Weekly AWS アップデート情報 - 2025/11/10～Amazon Bedrock AgentCore Runtime がコードの直接デプロイをサポート～

分析

Amazon Kinesis Data StreamsがOn-demand Advantageモードを開始
Amazon Kinesis Data Streams は On-demand Advantage を開始しました。これにより、お客さまはオンデマンドストリームをウォームアップして、最大 10GB/秒または 1,000 万イベント/秒の急なスループット増加に対応でき、過剰なプロビジョニングやカスタムスケーリングソリューションの構築が不要になります。Amazon Kinesis Data Streams は、あらゆる規模のデータストリームを簡単にキャプチャー、処理、保存できるサーバーレスのストリーミングデータサービスです。オンデマンドストリームはデータ使用量に基づいてキャパシティを自動的にスケールし、書き込みキャパシティをアドホックにウォームアップできるようになりました。
On-demand Advantage は、ストリームごとの固定料金をなくした、よりシンプルな料金体系も提供するため、お客さまはデータ使用量に対してのみ、より有利なレートで支払うことになります。On-demand Advantage は、On-demand Standard と比較してデータ使用料金が 60% 低く設定されており、US East (N. Virginia) リージョンでは、データ取り込みが $0.032/GB、データ取得が $0.016/GB です。Enhanced fan-out のデータ取得価格は、共有スループットでの取得価格と同じになり、ファンアウトの多いユースケースでのコスト効率が向上します。このモードでは、拡張データ保持期間の料金も 77% 削減され、$0.10/GB-月から $0.023/GB-月になります。
On-demand Advantage モードを有効にすると、アカウントは全てのオンデマンドストリームにわたって、最低 25MB/s のデータ取り込みと 25MB/s のデータ取得に対して、より低いレートで課金されます。この新しい料金体系により、合計で 10MB/s 以上のデータを取り込む場合、2 つ以上のコンシューマーアプリケーションにファンアウトする場合、またはリージョン内に数百のストリームがある場合に、On-demand Advantage が Kinesis Data Streams を使用する最もコスト効率の良い方法となります。
On-demand Advantage は、AWS GovCloud (US) および中国リージョンを含む、Kinesis Data Streams が利用可能な全ての AWS リージョンで利用できます。

AWS Glue Schema Registry が C# をサポート
AWS Glue Schema Registry (GSR) は、GSR Client ライブラリでサポートされるプログラミング言語を拡張し、既存の Java サポートに加えて C# サポートを追加しました。これにより、Apache Kafka、Amazon Managed Streaming for Apache Kafka (Amazon MSK)、Amazon Kinesis Data Streams、Apache Flink、Amazon Managed Service for Apache Flink と統合する C# アプリケーションは、AWS Glue Schema Registry と連携して、ストリーミングデータアプリケーションのデータ品質とスキーマの互換性を維持できるようになりました。
AWS Glue Schema Registry は AWS Glue のサーバーレスな特長であり、追加料金なしで利用できます。登録されたスキーマを使用してストリーミングデータの進化を検証・制御し、データエコシステム全体でスキーマ定義を一元的に管理・適用することで、データ品質基準を維持し、スキーマを管理された方法で進化させることができます。
C# サポートは、Glue Schema Registry が利用可能な全ての AWS リージョンで利用できます。

ビジネスアプリケーション

Amazon Connect がメールアドレスのエイリアス設定をサポート
Amazon Connect でメールアドレスのエイリアスを設定できるようになりました。これにより、お客さまはメッセージの送受信時に信頼できるIDを確認でき、一貫したブランド体験の維持とメール管理の簡素化に役立ちます。例えば、`support@company.com` のようなお客さま向けのEメールアドレスを Amazon Connect のアドレスに転送する場合、エイリアスを設定することで、お客さまには引き続き `support@company.com` が送信者として表示されます。
Amazon Connect Email は、米国東部 (バージニア北部)、米国西部 (オレゴン)、アフリカ (ケープタウン)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、カナダ (中部)、欧州 (フランクフルト)、欧州 (ロンドン) の各リージョンで利用できます。

AWS End User Messaging SMS がキャリア検索を開始
AWS End User Messaging のお客さまは、国、番号種別、ダイヤルコード、モバイルネットワークおよびキャリアコードを含む、電話番号に関連するキャリア情報を検索できるようになりました。キャリア検索を利用すると、メッセージを送信する前に電話番号に関する重要な情報を確認できるため、配信性が向上し、間違った宛先や不正な電話番号への送信を回避できます。
AWS End User Messaging は、開発者にスケーラブルで費用対効果の高いメッセージングインフラを提供します。開発者はメッセージングを統合して、サインアップ時のワンタイムパスコード (OTP)、アカウントの更新、予約のリマインダー、配送通知、プロモーションなどのユースケースをサポートできます。
キャリア検索のサポートは、End User Messaging が利用可能な全ての AWS リージョンで提供されます。

