メインコンテンツまでスキップ

AWS Guardrail互換性ガイダンス

VeloDB BYOCは、顧客が管理するAWS環境内で動作するよう設計されており、一般的なエンタープライズガバナンス、セキュリティ、およびコンプライアンス制御と互換性があります。本文書では、VeloDB BYOCデプロイメントに適用される可能性のあるAWS guardrailに関するガイダンスを提供し、サポートされている制御を特定し、必要なAWS機能を阻害する方法で設定された場合にプロビジョニング、スケーリング、アップグレード、バックアップ、監視、復旧、またはサポート操作に影響を与える可能性のある制限を強調します。

顧客は、運用要件が組織のセキュリティポリシーおよびコンプライアンス標準と互換性を維持することを確保するため、本番デプロイメント前にVeloDBと提案されたガバナンス制御について検討することをお勧めします。

アーキテクチャ概要

BYOCデプロイメントモデルでは、すべてのデータプレーンリソースは顧客が所有および管理するAWSアカウント内にデプロイされます。顧客は基盤となるクラウドインフラストラクチャの所有権を保持し、独自のネットワーキング、セキュリティ、コンプライアンス、およびガバナンス制御を引き続き管理します。

VeloDBは、Service Control Policies(SCP)、権限境界、AWS CloudTrail、AWS Config、Amazon EventBridge、顧客管理のAWS KMSキー、タグ付けポリシー、地域デプロイメント制限、およびプライベートネットワーキングアーキテクチャを含む標準的なAWSガバナンスメカニズムと連携して動作するよう設計されています。これらの制御は、デプロイメントの通常のライフサイクル管理に必要なAWSサービス、API、権限、およびネットワーク接続を引き続き許可する限り、完全にサポートされます。

顧客所有のセキュリティおよびガバナンス制御

VeloDBは顧客所有のセキュリティモデルに従います。顧客は、Security Group、Network ACL、Route Table、Service Control Policy、Permission Boundary、KMSキー、CloudTrail設定、AWS Config規則、およびEventBridge監視ポリシーを含むAWS環境の管理所有権および運用制御を保持します。

通常の運用の一環として、VeloDBは顧客管理のSecurity Group、Network ACL、またはRoute Tableを変更しません。顧客は、これらの制御がVeloDBライフサイクル操作に必要なAWSリソース、権限、または接続を制限しない限り、内部セキュリティ標準に沿ったガバナンス制御、監視ポリシー、およびコンプライアンス要件を実装することができます。

IAMおよびクロスアカウントアクセス要件

VeloDB BYOCは、顧客AWSアカウント内でライフサイクル管理アクティビティを実行するために、顧客が作成したクロスアカウントIAMロールを使用します。このロールは、VeloDB管理のインフラストラクチャコンポーネントのプロビジョニング、管理、監視、スケーリング、アップグレード、および復旧に使用されます。

デプロイメントロールは最小権限の原則に従い、デプロイメントライフサイクル管理に必要な権限に限定されます。必要な機能には、コンピュートリソース、ストレージリソース、ネットワーキングコンポーネント、監視統合、およびバックアップ関連サービスの管理が含まれる場合があります。

デプロイメントに必要な正確なIAM権限および信頼関係は、VeloDB BYOCデプロイメントガイドのDeployment credential (cross-account IAM role)セクションに文書化されており、リクエストに応じて提供することも可能です。

組織は、これらの制御がVeloDBデプロイメントロールに必要な権限を削除しない限り、権限境界および追加のIAMガバナンス制御を適用することができます。必要なアクションを阻止する制限的な権限境界は、クラスタープロビジョニング、容量スケーリング、ソフトウェアアップグレード、バックアップワークフロー、災害復旧手順、およびその他のライフサイクル管理操作に干渉する可能性があります。

Service Control Policies(SCP)

VeloDBは、Service Control Policyを実施するAWS Organizations環境内でのデプロイメントをサポートします。顧客はSCPを使用して、AWSサービスの使用を制限し、管理アクションを制限し、地域デプロイメント要件を実施し、または組織全体のガバナンス標準を実装することができます。

VeloDBは、SCP実施からの組織全体の管理例外を必要としません。ただし、SCPはデプロイメントに必要なAWSサービスへのアクセスを引き続き許可する必要があります。選択されたアーキテクチャと有効化された機能に応じて、これらのサービスには、Amazon EC2、Amazon EBS、Elastic Load Balancing、AWS IAM、Amazon S3、AWS KMS、Amazon CloudWatch、および通常の運用中に使用されるその他のサポートAWSサービスが含まれる場合があります。

必要なAPIのブロックまたは制限は、初期プロビジョニング、クラスター拡張、ソフトウェアアップグレード、バックアップ実行、インフラストラクチャ復旧、または継続的な運用管理を阻害する可能性があります。そのため、顧客はデプロイメント前に、文書化されたVeloDB運用要件に対してSCP設定を検証することをお勧めします。

