ワークロードの例: コンテナ化されたウェブサービス - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークロードの例: コンテナ化されたウェブサービス

このワークロードは、テーマ 2: 安全なパイプラインによる、イミュータブルなインフラストラクチャの管理 の例を示すものです。

このウェブサービスは Amazon ECS 上で稼働し、Amazon RDS のデータベースが使用されています。アプリケーションチームは CloudFormation 、 テンプレートでこれらのリソースを定義します。コンテナは EC2 Image Builder で構築し、Amazon ECR に保存します。アプリケーションチームは、 を通じてシステムに変更をデプロイします AWS CodePipeline。このパイプラインの使用は、アプリケーションチームに制限されています。このチームでコードリポジトリにプルリクエストを行う場合は、2 人制が適用されます。

このワークロードに対し、アプリケーションチームは、Essential Eight 戦略に対応できるよう、以下のアクションを実行します。

アプリケーション制御

アプリケーションへのパッチ適用

  • Amazon Inspector で Amazon ECR コンテナイメージのスキャンを有効にし、非推奨ライブラリや脆弱なライブラリにアラートを設定します。

  • Amazon Inspector の検出結果への対応を自動化します。新しいイベントが検出されると、Amazon EventBridge がトリガーとなり、ターゲットのデプロイパイプライン、つまり、CodePipeline が開始されます。

  • アプリケーションチームは、 AWS Config がアセット検出の AWS リソースを追跡できるようにします。

管理者権限の制限

  • アプリケーションチームでは、デプロイパイプラインの承認ルールによって、本番環境にデプロイする際のアクセスを既に制限しています。

  • 一元化した、クラウドチームの ID フェデレーションを活用して、認証情報のローテーションと一元的なログ記録を行います。

  • CloudTrail 証跡と CloudWatch フィルターを作成します。

  • CodePipeline によるデプロイと CloudFormation スタック削除に Amazon SNS アラートを設定します。

オペレーティングシステムへのパッチ適用

  • Amazon Inspector で Amazon ECR コンテナイメージのスキャンを有効にし、OS のパッチ更新にアラートを設定します。

  • Amazon Inspector の検出結果への対応を自動化します。新しいイベントが検出されると、EventBridge がトリガーとなり、ターゲットのデプロイパイプライン、つまり、CodePipeline が開始されます。

  • Amazon RDS イベント通知をサブスクライブして、更新情報が通知されるようにし、こうした更新を手動で適用するか、Amazon RDS で自動適用するかについて、ビジネス所有者と共に、リスクに基づく判断を下します。

  • メンテナンスイベントの影響を軽減するために、Amazon RDS インスタンスをマルチアベイラビリティーゾーンクラスターとして設定します。

多要素認証

  • 一元化された ID フェデレーションソリューション (「コアアーキテクチャ」セクションを参照) を活用します。このソリューションによって、MFA の適用や認証のログ記録を行い、疑わしい MFA イベントが発生した際は、アラートを生成するかそれらに自動的に対応します。

定期バックアップ