翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスの説明
AMS Accelerate は、 AWS インフラストラクチャのオペレーションを管理するための AWS Managed Services サービスのオペレーションプランです。
AWS Managed Services (AMS) AMS Accelerate オペレーションプランの機能
AMS Accelerate には次の機能があります。
インシデント管理:
インシデント管理は、AMS サービスが報告されたインシデントに対応するために使用するプロセスです。
AMS Accelerate は、インシデントをプロアクティブに検出して対応し、チームの問題解決を支援します。 AWS サポートセンターを使用して、AMS Accelerate オペレーションエンジニアに 24 時間 365 日連絡できます。応答時間の SLAs、アカウントで選択した応答レベルによって異なります。
モニタリング:
モニタリングは、AMS サービスがリソースを追跡するために使用するプロセスです。
AMS Accelerate に登録されているアカウントは、ノイズを減らし、今後のインシデントの可能性を特定するために最適化された Amazon CloudWatch イベントとアラームのベースラインデプロイで設定されます。アラートを受け取った後、AMS チームは自動修復、人員、プロセスを使用してリソースを正常な状態に戻し、必要に応じてチームと協力して、動作とその防止方法に関する学習に関するインサイトを提供します。修復に失敗すると、AMS はインシデント管理プロセスを開始します。デフォルトの設定ファイルを更新することで、ベースラインを変更できます。
のセキュリティ
セキュリティ管理は、AMS サービスがリソースを保護するために使用するプロセスです。AWS Managed Services、 AWS Config ルールや Amazon GuardDuty などの複数のコントロールを使用して、情報アセットを保護し、AWS インフラストラクチャの安全性を維持するのに役立ちます。
AMS Accelerate は、 AWS Config ルール および 修復アクションのライブラリを維持し、すべてのアカウントがセキュリティと運用の整合性に関する業界標準に準拠していることを確認します。 は、記録されたリソース間の設定変更 AWS Config ルール を継続的に追跡します。変更がルール条件に違反すると、AMS は調査結果を報告し、違反の重大度に応じて、違反を自動またはリクエストで修正できるようにします。 は、Center for Internet Security (CIS)、米国国立標準技術研究所 (NIST) クラウドセキュリティフレームワーク (CSF)、医療保険の相互運用性と説明責任に関する法律 (HIPAA)、および Payment Card Industry (PCI) Data Security Standard (DSS) によって設定された標準への準拠 AWS Config ルール を促進します。
さらに、AMS Accelerate は Amazon GuardDuty を活用して、AWS 環境で不正または悪意のある可能性のあるアクティビティを特定します。GuardDuty の検出結果は、AMS によって 24 時間 365 日モニタリングされます。AMS はお客様と協力して、ベストプラクティスの推奨事項に基づいて検出結果と修復の影響を理解します。AMS は、個人健康情報 (PHI)、個人を特定できる情報 (PII)、財務データなどの機密データを保護するために Amazon Macie もサポートしています。最後に、AMS はマネージドアカウントで生成されたすべての Amazon Route 53 Resolver ALERT イベントと BLOCK イベントをモニタリングしてトリアージし、ネットワークトラフィックをさらに検査して検出機能を強化します。
パッチ管理:
パッチ管理は、AMS サービスがリソースを更新するために使用するプロセスです。
パッチアドオンを使用する AWS アカウントの場合、AWS Managed Services は、選択したメンテナンスウィンドウ中に、サポートされているオペレーティングシステムの Amazon EC2 インスタンスにベンダーの更新を適用してインストールします。AMS は、パッチ適用前にインスタンスのスナップショットを作成し、パッチのインストールをモニタリングして、結果を通知します。パッチが失敗した場合、AMS は失敗を調査し、問題を修正するための一連のアクションを推奨します。または、AMS はリクエストに応じてインスタンスをロールバックに復元します。AMS は、パッチコンプライアンスカバレッジのレポートを提供し、ビジネスに推奨される一連のアクションについてアドバイスします。
バックアップ管理:
AMS はバックアップ管理を使用してリソースのスナップショットを作成します。
AWS Managed Services は、 でサポートされている AWS サービスのスナップショットを作成、モニタリング、保存します AWS Backup。バックアップスケジュール、頻度、保持期間を定義するには、アカウントとアプリケーションのオンボーディング中に AWS Backup プランを作成します。計画をリソースに関連付けます。AMS はすべてのバックアップジョブを追跡し、バックアップジョブが失敗すると、修復を実行するようにチームに警告します。AMS はスナップショットを活用して、必要に応じてインシデント中に復元アクションを実行します。AMS には、バックアップカバレッジレポートとバックアップステータスレポートが用意されています。
問題管理:
