【2018年】AWS全サービスまとめ その3(機械学習、分析、セキュリティ、アイデンティティ、コンプライアンス)

こんにちは。サービスグループの武田です。

この記事はAWS全サービスまとめ その3 です。

非常にたくさんあるAWSのサービスを自分の勉強も兼ねてざっくりまとめてみました。「結局このサービスってなんなの?」という疑問を自分なりに理解するのが目的です。

今回はマネジメントコンソールを開き、「すべてのサービス」をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。

まとめるにあたって、次のドキュメントや、弊社の多数のブログを参考にしました。

AWS ドキュメント | AWS

AWS | Developers.IO

機械学習

Amazon Amazon SageMaker

フルマネージドな機械学習サービス。調査、クレンジング、前処理に対してセットアップなしで利用可能なJupyterノートブックを実行するインスタンスが提供される。機械学習モデルを早く簡単に構築、トレーニング、ホスティングできる。

Amazon Amazon Comprehend

フルマネージドな自然言語処理サービス。テキストの中から場所や人物、キーフレーズ、感情(肯定的/否定的/混在/中立)などが検出できる。

AWS DeepLens

ディープラーニングに対応したプログラム可能なビデオカメラ。Kinesis Video StreamsやRekognition Video、SageMakerやLambdaと統合、連携できる。

Amazon Lex

Chatbotなどの、音声やテキストに反応する対話型インタフェースを構築するサービス。自然言語処理にAlexaと同等のディープラーニング技術を使用できる。

Amazon Machine Learning

機械学習のモデルを構築し、予測を生成するサービス。モデルのデータソースとして、S3に保存されたデータセット、RedshiftまたはRDSのMySQLが使用できる。

Amazon Polly

テキストを自然な音声に変換するテキスト読み上げサービス。SSML(Speech Synthesis Markup Language)を使用して発音、ボリューム、話す速度など、音声のさまざまな要素をカスタマイズできる。また、レキシコンによる単語の発音のカスタマイズも可能。

AWS Rekognition

画像の検索と分析サービス。画像内の物体、シーン、テキスト、顔の検出、有名人の認識、および不適切なコンテンツの識別ができる。また動画でも使用可能となるRekognition Videoも発表された。

Amazon Transcribe

音声をテキストに変換する文字起こしサービス。電話音声など不鮮明なものも可能で、すべての単語へタイムスタンプ付与、複数話者の認識などの機能も予定されている。なお執筆時点でプレビュー版です。

Amazon Translate

テキストベースのコンテンツを多言語へ変換できるニューラル機械翻訳サービス。既存のテキストを大量に翻訳するバッチ翻訳と、オンデマンドで翻訳するリアルタイム翻訳の両方に対応している。なお執筆時点でプレビュー版です。

分析

Amazon Athena

標準SQLを使用してS3のデータを分析できるインタラクティブクエリサービス。Prestoで構築され、CSV、JSON、ORC、Avro、Parquet などのさまざまな標準データフォーマットに対応し、自動で並列的に実行される。

Amazon EMR

正式名称は Amazon Elastic MapReduce で、フルマネージドな(HadoopやSparkなどの)ビッグデータフレームワークサービス。ストレージとしてHDFS、S3を直接利用できるEMRFS、ローカルファイルシステムがある。

Amazon CloudSearch

フルマネージドなカスタム検索サービス。スケーラブル、高い信頼性とパフォーマンス、豊富な検索機能などを備える。Solrベース。

Amazon Elasticsearch Service

フルマネージドなElasticsearchクラスタサービス。KibanaやLogstashがサポートされ、S3、Kinesis、DynamoDBとの統合も可能。

Amazon Kinesis

リアルタイムでストリーミングデータを処理できるサービス。高速かつ継続的にデータの取り込みと集約を行うことができる Kinesis Data Streams 。S3、Redshift、Elasticsearch Serviceなどの送信先にリアルタイムのストリーミングデータを提供する Kinesis Data Firehose 。標準SQLを使用してストリーミングデータの処理や分析ができる Kinesis Data Analytics といったサービス群からなる。

Amazon QuickSight

簡単に高速にデータを分析・可視化できるクラウドBIサービス。データソースとしてRDB(RDSやオンプレのRDBなど)やS3、AthenaやRedshift、ExcelやCSVなどのファイル、SaaS(Salesforce)が使用できる。アドホック分析やダッシュボードを作成しデータを可視化できる。

AWS Data Pipeline

サービス(ノード)間のデータの移行および変換を行えるサービス。連携可能なサービスとしてDynamoDB、RDS、Redshift、S3がサポートされている。定義した処理はEC2またはEMRで実行され、スケジュール機能と組み合わせることでジョブスケジューラとしても利用できる。

AWS Glue

フルマネージドなETL(Extract、Transform、Load)サービス。RDSやS3といったデータソースをクロールしてデータカタログを構築、次にETL処理をジョブとしてトリガ登録(スケジュール/連結/オンデマンド)することで処理を実行する。

セキュリティ、アイデンティティ、コンプライアンス

AWS IAM

正式名称は AWS Identity and Access Management で、ユーザー認証やアクセス許可によって、AWSリソースへのアクセスを安全に制御するためのサービス。ユーザー、グループ、ロールといったリソースにアクセス許可を定義したポリシーを紐付けることでアクセス制御を行う。また、STS(Security Token Service)を使用することで、一時認証情報を利用したクロスアカウントアクセスやIDフェデレーションが可能となる。

