SlideShare ist ein Scribd-Unternehmen logo
1 von 26
Downloaden Sie, um offline zu lesen
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Web Services Japan
Solutions Architect
Yukitaka Ohmura
Nov 9, 2021
Baseline Environment on AWS (BLEA)
テンプレートの使いかた(基本編)
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
大村 幸敬 (おおむら ゆきたか)
Manager, Solutions Architect
• これからクラウドを使いはじめる
エンタープライズ企業をサポート
• Specialty: Cloud Operations & DevOps
• Baseline Environment on AWS (BLEA) メンテナ
https://github.com/aws-samples/baseline-environment-on-aws
好きなAWSのサービス:
AWS CLI, AWS CDK, SSM Incident Manager
2
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Contents
1. AWS上のガバナンスの考え方
2. テンプレートによるガバナンス
3. BLEA 概説
4. 今後の展開
3
ご注意:
この資料はBLEAの利用開始にフォーカスしており、その仕組みについて詳しくは解説していません。
詳細は、ブログ( https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ )
またはGitHubリポジトリ( https://github.com/aws-samples/baseline-environment-on-aws )でご確認ください。
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS上のガバナンスの考え方
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSはBuilderを支えるプラットフォーム
- Self Service Platform -
Biilderに自由を与え、適切な箇所で適切なツールを使えるようにする
それによってビジネス価値を早期に実現できる
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Builderに必要なものは?
Gatekeeper Guardrail
V.S.
ツールの利用を事前承認(Gatekeeper)すると管理業務がボトルネックになる。
各システムで自由に使わせる一方で、Builderを守るためガードレール(Guardrail)を用意する。
やってはいけない操作を未然に防ぐこと(予防的統制)、逸脱を検知すること(発見的統制)の2種類。
6
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
https://www.youtube.com/watch?v=3QJ-RA5R0Jk
https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online
詳しくはこちらをご覧ください
8
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
テンプレートによるガバナンス
9
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
テンプレートによるガバナンスの考え方
• 許可されたサービスを使うのでなく
• 集中管理で設定を強制するのでなく
• 未然に防ぐより
• 初期構築の自動化だけでなく
• すべてを自分で作るのでなく
アカウントの中で自由にサービスを使える環境を
テンプレートによる同一設定の展開と分散管理を
逸脱の検知と迅速な修復を
コードによる継続的なメンテナンスを
AWSサービス拡充の柔軟な取り込みを
左の考えを認めつつも右の考えを重視することで
クラウドの価値を最大限活かすガバナンスを実現することを目標とする
11
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Baseline Environment on AWS (BLEA)
What is
• AWSのセキュリティベストプラクティスを実装したサンプルテンプレート
特徴
• ベースラインのテンプレートを提供
⇨ 最低限実施すべきガバナンスをAWSのセキュリティサービスで実現
⇨ サンプル構成は SecurityHub CIS/AFSBP の High以上が出ないように構成済み
• メンテナンスしやすい Cloud Development Kit (CDK) コード
⇨ CDKによる記述量の削減とエディタによる強力な開発サポート
⇨ カスタマイズしやすさを考慮した平易かつ解説の多いコード
• シングルアカウント & マルチアカウント
⇨単体アカウントへの展開またはControlTower環境への展開に対応
12
https://github.com/aws-samples/baseline-environment-on-aws
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Baseline Environment on AWS の利用パターン
マルチアカウント版
Governance Base
for Standalone Guest
Guest System
シングルアカウント版
(Standalone)
Governance Base
for Control Tower Guest
Guest System
Guest
Account
Guest
Account
Baseline Environment on AWS で提供
Account
AWS ControlTower
Guest
Account
Guest
Account
Management Account
※“Guest system” はマルチアカウント版も
Standalone版も同じものが利用できます。
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Baseline Environment on AWS の利用方法
カスタマイズ
ゲストシステムの
サンプルテンプレート
ガバナンスベースの
テンプレート
BLEA
on GitHub
ガバナンスベース
ゲストシステム
ゲストシステム
CDK
CDK
CDK
CDK
CDK
システムA
システムB
