こんにちは、技術1課の山中です。
もうすぐ梅雨があけそうで、気持ちは向上しているのですが夏の暑さを想像するとそれはそれできつそうですね。
今回は CloudFront のジオターゲティングに関するアップデートです。
これまでも CloudFront がオリジンへ送信するリクエストヘッダーとして閲覧者の 国コード を送信することができましたが、今回のアップデートで更に詳細なヘッダをセットできるようになったようです！！

Amazon CloudFront adds additional geolocation headers for more granular geotargeting

アップデート内容

CloudFront のダイナミックコンテンツ機能で、ヘッダーをオリジンへ転送することができます。

Using the CloudFront HTTP headers – Amazon CloudFront

オリジンの任意のヘッダー情報以外にも CloudFront 側でクライアントの情報を独自に判定しオリジンに転送する カスタムヘッダー にも対応しています。
これまで CloudFront のカスタムヘッダーとしては、以下がありました。

今回のアップデートで新たに地域判定のカスタムヘッダーが追加され、閲覧者の IP アドレスに基づいて、 国名 、 地域 、 都市 、 郵便番号 、 緯度 、 経度 等をヘッダーとしてオリジンに送信することができるようになりました。

これらを利用することで例えば、視聴者の場所に合わせた広告を表示したり、同じ国でも異なる言語 (方言等) の HTML を返したりすることができます。

料金

新しく追加された地域判定のカスタムヘッダーは追加料金なしで利用することが可能です。

試してみる

早速試してみましょう。

事前準備

事前にオリジンに指定するための EC2 を 1 台準備しておきます。
EC2 には Apache と PHP をインストールし、以下ファイルをドキュメントルートに配置しています。
これは、ヘッダー情報を表示するだけの PHP ファイルです。

<?php
foreach (getallheaders() as $name => $value) {
    echo "$name: $value\n";
    echo "<br>";
}
?>

ちなみに、 CloudFront を通さず EC2 に直接アクセスした場合は以下が表示されます。

オリジンリクエストポリシー

まずは、カスタムヘッダーがオリジンに送信されるようにオリジンリクエストポリシーを作成します。
CloudFront の画面から Policies – Create origin request policy をクリックしましょう。

ポリシー名を入力し、 Origin request contents の Headers で All Viewer headers and whitelisted CloudFront-* headers を選択し、オリジンに送信したい地域判定用のカスタムヘッダーを選んでいきます。

選び終わったら、 Create origin request policy ボタンをクリックして作成します。

CloudFront ディストリビューションの作成

続いて CloudFront ディストリビューションの作成を行います。


Origin Settings では EC2 のパブリック DNS を設定し、あとはデフォルトのままとします。

Default Cache Behavior Settings の設定に移ります。
基本はデフォルト設定のままですが、今回はキャッシュをさせないように Cache Policy で Managed-CachingDisabled を選んでいます。
また、 Origin Request Policy で先ほど作成した Custom-Geolocation-Headers を選択します。

他はデフォルト設定のままで Create Distribution ボタンをクリックして作成しましょう。
しばらく経つと、ステータスが Deployed に変わりデプロイが完了します。

CloudFront 経由で Web ページにアクセスしてみる

デプロイができたので早速アクセスしてみましょう。
CloudFront のドメインをブラウザで開くと以下のような画面が表示されました。

完全に正確な情報、までとはいかないですがおおよその位置が合っていてびっくりしました。
埼玉や神奈川の同僚にも同様にクリックしてもらったのですが、同じような結果で結構精度が高いことがわかりました。

おわりに

あまり見たことはないですが、今回のアップデートで視聴者の詳細な位置情報がわかるようになったので、熊本のユーザーだったら熊本弁でコンテンツを返すとか、大阪だったら大阪弁で返すとか、そんなユニークな体験を提供できそうですし、他にも色々と実用性があるのではないでしょうか。

この内容は 2020/7/29(水) 18:00 よりYouTube にて配信する「30分でわかる AWS UPDATE！」で取り上げますので、是非ご覧ください！
チャンネル登録よろしくおねがいします！！
サーバーワークス チャンネル – YouTube

参考

• Amazon CloudFront adds additional geolocation headers for more granular geotargeting
• Using the CloudFront HTTP headers – Amazon CloudFront

• AWS CodeBuild now supports accessing Build Environments with AWS Session Manager
• AWS CodeBuild – View a running build in Session Manager

これまで、 CodeBuild の実行中の環境をデバッグする方法はログ出力を確認して都度 buildspec を修正する、といった程度でした。今回のアップデートによって、実行中のビルドジョブを一時停止して、ユーザーがシェル環境に入って調査タスクを行えるようになりました。

今回はこの機能について紹介してみます。

前提

この機能はログインするために Session Manager を利用しています。そのため、前提条件として CodeBuild のサービスロールに Session Manager のためのポリシーを付ける必要があります（マネジメントコンソール上で、ビルドジョブ実行時に自動的に権限を付与させることも可能です）。

どうやって試せばいいの？

詳しいことは GitHub で公開していますので、そちらをご覧ください。

GitHub – hassaku63/codebuild-sessionmanager-sample

CloudFormation のスタックを用意していますので、さくっと検証していただけると思います。ざっくりした手順も書きましたので、そちらもご覧ください。

hassaku63/codebuild-sessionmanager-sample – How to try it ?

Python プロジェクトで、ユニットテストを実行するジョブを実行させる想定で buildspec を書いています。buildspec はスタック定義にベタ書きです。

既に buildspec.yml を含んだコードレポジトリを持っている方であれば、スタックの buildspec のプロパティを削除していただければOKです。

使いどころ

本番環境で必要になる機能ではないと思うので、開発フェーズにおける検証に利用するものとして使っていくことになると思います。

例えば、Python であれば以下のようなケースで使っていただくのが良いのではないかと思います。

• 意図した通りに virtualenv が効いていないように見える
• ビルド環境でインストールされている依存関係をチェックしたい
• 処理系のランタイム指定がちゃんと効いているかどうかを確認したい

さいごに

例示のスタックでは Session Manager を利用するためのポリシーを CodeBuild に直接渡してしまっています。このポリシーは本番環境では（おそらく）不要かと思います。dev環境だけに適用したい場合は CloudFormation の if 関数を使うなどして開発環境の場合のみポリシーをアタッチするように書くなどすると良いと思います。

CodeBuild のイメージは公開されているので、従来でもローカルでコンテナを立ち上げればビルド環境のシェルに入ること自体はできました。ただ、手軽にデバッグするなら実環境に入れた方が手軽でいいですよね。イメージ自体もかなりヘビーなのであんまりローカルに pull したくないですし（7GB くらいあったと思います。うろ覚えです）。

