AWS Marketplace Vendor Insights のセットアップ - AWS Marketplace
セキュリティプロファイルを作成する証明書のアップロード自己評価をアップロードするAWS Audit Manager 自動評価を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Marketplace Vendor Insights のセットアップ

次の手順では、Software as a Service (SaaS) リストで AWS Marketplace AWS Marketplace Vendor Insights を設定するための大まかな手順について説明します。 SaaS

SaaS リストで AWS Marketplace Vendor Insights を設定するには

  1. セキュリティプロファイルを作成する.

  2. (オプション) 証明書のアップロード

  3. 自己評価をアップロードする.

  4. (オプション) AWS Audit Manager 自動評価を有効にする

セキュリティプロファイルを作成する

セキュリティプロファイルにより、購入者はソフトウェア製品のセキュリティ状況に関する詳細な情報を得ることができます。セキュリティプロファイルは、自己評価、認定、 AWS Audit Manager 自動評価など、関連するデータソースを使用します。

注記

作成できるセキュリティプロファイルは数に限りがあります。より多くのセキュリティプロファイルを作成するには、クォータの引き上げをリクエストします。詳細については、「AWS 全般のリファレンス」の「AWS の Service Quotas」を参照してください。

セキュリティプロファイルを作成するには

  1. AWS Marketplace 販売者アカウントにアクセスできるIAMユーザーまたはロールを使用してサインインします。

  2. [製品] を選択し、[SaaS] を選択して [SaaS 製品] ページに移動します。

  3. [製品] を選択します。

  4. [ベンダーインサイト] タブを選択し、[セキュリティプロファイルの追加をサポートに問い合わせる] を選択します。

  5. フォームに入力し、[送信] を選択します。

    AWS Marketplace Seller Operations チームがセキュリティプロファイルを作成します。セキュリティプロファイルの作成が完了すると、フォームに記載されている受信者に通知メールが送信されます。

証明書のアップロード

証明書は、複数のディメンションにわたる製品のセキュリティ体制の証拠を提供するデータソースです。 AWS Marketplace Vendor Insights は、次の証明書をサポートしています。

  • FedRAMP 認定 — 米国政府のクラウドセキュリティ標準への準拠を検証します

  • GDPR コンプライアンスレポート — 一般データ保護規則 (GDPR) の要件の遵守、個人データと個人プライバシー権の保護を示します。

  • HIPAA コンプライアンスレポート — 医療保険の相互運用性と説明責任に関する法律 (HIPAA) の規制に準拠し、保護対象の医療情報を保護する方法を示します。

  • ISO/IEC 27001 監査レポート – 情報セキュリティ標準を強調して、国際標準化機構 (ISO)/国際電気標準会議 (IEC) 27001 への準拠を確認します

  • PCI DSS 監査レポート — セキュリティ標準評議会によって設定されたPCIセキュリティ標準への準拠を示します。

  • SOC 2 タイプ 2 監査レポート — サービス組織管理 (SOC) のデータプライバシーとセキュリティ管理への準拠を確認します

証明書のアップロードするには

  1. [ベンダーインサイト] タブで、[データソース] セクションに移動します。

  2. [証明書][認定資格をアップロード] を選択します。

  3. [認定資格の詳細] で、必要な情報を入力し、証明書をアップロードします。

  4. (オプション) [タグ] で、新しいタグを追加します。

    注記

    タグの詳細については、「 AWSリソースのタグ付けユーザーガイド」の「 AWSリソースのタグ付け」を参照してください。

  5. [証明書をアップロード] を選択します。

    注記

    証明書は現在のセキュリティプロファイルに自動的に関連付けられます。アップロード済みの証明書を関連付けることもできます。製品詳細ページで、[認定] の下の [認定を関連付ける] を選択し、リストから認定を選択して、[認定を関連付ける] を選択します。

    証明書をアップロードしたら、製品詳細ページの [証明書のダウンロード] ボタンを使用してダウンロードできます。[認定書の更新] ボタンを使用して認定書の詳細を更新することもできます。

