ランディングゾーンとは何ですか? - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ランディングゾーンとは何ですか?

ランディングゾーンは、スケーラブルで安全な、適切に設計されたマルチアカウント AWS 環境です。これは、組織がセキュリティおよびインフラストラクチャ環境に自信を持ってワークロードとアプリケーションを迅速に起動してデプロイできる出発点です。ランディングゾーン構築には、組織の成長と将来のビジネス目標に応じて、アカウント構造、ネットワーク、セキュリティ、アクセス管理に関する技術的およびビジネス上の意思決定を行う必要があります。

を大規模 AWS に使用し始めるときは、 AWS 環境を確立するための規範的なガイダンスとアプローチを検討できます。この分野の AWS ベストプラクティスは、リソースとワークロードを複数の AWS アカウント (リソースコンテナ) に分離して、影響を軽減することを中心にしています。次のセクションでは、複数のアカウントを使用する理由について説明します。

マルチアカウントフレームワーク

必要な AWS アカウントは標準数ではありませんが、複数の AWS アカウントを作成することをお勧めします。アカウントが複数あると、リソースとセキュリティを最高レベルで隔離できます。次の質問のいずれかに「はい」と答えた場合は、追加の AWS アカウントを作成することを検討してください。

  • 貴社ビジネスでは、ワークロードを管理的に分離する必要がありますか?

  • 貴社ビジネスでは、ワークロードの可視性と検出可能性を制限したいとお考えですか?

  • 影響範囲を最小限に抑えるために、事業を隔離する必要はありませんか?

  • お客様のビジネスでは、リカバリまたは監査データの強力な分離が必要ですか?

1 つのアカウントでは不十分な理由は他にもあります。

  • セキュリティコントロール – アプリケーションによってセキュリティプロファイルが異なる場合があり、異なるコントロールポリシーとメカニズムが必要です。例えば、監査人と話して、Payment Card Industry (PCI) ワークロードをホストする単一のアカウントを指す方が簡単です。

  • 分離 - アカウントは、セキュリティ保護の単位です。潜在的なリスクとセキュリティ上の脅威は、他のアカウントに影響を与えずにアカウントに含める必要があります。複数のチームまたは異なるセキュリティプロファイルが原因で、セキュリティニーズが異なる場合、あるアカウントを別のアカウントから分離する必要がある場合があります。

  • データ分離 — データストアを アカウントに分離すると、そのデータストアにアクセスして管理できるユーザーの数が制限されます。これにより、機密性の高いデータへの公開が制限され、一般データ保護規則 (GDPR) のコンプライアンスに役立ちます。

  • 多数のチーム - チームごとに異なる責任とリソースニーズがあります。同じアカウントで互いに邪魔をしないでください。

  • 業務プロセス - 事業単位や製品によって目的やプロセスが異なる場合があります。ビジネス固有のニーズに合わせてさまざまなアカウントを確立する必要があります。

  • 請求 — アカウントは、転送料金の分離を含め、請求レベルで項目を分離する唯一の真の方法です。複数のアカウントは、ビジネスユニット、機能チーム、または個々のユーザー間で課金レベルで項目を分離するのに役立ちます。

  • 制限配分 — 制限はアカウントごとです。ワークロードを異なるアカウントに分けることで、制限を消費したり、リソースを過剰にプロビジョニングしたりして、他のアプリケーションが意図したとおりに動作しなくなることを防ぎます。