Deutsch English (US) Español Français 한국어(대한민국) Polski (Polska) Português do Brasil

このセクションの記事

もっと見る

AWS Cloud View(ベータ版)

  • 更新

利用可能なプラン:Business、Enterprise、Education プラン

Miro の AWS Cloud View を使用すると、AWS アカウントからデータをインポートすることで、AWS インフラストラクチャーのダイアグラムを生成できます。 

このダイアグラムを生成するには、2 つの方法があります。

  1. クロスアカウント ロールをリンクする:クロスアカウント ロールを使用して AWS アカウントと Miro をリンクし、AWS アカウントを自動的に視覚化します
  2. AWS CLI (コマンドライン インターフェイス)でスクリプトを実行することで生成された JSON ファイルをアップロード

クロスアカウント ロールのリンク

Miro は、クロスアカウント ロールを使用して、AWS アカウントに安全にアクセスします。AWS アカウントで ReadOnly ロールを作成する必要があります。これは、Miro が AWS アカウントにアクセスするために特別に作成されます。その後、その役割の ARN を使用して、Miro と AWS アカウントを連携できます。

以下の手順に従い、AWS Cloud View アプリを使用します。

  1. Miro ツールバーの下部にある [ツール、メディア、インテグレーション(+)] アイコンをクリックして、AWS Cloud View を検索します。 
  2. 検索結果からアプリを起動します。
  3. モーダルダイアログから、[クロスアカウント ロールをリンクする] タブを選択します。
    aws-cross-account.png
    クロスアカウント ロールのリンク
  4. ダイアログの手順に従って、AWS コンソールで新しいクロスアカウント ロールを設定します。
  5. AWS でロールが作成されると、Role ARN フィールドでロールの ARN を入力します。
    AWS の ARN フィールドはどこで確認できますか
    AWS の ARN フィールドはどこで確認できますか
  6. 追加しようとしている新しい AWS アカウントに名前を付けます。
  7. [追加とインポート] をクリックします。
  8. 最近追加された AWS アカウントは、次のステップでアカウントが一覧表示されます。
    aws-select-accounts.png
    AWS アカウントの選択
  9. 視覚化したいアカウントを選択し、[次へ] をクリックします。
  10. 可視化したい地域を選択します。複数の地域を選択すると、視覚化のプロセスが遅くなる可能性があります。
    aws-select-regions.png
    インポートする地域を選択

  11. 次の画面では、リソースの種類またはタグのいずれかを使用して必要な検索条件をダイアグラムに適用します。(ダイアグラム作成後は、コンテキストメニューで検索条件を適用または編集できます。)

    💡 検索条件を適用してダイアグラムのサイズを小さくすることを強くお勧めします。ダイアグラムが小さいほうが、素早く生成できる上、利用しやすくなります。

    このステップでは 2 つの異なる種類を適用できます。

    1. リソース:たとえば、「EC2 インスタンス」を選択すると、その AWS アカウントの EC2 インスタンスのみが表示されます。
    2. タグ:AWS リソースにタグが付けられている場合は、リソースの検索条件に加えてタグ(キーと値のペア)の検索条件を利用することもできます。たとえば、「所有者」というタグキーを検索して「CheckoutStram」といった値を選択できます。
  12. [可視化] をクリックしてダイアグラムを作成します。

AWS アカウントのダイアグラムが生成されます。

Cloud View アプリによって生成された AWS インフラストラクチャー図の例

Cloud View アプリによって生成された AWS インフラストラクチャー図の例

JSON ファイルのアップロード

読み取り専用権限を使用するスクリプトを AWS CLI(コマンドライン インターフェイス)で実行して、クラウドリソースのデータを JSON ファイルに安全に保存することができます。 

AWS Cloud View を使用して Miro で AWS インフラストラクチャーを視覚化したら、作成された図を編集して、接続線の追加や、付箋などの図形やオブジェクトを追加したり、AWS コスト計算アプリを使用して新しい設計にかかるコストを確認したりできます。

以下の手順に従って、JSON ファイルで AWS Cloud View アプリを使用します。

  1. Miro ツールバーの下部にある [ツール、メディア、インテグレーション(+)] アイコンをクリックして、AWS Cloud View を検索します。
  2. アプリを起動します。
  3. モーダルダイアログから、指示に従って環境を設定して AWS でスクリプトを実行します。
    AWS-JSON-adding.png
    JSON ファイルをアップロード

