翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AMS Accelerate とは
AMS Accelerate for Amazon Web Services () へようこそAWS。AMS Accelerate は、運用上の優秀性の実現に役立つさまざまな運用サービスを提供します AWS。クラウドで始めたばかりの場合でも、現在のチームを強化したい場合でも、長期的な運用ソリューションが必要な場合でも、Accelerate はクラウドでの運用目標を達成するのに役立ちます。 AWS のサービス とオートメーション、設定、ランブックのライブラリを活用して、新規および既存の AWS 環境の両方にend-to-endの運用ソリューションを提供します。
Accelerate サービスは、一連のネイティブ AWS のサービス および 機能を活用して、包括的なインフラストラクチャ管理機能を提供します。これらの中で AWS のサービス、Accelerate は、インフラストラクチャを準拠した安全な方法で運用するために、厳選されたモニタリングコントロール、検出ガードレール、オートメーション、ランブックを作成および維持します。
**Topics**
+ [AMS オペレーションプラン](what-is-ams-op-plans.md)
+ [AMS Accelerate オペレーションプランの使用](acc-what-is.md)
+ [AMS の主要な用語](key-terms.md)
+ [サービスの説明](acc-sd.md)
+ [Accelerate でサポートされていないオペレーティングシステムの機能](acc-unsupported-os.md)
+ [問い合わせとエスカレーション](acc-contact-escalate.md)
+ [Accelerate のリソースインベントリ](acc-resource-inventory.md)
# AMS オペレーションプラン
AWS Managed Services (AMS) は、AMS Accelerate と AMS Advanced の 2 つのオペレーションプランで利用できます。オペレーションプランには、特定の一連の機能が用意されており、サービス、技術的機能、要件、料金、制限のレベルが異なります。運用プランでは、 AWS ワークロードごとに適切なサイズの運用機能を柔軟に選択できます。このセクションでは、機能や相違点、および各プランに関連する責任、機能、利点について概説し、どのオペレーションプランがアカウントにとって最適かを理解できるようにします。
2 つのオペレーションプランの詳細な機能比較については、[AWS Managed Services機能](https://aws.amazon.com/managed-services/features/)」を参照してください。
## AMS Accelerate オペレーションプラン
AMS Accelerate は、新規または既存の AWS 環境のday-to-dayインフラストラクチャ管理を運用するのに役立つ AMS オペレーションプランです。AMS Accelerate は、モニタリング、インシデント管理、セキュリティなどの運用サービスを提供します。AMS Accelerate は、定期的なパッチ適用を必要とする Amazon EC2 ベースのワークロード用のオプションのパッチアドオンも提供します。
AMS Accelerate では、AMS Accelerate AWS アカウント を運用する対象、AMS Accelerate を運用する AWS リージョン、必要なアドオン、および必要なサービスレベルアグリーメント (SLAs) を決定します。詳細については、[「AMS Accelerate オペレーションプランの使用](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-what-is.html)」および[「サービスの説明](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)」を参照してください。
## AMS Advanced オペレーションプラン
AMS Advanced は、インフラストラクチャをプロビジョニング、実行、サポートするためのフルライフサイクルサービスを提供します。AMS Accelerate が提供する運用サービスに加えて、AMS Advanced には、ランディングゾーン管理、インフラストラクチャの変更とプロビジョニング、アクセス管理、エンドポイントセキュリティなどの追加サービスも含まれています。
AMS Advanced は、 AWS ワークロードを移行して AMS 運用サービスを受けるランディングゾーンをデプロイします。マネージドマルチアカウントランディングゾーンは、認証、セキュリティ、ネットワーク、ログ記録を容易にするために、 インフラストラクチャで事前設定されています。
AMS Advanced には、 AWS インフラストラクチャへの不正アクセスやリスクのある変更の実装を防止することでワークロードを保護する変更およびアクセス管理システムも含まれています。お客様は、AMS Advanced アカウントにほとんどの変更を実装するために、変更管理システムを使用して変更リクエスト (RFC) を作成する必要があります。セキュリティチームと運用チームによって事前に審査された自動変更のライブラリから RFCs を作成するか、AMS Advanced によって安全とサポートの両方されていると判断された場合は、運用チームによってレビューおよび実装された手動変更をリクエストします。
# AMS Accelerate オペレーションプランの使用
AMS Accelerate は、ワークロードをサポートする AWS インフラストラクチャを運用できる AMS 運用プランです。ワークロードが既に AWS アカウントにある場合も、新しいアカウントへの移行を計画している場合も、新しい移行を経験したり、ダウンタイムが発生したり、AWS の使用方法を変更したりすることなく、モニタリングとアラート、インシデント管理、セキュリティ管理、バックアップ管理などの AMS Accelerate 運用サービスを利用できます。AMS Accelerate は、定期的なパッチ適用を必要とする EC2 ベースのワークロード用のオプションのパッチアドオンも提供します。
AMS Accelerate を使用すると、すべての AWS サービスをネイティブに、または任意のツールで自由に使用、設定、デプロイできます。AMS は、チームのスケーリング、コストの最適化、セキュリティと効率の向上、回復力の向上に役立つ実証済みのプラクティスを一貫して適用しながら、既存のアクセスおよび変更メカニズムを引き続き使用できます。
AMS Accelerate は運用を簡素化できますが、アプリケーションの開発、デプロイ、テストとチューニング、管理は引き続きお客様の責任となります。AMS Accelerate は、インシデント、アラーム、修復、および一部のサービスリクエストの結果としてのみアカウントを変更します。AMS Accelerate は、ユーザーに代わってアカウントにリソースをプロビジョニングしません。AMS Accelerate は、アプリケーションに影響を与えるインフラストラクチャの問題のトラブルシューティングを支援しますが、AMS Accelerate は、ユーザーの知識と承認なしにアプリケーション設定にアクセスまたは検証しません。AMS Accelerate のサービスと変更は AWS コンソールと APIs で直接提供されるため、 AWS および利用可能な AWS Marketplace ソリューションで既存のアカウントを引き続き活用できます。AMS Accelerate はinfrastructure-as-codeを変更しませんが、運用およびセキュリティのベストプラクティスに従うために変更が必要なチームをガイドできます。 CloudFormation
# AMS の主要な用語
+ *AMS Advanced*: AMS Advanced ドキュメントの「サービスの説明」セクションで説明されているサービス。[「サービスの説明](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)」を参照してください。
+ *AMS アドバンストアカウント*: AMS アドバンストオンボーディング要件のすべての要件を満たしている AWS アカウント。AMS Advanced の利点、導入事例、販売担当者へのお問い合わせについては、[AWS Managed Services](https://aws.amazon.com/managed-services/)」を参照してください。
+ *AMS Accelerate Accounts*:AMS Accelerate オンボーディング要件のすべての要件を満たしている AWS アカウント。[「AMS Accelerate の開始方法](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/getting-started-acc.html)」を参照してください。
+ *AWS Managed Services*: AMS および/または AMS Accelerate。
+ *AWS Managed Servicesアカウント*: AMS アカウントおよび/または AMS Accelerate アカウント。
+ *重要な推奨事項*: リソースまたは に対する潜在的なリスクや中断から保護するためにアクションが必要であることを知らせるサービスリクエスト AWS を通じて によって発行された推奨事項 AWS のサービス。指定された日付までにクリティカルレコメンデーションに従わないことを決定した場合、その決定に起因する損害については、お客様が単独で責任を負います。
+ *お客様がリクエストした設定*: 以下で特定されていないソフトウェア、サービス、またはその他の設定。
+ Accelerate: [サポートされている設定](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html#supported-configs)または [AMS Accelerate、サービスの説明](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html)。
+ AMS Advanced: [サポートされている設定](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html#supported-configs)または [AMS Advanced、サービスの説明](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-sd.html)。
