Suche senden
Hochladen
20211109 bleaの使い方(基本編)
•
0 gefällt mir
•
2,272 views
Amazon Web Services Japan
Folgen
2021年11月9日 AWS Startup Community 登壇資料
Weniger lesen
Mehr lesen
Software
Melden
Teilen
Melden
Teilen
1 von 26
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Recomendados
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
Amazon Web Services Japan
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
Más contenido relacionado
Was ist angesagt?
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
Amazon Web Services Japan
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
Amazon Web Services Japan
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
Amazon Web Services Japan
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
Amazon Web Services Japan
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
Amazon Web Services Japan
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
Amazon Web Services Japan
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
Was ist angesagt?
(20)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Ähnlich wie 20211109 bleaの使い方(基本編)
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
Amazon Web Services Japan
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
Amazon Web Services Japan
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
Amazon Web Services Japan
20120521 aws-meister-elb&as&cw-public
20120521 aws-meister-elb&as&cw-public
Amazon Web Services Japan
Amazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack について
Hiroyasu Suzuki
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
Amazon Web Services Japan
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
Amazon Web Services Japan
20130326 aws meister-reloaded-windows
20130326 aws meister-reloaded-windows
Amazon Web Services Japan
Elastic beanstalk
Elastic beanstalk
Akio Katayama
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
Yukitaka Ohmura
Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明
Amazon Web Services Japan
Amazon EC2を使った実践SaaS運用事例
Amazon EC2を使った実践SaaS運用事例
Yuuki Namikawa
cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)
iret, Inc.
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
Hirokazu Ouchi
AWSマイスターシリーズ(Elastic Beanstalk)
AWSマイスターシリーズ(Elastic Beanstalk)
Akio Katayama
AWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 Windows
Amazon Web Services Japan
Security Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
Aws elastic beanstalk-handson-summit2012
Aws elastic beanstalk-handson-summit2012
Akio Katayama
ShizuokaITpro_Azure
ShizuokaITpro_Azure
Shinichiro Isago
[AWSマイスターシリーズ] AWS CloudFormation
[AWSマイスターシリーズ] AWS CloudFormation
Amazon Web Services Japan
Ähnlich wie 20211109 bleaの使い方(基本編)
(20)
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20120521 aws-meister-elb&as&cw-public
20120521 aws-meister-elb&as&cw-public
Amazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack について
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
20130326 aws meister-reloaded-windows
20130326 aws meister-reloaded-windows
Elastic beanstalk
Elastic beanstalk
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明
Amazon EC2を使った実践SaaS運用事例
Amazon EC2を使った実践SaaS運用事例
cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
AWSマイスターシリーズ(Elastic Beanstalk)
AWSマイスターシリーズ(Elastic Beanstalk)
AWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 Windows
Security Operations and Automation on AWS
Security Operations and Automation on AWS
Aws elastic beanstalk-handson-summit2012
Aws elastic beanstalk-handson-summit2012
ShizuokaITpro_Azure
ShizuokaITpro_Azure
