AWSサービスアップデート 2014年7月

2014年8月4日

堀内康弘 ( @horiuchi )

テクニカルエバンジェリスト

日付 発表内容7/1 AWS CloudTrail がサポート対象サービスと提供リージョンを拡大

Amazon RedShift の無料トライアルとアジアパシフィックでの値下げが発表Amazon EC2 に新しいT2タイプインスタンスが追加Amazon ElastiCacheがM3およびR3インスタンスのサポートを追加

7/2 Route53のヘルスチェックの編集とタグ付けが可能にAmazon GovCloudでAmazon SNSのITAR対応が拡張

7/3 マーケットプレイスに新規イメージ追加：(IdP、Cognizant Video Transcoder、SecureSphere WAF)7/7 Amazon WorkSpacesの新しいActive Directory統合機能

AWS Billing ConsoleでIAMサポートの粒度を拡張7/9 メルボルン（オーストラリア）にエッジロケーションを追加

Amazon Direct Connect が拡張しシドニーに2つめのロケーションを追加7/10 エンタープライズ向け文書保存・共有サービスとして Amazon Zocalo の発表

新しいAWSモバイルサービス (Amazon Cognito, Amazon Mobile Analytics, AWS Mobile SDK) を発表

新サービス/機能のローンチ（7月） (1/3)

日付 発表内容7/11 AWS SDK for PHP 2.6.11 をリリース

AWS Test Drive プログラムへの追加マーケットプレイスに新規イメージ追加：(CloudLink Encrypted NAS、ScienceOps)

7/14 マーケットプレイスのプロダクトを年間価格で購入できる新しい購入オプションの発表Amazon SNSでTTLを制御可能にAmazon CloudWatchによるログファイルの蓄積とモニタリング機能

7/15 Amazon RDS for PostgreSQLの正式公開とSLAを発表7/16 AWS Support API のアップデートにより添付ファイルの作成とケースの軽量モニタリング機能が追加

Amazon Kinesis の提供リージョンが追加されました（東京、シンガポール、シドニー）AWS CloudTrail でAmazon SQSとAuto AcalingのAPIコールが利用可能にAWS IAMのパスワード管理の拡張とクレデンシャルレポートを発表学術情報ネットワーク(SINET)とAWSネットワークのAWS Direct Connectによる接続を発表

新サービス/機能のローンチ（7月） (2/3)

日付 発表内容7/18 AWS SDK for PHP 2.6.12をリリース

Amazon EC2のパブリックIPアドレス範囲が更新マーケットプレイスに新規イメージ追加：(Fortinet FortiWeb, NGINX Streaming Media Server, Nessus)

7/25 ELBのコネクションタイムアウト管理が可能にAWS CloudTrailがAWS Management Consoleへのサインインイベントを記録するようになりました

7/30 Auto Scaling のアップデート – インスタンスのライフサイクル・ステータスが拡張 – Pending, Terminatingステータス時のフック追加、Standbyステータスの追加、DetachInstancesアクションの追加

Amazon ElastiCache のノード配置の柔軟性が向上しAZを跨ったクラスター構成が可能に7/31 Route 53のアップデート - ドメイン名の登録および管理が可能に、Geo Routing機能の追加、値下げも

新サービス/機能のローンチ（7月） (3/3)

AWS CloudTrail がサポート対象サービスと提供リージョンを拡大

• AWS CloudTrail とは

- アカウントの AWS API の呼び出しを記録し、ログファイルをS3に送信

• ログに含まれる内容: API 呼び出し元のID、API 呼び出し元のソースIP アドレス、リクエストのパラメータ、および AWS サービスから返された応答

- ログを活用したセキュリティ分析、リソース変更の追跡、コンプライアンス監査などの用途を想定

• 提供リージョンの拡大

- 北部バージニア、北カリフォルニア、オレゴン、シドニー、アイルランド、東京(NEW) 、シンガポール(NEW) 、サンパウロ(NEW)

