AWS Well-Architected フレームワークの「信頼性の柱」に関する運用上のベストプラクティス - AWS Config

AWS Well-Architected フレームワークの「信頼性の柱」に関する運用上のベストプラクティス

コンフォーマンスパックは、マネージドまたはカスタムの AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。

以下に、Amazon Web Services の Well-Architected フレームワーク「信頼性の柱」と、AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールが特定の AWS リソースに適用され、1 つ以上の設計の原則の柱に関連付けられます。A Well-Architected フレームワークのカテゴリを、複数の Config ルールに関連付けることができます これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。

AWS リージョン:中東 (バーレーン) を除く、サポートされているすべての AWS リージョン

コントロール ID コントロールの概要 AWS Config ルール ガイダンス
REL-1 サービスクォータと制約はどのように管理するのですか。クラウドベースのワークロードアーキテクチャには、サービスクォータ (サービスの制限とも言います) があります。これらのクォータは、サービスを不正使用されないようにするために、必要以上のリソースを誤ってプロビジョニングすることを防ぎ、API オペレーションのリクエストレートを制限するためのものです。また、光ファイバーケーブルにビットをプッシュダウンできる速度や、物理ディスク上のストレージの量などのリソースの制限もあります。

dynamodb-throughput-limit-check

このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループット性能がチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、accountRCUThresholdPercentage (Config デフォルト: 80) および accountWCUThresholdPercentage (Config デフォルト: 80) のパラメータを必要に応じて設定できます。実際の値には、組織のポリシーを反映する必要があります。
REL-1 サービスクォータと制約はどのように管理するのですか。クラウドベースのワークロードアーキテクチャには、サービスクォータ (サービスの制限とも言います) があります。これらのクォータは、サービスを不正使用されないようにするために、必要以上のリソースを誤ってプロビジョニングすることを防ぎ、API オペレーションのリクエストレートを制限するためのものです。また、光ファイバーケーブルにビットをプッシュダウンできる速度や、物理ディスク上のストレージの量などのリソースの制限もあります。

lambda-concurrency-check

このルールにより、Lambda 関数の同時実行数の上限と下限が確立されているかどうかを確認します。これは、関数が任意の時点で処理しているリクエスト数をベースライン化する際に役立ちます。
REL-1 サービスクォータと制約はどのように管理するのですか。クラウドベースのワークロードアーキテクチャには、サービスクォータ (サービスの制限とも言います) があります。これらのクォータは、サービスを不正使用されないようにするために、必要以上のリソースを誤ってプロビジョニングすることを防ぎ、API オペレーションのリクエストレートを制限するためのものです。また、光ファイバーケーブルにビットをプッシュダウンできる速度や、物理ディスク上のストレージの量などのリソースの制限もあります。

ecs-task-definition-memory-hard-limit

Amazon Elastic Container Service (Amazon ECS) コンテナで使用できる最大メモリを制限することで、コンテナへの悪意のあるアクセスが発生しても、リソースの使用量が悪用されることはありません。
REL-2 ネットワークトポロジはどのように計画するのですか。多くの場合、ワークロードは複数の環境に存在します。その中には、複数のクラウド環境 (パブリックアクセスとプライベートの両方) や、場合によっては既存のデータセンターのインフラストラクチャが含まれます。プランには、システム内およびシステム間の接続性、パブリック IP アドレスの管理、プライベート IP アドレスの管理、ドメイン名の解決といったネットワークの考慮事項が含まれている必要があります。

vpc-vpn-2-tunnels-up

冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。
REL-2 ネットワークトポロジはどのように計画するのですか。多くの場合、ワークロードは複数の環境に存在します。その中には、複数のクラウド環境 (パブリックアクセスとプライベートの両方) や、場合によっては既存のデータセンターのインフラストラクチャが含まれます。プランには、システム内およびシステム間の接続性、パブリック IP アドレスの管理、プライベート IP アドレスの管理、ドメイン名の解決といったネットワークの考慮事項が含まれている必要があります。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
REL-2 ネットワークトポロジはどのように計画するのですか。多くの場合、ワークロードは複数の環境に存在します。その中には、複数のクラウド環境 (パブリックアクセスとプライベートの両方) や、場合によっては既存のデータセンターのインフラストラクチャが含まれます。プランには、システム内およびシステム間の接続性、パブリック IP アドレスの管理、プライベート IP アドレスの管理、ドメイン名の解決といったネットワークの考慮事項が含まれている必要があります。