💡 先に進む前に Node.js AWS CLI (コマンドライン インターフェイス)の設定が必要です。

  1. ターミナルで AWS プロフィールを選択します。
  2. コマンドをコピーし、ターミナルで実行します。
    端末のコマンドをコピーする場所を示すモーダル
    端末でコピーしたコマンドを実行します
  3. AWS リソースに関するデータを含む JSON ファイルが生成されます。
  4. JSON ファイルを Miro 内の同じモーダルダイアログにアップロードします。
  5. Miro は AWS インフラストラクチャーを視覚化した図を生成します。

aws-example.png

Cloud View アプリによって生成された AWS インフラストラクチャー ダイアグラムの例

Miro によって開発された、AWS Cloud View アプリは、ベータ版リリース中です。ベータ版をお試しいただき、今後の開発状況や改善点について役立てるため、お客様からのフィードバックをお待ちしております。この Typeform を使用してフィードバックを共有してください。

よくある質問

セキュリティ

Miro は Cloud View におけるアクセスの安全性をどのように確保しますか?

Miro にアクセスを許可するために新しい AWS ロールを作成する際、Cloud View モーダルで提供されるリンクを使用します。このリンクには、アカウント ID外部 ID の両方が含まれています。外部 ID は、内部 ID と Miro が管理する秘密鍵を基にして一方向暗号化方式によって導かれるものです。こうすることで各 Miro 組織に独自の外部 ID が割り当てられるため、組織に属さないユーザーがその組織の ID を利用して AWS インフラストラクチャーにアクセスすることは不可能です。

外部 ID は AWS が管理するメカニズムを使用して生成されるハッシュで、これによって該当する Miro 組織のみがリンクできることになります。

ロール ARN の割り当て

この外部 ID に加えて、ユーザーが AWS 環境にリンクしてリソースをスキャンするには、作成されたロールのロール ARN を割り当てる必要があります。ロール ARN の割り当てを行う責任はすべてユーザーにあり、ユーザーの AWS 管理者が管理します。管理者は、ロール ARN を割り当てるユーザーを決定することでロールへのアクセスを制御できます。同じロール ARN を複数の Miro ユーザーに割り当てることは可能で、ロール ARN および対応する Miro 組織の双方に割り当てられたユーザーなら誰でも AWS 環境にリンクできます。ただし、各認証プロセスで外部 ID を検証することにより、このアクセスを利用できるのは特定の Miro 組織のみに厳密に制限されます。

セキュリティーに関するユーザー責任

Cloud View を使用するに当たって AWS リソースのセキュリティーを維持するには、以下の責任があることをご承知ください。

  • 組織のメンバーシップを制限:広くアクセス権を与える場合は、クラウド視覚化専用の Miro 組織をアカウント内に作成することをお勧めします。組織のメンバー数を制限することで、特定の承認されたユーザーのみが機密のクラウド情報にアクセスできるようにすることができます。
  • ロール ARN を慎重に割り当て:大規模な Miro 組織にアクセスを許可する場合、作成したロールの ARN をどう割り当てるかについて注意してください。ARN を割り当てるのはアクセスを必要とするユーザーに限定します。この判断は自由に行ってください。小規模な Miro 組織に対してアクセスを広く提供する、あるいは、大規模な Miro 組織で 1 つのテスト用 AWS アカウントにアクセスを限定することが可能です。

こうしたプラクティスを採用して Miro の安全なアクセス フレームワークを活用すれば、自信を持って Cloud View を使用して AWS リソースを管理できます。

リンクされたインフラストラクチャーの情報には誰がアクセスできますか?
ロール ARN を使用して Miro を AWS 環境にリンクした場合、その特定のリンクを通じてデータの表示、視覚化、管理を行えるのはそのユーザーだけです。Miro 組織内の他のユーザーは、必要に応じて同じロール ARN を追加すると独自のリンクを確立できます。
Miro がデータをどのように処理するかについて、詳細な情報はどこで確認できますか?
データのプライバシーとセキュリティーに対する Miro の取り組み(Miro のチームが実装した特定の制御とポリシーを含む)についての詳細は、Miro のトラストセンターで確認できます。詳細については、アカウントチームにお問い合わせいただくか、サポートチケットを発行してください。

