AWS Marketplace Vendor Insights のセットアップ - AWS Marketplace
セキュリティプロファイルを作成する証明書のアップロード自己評価をアップロードするAWS Audit Manager 自動評価を有効にする

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Marketplace Vendor Insights のセットアップ

次の手順では、Software as a Service (SaaS ) リストで AWS Marketplace AWS Marketplace Vendor Insights を設定するための大まかなステップについて説明します。

SaaS リストで AWS Marketplace Vendor Insights を設定するには

  1. セキュリティプロファイルを作成する.

  2. (オプション) 証明書のアップロード

  3. 自己評価をアップロードする.

  4. (オプション) AWS Audit Manager 自動評価を有効にする

セキュリティプロファイルを作成する

セキュリティプロファイルにより、購入者はソフトウェア製品のセキュリティ状況に関する詳細な情報を得ることができます。セキュリティプロファイルは、自己評価、認証、 AWS Audit Manager 自動評価など、関連するデータソースを使用します。

注記

作成できるセキュリティプロファイルは数に限りがあります。より多くのセキュリティプロファイルを作成するには、クォータの引き上げをリクエストします。詳細については、「AWS 全般のリファレンス」の「AWS の Service Quotas」を参照してください。

セキュリティプロファイルを作成するには

  1. AWS Marketplace 販売者アカウントにアクセスできるIAMユーザーまたはロールを使用してサインインします。

  2. 製品を選択し、SaaS を選択して SaaS 製品ページに移動します。

  3. [製品] を選択します。

  4. [ベンダーインサイト] タブを選択し、[セキュリティプロファイルの追加をサポートに問い合わせる] を選択します。

  5. フォームに入力し、[送信] を選択します。

    AWS Marketplace 販売者オペレーションチームがセキュリティプロファイルを作成します。セキュリティプロファイルの作成が完了すると、フォームに記載されている受信者に通知メールが送信されます。

証明書のアップロード

認証は、複数のディメンションにわたる製品のセキュリティ体制の証拠を提供するデータソースです。 AWS Marketplace Vendor Insights は、以下の認証をサポートしています。

  • FedRAMP 認証 – 米国政府のクラウドセキュリティ標準への準拠を検証します

  • GDPR コンプライアンスレポート – 一般データ保護規則 (GDPR) の要件に準拠し、個人データと個人のプライバシー権を保護する

  • HIPAA コンプライアンスレポート – 医療保険の相互運用性と説明責任に関する法律 (HIPAA) の規制の遵守を示し、保護された医療情報を保護します

  • ISO/IEC 27001 audit report – Confirms compliance with International Organization for Standardization (ISO)/International 情報セキュリティ標準を強調した電気技術委員会 (IEC) 27001

  • PCI DSS 監査レポート – Security Standards Council によって設定されたPCIセキュリティ標準への準拠を示します。

  • SOC 2 タイプ 2 監査レポート – Service Organizational Control (SOC) データプライバシーとセキュリティコントロールへの準拠を確認します

証明書のアップロードするには

  1. [ベンダーインサイト] タブで、[データソース] セクションに移動します。

  2. [証明書][認定資格をアップロード] を選択します。

  3. [認定資格の詳細] で、必要な情報を入力し、証明書をアップロードします。

  4. (オプション) [タグ] で、新しいタグを追加します。

    注記

    タグの詳細については、「 AWSリソースのタグ付けユーザーガイド」のAWS「リソースのタグ付け」を参照してください。

  5. [証明書をアップロード] を選択します。

    注記

    証明書は現在のセキュリティプロファイルに自動的に関連付けられます。アップロード済みの証明書を関連付けることもできます。製品詳細ページで、[認定] の下の [認定を関連付ける] を選択し、リストから認定を選択して、[認定を関連付ける] を選択します。

    証明書をアップロードしたら、製品詳細ページの [証明書のダウンロード] ボタンを使用してダウンロードできます。[認定書の更新] ボタンを使用して認定書の詳細を更新することもできます。