+ *インシデントコミュニケーション*: AMS は、AMS Accelerate 用サポートセンターおよび AMS 用 AMS コンソールで作成されたインシデントを介して、インシデントをユーザーに伝達するか、AMS でインシデントをリクエストします。AMS Accelerate コンソールには、ダッシュボードのインシデントとサービスリクエストの概要と、サポートセンターへのリンクが表示されます。
+ *マネージド環境*: AMS Advanced アカウントまたは AMS Accelerate アカウント。
AMS Advanced の場合、マルチアカウントランディングゾーン (MALZ) アカウントとシングルアカウントランディングゾーン (SALZ) アカウントが含まれます。
+ *請求開始日*: が AWS Managed Services オンボーディング E メールでリクエストされた情報 AWS を受信する翌営業日。AWS マネージドサービスのオンボーディング E メールとは、アカウントで AWS Managed Servicesアクティブ化するために必要な情報を収集するために から AWS に送信される E メールを指します。
後で登録されたアカウントの場合、請求開始日は、AWS Managed Services が登録済みアカウントの AWS Managed Services アクティベーション通知を送信した翌日です。AWS Managed Servicesアクティベーション通知は、次の場合に発生します。
1. 互換性のある AWS アカウントへのアクセスを許可し、AWS Managed Services に引き渡します。
1. AWS Managed Services は、AWS Managed Services アカウントを設計および構築します。
+ *サービスの終了*: サービスリクエストを通じて AWS 少なくとも 30 日間の通知を提供することで、すべての AWS Managed ServicesAWS Managed Servicesアカウント、または指定された AWS Managed Servicesサービスを終了できます。サービス終了日に、次のいずれかを実行します。
1. AWS 必要に応じて、すべての AWS Managed Servicesアカウントまたは指定された AWS Managed Servicesアカウントのコントロールをお客様に引き渡します。
1. 関係者は、必要に応じて、すべての AWS Managed Servicesアカウントまたは指定された AWS Managed Servicesアカウントから AWS アクセスを許可する AWS Identity and Access Management ロールを削除します。
+ *サービス終了日*: サービス終了日は、30 日間の必要な終了通知期間の終了後の暦月の最終日です。必要な終了通知期間の終了日が暦月の 20 日以降である場合、サービス終了日は翌月の最終日になります。終了日のシナリオの例を次に示します。
+ 終了通知が 4 月 12 日に提供された場合、30 日間の通知は 5 月 12 日に終了します。サービス終了日は 5 月 31 日です。
+ 終了通知が 4 月 29 日に提供された場合、30 日間の通知は 5 月 29 日に終了します。サービス終了日は 6 月 30 日です。
+ *AWS Managed Services:makes のプロビジョニング*を利用でき、サービス開始日から AWS Managed Services アカウントごとに AWS Managed Services にアクセスして使用できます。 AWS
+ *指定された AWS Managed Servicesアカウントの終了*: サービスリクエスト (AWS Managed Services 「AMS アカウント終了リクエスト」) を通じて AWS 通知を提供することで、何らかの理由で指定された AWS Managed Servicesアカウントに対して AWS マネージドサービスを終了できます。
**インシデント管理の条件**:
+ *イベント*: AMS 環境の変更。
+ *アラート*: サポートされている からのイベントがしきい値 AWS のサービス を超え、アラームをトリガーするたびに、アラートが作成され、連絡先リストに通知が送信されます。さらに、インシデントはインシデントリストに作成されます。
+ *インシデント*: AMS 環境または AWS Managed Services予期しない中断またはパフォーマンスの低下。AWS Managed Servicesまたはユーザーによって報告された影響をもたらします。
+ *問題*: 1 つ以上のインシデントの根本原因の共有。
+ *インシデントの解決*または*インシデントの解決*:
+ AMS が、そのインシデントに関連するすべての利用できない AMS サービスまたはリソースを利用可能な状態に復元した場合、または
+ AMS が、使用できないスタックまたはリソースを使用可能な状態に復元できないと判断した場合、または
+ AMS は、ユーザーによって承認されたインフラストラクチャの復元を開始しました。
+ *インシデント対応時間*: インシデントを作成するときと、AMS がコンソール、E メール、データセンター、または電話を使用して初期応答を提供するときの時間の差。
+ *インシデント解決時間*: AMS またはユーザーがインシデントを作成してからインシデントが解決されるまでの時間の差。
+ *Incident Priority*: インシデントが AMS によって、またはユーザーによって低、中、高のいずれかとして優先順位付けされる方法。
+ *低*: AMS サービスの重大ではない問題。
+ *中*: マネージド環境内の AWS サービスを利用できますが、意図したとおりに動作しません (該当するサービスの説明を参照)。
+ *高*: (1) AMS コンソール、またはマネージド環境内の 1 つ以上の AMS APIs が使用できない場合、または (2) マネージド環境内の 1 つ以上の AMS スタックまたはリソースが使用できず、使用不能によりアプリケーションが関数を実行できなくなる場合。
AMS は、上記のガイドラインに従ってインシデントを再分類することがあります。
+ *インフラストラクチャの復元*: 影響を受けたスタックのテンプレートに基づいて既存のスタックを再デプロイし、インシデント解決が不可能な場合に、ユーザーが特に指定しない限り、最後の既知の復元ポイントに基づいてデータ復元を開始します。
**インフラストラクチャ用語**:
+ *マネージド本番稼働環境*: 顧客の本番稼働用アプリケーションが存在する顧客アカウント。
+ *マネージド非本番環境*: 開発およびテスト用のアプリケーションなど、非本番アプリケーションのみを含むユーザーアカウント。
+ *AMS スタック*: AMS によって単一のユニットとして管理される 1 つ以上の AWS リソースのグループ。
+ *イミュータブルインフラストラクチャ*: Amazon EC2 Auto Scaling グループ (ASGs) に一般的なインフラストラクチャメンテナンスモデル。更新されたインフラストラクチャコンポーネント (AMI 内) は AWS、インプレースで更新されるのではなく、デプロイごとに置き換えられます。イミュータブルインフラストラクチャの利点は、すべてのコンポーネントが常に同じベースから生成されるため、同期状態のままであることです。イミュータビリティは、AMI を構築するためのツールやワークフローとは無関係です。
+ *ミュータブルインフラストラクチャ*: Amazon EC2 Auto Scaling グループではなく、単一のインスタンスまたは少数のインスタンスのみを含むスタックに一般的なインフラストラクチャメンテナンスモデル。このモデルは、ライフサイクルの開始時にシステムがデプロイされ、時間の経過とともに更新がシステムにレイヤー化される、従来のハードウェアベースのシステムデプロイに最も近いものです。システムの更新はインスタンスに個別に適用され、アプリケーションまたはシステムの再起動により (スタック設定に応じて) システムのダウンタイムが発生する可能性があります。
+ *セキュリティグループ*: インバウンドトラフィックとアウトバウンドトラフィックを制御するためのインスタンスの仮想ファイアウォール。セキュリティグループは、サブネットレベルでなくインスタンスレベルで動作します。したがって、VPC 内のサブネット内の各インスタンスには、異なるセキュリティグループのセットを割り当てることができます。
+ *サービスレベルアグリーメント (SLAs)*: 予想されるサービスのレベルを定義する AMS 契約の一部。
+ SLA *が使用*不可および*使用不可*:
+ ユーザーが送信した API リクエストがエラーになります。
+ 5xx HTTP レスポンスになるコンソールリクエスト (サーバーはリクエストを実行できません)。
+ AMS マネージドインフラストラクチャのスタックまたはリソースを構成する AWS のサービス サービスはすべて、[Service Health Dashboard](https://status.aws.amazon.com/) に示すように「サービス中断」の状態です。
+ AMS の除外から直接または間接的に生じる利用不能は、サービスクレジットの適格性を判断する際に考慮されません。サービスは、利用不可の基準を満たしていない限り、利用可能と見なされます。
+ *サービスレベル目標 (SLOs)*: AMS サービスの特定のサービス目標を定義する AMS 契約の一部。
**パッチ適用条件**:
+ *必須パッチ*: 環境またはアカウントのセキュリティ状態を損なう可能性のある問題に対処するための重要なセキュリティ更新プログラム。「Critical Security update」は、AMS がサポートするオペレーティングシステムのベンダーによって「Critical」と評価されるセキュリティ更新プログラムです。
+ *発表されたパッチとリリース*されたパッチ: パッチは通常、スケジュールに従って発表およびリリースされます。エマージェントパッチは、パッチの必要性が検出されたときに発表され、通常はその直後にパッチがリリースされます。
+ *パッチアドオン*: AWS Systems Manager (SSM) 機能を利用する AMS インスタンスのタグベースのパッチ適用。これにより、ベースラインと設定したウィンドウを使用してインスタンスにタグを付け、それらのインスタンスにパッチを適用できます。
+ *パッチメソッド*:
+ *インプレースパッチ適用: *既存のインスタンスを変更することで実行されるパッチ適用。
+ *AMI 置換パッチ適用*: 既存の EC2 Auto Scaling グループ起動設定の AMI リファレンスパラメータを変更することで実行されるパッチ適用。
+ *パッチプロバイダー* (OS ベンダー、サードパーティー): パッチは、アプリケーションのベンダーまたは管理機関によって提供されます。
+ *パッチタイプ*:
+ *CSU (Critical Security Update)*: サポートされているオペレーティングシステムのベンダーによって「Critical」と評価されたセキュリティ更新プログラム。
+ *重要な更新 (IU)*: サポートされているオペレーティングシステムのベンダーによって「重要」と評価されたセキュリティ更新プログラム、または「重要」と評価されたセキュリティ以外の更新プログラム。
+ *その他の更新 (OU)*: CSU または IU ではないサポートされているオペレーティングシステムのベンダーによる更新。
+ *サポートされているパッチ*: AMS はオペレーティングシステムレベルのパッチをサポートしています。アップグレードは、セキュリティの脆弱性やその他のバグを修正するため、またはパフォーマンスを向上させるために、ベンダーによってリリースされます。現在サポートされている OSs[「サポート設定](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sd.html#supported-configs)」を参照してください。
**セキュリティ条件**:
+ *Detective Controls*: AMS が作成または有効化したモニターのライブラリ。セキュリティ、運用、またはカスタマーコントロールと一致しない設定について、カスタマーマネージド環境とワークロードを継続的に監視し、所有者に通知したり、リソースをプロアクティブに変更または終了したりしてアクションを実行します。
**サービスリクエストの条件**:
+ *サービスリクエスト*: AMS がユーザーに代わって実行するアクションに対するユーザーによるリクエスト。
+ *アラート通知*: AMS アラートがトリガーされたときに AMS が**サービスリクエスト**リストページに投稿した通知。アカウントに設定された連絡先は、設定された方法 (E メールなど) からも通知されます。インスタンス/リソースに問い合わせタグがあり、タグベースの通知について Cloud Service Delivery Manager (CSDM) に同意している場合、タグの連絡先情報 (キー値) にも自動 AMS アラートが通知されます。
+ *サービス通知*: **サービスリクエスト**リストページに投稿される AMS からの通知。
**その他の用語**:
+ *AWS Managed Servicesインターフェイス*: AMS の場合: AWS Managed Servicesアドバンストコンソール、AMS CM API、 サポート および API。AMS Accelerate の場合: サポート コンソールと サポート API。
+ *顧客満足度 (CSAT)*: AMS CSAT には、提供されたすべてのケースまたはコレスポンデンスに関するケースコレスポンデンス評価、四半期ごとのアンケートなど、詳細な分析情報が提供されます。
+ *DevOps*: DevOps は、すべてのステップで自動化とモニタリングを強く推奨する開発手法です。DevOps は、自動化の基盤の上に開発と運用の従来の分離機能を組み合わせることで、開発サイクルの短縮、デプロイ頻度の向上、より信頼性の高いリリースを目指しています。デベロッパーがオペレーションを管理でき、オペレーションが開発を通知すると、問題や問題をより迅速に発見して解決し、ビジネス目標をより簡単に達成できます。
+ *ITIL*: Information Technology Infrastructure Library (ITIL) は、IT サービスのライフサイクルを標準化するために設計された ITSM フレームワークです。ITIL は、IT サービスのライフサイクルをカバーする 5 つの段階で構成されています。サービス戦略、サービス設計、サービス移行、サービス運用、サービス改善です。
+ *IT サービス管理 (ITSM)*: IT サービスをビジネスニーズに合わせる一連のプラクティス。
+ *Managed Monitoring Services (MMS)*: AMS は、独自のモニタリングシステムである Managed Monitoring Service (MMS) を運用します。これは、 AWS ヘルスイベントを消費し、Amazon CloudWatch データやその他のデータを集約し AWS のサービス、Amazon Simple Notification Service (Amazon SNS) トピックを通じて作成されたアラームを AMS オペレーター (オンライン 24 時間 365 日) に通知します。
+ *名前空間*: IAM ポリシーを作成するとき、または Amazon リソースネーム (ARNs) を操作するときに、名前空間 AWS のサービス を使用して を識別します。アクションとリソースを識別するときに名前空間を使用します。
# サービスの説明
AMS Accelerate は、 AWS インフラストラクチャのオペレーションを管理するための AWS Managed Services サービスのオペレーションプランです。
## AWS Managed Services (AMS) AMS Accelerate オペレーションプランの機能
AMS Accelerate には次の機能があります。
+ **インシデント管理**:
インシデント管理は、AMS サービスが報告されたインシデントに対応するために使用するプロセスです。
AMS Accelerate は、インシデントをプロアクティブに検出して対応し、チームの問題解決を支援します。 AWS サポートセンターを使用して、AMS Accelerate オペレーションエンジニアに 24 時間 365 日連絡できます。応答時間の SLAs、アカウントで選択した応答レベルによって異なります。
+ **モニタリング:**
モニタリングは、AMS サービスがリソースを追跡するために使用するプロセスです。
AMS Accelerate に登録されているアカウントは、ノイズを減らし、今後のインシデントの可能性を特定するために最適化された Amazon CloudWatch イベントとアラームのベースラインデプロイで設定されます。アラートを受け取った後、AMS チームは自動修復、人員、プロセスを使用してリソースを正常な状態に戻し、必要に応じてチームと協力して、動作とその防止方法に関する学習に関するインサイトを提供します。修復に失敗すると、AMS はインシデント管理プロセスを開始します。デフォルトの設定ファイルを更新することで、ベースラインを変更できます。
+ **のセキュリティ**
セキュリティ管理は、AMS サービスがリソースを保護するために使用するプロセスです。AWS Managed Services、 AWS Config ルールや Amazon GuardDuty などの複数のコントロールを使用して、情報アセットを保護し、AWS インフラストラクチャの安全性を維持するのに役立ちます。
AMS Accelerate は、 AWS Config ルール および 修復アクションのライブラリを維持し、すべてのアカウントがセキュリティと運用の整合性に関する業界標準に準拠していることを確認します。 は、記録されたリソース間の設定変更 AWS Config ルール を継続的に追跡します。変更がルール条件に違反すると、AMS は調査結果を報告し、違反の重大度に応じて、違反を自動またはリクエストで修正できるようにします。 は、Center for Internet Security (CIS)、米国国立標準技術研究所 (NIST) クラウドセキュリティフレームワーク (CSF)、医療保険の相互運用性と説明責任に関する法律 (HIPAA)、および Payment Card Industry (PCI) Data Security Standard (DSS) によって設定された標準への準拠 AWS Config ルール を促進します。
さらに、AMS Accelerate は Amazon GuardDuty を活用して、AWS 環境で不正または悪意のある可能性のあるアクティビティを特定します。GuardDuty の検出結果は、AMS によって 24 時間 365 日モニタリングされます。AMS はお客様と協力して、ベストプラクティスの推奨事項に基づいて検出結果と修復の影響を理解します。AMS は、個人健康情報 (PHI)、個人を特定できる情報 (PII)、財務データなどの機密データを保護するために Amazon Macie もサポートしています。最後に、AMS はマネージドアカウントで生成されたすべての Amazon Route 53 Resolver **ALERT** イベントと **BLOCK** イベントをモニタリングしてトリアージし、ネットワークトラフィックをさらに検査して検出機能を強化します。
+ **パッチ管理**:
パッチ管理は、AMS サービスがリソースを更新するために使用するプロセスです。
パッチアドオンを使用する AWS アカウントの場合、AWS Managed Services は、選択したメンテナンスウィンドウ中に、サポートされているオペレーティングシステムの Amazon EC2 インスタンスにベンダーの更新を適用してインストールします。AMS は、パッチ適用前にインスタンスのスナップショットを作成し、パッチのインストールをモニタリングして、結果を通知します。パッチが失敗した場合、AMS は失敗を調査し、問題を修正するための一連のアクションを推奨します。または、AMS はリクエストに応じてインスタンスをロールバックに復元します。AMS は、パッチコンプライアンスカバレッジのレポートを提供し、ビジネスに推奨される一連のアクションについてアドバイスします。
+ **バックアップ管理**:
AMS はバックアップ管理を使用してリソースのスナップショットを作成します。
AWS Managed Services は、 でサポートされている AWS サービスのスナップショットを作成、モニタリング、保存します AWS Backup。バックアップスケジュール、頻度、保持期間を定義するには、アカウントとアプリケーションのオンボーディング中に AWS Backup プランを作成します。計画をリソースに関連付けます。AMS はすべてのバックアップジョブを追跡し、バックアップジョブが失敗すると、修復を実行するようにチームに警告します。AMS はスナップショットを活用して、必要に応じてインシデント中に復元アクションを実行します。AMS には、バックアップカバレッジレポートとバックアップステータスレポートが用意されています。
