翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ワークロードの例: サーバーレスデータレイク このワークロードは、[テーマ 1: マネージドサービスの使用](theme-1.md) の例を示すものです。 データレイクは、ストレージに Amazon S3 を使用し、ETL AWS Lambda に Amazon S3 を使用します。これらのリソースは AWS Cloud Development Kit (AWS CDK) アプリで定義されます。システムへの変更は、 を通じてデプロイされます AWS CodePipeline。このパイプラインの使用は、アプリケーションチームに制限されています。このチームでコードリポジトリにプルリクエストを行う場合は、[2 人制](https://docs.aws.amazon.com/wellarchitected/latest/analytics-lens/best-practice-5.2---implement-least-privilege-policies-for-source-and-downstream-systems..html)が適用されます。 このワークロードに対し、アプリケーションチームは、Essential Eight 戦略に対応できるよう、以下のアクションを実行します。 *アプリケーション制御* + GuardDuty の [Lambda Protection](https://docs.aws.amazon.com/guardduty/latest/ug/lambda-protection.html) と Amazon Inspector の [Lambda スキャン](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html)を有効にします。 + [Amazon Inspector の検出結果を検査および管理](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-automating-responses.html#findings-managing-eventbridge-tutorial)する仕組みを実装します。 *アプリケーションへのパッチ適用* + Amazon Inspector の Lambda スキャンを有効にし、非推奨ライブラリや脆弱なライブラリにアラートを設定します。 + アプリケーションチームは、 AWS Config がアセット検出の AWS リソースを追跡できるようにします。 *管理者権限の制限* + 「[コアアーキテクチャ](scenario.md#core-architecture)」セクションで説明したように、アプリケーションチームでは、デプロイパイプラインの承認ルールによって、本番環境にデプロイする際のアクセスを既に制限しています。 + ともに一元化された ID フェデレーションおよびログ記録ソリューション (「[コアアーキテクチャ](scenario.md#core-architecture)」セクションを参照) を活用します。 + アプリケーションチームは証 AWS CloudTrail 跡と Amazon CloudWatch フィルターを作成します。 + アプリケーションチームは、CodePipeline デプロイと AWS CloudFormation スタック削除の Amazon Simple Notification Service (Amazon SNS) アラートを設定します。 *オペレーティングシステムへのパッチ適用* + Amazon Inspector の Lambda スキャンを有効にし、非推奨ライブラリや脆弱なライブラリにアラートを設定します。 *多要素認証* + 一元化された ID フェデレーションソリューション (「[コアアーキテクチャ](scenario.md#core-architecture)」セクションを参照) を活用します。このソリューションによって、MFA の適用や認証のログ記録を行い、疑わしい MFA イベントが発生した際は、アラートを生成するかそれらに自動的に対応します。 *定期バックアップ* + アプリケーションチームは、 AWS CDK アプリケーションや Lambda 関数、設定などの[コードをコードリポジトリ](https://aws.amazon.com/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/)に保存します。 + バージョニングと Amazon S3 Object Lock を有効にして、オブジェクトの削除や変更を防ぎます。 + データセット全体を別の AWS リージョンに複製せず、Amazon S3 が備える耐久性を活用します。 + アプリケーションチームは、データ主権 AWS リージョン 要件を満たす別の でワークロードのコピーを実行します。Amazon DynamoDB グローバルテーブルと Amazon S3 [クロスリージョンレプリケーション](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html#crr-scenario)を使用して、プライマリリージョンからセカンダリリージョンにデータを自動的にレプリケートします。