インフラストラクチャ OU - 共有サービスアカウント - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インフラストラクチャ OU - 共有サービスアカウント

簡単なアンケートを実施して、AWSセキュリティリファレンスアーキテクチャ (AWSSRA) のfuture に影響を与えましょう。

次の図は、Shared Services アカウントで設定されている AWS セキュリティサービスを示しています。

Shared Services アカウントのセキュリティサービス

共有サービスアカウントは、インフラストラクチャ OU の一部であり、その目的は、複数のアプリケーションやチームが成果を達成するために使用するサービスをサポートすることです。例えば、ディレクトリサービス (Active Directory)、メッセージングサービス、メタデータサービスがこのカテゴリに含まれます。AWS SRA は、セキュリティコントロールをサポートする共有サービスを強調しています。ネットワークアカウントもインフラストラクチャ OU の一部ですが、職務の分離をサポートするために、共有サービスアカウントから削除されています。これらのサービスを管理するチームには、ネットワークアカウントへのアクセス権限やアクセス権は必要ありません。

AWS Systems Manager

AWS Systems Manager (組織管理アカウントとアプリケーションアカウントにも含まれています) には、AWS リソースの可視性と制御を可能にするさまざまな機能があります。これらの機能の 1 つである Systems Manager Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。AWS Organizations と Systems Manager Explorer を使用して、AWS Organizations 内のすべてのアカウントのオペレーションデータを同期できます。Systems Manager は、AWS Organizations の委任管理者機能を通じて共有サービスアカウントにデプロイされます。

Systems Manager は、管理対象インスタンスをスキャンし、検出されたポリシー違反を報告 (または是正措置) することで、セキュリティとコンプライアンスの維持に役立ちます。Systems Manager を個々のメンバーの AWS アカウント (アプリケーションアカウントなど) への適切なデプロイと組み合わせることで、インスタンスインベントリデータの収集を調整し、パッチ適用やセキュリティ更新などの自動化を一元化できます。

AWS マネージドMicrosoft AD

Microsoft Active Directory 用 AWS Directory Service (AWS Managed Microsoft AD とも呼ばれます) を使用すると、ディレクトリ対応のワークロードと AWS リソースが AWS 上のマネージド Active Directory を使用できるようになります。AWS Managed Microsoft AD を使用して Windows Server 用の Amazon EC2Linux 用の Amazon EC2Amazon RDS for SQL Server インスタンスをドメインに参加させたり、Active Directory のユーザーとグループで Amazon WorkSpaces などの AWS エンドユーザーコンピューティング (EUC) サービスを使用したりできます。 

AWS Managed Microsoft AD は、既存の Active Directory を AWS に拡張し、既存のオンプレミスユーザー認証情報を使用してクラウドリソースにアクセスするのに役立ちます。また、可用性の高い Active Directory をオンプレミスで運用および保守するという複雑さを伴わずに、オンプレミスのユーザー、グループ、アプリケーション、システムを管理できます。既存のコンピュータ、ラップトップ、プリンタを AWS マネージド Microsoft AD ドメインに参加させることができます。 

AWS Managed Microsoft AD は Microsoft Active Directory 上に構築されているため、既存の Active Directory からクラウドにデータを同期または複製する必要はありません。グループポリシーオブジェクト (GPO)、ドメイントラスト、きめ細かいパスワードポリシー、グループ管理サービスアカウント (gMSAs)、スキーマ拡張、Kerberos ベースのシングルサインオンなど、使い慣れた Active Directory 管理ツールや機能を使用できます。Active Directory セキュリティグループを使用して、管理タスクを委任したり、アクセスを許可したりすることもできます。 

マルチリージョンレプリケーションにより、単一の AWS Managed Microsoft AD ディレクトリを複数の AWS リージョンにデプロイして使用できます。これにより、Microsoft WindowsおよびLinuxのワークロードをグローバルに展開して管理することがより簡単かつ費用対効果の高いものになります。自動化されたマルチリージョンレプリケーション機能を使用すると、アプリケーションがローカルディレクトリを使用してパフォーマンスを最適化している間、耐障害性が高まります。 

AWS Managed Microsoft AD は、クライアントロールとサーバーロールの両方で、SSL/TLS (LDAPS とも呼ばれる) を介したライトウェイトディレクトリアクセスプロトコル (LDAP) をサポートしています。サーバーとして機能する場合、AWS Managed Microsoft AD はポート 636 (SSL) と 389 (TLS) で LDAPS をサポートします。サーバー側の LDAPS 通信を有効にするには、AWS ベースのアクティブディレクトリ証明書サービス (AD CS) 認証局 (CA) から AWS マネージド Microsoft AD ドメインコントローラーに証明書をインストールします。クライアントとして動作する場合、AWS マネージド Microsoft AD はポート 636 (SSL) を介した LDAPS をサポートします。サーバー証明書発行者からのCA証明書をAWS に登録し、ディレクトリでLDAPSを有効にすることで、クライアント側のLDAPS通信を有効にできます。 

AWS SRA では、AWS ディレクトリサービスが共有サービスアカウント内で使用され、複数の AWS メンバーアカウントにわたる Microsoft 対応ワークロードにドメインサービスを提供します。 

