- コンピューティング›
- AWS の Linux›
- Amazon Linux 2023 に関するよくある質問
Amazon Linux 2023 に関するよくある質問
全般
Amazon Linux 2023 とは何ですか?
Amazon Linux 2023 (AL2023) は、rpm ベースの汎用 Linux ディストリビューションであり、Amazon Linux 2 の後継です。AL2023 は、オペレーティングシステムのアップグレードの計画を簡素化します。AL2023 以降、Amazon Linux の新しいメジャーバージョンは 2 年ごとにリリースされ、四半期ごとのマイナーリリースが含まれるほか、5 年間の長期サポートが付属しています。Amazon Linux 2023 は、AWS サービスと統合され、クラウドでの大規模なデプロイを想定して設計されています。デフォルトでは、AL2023 AMI とコンテナイメージは、パッケージリポジトリの特定のバージョンにロックされ、確実な動作を保証し、継続的インテグレーションとデプロイ環境での OS アップデートの統合を簡素化します。
バグや問題を報告するにはどうすればよいですか?
Amazon Linux 2023 GitHub ページを使用したり、アカウントチームと連携してバグや問題を報告したりできます。
Amazon Linux のリリーススケジュールはどのようになっていますか?
新しいメジャーバージョンは 2 年ごとにリリースされ、5 年間の長期サポートが付属しています。各リリースは、アクティブな開発フェーズ (2 年間) とメンテナンスフェーズ (3 年間) といった 2 つのフェーズで構成されます。アクティブな開発フェーズでは、リリースは四半期ごとにマイナーバージョンの更新を受け取ります。各マイナーバージョンは、新機能とパッケージに加えて、セキュリティとバグ修正を含む更新の累積リストです。メンテナンスフェーズ中、リリースはセキュリティ更新と重大なバグ修正のみを受け取ります。これらは利用可能になり次第発行されます。既知のセキュリティ脆弱性のステータスは、「AL2023 Security Center」のページで確認できます。新しいリポジトリがリリースされるたびに、新しい Linux Amazon マシンイメージもリリースされます。
メジャーリリースとマイナーリリースには何が含まれていますか?
Amazon Linux のメジャーバージョンには、kernel、ツールチェーン、glibc、openssl、および他のすべてのシステムライブラリとユーティリティを含む、スタック全体の新機能とセキュリティおよびパフォーマンスの改善が含まれます。Amazon Linux のメジャーリリースの一部は、アップストリームの Fedora Linux ディストリビューションの現在のバージョンに基づいていますが、Amazon は Fedora 以外の他のアップストリームから特定のパッケージを追加または置換することを選択する場合があります (Linux カーネルが kernel.org の Long Term Support の選択肢から提供され、Amazon の Linux 製品専用に維持される、など)。リポジトリ内のパッケージのメジャーリリースの更新は、下位互換性がない場合があることにご留意ください。以前のメジャーリリースからの変更の完全なリストを提供します。四半期ごとのマイナーリリースには、セキュリティ更新、バグ修正、および新機能とパッケージが含まれます。マイナーリリースでの変更の例には、PHP などの最新の言語ランタイムや、Ansible や Docker などの他の一般的なソフトウェアパッケージが含まれます。メンテナンスフェーズ中、リリースはセキュリティ更新と重大なバグ修正のみを受け取ります。これらは利用可能になり次第発行されます。
メジャーリリースとマイナーリリースの更新はどのように提供されますか?
更新は、新しい AMI (Amazon マシンイメージ) リリースと対応する新しいリポジトリの組み合わせを介して提供されます。デフォルトでは、新しい AMI とそれがポイントするリポジトリが結合されますが、実行中のインスタンスで更新を消費するために、時間の経過に合わせて実行中の Amazon EC2 インスタンスを新しいリポジトリバージョンにポイントすることができます。最新の AMI の新しいインスタンスを起動して更新することもできます。
メジャーリリースとマイナーリリースから受け取る更新をコントロールするにはどうすればよいですか?
