テーマ 5: データ境界を確立する - AWS 規範ガイダンス
関連するベストプラクティスこのテーマの実装このテーマのモニタリング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

テーマ 5: データ境界を確立する

対象となる Essential Eight 戦略

管理者権限を制限する

データ境界は、環境 AWS 内の一連の予防ガードレールであり、信頼できる ID のみが期待されるネットワークから信頼できるリソースにアクセスしていることを確認できます。これらのガードレールは、幅広い AWS アカウント およびリソースのセットにわたってデータを保護するのに役立つ常時オンの境界として機能します。これらの組織全体のガードレールは、既存のきめ細かなアクセスコントロールを置き換えるものではありません。代わりに、すべての AWS Identity and Access Management (IAM) ユーザー、ロール、およびリソースが、定義された一連のセキュリティ標準に準拠していることを確認することで、セキュリティ戦略の改善に役立ちます。

通常、 で作成される組織の境界の外部からのアクセスを防止するポリシーを使用して、データ境界を確立できます AWS Organizations。データ境界を確立するために使用される 3 つの主要な境界認可条件は次のとおりです。

  • 信頼できる ID – 内のプリンシパル (IAM ロールまたはユーザー) AWS アカウント、またはユーザーに代わって AWS のサービス 動作するプリンシパル。

  • 信頼できるリソース – 内のリソース、 AWS アカウント またはユーザーに代わって AWS のサービス 管理されるリソース。

  • 予想されるネットワーク – オンプレミスのデータセンターと仮想プライベートクラウド (VPCs)、またはユーザーに代わって AWS のサービス 動作する のネットワーク。

OFFICIAL:SENSITIVE や などの異なるデータ分類や、開発、テストPROTECTED、本番稼働などの異なるリスクレベルの環境間でデータ境界を実装することを検討してください。詳細については、「 でのデータ境界 AWSの構築 (AWS ホワイトペーパー)」および「 でのデータ境界の確立 AWS: 概要」(AWS ブログ記事) を参照してください。

AWS Well-Architected フレームワークの関連するベストプラクティス

このテーマの実装

ID コントロールを実装する

  • 信頼できる ID のみに リソースへのアクセスを許可する – 条件キー aws:PrincipalOrgIDおよび でリソースベースのポリシーを使用しますaws:PrincipalIsAWSService。これにより、 AWS 組織のプリンシパルと のプリンシパルのみが AWS リソースにアクセスできるようになります。

  • ネットワークからのみ信頼できる ID を許可する – 条件キー aws:PrincipalOrgIDおよび で VPC エンドポイントポリシーを使用しますaws:PrincipalIsAWSService。これにより、 AWS 組織のプリンシパルと のプリンシパルのみが VPC AWS エンドポイントを介して のサービスにアクセスできます。

リソースコントロールの実装

  • ID が信頼できるリソースにのみアクセスできるようにする – 条件キー でサービスコントロールポリシー (SCPs) を使用しますaws:ResourceOrgID。これにより、ID は AWS 組織内のリソースにのみアクセスできます。

  • ネットワークからのみ信頼されたリソースへのアクセスを許可する – 条件キー で VPC エンドポイントポリシーを使用しますaws:ResourceOrgID。これにより、ID は組織 AWS の一部である VPC エンドポイントを介してのみサービスにアクセスできます。

ネットワークコントロールの実装

  • ID が予想されるネットワークからのみリソースにアクセスできるようにする – 条件キー aws:SourceIpaws:SourceVpc、、aws:SourceVpceおよび で SCPs を使用しますaws:ViaAWSService。これにより、ID は、予想される IP アドレス、VPCs、VPC エンドポイントからのみ、および を介してリソースにアクセスできます AWS のサービス。

  • 予想されるネットワークからのみリソースへのアクセスを許可する – 条件キー aws:SourceIpaws:SourceVpc、、aws:SourceVpceaws:ViaAWSServiceおよび でリソースベースのポリシーを使用しますaws:PrincipalIsAWSService。これにより、リソースへのアクセスが許可されるのは、予想される IPs、予想される VPCs、予想される VPC エンドポイントから、または呼び出し元の ID が AWS のサービスである場合のみです AWS のサービス。

このテーマのモニタリング

ポリシーをモニタリング

  • SCPs、VPC エンドポイントポリシーを確認するメカニズムを実装する

次の AWS Config ルールを実装する

  • SERVICE_VPC_ENDPOINT_ENABLED