+ **問題管理**:
AMS は傾向分析を実行して、問題を特定して調査し、根本原因を特定します。問題は、回避策または同様の将来のサービスへの影響の再発を防ぐ永続的なソリューションで修正されます。インシデント後レポート (PIR) は、解決時に「高」インシデントに対してリクエストされる場合があります。PIR は、根本原因と、予防策の実装など、実行された予防策をキャプチャします。
+ **指定されたエキスパート**:
AMS Accelerate は、Cloud Service Delivery Manager (CSDM) と Cloud Architect (CA) も指定し、組織と連携して運用とセキュリティの優秀性を推進します。CSDM と CA は、AMS Accelerate の設定時とオンボーディング後のガイダンスを提供し、運用メトリクスの月次レポートを提供し、AWS Cost Explorer、コストと使用状況レポート、 などのツールを使用して潜在的なコスト削減を特定します Trusted Advisor。
+ **オペレーションツール**:
AMS Accelerate は、AWS のワークロードのインフラストラクチャに対して継続的なオペレーションを提供できます。当社のパッチ、バックアップ、モニタリング、インシデント管理サービスは、リソースにタグを付けること、および AWS Systems Manager (SSM) エージェントと CloudWatch エージェントを SSM および Amazon CloudWatch サービスとやり取りすることを許可する IAM インスタンスプロファイルを使用して Amazon EC2 インスタンスにインストールおよび設定することに依存します。AMS Accelerate には、ルールに基づいてリソースにタグを付けるのに役立つ Resource Tagger や、Amazon EC2 インスタンスに必要なエージェントをインストールするための自動インスタンス設定などのツールが用意されています。イミュータブルなインフラストラクチャプラクティスに従っている場合は、コンソールまたは infrastructure-as-code テンプレートで直接前提条件を完了できます。
+ **コストの最適化**:
AMS Resource Scheduler は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Relational Database Service (Amazon RDS) インスタンス、Amazon EC2 Auto Scaling グループの開始と停止を自動化します。AMS Resource Scheduler は、使用されていないリソースを停止し、容量が必要な場合にリソースを再開することで、運用コストを削減するのに役立ちます。
+ **ログ記録とレポート**:
AWS Managed Services は、CloudWatch CloudTrail 、Amazon VPC フローログのオペレーションの結果として生成されたログを集約して保存します。AMS からのログ記録は、インシデントの迅速な解決とシステム監査に役立ちます。AMS Accelerate は、エグゼクティブサマリーとインサイト、運用メトリクス、マネージドリソース、AMS サービスレベルアグリーメント (SLA) の遵守、支出、削減、コスト最適化に関する財務メトリクスなど、AMS の主要なパフォーマンスメトリクスをまとめた月次サービスレポートも提供します。レポートは、指定された AMS Cloud Service Delivery Manager (CSDM) によって配信されます。
+ **サービスリクエスト管理**:
マネージド環境、AMS、または AWS サービス提供に関する情報をリクエストするには、AMS Accelerate コンソールを使用してサービスリクエストを送信します。サービス AWS や機能に関する「方法」の質問、または追加の AMS サービスをリクエストするためのサービスリクエストを送信できます。
AMS Accelerate のすべてのお客様は、インシデント管理、モニタリング、セキュリティモニタリング、ログ記録、前提条件ツール、バックアップ管理、レポート機能から始めます。AMS パッチ管理アドオンは追加料金で追加できます。
**注記**
でサポートされていない機能のリストについては AWS GovCloud (US)、「 の [AMS Accelerate の違い」を参照してください。 AWS GovCloud (US)](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-ams-acc.html)
## サポートされている設定
AMS Accelerate は、次の設定をサポートしています。
+ 言語: 英語。
+ リージョン: リージョンAWS Managed Servicesサービスでサポートされている[AWS リージョン](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) AWS 」を参照してください。
**注記**
2019 年 3 月 20 日より前に導入された AWS リージョンは「元の」リージョンと見なされ、デフォルトで有効になっています。この日付以降に導入されたリージョンは「オプトイン」リージョンであり、デフォルトでは無効になっています。アカウントが複数のリージョンを使用していて、デフォルトのリージョンとして「オプトイン」リージョンが有効になっているアカウントに AMS Accelerate をオンボードする場合、AMS レポート機能はそのリージョンでのみ使用できます。デフォルトのリージョンを設定しない場合、最後にアクセスしたリージョンがデフォルトのリージョンになります。
リージョンを有効にするには、[「リージョンの有効化](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)」を参照してください。デフォルトのリージョンを設定するには、[「リージョンの選択](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)」を参照してください。各リージョンのオプトインステータスのリストについては、*「Amazon Elastic Compute Cloud ユーザーガイド*」の[「利用可能なリージョン](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions)」を参照してください。
+ オペレーティングシステムアーキテクチャ (x86-64 または ARM64): [Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/prereqs-operating-systems.html) と [CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) の両方でサポートされている 。
+ サポートされるオペレーティングシステム
+ AlmaLinux 8.3-8.9、9.x (AlmaLinux は x86 アーキテクチャでのみサポートされています)
+ Amazon Linux 2023
+ Amazon Linux 2 (**2026 年 6 月 30 日に予定されている AMS サポート終了日**)
+ Oracle Linux 9.x、8.x
+ Red Hat Enterprise Linux (RHEL) 9.x、8.x
+ SUSE Linux Enterprise Server 15 SP6
+ SUSE Linux Enterprise Server for SAP 15 SP3 以降
+ Microsoft Windows Server 2022、2019、2016
+ Ubuntu 20.04、22.04、24.04
+ サポートされているサポート終了 (EOS) オペレーティングシステム:
**注記**
サポート終了 (EOS) オペレーティングシステムは、オペレーティングシステム製造元の一般的なサポート期間外であり、セキュリティリスクが増加しています。EOS オペレーティングシステムは、AMS が必要とするエージェントがオペレーティングシステムをサポートしている場合にのみ、サポートされている設定と見なされます。
更新を受信できるオペレーティングシステムベンダーのサポートが延長されている、または
EOS OS を使用するインスタンスは、「 Accelerate ユーザーガイド」の「AMS」で指定されている[セキュリティコントロール](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/key-terms.html#CritRec)に従います。
AMS が必要とするその他の補償セキュリティコントロールに準拠していること。
AMS が EOS OS をサポートできなくなった場合、AMS はオペレーティングシステムをアップグレードするための[重要な推奨事項](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/key-terms.html#CritRec)を発行します。
AMS に必要なエージェントには、Amazon CloudWatch AWS Systems Manager、Endpoint Security (EPS) エージェント、Active Directory (AD) Bridge (Linux のみ) が含まれますが、これらに限定されません。
+ Ubuntu Linux 18.04
+ SUSE Linux Enterprise Server 15 SP3, SP4、および SP5
+ SAP 15 SP2 用 SUSE Linux Enterprise Server
+ SUSE Linux Enterprise Server 12 SP5
+ SAP 12 SP5 用 SUSE Linux Enterprise Service
+ Microsoft Windows Server 2012/2012 R2
+ Red Hat Enterprise Linux (RHEL):7.x
+ Oracle Linux 7.5~7.9
