ワークロードの例: コンテナ化されたウェブサービス - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークロードの例: コンテナ化されたウェブサービス

このワークロードは の例ですテーマ 2: 安全なパイプラインを通じてイミュータブルなインフラストラクチャを管理する

ウェブサービスは Amazon ECS で実行され、Amazon RDS のデータベースを使用します。アプリケーションチームは AWS CloudFormation 、 テンプレートでこれらのリソースを定義します。コンテナは EC2 Image Builder で作成され、Amazon ECR に保存されます。アプリケーションチームは、 を通じてシステムに変更をデプロイします AWS CodePipeline。このパイプラインはアプリケーションチームに制限されています。アプリケーションチームがコードリポジトリのプルリクエストを行うと、2 人称ルールが使用されます。

このワークロードでは、アプリケーションチームは Essential Eight 戦略に対応するために以下のアクションを実行します。

アプリケーションコントロール

パッチアプリケーション

  • アプリケーションチームは、Amazon Inspector で Amazon ECR コンテナイメージのスキャンを有効にし、廃止されたライブラリまたは脆弱なライブラリのアラートを設定します。

  • アプリケーションチームは、Amazon Inspector の検出結果への応答を自動化します。新しい検出結果は Amazon EventBridge トリガーを介してデプロイパイプラインを開始し、CodePipeline がターゲットです。

  • アプリケーションチームは、 AWS Config がアセット検出の AWS リソースを追跡できるようにします。

管理者権限を制限する

  • アプリケーションチームは、デプロイパイプラインの承認ルールを通じて、本番環境のデプロイへのアクセスを既に制限しています。

  • アプリケーションチームは、認証情報のローテーションと一元的なログ記録のために、一元化されたクラウドチームの ID フェデレーションに依存しています。

  • アプリケーションチームは CloudTrail 証跡と CloudWatch フィルターを作成します。

  • アプリケーションチームは、CodePipeline デプロイと CloudFormation スタック削除の Amazon SNS アラートを設定します。

パッチオペレーティングシステム

  • アプリケーションチームは、Amazon Inspector で Amazon ECR コンテナイメージのスキャンを有効にし、OS パッチ更新のアラートを設定します。

  • アプリケーションチームは、Amazon Inspector の検出結果への応答を自動化します。新しい検出結果は EventBridge トリガーを介してデプロイパイプラインを開始し、CodePipeline がターゲットです。

  • アプリケーションチームは Amazon RDS イベント通知をサブスクライブして、更新について通知されるようにします。これらの更新を手動で適用するか、Amazon RDS に自動的に適用するかについて、ビジネス所有者とリスクベースの決定を行います。

  • アプリケーションチームは、メンテナンスイベントの影響を軽減するために、Amazon RDS インスタンスをマルチアベイラビリティーゾーンクラスターとして設定します。

多要素認証

  • アプリケーションチームは、コアアーキテクチャ「」セクションで説明されている一元化された ID フェデレーションソリューションに依存しています。このソリューションは、疑わしい MFA イベントに対して MFA を適用し、認証とアラートをログに記録し、自動的に応答します。

定期的なバックアップ