2025年9月17日 のアップデート 1. はじめに 2. 大きな違いは「見るだけ」か「集めるか」 3. 詳細比較：コスト・機能・管理のポイント 4. 「必要なデータだけを見る」ためのフィルタリングの違い OAM の場合：入り口で選別し、見る時に切り替える データ一元化機能の場合：ロググループを選別して集め、集約後に加工する 5. どちらを選ぶのが良さそう？ パターンA：現場の運用効率とコスト最適化を重視したい場合 パターンB：コンプライアンスとデータの保全を重視したい場合 パターンC：いいとこ取りの組み合わせ（ハイブリッド） 6. おわりに 余談 2025年9月17日 のアップデート Ama…

セキュリティサービス部 佐竹です。本ブログでは、Reserved Instances と Savings Plans の共有設定で、新しく追加された設定である共有グループ (sharing group) について記載しました。なお本実装には「Cost Categories（コストカテゴリー）」の設計と適用が必須となっています。

はじめに AWS NAT Gatewayに新しく、リージョナルNAT Gatewayが追加されました。この機能により、単一のNAT Gatewayを作成するだけで、ワークロードの存在に基づいてVPC内の複数のアベイラビリティーゾーンに自動的に拡張・縮小し、高可用性を維持しながら設定と管理を簡素化できます。 AWS NAT Gateway now supports regional availability - AWS 早速、作成して動作を確認してみました。 リージョナルNAT Gatewayとは 先に簡単に、リージョナルNAT Gatewayで何が変わり、何がよくなるのかをまとめます。 マルチ…

Kiro CLI登場 - Amazon Q Developer CLIからの移行方法と変更点まとめ

こんにちは！イーゴリです。今回は Slackを通じてAmazon Q Businessに問い合わせる方法を紹介します。 イメージ図 手順 動作確認 SlackチャンネルにAmazon Q Businessを追加する 2025年11月時点での注意点と感じたデメリット Slack の「App」一覧で「Amazon Q Business」の名前を変更する方法 イメージ図 手順 Amazon Q Business の管理画面で、 Applications を開きます。 対象のアプリケーションをクリックします。 Amazon Q Business の管理コンソールで、対象アプリの左側のメニューから「In…

はじめに 認証ヘッダーと CloudFront のデフォルト動作 認証ヘッダーに関する設定方法 2 パターン (抜粋) オリジンリクエストポリシーを使用する方法 カスタムヘッダーを使用するパターン パターン比較表 おわりに はじめに こんにちは、山本です。 近年開発されている Web アプリケーションでは、ユーザー認証が実施されることが基本的なアーキテクチャになってきているかと思います。 Web アプリケーションの開発経験が浅い私にとって、 Amazon CloudFront などの CDN をユーザーと Web アプリケーションの間に挟むというユーザー体験の向上によく使われている「アーキテク…

データ分析基盤構築に興味がある方必見！AWSサービスを活用した実践的なウェビナー資料とデモ環境を公開。

2025 年 11 月 18 日にリリースされた Kiro CLI のセキュリティとデータプライバシーについて、既存の Kiro IDE と比較しながら解説します。AWS 責任共有モデルに基づく共通のセキュリティ基盤、データ保存場所、クロスリージョン推論、暗号化方式などの基本事項に加え、CLI 特有のターミナル環境でのセキュリティリスク（環境変数へのアクセス、コマンド履歴管理、実行権限）と対策を詳しく紹介。テレメトリ収集のオプトアウト方法、信頼できるコマンドの設定、専用プロファイルの使用など、実践的なセキュリティベストプラクティスをチェックリスト形式で提供します。

はじめに Row Level Security とは 動作検証 テーブル作成と RLS 設定 動作確認（SQL） コネクションプーリング利用時の注意点 Run-time parameter 設定漏れによるテナント間参照 ピン留め問題 解決法 SET LOCALコマンドを利用する。 明示的に Where 句を指定する まとめ はじめに アプリケーションサービス本部ディベロップメントサービス１課の森山です。 今回は、RDS における RLS (Row Level Security) について記事にしてみます。 前職からマルチテナント SaaS の開発に携わっており、リレーショナルデータベースにおけ…

こんにちは、久保（賢）です。 2025年10月、QuickSightがQuick Suiteに進化し、BI機能に加えて様々なAI機能が利用可能となりました。 aws.amazon.com 本記事では、Quick Suiteでインターネット情報を利用したいケースにおいて、Quick Suiteのインテグレーションから利用可能なWebクローラを使用した結果を共有いたします。 やってみたいこと Quick SuiteのWeb検索機能の現状（2025年11月時点) 代替手段: インテグレーション機能の利用 インテグレーション Web情報活用の選択肢 Webクローラの利用 対象サイト Webクローラの設…

