とは AWS Organizations? - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

とは AWS Organizations?

のスケーリング時に環境を一元管理 AWS リソース

AWS Organizations は、 の拡張とスケーリングに合わせて環境を一元管理および管理するのに役立ちます。 AWS リソースの使用料金を見積もることができます。Organizations を使用すると、アカウントを作成してリソースを割り当てたり、アカウントをグループ化してワークフローを整理したり、ガバナンスのポリシーを適用したり、すべてのアカウントに単一の支払い方法を使用して請求を簡素化したりできます。

Organizations が他の と統合されている AWS のサービス は、組織内のアカウント間で中央設定、セキュリティメカニズム、監査要件、リソース共有を定義できるようにします。詳細については、「を他の AWS Organizations で使用する AWS のサービス」を参照してください。

次の図は、 の使用方法の概要を示しています。 AWS Organizations:

  • アカウントの追加

  • グループアカウント

  • ポリシーの適用

  • 有効 AWS のサービス.

この画像は、 AWS Organizations 機能: アカウントの追加、アカウントのグループ化、ポリシーの適用、有効化 AWS のサービス.

の機能 AWS Organizations

AWS Organizations には次の機能があります。

の管理 AWS アカウント

AWS アカウント は、アクセス許可、セキュリティ、コスト、ワークロードの自然境界です。クラウド環境をスケーリングするときは、マルチアカウント環境を使用することをお勧めします。を使用してプログラムで新しいアカウントを作成することで、アカウントの作成を簡素化できます。 AWS Command Line Interface (AWS CLI)、SDKs、または を使用しAPIs、 でそれらのアカウントに推奨されるリソースとアクセス許可を一元的にプロビジョニングします。 AWS CloudFormation StackSets.

組織の定義と管理

新しいアカウントを作成するときに、それらを組織単位 (OUs)、または単一のアプリケーションまたはサービスを提供するアカウントのグループにグループ化できます。タグポリシーを適用して、組織内のリソースを分類または追跡し、ユーザーまたはアプリケーションに属性ベースのアクセスコントロールを提供します。さらに、サポートされている の責任の委任もできます。 AWS のサービス ユーザーが組織に代わってアカウントを管理できるように、 アカウントに 。

アカウントの保護とモニタリング

セキュリティチームが組織に代わってセキュリティニーズを管理するためのツールとアクセスを一元的に提供できます。例えば、アカウント間での読み取り専用セキュリティアクセスの提供、Amazon による脅威の検出と軽減 GuardDutyIAMAccess Analyzer によるリソースへの意図しないアクセスの確認Amazon Macie による機密データの保護を行うことができます。

アクセスとアクセス許可を制御する

を設定するAWS IAM Identity Center へのアクセスを提供するには AWS アカウント アクティブディレクトリを使用して および リソースを使用し、個別のジョブロールに基づいてアクセス許可をカスタマイズします。また、サービスコントロールポリシー (SCPs) をユーザー、アカウント、または OUsに適用して、 へのアクセスを制御することもできます。 AWS 組織内の リソース、サービス、リージョン。

アカウント間でリソースを共有する

共有できます AWS を使用した組織内の リソース AWS Resource Access Manager (AWS RAM)。 例えば、Amazon Virtual Private Cloud (Amazon VPC) サブネットを 1 回作成し、組織全体で共有できます。また、 を使用してソフトウェアライセンスに一元的に同意することもできます。 AWS License Managerアカウント間で IT サービスとカスタム製品のカタログを と共有します。 AWS Service Catalog.

環境のコンプライアンスを監査する

をアクティブ化できます AWS CloudTrail アカウントをまたいで、メンバーアカウントでは無効にしたり変更したりできない、クラウド環境内のすべてのアクティビティのログを作成します。さらに、 を使用して、指定した頻度でバックアップを適用するポリシーを設定できます。 AWS Backup、または アカウントおよび 全体のリソースの推奨構成設定を定義する AWS リージョン で AWS Config.

請求とコストを一元管理する

Organizations では、単一の一括請求が提供されます。さらに、 を使用して、アカウント間でリソースの使用状況を表示し、コストを追跡できます。 AWS Cost Explorer、および を使用してコンピューティングリソースの使用を最適化する AWS Compute Optimizer.

のユースケース AWS Organizations

のユースケースを次に示します。 AWS Organizations:

の作成を自動化する AWS アカウント ワークロードの分類

の作成を自動化できます。 AWS アカウント は、新しいワークロードをすばやく起動します。アカウントをユーザー定義グループに追加して、即時セキュリティポリシーアプリケーション、タッチレスインフラストラクチャのデプロイ、監査を行います。開発アカウントと本番稼働用アカウントを分類して使用する個別のグループを作成する AWS CloudFormation StackSets は、各グループにサービスとアクセス許可をプロビジョニングします。

監査およびコンプライアンスポリシーを定義して適用する

サービスコントロールポリシー (SCPs) を適用して、セキュリティおよびコンプライアンス要件を満たすアクションのみをユーザーが実行するようにできます。を使用して、組織全体で実行されたすべてのアクションの中央ログを作成する AWS CloudTrail。 アカウントと 全体で標準リソース設定を表示して適用する AWS リージョン の使用 AWS Config。 を使用して定期的なバックアップを自動的に適用する AWS Backup。 を使用する AWS Control Tower にセキュリティ、運用、コンプライアンスに関するパッケージ済みのガバナンスルールを適用するには AWS ワークロード。

開発を奨励しながら、セキュリティチームにツールとアクセスを提供する

セキュリティグループを作成し、すべてのリソースへの読み取り専用アクセスを提供して、セキュリティ上の懸念を特定して軽減します。そのグループが Amazon GuardDuty を管理できるようにすることで、ワークロードへの脅威を積極的にモニタリングして軽減し、Access IAM Analyzer を使用して リソースへの意図しないアクセスをすばやく特定できます。

アカウント間で共通リソースを共有する

Organizations を使用すると、重要な中央リソースをアカウント間で簡単に共有できます。例えば、中央の を共有できます。 AWS Directory Service for Microsoft Active Directory アプリケーションが中央 ID ストアにアクセスできるようにします。

アカウント間で重要な中央リソースを共有する

を共有する AWS Directory Service for Microsoft Active Directory は、アプリケーションの中央 ID ストアです。 を使用します。AWS Service Catalog は、ユーザーが承認されたサービスをすばやく検出してデプロイできるように、指定されたアカウントで IT サービスを共有します。Amazon Amazon Virtual Private Cloud (Amazon VPC) サブネットにアプリケーションリソースが作成されていることを確認するには、それらを 1 回一元的に定義し、 を使用して組織全体で共有します。 AWS Resource Access Manager (AWS RAM).