• サポート対象サービスの拡大

- 対応済み: EC2、EBS、ELB、VPC、RDS … など

- 追加対応: Kinesis、CloudFront、CloudWatch、CloudTrail

- 未対応: S3, SES, SNS, SQS …など

2014/07/01 http://bit.ly/1vsT6A8

CloudTrailのログサンプル{ "Records": [{ "eventVersion": "1.01", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJDPLRKLG7UEXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice", (中略) } }, "eventTime": "2014-03-18T14:30:07Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-west-2", "sourceIPAddress": "72.21.198.64", “userAgent”: “AWSConsole, aws-sdk-java/1.4.5 (一部略)",

“requestParameters”: {　“name”: “Default”　}, "responseElements": null, "requestID": "cdc73f9d-aea9-11e3-9d5a-835b769c0d9c", "eventID": "3074414d-c626-42aa-984b-68ff152d6ab7" }, (... その他エントリーの繰返し...) ] }

時系列順ではなくログにプッシュされた順

CloudTrail を便利にお使いいただくためのツール

• Logentries 社のログ管理・監視サービスが対応済み

- 特定種類のログが検知された場合の発報

- 簡易な統計と分析、グラフ化など可視化機能

• Amazon SNS による更新通知の活用

- CloudTrail で新しいログがS3に送信された際に

- SNS で自動通知してアクションをキックする

図はLogentriesのサンプル画面

EC2にT2タイプインスタンスが追加• 3つのサイズ(micro, small, medium) が利用可能

• ベースライン性能とCPUクレジットの概念

- サイズごとにベースライン性能が設定されている

• パーセンテージは物理CPUのシングルコアの性能に対する割合

- CPUクレジットは最大で過去24時間分が蓄積される

• CPU使用率がベースライン以下 → CPUクレジットがたまる

• CPU使用率がベースライン以上 → CPUクレジットを消費する

• CPUクレジットが不足している場合ベースライン以上の性能は出せない

• 蓄積したCPUクレジットを短時間で一気に消費することで、一時的に処理能力を飛躍的に高めること(バースト)が可能

- 1CPUクレジットにつき1vCPUが1分間1CPUコアを100%利用可能

• CPU使用率50%が2分間、CPU使用率50%が2vCPU　などとも等価

2014/07/01 http://bit.ly/1kb25Rb

( CloudWatchから参照可能 )

CPU使用率クレジット

T2インスタンスの利用料金

名前 vCPUsベースライン性能

RAM (GiB)