ec2-instances-in-vpc

Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを Amazon Virtual Private Cloud (Amazon VPC) 内にデプロイすることで、インターネットゲートウェイ、NAT デバイス、または VPN 接続を使用せずに、インスタンスと Amazon VPC 内の他のサービス間の安全な通信が実現できます。すべてのトラフィックは AWS クラウド内で安全に保持されます。論理的な隔離により、VPC 内に存在するドメインには、パブリックエンドポイントを使用するドメインに比較して、より拡張されたセキュリティレイヤーがあります。Amazon EC2 インスタンスを Amazon VPC に割り当て、アクセスを適切に管理します。
REL-5 障害を軽減または耐えるために、分散システムにおけるインタラクションをどのように設計しますか。分散システムは、サーバーやサービスなどのコンポーネントを相互接続するために通信ネットワークに依存しています。これらのネットワークでデータ損失や遅延が発生しても、ワークロードは確実に動作する必要があります。分散システムのコンポーネントは、他のコンポーネントやワークロードに悪影響を及ぼさない方法で動作する必要があります。これらのベストプラクティスは障害を防ぎ、平均故障間隔 (MTBF) を改善します。

lambda-dlq-check

このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

api-gw-xray-enabled

AWS X-Ray は、アプリケーションで処理するリクエストに関するデータを収集するとともに、データの表示、フィルタリング、インサイトによって問題や機会を特定して最適化するために使用できるツールを提供します。Ensure X-Ray を有効にすると、リクエストとレスポンスに関する情報だけではなく、ダウンストリーム AWS リソース、マイクロサービス、データベース、および HTTP ウェブ API に対してアプリケーションが行う呼び出しに関する詳細な情報も確認できます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

api-gw-execution-logging-enabled

API Gateway のログ記録では、API にアクセスしたユーザーと API にアクセスした方法に関する詳細ビューが表示されます。このインサイトにより、ユーザーアクティビティを可視化することができます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

beanstalk-enhanced-health-reporting-enabled

AWS Elastic Beanstalk のヘルスレポートが強化されたことで、基盤となるインフラストラクチャの状態の変化に、より迅速に対応できるようになりました。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk の強化されたヘルスレポートでは、特定された問題の重要度を測定し、調査すべき潜在的な原因を特定するためのステータス記述子が提供されます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

cloudwatch-alarm-action-check

Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときにアラームで警告します。アラームは、メトリクスや式の値が複数の期間にわたって特定のしきい値を超えた場合に 1 つ以上のアクションを実行します。このルールには、alarmActionRequired (Config デフォルト: True)、insufficientDataActionRequired (Config デフォルト: True)、okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch を使用して、イベントのアクティビティログを一元的に収集および管理します。AWS CloudTrail データを含めることで、お客様の AWS アカウント内の API コールのアクティビティの詳細を提供します。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録するため、非否認の際に役立ちます。AWS のサービスを呼び出したユーザーと AWS アカウント、呼び出しが生成された送信元 IP アドレス、呼び出しのタイミングを特定できます。取得したデータの詳細は、AWS CloudTrail レコードの内容で確認することができます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

cloudtrail-s3-dataevents-enabled

Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service のドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。OpenSearch Service のエラーログは、セキュリティとアクセス監査や可用性の問題の診断に役立ちます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

ecs-container-insights-enabled

モニタリングは、Amazon Elastic Container Service (ECS) および AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。Container Insights では、問題の迅速な特定と解決に役立つ、コンテナの再起動失敗などの診断情報も提供されます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

