複数の を使用する AWS アカウント

AWS アカウント は、基本的なセキュリティ境界として機能します AWS。これらは、有用な分離レベルを提供するリソースコンテナとして機能します。リソースとユーザーを隔離する能力は、安全で適切に管理された環境を確立するための重要な要件です。

リソースを別々の に分けると AWS アカウント 、クラウド環境で以下の原則をサポートできます。

• セキュリティコントロール - アプリケーションごとに異なるセキュリティプロファイルがあり、異なるコントロールポリシーとメカニズムが必要になる場合があります。例えば、監査人と話して、Payment Card Industry (PCI) セキュリティ標準の対象となるワークロードのすべての要素を AWS アカウント ホストする単一の をポイントする方が簡単です。

• 分離 – AWS アカウント はセキュリティ保護の単位です。潜在的なリスクとセキュリティ上の脅威は、他のユーザーに影響を与える AWS アカウント ことなく、 内に含める必要があります。チームやセキュリティプロファイルが異なるため、セキュリティニーズが異なる場合があります。

• 多数のチーム - チームごとに異なる責任とリソースニーズがあります。チームを別々の に移動することで、チームが互いに干渉しないようにできます AWS アカウント。

• データの分離 — チームの分離に加えて、データストアをアカウントに分離することが重要です。これにより、そのデータストアにアクセスして管理できるユーザーの数を制限できます。これには、高度にプライベートなデータへの暴露が含まれており、一般データ保護規則 (GDPR) への適合に役立ちます。

• 業務プロセス - 事業単位や製品によって目的やプロセスが異なる場合があります。複数の を使用すると AWS アカウント、ビジネスユニットの特定のニーズをサポートできます。

• 請求 — アカウントは、請求レベルで項目を分ける唯一の真の方法です。複数のアカウントは、ビジネスユニット、機能チーム、または個々のユーザー間で課金レベルでアイテムを分離するのに役立ちます。明細項目を 1 つの支払者 ( AWS Organizations および 一括請求を使用) に分割しながら、すべての請求書を 1 つの支払者に統合できます AWS アカウント。

• クォータ割り当て – AWS サービスクォータは、それぞれ個別に適用されます AWS アカウント。ワークロードを異なる AWS アカウント に分けることで、互いのクォータを消費し合うのを防止できます。

このガイドで説明しているすべての推奨事項と手順は、AWS Well-Architected フレームワークに適合するものです。このフレームワークは、柔軟性、耐障害性、スケーラブルなクラウドインフラストラクチャの設計を支援することを目的としています。小規模から始める場合でも、フレームワークにおけるこのガイダンスを守りながら進めることをお勧めします。そうすることで、成長に伴う継続的な運用に影響を与えることなく、環境を安全に拡張できます。

複数のアカウントを追加する前に、アカウントの管理計画を策してください。そのためには、無料 AWS サービスAWS Organizationsである を使用して、組織内のすべての AWS アカウント を管理することをお勧めします。

AWS は、 も提供します。これにより AWS Control Tower、Organizations に AWS マネージドオートメーションのレイヤーが追加され AWS Config、、Amazon CloudWatch AWS CloudTrailなどの他の AWS サービスと自動的に統合されます AWS Service Catalog。これらのサービスには追加料金が発生する可能性があります。詳細については、AWS Control Tower の料金を参照してください。