このアップデート、デバッグが捗る非常に便利な機能ですね。使える場面ではどんどん使っていこうと思います。

Amazon CloudFront announces Cache Key and Origin Request Policies

今までは、TTLなどのキャッシュ設定やオリジンへのリクエスト設定が複数のBehaviorで同じ設定の場合でも個別設定を行っていました。今回のアップデートで、キャッシュやオリジンのリクエストを事前にポリシーとして設定して、複数のBehaviorにポリシーを適用することができるようになり、構築や管理が容易になりました。

具体的にはBehaviorの下図の赤で囲んである設定がポリシーとして設定でき、[Cache and origin request settings] で [Use a cache policy and origin request policy]を選択することでポリシーを選択できるようになります。

Amazon CloudFrontとは

マネージド型のCDN(Content delivery network)サービスです。世界中にあるエッジロケーションで、静的コンテンツをキャッシュすることで、ユーザへの応答時間を短くし、オリジン(Webサーバなど)の負荷を軽減することができます。

AWS公式サイト : Amazon CloudFront

設定方法

まずは、Cache policyとOrigin request policyを作成します。
ただ、デフォルトで用意されているポリシーがありますので、この内容の設定にしたいときはポリシーを作成せずに用意されているポリシーを適用することもできます。

CloudFrontのコンソールを開き、ナビゲーションペインの[Policies]をクリックします。
Cache policyの作成は、[Cache policy]タブをクリックし、[Create cache policy]をクリックします。

以下の項目を入力して、[Create cache policy]をクリックします。

• Info
• TTL Settings
• Cache key contents

作成されました。
Distiributionsという欄に適用されたDistiributionの数が表示され、Cache policyの名前をクリックするとどこのDistiributionに適用されているかを確認することができます。

同様にOrigin request policyを作成します。
[Origin request policy]をクリックし、[Create origin request policy]をクリックします。

以下の項目を入力して、[Create cache policy]をクリックします。

• Info
• Origin request contents

作成されました。
Distiributionsという欄はCache policyと同様で適用されたDistiributionの数が表示され、Origin request policyの名前をクリックするとどこのDistiributionに適用されているかを確認することができます。

この作成したポリシーをDistiributionのBehaviorに適用します。
今回は作成済みの設定に追加します。新規作成時でもBehaviorの設定でポリシーを適用することができます。

ナビゲーションペインの[Distiributions]をクリックし、変更対象のDistiribution IDをクリックします。

[Behaviors]タブをクリックし、変更対象にチェックを入れ、[Edit]をクリックします。

[Cache and origin request settings] で [Use a cache policy and origin request policy]を選択し、Cache PolicyとOrigin Request Policyに先ほど作成したポリシーを選択して、右下の[Yes, Edit]をクリックします。

設定できました。
Cache Policy NameとOrigin Request Policy Nameの欄に適用されているポリシー名が表示されています。

まとめ

Amazon CloudFrontでCache policyとOrigin request policyが使えるようになりました。今まで個別で設定していたことがポリシーとして一元管理でき、設定管理が容易になりますので、使ってみてはいかがでしょうか。

また、本ブログの内容は2020/7/29(水) 18:00にYouTubeで配信される「30分でわかる AWS UPDATE！」でも取り上げる予定ですので、ぜひご覧ください！

ウェブ・セキュリティ基礎試験（通称：徳丸基礎試験）とは

• 2020年7月15日に開始された試験
• 徳丸本の理解度を測る試験
• 徳丸浩氏が問題を作成
• 全40問、制限時間60分、４択問題、正答率70%以上で合格

詳細はこちらをご確認ください。
ウェブ・セキュリティ基礎試験(徳丸基礎試験）

試験内容

出題範囲も上記リンク先に記載ありますが、徳丸本の目次と完全に一致しています。
その範囲からというのは間違いはないですが、検証環境の構築方法などは実際は試験に出ません。

同ページの動画でもおっしゃられていましたが、「ツールの使い方よりもセキュリティの原理を学んでほしい」ということのようです。
実際に受験し終わった後の感想としても確かにそのような感じでした。
様々な脆弱性に対し、その原理を知り、どの対策が効果的かを選択できれば、合格点取れるのではないかと思います。
同ページの「徳丸試験基礎編の例題解説」と似た雰囲気の出題が多いので、そちらを見て関心を持つようだったら受験してみるといいかもしれません。

なお、PHPの知識を必要とするものはありませんでしたが、JavaScriptのコードは問題に少しだけでました。

どう学習したか

出題範囲であり、認定テキストである、徳丸本を読みます。
理解しにくいところはググったりはしました。

結果

全体としては70%以上取得できましたが、肝心の「Webセキュリティの基礎〜HTTP、セッション管理、同一オリジンポリシー」が弱いですね。
今回の試験を通して、自分の理解度がわかってきた感じがします。

ひとこと

徳丸本を積読している人は、これを機会に読み直してみるのもいいんじゃないでしょうか。
クッキーとかセッションとか同一オリジンポリシー等の話題になると、目が泳ぐ方にもお勧めです。

さて、今回は ASAv を起動したので、この手順を紹介します。

ASAv とは?

• Cisco Adaptive Security Virtual Appliance の略
• ファイアウォール・VPN 製品です
• 元々は ASA シリーズというロングセラーの物理アプライアンス製品があり、ASAv はこの仮想アプライアンス製品です
• AWS 向け ASAv は AWS Marketplace から入手できます

検証構成

ASAv 設置前
ASAv 設置先のネットワークと SSH 踏み台サーバ (Bastion) を事前に用意します（手順は省略します）。

ASAv 設置後
図の一番左の端末から Bastion を経由し、ASAv の management からログインします。

尚、今回の ASAv 起動に必須なサブネットは管理用 (test-a001:10.1.1.0/24) のみです。
他のサブネットは、ファイアウォール・VPN 用のネットワークインターフェイス追加時に利用します。

使用した ASAv のバージョン

メモ
2020/7 にバージョン 9.13 から 9.14 に更新されました。どちらもバージョンでも以降の手順は有効です。

New in version 9.14.1.10 and above:
– 4xlarge: c5, c5n [ASAv100 throughput – 20G]
– large, xlarge, 2xlarge: c5n

Version 9.13 and above:
[Flexible licensing: throughput – 100M/1G/2G/10G]
– large, xlarge, 2xlarge: c3, c4, m4, c5
New in version 9.14.1.10 and above:

Version 9.12 and below:
[ASAv throughput – ASAv10-1G/ASAv20-2G]
– large, xlarge: c3, c4, m4

