OPS01-BP03 ガバナンス要件を評価する

ガバナンスとは、企業がビジネス目標を達成するために使用する、ポリシー、ルール、フレームワーク一式です。ガバナンス要件は、組織内から生まれます。選択する技術の種類に影響する場合も、ワークロードを運用する方法に関連する場合もあります。組織のガバナンス要件を、ワークロードに組み込みます。コンフォーマンスとは、ガバナンス要件が組み込まれていることを示す能力のことです。

期待される成果:

• ガバナンス要件が、アーキテクチャの設計およびワークロードのオペレーションに組み込まれています。

• ガバナンス要件に従っている証拠を提供できます。

• ガバナンス要件は定期的に見直され更新されています。

一般的なアンチパターン:

• 組織が、ルートアカウントを多要素認証とすることを義務としている。この要件を実装できなかったため、ルートアカウントが侵害された。

• ワークロードの設計中に、IT 部門が承認していないインスタンスタイプを選択した。ワークロードを起動できず、再設計を行わなければならなくなった。

• ディザスタリカバリ計画を備えることが必須となっているが、計画を作成しなかったため、ワークロードの停止が長引いた。

• チームは新しいインスタンスの使用を希望していたが、ガバナンス要件が更新されていないため、許可されなかった。

このベストプラクティスを活用するメリット:

• ガバナンス要件に従うと、ワークロードを組織のより大きなポリシーに合わせることができます。

• ガバナンス要件は、業界の標準と組織のベストプラクティスを反映しています。

このベストプラクティスを活用しない場合のリスクレベル: 高

実装のガイダンス

関係者やガバナンス組織と協力して、ガバナンス要件を特定します。ガバナンス要件をワークロードに含めます。ガバナンス要件に従っている証拠を提供できるようにします。

お客様事例

AnyCompany Retail では、クラウドオペレーションチームが組織全体の利害関係者と協力してガバナンス要件を開発します。例えば、Amazon EC2インスタンスSSHへのアクセスを禁止します。チームがシステムにアクセスする必要がある場合、 AWS Systems Manager Session Managerを使用する必要があります。クラウドオペレーションチームは、新しいサービスを利用できるようになるたびに、ガバナンス要件を定期的に更新しています。

実装手順

1. 一元化されたチームがあればそれも含め、ワークロードの関係者を特定します。

2. 関係者と協力して、ガバナンス要件を特定します。

3. リストを作成したら、改善項目に優先順位を付け、ワークロードへの実装を開始します。

   1. のような サービスを使用してAWS Config、ガバナンス要件が守られていることを作成して governance-as-code検証します。

   2. AWS Organizations を使用する場合は、サービスコントロールポリシーを活用してガバナンス要件を実装できます。

4. 実装を検証するドキュメントを提供します。

実装計画に必要な工数レベル: 中 ガバナンス要件を満たさずに実装すると、ワークロードをやり直すことになる場合があります。

リソース

関連するベストプラクティス:

• OPS01-BP04 コンプライアンス要件を評価する - コンプライアンスはガバナンスに似ていますが、組織外から取得されます。

関連ドキュメント:

• AWS 管理とガバナンスのクラウド環境ガイド

• マルチアカウント環境における AWS Organizations サービスコントロールポリシーのベストプラクティス

• のガバナンス AWS クラウド: 俊敏性と安全性の適切なバランス

• ガバナンス、リスク、コンプライアンス (GRC) とは

関連動画:

• AWS 管理とガバナンス: 設定、コンプライアンス、監査 - AWS オンライン Tech Talks

• AWS re:Inforce 2019: クラウド時代のガバナンス (DEM12-R1)

• AWS re:Invent 2020: を使用してコードとしてコンプライアンスを達成する AWS Config

• AWS re:Invent 2020: でのアジャイルガバナンス AWS GovCloud (US)

関連する例:

• AWS Config コンフォーマンスパックのサンプル

関連サービス:

• AWS Config

• AWS Organizations - サービスコントロールポリシー