landing zone とは - AWS の規範的ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

landing zone とは

ランディングゾーンは、Well-Architected の、スケーラブルで安全なマルチアカウント AWS 環境です。これは、組織がセキュリティおよびインフラストラクチャ環境に自信を持ってワークロードとアプリケーションを迅速に起動してデプロイできる出発点です。landing zone ンを構築するには、組織の成長とfuture ビジネス目標に合わせて、アカウント構造、ネットワーク、セキュリティ、アクセス管理に関する技術的およびビジネス上の意思決定を行う必要があります。

使い始めるとAWS規模が大きくなるとAWS規範的なガイダンスと環境を確立するためのアプローチのため。AWSこの分野のベストプラクティスは、リソースとワークロードを複数に分離する必要性に重点を置いていますAWS影響軽減の分離と範囲のためのアカウント(リソースコンテナ)。次のセクションでは、複数のアカウントを使用する理由を説明します。

マルチアカウントフレームワーク

ないが one-size-fits-all 答えはいくつですかAWS必要なアカウント。複数のアカウントを作成することをお勧めしますAWSアカウント。複数のアカウントを使用すると、最高レベルのリソースとセキュリティが分離されます。追加の作成に関する考慮事項AWS次の質問のいずれかに「はい」と答えた場合、アカウントが表示されます。

  • あなたのビジネスでは、ワークロード間の管理上の分離が必要ですか?

  • あなたのビジネスでは、ワークロードの可視性と検出可能性を制限する必要がありますか?

  • あなたの会社では、爆発範囲を最小限に抑えるために隔離が必要ですか?

  • あなたのビジネスでは、リカバリデータや監査データを強力に分離する必要がありますか?


          Relationship of elements showing why one account isn't enough: many teams,
            security and compliance controls, billing, isolation, and business processes.

1 つのアカウントだけでは不十分な理由は他にもあります。

  • セキュリティコントロール-アプリケーションごとに異なるセキュリティプロファイルがあり、それらの周りに異なるコントロールポリシーとメカニズムが必要になる場合があります。監査人と話をして、ペイメントカード業界 (PCI) ワークロードをホストしている単一のアカウントを参照した方が簡単です。

  • 分離 - アカウントは、セキュリティ保護の単位です。潜在的なリスクとセキュリティの脅威は、他のユーザーに影響を与えずに、アカウント内に封じ込める必要があります。複数のチームによるものであれ、異なるセキュリティプロファイルによるものであれ、1つのアカウントを互いに分離する必要があるさまざまなセキュリティニーズがある可能性があります。

  • データ隔離-データストアをアカウントごとに分離すると、そのデータストアにアクセスして管理できるユーザーの数を制限できます。これには、高度にプライベートなデータへの暴露が含まれており、一般データ保護規則 (GDPR) の遵守に役立ちます。

  • 多数のチーム - チームごとに異なる責任とリソースニーズがあります。同じアカウントで互いに踏み越してはいけません。

  • ビジネス単位単位単位-ビジネス-事業単位や製品によって目的やプロセスが異なる場合があります。ビジネス固有のニーズに合わせて異なるアカウントを確立する必要があります。

  • Billing (料金)-転送料金など請求レベルで項目を分けるには、アカウントが唯一の真の方法です。複数のアカウントは、ビジネスユニット、機能チーム、または個々のユーザー間で課金レベルでアイテムを分離するのに役立ちます。

  • 配分制限— 上限はアカウントごとです。ワークロードを異なるアカウントに分けることで、制限を消費したり、リソースを過剰にプロビジョニングしたりして、他のアプリケーションが意図したとおりに動作しなくなるのを防ぎます。