Cisco Adaptive Security Virtual Appliance (ASAv) – BYOL

最大スループット 20 Gbps のファイヤウォール・VPN 装置をいつでも作成・削除できるとは、便利な時代になりました。

ASAv を起動する

AWS マネジメントコンソールから [EC2] > [インスタンス] > [インスタンスの作成] から開始します。

1 Amazon マシンイメージ(AMI)

• 画面左の [AWS Marketplace] を開きます
• “asav” で検索を行います
• 次の 2 つの Cisco Adaptive Security Virtual Appliance (ASAv) が表示されるので、自身の適したものを選択します。

メモ

You must install a smart license on the ASAv. Until you install a license, throughput is limited to 100 Kbps so you can perform preliminary connectivity tests. A smart license is required for regular operation.
参考: Cisco Adaptive Security Virtual Appliance (ASAv) Getting Started Guide, 9.13

2 インスタンスタイプの選択

ここでは c5.large を選択します。

メモ

• ASAv バージョン 9.14 では現行世代のインスタンス C4/M4/C5/C5n を選択できますが、ネットワーク性能とコストパフォーマンス両方の観点より、現時点では C5/C5n 系に絞られると考えます
• ちなみに本番環境の設置時は要件に AnyConnect Sessions: 10,000 があったため、c5.2xlarge を選択しました
• 参考:
  • Cisco Adaptive Security Virtual Appliance (ASAv) Getting Started Guide, 9.14
  • Amazon EC2 料金表

3 インスタンスの設定

次の設定とします。ユーザデータは設定しません。

メモ
C5 系 EC2 インスタンスと ASAv のネットワークインターフェイス対応

4 ストレージの追加

デフォルトとします。

5 タグの追加

任意です。ここでは Name タグを追加します。

6 セキュリティグループの設定

Bastion から ASAv の Management に SSH 接続を許可します。

7 インスタンス作成の確認

• 設定を確認し、問題がなければ「起動」に進みます
• 新しいキーペアを作成し、キーペアをダウンロードします。

• 「インスタンスの起動」を実行します

メモ

• 上記手順の通り、AWS マネジメントコンソール上でキーペアを作成した場合は該当しませんが、もしここで鍵長が 4096bit の公開鍵を選択した場合、ASAv への SSH 接続時に Permission denied (publickey,password). のエラーが発生します
• もし 4096 bit の公開鍵を利用する場合、別途設定が必要です

The PKF key can be up to 4096 bits. Use PKF format for keys that are too large to for the ASA support of the Base64 format (up to 2048 bits).
We introduced the following commands: ssh authentication.
参考: Chapter: Management Access

ASAv 初期設定

ログイン

• Bastion 経由で ASAv に SSH でログインします
  • SSH ポートフォワーディングもしくは ssh-agent
• ASAv の初期ユーザ名は admin です

コマンド モードについて

ここではユーザ モードと特権 EXEC モードについて説明します。

ユーザ モード

ログイン直後はユーザ モードと呼ばれる状態です。コマンドプロンプトに > が表示されます。

ciscoasa>

ユーザ モードで可能な操作は限られるため、コンフィグ変更や保存を行うには、特権 EXEC モードへ移行します。

特権 EXEC モード

特権 EXEC モードはコンフィグ変更等が許可されたモードです。コマンドプロンプトに # が表示されます。

ciscoasa#

特権 EXEC モードを利用するには、 ユーザ モードで enable コマンドを実行します。
また、初回 enable 時は、enable パスワードの登録が必要です。

ciscoasa> ena
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****
Note: Save your configuration so that the password persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa#

次回の enable 時より、上で設定したパスワードが必要です。

ciscoasa> enable
Password: *****
ciscoasa#

メモ
ここで設定した enable パスワードはまだ_保存されていません。インスタンスの再起動でパスワードはクリアされるため、次のコンフィグ保存が必要です。

コンフィグ保存

enable パスワードを設定したので、ここで一度コンフィグを保存します。

コンフィグを保存するには、特権 EXEC モードで write コマンドを実行します。

ciscoasa# write
Building configuration...
Cryptochecksum: 3acdc299 c842ec6d 1d63b3fe 3e0a94d4 

7266 bytes copied in 0.60 secs
[OK]
ciscoasa#

課題

今回は起動手順にフォーカスを当てたため、ファイアウォール・VPN 設定がありません。こちらは機会があれば。

まとめ

今回 AWS 上に ASAv を起動し、次の知見を得ました。

• パッケージは 2 つ
  • Standard Packege: 即本番利用可能。ライセンス込み
  • BYOL: 即テスト可能。ライセンスインストールまで 100 Kbps のスループット制限あり
• 検証・本番共 C5/C5n インスタンスから必要スペックに応じてタイプ選択
• 初回起動時、公開鍵の鍵長は 2048 bit にする。AWS マネジメントコンソールで作成したキーペアであれば問題なし
• 初回ログイン後はまずコンフィグ保存

それでは次回もよろしくお願いします。

参考

• Cisco Adaptive Security Virtual Appliance (ASAv) – BYOL
• Cisco Adaptive Security Virtual Appliance (ASAv) Getting Started Guide, 9.14
• Amazon EC2 料金表
• Chapter: Management Access

さて、今回は AWS CDK を使って Redash の環境を構築してみました。

AWS CDK とは

AWS クラウド開発キット (AWS CDK) は、使い慣れたプログラミング言語を使用してクラウドアプリケーションリソースをモデル化およびプロビジョニングするためのオープンソースのソフトウェア開発フレームワークです。
引用元: https://aws.amazon.com/jp/cdk/

内部的には CloudFormation が生成され、リソースの作成が行われます。対応言語は TypeScript、Python、Java、C#等が使用出来ます。TypeScriptなどの静的型言語で、型に守られながらリソースを書けるところが良さそうです。

Redash とは

Redash はオープンソースで開発されているダッシュボードツールです。様々なデータソースと接続可能で、SQLと簡単な設定をすることでダッシュボードを作ることが出来ます。

接続可能なデータベースが豊富で、MySQLやPostgreSQLなどの一般的なRDBMSはもちろん、SnowflakeやSalesforce などのSaaSにも接続出来る優れものです。

完成イメージ

AWS CDK で以下の様な構成をAWS上に構築してみたいと思います。

Redash は Flask や Redis 、PostgreSQL などで構築されている様ですが、公式から全部入りのAMI が提供されているので、今回はこれを使用します。

AWS CDK の開発環境の準備

今回はTypeScriptにて開発を行います。以下が準備済みの前提で進めます。

• AWS CLI (2.0.19)
• Node.js (12.18.0)

AWS CDK のインストール

以下コマンドでインストールし、バージョンが確認できればインストール成功です。

$ npm install -g aws-cdk

$ cdk --version
1.51.0 (build 8c2d53c)