コンピューティング

EC2 Auto Scaling が、混合インスタンスポリシーを持つ Auto Scaling グループでウォームプールをサポート
混合インスタンスポリシーを持つ Auto Scaling グループ (ASG) にウォームプールを追加できるようになりました。ウォームプールを使用すると、事前に初期化された EC2 インスタンスのプールを作成してアプリケーションの伸縮性を向上させ、アプリケーショントラフィックを迅速に処理できます。ウォームプールは、ディスクへの大量のデータ書き込みや複雑なカスタムスクリプトの実行など、トラフィックを処理するまでに数分以上かかる初期化プロセスが長いアプリケーションに特に有効です。
今回のリリースにより、ウォームプール機能は、手動のインスタンスタイプリストまたは属性ベースのインスタンスタイプ選択によって指定された、複数のオンデマンドインスタンスタイプ用に設定された ASG とシームレスに連携します。インスタンスタイプの柔軟性とウォームプールの組み合わせは、お客さまが可用性を最大化しながら効率的にスケールアウトするのに役立つ強力なソリューションを提供します。
ウォームプール機能は、AWS マネジメントコンソール、AWS SDK、AWS Command Line Interface (CLI) を通じて利用できます。この機能は、全てのパブリック AWS リージョンおよび AWS GovCloud (US) リージョンで利用可能です。

コンテナ

Amazon ECS が、マネージドEBSボリュームにおける非 root コンテナをサポート
Amazon Elastic Container Service (ECS) は、非 root ユーザーとして実行されるコンテナへの Amazon Elastic Block Store (EBS) ボリュームのマウントをサポートするようになりました。ECS は EBS ボリュームのファイルシステム権限を自動的に設定し、ボリュームの root レベルの所有権を維持しながら、非 root ユーザーが安全にデータを読み書きできるようにします。
この機能強化により、手動での権限管理やカスタムエントリースクリプトが不要になり、セキュリティを優先したコンテナのデプロイが簡素化されます。タスクを非 root ユーザーとして実行できるため、コンテナのセキュリティが向上し、権限昇格やデータへの不正アクセスのリスクが軽減されます。従来、マウントされた Amazon EBS ボリュームに書き込むには、コンテナを root ユーザーとして実行する必要がありました。
この機能は、Amazon ECS と Amazon EBS がサポートされている全ての AWS リージョンで、EC2、AWS Fargate、および ECS Managed Instances の起動タイプで利用できます。

データベース

Amazon RDS for Oracle が、最大64:1のメモリ対vCPU比を提供するR7iメモリ最適化インスタンスをサポート
Amazon Relational Database Service (RDS) for Oracle で、vCPU当たりのメモリとストレージ I/O を追加で提供する、メモリ最適化済みの R7i 事前設定済みインスタンスが利用可能になりました。このインスタンスは、カスタムの第 4 世代 Intel Xeon スケーラブルプロセッサ、AWS Nitro System、高性能な DDR5 メモリを搭載し、最大 64:1 のメモリ対 vCPU 比を提供します。
多くの Oracle データベースワークロードは大量のメモリを必要としますが、アプリケーションのパフォーマンスに影響を与えることなく vCPU の数を安全に削減できます。このようなワークロードを R7i 事前設定済みインスタンスで実行することで、お客さまは高性能なアプリケーション要件を満たしながら、Oracle データベースのライセンスおよびサポートコストを削減できます。
メモリ最適化済みの R7i 事前設定済みインスタンスは、Bring Your Own License (BYOL) ライセンスモデルで利用でき、Oracle Database Enterprise Edition と Oracle Database Standard Edition 2 の両方をサポートします。

AWS Advanced .NET Data Provider Driver が一般提供を開始
Amazon Web Services (AWS) Advanced .NET Data Provider Driver が、Amazon RDS および Amazon Aurora PostgreSQL/MySQL 互換データベース向けに一般提供を開始しました。このドライバーは、RDS Blue/Green の切り替え時間とデータベースのフェイルオーバー時間を短縮し、アプリケーションの可用性を向上させます。また、フェデレーション認証、AWS Secrets Manager 認証、AWS Identity and Access Management (IAM) によるトークンベース認証など、データベース用の複数の認証メカニズムをサポートしています。
このドライバーは、Npgsql PostgreSQL、ネーティブの MySql.Data、MySqlConnector ドライバーを基盤として構築されており、標準的なデータベース接続を超える機能を強化します。Aurora および RDS データベースとネーティブに統合されているため、データベースクラスターの状態を監視し、データベースのフェイルオーバーを引き起こす予期せぬ障害時に、新しく昇格したライターに迅速に接続できます。さらに、NHibernate のような一般的なフレームワークとシームレスに連携し、MySQL データベースで Entity Framework (EF) をサポートします。
このドライバーは、Apache 2.0 ライセンスの下でオープンソースプロジェクトとして利用可能です。