地域、ネットワーキング、およびインフラストラクチャ制限

地域デプロイメント制御

VeloDBは、顧客承認のAWS地域内でのデプロイメントをサポートし、SCP、IAMポリシー、または内部コンプライアンス標準を通じて実施される地域ガバナンス制御と互換性があります。

顧客は、指定されたAWS地域にデプロイメントアクティビティを制限することができます。ただし、選択されたデプロイメントアーキテクチャに必要なすべてのAWSサービスとリソースは、承認された地域内で引き続き利用可能である必要があります。指定されたデプロイメント地域へのアクセスをブロックする制限は、プロビジョニングおよびライフサイクル管理アクティビティを阻害する可能性があります。

VPCおよびサブネット制限

VeloDBは、顧客管理のVPC環境内で動作するよう設計されており、顧客承認のサブネットおよびネットワークセグメントへのデプロイメントをサポートします。顧客は、セキュリティアーキテクチャと一致するネットワークセグメンテーション、サブネット制限、およびルーティング制御を実施することができます。

正常な動作を確保するため、承認されたサブネットは、十分なIPアドレス容量、必要なAvailability Zoneカバレッジ、およびデプロイメントコンポーネントが相互に通信するために必要なネットワーク接続を提供する必要があります。過度に制限的なネットワーキング制御は、クラスター作成、スケーリングアクティビティ、ロードバランサーデプロイメント、プライベート接続設定、またはその他のインフラストラクチャ管理操作に干渉する可能性があります。

リソース命名およびタグ付けポリシー

VeloDBは、顧客定義のリソース命名規則およびタグ付け標準をサポートします。組織は、コスト配分、所有権追跡、環境分類、運用ガバナンス、またはコンプライアンス目的のために強制タグ付け要件を実施することができます。

必要なリソースの作成および管理が引き続き可能である限り、VeloDBは、SCP、AWS Config規則、タグポリシー、またはその他のガバナンスメカニズムを通じて強制タグ付けポリシーを実施する環境内で動作することができます。

暗号化およびキー管理

VeloDBは、AWS管理の暗号化と顧客管理のAWS KMSキーの両方をサポートします。顧客制御の暗号化を必要とする組織は、サポートされるサービスおよびストレージリソース用に顧客管理キーを設定することができます。

中断のない動作を維持するため、顧客管理のKMSキーは、デプロイメントに参加するAWSリソースおよびIAMロールに対して有効化され、アクセス可能である必要があります。自動および手動の両方のKMSキーローテーションがサポートされており、標準的なセキュリティ実践の一部として推奨されます。

アクティブな暗号化キーが無効化、削除、削除予約、またはデプロイメントに必要な権限を削除する方法で変更された場合、運用上の問題が発生する可能性があります。このような変更は、暗号化ストレージボリューム、スナップショット、バックアップ操作、復旧ワークフロー、およびデプロイメントによって管理されるその他の暗号化リソースに影響を与える可能性があります。

S3ストレージ要件

Amazon S3がバックアップ、復旧、または運用ストレージ機能に使用される場合、VeloDBは顧客管理バケットおよび顧客管理暗号化制御をサポートします。

顧客は、組織標準に従って、バケットポリシー、アクセス制御、暗号化要件、バージョニングポリシー、および監視制御を実施することができます。バケットバージョニングは、回復可能性および運用回復力を向上させるために推奨されます。

必要な読み取り、書き込み、または復旧操作を阻害する制限は、バックアップ実行、復元手順、またはS3ストレージに依存するその他の運用ワークフローに影響を与える可能性があります。デプロイメントに必要なS3バケットおよび関連アクセスポリシーは、VeloDB BYOCデプロイメントガイドのData credential (S3 bucket + IAM role)セクションで説明されています。

監視、監査、およびコンプライアンス統合

VeloDBは、標準的なAWS監視およびコンプライアンスサービスと連携して動作するよう設計されており、顧客管理の監査およびガバナンスプログラムと完全に互換性があります。

AWS CloudTrail

顧客は、すべてのAWS地域でCloudTrailログ記録を有効化し、VeloDB管理のインフラストラクチャに関連するAWS APIアクティビティを監視することをお勧めします。推奨される監視領域には、IAMロール引受、EC2ライフサイクル操作、EBSボリューム管理、ロードバランサー設定変更、S3アクセスアクティビティ、およびKMS操作が含まれます。

AWS Config

AWS Configは、リソースコンプライアンスの継続的評価、設定ドリフトの検出、およびガバナンス要件の実施に使用することができます。一般的な使用例には、IAM変更の監視、パブリックリソース露出、KMSポリシー変更、タグ付けコンプライアンス、およびセキュリティ姿勢の検証が含まれます。