AMS は傾向分析を実行して、問題を特定して調査し、根本原因を特定します。問題は、回避策または同様の将来のサービスへの影響の再発を防ぐ永続的なソリューションで修正されます。インシデント後レポート (PIR) は、解決時に「高」インシデントに対してリクエストされる場合があります。PIR は、根本原因と、予防策の実装など、実行された予防策をキャプチャします。
指定されたエキスパート:
AMS Accelerate は、Cloud Service Delivery Manager (CSDM) と Cloud Architect (CA) も指定し、組織と連携して運用とセキュリティの優秀性を推進します。CSDM と CA は、AMS Accelerate の設定時とオンボーディング後のガイダンスを提供し、運用メトリクスの月次レポートを提供し、AWS Cost Explorer、コストと使用状況レポート、 などのツールを使用して潜在的なコスト削減を特定します Trusted Advisor。
オペレーションツール:
AMS Accelerate は、AWS のワークロードのインフラストラクチャに対して継続的なオペレーションを提供できます。当社のパッチ、バックアップ、モニタリング、インシデント管理サービスは、リソースにタグを付けること、および AWS Systems Manager (SSM) エージェントと CloudWatch エージェントを SSM および Amazon CloudWatch サービスとやり取りすることを許可する IAM インスタンスプロファイルを使用して Amazon EC2 インスタンスにインストールおよび設定することに依存します。AMS Accelerate には、ルールに基づいてリソースにタグを付けるのに役立つ Resource Tagger や、Amazon EC2 インスタンスに必要なエージェントをインストールするための自動インスタンス設定などのツールが用意されています。イミュータブルなインフラストラクチャプラクティスに従っている場合は、コンソールまたは infrastructure-as-code テンプレートで直接前提条件を完了できます。
コストの最適化:
AMS Resource Scheduler は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Relational Database Service (Amazon RDS) インスタンス、Amazon EC2 Auto Scaling グループの開始と停止を自動化します。AMS Resource Scheduler は、使用されていないリソースを停止し、容量が必要な場合にリソースを再開することで、運用コストを削減するのに役立ちます。
ログ記録とレポート:
AWS Managed Services は、CloudWatch CloudTrail 、Amazon VPC フローログのオペレーションの結果として生成されたログを集約して保存します。AMS からのログ記録は、インシデントの迅速な解決とシステム監査に役立ちます。AMS Accelerate は、エグゼクティブサマリーとインサイト、運用メトリクス、マネージドリソース、AMS サービスレベルアグリーメント (SLA) の遵守、支出、削減、コスト最適化に関する財務メトリクスなど、AMS の主要なパフォーマンスメトリクスをまとめた月次サービスレポートも提供します。レポートは、指定された AMS Cloud Service Delivery Manager (CSDM) によって配信されます。
サービスリクエスト管理:
マネージド環境、AMS、または AWS サービス提供に関する情報をリクエストするには、AMS Accelerate コンソールを使用してサービスリクエストを送信します。サービス AWS や機能に関する「方法」の質問、または追加の AMS サービスをリクエストするためのサービスリクエストを送信できます。
AMS Accelerate のすべてのお客様は、インシデント管理、モニタリング、セキュリティモニタリング、ログ記録、前提条件ツール、バックアップ管理、レポート機能から始めます。AMS パッチ管理アドオンは追加料金で追加できます。
注記
でサポートされていない機能のリストについては AWS GovCloud (US)、「 の AMS Accelerate の違い」を参照してください。 AWS GovCloud (US)
サポートされている設定
AMS Accelerate は、次の設定をサポートしています。
言語: 英語。
リージョン: リージョンAWS Managed ServicesサービスでサポートされているAWS リージョン
AWS 」を参照してください。 注記
2019 年 3 月 20 日より前に導入された AWS リージョンは「元の」リージョンと見なされ、デフォルトで有効になっています。この日付以降に導入されたリージョンは「オプトイン」リージョンであり、デフォルトでは無効になっています。アカウントが複数のリージョンを使用していて、デフォルトのリージョンとして「オプトイン」リージョンが有効になっているアカウントに AMS Accelerate をオンボードする場合、AMS レポート機能はそのリージョンでのみ使用できます。デフォルトのリージョンを設定しない場合、最後にアクセスしたリージョンがデフォルトのリージョンになります。
リージョンを有効にするには、「リージョンの有効化」を参照してください。デフォルトのリージョンを設定するには、「リージョンの選択」を参照してください。各リージョンのオプトインステータスのリストについては、「Amazon Elastic Compute Cloud ユーザーガイド」の「利用可能なリージョン」を参照してください。
オペレーティングシステムアーキテクチャ (x86-64 または ARM64): Systems Manager と CloudWatch の両方でサポートされている 。
サポートされるオペレーティングシステム
AlmaLinux 8.3-8.9、9.x (AlmaLinux は x86 アーキテクチャでのみサポートされています)
