AWS Managed Services (AMS) AMS Advanced オペレーションプランの機能

ログ記録、モニタリング、ガードレール、イベント管理：

AMS は、マネージド環境のログ記録アクティビティを設定およびモニタリングし、さまざまなヘルスチェックに基づいてアラートを定義します。アラートは、該当する AWS のサービスについて AMS によって調査され、それらのサービスの使用に悪影響を及ぼすとインシデントが作成されます。AMS は、すべてのオペレーションの結果として生成されたすべてのログを CloudWatch、CloudTrail、および Amazon S3 のシステムログに集約して保存します。追加のアラートをリクエストできます。AMS の予防的コントロールに加えて、AMS は設定ガードレールと検出コントロールをデプロイして、マネージドアカウントの運用とセキュリティの整合性を低下させる可能性のある設定ミスから継続的に保護し、タグ付けやコンプライアンスなどのコントロールを適用します。モニタリング対象のコントロールが検出されると、ユーザーが変更できる事前定義された AMS のデフォルトに基づいて、リソースの通知、変更、または終了が発生するアラームが生成されます。

継続性管理 (バックアップと復元):

AMS は、お客様が決定したスケジュールされた間隔で、標準の既存の AWS Backup 機能を使用してリソースのバックアップを提供します。特定のスナップショットからの復元アクションは、RFC を使用して AMS で実行できます。スナップショット間隔の間に発生するデータ変更は、ユーザーがバックアップする責任があります。スケジュールされた間隔外にバックアップまたはスナップショットリクエストの RFC を送信できます。 AWS リージョンでアベイラビリティーゾーン (AZ) が利用できない場合、AMS は、影響を受ける スタックのテンプレートと使用可能な EBS スナップショットに基づいて新しいスタック (複数可) を再作成することで、 マネージド環境を復元します。

セキュリティとアクセスの管理：

AMS は、ウイルス対策やマルウェア対策などのエンドポイントセキュリティ (EPS) を提供します。独自の EPS ツールとプロセスを使用でき、独自の EPS の持ち込み (BYOEPS) と呼ばれる機能を使用して EPS に AMS を使用することはできません。また、AMS は AWS Identity and Access Management 、(IAM) ロールや Amazon EC2 AWS セキュリティグループなど、オンボーディング中に承認されたデフォルトのセキュリティ機能を設定し、標準 AWS ツール (Amazon Macie AWS Security Hub、Amazon GuardDuty など) を使用してセキュリティの問題を監視して対応します。ユーザーを管理するには、ユーザーが提供する承認済みのディレクトリサービスを使用します。承認されたディレクトリサービスのリストについては、「」を参照してくださいサポートされている設定。

AMS には、エンドポイントセキュリティ (EPS) が含まれます。これには、ウイルス対策 (AV)、マルウェア対策保護、マルウェア、侵入検出 (Trend Micro) が含まれます。セキュリティグループはスタックテンプレートごとに定義され、アプリケーション (パブリック/プライベート) セキュリティグループの可視性に応じて起動時に変更されます。

システムへのアクセスは、変更管理の変更リクエスト (RFCs。アクセス管理は、Amazon EC2 インスタンス、、 AWS Management Console APIs などの個別のリソースへのアクセスを提供します。AWS へのオンボーディングとフェデレーション中に AMS Microsoft Active Directory デプロイで一方向の信頼を確立したら、既存の企業認証情報をすべてのやり取りに使用できます。

パッチ管理：

AMS は、サポートされているオペレーティングシステム (OSs) と、サポートされているオペレーティングシステムがプリインストールされたソフトウェアの EC2 インスタンスに更新を適用してインストールします。サポートされているオペレーティングシステムのリストについては、「」を参照してくださいサポートされている設定。

AMS には、パッチ適用用の 2 つのモデルがあります。

AMS 標準パッチでは、AMS がほとんどのパッチ適用アクティビティを実行するために、毎月のメンテナンスウィンドウが選択されます。AMS は、選択したメンテナンスウィンドウ外で重要なセキュリティ更新プログラム (適切な通知を使用) を適用し、選択したメンテナンスウィンドウ中に重要な更新プログラムを適用します。AMS は、選択したメンテナンスウィンドウ中にインフラストラクチャ管理ツールに更新をさらに適用します。必要に応じて、スタックをパッチ管理から除外したり、更新を拒否したりできます。

アカウントごとのデフォルトのメンテナンスウィンドウである AMS Patch Orchestrator は、AMS がパッチ適用アクティビティを実行するために定義されます。AMS の追加のカスタムメンテナンスウィンドウをスケジュールして、ユーザーが定義した特定のインスタンスセットにタグでパッチを適用できます。AMS は利用可能なすべての更新を適用しますが、カスタムパッチベースラインを作成することで更新をフィルタリングまたは拒否できます。どちらのモデルでも、パッチ管理で提供される更新を承認または拒否しても後で気が変わった場合は、RFC を介して更新を開始する責任があります。AMS はリソースのパッチステータスを追跡し、毎月のビジネスレビューで最新ではないシステムを強調します。パッチ管理は、すべての AMS マネージドアプリケーションや、パッチ機能を持つサポートされている AWS サービス (RDS など) を含む、 マネージド環境のスタックに限定されます。更新がリリースされたときにすべてのタイプのインフラストラクチャ設定をサポートするために、AMS a) は EC2 インスタンスを更新し、b) は更新された AMS AMI を提供します。上記で特に説明されていない追加のアプリケーションをインストール、設定、パッチ適用、モニタリングするのはお客様の責任です。