    認証ステータスは、認証の詳細が検証ValidationPendingされるまで に変わります。データソースの処理中と処理後に代替ステータスが表示されます。

    • 使用可能 – データソースがアップロードされ、システム検証が正常に完了しました。

    • AccessDenied – AWS Marketplace Vendor Insights が読み取るために、データソースの外部ソースリファレンスにアクセスできなくなりました。

    • ResourceNotFound – データソースの外部ソースリファレンスは、 VendorInsights が読み取ることができなくなります。

    • ResourceNotSupported – データソースはアップロードされましたが、提供されたソースはまだサポートされていません。検証エラーの詳細については、ステータスメッセージを参照してください。

    • ValidationPending – データソースはアップロードされましたが、システム検証はまだ実行されています。この段階では実行できるアクション項目はありません。ステータスは、使用可能 ResourceNotSupported、または に更新されます ValidationFailed。

    • ValidationFailed – データソースはアップロードされましたが、1 つ以上の理由でシステム検証が失敗しました。検証エラーの詳細については、ステータスメッセージを参照してください。

自己評価をアップロードする

自己評価は、製品のセキュリティ体制の証拠を提供するデータソースの一種です。 AWS Marketplace Vendor Insights は、以下の自己評価をサポートしています。

  • AWS Marketplace Vendor Insights の自己評価

  • コンセンサス評価イニシアチブアンケート (CAIQ)。詳細については、Cloud Security Alliance ウェブサイトの「 とはCAIQ」を参照してください。

自己評価をアップロードするには

  1. https://console.aws.amazon.com/marketplace で AWS Marketplace コンソールを開きます。

  2. [ベンダーインサイト] タブで、[データソース] セクションに移動します。

  3. [自己評価][自己評価をアップロード] を選択します。

  4. [自己評価の詳細] で、次の情報を入力します。

    1. [名前] - 自己評価の名前を入力します。

    2. タイプ – リストから評価タイプを選択します。

      注記

      [ベンダーインサイトのセキュリティ自己評価] を選択した場合は、[テンプレートをダウンロード] を選択して自己評価をダウンロードします。スプレッドシートの回答ごとに [はい][いいえ]、または [N/A] を選択します。

  5. 完了した評価をアップロードするには、[自己評価をアップロード] を選択します。

  6. (オプション) [タグ] で、新しいタグを追加します。

    注記

    タグの詳細については、「 AWS リソースのタグ付けユーザーガイド」の AWS 「リソースのタグ付け」を参照してください。

  7. [自己評価をアップロード] を選択します。

    注記

    自己評価は現在のセキュリティプロファイルに自動的に関連付けられます。アップロード済みの自己評価を関連付けることもできます。製品詳細ページで、[自己評価] の下の [自己評価を関連付ける] を選択し、リストから自己評価を選択して、[自己評価を関連付ける] を選択します。

    自己評価をアップロードしたら、製品詳細ページの [自己評価をダウンロード] ボタンを使用してダウンロードできます。[自己評価の更新] ボタンを使用して自己評価の詳細を更新することもできます。

    ステータスは、次のいずれかの値に更新されます。

    • 使用可能 – データソースがアップロードされ、システム検証が正常に完了しました。

    • AccessDenied – データソースの外部ソースリファレンスは、 VendorInsights が読み取ることができなくなります。

    • ResourceNotFound – データソースの外部ソースリファレンスは、 VendorInsights が読み取ることができなくなります。

    • ResourceNotSupported – データソースはアップロードされましたが、提供されたソースはまだサポートされていません。検証エラーの詳細については、ステータスメッセージを参照してください。

    • ValidationPending – データソースはアップロードされましたが、システム検証はまだ実行されています。この段階では実行できるアクション項目はありません。ステータスは、使用可能 ResourceNotSupported、または に更新されます ValidationFailed。

    • ValidationFailed – データソースはアップロードされましたが、1 つ以上の理由でシステム検証が失敗しました。検証エラーの詳細については、ステータスメッセージを参照してください。