[AWSマイスターシリーズ] AWS CloudFormation
[AWSマイスターシリーズ] AWS CloudFormation
Mehr von Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Web Services Japan
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
Amazon Web Services Japan
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
Amazon Web Services Japan
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
Amazon Web Services Japan
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
Amazon Web Services Japan
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
Amazon Web Services Japan
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
AWS の IoT 向けサービス
AWS の IoT 向けサービス
Amazon Web Services Japan
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
Amazon Web Services Japan
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
Amazon Web Services Japan
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
Amazon Web Services Japan
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
Amazon Web Services Japan
03_AWS IoTのDRを考える
03_AWS IoTのDRを考える
Amazon Web Services Japan
02B_AWS IoT Core for LoRaWANのご紹介
02B_AWS IoT Core for LoRaWANのご紹介
Amazon Web Services Japan
01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート
Amazon Web Services Japan
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
Mehr von Amazon Web Services Japan
(20)
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
AWS の IoT 向けサービス
AWS の IoT 向けサービス
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
03_AWS IoTのDRを考える
03_AWS IoTのDRを考える
02B_AWS IoT Core for LoRaWANのご紹介
02B_AWS IoT Core for LoRaWANのご紹介
01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
20211109 bleaの使い方(基本編)
1.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Amazon Web Services Japan Solutions Architect Yukitaka Ohmura Nov 9, 2021 Baseline Environment on AWS (BLEA) テンプレートの使いかた(基本編)
2.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 大村 幸敬 (おおむら ゆきたか) Manager, Solutions Architect • これからクラウドを使いはじめる エンタープライズ企業をサポート • Specialty: Cloud Operations & DevOps • Baseline Environment on AWS (BLEA) メンテナ https://github.com/aws-samples/baseline-environment-on-aws 好きなAWSのサービス: AWS CLI, AWS CDK, SSM Incident Manager 2
3.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Contents 1. AWS上のガバナンスの考え方 2. テンプレートによるガバナンス 3. BLEA 概説 4. 今後の展開 3 ご注意: この資料はBLEAの利用開始にフォーカスしており、その仕組みについて詳しくは解説していません。 詳細は、ブログ( https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ ) またはGitHubリポジトリ( https://github.com/aws-samples/baseline-environment-on-aws )でご確認ください。
4.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. AWS上のガバナンスの考え方
5.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. AWSはBuilderを支えるプラットフォーム - Self Service Platform - Biilderに自由を与え、適切な箇所で適切なツールを使えるようにする それによってビジネス価値を早期に実現できる
6.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Builderに必要なものは? Gatekeeper Guardrail V.S. ツールの利用を事前承認(Gatekeeper)すると管理業務がボトルネックになる。 各システムで自由に使わせる一方で、Builderを守るためガードレール(Guardrail)を用意する。 やってはいけない操作を未然に防ぐこと(予防的統制)、逸脱を検知すること(発見的統制)の2種類。 6
7.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. https://www.youtube.com/watch?v=3QJ-RA5R0Jk https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online 詳しくはこちらをご覧ください 8
8.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. テンプレートによるガバナンス 9
9.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. テンプレートによるガバナンスの考え方 • 許可されたサービスを使うのでなく • 集中管理で設定を強制するのでなく • 未然に防ぐより • 初期構築の自動化だけでなく • すべてを自分で作るのでなく アカウントの中で自由にサービスを使える環境を テンプレートによる同一設定の展開と分散管理を 逸脱の検知と迅速な修復を コードによる継続的なメンテナンスを AWSサービス拡充の柔軟な取り込みを 左の考えを認めつつも右の考えを重視することで クラウドの価値を最大限活かすガバナンスを実現することを目標とする 11
