翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS でのインフラストラクチャセキュリティモニタリング
AMS Accelerate にオンボードすると、 は次の AWS Config ベースラインインフラストラクチャと一連のルールを AWS デプロイします。AMS Accelerate はこれらのルールを使用してアカウントをモニタリングします。
AWS Config サービスにリンクされたロール: AMS Accelerate は、AWSServiceRoleForConfig という名前のサービスにリンクされたロールをデプロイします。このロールは、他の AWS サービスのステータスをクエリ AWS Config するために によって使用されます。AWSServiceRoleForConfig サービスにリンクされたロールは、 AWS Config サービスを信頼してロールを引き受けます。AWSServiceRoleForConfig ロールのアクセス許可ポリシーには、 AWS Config リソースに対する読み取り専用および書き込み専用のアクセス許可と、 が AWS Config サポートする他のサービスのリソースに対する読み取り専用アクセス許可が含まれています。 AWS Config Recorder で既にロールを設定している場合、AMS Accelerate は既存のロールに AWS Config マネージドポリシーがアタッチされていることを確認します。そうでない場合、AMS Accelerate はロールをサービスにリンクされたロール AWSServiceRoleForConfig に置き換えます。
AWS Config レコーダーと配信チャネル: 設定レコーダー AWS Config を使用してリソース設定の変更を検出し、これらの変更を設定項目としてキャプチャします。AMS Accelerate は、設定レコーダーをすべてのサービスにデプロイし AWS リージョン、すべてのリソースを継続的に記録します。AMS Accelerate は、 AWS リソースで発生した変更を記録するために使用する Amazon S3 バケットである設定配信チャネルも作成します。設定レコーダーは、配信チャネルを介して設定状態を更新します。が機能 AWS Config するには、設定レコーダーと配信チャネルが必要です。AMS Accelerate は、すべての にレコーダーを作成し AWS リージョン、単一の に配信チャネルを作成します AWS リージョン。にレコーダーと配信チャネルがすでにある場合 AWS リージョン、AMS Accelerate は既存の AWS Config リソースを削除しません。代わりに、AMS Accelerate は、正しく設定されていることを検証した後、既存のレコーダーと配信チャネルを使用します。 AWS Config コストを削減する方法の詳細については、「」を参照してくださいAccelerate の AWS Config コストを削減する。
-
AWS Config ルール: AMS Accelerate は、セキュリティと運用の整合性に関する業界標準に準拠できるように、 AWS Config ルール および 修復アクションのライブラリを維持します。 は、記録されたリソース間の設定変更 AWS Config ルール を継続的に追跡します。変更がルール条件に違反した場合、AMS はその検出結果を報告し、違反の重大度に応じて、違反を自動またはリクエストで修正できます。 は、Center for Internet Security (CIS)、米国国立標準技術研究所 (NIST) クラウドセキュリティフレームワーク (CSF)、医療保険の相互運用性と説明責任に関する法律 (HIPAA)、および Payment Card Industry (PCI) Data Security Standard (DSS) によって設定された基準への準拠 AWS Config ルール を容易にします。
AWS Config アグリゲータ認可: アグリゲータは、複数のアカウントと複数のリージョンから AWS Config 設定およびコンプライアンスデータを収集する AWS Config リソースタイプです。AMS Accelerate は、アカウントを設定アグリゲータにオンボードします。このアグリゲータから、AMS Accelerate はアカウントのリソース設定情報を集約し、コンプライアンスデータを設定して、コンプライアンスレポートを生成します。AMS 所有アカウントに既存のアグリゲータが設定されている場合、AMS Accelerate は追加のアグリゲータをデプロイし、既存のアグリゲータは変更されません。
注記
Config アグリゲータは アカウントでは設定されず、AMS 所有のアカウントで設定され、アカウントにオンボードされます (複数可)。
詳細については AWS Config、以下を参照してください。
AWS Config: Config とは
AWS Config ルール: ルールを使用したリソースの評価
AWS Config ルール: 動的コンプライアンスチェック: AWS Config ルール – クラウドリソースの動的コンプライアンスチェック
AWS Config アグリゲータ: マルチアカウントマルチリージョンデータ集約
レポートの詳細については、「」を参照してくださいAWS Config コントロールコンプライアンスレポート。