IoT

AWS IoT Greengrass v2.16 がシステムログフォワーダーと TPM2.0 機能を導入
AWS IoT Greengrass v2.16 がリリースされ、nucleus と nucleus lite の新しいコアコンポーネントが導入されました。AWS IoT Greengrass は、お客さまがエッジでデバイスソフトウェアを構築、デプロイ、管理するのに役立つ、モノのインターネット (IoT) のエッジランタイムおよびクラウドサービスです。
最新のバージョン 2.16 リリースには、システムログフォワーダーコンポーネントによるデバッグ機能の強化が含まれています。このコンポーネントはシステムログファイルを AWS Cloud Watch にアップロードするため、開発者は IoT エッジアプリケーションのトラブルシュートが容易になります。
また、AWS IoT Greengrass v2.16 リリースは、TPM2.0 仕様をサポートする新しい nucleus lite バージョン (v2.3) も特長としています。これにより、開発者はハードウェアベースの信頼の基点モジュールを使用して、リソースに制約のあるデバイスのエッジデバイスセキュリティを管理できます。この実装は、シークレットの安全なストレージと合理化されたデバイス認証を提供し、開発者が自信を持って IoT デプロイを拡張するのに役立ちます。
AWS IoT Greengrass v2.16 は、AWS IoT Greengrass が提供されている全ての AWS リージョンで利用できます。

人工知能

Amazon SageMaker がプロジェクトリソース用のカスタムタグを導入
Amazon SageMaker Unified Studio の新機能により、SageMaker プロジェクトで作成されたリソースにカスタムタグを追加できるようになりました。これにより、お客さまは Service Control Policies (SCP) に準拠したタグ付け標準を適用し、組織全体で作成されたリソースのコスト追跡リポート作成を有効にできます。
Amazon SageMaker Unified Studio の管理者は、プロジェクトプロファイルにタグ設定を構成でき、その設定はそのプロジェクトプロファイルを使用する全てのプロジェクトに適用されます。プロジェクトプロファイルは、キーと値のタグペアを渡すか、プロジェクト作成時に変更可能なデフォルト値を持つタグのキーを渡すように設定できます。プロジェクトに渡された全てのタグ値により、そのプロジェクトによって作成されたリソースにタグが付けられます。これにより、管理者はプロジェクトリソースに期待されるタグが付与されることを強制するガバナンスメカニズムを利用できます。
プロジェクトリソース用カスタムタグのこの最初のリリースは、アプリケーションプログラミングインターフェース (API) を通じてのみサポートされます。
プロジェクトリソース用のカスタムタグ機能は、Amazon SageMaker Unified Studio がサポートされている、アジアパシフィック (東京)、欧州 (アイルランド)、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、欧州 (フランクフルト)、南米 (サンパウロ)、アジアパシフィック (ソウル)、欧州 (ロンドン)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、カナダ (中部)、アジアパシフィック (ムンバイ)、欧州 (パリ)、欧州 (ストックホルム) を含む全ての AWS リージョンで利用可能です。

管理とガバナンス

Amazon CloudWatch Database Insights がオンデマンド分析での異常検出を拡張
Amazon CloudWatch Database Insights は、オンデマンド分析機能を通じて追加のメトリクスで異常を検出できるようになりました。Database Insights は、データベースのメトリクス、クエリパフォーマンス、リソース使用率パターンを包括的に可視化することで、データベース管理者やアプリケーション開発者がデータベースのパフォーマンスを最適化するのに役立つモニターリングおよび診断ソリューションです。
オンデマンド分析機能は、機械学習を利用して選択した期間中の異常やパフォーマンスのボトルネックを特定します。これまではデータベースの負荷に基づいてパフォーマンスを分析していましたが、オンデマンド分析リポートでは、データベースインスタンスのデータベースレベルおよびOSレベルのカウンターメトリクスや、データベース負荷に寄与している上位SQLステートメントごとのSQLメトリクスにおける異常も特定します。
この機能は、選択した期間を通常のベースラインパフォーマンスと自動的に比較して異常を特定し、診断までの平均時間を短縮しながら具体的な修正アドバイスを提供します。直感的な視覚化と明確な説明により、パフォーマンスの問題を迅速に特定し、解決のためのステップバイステップのガイダンスを受け取ることができます。
AWS マネジメントコンソール 、 AWS APIs 、または AWS CloudFormation を使用して、 Amazon Aurora または RDS データベースで CloudWatch Database Insights のアドバンストモードを有効にすることで、オンデマンド分析を開始できます。