設計上の考慮事項
  • オンプレミスの Active Directory ユーザーに、既存の Active Directory 認証情報を使用して AWS マネジメントコンソールと AWS Command Line Interface (AWS CLI) にサインインするためのアクセス権を付与するには、IAM アイデンティティセンターを使用し、アイデンティティソースとして AWS マネージド Microsoft AD を選択します。これにより、ユーザーはサインイン時に割り当てられたロールの 1 つを引き受け、そのロールに定義された権限に従ってリソースにアクセスしてアクションを実行できます。別の方法として、AWS Managed Microsoft AD を使用して、ユーザーが AWS のAWS Identity and Access Management (IAM) の役割を引き受けられるようにする方法があります。

IAM アイデンティティセンター

AWS SRA は IAM Identity Center がサポートする委任管理者機能を使用して、IAM ID センターのほとんどの管理を共有サービスアカウントに委任します。これにより、組織管理アカウントへのアクセスを必要とするユーザーの数を制限できます。ただし、組織管理アカウント内でプロビジョニングされる権限セットの管理など、特定のタスクを実行するには、組織管理アカウントで IAM Identity Center を有効にする必要があります。

IAM Identity Center の委任管理者として共有サービスアカウントを使用する主な理由は、Active Directory の場所にあります。Active Directory を IAM ID センターのアイデンティティソースとして使用する予定の場合は、IAM ID センターの委任管理者アカウントとして指定したメンバーアカウントでディレクトリを見つける必要があります。AWS SRA では、共有サービスアカウントが AWS Managed Microsoft AD をホストするため、そのアカウントが IAM ID センターの委任管理者になります。 

IAM Identity Center では、一度に 1 人のメンバーアカウントを委任管理者として登録できます。メンバーアカウントを登録できるのは、管理アカウントの認証情報を使用してサインインする場合のみです。委任を有効にするには、IAM Identity Center のドキュメントに記載されている前提条件を考慮する必要があります。委任された管理者アカウントは IAM Identity Center のほとんどの管理タスクを実行できますが、IAM Identity Center のドキュメントに記載されているいくつかの制限があります。IAM Identity Center 委任管理者アカウントへのアクセスは厳重に管理する必要があります。 

設計上の考慮事項
  • IAM Identity Center ID ソースを他のソースから Active Directory に変更するか、Active Directory から他のソースに変更する場合、そのディレクトリは IAM Identity Center 委任管理者メンバーアカウント (存在する場合) に存在する (所有されている) 必要があります。それ以外の場合は、管理アカウントに含まれている必要があります。

  • 別のアカウントの専用 VPC 内で AWS Managed Microsoft AD をホストし、AWS Resource Access Manager (AWS RAM) を使用して、この別のアカウントのサブネットを委任された管理者アカウントと共有できます。この方法では、AWS Managed Microsoft AD インスタンスは委任された管理者アカウントで制御されますが、ネットワークの観点からは、別のアカウントの VPC にデプロイされているかのように動作します。これは、AWS Managed Microsoft AD インスタンスが複数あり、それらをワークロードが実行されている場所にローカルにデプロイし、1 つのアカウントで一元管理したい場合に役立ちます。

  • ID とアクセス管理を定期的に行う専任の ID チームがある場合、または ID 管理機能を他の共有サービス機能から分離するための厳しいセキュリティ要件がある場合は、ID 管理専用のAWS アカウントをホストできます。このシナリオでは、このアカウントを IAM ID センターの委任管理者として指定し、このアカウントは AWS が管理する Microsoft AD ディレクトリもホストします。1 つの共有サービスアカウント内できめ細かい IAM アクセス権限を使用することで、ID 管理ワークロードと他の共有サービスワークロードを同じレベルで論理的に分離できます。

  • IAM Identity Center は現在、マルチリージョンをサポートしていません。(別のリージョンで IAM ID センターを有効にするには、まず現在の IAM ID センター設定を削除する必要があります)。さらに、アカウントセットごとに異なる ID ソースを使用したり、権限管理を組織のさまざまな部分 (つまり、委任された複数の管理者) や異なる管理者グループに委任したりすることもできません。これらの機能のいずれかが必要な場合は、IAM フェデレーションを使用して AWS 外の ID プロバイダー (IdP) 内のユーザー ID を管理し、これらの外部ユーザー ID にアカウントの AWS リソースを使用する許可を与えることができます。IAM は OpenID Connect (OIDC) または SAML 2.0 と互換性のあるものをサポートします IdPs 。ベストプラクティスとして、Active Directory フェデレーションサービス (AD FS)、Okta、Azure Active Directory (Azure AD)、Ping ID などのサードパーティ ID プロバイダーと SAML 2.0 フェデレーションを使用して、ユーザーが AWS マネジメントコンソールにログインしたり、AWS API オペレーションを呼び出したりするためのシングルサインオン機能を提供することをお勧めします。IAM フェデレーションと ID プロバイダーの詳細については、IAM ドキュメントと AWS Identity フェデレーションワークショップの「SAML 2.0 ベースのフェデレーションについて」を参照してください。