Deutsch English (US) Español Français 한국어(대한민국) Polski (Polska) Português do Brasil

このセクションの記事

AWS Cloud View(ベータ版)

  • 更新

利用可能なプラン:Business プランと Enterprise プラン

Miro の AWS Cloud View アプリを使用して、AWS アカウントからデータをインポートすることで AWS インフラストラクチャのダイアグラムを生成できます。

このダイアグラムを生成する方法は2つあります。

  1. クロスアカウントロールを連携する: AWS アカウントを Miro とクロスアカウントロールで接続し、AWS アカウントを自動的に視覚化します
  2. AWS CLI (コマンドラインインターフェイス) でスクリプトを実行して生成された JSON ファイルをアップロードする

クロスアカウントロールを連携する

Miro は、クロスアカウントロールを使用して、AWS アカウントに安全にアクセスします。Miro にアカウントへのアクセスを許可するための、ReadOnly ロールを AWS アカウントで特別に作成する必要があります。そのロールの ARN を使用して、Miro と AWS アカウントを接続します。

AWS Cloud View アプリを使用するには、次の手順に従ってください:

  1. Miro のツールバーの下部にあるツール、メディア & インテグレーション (+) アイコンをクリックし、AWS Cloud Viewを検索します。
  2. 検索結果からアプリを起動します。
  3. モーダルダイアログで、クロスアカウントロールをリンクタブを選択します。
    aws-cross-account.png
    クロスアカウントロールのリンク
  4. AWS コンソールで新しいクロスアカウントロールをセットアップする手順に従ってください。
  5. AWS でロールが作成されたら、ロール ARN フィールドにその ARN を入力します。
    Where to find the ARN field in AWS
    AWS で ARN フィールドを見つける方法
  6. 追加する新しい AWS アカウントに名前を付けます。
  7. 追加してインポート をクリックします。
  8. 追加したばかりの AWS アカウントが、アカウント一覧に表示されます。
    aws-select-accounts.png
    AWS アカウントの選択
  9. 表示するアカウントを選択し、次へ をクリックします。
  10. 可視化したいリージョンを選択します。複数のリージョンを選択すると、可視化プロセスが遅くなることがありますのでご注意ください。
    aws-select-regions.png
    インポートするリージョンを選択

  11. 次の画面で、リソースタイプやタグを使用して必要なフィルターを適用してください。(フィルターは図の作成後もコンテキストメニューから適用または編集することができます)

    💡 図のサイズを小さくするためにフィルターを使用することを強くお勧めします。サイズの小さい図は生成が速く、使いやすくなります。

    このステップで2種類のフィルターを適用できます:

    1. リソース:たとえば、「EC2インスタンス」を選択すると、そのAWSアカウント内のEC2インスタンスのみを表示します。
    2. タグ:もしAWSリソースにタグがついていれば、リソースフィルターに加えてタグ(キーと値の組み合わせ)フィルターを使用することができます。例として、タグキー「所有者」で検索し、値として「CheckoutStream」を選択します。
  12. 可視化をクリックして図を作成します

AWS アカウントのダイアグラムが生成されます。

Example of an AWS infrastructure diagram generated by the Cloud View app

Cloud View アプリによって生成された AWS インフラストラクチャ ダイアグラムの例

JSON ファイルをアップロード

読み取り専用権限を使用して AWS CLI (コマンドラインインターフェース) でスクリプトを実行し、クラウドリソースのデータを安全に JSON ファイルに保存できます。

一旦 AWS Cloud View を利用して Miro で AWS インフラストラクチャを視覚化した後、作成されたダイアグラムに接続を追加したり、付箋のような追加図形やオブジェクトを追加したり、新しいデザインが発生するコストを確認するために AWS Cost Calculator アプリを使用したりすることができます。

AWS Cloud View アプリを JSON ファイルで使用するには、以下の手順に従ってください。

  1. Miro のツールバーの下部にある ツール、メディア、インテグレーション (+) アイコン をクリックし、AWS Cloud View を検索します。
  2. アプリを起動します。
  3. モーダルダイアログから、AWS でスクリプトを実行する環境を設定するための指示に従ってください。
    AWS-JSON-adding.png
    JSON ファイルをアップロード