Amazon EventBridge

顧客は、EventBridgeを既存の監視およびインシデント対応プロセスと統合して、インフラストラクチャ変更、IAM変更、KMSキー状態遷移、S3ポリシー変更、インスタンスライフサイクルイベント、およびデプロイメントに関連するその他の運用アクティビティのアラートを生成することができます。

接続要件

VeloDBは、プライベートネットワーキングアーキテクチャをサポートし、AWS PrivateLinkおよび顧客制御のプライベートネットワーク設計などの接続モデルと互換性があります。

顧客は、適切な場合にインバウンドパブリックアクセスを制限することができます。VeloDBは、通常の運用において顧客管理インフラストラクチャへのインバウンドパブリックネットワークアクセスを必要としません。

ただし、デプロイメントコンポーネントに必要なアウトバウンド接続は引き続き利用可能である必要があります。デプロイメントアーキテクチャに応じて、監視、アラート、ソフトウェア配布、サポート操作、および有効化された場合のリバーストンネル接続のために、アウトバウンド通信が必要になる場合があります。

デプロイメント固有のエンドポイント要件は、リクエストに応じて提供可能です。

運用上の考慮事項

高度に管理されたAWS環境におけるデプロイメントまたは運用問題の最も一般的な原因は、以下のカテゴリの制限です:

  • VeloDBデプロイメントロールに必要な権限の削除
  • 必要なAWS APIをブロックするService Control Policy
  • ライフサイクル管理操作を制限する権限境界
  • 無効化、削除、削除予約、またはアクセス不可能なKMSキー
  • バックアップまたは復旧操作を阻害するS3アクセス制御
  • 必要な接続パスをブロックするネットワーク制御
  • 不十分なサブネット容量またはAvailability Zoneカバレッジ
  • デプロイメントに必要なコンピュート、ストレージ、ネットワーキング、またはロードバランシングリソースの作成または変更を阻害する制限

顧客は、本番デプロイメント前に、VeloDB運用要件に対して提案されたガバナンス制御を検証する必要があります。

推奨ガードレール

VeloDBは、本番デプロイメントが以下を含む階層化されたガバナンスモデルを採用することを推奨します:

  • すべての地域でAWS CloudTrailを有効化
  • AWS Configコンプライアンス監視
  • IAM、KMS、ネットワーキング、およびインフラストラクチャ変更のEventBridgeアラート
  • 顧客管理のAWS KMSキー
  • 強制リソースタグ付けポリシー
  • 承認された地域デプロイメント制御
  • 最小権限IAM制御
  • 文書化されたVeloDB運用要件に対して検証されたService Control Policyおよび権限境界

互換性サマリー

AWS Guardrail互換性ガイダンス
Service Control Policies (SCP)条件付きサポート必要なAWSサービスおよびAPIが引き続き利用可能である必要があります。
Permission Boundary条件付きサポートVeloDBデプロイメントロールに必要な権限を削除してはいけません。
AWS CloudTrail完全サポートVeloDB管理インフラストラクチャに関連するAWS APIアクティビティの監査に推奨されます。
AWS Config完全サポートコンプライアンス監視および設定ドリフト検出に推奨されます。
Amazon EventBridge完全サポートIAM、KMS、ネットワーキング、およびインフラストラクチャ変更に関連するアラートに推奨されます。
顧客管理のAWS KMSキー条件付きサポートキーは、必要なAWSリソースおよびIAMロールに対して有効化され、アクセス可能である必要があります。
リソースタグ付けポリシー条件付きサポートポリシーは、必要なリソースの作成および管理を許可する必要があります。
地域デプロイメント制限条件付きサポート必要なAWSサービスおよびリソースが承認された地域内で引き続き利用可能である必要があります。
VPCおよびサブネット制限条件付きサポート承認されたサブネットは、十分な容量、Availability Zoneカバレッジ、および必要な接続を提供する必要があります。
プライベートネットワーキングアーキテクチャ条件付きサポート必要なコントロールプレーンおよび運用接続が引き続き利用可能である必要があります。

結論

VeloDBは、一般的なエンタープライズガバナンス、セキュリティ、およびコンプライアンス制御との互換性を維持しながら、顧客制御のAWS環境内で動作するよう設計されています。ほとんどのAWS guardrailは、必要なAWS権限、サービス、および接続が引き続き利用可能である限り、通常の運用に影響を与えることなく採用することができます。

VeloDBは、本番デプロイメント前に提案されたAWS guardrail設定を検証することを推奨します。リクエストに応じて、VeloDBは顧客ガバナンス制御を確認し、プロビジョニング、スケーリング、アップグレード、バックアップ、監視、復旧、およびサポート操作に関連する潜在的な互換性の考慮事項を特定することができます。

関連文書