翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AMS 責任マトリックス (RACI)
注記
AWS Managed Services (AMS) は、適時に義務を果たすために、適切な一連のアクションを決定するためにお客様からの入力を要求する場合があります。AMS は、そのようなすべての明確化と入力について、指定された顧客連絡先に連絡します。AMS は、このようなクエリに対する応答を 24 営業日以内に想定します。24 時間以内に返信がない場合、AMS はユーザーに代わってアクションを選択できます。
AMS 責任、説明責任、相談、情報、または RACI マトリックスは、さまざまなアクティビティについて顧客または AMS に主な責任を割り当てます。
AMS は AWS インフラストラクチャを管理します。次の表は、AMS マネージド環境内で実行されているアプリケーションのライフサイクルにおけるアクティビティに関する顧客と AMS の責任の概要を示しています。
AMS は、カスタマーマネージドアカウントまたはそのアカウント内で実行されているインフラストラクチャに関する以下のアクティビティについて責任を負いません。したがって、この RACI は適用されません。
R は、タスクを達成するために作業を行う責任者を表します。
C は、相談された当事者、通常は対象分野の専門家として意見を求める当事者、二国間通信を行う当事者を指します。
「情報」の略です。多くの場合、タスクまたは成果物の完了時にのみ、進捗状況が通知される当事者です。
セルフサービスプロビジョニングとは、デベロッパーモードやセルフサービスプロビジョニングサービスなど、 AWS API またはコンソールを通じてセルフサービスを使用してお客様がプロビジョニングするリソースを指します。
注記
一部のセクションには、AMS とお客様の両方に「R」が含まれています。これは、 責任 AWS 共有モデルでは、AMS と顧客の両方がインフラストラクチャとアプリケーションの問題に対処するために共同所有権を持っているためです。
セルフサービスプロビジョニング機能を提供するために、AMS は、サービスへの直接 AWS アクセスから意図しない変更を制限するためのアクセス許可の境界を持つ昇格された IAM ロールを作成しました。ロールによってすべての変更が妨げられるわけではなく、ユーザーは、内部コントロール、コンプライアンスに従い、使用されているすべての AWS サービスが必要な認定を満たしていることを確認する責任があります。これはセルフサービスプロビジョニングモードと呼ばれます。 AWS コンプライアンス要件の詳細については、AWS 「コンプライアンス
」を参照してください。 セルフサービスでプロビジョニングするリソースの場合、AMS は、インシデント管理、検出コントロールとガードレール、レポート、指定されたリソース (Cloud Service Delivery Manager と Cloud Architect)、セキュリティとアクセス、サービスリクエストによるテクニカルサポートを提供します。さらに、該当する場合、AMS 変更管理システムの外部でプロビジョニングまたは設定されたリソースの継続管理、パッチ管理、インフラストラクチャモニタリング、変更管理に責任を負います。
| アクティビティ | お客様 |
AWS Managed Services (AMS) |
|---|---|---|
アプリケーションのライフサイクル | ||
アプリケーション開発 |
R |
I |
アプリケーションインフラストラクチャ要件の分析と設計 |
R |
C |
非標準 AMS スタックの設計と最適化 |
R |
C |
AMS 標準スタックの設計と最適化 |
I |
R |
アプリケーションのデプロイ |
R |
C |
AWS インフラストラクチャのデプロイ |
C |
R |
アプリケーションのモニタリング |
R |
I |
アプリケーションのテスト/最適化 |
R |
I |
AWS インフラストラクチャ最適化ガイダンス |
I |
R |
AWS インフラストラクチャのモニタリング |
I |
R |
アプリケーションの問題のトラブルシューティングと解決 |
R |
C |
AWS ネットワーク問題のトラブルシューティングと解決 |
C |
R |
オペレーティングシステムとインフラストラクチャの問題をトラブルシューティングして解決する セルフサービスプロビジョニング |
C |
R |
R |
C | |
アプリケーションと ITSM の統合 | ||
AWS サービスサービスとのアプリケーション統合 |
R |
C |
AWS Managed Services Interface との ITSM 統合 |
