Amazon Web Services ブログ

Category: Security, Identity, & Compliance

AWS Service Catalog とAWS Marketplace の CloudEndure を使用して、AWS アカウントのプロビジョニングとサーバーの移行を自動化する

AWS クラウドに移行する予定の会社の移行プロジェクトに関与している場合は、移行の準備、ポートフォリオの発見、計画、設計など、さまざまな段階を経ることでしょう。ほとんどの場合、これらの段階の後に正念場を迎え、物理ベース、仮想ベース、またはクラウドベースのインフラストラクチャワークロードの AWS への移行を開始します。AWS のお客様は、CloudEndure (現在は AWS の会社) などのツールを使用して、アプリケーションの移行、災害復旧や AWS へのレガシーインフラストラクチャのバックアップを自動化します。移行中にお客様が直面する課題の 1 つに、サーバーを管理して、数百または数千の AWS アカウントで構成される階層的なアカウント構造に移動することがあります。このブログ記事では、新しい CloudEndure 移行プロジェクトのセットアップを自動化する方法と、お使いの環境で新しいアカウントを販売するたびに「アカウント自動販売機」を使用してこのプロセスを自動化する方法を学びます。 はじめに CloudEndure は、AWS への大規模な移行と障害復旧のデプロイを簡素化、迅速化、自動化するのに役立ちます。継続的なデータレプリケーションはバックグラウンドで行われ、アプリケーションの中断やパフォーマンスへの影響はありません。これにより、データがリアルタイムで同期され、カットオーバー/フェイルオーバーウィンドウが最小限に抑えられます。カットオーバー/フェイルオーバーが開始されると、CloudEndure は高度に自動化されたマシン変換とオーケストレーションプロセスを実行します。これにより、最も複雑なアプリケーションやデータベースでも、互換性の問題なく、最小限の IT スキルで AWS でネイティブに実行できます。AWS Marketplace から CloudEndure をデプロイできます。 このアカウントの自動販売機を作成するには、AWS Service Catalog、AWS Lambda、AWS Organizations などのネイティブの AWS のサービスを追加で使用します。また、CloudEndure との API 統合を使用して、アカウントの作成後に新しいプロジェクトをセットアップします。さらに、移行をサポートするために、販売したアカウントで AWS Direct Connect、Amazon Kinesis Data Firehose、Amazon S3 Transfer Acceleration などの追加の AWS のサービスを設定して、この参考用のサンプルソリューションを拡張できます。 このソリューションのサービス このソリューションで使用するサービスの簡単なレビューを次に示します。 […]

Read More

AWS Control Tower で AWS リソースのセルフサービスプロビジョニングを有効にする

お客様は、新しいビジネスユニットのオンボーディングやアプリケーションワークロードのセットアップを行うたびに、AWS Control Tower で新しいアカウントをプロビジョニングしています。場合によっては、組織はクラウドユーザー、開発者、およびデータサイエンティストに、新しいアカウントでセルフサービス標準化された安全なパターンとアーキテクチャをデプロイすることも求めます。以下にいくつか例を示します。 開発者またはクラウドエンジニアが、golden AMI から Amazon EC2 インスタンスを起動したいと考えています。 データサイエンティストは、承認済みの AMI とインスタンスタイプで Amazon EMR クラスターを起動したいと考えています。 データベース管理者は、新しくプロビジョニングされた AWS アカウントで承認済みの Amazon RDS データベースを起動する必要があります。 この記事では、AWS Control Tower の Account Factory を使用して新しい AWS アカウントをプロビジョニングする方法を示します。また、AWS Service Catalog を使用して、RDS データベースのポートフォリオなどのカスタム製品を新しいアカウントと共有する方法も示します。さらに、AWS Control Tower のガードレールを使用して新しいアカウントでガバナンスを実施する方法についても説明します。 このソリューションで使われる AWS のサービスは、以下のとおりです。 AWS Control Tower AWS Service Catalog AWS CloudFormation Amazon CloudWatch Amazon RDS AWS Organizations […]