    証明書のステータスは、証明書の詳細が検証ValidationPendingされるまで に変わります。データソースの処理中と処理後に代替ステータスが表示されます。

    • 使用可能 — データソースがアップロードされ、システム検証が正常に完了しました。

    • AccessDenied – データソースの外部ソース参照は、 AWS Marketplace Vendor Insights が読み取ることができなくなります。

    • ResourceNotFound – データソースの外部ソースリファレンスは、 VendorInsights で読み取ることができなくなります。

    • ResourceNotSupported – データソースはアップロードされましたが、提供されたソースはまだサポートされていません。検証エラーの詳細については、ステータスメッセージを参照してください。

    • ValidationPending – データソースはアップロードされましたが、システム検証はまだ実行中です。この段階では実行できるアクション項目はありません。ステータスが Available、 ResourceNotSupported、または に更新されます ValidationFailed。

    • ValidationFailed – データソースがアップロードされましたが、1 つ以上の理由でシステム検証が失敗しました。検証エラーの詳細については、ステータスメッセージを参照してください。

自己評価をアップロードする

自己評価は、製品のセキュリティ体制の証拠を提供するデータソースの一種です。 AWS Marketplace Vendor Insights は、以下の自己評価をサポートしています。

  • AWS Marketplace Vendor Insights の自己評価

  • コンセンサス評価イニシアチブアンケート (CAIQ)。詳細については、Cloud Security Alliance ウェブサイトの「 とはCAIQ」を参照してください。

自己評価をアップロードするには

  1. https://console.aws.amazon.com/marketplace で AWS Marketplace コンソールを開きます。

  2. [ベンダーインサイト] タブで、[データソース] セクションに移動します。

  3. [自己評価][自己評価をアップロード] を選択します。

  4. [自己評価の詳細] で、次の情報を入力します。

    1. [名前] - 自己評価の名前を入力します。

    2. タイプ — リストから評価タイプを選択します。

      注記

      [ベンダーインサイトのセキュリティ自己評価] を選択した場合は、[テンプレートをダウンロード] を選択して自己評価をダウンロードします。スプレッドシートの回答ごとに [はい][いいえ]、または [N/A] を選択します。

  5. 完了した評価をアップロードするには、[自己評価をアップロード] を選択します。

  6. (オプション) [タグ] で、新しいタグを追加します。

    注記

    タグの詳細については、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。

  7. [自己評価をアップロード] を選択します。

    注記

    自己評価は現在のセキュリティプロファイルに自動的に関連付けられます。アップロード済みの自己評価を関連付けることもできます。製品詳細ページで、[自己評価] の下の [自己評価を関連付ける] を選択し、リストから自己評価を選択して、[自己評価を関連付ける] を選択します。

    自己評価をアップロードしたら、製品詳細ページの [自己評価をダウンロード] ボタンを使用してダウンロードできます。[自己評価の更新] ボタンを使用して自己評価の詳細を更新することもできます。

    ステータスは、次のいずれかの値に更新されます。

    • 使用可能 — データソースがアップロードされ、システム検証が正常に完了しました。

    • AccessDenied – データソースの外部ソースリファレンスは、 VendorInsights で読み取ることができなくなります。

    • ResourceNotFound – データソースの外部ソースリファレンスは、 VendorInsights で読み取ることができなくなります。

    • ResourceNotSupported – データソースはアップロードされましたが、提供されたソースはまだサポートされていません。検証エラーの詳細については、ステータスメッセージを参照してください。

    • ValidationPending – データソースはアップロードされましたが、システム検証はまだ実行中です。この段階では実行できるアクション項目はありません。ステータスが Available、 ResourceNotSupported、または に更新されます ValidationFailed。

    • ValidationFailed – データソースがアップロードされましたが、1 つ以上の理由でシステム検証が失敗しました。検証エラーの詳細については、ステータスメッセージを参照してください。