+ AWS Control Tower を使用してマルチアカウント環境を管理する場合は、 Accelerate との互換性 AWS Control Tower のために の最新バージョンを実行していることを確認してください。2.7 より前の AWS Control Tower バージョン (2021 年 4 月にリリース) を使用する環境はサポートされていません。更新方法については AWS Control Tower、[「ランディングゾーンの更新](https://docs.aws.amazon.com/controltower/latest/userguide/update-controltower.html)」を参照してください。
## サポートされる サービス
AWS Managed Services は、以下のサービスの運用管理サポート AWS サービスを提供します。各 AWS サービスは異なるため、AMS の運用管理サポートのレベルは、基盤となる AWS サービスの性質と特性によって異なります。次のリストでサポート対象として明示的に特定されていないソフトウェアまたはサービスに対して AWS Managed Servicesによるサービスの提供をリクエストした場合、お客様がリクエストした設定で提供される AWS Managed Services、サービス条件の下で「ベータサービス」として扱われます。
+ インシデント: すべての AWS サービス
+ サービスリクエスト: すべての AWS サービス
+ パッチ適用: Amazon EC2
+ バックアップと復元: で AWS のサービス サポートされているすべて AWS Backup。でサポートされているサービスのリストについては AWS Backup、[AWS Backup 「サポートされているリソース](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html#supported-resources)」を参照してください。
+ Resource Scheduler: Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Amazon Relational Database Service (Amazon RDS)、Amazon EC2 Auto Scaling グループ
+ 運用イベントでモニタリング[されるサービス: サポートされているチェック](tr-supported-checks.md)と Trusted Advisor、Application Load Balancer、Aurora、Amazon EC2、Elastic Load Balancing、Amazon FSx for NetApp ONTAP、Amazon FSx for Windows File Server、NAT ゲートウェイ (ネットワークアドレス変換 (NAT) サービス)、OpenSearch、Amazon Redshift Health Dashboard、Amazon Relational Database Service (Amazon RDS)、Site-to-Site VPN。AMS Accelerate がサービスの一部としてモニタリングしている内容の詳細については、[「AMS のベースラインモニタリングからのアラート](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/monitoring-default-metrics.html)」を参照してください。
+ セキュリティ Config Rules: AWS Account によってモニタリングされるサービス GuardDuty、 Macie、 Amazon API Gateway、 AWS Certificate Manager AWS Config、 CloudTrail、 CloudWatch、 AWS CodeBuild、 AWS Database Migration Service、 Amazon DynamoDB、 Amazon EC2、 Amazon ElastiCache、 Amazon Elastic Block Store (Amazon EBS) Amazon Elastic File System (Amazon EFS) Amazon Elastic Kubernetes Service (Amazon EKS) Elastic Load Balancing、 Amazon OpenSearch Service、 Amazon EMR、 AWS Identity and Access Management (IAM) AWS Key Management Service、、 AWS Lambda、 Amazon Redshift、 Amazon Relational Database Service、 Amazon S3、 Amazon SageMaker AI、 AWS Secrets Manager 、 Amazon Simple Notification Service、 AWS Systems Manager、 Amazon VPC (セキュリティグループ、 ボリューム、 Elastic IP アドレス、 VPN 接続、 インターネットゲートウェイ)、 Amazon VPC フローログ。詳細については、「[Accelerate の設定コンプライアンス](acc-sec-compliance.md)」および「[Accelerate でのデータ保護](acc-sec-data-protect.md)」を参照してください。追加の AMS セキュリティ情報は AWS Artifact、AWS Managed Services の**レポート**タブからアクセスできるプライベートセキュリティガイドで確認できます。
**注記**
AMS Accelerate for the Middle East (UAE) リージョンは、次の表に示すように、一連の範囲内の機能をサポートしています。このリージョンの AMS アカウントコンソールとインスタンスへのアクセスは、インバウンドサービスリクエストトリガーによってのみ駆動されます。中東 (UAE) リージョンでの Accelerate の可用性の詳細については、アカウントマネージャーまたは AWS Cloud Service Delivery Manager (CSDM) にお問い合わせください。
| 中東 (UAE) リージョンの AMS Accelerate スコープ内機能 | 機能の説明 |
| --- | --- |
| インシデント管理 | AMS は、チームが問題を解決するのに役立つインシデント対応とサポートを提供します。AMS がインシデント管理を支援するには、サービスリクエストを送信する必要があります。AMS は、このリージョンのインシデントをプロアクティブに検出または対応しません。 |
| モニタリング | サービスリクエストを受け取った後、AMS はリソースの修復を支援できます。AMS は自動修復、人員、プロセスを使用して、リソースを正常な状態に戻します。AMS は、このリージョンのベースライン CloudWatch イベントとアラームを設定しません。既存のモニタリングツールがある場合は、Cloud Architect (CA) と CSDM の評価に基づいて、リソースのプロアクティブ追跡が利用できる場合があります。 |
| セキュリティ | サービスリクエストを受け取った後、AMS はセキュリティ問題の修復を支援できます。AMS は、 AWS Config ルール や GuardDuty などのセキュリティコントロールをデプロイしたり、このリージョンのセキュリティ検出結果をモニタリングしたりしません。既存のセキュリティツールがある場合は、CA と CSDM の評価に基づいてプロアクティブセキュリティモニタリングが利用できる場合があります。 |
| パッチ管理 | AMS は、選択したメンテナンスウィンドウ中にサポートされているオペレーティングシステムの Amazon EC2 インスタンスにベンダー更新を適用し、事前パッチスナップショットを作成できます。AMS がパッチ管理を支援するには、サービスリクエストを送信する必要があります。AMS パッチ通知とレポートは、このリージョンでは使用できません。 |
| バックアップ管理 | AMS は、 で AWS のサービス サポートされている のスナップショットを作成および保存し AWS Backup、バックアップ修復を支援できます。AMS がバックアップ管理を支援するには、サービスリクエストを送信する必要があります。AMS はこのリージョンのバックアップジョブを追跡しません。 |
| 指定されたエキスパート | AMS は、Cloud Architect (CA) と Cloud Service Delivery Manager (CSDM) を指定して、お客様の組織と提携し、運用とセキュリティの優秀性を推進します。 |
| サービスリクエスト管理 | マネージド環境、AMS、または AWS のサービス サービスに関する情報をリクエストするには、AMS Accelerate コンソールからサービスリクエストを送信します。この表で説明するように、 および 機能に関する AWS のサービス 「方法」の質問、またはこのリージョンで利用可能な AMS サービスをリクエストするためのサービスリクエストを送信できます。 |
## 役割と責任
AMS Accelerate は、責任、説明責任、相談、情報、または RACI マトリックスに、さまざまなアクティビティについて顧客または AMS に主な責任を割り当てます。この表では、お客様の責任 (「お客様」) と当社の責任 (「AMS Accelerate」) について説明しています。
このセクションでは、AMS がアカウントに変更を加えることが許可されている特定の状況と、AMS が行うことができないいくつかのタイプの変更を[AMS Accelerate によって実行される変更の範囲](#acc-scope-changes)一覧表示します。
### AMS Accelerate RACI マトリックス
AMS Accelerate は AWS インフラストラクチャを管理します。次の表は、マネージド環境内で実行されているアプリケーションのライフサイクルにおけるアクティビティに関する、お客様と AMS Accelerate の役割と責任の概要を示しています。
+ **R** は、タスクを達成するために作業を行う責任者を表します。
+ **C** は「Consulted」の略で、通常は対象分野の専門家として意見を求められ、二国間通信を行う当事者です。
+ **** 「Informed」の略です。多くの場合、タスクの完了時にのみ進行状況が通知されます。
**注記**
一部のセクションには、AMS とお客様の両方に「R」が含まれています。これは、 責任 AWS 共有モデルでは、AMS と顧客の両方がインフラストラクチャとアプリケーションの問題に対処するために共同所有権を持っているためです。
