【2019年】AWS全サービスまとめ その4(セキュリティ、アイデンティティ、コンプライアンス、モバイル、ARとVR、アプリケーション統合、AWS コスト管理)

こんにちは。サービスグループの武田です。

この記事はAWS全サービスまとめ2018 | シリーズ | DevelopersIOの2019年版 その4 です。

非常にたくさんあるAWSのサービスを自分の勉強も兼ねてざっくりまとめてみました。「結局このサービスってなんなの?」という疑問を自分なりに理解するのが目的です。

今回はマネジメントコンソールを開き、「サービス」の一覧をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。

まとめるにあたって、次のドキュメントや、弊社の多数のブログを参考にしました。

AWS ドキュメント | AWS

AWS | Developers.IO

セキュリティ、アイデンティティ、コンプライアンス

AWS IAM

正式名称は AWS Identity and Access Management で、ユーザー認証やアクセス許可によって、AWSリソースへのアクセスを安全に制御するためのサービス。ユーザー、グループ、ロールといったリソースにアクセス許可を定義したポリシーを紐付けることでアクセス制御を行う。また、STS(Security Token Service)を使用することで、一時認証情報を利用したクロスアカウントアクセスやIDフェデレーションが可能となる。

[New] AWS Resource Access Manager

複数AWSアカウント間で、AWSリソースを安全に共有できるサービス。個別のアカウント間で共有する方法と、Organizationsレベルで有効化して共有する方法がある。

[新サービス]でた!AWS Resource Access Manager(RAM)でクロスアカウントのリソース共有が可能に #reinvent | DevelopersIO

Amazon Cognito

ユーザー認証(IDの発行)とアプリケーションデータの同期を行えるサービス。ユーザーディレクトリを作成、管理し、モバイルアプリおよびWebアプリに、サインアップとサインインを追加できる Cognito User Pools 。フェデレーテッドIDプロバイダで認証し、STSによる一時的な認証情報を作成できる Cognito フェデレーテッドアイデンティティ 。アプリケーション関連のユーザーデータのオフラインでのアクセスとデバイス間の同期をサポートする Cognito Sync といった機能がサポートされている。

[New] AWS Secrets Manager

フルマネージドなデータベース認証情報、APIキー、そのほか秘密情報を管理できるサービス。RDS(MySQL、PostgreSQL)やAuroraへの統合を組み込むことで、定期的なパスワードの自動ローテーションも可能。

【完全新機能】DB認証情報やOAuthキーを一元管理可能なAWS Secrets Managerが発表されました! | DevelopersIO

Amazon GuardDuty

VPCフローログ、CloudTrailイベントログおよびDNSログを監視・分析する、継続的なセキュリティモニタリングサービス。GuardDutyが生成した結果はCloudWatch Eventsとの連携が可能。

Amazon Inspector

AWSリソースの動作を分析する自動化されたセキュリティ評価サービス。評価ターゲットの各インスタンスにはInspectorエージェントをインストールする。エージェントは、安全な通信の使用、プロセス間のネットワークトラフィック、AWSリソースの動作や設定といったデータ(テレメトリー)を収集・分析し、セキュリティルールと比較を行う。

Amazon Macie

S3に保存されているデータを、機械学習によって自動的に検出、分類、保護するフルマネージドなセキュリティサービス。個人情報(PII)や知的財産などの機密データを認識し、さらにアクセスパターンとユーザーの動作を分析することで、不正アクセスの危険や不注意によるデータ漏洩などを監視する。

[New] AWS Organizations

複数のAWSアカウントを、IAMユーザーのようにポリシーベースで管理できるサービス。一括請求(コンソリデーティッドビリング)という、メンバーアカウント(組織に追加したアカウント)で発生した費用を、マスターアカウント(組織を作成したアカウント)でまとめて支払いをする機能を含んでいる。これまでは、右上の自分のアカウントをクリックして 自分の組織 から遷移していたが、マネジメントコンソールのサービス一覧にも追加された。

