AWS Guardrail互換性ガイダンス
VeloDB BYOCは、顧客が管理するAWS環境内で動作するよう設計されており、一般的な企業ガバナンス、セキュリティ、およびコンプライアンス制御と互換性があります。この文書は、VeloDB BYOC展開に適用される可能性があるAWS guardrailに関するガイダンスを提供し、サポートされている制御を特定し、必要なAWS機能を妨げるような設定がされた場合にプロビジョニング、スケーリング、アップグレード、バックアップ、監視、復旧、またはサポート運用に影響を与える可能性のある制限を強調しています。
顧客には、運用要件が組織のセキュリティポリシーおよびコンプライアンス基準と互換性を保つことを確実にするため、本番展開前にVeloDBと提案されたガバナンス制御を検討することをお勧めします。
アーキテクチャ概要
BYOC展開モデルでは、すべてのデータプレーンリソースが顧客によって所有・管理されるAWSアカウント内に展開されます。顧客は基盤となるクラウドインフラストラクチャの所有権を保持し、独自のネットワーキング、セキュリティ、コンプライアンス、およびガバナンス制御を管理し続けます。
VeloDBは、Service Control Policies(SCP)、権限境界、AWS CloudTrail、AWS Config、Amazon EventBridge、顧客管理AWS KMSキー、タグ付けポリシー、地域展開制限、およびプライベートネットワーキングアーキテクチャを含む標準的なAWSガバナンスメカニズムと連携して動作するよう設計されています。これらの制御は、展開の通常のライフサイクル管理に必要なAWSサービス、API、権限、およびネットワーク接続を引き続き許可する限り、完全にサポートされます。
顧客所有のセキュリティおよびガバナンス制御
VeloDBは顧客所有のセキュリティモデルに従います。顧客は、セキュリティグループ、ネットワークACL、ルートテーブル、Service Control Policies、権限境界、KMSキー、CloudTrail設定、AWS Configルール、およびEventBridge監視ポリシーを含むAWS環境の管理所有権と運用制御を保持します。
通常の運用の一部として、VeloDBは顧客管理のセキュリティグループ、ネットワークACL、またはルートテーブルを変更しません。顧客は、内部セキュリティ基準に沿ったガバナンス制御、監視ポリシー、およびコンプライアンス要件を実装できますが、これらの制御がVeloDBライフサイクル運用に必要なAWSリソース、権限、または接続を制限しないことが条件です。
IAMおよびクロスアカウントアクセス要件
VeloDB BYOCは、顧客AWSアカウント内でライフサイクル管理活動を実行するために、顧客が作成したクロスアカウントIAMロールを使用します。このロールは、VeloDB管理インフラストラクチャコンポーネントのプロビジョニング、管理、監視、スケーリング、アップグレード、および復旧に使用されます。
展開ロールは最小権限の原則に従い、展開ライフサイクル管理に必要な権限に限定されます。必要な機能には、コンピュートリソース、ストレージリソース、ネットワーキングコンポーネント、監視統合、およびバックアップ関連サービスの管理が含まれる場合があります。
展開に必要な正確なIAM権限と信頼関係は、VeloDB BYOC展開ガイドのDeployment credential (cross-account IAM role)セクションで文書化されており、リクエストに応じて提供することもできます。
組織は権限境界と追加のIAMガバナンス制御を適用できますが、これらの制御がVeloDB展開ロールに必要な権限を削除しないことが条件です。必要なアクションを阻止する制限的な権限境界は、クラスタープロビジョニング、容量スケーリング、ソフトウェアアップグレード、バックアップワークフロー、災害復旧手順、およびその他のライフサイクル管理運用を妨げる可能性があります。
Service Control Policies(SCP)
VeloDBは、Service Control Policiesを実施するAWS Organizations環境内での展開をサポートします。顧客はSCPを使用して、AWSサービスの使用を制限し、管理アクションを制限し、地域展開要件を実施し、または組織全体のガバナンス基準を実装できます。
VeloDBは、SCP実施からの組織全体の管理例外を必要としません。ただし、SCPは展開に必要なAWSサービスへのアクセスを引き続き許可する必要があります。選択されたアーキテクチャと有効化された機能によっては、これらのサービスにはAmazon EC2、Amazon EBS、Elastic Load Balancing、AWS IAM、Amazon S3、AWS KMS、Amazon CloudWatch、および通常の運用中に使用されるその他のサポートAWSサービスが含まれる場合があります。
