【社内資料】AWS re:Invent 2019で発表されたサービスを社内基幹システムに導入するぞリスト #reinvent

2019.12.27

はじめに

こんにちは植木和樹@上越オフィスです。普段は情シス的な立ち位置で、自社システムにAWSを利用したシステムを導入するお仕事しています。最近はコーポレートエンジニアって言い方もするようですね。

さてAWS re:Invent 2019もたくさんの、たくさんの、たくさんのサービスやアップデートが発表されましたね。というわけで毎年恒例の社内基幹システムにこれらの導入するべきか?を検討してみました。

今年は機械学習系の発表が多かったのでまとめようかどうしようか考えていたのですが、社内から「まだ?」という 圧力 声があったので。

AWS Japanが公開してくれていたアップデートまとめ資料を先週金曜の夕方に読みつつ「これは導入しよう、これは後でいいや」とメモした内容をまとめたものになります。

2019年11月後半のアップデート

re:Invent での発表

その他re:Invent2019関連資料

社内からのツッコミ大歓迎です

昨年まではアップデート一覧に対して「導入する/しない」を記載していましたが、今年はアップデートが多すぎてリストアップするだけで大変な量になるので「導入予定のもののみ記載」とさせていただきました。アップデート一覧は上述のリンク先ページの見出しを参照ください。

(参考) 過去の re:Invent 導入するぞリスト

2019年11月後半アップデート 第一弾

AWS LambdaがPython 3.8をサポートしました

2016年に社内の請求システムをLambdaを利用して更新した際はPython2を利用しました。いまPython3系への移行をちゃくちゃくと進めています。

Amazon EC2インスタンスメタデータサービスが新しいバージョンがリリースされました

IMDSv2と呼ばれている機能ですね。現在のインスタンスメタデータが悪用されるケースが増えてきたということで、よりEC2インスタンスを安全にするならIMDSv2へ移行すべきでしょう。

未使用のIAMロール管理が強化されました

クラスメソッドでは基幹アカウントでIAMユーザーを一元管理して、作業先のAWSアカウントにはスイッチロールして利用する運用にしています。 この際にスイッチ先のロールは個人単位で作成するケースが多いようです。(uekikazuki-roleみたいに)

案件完了後や異動や退職などによりロールが使用されなくなった時の後片付けは各作業に任せていますが、全社的にも未使用ロールをリストアップして整理を促す活動をしておきたいところです。

AWS Systems Manager Explorerがリリースされました

Systems Manager関連にも多くのアップデートがありました。SSMといえばParameter StoreやSessionManager がよく取り上げられますが、インスタンスの管理という面でもう一歩踏み込んだ利用を検討したいと思っています。

2019年11月後半アップデート 第ニ弾

Windows Server Update ServicesをデプロイするQuick Startがリリースされました

導入を禁止したいWindowsアップデートの制御のためにWSUSの導入はそろそろ検討しておきたいところ。それが手間なくAWS上で構築できるならうれしいですね。

WSUS導入の理由って、社内のWindowsが一斉にアップデートが始まった際のWAN負荷を軽減が目的の1つだと理解してて、AWSにWSUSがあると結局VPN利用時にインターネット接続は行われちゃいますよね。(Direct Connectを導入していれば別)

Amazon Transcribeがアジアパシフィック(東京)リージョンで利用可能となり、日本語に対応しました

すべての会議を録画する → Transcibeで文字起こしする → Google Driveに保存する → 全文検索してどこで話題になっているか調べる → 会議動画を参照して当時のやりとりを把握する

みたいなことができたら、当時の担当者が不在になったり自分が当時在籍していなくても、当時の状況が把握できたりしないかと夢見ています。

AWS CloudTrail Insightsが発表されました

CloudTrailのログは SumoLogic を使って一部ダッシュボード化していますが、AWSの機能のみを使って手頃に異常を検知できる仕組みを整えておきたいところです。