AWS Audit Manager 自動評価を有効にする

AWS Marketplace Vendor Insights は、複数の AWS のサービス を使用して、セキュリティプロファイルの証拠を自動的に収集します。

自動評価には、以下の AWS のサービス と リソースが必要です。

  • AWS Audit Manager – AWS Marketplace Vendor Insights のセットアップを簡素化するために、 AWS CloudFormation スタックと を使用します。スタックと は StackSets、必要なリソースのプロビジョニングと設定を行います。スタックセットは、 AWS Configによって自動的に入力されるコントロールを含む自動評価を作成します。

    の詳細については AWS Audit Manager、AWS Audit Manager 「 ユーザーガイド」を参照してください。

  • AWS Config – スタックセットは、 AWS Config 必要な AWS Config ルールを設定するためのコンフォーマンスパックをデプロイします。これらのルールにより、Audit Manager の自動評価は、その に AWS のサービス デプロイされた他の のライブ証拠を収集できます AWS アカウント。 AWS Config 機能の詳細については、AWS Config 「 デベロッパーガイド」を参照してください。

    注記

    記録の最初の月は、その後の月と比較して、アカウントでのアクティビティの増加に気付 AWS Config くかもしれません。最初のブートストラッププロセス中に、 は、記録するために AWS Config 選択したアカウント内のすべてのリソース AWS Config を確認します。

    エフェメラルワークロードを実行すると、これらの一時リソースの作成と削除に関連する設定変更が記録され AWS Config るため、 からのアクティビティが増えることがあります。一時的なワークロードとは、必要なときにロードされて実行されるコンピューティングリソースを一時的に使用することです。

    エフェメラルワークロードの例としては、Amazon Elastic Compute Cloud (Amazon EC2) スポットインスタンス、Amazon EMRジョブ AWS Auto Scaling、 などがあります AWS Lambda。エフェメラルワークロードの実行によるアクティビティの増加を回避するには、これらのタイプのワークロードを AWS Config オフの別のアカウントで実行できます。このアプローチでは、設定の記録やルール評価が増えるのを防ぐことができます。

  • Amazon S3 - このスタックセットは、以下の 2 つの Amazon Simple Storage Service (Amazon S3) バケットを作成します。

    • vendor-insights-stack-set-output-bucket-{account number} – このバケットには、スタックセット実行からの出力が含まれています。 AWS Marketplace 販売者オペレーションチームは、出力を使用して、自動データソース作成プロセスを完了します。

    • vendor-insights-assessment-reports-bucket-{account number} – この Amazon S3 バケットに評価レポート AWS Audit Manager を発行します。評価レポートの公開に関する詳細については、「AWS Audit Manager ユーザーガイド」の「評価レポート」を参照してください。

      Amazon S3 機能でのファイルの保存に関する詳細については、「Amazon S3 ユーザーガイド」を参照してください。

  • IAM – オンボーディングスタックセットは、アカウントで次の AWS Identity and Access Management (IAM) ロールをプロビジョニングします。

    • VendorInsightsPrerequisiteCFT.yml テンプレートをデプロイすると、管理者ロール AWSVendorInsightsOnboardingStackSetsAdmin と実行ロール AWSVendorInsightsOnboardingStackSetsExecution が作成されます。スタックセットは管理者ロールを使用して、必要なスタックを複数の AWS リージョン スタックに同時にデプロイします。管理者ロールは、 AWS Marketplace Vendor Insights セットアッププロセスの一環として、必要な親スタックとネストされたスタックをデプロイする実行ロールを引き受けます。セルフマネージド型アクセス許可の詳細については、「AWS CloudFormation ユーザーガイド」の「セルフマネージド型のアクセス許可を付与する」を参照してください。

    • このAWSVendorInsightsRoleロールは、 AWS Audit Manager リソースの評価を読み取るアクセスを AWS Marketplace Vendor Insights に提供します。 AWS Marketplace Vendor Insights は、 AWS Marketplace Vendor Insights プロファイルの評価で見つかった証拠を表示します。

    • AWSVendorInsightsOnboardingDelegationRole は、 AWS Marketplace Vendor Insights にvendor-insights-stack-set-output-bucketバケット内のオブジェクトを一覧表示および読み取るアクセスを提供します。この機能を使用すると、 AWS Marketplace カタログオペレーションチームが AWS Marketplace Vendor Insights プロファイルの設定を支援します。

