ピックアップ情報について
スナップショットからEBSボリューム作成時のIAM制御が強化された件について
1/31にEBSボリュームをスナップショットから作成するための条件をより細かく制御できるようになりました。
例として、「特定のスナップショットからのEBSボリューム作成は許可するが、他のスナップショットは許可しない」といった制御が可能になります。
また、作成元のスナップショットには、EC2固有の条件キーである以下の5つの条件キーを使用することができます。
・ec2:Encrypted(暗号化の有無)
・ec2:VolumeSize(ボリュームサイズ)
・ec2:Owner(スナップショットの所有者)
・ec2:ParentVolume(元のボリューム)
・ec2:SnapshotTime(スナップショットの作成時間)
これにより、「特定のボリュームサイズを超えるEBSの作成は禁止する」や「暗号化されていないスナップショットを利用したEBS作成は禁止する」などの制限が可能になりました。
そもそも、CreateVolume(EBSボリューム作成)のアクションで一から新しく作る場合と、スナップショットから作成する場合に分けて制御できるようになったことを今回のアップデートで知りました。
奥が深いですね~、なんて言っている間にもどんどん新しい項目が増えていそうですが・・・。
実際にポリシーを作成してみた
今回特定のスナップショットからのみEBSボリュームを作成するためのポリシーを作ってみました。
このポリシーは下記の条件を満たしたスナップショットからのみEBSボリュームを作成することができます。
・暗号化 (ec2:Encrypted: true) されている
・ボリュームサイズが 100GB以下
・スナップショットの作成日時が2025年1月1日以降
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:CreateVolume", "Resource": "arn:aws:ec2:*::snapshot/*", "Condition": { "NumericLessThanEquals": { "ec2:VolumeSize": "100" }, "Bool": { "ec2:Encrypted": "true" }, "DateGreaterThan": { "ec2:SnapshotTime": "2025-01-01T00:00:00Z" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "ec2:CreateVolume", "Resource": "arn:aws:ec2:*:*:volume/*" }, { "Sid": "VisualEditor2", "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeSnapshots" ], "Resource": "*" } ] }
まとめ & 追加のご案内
CreateVolumeの権限を広く設定されている場合、新しい制御機能を活用して、より安全なアクセス管理に変更いただくことを一度検討してみてはいかがでしょうか。
なお、弊社マネージドクラウド with AWSサービスをご利用のお客さまにおかれましては、デフォルトでIAM操作権限が付与されておりませんので、細かく制御されたい場合は、お気兼ねなく弊社担当SEまで申請いただければと思います。
1月のアップデート一覧
1/7【Amazon DynamoDB】ポイントインタイムリカバリ(PITR)の期間を設定可能に
Amazon DynamoDBで、1~35日の範囲で設定可能なポイントインタイムリカバリ(PITR)がサポートされました。PITRにより、誤ったデータ操作から秒単位で復元が可能になり、コンプライアンス要件にも対応しやすくなります。AWSの全リージョンで利用可能で、テーブルサイズに応じた料金が発生します。
1/10【Amazon RDS for MariaDB】データベースプレビュー環境でイノベーションリリースバージョン11.7が評価可能に
Amazon RDS for MariaDBが、データベースプレビュー環境でMariaDB 11.7のサポートを開始しました。これにより、最新のイノベーションリリースを評価でき、ベクトルデータ型や検索機能の強化が含まれます。プレビュー環境はフルマネージド型で、シングルAZ・マルチAZに対応し、インスタンスは最大60日間保持されます。スナップショットはプレビュー環境内でのみ利用可能です。
1/13【AWS Security Hub】Route 53 Resolver DNS Firewallと統合し、悪意のあるDNSクエリの検出を強化
AWS Security HubがAmazon Route 53 Resolver DNS Firewallをサポートしました。これにより、悪意のあるドメインへのDNSクエリを検出し、セキュリティアラートを受け取れます。Security Hubでは、新たに3種類の検出結果が追加され、AWSマネージド・カスタムドメインリストやAdvanced機能を活用可能です。複数のAWSサービスの検出結果を一元管理でき、すべての対応リージョンで利用できます。
1/14【Amazon EC2 Image Builder】Windows ISOファイルからAMIへの直接変換をサポート
Amazon EC2 Image BuilderがMicrosoft Windows ISOからAMIへの直接変換をサポートしました。これにより、Windows AMIの作成が簡略化され、Amazon WorkSpacesのBYOLプロセスも効率化されます。従来の手動作業が不要になり、Windows 11 ISOからのAMI作成が容易になります。本機能はすべての商用AWSリージョンで利用可能です。