R |
C |
ネットワーク | ||
マネージド環境 VPC と VPC のセットアップと設定 |
C |
R |
VPCs のプライベートアドレススペースを割り当てる (/16 など) |
R |
C |
AWS Managed Services、カスタマーマネージドFirewalls/Proxy/Bastions/HOSTsの設定と運用 |
R |
C |
マネージド環境内で AWS セキュリティGroups/NAT/Customer拠点/NACL を設定および運用する |
I |
R |
お客様のネットワーク内でのネットワーク (DirectConnect など) の設定と実装 |
R |
C |
マネージド環境内のネットワーク設定と実装 |
C |
R |
マネージド環境設定 | ||
ベースラインスタックテンプレートのデフォルトの Auto Scaling 設定を定義する |
I |
R |
RI 最適化の推奨 |
C |
R |
RI と PIOP の容量を購入する |
R |
C |
容量が過剰にプロビジョニングされたときの容量の削除 (お客様のアプリケーションでサポートされている場合) |
C |
R |
AWS Managed Services の AWS 顧客固有の情報を作成/更新する |
C |
R |
S3 設定 セルフサービスプロビジョニング |
C |
R |
R |
C | |
Glacier 設定 |
C |
R |
アーカイブポリシーを定義する |
R |
C |
アーカイブポリシーの設定 |
C |
R |
カスタマーメンテナンスウィンドウの選択 |
R |
I |
AWS RDS 管理 | ||
source/replica/RO レプリケーションの状態をモニタリングする |
I |
R |
ソースフェイルオーバーの RCA を特定する |
I |
R |
自動スナップショット (バックアップ) 設定 セルフサービスプロビジョニング |
C |
R |
R |
C | |
DB エンジンパッチ管理の調整とスケジュール セルフサービスプロビジョニング |
C |
R |
R |
C | |
DB ストレージと PIOP 容量の推奨 セルフサービスプロビジョニング |
C |
R |
R |
C | |
データベースを実行するためにインスタンスのサイズ設定を推奨 セルフサービスプロビジョニング |
C |
R |
R |
C | |
マネージド環境の RI 最適化を推奨 セルフサービスプロビジョニング |
C |
R |
R |
C | |
RDS パフォーマンスモニタリング (CloudWatch) セルフサービスプロビジョニング |
C |
R |
R |
C | |
RDS イベントサブスクリプション設定 (SNS) セルフサービスプロビジョニング |
C |
R |
R |
C | |
RDS セキュリティグループ設定 セルフサービスプロビジョニング |
C |
R |
R |
C | |
RDS エンジンパラメータ/オプション設定 |
R |
C |
DB テーブル設計 |
R |
I |
DB インデックス作成 |
R |
I |
DB ログ分析 |
R |
I |
AMS 変更管理 | ||
| 顧客 RFCs の作成 (マネージドスタックcreating/updating/deletingリソースへのアクセス、アプリケーションのデプロイ/更新、 AWS サービス内容の設定の変更など) | R |
I |
| 顧客 RFCs の承認 | I |
R |
| AWS Managed Services RFCs の作成 (リソースへのアクセス、お客様に代わってリソースを作成する、パッチ管理の一部として OS に更新を適用するなど) | I |
R |
| 自動ではない RFCs の承認 | R |
I |
| 新しい変更タイプのリクエストの送信 | R |
C |
| 新しい変更タイプの作成 | I |
R |
| アプリケーション変更カレンダーのメンテナンス |
R |
C |
| 今後のメンテナンスウィンドウの通知 |
I |
R |
AWS Service Catalog | ||
| ポートフォリオと製品を作成する |
R |
I |
| エンドユーザーに製品を配布する |
R |
I |
| タグとタグオプションライブラリを作成する |
R |
C |
| ポートフォリオと製品をエンドユーザーと共有する |
R |
I |
| ポートフォリオと製品を修正/更新する |
R |
I |
| ポートフォリオと製品に制約を作成して割り当てる |
R |
C |
| サービスアクションを製品に関連付ける |
R |
C |
| プロビジョニングされたリソースを新しいバージョンの製品で更新する |
R |
I |
プロビジョニング | ||