クロスアカウント ロールのリンク

Miro は、プログラムによるダイアグラムの作成と更新のための API アクセスを提供していますか?
まだできません。現在、Miro は、プログラムによるダイアグラムの作成や更新のための API アクセスを提供していません。
既存の AWS アカウントを更新して、最新データを取得できますか?
いいえ、現在、AWS Cloud View アプリでは、AWS アカウントデータを更新できません。この機能は、今後サポートされる予定です。
Miro がダイアグラムで処理できる最大リソース数はどれくらいですか?
ダイアグラムで視覚化できるリソースの数に厳しい制限はありません。ただし、多数のリソースを含むダイアグラムの読み込みとレンダリングに時間がかかる場合があります。
データとコンテンツのセキュリティーを確保するため、Miro が準拠しているポリシーは何ですか?
Miro はデータのプライバシーとセキュリティーに配慮し、業界リーダーと遜色ないレベルのセキュリティー対策を維持できるよう努めています。この記事では、データのプライバシーとセキュリティーに関してお客様から多くいただく質問とその回答をご紹介します。
Miro は、時間の経過に伴うインフラストラクチャーの変更を追跡するために、ダイアグラムのバージョン管理をサポートしていますか?
まだできません。レンダリングされたダイアグラムはすべて静的です。ユーザーは、データを更新した後に新しいダイアグラムを作成し、比較用に古いバージョンの隣に配置できます。
Miro は、Terraform や CloudFormation などのコードツールとしてインフラストラクチャーと統合して、コードからダイアグラムを生成できますか?
まだ対応しておりません。現時点では、Miro は、AWS からのデータのインポートのみをサポートしています。
現時点で、Miro はどのようなリソースタイプをスキャンしますか?
  1. Athena 名前付きクエリ
  2. 自動スケーリンググループ
  3. CloudTrail トレイル
  4. CloudWatch メトリクスアラーム
  5. CloudWatch メトリクスストリーム
  6. DynamoDB テーブル
  7. EC2 インスタンス
  8. EC2 VPC
  9. EC2 VPC エンドポイント
  10. EC2 サブネット
  11. EC2 ルートテーブル
  12. EC2 インターネット ゲートウェイ
  13. EC2 NAT ゲートウェイ
  14. EC2 トランジット ゲートウェイ
  15. EC2 ボリューム
  16. EC2 ネットワーク ACL
  17. EC2 VPN ゲートウェイ
  18. EC2 ネットワーク インターフェイス
  19. ECS リソース
  20. EFS ファイルシステム
  21. ElastiCache クラスター
  22. ELBv2 ロードバランサー
  23. ELBv2 ターゲットグループ
  24. ELBv1 ロードバランサー
  25. EKS クラスター
  26. Lambda 関数
  27. Redshift クラスター
  28. RDS インスタンス
  29. RDS クラスター
  30. RDS プロキシ
  31. Route 53 ホストゾーン
  32. S3 バケット
  33. SNS トピック
  34. SQS キュー
Miro は、AWS アカウントとどのように接続しますか?
Miro は、お客様または AWS 管理者が作成したクロスアカウント ロールを介して接続します。このロールは、Miro の AWS アカウントを指し、Miro が提供する一意の外部 ID を使用します。Miro は、この外部 ID を安全に保存し、役割を担い、データを取得するために使用します。その後 Miro は、アクセスできるすべての地域とリソースをスキャンします。これにより、AWS の設定をわかりやすいダイアグラムとして確認できます。
Miro と AWS の接続を確立するために必要な IAM ロールを作成するにはどうすればよいですか?
ロールは、クラウドデータ インポートアプリのモーダルダイアログ内のリンクを使用して作成できます。このリンクには、ロールを作成するために必要な情報がすべて含まれています。ユーザーはこのリンクを使用して、新しいロールを直接作成するか、必要な権限がない場合は管理者と共有できます。
IAM ロールにはどのようなポリシーが必要ですか?
Miro は、ロールに「ReadOnly -job function」ポリシーを付与します。より制限的なアプローチとして、特定の権限を持つカスタムポリシーを付与できます。その後、Miro は、アクセス可能なものすべてをスキャンします。Miro には、書き込みアクセス権限は不要です。
アプリを使用する際に費用は発生しますか?
AWS アカウントに追加料金が発生することなく、Miro はインフラストラクチャーをスキャンできます。データ取得には、サービスへのリクエストが必要であり、一時的にレート制限クォータが使用されます。これらのクォータは毎分適用されます。そのため、ディスカバリージョブが完了するとクォータは通常に戻ります。
Miro で追加した AWS アカウントを表示および削除するにはどうすればよいですか?
AWS アカウントへのリンクは、[AWS アカウントの選択] 画面の三点リーダーメニュー(...)から表示および削除できます。リンクを削除しても、Miro の既存のダイアグラムには影響しません。
Miro に追加した AWS アカウントを他のユーザーと共有できますか?
現時点では、ユーザー インターフェイスからアカウントを共有することはできません。ただし、Role ARN を共有すると、同じ組織内の全員が同じ Role ARN を追加してデータにアクセスできることに注意してください。Miro 組織外のユーザーは、Role ARN を介してデータにアクセスできません。
アプリを使用して生成したダイアグラムをチームと共有できますか?
ボードでダイアグラムを生成すると、そのボードにアクセスできるユーザー全員がアクセスできます。ボードを特定のユーザーに共有できます。
AWS アカウントでクロスアカウント ロールを作成するためのアクセス権限がありません。どうすればよいですか?
AWS アカウントの全員が新しい IAM ロールを作成する権限を持っているわけではありません。該当する場合は、AWS 管理者に、AWS データ インポートアプリのモーダルダイアログを開き、提供されたリンクを使用して IAM ロールを設定するよう依頼してください。管理者は、一定の権限を持つ特定のロールを既に作成しており、そのロールの ARN のみをお客様と共有する場合があります。
私の会社では、Miro のスキャン開始時に作動するアラートをいくつか設定しました。それは正常ですか?
インフラストラクチャーをスキャンするため、Miro は、AWS インフラストラクチャー上のさまざまなサービスに複数のリクエストを送信します。これがおそらくアラートの原因です。セキュリティーチームに、アラートの原因を確認するよう依頼し、このようなインテグレーションが存在することを想定して、アラートを設定するよう依頼してください。
視覚化されたダイアグラムを同僚と共有すると、視覚化データのみを共有しますか?または、他のデータも共有しますか?
ボードで AWS ダイアグラムを視覚化すると、基本的にインフラストラクチャーを表す静的ダイアグラムを作成することになります。ボードを共有することで、資格情報やアクセス情報を他のユーザーと共有することはありません。インフラストラクチャーの視覚化を共有しているユーザーを把握することは、依然として重要です。