ガバナンスベース
システムA
担当
システムB
担当
システム B 用
システム A 用
ガバナンス
担当
カスタマイズ
カスタマイズ
CDK
CDK
※BLEAテンプレートはMIT-0ライセンスで公開した
AWSのベストプラクティスのサンプル実装であり、
構築された環境の品質をAWSが保証するものではありません。
実際の構築・運用にあたって、
お客様でテンプレートのカスタマイズやテストの実施が必要です。
CDK
CDK
CDK
Fork
自社用に
カスタマイズした
ベースライン
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
BLEA 概説(シングルアカウント版)
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ガバナンスの全体像 - BLEA Standalone 版
管理タスク Management Account Audit Account LogArchive Account Shared Svc Account Guest Account
1 アカウント払い出し Manual-Organizations
2 アクセス制御 (Organizations Roles)
3 予防的統制 (MNL-IAM)
4 発見的統制(Config) TMPL-ConfigRules
5 ロギング TMPL-CloudTrail/Config
6 通知 (CT) (None)
7 発見的統制 (挙動) TMPL-SecurityHub
TMPL-GuardDuty
8 セキュリティ分析 IAM-AccessAnalyzer
9 共有ネットワーク (None)
10 サーバ管理 MNL-SSM QuickSetup
11 通知 (Security)+Chat TMPL-Security Alarm
12 アクセス制御 (for Guest) TMPL-IAM
13 発見的統制 (for Guest) TMPL-ConfigRules
14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc.
15 ネットワーク (for Guest) TMPL-VPC
16 鍵管理 (for Guest) TMPL-KMS
17 通知 (Monitoring)+Chat TMPL-Monitor Alarm
18 リソース + バックアップ TMPL-EC2/Serverless etc.
19 デプロイメント TMPL-CI/CD
- CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual
- *: Not yet
(2021/10/26)
Governance
Base
for
Standalone
Guest
Guest
System
17
管理タスクの主体 管理される側
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Member Account
Architecture - BLEA for Single-Account (Standalone)
Management Account Guest Account
Organizations
IAM
AccessAnalyzer
ConfigRules (Guardrail)
IAMRole (OrganizationAccountAccessRole)
CDK template
Operation Guide
Guest System
GuardDuty
SecurityHub
Systems Manager
QuickSetup
LogBucket
CloudTrail
IAMRole
(for Guest)
ConfigRules
+Automation
EventBridge
+Chatbot
18
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
BLEA ゲストシステム例: Webアプリケーション (ECS+SSL)
WebContents
2021/10/27
CloudFront CloudWatch
Synthetics
CloudWatch
Alarms
CloudWatch
Dashboard
SNS &
Chatbot
CloudWatch
Logs
VPC Flowlogs
ALB AccessLogs etc.
Secrets
Manager
ECR
ECS Fargate Aurora
PostgreSQL
ALB
WAF
ACM
Route53
HostedZone
(既存を参照)
VPC
Endpoints
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Baseline Environment on AWS - Stack dependency
Guardduty
SecurityHub
Trail
Config
ECSApp
DBAuroraPg
Guest System (sample)
Application Stacks
2021/10/26
• Components without dependency can deploy individually
Vpc
Iam
ConfigRule
20
Governance Base for Guest
FrontendSimpleStack
Monitoring Stacks
DashboardStack CanaryStack
KeyApp(KMS)
WAF
ECR
Networking
Stack
MonitorAlarm
Chatbot
Refer EventBridge events
Essential Services
Security Services Stack
SecurityAlarm
Refer EventBridge events
Chatbot
Security Alart Stacks
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
通知(Security Alarm)の例
BLEA がデフォルトで通知する内容
注意が必要な操作
• セキュリティグループの変更
• NeworkACLの変更
• CloudTrailの変更
• IAM Policyの変更
• API認証エラー
• アクセスキーの作成
• Rootユーザーによる操作
セキュリティサービスの通知
• ConfigRules – NON_COMPLIANT
• AWS Health – すべての通知
• SecurityHub
• 以下のCritical/Highを通知
• CIS Benchmark
• AWS Security Foundational Best
Practices
• GuardDuty
• AWSが推奨するSeverityを通知
21