| AWS Managed Services ベースライン AMI へのお客様固有の追加 | R |
C |
| スタックテンプレートのプロビジョニングに使用される追加の承認済み変更タイプを設定する | C |
R |
AMS 変更管理プロセスまたは AWS Service Catalog を通じて送信されたマネージドスタックおよび関連する AWS リソースを起動します。 セルフサービスプロビジョニング |
I |
R |
R |
I | |
| AMS 変更管理プロセスまたは AWS Service Catalog を通じてプロビジョニングされたインスタンスに、カスタムおよびサードパーティーアプリケーションをインストール/更新します。 |
R |
I |
プロビジョニング - スタックアーキテクチャ | ||
OS ライセンスの提供 (EC2 や RDS など、該当する AWS のサービスの使用料を含む) セルフサービスプロビジョニング |
I |
R |
R |
I | |
AMS 変更管理システムを介したアプリケーションデプロイ用のベースラインインフラストラクチャテンプレート (スタック) を定義します。 セルフサービスプロビジョニング |
I |
R |
R |
I | |
| ベースライン承認済み AMIs の作成8 | I |
R |
| 顧客のアプリケーションインベントリを評価し、利用可能なインフラストラクチャテンプレート (スタック) との適合性を判断する | R |
C |
| ベースラインテンプレートサービスに加えて一意のスタックを定義する |
R |
C |
ログ記録、モニタリング、イベント管理 | ||
| AWS インフラストラクチャ変更ログの記録 | I |
R |
| すべてのアプリケーション変更ログの記録 | R |
C |
AMS 変更管理プロセスを通じてプロビジョニングされた AWS インフラストラクチャのパッチ適用、セキュリティ、モニタリングなどのエージェントとスクリプトのインストールと設定。 セルフサービスプロビジョニング |
I |
R |
R |
C | |
| 顧客固有のモニタリング要件とインシデント要件を定義する | R |
C |
| マネージド環境のアラートの設定 | I |
R |
すべての AMS 設定済みアラートのモニタリング セルフサービスプロビジョニング |
I |
R |
R |
C | |
インシデント通知のインフラストラクチャアラートの調査 セルフサービスプロビジョニング |
I |
R |
R |
C | |
| アプリケーションアラームの調査 | R |
C |
インシデント管理 | ||
モニタリングに基づいて AWS インフラストラクチャ上のインシデントにプロアクティブに通知する セルフサービスプロビジョニング |
I |
R |
R |
C | |
| アプリケーションのパフォーマンスの問題と停止に対処する | R |
I |
| インシデントの優先度を分類する | I |
R |
| インシデント対応を提供する | I |
R |
インシデント解決/インフラストラクチャの復元を提供する 注記SLAs、セルフサービスプロビジョニングとデベロッパーモードを使用してプロビジョニングされたリソースを含め、AMS 変更管理の外部でプロビジョニングされたインスタンスベースのリソースには適用されません。 |
C |
R |
問題管理 | ||
| マネージド環境の問題を特定する | C |
R |
| マネージド環境での問題に対して RCA を実行する | C |
R |
| マネージド環境の問題の修復 | C |
R |
| アプリケーションの問題を特定して修正する | R |
I |
セキュリティ管理 | ||
顧客インフラストラクチャのセキュリティ、および/または顧客のオンボーディング中に決定され合意されたセキュリティコンプライアンスプロセスのベースラインの確立。 セルフサービスプロビジョニング |
C |
R |
R |
C | |
| Managed EPS の有効なライセンスの維持 | R |
C |
マネージド EPS の設定 セルフサービスプロビジョニング |
I |
R |
R |
C | |
マネージド EPS の更新 セルフサービスプロビジョニング |
I |
R |
R |
C | |
AMS CM プロセスを通じてプロビジョニングされたインスタンスのマルウェアのモニタリング。 セルフサービスプロビジョニング |
I |
R |
R |
C | |
ウイルス署名の維持と更新。 セルフサービスプロビジョニング |
I |
R |
R |
C | |
マルウェアに感染したインスタンスの修復。 セルフサービスプロビジョニング |
C |
R |
R |
C | |
| セキュリティイベント管理 | C |
