【每周快報】0122-0204 AWS 服務更新
前言
資安一向是許多人關注的議題,而 AWS 也不斷在優化各項服務的安全性。近期 Amazon Detective 加強了針對 IP 位址分析的安全性檢查,而 Amazon Elasticsearch Service 則是針對現有的 Domain 端對端加密,讓敏感的工作負載能夠更加安全。
除了安全的提升外,AWS 也為許多服務新增了支援及改善,本篇文章將會介紹 Amazon S3、Amazon CloudWatch Agent、Amazon EKS、Amazon Transcribe Medical…等服務的新支援。
焦點新聞
Amazon S3 支援 AWS PrivateLink
有地端應用程式,想要不經由 Public IP 存取 Amazon S3 中的資源的使用者有福了!透過 S3 對 PrivateLink 的支持,使用者可以在 VPC 中為 S3 提供 interface VPC endpoints ,以便透過 AWS Direct connect 或 AWS VPN 將地端應用程式直接與 S3 連接。
在 2015 年,S3 是第一支援 VPC Endpoint 的服務,Endpoint 提供了到 S3 的安全連接,不需要 NAT gateway 或 NAT instances。但是使用者還是有個需求—使用 AWS Direct Connect 或 AWS VPN 讓地端應用程式存取 Amazon S3 中的資源。
所以可以在 VPC 中部署一台代理伺服器,利用它在 VPC 中的 IP 搭配 S3 的 gateway endpoint,這雖然是個不錯的方法,但是代理服務器通常有性能限制或是其他故障點,會增加操作複雜性。
此次更新後 AmazonS3 現在支持 AWS PrivateLink ,透過 VPC 中的 private endpoint 直接訪問 S3 。使用 VPC 中的 Private IP 位址從地端或 AWS 連接到S3,簡化網路架構,無需使用Public IP、設定防火牆規則或設定 Internet Gateway 從地端訪問 S3。
其他服務更新
Amazon Macie 新增多種功能
Amazon Macie 是一個運用人工智慧(AI)的自動化安全服務,它會自動分類企業的機密資料或是敏感性資料,同時分析資料儲存的位置、存取的方式、時間及用戶。可以監控所有的異常,當檔案被下載、憑證被不安全地存放、或機密資訊遭外部存取時,就會發出警告,並提供如何解決問題的建議。
此次更新後,Macie 現在可以一次掃描多個跨帳戶的 S3 bucket,也能透過 Prefix list 縮小範圍進行掃描,且每執行一個 Job 前,能看到這個 Job 執行的價錢為何,如此一來更容易掌握成本,在使用上帶來更大的彈性。
Amazon ECS 提高服務相關限制
先前使用者利用 ECS Service 開啟多個 ECS Tasks 時,最多只能啟用 2000 個 Tasks,而每個 Cluster 最多也只能啟用 2000 個 ECS Service。此次更新後,使用者可在每個 ECS Service 啟用多達 5000 個 Tasks,每個 Cluster 也可以啟用 5000 個 ECS Service。
參考來源至:Amazon ECS announces increased service quotas for tasks per service and services per cluster
Amazon Detective 加強針對 IP 位址分析的安全性檢查
Amazon Detective 幫助使用者分析、調查潛在安全問題及可疑活動的原因。Amazon Detective 可自動從 AWS 資源中收集日誌資料,透過機器學習、統計分析及圖論來建置關聯的資料集,進行更快、更有效的安全檢查。
Amazon Detective 現在提供了增強的 IP 位址分析功能,透過新功能使用者可以知道:
- IP 位址與帳戶中的資源進行了多長時間的互動
- IP 位址與哪個 EC2 Instance 溝通
- 哪個 Data volumes 在跟此 IP 溝通
- IP 位址在哪些 port 上進行溝通
- 哪些 User 和 Role 透過這個 IP 位址調用 API 操作
Amazon Detective 讓安全分析師可以快速確定 IP 位址的行為並診斷安全事件。
這些新功能能夠簡化 Security team 跟 Operations team 的安全分析工作,有了這些新功能,使用者不需要自己開發工具或使用第三方工具來導出、儲存和分析 VPC Flow log 跟 CloudTrail 資料,可以使用 Amazon Detective 處理這些繁重的工作,讓使用者可以專注在快速診斷問題。
Amazon CloudWatch Agent 現在支援 Amazon EC2 Mac instances
Mac instance 是第一個支援 Apple macOS 的 EC2 instance 類型。
此次更新後,使用者可在 EC2 Mac instance 上啟用 CloudWatch Agent,收集 instance 的各項指標,還可以使用 CloudWatch 來檢測 instance 中的異常行為,同時設置警報,在 Dashboard 上將收集的指標進行可視化,並對問題進行故障排除,以及提供見解,保持應用程序能夠穩定運行。現在,所有提供 Mac instance 的可用區中都可以免費使用 CloudWatch Agent。
參考來源至:Amazon CloudWatch Agent Now Supports macOS on Amazon EC2 Mac instances
