概要

当社は多国籍製薬会社と協力し、AWS 上で概念実証 (PoC) アクティビティを実行して、オンプレミスから AWS クラウド にアプリケーションを移行する方法を検討しました。本番ワークロードを含めるための移行ワークフローのスケーリングと高速化を開始すると、目標をサポートするために規制と準拠の AWS Landing Zone が必要であることが明らかになりました。新しい AWS Landing Zone の設計と実装には AWS Control Tower を使用しました。

新しい AWS Landing Zone とその組織において重要な側面は、組織単位 (OU) の構造です。OU は、AWS Organizations を使用して作成された AWS アカウント の論理グループです。OU を使用して AWS アカウント を階層に整理し、管理とガバナンスのコントロールを一貫してより簡単に適用できます。

ポリシーベースのコントロールは、OU と AWS アカウント にアタッチできます。OU 内の子 OU は、これらのコントロールを自動的に継承します。したがって、OU は AWS Organizations でセキュリティとガバナンスを管理する上で重要な役割を果たします。

ポリシーは、AWS アカウント のグループに適用するコントロールを定義する 1 つ以上のステートメントを含む JSON ドキュメントです。AWS Organizations は現在、サービスコントロールポリシー (SCP) とも呼ばれる 4 種類のポリシーをサポートしています。SCP は、異なる AWS アカウント で使用できる AWS のサービス およびアクションを定義します。例えば、SCP を使用して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの起動に特定のインスタンスタイプの使用を要求できます。

ポリシータイプ

SCP ポリシータイプには以下が含まれます。

• 許可リストと拒否リストは、SCP を適用してアカウントで利用できるアクセス許可をフィルタ処理するための補足的な戦略です。

• タグポリシーを使用して、アカウント全体のタグキーおよびタグ値の大文字と小文字の処理方法の設定など、一貫したタグを維持できます。

• バックアップポリシーは、バックアップの時間枠や AWS リージョン 全体のバックアップの宛先ボールトなど、サポートされているリソースタイプのバックアップを設定します。

• AI サービスのオプトアウトポリシーは、AWS 人工知能 (AI) サービスの継続的な改善をグローバルに有効または無効にします。

ポリシー継承の動作: 特定の OU にポリシーをアタッチすると、その OU または子 OU の直下にあるアカウントがポリシーを継承します。特定のアカウントにポリシーをアタッチすると、ポリシーはそのアカウントにのみ影響します。例外ポリシーを導入することで、継承されたポリシーを上書きできます。継承により、明示的にアクセス許可を拒否しない限り、すべてのアクセス許可がルート (OU) からその OU と子 OU のすべての AWS アカウント に流れていくことを明示的に許可します。アクセス許可を拒否するには、追加のポリシーを作成し、適切な OU または AWS アカウント にアタッチします。ポリシーの継承と例外の詳細については、AWS Organizations ドキュメントを参照してください。

AWS Control Tower は、OU 構造を使用して独自の検出コントロールと予防コントロール (ガードレールとも呼ばれます) のセットも提供します。AWS Control Tower 予防コントロールは、AWS Organizations の SCP を使用してアクションを防止します。検出コントロールは、AWS Config を使用して、コントロールに対する設定ドリフトを報告します。これらのコントロールの詳細については、AWS Control Tower ドキュメントを参照してください。

AWS Security Hub CSPM を有効にして、セキュリティのベストプラクティスチェックを自動化し、セキュリティアラートを 1 つの場所と形式に集約し、すべての AWS アカウント 全体のセキュリティ体制を把握することもできます。