CDKプロジェクトの作成

早速CDKプロジェクトの作成をしていきましょう。--language オプションの後に使用したい言語を指定します。

$ mkdir redash-cdk && cd redash-cdk # プロジェクトディレクトリの作成
$ cdk init --language typescript # プロジェクトの初期化
... 中略...
✅ All done!
**************************************************
*** Newer version of CDK is available [1.51.0] ***
*** Upgrade recommended                        ***
**************************************************

お好みのエディタでプロジェクトを開いてみましょう。初期のプロジェクト構成はこの様になっています。

lib/redash-cdk-stack.ts にリソースを定義するコードを書いて行きます。

依存ライブラリのインストール

AWS CDK では作成するリソース毎にライブラリが分けられており、使用したい場合は以下の様にインストールする必要があります。今回は EC2、IAM、ALBを使用するのでそれぞれインストールします。作成できるリソースは API Reference を参照してください。

$ npm install @aws-cdk/aws-ec2 @aws-cdk/aws-iam @aws-cdk/aws-elasticloadbalancingv2 @aws-cdk/aws-elasticloadbalancingv2-targets

スタックの実装

結論からですが、以下の様なコードで実現することが出来ました。

// lib/redash-cdk-stack.ts

import * as cdk from "@aws-cdk/core";
import * as ec2 from "@aws-cdk/aws-ec2";
import * as iam from "@aws-cdk/aws-iam";
import * as elbv2 from "@aws-cdk/aws-elasticloadbalancingv2";
import * as targets from "@aws-cdk/aws-elasticloadbalancingv2-targets";

export class RedashCdkStack extends cdk.Stack {
  constructor(scope: cdk.Construct, id: string, props?: cdk.StackProps) {
    super(scope, id, props);

    // (1)
    const vpc = new ec2.Vpc(this, "redash-vpc", {
      cidr: "10.100.0.0/16",
      enableDnsHostnames: true,
      enableDnsSupport: true,
      maxAzs: 2,
      natGateways: 1,
      subnetConfiguration: [
        {
          name: "public",
          subnetType: ec2.SubnetType.PUBLIC,
          cidrMask: 24,
        },
        {
          name: "private",
          subnetType: ec2.SubnetType.PRIVATE,
          cidrMask: 24,
        },
      ],
    });

    // (2)
    const role = new iam.Role(this, "redash-instance-role", {
      assumedBy: new iam.ServicePrincipal("ec2.amazonaws.com"),
      managedPolicies: [
        iam.ManagedPolicy.fromAwsManagedPolicyName(
          "AmazonSSMManagedInstanceCore"
        ),
      ],
    });

    // (3)
    const albSg = new ec2.SecurityGroup(this, "redash-alb-sg", {
      vpc: vpc,
      allowAllOutbound: true,
    });

    // (4)
    const instanceSg = new ec2.SecurityGroup(this, "redash-instance-sg", {
      vpc: vpc,
      allowAllOutbound: true,
    });
    instanceSg.addIngressRule(albSg, ec2.Port.tcp(80));

    // (5)
    const instance = new ec2.Instance(this, "redash", {
      vpc,
      instanceType: new ec2.InstanceType("t2.small"),
      machineImage: ec2.MachineImage.genericLinux({
        "us-east-1": "ami-0d915a031cabac0e0",
        "us-east-2": "ami-0b97435028ca44fcc",
        "us-west-1": "ami-068d0753a46192935",
        "us-west-2": "ami-0c457f229774da543",
        "eu-west-1": "ami-046c6a0123bf94619",
        "eu-west-2": "ami-0dbe8ba0cd21ea12b",
        "eu-west-3": "ami-041bf9180061ce7ea",
        "eu-central-1": "ami-0f8184e6f30cc0c33",
        "eu-north-1": "ami-08dd1b893371bcaac",
        "ap-south-1": "ami-0ff23052091536db2",
        "ap-southeast-1": "ami-0527e82bae7c51958",
        "ap-southeast-2": "ami-0bae8773e653a32ec",
        "ap-northeast-1": "ami-060741a96307668be",
        "ap-northeast-2": "ami-0d991ac4f545a6b34",
        "sa-east-1": "ami-076f350d5a5ec448d",
        "ca-central-1": "ami-0071deaa12b66d1bf",
      }),
      role,
      blockDevices: [
        {
          deviceName: "/dev/sda1",
          volume: ec2.BlockDeviceVolume.ebs(30),
        },
      ],
      securityGroup: instanceSg,
    });

    // (6)
    const alb = new elbv2.ApplicationLoadBalancer(this, "redash-alb", {
      vpc,
      internetFacing: true,
      securityGroup: albSg,
    });

    // (7)
    const listener = alb.addListener("redash-alb-listener", {
      port: 443,
    });

    // (8)
    listener.addTargets("redash-alb-target", {
      port: 80,
      targets: [new targets.InstanceTarget(instance)],
      healthCheck: {
        path: "/status.json",
      },
    });
  }
}

上から解説していきます。

(1) VPCを作成しています。cidr や enableDnsHostnames など、見慣れたオプションがありますね。maxAzs はサブネットを作成するアベイラビリティーゾーンの数です。デフォルトだと3AZにサブネットを展開してしまうので、2に設定しています。また、natGateways は作成する NatGatewayの数です。最後の subnetConfiguration はその名の通り、作成するサブネットの設定です。subnetType に PUBLIC 、PRIVATE を設定することで、ルートテーブルをよしなに作成してくれます。

(2) EC2インスタンスにアタッチするIAMロールを作成しています。セッションマネージャーにてログインする為に、AmazonSSMManagedInstanceCore のマネージドポリシーを設定しています。

(3) ALBにアタッチするセキュリティグループを作成しています。

(4) EC2インスタンスにアタッチするセキュリティグループを作成しています。作成後、ALBからの ポート80 へのインバウンドアクセスを許可するルールを追加しています。

(5) EC2インスタンスを作成しています。ec2.MachineImage.genericLinux のパラメータでリージョンとAMIのマッピングを設定しています。blockDevices でEBSの設定も可能です。

(6) ALBを作成しています。

(7) ALBのリスナーを追加しています。説明のし易さの為、ポート80 (HTTP) としていますが、現実的にはポート443 (HTTPS) を受け付ける様にしましょう。その際はACMで証明書を発行し、certificates プロパティに設定するなどしましょう。

(8) ターゲットを追加しています。EC2インスタンスのポート80 をターゲットとしています。また、ヘルスチェックのパスとして /status.json を設定しています。こちらはRedashにて提供されるステータスチェック用のAPIのパスです。

// bin/redash-cdk.ts

#!/usr/bin/env node
import "source-map-support/register";
import * as cdk from "@aws-cdk/core";
import { RedashCdkStack } from "../lib/redash-cdk-stack";

const app = new cdk.App();
new RedashCdkStack(app, "RedashCdkStack", {
  env: {
    account: process.env.CDK_DEFAULT_ACCOUNT,
    region: process.env.CDK_DEFAULT_REGION,
  },
});

こちらがエントリポイントとなるコードです。環境変数からアカウントとリージョンを設定しています。こちらはAMIの選択の為に追加をしています。デプロイ前に環境変数として設定しておきましょう。

CDK スタックのデプロイ

初めてデプロイする場合は以下の cdk bootstrap を実行する必要があります。CFnテンプレートを保存するためのバケットの作成が行われます。

$ cdk bootstrap
⏳  Bootstrapping environment aws://XXXXXXXXXXXX/ap-northeast-1...
✅  Environment aws://XXXXXXXXXXXX/ap-northeast-1 bootstrapped (no changes).