1/15【Amazon WorkSpaces】Amazon WorkSpaces PersonalおよびCoreの⼤規模な汎⽤⽬的バンドルを発表
AWSは、Amazon WorkSpaces PersonalおよびCore向けに、高性能なGeneralPurpose.4xlarge(16 vCPU・64GB RAM)とGeneralPurpose.8xlarge(32 vCPU・128GB RAM)バンドルを発表しました。これにより、開発者やエンジニアが要求の厳しいアプリケーションを実行しやすくなります。従量課金制で、Windows Server 2022とWindows 11のBYOLに対応しており、全リージョンで利用可能です。(ケープタウン・テルアビブ除く)。
1/16【Amazon EC2】C7i-Flex、M7i-Flexインスタンスで新しいサイズ12xlarge、16xlargeが利⽤可能に
AWSはAmazon EC2 Flex(C7i-Flex、M7i-Flex)に12xlargeと16xlargeの新サイズを追加しました。これにより、大規模なワークロードや追加メモリが必要なアプリケーションの実行が容易になります。第4世代Intel Xeonスケーラブルプロセッサを搭載し、従来のx86ベースプロセッサより最大15%高性能です。価格パフォーマンスが向上し、Webサーバーやデータベースなどに最適です。
https://aws.amazon.com/jp/about-aws/whats-new/2025/01/amazon-ec2-flex-instances-new-larger-sizes/
1/16【AWS Resource Explorer】新たに29種類のリソースタイプをサポート
AWS Resource ExplorerがAmazon FSx、Amazon Route 53、AWS Glueなどの29種類の新しいリソースタイプをサポートしました。これにより、AWS商用リージョン全体で、証明書、データパイプライン、機械学習モデル、ストレージゲートウェイなど、より多くのリソースを検索できるようになりました。
https://aws.amazon.com/jp/about-aws/whats-new/2025/01/aws-resource-explorer-29-new-resource-types/
1/16【AWS Management Console】AWSコンソールで複数アカウントへの同時サインインをサポート
AWSコンソールでマルチセッションがサポートされ、最大5つのAWSアカウントに同時サインインできるようになりました。異なるアカウントやIAMロールを組み合わせて利用可能となり、環境ごとのリソース管理やトラブルシューティングが容易になります。
1/21【Amazon EventBridge】イベントバスからクロスアカウントターゲットへの直接配信が可能に
Amazon EventBridgeイベントバスが別のAWSアカウントのサービスに直接イベントを配信できるようになりました。これにより、中間のEventBridgeやLambdaを不要にし、アーキテクチャの簡素化とコスト削減が可能になります。例えば、EventBridgeから別のアカウントのSQSキューへ直接ルーティングでき、受信側チームはIAM権限の設定のみで対応可能です。SQS、Lambda、Kinesis、SNS、API Gatewayなどのリソースにクロスアカウント配信が可能で、全AWS商用リージョンで利用できます。
1/22【AWS Client VPN】同時に複数のVPN接続をサポート
AWS Client VPNが同時接続をサポートし、複数のVPNプロファイルに同時に接続可能になりました。これにより、開発・テスト・本番環境など複数のネットワークへ切り替えなしでアクセスでき、生産性が向上します。本機能はAWS提供のClient VPNクライアントバージョン 5.0以降で利用可能で、追加料金なしで全AWSリージョンで提供されています。
https://aws.amazon.com/jp/about-aws/whats-new/2025/01/aws-client-vpn-concurrent-vpn-connections/
1/23【AWS Resource Groups】サポートするリソースタイプが172個追加
AWS Resource Groupsがタグベースのリソースグループに172種類のリソースタイプを追加対応しました。これにより、AWS Entity ResolutionやAmazon Personalizeなどのリソースをグループ化して管理可能になります。拡張されたリソースタイプは全AWSリージョンで利用でき、コンソールやAPI、CLIからアクセスできます。
https://aws.amazon.com/jp/about-aws/whats-new/2025/01/aws-resource-groups-more-resource-types/
1/23【Amazon ElastiCache】EC2インスタンスとの1クリック接続をサポート
Amazon ElastiCacheクラスターをAWSマネジメントコンソールからワンクリックでAmazon EC2インスタンスに接続可能になりました。VPCやセキュリティ設定が自動化され、新規ユーザーや開発者のセットアップが簡単になります。AWS CloudShellを使用すれば、追加設定なしでキャッシュに接続し、valkey-cliを使ったデータ操作が可能です。
1/23【Amazon CloudWatch】アラームのメトリクスデータの評価期間が最⼤7⽇間に拡張
Amazon CloudWatchでメトリクスデータの評価期間が24時間から最大7日間に拡張されました。これにより、長時間または低頻度のプロセスのモニタリングが可能になり、より深いインサイトを得られます。
1/24【Amazon EC2】東京、ロンドン、フランクフルトリージョンでI7ieインスタンスが利⽤可能に