    • このAWSAuditManagerAdministratorAccessロールには AWS Audit Manager、 を有効または無効にする、設定を更新する、評価、コントロール、フレームワークを管理するための管理アクセス権限があります。ユーザーまたはチームがこの役割を引き受け、 AWS Audit Managerで自動評価のためのアクションを実行できます。

AWS Audit Manager 自動評価を有効にするには、オンボーディングスタックをデプロイする必要があります。

オンボーディングスタックをデプロイする

AWS Marketplace Vendor Insights のセットアップを簡素化するために、 AWS CloudFormation スタックと を使用します。スタックと は StackSets、必要なリソースのプロビジョニングと設定を行います。複数のアカウントまたは複数の AWS リージョン SaaS ソリューションがある場合は、一元管理アカウントからオンボーディングスタックをデプロイ StackSets できます。

の詳細については CloudFormation StackSets、 AWS CloudFormation ユーザーガイドの「 の使用 AWS CloudFormation StackSets」を参照してください。

AWS Marketplace Vendor Insights のセットアップでは、次の CloudFormation テンプレートを使用する必要があります。

  • VendorInsightsPrerequisiteCFT – アカウント CloudFormation StackSets で実行するために必要な管理者ロールとアクセス許可を設定します。このスタックは販売者アカウントで作成してください。

  • VendorInsightsOnboardingCFT – 必要な AWS のサービス を設定し、適切なIAMアクセス許可を設定します。これらのアクセス許可により、 AWS Marketplace Vendor Insights は で実行されている SaaS 製品のデータを収集 AWS アカウント し、そのデータを AWS Marketplace Vendor Insights プロファイルに表示することができます。このスタックは、 を通じて SaaS ソリューションをホストしている販売者アカウントと本番稼働用アカウントの両方で作成します StackSets。

を作成する VendorInsightsPrerequisiteCFT スタック

VendorInsightsPrerequisiteCFT CloudFormation スタックを実行することで、スタックセットのオンボーディングを開始するIAMアクセス許可を設定します。

を作成するには VendorInsightsPrerequisiteCFT スタック

  1. ウェブサイトの AWS Sample Repo for Vendor Insights テンプレートフォルダから最新のVendorInsightsPrerequisiteCFT.ymlファイルを確認してダウンロードします GitHub。

  2. AWS Marketplace 販売者アカウント AWS Management Console を使用して にサインインし、https://console.aws.amazon.com/cloudformation でコンソールを開きます AWS CloudFormation 。

  3. CloudFormation コンソールナビゲーションペインで、スタック を選択し、ドロップダウンからスタックの作成新しいリソース (標準) を選択します。(ナビゲーションペインが表示されていない場合は、左上隅にあるナビゲーションペインを選択して展開します)。

  4. [テンプレートの指定] で、[テンプレートファイルのアップロード] を選択します。ダウンロードした VendorInsightsPrerequisiteCFT.yml ファイルをアップロードするには、[ファイルを選択] を使用します。次いで、[次へ] を選択します。

  5. スタックの名前を入力し、[次へ] を選択します。

  6. (オプション) 必要に応じてスタックオプションを設定します。

    [Next (次へ)] を選択します。

  7. [確認] ページで選択内容を確認します。変更するには、変更する領域で [編集] を選択します。スタックを作成する前に、[能力] エリアの確認チェックボックスを選択する必要があります。

    [送信] を選択します。

  8. スタックが作成されたら、[リソース] タブを選択し、作成された以下のロールを書き留めます。

    • AWSVendorInsightsOnboardingStackSetsAdmin

    • AWSVendorInsightsOnboardingStackSetsExecution

を作成する VendorInsightsOnboardingCFT スタックセット

VendorInsightsOnboardingCFT CloudFormation スタックセットを実行することで、必要な を設定し AWS のサービス 、適切なIAMアクセス許可を設定します。これにより、 AWS Marketplace Vendor Insights は で実行されている SaaS 製品のデータを収集 AWS アカウント し、それを AWS Marketplace Vendor Insights プロファイルに表示できます。

