Amazon Web Services ブログ

Category: Management Tools

既存のAWSアカウントを AWS Control Tower へ登録する

AWS Control Tower のリリース後、多くのお客様からいただいていたご要望がありました。既存のAWS Organizations に AWS Control Tower をデプロイすることと、組織が持つ他のアカウントにもガバナンスを拡張することです。 このたび、AWS Control Tower を既存の AWS Organization にデプロイできるようになったことをアナウンスいたします。一方で、AWS Control Tower をデプロイする前に作成した AWS アカウント(ここでは「未登録アカウント」と呼びます)は、デフォルトでは AWS Control Tower ガバナンスの範囲外になります。そのため、これらの未登録アカウントは明示的に AWS Control Tower へ登録する必要があります。 既存アカウントを AWS Control Tower へ登録することで、アカウントベースライン(基本設定)と追加のガードレールが配備され、継続的なガバナンス(Continuous Governance)が有効になります。なお、アカウントを登録する前には、適切なデューデリジェンス(事前評価)を行う必要があります。以下に記載されている「考慮すべき事項」セクションの追加情報を参照してください。 このブログでは、AWS Organizations 内の 未登録 AWS アカウントと 未登録 OU(Organization Units = 組織単位)内のアカウントを、プログラムによって AWS Control Tower へ登録する方法を解説します。

Read More

AWS Config 適合パックを使用したAWS Control Tower発見的ガードレールの実装

多くのお客様から、AWS Control Towerによるガバナンスを実現する前に、Control Towerの発見的ガードレールだけを既存のAWSアカウントに適用したいという要望をいただいています。この度、既存のAWS OrganizationでAWS Control Towerを起動できるようになりました。これにより、お客様は既存のアカウントにてAWS Control Towerの発見的ガードレールのコンプライアンスを適用できるようになりました。加えて、我々はControl Towerの配下にアカウントを登録する機能も発表しました。Control Towerガバナンスをアカウントに拡張する前に、Control Towerのガードレールがアカウントにどのように影響するかを確認することをお勧めします。 このブログでは、AWS Config適合パックを使用してControl Towerガードレールを既存のアカウントに適用する方法を示します。AWS Control Towerに登録する前に、そのアカウントのリソースのコンプライアンスを評価できます。また、適合パックを変更し、管理されていないアカウントに発見的ガードレールのサブセットを適用する方法を示します。最後に、適合パックを使用して、AWS Control Towerがデプロイされていないリージョンに存在するアカウントのリソースを管理する方法を示します。

Read More

AWS Config 適合パックの紹介

AWS Config  適合パック(コンフォーマンスパック)を紹介できることを大変嬉しく思います。適合パックは、共通のフレームワークとパッケージモデルを用いて、ポリシー定義から監査、集計レポートに至るまで、大規模なAWS リソースのコンプライアンス設定を管理するのに役立ちます。 注:本記事の原文は2019年12月に公開されていますが、2020年4月に適合パックの追加(AWS Control Tower ガードレール適合パック、CIS コンプライアンスパック)が行われたことに伴い、今回改めて翻訳を実施致しました。 適合パックとは 適合パックを使用すると、コンプライアンスルールのパッケージを作成することができます。このパッケージはAWS Config ルールと修復アクションの両方を単一のエンティティにまとめたもので、大規模な展開を容易にします。そして、これらを組織全体に展開し、顧客や他のユーザーと共有できます。さらに、適合パックによりコンプライアンス・レポートも簡素化されます。これからは適合パックレベルでのレポートが可能になり、そこから従来通り個別のルールやリソースのレベルへ詳細化していくことも可能です。既存のレポート機能はすべてそのまま機能したままで、異なるチーム、異なるコンプライアンス体制、もしくは異なるガバナンス体制によって管理されたコンプライアンスセットを論理的にグルーピングすることができます。 適合パックは、AWS CloudFormation と同様にマークアップを使用して記述されます。必要なのはルールをResourcesセクション内で宣言するのみです。残りは AWS Config によって行われます。オプションで、AWS CloudFormation と同じようにParameters セクションを用いることで、より柔軟な適合パックを構築することもできます。なお、適合パックは YAML 形式のファイルで記述されます。 注意:適合パックの特徴は、それらが不変 (immutable)であることです。個々のルールは、アクセス権限やアカウントの権限に関係なく、デプロイされたパックを外部から変更することはできません。さらに、パックが組織のマスターアカウントによって展開されている場合、組織のメンバーアカウントによって変更することはできません。これにより、企業全体のコンプライアンスを管理する際に、セキュリティと確実性がさらに高まります。