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
通知(Monitor Alarm)の例
サンプルアプリケーションの通知実装(例)
• ECS/Fargate Service 平均CPU使用率
• ECS/Fargate Service タスク数
• ALB レスポンスタイム
• ALB HTTP 4XXエラー数
• ALB HTTP 5XXエラー数
• ALB HealthyHost数
• Aurora CPU使用率
• RDS イベント
22
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
BLEA 概説(マルチアカウント版)
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ガバナンスの全体像 - BLEAマルチアカウント版
管理タスク Management Account Audit Account LogArchive Account Shared Svc Account* Guest Account
1 アカウント払い出し CT-Org (Created by CT) (Created by CT) (Created by CT) (Created by CT)
2 アクセス制御 CT-SSO/Admin + AD CT-Admin CT-Admin CT-Admin CT-Admin
3 予防的統制 CT-SCP CT-SCP CT-SCP CT-SCP CT-SCP
4 発見的統制(Config) CT-ConfigRules作成 CT-ConfigRules CT-ConfigRules CT-ConfigRules CT-ConfigRules
5 ロギング (CT-Log Bucket) CT-CloudTrail/Config CT-Log Bucket CT-CloudTrail/Config CT-CloudTrail/Config
6 通知 (CT) (CT-Audit Topic) CT-Audit Topic (To Audit Topic) (To Audit Topic) (To Audit Topic)
7 発見的統制 (挙動) MNL-SecurityHub
MNL-GuardDuty
Member-SecurityHub
Member-GuardDuty
8 セキュリティ分析 MNL-IAM-AccessAnalyzer Member-IAMAccessAnalyzer
9 共有ネットワーク TMPL-VPC/DNS/VPCEP * (Use Shared Svc Account)
10 サーバ管理 MNL-SSM QuickSetup
11 通知 (Security)+Chat TMPL-Security Alarm
12 アクセス制御 (for Guest) TMPL-IAM
13 発見的統制 (for Guest) TMPL-ConfigRules
14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc.
15 ネットワーク (for Guest) TMPL-VPC
16 鍵管理 (for Guest) TMPL-KMS
17 通知 (Monitoring)+Chat TMPL-Monitor Alarm
18 リソース + バックアップ TMPL-EC2/Serverless etc.
19 デプロイメント TMPL-CI/CD
- CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual
- *: Not yet
(2021/10/26)
AWS
ControlTower
Governance
Base
for
CT
Guest
Guest
System
管理タスクの主体 管理される側
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Member Account
Member Account
Guest Account
BLEA マルチアカウント版 – 利用サービス
Management Account
Audit Account
Customization for
ControlTower
(CFCT)
AWS Contrl Tower
GuardDuty
SecurityHub
Config
SCP
Organizations
IAM
AccessAnalyzer
Config
IAMRole (CT)
IAMRole (for Guest)
Shared Service Account (Not included now)
R53 zone
TransitGW
SharedNW
Guest System
Logging Account
Audit Log
Bucket
Config
Aggregator
SNS
AggregateSecurity
Notifications
GuardDuty
SecurityHub
Systems Manager
QuickSetup
Managed by
Control Tower
SSO
CloudTrail
CDK template
Operation Guide
ConfigRules
+Automation
EventBridge
+Chatbot
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
今後の展開
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
BLEA 今後の展開
• BLEAは AWS Japan の SAが開発・メンテナンスしています
• お客様からのフィードバックを元にユースケースの拡充やセキュリ
ティサービスへの対応強化を行う予定です
• BLEAやCDKを利用するための解説資料やHowTo、ワークショップ
コンテンツなどを提供する予定です
• GitHub に Issuesを投稿する、あるいは お近くの AWS の SA へ
ご連絡ください
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
参考URL
• Baseline Environment on AWS
• https://github.com/aws-samples/baseline-environment-on-aws
• AWS環境にセキュアなベースラインを提供するテンプレート
「Baseline Environment on AWS」のご紹介
• https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/
• CDK Workshop
• https://cdkworkshop.com/
46
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you!