AWS Audit Manager 自動評価を有効にする

AWS Marketplace Vendor Insights は、複数の AWS のサービス を使用して、セキュリティプロファイルの証拠を自動的に収集します。

自動評価には、次の AWS のサービス とリソースが必要です。

  • AWS Audit Manager – AWS Marketplace Vendor Insights の設定を簡素化するために、必要なリソースのプロビジョニングと設定 StackSetsを行う AWS CloudFormation スタックと を使用します。スタックセットは、 AWS Configによって自動的に入力されるコントロールを含む自動評価を作成します。

    の詳細については AWS Audit Manager、「 AWS Audit Manager ユーザーガイド」を参照してください。

  • AWS Config – スタックセットは、 AWS Config 必要な AWS Config ルールを設定するためのコンフォーマンスパックをデプロイします。これらのルールにより、Audit Manager の自動評価は、その に AWS のサービス デプロイされた他の のライブ証拠を収集できます AWS アカウント。 AWS Config 機能の詳細については、「 AWS Config デベロッパーガイド」を参照してください。

    注記

    記録の最初の月は、その後の月 AWS Config と比較して、アカウントでのアクティビティが増加することがあります。最初のブートストラッププロセス中に、 は、 が記録するように AWS Config 選択したアカウント内のすべてのリソース AWS Config を確認します。

    エフェメラルワークロードを実行すると、これらの一時リソースの作成と削除に関連する設定変更が記録されるため AWS Config 、 からのアクティビティが増加する可能性があります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。

    エフェメラルワークロードの例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ AWS Auto Scaling、 などがあります AWS Lambda。エフェメラルワークロードの実行によるアクティビティの増加を回避するには、これらのタイプのワークロードを AWS Config をオフにして別のアカウントで実行できます。このアプローチでは、設定の記録やルール評価が増えるのを防ぐことができます。

  • Amazon S3 - このスタックセットは、以下の 2 つの Amazon Simple Storage Service (Amazon S3) バケットを作成します。

    • vendor-insights-stack-set-output-bucket-{account number} – このバケットには、スタックセット実行からの出力が含まれています。 AWS Marketplace Seller Operations チームは出力を使用して、自動化されたデータソース作成プロセスを完了します。

    • vendor-insights-assessment-reports-bucket-{account number} – 評価レポートをこの Amazon S3 バケットに AWS Audit Manager 発行します。評価レポートの公開に関する詳細については、「AWS Audit Manager ユーザーガイド」の「評価レポート」を参照してください。

      Amazon S3 機能でのファイルの保存に関する詳細については、「Amazon S3 ユーザーガイド」を参照してください。

  • IAM – オンボーディングスタックセットは、アカウントで次の AWS Identity and Access Management (IAM) ロールをプロビジョニングします。

    • VendorInsightsPrerequisiteCFT.yml テンプレートをデプロイすると、管理者ロール AWSVendorInsightsOnboardingStackSetsAdmin と実行ロール AWSVendorInsightsOnboardingStackSetsExecution が作成されます。スタックセットは管理者ロールを使用して、必要なスタックを複数の AWS リージョン スタックに同時にデプロイします。管理者ロールは、 AWS Marketplace Vendor Insights のセットアッププロセスの一環として、必要な親スタックとネストされたスタックをデプロイする実行ロールを引き受けます。セルフマネージド型アクセス許可の詳細については、「AWS CloudFormation ユーザーガイド」の「セルフマネージド型のアクセス許可を付与する」を参照してください。

    • このAWSVendorInsightsRoleロールは、 AWS Marketplace Vendor Insights に AWS Audit Manager リソース内の評価を読み取るためのアクセスを提供します。 AWS Marketplace Vendor Insights は、 Vendor Insights AWS Marketplace プロファイルの評価で見つかった証拠を表示します。

    • AWSVendorInsightsOnboardingDelegationRole は、 AWS Marketplace Vendor Insights にvendor-insights-stack-set-output-bucketバケット内のオブジェクトを一覧表示して読み取るためのアクセスを提供します。この機能を使用すると、 AWS Marketplace カタログオペレーションチームが AWS Marketplace Vendor Insights プロファイルの設定を支援できます。

