組織管理アカウント - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織管理アカウント

簡単なアンケートを実施して、AWSセキュリティリファレンスアーキテクチャ (AWSSRA) のfuture に影響を与えましょう。

次の図は、Org Management アカウントで設定されている AWS セキュリティサービスを示しています。

Org Management アカウントのセキュリティサービス

このガイドの前半の「セキュリティのための AWS Organizations の使用および「管理アカウント、信頼できるアクセス、委任された管理者」のセクションでは、Org Management アカウントの目的とセキュリティ目標について詳しく説明しました。Org Management アカウントのセキュリティに関するベストプラクティスに従ってください。これには、企業が管理する電子メールアドレスの使用、管理およびセキュリティに関する正しい連絡先情報の管理(AWS がアカウントの所有者に連絡する必要がある場合にアカウントに電話番号を添付するなど)、すべてのユーザーに対して多要素認証(MFA)を有効にすること、組織管理アカウントにアクセスできる人を定期的に確認することが含まれます。組織管理アカウントにデプロイされたサービスは、適切なロール、信頼ポリシー、およびその他のアクセス許可で構成して、それらのサービスの管理者 (組織管理アカウントでサービスにアクセスする必要があるユーザー) が他のサービスにも不適切にアクセスできないようにします。

サービスコントロールポリシー

AWS Organizations を使用すると、複数の AWS アカウントにまたがるポリシーを一元管理できます。たとえば、組織のメンバーである複数の AWS アカウントにサービスコントロールポリシー (SCP) を適用できます。SCP を使用すると、組織のメンバー AWS アカウントの AWS Identity and Access Management (IAM) エンティティ (IAM ユーザーやロールなど) によって実行できる AWS サービス API と実行できない AWS サービス API を定義できます。SCP は、組織を作成したときに使用した AWS アカウントである組織管理アカウントから作成および適用されます。SCP の詳細については、このリファレンスの前述の「セキュリティのための AWS Organizations の使用」セクションを参照してください。 

AWS Control Tower を使用して AWS 組織を管理すると、予防措置として一連の SCP が導入されます (必須、強く推奨、または選択的に分類されます)。これらのガードレールは、組織全体のセキュリティ統制を実施することで、リソースを管理するのに役立ちます。これらの SCP は、値がのタグを自動的に使用します。 aws-control-tower managed-by-control-tower 

設計上の考慮事項
  • SCP は AWS 組織のメンバーアカウントにのみ影響します。Org Management アカウントから適用されますが、そのアカウントのユーザーやロールには影響しません。SCP 評価ロジックの仕組みと推奨構造の例については、AWS ブログ記事「AWS Organizations におけるサービスコントロールポリシーの使用方法」を参照してください。

IAM アイデンティティセンター

AWS IAM Identity Center (AWS Single Sign-On の後継) は、すべての AWS アカウント、プリンシパル、クラウドワークロードへの SSO アクセスを一元管理するのに役立つ認証フェデレーションサービスです。IAM Identity Center は、一般的に使用されるサードパーティのサービスとしてのソフトウェア (SaaS) アプリケーションへのアクセスと権限の管理にも役立ちます。ID プロバイダーは SAML 2.0 を使用して IAM ID センターと統合されます。 just-in-time 一括およびプロビジョニングは、クロスドメインアイデンティティ管理システム (SCIM) を使用して実行できます。IAM ID センターは、AWS ディレクトリサービスを使用して ID プロバイダーとしてオンプレミスまたは AWS が管理する Microsoft Active Directory (AD) ドメインと統合することもできます。IAM Identity Center には、エンドユーザーが割り当てられた AWS アカウント、ロール、クラウドアプリケーション、カスタムアプリケーションを 1 か所で見つけてアクセスできるユーザーポータルが含まれています。

