管理アカウントのベストプラクティス - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理アカウントのベストプラクティス

AWS Organizations の管理アカウントのセキュリティを保護するため、以下の推奨事項に従います。これらの推奨事項は、厳密に必要とするタスクにのみルートユーザーを使用するというベストプラクティスを遵守していることを前提としています。

管理アカウントにアクセスできるユーザーを制限する

管理アカウントは、アカウント管理、ポリシー、他の AWS サービスとの統合、一括請求など、前述のすべての管理タスクにとって重要です。そのため、管理アカウントへのアクセスは、組織に変更を加える権限を必要とする管理者ユーザーのみに制限する必要があります。

誰がアクセスできるかを確認、追跡する

管理アカウントへのアクセスを維持するには、そのアカウントと関連付けられたメールアドレス、パスワード、MFA、電話番号に社内の誰がアクセスできるかを定期的に確認する必要があります。確認は既存のビジネス上の手続きに則って行うことができます。担当者だけに適切なアクセスを限定できるよう、月ごとや四半期ごとにこの情報を確認してください。ルートユーザーの認証情報へのアクセスを回復またはリセットするプロセスが、特定の個人に依存しないようにしてください。すべてのプロセスは、誰かが不在だったとしても問題なく進められるよう設計します。

管理アカウントは、管理アカウントが必要なタスクにのみ使用してください

管理アカウントとそのユーザーおよびロールは、そのアカウントで実行する必要のあるタスクのみに使用することをおすすめします。すべての AWS リソースは組織内の他の AWS アカウント に保存し、管理アカウントからは切り離します。リソースを他のアカウントで保持する重要な理由の一つは、管理アカウントのユーザーとロールに対する制限に Organizations サービスコントロールポリシー (SCP) を使用できないためです。また、リソースを管理アカウントから分離することで、請求書に記載される請求額が理解しやすくなります。

組織の管理アカウントにワークロードをデプロイすることを避ける

特権操作は組織の管理アカウント内で実行でき、SCP は管理アカウントには適用されません。そのため、管理アカウントに含まれるクラウドリソースとデータは、管理アカウントで管理する必要があるものだけに制限する必要があります。

分散化のために管理アカウント外に責任を委任する

可能ならば、責任とサービスを管理アカウント外に委任することをおすすめします。チームにチーム自身の権限を提供することで、管理アカウントにアクセスすることなく、各自のアカウントから組織のニーズを管理できます。さらに、組織全体でソフトウェアを共有するための AWS Service Catalog や、スタックの作成と展開を行うための AWS CloudFormation StackSet など、この機能をサポートするサービスを利用できるよう、複数の委任管理者を登録できます。

詳細については、「セキュリティリファレンスアーキテクチャ」や、「複数のアカウントを使用した AWS 環境の構築」を参照してください。また、メンバーアカウントをさまざまな AWS サービスの委任管理者として登録する場合の推奨事項については、AWS Organizations で使用できる AWS のサービス を参照してください。委任管理者の設定の詳細については、「AWS Account Management の委任管理者アカウントの有効化」および AWS Organizations の委任管理者 を参照してください。