R |
セキュリティ - アクセス管理 | ||
| ユーザーのライフサイクルと、AWS Managed Services へのアクセスに使用されるローカルディレクトリサービスのアクセス許可を管理する | R |
I |
| AWS コンソール/APIs | R |
C |
| AWS Managed Services AD からカスタマーマネージド AD への Active Directory (AD) の信頼を受け入れ、維持する | R |
C |
| オンボーディング中に、各マネージドアカウント内にクロスアカウント IAM 管理者ロールを作成します。 | R |
C |
| 各アカウントの AWS ルート認証情報を保護する | I |
R |
| マネージド環境の IAM リソースを定義する | C |
R |
| AMS エンジニアの OS アクセスの特権認証情報を管理する | I |
R |
| AMS によってお客様に提供される OS アクセスの特権認証情報を管理する | R |
I |
セキュリティインシデント対応 - 準備 | ||
通信 | ||
AMS がセキュリティイベント通知とセキュリティエスカレーション中に使用する顧客のセキュリティ連絡先の詳細を提供する |
R |
I |
セキュリティイベントやセキュリティエスカレーション中に使用する、提供された顧客セキュリティ連絡先の詳細を保存および管理します。 |
CI |
R |
トレーニング | ||
インシデント対応プロセス中に AMS をサポートするドキュメントを顧客に提供する |
I |
R |
セキュリティのゲームデーを通じて、インシデント対応プロセス中に責任共有を実践する |
RI |
RC |
リソース管理 | ||
アラート、アラート相関、ノイズ削減、その他のルール AWS のサービス に対してサポートされているセキュリティ管理を設定する |
I |
R |
アセット (AWS リソース) インベントリを維持し、アセットの価値と重要性を把握します。この情報は、インシデント封じ込め戦略に役立ちます。 |
R |
CI |
AWS タグを使用してリソースとワークロードを識別する |
R |
CI |
ログの保持とアーカイブを定義および設定する |
CI |
R |
設定 AWS アカウント、ポリシー、アクセス管理の安全なベースライン |
CI |
RC |
セキュリティインシデント対応 - 検出 | ||
ログ記録、インジケータ、モニタリング | ||
インスタンスとアカウントのイベント管理を有効にするようにログ記録とモニタリングを設定する |
CI |
R |
セキュリティアラート AWS のサービス でサポートされているモニタリング |
I |
R |
エンドポイントセキュリティツールのデプロイと管理 |
CI |
R |
AMS がサポートするエンドポイントセキュリティツールを使用して、インスタンスのマルウェアをモニタリングする |
I |
R |
アウトバウンドメッセージングを通じて検出されたイベントを顧客に通知する |
I |
R |
特定のアカウントとワークロードの意思決定者に通知とその後の更新をルーティングして、インシデント対応時間を短縮する |
R |
CI |
AMS 標準検出サービス (Amazon GuardDuty や など AWS Config) の定義、デプロイ、保守 |
CI |
R |
AWS インフラストラクチャ変更ログを記録する |
I |
RC |
ログ記録とモニタリングを有効にして設定し、アプリケーションのイベント管理を有効にする |
R |
C |
サポートされている AWS セキュリティサービス (Amazon GuardDuty など) で許可リスト、拒否リスト、カスタム検出を実装して維持する |
RCI |
R |
セキュリティイベントレポート | ||
疑わしいアクティビティまたはアクティブなセキュリティ調査を AMS に通知する |
R |
CI |
検出されたセキュリティイベントとインシデントを顧客に通知する |
I |
R |
セキュリティインシデント対応プロセスをトリガーする可能性のある計画されたイベントを通知する |
R |
CI |
セキュリティインシデント対応 - 分析 | ||
調査と分析 | ||
サポートされている検出ソースによって生成されたサポートされているセキュリティアラートの初期レスポンスを実行する |
I |
RC |
利用可能なデータを使用して誤検出/真陽性を評価する |
RI |
RC |
必要に応じて、影響を受けるインスタンスのスナップショットを生成して顧客と共有します。 |
I |
R |
保管チェーン、ファイルシステム分析、メモリフォレンジック、バイナリ分析などのフォレンジックタスクを実行する |
R |
CI |