1時間あたりのCPUクレジット

1時間あたりの料金

Price / Month

t2.micro 1 10% 1.0 6 $0.020 $14.65

t2.small 1 20% 2.0 12 $0.040 $29.25

t2.medium 2 40%* 4.0 24 $0.080 $58.45

価格例は東京リージョンのAmazon Linux

Route53のヘルスチェックの編集とタグ付け

• 編集可能なヘルスチェック

- 既存のヘルスチェックのパラメータが編集可能に

• ターゲットIPアドレス/ドメイン名

• ポート

• ファイル名/ファイルパス

• 検索文字列

• ヘルスチェックのタグ付

- Nameタグの自動追加

- その他タグ(key/Value)の任意付与が可能

2014/07/02 http://bit.ly/1lEDPqA

Amazon WorkSpacesの新しいAD統合機能• 3つの新機能がAmazon WorkSpacesに追加

- オンプレミスのActive Directoryとの連携に有用

• 参加するOUの選択

- WorkSpacesが参加するドメインのOUを選択が可能に

• グループポリシーの適用によるセキュリティや管理性を向上に寄与

• ユーザドメインとリソースドメインの分割

- WorkSpacesをリソースドメインに参加されることが可能に

• グループポリシーの適用によるセキュリティや管理性向上に寄与

• セキュリティグループ設定

- VPC内に作成した特定のセキュリティグループを全WorkSpacesに追加可能に

• WorkSpacesからその他VPC内リソースやオンプレミスネットワークへのアクセスをセキュリティグループのルールで制御することを想定

2014/07/07

AWS Billing ConsoleでIAMサポートの粒度を拡張• Billing Consoleで読取り以外のパーミッション設定が可能に

- IAMユーザーに読み取り専用のアクセス権を付与しつつ、書き込みアクセスのための追加のオプションを設定可能

• 追加されたアクション

- ModifyBilling • 既存のアクション ViewBilling と組合せて使用

• ダッシュボード、請求書、コストエクスプローラー、支払い履歴、一括請求、および、レポートページへのアクセスを制御

- ViewAccountとModifyAccount

• アカウント設定ページへのアクセスを制御

- ViewPaymentMethodsとModifyPaymentMethods

• 支払い方法ページへのアクセスを制御

2014/07/07 http://bit.ly/1k2f1sV

エンタープライズ向け文書保存・共有サービス Amazon Zocaloを発表

• 下記の特徴をもったファイル共有Webサービスです

- エンタープライズ向けの強力な管理機能

- コラボレーションを支援するバージョニングとフィードバック機能

• 管理機能

- Zocalo領域用に独立したユーザアカウント管理機能

• ADとの連携も可能

- ストレージ利用率のモニタ

- 文書ファイルに対するアクティビティ監査ログの参照

2014/07/10 http://bit.ly/1nhYXIg• バージョニングとフィードバック機能

- ファイル共有の通知

- プレビューを利用した直観的なコメント追記と追記されたコメントの共有

• プレビュー対応ファイル形式

- Office Document、PDF、イメージ、テキストファイル

- ファイルとコメントのバージョニング

• Webブラウザの他下記デバイス向けアプリケーションをAWSから提供

- iPad、Kindle Fire、Android端末

- PC/Mac向けのファイル同期アプリケーション限定プレビューによる提供中

(参考) Amazon Zolcaoの画面イメージ

(参考) プレビューとフィードバックのイメージ

新しいAWSモバイルサービス• クラウドを活用したモバイルアプリ開発時の課題解決を手助けする3つの新サービス/製品

- Amazon Cognito、Amazon Mobile Analytics、AWS Mobile SDK

• Amazon Cognito - ユーザの認証、データの保存、管理、複数のデバイス・プラットフォーム・アプリケーション間での同期などのタスクを簡単に実現するためのサービス

• Amazon Mobile Analytics - アプリケーションの利用に関する情報の収集や可視化機能の提供

- データは AWS Mobile SDK および REST APIを使って収集

- 解析結果のメトリクスはAWSマネージメントコンソールのレポーティングタブに表示

• AWS Mobile SDK - iOS, Android, Fire OS向けのアプリケーションの開発に利用可能

- 新サービス以外にも既存のAWSサービスをモバイルアプリケーションから容易に利用するためのコネクタやキャッシング、認証などのライブラリを提供

2014/07/10 http://bit.ly/1xYsxpO

モバイルサービス機能マッピング• ユーザ認証 = Amazon Cognito (IDブローカー)

• アクセスの認可 = AWS Identity and Access Management (IAM)

• データの同期 = Amazon Cognito (同期)

• ユーザの行動分析 = Amazon Mobile Analytics

• メディアの管理 = Amazon Simple Storage Service Transfer Manager

• メディアの配信 = Amazon CloudFront (デバイス認識と配信)

• プッシュ通知の送信 = Amazon Simple Notification Service モバイルプッシュ

• 共有データの保存 = Amazon DynamodB (Object Mapper)

• データストリームのリアルタイム解析 = Amazon Kinesis (Object Mapper)

AWS CloudWatchによるログファイルの蓄積とモニタリング機能

• 特徴 - 蓄積されるログやメッセージに含まれる特定文字列をキーにフィルタした結果をメトリックスとして設定し監視が可能

- CloudWatchの機能がそのまま利用できる。アラームの発報やAuto Scalingのトリガーなども可能。

• 対象ログ

- OSやアプリケーションのログファイル（任意)

• 方式

- EC2インスタンスにLog Agentを導入してLog Eventを送信 (Amazon Linux AMI, Ubuntu AMI)

- 同種のLog EventシーケンスをLog Streamとしてグルーピング

- Log Streamにフィルタ(Metric Filters)を設定しメトリック抽出

• 価格

- $0.50 per GB ingested - $0.03 per GB archived per month**

• 提供リージョン

- 米国東部(北部バージニア）リージョン

2014/07/14 http://bit.ly/1n3Kf8Q

Amazon Kinesisが東京リージョンでも利用可能に

• Amazon Kinesis - 大規模なデータをリアルタイム・ストリーミング処理するための マネージドサービス

2014/07/16 http://bit.ly/1t6m6OL

• 提供リージョンの追加

• バージニア北部、アイルランド、オレゴン東京(New)、シドニー(New)、シンガポール(New)

