Deutsch English (US) Español Français 한국어(대한민국) Polski (Polska) Português do Brasil

このセクションの記事

AWS クラウドビュー

  • 更新

利用可能対象: Business および Advanced ライセンスの Enterprise プラン

Miro の AWS Cloud View アプリを使用すると、AWS アカウントのデータをインポートして AWS インフラストラクチャの図を生成できます。

✏️ (Enterprise) CloudView のインテグレーションは Advanced ライセンスでのみ利用可能です。詳細は Enterprise ライセンスについて をご覧ください。

この図を生成する方法は 2 つあります:

  • クロスアカウント ロールの連携: クロスアカウント ロールを使用して AWS アカウントを Miro に接続し、自動的に AWS アカウントを視覚化します
  • JSON ファイルのアップロード: AWS CLI (コマンドラインインターフェイス) でスクリプトを実行して生成された JSON ファイルをアップロードします

クロスアカウント ロールの連携

Miro はクロスアカウント ロールを使用して、AWS アカウントに安全にアクセスします。Miro がアカウントにアクセスするために特別に作成された ReadOnly ロールを AWS アカウントで作成する必要があります。そのロールの ARN を使用して、Miro と AWS アカウントを接続することができます。

AWS Cloud View アプリを使用するには次の手順に従ってください。

  1. ツール、メディア、インテグレーション (+) アイコンをMiroのツールバーの下部でクリックし、AWS Cloud Viewを検索します。
  2. 検索結果からアプリを起動します。
  3. モーダルダイアログで、タブクロスアカウントロールのリンクを選択します。
    aws-cross-account.png
    クロスアカウントロールのリンク
  4. ダイアログの手順に従い、AWSコンソールで新しいクロスアカウントロールを設定します。
  5. AWS でロールが作成されたら、Role ARN のフィールドにその ARN を入力します。
    Where to find the ARN field in AWS
    AWS で ARN フィールドを見つける場所
  6. 追加する新しい AWS アカウントに名前を付けてください。
  7. 追加してインポート をクリックします。
  8. 最近追加された AWS アカウントは、次のステップで表示されるアカウント一覧に表示されます。
    aws-select-accounts.png
    選択した AWS アカウント
  9. 可視化したいアカウントを選択し、次へをクリックします。
  10. 可視化したいリージョンを選択します。複数のリージョンを選択すると、可視化のプロセスが遅くなる可能性がありますのでご注意ください。
    aws-select-regions.png
    インポートするリージョンを選択

  11. 次の画面では、必要なリソースの種類やタグを使用して、ダイアグラムにフィルターを適用します。(フィルターはダイアグラム作成後にコンテキストメニューから適用または編集できます。)

    💡 フィルターを使ってダイアグラムのサイズを小さくしましょう。小さい方が生成が速く、使いやすくなります。

    このステップで2種類のフィルターを適用できます:

    1. リソース: 例えば、「EC2インスタンス」を選択して、そのAWSアカウントのEC2インスタンスのみを表示します。
    2. タグ: AWSリソースにタグが付けられている場合、リソースフィルターに加えて、タグ(キーと値のペア)フィルターを使用できます。例えば、タグキー「所有者」を検索して、値として「CheckoutStream」を選択します。
  12. 可視化 をクリックして、図を作成します

AWSアカウント用の図が生成されます。

Example of an AWS infrastructure diagram generated by the Cloud View app

Cloud Viewアプリによって生成されたAWSインフラストラクチャ図の例

JSONファイルのアップロード

AWS CLI(コマンド ライン インターフェイス)でスクリプトを実行して、クラウドリソースのデータをJSONファイルとして安全に保存できます。

AWS Cloud View を使って Miro で AWS インフラを可視化した後は、作成された図を編集し、接続の追加、図形や付箋のようなオブジェクトの追加、または AWS Cost Calculator アプリを使用して、新しいデザインに伴うコストを確認することができます。

次の手順に従って、JSON ファイルを使用して AWS Cloud View アプリを使用してください:

  1. Miro のツールバーの下部にあるツール、メディア、インテグレーション (+) アイコンをクリックし、AWS Cloud Viewを検索します。
  2. アプリを起動します。
  3. モーダルダイアログから、AWS でスクリプトを実行するための環境を設定する手順に従います。
    AWS-JSON-adding.png
    JSONファイルのアップロード

