「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
AWS で使用できる のサービスAWS Organizations
AWS Organizations では、複数の AWS アカウントを 1 つの組織に統合することにより、大規模なアカウント管理作業を行うことができます。アカウントを統合すると、他の AWS サービスの使用が簡単になります。選択した AWS Organizations サービスで、AWS で利用できるマルチアカウント管理サービスを利用して、組織のメンバーであるすべてのアカウントでタスクを実行できます。
次の表は、AWS で使用できる AWS Organizations のサービスと、組織全体のレベルで各サービスを使用する利点を示しています。
信頼されたアクセス – 互換性のある AWS のサービスを有効にして、組織内のすべての AWS アカウントでオペレーションを実行することができます。詳細については、「」を参照してください。AWS Organizations を AWS の他のサービスと併用する.
委任管理者 – 互換性のある AWS のサービスでは、組織内の AWS メンバーアカウントをそのサービス内の組織のアカウントの管理者として登録できます。
| AWS サービス | で使用する利点AWS Organizations | 信頼されたアクセスをサポート | 委任管理者をサポート |
|---|---|---|---|
|
ISO レポートや PCI レポートなど、AWS セキュリティコンプライアンスレポートをダウンロードします。 |
契約を組織内のすべてのアカウントに代わって受諾できます。 |
|
|
|
クラウドサービスの使用の監査に役立つように、証拠を継続的に収集します。 |
組織の複数のアカウント間で AWS の使用を継続的に監査し、リスクとコンプライアンスの評価方法を簡素化します。 |
|
|
|
組織内のすべてのアカウントのバックアップを管理およびモニタリングします。 |
組織全体、または組織単位 (OU) におけるアカウントのグループのバックアッププランを設定および管理できます。すべてのアカウントのバックアップを一元的にモニタリングできます。 |
|
|
|
1 回のオペレーションで、複数のアカウントとリージョンにわたってスタックを作成、更新、または削除します。 |
管理アカウントのユーザーは、組織内のアカウントにスタックインスタンスをデプロイする、サービスによって管理されたアクセス権限を持つスタックセットを作成できます。 |
|
|
|
アカウントのガバナンス、コンプライアンス、および運用とリスクの監査を実行できます。 |
管理アカウントのユーザーは、組織の証跡を作成して、組織のすべてのアカウントに関するすべてのイベントをログに記録できます。 |
|
|
|
AWS リソースおよび AWS で実行しているアプリケーションをリアルタイムでモニタリングします。 |
組織のすべてのアカウント間で、すべての CloudWatch イベント の共有を有効にできます。 詳細については、AWS の「 アカウント間のイベントの送受信」を参照してください。Amazon CloudWatch Events ユーザーガイド |
|
|
|
AWS コンピューティング最適化の推奨事項を入手します。 |
組織のアカウントにあるすべてのリソースを分析して、最適化の推奨事項を取得できます。 詳細については、Compute Optimizer の「 でサポートされているアカウント」を参照してください。AWS Compute Optimizer ユーザーガイド |
|
|
|
AWS リソースの設定を診断、監査、評価します。 |
コンプライアンスステータスに関する組織全体のビューを取得できます。API オペレーションを使用して、組織のすべての AWS Config アカウント全体で ルールとコンフォーマンスパックを管理することもできます。AWS ConfigAWS |
|
詳細はこちら: |
|
安全かつ基準に準拠した複数の AWS アカウント環境をセットアップおよび管理します。 |
すべての AWS リソースのマルチアカウント環境であるランディングゾーンをセットアップできます。この環境には、組織および組織のエンティティが含まれています。この環境を使用して、すべての AWS アカウントでコンプライアンス規制を適用できます。 詳細については、Control Tower ユーザーガイドAWSの「 Control Tower の仕組み」および「AWS Organizations を通じたアカウントの管理」を参照してください。AWS |
|
|
|
AWS クラウドでディレクトリをセットアップして実行したり、AWS リソースを既存のオンプレミス Microsoft Active Directory に接続したりできます。 |
AWS Directory Service と AWS Organizations 統合して、リージョン内の複数のアカウントおよび任意の VPC 間でシームレスなディレクトリ共有を行うことができます。 |
|
|
|
アカウントやアプリケーション間でウェブアプリケーションのファイアウォールルールを一元的に設定、管理します。 |
組織のアカウント間で AWS WAF ルールを一元的に設定および管理できます。 |
|
|
|
GuardDuty は、さまざまなデータソースの情報を分析して処理する継続的なセキュリティモニタリングサービスです。脅威インテリジェンスフィードおよび Machine Learning を使用して、AWS 環境内の予期しない潜在的に未許可なアクティビティや悪意のあるアクティビティを識別します。 |
組織内のすべてのアカウントに対して、GuardDuty を表示および管理するメンバーアカウントを指定できます。メンバーアカウントを追加すると、選択した GuardDuty リージョンのそれらのアカウントに対して AWS が自動的に有効になります。また、組織に追加された新しいアカウントに対して GuardDuty のアクティベーションを自動化することもできます。 詳細については、GuardDuty の「Organizations」および「Amazon GuardDuty ユーザーガイド」を参照してください。 |
|
|
|
のサービスでのリソースのパフォーマンスや可用性の問題に影響するイベントの可視性を取得します。AWS |