Amazon Linux 2023
Amazon Linux 2 (2026 年 6 月 30 日に予定されている AMS サポート終了日)
Oracle Linux 9.x、8.x
Red Hat Enterprise Linux (RHEL) 9.x、8.x
SUSE Linux Enterprise Server 15 SP6
SUSE Linux Enterprise Server for SAP 15 SP3 以降
Microsoft Windows Server 2022、2019、2016
Ubuntu 20.04、22.04、24.04
サポートされているサポート終了 (EOS) オペレーティングシステム:
注記
サポート終了 (EOS) オペレーティングシステムは、オペレーティングシステム製造元の一般的なサポート期間外であり、セキュリティリスクが増加しています。EOS オペレーティングシステムは、AMS が必要とするエージェントがオペレーティングシステムをサポートしている場合にのみ、サポートされている設定と見なされます。
更新を受信できるオペレーティングシステムベンダーのサポートが延長されている、または
EOS OS を使用するインスタンスは、「 Accelerate ユーザーガイド」の「AMS」で指定されているセキュリティコントロールに従います。
AMS が必要とするその他の補償セキュリティコントロールに準拠していること。
AMS が EOS OS をサポートできなくなった場合、AMS はオペレーティングシステムをアップグレードするための重要な推奨事項を発行します。
AMS に必要なエージェントには、Amazon CloudWatch AWS Systems Manager、Endpoint Security (EPS) エージェント、Active Directory (AD) Bridge (Linux のみ) が含まれますが、これらに限定されません。
Ubuntu Linux 18.04
SUSE Linux Enterprise Server 15 SP3, SP4、および SP5
SAP 15 SP2 用 SUSE Linux Enterprise Server
SUSE Linux Enterprise Server 12 SP5
SAP 12 SP5 用 SUSE Linux Enterprise Service
Microsoft Windows Server 2012/2012 R2
Red Hat Enterprise Linux (RHEL):7.x
Oracle Linux 7.5~7.9
AWS Control Tower を使用してマルチアカウント環境を管理する場合は、 Accelerate との互換性 AWS Control Tower のために の最新バージョンを実行していることを確認してください。2.7 より前の AWS Control Tower バージョン (2021 年 4 月にリリース) を使用する環境はサポートされていません。更新方法については AWS Control Tower、「ランディングゾーンの更新」を参照してください。
サポートされる サービス
AWS Managed Services は、以下のサービスの運用管理サポート AWS サービスを提供します。各 AWS サービスは異なるため、AMS の運用管理サポートのレベルは、基盤となる AWS サービスの性質と特性によって異なります。次のリストでサポート対象として明示的に特定されていないソフトウェアまたはサービスに対して AWS Managed Servicesによるサービスの提供をリクエストした場合、お客様がリクエストした設定で提供される AWS Managed Services、サービス条件の下で「ベータサービス」として扱われます。
インシデント: すべての AWS サービス
サービスリクエスト: すべての AWS サービス
パッチ適用: Amazon EC2
バックアップと復元: で AWS のサービス サポートされているすべて AWS Backup。でサポートされているサービスのリストについては AWS Backup、AWS Backup 「サポートされているリソース」を参照してください。
Resource Scheduler: Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Relational Database Service (Amazon RDS)、Amazon EC2 Auto Scaling グループ
運用イベントでモニタリングされるサービス: サポートされているチェックと Trusted Advisor、Application Load Balancer、Aurora、Amazon EC2、Elastic Load Balancing、Amazon FSx for NetApp ONTAP、Amazon FSx for Windows File Server、NAT ゲートウェイ (ネットワークアドレス変換 (NAT) サービス)、OpenSearch、Amazon Redshift AWS Health Dashboard、Amazon Relational Database Service (Amazon RDS)、Site-to-Site VPN。AMS Accelerate がサービスの一部としてモニタリングしている内容の詳細については、「AMS のベースラインモニタリングからのアラート」を参照してください。