    • このAWSAuditManagerAdministratorAccessロールは、 を有効または無効にしたり AWS Audit Manager、設定を更新したり、評価、コントロール、フレームワークを管理したりするための管理アクセスを提供します。ユーザーまたはチームがこの役割を引き受け、 AWS Audit Managerで自動評価のためのアクションを実行できます。

AWS Audit Manager 自動評価を有効にするには、オンボーディングスタックをデプロイする必要があります。

オンボーディングスタックをデプロイする

AWS Marketplace Vendor Insights の設定を簡素化するために、 AWS CloudFormation スタックと を使用します。これにより StackSets、必要なリソースのプロビジョニングと設定が処理されます。複数のアカウントまたは複数の AWS リージョン SaaS ソリューションがある場合は、中央管理アカウントからオンボーディングスタックをデプロイ StackSets できます。

の詳細については CloudFormation StackSets、「 ユーザーガイド」の AWS CloudFormation StackSets「 の使用AWS CloudFormation 」を参照してください。

AWS Marketplace Vendor Insights の設定では、次の CloudFormation テンプレートを使用する必要があります。

  • VendorInsightsPrerequisiteCFT – アカウント CloudFormation StackSets で を実行するために必要な管理者ロールとアクセス許可を設定します。このスタックは販売者アカウントで作成してください。

  • VendorInsightsOnboardingCFT – 必要な AWS のサービス を設定し、適切なIAMアクセス許可を設定します。これらのアクセス許可により、 AWS Marketplace Vendor Insights は で実行されている SaaS 製品のデータを収集 AWS アカウント し、そのデータを AWS Marketplace Vendor Insights プロファイルに表示できます。このスタックは、 を通じて SaaS ソリューションをホストしている販売者アカウントと本番稼働用アカウントの両方で作成します StackSets。

VendorInsightsPrerequisiteCFT スタックを作成します。

VendorInsightsPrerequisiteCFT CloudFormation スタックを実行すると、スタックセットのオンボーディングを開始するIAMアクセス許可が設定されます。

VendorInsightsPrerequisiteCFT スタックを作成するには

  1. ウェブサイトの AWS Samples Repo for Vendor Insights テンプレートフォルダから最新の VendorInsightsPrerequisiteCFT.yml ファイルを確認してダウンロードします GitHub。

  2. AWS Marketplace 販売者アカウント AWS Management Console を使用して にサインインし、https://console.aws.amazon.com/cloudformation でコンソールを開きます AWS CloudFormation 。

  3. CloudFormation コンソールのナビゲーションペインで、スタック を選択し、ドロップダウンからスタックの作成新しいリソース (標準) を選択します。(ナビゲーションペインが表示されていない場合は、左上隅にあるナビゲーションペインを選択して展開します)。

  4. [テンプレートの指定] で、[テンプレートファイルのアップロード] を選択します。ダウンロードした VendorInsightsPrerequisiteCFT.yml ファイルをアップロードするには、[ファイルを選択] を使用します。次いで、[次へ] を選択します。

  5. スタックの名前を入力し、[次へ] を選択します。

  6. (オプション) 必要に応じてスタックオプションを設定します。

    [Next (次へ)] を選択します。

  7. [確認] ページで選択内容を確認します。変更するには、変更する領域で [編集] を選択します。スタックを作成する前に、[能力] エリアの確認チェックボックスを選択する必要があります。

    [送信] を選択します。

  8. スタックが作成されたら、[リソース] タブを選択し、作成された以下のロールを書き留めます。

    • AWSVendorInsightsOnboardingStackSetsAdmin

    • AWSVendorInsightsOnboardingStackSetsExecution

VendorInsightsOnboardingCFT スタックセットを作成する

VendorInsightsOnboardingCFT CloudFormation スタックセットを実行することで、必要な AWS のサービス を設定し、適切なIAMアクセス許可を設定します。これにより、 AWS Marketplace Vendor Insights は で実行されている SaaS 製品のデータを収集 AWS アカウント し、 Vendor Insights AWS Marketplace プロファイルに表示できます。

