ランディングゾーンとは何ですか? - AWS 規範ガイダンス
マルチアカウントフレームワーク

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ランディングゾーンとは何ですか?

ランディングゾーンは、Well-Architected の、スケーラブルで安全なマルチアカウント AWS 環境です。これは、組織がセキュリティおよびインフラストラクチャ環境に自信を持ってワークロードとアプリケーションを迅速に起動してデプロイできる出発点です。ランディングゾーン構築には、組織の成長と将来のビジネス目標に応じて、アカウント構造、ネットワーク、セキュリティ、アクセス管理に関する技術的およびビジネス上の意思決定を行う必要があります。

AWS を大規模に使用し始める場合は、環境を確立するための規範的なガイダンスとアプローチとして AWS を参考にすることができます。この分野における AWS のベストプラクティスは、リソースとワークロードを複数の AWS アカウント ( リソースコンテナ ) に分離して、影響範囲を軽減する必要性を中心にしています。次のセクションでは、複数のアカウントを使用する理由について説明します。

マルチアカウントフレームワーク

AWS アカウントの数についてあらゆる場合に当てはまる答えはありませんが、複数の AWS アカウントを作成することをお勧めします。アカウントが複数あると、リソースとセキュリティを最高レベルで隔離できます。以下の質問のいずれかに「はい」と答えた場合は、追加の AWS アカウントを作成することを検討してください。

  • 貴社ビジネスでは、ワークロードを管理的に分離する必要がありますか?

  • 貴社ビジネスでは、ワークロードの可視性と検出可能性を制限したいとお考えですか?

  • 影響範囲を最小限に抑えるために、事業を隔離する必要はありませんか?

  • リカバリデータや監査データを強固に隔離する必要はありますか?

Relationship of elements showing why one account isn't enough: many teams, security and compliance controls, billing, isolation, and business processes.

1 つのアカウントでは不十分な理由は他にもあります。

  • セキュリティコントロール - アプリケーションごとに異なるセキュリティプロファイルがあり、それらの周りに異なるコントロールポリシーとメカニズムが必要になる場合があります。監査人に相談して、Payment Card Industry (PCI) ワークロードをホストしている単一のアカウントを参照した方がはるかに簡単です。

  • 分離 - アカウントは、セキュリティ保護の単位です。潜在的なリスクとセキュリティの脅威は、他のユーザーに影響を与えることなく、アカウント内に封じ込める必要があります。複数のチームや異なるセキュリティプロファイルが原因で、1 つのアカウントを互いに隔離する必要があるさまざまなセキュリティニーズがある可能性があります。

  • データの分離 - データストアをアカウントに分離すると、そのデータストアにアクセスして管理できる人の数が制限されます。これには機密性の高いデータへの暴露が含まれており、一般データ保護規則 (GDPR) への準拠に役立ちます。

  • 多数のチーム - チームごとに異なる責任とリソースニーズがあります。同じアカウント内で互いに過度な手順を踏んではいけません。

  • 業務プロセス - 事業単位や製品によって目的やプロセスが異なる場合があります。ビジネス固有のニーズに合わせてさまざまなアカウントを確立する必要があります。

  • 請求 - 転送料金など請求レベルで項目を分けるには、アカウントが唯一の方法です。複数のアカウントは、ビジネスユニット、機能チーム、または個々のユーザー間で課金レベルで項目を分離するのに役立ちます。

  • 制限配分 — 制限はアカウントごとです。ワークロードを異なるアカウントに分けることで、制限を消費したり、リソースを過剰にプロビジョニングしたりして、他のアプリケーションが意図したとおりに動作しなくなることを防ぎます。