| **アクティビティ** | **お客様** | **AWS Managed Services (AMS)** |
| --- | --- | --- |
| **AMS パターン** |
| 新しいパターンを作成する | I | R |
| パターンのデプロイとカスタマイズ | R | C、I |
| パターンのテストと削除 | R | I |
| **アプリケーションのライフサイクル** |
| アプリケーション開発 | R | I |
| アプリケーションインフラストラクチャの要件、分析、設計 | R | I |
| アプリケーションのデプロイ | R | I |
| AWS リソースのデプロイ | R | I |
| アプリケーションのモニタリング | R | I |
| アプリケーションのテスト/最適化 | R | I |
| アプリケーションの問題のトラブルシューティングと解決 | R | I |
| 問題のトラブルシューティングと解決 | R | I |
| AWS インフラストラクチャでサポートされているモニタリング | C | R |
| AWS ネットワーク問題のインシデント対応 | C | R |
| AWS リソースの問題のインシデント対応 | C | R |
| **マネージドアカウントのオンボーディング** |
| AMS チームおよびツールの AWS マネージドアカウントへのアクセス権を付与する | R | C |
| アカウントまたは環境に変更を実装して、アカウントにツールをデプロイできるようにします。例えば、サービスコントロールポリシー (SCPsの変更 | R | C |
| EC2 インスタンスに SSM エージェントをインストールする | R | C |
| AMS サービスを提供するために必要なツールをインストールして設定します。例えば、CloudWatch エージェント、パッチ適用用のスクリプト、アラーム、ログなど | I | R |
| AMS エンジニアのアクセスとアイデンティティのライフサイクルを管理する | I | R |
| AMS サービスを設定するために必要なすべての入力を収集します。例えば、パッチメンテナンスウィンドウの期間、スケジュール、ターゲットなど | R | I |
| AMS サービスの設定をリクエストし、必要な入力をすべて提供する | R | I |
| お客様からのリクエストに従って AMS サービスを設定します。例えば、パッチメンテナンスウィンドウ、リソースタガー、アラームマネージャーなど | C | R |
| AWS アカウントとインスタンスへのアクセスに使用されるローカルディレクトリサービスのユーザーとそのアクセス許可のライフサイクルを管理する | R | I |
| リザーブドインスタンスの最適化を推奨 | I | R |
| 信頼できる修復者にアカウントをオンボードする (複数可) | C、I | R |
| **パッチ管理** |
| パッチメンテナンスウィンドウ、パッチベースライン、ターゲットを設定するために必要なすべての入力を収集する | R | I |
| パッチメンテナンスウィンドウとベースラインの設定をリクエストし、必要なすべての入力を提供する | R | I |
| お客様からのリクエストに応じて、パッチメンテナンスウィンドウ、パッチベースライン、ターゲットを設定する | C | R |
| EC2 インスタンスでサポートされている OS およびサポートされている OS がプリインストールされたソフトウェアに対する該当する更新をモニタリングする | I | R |
| サポートされている OS とメンテナンスウィンドウのカバレッジに対する更新の欠落に関するレポート | I | R |
| 更新を適用する前にインスタンスのスナップショットを作成する | I | R |
| 顧客設定ごとに EC2 インスタンスに更新を適用する | I | R |
| EC2 インスタンスへの失敗した更新を調査する | C | R |
| Auto Scaling グループ (ASGs) の AMIs とスタックを更新する | R | C |
| Windows オペレーティングシステム、および Windows Update によって管理されるオペレーティングシステムにインストールされている Microsoft パッケージにパッチを適用する | I | R |
| Windows Update で管理されていないインストール済みアプリケーション、ソフトウェア、またはアプリケーションの依存関係にパッチを適用する | R | I |
| Linux オペレーティングシステムと、オペレーティングシステムのネイティブパッケージマネージャー (Yum、Apt、Zypper など) による管理が有効になっているパッケージにパッチを適用します。 | I | R |
| Linux オペレーティングシステムのネイティブパッケージマネージャーによって管理されていない、インストールされているアプリケーション、ソフトウェア、またはアプリケーションの依存関係にパッチを適用する | R | I |
| **バックアップ** |
| バックアッププランとターゲットリソースを設定するために必要なすべての入力を収集する | R | I |
| Backup プランの設定をリクエストし、必要なすべての入力を提供する | R | I |
| お客様からのリクエストに応じてバックアッププランとターゲットを設定する | C | R |
| バックアップスケジュールとターゲットリソースを指定する | R | I |
| プランごとにバックアップを実行する | I | R |
| 失敗したバックアップジョブを調査する | I | R |
| バックアップジョブのステータスとバックアップカバレッジのレポート | I | R |
| バックアップの検証 | R | I |
| インシデント管理の一環として、サポートされている AWS サービスリソースのリソースのバックアップ復元をリクエストする | R | I |
| サポートされている AWS サービスのリソースのバックアップ復元アクティビティを実行する | I | R |
| 影響を受けるカスタムアプリケーションまたはサードパーティーアプリケーションを復元する | R | I |
| **ネットワーク** |
| マネージドアカウント VPCs、IGWs、直接接続、およびその他の AWS ネットワークサービスのプロビジョニングと設定 | R | I |
| マネージドアカウント内で AWS セキュリティGroups/NAT/NACL を設定して運用する | R | I |
| 顧客ネットワーク内のネットワーク設定と実装 (DirectConnect など) | R | I |
| AWS ネットワーク内のネットワーク設定と実装 | R | I |
| セキュリティグループを含むネットワークセキュリティについて AMS で定義されるモニタリング | I | R |
| ネットワークレベルのログ記録の設定と管理 (VPC フローログなど) | I | R |
| **ログ記録** |
| すべてのアプリケーション変更ログを記録する | R | I |
| AWS インフラストラクチャ変更ログを記録する | I | R |
| AWS 監査証跡を有効にして集約する | I | R |
| AWS リソースからログを集約する | I | R |
| **モニタリングと修復** |
| アラームマネージャー、リソースタガー、アラームしきい値を設定するために必要なすべての入力を収集する | R | I |
| アラームマネージャーの設定をリクエストし、必要な入力をすべて提供する | R | I |
| お客様のリクエストに応じて、アラームマネージャー、リソースタガー、アラームしきい値を設定します。 | C | R |
| 顧客設定ごとに AMS CloudWatch ベースラインメトリクスとアラームをデプロイする | I | R |
| ベースライン CloudWatch メトリクスとアラームを使用してサポートされている AWS リソースをモニタリングする | I | R |
| AWS リソースからのアラートを調査する | C | R |
| 定義された設定に基づいてアラートを修正するか、インシデントを作成します。 | I | R |
| 顧客固有のモニターを定義、モニタリング、調査する | R | I |
| アプリケーションモニタリングからのアラートの調査 | R | C |
| 修復の Trusted Advisor チェックを設定する | R | C |
| サポートされている Trusted Advisor チェックを自動的に修正する | I | R |
| サポートされている Trusted Advisor チェックを手動で修正する | R | C |
| レポート修復ステータス | I | R |
| 修復失敗のトラブルシューティング | R | C |
| **セキュリティアーキテクチャ** |
| セキュリティの問題と潜在的な脅威について AMS リソースとコードを確認する | I | R |
| AMS リソースとコードにセキュリティコントロールを実装してセキュリティリスクを軽減する | I | R |
| アカウントとその AWS リソースのセキュリティ管理のためにサポートされている AWS サービスを有効にする | I | R |
| AMS エンジニアのアカウントと OS アクセスの特権認証情報を管理する | I | R |
| **セキュリティリスク管理** |
| GuardDuty や Macie など、セキュリティ管理のためにサポートされている AWS サービスをモニタリングする | I | R |
| AMS で定義された Config ルールを定義して作成し、AWS リソースが Center for Internet Security (CIS) と NIST セキュリティのベストプラクティスに準拠しているかどうかを検出します。 | I | R |
| AMS で定義された Config ルールをモニタリングする | I | R |
| Config ルールの適合ステータスを報告する | I | R |
| 必要な Config ルールのリストを定義して修正する | I | R |
| AMS で定義された Config ルールの修正の影響を評価する | R | I |
| AWS アカウントで AMS で定義された Config ルールの修正をリクエストする | R | I |
| AMS で定義された Config ルールから除外されるリソースを追跡する | R | I |
| AWS アカウントでサポートされている AMS 定義 Config ルールを修正する | C | R |
| AWS アカウントでサポートされていない AMS 定義の Config ルールを修正する | R | I |