IAM Identity Center は AWS Organizations とネイティブに統合され、デフォルトでは組織管理アカウントで実行されます。ただし、最小限の権限を行使して管理アカウントへのアクセスを厳重に制御するには、IAM Identity Center の管理を特定のメンバーアカウントに委任できます。AWS SRA では、共有サービスアカウントは IAM Identity Center の委任管理者アカウントです。IAM Identity Center の委任管理を有効にする前に、以下の考慮事項を確認してください。委任の詳細については、「Shared Services アカウント」セクションを参照してください。委任を有効にした後でも、組織管理アカウントにプロビジョニングされた権限セットの管理など、特定の IAM Identity Center 関連タスクを実行するには、IAM Identity Center を組織管理アカウントで実行する必要があります。 

IAM Identity Center コンソール内では、アカウントはカプセル化している OU 別に表示されます。これにより、AWS アカウントをすばやく検出し、一般的な権限セットを適用し、アクセスを一元的に管理できます。 

IAM Identity Center には、特定のユーザー情報を保存する必要があるアイデンティティストアが含まれています。ただし、IAM Identity Center が従業員情報の信頼できるソースである必要はありません。社内に信頼できる情報源がすでにある場合、IAM Identity Center は次の種類の ID プロバイダー () をサポートします。IdPs

  • IAM Identity Center ID ストア — 次の 2 つのオプションが利用できない場合は、このオプションを選択してください。ID ストアでは、ユーザーの作成、グループの割り当て、および権限の割り当てが行われます。権限のあるソースが IAM Identity Center の外部にある場合でも、プリンシパル属性のコピーは ID ストアに保存されます。

  • Microsoft Active Directory (AD) — Microsoft Active Directory 用 AWS ディレクトリサービスのディレクトリ、または Active Directory の自己管理ディレクトリのいずれかでユーザーを引き続き管理したい場合は、このオプションを選択してください。

  • 外部 ID プロバイダー — 外部のサードパーティの SAML ベースの IdP でユーザーを管理したい場合は、このオプションを選択してください。

企業内ですでに導入されている既存の IdP に頼ることができます。これにより、アクセスの作成、管理、および取り消しを 1 箇所で行うことができるため、複数のアプリケーションおよびサービス間のアクセス管理を簡単に行うことができます。たとえば、誰かがチームを去った場合、1 か所からすべてのアプリケーションとサービス (AWS アカウントを含む) へのアクセスを取り消すことができます。これにより、複数の認証情報を用意する必要が減り、人事 (HR) プロセスと統合する機会が得られます。

設計上の考慮事項
  • 社内でそのオプションを利用できる場合は、外部 IdP を使用してください。IdP がクロスドメインアイデンティティ管理システム (SCIM) をサポートしている場合は、IAM Identity Center の SCIM 機能を利用して、ユーザー、グループ、権限のプロビジョニング (同期) を自動化してください。これにより、新入社員、別のチームに移動する従業員、会社を辞める従業員は、AWS アクセスを会社のワークフローと常に同期させることができます。IAM Identity Center には、常に 1 つのディレクトリまたは 1 つの SAML 2.0 ID プロバイダーしか接続できません。ただし、別の ID プロバイダーに切り替えることはできます。

IAM アクセスアドバイザー

IAM アクセスアドバイザーは、AWS アカウントと OU のサービスの最終アクセス日情報の形式でトレーサビリティデータを提供します。この検出制御を使用して、最小特権戦略 に貢献します。IAM エンティティでは、許可された AWS サービス情報と許可されたアクション情報の 2 種類の最終アクセス情報を表示できます。情報には、試行が行われた日時が含まれます。 

組織管理アカウント内の IAM アクセスにより、AWS 組織の組織管理アカウント、OU、メンバーアカウント、または IAM ポリシーのサービスの最終アクセス日データを表示できます。この情報は、管理アカウント内の IAM コンソールで確認できます。また、AWS Command Line Interface (AWS CLI) の IAM アクセスアドバイザー API またはプログラムクライアントを使用してプログラムで取得することもできます。この情報は、組織またはアカウント内のどのプリンシパルが最後にサービスにアクセスしようとしたかを示しています。最終アクセスの情報は、実際のサービス利用状況を把握できるため (シナリオ例 を参照)、実際に利用されているサービスのみに IAM アクセス許可を消去することが可能です。

