本記事はガバメントクラウド Advent Calendar 2024の6日目(12/6)の記事です。
はじめに・Disclaimer
VTuber のうさねこらーじです。所属はプロフィールを見てください。
普段は雑談配信をしたり競技プログラミング配信をしたりしています。
ガバメントクラウド Advent Calendar を作ったのは私です。非公開情報が多いのであまり盛り上がらないかと思いましたが、思ったより盛り上がってくれてうれしいです。皆様ありがとうございます。
最近、re:Invent 2024 がありましたね。毎年恒例ですが、その期間及びその前後には多くの AWS アップデートがあります。今回は、その中からガバメントクラウドで使えそうなものを主観で選んでご紹介していきます。
⚠️⚠️⚠️この記事の内容はすべて私個人の感想であり、所属する機関とは全く関係がありません。⚠️⚠️⚠️
⚠️⚠️⚠️「ガバクラで使えそう」というのも私個人の感想です。また、ガバクラには非公開情報も多く理由はあまり詳細に書いていませんがご了承ください。⚠️⚠️⚠️
⚠️⚠️⚠️記載に間違いがあった場合コメント欄や Twitter の DM、メールなどでそっと教えてください。それ以外のところから問い合わせないでください。⚠️⚠️⚠️
地方自治体のための aws について学ぶには?
まず、こちらの AWS ソリューションアーキテクト松本さんの AWS サミット登壇資料をご覧ください。
先行事例から分かってきた、自治体職員がガバメントクラウド利用をする上で考えておくこと(AWS-48)
こちらのページもおすすめです。
地方自治体のためのガバメントクラウド情報サイト( AWS 環境 )
特に技術観点では、「知る」のページがお勧めです。デジタル庁の資料などはリンクしていいのかわからないものも多いため、このブログでもAWSブログの内容は積極的に引用していきます。
コンピュート系
Request future dated Amazon EC2 Capacity Reservations
Amazon EC2 がオンデマンドキャパシティでインスタンスを起動するためのプロビジョニング制御を導入
この二つのアップデートは、EC2 のキャパシティを事前に予約するものです。将来の日付も指定できます。ガバメントクラウドへの移行では同時期に大量の EC2 サーバーが建てられることになると思いますので、こちらの機能を有効に活用して EC2 のキャパシティが足りず立ち上がらなかったという事態を確実に防ぐことができます。
ネットワーク系
今回は AWS PrivateLink で素晴らしいアップデートが 2 件ありましたので紹介していきます。
まず、AWS PrivateLink がガバメントクラウドのどの部分で使われうるのか簡単に説明しておきます。
上の図は「先行事例から分かってきた、自治体職員がガバメントクラウド利用をする上で考えておくこと(AWS-48)」の資料の抜粋です。
基本的に自治体庁舎とアプリケーション領域は IP アドレスが重複しないように管理していただくものですが、共同利用方式アプリケーション分離の場合などそれが難しいこともあります。
この場合、図の下部のように PrivateLink を用いて IP アドレスが重複する VPC 内のサービスにアクセスする場合があります。
AWS announces access to VPC resources over AWS PrivateLink
今まで、VPC 内のリソースに PrivateLink を使ってアクセスする場合は、Network Load Balancer を介して接続しなければならなかったのですが、その必要がなくなります。先ほどの図のようなパターンで庁舎からアプリケーションに接続する場合も当然利用できると思いますし、運用アカウントから運用保守を行うために本番アカウントの EC2 や RDS(データベース) に接続する、といった使い方もあるかもしれません。
AWS PrivateLink now supports cross-region connectivity
PrivateLink 経由で、別のリージョンにあるリソースにもアクセスできるようになりました。このアップデートは、東京リージョンと大阪リージョンで DR (災害対策)アーキテクチャを組んでいる場合に便利です。例えば東京近郊で災害が起こって、 Direct Connect 回線は庁舎と大阪リージョンとのものを使うようにした場合も、東京リージョンに残っているリソースにこの機能を使ってアクセスできます。
AWS announces Block Public Access for Amazon Virtual Private Cloud
VPC の Internet Gateway を使ったインターネットへの接続を禁止することができます。セキュリティグループやNACLの設定、管理が出来ている環境であれば必須ではないのですが、ガバメントクラウドでは閉域であることが非常に重要となっておりますので、人為的なミス等を防げる便利なアップデートと言えるでしょう。
データベース系
Oracle Database@AWS is now in limited preview
Oracle Exadata のインフラストラクチャが AWS データセンター上で使えるようになるとのことです。既存のアプリケーションで Exadata をご利用の場合、AWS への移行に困難を抱えることもあったのではないでしょうか。まだ Preview なので、GA に期待ですね。
ストレージ系
Storage Browser for Amazon S3 is now generally available
Storage Browser for S3 は、S3 のデータにアクセスできるインターフェースを簡単に Web アプリに追加できるようにするコンポーネントです。