Read More

セルフマネージド型 Active Directory を AWS Control Tower に拡張

クラウドジャーニーの初期段階によくあるユースケースの 1 つとして、既存のアイデンティティサービス (Microsoft Active Directory など) を使用することが挙げられます。このブログでは、AWS Control Tower をセットアップして、AWS Managed Microsoft AD を介してユーザー認証をセルフマネージド型 Microsoft Active Directory に委任する方法について解説します。既存のオンプレミスの Active Directory を AWS Control Tower に接続する方法を、シミュレート環境でみていきます。 背景 AWS Control Tower には、マルチアカウント環境における SSO アクセスを簡素化するクラウドベースのサービス、AWS Single Sign-on (AWS SSO) が組み込まれています。ユーザー認証の管理は、AWS SSO を使用して、AWS Control Tower に接続されたディレクトリが行います。各ユーザーに割り当てられたアカウントアクセスおよび付与されたアクセス許可のレベルによって、認証が判断されます。 AWS SSO はアクセス許可のセットを使用します。これは、ユーザーのアクセス許可が、所定の AWS アカウントにアクセスするために有効かどうかを判断する、管理者定義ポリシーのコレクションです。アクセス許可のセットには、AWS が管理するポリシーまたは AWS SSO に保存されているインラインポリシーのいずれかが含まれています。ポリシーとは、基本的に、1 つまたは複数のアクセス許可ステートメントのコンテナとして機能するドキュメントのことです。所定の AWS アカウント内でユーザーがどのアクションを実行できるかまたはできないかは、これらのステートメントが判断します。アクセス許可のセットは […]

Read More

AWS Service Catalog、AWS Organizations、AWS Lambda を使用して、アカウントの作成とリソースのプロビジョニングを自動化する

組織が AWS のサービスの使用を拡大するにつれて、ビジネスプロセスの分離またはセキュリティ、コンプライアンス、請求のために複数の AWS アカウントを作成する必要性についてしばしば語られます。私たちが仕事をしている多くのお客様は、各ビジネスユニットで別々の AWS アカウントを使用しているため、組織のさまざまなニーズに対応できます。複数のアカウントを作成すると、運用上の問題が簡素化され、セキュリティやリソースの分離、トラブルの影響の到達範囲の縮小、請求の簡素化などの利点が得られますが、ベースライン設定の作成、ブートストラップ、設定に時間がかかります。お客様は、アカウントの作成とブートストラップをスケーラブルかつ効率的な方法で管理して、定義済みのベースラインを使用して新しいアカウントを作成し、ガバナンスガードレールを配置したいと考えています。最も重要なことは、時間とリソースを節約するために、お客様が自動化を望んでいることです。このブログ記事では、一般的なガードレールを自動化し、デフォルトユーザーの作成、カスタムネットワークの設定、AWS のサービスのキュレーションセットを使用した製品の既存の AWS 環境へのプロビジョニングなどのタスクを設定することにより、アカウントの作成と設定を自動化する方法を紹介します。このブログは、前のブログ記事 AWS Organizations を使用してエンドツーエンドのアカウント作成を自動化する方法で説明した実装を拡張します。 このブログ記事で説明されている AWS のサービス: AWS Organizations は、複数の AWS アカウントのポリシーベースの管理を提供します。AWS Organizations を使用すると、アカウントのグループを作成し、アカウント作成を自動化し、それらのグループのポリシーを適用および管理できます。 AWS Service Catalog は、AWS での使用が承認されているサービスのカタログを作成および管理できます。 AWS CloudFormation は、クラウド環境のすべてのインフラストラクチャリソースを記述およびプロビジョニングするための共通言語を提供します。AWS CloudFormation を使用すると、シンプルなテキストファイルを使用して、すべてのリージョンとアカウントにわたってアプリケーションに必要なすべてのリソースを自動化された安全な方法でモデリングおよびプロビジョニングできます。 AWS Lambda を使用すると、サーバーのプロビジョニングや管理を必要とせずにコードの実行が可能になります。料金は消費したコンピューティングの時間分だけを支払います。コードが実行されていない場合は無料です。 このブログ記事で使用されている用語: ルートアカウント – アカウントビルダーが AWS Service Catalog 製品として起動される単一の AWS アカウント。新しく構築されるすべてのアカウントは、このアカウントで実行されている AWS Organizations のルートの下に作成されます。 ベースラインテンプレート – このテンプレートには、新しく作成されたアカウントの AWS Service Catalog ポートフォリオで AWS […]

