この記事は AWS(Amazon Web Services)Advent Calendar 2024 2 日目の記事です。
はじめに
現地時間 2024/12/1 に書いています。初日 (Day 0) の気になったアップデートメモです (すべては拾い切れていません)。
期間中の主要な発表は以下のブログに掲載されていくようです。
生成 AI 関連
Amazon Bedrock が Rerank API をサポート
Bedrock でリランクモデルが利用できるように。検索したドキュメントとユーザーのクエリの意味的な類似度を計算し、その一致度で並べ替えを行うことで、RAG 精度向上が期待できる。ナレッジベースの場合は、 Retrieve および RetrieveAndGenerate API で Rerank モデルを利用できるとのこと。
Amazon 謹製のモデルあり。モデル ID は以下。東京リージョンでも利用可能。
- amazon.rerank-v1:0
- cohere.rerank-v3-5:0
Amazon Bedrock Knowledge Bases がカスタムコネクタとストリーミングデータの取り込みをサポート
データソースタイプに CUSTOM が追加。カスタムデータソースを使うと、例えばインラインでテキストを渡してドキュメント化できる。
データソースが S3 またはカスタムの場合、ドキュメント単位でソースデータの追加、削除ができるようになった (追加ごとの完全同期、sync の作業が不要)。
Amazon Bedrock Knowledge Bases での RAG 評価機能と Amazon Bedrock model evaluation での LLM-as-a-judge 機能が発表 (Preview)
Amazon Bedrock Knowledge Bases の RAG 評価機能は検索結果の質や関連度を評価させる機能をマネージドで提供するもの。Amazon Bedrock model evaluation での LLM-as-a-judge は人間に変わって LLM がモデルの評価を実行する。
AWS DMS Schema Conversion で生成 AI が使用できるように
スキーマ変換は移行元データベーススキーマとデータベースコードオブジェクトターゲットデータベースと互換性のある形式に変換する機能。生成AIによるデータベースオブジェクトの変換が可能になった。Oracle to PostgreSQL/Aurora PostgreSQL および SQL Server to PostgreSQL/Aurora PostgreSQL の変換をサポート
コンテナ関連
Amazon EKS Auto Mode
コンピュートノード (EC2) の作成、スケーリング、パッチ適用などの作業を AWS 管理で実行してくれる。明言されていないが、自動スケーリングなどは内部で Karpenter が動いていそう。Managed Node Group や Karpenter、EKS Fargate からの以降手順も用意されていくようで、今後 Auto Mode がスタンダードになっていく可能性がある。
Amazon EKS Hybrid Nodes
AWS で実行、管理されるコントロールプレーンを使用しながらSite to Site VPN または Direct Connect で接続されたオンプレミス環境上でコンピュートノードを実行できる。Amazon EKS Anywhere はコントロールプレーンも含めてユーザー側で管理する必要があった。
- Amazon Linux 2023、Ubuntu、RHEL をサポート
- ただし OS 部分は AWS サポートの対象外
- Hybrid Nodes を実行する vCPU 単位で追加料金が発生する
ネットワーク関連
AWS Verified Accessが HTTP(S) 以外のプロトコルをサポート (Preview)
Amazon Verifed Access は信頼された IdP のユーザー情報やデバイスプロバイダー (Jamf など) から得られたデバイス情報をもとにセキュアなアクセスを提供するためのサービス。これまでは HTTP(S) アプリケーションのみをサポートしていたが、TCP、SSH、RDP などのプロトコルを介した接続も保護できるようになった。
AWS PrivateLink & VPC Lattice により VPC/AWSアカウント間をシームレスに統合可能に
NLB 不要で VPC リソースへ PrivateLink 接続できるように。更に EventBridge および Step Function で VPC Lattice 経由で別環境プライベートリソースへの接続が可能に。
リソースオーナー側で Resource Gateway を設定し、ターゲットのIPやDNSを設定することで
クライアント側のリソース VPC エンドポイントからアクセスできるようになる。
ドキュメントより引用
EventBridge は API Destination の宛先として PrivateLink & Lattice 経由で別VPC/アカウントのプライベートリソースに接続可能。
ドキュメントより引用