Amazon CloudWatch Application Signals が AI を活用した Synthetics のデバッグ機能を追加
Amazon CloudWatch Application Signals Model Context Protocol (MCP) Server for Application Performance Monitoring (APM) は、CloudWatch Synthetics canary monitoring を監査フレームワークに直接統合し、合成モニターリングの障害に対する自動化されたAI駆動のデバッグが可能になりました。
DevOps チームや開発者は、Amazon Q や Claude などの互換性のある AI アシスタントに「なぜチェックアウト canary が失敗しているのか？」といった自然言語で質問することで、canary のインフラストラクチャーの問題と実際のサービスの問題を迅速に区別できます。
この統合により、Application Signals の既存のマルチシグナル (サービス、オペレーション、SLO、ゴールデンシグナル) 分析機能が拡張され、包括的な canary 診断が含まれるようになります。新機能は、インテリジェントな監査パイプラインを通じて、canary の障害をサービスのヘルスメトリクス、トレース、依存関係と自動的に関連付けます。ユーザーからの自然言語プロンプトを起点として、システムはネットワーク問題、認証失敗、パフォーマンス問題、スクリプトエラー、インフラストラクチャー問題、サービス依存関係の 6 つの主要領域で多層的な診断分析を実行します。この分析には、HTTP Archive (HAR) ファイルの自動比較、CloudWatch ログ分析、S3 アーティファクトの調査、設定の検証が含まれ、合成モニターリングの問題を特定して解決するために必要な時間を大幅に短縮します。
この機能は、Amazon CloudWatch Synthetics が提供されている全ての商用 AWS リージョンで利用可能です。AI を活用したデバッグ機能を利用するには、Amazon Q、Claude、またはその他のサポートされている AI アシスタントへのアクセスが必要です。

Amazon CloudWatch Agent が NVMe ローカルボリュームのパフォーマンス統計をサポート
Amazon CloudWatch agent が、Amazon EC2 インスタンス上の NVMe ローカルボリュームの詳細なパフォーマンスメトリクスの収集をサポートするようになりました。これらのメトリクスにより、NVMe ローカルストレージの動作とパフォーマンス特性に関するインサイトが得られます。
CloudWatch agent を設定して詳細な NVMe メトリクスを CloudWatch に収集・送信することで、ストレージパフォーマンスの可視性を深めることができます。新しいメトリクスには、キューの深さ、I/O サイズ、デバイス使用率などの包括的なパフォーマンス指標が含まれます。これらのメトリクスは EBS ボリュームで利用可能な詳細なパフォーマンス統計と類似しており、両方のストレージタイプで一貫したモニターリング体験を提供します。NVMe ベースのインスタンスストアボリュームに対して、CloudWatch ダッシュボードの作成、アラームの設定、トレンドの分析が可能です。
Amazon EC2 インスタンスストアボリュームの詳細なパフォーマンス統計は、全ての AWS 商用リージョンおよび AWS GovCloud (US) リージョンにおいて、Nitro ベースの EC2 インスタンスにアタッチされた全てのローカル NVMe ボリュームで利用できます。

AWS Launch Wizard を使用して Microsoft SQL Server Developer Edition が利用可能に
AWS Launch Wizard は、お客さま自身のメディアからインストールされた Microsoft SQL Server Developer Edition を搭載した Windows Server EC2 インスタンスのサイジング、設定、デプロイをガイド付きで行えるようになりました。
AWS Launch Wizard for SQL Server Developer Edition を使用すると、コスト効率が高くフル機能の SQL Server インスタンスを Amazon EC2 上で簡単に起動できるため、非本番環境やテスト用のデータベース環境を構築する開発者にとって理想的です。この機能は、SQL Server Enterprise Edition または SQL Server Standard Edition を実行している既存の非本番データベースをお持ちのお客さまにも適しています。非本番データベースを SQL Server Developer Edition に移行することで、機能の同等性を維持しながら SQL ライセンスコストを削減できます。
この機能は、サポートされている全ての商用 AWS リージョンと AWS GovCloud (US) リージョンで利用可能です。

