どうも、若松です。
前回の記事に引き続き6月前半のアップデートを追いかけます。
ちょうどAWSのセキュリティ年次イベントであるre:Inforceの時期だったこともありセキュリティ多めです。
(追記)一覧にまとめました
AWSアップデート2023年6月前半編
Amazon Detective は検索グループを Amazon Inspector に拡張します
今までDetectiveはGuardDutyが対象でしたが、Inspectorも対象範囲に入ったようです。
なかなか手が回らないサーバー周りの脆弱性対策にとってありがたい存在になりますね。
Amazon Inspector が AWS Lambda 関数のコードスキャンの一般提供を発表
InspectorがLambdaにデプロイされた関数やレイヤーのコードのスキャンまで対応しました。
これですべての主要なコンピュートサービスにInspectorが対応したことになります。
デプロイする前にスキャンして脆弱性があればデプロイを弾く等できればよいですが、それは今後に期待ですかね。
Amazon Verified Permissionsが一般利用可能になりました
昨年のre:Inventで発表されたVerified PermissionsがGAとなりました。
独自言語(フォーマット)のCedarを用いて、きめ細やかな権限管理を行えます。
AWS IAM Identity Center が Google Workspace からの自動ユーザー プロビジョニングをサポートするようになりました
これは前職で死ぬほど要望していた機能でした。
今まではGoogle WorkspaceからAWS IAM Identity Center(旧AWS SSO)に自動でユーザーをプロビジョニングできないため、ssosyncというAWS謹製ツールを噛ます必要がありました(ただしバグが多い。。)
今回のリリースで不要なツールを噛まさずに直接SKIM連携できるようになったので、運用が楽になると思います。
AWS が Amazon Inspector でのソフトウェア部品表エクスポート機能を発表
InspectorがSBOMと略されるSoftware Bill of Materials(ソフトウェア部品表)のエクスポートに対応しました。
ソフトウェアを構成するコンポーネントやライセンスデータを一覧にした表をSBOMと言うそうで、ライセンス管理や脆弱性管理などに利用されます。
Amazon CodeGuru Security がプレビューで利用可能になりました
CodeGuru Securityという新しいサービスがプレビューでリリースされました。
元々のパフォーマンスチェックに加え、脆弱性の有無を特定し、その修正案を提供してくれます。
AWS Security Hub の自動化ルールを発表
Security Hubのセキュリティチェック項目が日々増えていきます。
その適用/不適用については手動で行っていましたが、今回の自動化ルールによって自動的に適用/不適用を決定してくれるようになりました。
自動化ルールさえ決めておけばいいのは楽でよいですね。
Amazon EC2 Instance Connect は、パブリック IP アドレスなしの SSH および RDP 接続をサポートします
Instance Connect用のEICエンドポイントを作成することで、パブリックIPを使用せずにSSHやRDPでアクセスできるようになりました。
SSM Session Managerでも同じことはできましたが、SSMAgentが絡まないのでより簡素になった印象です。
加えてIAMベースのアクセス制御や接続ログの記録もできるので、今後のサーバーログインはこちらが主流になるかもしれません。
Amazon SQS が、AWS SDK または CLI を介したデッドレターキューのリドライブのサポートを発表
SQSのデッドレターキューに入ったメッセージを未使用メッセージとして戻すことができるようになりました。
メッセージが悪さをしておらず受け手側の問題でメッセージが処理されなかった場合、受け手側の正常化に合わせてデッドレターキューから戻すといったことができるようなります。
Amazon CloudWatch Logs で Live Tail を発表し、リアルタイムのログ探索を提供
CloudWatch Logsにログ吐かれたかなーと待つことは多々ありますが、通常の画面では自動で更新されません。
今回発表されたLive Tail機能を使うとLinuxのtailコマンドのように自動で表示され、スクロールも行ってくれます。
AWS Database Migration Service Serverless の一般提供開始の発表
DMSはDMSインスタンスがネックで処理が進まない等インスタンス自体の問題になることが多いですが、この度サーバーレス版がリリースされました。
イメージはAurora Serverlessに近いのかなと思いますが、変換処理をするコンピュート部分と自動スケールするストレージ部分でコンポーネントが別れているようです。
インスタンスを建てなくてよくなったという面ではよいと思いますが、性能がでるかどうか別の話、、
まとめ
ようやく先月頭まで来ました(絶望
この期間はセキュリティ関連がとにかく多くて大変でした。。
以前の記事