翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
とは AWS Organizations
AWS リソースのスケーリング時に環境を一元管理
AWS Organizations は、 AWS リソースの成長とスケーリングに合わせて環境を一元管理および制御するのに役立ちます。Organizations を使用すると、アカウントを作成してリソースを割り当て、アカウントをグループ化してワークフローを整理し、ガバナンスのポリシーを適用し、すべてのアカウントに単一の支払い方法を使用して請求を簡素化できます。
組織は他の と統合 AWS のサービス されているため、組織内のアカウント間で中央設定、セキュリティメカニズム、監査要件、リソース共有を定義できます。詳細については、「を他の AWS Organizations で使用する AWS のサービス」を参照してください。
次の図は、 の使用方法の概要を示しています AWS Organizations。
アカウントの追加
グループアカウント
ポリシーの適用
を有効にします AWS のサービス。
トピック
の機能 AWS Organizations
AWS Organizations には、次の機能があります。
- の管理 AWS アカウント
-
AWS アカウント は、アクセス許可、セキュリティ、コスト、ワークロードの自然境界です。マルチアカウント環境の使用は、クラウド環境をスケーリングするときに推奨されるベストプラクティスです。 AWS Command Line Interface (AWS CLI)、、または を使用して新しいアカウントをプログラムで作成しAPIs、 を使用してそれらのアカウントに推奨されるリソースとアクセス許可を一元的にプロビジョニングすることでSDKs、アカウントの作成を簡素化できますAWS CloudFormation StackSets。
- 組織の定義と管理
-
新しいアカウントを作成するときに、それらを組織単位 (OUs)、または単一のアプリケーションまたはサービスを提供するアカウントのグループにグループ化できます。タグポリシーを適用して組織内のリソースを分類または追跡し、ユーザーまたはアプリケーションに属性ベースのアクセスコントロールを提供します。さらに、サポートされている の責任 AWS のサービス は アカウントに委任して、ユーザーが組織に代わって管理できるようにします。
- アカウントの保護とモニタリング
-
セキュリティチームが組織に代わってセキュリティニーズを管理するためのツールとアクセスを一元的に提供できます。例えば、アカウント間で読み取り専用のセキュリティアクセスを提供し、Amazon GuardDutyで脅威を検出して緩和し、IAMAccess Analyzer でリソースへの意図しないアクセスを確認し、Amazon Macieで機密データを保護することができます。
- アクセスとアクセス許可を制御する
-
アクティブディレクトリを使用して および リソースへのアクセスAWS IAM Identity Center AWS アカウント を提供するように を設定し、個別のジョブロールに基づいてアクセス許可をカスタマイズします。ユーザー、アカウント、または に組織ポリシーを適用することもできますOUs。例えば、サービスコントロールポリシー (SCPs) を使用すると、組織内の AWS リソース、サービス、リージョンへのアクセスを制御できます。Chatbot ポリシーを使用すると、Slack や Microsoft Teams などのチャットアプリケーションから組織のアカウントへのアクセスを制御できます。
- アカウント間でリソースを共有する
-
AWS Resource Access Manager (AWS RAM) を使用して、組織内の AWS リソースを共有できます。例えば、Amazon Virtual Private Cloud (Amazon VPC) サブネットを 1 回作成し、組織全体で共有できます。また、 とのソフトウェアライセンスに一元的に同意しAWS License Manager、 のアカウント間で IT サービスとカスタム製品のカタログを共有することもできますAWS Service Catalog。
- 環境のコンプライアンスを監査する
-
アカウントAWS CloudTrail間でアクティブ化できます。これにより、メンバーアカウントではオフまたは変更できないクラウド環境内のすべてのアクティビティのログが作成されます。さらに、 を使用して指定した頻度でバックアップを適用するポリシーを設定したりAWS Backup、 アカウント間および AWS リージョン を使用してリソースの推奨設定を定義したりできますAWS Config。
- 請求とコストを一元管理
-
Organizations では、単一の統合された請求書が提供されます。さらに、 アカウント間でリソースの使用状況を表示し、 を使用してコストを追跡しAWS Cost Explorer、 を使用してコンピューティングリソースの使用を最適化できますAWS Compute Optimizer。
のユースケース AWS Organizations
以下は、 のユースケースの一部です AWS Organizations。
- ワークロードの作成 AWS アカウント と分類を自動化する
-
の作成を自動化 AWS アカウント して、新しいワークロードをすばやく起動できます。即時セキュリティポリシーアプリケーション、タッチレスインフラストラクチャデプロイ、監査のために、ユーザー定義グループにアカウントを追加します。個別のグループを作成して開発アカウントと本番稼働アカウントを分類し、 AWS CloudFormation StackSets を使用して各グループにサービスとアクセス許可をプロビジョニングします。
- 監査ポリシーとコンプライアンスポリシーを定義して適用する
-
サービスコントロールポリシー (SCPs) を適用して、ユーザーがセキュリティおよびコンプライアンス要件を満たすアクションのみを実行できるようにします。を使用して、組織全体で実行されたすべてのアクションの中央ログを作成しますAWS CloudTrail。アカウント間および AWS リージョン を使用して、標準リソース設定を表示して適用しますAWS Config。を使用して、定期的なバックアップを自動的に適用しますAWS Backup。AWS Control Tower を使用して、 AWS ワークロードのセキュリティ、オペレーション、コンプライアンスにパッケージ化されたガバナンスルールを適用します。
- 開発を奨励しながら、セキュリティチームにツールとアクセスを提供する
-
セキュリティグループを作成し、すべてのリソースへの読み取り専用アクセスを提供し、セキュリティ上の懸念を特定して軽減します。そのグループが Amazon GuardDuty を管理できるようにすることで、ワークロードに対する脅威を積極的にモニタリングして軽減し、IAMAccess Analyzer でリソースへの意図しないアクセスをすばやく特定できます。
- アカウント間で共通リソースを共有する
-
組織を使用すると、アカウント間で重要な中央リソースを簡単に共有できます。例えば、アプリケーションが中央 ID ストアにアクセスできるAWS Directory Service for Microsoft Active Directoryように、中央を共有できます。
- アカウント間で重要な中央リソースを共有する
-
をアプリケーションの中央 ID ストアAWS Directory Service for Microsoft Active Directoryとして共有します。AWS Service Catalog を使用して、指定されたアカウントで IT サービスを共有し、ユーザーが承認されたサービスをすばやく検出してデプロイできるようにします。Amazon Amazon Virtual Private Cloud (Amazon VPC) サブネットにアプリケーションリソースが作成されていることを確認します。アプリケーションリソースは、一元的に定義し、 AWS Resource Access Manager (AWS RAM) を使用して組織全体で共有します。