はじめに こんにちは、久保です。 AWSで生成AIの基盤モデルを利用するためのサービスAmazon Bedrockについて、Bedrock APIを実行するリージョン（ソースリージョン）によってリージョン内で利用可能なモデル（オンデマンド）と、複数リージョンを跨ぐ利用が必要なモデル（クロスリージョン推論）が分かれています。 サポートされているモデルについては以下の公式ドキュメントや、マネジメントコンソールのBedrockのモデルカタログを参照いただくことで確認は可能です。 公式ドキュメント: Supported foundation models in Amazon Bedrock - Ama…

AI駆動開発ライフサイクル（AI-DLC）についての社内勉強会の内容を公開します

現地時間 2025年11月10日のアップデートで AWS Control Tower の自動登録ができるようになりました。前提として必要な作業や挙動の確認をし、弊社提供の AWS 請求代行サービスで Control Tower をご利用中のお客様向けの留意事項も合わせて記載しました。

AWS Backup の復旧ポイントを異なるリージョン・AWSアカウントにコピーするアクション「Backup: ボールトの復旧ポイントをコピー」が Cloud Automator に新しく加わりました。 概要 本アクションを利用すると、AWS Backup Vault の復旧ポイントを異なるリージョンや異なるAWSアカウントにコピーができます。 コピー先のAWS Backup Valutにおいてボールトロックを設定することで、ランサムウェア対策となるイミュータブルバックアップも実現可能です。また、AWS Organizationsで複数のAWSアカウントを運用されているお客様は、バックアップ保…

コーポレートエンジニアリング部の宮澤です。 セキュリティ運用において、脅威を「見つける」こと（Detection）は重要ですが、それと同じか、それ以上に重要なのが「見つけた後にどう動くか」（Response）です。CrowdStrike Falconプラットフォームには、この「対応」を強力にサポートする機能が備わっていますが、その動きを細かく制御しているのが「レスポンスポリシー（Response Policy）」です。 この記事では、CrowdStrikeの運用担当者が必ず理解しておくべき「レスポンスポリシー」について、その主な機能と重要性を解説します。 CrowdStrike関連の記事一覧は…

こんにちは！ エンタープライズクラウド部ソリューションアーキテクト課の足達です。 本ブログでは、RDS for PostgreSQLの拡張機能であるpg_trgmおよびpg_bigmの設定方法についてご共有したいと思います。 はじめに メリット 検索速度の向上 導入の容易さ pg_trgmとpg_bigmの違い pg_trgm：3-gram（トリグラム） pg_bigm：2-gram（バイグラム） 設定方法 pg_trgm 1. データベースへの接続 2. 拡張機能の有効化 pg_bigm 1. パラメータグループの設定 (Amazon RDS コンソール) 2. データベースへの接続 3. …

セキュリティサービス部 佐竹です。本日のブログは、ランサムウェア対策 on AWS をまとめることを目標としています。と言いましても、全てを詳細に記述すると膨大な量になるため、「ある程度 AWS のセキュリティに詳しい中級・上級エンジニア」が、これを読むことで「ランサムウェア対策のスタート地点での、議論の抜け漏れを無くす」ということを目指します。いわゆる、"チートシート"のようなものを目指します。

概要 前提条件 想定ユースケース ログを出力するPythonアプリケーションの作成と実行 コンテナをバックグラウンドで実行する ログの出力方法（標準機能） CloudWatch エージェントを使用したログの送信・監視 CloudWatch エージェントとは CloudWatch エージェントの前提条件 CloudWatch エージェントのインストール CloudWatch エージェントの設定ファイルを作成する CloudWatch エージェントの起動と確認 CloudWatch Logsでの確認 アプリケーションのエラーを確認する CloudWatchで監視設定を行う メトリクスフィルターの作…

はじめに 新機能で何ができるようになったか 1. Regex Matching（正規表現マッチング） 2. Transforms（リクエスト変換） 試してみた Step 1: 環境構築 Step 2: URL リライトルールを追加する（マネジメントコンソール） 条件 URLリライト hostヘッダーリライト Step 3: 動作確認 /api/usersパターン /api/transactions/1234567パターン CDKを使った設定方法 まとめ はじめに アプリケーションサービス本部ディベロップメントサービス１課の森山です。 普段からAWSのアップデートのうち、気になるものを動作検証し…

セキュリティサービス部 佐竹です。本ブログは、IAM の最小権限を実現するためのセキュリティサービスである IAM Access Analyzer について、その中でも特に有用である「Unused Access (未使用アクセス)」機能の利用料に関するブログです。AWS Organizations 環境で有効化すると高額になりそうで怖い…という場合に、事前に組織全体の利用料を見積もる方法について解説します。

Cloud Automatorでは、企業におけるガバナンスとセキュリティを強化するための機能を継続的に追加しています。 これまでにご紹介した「サインイン履歴管理」や「アクション制限機能」に続き、今回は「IAMユーザー方式からIAMロール方式への変換機能」をリリースしました。 これまでの課題 AWSのセキュリティベストプラクティスでは、長期的な認証情報であるIAMユーザーのアクセスキーよりも、一時的な認証情報を使用するIAMロールの利用が推奨されています。 Cloud Automator でも IAM ロールで認証する AWS アカウントを登録できますが、従来から IAM ユーザーのアクセスキー…

