翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
マルチアカウント環境のベストプラクティス
でのマルチアカウント環境の設定と管理の手順については、以下の推奨事項に従ってください。 AWS Organizations.
アカウントと認証情報
ルートユーザーには強力なパスワードを使用する
強力でユニークなパスワードを使用することをおすすめします。そのためにはさまざまなパスワードマネージャーや、複雑なパスワードを生成するアルゴリズムやツールを使用できます。詳細については、「 のパスワードの変更」を参照してください。 AWS アカウントのルートユーザー。 会社の情報セキュリティポリシーを使用して、長期ストレージとルートユーザーのパスワードへのアクセスを管理します。パスワードは、組織のセキュリティ要件を満たすパスワードマネージャーシステムまたは同等のシステムに保存することをおすすめします。循環依存関係を作成しないようにするには、 に依存するツールでルートユーザーパスワードを保存しないでください。 AWS 保護されたアカウントでサインインする のサービス。どの方法を選択する場合でも、復元能力を優先し、保護を強化するためにこの保管庫へのアクセスには複数のアクターを必須とするようにすることがおすすめです。パスワードとその保存場所へのアクセスはすべてログに記録し、モニタリングする必要があります。その他のルートユーザーパスワードの推奨事項については、「 のルートユーザーベストプラクティス」を参照してください。 AWS アカウント.
ルートユーザーの認証情報の使用プロセスをドキュメント化する
重要なプロセスが実行される度にドキュメント化し、各ステップに誰が関与したかの記録が残るようにします。パスワードを管理するには、安全な暗号化されたパスワードマネージャーを使用することをおすすめします。また、例外や予期しないイベントが発生する可能性がある場合は、それについてのドキュメントを用意することも重要です。詳細については、「トラブルシューティング」を参照してください。 AWS Management Console でのサインイン AWS 「 ユーザーガイド」の「サインインユーザーガイド」と「ルートユーザーの認証情報を必要とするタスクIAM」。
ルートユーザーに引き続きアクセスできること、および連絡先の電話番号が有効であることのテストと妥当性確認を、少なくとも四半期ごとに実施します。このようにすることで、プロセスが機能し、ルートユーザーへのアクセスが保持されていることを、組織的に確認することができます。また、ルートアクセス担当者が、プロセスを成功させるために実行しなければならない手順を理解しているか確認することもできます。応答時間と成功率を向上させるには、プロセスに関わるすべての担当者が、アクセスが必要な場合に何をすべきかを正確に理解していることが重要です。
ルートユーザー認証情報MFAの を有効にする
に対して複数の多要素認証 (MFA) デバイスを有効にすることをお勧めします。 AWS アカウント のルートユーザーとIAMユーザー AWS アカウント。 これにより、 のセキュリティバーを上げることができます。 AWS アカウント と は、 などの権限の高いユーザーへのアクセスの管理を簡素化します。 AWS アカウント ルートユーザー。さまざまなお客様のニーズを満たすために、 AWS は、FIDOセキュリティキーIAM、仮想認証アプリケーション、時間ベースのワンタイムパスワード (TOTP) ハードウェアトークンなど、 用の 3 種類のMFAデバイスをサポートしています。
オーセンティケータの種類によって、使用ケースにとって最適な物理的特性やセキュリティ特性が若干異なります。FIDO2 セキュリティキーは最高レベルの保証を提供し、フィッシングに強いです。のいずれの形式でも、パスワードのみの認証よりも堅牢なセキュリティ体制MFAが提供されるため、アカウントに何らかの形式の を追加することを強くお勧めMFAします。セキュリティと運用の要件に最も合ったデバイスタイプを選択してください。
TOTP ハードウェアトークンなど、プライマリ認証にバッテリー駆動デバイスを選択する場合は、バックアップメカニズムとしてバッテリーに依存しない認証デバイスも登録することを検討してください。デバイスの機能を定期的にチェックし、有効期限が切れる前に交換することも、アクセスを中断させないために不可欠です。選択したデバイスのタイプにかかわらず、デバイスの損失や障害に対する回復力を高めるために、少なくとも 2 つのデバイス (IAM ユーザーMFAあたり最大 8 つのデバイスをサポート) を登録することをお勧めします。
MFA デバイスのストレージについては、組織の情報セキュリティポリシーに従ってください。関連付けられたパスワードとは別にMFAデバイスを保存することをお勧めします。これにより、パスワードとMFAデバイスへのアクセスに、異なるリソース (人、データ、ツール) が必要になります。このように分離することで、不正アクセスに対する保護をさらに強化することができます。また、MFAデバイスまたはそのストレージの場所へのアクセスをログに記録してモニタリングすることをお勧めします。これにより、不正アクセスを検出して対応することができます。
詳細については、「 ユーザーガイド」の「多要素認証 (MFA) でルートユーザーのサインインを保護するIAM」を参照してください。を有効にする手順についてはMFA、「 での多要素認証 (MFA) の使用」を参照してください。 AWS および でのユーザーのMFAデバイスの有効化 AWS.