AWS Single Sign-On

Microsoft Active Directoryの認証情報を使用してシングルサインオンを管理するサービス。AWS Organizationsで管理されているAWSアカウントやビジネスクラウドアプリケーション(Office 365、Salesforce、Boxなど)、SAML 2.0をサポートするアプリケーションにSSO可能となる。クラウドのAD(Microsoft AD)あるいはオンプレミスのAD(Microsoft ADと信頼関係またはAD Connector)がサポートされるが、Simple ADはサポートしていない。

AWS Certificate Manager

AWSの各種サービスで使用するSSL/TLS証明書のプロビジョニング、管理、およびデプロイができるサービス。Webサイトやアプリケーションに直接証明書をインストールすることはできず、サポートされているサービスにインストールして使用する。発行される証明書の有効期限は13ヵ月で、自動的に更新される。

[New] AWS Key Management Service

フルマネージドな暗号化キーの作成・管理サービス。EBS、S3、Redshift、Transcoder、WorkMail、RDSなどのAWSサービスと統合されており、ユーザーが管理する暗号化キーでのデータの暗号化を簡単にする。晴れてマネジメントコンソールのサービス一覧に追加された。

AWS CloudHSM

フルマネージドなハードウェアセキュリティモジュール(HSM)管理サービス。FIPS 140-2 レベル3に準拠しており、高いセキュリティ要件が求められるサービスでも利用できる。CloudHSMクラスタの作成には、リージョン内の各AZにHSMを作成したHA(高可用性)構成にすることが推奨されている。

AWS Directory Service

フルマネージドなディレクトリサーバーサービス。クラウドネイティブなグラフベースのディレクトリストアである Amazon Cloud Directory 。モバイルアプリまたはWebアプリにサインアップとサインインを追加するユーザーディレクトリ Amazon Cognito Your User Pools 。マネージド型Microsoft Active Directoryである Microsoft AD 。Samba 4を搭載したAD互換のディレクトリ Simple AD 。そして、オンプレのADと連携する AD Connector の、5種類のディレクトリタイプが提供されている。

AWS WAF

CloudFrontまたはALBに転送されるHTTP/HTTPSのリクエストをモニタリングし、悪意のあるリクエストを検出・防御できるWebアプリケーションファイアウォール。条件、ルール、Web ACLを作成することで、コンテンツへのアクセスを制御できる。またマネージドルールも提供されている。

AWS Shield

DDoS攻撃からAWSリソースを保護するためのサービスで、 StandardAdvanced の2つの異なる保護レベルが提供されている。Standardは無料で自動的に適用され、SYN/UDPフラッド攻撃やリフレクション攻撃といったL3/L4レベルの攻撃を緩和する。AdvancedはELB、CloudFront、Route 53を対象とするアプリケーション保護を強化する有料サービスで、L3/L4/L7レベルのDDoS攻撃を緩和する。

AWS Artifact

ISO、PCI、SOCレポートなどの、AWSクラウドでのコンプライアンスとセキュリティに関するドキュメントをオンラインでダウンロードできるサービス。ダウンロードしたドキュメント(監査アーティファクト)は信頼している相手のみと、セキュアなドキュメント共有サービスを使用して共有することが推奨されている。

[New] AWS Security Hub

すべてのAWSアカウントにおける高優先度のセキュリティアラートおよびコンプライアンス状況を包括的に確認できるサービス。GuardDuty、Inspector、Macieなど複数のAWSのサービスとサードパーティのセキュリティアラートや検出結果をまとめて確認できる。

[速報]セキュリティ情報を一括で管理できるAWS Security Hubが発表されたので使ってみました! #reinvent | DevelopersIO

モバイルサービス

[New] AWS Amplify

AWS Amplifyはクラウドサービス(デフォルトではAWS)を利用するフロントエンド・モバイル開発向けのJavaScriptライブラリ。一方でAWS Amplify コンソールはWebアプリケーションの継続的デプロイおよびホスティングサービス。AMCからアクセスできるのは AWS Amplify コンソール で、AWS Amplifyとは直接は無関係(GET STARTEDのリンクはある)。

新サービス「AWS Amplify Console」登場!簡単3ステップでWebアプリのCI/CD環境を構築! #reinvent | DevelopersIO

AWS Mobile Hub

モバイルアプリのための、Cognito、Lambda、Device Farm、PinpointなどのAWSサービスと連携する統合コンソール。サインインやプッシュ通知といった機能をもったアプリケーションの構築、テスト、モニタリングを行う。