2019年11月後半アップデート 第三弾

情シス的には導入を検討するアップデートはありませんでした。

ただ、LambdaやCloudWatch関連のアップデートが含まれているため、今後現在のアーキテクチャの見直しや監視の強化を検討する可能性はありそうです。

re:Invent 2019 1日目

情シス的には導入を検討するアップデートはありませんでした。

DeepComposerをなにかに使えるかな・・・

re:Invent 2019 2日目

AWS Identity and Access Management(IAM)Access Analyzerがリリースされました

導入します。基幹アカウントについては導入しました。 これは必ずオンにしておきましょう。

社内用アカウントすべてについて設定をオンにする、そして今後の新規アカウントについても強制的にオンにする仕組みを検討したいです。

re:Invent 2019 3日目

Amazon Kendraが発表されました

導入したいです。全文検索対象としてConfluenceを対象にしたい。

Amazon Fraud Detectorがプレビューリリースされました

導入したいです。ただこれ有効にするには検出するトラフィックをAWSに流さないといけない?

Amazon CodeGuru がプレビューリリースされました

導入したいです。コードレビューの品質が上がることを期待したい。

AWS Wavelengthがアナウンスされました

今後5Gでの利用を想定し情報は追っておきたいサービスですね。

AWS Transit Gateway Network Managerがリリースされました

導入しました。Transit Gatewayを登録するだけでネットワークトポロジを自動的に可視化してくれるのは便利。

クラスメソッドではYNO(Yamaha Network Organizer)を利用して、全拠点ルーターを一元管理(障害時の通知含め)できているので、YNOとNetwork Managerがデバイス情報を同期してくれるととてもうれしい。

Amazon VPC Ingress Routingにより、VPCトラフィックの転送パスに仮想アプライアンスを簡単に挿入できるようになりました

要検討。AWS経由で通信されるトラフィックをSophosとかに強制ルーティングさせることでセキュリティを向上させられるかな?

VPNパフォーマンスを改善するため、Site-to-Site VPNの高速化がアナウンスされました

導入したい。拠点からAWSへのVPNを高速化することで、ネットワークパフォーマンスの向上が期待できます。

ただ日本国内で導入した際に、どれだけ効果が見込めるかは未知数。この辺はGlobal Acceleratorの事例待ちか?

AWS Transit Gatewayは、リージョン間ピアリングをサポートしました

要検討。海外オフィスとの社内ネットワーク構築をそろそろ本腰で検討しないと。

Amazon Detectiveがプレビューリリースされました

要検討。セキュリティ検知系のサービス発表が多すぎて、どのサービスでなにが検知できるのか頭の整理が追いついていない。

Contact Lens for Aazon Connectが発表されました

2019年に会社の代表電話番号をAmazon Connectに移行しました。そこには様々なお問い合わせがきますので、ContactLensを導入して迅速・高品質な顧客対応に繋げたいですね。

re:Invent 2019 4日目

Amazon API GatewayがHTTP APIを使用して、より高速で、安価で、シンプルなAPIを提供するようになりました(プレビュー)

HTTPのプロキシーに特化した分、かなり安くAPI Gatewayが利用できるようになるそうです。

クラスメソッドでは今年2019年に本格的にSlackを全社導入しました。今後はLambdaでSlack向けのチャットボットを作る機会が増えてくると思うので、有効に活用してコスト削減したいですね。

re:Invent 2019 5日目

Amazon Builders’ Libraryがリリースされました

はい、読みます。参考にさせていただきます。

先日日本語版も公開されましたね。

まとめ

というわけで直近のやることリストをまとめました。関係者には私からお声掛けさせていただきますのでご協力をお願いいたします。

優先度:高(今週中/今月中に導入)

  • AWS Transit Gateway Network Manager
  • IAM Access Analyzer

優先度:中(2〜3ヶ月中/Tokyoリージョン対応後に導入)

  • EC2 IMDSv2
  • Amazon API GatewayがHTTP API
  • Site-to-Site VPN 高速化
  • AWS CloudTrail Insights
  • Amazon Kendra

優先度:低(1年以内に導入・・・するかも)

  • Amazon Fraud Detector
  • Amazon Detective
  • Contact Lens for Aazon Connect
  • AWS Transit Gateway リージョン間ピアリング