Step Functions の場合も Call HTTPS APIs の宛先として PrivateLink & Lattice 経由で別VPC/アカウントのプライベートリソースに接続可能。
ドキュメントより引用
移行/ストレージ関連
Amazon S3 で 新しいオブジェクトに対するデフォルトのデータ整合性保護が追加
- データ転送中に自動的にチェックサムを検証し、完全性を保証するようになった
- オブジェクトメタデータに、オブジェクト全体のチェックサムが追加され完全性を確認できる
- SDKの最新バージョンにアップグレードするだけで有効になるのでアプリケーションの変更は不要
- AWS CLI はこれまでもチェックサムを検証してくれていたが、これが SDK や サービスレベルで保証されるようになったイメージ (多分)
AWS Transfer Family Web App の発表
AWS Transfer Familyの新機能として S3 にアクセス可能な Web アプリを提供。Transfer 本体とは別料金。つまり Transfer の Server は 不要で独立して利用可能。Cyberduck 等のサードパーティを使用してエンドユーザーや従業員にアクセスを提供していた場合は代替となり得る。
AWS IAM Identity Center および S3 Access Grants (S3 のアクセスポリシーを IdP 側の属性情報に基づいて設定できる機能) と統合されており、アクセス制御が可能。
Storage Browser for S3 の GA
こちらは AWS Amplify で利用できる「セルフマネージド」な Web UI。
セキュリティ、ガバナンス関連
Amazon EC2 で事前許可された AMI のみを使用できるように
アカウント内で許可された所有者の AMI を表示、利用できる。パブリック共有された AMI など意図しない AMI を使用するリスクを低減できる。
AWS Organization で宣言型ポリシーが利用可能に
SCP のように API アクション単位で拒否する機能ではなく、IMDSv2 の使用や先日発表された VPC の Block Puliic Access、前述の許可された AMI など事前に定義された「属性」単位で制御が可能。ポリシーに違反したリソースは作成に失敗する。
AWS Control Tower で宣言型ポリシーをサポート
Control Tower の予防的コントロールとして前述の宣言型ポリシーが追加された。Control Tower を使用している環境であればマネージドにポリシーの作成及び適用が行える。
追加されたコントロールは以下
- [CT.EC2.PV.7] Amazon EBSスナップショットのパブリック共有をすべて禁止する
- [CT.EC2.PV.8] インターネットゲートウェイ (IGW) または出力専用インターネットゲートウェイ (EIGW) を介した VPC へのインバウンドおよびアウトバウンドのインターネット接続を禁止する
- [CT.EC2.PV.9] すべてのEC2インスタンスのEC2シリアルコンソールへのアクセスを禁止する
- [CT.EC2.PV.11] Amazon マシンイメージ (AMI) の公開共有を禁止する
Analytics 関連
CloudWatch と OpenSearch の zero-ETL 統合
主に二つのアップデートで構成される
- CloudWatch Insights で OpenSearch PPL/SQL を実行できるように
- データを CloudWatch から移動せずに、OpenSearch から直接分析、ダッシュボード化できるように
AWS Clean Rooms で複数のデータソースとクラウドをサポート
データコラボレーションサービスの AWS Clean Room で、データソースとしてこれまでの S3 だけでなく、Snowflake および Athena をサポート。Snowflake 上に保管されているデータを直接共有したり、そのデータに AWS Lake Formation の行列レベルのアクセス制御や AWS Glue Data Catalog View の機能を使用して Athena 経由でクエリ実行したりできる。
データベース関連
Amazon MemoryDB Multi-Region の発表
インメモリで低レイテンシーの読み書きを実行しながら、データの永続性も提供する Amazon MemoryDB がマルチリージョンで展開可能に。エンジンは Valkey でのみ使用可能。
Oracle Database@AWS の発表 (Limited Preview)
AWS データセンター内の Oracle Cloud Infrastructure (OCI) が管理する Exadata インフラストラクチャ上の Oracle Database Services が利用できるように。課金は Marketplace 経由。AWS の割引プログラムのコミットメントにも加算される模様。
ドキュメント より引用
その他
請求書設定の発表
法人、子会社、コストセンターなどの組織構造に AWS アカウントをグループ化し、個別に請求書を発行できる。