組織のアカウント全体で AWS Health イベントを集計することができます。 |
|
|
|
AWS Identity and Access Management AWS リソースへのアクセスを安全にコントロールします。 |
のサービスの最終アクセス時間データを使用して、組織全体の IAM アクティビティについてより良く理解できます。AWSこのデータを使用して、組織のアカウントが使用する のサービスのみにアクセスを制限するSCPsSCP)AWS を作成および更新できます。 例については、 の「Using Data Organizational Unit」を参照してください。IAM ユーザーガイド |
|
|
|
環境内のリソースベースのポリシーを分析して、信頼ゾーン外のプリンシパルへのアクセスを許可するポリシーを特定します。AWS |
IAM Access Analyzer の管理者としてメンバーアカウントを指定できます。 詳細については、https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling の「Access Analyzer の有効化IAM ユーザーガイド」を参照してください。 |
|
|
|
ソフトウェアライセンスをクラウドに移動するプロセスを効率化します。 |
組織全体でコンピューティングリソースのクロスアカウントの検出を有効にすることができます。 |
|
|
|
Amazon Macie: 機械学習を使用してビジネスクリティカルなコンテンツを検出および分類し、データのセキュリティとプライバシーの要件を満たすのに役立ちます。Amazon S3 に保存されているコンテンツを継続的に評価し、潜在的な問題についての通知を送信します。 |
組織内のすべてのアカウントに対して Amazon Macie を設定し、指定された Amazon S3 管理者アカウントのすべてのアカウントにわたって、Macie のすべてのデータを一括表示することができます。組織の成長に合わせて新しいアカウントのリソースを自動的に保護するように Macie を設定できます。組織全体の S3 バケット間でポリシーの設定ミスを修正するよう求めるアラートが生成されます。 |
|
|
|
ソリューションを構築してビジネスを運用するために必要なサードパーティーのソフトウェア、データ、およびサービスを検索、購入、デプロイ、管理するために使用できる、精選されたデジタルカタログ。 |
組織のアカウント間で、AWS Marketplace サブスクリプションと購入に対するライセンスを共有できます。 |
|
|
|
自分が所有している AWS リソースを指定して、他のアカウントと共有します。 |
組織内で、追加の招待を交換することなくリソースを共有できます。共有できるリソースには、Route 53 リゾルバーのルール、オンデマンドキャパシティーの予約などがあります。 キャパシティー予約の共有については、Linux インスタンス用 Amazon EC2 ユーザーガイドまたは Windows インスタンスの Amazon EC2 ユーザーガイド.を参照してください 。 共有可能なリソースのリストについては、https://docs.aws.amazon.com/ram/latest/userguide/shareable.html の「共有可能なリソースAWS RAM ユーザーガイド」を参照してください。 |
|
|
|
でセキュリティ状態を表示して、セキュリティ業界の標準およびベストプラクティスに照らして環境を確認します。AWS |
新しいアカウントが追加されたときなど、組織のすべてのアカウントに対して セキュリティハブ を自動的に有効にすることができます。これにより、セキュリティハブ チェックと結果のカバレッジが向上し、全体的なセキュリティ体制についてより正確な情報が得られます。 |
|
|
|
ストレージを最適化するための実用的な推奨事項により、Amazon S3 ストレージの使用状況とアクティビティメトリクスが可視化されます。 |
ストレージの使用状況とアクティビティの傾向、および組織内のすべてのメンバーアカウントの推奨事項について知ることができるように Amazon S3 Storage Lens を設定します。Amazon S3 |
|
|
|
での使用が承認された IT サービスのカタログを作成および管理します。AWS. |
ポートフォリオ IDs を共有することなく、アカウント間でより簡単にポートフォリオの共有と製品のコピーができます。 |
|
|
|
一元的な場所から、サービスクォータ (制限とも呼ばれます) を表示および管理します。 |
クォータリクエストテンプレートを作成して、組織のアカウントの作成時に自動的にクォータの引き上げをリクエストできます。 |
|
|
|
すべてのアカウントとクラウドアプリケーションに対してシングルサインオンサービスを提供します。 |
ユーザーは企業の認証情報を使用して AWS SSO ユーザーポータルにサインインし、割り当てられている管理アカウントまたはメンバーアカウント内のリソースにアクセスできます。 |
|
|
|
AWS リソースの可視性と制御を可能にします。 |
AWS Explorer を使用することにより、組織内のすべての Systems Manager アカウント間でオペレーションデータを同期できます。 Change Manager を使用して、代理管理者アカウントから組織内のすべてのメンバーアカウントの変更テンプレート、承認、およびレポートを管理できます。Systems Manager |
|
Systems Manager Explorer: 詳細はこちら Systems Manager 変更マネージャー: 詳細はこちら |
|
Trusted Advisor は、お客様の AWS 環境を検査し、コスト削減、システムの可用性とパフォーマンスの向上、セキュリティギャップの封鎖につながる推奨事項をお知らせします。 |
を実行すると、組織内のすべての Trusted Advisor アカウントがチェックされます。AWS |
|
|
|
組織のアカウント内のリソース間でタグを標準化します。 |
タグポリシーを作成して、特定のリソースおよびリソースタイプのタグ付けルールを定義し、それらのポリシーを組織単位およびアカウントにアタッチして、それらのルールを適用できます。 |
|
|