必要なAPIをブロックまたは制限すると、初期プロビジョニング、クラスター拡張、ソフトウェアアップグレード、バックアップ実行、インフラストラクチャ復旧、または継続的な運用管理が阻止される可能性があります。したがって、顧客には展開前に文書化されたVeloDB運用要件に対してSCP設定を検証することをお勧めします。
地域、ネットワーキング、およびインフラストラクチャ制限
地域展開制御
VeloDBは、顧客承認のAWS地域内での展開をサポートし、SCP、IAMポリシー、または内部コンプライアンス基準を通じて実施される地域ガバナンス制御と互換性があります。
顧客は展開活動を指定されたAWS地域に制限できます。ただし、選択された展開アーキテクチャに必要なすべてのAWSサービスとリソースが、承認された地域内で引き続き利用可能である必要があります。指定された展開地域へのアクセスをブロックする制限は、プロビジョニングおよびライフサイクル管理活動を阻止する可能性があります。
VPCおよびサブネット制限
VeloDBは顧客管理VPC環境内で動作するよう設計されており、顧客承認のサブネットおよびネットワークセグメントへの展開をサポートします。顧客は、セキュリティアーキテクチャに一致したネットワークセグメンテーション、サブネット制限、およびルーティング制御を実施できます。
正常な動作を確保するため、承認されたサブネットは十分なIPアドレス容量、必要なAvailability Zone範囲、および展開コンポーネント間の相互通信に必要なネットワーク接続を提供する必要があります。過度に制限的なネットワーキング制御は、クラスター作成、スケーリング活動、ロードバランサー展開、プライベート接続設定、またはその他のインフラストラクチャ管理運用を妨げる可能性があります。
リソースネーミングおよびタグ付けポリシー
VeloDBは、顧客定義のリソースネーミング規則およびタグ付け基準をサポートします。組織は、コスト配分、所有権追跡、環境分類、運用ガバナンス、またはコンプライアンス目的で必須タグ付け要件を実施できます。
必要なリソースの作成と管理が引き続き可能である限り、VeloDBは、SCP、AWS Configルール、タグポリシー、またはその他のガバナンスメカニズムを通じて必須タグ付けポリシーを実施する環境内で動作できます。
暗号化およびキー管理
VeloDBは、AWS管理暗号化と顧客管理AWS KMSキーの両方をサポートします。顧客制御暗号化を必要とする組織は、サポートされているサービスおよびストレージリソースに対して顧客管理キーを設定できます。
中断のない動作を維持するため、顧客管理KMSキーは、展開に参加するAWSリソースおよびIAMロールに対して有効化され、アクセス可能な状態を保つ必要があります。自動および手動の両方のKMSキーローテーションがサポートされており、標準的なセキュリティ慣行の一部として推奨されます。
アクティブな暗号化キーが無効化、削除、削除予定、または展開に必要な権限を削除する方法で変更された場合、運用上の問題が発生する可能性があります。このような変更は、展開によって管理される暗号化ストレージボリューム、スナップショット、バックアップ操作、復旧ワークフロー、およびその他の暗号化リソースに影響を与える可能性があります。
S3ストレージ要件
Amazon S3がバックアップ、復旧、または運用ストレージ機能に使用される場合、VeloDBは顧客管理バケットおよび顧客管理暗号化制御をサポートします。
顧客は、組織基準に従って、バケットポリシー、アクセス制御、暗号化要件、バージョニングポリシー、および監視制御を実施できます。復旧可能性と運用レジリエンスを向上させるため、バケットバージョニングが推奨されます。
必要な読み取り、書き込み、または復旧操作を阻止する制限は、S3ストレージに依存するバックアップ実行、復元手順、またはその他の運用ワークフローに影響を与える可能性があります。展開に必要なS3バケットおよび関連アクセスポリシーは、VeloDB BYOC展開ガイドのData credential (S3 bucket + IAM role)セクションで説明されています。
監視、監査、およびコンプライアンス統合
VeloDBは標準的なAWS監視およびコンプライアンスサービスと連携して動作するよう設計されており、顧客管理の監査およびガバナンスプログラムと完全に互換性があります。
AWS CloudTrail
顧客には、すべてのAWS地域でCloudTrailログを有効化し、VeloDB管理インフラストラクチャに関連するAWS API活動を監視することをお勧めします。推奨監視領域には、IAMロール引き受け、EC2ライフサイクル操作、EBSボリューム管理、ロードバランサー設定変更、S3アクセス活動、およびKMS操作が含まれます。
AWS Config
AWS Configは、リソースコンプライアンスの継続的評価、設定ドリフトの検出、およびガバナンス要件の実施に使用できます。一般的な使用例には、IAM変更の監視、パブリックリソース露出、KMSポリシー変更、タグ付けコンプライアンス、およびセキュリティ姿勢検証が含まれます。
Amazon EventBridge