| 顧客固有の Config ルールを定義、モニタリング、調査する | R | I |
| **インシデント管理** |
| AWS リソースで AMS によって検出されたインシデントについて通知する | I | R |
| AWS リソース内のインシデントを通知する | R | I |
| モニタリングに基づいて AWS リソースのインシデントを通知する | I | R |
| アプリケーションのパフォーマンスの問題と停止に対処する | R | I |
| インシデントの優先度を分類する | I | R |
| インシデント対応を提供する | I | R |
| 利用可能なバックアップを使用して、リソースのインシデント解決またはインフラストラクチャの復元を提供する | C | R |
| **セキュリティインシデント対応 – 準備** |
| **通信** |
| セキュリティイベント通知とセキュリティエスカレーション中に使用する AMS の顧客セキュリティ連絡先の詳細を提供および更新する | R | I |
| セキュリティイベントやセキュリティエスカレーション中に使用する、提供された顧客セキュリティ連絡先の詳細を保存および管理します。 | C | R |
| **トレーニング** |
| インシデント対応プロセス中に AMS をサポートするドキュメントを顧客に提供する | I | R |
| セキュリティのゲームデーを通じて、インシデント対応プロセス中に責任共有を実践する | R | R |
| **リソース管理** |
| アラート、アラート相関、ノイズ削減、その他のルール AWS のサービス に対してサポートされているセキュリティ管理を設定する | I | R |
| 各アセットの価値とビジネスにとっての重要性の詳細を含め、 AWS リソース (Amazon EC2、Amazon S3 など) の包括的なインベントリを維持します。この情報は、効果的な封じ込め戦略を決定するのに役立ちます。 | R | C |
| AWS タグを使用してリソースとワークロードを識別する | R | C |
| ログの保持とアーカイブを定義および設定する | I | R |
| AWS アカウント、サービス、アクセス管理に関する組織のセキュリティポリシーと設定を定義して適用することで、安全なベースラインを確立する | R | I |
| **セキュリティインシデント対応 - 検出** |
| **ログ記録、インジケータ、モニタリング** |
| インスタンスとアカウントのイベント管理を有効にするようにログ記録とモニタリングを設定する | I | R |
| セキュリティアラート AWS のサービス でサポートされているモニタリング | I | R |
| エンドポイントセキュリティツールのデプロイと管理 | R | I |
| エンドポイントセキュリティを使用してインスタンスのマルウェアをモニタリングする | R | I |
| アウトバウンドメッセージングを通じて検出されたイベントを顧客に通知する | I | R |
| 社内のステークホルダーとのコミュニケーションとリーダーシップの更新を調整して、対応時間を改善する | R | I |
| AMS 標準検出サービス (Amazon GuardDuty や など AWS Config) の定義、デプロイ、保守 | C | R |
| AWS インフラストラクチャ変更ログを記録する | R | I |
| ログ記録、モニタリングを有効にして設定し、アプリケーションのイベント管理を有効にする | R | C |
| サポートされている AWS セキュリティサービス (Amazon GuardDuty など) で許可リスト、拒否リスト、カスタム検出を実装して維持する | R | R |
| **セキュリティイベントレポート** |
| 疑わしいアクティビティまたはアクティブなセキュリティ調査を AMS に通知する | R | I |
| 検出されたセキュリティイベントとインシデントを顧客に通知する | I | R |
| セキュリティインシデント対応プロセスをトリガーする可能性のある計画されたイベントを通知する | R | I |
| **セキュリティインシデント対応 - 分析** |
| **調査と分析** |
| サポートされている検出ソースによって生成されたサポートされているセキュリティアラートの初期レスポンスを実行する | I | R |
| 利用可能なデータを使用して誤検出/真陽性を評価する | R | R |
| 必要に応じて、影響を受けるインスタンスのスナップショットを生成して顧客と共有します。 | I | R |
| 保管チェーン、ファイルシステム分析、メモリフォレンジック、バイナリ分析などのフォレンジックタスクを実行する | R | C |
| 調査に役立つアプリケーションログを収集する | R | I |
| セキュリティアラートの調査に役立つデータとログの収集 | R | R |
| セキュリティ調査 AWS のサービス に 内の SMEs を関与させる | C | R |
| 調査中にサポートされている から AWS のサービス 顧客に調査ログを共有する | I | R |
| **通信** |
| マネージドリソースの AMS 検出ソースからアラートと通知を送信する | I | R |
| アプリケーションセキュリティイベントのアラートと通知を管理する | R | I |
| セキュリティインシデントの調査中に顧客のセキュリティ担当者を関与させる | R | I |
| **セキュリティインシデント対応 - 含む** |
| **封じ込め戦略と実行** |
| リスクを評価して封じ込め戦略を決定し、潜在的なサービスへの影響を認識する | R | C |
| 影響を受けるシステムのバックアップを作成してさらに分析する | I | R |
| アプリケーションとワークロードを含める (アプリケーション固有の設定またはレスポンスアクティビティ経由) | R | C |
| セキュリティインシデントと影響を受けるリソースに基づいて封じ込め戦略を定義する | I | R |
| 影響を受けるシステムのポイントインタイムバックアップの暗号化と安全なストレージを有効にする | C | R |
| EC2 インスタンス、ネットワーク、IAM などの AWS リソースに対してサポートされている封じ込めアクションを実行する | I | R |
| **セキュリティインシデント対応 - 根絶** |
| **根絶戦略と実行** |
| セキュリティインシデントとお客様のアプリケーションワークロードで影響を受けるリソースに基づいて根絶オプションを定義する | C | R |
| 合意された根絶戦略、根絶実行のタイミング、結果を決定する | R | I |
| AMS マネージドワークロードのセキュリティインシデントと影響を受けるリソースに基づいて根絶ステップを定義する | C | R |
| EC2 インスタンス、ネットワーク、IAM 根絶などの脅威を根絶し、 AWS リソースを強化する | R | C |
| 脅威を根絶し、アプリケーションとワークロードを強化する (アプリケーション固有の設定またはレスポンスアクティビティを使用) | R | I |
| **セキュリティインシデント対応 - 復旧** |
| **復旧の準備と実行** |
| お客様からのリクエストに応じてバックアッププランとターゲットを設定する | I | R |
| AMS マネージドワークロードを復元するためのバックアッププランを確認する | R | I |
| サポートされている のリソースのバックアップ復元アクティビティを実行する AWS のサービス | I | R |
| お客様のアプリケーション、APP 設定、デプロイ設定をバックアップし、インシデント後にお客様のアプリケーションとワークロードを復元するためのバックアッププランを確認する | R | I |
| アプリケーションとお客様のワークロードを復元する (アプリケーション固有の復元ステップによる) | R | I |
| **セキュリティインシデント対応 – インシデント後レポート** |
| **インシデント後レポート** |
| 必要に応じて、学んだ適切な教訓とアクション項目を顧客のインシデント後に共有する | I | R |
| **問題管理** |
| インシデントを関連付けて問題を特定する | I | R |
| 問題の根本原因分析 (RCA) を実行する | I | R |
| 問題の修正 | I | R |
| アプリケーションの問題を特定して修正する | R | I |
| **サービス管理** |
| サービスリクエストを使用した情報のリクエスト | R | I |
| サービスリクエストへの返信 | I | R |
| コスト最適化に関する推奨事項を提供する | I | R |
| 毎月のサービスレポートの準備と配信 | I | R |
| **変更管理** |
| マネージド環境でリソースをプロビジョニングおよび更新するための変更管理プロセスとツール | R | I |
| アプリケーション変更カレンダーのメンテナンス | R | I |
| 今後のメンテナンスウィンドウの通知 | R | I |
| AMS オペレーションによって行われた変更を記録する | I | R |
| **コスト最適化** |
| Resource Scheduler を設定するために必要なすべての入力を収集する | R | I |
| Resource Scheduler のオンボーディング、設定をリクエストし、必要なすべての入力を提供する | R | I |
| 顧客設定ごとに Resource Scheduler をデプロイする | C、I | R |
| カスタマーアカウントで Resource Scheduler を無効化および有効化する | R | C |
| スケジュールの作成、削除、説明、更新 | C | R |
| 期間の作成、削除、説明、更新 | C | R |
| Resource Scheduler の問題の調査とトラブルシューティング | I | R |
| Resource Scheduler のオフボードのリクエスト | R | I |
| Resource Scheduler をアカウントからオフボードする | C、I | R |
## AMS Accelerate によって実行される変更の範囲
AMS Accelerate は、次に説明する特定の目的と状況に対してのみ変更を行います。AMS は、 コンソールまたは APIs。AMS は、アプリケーション、コントロール、またはドメインレイヤーを変更しません。AMS (または他のユーザー) による変更は、一連の構築済みクエリを使用して確認できます。これを行うには、「」を参照してください[AMS Accelerate アカウントの変更の追跡](acc-change-record.md)。