Más contenido relacionado

Was ist angesagt?

AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) Amazon Web Services Japan
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway 20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway Amazon Web Services Japan
 
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted ZoneAmazon Web Services Japan
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-RayAmazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep diveAmazon Web Services Japan
 
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...Amazon Web Services Japan
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本Amazon Web Services Japan
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatchAmazon Web Services Japan
 
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)Amazon Web Services Japan
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAmazon Web Services Japan
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / GlacierAmazon Web Services Japan
 
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)Amazon Web Services Japan
 
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...Amazon Web Services Japan
 
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step FunctionsAmazon Web Services Japan
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報Amazon Web Services Japan
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model  20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model Amazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)Amazon Web Services Japan
 
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDutyAmazon Web Services Japan
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用Amazon Web Services Japan
 

Was ist angesagt? (20)

AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway 20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
 
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
20191105 AWS Black Belt Online Seminar Amazon Route 53 Hosted Zone
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
 
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
20180704(20190520 Renewed) AWS Black Belt Online Seminar Amazon Elastic File ...
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
 
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAFAWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
 
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB)
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
 
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
20190604 AWS Black Belt Online Seminar Amazon Simple Notification Service (SNS)
 
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
 
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model  20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
 
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
 

Ähnlich wie 20211109 bleaの使い方(基本編)

AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrailAmazon Web Services Japan
 
Amazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack についてAmazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack についてHiroyasu Suzuki
 
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズAmazon Web Services Japan
 
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介Yukitaka Ohmura
 
Amazon EC2を使った実践SaaS運用事例
Amazon EC2を使った実践SaaS運用事例Amazon EC2を使った実践SaaS運用事例
Amazon EC2を使った実践SaaS運用事例Yuuki Namikawa
 
cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)iret, Inc.
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方Hirokazu Ouchi
 
AWSマイスターシリーズ(Elastic Beanstalk)
AWSマイスターシリーズ(Elastic Beanstalk)AWSマイスターシリーズ(Elastic Beanstalk)
AWSマイスターシリーズ(Elastic Beanstalk)Akio Katayama
 
AWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 WindowsAWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 WindowsAmazon Web Services Japan
 
Security Operations and Automation on AWS
Security Operations and Automation on AWSSecurity Operations and Automation on AWS
Security Operations and Automation on AWSNoritaka Sekiyama
 
Aws elastic beanstalk-handson-summit2012
Aws elastic beanstalk-handson-summit2012Aws elastic beanstalk-handson-summit2012
Aws elastic beanstalk-handson-summit2012Akio Katayama
 
[AWSマイスターシリーズ] AWS CloudFormation
[AWSマイスターシリーズ] AWS CloudFormation[AWSマイスターシリーズ] AWS CloudFormation
[AWSマイスターシリーズ] AWS CloudFormationAmazon Web Services Japan
 

Ähnlich wie 20211109 bleaの使い方(基本編) (20)

20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
 
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
 
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
 
20120521 aws-meister-elb&as&cw-public
20120521 aws-meister-elb&as&cw-public20120521 aws-meister-elb&as&cw-public
20120521 aws-meister-elb&as&cw-public
 
Amazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack についてAmazon Web Services(AWS)とcloudpack について
Amazon Web Services(AWS)とcloudpack について
 
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
ELB & CloudWatch & AutoScaling - AWSマイスターシリーズ
 
【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security【IVS CTO Night & Day】AWS Cloud Security
【IVS CTO Night & Day】AWS Cloud Security
 
20130326 aws meister-reloaded-windows
20130326 aws meister-reloaded-windows20130326 aws meister-reloaded-windows
20130326 aws meister-reloaded-windows
 
Elastic beanstalk
Elastic beanstalkElastic beanstalk
Elastic beanstalk
 
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
(AWS DevOps祭り 2018) AWS Management Toolsサービスアプデートのご紹介
 
Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明Amazon VPCトレーニング-VPCの説明
Amazon VPCトレーニング-VPCの説明
 
Amazon EC2を使った実践SaaS運用事例
Amazon EC2を使った実践SaaS運用事例Amazon EC2を使った実践SaaS運用事例
Amazon EC2を使った実践SaaS運用事例
 
cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)cloudpack導入資料(2011/09/01版)
cloudpack導入資料(2011/09/01版)
 
CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方CloudFront最近の事例と間違った使い方
CloudFront最近の事例と間違った使い方
 
AWSマイスターシリーズ(Elastic Beanstalk)
AWSマイスターシリーズ(Elastic Beanstalk)AWSマイスターシリーズ(Elastic Beanstalk)
AWSマイスターシリーズ(Elastic Beanstalk)
 
AWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 WindowsAWS Black Belt Online Seminar 2017 EC2 Windows
AWS Black Belt Online Seminar 2017 EC2 Windows
 
Security Operations and Automation on AWS
Security Operations and Automation on AWSSecurity Operations and Automation on AWS
Security Operations and Automation on AWS
 
Aws elastic beanstalk-handson-summit2012
Aws elastic beanstalk-handson-summit2012Aws elastic beanstalk-handson-summit2012
Aws elastic beanstalk-handson-summit2012
 