AWS Config が 49 種類の新しいリソースタイプをサポート
AWS Config が、Amazon EC2、Amazon Bedrock、Amazon SageMaker などの主要サービスを含む、49 の新しい AWS リソースタイプをサポートするようになりました。この拡張により AWS 環境のカバレッジが拡大し、さらに広範なリソースをより効果的に検出し、評価し、監査し、修正できるようになります。全てのリソースタイプの記録を有効にしている場合、AWS Config は新たに追加されたこれらのリソースを自動的に追跡します。新たにサポートされたリソースタイプは、Config ルールと Config アグリゲーターでも利用できます。
サポート対象のリソースが利用可能な全ての AWS リージョンで、AWS Config を使用して、Amazon Bedrock のプロンプトや Amazon SageMaker のモニターリングスケジュールなどの新たにサポートされたリソースタイプをモニターリングできるようになりました。

AWS Config が 42 個の新しいマネージドルールをリリース
AWS Config が、セキュリティ、コスト、耐久性、運用などのさまざまなユースケースに対応する、42個の追加のマネージド Config ルールをリリースしました。追加されたルールは AWS Config から直接検索、有効化、管理でき、AWS 環境のより多くのユースケースを統制できます。
これらのコントロールは、アカウント全体または組織全体で有効化できます。例えば、Amazon EKS Fargate プロファイル、Amazon EC2 Network Insight Analyses、AWS Glue Machine learning transforms にわたるタグ付け戦略の評価や、Amazon Cognito Identity プール、Amazon Lightsail バケット、AWS Amplify アプリなどのセキュリティ体制の評価が可能です。さらに、Conformance Packs を活用してこれらの新しいコントロールをグループ化し、アカウントまたは組織全体に展開することで、マルチアカウントのガバナンスを効率化できます。

メディアサービス

Deadline Cloud が最新の第6、第7、第8世代インスタンスのサポートを拡大
AWSは `Deadline Cloud` でのインスタンスファミリーのサポートを拡大し、VFXやアニメーションのレンダリングワークロードを強化するため、新しい第6、第7、第8世代のEC2インスタンスを追加しました。このリリースには、`C7i`、`C7a`、`M7i`、`M7a`、`R7a`、`R7i`、`M8a`、`M8i`、`R8i` インスタンスファミリーに加え、これまで利用できなかった第6世代のインスタンスタイプも含まれます。
`Deadline Cloud` は、お客さまがインフラを管理することなく、クラウドでビジュアルコンピューティングワークロードを実行できるフルマネージドサービスです。この機能強化により、スタジオはより広範なAWSコンピューティング技術を利用して、レンダリングワークフローを最適化できます。コンピューティング最適化 (Cシリーズ)、汎用 (Mシリーズ)、メモリ最適化 (Rシリーズ) のインスタンスは、コンピューティング集約型のシミュレーションからメモリを大量に消費するシーン処理まで、さまざまなレンダリングワークロードに合わせたオプションを提供します。`M8a` や `R8i` のような最新世代インスタンスの利用により、お客さまは最も要求の厳しいレンダリングタスクでパフォーマンスと効率を向上させることができます。
これらのインスタンスファミリーは、`Deadline Cloud` が提供されている全10のAWSリージョンで利用可能です。各リージョンで利用可能な特定のインスタンスタイプは、EC2インスタンスタイプ自体のリージョンでの可用性に依存します。

ネットワーキングとコンテンツ配信

Amazon VPC Lattice がリソース設定でカスタムドメイン名をサポート
VPC Lattice で、リソース設定にカスタムドメイン名を指定できるようになりました。リソース設定により、VPC やアカウントをまたいで、データベース、クラスター、ドメイン名などのリソースへのレイヤー4アクセスが可能になります。この機能により、クラスターベースおよび TLS ベースのリソースにリソース設定を使用できます。
リソース所有者は、リソース設定にカスタムドメインを指定し、そのリソース設定をコンシューマーと共有することで、この機能を利用できます。コンシューマーはカスタムドメインを使用してリソースにアクセスでき、VPC Lattice がコンシューマーの VPC 内のプライベートホストゾーンを管理します。
この機能は、リソース所有者とコンシューマーが使用したいドメインを柔軟に制御できるようにします。リソース所有者は、自身が所有するカスタムドメイン、AWS、またはサードパーティーのドメインを使用できます。コンシューマーは、きめ細かい制御を使用して、VPC Lattice にプライベートホストゾーンを管理させたいドメインを選択できます。
この機能は、VPC Lattice のリソース設定が利用可能な全ての AWS リージョンで、追加費用なしで利用できます。