Read More
Cloud Video Editing

【Edit in the Cloud】AWSで編集環境を構築する方法 ~Cloud Video Editing テンプレート~

Edit in the Cloudシリーズの第1回目では、AWS上で様々な編集シナリオの想定モデルを実現するための基礎知識を説明しました。今回はいよいよGitHubのサンプルをデプロイする段階に入ります。このステップ バイステップガイドでは、AWS上で編集ホスト、ストレージをデプロイし、接続する方法を詳しく説明します。このテンプレートによりユーザーはAmazon Elastic Compute Cloud (Amazon EC2) 上に編集環境を構築することができます。加えて、Amazon FSx for Windows ファイルサーバーはEC2インスタンスからストレージとして利用し、メディアアセットの共有リポジトリとして活用することができます。また、このテンプレートには、Teradici for Federated Loginと連携したAWS Directory Servicesが含まれており、シームレスな編集体験を可能にしています。では早速テンプレートを利用して環境を構築していきましょう。まずご自身のAWSアカウントを利用して、AWSマネジメントコンソールにログインしたら次のAWS CloudFormationデプロイメントテンプレートを使用します。本テンプレートは現在、US-East-1とUS-West-2で提供しています。

Read More

AWS Systems Manager Automation を使用して複数のアカウントとリージョンにある AWS リソースを管理する

AWS Systems Manager Automation で AWS リソースの一般的な管理およびメンテナンスタスクが容易になります。Systems Manager Automation を使用すると、ご自分で記述したりコミュニティで公開されたドキュメントを使用したりできる AWS Systems Manager ドキュメント(SSM ドキュメント)の形式で前もって定義済みのタスクやワークフローを実行できます。SSM ドキュメントは、Systems Manager が AWS リソースに対して実行するアクションを定義しますこれらのドキュメントは Systems Manager メンテナンスウィンドウを使ってスケジューリングが可能です。さらに、Amazon CloudWatch Events を使用して、AWS リソースへの変更に基づいてドキュメントをトリガーしたり、AWS マネジメントコンソール、AWS CLI、または AWS SDK を通して直接実行したりできます。ドキュメントの各ステップでの実行を追跡したり、ステップの承認を要求したりできます。また、変更を段階的にロールアウトして、エラーが発生した際に自動停止することもできます。 AWS のお客様の多くは複数の AWS アカウントを使用しています。たいていは、AWS Organizations を使用してアカウントを階層に配置し、それらを組織単位(OU)にグループ化しています。OU は、一括請求 (コンソリデーティッドビリング)、ワークロードの分離、管理の分離など、さまざまな目的に使用できます。お客様は、アプリケーションごとに開発、テスト、ステージング、および本番用に個別のアカウントを組織内で作成することがよくあります。 すべてのアカウントに共通する反復的なタスクがあっても、前述のマルチアカウント構造ではそれらを個別に管理することは困難な場合があります。お客様から、次のような一般的なタスクを 1 つの中央/管理アカウントから実行したいとの要望がありました。 パッチ管理 ゴールデン Amazon マシンイメージ (AMI) の作成 SSM エージェントを使用したソフトウェアエージェントの更新 Amazon EC2 インスタンスの開始/停止/再起動 Amazon […]

Read More

大阪リージョンに2つのアップデート、Amazon Macie と Amazon MQ

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今日は大阪リージョンに新しく2つのサービスが加わりましたのでお知らせいたします。Amazon Macieと Amaozn MQ です。 Amazon Macie Macieは機械学習とパターンマッチングを使用して AWS の機密データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。選択したAmazon S3 バケットに機械学習とパターンマッチング手法を適用し、個人識別情報 (PII) などの機密データを特定してアラートを発信します。 アラートや検出結果は AWS マネジメントコンソールからの検索やフィルタリングが可能で、Amazon EventBridge に送信して既存のワークフローやイベント管理システムと簡単に統合したり、AWS Step Functions などの AWS のサービスと組み合わせて自動修復アクションを実行させることができます。