AL2023 は、リポジトリの特定のバージョンにロックします (これは、いずれのメジャーバージョンまたはマイナーバージョンでも当てはまります)。SSM パラメータを介して公開される AL2023 AMI は常に最新であり、重大および重要なセキュリティ更新を含む最新のパッケージと更新が含まれています。起動ウィザードを介して AL2023 AMI を使用して EC2 インスタンスを起動すると、常に最新の更新が提供されます。ただし、古い AMI からインスタンスを起動した場合、更新は自動的に適用されず、プロビジョニングの一部としてインストールされた追加のパッケージは、古い AMI の構築元となったリポジトリバージョンにマッピングします。これにより、特に同じ AMI から複数のインスタンスを起動する場合に、環境全体でパッケージバージョンと更新の一貫性を確保できます。自分に合ったスケジュールに基づいて更新を適用できます。起動時に特定の更新セットを適用することもできます。これらも特定のリポジトリバージョンにロックできるためです。詳細については、ドキュメントをご覧ください。
新しい Amazon Linux AMI はどのくらいの頻度でリリースされますか?
新しいバージョン (メジャーバージョン、マイナーバージョン、またはセキュリティリリース) をリリースするたびに、新しい Linux Amazon マシンイメージ (AMI) もリリースします。
AL2023 リポジトリから利用可能なパッケージ更新をコントロールするプロセスはどのようなものですか?
AL2023 リポジトリの新しいバージョンが公開された後も、以前のすべてのバージョンは引き続きご利用いただけます。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされます。パッケージの更新をコントロールする必要がある場合は、「dnf check-release-update」を実行して更新可能なリポジトリのバージョンを検出し、リストにあるコマンド「dnf -releasever=version update」を実行してバージョンを選択できます。その時点で、「dnf install」または「dnf upgrade」は、選択したリポジトリバージョンからのみパッケージを選択します。パッケージの更新をコントロールする必要がない場合は、「最新」バージョンを選択できます。これにより、常に最新バージョンの AL2023 リポジトリがポイントされます。現在 Amazon Linux 2 を使用している場合、これにより、ユーザーおよび既存のパッチワークフローが想定する可能性のあるパッケージ更新の従来の動作が復元されます。
AL2023 インスタンスは、重大および重要なセキュリティ更新を自動的に受け取りますか?
デフォルト設定では受け取りません。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされ、セキュリティ更新プログラムは適用されません。いつでもデフォルト設定を変更して、パッケージの更新を自動的に受け取るようにできます。セキュリティ更新のみを受け取るように指定することもできます。詳細については、ドキュメントをご覧ください。
AWS で Amazon Linux 2023 の使用を開始するにはどうすればよいですか?
AWS は Amazon Linux 2023 用の Amazon マシンイメージ (AMI) を提供します。ユーザーはこれを使用して、Amazon EC2 コンソール、AWS SDK、CLI からインスタンスを起動できます。詳細については、Amazon Linux 2023 のドキュメントをご覧ください。
AWS の外部で AL2023 を使用できますか?
AL2023 イメージは AWS の外部で使用できます。ただし、AWS の外部で使用する場合、これらのイメージは AWS サポートプランの対象外となります。
Amazon EC2 での Amazon Linux 2023 の実行に関連するコストは発生しますか?
いいえ。Amazon Linux 2023 を実行しても、追加料金は発生しません。Amazon EC2 インスタンスや他のサービスの実行には、Amazon EC2 および AWS の標準料金が適用されます。
どのようなお客様グループにとって、AL2023 は最適なオプションとなりますか?
AL2023 は、AWS で使用する汎用 Linux オペレーティングシステムをお求めの場合に最適なオプションです。AL2023 は Amazon EC2 向けに最適化され、最新の AWS の機能と良好に統合されており、AWS 固有のツール (AWS Systems Manager および AWS CLI) の多くを備えた統合エクスペリエンスを提供します。 現在 Amazon Linux AMI (AL1) または Amazon Linux 2 (AL2) をご利用の場合は、両方の利点を兼ね備えている AL2023 の試用をご検討ください。Amazon Linux 2023 は、頻繁な更新と長期的なサポートを提供するだけでなく、予測可能なリリース頻度、柔軟性、および新しいソフトウェア更新に対するコントロールを提供し、標準のコンプライアンス要件を満たすためのカスタムポリシーの作成に伴う運用オーバーヘッドを排除します。
AL2023 は AL2 などの Amazon-Linux-Extras を備えていますか?