Amazon Cloudfront が Anycast Static IP で IPv6 をサポート
Amazon CloudFront は、Anycast Static IP 設定で IPv4 と IPv6 の両方のアドレスをサポートするようになりました。以前は、この機能は IPv4 アドレスのみに限定されていました。
今回のアップデートにより、CloudFront Anycast Static IP アドレスを使用するお客さまは、ワークロード用に IPv4 と IPv6 の両方のアドレスを受け取ります。このデュアルスタックサポートにより、お客さまは IPv6 コンプライアンス要件を満たし、インフラを将来にわたって保証し、IPv6 のみのネットワーク上のエンドユーザーにサービスを提供できます。
CloudFront は、全てのエッジロケーションから Anycast Static IP の IPv6 をサポートします。これには、Sinnet が運営する Amazon Web Services China (Beijing) リージョンと、NWCD が運営する Amazon Web Services China (Ningxia) リージョンは含まれません。

Amazon CloudFront が VPC オリジンのクロスアカウントサポートを発表
Amazon CloudFront が Virtual Private Cloud (VPC) オリジンのクロスアカウントサポートを発表しました。これにより、お客さまは CloudFront ディストリビューションから、異なる AWS アカウントにある VPC オリジンにアクセスできるようになります。
VPC オリジンを使用すると、お客さまは Application Load Balancers (ALB)、Network Load Balancers (NLB)、EC2 インスタンスをプライベートサブネットに配置し、CloudFront ディストリビューション経由でのみアクセスできるようにすることができます。クロスアカウント VPC オリジンのサポートにより、お客さまは既存のマルチアカウントアーキテクチャーを維持しながら、VPC オリジンのセキュリティ上の利点を活用できます。
これまで、複数の AWS アカウントにオリジンを持つお客さまは、オリジンをパブリックサブネットに配置し、アクセスコントロールリスト (ACL) などの追加のセキュリティコントロールを維持する必要がありました。今回のアップデートにより、お客さまは AWS Resource Access Manager (RAM) を使用して、AWS Organizations や組織単位 (OU) の内外を問わず、異なる AWS アカウントのプライベート VPC にあるオリジンへの CloudFront アクセスを許可できます。これによりセキュリティ管理が合理化され、運用の複雑さが軽減されるため、CloudFront をアプリケーションの単一のフロントドアとして簡単に使用できます。
VPC オリジンは AWS 商用リージョンでのみ利用可能です。CloudFront でクロスアカウント VPC オリジンを使用しても、追加費用はかかりません。

セキュリティ、アイデンティティ、コンプライアンス

サービスリファレンス情報が SDK オペレーションとアクションのマッピングをサポート
AWS は、サービスリファレンス情報を拡張し、AWS サービスがサポートするオペレーションと、特定のオペレーションの呼び出しに必要な IAM 権限が含まれるようになりました。これにより、「特定の AWS サービスオペレーションを呼び出すにはどの IAM 権限が必要か？」といった疑問に答えることができます。
サービスリファレンス情報の取得を自動化し、ポリシー管理ツールやプロセスに直接組み込むことで、手作業をなくし、ポリシーを最新のサービスアップデートに合わせることが可能です。この機能は追加費用なしで提供されます。

Amazon Cognito ユーザープールが AWS PrivateLink によるプライベート接続をサポート
Amazon Cognito ユーザープールが、安全でプライベートな接続のために AWS PrivateLink をサポートするようになりました。
AWS PrivateLink を使用すると、仮想プライベートクラウド (VPC) と Amazon Cognito ユーザープール間にプライベート接続を確立し、パブリックインターネットを使用せずに Cognito ユーザープールを設定、管理、認証できます。この機能強化により、プライベートネットワーク接続が可能になり、Cognito へのアクセスにパブリック IP アドレスを使用したり、ファイアウォールルールのみに依存したりする必要がなくなります。
この機能は、ユーザープール管理操作、一般管理操作、およびユーザー認証フロー (Cognito に保存されているローカルユーザーのサインイン) をサポートします。OAuth 2.0 認可コードフロー、クライアント認証情報フロー、SAML および OIDC 標準経由のフェデレーションサインインは、現時点では VPC エンドポイント経由ではサポートされていません。
PrivateLink 接続は、AWS GovCloud (US) リージョンを除く、Amazon Cognito ユーザープールが利用可能な全ての AWS リージョンで使用できます。AWS PrivateLink で VPC エンドポイントを作成すると追加料金が発生します。利用を開始するには、AWS Management Console、AWS Command Line Interface (CLI)、AWS Software Development Kits (SDKs)、AWS Cloud Development Kit (CDK)、または AWS CloudFormation を使用して、Amazon Cognito ユーザープール用の AWS PrivateLink インターフェースエンドポイントを作成します。

