はじめに
re:Invent現地参戦組の佐藤智樹です。今回のre:Invent2023の中で個人的に気になったアップデートを勝手にn個紹介します!本ブログはJAWS-UG東京支部のイベントでの発表にも利用しましたので、是非イベント後はアーカイブなどご覧ください!
セキュリティ系
SecurityHubのカスタムコントロール
SecurityHubのコントロールをパラメータでカスタマイズできるようになります。個人的にめっちゃ嬉しいのはIAM.7のパスワードポリシーが変更できること。古いSecurityHubのコントロールだと最近のセキュリティ要件に対応していないルールもあったりします。例えばIAM.7のパスワードポリシー。これを自由にカスタムできるのは嬉しい!
Security Hubの組織への展開が柔軟に
今までだと特定のセキュリティ基準(AWS基礎セキュリティのベストプラクティス v1.0.0とCIS Benchmark v1.2.0)しかできなかったので、新しい標準にまとめて適用できなかったが、これで新しい基準が来てもまとめて設定できそうで嬉しい!上の機能と組み合わせて、組織的なコントロールが1つのアカウントへの操作でまとめて出来るようになる、はず!
ガバナンス系
Cloudwatch Logsに低頻度アクセス用のログクラスが追加
CloudWatch Insightの前までの機能は使えて半額のストレージタイプが追加!サブスクリプションフィルターも設定しないような、とりあえずログ流しているだけであればこちらに設定のほうが良さそう。クラスは途中から変更ができないのでそこは注意。
CloudWatch Logsに異常検出とパターン分析の機能が3つ追加
似たログをパターン化、パターンの比較、異常検出の3機能が追加。とりあえず設定するだけで、通常と異なるログの出方が出てたら通知されるなどの設定も可能に!想定されるパターンだと、異常検出でサブスクリプリョンフィルターに入れ忘れた問題にも気づきけたり、パターン比較でバグの修正後バグが収束したのか統計的に確認するためにも使えそう。
AWS Config が日次記録をサポート
俺が本当に欲しかったのはこれだった!従来だとConfigでの定期記録を有効にしていると思わぬ部分で課金が発生している場合も…除外設定することもできるがしてよいものかという悩みもあった。この設定変更ならリアルタイム監視でなくデイリーでの定期的な記録になるのでコストを抑えてリソースの変更管理が行える。
CloudFormationがGitを使ったpull型デプロイをサポート
GitのリポジトリのCfnテンプレートの更新を読み込んで自動デプロイしてくれるCD Pipelineが構築可能に。他クラウドっぽくCIとCDを良い感じに分離するために使える。AWSだとあんまり重要視されていないけど、CIとCDをうまい感じに分離できる機能が今後増えてくるかも?ECR上の変更を検知してデプロイを実行するとか?
CDKとの組み合わせで参考になるブログ
開発系
CodeCatalyst系
エンタープライズでカスタムブループリント(ワークフロー、IaC、アプリケーションコードなど)の提供が可能に。StackSets、ServiceCatalog、Protonなどに続き、組織的にアーキテクチャを展開するための機能にプラスして、開発環境もまとめてベースラインを提供可能になった!開発者がまだ少なくて新しい組織では、プラットフォームエンジニアリングの文脈で今後注目が集まるかも?Amazon Qとの連携にも注目。
AWS Console-to-Code
Consoleの操作から適切なCfn/CDK/Terraformのコードを生成できる。某Excel VBAに操作からコードを起こす似た機能があったことを思い出しました。CDKもL2 Constructで生成してくれる!今までは、コンソールで勉強→CfnなどでAPI単位で勉強→CDKに実装みたいな流れが、コンソールでQを使いながら勉強して、CDKのコードを生成できる未来が待っている!?
所感
AWS re:Invent2023で発表されたアップデートで熱いものを勝手に振り返り+コメントしてみました。今回挙げた内容以外にも熱いアップデートがたくさんあったので、是非参考に貼った公式のアップデート情報もチェックしてみて下さい!
参考
宣伝
今日19:30からCDK支部もre:Cap(もある)イベントやります!海外で聞いてきた話もするのでぜひご参加下さい!
5