elb-logging-enabled

Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータから、ELB に送信されるリクエストについての詳細情報が得られます。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

multi-region-cloudtrail-enabled

AWS CloudTrail は、AWS マネジメントコンソールのアクションと API コールを記録します。AWS を呼び出したユーザーとアカウント、呼び出し元 IP アドレス、および呼び出し日時を特定できます。MULTI_REGION_CLOUD_TRAIL_ENABLED が有効になっている場合、CloudTrail はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、AWS が新しいリージョンを作成すると、CloudTrail はそのリージョンに同じ証跡を作成します。その結果、アクションを実行しなくても、新しいリージョンの API アクティビティを含むログファイルを受け取ることができるようになります。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

rds-logging-enabled

環境内でログ記録とモニタリングを行うため、Amazon Relational Database Service (Amazon RDS) でログ記録を有効にします。Amazon RDS のログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

ec2-instance-detailed-monitoring-enabled

このルールを有効にすると、Amazon EC2 コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングを改善できます。このルールでは、インスタンスの 1 分ごとのモニタリンググラフが表示されます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

guardduty-enabled-centralized

Amazon GuardDuty は、脅威インテリジェンスフィードを使用することで、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これには、AWS クラウド環境内の予期しない未許可のアクティビティや、悪意のあるアクティビティを識別するための悪意のある IP と機会学習のリストが含まれます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

lambda-dlq-check

このルールを有効にすると、機能が失敗した場合に、Amazon Simple Queue Service (Amazon SQS) または Amazon Simple Notification Service (Amazon SNS) を介して、適切な担当者に通知できます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

rds-enhanced-monitoring-enabled

Amazon Relational Database Service (Amazon RDS) を有効にすると、Amazon RDS の可用性をモニタリングできます。これにより、Amazon RDS データベースインスタンスのヘルスステータスの詳細が可視化されます。Amazon RDS ストレージが、複数の基盤となる物理デバイスを使用している場合、拡張モニタリングによって各デバイスのデータが収集されます。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータと、セカンダリホストのメトリクスが収集されます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

redshift-enhanced-vpc-routing-enabled

拡張された VPC のルーティングにより、クラスターとデータリポジトリ間のすべての COPY および UNLOAD トラフィックが、Amazon VPC を通過するよう強制されます。その後、セキュリティグループやネットワークアクセスコントロールリストなどの VPC 機能を使用して、ネットワークトラフィックを保護することができます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

s3-bucket-logging-enabled

Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

securityhub-enabled

AWS Security Hub は、権限のない人員、接続、デバイス、ソフトウェアのモニタリングに役立ちます。AWS Security Hub は、複数の AWS のサービスからセキュリティアラート (つまり検出結果) を集計、整理、優先順位付けします。対象のサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager、AWS パートナーソリューションなどがあります。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

vpc-flow-logs-enabled

VPC フローログでは、Amazon Virtual Private Cloud (Amazon VPC) 内のネットワークインターフェイス間で送受信される IP トラフィックに関する情報の詳細な記録を提供します。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。
REL-6 ワークロードのリソースをどのようにモニタリングするのですか。ログやメトリクスは、ワークロードの状態に関するインサイトを得るための強力なツールです。ログやメトリクスをモニタリングし、しきい値を超えたときや、重要なイベントが発生したときに通知を送信するようにワークロードを設定することができます。モニタリングを行うことで、パフォーマンス低下のしきい値を超えたときや、障害が発生したときにワークロードで認識され、自動的に回復することができます。

wafv2-logging-enabled

環境内でログ記録とモニタリングを実行するには、リージョンおよびグローバルウェブアクセスコントロールで AWS WAF (V2) ログ記録を有効にします。AWS WAF ログ記録により、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得します。ログには、AWS WAF が AWS リソースからリクエストを受信した時間、リクエストの詳細、各リクエストが一致させるルールのアクションが記録されます。
REL-7 需要の変化に対応するためには、どのようにワークロードを設計すればよいですか。スケーラブルなワークロードでは、リソースを自動的に追加または削除することで、任意の時点での需要により合致できる伸縮性を得られます。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
REL-7 需要の変化に対応するためには、どのようにワークロードを設計すればよいですか。スケーラブルなワークロードでは、リソースを自動的に追加または削除することで、任意の時点での需要により合致できる伸縮性を得られます。