はじめに 背景 目標 構成 作成手順 Dify導入手順 ナレッジベースの作成 データソース用バケットの作成 マルチモーダルストレージの作成 Bedrock ナレッジベースの作成 AWSリソースの作成 IAMユーザーの作成 Dify側の設定 チャットフローの作成開始 チャットフローの作成 おわりに はじめに こんにちは、アプリケーションサービス本部 ディベロップメントサービス3課の北出です。 今回は、DifyとAWSを利用して、PDF内のテキストだけでなく、画像の情報も含めたマルチモーダルなRAGを作成してみましたのでざっくりと方法を紹介させていただきます。 DifyとAWSの統合 ではこちらの…

セキュリティサービス部 佐竹です。本ブログでは GuardDuty Extended Threat Detection で検出されたインシデントを元に `sts:GetCallerIdentity` についてセキュリティの観点から解説を行いました。この API Call 自体は無害ですが、それによって返却される値は攻撃者にとって非常に重要な意味を持ちます。

New RelicのMCP（Public Preview版）をAmazon Q Developerで試した内容を紹介。AIアシスタントと連携し、統一的なデータアクセスが可能に。

CrowdStrike Falconの核となる機能の一つ、"Prevention ポリシー (防止ポリシー)"をご存知ですか？これは、従来型のアンチウイルス製品では対応が難しかった、マルウェア以外の攻撃やファイルレス攻撃などの高度な脅威から、エンドポイントを強力に保護するための設定を定義するものです。このポリシーを適切に設定・運用することで、組織のセキュリティレベルを飛躍的に向上させることができます。 CrowdStrike関連の記事一覧はこちら Preventionポリシーとは？ Preventionポリシーは、CrowdStrike Falconの次世代アンチウイルス(NGAV)機能である…

はじめに 1. AWS StackSetsとは 1.1 基本概念 1.2 なぜStackSetsが必要か 2. 権限モデル（Permission Model） 2.1 セルフマネージド（Self-Managed） 特徴 必要なロール 使用場面 2.2 サービスマネージド（Service-Managed） 特徴 前提条件 使用場面 3. 主要パラメータ詳細 3.1 基本設定パラメータ StackSet名とメタデータ 権限設定 3.2 自動展開設定（AutoDeployment） 基本設定 動作説明 3.3 展開制御パラメータ 同時実行制御 パラメータ説明 3.4 対象設定パラメータ 組織単位（O…

セキュリティサービス部 佐竹です。本ブログでは、AWS Cost Anomaly Detection の変遷と、2025年のアップデートで対応した Amazon EventBridge および AWS User Notifications を含めた現在の通知方法を整理します。今からマルチアカウント管理を行われる場合は、「AWS User Notifications」へと通知を集約されるとお手軽に設定ができて良いでしょう。

はじめに こんにちは、山本です。 私が前職でオンプレミスでシステム運用をしていた頃、DNSサーバーは必ず プライマリ／セカンダリ構成 にしていました。 しかし AWS を勉強&業務活用し始めてから「Amazon Route 53はリージョンを選ばなくても冗長化されている」、「 SLA が100％」と聞き、「いったいどうやって可用性を担保しているのか？」と疑問に思いました。 今回は、オンプレのDNS構成とAmazon Route 53の内部冗長設計を比較しながら、Amazon Route 53の DNS 可用性の考え方を整理していきます。 オンプレミス時代のDNS可用性： Primary / S…

Map ステート全体をリトライする 全体の処理フロー（リトライ発生時） 各ステップの詳細解説 1. 1. GenerateSampleArray (Pass ステート) 2. 2. ProcessItemsInParallel (Map ステート) Iterator (Map ステートの反復処理) の詳細 グラフビュー 障害時のリドライブ Map ステートで失敗した 処理 (States) のみをリトライする 全体の処理フロー 各ステップの詳細解説 グラフビュー 障害時のリドライブ まとめ 1. パターン1：Map ステート全体をリトライ（組み込み Retry） 2. パターン2：失敗したアイ…

ChatGPTやGemini、Claudeなどの生成AIサービスがビジネス現場で普及する中、 「自社でも生成AIを活用したいが、セキュリティや運用、コスト面で導入に踏み切れない」 「すでにAWSを利用しているのだから、Amazon Q Business が気になる。しかし、非エンジニアの社員が本当に使いこなせるのだろうか？」 そんな疑問や不安を抱えている、企業のIT担当者やDX推進者の方も多いのではないでしょうか。 本ブログでは、Amazon Q Business だけで1週間過ごしたことで見えた、Amazon Q Business 導入が効果的なユースケースや利点・限界・運用上のポイントなど…