翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# シナリオおよびアーキテクチャの概要
<a name="scenario"></a>

この政府機関は、 AWS クラウドで 3 つのワークロードを運用しています。
+ ストレージと抽出、変換、ロード (ETL) オペレーション AWS Lambda に Amazon Simple Storage Service (Amazon S3) を使用する[サーバーレスデータレイク](serverless-data-lake.md) 
+ [コンテナ化されたウェブサービス](containerised-web-service.md): Amazon Elastic Container Service (Amazon ECS) で稼働させ、Amazon Relational Database Service (Amazon RDS) のデータベースを使用している
+ [Commercial Off-The-Shelf (COTS) ソフトウェア](cots-software.md): Amazon EC2 で稼働させている

*クラウドチームは*、組織の一元化されたプラットフォームを提供し、 AWS 環境のコアサービスを実行します。クラウドチームは、 AWS 環境にコアサービスを提供します。各ワークロードは、独立した*アプリケーションチーム* (*開発チーム*または*デリバリーチーム*とも呼ばれる) が所有しています。

## コアアーキテクチャ
<a name="core-architecture"></a>

クラウドチームでは、 AWS クラウドで以下の機能を構築済みです。
+ ID Microsoft フェデレーションは、Entra ID (以前の *Azure Active Directory*) インスタンス AWS IAM アイデンティティセンター にリンクします。フェデレーションでは、MFA、ユーザーアカウントの自動有効期限、および AWS Identity and Access Management (IAM) ロールを介した有効期間の短い認証情報の使用が適用されます。
+ 一元化され、EC2 Image Builder を使用する AMI パイプラインで、OS とコアアプリケーションにパッチを適用しています。
+ Amazon Inspector を利用して、脆弱性を特定しており、セキュリティ関連の検出結果はすべて Amazon GuardDuty に送信し、一元管理しています。
+ アプリケーション制御ルールの更新、サイバーセキュリティイベントへの対応、コンプライアンス上の不備確認を行う仕組みが確立されています。
+ AWS CloudTrail はログ記録とモニタリングに使用されます。
+ セキュリティイベント (ルートユーザーのログインなど) が発生したら、アラートが発行されます。
+ SCP および VPC エンドポイントポリシーにより、 AWS 環境のデータ境界を確立しています。
+ SCP により、アプリケーションチームが CloudTrail や AWS Configなどのセキュリティおよびログ記録サービスを無効化できないようにしています。
+ AWS Config 検出結果は AWS 組織全体から 1 つの に集約され、セキュリティ AWS アカウント が確保されます。
+  AWS Config [ACSC Essential 8 コンフォーマンスパック](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html)は、組織内のすべての AWS アカウント で有効になっています。