いいえ。AL2023 は Extras を備えていません。言語ランタイムなどの高レベルのソフトウェアパッケージの場合、四半期ごとのリリースを使用して、リポジトリで提供されるデフォルトパッケージに加えて、個別の名前空間化されたパッケージとしてメジャー/マイナー更新をパッケージに追加します。 例えば、Amazon Linux 2023 のデフォルトの Python バージョンは 3.8 である可能性がありますが、Python 3.9 (python39) が利用可能になると、別の名前空間化されたパッケージとして追加されます。これらの追加パッケージは、アップストリームリリース頻度とサポートモデルに厳密に従います。また、それらのサポートポリシーは、コンプライアンスとセキュリティのユースケースのために、パッケージマネージャーによってアクセスされることがあります。デフォルトパッケージは、AL2023 の存続期間を通じてサポート対象であり続けます。
AL2023 のエクスペリエンスについてフィードバックを提供するにはどうすればよいですか?
Amazon Linux 2023 に関するフィードバックは、指定された AWS 担当者、Amazon Linux ディスカッションフォーラム、または Amazon Linux 2023 の GitHub ページを通じて提供できます。
更新ポリシー
AL2023 のメジャーリリースとマイナーリリースには何が含まれますか?
メジャーリリース (2 年ごと) には、kernel、ツールチェーン、glibc、openssl、および他のすべてのシステムライブラリとユーティリティを含む、スタック全体の新機能とセキュリティおよびパフォーマンスの改善が含まれます。AL2023 のメジャーリリースの一部は、アップストリームの Fedora Linux ディストリビューションの現在のバージョンに基づいていますが、Amazon は Fedora 以外の他のアップストリームから特定のパッケージを追加または置換することを選択する場合があります (Linux カーネルが kernel.org の Long Term Support の選択肢から提供され、Amazon の Linux 製品専用で維持される、など)。リポジトリ内のパッケージのメジャーリリースの更新は、下位互換性がない場合があることにご留意ください。以前のメジャーリリースからの変更の完全なリストが提供されます。これにより、パッケージレベルでインプレースアップグレードを実行できるようになります。
四半期ごとのマイナーリリース (1.1、1.2) には、セキュリティ更新、バグ修正、および新機能とパッケージが含まれます。マイナーリリースの例には、PHP などの最新の言語ランタイムや、Ansible や Docker などの他の一般的なソフトウェアパッケージが含まれます。マイナーリリースでは、アプリケーションの互換性を損なうような変更は行われません。例えば、言語ランタイムのデフォルトバージョンは安定したままですが、新しいバージョンの言語ランタイムは新しいパッケージとしてリポジトリに提供されます。
メジャーリリースとマイナーリリースの更新はどのように提供されますか?
更新は、新しい AMI (Amazon マシンイメージ) リリースと対応する新しいリポジトリの組み合わせを介して提供されます。デフォルトでは、新しい AMI とそれがポイントするリポジトリが結合されますが、実行中のインスタンスで更新を消費するために、時間の経過に合わせて実行中の Amazon EC2 インスタンスを新しいリポジトリバージョンにポイントすることができます。最新の AMI の新しいインスタンスを起動して更新することもできます。
メジャーリリースとマイナーリリースから受け取る更新をコントロールするにはどうすればよいですか?
