はじめに
この記事は、NSSOL Advent Calendar 2024の14日目の記事です。
現在私はインフラ系事業本部の中でパブリッククラウド領域を担当しており、先日(2024/12/2~6)ラスベガスで行われたAWS(Amazon Web Services)の学習型カンファレンスである re:Invent 2024にも現地参加してきました。
re:Invent本体については別途弊社のブログに掲載予定ですが、今回はre:Invent開催期間前に大量に発表されたアップデート(いわゆるpre:Invent/re:Invent予選落ちアップデート)の内、個人的に気になったAWSサービスのアップデート5選について、概要となぜ嬉しいかについて書いていきたいと思います。
対象となるアップデートの範囲
以下の期間に発表されたアップデートを対象とします。
Start:アップデートが増え始めた11月中旬(今回は11/15とする)
End:11/30 ※12/1に発表のアップデートはAWS re:Invent 2024 速報に含まれるため本編での発表とみなします
AWS re:Invent 2024 予選落ちアップデート から気になる5選
※元々ネットワーク系のエンジニアだったためネットワーク関連のアップデートに偏り気味ですがご了承ください。
Amazon CloudFront VPC Origine
概要
CloudFrontがVPC Origineに対応し、CloudFrontからVPCのプライベートサブネットにあるApplication Load Balancer (ALB)、Network Load Balancer (NLB)、EC2 インスタンスへ直接接続できるようになりました。
何が嬉しい?
これまではVPC上のApplication Load Balancer (ALB)、Network Load Balancer (NLB)、EC2 インスタンスにCloudFront経由で接続したい場合、それらのリソースをパブリックサブネット(インターネットと直接通信できるサブネット)に配置する必要があり、その目的のためにパブリックサブネットを作らざるを得ませんでした。
また、インターネットからオリジンへのアクセス制限を行う場合にも、セキュリティグループとマネージドプレフィックスリストを利用することでCloudFront経由に絞ることは可能なものの特定のCloudFrontディストリビューション経由に絞ることはできず、特定のCloudFrontディストリビューション経由に絞る場合はHTTP Headerを利用した制限方法となり、Header値の流出による不正アクセスの懸念などがありました。
今回、CloudFrontがVPC Origineに対応したことにより、(CloudFront経由以外の通信要件がなければ)外部公開目的のためのパブリックサブネットを作る必要がなくなり、インターネット上からCloudFrontを経由せずオリジンに到達するルートを封じることができるようになりました。今後のアーキテクチャのベストプラクティスにも影響しそうな予感です。
Amazon CloudFrontがAnycast静的IPアドレスに対応
概要
CloudFrontがAnycast静的IPアドレスに対応しました。
Anycast静的IPアドレスとは、複数のネットワークインタフェースに対して固定のIPアドレスが割り当てられ、エニーキャストアドレスが割り当てられたインタフェース群の中でネットワーク的な距離が最も近いインタフェースに配信されるという技術です。
これまでAWS Global Acceleratorを利用することでALB/NLB/EC2/Elastic IPアドレスにおいてはAnycast静的IPアドレスに対応していましたが、今回CloudFrontでもAnycast静的IPアドレスが利用できるようになりました。
何が嬉しい?
今回のアップデートでCloudFrontのIPアドレスが固定できるようになりました。
これまでCloudFrontのIPアドレスは固定できなかったため、クライアント側でIPアドレスベースの送信先制限を行っていた場合に個別対応(CloudFrontを経由しない入り口を作る、など)が必要になったり、広いIPアドレスレンジへの通信を許可する必要がありました。
実際そのような対応をしたことがあったため今回のアップデートは嬉しいものでありました。ただ、月額3,000 USDと決してお安くないため、使用するかはよく検討する必要がありそうです。
クロスゾーンが有効な Application Load Balancer がゾーンシフトとゾーンオートシフトのサポートを開始
概要
クロスゾーンが有効なALBにおいてAmazon Application Recovery Controller(Amazon ARC) のゾーンシフトとゾーンオートシフト機能がサポートされるようになりました。Amazon ARCはマルチ AZ またはマルチリージョンアプリケーションの障害を迅速に復旧するためのサービスです。ゾーンシフトはその中でも、障害が発生したAZへトラフィックが流入しないように切り離す機能であり、ゾーンオートシフト機能はAWS側で障害を検出後自動的に切り離しを行う機能です。
これまではAmazon ARCを利用する場合ALBのクロスゾーンは無効化しておく必要がありましたが、今回のアップデートにより、クロスゾーンが有効なALBにおいてもAmazon ARCが利用可能になりました。
何が嬉しい?
ALB配下のリソースに対しAZ関わらず均等にリクエストを振り分けるためにはクロスゾーンを有効化させておく必要がありますが、その場合これまではAmazon ARCゾーンシフトおよびゾーンオートシフト機能が利用できませんでした。
今回のアップデートにより両立が可能になったため、Amazon ARCゾーンシフトおよびゾーンオートシフト機能の適用ハードルが下がったのではないかと思います。
Amazon API Gateway Private REST API Customドメイン対応
概要
これまでAPI Gateway Private REST APIはCustomドメインに対応しておらず、AWSから提供されるDNS名を利用するか、どうしてもカスタムドメイン名を利用したい場合は以下のように手前にALB/NLBを挟む必要がありました。
https://repost.aws/ja/knowledge-center/invoke-private-api-gateway
今回のアップデートで、API Gateway Private REST APIにおいてCustomドメイン名が利用できるようになりました。
何が嬉しい?
Customドメイン名が利用できることで、Private REST APIにおいても、ユーザ管理の独自ドメイン名が利用できるようになりました。
Privateネットワーク内の通信においても独自ドメインのFQDNで通信を行いたいというケースや移行前後で接続先FQDNを変更したくないケースは実際直面したことがあったので、今回のアップデートは待望のものでした。
AWS OrganizationsがResource Contorol Policyに対応
概要
AWS Organizationsにおいて、リソースベースのアクセス制御ポリシーであるリソースコントロールポリシー (RCP) が利用できるようになりました。これまでService Control Policyにより組織内の複数のAWSアカウントに対するIAMポリシーアクションに制限をかけることは可能でしたが、今回のアップデートでリソースベースの制御が行えるようになりました。
何が嬉しい?
RCP を使用すると、利用しているAWS リソースへのアクセスを一元的に制限することができます。例えば、アカウント内の S3 バケットに対するアクセスを制限して組織に属するプリンシパルのみがアクセスできるようにし、外部のAWSプリンシパルからのアクセスは禁止する、などです。
リソースに対して組織内のAWSアカウント全般に統一的なアクセス制御をかけたい需要はしばしばありましたが、これまでは(Control Towerを利用した設定方法などはあるものの)各AWSアカウント構築時にそれぞれ設定が必要でした。今回のアップデートにより一元的に制限がかけられるようになり、予防的コントロールが更に行いやすくなりました。
おわりに
今回取り上げたのは5件ですが、他にも様々なアップデートがre:Invent 2024前後で発表されました。
re:Invent 2024関連の情報はインターネット上にもたくさんあり、また、会期中のセッション動画の多くはYoutubeでも配信されていますので、ぜひ見てみてください。企業や有志によるre:Capイベントもオンライン/オフライン共に多数開かれているため、そういったイベントに参加してみるのもおすすめです。