翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Well-Architected フレームワークの信頼性の柱に関する運用上のベストプラクティス
コンフォーマンスパックは、マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下は、Amazon Web Services の Well-Architected フレームワークの信頼性の柱と AWS マネージド Config ルール間のマッピングの例です。各 Config ルールは特定の AWS リソースに適用され、1 つ以上の柱の設計原則に関連しています。A Well-Architected フレームワークのカテゴリを、複数の Config ルールに関連付けることができます これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
****
| コントロール ID | コントロールの概要 | AWS 設定ルール | ガイダンス |
| --- | --- | --- | --- |
| REL-1 | サービスクォータと制約はどのように管理するのですか。クラウドベースのワークロードアーキテクチャには、サービスクォータ (サービスの制限とも言います) があります。これらのクォータは、サービスを不正使用されないようにするために、必要以上のリソースを誤ってプロビジョニングすることを防ぎ、API オペレーションのリクエストレートを制限するためのものです。また、光ファイバーケーブルにビットをプッシュダウンできる速度や、物理ディスク上のストレージの量などのリソースの制限もあります。 | [dynamodb-throughput-limit-check](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-throughput-limit-check.html) | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。 |
| REL-1 | サービスクォータと制約はどのように管理するのですか。クラウドベースのワークロードアーキテクチャには、サービスクォータ (サービスの制限とも言います) があります。これらのクォータは、サービスを不正使用されないようにするために、必要以上のリソースを誤ってプロビジョニングすることを防ぎ、API オペレーションのリクエストレートを制限するためのものです。また、光ファイバーケーブルにビットをプッシュダウンできる速度や、物理ディスク上のストレージの量などのリソースの制限もあります。 | [lambda-concurrency-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-concurrency-check.html) | このルールにより、Lambda 関数の同時実行数の上限と下限が確立されているかどうかを確認します。これは、関数が任意の時点で処理しているリクエスト数をベースライン化する際に役立ちます。 |
| REL-1 | サービスクォータと制約はどのように管理するのですか。クラウドベースのワークロードアーキテクチャには、サービスクォータ (サービスの制限とも言います) があります。これらのクォータは、サービスを不正使用されないようにするために、必要以上のリソースを誤ってプロビジョニングすることを防ぎ、API オペレーションのリクエストレートを制限するためのものです。また、光ファイバーケーブルにビットをプッシュダウンできる速度や、物理ディスク上のストレージの量などのリソースの制限もあります。 | [ecs-task-definition-memory-hard-limit](https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-memory-hard-limit.html) | Amazon Elastic Container Service (Amazon ECS) コンテナで使用できる最大メモリを制限することで、コンテナへの悪意のあるアクセスが発生しても、リソースの使用量が悪用されることはありません。 |
| REL-2 | ネットワークトポロジはどのように計画するのですか。多くの場合、ワークロードは複数の環境に存在します。その中には、複数のクラウド環境 (パブリックアクセスとプライベートの両方) や、場合によっては既存のデータセンターのインフラストラクチャが含まれます。プランには、システム内およびシステム間の接続性、パブリック IP アドレスの管理、プライベート IP アドレスの管理、ドメイン名の解決といったネットワークの考慮事項が含まれている必要があります。 | [vpc-vpn-2-tunnels-up](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 |
| REL-2 | ネットワークトポロジはどのように計画するのですか。多くの場合、ワークロードは複数の環境に存在します。その中には、複数のクラウド環境 (パブリックアクセスとプライベートの両方) や、場合によっては既存のデータセンターのインフラストラクチャが含まれます。プランには、システム内およびシステム間の接続性、パブリック IP アドレスの管理、プライベート IP アドレスの管理、ドメイン名の解決といったネットワークの考慮事項が含まれている必要があります。 | [redshift-enhanced-vpc-routing-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html) | 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 |
| REL-2 | ネットワークトポロジはどのように計画するのですか。多くの場合、ワークロードは複数の環境に存在します。その中には、複数のクラウド環境 (パブリックアクセスとプライベートの両方) や、場合によっては既存のデータセンターのインフラストラクチャが含まれます。プランには、システム内およびシステム間の接続性、パブリック IP アドレスの管理、プライベート IP アドレスの管理、ドメイン名の解決といったネットワークの考慮事項が含まれている必要があります。 | [ec2-instances-in-vpc](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instances-in-vpc.html) | Amazon Virtual Private Cloud (Amazon VPC) 内に Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを展開し、Amazon VPC 内でのインスタンスとサービス間の安全な通信を、インターネットゲートウェイ、NAT デバイス、VPN 接続を必要とせず可能にします。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。 |
| REL-5 | 障害を軽減または耐えるために、分散システムにおけるインタラクションをどのように設計しますか。分散システムは、サーバーやサービスなどのコンポーネントを相互接続するために通信ネットワークに依存しています。これらのネットワークでデータ損失や遅延が発生しても、ワークロードは確実に動作する必要があります。分散システムのコンポーネントは、他のコンポーネントやワークロードに悪影響を及ぼさない方法で動作する必要があります。これらのベストプラクティスは障害を防ぎ、平均故障間隔 (MTBF) を改善します。 | [lambda-dlq-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [api-gw-xray-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html) | AWS X-Ray は、アプリケーションが処理するリクエストに関するデータを収集し、そのデータを表示、フィルタリング、インサイトを取得して、問題や最適化の機会を特定するために使用できるツールを提供します。X-Ray が を有効にし、リクエストとレスポンスだけでなく、アプリケーションがダウンストリーム AWS リソース、マイクロサービス、データベース、HTTP ウェブ APIs に対して行う呼び出しに関する詳細情報も表示できるようにします。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [beanstalk-enhanced-health-reporting-enabled](https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html) | AWS Elastic Beanstalk 拡張ヘルスレポートを使用すると、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk の強化されたヘルスレポートでは、特定された問題の重要度を測定し、調査すべき潜在的な原因を特定するためのステータス記述子が提供されます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [cloud-trail-cloud-watch-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内の API コールアクティビティの詳細が提供されます AWS アカウント。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [cloudtrail-s3-dataevents-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html) | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウント 情報、IP アドレス、およびイベント時刻が含まれます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [elasticsearch-logs-to-cloudwatch](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html) | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [opensearch-logs-to-cloudwatch](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-logs-to-cloudwatch.html) | Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [ecs-container-insights-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ecs-container-insights-enabled.html) | モニタリングは、Amazon Elastic Container Service (ECS) と AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。