早速デプロイしてみましょう。

$ cdk deploy
This deployment will make potentially sensitive changes according to your current security approval level (--require-approval broadening).
Please confirm you intend to make the following modifications:

IAM Statement Changes
┌───┬─────────────────────────────┬────────┬────────────────┬───────────────────────────┬───────────┐
│   │ Resource                    │ Effect │ Action         │ Principal                 │ Condition │
├───┼─────────────────────────────┼────────┼────────────────┼───────────────────────────┼───────────┤
│ + │ ${redash-instance-role.Arn} │ Allow  │ sts:AssumeRole │ Service:ec2.amazonaws.com │           │
└───┴─────────────────────────────┴────────┴────────────────┴───────────────────────────┴───────────┘
IAM Policy Changes
┌───┬─────────────────────────┬────────────────────────────────────────────────────────────────────┐
│   │ Resource                │ Managed Policy ARN                                                 │
├───┼─────────────────────────┼────────────────────────────────────────────────────────────────────┤
│ + │ ${redash-instance-role} │ arn:${AWS::Partition}:iam::aws:policy/AmazonSSMManagedInstanceCore │
└───┴─────────────────────────┴────────────────────────────────────────────────────────────────────┘
Security Group Changes
┌───┬───────────────────────────────┬─────┬────────────┬──────────────────────────┐
│   │ Group                         │ Dir │ Protocol   │ Peer                     │
├───┼───────────────────────────────┼─────┼────────────┼──────────────────────────┤
│ + │ ${redash-alb-sg.GroupId}      │ In  │ TCP 80     │ Everyone (IPv4)          │
│ + │ ${redash-alb-sg.GroupId}      │ Out │ Everything │ Everyone (IPv4)          │
├───┼───────────────────────────────┼─────┼────────────┼──────────────────────────┤
│ + │ ${redash-instance-sg.GroupId} │ In  │ TCP 80     │ ${redash-alb-sg.GroupId} │
│ + │ ${redash-instance-sg.GroupId} │ Out │ Everything │ Everyone (IPv4)          │
└───┴───────────────────────────────┴─────┴────────────┴──────────────────────────┘
(NOTE: There may be security-related changes not in this list. See https://github.com/aws/aws-cdk/issues/1299)

Do you wish to deploy these changes (y/n)? y
RedashCdkStack: deploying...
RedashCdkStack: creating CloudFormation changeset...













 ✅  RedashCdkStack

Stack ARN:
arn:aws:cloudformation:ap-northeast-1:XXXXXXXXXXXX:stack/RedashCdkStack/021bbd00-c807-11ea-8ab6-06255f79192b