顧客は、EventBridgeを既存の監視およびインシデント対応プロセスと統合して、インフラストラクチャ変更、IAM変更、KMSキー状態遷移、S3ポリシー変更、インスタンスライフサイクルイベント、および展開に関連するその他の運用活動についてアラートを生成できます。
接続要件
VeloDBはプライベートネットワーキングアーキテクチャをサポートし、AWS PrivateLinkおよび顧客制御プライベートネットワーク設計などの接続モデルと互換性があります。
顧客は、適切な場合にインバウンドパブリックアクセスを制限できます。VeloDBは、通常の運用において顧客管理インフラストラクチャへのインバウンドパブリックネットワークアクセスを必要としません。
ただし、展開コンポーネントに必要なアウトバウンド接続は引き続き利用可能である必要があります。展開アーキテクチャによっては、監視、アラート、ソフトウェア配布、サポート運用、および有効化時の逆トンネル接続にアウトバウンド通信が必要な場合があります。
展開固有のエンドポイント要件は、リクエストに応じて提供できます。
運用上の考慮事項
以下の制限カテゴリは、高度にガバナンスされたAWS環境内での展開または運用問題の最も一般的な原因です:
- VeloDB展開ロールに必要な権限の削除
- 必要なAWS APIをブロックするService Control Policies
- ライフサイクル管理運用を制限する権限境界
- 無効化、削除、削除予定、またはアクセス不可のKMSキー
- バックアップまたは復旧操作を阻止するS3アクセス制御
- 必要な接続パスをブロックするネットワーク制御
- 不十分なサブネット容量またはAvailability Zone範囲
- 展開に必要なコンピュート、ストレージ、ネットワーキング、またはロードバランシングリソースの作成または変更を阻止する制限
顧客は、本番展開前にVeloDB運用要件に対して提案されたガバナンス制御を検証する必要があります。
推奨ガードレール
VeloDBは、本番展開において以下を含む階層化ガバナンスモデルの採用を推奨します:
- すべての地域でAWS CloudTrailを有効化
- AWS Configコンプライアンス監視
- IAM、KMS、ネットワーキング、およびインフラストラクチャ変更のEventBridgeアラート
- 顧客管理AWS KMSキー
- 必須リソースタグ付けポリシー
- 承認された地域展開制御
- 最小権限IAM制御
- 文書化されたVeloDB運用要件に対して検証されたService Control Policiesおよび権限境界
互換性サマリー
| AWS Guardrail | 互換性 | ガイダンス |
|---|---|---|
| Service Control Policies(SCP) | 条件付きでサポート | 必要なAWSサービスとAPIが引き続き利用可能である必要があります。 |
| 権限境界 | 条件付きでサポート | VeloDB展開ロールに必要な権限を削除してはいけません。 |
| AWS CloudTrail | 完全サポート | VeloDB管理インフラストラクチャに関連するAWS API活動の監査に推奨されます。 |
| AWS Config | 完全サポート | コンプライアンス監視および設定ドリフト検出に推奨されます。 |
| Amazon EventBridge | 完全サポート | IAM、KMS、ネットワーキング、およびインフラストラクチャ変更に関するアラートに推奨されます。 |
| 顧客管理AWS KMSキー | 条件付きでサポート | キーは必要なAWSリソースおよびIAMロールに対して有効化され、アクセス可能な状態を保つ必要があります。 |
| リソースタグ付けポリシー | 条件付きでサポート | ポリシーは必要なリソースの作成と管理を許可する必要があります。 |
| 地域展開制限 | 条件付きでサポート | 必要なAWSサービスとリソースが承認された地域内で引き続き利用可能である必要があります。 |
| VPCおよびサブネット制限 | 条件付きでサポート | 承認されたサブネットは十分な容量、Availability Zone範囲、および必要な接続を提供する必要があります。 |
| プライベートネットワーキングアーキテクチャ | 条件付きでサポート | 必要なコントロールプレーンおよび運用接続が引き続き利用可能である必要があります。 |
結論
VeloDBは、一般的な企業ガバナンス、セキュリティ、およびコンプライアンス制御と互換性を保ちながら、顧客制御のAWS環境内で動作するよう設計されています。ほとんどのAWS guardrailは、必要なAWS権限、サービス、および接続が引き続き利用可能である限り、通常の運用に影響を与えることなく採用できます。
VeloDBは、本番展開前に提案されたAWS guardrail設定を検証することを推奨します。リクエストに応じて、VeloDBは顧客ガバナンス制御をレビューし、プロビジョニング、スケーリング、アップグレード、バックアップ、監視、復旧、およびサポート運用に関連する潜在的な互換性考慮事項を特定できます。