ShizuokaITpro_Azure
ShizuokaITpro_AzureShizuokaITpro_Azure
ShizuokaITpro_Azure
 
[AWSマイスターシリーズ] AWS CloudFormation
[AWSマイスターシリーズ] AWS CloudFormation[AWSマイスターシリーズ] AWS CloudFormation
[AWSマイスターシリーズ] AWS CloudFormation
 

Mehr von Amazon Web Services Japan

Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Web Services Japan
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介Amazon Web Services Japan
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチAmazon Web Services Japan
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介Amazon Web Services Japan
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...Amazon Web Services Japan
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operationsAmazon Web Services Japan
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをなAmazon Web Services Japan
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPNAmazon Web Services Japan
 
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法Amazon Web Services Japan
 
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤Amazon Web Services Japan
 
01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデートAmazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Amazon Web Services Japan
 

Mehr von Amazon Web Services Japan (20)

Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
 
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
 
AWS の IoT 向けサービス
AWS の IoT 向けサービスAWS の IoT 向けサービス
AWS の IoT 向けサービス
 
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
 
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
 
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
 
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
 
03_AWS IoTのDRを考える
03_AWS IoTのDRを考える03_AWS IoTのDRを考える
03_AWS IoTのDRを考える
 
02B_AWS IoT Core for LoRaWANのご紹介
02B_AWS IoT Core for LoRaWANのご紹介02B_AWS IoT Core for LoRaWANのご紹介
02B_AWS IoT Core for LoRaWANのご紹介
 
01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
 

20211109 bleaの使い方(基本編)