デプロイが出来ました！デプロイ前にセキュリティ関連の変更を表示してくれるのが親切です。

動作確認

マネジメントコンソールで作成されたALBのエンドポイントを確認し、ブラウザでアクセスしてみましょう。以下の様な初期画面が表示されればOKです。

生成されるテンプレート

冒頭で内部的には CloudFormation のテンプレートが生成されると書きましたが、 cdk synth コマンドで確認できます。

$ cdk synth
Resources:
  redashvpc787F192D:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.100.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      InstanceTenancy: default
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash-vpc
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/Resource
  redashvpcpublicSubnet1Subnet3D390376:
    Type: AWS::EC2::Subnet
    Properties:
      CidrBlock: 10.100.0.0/24
      VpcId:
        Ref: redashvpc787F192D
      AvailabilityZone: ap-northeast-1a
      MapPublicIpOnLaunch: true
      Tags:
        - Key: aws-cdk:subnet-name
          Value: public
        - Key: aws-cdk:subnet-type
          Value: Public
        - Key: Name
          Value: RedashCdkStack/redash-vpc/publicSubnet1
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet1/Subnet
  redashvpcpublicSubnet1RouteTableE975F80B:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId:
        Ref: redashvpc787F192D
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash-vpc/publicSubnet1
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet1/RouteTable
  redashvpcpublicSubnet1RouteTableAssociationD0578F24:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      RouteTableId:
        Ref: redashvpcpublicSubnet1RouteTableE975F80B
      SubnetId:
        Ref: redashvpcpublicSubnet1Subnet3D390376
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet1/RouteTableAssociation
  redashvpcpublicSubnet1DefaultRoute3F4FA9A9:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId:
        Ref: redashvpcpublicSubnet1RouteTableE975F80B
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId:
        Ref: redashvpcIGW7813B7C8
    DependsOn:
      - redashvpcVPCGWD937466E
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet1/DefaultRoute
  redashvpcpublicSubnet1EIPCC704A65:
    Type: AWS::EC2::EIP
    Properties:
      Domain: vpc
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash-vpc/publicSubnet1
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet1/EIP
  redashvpcpublicSubnet1NATGatewayE9CE305C:
    Type: AWS::EC2::NatGateway
    Properties:
      AllocationId:
        Fn::GetAtt:
          - redashvpcpublicSubnet1EIPCC704A65
          - AllocationId
      SubnetId:
        Ref: redashvpcpublicSubnet1Subnet3D390376
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash-vpc/publicSubnet1
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet1/NATGateway
  redashvpcpublicSubnet2Subnet4F70832C:
    Type: AWS::EC2::Subnet
    Properties:
      CidrBlock: 10.100.1.0/24
      VpcId:
        Ref: redashvpc787F192D
      AvailabilityZone: ap-northeast-1c
      MapPublicIpOnLaunch: true
      Tags:
        - Key: aws-cdk:subnet-name
          Value: public
        - Key: aws-cdk:subnet-type
          Value: Public
        - Key: Name
          Value: RedashCdkStack/redash-vpc/publicSubnet2
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet2/Subnet
  redashvpcpublicSubnet2RouteTableCECFFA67:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId:
        Ref: redashvpc787F192D
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash-vpc/publicSubnet2
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet2/RouteTable
  redashvpcpublicSubnet2RouteTableAssociationD50DF0BC:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      RouteTableId:
        Ref: redashvpcpublicSubnet2RouteTableCECFFA67
      SubnetId:
        Ref: redashvpcpublicSubnet2Subnet4F70832C
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet2/RouteTableAssociation
  redashvpcpublicSubnet2DefaultRouteEDB2F883:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId:
        Ref: redashvpcpublicSubnet2RouteTableCECFFA67
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId:
        Ref: redashvpcIGW7813B7C8
    DependsOn:
      - redashvpcVPCGWD937466E
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/publicSubnet2/DefaultRoute
  redashvpcprivateSubnet1Subnet8CAD3737:
    Type: AWS::EC2::Subnet
    Properties:
      CidrBlock: 10.100.2.0/24
      VpcId:
        Ref: redashvpc787F192D
      AvailabilityZone: ap-northeast-1a
      MapPublicIpOnLaunch: false
      Tags:
        - Key: aws-cdk:subnet-name
          Value: private
        - Key: aws-cdk:subnet-type
          Value: Private
        - Key: Name
          Value: RedashCdkStack/redash-vpc/privateSubnet1
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/privateSubnet1/Subnet
  redashvpcprivateSubnet1RouteTableAE169A43:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId:
        Ref: redashvpc787F192D
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash-vpc/privateSubnet1
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/privateSubnet1/RouteTable
  redashvpcprivateSubnet1RouteTableAssociation11192046:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      RouteTableId:
        Ref: redashvpcprivateSubnet1RouteTableAE169A43
      SubnetId:
        Ref: redashvpcprivateSubnet1Subnet8CAD3737
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/privateSubnet1/RouteTableAssociation
  redashvpcprivateSubnet1DefaultRouteAAEFF0DE:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId:
        Ref: redashvpcprivateSubnet1RouteTableAE169A43
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: redashvpcpublicSubnet1NATGatewayE9CE305C
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/privateSubnet1/DefaultRoute
  redashvpcprivateSubnet2Subnet5B47BA0C:
    Type: AWS::EC2::Subnet
    Properties:
      CidrBlock: 10.100.3.0/24
      VpcId:
        Ref: redashvpc787F192D
      AvailabilityZone: ap-northeast-1c
      MapPublicIpOnLaunch: false
      Tags:
        - Key: aws-cdk:subnet-name
          Value: private
        - Key: aws-cdk:subnet-type
          Value: Private
        - Key: Name
          Value: RedashCdkStack/redash-vpc/privateSubnet2
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/privateSubnet2/Subnet
  redashvpcprivateSubnet2RouteTable2FA16BB7:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId:
        Ref: redashvpc787F192D
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash-vpc/privateSubnet2
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/privateSubnet2/RouteTable
  redashvpcprivateSubnet2RouteTableAssociation523D6F0E:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      RouteTableId:
        Ref: redashvpcprivateSubnet2RouteTable2FA16BB7
      SubnetId:
        Ref: redashvpcprivateSubnet2Subnet5B47BA0C
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/privateSubnet2/RouteTableAssociation
  redashvpcprivateSubnet2DefaultRouteABA00E61:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId:
        Ref: redashvpcprivateSubnet2RouteTable2FA16BB7
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId:
        Ref: redashvpcpublicSubnet1NATGatewayE9CE305C
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/privateSubnet2/DefaultRoute
  redashvpcIGW7813B7C8:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash-vpc
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/IGW
  redashvpcVPCGWD937466E:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId:
        Ref: redashvpc787F192D
      InternetGatewayId:
        Ref: redashvpcIGW7813B7C8
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-vpc/VPCGW
  redashinstanceroleCA5CD152:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Statement:
          - Action: sts:AssumeRole
            Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
        Version: "2012-10-17"
      ManagedPolicyArns:
        - Fn::Join:
            - ""
            - - "arn:"
              - Ref: AWS::Partition
              - :iam::aws:policy/AmazonSSMManagedInstanceCore
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-instance-role/Resource
  redashalbsgFF5DACBB:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: RedashCdkStack/redash-alb-sg
      SecurityGroupEgress:
        - CidrIp: 0.0.0.0/0
          Description: Allow all outbound traffic by default
          IpProtocol: "-1"
      SecurityGroupIngress:
        - CidrIp: 0.0.0.0/0
          Description: Allow from anyone on port 80
          FromPort: 80
          IpProtocol: tcp
          ToPort: 80
      VpcId:
        Ref: redashvpc787F192D
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-alb-sg/Resource
  redashinstancesg749BCA92:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: RedashCdkStack/redash-instance-sg
      SecurityGroupEgress:
        - CidrIp: 0.0.0.0/0
          Description: Allow all outbound traffic by default
          IpProtocol: "-1"
      VpcId:
        Ref: redashvpc787F192D
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-instance-sg/Resource
  redashinstancesgfromRedashCdkStackredashalbsg26A403EF8046A50BB9:
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      IpProtocol: tcp
      Description: from RedashCdkStackredashalbsg26A403EF:80
      FromPort: 80
      GroupId:
        Fn::GetAtt:
          - redashinstancesg749BCA92
          - GroupId
      SourceSecurityGroupId:
        Fn::GetAtt:
          - redashalbsgFF5DACBB
          - GroupId
      ToPort: 80
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-instance-sg/from RedashCdkStackredashalbsg26A403EF:80
  redashInstanceProfile17725B73:
    Type: AWS::IAM::InstanceProfile
    Properties:
      Roles:
        - Ref: redashinstanceroleCA5CD152
    Metadata:
      aws:cdk:path: RedashCdkStack/redash/InstanceProfile
  redashE2FE35A2:
    Type: AWS::EC2::Instance
    Properties:
      AvailabilityZone: ap-northeast-1a
      BlockDeviceMappings:
        - DeviceName: /dev/sda1
          Ebs:
            VolumeSize: 30
      IamInstanceProfile:
        Ref: redashInstanceProfile17725B73
      ImageId: ami-060741a96307668be
      InstanceType: t2.small
      SecurityGroupIds:
        - Fn::GetAtt:
            - redashinstancesg749BCA92
            - GroupId
      SubnetId:
        Ref: redashvpcprivateSubnet1Subnet8CAD3737
      Tags:
        - Key: Name
          Value: RedashCdkStack/redash
      UserData:
        Fn::Base64: "#!/bin/bash"
    DependsOn:
      - redashinstanceroleCA5CD152
    Metadata:
      aws:cdk:path: RedashCdkStack/redash/Resource
  redashalbE9806DDF:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      Scheme: internet-facing
      SecurityGroups:
        - Fn::GetAtt:
            - redashalbsgFF5DACBB
            - GroupId
      Subnets:
        - Ref: redashvpcpublicSubnet1Subnet3D390376
        - Ref: redashvpcpublicSubnet2Subnet4F70832C
      Type: application
    DependsOn:
      - redashvpcpublicSubnet1DefaultRoute3F4FA9A9
      - redashvpcpublicSubnet2DefaultRouteEDB2F883
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-alb/Resource
  redashalbredashalblistenerA15C76FF:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      DefaultActions:
        - TargetGroupArn:
            Ref: redashalbredashalblistenerredashalbtargetGroupEEFC3BEE
          Type: forward
      LoadBalancerArn:
        Ref: redashalbE9806DDF
      Port: 80
      Protocol: HTTP
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-alb/redash-alb-listener/Resource
  redashalbredashalblistenerredashalbtargetGroupEEFC3BEE:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      HealthCheckPath: /status.json
      Port: 80
      Protocol: HTTP
      Targets:
        - Id:
            Ref: redashE2FE35A2
      TargetType: instance
      VpcId:
        Ref: redashvpc787F192D
    Metadata:
      aws:cdk:path: RedashCdkStack/redash-alb/redash-alb-listener/redash-alb-targetGroup/Resource
  CDKMetadata:
    Type: AWS::CDK::Metadata
    Properties:
      Modules: aws-cdk=1.51.0,@aws-cdk/aws-cloudwatch=1.51.0,@aws-cdk/aws-ec2=1.51.0,@aws-cdk/aws-elasticloadbalancingv2=1.51.0,@aws-cdk/aws-elasticloadbalancingv2-targets=1.51.0,@aws-cdk/aws-events=1.51.0,@aws-cdk/aws-iam=1.51.0,@aws-cdk/aws-kms=1.51.0,@aws-cdk/aws-logs=1.51.0,@aws-cdk/aws-s3=1.51.0,@aws-cdk/aws-ssm=1.51.0,@aws-cdk/cloud-assembly-schema=1.51.0,@aws-cdk/core=1.51.0,@aws-cdk/cx-api=1.51.0,@aws-cdk/region-info=1.51.0,jsii-runtime=node.js/v12.18.0