Amazon Cognito

ユーザー認証(IDの発行)とアプリケーションデータの同期を行えるサービス。ユーザーディレクトリを作成、管理し、モバイルアプリおよびWebアプリに、サインアップとサインインを追加できる Cognito User Pools 。フェデレーテッドIDプロバイダで認証し、STSによる一時的な認証情報を作成できる Cognito フェデレーテッドアイデンティティ 。アプリケーション関連のユーザーデータのオフラインでのアクセスとデバイス間の同期をサポートする Cognito Sync といった機能がサポートされている。

Amazon GuardDuty

VPCフローログ、CloudTrailイベントログおよびDNSログを監視・分析する、継続的なセキュリティモニタリングサービス。GuardDutyが生成した結果はCloudWatch Eventsとの連携が可能(執筆時点ではCLIのみ設定可能)。

Amazon Inspector

AWSリソース(執筆時点ではEC2インスタンスのみ)の動作を分析する自動化されたセキュリティ評価サービス。評価ターゲットの各インスタンスにはInspectorエージェントをインストールする。エージェントは、安全な通信の使用、プロセス間のネットワークトラフィック、AWSリソースの動作や設定といったデータ(テレメトリー)を収集・分析し、セキュリティルールと比較を行う。

Amazon Macie

S3に保存されているデータを、機械学習によって自動的に検出、分類、保護するフルマネージドなセキュリティサービス。個人情報(PII)や知的財産などの機密データを認識し、さらにアクセスパターンとユーザーの動作を分析することで、不正アクセスの危険や不注意によるデータ漏洩などを監視する。

AWS Single Sign-On

Microsoft Active Directoryの認証情報を使用してシングルサインオンを管理するサービス。AWS Organizationsで管理されているAWSアカウントやビジネスクラウドアプリケーション(Office 365、Salesforce、Boxなど)、SAML 2.0をサポートするアプリケーションにSSO可能となる。クラウドのAD(Microsoft AD)あるいはオンプレミスのAD(Microsoft ADと信頼関係またはAD Connector)がサポートされるが、Simple ADはサポートしていない。

AWS Certificate Manager

AWSの各種サービスで使用するSSL/TLS証明書のプロビジョニング、管理、およびデプロイができるサービス。Webサイトやアプリケーションに直接証明書をインストールすることはできず、サポートされているサービスにインストールして使用する。発行される証明書の有効期限は13ヵ月で、自動的に更新される。執筆時点でサポートされているサービスはELB、CloudFront、EB、API Gateway、CloudFormationとなっている。

AWS CloudHSM

フルマネージドなハードウェアセキュリティモジュール(HSM)管理サービス。FIPS 140-2 レベル3に準拠しており、高いセキュリティ要件が求められるサービスでも利用できる。CloudHSMクラスタの作成には、リージョン内の各AZにHSMを作成したHA(高可用性)構成にすることが推奨されている。

AWS Directory Service

フルマネージドなディレクトリサーバサービス。執筆時点では、クラウドネイティブなグラフベースのディレクトリストアである Amazon Cloud Directory 。モバイルアプリまたはWebアプリにサインアップとサインインを追加するユーザーディレクトリ Amazon Cognito Your User Pools 。マネージド型Microsoft Active Directoryである Microsoft AD 。Samba 4を搭載したAD互換のディレクトリ Simple AD 。そして、オンプレのADと連携する AD Connector の、5種類のディレクトリタイプが提供されている。

AWS WAF

CloudFrontまたはALBに転送されるHTTP/HTTPSのリクエストをモニタリングし、悪意のあるリクエストを検出・防御できるWebアプリケーションファイアウォール。条件、ルール、Web ACLを作成することで、コンテンツへのアクセスを制御できる。また、先日マネージドルールが利用可能となった。

AWS Shield

DDoS攻撃からAWSリソースを保護するためのサービスで、 StandardAdvanced の2つの異なる保護レベルが提供されている。Standardは無料で自動的に適用され、SYN/UDPフラッド攻撃やリフレクション攻撃といったL3/L4レベルの攻撃を緩和する。AdvancedはELB、CloudFront、Route 53を対象とするアプリケーション保護を強化する有料サービスで、L3/L4/L7レベルのDDoS攻撃を緩和する。

AWS Artifact

ISO、PCI、SOCレポートなどの、AWSクラウドでのコンプライアンスとセキュリティに関するドキュメントをオンラインでダウンロードできるサービス。ダウンロードしたドキュメント(監査アーティファクト)は信頼している相手のみと、セキュアなドキュメント共有サービスを使用して共有することが推奨されている。

まとめ

その3をお届けしました。機械学習と分析は、いわゆるビッグデータを背景にしたサービスで、長くお世話になりそうです。

またセキュリティ、アイデンティティ、コンプライアンスの各サービスは、それぞれ適用範囲や機能が異なります。特徴を理解したうえで組み合わせて利用することで、よりセキュアなシステムを構築できるはずです。

まとめも大詰め、その4もお楽しみに!