AWS re:Inforce 2024 が 2024/6/10 - 12 までペンシルベニア州フィラデルフィアで開催されています。AWS re:Inforce はクラウドセキュリティ、コンプライアンスに特化したテクノロジーカンファレンスです。
現地時間 6/11 の基調講演で新しくアナウンスされた内容をメモしています。
AWS Private CA Connector for SCEP の発表 (Preview)
- SCEP(Simple Certificate Enrollment Protocol) は、モバイルデバイス管理 (MDM) ソリューションで広く採用されているプロトコル
- Microsoft Intune や Jamf Pro などの MDM ソリューションで AWS Private CA を使用できるように
- SCEP コネクターは追加料金なしで利用可能
- プレビュー期間中はバージニア北部リージョンのみで使用可能
AWS IAM がパスキーをサポート (GA)
- ルートユーザーおよび IAM ユーザーの多要素認証 (MFA) でパスキーが使用できるように
- Apple の Touch ID や Windows Hello などの生体認証を使用してサインインできる
AWS IAM Access Analyzer が未使用アクセスを改善するための推奨事項を提供 (GA)
-
「未使用のアクセス」の検出結果のうち、IAM ロール、アクセスキー、およびパスワードについてはそれらを修正 (無効化) する手順が推奨事項として表示される
-
IAM ポリシーの場合、未使用の権限を削除した新しいポリシーを推奨し、既存のポリシーと並べてプレビューできる
-
Keynote では Preview となっていたが、ドキュメントやブログ、リリースノート等を確認する限り、一般利用可能なように思われる
Amazon GuardDuty Malware Protection for Amazon S3 の発表 (GA)
-
S3 バケットにアップロードされたオブジェクトをスキャンして、マルウェア、ウイルス、その他の疑わしいアップロードを検出する
-
アカウント内で GuardDuty のコア機能が有効になっていない場合でも、Malware Protection for Amazon S3 のみを単体で有効化できる
-
スキャン結果は EventBridge にパブリッシュされるため、オブジェクトの隔離のようなダウンストリームアクションをユーザー側で実装できる
-
スキャンされたオブジェクトに対し、GuardDutyMalwareScanStatus というタグを自動で付与できるため、ステータスによってアクセス制御を行うようなバケットポリシーを定義できる
-
スキャンできるファイルの最大サイズは 5GB
-
アーカイブファイルも解凍してスキャンしてくれる
-
including archive files with up to five levels and 1,000 files per level after it is decompressed.
- これらの制限を超えた場合や、解凍後のファイルサイズが 5GB を超えた場合もスキャンをスキップする
-
-
スキャンされた容量とオブジェクト数に対しての課金
AWS CloudTrail Lake で AI を活用した自然言語クエリ生成を発表 (Preview)
- 自然言語 (英語) で SQL クエリを生成し、AWS アクティビティイベントを簡単に分析可能
- e.g., “How many errors were logged during the past week for each service and what was the cause of each error?”
- プレビュー期間中はバージニア北部リージョンで追加料金なしで利用可能
- クエリを実行した場合、CloudTrail Lake クエリ料金は通常通り発生する