Amazon Web Services ブログ

Category: AWS Config

use-amazon-athena-and-aws-cloudtrail-to-estimate-billing-for-aws-config-rule-evaluations

Amazon Athena と AWS CloudTrail を使用したAWS Config Rules 利用料の見積もり

AWS Config  は、AWSリソースがあるべき設定状態に準拠しているかを監査するサービスです。記録された設定項目の数と 1 か月あたりのリソースごとに行われる AWS Config Rules の評価件数に基づいて課金されます。 この記事では、Amazon Athena を使用して AWS CloudTrail ログをクエリし、AWS Config Rules 評価の詳細な請求内訳を確認する方法をご紹介します。請求の内訳を把握することで月額コストに最も寄与しているルールを特定することができれば、特定のルールの実行頻度を減らしてコストを抑えるといったコスト最適化施策を講じることができます。なお、この記事ではAWS Configの設定項目の確認については触れていません。詳細については、ブログ記事「Identifying resources with the most configuration changes using AWS Config」を参照してください。

Read More

AWS Systems Managerオートメーションランブックを利用して非準拠ステータスのAWS Configルールを修復する

AWS Config は、AWS リソースの設定を評価、監査、審査できるサービスです。一般的なコンプライアンスシナリオに対してはAWS Configマネージドルールを使用することが出来ます。また独自のシナリオに対しては、カスタムルールを作成することも出来ます。 このブログでは、AWS Systems Manager Explorerを使ってAWS Configルールのコンプライアンスステータスを収集する方法について説明していきます。収集範囲は、AWSアカウント内のリージョン全体となります。加えて、Systems Managerオートメーションランブックを使用して、非準拠になっているAWS Configルールを修復する方法についても説明していきます。

Read More

Systems Manager Automation Runbook でスクリプトを活用する

お客様は今まで、 AWS Systems Manager Automationドキュメントを使用して、AWS Lambda 関数の呼び出しや Amazon Machine Image (AMI) のコピーなど、AWS インフラストラクチャで実行する一連のアクションを定義してきました。これらのドキュメントは現在 Runbook と呼ばれており、簡単に使用でき、かつ強力です。 aws:executeScript アクションを使用すると、Python と PowerShell を Runbook に直接埋め込むことができます。

Read More

AWS を活用したオープンバンキング ~ データ受信企業における実装方法

本投稿は AWS のソリューションアーキテクトである Akash Jain による寄稿を翻訳したものです。 2017年11月26日、オーストラリア政府は、消費者データ権 (CDR)の導入を発表しました。オーストラリア競争・消費者委員会 (ACCC)によって管理される CDR は、消費者が自分のデータをより詳細に制御し、商品とサービスの比較や乗り換えする能力を高めることを目指しています。例えば、フィンテックはオープンバンキングデータを使用することで、消費者に最も適したクレジットカードやローンを見つけやすくします。AWS パートナーである Adatree のオープンバンキングユースケースレポートには、このようなユースケースが多数記載されています。CDR によって推進される透明性は、住宅ローン、個人ローン、クレジットカード、貯蓄口座などの銀行商品の価格競争の強化につながるだけでなく、消費者データを活用する革新的な製品やサービスにつながります。

Read More

AWS Config ベストプラクティス

AWS Config は、AWS リソースの設定履歴を維持し、ベストプラクティスと内部ポリシーに対して設定を評価するサービスです。この情報は、運用上のトラブルシューティング、監査、コンプライアンスのユースケースに使用できます。このブログ記事では、企業全体のガバナンスを可能にするツールとして AWS Config を使用する方法のベストプラクティスを紹介します。 1.すべてのアカウントとリージョンで AWS Config を有効にします。 これは、Center for Internet Security (CIS) が推奨する業界のベストプラクティスです。AWS Config を使用すると、AWS リソースの設定を監査し、設定のベストプラクティスに確実に準拠することができます。AWS CloudFormation StackSets を使用すると、共通の CloudFormation テンプレートを使用して、複数のアカウントとリージョンで AWS Config を有効にできます。 2.すべてのリソースタイプの設定変更を記録します。 AWS Config をセットアップするときは、AWS Config に記録する必要があるリソースタイプとして [すべてのリソース] を選択します。AWS Config は AWS で 60 を超えるさまざまなリソースタイプをサポートしているため、これにより包括的な設定監査が実施されます。新しいリソースタイプは、この設定を介して自動的に記録されます。3.1 つのリージョンでのみグローバルリソース (IAM リソースなど) を記録します。 これにより、IAM 設定アイテムの冗長コピーをすべてのリージョンで取得することがなくなります。それは費用の節約にもなります。 4.設定履歴とスナップショットファイルを収集する安全な Amazon S3 バケットがあることを確認してください。 Amazon S3 バケットは、AWS […]