10.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS (BLEA) What is • AWSのセキュリティベストプラクティスを実装したサンプルテンプレート 特徴 • ベースラインのテンプレートを提供 ⇨ 最低限実施すべきガバナンスをAWSのセキュリティサービスで実現 ⇨ サンプル構成は SecurityHub CIS/AFSBP の High以上が出ないように構成済み • メンテナンスしやすい Cloud Development Kit (CDK) コード ⇨ CDKによる記述量の削減とエディタによる強力な開発サポート ⇨ カスタマイズしやすさを考慮した平易かつ解説の多いコード • シングルアカウント & マルチアカウント ⇨単体アカウントへの展開またはControlTower環境への展開に対応 12 https://github.com/aws-samples/baseline-environment-on-aws
11.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS の利用パターン マルチアカウント版 Governance Base for Standalone Guest Guest System シングルアカウント版 (Standalone) Governance Base for Control Tower Guest Guest System Guest Account Guest Account Baseline Environment on AWS で提供 Account AWS ControlTower Guest Account Guest Account Management Account ※“Guest system” はマルチアカウント版も Standalone版も同じものが利用できます。
12.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS の利用方法 カスタマイズ ゲストシステムの サンプルテンプレート ガバナンスベースの テンプレート BLEA on GitHub ガバナンスベース ゲストシステム ゲストシステム CDK CDK CDK CDK CDK システムA システムB ガバナンスベース システムA 担当 システムB 担当 システム B 用 システム A 用 ガバナンス 担当 カスタマイズ カスタマイズ CDK CDK ※BLEAテンプレートはMIT-0ライセンスで公開した AWSのベストプラクティスのサンプル実装であり、 構築された環境の品質をAWSが保証するものではありません。 実際の構築・運用にあたって、 お客様でテンプレートのカスタマイズやテストの実施が必要です。 CDK CDK CDK Fork 自社用に カスタマイズした ベースライン
13.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. BLEA 概説(シングルアカウント版)
14.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. ガバナンスの全体像 - BLEA Standalone 版 管理タスク Management Account Audit Account LogArchive Account Shared Svc Account Guest Account 1 アカウント払い出し Manual-Organizations 2 アクセス制御 (Organizations Roles) 3 予防的統制 (MNL-IAM) 4 発見的統制(Config) TMPL-ConfigRules 5 ロギング TMPL-CloudTrail/Config 6 通知 (CT) (None) 7 発見的統制 (挙動) TMPL-SecurityHub TMPL-GuardDuty 8 セキュリティ分析 IAM-AccessAnalyzer 9 共有ネットワーク (None) 10 サーバ管理 MNL-SSM QuickSetup 11 通知 (Security)+Chat TMPL-Security Alarm 12 アクセス制御 (for Guest) TMPL-IAM 13 発見的統制 (for Guest) TMPL-ConfigRules 14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc. 15 ネットワーク (for Guest) TMPL-VPC 16 鍵管理 (for Guest) TMPL-KMS 17 通知 (Monitoring)+Chat TMPL-Monitor Alarm 18 リソース + バックアップ TMPL-EC2/Serverless etc. 19 デプロイメント TMPL-CI/CD - CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual - *: Not yet (2021/10/26) Governance Base for Standalone Guest Guest System 17 管理タスクの主体 管理される側
15.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Member Account Architecture - BLEA for Single-Account (Standalone) Management Account Guest Account Organizations IAM AccessAnalyzer ConfigRules (Guardrail) IAMRole (OrganizationAccountAccessRole) CDK template Operation Guide Guest System GuardDuty SecurityHub Systems Manager QuickSetup LogBucket CloudTrail IAMRole (for Guest) ConfigRules +Automation EventBridge +Chatbot 18
16.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. BLEA ゲストシステム例: Webアプリケーション (ECS+SSL) WebContents 2021/10/27 CloudFront CloudWatch Synthetics CloudWatch Alarms CloudWatch Dashboard SNS & Chatbot CloudWatch Logs VPC Flowlogs ALB AccessLogs etc. Secrets Manager ECR ECS Fargate Aurora PostgreSQL ALB WAF ACM Route53 HostedZone (既存を参照) VPC Endpoints
17.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS - Stack dependency Guardduty SecurityHub Trail Config ECSApp DBAuroraPg Guest System (sample) Application Stacks 2021/10/26 • Components without dependency can deploy individually Vpc Iam ConfigRule 20 Governance Base for Guest FrontendSimpleStack Monitoring Stacks DashboardStack CanaryStack KeyApp(KMS) WAF ECR Networking Stack MonitorAlarm Chatbot Refer EventBridge events Essential Services Security Services Stack SecurityAlarm Refer EventBridge events Chatbot Security Alart Stacks