Read More

クラウドを展開する上で確立すべきガバナンス、リスク、コンプライアンス

ビジネスリーダーやテクノロジーリーダーと話すと、彼らは新しい製品やサービスを迅速に市場に投入することが必要だと話します。その一方で、彼らはセキュリティを継続的に確保する必要もあります。また同時に、時間とともに変化するビジネスニーズにワークロードを適応させながら、回復力のある環境を維持する必要があります。このブログシリーズでは、AWSのベストプラクティスを共有して、お客様がこれらのセキュリティ、スケーラビリティ、および適応性の要件を満たすようにAWS環境を計画するのを支援します。 私の目標は、クラウド環境の配備を管理するための設計上の考慮事項についてお客様をガイドすることです。このブログシリーズでは、今後、このガイダンスに沿った一般的なユースケースとパターンの実装を解説するブログを投稿していきます。

Read More

AWS License Managerをつかってライセンス使用数を管理する方法

AWS License Manager を使うことで、ソフトウェアライセンスを効率的にクラウドに持ち込むことができます。AWSでサードパーティのライセンスを使ったアプリケーションを構築したり、オンプレミスのワークロードをAWSに移行したりする際、BYOL(bring-your-own-license)を用いてコストを節約可能です。これはすでにお持ちのソフトウェアライセンスをクラウドリソースとして再利用することによって実現されます。今回は、AWS License Manager を使用して、一元的にこれらのライセンス使用数を管理する方法についてご説明します。

Read More

AWS Config ルールの評価結果を Security Hub にインポートする方法

2019年6月の re:Inforce 2019 で、AWS は AWS Security Hub の正式リリースを発表しました。AWS Security Hubは、お客様がコンプライアンスチェックとセキュリティの評価結果を AWS アカウント間で共有し、一元的に表示、管理できるセキュリティサービスです。AWS Security Hub は AWS Guard Duty、Amazon Inspector、Amazon Macie、および 30 以上の AWS パートナーセキュリティソリューションからセキュリティ検出結果をインポートできます。 デフォルトでは、Security Hubが有効になると、CIS AWS Foundations がお客様のアカウントにデプロイされます。 CIS AWS Foundations は、AWS アカウントを強化するためのセキュリティ設定のベストプラクティスのセットです。Security Hub が CIS AWS Foundations に含まれているルールでコンプライアンスチェックを実行するためには、AWS Security Hub を有効にしたアカウントと同じアカウントで AWS Config を有効にする必要があります。 AWS Security Hub を有効にする前に、独自の AWS Config ルールを作成したことがある場合は、それらを AWS Security […]

Read More

[AWS Black Belt Online Seminar] AWS Systems Manager 資料及び QA 公開

先日 (2020/02/12) 開催しました AWS Black Belt Online Seminar「 AWS Systems Manager 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200212 AWS Black Belt Online Seminar AWS Systems Manager from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. SSM Agentを有効化した場合、全てのサービスが利用できるようになるのでしょうか。 RunCommandは利用したいが、Session Managerは利用したくないなどの細かい設定は可能でしょうか? A. Agentを入れただけでは利用できません。利用するにはインスタンスプロファイル(IAM Role)の設定が必要です。IAM Roleにアタッチする IAM Policyにより利用可能なサービスを制限できます。IAM UserまたはIAM RoleのIAM Policyの設定により、アクセス可能な機能を制限することも可能です。 オンプレミスインスタンスの管理については、デフォルトのスタンダード、有料のアドバンスドの2つのティア(Tier)があります。 セッションマネージャーやWindowsアプリケーションのパッチ管理を行う場合はアドバンスドティアをご利用ください。 Q. WorkSpacesでSSMを利用することはできますか? A. ハイブリッド環境としてSSMを利用することは可能ですが、WorkSpacesとして SSMは正式には対応していません。 Q. run commandはOSへの実行、 automation […]