複数のアカウントソリューションがある場合、または個別の販売アカウントと本番アカウントがある場合は、このスタックを複数のアカウントにデプロイする必要があります。 StackSets これにより、前提条件スタックを作成した管理アカウントからこれを実行できます。

スタックセットは、セルフマネージド型のアクセス許可を使用してデプロイされます。詳細については、AWS CloudFormation ユーザーガイドセルフマネージド型のアクセス許可を持つスタックセットの作成を参照してください。

を作成するには VendorInsightsOnboardingCFT スタックセット

  1. ウェブサイトの AWS Sample Repo for Vendor Insights テンプレートフォルダから最新のVendorInsightsOnboardingCFT.ymlファイルを確認してダウンロードします GitHub。

  2. AWS Marketplace 販売者アカウント AWS Management Console を使用して にサインインし、コンソールを AWS CloudFormation https://console.aws.amazon.com/cloudformation で開きます。

  3. CloudFormation コンソールナビゲーションペインで、 の作成 StackSetを選択します。(ナビゲーションペインが表示されていない場合は、左上隅にあるナビゲーションペインを選択して展開します)。

  4. アクセス許可 で、管理者ロールでIAMロール名 を選択し、ドロップダウンからAWSVendorInsightsOnboardingStackSetsAdminロール名 を選択します。

  5. 実行ロール名AWSVendorInsightsOnboardingStackSetsExecutionとして を入力します。 IAM

  6. [テンプレートの指定] で、[テンプレートファイルのアップロード] を選択します。ダウンロードした VendorInsightsOnboardingCFT.yml ファイルをアップロードするには、[ファイルを選択] を使用し、[次へ] を選択します。

  7. 次の StackSet パラメータを指定し、次へ を選択します。

    • CreateVendorInsightsAutomatedAssessment – このパラメータは、 の自動 AWS Audit Manager 評価を設定します AWS アカウント。管理アカウントと本稼働アカウントが別々にある場合、このオプションは運用アカウントでのみ選択し、管理アカウントには選択しないでください。

    • CreateVendorInsightsIAMRoles – このパラメータは、 AWS Marketplace Vendor Insights が の評価データを読み取ることができるIAMロールをプロビジョニングします AWS アカウント。

    • PrimaryRegion - このパラメータは、SaaS デプロイメントのプライマリ AWS リージョン を設定します。これは、S3 バケットが に作成されるリージョンです AWS アカウント。SaaS 製品が 1 つのリージョンのみにデプロイされている場合、そのリージョンがプライマリリージョンです。

  8. 必要に応じて StackSet オプションを設定します。[実行] 設定を [非アクティブ] のままにして、[次へ] を選択します。

  9. デプロイオプションを設定します。マルチアカウントソリューションを使用している場合は、1 回の操作で複数のアカウントとリージョンにスタックセットをデプロイするように設定できます。[Next (次へ)] を選択します。

    注記

    マルチアカウントソリューションを使用している場合は、1 つのスタックセットとしてすべてのアカウントにデプロイすることはお勧めしません。ステップ 7 で定義したパラメータには細心の注意を払ってください。デプロイ先のアカウントの種類によっては、一部のパラメータを有効または無効にする必要がある場合があります。 StackSets は、単一のデプロイで指定されたすべてのアカウントに同じパラメータを適用します。アカウントをスタックセットにグループ化することによりデプロイ時間を短縮できますが、マルチアカウントソリューションではやはり複数回デプロイする必要があります。

    重要

    複数のリージョンにデプロイする場合は、最初にリストするリージョンが PrimaryRegion である必要があります。[リージョンの同時実行] オプションはデフォルト設定の [シーケンシャル] のままにしておきます。

  10. [確認] ページで選択内容を確認します。変更するには、変更する領域で [編集] を選択します。スタックセットを作成する前に、[能力] エリアの確認チェックボックスを選択する必要があります。

    [送信] を選択します。

    スタックセットはリージョンごとに約 5 分で完了します。