専用アカウント構造

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケートに回答してください。

AWS アカウントは、AWS リソースのセキュリティ、アクセス、および請求の境界を提供し、リソースの独立性と分離を実現します。デフォルトでは、アカウント間のアクセスは許可されていません。 

OU とアカウント構造を設計するときは、セキュリティとインフラストラクチャを考慮した上でスタートします。これらの特定の機能のために、インフラストラクチャとセキュリティ OU に分かれて、一連の基礎的なOUを作成することをお勧めします。これらの OU とアカウントの推奨事項は、AWS Organizations とマルチアカウント構造設計に関するより広範で包括的なガイドラインのサブセットをキャプチャします。推奨事項の完全なセットについては、AWS ドキュメントの「複数のアカウントを使用した AWS 環境の整理」およびブログ記事AWS Organizations での組織単位のベストプラクティス」を参照してください。 

AWS SRA は、AWS で効果的なセキュリティオペレーションを実現するために、次のアカウントを使用します。これらの専用アカウントは、職務の分離を確実にし、アプリケーションやデータのさまざまな機密に対するさまざまなガバナンスとアクセスポリシーをサポートし、セキュリティイベントの影響を軽減するのに役立ちます。続く議論では、本番用 (製品) アカウントとそれに関連するワークロードに焦点を当てます。ソフトウェア開発ライフサイクル (SDLC) アカウント (しばしば dev および テスト アカウントと呼ばれる) は、成果物をステージングにあげることを目的としており、本番用アカウントとは異なるセキュリティポリシーセットで運用することが可能です。

 

アカウント	OU	セキュリティロール
管理	—	すべての AWS リージョンとアカウントの一元的なガバナンスと管理。AWS 組織のルートをホストする AWS アカウント。
セキュリティツール	セキュリティ	幅広く適用可能なセキュリティサービス (Amazon GuardDuty、AWS Security Hub、AWS Audit Manager、Amazon Detective、Amazon Inspector、AWS Config など) を運用し、AWS アカウントをモニタリングし、セキュリティアラートとレスポンスを自動化するための専用 AWS アカウント。(AWS Control Tower では、Security OU の下にあるアカウントのデフォルト名は Audit アカウントです）。
ログアーカイブ	セキュリティ	すべての AWS リージョンと AWS アカウントのすべてのログ記録とバックアップを取り込んでアーカイブするための専用 AWS アカウント。これは、イミュータブルストレージとして設計する必要があります。
ネットワーク	インフラストラクチャ	アプリケーションとより広範なインターネット間のゲートウェイ。Network アカウントは、個々のアプリケーションワークロード、セキュリティ、およびその他のインフラストラクチャから広範なネットワークサービス、構成、およびオペレーションを分離します。
共有サービス	インフラストラクチャ	このアカウントは、複数のアプリケーションやチームが成果をあげるために利用するサービスをサポートしています。例としては、Identity Center ディレクトリサービス (Active Directory)、メッセージングサービス、メタデータサービスなどがあります。
アプリケーション	ワークロード	AWS 組織のアプリケーションをホストし、ワークロードを実行する AWS アカウント。（これらはワークロードアカウントと呼ばれることもあります）。アプリケーションアカウントは、チームにマッピングされるのではなく、ソフトウェアサービスを分離するために作成する必要があります。これにより、デプロイされたアプリケーションは、組織の変化に強くなります。