✏️ 先にNode.jsをマシンにインストールし、AWS CLI(コマンドラインインターフェイス)のセットアップが必要です。

  1. ターミナルで AWS プロファイルを選択します。
  2. コマンドをコピーして、ターミナルで実行します。
    Modal showing where to copy the command for your Terminal
    コピーしたコマンドをターミナルで実行
  3. AWS リソースに関するデータを含む JSON ファイルが生成されます。
  4. Miro 内の同じモーダルダイアログに JSON ファイルをアップロードします。
  5. Miro が AWS インフラのビジュアライゼーションを生成します。

aws-example.png

Cloud View アプリで生成された AWS インフラストラクチャ ダイアグラムの例

💡 Miro の CloudView アプリ内で AWS アイコンの色を直接変更できます。このオプションは 2025 年以前のアイコンには適用されません。

よくある質問

セキュリティー

Miro は Cloud View でどのようにアクセスを安全に保持していますか?

新しい AWS ロールを作成して Miro にアクセスを許可する際には、Cloud View モーダルで提供されるリンクを使用します。このリンクには、アカウント ID外部 ID が含まれています。外部 ID は、内部 ID と Miro が管理するシークレットキーを用いた一方向の暗号化方式で生成されます。これにより、各 Miro 組織が独自の外部 ID を持つことが保証され、他の組織があなたの ID を主張してあなたの AWS インフラストラクチャにアクセスすることができません。

外部 ID は、AWS が管理するメカニズムを使用して生成されるハッシュであり、接続があなたの Miro 組織にのみ限定されることを保証します。

ロール ARN の割り当て

外部 ID に加えて、AWS 環境に接続してリソースをスキャンするためには、作成したロールのロール ARNをユーザーが割り当てる必要があります。ロール ARN の割り当ては完全に顧客の責任であり、AWS 管理者によって管理されます。管理者は誰にロール ARN を割り当てるかを決定し、ロールへのアクセスを管理します。同じロール ARN を複数の Miro ユーザーに割り当てることができ、ロール ARN と対応する Miro 組織の両方に割り当てられたユーザーは AWS 環境に接続できます。しかし、このアクセスは、認証プロセスごとに外部 ID を検証することによって、特定の Miro 組織に厳格に制限されます。

顧客のセキュリティー責任

Cloud View を使用して AWS リソースのセキュリティーを維持するために、以下の責任に注意してください。

  • 組織メンバーシップの制限: より広範なアクセスを提供する際には、クラウド視覚化専用の Miro 組織をアカウントに作成することをお勧めします。組織メンバーの数を制限することで、機密性の高いクラウド情報へのアクセスを持つのは、特定の許可されたユーザーに限定できます。
  • Role ARN の慎重な割り当て: 大規模な Miro 組織へのアクセスを許可する際には、作成されたロールのARNをどのように割り当てるかについて注意が必要です。本当にアクセスが必要な人にのみARNを割り当ててください。テスト用の AWS アカウントに対して大規模な Miro 組織でアクセスを制限しつつ、小規模な Miro 組織には広範なアクセスを提供したい場合もあります。

これらの実践を行い、Miro の安全なアクセスフレームワークを活用することで、自信を持って Cloud View を使用して AWS リソースを管理できます。

接続されたインフラ情報に誰がアクセスできますか?
Miro を Role ARN を使って AWS 環境に接続すると、あなただけがその特定の接続を通じてデータを閲覧、視覚化および管理できます。必要に応じて、Miro 組織の他のメンバーも同じ Role ARN を追加して独自の接続を確立できます。
Miro がデータをどのように扱うかについての詳しい情報をどこで入手できますか?
Miro の トラストセンターで、データプライバシーとセキュリティーへの取り組み、および弊社チームが実装している具体的な管理とポリシーの詳細を確認できます。さらに詳細な質問がある場合は、アカウントチームに連絡するか、サポートチケットを発行してください。

