学んだ教訓とベストプラクティス - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

学んだ教訓とベストプラクティス

  • OU 構造設計は 1 回限りの作業ではありません。企業がクラウドの導入を増やし、追加のワークロードを AWS ランディングゾーンに移行するにつれて、その OU 設計 (および暗黙的にポリシーの概念) も自然に進化します。

  • OUsフォルダと間違えないでください。ポリシーのターゲットと見なしてください。OUs とその階層は の構造化要素を提供し AWS アカウント 、常に ポリシーのコンテナとして扱う必要があります。同じポリシーセット AWS アカウント を必要とするすべての を同じ OU に配置することをお勧めします。このガイドラインは、ネストされた OUs (OUs 内の OUs) にも適用されます。

    AWS 一元的な共有機能とクロスワークロードデータ共有機能 (エンタープライズデータプラットフォームで頻繁に見られる) を必要とする 環境は、基幹業務 (LOB) 関数分類に基づいていない OU 構造でより簡単に対応できます。例えば、製造アプリケーションの本番環境は、 のポリシーの観点から、 の臨床トライアル分析アプリケーションの本番環境と変わりません AWS Organizations。

  • 継承を尊重して使用します。ポリシーを特定の OU にアタッチすると、その OU の直下にあるか、子 OU の下にあるポリシー AWS アカウント が継承されます。特定の にポリシーをアタッチすると AWS アカウント、そのポリシーはその にのみ影響します AWS アカウント。

    ある OU 構造から別の OU 構造への移行の労力は、OU または AWS アカウント レベルで設定されている既存のポリシーの範囲によって異なります。もう 1 つの重要な要因は、既存の OU 階層で使用されたポリシー継承の量、または継承が壊れたかどうかです。不規則な継承パスや逸脱した継承パスの実装により、移行の複雑さが増します。例えば、ポリシーを個々の AWS アカウント レベルで適用したり、頻繁にポリシー例外 (継承を破ったりする) を実行したりすると、それらのポリシーを新しい構造に移行するのにかなりの労力がかかります。このような複雑性が高い場合は、移行計画中にポリシーの継承を確認して再設計する時間を割くことをお勧めします。

  • AWS Organizations ポリシーと AWS Control Tower コントロールの両方を処理します。OU 構造は AWS Control Tower と の間で共有されます AWS Organizations。 は独自の検出コントロールと予防コントロールのセット AWS Control Tower を提供します。これらのコントロールは AWS アカウント または OU レベルで適用されます。 AWS Organizations は OU レベルでポリシーを調整します。OU 移行では、コンプライアンスの重みが増すため、最初にポリシーを移行 AWS Organizations することをお勧めします。2 番目の移行ステップでは、新しい OU 構造に AWS Control Tower コントロールを適用することをお勧めします。

  • 更新には時間がかかります AWS アカウント。を使用して、既存の を新しい OU 構造に AWS アカウント 個別に再登録する必要があります AWS Control Tower。これには時間がかかります。アカウントが多数ある場合は、自動化によってこの作業を合理化し、 の OU 配置を制御および自動化することをお勧めします AWS アカウント。シナリオの例を 2 つ示します。

    • 小規模な移行の手動変更: 移行リードは、古い OU AWS アカウント から の新しい OU にそれぞれを再割り当てします AWS Management Console。すべての でその再割り当てが完了すると AWS アカウント、移行リードは各 AWS Control Tower AWS アカウント またはすべての OUs に対して開きます。 AWS アカウント への再登録 AWS Control Tower には、アカウント内 AWS リージョン で使用される の数 AWS アカウント に応じて、それぞれに 10~15 分かかります。 AWS Control Tower では、この種の同時オペレーションを最大 5 つ並行して実行できます。

    • カスタム変更の自動化: 自動化により、作業が簡素化され、節約されます。例えば、ライフサイクルの作成から移行、終了まで、 AWS アカウント ライフサイクルの管理を自動化できます。AWS Control Tower Account Factory を使用して、 の OU 割り当てを変更 AWS アカウント し、再登録プロセスを実行できます。このオートメーションは、数百の の大規模な移行をサポートします AWS アカウント。