セキュリティ Config Rules: AWS Account によってモニタリングされるサービス GuardDuty、 Macie、 Amazon API Gateway、 AWS Certificate Manager AWS Config、 CloudTrail、 CloudWatch、 AWS CodeBuild、 AWS Database Migration Service、 Amazon DynamoDB、 Amazon EC2、 Amazon ElastiCache、 Amazon Elastic Block Store (Amazon EBS) Amazon Elastic File System (Amazon EFS) Amazon Elastic Kubernetes Service (Amazon EKS) Elastic Load Balancing、 Amazon OpenSearch Service、 Amazon EMR、 AWS Identity and Access Management (IAM) AWS Key Management Service、、 AWS Lambda、 Amazon Redshift、 Amazon Relational Database Service、 Amazon S3、 Amazon SageMaker AI、 AWS Secrets Manager 、 Amazon Simple Notification Service、 AWS Systems Manager、 Amazon VPC (セキュリティグループ、 ボリューム、 Elastic IP アドレス、 VPN 接続、 インターネットゲートウェイ)、 Amazon VPC フローログ。詳細については、「Accelerate の設定コンプライアンス」および「Accelerate でのデータ保護」を参照してください。追加の AMS セキュリティ情報は AWS Artifact、AWS Managed Services のレポートタブからアクセスできるプライベートセキュリティガイドで確認できます。
注記
AMS Accelerate for the Middle East (UAE) リージョンは、次の表に示すように、一連の範囲内の機能をサポートしています。このリージョンの AMS アカウントコンソールとインスタンスへのアクセスは、インバウンドサービスリクエストトリガーによってのみ駆動されます。中東 (UAE) リージョンでの Accelerate の可用性の詳細については、アカウントマネージャーまたは AWS Cloud Service Delivery Manager (CSDM) にお問い合わせください。
| 中東 (UAE) リージョンの AMS Accelerate スコープ内機能 | 機能の説明 |
|---|---|
|
インシデント管理 |
AMS は、チームが問題を解決するのに役立つインシデント対応とサポートを提供します。AMS がインシデント管理を支援するには、サービスリクエストを送信する必要があります。AMS は、このリージョンのインシデントをプロアクティブに検出または対応しません。 |
|
モニタリング |
サービスリクエストを受け取った後、AMS はリソースの修復を支援できます。AMS は自動修復、人員、プロセスを使用して、リソースを正常な状態に戻します。AMS は、このリージョンのベースライン CloudWatch イベントとアラームを設定しません。既存のモニタリングツールがある場合は、Cloud Architect (CA) と CSDM の評価に基づいて、リソースのプロアクティブ追跡が利用できる場合があります。 |
|
セキュリティ |
サービスリクエストを受け取った後、AMS はセキュリティ問題の修復を支援できます。AMS は、 AWS Config ルール や GuardDuty などのセキュリティコントロールをデプロイしたり、このリージョンのセキュリティ検出結果をモニタリングしたりしません。既存のセキュリティツールがある場合は、CA と CSDM の評価に基づいてプロアクティブセキュリティモニタリングが利用できる場合があります。 |
|
パッチ管理 |
AMS は、選択したメンテナンスウィンドウ中にサポートされているオペレーティングシステムの Amazon EC2 インスタンスにベンダー更新を適用し、事前パッチスナップショットを作成できます。AMS がパッチ管理を支援するには、サービスリクエストを送信する必要があります。AMS パッチ通知とレポートは、このリージョンでは使用できません。 |
|
バックアップ管理 |
AMS は、 で AWS のサービス サポートされている のスナップショットを作成および保存し AWS Backup、バックアップ修復を支援できます。AMS がバックアップ管理を支援するには、サービスリクエストを送信する必要があります。AMS はこのリージョンのバックアップジョブを追跡しません。 |
|
指定されたエキスパート |
AMS は、Cloud Architect (CA) と Cloud Service Delivery Manager (CSDM) を指定して、お客様の組織と提携し、運用とセキュリティの優秀性を推進します。 |
|
サービスリクエスト管理 |
マネージド環境、AMS、または AWS のサービス サービスに関する情報をリクエストするには、AMS Accelerate コンソールからサービスリクエストを送信します。この表で説明するように、 および 機能に関する AWS のサービス 「方法」の質問、またはこのリージョンで利用可能な AMS サービスをリクエストするためのサービスリクエストを送信できます。 |
役割と責任
AMS Accelerate は、責任、説明責任、相談、情報、または RACI マトリックスに、さまざまなアクティビティについて顧客または AMS に主な責任を割り当てます。この表では、お客様の責任 (「お客様」) と当社の責任 (「AMS Accelerate」) について説明しています。
このセクションでは、AMS がアカウントに変更を加えることが許可されている特定の状況と、AMS が行うことができないいくつかのタイプの変更をAMS Accelerate によって実行される変更の範囲一覧表示します。