クロスアカウント ロールを連携する

Miroはプログラムによる図の作成や更新にAPIアクセスを提供していますか?
まだ提供していません。現在、Miroではプログラムによる図の作成や更新のためのAPIアクセスは提供していません。
既存のAWSアカウントを更新して最新のデータを取得できますか?
いいえ、AWS Cloud Viewアプリは現在、AWSアカウントデータの更新をサポートしていません。この機能は将来的にサポートされる予定です。
Miro が処理できるダイアグラム内のリソース数の上限は何ですか?
視覚化できるリソースの数に厳しい制限はありませんが、多くのリソースを含むダイアグラムは、ロードやレンダリングに時間がかかる場合があります。
データとコンテンツのセキュリティーを確保するために Miro はどのようなポリシーに従っていますか?
データのプライバシーとセキュリティーを非常に重視しており、セキュリティー対策を業界をリードする水準に保つよう努めています。データのプライバシーとセキュリティーに関するよくある質問をご覧ください。
Miro は、時間の経過によるインフラストラクチャの変更を追跡するために、ダイアグラムのバージョン管理をサポートしていますか?
まだサポートしていません。レンダリングされたダイアグラムはすべて静的です。ユーザーはデータを更新した後、新しいダイアグラムを作成し、旧バージョンの横に配置して比較することができます。
Miro は、Terraform や CloudFormation のようなインフラストラクチャコードツールと統合して、コードからダイアグラムを生成することはできますか?
まだサポートしていません。現在、Miro は AWS からのデータインポートのみをサポートしています。
現在、Miroはどのリソースタイプをスキャンしていますか?
  1. Athena 名前付きクエリ
  2. Auto Scaling グループ
  3. CloudTrail トレイル
  4. CloudWatch メトリクスアラーム
  5. CloudWatch メトリクスストリーム
  6. DynamoDB テーブル
  7. EC2 インスタンス
  8. EC2 VPC
  9. EC2 VPC エンドポイント
  10. EC2 サブネット
  11. EC2 ルートテーブル
  12. EC2 インターネット ゲートウェイ
  13. EC2 NAT ゲートウェイ
  14. EC2 トランジット ゲートウェイ
  15. EC2 ボリューム
  16. EC2 ネットワーク ACL
  17. EC2 VPN ゲートウェイ
  18. EC2 ネットワーク インターフェイス
  19. ECS リソース
  20. EFS ファイルシステム
  21. ElastiCache クラスター
  22. ELBv2 ロードバランサー
  23. ELBv2 ターゲットグループ
  24. ELBv1 ロードバランサー
  25. EKS クラスター
  26. LAMBDA 関数
  27. Redshift クラスター
  28. RDS インスタンス
  29. RDS クラスター
  30. RDS Proxy
  31. Route 53 ホストゾーン
  32. S3 バケット
  33. SNS トピック
  34. SQS キュー
Miro はどのようにして私の AWS アカウントと接続しますか?
Miro は、あなたまたはあなたの AWS 管理者が作成したクロスアカウントロールを通じて接続します。このロールは Miro の AWS アカウントを指し、Miro が提供する一意の外部 ID を使用する必要があります。Miro はこの外部 ID を安全に保存し、ロールを引き受けてデータを取得します。次に、Miro はアクセス可能なすべてのリージョンとリソースをスキャンします。これにより、AWS のセットアップを簡単に理解できる図として表示できます。
MiroとAWSの接続に必要なIAMロールをどのように作成しますか?
このロールは、必要な情報を含むCloud Data Importアプリのモーダルダイアログ内のリンクを使用して作成できます。ユーザーはこのリンクを使用して直接新しいロールを作成するか、必要な権限がない場合は管理者と共有できます。
IAMロールに必要なポリシーは何ですか?
Miroはロールに"ReadOnly - job function"ポリシーをアタッチします。より制限されたアプローチを望む場合は、特定の権限を持つカスタムポリシーをアタッチできます。その後、Miroはアクセスできるすべてをスキャンします。Miroには書き込み権限は一切必要ありません。
アプリの使用に伴うコストはありますか?
Miro は、AWS アカウントに追加のコストをかけることなく、インフラストラクチャをスキャンできます。ただし、データを取得するためにはサービスへのリクエストを行う必要があり、一時的にレート制限のクォータを使用します。これらのクォータは1分ごとに適用されるため、ディスカバリー ジョブが完了すると通常の状態に戻ります。
Miro に追加した AWS アカウントを閲覧および削除するにはどうすればよいですか?
選択 AWS アカウント画面の三点リーダー...)メニューから、AWS アカウントへのリンクを閲覧および削除できます。リンクを削除しても、Miro における既存のダイアグラムには影響ありません。
追加した AWS アカウントを他の人と共有できますか?
現時点ではインターフェイスを通じてアカウントを共有することはできません。しかし、組織内のすべてのユーザーが同じ Role ARN を共有することで、データにアクセスできます。Miro の組織外のユーザーは Role ARN を通じてデータにアクセスすることはできません。
アプリで作成した図をチームと共有できますか?
ボード上で生成された図は、そのボードにアクセスできる全員が利用可能です。特定のユーザーとボードを共有することができます。
私の AWS アカウントでクロスアカウントロールを作成するアクセス権がありません。どうすればよいですか?
AWS アカウント内の全員が新しい IAM ロールを作成する権限を持っているわけではありません。これがあなたに当てはまる場合は、AWS 管理者に AWS データインポートアプリのモーダルダイアログを開いて、提供されたリンクを使って IAM ロールを設定するよう依頼してください。管理者が既に特定の権限を持つロールを作成し、そのロールの ARN のみを共有する場合もあります。
私の会社では、Miro がスキャンを開始するとアラートが発生する設定になっています。それは通常のことですか?
インフラをスキャンするために、Miro は複数のリクエストを AWS インフラのさまざまなサービスに送信します。これがアラートの原因である可能性があります。このことをセキュリティーチームに知らせ、このようなインテグレーションが存在することを想定した形でアラートを設定するよう依頼してください。
視覚化した図を同僚と共有する際、共有されるのはビジュアルだけですか?それとも他のデータも含まれますか?
AWS ダイアグラムをボードに視覚化する際、基本的にはインフラを表す静的な図を作成しています。ボードを共有することで、認証情報やアクセス情報を他者と共有することはありません。ただし、インフラの可視化を誰と共有するのかには注意を払うことが重要です。