Read More

AWS Control Tower 環境での Okta と AWS Single Sign-On の統合

この記事は Integrating Okta with AWS Single Sign-On in an AWS Control Tower environment を翻訳したものです。 AWS Control Tower は、AWS Single Sign-On (AWS SSO) とのすぐに使用できるネイティブ統合を提供し、ユーザー、ロール、マルチアカウントアクセスを管理します。お客様の組織によっては、外部アイデンティティプロバイダーとの統合による認証と承認の処理など、より複雑な SSO 要件があります。Okta は、クラウド向けに構築されたエンタープライズグレードの ID 管理サービスですが、多くのオンプレミスアプリケーションと互換性があります。AWS Marketplace で Okta を見つけて登録することができます。このブログ投稿では、Okta でユーザー、エンタイトルメント、アカウント、ロールを管理できるように、AWS Control Tower、AWS SSO、Okta を外部 ID プロバイダーとして統合する方法を説明します。

Read More

新機能 – AWS WAF Bot Control でウェブサイトの不要なトラフィックを削減

AWS Shield の脅威調査チームが行った調査では、一般的なウェブアプリケーションに向けられたトラフィックの内の最大 51% は、マシン上で実行されるスクリプト (いわゆるボット) に由来することが判明しています。エンドポイントには、(望まいものや、そうではないものを含め) 多種多様なボット がヒットします。 適切なボットは、サイトをクロールしてインデックスを作成し、顧客から見つけやすくするためのものです。それ以外のボットは、サイトの可用性やパフォーマンスの監視を目的にしています。そして、こういったトラフィックの大部分は、不適切なボットによって生成されています。これらのスクリプトでは脆弱性を調査していたり、運営者の同意なしにコンテンツをコピーして別の場所に複製していたりします。これはセキュリティ上のリスクであるだけでなく、トラフィックを処理することでインフラストラクチャに対する不必要なプレッシャーとなり、コストも発生させます。 こういった望ましくないトラフィックからウェブサイトを保護することは、時間がかかる作業であり、エラーの原因ともなり得ます。保護のための一連のルールは管理が複雑です。そこには、良好なトラフィックをブロックしてしまったり、逆にブロックすべきトラフィックを承認してしまったりといったリスクが存在ます。 AWS WAF Bot Control の紹介 当社では今回、AWS WAF Bot Control をご紹介できるはこびとなりました。この機能では、一般的なボットトラフィックを特定し、そのための可視性を向上し、対策のためのアクションを実行できます。AWS WAF Bot Control は、AWS Web Application Firewall に統合されたサービスです。エンタープライズでの大規模なユースケース向けに、AWS Firewall Manager を使用して集中管理することができます。 Bot Control は、TLS ハンドシェイク、HTTP 属性、IP アドレスなどのリクエストメタデータを分析することで、ボットの発信元と目的を特定します。特定されるボットはスクレーパー、SEO、クローラ、サイトモニターなどのタイプにカテゴリー分けされます。 Bot Control が認識した望ましくないボットに対しては、そのトラフィックをブロックできます。ユーザーは、WAF 設定の中に定義されたデフォルトのアクションをシンプルに受け入れ、望ましくないボットトラフィックをブロックすることができます。また、その設定を独自にカスタマイズすることも可能です。例えば、レスポンス機能をカスタマイズして、ボットの識別結果に応じたレスポンスを返させたり、新しいヘッダーを挿入してそのリクエストにフラグを付けたりができます。AWS WAF との統合により、アプリケーションへのボットトラフィックの範囲を視覚化でき、WAF ルールを利用すればトラフィックの制御が可能です。 Bot Control では、AWS WAF のマネージドルールグループに今回追加した、 2 つの新しい機能 (ラベル付けとスコープダウン用のステートメント) を使用します。AWS WAF […]

Read More