Read More

2019 AWS コンテナセキュリティアンケートの結果

  AWS そして当然ながらコンテナセキュリティに重点を置いているサービスチームにとっても、セキュリティは最も優先すべき事項です。現在の状況をより適切に評価するために、2019年後半に AWS のコンテナユーザーを対象に匿名アンケートを実施しました。全体で運用担当者や SRE から InfoSec、開発者、アーキテクトといったさまざまな役割を持つ 68 名の方々から回答を得ましたので結果を紹介します。さまざまな解釈や結論が含まれています。アンケートに協力してくれた皆さんに感謝したいと思います。質問と結果は GitHub からも入手できます。 まず、主な統計から始めましょう。アンケートを閲覧した 90 名のうち、68 名がアンケートに回答しました。回答にかかった平均時間は、7 分強でした。デモグラフィック情報に関して、我々は 1 つ疑問がありました。それは役割に関するものでした。 質問:私の役割はチーム/組織の中で〇〇〇です。 スペクトル全体は素晴らしい分布でした。テスト/QA に関心があったことは嬉しかったですが、リリース管理に関心が薄いことに少し驚きました。 コンテナセキュリティ全般 全体的な設定に移ります。それほど驚くことではありませんが、特定のユーザーが複数のコンテナオーケストレーターとサービスを使用していることがわかりました。詳細は、次の通りです。 質問:AWS上でどのようにコンテナを起動していますか? EC2 の EKS と EC2 の ECS がそれぞれ 52% と44% で全体をリードしています。ロングテールでは、Docker EE や Nomad の使用が他のシステムでよく見られます。 次に、先を見越した、つまり予防的な方法として、スキャン、署名、およびサプライチェーン管理について注目がありました。全体的な結果は次のようになります。 質問:コンテナイメージをスキャンしていますか? 2019 年 10 月に導入したネイティブ ECR スキャン機能は人気がありますが、それの大部分 (62%) は静的スキャンが注目されていることがわかりました。しかし、動的つまりランタイムスキャンに関する動向はどうでしょうか? 質問:動的にコンテナをスキャンしていますか? それほど大きくはありませんが、ここでは回答者の 83% の大多数がまだ使用していないという結果でした。また、CNCF Falco […]

Read More

[AWS Black Belt Online Seminar] Amazon CloudWatch Container Insights で始めるコンテナモニタリング入門 資料及び QA 公開

昨年 (2019/11/27) 開催しました AWS Black Belt Online Seminar「Amazon CloudWatch Container Insights で始めるコンテナモニタリング入門」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 資料P48 のCloudWatch LogsのEKSのロググループ名で以下の通り記載誤りがございました。資料は正しい内容に修正した上で公開いたします。 誤) EKSの場合:/aws/ContainerInsights/< Cluster名>/performance 正) EKSの場合:/aws/containerInsights/< Cluster名>/performance   20191127 AWS Black Belt Online Seminar Amazon CloudWatch Container Insights で始めるコンテナモニタリング入門 from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. Fargateの場合、ECS インスタンスのメトリクスは見れるのでしょうか? A. Fargate 起動タイプにおけるコンテナ実行環境となる仮想マシンは AWS が管理・運用する仕組みとなっているため、お客様の CloudWatch Container Insights 上では仮想マシンレベルのメトリクスは表示されません。 Q. […]

Read More

モダンアプリケーション開発ホワイトペーパー(日本語改定版)が公開されました

皆さん、こんにちは! モダンアプリケーション開発スペシャリスト ソリューションアーキテクトの福井です。 私が執筆したモダンアプリケーション開発のホワイトペーパー(日本語版)がAWSホワイトペーパーサイトで公開されましたので、その内容を紹介させて頂きます。このホワイトペーパーは、以前こちらのブログで紹介させて頂いたModern Application Development on AWS(英語版)の日本語版になります。   ホワイトペーパーの内容 公開されたホワイトペーパードキュメントは、「AWS モダンアプリケーション開発 – AWS におけるクラウドネイティブ モダンアプリケーション開発と設計パターン」(日本語版)というタイトルの51ページのドキュメントで、 はじめに モダンアプリケーション開発 モダンアプリケーションの設計パターン AWSでのCI/CD まとめ の各章から構成されています。各章の簡単なご紹介は下記の通りです。

Read More