AMS Accelerate RACI マトリックス
AMS Accelerate は AWS インフラストラクチャを管理します。次の表は、マネージド環境内で実行されているアプリケーションのライフサイクルにおけるアクティビティに関する、お客様と AMS Accelerate の役割と責任の概要を示しています。
R は、タスクを達成するために作業を行う責任者を表します。
C は「Consulted」の略で、通常は対象分野の専門家として意見を求められ、二国間通信を行う当事者です。
「Informed」の略です。多くの場合、タスクの完了時にのみ進行状況が通知されます。
注記
一部のセクションには、AMS とお客様の両方に「R」が含まれています。これは、 責任 AWS 共有モデルでは、AMS と顧客の両方がインフラストラクチャとアプリケーションの問題に対処するために共同所有権を持っているためです。
| アクティビティ | お客様 |
AWS Managed Services (AMS) |
|---|---|---|
AMS パターン | ||
新しいパターンを作成する |
I |
R |
パターンのデプロイとカスタマイズ |
R |
C、I |
パターンのテストと削除 |
R |
I |
アプリケーションのライフサイクル | ||
アプリケーション開発 |
R |
I |
アプリケーションインフラストラクチャの要件、分析、設計 |
R |
I |
アプリケーションのデプロイ |
R |
I |
AWS リソースのデプロイ |
R |
I |
アプリケーションのモニタリング |
R |
I |
アプリケーションのテスト/最適化 |
R |
I |
アプリケーションの問題のトラブルシューティングと解決 |
R |
I |
問題のトラブルシューティングと解決 |
R |
I |
AWS インフラストラクチャでサポートされているモニタリング |
C |
R |
AWS ネットワーク問題のインシデント対応 |
C |
R |
AWS リソースの問題のインシデント対応 |
C |
R |
マネージドアカウントのオンボーディング | ||
AMS チームおよびツールの AWS マネージドアカウントへのアクセス権を付与する |
R |
C |
アカウントまたは環境に変更を実装して、アカウントにツールをデプロイできるようにします。例えば、サービスコントロールポリシー (SCPsの変更 |
R |
C |
EC2 インスタンスに SSM エージェントをインストールする |
R |
C |
AMS サービスを提供するために必要なツールをインストールして設定します。例えば、CloudWatch エージェント、パッチ適用用のスクリプト、アラーム、ログなど |
I |
R |
AMS エンジニアのアクセスとアイデンティティのライフサイクルを管理する |
I |
R |
AMS サービスを設定するために必要なすべての入力を収集します。例えば、パッチメンテナンスウィンドウの期間、スケジュール、ターゲットなど |
R |
I |
AMS サービスの設定をリクエストし、必要な入力をすべて提供する |
R |
I |
お客様からのリクエストに従って AMS サービスを設定します。例えば、パッチメンテナンスウィンドウ、リソースタガー、アラームマネージャーなど |
C |
R |
AWS アカウントとインスタンスへのアクセスに使用されるローカルディレクトリサービスのユーザーとそのアクセス許可のライフサイクルを管理する |
R |
I |
リザーブドインスタンスの最適化を推奨 |
I |
R |
信頼できる修復者にアカウントをオンボードする (複数可) |
C、I |
R |
パッチ管理 | ||
| パッチメンテナンスウィンドウ、パッチベースライン、ターゲットを設定するために必要なすべての入力を収集する | R |
I |
| パッチメンテナンスウィンドウとベースラインの設定をリクエストし、必要なすべての入力を提供する | R |
I |
| お客様からのリクエストに応じて、パッチメンテナンスウィンドウ、パッチベースライン、ターゲットを設定する | C |
R |
| EC2 インスタンスでサポートされている OS およびサポートされている OS がプリインストールされたソフトウェアに対する該当する更新をモニタリングする | I |
R |
サポートされている OS とメンテナンスウィンドウのカバレッジに対する更新の欠落に関するレポート |
I |
R |
更新を適用する前にインスタンスのスナップショットを作成する |
I |
R |
顧客設定ごとに EC2 インスタンスに更新を適用する |
I |
R |
EC2 インスタンスへの失敗した更新を調査する |
C |
R |
Auto Scaling グループ (ASGs) の AMIs とスタックを更新する |
R |
C |
| Windows オペレーティングシステム、および Windows Update によって管理されるオペレーティングシステムにインストールされている Microsoft パッケージにパッチを適用する | I |
R |
Windows Update で管理されていないインストール済みアプリケーション、ソフトウェア、またはアプリケーションの依存関係にパッチを適用する |
R |
I |
Linux オペレーティングシステムと、オペレーティングシステムのネイティブパッケージマネージャー (Yum、Apt、Zypper など) による管理が有効になっているパッケージにパッチを適用します。 |
I |
R |
Linux オペレーティングシステムのネイティブパッケージマネージャーによって管理されていない、インストールされているアプリケーション、ソフトウェア、またはアプリケーションの依存関係にパッチを適用する |
R |
I |
バックアップ | ||
バックアッププランとターゲットリソースを設定するために必要なすべての入力を収集する |
R |
I |
