今回は、第9回で紹介した記事以降に発表されたAWS Organizationsに関連したアップデートの中から筆者が押さえておくべきと考えているアップデートを紹介します。
第9回で紹介したアップデートと比べるとインパクトのあるものは多くないのですが、AWSサービスがOrganizationsと連携することで機能を拡充したアップデートを3つ紹介します。
Amazon GuardDuty EC2 Runtime Monitoring が一般提供
Amazon GuardDutyは、第5回で紹介したようにAWSサービスのさまざまなログデータをもとに、通常と異なる振る舞い検知する脅威検知のサービスです。これまではEC2に対する脅威検知はプレビュー状態でしたが、一般提供となりました。
マルウェア対策ソフトのようにマルウェア自体を即時にブロックする機能ではありませんが、これまでのネットワーク関連のログをベースにした脅威検知に加えて、OS内での不審な挙動についても検知することが可能になっています。この機能は一般提供と共にAWS Organizationsと連携が可能となっており、メンバーアカウントに対して一括での有効化も可能です。
GuardDutyは後から追加される機能が多く、既存の環境のセキュリティベースラインを合わせるのが一苦労だと思いますので、Organizations連携を行って一括で設定を行えることは非常にうれしいのではないでしょうか
Amazon Q が AWS IAM アイデンティティセンターと統合されたサブスクリプション管理を提供開始
Amazon Qは生成AIを活用することで、企業内のデータを基づく質問の回答を行えるAmazon Q Business、AWS上でのシステム開発をサポートしてくれるAmazon Q Developerなど、複数の機能を提供します。Amazon Qには現在3種類の有償プランが用意されています。なおAmazon Q Developerには無料利用枠があります。
プラン名 | 内容 | 料金 |
---|---|---|
Amazon Q Business Lite | 企業内のデータに基づく質問の回答などが可能 | 3USD/ユーザー/月 |
Amazon Q Business Pro | Liteに加えて、Amazon Q in Quicksightなどのサービスの利用が可能 | 20USD/ユーザー/月 |
Amazon Q Developer Pro | AWSリソースの構築やソフトウェアの開発時の質問の回答などが可能 | 19 USD/ユーザー/月 |
※ いずれも本稿執筆時の料金
このアップデートを実施した後は、Amazon Q Businessの有償プランの利用時にIAM Identity Centerとの連携が必須となります。しかし、Amazon Q Businessを利用するリージョンとIAM Identity Centerを利用するリージョンが同一でなければいけないという制約があります。
本稿の公開直前に、機能アップデートがあり、別のリージョンにあるIAM Identitiy Centerとも連携が可能となり、 記載した制約について考慮する必要がなくなりました。
IAM Identity Centerとの連携が必須という仕様は日本リージョンで利用したいというユースケースではかなり大きな制約となってしまうでしょう。IAM Identity Centerは組織インスタンスとアカウントインスタンスの2種類があるため、現時点ではAmazon Q Businessを利用したい場合は、アカウントインスタンスをバージニア北部、オレゴンリージョンのいずれかでセットアップし、Amazon Q Businessと連携をする方法をとらざる得ないかと思います。
利用にあたり、注意が必要な内容でしたので、このアップデートを取り上げました。
ルートアカウントのEメールアドレスの集中管理が可能に
第12回で紹介したように、このアップデート以前は代替の連絡先のみ集中管理が可能でしたが、ルートアカウントのEメールアドレスの集中管理が可能となりました。
アップデート前の表示は以下のようになります。
これに対し、アップデート後の表示は以下のようになります。
マネジメントコンソールの操作だけではなく、AWS CLI等で情報を取得することも可能です。ルートアカウントのメールアドレスの確認や変更の手間を減らすことができるうれしいアップデートだと感じています。
まとめ
以上、第9回以降に発表されたOrganizations関連のアップデートから、筆者目線で注目すべきと考えたものを3つ紹介しました。本記事が皆様のお役に立てば幸いです。