AL2023 は、リポジトリの特定のバージョンにロックします。EC2 起動ウィザードに表示される AL2023 AMI は常に最新であり、重大および重要なセキュリティ更新を含む最新のパッケージと更新が含まれています。起動ウィザードを介して AL2023 AMI を使用して EC2 インスタンスを起動すると、常に最新の更新が提供されます (AL2 の現在のエクスペリエンスと同じです)。ただし、古い AMI からインスタンスを起動した場合、更新は自動的に適用されず、プロビジョニングの一部としてインストールされた追加のパッケージは、古い AMI の構築元となったリポジトリバージョンにマッピングします。これにより、特に同じ AMI から複数のインスタンスを起動する場合に、環境全体でパッケージバージョンと更新の一貫性を確保できます。自分に合ったスケジュールに基づいて更新を適用できます。
AL2023 リポジトリから利用できるパッケージの更新をコントロールするにはどうすればよいですか?
AL2023 リポジトリの新しいバージョンが公開された後も、以前のすべてのバージョンは引き続きご利用いただけます。デフォルトでは、リポジトリのバージョンを管理するためのプラグインは、AMI の構築に使用されたのと同じバージョンにロックされます。パッケージの更新をコントロールする必要がある場合は、「dnf check-release-update」を実行して更新可能なリポジトリのバージョンを検出し、リストにあるコマンド「dnf -releasever=version update」を実行してバージョンを選択できます。その時点で、「dnf install」または「dnf upgrade」は、選択したリポジトリバージョンからのみパッケージを選択します。パッケージの更新をコントロールする必要がない場合は、「最新」バージョンを選択できます。これにより、常に最新バージョンの AL2023 リポジトリがポイントされます。これにより、ユーザーおよび既存のパッチワークフローが想定する可能性のあるパッケージ更新の従来の動作が復元されます。
セキュリティ
AL2023 は SELinux をサポートしていますか?
はい。SELinux は、アクセスコントロールポリシーを提供するセキュリティモジュールです。Linux サーバーをロックダウンし、悪意のあるアクティビティから保護するために、業界で広く使用されています。AL2023 内の主要なアプリケーションには、あらかじめ SELinux ポリシーが設定されており、お客様のコンプライアンスニーズに対応します。
AL2023 SELinux のデフォルト設定はどのようになっていますか?
AL2023 は、デフォルトで SELinux が許容モードになっています。コマンドラインから 'setenforce' を実行するか、cloud-init userdata から起動時にこのコマンドを実行することで、SELinux の設定をenforced modeに変更することができます。インスタンスを再起動すると、変更しない限り、最初に指定された SELinux 設定が記憶され、使用されます。詳細については、AL2023 ドキュメントをご覧ください。
リリース候補には含まれていないが、GA までには使用可能になる予定のパッケージはどれですか?
詳細については、Amazon Linux 2023 リリースノートをご覧ください。リリース候補版と GA 版の間の変更の例としては、Hibernation エージェントや、デフォルトで IMDSv2 のみで起動するように登録された AMI(つまり IMDSv1 を無効にしたもの)などがあります。
Amazon Linux セキュリティアドバイザリが CVE をそのバージョンで修正すると述べているにもかかわらず、セキュリティスキャナーが Amazon Linux パッケージの未修正の CVE を報告するのはなぜですか?
Amazon Linux は、ほとんどの Linux ディストリビューションと同様に、定期的にセキュリティ修正をリポジトリ内の安定したパッケージバージョンにバックポートします。これらのパッケージがバックポートで更新されると、特定の問題の Amazon Linux セキュリティ速報に、Amazon Linux で問題が修正された特定のパッケージバージョンが一覧表示されます。プロジェクトの作成者によるバージョニングに依存しているセキュリティスキャナーでは、特定の CVE 修正が古いバージョンに適用されたことが検出されないことがあります。お客様は、Amazon Linux Security Center (ALAS) でセキュリティ上の問題や修正に関する最新情報を確認できます。
AL2023のヒントに関するよくある質問
FIPS 140-3 とは何ですか?