**AWS リソース**
AMS Accelerate は、以下の状況でのみ AWS リソースをデプロイまたは更新します。
+ AMS に必要なツールとリソースをデプロイおよび更新するには。
+ AMS モニタリングの一環として、イベントとアラームに応じて。
+ の一部としてセキュリティの問題を修正する [Accelerate での違反への対応](acc-sec-compliance.md#acc-sec-compliance-responses) (非準拠のリソースをセキュリティのベストプラクティスに準拠させる)。
+ インシデント対応の一環としての修復と復元中。
+ 次のような AMS 機能を設定するお客様のリクエストに応答する場合:
+ アラームマネージャー
+ リソースタガー
+ パッチベースラインとメンテナンスウィンドウ
+ リソーススケジューラ
+ バックアッププラン
AMS Accelerate は、このような状況以外でリソースをデプロイまたは更新しません。他の状況で変更を加えるために AMS からのヘルプが必要な場合は、[Operations on Demand ](https://aws.amazon.com/managed-services/features/operations-on-demand/)の使用を検討してください。
**オペレーティングシステムソフトウェア**
AMS Accelerate は、当社の[サービスレベルアグリーメント](samples/acc_sla.zip)で定義されているように、インシデント解決を通じて、利用できない状況でオペレーティングシステムソフトウェアを変更することができます。AMS は、 の一部としてオペレーティングシステムを変更することもできます[AMS Accelerate の自動インスタンス設定](acc-inst-auto-config.md)。
**アプリケーションコードと設定**
AMS Accelerate はコード (AWS CloudFormation テンプレート、他の infrastructure-as-code テンプレート、Lambda 関数など) を変更しませんが、運用上およびセキュリティ上のベストプラクティスに従うために変更が必要なチームをガイドできます。AMS Accelerate は、アプリケーションに影響を与えるインフラストラクチャの問題のトラブルシューティングを支援しますが、AMS Accelerate はアプリケーション設定にアクセスまたは検証しません。
# Accelerate でサポートされていないオペレーティングシステムの機能
*サポートされていない*オペレーティングシステムは、 に記載されていないオペレーティングシステムです[サポートされている設定](acc-sd.md#supported-configs)。AMS は、サポートされていないオペレーティングシステムのインスタンスを[AWS 、ベータ版およびプレビュー版のサービス条件の対象となる「お客様がリクエストした設定」と見なします](https://aws.amazon.com/service-terms/#2._Betas_and_Previews)。
サポートされていないオペレーティングシステムのインスタンスでは、以下の AMS 機能の限定セットを使用できます。
| **機能** | **注** |
| --- | --- |
| インシデント管理 | AMS はインシデント対応を提供します。 |
| サービスリクエスト管理 | AMS はサービスリクエストに応答します。 |
| モニタリング | AMS は、Amazon EC2 システムステータスチェックとインスタンスステータスチェックをモニタリングして応答します。システムステータスチェックには、ネットワーク接続の喪失、システム電源の喪失、物理ホストのソフトウェアの問題、およびネットワークの到達可能性に影響を与える物理ホストのハードウェアの問題が含まれます。 インスタンスのステータスチェックには、ネットワーク設定または起動設定の誤り、メモリの枯渇、ファイルシステムの破損、カーネルの互換性の欠如などがあります。 |
| セキュリティ管理 | AMS は、Amazon EC2 [GuardDuty の検出結果](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html)と[AWS Config ルール](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html)をモニタリングして応答します。 |
| バックアップの管理 | AMS は、AMS にカスタマイズされた AWS Backup プランとボールトを使用して[、 Accelerate for EC2 で継続性管理](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-backup.html)を提供します。 EC2 |
# 問い合わせとエスカレーション
指定されたクラウドサービスデリバリーマネージャー (CSDM) があり、AMS Accelerate 全体でアドバイザリ支援を提供し、マネージド環境のユースケースとテクノロジーアーキテクチャを詳細に理解しています。CSDMs、必要に応じてアカウントマネージャー、テクニカルアカウントマネージャー、AWS Managed Services クラウドアーキテクト (CAs)、および AWS ソリューションアーキテクト (SAs) と連携して、新しいプロジェクトの起動を支援し、ソフトウェア開発および運用プロセス全体でベストプラクティスのレコメンデーションを提供します。CSDM は AMS の主な連絡先です。CSDM の主な責任は次のとおりです。
+ 顧客との毎月のサービスレビュー会議を組織し、主導します。
+ セキュリティ、環境のソフトウェア更新、最適化の機会に関する詳細を提供します。
+ AMS Accelerate の機能リクエストを含む要件を支持します。
+ 請求およびサービスレポートリクエストに応答して解決します。
+ 財務およびキャパシティ最適化のレコメンデーションに関するインサイトを提供します。
# 対応時間
AMS Accelerate には、さまざまな理由でさまざまなタイミングで問い合わせることができます。
| 機能 | AMS Accelerate | | プレミアム階層 |
| --- | --- | --- | --- |
| サービスリクエスト | 24 時間 365 日 |
| インシデント管理 (P2-P3) | 24 時間 365 日 |
| バックアップとリカバリ | 24 時間 365 日 |
| パッチ管理 | 24 時間 365 日 |
| モニタリングとアラート | 24 時間 365 日 |
| クラウドサービスデリバリーマネージャー (CSDM) | 月曜日~金曜日: 8:00~17:00、現地営業時間 |
# 営業時間
| 機能 | AMS Accelerate | | プレミアム階層 |
| --- | --- | --- | --- |
| サービスリクエスト | 24 時間 365 日 |
| インシデント管理 (P1) | 24 時間 365 日 |
| インシデント管理 (P2-P3) | 24 時間 365 日 |
| バックアップとリカバリ | 24 時間 365 日 |
| パッチ管理 | 24 時間 365 日 |
| モニタリングとアラート | 24 時間 365 日 |
| クラウドサービスデリバリーマネージャー (CSDM) | 月曜日~金曜日: 9:00~17:00、現地営業時間 |
# エスカレーションパス
AMS は、アカウントに適用される AMS サービスレベルアグリーメントに従って、インシデント管理とサービスリクエスト管理で 1 日 24 時間、週 7 日、年 365 日のお客様をサポートします。
マネージド環境に影響する AWS または AMS サービスのパフォーマンスの問題を報告するには、AMS コンソールを使用してインシデントケースを送信します。詳細については、「[Accelerate のインシデントの送信](submitting-an-incident.md)」を参照してください。AMS インシデント管理の一般的な情報については、「」を参照してください[AMS Accelerate でのインシデント管理](acc-manage-incidents.md)。
情報やアドバイスを求めたり、AMS から追加のサービスをリクエストしたりするには、AMS コンソールを使用してサービスリクエストを送信します。詳細については、「[Accelerate でのサービスリクエストの作成](creating-a-sr.md)」を参照してください。AMS サービスリクエストの一般的な情報については、「」を参照してください[Accelerate でのサービスリクエスト管理](service-request-management.md)。
# Accelerate のリソースインベントリ
AMS Accelerate が AWS アカウント または アカウントにデプロイするすべてのリソースは、[samples/resource_inventory3.zip](samples/resource_inventory3.zip)ファイル resource\$1inventory.xlsx スプレッドシート (圧縮) に一覧表示されます。
**注記**
*リソース名*列のプレフィックス *CFN:* は、リソース名ではなく CloudFormation 論理 ID を示します。これらは、S3 バケットポリシーなど、名前のないリソースに表示されます。
AMS は、「」で説明されているように、一連のサービスをデプロイします[サービスの説明](acc-sd.md)。空のアカウントにデプロイする場合、デプロイのコストは低くなりますが、使用率が増加するにつれてコストが増加します。たとえば、ログが作成され、リソースが変更されると設定ルールが呼び出されます。
設定ルールに複数の変更を加えると、複数の設定コンプライアンス呼び出しがトリガーされ、コストが高くなる可能性があります。インスタンスのモニタリングに使用される Amazon CloudWatch にも同じ可能性が適用されます。モニタリングの詳細度が高いほど、サービスのコストも高くなります。 AWS Backup は別の例です。複数のバックアップが保存されている場合、または保持期間が長い場合は、より多くのストレージを使用しているため、コストが高くなります。
これらの数値を予測するのは困難です。クラウドサービスデリバリーマネージャー (CSDM) との毎月のビジネスレビュー中に、変更を追跡し、コスト削減の機会領域を特定してください。