Amazon Cognito が マシンツーマシン(M2M) アプリクライアントの料金ディメンションを廃止
Amazon Cognito の マシンツーマシン (M2M) 認証の料金モデルが簡素化され、M2M アプリクライアントの料金ディメンションが廃止されました。これにより、お客さまは M2M アプリケーションをより費用対効果の高い方法で構築・スケールできます。
Cognito は、マシン ID を使用して API データにアクセスするアプリケーションをサポートします。ユーザープール内のマシン ID は、アプリケーションサーバー上で実行され、リモート API に接続するクライアントであり、スケジュールされたタスク、データストリーム、アセットの更新など、ユーザーの操作なしで動作します。
この変更により、M2M 認証を使用するお客さまの Cognito の料金が引き下げられます。お客さまには、引き続き毎月の M2M トークンリクエストの成功数に基づいて課金されます。以前は、使用量にかかわらず、登録された各 M2M アプリクライアントと、リソースにアクセスするためにアプリクライアントが行った各成功したトークンリクエストに対して課金されていました。今回のアップデートにより、お客さまは成功したトークンリクエストに対してのみ支払うことになります。
この料金変更は自動的に適用され、お客さま側での対応は不要です。この変更は、Amazon Cognito がサポートされている全てのリージョンで有効です。

AWS KMS が Edwards-curve Digital Signature Algorithm (EdDSA) をサポート
AWS Key Management Service (KMS) は、Edwards-curve Digital Signature Algorithm (EdDSA) のサポートを発表しました。この新機能により、Edwards25519 (Ed25519) 曲線を使用して EdDSA 署名の署名と検証を行うための、楕円曲線非対称 KMS キーまたはデータキーペアを作成できます。
Ed25519 は、NIST P-256 と同等の 128 ビットのセキュリティレベル、より高速な署名パフォーマンス、小さな署名サイズ (64 バイト) と公開鍵サイズ (32 バイト) を提供します。Ed25519 は、Internet of Things (IoT) デバイスや暗号通貨などのブロックチェーンアプリケーションのように、小さな鍵と署名サイズを必要とする状況に最適です。
この新機能は、AWS GovCloud (US) リージョンと中国リージョンを含む全ての AWS リージョンで利用できます。

ストレージ

Mountpoint for Amazon S3 と Mountpoint for Amazon S3 CSI driver が監視機能を追加
Mountpoint のオペレーションを Amazon CloudWatch、Prometheus、Grafana などの可観測性ツールで監視できるようになりました。今回のアップデートにより、Mountpoint はオープンソースのデータ伝送プロトコルである OpenTelemetry Protocol (OTLP) を使用して、リクエスト数やリクエストレイテンシーなどのほぼリアルタイムのメトリクスを発行します。
これにより、CloudWatch agent や OpenTelemetry (OTel) collector などのアプリケーションを使用してメトリクスを可観測性ツールに発行し、監視やトラブルシュート用のダッシュボードを作成できます。以前は、Mountpoint は運用データをログファイルに出力しており、洞察を得るためにはログファイルを解析するカスタムツールを作成する必要がありました。
Amazon S3 バケットをマウントする際に、Mountpoint を設定してメトリクスを可観測性ツールに発行し、アプリケーションに影響を与える可能性のある問題をプロアクティブに監視できるようになりました。例えば、Amazon EC2 インスタンスの粒度でエラータイプを提供する S3 リクエストエラーメトリクスを分析することで、アプリケーションが権限の問題で S3 にアクセスできないかどうかを確認できます。

Amazon S3 が S3 Tables のタグ付けをサポート
Amazon S3 は、属性ベースのアクセス制御 (ABAC) とコスト配分のために S3 Tables のタグをサポートするようになりました。
ABAC にタグを使用すると、テーブルバケットやテーブルにアクセスするユーザーやロールの権限を自動的に管理でき、AWS Identity and Access Management (IAM) や S3 Tables のリソースベースのポリシー更新を頻繁に行う必要がなくなるため、大規模なアクセス管理が簡素化されます。また、個々のテーブルにタグを追加することで、AWS 請求とコスト管理 を使用して AWS コストの追跡と整理が可能です。
この機能は、S3 Tables が利用可能な全ての AWS リージョンでサポートされており、AWS Management Console、SDK、API、または CLI を使用して利用を開始できます。