JSON アップロード

この機能を使用するには、何をインストールする必要がありますか?
お使いの機器に Node.js をインストールし、AWS CLI (コマンドライン インターフェイス)を設定する必要があります。
このスクリプトにはどのような権限が必要ですか?
スクリプトには「ReadOnly - job function」ポリシー(arn:aws:iam::aws:policy/ReadOnlyAccess)が必要です。

カスタムポリシーをロールに設定し、必要に応じて Miro を特定のリソースまたは地域に制限できます。Miro はこのページで言及されているリソースをデフォルトでスキャンします。カスタムポリシーを設定している場合、スクリプトはアクセス可能なスコープ内でのみスキャンされます。
スクリプトの仕組みと取得するデータについて理解するには、どこでスクリプトを確認できますか?
スクリプトはオープンソースであるため、検出メカニズムを確認したり、不要なリソースをコメントアウトしたりすることができます。
Miro は、アップロードされた JSON ファイル内に情報を保存しますか?
いいえ、現時点では Miro は情報を保存しません。
AWS Cloud View アプリを使用するとサービスクォータにどのように影響しますか?
追加費用が発生することなく、AWS Cloud View アプリを使用できます。

インフラストラクチャーに対してスクリプトを実行すると、アプリがリソースをスキャンしている特定の時間にサービスのクォータの一部が使用されます。リソーススキャンが実行されるのは、新しい AWS アカウントをリンクする時、または AWS CLI でスクリプトを実行して JSON 出力を生成する時に行われます。通常、スキャンはインフラストラクチャーに負荷がかかりすぎない場合に実行する方が良いです。

あるいは、--call-rate-rps を使用して AWS CLI スクリプトを使用する際、1 秒当たりのリクエスト量を減らすこともできます。たとえば、スクリプトを --call-rate-rps 1 で実行すると、サービスに対してリクエストが 1 秒間に 1 回しか送信されないため、公平な使用率を確保できます。

スクリプトには指数関数的なバックオフ戦略が実装されています。これは、失敗したリクエストの再試行を行う間隔を次第に長くする手法で、WS で推奨されている標準的な方法です。
必要な特定のサービスのサポートを追加するには、どこで提案できますか?
Github で特定のサービスのサポート追加について提案することができます。そこで、「クラウドリソース / サービスサポートのリクエスト」をクリックします。
この記事は役に立ちましたか?
はい、役に立ちました あまり役に立ちませんでした
申し訳ございませんでした。なぜ役に立たなかったのでしょう?
If you would like to get a reply from the Miro Support team, please create a ticket here
Thank you for your feedback!
Error! Please try later...
ページの先頭へ戻る

関連記事