Amazon Elasticsearch Service 針對現有 Domain 端對端加密
Amazon Elasticsearch 現在支援現有的 Domain 端對端加密,讓敏感的工作負載可以達到安全性和合規性要求。
使用者可以使用 AWS Key Management(KMS)管理的密鑰來加密數據,也可以選擇自己的密鑰來進行加密。
端對端加密功能在 Amazon Elasticsearch Service Instances Cluster 之間的所有通訊加入了額外的安全層,這樣可以確保節點之間發送和複製數據時,透過 HTTPS 發送到 Amazon Elasticsearch Service Domain 的所有數據在傳輸過程中,皆能保持加密狀態,降低資料被惡意存取的風險。
Amazon EKS 和 Kubernetes Container Log 支援 Fluent Bit
Fluent Bit 是一個開源,多平台的日誌處理器和轉發器,可讓使用者從不同的來源收集數據和日誌。此次更新後,Fluent Bit 可以從 EKS 和 Kubernetes 收集日誌並發送 CloudWatch 中,以進行日誌儲存和分析。
CloudWatch Container Insights 和 Log Insights 讓使用者能夠將 Fluent Bit 收集的 Container log 進行分析、瀏覽和視覺化的處理。現在就可以開始在CloudWatch 中收集 Fluent Bit 日誌,透過監控進行故障排除。
參考來源至:Amazon CloudWatch now adds Fluent Bit support for container logs from Amazon EKS and Kubernetes
圖片來源至:Fluent Bit Integration in CloudWatch Container Insights for EKS
Amazon Transcribe Medical 支援 Protected Health Information (PHI) 自動識別
Amazon Transcribe Medical 是一個符合 HIPAA 規範的自動語音辨識服務,這項服務幫助開發人員可以:
- 輕鬆將語音轉文字服務加入到醫療保健和生命科學的應用程式中
- PHI 自動識別
透過新加入的 PHI 自動識別服務,客戶可以大幅降低識別 PHI 所需的成本及人力,PHI 會被清楚的標記在輸出的紀錄中,以便用於後續的處理。
若需更詳細的資訊,可前往 PHI 的說明頁面獲得更多資訊。
參考來源至:Amazon Transcribe Medical now provides automatic Protected Health Information (PHI) identification
Amazon SNS 及 Amazon EBS 支援 1-minute CloudWatch metrics
先前,當使用者利用 CloudWatch 監控 SNS Topic 及 EBS Volume 時,每隔 5 分鐘會產生新的 Metrics 數據,因此當資源發生問題,使用者最快只能在 5 分鐘後收到最新的資訊。而這對於需要立即處理的問題,會難以立即的反應。
此次更新後,Amazon SNS 及 Amazon EBS 新增支援以 1 分鐘為間隔的 CloudWatch metrics,未來使用者就可以每分鐘收集新的 metrics 資料,優化監控資源的效果。
參考來源至:Amazon SNS now supports 1-minute CloudWatch metrics, Amazon EBS announces CloudWatch metrics with 1-minute granularity on all EBS volume types
AWS RoboMaker 支援將模擬環境 log 上傳至 S3
在開發機器人應用程式時,常常需要建置模擬環境,像是 Gazebo 等。AWS RoboMaker 就是提供這類軟體的服務。使用者可以在這個服務中觀察整個機器人的運行狀況,但在機器人模擬工作結束後,AWS 會將環境還原,並回收資源,造成使用者一定要坐在螢幕前面觀察整個過程才行,不然會無法觀看到整個訓練的過程。此外,如果要進行參數調教時,也相當不便。
這次更新之後,使用者可以透過簡單的設定,將模擬時所產生的 log (rosbags, ros logs, gazebo logs) 直接上傳至 S3 的特定位置,以利日後分析、修正機器人參數。
參考來源至:AWS RoboMaker supports data upload configurations in simulation jobs
Tag:1-minute CloudWatch metrics, AI, Amazon CloudWatch Agent, Amazon Detective, Amazon EBS, Amazon EC2 Mac Instances, Amazon ECS, Amazon EKS, Amazon Elasticsearch Service, Amazon Macie, Amazon S3, Amazon SNS, Amazon Transcribe Medical, AWS, AWS Direct Connect, AWS Key Management, AWS PrivateLink, AWS RoboMaker, AWS VPN, Fluent Bit, KMS, Kubernetes Container Log, log, PHI, Protected Health Information, VPC endpoint