EC2のパブリックIPアドレス範囲が更新• 米国東部 (バージニア北部)

- 54.88.0.0/14 - 54.92.0.0/16 - 54.92.128.0/17 *レンジ縮小

- 54.160.0.0/13 !• 米国西部 (オレゴン):

- 54.68.0.0/14 !• 米国西部(北カリフォルニア):

- 54.67.0.0/16 !• 欧州 (アイルランド):

- 54.74.0.0/15 - 185.48.120.0/22

2014/07/18• アジアパシフィック (シドニー):

- 54.66.0.0/16 !• アジアパシフィック (シンガポール):

- 変更なし

!• アジアパシフィック (東京):

• 54.92.0.0/17 *北部バージニアアドレスの割譲

!• サンパウロ:

- 54.94.0.0/16 !• 中国 (北京):

- 54.223.0.0/16

ELBのコネクションタイムアウト管理

• これまでサポートにご依頼いただく必要のあったELBの接続タイムアウト値がユーザ様から変更可能になりました。

- 1～3600秒の範囲

• デフォルト 60秒

- マネージメントコンソールおよびCLIから操作可能

2014/07/25 http://bit.ly/1rQlCw4

Auto Scaling のアップデート – インスタンスのライフサイクル・ステータスが拡張

• ライフサイクル・フックの追加

- Pending状態とTerminating状態に遷移したインスタンスをフックできる

- 上記状態に遷移するとSQS/SNSでメッセージが送られる

• インスタンスはPending:WaitもしくはTerminating:Waitとなり遷移が止まる

• CompleteLifecycleActionリクエストを発行すると状態遷移が再開する (Pending:Proceed, Termiating:Proceed)

• Standby 状態の追加

- InService状態とStandby状態の間を相互に移動させることができます

• Standby状態

- Auto Scaling Groupに所属しているがサービスからは外れた状態

- インスタンスのアップデート、修正、トラブルシュートに利用可能

- Auto Scaling GroupがELBにひもづいている場合、deregisterされた状態となる

• DetachInsntancesアクションの追加

- Auto Scaling Groupからインスタンスを外して独立して管理可能にする

• desired capacityにあわせて外されたインスタンスの分はAuto Scaling Groupによって自動的にインスタンスが起動されて元のキャパシティを維持する

2014/07/30

Route53のアップデート - ドメイン登録、Geo Routing 、値下げ

• ドメイン名の登録と管理が可能に

- Route53のコンソールおよびAPIでドメイン名を取得可能に。AWS内で全ての作業を完結できるように

- ドメインを他のレジストラから移管することも可能

• Geo Routing機能が追加

- DNSクエリの発信元の場所に基づいて、コンテンツ配信のための最も適切なのAWSリソースを選択可能

• 値下げ

- クエリ数に対する料金を20%値下げ

2014/07/31

クエリタイプクエリ数に対する新料金 (100万クエリごと)

10億クエリまで 10億クエリ以上Standard Queries $0.40 $0.20LBR Queries $0.60 $0.30Geo DNS Queries $0.70 $0.35

(参考) ドメイン名登録のイメージ

マネージメントコンソールからドメインを検索他レジストラから移行も可能

AWS Trusted Advisorが誰でも利用可能に• AWSマネージメントコンソールに統合され、以下の4つのチェックを無料で利用可能に

- サービス制限

• サービス上限に対して80%を超えている使用量をチェック

- セキュリティーグループ (開かれたポート)

• 特定のポートに対して無制限アクセス(0.0.0.0/0)を許可しているセキュリティグループのルールをチェック

- ルートアカウントのMFA

• ルートアカウントでMFAが有効にされていない場合にアラートを表示

- IAMの使用

• IAMが使用されているかについてチェック

2014/07/31

ご参考

• AWS Blog (英語) https://aws.amazon.com/blogs/aws/ !

• AWS ブログ (日本語) http://aws.typepad.com/aws_japan/