Container Insights では、問題の迅速な特定と解決に役立つ、コンテナの再起動失敗などの診断情報も提供されます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [elb-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [multi-region-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | AWS CloudTrail は、 AWS マネジメントコンソールのアクションと API コールを記録します。呼び出し元のユーザーとアカウント AWS、呼び出し元の送信元 IP アドレス、呼び出しの発生日時を特定できます。MULTI\_REGION\_CLOUD\_TRAIL\_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [rds-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html) | 環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [ec2-instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングして検出するのに役立ちます。これには、 AWS クラウド環境内の予期しないアクティビティ、不正なアクティビティ、悪意のあるアクティビティを特定するための悪意のある IPs や機械学習のリストが含まれます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [lambda-dlq-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [rds-enhanced-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html) | Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [redshift-enhanced-vpc-routing-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html) | 拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 |
| REL-6 | ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。 | [wafv2-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html) | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ ACLs で AWS WAF (V2) ログ記録を有効にします。 AWS WAF ログ記録は、ウェブ ACL によって分析されるトラフィックに関する詳細情報を提供します。ログには、 AWS WAF が AWS リソースからリクエストを受信した時刻、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 |
| REL-7 | 需要の変化に対応するためには、どのようにワークロードを設計すればよいですか。スケーラブルなワークロードでは、リソースを自動的に追加または削除することで、任意の時点での需要により合致できる伸縮性を得られます。 | [dynamodb-autoscaling-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | Amazon DynamoDB 自動スケーリングは、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調整します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 |
| REL-7 | 需要の変化に対応するためには、どのようにワークロードを設計すればよいですか。スケーラブルなワークロードでは、リソースを自動的に追加または削除することで、任意の時点での需要により合致できる伸縮性を得られます。 | [autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。 |
| REL-7 | 需要の変化に対応するためには、どのようにワークロードを設計すればよいですか。スケーラブルなワークロードでは、リソースを自動的に追加または削除することで、任意の時点での需要により合致できる伸縮性を得られます。 | [dynamodb-autoscaling-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | Amazon DynamoDB 自動スケーリングは、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョンドスループットキャパシティを調整します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 |
| REL-8 | どのように変更を実装するのですか。コントロールされた変更は、新しい機能をデプロイするために必要ですが、ワークロードやオペレーティング環境が既知のソフトウェアを実行し、予測可能な方法でパッチや置き換えを行うためにも必要です。これらの変更がコントロールされていない場合、変更による影響を予測したり、変更によって発生する問題に対応することが困難になります。 | [redshift-cluster-maintenancesettings-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは True です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 |
| REL-8 | どのように変更を実装するのですか。コントロールされた変更は、新しい機能をデプロイするために必要ですが、ワークロードやオペレーティング環境が既知のソフトウェアを実行し、予測可能な方法でパッチや置き換えを行うためにも必要です。これらの変更がコントロールされていない場合、変更による影響を予測したり、変更によって発生する問題に対応することが困難になります。 | [rds-automatic-minor-version-upgrade-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html) | Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。 |
| REL-8 | どのように変更を実装するのですか。コントロールされた変更は、新しい機能をデプロイするために必要ですが、ワークロードやオペレーティング環境が既知のソフトウェアを実行し、予測可能な方法でパッチや置き換えを行うためにも必要です。これらの変更がコントロールされていない場合、変更による影響を予測したり、変更によって発生する問題に対応することが困難になります。 | [ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールは、組織のポリシーと手順で義務付けられている AWS Systems Manager の Amazon EC2 インスタンスパッチコンプライアンスをチェックします。 |
| REL-8 | どのように変更を実装するのですか。コントロールされた変更は、新しい機能をデプロイするために必要ですが、ワークロードやオペレーティング環境が既知のソフトウェアを実行し、予測可能な方法でパッチや置き換えを行うためにも必要です。これらの変更がコントロールされていない場合、変更による影響を予測したり、変更によって発生する問題に対応することが困難になります。 | [ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを支援します。 AWS Systems Manager は、マネージドインスタンスに設定状態を割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、および環境に関するその他の詳細のベースラインを設定できます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [aurora-resources-protected-by-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/aurora-resources-protected-by-backup-plan.html) | データバックアッププロセスを支援するために、Amazon Aurora リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [backup-plan-min-frequency-and-min-retention-check](https://docs.aws.amazon.com/config/latest/developerguide/backup-plan-min-frequency-and-min-retention-check.html) | データバックアッププロセスを支援するために、 AWS バックアッププランが最小頻度と保持期間に設定されていることを確認します。 