翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
シナリオとアーキテクチャの概要
政府機関には、次の 3 つのワークロードがあります AWS クラウド。
-
ストレージと抽出、変換、ロード (ETL) オペレーション AWS Lambda に Amazon Simple Storage Service (Amazon S3) を使用するサーバーレスデータレイク
-
Amazon Elastic Container Service (Amazon ECS) で実行され、Amazon Relational Database Service (Amazon RDS) のデータベースを使用するコンテナ化されたウェブサービス
-
Amazon EC2 で実行されている市販off-the-shelf (COTS) ソフトウェア
クラウドチームは、組織の一元化されたプラットフォームを提供し、 AWS 環境のコアサービスを実行します。クラウドチームは、 AWS 環境のコアサービスを提供します。各ワークロードは、開発者チームまたはデリバリーチームとも呼ばれる個別のアプリケーションチームによって所有されます。
コアアーキテクチャ
クラウドチームは、 で次の機能を既に確立しています AWS クラウド。
-
ID Microsoft フェデレーション AWS IAM Identity Center は、Entra ID (以前の Azure Active Directory) インスタンスにリンクします。フェデレーションは、MFA、ユーザーアカウントの自動有効期限、および AWS Identity and Access Management (IAM) ロールを介した有効期間の短い認証情報の使用を強制します。
-
一元化された AMI パイプラインは、EC2 Image Builder で OSsとコアアプリケーションにパッチを適用するために使用されます。
-
Amazon Inspector は脆弱性を識別でき、すべてのセキュリティ検出結果が Amazon GuardDuty に送信され、一元管理されます。
-
確立されたメカニズムは、アプリケーションコントロールルールの更新、サイバーセキュリティイベントへの対応、コンプライアンスギャップの確認に使用されます。
-
AWS CloudTrail はログ記録とモニタリングに使用されます。
-
ルートユーザーのログインなどのセキュリティイベントは、アラートを開始します。
-
SCPsと VPC エンドポイントポリシーは、環境のデータ境界を確立します AWS 。
-
SCPs、アプリケーションチームが CloudTrail や などのセキュリティサービスとログ記録サービスを無効にできないようにします AWS Config。
-
AWS Config の結果は、 AWS 組織全体から 1 つの に集約され、セキュリティ AWS アカウント が確保されます。
-
AWS Config ACSC Essential 8 コンフォーマンスパックは、組織内のすべての AWS アカウント で有効になっています。