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud (Amazon EC2) Auto Scaling グループの Elastic Load Balancing (ELB) ヘルスチェックは、十分な容量と可用性の維持をサポートします。ロードバランサーは、定期的に ping の送信、接続の試行、リクエストの送信を実行し、Auto scaling グループ内の Amazon EC2 インスタンスのヘルスステータスをテストします。インスタンスによってレポートが返されない場合、新しい Amazon EC2 インスタンスにトラフィックが送信されます。
REL-7 需要の変化に対応するためには、どのようにワークロードを設計すればよいですか。スケーラブルなワークロードでは、リソースを自動的に追加または削除することで、任意の時点での需要により合致できる伸縮性を得られます。

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling は AWS Application Auto Scaling サービスを使用し、ユーザーに代わって、実際のトラフィックパターンに自動的に応答するプロビジョンドスループット性能を調節します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。
REL-8 どのように変更を実装するのですか。コントロールされた変更は、新しい機能をデプロイするために必要ですが、ワークロードやオペレーティング環境が既知のソフトウェアを実行し、予測可能な方法でパッチや置き換えを行うためにも必要です。これらの変更がコントロールされていない場合、変更による影響を予測したり、変更によって発生する問題に対応することが困難になります。

redshift-cluster-maintenancesettings-check

このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、allowVersionUpgrade を設定する必要があります。デフォルトは true です。必要に応じて、「preferredMaintenanceWindow (デフォルトは「sat: 16:00-sat: 16:30」) と automatedSnapshotRetentionPeriod (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。
REL-8 どのように変更を実装するのですか。コントロールされた変更は、新しい機能をデプロイするために必要ですが、ワークロードやオペレーティング環境が既知のソフトウェアを実行し、予測可能な方法でパッチや置き換えを行うためにも必要です。これらの変更がコントロールされていない場合、変更による影響を予測したり、変更によって発生する問題に対応することが困難になります。

rds-automatic-minor-version-upgrade-enabled

Amazon Relational Database Service (RDS) インスタンスで自動マイナーバージョンアップグレードを有効にすると、セキュリティパッチやバグ修正を含むリレーショナルデータベース管理システム (RDBMS) の最新のマイナーバージョンアップデートをインストールできます。
REL-8 どのように変更を実装するのですか。コントロールされた変更は、新しい機能をデプロイするために必要ですが、ワークロードやオペレーティング環境が既知のソフトウェアを実行し、予測可能な方法でパッチや置き換えを行うためにも必要です。これらの変更がコントロールされていない場合、変更による影響を予測したり、変更によって発生する問題に対応することが困難になります。

ec2-managedinstance-patch-compliance-status-check

このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定とドキュメント化ができます。このルールにより、AWS Systems Manager で、Amazon EC2 インスタンスのパッチコンプライアンスが組織のポリシーや手順で要求されているかどうかをチェックします。
REL-8 どのように変更を実装するのですか。コントロールされた変更は、新しい機能をデプロイするために必要ですが、ワークロードやオペレーティング環境が既知のソフトウェアを実行し、予測可能な方法でパッチや置き換えを行うためにも必要です。これらの変更がコントロールされていない場合、変更による影響を予測したり、変更によって発生する問題に対応することが困難になります。

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager Association を使用することで、組織内でソフトウェアプラットフォームやアプリケーションのインベントリを作成できます。AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

バックアップ計画によって保護された Aurora リソース

データバックのアッププロセスを実行するため、Amazon Aurora リソースが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