JSON アップロード

この機能を使用するために何をインストールする必要がありますか?
お使いのマシンに Node.js をインストールし、AWS CLI (コマンドラインインターフェイス) を設定しておく必要があります。
このスクリプトにはどのような権限が必要ですか?
スクリプトには「ReadOnly - job function」ポリシー (arn:aws:iam::aws:policy/ReadOnlyAccess) が必要です。

必要に応じてカスタムポリシーをロールに設定し、Miro を特定のリソースやリージョンに制限することができます。Miro はデフォルトでこのページに記載されているリソースをスキャンします。カスタムポリシーを設定している場合、スクリプトはアクセス権のある範囲内のみでスキャンを行います。
どこでスクリプトを確認して、その動作や取得するデータを理解できますか?
スクリプトはオープンソースで公開されているため、ディスカバリーメカニズムを確認したり、必要のないリソースをコメントアウトすることもできます。
MiroはアップロードされたJSONファイルの情報を保存しますか?
いいえ、現時点ではMiroは情報を保存しません。
AWS Cloud View アプリを使用することで、サービスのクオータにどのように影響しますか?
AWS Cloud View アプリを使用しても、追加費用はかかりません。

アプリがインフラストラクチャをスキャンしている特定の時間に、アプリを実行することでサービスの一部のクオータが使用されます。リソースのスキャンは、新しい AWS アカウントをリンクしたり、AWS CLI でスクリプトを実行して JSON 出力を生成したりする際に行います。インフラストラクチャにすでに大きな負荷がかかっていないときにスキャンするのが通常は望ましいです。

また、AWS CLI スクリプトを使用する際に--call-rate-rpsを使用することで、1 秒あたりのリクエスト数を減らすことができます。たとえば、--call-rate-rps 1 を指定してスクリプトを実行すると、サービスへのリクエストが 1 秒あたり 1 回だけになり、公正な使用率を確保できます。

このスクリプトは指数バックオフ戦略を装備しており、失敗したリクエストを再試行するたびに遅延が大きくなるという方法で、AWS が推奨する標準的な方法です。
特定のサービスのサポート追加を提案するにはどうすればよいですか?
特定のサービスのサポート追加についての提案は、Github で行うことができます。そこで、「Request Cloud Resource/Service Support」をクリックしてください。
この記事は役に立ちましたか?
はい、役に立ちました あまり役に立ちませんでした
申し訳ございませんでした。なぜ役に立たなかったのでしょう?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
ページの先頭へ戻る

関連記事