AWS AppSync

フルマネージドなGraphQLを使用したオンライン/オフラインのリアルタイムデータ同期サービス。データソースとしてDynamoDB、Lambda、Elasticsearch Serviceがサポートされている。

AWS Device Farm

クラウド上の実際のデバイスを使用してiOS、Android、Webアプリをテストできるテストサービス。テストデバイスのリストはドキュメントを参照のこと。

拡張現実 (AR) とバーチャルリアリティ (VR)

Amazon Sumerian

拡張現実(VR; Augmented Reality)、仮想現実(AR; Virtual Reality)、および3Dアプリケーションの作成・ビルド・起動を提供するサービス。PollyやLexと連係することで、3Dキャラクタを喋らせることも可能。

アプリケーション統合

[Update] AWS Step Functions

タスクとステートマシンの概念に基づく、分散アプリケーションとマイクロサービスを調整するワークフローサービス。ドメインロジックはLambda関数やAWSサービス、またはEC2やECSを使用して定義する。また、ワークフロー全体はステートマシンとして、JSONベースの言語、ASL(Amazon States Language)を使用して定義する。

Amazon MQ

フルマネージドなApache ActiveMQのメッセージブローカーサービス。JMSなどのAPIや、AMQPやOpenWireなど多くのプロトコルをサポートしているため、既存のメッセージブローカーからのアプリケーション移行に適している。

Amazon Simple Notification Service

フルマネージドなプッシュ型メッセージングサービス。サブスクライブしているエンドポイントまたはクライアントへの、メッセージの配信または送信を調整し管理する。サポートしているサブスクライバーはHTTP/HTTPS、Email、SMS(ショートメッセージ)、SQS、Lambda、アプリケーション(モバイルなど)。ただしモバイルへのプッシュ通知はMobile Hubの利用が推奨されている。

Amazon Simple Queue Service

フルマネージドなプル型メッセージキューイングサービス。信頼性が高くスケーラブルなキューサービスで、分散アプリケーションコンポーネント間の密結合を防ぐ。スタンダードキューとFIFOキューがサポートされている。

Amazon SWF

正式名称は Amazon Simple Workflow Service で、アクティビティとデサイダーの概念に基づく、複数の分散コンポーネントを調整するワークフローサービス。ドメインロジックはアクティビティとして実装し、ワークフロー全体はデサイダーとして実装する。実装に際しては、Flow Frameworkを使用するのが一般的(ただし一部言語のみ)。なお実装は複雑になるため、可能であればStep Functionsを使用することが推奨されている。

AWS コスト管理

[New] AWS Cost Explorer

AWSのコストとサービス使用状況を可視化するサービス。グラフでのコスト分析、使用状況レポート、リザーブドインスタンス(RI)レポートなどが取得できる。これまでは、右上の自分のアカウントをクリックし、請求ダッシュボード > Cost Explorer > コストエクスプローラーを起動というフローをたどる必要があった。

[New] AWS Budgets

予算を設定し、コストまたは使用量が予算額や予算量を超えたとき(または超えると予測されたとき)にアラートを発報するサービス。またRI使用率やRIカバレッジを設定し、使用率が設定したしきい値を下回った場合にアラートを受け取ることもできる。これまでは、右上の自分のアカウントをクリックし、請求ダッシュボード > Budgetsというフローをたどる必要があった。

[New] AWS Marketplace のサブスクリプション

AWS Marketplaceで公開されているAMIを購入してサブスクライブしているソフトウェアを管理するサービス。従来サブスクリプションの管理はAMCとは別のサイトで行っていたが、これがAMCでもできるようになった。

まとめ

マネジメントコンソールのまとめその4でした。セキュリティ、アイデンティティ、コンプライアンスのカテゴリではやはり「複数AWSアカウント」環境で便利なサービスが増えた印象です。またAWS コスト管理のカテゴリは従来からあったサービスが一覧に追加された形でした。なかなか見つけにくい場所にあったので、探しやすくなりよい変更ですね。

それでは、次のその5はサービス一覧としては最後になります。お楽しみに!