Amazon EC2 I7ieインスタンスが欧州(フランクフルト、ロンドン)およびアジアパシフィック(東京)で利用可能になりました。第5世代Intel Xeonプロセッサ搭載で、I3en比でコンピューティング性能40%、コストパフォーマンス20%向上。最大120TBのNVMeストレージを備え、vCPUとメモリが2倍になります。AWS Nitro SSDにより、ストレージI/Oパフォーマンスが65%向上、レイテンシー50%短縮。高密度ストレージ最適化が求められるワークロードに最適です。
1/24【Amazon Aurora PostgreSQL Limitless Database】PostgreSQL 16.6を利⽤可能に
Amazon Aurora PostgreSQL Limitless DatabaseがPostgreSQL 16.6に対応しました。Bツリー動作のGIN演算子クラスやDISCARDのサポートなど、セキュリティと機能が強化されています。Aurora Limitlessは、複数のAurora Serverlessインスタンスにデータとクエリを自動分散し、スケーリングを容易にします。ワークロードの変動に応じてコンピューティングリソースを自動調整します。
1/24【Amazon EKS】Kubernetes 1.32のサポート追加
Amazon EKSとAmazon EKS DistroがKubernetes 1.32をサポートしました。EKSコンソールやeksctlで新規クラスターの作成やアップグレードが可能です。主な改善点として、カスタムリソースのフィールドセレクターの安定サポートや、ステートフルセットの永続ボリュームクレームの自動削除が追加されました。FlowSchemaとPriorityLevelConfigurationのv1beta3 APIは削除されます。
https://aws.amazon.com/jp/about-aws/whats-new/2025/01/amazon-eks-eks-distro-kubernetes-version-1-32/
1/27【Amazon EC2】Availability ZonesのZone Groupsをサポート
AWSは全リージョンでアベイラビリティーゾーンのゾーングループをサポートしました。これにより、ローカルゾーンとアベイラビリティーゾーンのグループを簡単に識別できます。DescribeAvailabilityZones APIで各リージョンのゾーングループを確認可能になり、新しい識別子(例: us-west-2-zg-1)が導入されました。
https://aws.amazon.com/jp/about-aws/whats-new/2025/01/aws-zone-groups-availability-zones/
1/30【Amazon SES】Mail Managerが⼤阪を含む新たに11のリージョンで利⽤可能に
Amazon SESのSES Mail Managerが新たに11のAWS商用リージョンで利用可能になりました。これにより、オプトイン不要のすべてのSES提供リージョンで利用できるようになります。Mail Managerは、Eメールのルーティングや配信設定、ガバナンス、コンプライアンス管理を一元化し、WorkMailとの統合やコンテンツアーカイブ、サードパーティのセキュリティアドオンとの相互運用が可能です。
https://aws.amazon.com/jp/about-aws/whats-new/2025/01/ses-mail-manager-available-new-regions/
1/30【Amazon SES】Mail Managerでアドレスリストが利⽤可能に
Amazon SES Mail Managerが、Eメールアドレスとドメインリストのサポートを開始しました。これにより、既知・未知のアドレスを区別し、ルールエンジンでルーティングを制御できるようになります。CSVを使用した一括アップロードにも対応しており、リストごとに異なるルールを設定できるため、柔軟なメール管理が可能です。また、偵察攻撃への耐性向上やセキュリティ強化にも貢献します。こちらの機能は、Mail Managerが提供されているすべてのリージョンでご利用いただけます。
https://aws.amazon.com/jp/about-aws/whats-new/2025/01/ses-mail-manager-address-domain-lists/
1/31【Amazon EventBridge】ルール作成時に利⽤可能なすべてのAWSサービスのイベントソースと詳細タイプを表⽰可能に
Amazon EventBridgeコンソールでルールを作成する際、すべてのAWSサービスイベントのソースタイプと詳細タイプが表示されるようになりました。これにより、イベント駆動型アーキテクチャを構築する際に、必要なイベントを簡単に検索・利用できます。また、EventBridgeのドキュメントも自動更新され、最新情報にアクセスしやすくなりました。今回の改善により、イベントの検索やフィルタリングが容易になり、統合の効率化や設定ミスの削減が期待できます。
1/31【Amazon EBS】スナップショットからEBSボリュームを作成する際の権限制御が強化
Amazon EBSで、スナップショットからボリュームを作成する際のリソースレベルのアクセス許可が強化されました。これにより、IAMポリシーのCreateVolumeアクションで、ボリューム作成やスナップショット選択の権限をより細かく制御できます。さらに、EC2 固有の条件キーを使用して、特定のスナップショットへのアクセス許可を設定することも可能です。
まとめ
以上、1月のアップデート情報をお伝えしました。
AWSをご利用の上で、ご不明点などがあれば御気兼ねなくご相談いただければと思います。