クラウドポスチャ ボットは、 組織に追加したAWSアカウントからのAPI呼び出しを介してメタデータを取り込みます。
|
[パッケージ]
|
[種類]
|
[アクセス設定]
|
|
セキュリティログ
|
ベース
|
|
|
リアルタイム監視
|
アドオン
|
|
|
Cost Optimisation
|
アドオン
|
AWS Cost Billingバケットへのアクセス
|
サポートされている地域 
クラウドポスチャ検索 は、AWSでサポートされている3つのリージョンを除くすべてのリージョンからデータを取り込むことができます。
サポートされていない地域
手順
- 中国の2つのリージョン
- AWS GovCloud (米国)
次に進む前に
[システムはどのようにAWSアカウントにアクセスしますか?]
クラウドポスチャ では、 AWSカスタムポリシーAWSアカウントのメタデータを表示します。データに対する読み取りまたは書き込みアクセス権はありません。
[システムがキャプチャするデータとその保存方法]
クラウドポスチャ は、AWSインフラストラクチャに関連付けられたメタデータにのみアクセスします。たとえば、AWSアカウントに12個のS3バケットと20個のEC2インスタンスがあることは認識されていますが、これらのリソースに関連付けられているデータ/アプリケーションを確認することはできません。
有効なアカウントのメタデータは12か月保持され、その後自動的に削除されます。イベントの場合、ログにクエリを実行して、UI経由で最新の500件、API経由で1200件のイベントを表示できます。アカウントの無効化を選択した場合、無効化時にすべてのデータが自動的に削除されます。
[このデータを見ている人はいますか?]
いいえ、 クラウドポスチャ のスタッフはダッシュボードまたはアカウント情報。認定されたテクニカルチームのメンバーは、実行されたコンプライアンスチェックの数など、アカウントに関連付けられたメタデータを表示するためのアクセスが制限されます。ただし、AWSアカウントに関連付けられている具体的な違反は確認できません。
[メタデータ]
インフラストラクチャの設定 (メタデータ) は機密情報と見なされる可能性があることを理解しており、このメタデータが安全に取得、保存、およびアクセスされるように、いくつかのセキュリティレイヤーを用意しています。
お客様のメタデータは、AWSインフラストラクチャのすべてのタッチポイントで暗号化されます。署名付きリクエストとAWS Security Token Service
(STS) を使用したデータ収集から、AWS Key Management Serviceを使用した保管時の暗号化の使用まで。すべての社内スタッフは、強力なパスワードポリシーに準拠し、MFAを有効にする必要があります。
クラウドポスチャ インフラストラクチャへのすべてのアクセスは監視され、アクセスレベルは定期的に確認され、最小限の権限が適用されます。 クラウドポスチャ の上級エンジニアのみが本番システムにアクセスできます。
お客様がテクニカルアカウントマネージャーに読み取り専用アクセス権を付与することを選択しない限り、 クラウドポスチャ のスタッフはお客様の クラウドポスチャ アカウントにアクセスできないことに注意してください。
AWS Well-Architected Tool
- AWS-Well Architected Toolの仕組み
- ツールの使用を開始するにはどうすればよいですか?
Trend Vision One™ – クラウドポスチャ はAWS Well-Architected Toolと統合されており、お客様がAWSでワークロードをあらゆる角度からレビューし、リソースがAWS Well-Architectedフレームワークに準拠していることを確認できます。
[AWS Well-Architected Toolはどのように機能しますか?]
AWS Well-Architectedツールは、AWS Well-Architectedフレームワークを使用して、セキュリティ、信頼性、パフォーマンス効率、オペレーショナルエクセレンス、コスト最適化、および持続可能性という5つのアーキテクチャの柱について、クラウドアプリケーション環境をベストプラクティスと比較します。
ユーザは一連の質問に回答してワークロードを確認および評価し、ワークロードを改善するためのステップバイステップのガイダンスを受け取ります。
[AWS Well-Architected Toolの使用を開始するにはどうすればよいですか?]
手順
- カスタムポリシーのアップデート: クラウドポスチャ がAWS Well-Architected Toolのデータにアクセスできるようにします。新しい権限は次のとおりです。
* wellarchitected:ListWorkloads * wellarchitected:GetWorkload
- クラウドポスチャで次のルールが有効になっていることを確認します。詳細については、次を参照してください。ルールの設定。
-
[WellArchitected-001: AWS Well-Architectedツールが使用されています]注: このルールを設定すると、AWS Well-Architected Toolが使用されているかどうかを クラウドポスチャ で検出できるようになります。
-
[WellArchitected-002: AWS Well-Architectedツールの結果] : このルールを設定すると、 クラウドポスチャ アカウントの検出結果の概要がツールから表示されます。
-
次に進む前に
[解決] ボタンをクリックしてナレッジベースのページを参照し、ツールの使用方法と問題の解決方法を順を追って説明します。
ルールを有効にし、カスタムポリシーを更新すると、AWS Well-Architected Toolを クラウドポスチャで使用できるようになります。