一気にスクロールしましたね？ AWS CDK の強力さがお分かりいただけたと思います。

スタック削除をする場合は cdk destroy を実行します。

おわりに

AWS CDK で Redash 環境を構築しました。次回は Snowflake へ接続してダッシュボードを作ってみたいと思います。

Announcing automatic backups for Amazon Elastic File System

今までは、手動でAWS Backupの設定をしていましたが、Amazon EFSのコンソール上の自動バックアップを有効化にチェックを入れるだけで、毎日自動でバックアップを取得できるようになりました。

Amazon EFSとAWS Backupについては以下のブログをご参照ください。

AWS Lambda から Amazon Elastic File System にアクセスできるようになりました！！！
AWS BackupでAmazon Auroraのスナップショットがとれるようになりました！

設定方法

今回は既存のEFS設定がなかったので、EFSのファイルシステムの新規作成からやってみます。
Amazon EFSのコンソールを開き、[ファイルシステムの作成]をクリックします。

ファイルシステムの作成画面で名前とVPCを選択して、[作成]をクリックします。

ファイルシステムが作成されますので、名前(今回はefstest)をクリックします。

ファイルシステムの詳細が表示されます。この時点で自動バックアップは有効になっています。
自動バックアップの設定を変更する場合は、全般の[編集]をクリックします。

編集画面で、自動バックアップを有効化にチェックを入れると有効になり、自動バックアップをしない場合はチェックを外して、右下の[変更を保存]をクリックします。

EFS側の設定はこれだけです。
時間が経てば、バックアップが取得されます。AWS Backupのコンソールを開き、ナビゲーションペインの[ジョブ]をクリックすると、バックアップを取得したジョブが確認できます。

念のため、AWS Backupの設定がどのようになっているのかを確認します。

AWS Backupのコンソールを開き、ナビゲーションペインの[バックアッププラン]をクリックします。
そうすると、EFSのファイルシステムを作成したタイミングで、aws/efs/automatic-backup-plan が作成されています。

aws/efs/automatic-backup-planをクリックして、バックアップルールのaws/efs/automatic-backup-rule をクリックします。

デフォルトのバックアッププランのルールは以下になっています。
右上の[編集]をクリックして、設定を変更することが可能です。

また、バックアッププランに戻って、リソースの割り当てのaws/efs/automatic-backup-selectionをクリックします。

バックアップ取得対象は、先ほどのEFSで自動バックアップを有効化にチェックを入れたリソースが対象となっています。

まとめ

Amazon EFSにて自動バックアップが設定できるようになりました。今までよりも簡単にEFSのバックアップをとれるようになりましたので、使ってみてはいかがでしょうか。

また、本ブログの内容は2020/7/22(水) 18:00にYouTubeで配信される「30分でわかる AWS UPDATE！」でも取り上げる予定ですので、ぜひご覧ください！

こんにちは、技術1課の山中です。
今年に入り YouTube でライブ配信を行う機会が急に増えてきたのですが、ライブ配信って難しいですよね。
そんな中、 AWS から簡単にライブストリーミング配信ができるサービスが登場したとのことなので、試していこうと思います！！

Amazon Interactive Video Service (Amazon IVS) のご紹介

Amazon Interactive Video Service とは

Amazon Interactive Video Service (Amazon IVS) とは、わずか数クリックでセットアップできるマネージドライブストリーミングソリューションです。
複雑だったライブ配信環境を AWS 上で簡単に構築できます。
Amazon IVS を利用することで、 YouTube Live や Twitch といったストリーミングプラットフォームを利用することなく、自分自信で開発したアプリケーションやウェブサイト上で動画を直接配信することが可能となります。

Amazon Interactive Video Service

対応リージョン

Amazon IVS が利用できるリージョンは現在以下の 3 リージョンです。

• バージニア北部
• オレゴン
• アイルランド

料金

Amazon IVS は従量課金制です。
Amazon IVS へのビデオ入力の合計時間と、視聴者に配信されたビデオ出力の合計時間に対して料金が発生します。

• ライブビデオ入力コスト
  ビデオ入力の料金は、チャネルタイプによって異なります。

• ライブビデオ出力コスト
  ライブビデオ出力の料金は、視聴者に配信する時間と配信元の場所によって決まります。

試してみる

早速試してみましょう。
Amazon IVS は東京リージョンで利用できないので、今回はバージニア北部リージョンで試していきます。

チャネルの作成

AWS マネジメントコンソールを開き、 Amazon Interactive Video Service にアクセスします。
はじめに、以下のような画面が表示されるので チャネルの作成 ボタンをクリックし作成を開始しましょう。