  • 1. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Web Services Japan Solutions Architect Yukitaka Ohmura Nov 9, 2021 Baseline Environment on AWS (BLEA) テンプレートの使いかた(基本編)
  • 2. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 大村 幸敬 (おおむら ゆきたか) Manager, Solutions Architect • これからクラウドを使いはじめる エンタープライズ企業をサポート • Specialty: Cloud Operations & DevOps • Baseline Environment on AWS (BLEA) メンテナ https://github.com/aws-samples/baseline-environment-on-aws 好きなAWSのサービス: AWS CLI, AWS CDK, SSM Incident Manager 2
  • 3. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Contents 1. AWS上のガバナンスの考え方 2. テンプレートによるガバナンス 3. BLEA 概説 4. 今後の展開 3 ご注意: この資料はBLEAの利用開始にフォーカスしており、その仕組みについて詳しくは解説していません。 詳細は、ブログ( https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ ) またはGitHubリポジトリ( https://github.com/aws-samples/baseline-environment-on-aws )でご確認ください。
  • 4. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS上のガバナンスの考え方
  • 5. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSはBuilderを支えるプラットフォーム - Self Service Platform - Biilderに自由を与え、適切な箇所で適切なツールを使えるようにする それによってビジネス価値を早期に実現できる
  • 6. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Builderに必要なものは? Gatekeeper Guardrail V.S. ツールの利用を事前承認(Gatekeeper)すると管理業務がボトルネックになる。 各システムで自由に使わせる一方で、Builderを守るためガードレール(Guardrail)を用意する。 やってはいけない操作を未然に防ぐこと(予防的統制)、逸脱を検知すること(発見的統制)の2種類。 6
  • 7. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. https://www.youtube.com/watch?v=3QJ-RA5R0Jk https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online 詳しくはこちらをご覧ください 8
  • 8. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. テンプレートによるガバナンス 9
  • 9. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. テンプレートによるガバナンスの考え方 • 許可されたサービスを使うのでなく • 集中管理で設定を強制するのでなく • 未然に防ぐより • 初期構築の自動化だけでなく • すべてを自分で作るのでなく アカウントの中で自由にサービスを使える環境を テンプレートによる同一設定の展開と分散管理を 逸脱の検知と迅速な修復を コードによる継続的なメンテナンスを AWSサービス拡充の柔軟な取り込みを 左の考えを認めつつも右の考えを重視することで クラウドの価値を最大限活かすガバナンスを実現することを目標とする 11
  • 10. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS (BLEA) What is • AWSのセキュリティベストプラクティスを実装したサンプルテンプレート 特徴 • ベースラインのテンプレートを提供 ⇨ 最低限実施すべきガバナンスをAWSのセキュリティサービスで実現 ⇨ サンプル構成は SecurityHub CIS/AFSBP の High以上が出ないように構成済み • メンテナンスしやすい Cloud Development Kit (CDK) コード ⇨ CDKによる記述量の削減とエディタによる強力な開発サポート ⇨ カスタマイズしやすさを考慮した平易かつ解説の多いコード • シングルアカウント & マルチアカウント ⇨単体アカウントへの展開またはControlTower環境への展開に対応 12 https://github.com/aws-samples/baseline-environment-on-aws
  • 11. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS の利用パターン マルチアカウント版 Governance Base for Standalone Guest Guest System シングルアカウント版 (Standalone) Governance Base for Control Tower Guest Guest System Guest Account Guest Account Baseline Environment on AWS で提供 Account AWS ControlTower Guest Account Guest Account Management Account ※“Guest system” はマルチアカウント版も Standalone版も同じものが利用できます。
  • 12. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS の利用方法 カスタマイズ ゲストシステムの サンプルテンプレート ガバナンスベースの テンプレート BLEA on GitHub ガバナンスベース ゲストシステム ゲストシステム CDK CDK CDK CDK CDK システムA システムB ガバナンスベース システムA 担当 システムB 担当 システム B 用 システム A 用 ガバナンス 担当 カスタマイズ カスタマイズ CDK CDK ※BLEAテンプレートはMIT-0ライセンスで公開した AWSのベストプラクティスのサンプル実装であり、 構築された環境の品質をAWSが保証するものではありません。 実際の構築・運用にあたって、 お客様でテンプレートのカスタマイズやテストの実施が必要です。 CDK CDK CDK Fork 自社用に カスタマイズした ベースライン
  • 13. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. BLEA 概説(シングルアカウント版)
  • 14. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ガバナンスの全体像 - BLEA Standalone 版 管理タスク Management Account Audit Account LogArchive Account Shared Svc Account Guest Account 1 アカウント払い出し Manual-Organizations 2 アクセス制御 (Organizations Roles) 3 予防的統制 (MNL-IAM) 4 発見的統制(Config) TMPL-ConfigRules 5 ロギング TMPL-CloudTrail/Config 6 通知 (CT) (None) 7 発見的統制 (挙動) TMPL-SecurityHub TMPL-GuardDuty 8 セキュリティ分析 IAM-AccessAnalyzer 9 共有ネットワーク (None) 10 サーバ管理 MNL-SSM QuickSetup 11 通知 (Security)+Chat TMPL-Security Alarm 12 アクセス制御 (for Guest) TMPL-IAM 13 発見的統制 (for Guest) TMPL-ConfigRules 14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc. 15 ネットワーク (for Guest) TMPL-VPC 16 鍵管理 (for Guest) TMPL-KMS 17 通知 (Monitoring)+Chat TMPL-Monitor Alarm 18 リソース + バックアップ TMPL-EC2/Serverless etc. 19 デプロイメント TMPL-CI/CD - CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual - *: Not yet (2021/10/26) Governance Base for Standalone Guest Guest System 17 管理タスクの主体 管理される側
  • 15. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Member Account Architecture - BLEA for Single-Account (Standalone) Management Account Guest Account Organizations IAM AccessAnalyzer ConfigRules (Guardrail) IAMRole (OrganizationAccountAccessRole) CDK template Operation Guide Guest System GuardDuty SecurityHub Systems Manager QuickSetup LogBucket CloudTrail IAMRole (for Guest) ConfigRules +Automation EventBridge +Chatbot 18