✏️ 先に、Node.js をマシンにインストールし、AWS CLI (コマンドラインインターフェイス)をセットアップしておく必要があります。

  1. ターミナルで AWS プロフィールを選択します。
  2. コマンドをコピーして、ターミナルで実行します。
    Modal showing where to copy the command for your Terminal
    ターミナルでコピーしたコマンドを実行する
  3. AWS リソースに関するデータを含む JSON ファイルが生成されます。
  4. 同じモーダルダイアログに JSON ファイルをアップロードします。
  5. Miro があなたの AWS インフラストラクチャのビジュアライゼーションを生成します。

aws-example.png

Cloud View アプリで生成された AWS インフラストラクチャ ダイアグラムの例

Miro が開発した AWS Cloud View アプリケーションは現在ベータ版です。お客様からのフィードバックをお待ちしております。これにより、今後の開発とこの機能の向上に役立てます。この Typeform を使用してフィードバックを共有してください。

よくある質問

セキュリティ

Miro は Cloud View でのアクセスをどのように安全に保っていますか?

Miro にアクセスを許可する新しい AWS ロールを作成する際、Cloud View のモーダルに示されたリンクを使用します。このリンクには、アカウント ID外部 ID の両方が含まれています。外部 ID は、Miro が管理する秘密鍵と内部 ID に基づく一方向暗号システムから生成されます。これにより、各 Miro 組織は独自の外部 ID を持つことが保証され、組織外の誰もがあなたの ID を主張して AWS インフラストラクチャにアクセスすることは不可能になります。

外部 ID は、AWS により管理されるメカニズムを使用して生成されるハッシュであり、各 Miro 組織に対してのみ専用の接続が保証されます。

ロール ARN の割り当て

External ID に加えて、AWS 環境に接続してリソースをスキャンするためには、作成したロールのロール ARNを割り当てる必要があります。ロール ARN の割り当ては完全に顧客の責任であり、AWS 管理者によって管理されます。管理者は誰にロール ARN を割り当てるかを決定し、ロールへのアクセスを管理できます。同一のロール ARN を複数の Miro ユーザーに割り当てることができ、ロール ARN と対応する Miro 組織の両方に割り当てられたユーザーは AWS 環境に接続することが可能です。ただし、このアクセスは、認証プロセスごとに External ID を検証することで、特定の Miro 組織に厳密に制限されています。

顧客のセキュリティ責任

Cloud View を使用して AWS リソースのセキュリティを維持するために、以下の責任を意識してください。

  • 組織メンバーシップの制限: 広範なアクセスを許可する場合、クラウドの可視化専用に、アカウント内に専用のMiro組織を作成することをお勧めします。組織メンバーの数を限定することで、特定の承認されたユーザーのみが重要なクラウド情報にアクセスできるようにします。
  • Role ARNの慎重な割り当て: 大きなMiro組織にアクセスを許可する場合には、作成されたロールのARNの割り当てに注意してください。アクセスが必要な人にのみARNを割り当てましょう。より小規模なMiro組織に広いアクセスを提供しつつ、より大規模なMiro組織ではテスト用のAWSアカウントに対して制限されたアクセスを提供することを検討するかもしれません。

これらの実践を守り、Miroの安全なアクセスフレームワークを活用することで、Cloud Viewを使用してAWSリソースを管理することができます。

接続したインフラストラクチャ情報にアクセスできるのは誰ですか?
Miro を AWS 環境に Role ARN を使用して接続すると、あなただけがその特定の接続を通じてデータを閲覧、視覚化、および管理できます。必要に応じて、他の Miro 組織のメンバーも同じ Role ARN を追加して独自の接続を確立できます。
Miro がデータをどのように扱っているかについての詳細情報はどこで確認できますか?
Miro の信頼センターで私たちのデータプライバシーとセキュリティへの取り組み(各チームによって実施されている特定の管理や方針も含まれます)についての詳細をご覧いただけます。より詳細な質問は、アカウントチームにお問い合わせいただくか、サポートチケットを提出してください。