Federal Information Processing Standard (FIPS) Publication 140-3 には、連邦コンピュータシステムのデータ保護と暗号化に関する標準とガイドラインが含まれています。暗号モジュールの有効性を検証するために、米国国立標準技術研究所(NIST)、カナダサイバーセキュリティセンター(CCCS)、および業界ワーキンググループによって開発されました。FIPS 140-3はISO/IEC 19790規格に準拠しており、現在は廃止されたFIPS 140-2規格と比較してセキュリティ要件に新たな強化が導入されています。
Amazon Linux 2023 で FIPS モードを有効にするにはどうすればよいですか?
AL2023 で FIPS モードを有効にするには、Amazon EC2 インスタンスに必要なパッケージをダウンロードし、それに接続して FIPS モードをオンにします。詳細な手順については、「FIPS モードを有効にする」をご覧ください。
AL2023 FIPS 140-3 検証の現在のステータスはどうなっていますか?
Amazon Linux 2023 暗号化モジュール (OpenSSL、NSS、Libgcrypt、Kernel、GnuTLS) が FIPS 140-3 検証のために提出されました。2024-02-02 の時点で、5 つの暗号モジュールすべてが FIPS Module in Process (MIP) リストに含まれています。MIPリストには、すべてのFIPSテストを完了し、CMVPによる審査と証明書の発行を待っている暗号モジュールが含まれています。暗号モジュール検証プログラム(CMVP)は、商務省傘下の国立標準技術研究所と、通信セキュリティ機関の支部であるカナダサイバーセキュリティセンターが共同で取り組んでいます。AL2023 暗号化モジュールの FIPS ステータスについては、Cryptographic Module Validation Program (CMVP) のウェブサイトにアクセスしてください。
FIPS 用の AL2023 モジュールを、Module in Process (MIP) にリストされた状態で使用できますか?
お客様は、モジュールが MIP リストに含まれていても AL2023 暗号モジュールを使用できる場合があります。 AWS では、お客様が自社のコンプライアンスチームに相談して、FIPS が必要なワークロードで AL2023 暗号モジュールを使用することが許容されるかどうかを確認し、必要に応じて承認を取得することを推奨しています。
CMVP でレビュー中の AL2023 暗号モジュールはどれですか?
暗号化モジュール名 | 関連パッケージ | 検証ステータス |
アマゾンリナックス 2023 OpenSSL 暗号化モジュール | OpenSSL 3.0.8 | 処理中のモジュールリスト |
アマゾンリナックス 2023 NSS 暗号化モジュール | NSS 3.88 | 処理中のモジュールリスト |
アマゾンリナックス 2023 Libgcrypt 暗号化モジュール | Libgcrypt 1.10.2 | 処理中のモジュールリスト |
アマゾンリナックス 2023 カーネル暗号化 API 暗号化モジュール | Kernel 6.1.41 | FIPS バリデーション |
アマゾンリナックス 2023 GnuTLS 暗号化モジュール | GnuTLS 3.8.0 | 処理中のモジュールリスト |
提出された Amazon Linux 2023 テストでカバーされるオペレーティング環境はどれですか?
AL2023 OpenSSL、NSS、Libgcyprt、Kernel、GnuTLS は、インテル、AMD、Graviton でテストされました。詳細は最終証明書に記載されます。
長期サポート
AL2023 の長期サポートポリシーはどのような内容ですか?
AL2023 はパッケージの更新を提供し、AL2023 で構築されたお客様のアプリケーションのメジャーバージョン内で互換性を維持します。glibc、openssl、openssh、および dnf パッケージマネージャーなどのコアパッケージについては、AL2023 のメジャーリリースの存続期間はサポート対象となります。コアパッケージの一部ではないパッケージは、アップストリームソースによって定義されたサポートの対象となります。「dnf supportinfo packagename」コマンドを実行すると、個々のパッケージの特定のサポートステータスと日付を表示できます。コアパッケージの完全なリストは、プレビュー期間中に確定されます。より多くのパッケージがコアパッケージとして含まれることをご希望の場合は、当社までお知らせください。収集するフィードバックに基づいて評価を実施します。Amazon Linux 2023 に関するフィードバックは、指定された AWS 担当者、Amazon Linux ディスカッションフォーラム、または Amazon Linux 2023 の GitHub ページを通じて提供できます。