対象のインジケーターグループ、タイプ、脅威名を確認できるようになりました。
Amazon GuardDuty のお客さまの場合、関連する脅威インテリジェンスの検出結果に「Amazon Active Threat Defense」という脅威リスト名が付けられます。これらのアクティブな脅威は、AWS Network Firewall のアクティブ脅威防御マネージドルールグループを使用して自動的にブロックできます。
この機能は、AWS GovCloud（US）リージョンと中国リージョンを含む、AWS Network Firewall が現在利用可能な全ての AWS リージョンでサポートされています。

AWS Certificate Manager がどこでも使える公開証明書を導入
AWS Certificate Manager (ACM) が、AWS 内外を問わず公開 TLS 証明書を必要とするあらゆるワークロードで使用できる、エクスポート可能な公開証明書を発表しました。
主な特長:
- エクスポート可能な公開証明書の発行
- 証明書の秘密鍵にアクセス可能
- EC2 インスタンス、コンテナ、オンプレミスホストなどで TLS トラフィックを安全に終端可能
- AWS、ハイブリッド、マルチクラウドワークロードで使用可能
- 証明書リクエスト時に、統合サービス以外での使用のためにエクスポート可能とマーク可能
- ドメイン検証完了後、数秒で証明書を取得可能
詳細:
- 有効期間は 395 日
- 料金: FQDN 当たり $15、ワイルドカード名当たり $149
- 一括発行契約は不要で、証明書の有効期間中に 1 回のみ支払い
- ACM の証明書ライフサイクル CloudWatch イベントを通じて監視と自動化が可能
- IAM ポリシーを使用して、エクスポート可能な公開証明書をリクエストできるロールとユーザーを承認可能
- ACM が利用可能な全てのリージョン（AWS GovCloud (US) と中国リージョンを含む）で利用可能

ストレージ

Amazon S3 が AWS Organizations 内のアカウントに対する HTTP 403 アクセス拒否エラーメッセージに追加コンテキストを提供
Amazon S3 が、同じ AWS Organization 内のアカウントのリソースに対するリクエストの HTTP 403 アクセス拒否エラーに、追加のコンテキストを含むようになりました。このコンテキストには以下が含まれます：
- アクセスを拒否したポリシーの種類
- 拒否の理由
- リソースへのアクセスを要求した AWS Identity and Access Management (IAM) ユーザーまたはロールに関する情報
この追加情報により、以下が可能になります：
- アクセスの問題のトラブルシューティング
- アクセス拒否エラーの根本原因の特定
- 関連するポリシーを更新して不適切なアクセス制御の修正
この追加コンテキストは AWS CloudTrail ログでも利用可能です。
拡張されたアクセス拒否エラーメッセージは、今後数週間で全ての AWS リージョンで展開される予定です。

Amazon S3 Express One Zone が単一の API 呼び出しでオブジェクトのアトミックな名前変更をサポート
Amazon S3 Express One Zone に新しい RenameObject API が追加され、オブジェクトの名前変更がサポートされるようになりました。S3 で初めて、データ移動なしで単一の操作によりアトミックにオブジェクトの名前を変更できます。
RenameObject API により、S3 ディレクトリーバケットでのデータ管理が簡素化され、複数のステップを要する名前変更操作が1回の API 呼び出しで実行できるようになりました。同じ S3 ディレクトリーバケット内で、既存のオブジェクト名をソースとし、新しいオブジェクト名を宛先として指定することで、オブジェクトの名前を変更できます。
データ移動を伴わないため、ログファイル管理、メディア処理、データ分析などのアプリケーションが高速化され、コストも削減されます。例えば、1テラバイトのログファイルの名前変更が数時間ではなく数ミリ秒で完了するようになり、アプリケーションの大幅な高速化とコスト削減が実現します。
RenameObject API は、S3 Express One Zone ストレージクラスが利用可能な全ての AWS リージョンで使用できます。この新機能は、AWS SDK、AWS CLI、AWS マネジメントコンソール、Amazon S3 API、または Mountpoint for Amazon S3（バージョン1.19.0以上）を使用して利用できます。

AWS Backup が論理エアギャップボールトのマルチパーティー承認をサポート
AWS Backup が AWS Organizations の論理的にエアギャップされたボールトに対するマルチパーティー承認をサポートし、データ復旧を強化しました。
この新機能により、お客さまは論理的にエアギャップされたボールトで承認済みアカウントのバックアップへのアクセスを許可できます。これは、所有アカウントが意図しない、または悪意のあるイベントでアクセス不能になった場合でも有効です。
マルチパーティー承認は、AWS リソースに対する重要な操作を実行する前に、複数の承認者による承認を必要とする新しいガバナンス機能です。この分散型の意思決定プロセスにより、単一の人物が一方的に変更を行うことを防ぎ、セキュリティが強化されます。
この機能は AWS Backup と統合され、新規および既存の論理的にエアギャップされたボールトに承認チームを作成・関連付けることで、復旧保護を強化できます。
論理的にエアギャップされたボールトと併用することで、お客さまはクリーンな復旧アカウントをプロビジョニングし、承認チームを通じてバックアップ共有を許可できます。チームメンバーは AWS IAM Identity Center 対応の承認ポータルで共有リクエストを管理し、侵害された AWS アカウントからバックアップにアクセスする AWS ネーティブの安全な方法を提供します。
マルチパーティー承認チームと AWS Backup の論理的にエアギャップされたボールトの統合と使用に追加コストはかかりません。
この機能は、論理的にエアギャップされたボールトがサポートされている全てのリージョンで利用可能です。

その他

Valkey が Go、OpenTelemetry、パイプラインバッチ処理をサポートする GLIDE 2.0 を発表
AWS、Google、Valkeyコミュニティーの協力により、オープンソースのValkeyクライアントライブラリの1つであるGLIDE (General Language Independent Driver for the Enterprise) 2.0の一般提供が発表されました。
主な特長:
1. Valkeyは、Linux Foundationが管理する最もオープンなRedisの代替ソリューションです。
2. GLIDE 2.0は、開発者サポートの拡大、可観測性の向上、高スループットワークロードのパフォーマンス最適化を実現します。
3. マルチ言語サポートがGoに拡張され、Java、Python、Node.jsと合わせて4言語で一貫したAPI体験を提供します。
4. OpenTelemetryをサポートし、テレメトリデータとクライアント側のパフォーマンス情報の生成、収集、エクスポートが可能になりました。
5. バッチ処理機能が導入され、複数のコマンドを1つの操作としてグループ化して実行できるようになりました。
6. Valkey 7.2、8.0、8.1およびRedis OSS 6.2、7.0、7.2と互換性があります。
GLIDE 2.0は、GitHubのValkeyリポジトリで利用可能です。

今週のWeekly AWSは、以上です。

最後までお読みいただき、ありがとうございました。

関連サービス