専用アカウント構造 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

専用アカウント構造

簡単なアンケートを実施して、AWSセキュリティリファレンスアーキテクチャ (AWSSRA) のfuture に影響を与えましょう。

AWS アカウントは、AWS リソースのセキュリティ、アクセス、請求範囲を提供し、リソースの独立性と分離を実現できるようにします。デフォルトでは、アカウント間のアクセスは許可されていません。 

OU とアカウント構造を設計するときは、セキュリティとインフラストラクチャを考慮した上でスタートします。これらの特定の機能のために、インフラストラクチャとセキュリティ OU に分かれて、一連の基礎的なOUを作成することをお勧めします。これらの OU とアカウントの推奨事項は、AWS Organizations とマルチアカウント構造の設計に関する、より広範で包括的なガイドラインの一部を取り入れたものです。すべての推奨事項については、AWS ドキュメントの「複数のアカウントを使用した AWS 環境の整理」と、ブログ記事「AWS Organizations における組織単位のベストプラクティス」を参照してください。 

AWS SRA は、AWS での効果的なセキュリティ運用を実現するために以下のアカウントを利用しています。これらの専用アカウントは、職務の分離を確実に行い、アプリケーションやデータの機密性に応じて異なるガバナンスとアクセスポリシーをサポートし、セキュリティイベントの影響を軽減するのに役立ちます。続く議論では、本番用 (製品) アカウントとそれに関連するワークロードに焦点を当てます。ソフトウェア開発ライフサイクル (SDLC) アカウント (しばしば dev および テスト アカウントと呼ばれる) は、成果物をステージングにあげることを目的としており、本番用アカウントとは異なるセキュリティポリシーセットで運用することが可能です。

 

アカウント

OU

セキュリティロール

管理

 

すべての AWS リージョンとアカウントの一元的なガバナンスと管理。AWS 組織のルートをホストする AWS アカウント。

セキュリティツール

セキュリティ

専用の AWS アカウントは、幅広く適用可能なセキュリティサービス (Amazon GuardDuty、AWS Security Hub、AWS Audit Manager、Amazon Detective、Amazon Inspector、AWS Config など) の運用、AWS アカウントの監視、セキュリティアラートと対応の自動化のためのものです。(AWS Control Tower では、セキュリティ OU のアカウントのデフォルト名は Audit account です。)

ログアーカイブ

セキュリティ

すべての AWS リージョンと AWS アカウントのすべてのロギングとバックアップを取り込んでアーカイブするための専用の AWS アカウント。これは、イミュータブルストレージとして設計する必要があります。

ネットワーク

インフラストラクチャ

アプリケーションとより広範なインターネット間のゲートウェイ。Network アカウントは、個々のアプリケーションワークロード、セキュリティ、およびその他のインフラストラクチャから広範なネットワークサービス、構成、およびオペレーションを分離します。

共有サービス

インフラストラクチャ

このアカウントは、複数のアプリケーションやチームが成果をあげるために利用するサービスをサポートしています。例としては、Identity Center ディレクトリサービス (Active Directory)、メッセージングサービス、メタデータサービスなどがあります。

アプリケーション

ワークロード

AWS 組織のアプリケーションをホストし、ワークロードを実行する AWS アカウント。(これらはワークロードアカウントと呼ばれることもあります)。アプリケーションアカウントは、チームにマッピングされるのではなく、ソフトウェアサービスを分離するために作成する必要があります。これにより、デプロイされたアプリケーションは、組織の変化に強くなります。