Backup プランの設定をリクエストし、必要なすべての入力を提供する |
R |
I |
お客様からのリクエストに応じてバックアッププランとターゲットを設定する |
C |
R |
| バックアップスケジュールとターゲットリソースを指定する | R |
I |
プランごとにバックアップを実行する |
I |
R |
失敗したバックアップジョブを調査する |
I |
R |
バックアップジョブのステータスとバックアップカバレッジのレポート |
I |
R |
| バックアップの検証 | R |
I |
| インシデント管理の一環として、サポートされている AWS サービスリソースのリソースのバックアップ復元をリクエストする | R |
I |
サポートされている AWS サービスのリソースのバックアップ復元アクティビティを実行する |
I |
R |
| 影響を受けるカスタムアプリケーションまたはサードパーティーアプリケーションを復元する | R |
I |
ネットワーク | ||
マネージドアカウント VPCs、IGWs、直接接続、およびその他の AWS ネットワークサービスのプロビジョニングと設定 |
R |
I |
マネージドアカウント内で AWS セキュリティGroups/NAT/NACL を設定して運用する |
R |
I |
顧客ネットワーク内のネットワーク設定と実装 (DirectConnect など) |
R |
I |
AWS ネットワーク内のネットワーク設定と実装 |
R |
I |
セキュリティグループを含むネットワークセキュリティについて AMS で定義されるモニタリング |
I |
R |
ネットワークレベルのログ記録の設定と管理 (VPC フローログなど) |
I |
R |
ログ記録 | ||
| すべてのアプリケーション変更ログを記録する | R |
I |
| AWS インフラストラクチャ変更ログを記録する | I |
R |
| AWS 監査証跡を有効にして集約する | I |
R |
| AWS リソースからログを集約する | I |
R |
モニタリングと修復 | ||
アラームマネージャー、リソースタガー、アラームしきい値を設定するために必要なすべての入力を収集する |
R |
I |
| アラームマネージャーの設定をリクエストし、必要な入力をすべて提供する | R |
I |
| お客様のリクエストに応じて、アラームマネージャー、リソースタガー、アラームしきい値を設定します。 | C |
R |
顧客設定ごとに AMS CloudWatch ベースラインメトリクスとアラームをデプロイする |
I |
R |
ベースライン CloudWatch メトリクスとアラームを使用してサポートされている AWS リソースをモニタリングする |
I |
R |
AWS リソースからのアラートを調査する |
C |
R |
定義された設定に基づいてアラートを修正するか、インシデントを作成します。 |
I |
R |
|
顧客固有のモニターを定義、モニタリング、調査する |
R |
I |
アプリケーションモニタリングからのアラートの調査 |
R |
C |
修復の Trusted Advisor チェックを設定する |
R |
C |
サポートされている Trusted Advisor チェックを自動的に修正する |
I |
R |
サポートされている Trusted Advisor チェックを手動で修正する |
R |
C |
レポート修復ステータス |
I |
R |
修復失敗のトラブルシューティング |
R |
C |
セキュリティアーキテクチャ | ||
|
セキュリティの問題と潜在的な脅威について AMS リソースとコードを確認する |
I |
R |
AMS リソースとコードにセキュリティコントロールを実装してセキュリティリスクを軽減する |
I |
R |
アカウントとその AWS リソースのセキュリティ管理のためにサポートされている AWS サービスを有効にする |
I |
R |
AMS エンジニアのアカウントと OS アクセスの特権認証情報を管理する |
I |
R |
セキュリティリスク管理 | ||
GuardDuty や Macie など、セキュリティ管理のためにサポートされている AWS サービスをモニタリングする |
I |
R |
AMS で定義された Config ルールを定義して作成し、AWS リソースが Center for Internet Security (CIS) と NIST セキュリティのベストプラクティスに準拠しているかどうかを検出します。 |
I |
R |
AMS で定義された Config ルールをモニタリングする |
I |
R |
Config ルールの適合ステータスを報告する |
I |
R |
必要な Config ルールのリストを定義して修正する |
I |
R |
AMS で定義された Config ルールの修正の影響を評価する |
R |
I |
AWS アカウントで AMS で定義された Config ルールの修正をリクエストする |
R |
I |
AMS で定義された Config ルールから除外されるリソースを追跡する |
R |
I |
AWS アカウントでサポートされている AMS 定義 Config ルールを修正する |
C |
R |
AWS アカウントでサポートされていない AMS 定義の Config ルールを修正する |
R |
I |
顧客固有の Config ルールを定義、モニタリング、調査する |
R |
I |
インシデント管理 | ||
AWS リソースで AMS によって検出されたインシデントについて通知する |
I |
R |
AWS リソース内のインシデントを通知する |
R |
I |
モニタリングに基づいて AWS リソースのインシデントを通知する |
I |
R |
アプリケーションのパフォーマンスの問題と停止に対処する |
R |
I |
インシデントの優先度を分類する |