  • 16. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. BLEA ゲストシステム例: Webアプリケーション (ECS+SSL) WebContents 2021/10/27 CloudFront CloudWatch Synthetics CloudWatch Alarms CloudWatch Dashboard SNS & Chatbot CloudWatch Logs VPC Flowlogs ALB AccessLogs etc. Secrets Manager ECR ECS Fargate Aurora PostgreSQL ALB WAF ACM Route53 HostedZone (既存を参照) VPC Endpoints
  • 17. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS - Stack dependency Guardduty SecurityHub Trail Config ECSApp DBAuroraPg Guest System (sample) Application Stacks 2021/10/26 • Components without dependency can deploy individually Vpc Iam ConfigRule 20 Governance Base for Guest FrontendSimpleStack Monitoring Stacks DashboardStack CanaryStack KeyApp(KMS) WAF ECR Networking Stack MonitorAlarm Chatbot Refer EventBridge events Essential Services Security Services Stack SecurityAlarm Refer EventBridge events Chatbot Security Alart Stacks
  • 18. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 通知(Security Alarm)の例 BLEA がデフォルトで通知する内容 注意が必要な操作 • セキュリティグループの変更 • NeworkACLの変更 • CloudTrailの変更 • IAM Policyの変更 • API認証エラー • アクセスキーの作成 • Rootユーザーによる操作 セキュリティサービスの通知 • ConfigRules – NON_COMPLIANT • AWS Health – すべての通知 • SecurityHub • 以下のCritical/Highを通知 • CIS Benchmark • AWS Security Foundational Best Practices • GuardDuty • AWSが推奨するSeverityを通知 21
  • 19. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 通知(Monitor Alarm)の例 サンプルアプリケーションの通知実装(例) • ECS/Fargate Service 平均CPU使用率 • ECS/Fargate Service タスク数 • ALB レスポンスタイム • ALB HTTP 4XXエラー数 • ALB HTTP 5XXエラー数 • ALB HealthyHost数 • Aurora CPU使用率 • RDS イベント 22
  • 20. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. BLEA 概説(マルチアカウント版)
  • 21. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ガバナンスの全体像 - BLEAマルチアカウント版 管理タスク Management Account Audit Account LogArchive Account Shared Svc Account* Guest Account 1 アカウント払い出し CT-Org (Created by CT) (Created by CT) (Created by CT) (Created by CT) 2 アクセス制御 CT-SSO/Admin + AD CT-Admin CT-Admin CT-Admin CT-Admin 3 予防的統制 CT-SCP CT-SCP CT-SCP CT-SCP CT-SCP 4 発見的統制(Config) CT-ConfigRules作成 CT-ConfigRules CT-ConfigRules CT-ConfigRules CT-ConfigRules 5 ロギング (CT-Log Bucket) CT-CloudTrail/Config CT-Log Bucket CT-CloudTrail/Config CT-CloudTrail/Config 6 通知 (CT) (CT-Audit Topic) CT-Audit Topic (To Audit Topic) (To Audit Topic) (To Audit Topic) 7 発見的統制 (挙動) MNL-SecurityHub MNL-GuardDuty Member-SecurityHub Member-GuardDuty 8 セキュリティ分析 MNL-IAM-AccessAnalyzer Member-IAMAccessAnalyzer 9 共有ネットワーク TMPL-VPC/DNS/VPCEP * (Use Shared Svc Account) 10 サーバ管理 MNL-SSM QuickSetup 11 通知 (Security)+Chat TMPL-Security Alarm 12 アクセス制御 (for Guest) TMPL-IAM 13 発見的統制 (for Guest) TMPL-ConfigRules 14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc. 15 ネットワーク (for Guest) TMPL-VPC 16 鍵管理 (for Guest) TMPL-KMS 17 通知 (Monitoring)+Chat TMPL-Monitor Alarm 18 リソース + バックアップ TMPL-EC2/Serverless etc. 19 デプロイメント TMPL-CI/CD - CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual - *: Not yet (2021/10/26) AWS ControlTower Governance Base for CT Guest Guest System 管理タスクの主体 管理される側
  • 22. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Member Account Member Account Guest Account BLEA マルチアカウント版 – 利用サービス Management Account Audit Account Customization for ControlTower (CFCT) AWS Contrl Tower GuardDuty SecurityHub Config SCP Organizations IAM AccessAnalyzer Config IAMRole (CT) IAMRole (for Guest) Shared Service Account (Not included now) R53 zone TransitGW SharedNW Guest System Logging Account Audit Log Bucket Config Aggregator SNS AggregateSecurity Notifications GuardDuty SecurityHub Systems Manager QuickSetup Managed by Control Tower SSO CloudTrail CDK template Operation Guide ConfigRules +Automation EventBridge +Chatbot
  • 23. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 今後の展開
  • 24. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. BLEA 今後の展開 • BLEAは AWS Japan の SAが開発・メンテナンスしています • お客様からのフィードバックを元にユースケースの拡充やセキュリ ティサービスへの対応強化を行う予定です • BLEAやCDKを利用するための解説資料やHowTo、ワークショップ コンテンツなどを提供する予定です • GitHub に Issuesを投稿する、あるいは お近くの AWS の SA へ ご連絡ください
  • 25. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 参考URL • Baseline Environment on AWS • https://github.com/aws-samples/baseline-environment-on-aws • AWS環境にセキュアなベースラインを提供するテンプレート 「Baseline Environment on AWS」のご紹介 • https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ • CDK Workshop • https://cdkworkshop.com/ 46
  • 26. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Thank you!