バックアップ計画-分-頻度と分保持チェック

データバックアッププロセスを支援するには、AWS Backup プランが最小頻度と保持期間に設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。このルールでは、requiredFrequencyValue (デフォルトConfig: 1)、requiredretentionDays (デフォルトConfig: 35)、および requiredFrequencyUnit (デフォルトConfig: 日) パラメータを設定することができます。実際の値には、組織の要件を反映する必要があります。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

バックアップ/リカバリポイントの最小保存期間チェック

データバックアッププロセスを支援するために、AWS Backup リカバリポイントに最小保持期間が設定されていることを確認してください。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。requiredetentionDays (デフォルト設定:35) パラメータを設定できるルールです。実際の値には、組織の要件を反映する必要があります。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

バックアップ/リカバリポイント暗号化

AWS Backup リカバリポイントの暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

db-instance-backup-enabled

Amazon RDS のバックアップ機能では、データベースとトランザクションログのバックアップが作成されます。Amazon RDS により、DB インスタンスクラスターのストレージボリュームのスナップショットが自動的に作成され、DB インスタンス全体がバックアップされます。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

dynamodb-in-backup-plan

データバックのアッププロセスを実行するため、Amazon DynamoDB テーブルが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

dynamodb-pitr-enabled

このルールを有効にして、情報がバックアップされているかどうかをチェックします。また、Amazon DynamoDB でポイントインタイムリカバリが有効になっているかどうかを確認することで、バックアップを維持します。リカバリによって、過去 35 日間のテーブルの継続的なバックアップが維持されます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

dynamodb-table-encrypted-kms

Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB のテーブルは AWS が所有するカスタマーマスターキー (CMK) で暗号化されます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

ebs-in-backup-plan

データバックアッププロセスを実行するには、Amazon Elastic Block Store (Amazon EBS) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

ec2-ebs-encryption-by-default

保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

encrypted-volumes

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

ec2-resources-protected-by-backup-plan

データバックアッププロセスを支援するために、Amazon Elastic Compute Cloud (Amazon EC2) ボリュームが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

efs-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Elastic File System (Amazon EFS) ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

efs-encrypted-check

機密データが含まれている可能性があるため、保管中のデータを保護するために Amazon Elastic File System (EFS) で暗号化が有効になっていることを確認します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

elasticache-redis-cluster-automatic-backup-check

自動バックアップが有効になっている場合、Amazon ElastiCache はクラスターのバックアップを毎日作成します。バックアップは、組織の指定により数日間、保持することができます。自動バックアップは、データ損失を防ぐのに役立ちます。障害が発生した場合は、新しいクラスターを作成して、最新のバックアップからデータを復元できます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

elb-deletion-protection-enabled

このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

fsx-resources-protected-by-backup-plan

データバックのアッププロセスを実行するため、Amazon FSx ファイルシステムが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

rds-in-backup-plan

データのバックアッププロセスを実行するには、Amazon Relational Database Service (Amazon RDS) インスタンスが AWS Backup のプランに含まれていることを確認します。AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドのバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

rds-storage-encrypted

保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDS インスタンスには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

rds-snapshot-encrypted

Amazon Relational Database Service (Amazon RDS) スナップショットで、暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

rds-instance-deletion-protection-enabled

Amazon Relational Database Service (Amazon RDS) インスタンスで、削除保護が有効になっていることを確認します。削除保護を使用すると、Amazon RDS インスタンが誤って削除されたり、悪意を持って削除されることでアプリケーションの可用性が失われることを防ぐことができます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

s3-bucket-default-lock-enabled

Amazon Simple Storage Service (Amazon S3) バケットで、 デフォルトでロックが有効になっていることを確認します。S3 バケットには機密データが含まれている可能性があるため、保管時にオブジェクトロックを適用してデータを保護します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

s3-bucket-replication-enabled

Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) は、十分な容量と可用性の維持をサポートします。CRR により、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性が維持されます。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

