オペレーションとセキュリティ - AWS 規範ガイダンス
ランブックと新しいプロセスサポートとチケット発行システムセキュリティ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オペレーションとセキュリティ

Amazon OpenSearch Service に移行すると、運用アクティビティが変更されます。ノードのプロビジョニング、ストレージの追加、オペレーティングシステムのインストールとパッチ適用、高可用性、スケーリング、その他の低レベルのアクティビティの設定と維持については、お客様が責任を負いません。代わりに、ユースケースと新しいユーザーエクスペリエンスの構築に集中できます。

Amazon OpenSearch Service には、運用プロセスを最適化するために必要なログ記録、モニタリング、トラブルシューティング機能が用意されています。

ランブックと新しいプロセス

計画段階で、変更または削除する必要がある既存のプロセスを特定します。その後、過去に帯域幅がない可能性のある新しい運用プロセスを追加できます。

Amazon OpenSearch Service は未分化の重労働を排除しますが、最高のパフォーマンスを実現するようにアプリケーションが設計およびモニタリングされていることを確認する必要があります。内部または外部要因によるヘルスの問題を完全に認識できるように、ドメインのモニタリングとアラートを設定する必要があります。最新バージョンへのアップグレードをスケジュールして開始する必要があります。

このようなすべての運用アクティビティでは、ランブックを作成し、既存のランブックを変更する必要があります。インフラストラクチャをモニタリングし、Amazon OpenSearch Service の運用メトリクスを分析するには、ランブックを維持することが重要です。ランブックにより、コンプライアンスと規制要件に従って一貫して運用できます。ランブックを使用していない場合は、使用を検討することをお勧めします。アプリケーションのクラッシュや予期しない障害からの復旧などの修復プロセスが完全に自動化されるように、事前に計画されたステップを定期的に実行するプロセスを作成します。

サポートとチケット発行システム

デプロイに関連するインシデントをキャプチャするには、チケット発行システムの計画と運用をお勧めします (すでに計画している可能性があります)。AWS サポートでサポートチケットを作成する方法について、サポートスタッフをトレーニングする必要がある場合があります。チケットのトリアージ中にエスカレーションプロセスを合理化することをお勧めします。

このガイドの後半の「オペレーショナルエクセレンス」セクションでは、ランブックやビルドプロセスで考慮すべきいくつかのベストプラクティスと分野へのリンクを提供します。

セキュリティ

AWS では、セキュリティが最優先事項です。Amazon OpenSearch Service は、多層セキュリティを提供します。このサービスは、すべてのセキュリティパッチを処理し、VPC によるネットワーク分離、きめ細かなアクセスコントロール、マルチテナントサポートを提供します。データは、AWS Key Management Service (AWS KMS) を通じて作成および管理するキーを使用して保管時に暗号化されます。node-to-node暗号化機能は、ドメイン内のインスタンス間のすべての通信に Transport Layer Security (TLS) を提供します。Amazon OpenSearch Service は HIPAA にも準拠しており、PCI DSS、SOC、ISO、および FedRAMP 標準に準拠しているため、業界固有の要件や規制要件を満たすのに役立ちます。

計画段階で、ドメインとやり取りするユーザーとプロセスを特定し、ネットワークトポロジーを選択し、各プリンシパルの認証と認可を計画します。組織のセキュリティとコンプライアンスの要件に応じて、複数のセキュリティ機能を使用して、ビジネスニーズを満たす環境を作成できます。さらに、次の要素を考慮してください。

  • VPC – AWS の Virtual Private Cloud (VPC) 内で Amazon OpenSearch Service を設定できます。これは推奨される設定です。パブリックエンドポイントを使用してドメインを作成することはお勧めしません。クライアントアプリケーションとユーザーがターゲット環境にアクセスできるように、必要なネットワークアーキテクチャを作成することを計画します。

  • 認証 – Amazon OpenSearch Service は、ユーザーまたはソフトウェアクライアントを認証する複数の方法をサポートしています。OpenSearch Dashboards にアクセスするために、既存の ID プロバイダーによる Amazon Cognito または SAML 認証をサポートしています。また、IAM ID との統合と、内部ユーザーデータベースを使用した基本的な HTTP 認証も提供します。認証に適したオプションを設定してテストする計画を立てる必要があります。詳細については、OpenSearch Service セキュリティドキュメントを参照してください。

  • 認可 – サービスへのアクセスを設定する際の最小特権の原則に従うことをお勧めします。Amazon OpenSearch Service は、ドキュメント、行、列レベルでアクセスを設定するのに役立つきめ細かなアクセスコントロールを提供します。

セキュリティ機能を理解し、PoC ステージでテストします。