Read More

大手金融機関におけるセキュリティ・コンプライアンスのためのイベント管理

本投稿では、商業銀行として米国で Top 25 内にランクインしている金融機関であるBBVA USAが、AWS サービスを使用して大規模なイベント管理の仕組みを実装し、クラウド環境に関連する変更イベントを一元管理し、アクションを自動化した方法について紹介しています。一般的に、モノリシック環境でのセキュリティ・コンプライアンスは、管理・監視対象となるインフラストラクチャが少ないため、監視と実施が比較的容易です。それが多くなったとしても、インフラストラクチャをコード化すれば、民主化され分散化されたアプローチによって、コンプライアンスの見落としなく構成の差分管理(ドリフト)と追跡処理を環境に取り入れることができます。 インフラストラクチャの正常な状態を識別し、そこから外れた違反状態を把握することにより、インフラの状態の可視性が確保され、必要に応じて自動修復によって遵守を強制させることが可能になります。このために、セキュリティイベントの通知やベースラインとなる構成定義といった機能を使うことができます。

Read More

AWS ConfigでSAPシステムを評価する – パート2

はじめに パート1では、AWS Configマネージドルールを使用してSAPランドスケープのを自動的に監査および評価する方法をお伝えしました。また、お客様のEC2インスタンスがSAPのベストプラクティスに従って設定されていることを確認するソリューションをお伝えしました。現在、AWSはバージニア北部リージョンでは160を超えるマネージドルールを提供しています。 インフラストラクチャに加えて、お客様はアプリケーションのコンプライアンスを維持する必要もあります。ここでは、AWS Configカスタムルールについてご説明します。AWS Configカスタムルールを使用すると、マネージドルールでカバーされているものに加えて、独自の構成チェックを定義できます。基本的にAWS Configカスタムルールは、AWSリソースのリストに対してAWS Lambda関数を実行します。

Read More

AWS ConfigでSAPシステムを評価する – パート1

はじめに SAP on AWSをご利用のお客様は、SAPシステムの日常運用を強化し単純化できる幅広い追加サービスを利用可能です。よく見かける面倒なタスクの1つとして、SAPシステムがベストプラクティスに従って構成されているかどうかということや、ベンダーサポートの要件を満たしているか、内部監査要件を満たしているかどうか、という点があります。 このブログシリーズでは、AWS Configがお客様のランドスケープ内の全てのSAPシステムのコンプライアンスを継続的に監査および評価するプロセスを簡素化する方法についてご説明します。また、Amazon Event BridgeおよびAmazon Simple Notification Serviceを使用して、リソースが非準拠として識別された場合にEメール通知を有効にする追加手順をお届けします。

Read More

[AWS Black Belt Online Seminar] AWS Config update 資料及び QA 公開

先日 (2020/12/08) 開催しました AWS Black Belt Online Seminar「AWS Config update」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20201208 AWS Black Belt Online Seminar AWS Config update AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. 適合パックの変更不可とは、ルール策定時にカスタマイズ不可という意味ではなく、一度適用されたら適用された側が例外条件を加えて適用除外するようなことはできない、という意味で正しいでしょうか A. はい。デプロイされた適合パックは、その他のアカウントやアクセス権限によって、評価内容の変更やの除外を行うことができません。また適合パックの内容は、ルール策定時にカスタマイズが可能です(カスタムテンプレート機能) Q. 50個あるのは嬉しいですが、どれが自分のサービスに適合されるか効率よく、確実な1つのテンプレートの見つけ方はありますか? A. 評価を行いたいAWSサービスやアーキテクチャが具体的に決まっていれば、その「運用ベストプラクティスの適合パック」をまず確認いただくのがよいかと存じます。(サーバレス、EC2、ストレージサービスなど) Q. “適合パックによるアカウント特性や組織特性に応じた評価” スライド上の人物アイコンは、AWS アカウントを指していますか? A. はい、ご認識の通りです。AWS Organizations で管理されるAWSアカウント(メンバーアカウント)を意味しております。 Q. 本セミナーに直接関連するものではありませんが、こちらの資料( re:Invent 2019: MGT408 – Best practice for detecting and preventing data exposure ) p.12にある […]

Read More

re:Invent 2020におけるマネジメントとガバナンス関連セッションのご紹介

AWS re:Inventは、お客様と関わり合い、サービスや機能に関して学び、共有できる、エキサイティングな時期です。現在のパンデミックにより、今年のre:Inventは11月30日から12月18日までの 3 週間にわたって完全オンライン、無料で開催されます。そうです、あなたには参加する権利があるのです。 AWS re:Invent 2020はバーチャルで開催され無料です!!! このブログでは、AWSでのマネジメントとガバナンスに関するセッションのハイライトを紹介します。これらは、ビジネスの俊敏性とガバナンスコントロールの両者を維持しながら、AWS環境を有効化し、プロビジョニングし、そして運用するために、役立つセッションです。各セッションは、世界各地のお客様に向け複数回ブロードキャストされ、すべてあなたの家で快適な環境でご視聴いただけます。これらのセッションのメリットを享受するため、re:Inventに登録してください。

Read More