AWS Systems Manager

AWS Systems Manager の機能であるクイックセットアップとエクスプローラーは、どちらも AWS Organizations をサポートし、組織管理アカウントから操作します。 

クイックセットアップ は、Systems Manager の自動化機能です。これにより、組織管理アカウントは、お客様の AWS 組織内の複数のアカウントに代わって Systems Manager が使用できるように設定を簡単に定義できます。AWS 組織全体でクイックセットアップを有効にすることも、特定の OU を選択することもできます。クイックセットアップでは、AWS Systems Manager Agent (SSM Agent) が EC2 インスタンスで隔週で更新を実行するようにスケジュールできます。また、それらのインスタンスを毎日スキャンして不足しているパッチを特定するように設定できます。 

Explorer は、AWS リソースに関する情報をレポートする、カスタマイズ可能なオペレーションダッシュボードです。Explorer には、AWS アカウントと AWS リージョンのオペレーションデータが集約されて表示されます。これには、EC2 インスタンスに関するデータやパッチコンプライアンスの詳細が含まれます AWS Organizations 内で統合セットアップ (Systems Manager も含む OpsCenter) を完了すると、Explorer で OU ごとに、または AWS 組織全体のデータを集計できます。Systems Manager は、エクスプローラに表示する前に、データを AWS 組織管理アカウントに集約します。

このガイドの後半の ワークロード OU のセクションでは、アプリケーションアカウントの EC2 インスタンスでの SSM Agent (Systems Manager Agent) の使用について説明します。

AWS Control Tower

AWS Control Tower では、landing zone と呼ばれる、安全なマルチアカウント AWS 環境を簡単にセットアップして管理できます。AWS Control Tower は、AWS Organizations を使用してlanding zone を作成し、継続的なアカウント管理とガバナンス、および実装のベストプラクティスを提供します。AWS Control Tower を使用すると、アカウントが組織のポリシーに準拠していることを確認しながら、数ステップで新しいアカウントをプロビジョニングできます。既存のアカウントを新しい AWS Control Tower 環境に追加することもできます。 

AWS Control Towerには、幅広く柔軟な機能が備わっています。主な特長は、AWS OrAWS Organizations、AWS Service Catalog、IAM Identity Center など、他のいくつかの AWS サービスの機能を調整して、landing zone を構築できることです。たとえば、AWS Control Tower はデフォルトで AWS CloudFormation を使用してベースラインを確立し、AWS Organizations のサービスコントロールポリシー (SCP) を使用して設定の変更を防ぎ、AWS Config ルールを使用して不適合を継続的に検出します。AWS Control Tower では、マルチアカウントの AWS 環境を AWS Well Architected のセキュリティ基盤設計原則にすばやく適合させるのに役立つ設計図を採用しています。ガバナンス機能の中でも、AWS Control Tower には特定のポリシーに準拠しないリソースのデプロイを防ぐガードレールがあります。 

AWS AWS Control Tower で AWS SRA ガイダンスの実装を開始できます。たとえば、AWS Control Tower は、推奨されているマルチアカウントアーキテクチャで AWS 組織を設立します。ID 管理、アカウントへのフェデレーションアクセスの提供、ロギングの一元化、クロスアカウントセキュリティ監査の確立、新しいアカウントをプロビジョニングするためのワークフローの定義、ネットワーク設定によるアカウントベースラインの実装などの設計図を提供します。 

AWS SRA では、AWS Control Tower は組織管理アカウント内にあります。これは、AWS Control Tower がこのアカウントを使用して AWS 組織を自動的にセットアップし、そのアカウントを管理アカウントとして指定するためです。このアカウントは、AWS 組織全体の請求に使用されます。また、Account Factory プロビジョニング、OUの管理、ガードレールの管理にも使用されます。既存の AWS 組織で AWS Control Tower を起動する場合は、既存の管理アカウントを使用できます。AWS Control Tower は、そのアカウントを指定された管理アカウントとして使用します。