複数のアカウントソリューションがある場合、または個別の販売者アカウントと本番稼働用アカウントがある場合は、このスタックを複数のアカウントにデプロイする必要があります。 StackSets では、前提条件スタックを作成した管理アカウントからこれを行うことができます。

スタックセットは、セルフマネージド型のアクセス許可を使用してデプロイされます。詳細については、AWS CloudFormation ユーザーガイドセルフマネージド型のアクセス許可を持つスタックセットの作成を参照してください。

VendorInsightsOnboardingCFT スタックセットを作成するには

  1. ウェブサイトの AWS Samples Repo for Vendor Insights テンプレートフォルダから最新の VendorInsightsOnboardingCFT.yml ファイルを確認してダウンロードします GitHub。

  2. AWS Marketplace 販売者アカウント AWS Management Console を使用して にサインインし、https://console.aws.amazon.com/cloudformation でコンソールを開きます AWS CloudFormation 。

  3. CloudFormation コンソールのナビゲーションペインで、 の作成を選択します StackSet。(ナビゲーションペインが表示されていない場合は、左上隅にあるナビゲーションペインを選択して展開します)。

  4. アクセス許可 で、管理者ロールにIAMロール名 を選択し、ドロップダウンからAWSVendorInsightsOnboardingStackSetsAdminロール名に を選択します。

  5. 実行ロール名AWSVendorInsightsOnboardingStackSetsExecutionとして を入力します。 IAM

  6. [テンプレートの指定] で、[テンプレートファイルのアップロード] を選択します。ダウンロードした VendorInsightsOnboardingCFT.yml ファイルをアップロードするには、[ファイルを選択] を使用し、[次へ] を選択します。

  7. 次の StackSet パラメータを指定し、次へ を選択します。

    • CreateVendorInsightsAutomatedAssessment – このパラメータは、 で AWS Audit Manager 自動評価を設定します AWS アカウント。管理アカウントと本稼働アカウントが別々にある場合、このオプションは運用アカウントでのみ選択し、管理アカウントには選択しないでください。

    • CreateVendorInsightsIAMRoles – このパラメータは、 AWS Marketplace Vendor Insights が 内の評価データを読み取ることを許可する IAMロールをプロビジョニングします AWS アカウント。

    • PrimaryRegion - このパラメータは、SaaS デプロイメントのプライマリ AWS リージョン を設定します。これは、 で S3 バケットが作成されるリージョンです AWS アカウント。SaaS 製品が 1 つのリージョンのみにデプロイされている場合、そのリージョンがプライマリリージョンです。

  8. 必要に応じて StackSet オプションを設定します。[実行] 設定を [非アクティブ] のままにして、[次へ] を選択します。

  9. デプロイオプションを設定します。マルチアカウントソリューションを使用している場合は、1 回の操作で複数のアカウントとリージョンにスタックセットをデプロイするように設定できます。[Next (次へ)] を選択します。

    注記

    マルチアカウントソリューションを使用している場合は、1 つのスタックセットとしてすべてのアカウントにデプロイすることはお勧めしません。ステップ 7 で定義したパラメータには細心の注意を払ってください。デプロイ先のアカウントの種類によっては、一部のパラメータを有効または無効にする必要がある場合があります。 StackSets は、単一のデプロイで指定されたすべてのアカウントに同じパラメータを適用します。アカウントをスタックセットにグループ化することによりデプロイ時間を短縮できますが、マルチアカウントソリューションではやはり複数回デプロイする必要があります。

    重要

    複数のリージョンにデプロイする場合は、最初にリストするリージョンが PrimaryRegion である必要があります。[リージョンの同時実行] オプションはデフォルト設定の [シーケンシャル] のままにしておきます。

  10. [確認] ページで選択内容を確認します。変更するには、変更する領域で [編集] を選択します。スタックセットを作成する前に、[能力] エリアの確認チェックボックスを選択する必要があります。

    [送信] を選択します。

    スタックセットはリージョンごとに約 5 分で完了します。