I |
R |
インシデント対応を提供する |
I |
R |
| 利用可能なバックアップを使用して、リソースのインシデント解決またはインフラストラクチャの復元を提供する |
C |
R |
セキュリティインシデント対応 – 準備 | ||
通信 | ||
セキュリティイベント通知とセキュリティエスカレーション中に使用する AMS の顧客セキュリティ連絡先の詳細を提供および更新する |
R |
I |
セキュリティイベントやセキュリティエスカレーション中に使用する、提供された顧客セキュリティ連絡先の詳細を保存および管理します。 |
C |
R |
トレーニング | ||
インシデント対応プロセス中に AMS をサポートするドキュメントを顧客に提供する |
I |
R |
セキュリティのゲームデーを通じて、インシデント対応プロセス中に責任共有を実践する |
R |
R |
リソース管理 | ||
アラート、アラート相関、ノイズ削減、その他のルール AWS のサービス に対してサポートされているセキュリティ管理を設定する |
I |
R |
各アセットの価値とビジネスにとっての重要性の詳細を含め、 AWS リソース (Amazon EC2、Amazon S3 など) の包括的なインベントリを維持します。この情報は、効果的な封じ込め戦略を決定するのに役立ちます。 |
R |
C |
AWS タグを使用してリソースとワークロードを識別する |
R |
C |
ログの保持とアーカイブを定義および設定する |
I |
R |
AWS アカウント、サービス、アクセス管理に関する組織のセキュリティポリシーと設定を定義して適用することで、安全なベースラインを確立する |
R |
I |
セキュリティインシデント対応 - 検出 | ||
ログ記録、インジケータ、モニタリング | ||
インスタンスとアカウントのイベント管理を有効にするようにログ記録とモニタリングを設定する |
I |
R |
セキュリティアラート AWS のサービス でサポートされているモニタリング |
I |
R |
エンドポイントセキュリティツールのデプロイと管理 |
R |
I |
エンドポイントセキュリティを使用してインスタンスのマルウェアをモニタリングする |
R |
I |
アウトバウンドメッセージングを通じて検出されたイベントを顧客に通知する |
I |
R |
社内のステークホルダーとのコミュニケーションとリーダーシップの更新を調整して、対応時間を改善する |
R |
I |
AMS 標準検出サービス (Amazon GuardDuty や など AWS Config) の定義、デプロイ、保守 |
C |
R |
AWS インフラストラクチャ変更ログを記録する |
R |
I |
ログ記録、モニタリングを有効にして設定し、アプリケーションのイベント管理を有効にする |
R |
C |
サポートされている AWS セキュリティサービス (Amazon GuardDuty など) で許可リスト、拒否リスト、カスタム検出を実装して維持する |
R |
R |
セキュリティイベントレポート | ||
疑わしいアクティビティまたはアクティブなセキュリティ調査を AMS に通知する |
R |
I |
検出されたセキュリティイベントとインシデントを顧客に通知する |
I |
R |
セキュリティインシデント対応プロセスをトリガーする可能性のある計画されたイベントを通知する |
R |
I |
セキュリティインシデント対応 - 分析 | ||
調査と分析 | ||
サポートされている検出ソースによって生成されたサポートされているセキュリティアラートの初期レスポンスを実行する |
I |
R |
利用可能なデータを使用して誤検出/真陽性を評価する |
R |
R |
必要に応じて、影響を受けるインスタンスのスナップショットを生成して顧客と共有します。 |
I |
R |
保管チェーン、ファイルシステム分析、メモリフォレンジック、バイナリ分析などのフォレンジックタスクを実行する |
R |
C |
調査に役立つアプリケーションログを収集する |
R |
I |
セキュリティアラートの調査に役立つデータとログの収集 |
R |
R |
セキュリティ調査 AWS のサービス に 内の SMEs を関与させる |
C |
R |
調査中にサポートされている から AWS のサービス 顧客に調査ログを共有する |
I |
R |
通信 | ||
マネージドリソースの AMS 検出ソースからアラートと通知を送信する |
I |
R |
アプリケーションセキュリティイベントのアラートと通知を管理する |
R |
I |
セキュリティインシデントの調査中に顧客のセキュリティ担当者を関与させる |
R |
I |
セキュリティインシデント対応 - 含む | ||
封じ込め戦略と実行 | ||
リスクを評価して封じ込め戦略を決定し、潜在的なサービスへの影響を認識する |
R |
C |
影響を受けるシステムのバックアップを作成してさらに分析する |
I |
R |
アプリケーションとワークロードを含める (アプリケーション固有の設定またはレスポンスアクティビティ経由) |
R |
C |
セキュリティインシデントと影響を受けるリソースに基づいて封じ込め戦略を定義する |
I |
R |
影響を受けるシステムのポイントインタイムバックアップの暗号化と安全なストレージを有効にする |
C |
R |
EC2 インスタンス、ネットワーク、IAM などの AWS リソースに対してサポートされている封じ込めアクションを実行する |
I |
R |
セキュリティインシデント対応 - 根絶 | ||
根絶戦略と実行 | ||
セキュリティインシデントとお客様のアプリケーションワークロードで影響を受けるリソースに基づいて根絶オプションを定義する |
C |
R |
合意された根絶戦略、根絶実行のタイミング、結果を決定する |
R |
I |
