SRA 構成要素 - AWS組織、アカウント、ガードレール

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるために、簡単なアンケートに回答してください。

AWS セキュリティサービス、そのコントロール、インタラクションは、AWSマルチアカウント戦略とアイデンティティとアクセス管理のガードレールの基礎で最もよく使用されます。これらのガードレールは、最小特権、職務の分離、プライバシーを実装する機能を設定し、必要なコントロールの種類、各セキュリティサービスが管理される場所、および でデータとアクセス許可を共有する方法に関する決定をサポートしますAWSSRA。 

AWS アカウントは、AWS リソースのセキュリティ、アクセス、請求境界を提供し、リソースの独立性と分離を実現します。複数の AWS アカウントを使用することは、「複数のアカウントを使用した AWS 環境の整理」というホワイトペーパーの 複数の AWS アカウントを使用する利点 のセクションで説明されているように、セキュリティ要件をどのように満たすかに重要な役割を果たします。例えば、企業のレポート構造をミラーリングするのではなく、機能、コンプライアンス要件、または一般的なコントロールセットに基づいて、組織単位 (OU) 内の別々のアカウントとグループアカウントにワークロードを整理できます。セキュリティとインフラストラクチャを念頭に置いて、ワークロードの拡大に合わせて企業が共通のガードレールを設定できるようにします。このアプローチは、ワークロード間の堅牢な境界と制御を提供します。アカウントレベルの分離は、AWSOrganizations と組み合わせて、開発環境やテスト環境から本番環境を分離したり、Payment Card Industry Data Security Standard (PCI DSS) や Health Insurance Portability and Accountability Act () など、さまざまな分類のデータを処理するワークロード間の強力な論理境界を提供するために使用されますHIPAA。1 つのアカウントでAWSジャーニーを開始することはできますが、 AWS では、ワークロードのサイズと複雑さが増大するにつれて、複数のアカウントを設定することをお勧めします。 

パーミッションは、AWS リソースへのアクセス許可を指定するものです。アクセス許可は、プリンシパル (ユーザー、グループ、ロール) と呼ばれるIAMエンティティに付与されます。デフォルトでは、プリンシパルはアクセス許可なしで開始されます。 IAMエンティティは、アクセス許可を付与AWSするまで で何も実行できません。また、AWS組織全体と同様に広く適用されるガードレールを設定したり、プリンシパル、アクション、リソース、および条件の個々の組み合わせとしてきめ細かなガードレールを設定したりできます。