セットアップ画面で チャネル名 と チャネル設定 を指定します。
チャネル設定では、 チャネルタイプ と 動画レイテンシー を指定でき、動画レイテンシーについては以下のような違いがあります。

• 動画レイテンシー
  カメラがライブストリームをキャプチャしてから視聴者の画面にストリーム動画が表示されるまでの時間を設定することができます。

今回は、 デフォルト設定 のまま進めていきます。 デフォルト設定 を選択後、 チャネルの作成 ボタンをクリックします。

5 秒くらいでチャネルの作成が完了し、ストリーム設定用の RTMP URL 、ストリームキー、再生設定用の URL が表示されるので、控えておきましょう。

OBS から配信

今回は Open Broadcaster Software®️ | OBS を利用してストリーミング配信を試してみます。
OBS を開き、 設定 → 配信 で以下を入力して OK ボタンをクリックします。

これで OBS 側の設定は完了なので、配信を開始します。今回は YouTube で先日のイベント動画を再生し、それを OBS でキャプチャして配信しています。

配信を開始すると、 Amazon IVS の ライブストリーム タブで配信している内容を確認することができます。

右が OBS 、左が Amazon IVS のプレビュー画面なのですが、バージニア北部でチャネルを作成しても遅延が 6 秒 ほどで収まっていることがわかります。
すごいですね〜

今回は省略しますが、再生用 URL を自分のアプリケーションに埋め込めば、同じように再生できるはずです！

おわりに

なんとなくライブストリーム配信って難しいイメージがあったのですが、 Amazon IVS を利用すると簡単に環境が作成できて、なおかつ、低レイテンシーな配信ができるとはすごいですね！！！
社内で行っている YouTube Live も Amazon IVS でチャレンジしてみようと思います。（時期未定

また、この内容は 2020/7/22(水) 18:00 よりYouTube にて配信する「30分でわかる AWS UPDATE！」で取り上げますので、是非ご覧ください！
チャンネル登録よろしくおねがいします！！
サーバーワークス チャンネル – YouTube

参考

• Amazon Interactive Video Service – Add Live Video to Your Apps and Websites | AWS News Blog
• Amazon Interactive Video Service FAQs
• Amazon Interactive Video Service Pricing

AWS DeepRacer Evo とセンサーキットが発売開始されました。

すでにDeepRacerのシミュレーションでは今回発売されたEvoと同等なデバイスは利用できましたが、ついにリアルのコースで障害物競争や1on1でのレースができるようになったわけですね。

AWS DeepRacer Evo

新しくなったDeepRacer『AWS DeepRacer Evo』USのamazonで購入できます。

• AWS DeepRacer Evo – Fully Autonomous 1/18th Scale Race Car for Developers

このフォルム。。。

？？？

そんなことはさておき、今までのDeepRacerとの違いはカメラとLiDARにあります。

カメラを2台搭載

いままでのDeepRacerはカメラ1台でした。DeepRacer Evoにはカメラが2台搭載されています。これによりコース内の障害物や他のDeepRacerの検出ができたり、距離が測れるわけですね。

LiDAR

LiDARとはセンサーの１つです。下の画像の丸い円盤のようなものがLiDARです。レーザーを360°に発し、周りの物との距離を測ることができます。カメラは前を見ていますがそれ以外の周りの物の検出はLiDARでって感じでしょうね。

AWS DeepRacer Sensor Kit

いままでのDeepRacerをお持ちならAWS DeepRacer Sensor KitでDeepRacer Evoと同等の機能にアップグレードできます。こちらもUSのamazonで購入できます。

• AWS DeepRacer Sensor Kit – Adds Object Detection to your AWS DeepRacer Autonomous 1/18th Scale Race Car

まとめ

やっとリアルなDeepRacerでタイムアタック以外のことができるようになったわけですが、まあいいんじゃないでしょうか。

今回は、弊社のYouTubeチャンネル「サーバーワークス チャンネル」にて先日公開した以下動画についてblogでも内容を紹介いたします。

動画内では、実際に画面を操作しながらアカウント登録を行っていくデモがありますのでもし興味があれば是非、動画も視聴頂ければと思います。

内容が良かった、為になったと感じたら是非Goodボタンやチャンネル登録頂けると嬉しいです。

対象者

・AWSをこれからはじめたい方
・AWSをもっと活用したい方
・AWS アカウント作成手順およびイメージを把握したい方

AWSアカウントとは

AWSの各種サービスを個人や法人が利用するために、AWSに払い出してもらう「テナント」のようなイメージとなります。AWSアカウントを取得する事で、様々なプロダクトを活用する事が可能となります。

参考: クラウド製品 (AWSで提供されている様々なプロダクト)
https://aws.amazon.com/jp/products/

AWSアカウントの作成は無料となり、 Amazon EC2 や Amazon S3 をはじめとした様々なサービスで無料利用枠が設定されているので、その範囲であれば無料で利用可能です。

参考: AWS 無料利用枠
https://aws.amazon.com/jp/free/

アカウントの作成前に

AWSアカウントを作成するにあたり以下内容が必要となりますので、必要に応じて事前に検討、準備しておくと登録がスムーズとなります。

• Eメールアドレス
  AWSアカウントの ルートユーザーのIDとなります
• AWSアカウント名
   発行されるアカウントIDの数字12桁とは別に人間が管理しやすくなるよう名前を割り当てる事が出来ます。後にルートユーザー権限であれば変更も可能です
•  連絡先情報
  　氏名、住所、電話番号 等
• 支払情報 (※アカウント作成だけで請求は発生しません)
  • クレジット/デビットカード番号情報
  • 請求先住所情報
• 電話もしくはSMS(テキストメッセージ)を利用できる端末
  本人確認用途で利用します
• サポートプランの検討
  アカウントの用途や受けたいサポート内容に応じて、必要なプランを選択します(詳細は以下参照)
  • ベーシックプラン
  • 開発者プラン
  • ビジネスプラン
  • エンタープライズプラン

参考: AWSサポート
https://aws.amazon.com/jp/premiumsupport/

参考: AWSサポートのプラン比較
https://aws.amazon.com/jp/premiumsupport/plans/

AWSアカウント新規作成のデモ(動画内 02:30〜)

概要の説明に加え、実際にAWSのオフィシャルサイトからAWSアカウントを発行し、マネジメントコンソールにルートユーザーでサインインするまでのデモを動画内で紹介しております。

ざっくりAWSアカウント作成作業のイメージを掴んで頂ける内容となっておりますで、もし興味があれば動画を参照ください。

まとめ

AWSアカウントの作成自体は、Webフォームで簡単に申請でき、数分程度で完了します。
様々なサービスで無料利用枠が用意されているので有効に利用し、AWSを活用していきましょう。

関連blog

AWSアカウントとは？IAMとは？【ビギナー向け】