変更管理：

AMS 変更管理は、マネージド環境の変更を制御するメカニズムです。AMS は、予防的コントロールと検出的コントロールを組み合わせてこのプロセスを容易にし、選択した AMS モードに応じて異なるレベルのコントロールと関連するリスクを提供します。

AMS 環境内のすべてのアクションがログインされます AWS CloudTrail。

AMS 変更管理とさまざまなモードの詳細については、「AMS 変更管理ガイド」と「AMS モード」を参照してください。

自動およびセルフサービスのプロビジョニング管理：

AMS Advanced で AWS リソースをプロビジョニングするには、いくつかの方法があります。

インシデント管理：

AMS は、AMS によって検出されたインシデントをプロアクティブに通知します。AMS は、お客様が送信したインシデントと AMS が生成したインシデントの両方に対応し、インシデントの優先度に基づいてインシデントを解決します。お客様から特に指示がない限り、AMS によってマネージド環境のセキュリティ上のリスクであると判断されるインシデント、および AMS およびその他の AWS サービスの可用性に関連するインシデントは、事前に対処されます。AMS は、認可を受け取ると、他のすべてのインシデントに対してアクションを実行します。繰り返し発生するインシデントは、問題管理プロセスによって対処されます。

問題管理：

AMS は傾向分析を実行して、問題を特定して調査し、根本原因を特定します。問題は、回避策または同様の将来のサービスへの影響の再発を防ぐ永続的なソリューションで修正されます。インシデント後レポート (PIR) は、解決時に「高」インシデントに対してリクエストされる場合があります。PIR は、根本原因と、予防策の実装など、実行された予防策をキャプチャします。

レポート：

AMS は、エグゼクティブサマリーとインサイト、運用メトリクス、マネージドリソース、AMS サービスレベルアグリーメント (SLA) の遵守、支出、削減、コスト最適化に関する財務メトリクスなど、AMS の主要なパフォーマンスメトリクスをまとめた月次サービスレポートを提供します。レポートは、割り当てられた AMS Cloud Service Delivery Manager (CSDM) によって配信されます。

サービスリクエスト管理:

マネージド環境、AMS、または AWS サービス提供に関する情報をリクエストするには、AMS コンソールを使用してサービスリクエストを送信します。サービス AWS や機能に関する「方法」の質問や、追加の AMS サービスをリクエストするサービスリクエストを送信できます。

サービスデスク:

AMS は、インシデント管理、サービスリクエスト管理、変更管理など、自動化されていないリクエストに対応するために、フルタイムの Amazon 従業員によるエンジニアリングオペレーションをスタッフとして配置します。サービスデスクは、24 時間 365 日営業しています。

指定されたリソース：

各顧客には、Cloud Service Delivery Manager (CSDM) と Cloud Architect (CA) が割り当てられます。

デベロッパーモード:

この機能を使用すると、AMS 変更管理プロセスへのアクセスに加えて、AWS サービス APIs と AWS コンソールへの直接アクセスを許可することで、インフラストラクチャの設計とデプロイを AMS 設定アカウント内ですばやく反復できます[1]。変更管理プロセス外でデベロッパーモードのアクセス許可を使用してプロビジョニングまたは設定されたリソースは、お客様が管理する必要があります (「自動およびセルフサービスプロビジョニング管理」を参照してください）。AMS 変更管理プロセスを通じてプロビジョニングされたリソースは、AMS 上の他の変更管理でプロビジョニングされたワークロードと同様にサポートされます。

AWS サポート：

AMS のお客様は、AMS オペレーションプランを補完するために必要な AWS サポートのレベルを選択できます。AMS に登録されているアカウントは、ビジネスサポートまたはエンタープライズサポートのいずれかにサブスクライブできます。サポートプランの違いについては、「AWS サポートプラン」を参照してください。

カスタマー管理アカウント：

この機能を使用すると、同じマネージド環境内の AWS アカウントをリクエストできますが、それらのアカウント内のワークロードと AWS リソースの継続的なオペレーションはお客様の責任となります。AMS はカスタマーマネージドアカウントをプロビジョニングしますが、アカウントが作成されると、それらのアカウントに他の AMS 機能やサービスは提供されません。AWS は、カスタマーマネージドアカウントをエンタープライズレベルのプレミアムサポートに登録しません。カスタマー管理アカウントは、選択したサポートレートで AWS サポートに登録する責任があります。

ファイアウォール管理：

AMS は、サポートされているファイアウォールサービス用のオプションのマネージドファイアウォールソリューションを提供します。これにより、マネージド環境内のネットワークのインターネットバウンド送信トラフィックフィルタリングが可能になります。これには、AWS ネットワークインフラストラクチャを使用せず、トラフィックがインターネットに直接送信されるパブリックサービスは含まれません。このソリューションは、業界をリードするファイアウォールテクノロジーと AMS インフラストラクチャ管理機能を組み合わせて、ファイアウォールインフラストラクチャをデプロイ、モニタリング、管理、スケーリング、復元します。