調査に役立つアプリケーションログの収集 |
R |
I |
セキュリティアラートの調査に役立つデータとログの収集 |
RCI |
RC |
セキュリティ調査 AWS のサービス に 内の SMEs を関与させる |
CI |
R |
調査中にサードパーティーベンダーを関与させる (たとえば、EPS マルウェア対策調査や TrendMicro サポートチームとの連携など) |
RCI |
I |
調査中にサポートされている から AWS のサービス 顧客に調査ログを共有する |
I |
R |
通信 | ||
マネージドリソースの AMS 検出ソースからアラートと通知を送信する |
I |
R |
アプリケーションセキュリティイベントのアラートと通知を管理する |
R |
I |
セキュリティインシデントの調査中に顧客のセキュリティ担当者を関与させる |
R |
I |
セキュリティインシデント対応 - 含む | ||
封じ込め戦略と実行 | ||
合意された封じ込め戦略の実行を決定し、封じ込め期間中にサービスの可用性に影響を与える可能性のある結果に同意する |
R |
CI |
影響を受けるシステムのバックアップを作成してさらに分析する |
CI |
R |
アプリケーションとワークロードを含める (アプリケーション固有の設定またはレスポンスアクティビティ経由) |
R |
CI |
セキュリティインシデントと影響を受けるリソースに基づいて封じ込め戦略を定義する |
CI |
R |
影響を受けるシステムのポイントインタイムバックアップの暗号化と安全なストレージを有効にする |
CI |
R |
EC2 インスタンス、ネットワーク、IAM などの AWS リソースに対してサポートされている封じ込めアクションを実行する |
CI |
R |
セキュリティインシデント対応 - 根絶 | ||
根絶戦略と実行 | ||
セキュリティインシデントとお客様のアプリケーションワークロードで影響を受けるリソースに基づいて根絶オプションを定義する |
R |
CI |
合意された根絶戦略、根絶実行のタイミング、結果を決定する |
R |
CI |
AMS マネージドワークロードのセキュリティインシデントと影響を受けるリソースに基づいて根絶ステップを定義する |
CI |
R |
EC2 インスタンス、ネットワーク、IAM 根絶などの AWS リソースを根絶して強化する |
CI |
R |
(アプリケーション固有の設定またはレスポンスアクティビティを通じて) アプリケーションとワークロードを根絶して強化する |
R |
I |
セキュリティインシデント対応 - 復旧 | ||
復旧の準備と実行 | ||
お客様からのリクエストに応じてバックアッププランとターゲットを設定する |
R |
I |
AMS マネージドワークロードを復元するためのバックアッププランを確認する |
CI |
R |
サポートされている のリソースのバックアップ復元アクティビティを実行する AWS のサービス |
I |
R |
お客様のアプリケーション、APP 設定、デプロイ設定をバックアップし、インシデント後にお客様のアプリケーションとワークロードを復元するためのバックアッププランを確認する |
R |
I |
アプリケーションとお客様のワークロードを復元する (アプリケーション固有の復元ステップによる) |
R |
I |
セキュリティインシデント対応 – インシデント後レポート | ||
インシデント後レポート | ||
必要に応じて、学んだ適切な教訓とアクション項目を顧客のインシデント後に共有する |
I |
R |
パッチ管理9 | ||
EC2 インスタンスでサポートされている OS と、サポートされている OS がプリインストールされたソフトウェアに対する適切な更新をモニタリングします。 セルフサービスプロビジョニング |
I |
R |
R |
C | |
| 今後の更新を顧客に通知する (AMS Standard Patch のみに適用) | I |
R |
| 特定の更新や特定のスタックをパッチ適用アクティビティから除外する | R |
I |
デフォルトおよびカスタムのメンテナンスウィンドウスケジュールとその他のパラメータ (メンテナンスウィンドウの期間など) を定義して、パッチ (AMS Patch に適用) を適用する オーケストレーターのみ) |
R |
I |
| 特定のパッチをフィルタリングおよび除外するカスタムパッチベースラインを定義する (AMS パッチオーケストレーターのみに適用) | R |
I |
| インスタンスにタグ付けしてカスタムメンテナンスウィンドウとパッチベースラインに関連付ける (AMS パッチオーケストレーターのみに適用) | R |
I |