AWS バックアップは、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルト Config: 1)、requiredretentionDays (デフォルト Config: 35)、および requiredFrequencyUnit (デフォルト Config: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [backup-recovery-point-minimum-retention-check](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-minimum-retention-check.html) | データバックアッププロセスを支援するために、 AWS Backup リカバリポイントに最小保持期間が設定されていることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [バックアップ/リカバリ・ポイント暗号化](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html) | Backup AWS リカバリポイントで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [dynamodb-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-in-backup-plan.html) | データバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [dynamodb-pitr-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [dynamodb-table-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-table-encrypted-kms.html) | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS 所有のカスタマーマスターキー (CMK) で暗号化されます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [ebs-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/ebs-in-backup-plan.html) | データバックアッププロセスを支援するために、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [EC2-バックアップ計画によって保護されるリソース](https://docs.aws.amazon.com/config/latest/developerguide/ec2-resources-protected-by-backup-plan.html) | データバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) リソースが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [efs-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html) | データバックアッププロセスを支援するために、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | 機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | 自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [elb-deletion-protection-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html) | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [fsx-リソース-バックアップ計画によって保護される](https://docs.aws.amazon.com/config/latest/developerguide/fsx-resources-protected-by-backup-plan.html) | データバックアッププロセスを支援するために、Amazon FSx ファイルシステムが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [rds-in-backup-plan](https://docs.aws.amazon.com/config/latest/developerguide/rds-in-backup-plan.html) | データバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [rds-instance-deletion-protection-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html) | Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [s3-bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | Amazon Simple Storage Service (Amazon S3) バケットで、 デフォルトでロックが有効になっていることを確認します。S3 バケットには機密データが含まれている可能性があるため、保管時にオブジェクトロックを適用してデータを保護します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [s3-bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [s3-default-encryption-kms](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [ebs-optimized-instance](https://docs.aws.amazon.com/config/latest/developerguide/ebs-optimized-instance.html) | Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [redshift-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html) | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [redshift-cluster-kms-enabled](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-kms-enabled.html) | 保管中のデータを保護するために、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 |
| REL-9 | データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。 | [s3-bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 |
| REL-10 | ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。 | [elb-cross-zone-load-balancing-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html) | Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 |
| REL-10 | ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。 | [clb-multiple-az](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html) | Elastic Load Balancing (ELB) では、受信したトラフィックがアベイラビリティーゾーンの複数のターゲット (EC2 インスタンス、コンテナ、IP アドレスなど) に自動的に分散させます。高可用性を確保するには、ELB に複数のアベイラビリティーゾーンのインスタンスが登録されていることを確認してください。 |
| REL-10 | ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。 | [elbv2-multiple-az](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html) | Elastic Load Balancing (ELB) では、受信したトラフィックがアベイラビリティーゾーンの複数のターゲット (EC2 インスタンス、コンテナ、IP アドレスなど) に自動的に分散させます。高可用性を確保するには、ELB に複数のアベイラビリティーゾーンのインスタンスが登録されていることを確認してください。 |
| REL-10 | ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。 | [lambda-vpc-multi-az-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-vpc-multi-az-check.html) | AWS Lambda 関数がアカウントの Virtual Private Cloud (VPC) に接続するように設定されている場合は、Lambda AWS 関数を少なくとも 2 つの異なるアベイラビリティーゾーンにデプロイして、単一のゾーンでサービスが中断された場合にイベントを処理できるようにします。 |
| REL-10 | ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。 | [opensearch-data-node-fault-tolerance](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-data-node-fault-tolerance.html) | Amazon OpenSearch Service (OpenSearch Service) では、高可用性と耐障害性のために少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ OpenSearch Service ドメインをデプロイすると、ノードに障害が発生した場合のクラスターオペレーションが確実になります。 |
| REL-10 | ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。 | [rds-multi-az-support](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html) | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 |
| REL-10 | ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。 | [rds-cluster-multi-az-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html) | Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。 |
| REL-10 | ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。 | [vpc-vpn-2-tunnels-up](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | 冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。 |
## テンプレート
テンプレートは、GitHub の「[Operational Best Practices for AWS Well-Architected Reliability Pillar](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-AWS-Well-Architected-Reliability-Pillar.yaml)」で入手できます。