ルートユーザーの認証情報へのアクセスをモニタリングするコントロールを適用する
ルートユーザーの認証情報へのアクセスは、頻繁に行われるべきではありません。Amazon などのツールを使用してアラートを作成し EventBridge 、管理アカウントのルートユーザー認証情報のログインと使用を通知します。通知には、少なくともルートユーザー自体に使用されているメールアドレスを含めるようにします。このアラートは重要で、見逃しにくくする必要があります。例については、「 のモニタリングと通知」を参照してください。 AWS アカウント ルートユーザーアクティビティ
連絡先の電話番号を最新の状態に保つ
へのアクセスを回復するには AWS アカウントでは、テキストメッセージや通話を受信できる有効でアクティブな連絡先電話番号を用意することが重要です。次のことを確認するには、専用の電話番号を使用することをお勧めします。 AWS は、アカウントのサポートと復旧の目的でお客様に連絡できます。を介して、アカウントの電話番号を簡単に表示および管理できます。 AWS Management Console または アカウント管理 APIs。
専用の電話番号を取得するには、さまざまな方法があり、 AWS から連絡があります。専用のSIMカードと物理的な電話を入手することを強くお勧めします。電話番号をアカウント復旧に使用できるように、電話番号とSIM長期を安全に保管してください。また、携帯電話料金の請求処理を担当するチームが、この番号が長期間使用されない場合でも重要な番号であることを理解していることを確認してください。この電話番号は、さらなる保護のために、組織内で秘密にしておくことが不可欠です。
電話番号を に記録する AWS 連絡先情報コンソールページ。その詳細を、組織内で知っておく必要がある特定のチームと共有します。このアプローチは、電話番号を別の に転送することに伴うリスクを最小限に抑えるのに役立ちますSIM。電話は、既存の情報セキュリティポリシーに従って保管します。ただし、保管場所は、関連する他の認証情報と同じにしてはなりません。電話機とその保存場所へのアクセスはすべてログに記録し、モニタリングする必要があります。アカウントに関連付けられている電話番号が変更された場合は、既存のドキュメントに記載の電話番号を更新するプロセスを実施してください。
ルートアカウントにグループメールアドレスを使用する
会社が管理するメールアドレスを使用します。受信したメッセージをユーザーのグループに直接転送するメールアドレスを使用します。次の場合 AWS は、アクセスを確認するために、E メールメッセージが複数の当事者に配信されるなど、アカウントの所有者に連絡する必要があります。こうすることで、誰かが休暇中や病欠であるか、あるいはすでに退職している場合でも、応答の遅延のリスクを軽減できます。
組織の構造とワークロード
アカウントを 1 つの組織内で管理する
1 つの組織を作成し、その組織内ですべてのアカウントを管理することをおすすめします。組織は、環境のアカウント間の一貫性を維持するためのセキュリティ境界です。組織のアカウントに対し、ポリシーやサービスレベルの設定を一元的に適用できます。マルチアカウント環境全体で一貫したポリシー、一元的な可視性、プログラムによる制御を実現したい場合は、単一の組織内で実現するのが最適です。
報告体制ではなく、ビジネス目的に基づいてワークロードをグループ化する
本番ワークロード環境とデータを最上位のワークロード指向の で分離することをお勧めしますOUs。は、会社の報告構造をミラーリングするのではなく、共通のコントロールセットに基づいてOUsいる必要があります。本番稼働用 とは別にOUs、ワークロードの開発とテストに使用されるアカウントとワークロード環境OUsを含む 1 つ以上の非本番稼働用 を定義することをお勧めします。その他のガイダンスについては、「ワークロード指向の の整理OUs」を参照してください。
複数のアカウントを使用してワークロードを整理する
An AWS アカウント は、 に自然なセキュリティ、アクセス、請求の境界を提供します。 AWS リソースの使用料金を見積もることができます。アカウントレベルのクォータとAPIリクエストレートの制限を分散できるため、複数のアカウントを使用する利点があります。また、ここにリストされているその他の利点もあります。セキュリティ、ログ、インフラストラクチャ用のアカウントなど、組織全体の基本アカウントを複数使用することをおすすめします。ワークロードアカウントの場合、本番用ワークロードとテスト/開発用ワークロードを別々のアカウントに分ける必要があります。
サービスとコスト管理
有効 AWS サービスコンソールまたは API/CLI オペレーションを使用した組織レベルの サービス
ベストプラクティスとして、 全体で統合する サービスを有効または無効にすることをお勧めします。 AWS Organizations そのサービスのコンソール、またはAPIオペレーション/CLIコマンド同等物を使用する。この方法を使用すると、 AWS サービスでは、必要なリソースの作成やサービスの無効化時のリソースのクリーンアップなど、組織に必要なすべての初期化ステップを実行できます。 AWS Account Management は、 の使用を必要とする唯一のサービスです。 AWS Organizations コンソールまたは を有効にAPIsしてください。と統合されているサービスのリストを確認するには AWS Organizations「AWS のサービス で使用できる AWS Organizations」を参照してください。
請求ツールを使用してコストを追跡し、リソースの使用を最適化する
組織を管理する場合、組織内のアカウントのすべての料金が網羅的にまとめられた一括請求書が届きます。コストを可視化する必要のあるビジネスユーザーには、請求ツールやコストツールを確認するために、読み取り専用の制限つき権限ロールを管理アカウントに割り当てることができます。例えば、請求レポートへのアクセスを提供するアクセス許可セットを作成したり、 AWS Cost Explorer Service (時間の経過に伴うコスト傾向を表示するためのツール)、および Amazon S3 Storage Lens や
組織リソース全体でのタグ付け戦略とタグの適用を計画する
アカウントやワークロードがスケールしてくると、コスト追跡、アクセス制御、リソースの整理にタグが役立ちます。タグ付けの命名戦略については、「 のタグ付け」のガイダンスに従ってください。 AWS リソース 。リソースに加えて、組織のルート、アカウント、、OUsおよび ポリシーにタグを作成できます。詳しくは、「タグ付け戦略の構築」を参照してください。