リソースのパッチステータスを追跡し、毎月のビジネスレビューで最新ではないシステムを強調表示します。 |
C |
R |
Windows オペレーティングシステム、および Windows Update によって管理されるオペレーティングシステムにインストールされている Microsoft パッケージにパッチを適用する セルフサービスプロビジョニング |
I |
R |
R |
- | |
| Windows Update で管理されていないインストール済みアプリケーション、ソフトウェア、またはアプリケーションの依存関係にパッチを適用する セルフサービスプロビジョニング |
R |
I |
R |
- | |
Linux オペレーティングシステムと、オペレーティングシステムのネイティブパッケージマネージャー (Yum、Apt、Zypper など) による管理が有効になっているパッケージにパッチを適用します。 セルフサービスプロビジョニング |
I |
R |
R |
- | |
Linux オペレーティングシステムのネイティブパッケージマネージャーによって管理されていない、インストールされているアプリケーション、ソフトウェア、またはアプリケーションの依存関係にパッチを適用する セルフサービスプロビジョニング |
R |
I |
R |
- | |
継続性管理 | ||
| バックアップスケジュールを指定する | R |
I |
スケジュールに従ってバックアップを実行します。 セルフサービスプロビジョニング |
I |
R |
R |
C | |
| バックアップの検証 | R |
I |
| バックアップ復元アクティビティをリクエストする | R |
I |
バックアップ復元アクティビティを実行します。 セルフサービスプロビジョニング |
I |
R |
R |
C | |
影響を受ける スタックと VPCs。 セルフサービスプロビジョニング |
I |
R |
R |
C | |
| 影響を受けるカスタム/サードパーティーアプリケーションを復元する | R |
C |
レポート作成 | ||
毎月のサービスレポートの準備と配信 での AMS AWS Outposts |
I |
R |
R |
I | |
API 監査履歴をオンデマンド (CloudTrail) で設定して取得します。 セルフサービスプロビジョニング |
I |
R |
R |
I | |
| AWS Managed Services Interface を使用してインシデント履歴へのアクセスを提供する | I |
R |
AWS Managed Services Interface を通じて変更履歴へのアクセスを提供します。 セルフサービスプロビジョニング |
I |
R |
該当なし |
該当なし | |
サービスリクエスト管理 | ||
| サービスリクエストを使用した情報のリクエスト | R |
I |
| サービスリクエストへの返信 | I |
R |
マネージドファイアウォール | ||
| AMS マネージドファイアウォールのデプロイをリクエストする | R |
I |
| AMS が管理するファイアウォールアーキテクチャの設計と最適化 | I |
R |
| AWS インフラストラクチャと AMS マネージドファイアウォールアプライアンスのデプロイ | I |
R |
| Firewall ライセンスの提供 (該当する AWS サービスの使用料を含む – EC2 など) | R |
I |
| デフォルトのドメイン許可リストを定義する | I |
R |
| カスタム許可リストとセキュリティポリシーを追加、変更、削除するリクエスト | R |
I |
| AMS が管理するファイアウォールのアラートの設定 | I |
R |
| すべての AMS マネージドファイアウォール設定済みアラートのモニタリング | I |
R |
| ファイアウォール設定のバックアップを実行する | I |
R |
| バックアップ復元アクティビティをリクエストする | R |
I |
| プロビジョニングされたリソースを新しいバージョンの製品で更新する | I |
R |
| AMS が管理するファイアウォールログの記録 | I |
R |
| AMS が管理するファイアウォールから CloudWatch にログを転送する | I |
R |
| AMS が管理するファイアウォールで設定変更をリクエストする | R |
I |
| AMS が管理するファイアウォールで設定変更を承認する | I |
R |
| AMS が管理するファイアウォールで設定変更を実行する | I |
R |
8AMS は Amazon EC2 の AMIs のみを提供します
9AMS はOSes ベンダーと延長サポート契約に署名した場合にのみ、サポート終了 OS に責任を負います。