設計上の考慮事項
  • アカウント全体の統制と設定のベースラインをさらに強化したい場合は、AWS Control Tower (CfCt) のカスタマイズを使用できます。CfCTでは、 CloudFormation AWSテンプレートとサービスコントロールポリシー (SCP) を使用して、AWS Control Towerのlanding zone をカスタマイズできます。カスタムテンプレートとポリシーは、組織内の個々のアカウントと OU にデプロイできます。CfCT は AWS Control Tower のライフサイクルイベントと統合され、リソースのデプロイがlanding zone と常に同期されるようにします。 

AWS Artifact

AWS Artifact では、AWS のセキュリティおよびコンプライアンスレポート、および一部のオンライン契約にオンデマンドでアクセスできます。AWS Artifact で利用できるレポートには、システムおよび組織統制 (SOC) レポート、ペイメントカード業界 (PCI) レポート、および AWS セキュリティ統制の実装と運用の有効性を検証する地域やコンプライアンス分野の認定機関による証明書が含まれます。AWS Artifact は、セキュリティ統制環境の透明性を高めることで、AWS のデューデリジェンスを実施するのに役立ちます。また、新しいレポートにすぐにアクセスして、AWS のセキュリティとコンプライアンスを継続的に監視できます。 

AWS Artifact Agreement を利用すると、個人アカウントおよび AWS Organizations 内の組織の一部であるアカウントに関する、ビジネスアソシエイト補遺 (BAA) などの AWS 契約の状況を確認、承認、追跡することができます。 

AWS の監査成果物は、AWS のセキュリティ統制の証拠として監査人または規制当局に提供できます。一部の AWS 監査成果物で提供される責任ガイダンスを使用して、クラウドアーキテクチャを設計することもできます。このガイダンスは、システムの特定のユースケースをサポートするために導入できる追加のセキュリティ統制を決定するのに役立ちます。 

AWS Artifacts は組織管理アカウントでホストされるため、AWS との契約を一元的に確認、承認、管理できます。これは、管理アカウントで承認された契約がメンバーアカウントに伝わるためです。 

設計上の考慮事項
  • Org Management アカウント内のユーザーは、AWS Artifact の契約機能のみを使用するように制限し、それ以外は使用しないように制限する必要があります。職務分掌を実装するため、AWS Artifact は Security Tooling アカウントでもホストされており、コンプライアンス関係者や外部監査人に監査アーティファクトにアクセスする権限を委任できます。この分離は、きめ細かい IAM アクセス権限ポリシーを定義することで実装できます。例については、AWS ドキュメントの「IAM ポリシーの例」を参照してください。

分散型および集中型のセキュリティサービスガードレール

AWS SRA では、AWS Security Hub、Amazon、AWS Config GuardDuty、IAM アクセスアナライザー、AWS CloudTrail 組織トレイル、そして多くの場合 Amazon Macie は、セキュリティツールアカウントに適切な委任管理または集約を行ってデプロイされます。これにより、アカウント間で一貫したガードレールのセットが可能になり、AWS 組織全体の監視、管理、ガバナンスも一元的に行えます。このサービスグループは、AWS SRA に代表されるあらゆるタイプのアカウントにあります。これらは、アカウントのオンボーディングとベースラインプロセスの一環としてプロビジョニングする必要がある AWS サービスの一部である必要があります。GitHubコードリポジトリには、AWS Org Management アカウントを含むアカウント全体の AWS セキュリティ重視のサービスのサンプル実装が用意されています。 

これらのサービスに加えて、AWS SRA には Amazon Detective と AWS Audit Manager という 2 つのセキュリティ重視のサービスが含まれており、これらは AWS Organizations 統合と委任管理者機能をサポートします。ただし、これらはアカウントベースラインの推奨サービスの一部には含まれていません。これらのサービスは次のシナリオで最もよく使用されることがわかりました。

  • デジタルフォレンジックや IT 監査の機能を担当する専任のチームまたはリソースグループがあります。Amazon Detective はセキュリティアナリストチームが最も活用しやすく、AWS Audit Manager は内部監査チームやコンプライアンスチームに役立ちます。

  • プロジェクトの開始時には Security Hub GuardDuty などの中核となるツールセットに注力し、その後、追加機能を提供するサービスを使用してこれらのツールをさらに発展させたいと考えているでしょう。