クロスアカウント ロールを連携する

Miroではプログラムによるダイアグラムの作成や更新のためのAPIアクセスを提供していますか?
まだ対応していません。現在、Miroはプログラムによるダイアグラムの作成や更新のためのAPIアクセスを提供していません。
既存のAWSアカウントを更新して最新のデータを取得することはできますか?
現時点ではできません。AWS Cloud Viewアプリは現在、AWSアカウントデータの更新をサポートしていません。この機能は将来サポートされる予定です。
Miro がダイアグラムで処理できるリソースの最大数はどれくらいですか?
ダイアグラムで視覚化できるリソースの数に厳密な制限はありませんが、多数のリソースを含むダイアグラムは読み込みやレンダリングに時間がかかる場合があります。
データとコンテンツのセキュリティを確保するために Miro が遵守しているポリシーは何ですか?
Miro はデータのプライバシーとセキュリティに配慮し、業界リーダーと遜色ないレベルのセキュリティ対策を維持できるよう努めています。データプライバシーとセキュリティに関するよくある質問をお読みください。
Miro はインフラストラクチャの変更を追跡するためのバージョン管理をサポートしていますか?
現時点では未対応です。生成されたダイアグラムはすべて静的です。ユーザーはデータを更新した後、新たにダイアグラムを作成し、古いバージョンの横に置いて比較できます。
Miro は Terraform や CloudFormation のようなコードからダイアグラムを生成するインフラストラクチャとしてのコードツールとインテグレーションしていますか?
現時点では未対応です。現在、Miro は AWS からのデータインポートのみをサポートしています。
Miro は現在どのリソースタイプをスキャンしていますか?
  1. Athena 名前付きクエリ
  2. Auto Scaling グループ
  3. CloudTrail トレイル
  4. CloudWatch メトリクスアラーム
  5. CloudWatch メトリクスストリーム
  6. DynamoDB テーブル
  7. EC2 インスタンス
  8. EC2 VPC
  9. EC2 VPC エンドポイント
  10. EC2 サブネット
  11. EC2 ルートテーブル
  12. EC2 インターネット ゲートウェイ
  13. EC2 NAT ゲートウェイ
  14. EC2 トランジット ゲートウェイ
  15. EC2 ボリューム
  16. EC2 ネットワーク ACL
  17. EC2 VPN ゲートウェイ
  18. EC2 ネットワーク インターフェイス
  19. ECS リソース
  20. EFS ファイルシステム
  21. ElastiCache クラスター
  22. ELBv2 ロードバランサー
  23. ELBv2 ターゲットグループ
  24. ELBv1 ロードバランサー
  25. EKS クラスター
  26. Lambda 関数
  27. Redshift クラスター
  28. RDS インスタンス
  29. RDS クラスター
  30. RDS Proxy
  31. Route 53 ホストゾーン
  32. S3 バケット
  33. SNS トピック
  34. SQS キュー
MiroはAWSアカウントとどのように接続しますか?
Miroは、ユーザーまたはAWS管理者が作成するクロスアカウントロールを通じて接続します。このロールはMiroのAWSアカウントを指し、Miroが提供するユニークな外部IDを使用する必要があります。Miroはこの外部IDを安全に保存し、ロールを引き受けてデータを取得します。次に、Miroはアクセス可能なすべてのリージョンとリソースをスキャンします。これにより、AWSの設定をわかりやすいダイアグラムとして表示できます。
MiroとAWSを接続するために必要なIAMロールをどのように作成しますか?
ロールはクラウドデータインポートアプリのモーダルダイアログ内のリンクを使用して作成できます。このリンクにはロールを作成するための必要な情報がすべて含まれています。ユーザーはこのリンクを使用して直接新しいロールを作成することも、必要な権限がない場合は管理者と共有することもできます。
IAMロールに必要なポリシーは何ですか?
Miroは「ReadOnly - job function」ポリシーをロールにアタッチします。より制限的な方法を希望する場合は、特定の権限を持つカスタムポリシーをアタッチすることができます。その後、Miroはアクセスできるすべてのものをスキャンします。Miroには書き込みアクセスは一切必要ありません。
アプリの利用にコストはかかりますか?
Miro はあなたのインフラをスキャンしても、AWS アカウントに追加の費用を発生させることはありません。ただし、データの取得にはサービスへのリクエストが必要であり、これには一時的にレート制限のクォータが使われます。これらのクォータは1分ごとに適用され、検出ジョブが完了すると元に戻ります。
Miro に追加した AWS アカウントを閲覧および削除する方法は?
選択 AWS アカウント画面の三点メニュー (...) から、AWS アカウントへのリンクを閲覧および削除できます。リンクを削除しても Miro 内の既存のダイアグラムには影響しません。
Miroに追加したAWSアカウントを他の人と共有できますか?
現在のところ、ユーザーインターフェースを通じてアカウントを共有することはできません。ただし、同じ組織内の全ての人が同じロールARNを追加してデータにアクセスすることが可能ですので、ロールARNを共有する場合は注意が必要です。Miro組織外の誰もロールARNを通じてデータにアクセスすることはできません。
アプリを使って生成したダイアグラムをチームと共有できますか?
ボードでダイアグラムを生成すると、そのボードにアクセス権のある全員がアクセス可能です。特定の人にそのボードを共有することができます。
私は自分の AWS アカウントでクロスアカウントロールを作成する権限がありません。どうすればいいですか?
AWS アカウント内のすべての人が新しい IAM ロールを作成する権限を持っているわけではないことは一般的です。これがあなたに当てはまる場合は、AWS 管理者に AWS Data Import アプリのモーダルダイアログを開いて、提供されたリンクを使用して IAM ロールを設定するよう依頼してください。管理者がすでに特定の権限を持つ特定のロールを作成し、そのロールの ARN をあなたに共有するかもしれません。
私の会社では、Miroがスキャンを開始するとトリガーされるアラートを設定しています。これは通常のことですか?
インフラをスキャンするために、MiroはあなたのAWSインフラ上の様々なサービスに複数のリクエストを送ります。これがアラートの原因である可能性が高いです。このことをセキュリティチームに知らせ、インテグレーションが存在することを想定したアラート設定を依頼してください。
視覚化された図を同僚と共有するとき、視覚化された図だけを共有しているのですか?それとも他のデータも共有しているのですか?
AWSの図をボード上で視覚化する際には、インフラストラクチャを表す静的な図を作成しています。ボードを共有しても他の人と認証情報やアクセス情報を共有することはありませんが、インフラストラクチャの視覚化を誰と共有しているかには注意が必要です。