s3-bucket-server-side-encryption-enabled

保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

s3-default-encryption-kms

Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

ebs-optimized-instance

Amazon Elastic Block Store (Amazon EBS) の最適化インスタンスは、Amazon EBS I/O 操作専用の追加容量を提供します。この最適化は、Amazon EBS I/O 操作とその他のインスタンスからのトラフィック間の競合を最小化することで、EBS ボリュームの効率的なパフォーマンスを実現します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

redshift-backup-enabled

データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Amazon Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

redshift-cluster-kms-enabled

保管中のデータを保護するため、Amazon Redshift クラスターで AWS Key Management Service (AWS KMS) による暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。
REL-9 データのバックアップはどのように行うのですか。データ、アプリケーション、設定をバックアップすると、目標復旧時間 (RTO) や目標復旧時点 (RPO) の要件を満たすことができます。

s3-bucket-versioning-enabled

Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。
REL-10 ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。

elb-cross-zone-load-balancing-enabled

Elastic Load Balancing (ELB) のクロスゾーン負荷分散を有効にして、十分な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。
REL-10 ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。

clb-multiple-az

Elastic Load Balancing (ELB) では、受信したトラフィックがアベイラビリティーゾーンの複数のターゲット (EC2 インスタンス、コンテナ、IP アドレスなど) に自動的に分散させます。高可用性を確保するには、ELB に複数のアベイラビリティーゾーンのインスタンスが登録されていることを確認してください。
REL-10 ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。

elbv2-multiple-az

Elastic Load Balancing (ELB) では、受信したトラフィックがアベイラビリティーゾーンの複数のターゲット (EC2 インスタンス、コンテナ、IP アドレスなど) に自動的に分散させます。高可用性を確保するには、ELB に複数のアベイラビリティーゾーンのインスタンスが登録されていることを確認してください。
REL-10 ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。

lambda-vpc-multi-az-check

AWS Lambda 関数がアカウントの仮想プライベートクラウド (VPC) に接続するように設定されている場合は、AWS Lambda 関数を少なくとも 2 つの異なるアベイラビリティーゾーンにそれぞれデプロイし、1 つのゾーンでサービスの中断が発生した場合でも、他のゾーンでイベントを確実に処理できるようにします。
REL-10 ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。

opensearch-data-node-fault-tolerance

Amazon OpenSearch Service (OpenSearch Service) では、高可用性と耐障害性のために少なくとも 3 つのデータノードが必要です。少なくとも 3 つのデータノードを持つ OpenSearch Service ドメインをデプロイすると、ノードに障害が発生した場合のクラスターオペレーションが確実になります。
REL-10 ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。

rds-multi-az-support

Amazon Relational Database Service (Amazon RDS) のマルチ AZ のサポートにより、データベースインスタンスの可用性と耐久性が強化されます。マルチ AZ のデータベースインスタンスをプロビジョニングすると、Amazon RDS はプライマリデータベースのインスタンスを自動的に作成し、別のアベイラビリティーゾーンのスタンバイインスタンスにデータを同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon RDS ではスタンバイへの自動フェイルオーバーが実行されるため、フェイルオーバーが完了するとすぐにデータベース運用を再開できます。
REL-10 ワークロードを保護するための障害分離はどのように使用するのですか。障害を分離した境界によって、ワークロード内の障害の影響を限られた数のコンポーネントに限定できます。境界の外部のコンポーネントは、障害の影響を受けません。障害を分離した複数の境界を使用して、ワークロードへの影響を制限することができます。

vpc-vpn-2-tunnels-up

冗長な Site-to-Site VPN トンネルを実装することで、回復性の要件を満たすことができます。2 つのトンネルを使用することで、Site-to-Site VPN 接続の 1 つが使用できなくなった場合の接続を確保します。カスタマーゲートウェイが使用できなくなった場合に接続が失われるのを防ぐために、2 つ目のカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) および仮想プライベートゲートウェイへの 2 つ目の Site-to-Site VPN 接続を設定できます。

テンプレート

テンプレートは、GitHub の「Operational Best Practices for AWS Well-Architected Reliability Pillar」で入手できます。