翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ワークロードの例: サーバーレスデータレイク
このワークロードは、テーマ 1: マネージドサービスの使用 の例を示すものです。
データレイクは、ストレージに Amazon S3 を使用し、ETL AWS Lambda に Amazon S3 を使用します。これらのリソースは AWS Cloud Development Kit (AWS CDK) アプリで定義されます。システムへの変更は、 を通じてデプロイされます AWS CodePipeline。このパイプラインの使用は、アプリケーションチームに制限されています。このチームでコードリポジトリにプルリクエストを行う場合は、2 人制が適用されます。
このワークロードに対し、アプリケーションチームは、Essential Eight 戦略に対応できるよう、以下のアクションを実行します。
アプリケーション制御
-
GuardDuty の Lambda Protection と Amazon Inspector の Lambda スキャンを有効にします。
-
Amazon Inspector の検出結果を検査および管理する仕組みを実装します。
アプリケーションへのパッチ適用
-
Amazon Inspector の Lambda スキャンを有効にし、非推奨ライブラリや脆弱なライブラリにアラートを設定します。
-
アプリケーションチームは、 AWS Config がアセット検出の AWS リソースを追跡できるようにします。
管理者権限の制限
-
「コアアーキテクチャ」セクションで説明したように、アプリケーションチームでは、デプロイパイプラインの承認ルールによって、本番環境にデプロイする際のアクセスを既に制限しています。
-
ともに一元化された ID フェデレーションおよびログ記録ソリューション (「コアアーキテクチャ」セクションを参照) を活用します。
-
アプリケーションチームは証 AWS CloudTrail 跡と Amazon CloudWatch フィルターを作成します。
-
アプリケーションチームは、CodePipeline デプロイと AWS CloudFormation スタック削除の Amazon Simple Notification Service (Amazon SNS) アラートを設定します。
オペレーティングシステムへのパッチ適用
-
Amazon Inspector の Lambda スキャンを有効にし、非推奨ライブラリや脆弱なライブラリにアラートを設定します。
多要素認証
-
一元化された ID フェデレーションソリューション (「コアアーキテクチャ」セクションを参照) を活用します。このソリューションによって、MFA の適用や認証のログ記録を行い、疑わしい MFA イベントが発生した際は、アラートを生成するかそれらに自動的に対応します。
定期バックアップ
-
アプリケーションチームは、 AWS CDK アプリケーションや Lambda 関数、設定などのコードをコードリポジトリ
に保存します。 -
バージョニングと Amazon S3 Object Lock を有効にして、オブジェクトの削除や変更を防ぎます。
-
データセット全体を別の AWS リージョンに複製せず、Amazon S3 が備える耐久性を活用します。
-
アプリケーションチームは、データ主権 AWS リージョン 要件を満たす別の でワークロードのコピーを実行します。Amazon DynamoDB グローバルテーブルと Amazon S3 クロスリージョンレプリケーションを使用して、プライマリリージョンからセカンダリリージョンにデータを自動的にレプリケートします。