AMS マネージドワークロードのセキュリティインシデントと影響を受けるリソースに基づいて根絶ステップを定義する |
C |
R |
EC2 インスタンス、ネットワーク、IAM 根絶などの脅威を根絶し、 AWS リソースを強化する |
R |
C |
脅威を根絶し、アプリケーションとワークロードを強化する (アプリケーション固有の設定またはレスポンスアクティビティを使用) |
R |
I |
セキュリティインシデント対応 - 復旧 | ||
復旧の準備と実行 | ||
お客様からのリクエストに応じてバックアッププランとターゲットを設定する |
I |
R |
AMS マネージドワークロードを復元するためのバックアッププランを確認する |
R |
I |
サポートされている のリソースのバックアップ復元アクティビティを実行する AWS のサービス |
I |
R |
お客様のアプリケーション、APP 設定、デプロイ設定をバックアップし、インシデント後にお客様のアプリケーションとワークロードを復元するためのバックアッププランを確認する |
R |
I |
アプリケーションとお客様のワークロードを復元する (アプリケーション固有の復元ステップによる) |
R |
I |
セキュリティインシデント対応 – インシデント後レポート | ||
インシデント後レポート | ||
必要に応じて、学んだ適切な教訓とアクション項目を顧客のインシデント後に共有する |
I |
R |
問題管理 | ||
| インシデントを関連付けて問題を特定する | I |
R |
| 問題の根本原因分析 (RCA) を実行する | I |
R |
| 問題の修正 | I |
R |
| アプリケーションの問題を特定して修正する | R |
I |
サービス管理 | ||
| サービスリクエストを使用した情報のリクエスト | R |
I |
サービスリクエストへの返信 |
I |
R |
| コスト最適化に関する推奨事項を提供する | I |
R |
毎月のサービスレポートの準備と配信 |
I |
R |
変更管理 | ||
| マネージド環境でリソースをプロビジョニングおよび更新するための変更管理プロセスとツール | R |
I |
| アプリケーション変更カレンダーのメンテナンス | R |
I |
| 今後のメンテナンスウィンドウの通知 | R |
I |
| AMS オペレーションによって行われた変更を記録する | I |
R |
コスト最適化 | ||
| Resource Scheduler を設定するために必要なすべての入力を収集する | R |
I |
| Resource Scheduler のオンボーディング、設定をリクエストし、必要なすべての入力を提供する | R |
I |
| 顧客設定ごとに Resource Scheduler をデプロイする | C、I |
R |
| カスタマーアカウントで Resource Scheduler を無効化および有効化する | R |
C |
| スケジュールの作成、削除、説明、更新 | C |
R |
| 期間の作成、削除、説明、更新 | C |
R |
| Resource Scheduler の問題の調査とトラブルシューティング | I |
R |
| Resource Scheduler のオフボードのリクエスト | R |
I |
| Resource Scheduler をアカウントからオフボードする | C、I |
R |
AMS Accelerate によって実行される変更の範囲
AMS Accelerate は、次に説明する特定の目的と状況に対してのみ変更を行います。AMS は、 コンソールまたは APIs。AMS は、アプリケーション、コントロール、またはドメインレイヤーを変更しません。AMS (または他のユーザー) による変更は、一連の構築済みクエリを使用して確認できます。これを行うには、「」を参照してくださいAMS Accelerate アカウントの変更の追跡。
AWS リソース
AMS Accelerate は、以下の状況でのみ AWS リソースをデプロイまたは更新します。
AMS に必要なツールとリソースをデプロイおよび更新するには。
AMS モニタリングの一環として、イベントとアラームに応じて。
の一部としてセキュリティの問題を修正する Accelerate での違反への対応 (非準拠のリソースをセキュリティのベストプラクティスに準拠させる)。
インシデント対応の一環としての修復と復元中。
次のような AMS 機能を設定するお客様のリクエストに応答する場合:
アラームマネージャー
リソースタガー
パッチベースラインとメンテナンスウィンドウ
リソーススケジューラ
バックアッププラン
AMS Accelerate は、このような状況以外でリソースをデプロイまたは更新しません。他の状況で変更を加えるために AMS からのヘルプが必要な場合は、Operations on Demand
オペレーティングシステムソフトウェア
AMS Accelerate は、当社のサービスレベルアグリーメントで定義されているように、インシデント解決を通じて、利用できない状況でオペレーティングシステムソフトウェアを変更することができます。AMS は、 の一部としてオペレーティングシステムを変更することもできますAMS Accelerate の自動インスタンス設定。
アプリケーションコードと設定
AMS Accelerate はコード (AWS CloudFormation テンプレート、他の infrastructure-as-code テンプレート、Lambda 関数など) を変更しませんが、運用上およびセキュリティ上のベストプラクティスに従うために変更が必要なチームをガイドできます。AMS Accelerate は、アプリケーションに影響を与えるインフラストラクチャの問題のトラブルシューティングを支援しますが、AMS Accelerate はアプリケーション設定にアクセスまたは検証しません。