JSONのアップロード

この機能を利用するには何をインストールする必要がありますか?
この機能を利用するには、マシンにNode.jsをインストールし、AWS CLI(コマンドラインインターフェイス)のセットアップが必要です。
このスクリプトにはどのような権限が必要ですか?
スクリプトには「ReadOnly - job function」ポリシー(arn:aws:iam::aws:policy/ReadOnlyAccess)が必要です。

ロールにカスタムポリシーを設定し、必要に応じてMiroを特定のリソースやリージョンに制限することができます。デフォルトではこのページに記載されたリソースをMiroがスキャンします。カスタムポリシーを設定した場合、スクリプトはアクセスを許可された範囲内でのみスキャンを行います。
スクリプトをどこで確認して、どのように機能し、どんなデータを取得するのか理解できますか?
このスクリプトはオープンソースなので、検出メカニズムを確認したり、必要ないリソースをコメントアウトすることもできます。
MiroはアップロードされたJSONファイルの情報を保存しますか?
現時点では、Miroはその情報を保存しません。
AWS Cloud View アプリの使用はサービスクオータにどのように影響しますか?
AWS Cloud View アプリを使用しても追加の費用はかかりません。

インフラストラクチャに対してアプリを実行する際には、そのアプリがリソースをスキャンする特定の時間にサービスのクオータを一部使用します。新しい AWS アカウントをリンクするときや、JSON 出力を生成するために AWS CLI でスクリプトを実行する際にリソースのスキャンが行われます。通常、インフラストラクチャに既に重い負担がかかっていないときにスキャンを行うのが良いです。

また、AWS CLI スクリプトを使用する際には、--call-rate-rps を使用して、1 秒あたりのリクエスト数を削減することもできます。例えば、--call-rate-rps 1 でスクリプトを実行すると、サービスに対して1秒間に1回だけリクエストを送信し、公平な使用率を確保します。

スクリプトには指数的リトライ戦略が装備されており、失敗したリクエストを再試行する際に、間隔を次第に長くしながら遅らせます。これは、AWSが推奨する標準的な方法です。
特定のサービスのサポートを追加する提案をどこにできますか?
特定のサービスのサポートを追加する提案は、Githubで行えます。そこでは、「クラウドリソース/サービスサポートを要求」をクリックしてください。
この記事は役に立ちましたか?
はい、役に立ちました あまり役に立ちませんでした
申し訳ございませんでした。なぜ役に立たなかったのでしょう?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
ページの先頭へ戻る

関連記事