18.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 通知(Security Alarm)の例 BLEA がデフォルトで通知する内容 注意が必要な操作 • セキュリティグループの変更 • NeworkACLの変更 • CloudTrailの変更 • IAM Policyの変更 • API認証エラー • アクセスキーの作成 • Rootユーザーによる操作 セキュリティサービスの通知 • ConfigRules – NON_COMPLIANT • AWS Health – すべての通知 • SecurityHub • 以下のCritical/Highを通知 • CIS Benchmark • AWS Security Foundational Best Practices • GuardDuty • AWSが推奨するSeverityを通知 21
19.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 通知(Monitor Alarm)の例 サンプルアプリケーションの通知実装(例) • ECS/Fargate Service 平均CPU使用率 • ECS/Fargate Service タスク数 • ALB レスポンスタイム • ALB HTTP 4XXエラー数 • ALB HTTP 5XXエラー数 • ALB HealthyHost数 • Aurora CPU使用率 • RDS イベント 22
20.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. BLEA 概説(マルチアカウント版)
21.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. ガバナンスの全体像 - BLEAマルチアカウント版 管理タスク Management Account Audit Account LogArchive Account Shared Svc Account* Guest Account 1 アカウント払い出し CT-Org (Created by CT) (Created by CT) (Created by CT) (Created by CT) 2 アクセス制御 CT-SSO/Admin + AD CT-Admin CT-Admin CT-Admin CT-Admin 3 予防的統制 CT-SCP CT-SCP CT-SCP CT-SCP CT-SCP 4 発見的統制(Config) CT-ConfigRules作成 CT-ConfigRules CT-ConfigRules CT-ConfigRules CT-ConfigRules 5 ロギング (CT-Log Bucket) CT-CloudTrail/Config CT-Log Bucket CT-CloudTrail/Config CT-CloudTrail/Config 6 通知 (CT) (CT-Audit Topic) CT-Audit Topic (To Audit Topic) (To Audit Topic) (To Audit Topic) 7 発見的統制 (挙動) MNL-SecurityHub MNL-GuardDuty Member-SecurityHub Member-GuardDuty 8 セキュリティ分析 MNL-IAM-AccessAnalyzer Member-IAMAccessAnalyzer 9 共有ネットワーク TMPL-VPC/DNS/VPCEP * (Use Shared Svc Account) 10 サーバ管理 MNL-SSM QuickSetup 11 通知 (Security)+Chat TMPL-Security Alarm 12 アクセス制御 (for Guest) TMPL-IAM 13 発見的統制 (for Guest) TMPL-ConfigRules 14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc. 15 ネットワーク (for Guest) TMPL-VPC 16 鍵管理 (for Guest) TMPL-KMS 17 通知 (Monitoring)+Chat TMPL-Monitor Alarm 18 リソース + バックアップ TMPL-EC2/Serverless etc. 19 デプロイメント TMPL-CI/CD - CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual - *: Not yet (2021/10/26) AWS ControlTower Governance Base for CT Guest Guest System 管理タスクの主体 管理される側
22.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Member Account Member Account Guest Account BLEA マルチアカウント版 – 利用サービス Management Account Audit Account Customization for ControlTower (CFCT) AWS Contrl Tower GuardDuty SecurityHub Config SCP Organizations IAM AccessAnalyzer Config IAMRole (CT) IAMRole (for Guest) Shared Service Account (Not included now) R53 zone TransitGW SharedNW Guest System Logging Account Audit Log Bucket Config Aggregator SNS AggregateSecurity Notifications GuardDuty SecurityHub Systems Manager QuickSetup Managed by Control Tower SSO CloudTrail CDK template Operation Guide ConfigRules +Automation EventBridge +Chatbot
23.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 今後の展開
24.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. BLEA 今後の展開 • BLEAは AWS Japan の SAが開発・メンテナンスしています • お客様からのフィードバックを元にユースケースの拡充やセキュリ ティサービスへの対応強化を行う予定です • BLEAやCDKを利用するための解説資料やHowTo、ワークショップ コンテンツなどを提供する予定です • GitHub に Issuesを投稿する、あるいは お近くの AWS の SA へ ご連絡ください
25.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. 参考URL • Baseline Environment on AWS • https://github.com/aws-samples/baseline-environment-on-aws • AWS環境にセキュアなベースラインを提供するテンプレート 「Baseline Environment on AWS」のご紹介 • https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ • CDK Workshop • https://cdkworkshop.com/ 46
26.
© 2021, Amazon
Web Services, Inc. or its Affiliates. All rights reserved. Thank you!
Jetzt herunterladen