Announcing AWS Transfer Family web apps
このアドベントカレンダーの5日目の記事、ガバクラで良く出てきそうなサービスシリーズ!?AWS Transfer Family(SFTP)の超基礎 にもある AWS Transfer Family を使っているときに、S3の中身を確認できるファイルブラウザのようなアプリケーションのリンクを発行できるという機能です。
以上の2つのアップデートで言いたいことは、 S3 のファイルを見るアプリを作るのが楽になったということです。
地方公共団体情報システム共通機能標準仕様書【第 2.1 版】にあるように、ガバメントクラウドではシステム間のデータ連携においてオブジェクトストレージ内にCSVファイルを配置することによるファイル連携を行うことがあります。またその他の場面でも、ストレージとして Amazon S3 を用いることもあるでしょう。そのため自治体庁舎などから職員が S3 の中身を見たいというニーズがあるのではないかと思い、この2つのアップデートをピックアップしました。
Amazon S3 が、AWS アカウントあたり最大 100 万バケットのサポートを開始
ファイル連携に関する詳細技術仕様書にあるように、ファイル連携を行うには業務の組み合わせの個数の S3 バケットを作る必要があります。これまでのデフォルトのクオータ(制限)は 100 バケットまでだったので、少なかったです。クオータを引き上げるという手間が省けますね。
Amazon EBS announces Time-based Copy for EBS Snapshots
非機能要件として RPO(目標復旧時点)の数値が定められていることもあるでしょう。このアップデートでは、特定期間以内にスナップショットコピーを完了することを保証できる機能が追加されたため、RPO を確実に満たすことができます。
サーバーレス系
Amazon EventBridge and AWS Step Functions announce integration with private APIs
ガバメントクラウドは当然プライベートなコンポーネントが多いわけです。今まで StepFunctions でプライベートな API を実行する場合は、Lambda など別の AWS サービスを経由して呼び出す必要がありました。今回のアップデートにより EventBridge 経由などで直接プライベートな API も実行可能になることで、Lambda などを余計に作成する必要がなくなります。
Amazon API Gateway がプライベート REST API のカスタムドメイン名のサポートを開始
Amazon API Gateway (APIGW) で、ユーザーにとって使いやすいカスタムのプライベート DNS 名 (private.example.com など) を使用してプライベート REST API を管理することができるようになりました。今まではパブリックな API Gateway にしかカスタム DNS 名を付けられなかったので、このアップデートにより閉域の API Gateway も管理しやすくなりました。
aws-samples に閉域でのサーバーレステンプレートも存在するので、こちらもぜひご確認ください(これはこのアップデート前に作られたものです)
セキュリティ系
Amazon GuardDuty introduces GuardDuty Extended Threat Detection
ガバメントクラウドでも活用されている GuardDuty で、Extended Threat Detection という機能が使えるようになりました。複数のイベントを集約して時系列にイベントをまとめたり関連性を確認したりして、一連の攻撃の全体像をつかむことができます。 Amazon Detective との使い分けですが、おそらくもっと詳細にログの分析を行いたい場合は Detective を使う必要があるでしょうが、Detective 単体でもある程度複数のイベントの関連性が見えるようになったというところでしょうか。
AWS announces AWS Security Incident Response for general availability
ガバメントクラウドで使うことができるようになるのかは不明ですが、目玉サービスではあると思うのでご紹介しておきます。有人のセキュリティインシデント対応サービスが GA されました。セキュリティインシデントが発生した際には能動的に復旧対応や改善のサポートをしてもらうことができます。
CloudOps 系
Amazon Web Services announces declarative policies
こちらのアップデートはガバクラユーザー向けというよりはガバクラでも使われるかもね、という程度のご紹介ですが、Organizations の設定で「宣言型ポリシー」が使えるようになりました。これにより、組織全体の設定を制御することができます。対象となる属性はこちらのドキュメントから確認できますが、VPC Block Public Access (VPC が Internet Gateway を通してインターネットに接続できなくなる)などはガバクラでも役に立ちそうです。
まとめ
10 選にするつもりが 15 選になってしまいました。
つらつらとアップデートを挙げるだけになってしまいましたが、re:Invent 周りのアップデートは人知を超える量ですので、見る量を絞るというだけでもきっとお役に立つと思っています。
それではまたどこかでお会いしましょう。
もしよろしければQiita のフォロー・お気に入り・YouTube のチャンネル登録よろしくお願いいたします。