Amazon FSx が AWS Secrets Manager と統合し、Active Directory 認証情報の管理を強化
Amazon FSx が AWS Secrets Manager と統合され、FSx for Windows File Server ファイルシステムおよび FSx for NetApp ONTAP Storage Virtual Machines (SVMs) の Active Directory ドメインサービスアカウント認証情報の保護と管理が強化されました。
これまで、ユーザー認証とアクセス制御のために FSx for Windows ファイルシステムまたは FSx for ONTAP SVM を Active Directory ドメインに参加させるには、Amazon FSx Console、Amazon FSx API、AWS CLI、または AWS CloudFormation でサービスアカウントのユーザー名とパスワードを指定する必要がありました。
サービスアカウントの認証情報を含む AWS Secrets Manager のシークレットを指定できるようになったことで、アプリケーションコードや設定ファイルに平文の認証情報を保存する必要がなくなり、認証情報管理のベストプラクティスに沿ってセキュリティ体制を強化できます。さらに、AWS Secrets Manager を使用して Active Directory の認証情報をローテーションし、FSx ワークロードで必要に応じて利用することも可能です。
この機能は、FSx for Windows ファイルシステムと FSx for ONTAP Storage Virtual Machines が利用可能な全ての AWS Regions で使用できます。

AWS Backup が論理エアギャップボールトで AWS KMS カスタマー管理キーをサポート
AWS Backup は、論理エアギャップボールト内のバックアップを AWS Key Management Service (KMS) のお客さまが管理するキー (CMK) で暗号化できるようになりました。この機能強化により、既存の AWS 所有のキーに加えて暗号化オプションが提供され、組織の規制およびコンプライアンス要件への対応を支援します。
AWS KMS で独自の CMK を使用して論理エアギャップボールトを作成できるようになり、バックアップ保護戦略をより詳細に制御できます。同じアカウントまたはアカウント間でキーを使用する場合でも、論理エアギャップボールトのセキュリティ上の利点を維持しながら、一元的なキー管理が可能です。この統合は、既存の論理エアギャップボールトやその他の AWS Backup 機能とシームレスに連携するため、バックアップワークフローが中断されることはありません。
論理エアギャップボールトでの AWS KMS お客さまが管理するキーのサポートは、現在論理エアギャップボールトがサポートされている全ての AWS リージョンで利用可能です。AWS Backup コンソール、API、または CLI を使用して、新しい論理エアギャップボールトを作成する際に、暗号化のために AWS 所有のキーまたは独自の CMK を選択できます。

その他

Builder Center が新しいリージョン計画ツールを発表
AWS は、Builder Center に AWS Capabilities by Region という新しいツールを発表しました。このツールを使用すると、AWS リージョン間で AWS のサービス、機能、API、CloudFormation リソースを検索し、比較できます。インタラクティブなインターフェースを通じてサービスの可用性を調査し、複数のリージョンを並べて比較し、将来のロードマップ情報を表示できます。この詳細な可視性により、グローバルなデプロイメントについて情報に基づいた意思決定を行い、サービスの利用不可によるプロジェクトの遅延を防ぐことができます。
このツールに加えて、AWS は AWS Knowledge Model Context Protocol (MCP) Server も強化し、リージョン別の機能に関する情報を LLM 互換フォーマットで含めるようにしました。MCP クライアントとエージェンティック フレームワークは、AWS Knowledge MCP Server に接続して、リージョン別のサービスの可用性に関するリアルタイムのインサイトや、特定のサービスや機能が利用できない場合の代替ソリューションの提案を得ることができます。Knowledge MCP サーバーは、AWS アカウントを必要とせず、無料で一般公開されています。使用にはレート制限が適用されます。

Amazon GameLift Streamsが、古くなったリソースに関するAWS Health通知を追加
Amazon GameLift Streams が AWS Health と統合され、古くなったストリームグループに関する自動通知を提供するようになりました。
180日を超えたストリームグループは新しいアプリケーションの追加が制限され、365日後に自動的に失効します。このライフサイクルに対応するため、AWS Health はお客さまにリマインダーを送信します。作成後45日目と150日目には、180日後に新しいアプリケーションの追加が制限されることを通知します。335日目には、365日後にストリームグループが失効することを通知する最終リマインダーが送信されます。
この特長は、お客さまがストリームグループのライフサイクルを管理し、更新が適用されていない可能性のある古いリソースの使用を防ぐことで、お客さまのセキュリティ体制を強化します。
この機能は、Amazon GameLift Streams が提供されている全ての AWS リージョンで、追加費用なしで利用できます。ストリームグループのメンテナンス警告や有効期限は、サービスコンソールのストリームグループ詳細ページ、または GetStreamGroup API レスポンスの ExpiresAt フィールドで確認できます。

今週のWeekly AWSは、以上です。

最後までお読みいただき、ありがとうございました。

関連サービス