SRA 構成要素 – AWS Organizations、アカウント、ガードレール

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケートに回答してください。

AWS セキュリティサービス、そのコントロール、インタラクションは、AWS マルチアカウント戦略とアイデンティティとアクセス管理のガードレールの基盤に最適です。これらのガードレールは、最小特権、職務の分離、プライバシーを実装する機能を設定し、必要なコントロールの種類、各セキュリティサービスが管理される場所、AWS でのデータとアクセス許可の共有方法に関する決定をサポートしますSRA。 

AWS アカウントは、AWS リソースのセキュリティ、アクセス、請求の境界を提供し、リソースの独立性と分離を実現できます。複数の AWS アカウントの使用は、「複数のアカウントを使用した Word 環境の整理」ホワイトペーパーの「複数の AWS アカウントを使用する利点」セクションで説明されているように、セキュリティ要件を満たす方法において重要な役割を果たします。 AWS 例えば、企業のレポート構造をミラーリングするのではなく、機能、コンプライアンス要件、または一般的なコントロールセットに基づいて、組織単位 (OU) 内の別々のアカウントとグループアカウントにワークロードを整理できます。セキュリティとインフラストラクチャを念頭に置いて、ワークロードの拡大に合わせて企業が共通のガードレールを設定できるようにします。このアプローチは、ワークロード間の堅牢な境界と制御を提供します。アカウントレベルの分離は、AWS Organizations と組み合わせて、開発環境やテスト環境から本番環境を分離したり、Payment Card Industry Data Security Standard (DSS) や Health Insurance Portability and Accountability Act (HIPAA）PCI など、さまざまな分類のデータを処理しているワークロード間に強力な論理的な境界を設けるために使用されます。AWS ジャーニーは 1 つのアカウントから始めることもできますが、AWS では、ワークロードのサイズと複雑さが増すにつれて、複数のアカウントを設定することをお勧めします。 

アクセス許可を使用すると、AWS リソースへのアクセスを指定できます。アクセス許可は、プリンシパル (ユーザー、グループ、ロール) と呼ばれる IAM エンティティに付与されます。デフォルトでは、プリンシパルはアクセス許可なしで始まります。IAM エンティティは、アクセス許可を付与するまで AWS で何も実行できません。また、AWS 組織全体と同様に広く適用されるガードレールを設定したり、プリンシパル、アクション、リソース、条件を個別に組み合わせてきめ細かく適用したりすることができます。