SEC01-BP01 アカウントを使用してワークロードを分ける: - AWS Well-Architected Framework
実装のガイダンス実装手順リソース

SEC01-BP01 アカウントを使用してワークロードを分ける:

マルチアカウント戦略を取り、環境 (本番稼働、開発、テストなど) とワークロードの間に共通ガードレールを構成し、分離を確立します。アカウントレベルの分類は、セキュリティ、請求、アクセスのために強力な分離境界を提供するため、強く推奨されます。

期待される成果: クラウドオペレーション、無関係のワークロード、環境を別々のアカウントに分類し、クラウドインフラストラクチャ全体のセキュリティを向上させるアカウント構造。

一般的なアンチパターン:

  • データ重要度レベルの異なる複数の無関係のワークロードを同一アカウントに配置する。

  • きちんと定義されていない組織単位 (OU) 構造。

このベストプラクティスを活用するメリット:

  • 誤ってワークロードにアクセスした場合の影響範囲が抑えられます。

  • AWS サービス、リソース、およびリージョンへのアクセスの一元的ガバナンス。

  • ポリシーとセキュリティサービスの一元管理により、クラウドインフラストラクチャのセキュリティを維持する。

  • アカウント作成とメンテナンスプロセスの自動化。

  • コンプライアンスや規制要件に対応した、インフラストラクチャの集中監査。

このベストプラクティスが確立されていない場合のリスクレベル: 高

実装のガイダンス

AWS アカウント は、さまざまなデータ重要度レベルで稼働するワークロードまたはリソース間にセキュリティ分離境界を提供します。AWS は、マルチアカウント戦略を通して大規模にクラウドワークロードを管理し、この分離境界を活用するためのツールを提供します。AWS でのマルチアカウント戦略のコンセプト、パターン、および実装に関するガイダンスについては、「Organizing Your AWS Environment Using Multiple Accounts」 (複数のアカウントを使用した AWS 環境の組織化) を参照してください。

一元管理下に複数の AWS アカウント がある場合、アカウントを組織単位 (OU) の層によって定義された階層に組織化する必要があります。次に、OU とメンバーアカウントに対してセキュリティ管理を組織化して適用することにより、組織内のメンバーアカウントに対して一貫性のある予防的制御を確立できます。セキュリティ管理は継承されるため、OU 階層の下位レベルにあるメンバーアカウントに対するアクセス許可をフィルタリングすることができます。優れた設計によりこの継承を利用して、各メンバーアカウントに対して望ましいセキュリティ管理を達成するのに必要なセキュリティポリシーの件数と複雑性を軽減します。

AWS Organizations および AWS Control Tower は、AWS 環境でこのマルチアカウント構造を実装および管理するのに使用できる 2 つのサービスです。AWS Organizations では、1 つまたは複数の OU 層 (それぞれに複数のメンバーアカウントを含む) で定義された階層にアカウントを組織化できます。サービス管理ポリシー (SCP) により、組織管理者がメンバーアカウントできめ細やかな予防的コントロールを確立し、AWS Config はメンバーアカウントに関して積極的かつ検出的コントロールを確立するのに使用できます。多くの AWS サービス が AWS Organizations と統合し、組織内のすべてのメンバーアカウントで、委任管理制御とサービス固有のタスク実行を提供します。

AWS Organizations 上の層にある AWS Control Tower は、ランディングゾーンにマルチアカウント AWS 環境向けの ワンクリックベストプラクティスセットアップを提供します。ランディングゾーンは、Control Tower によって確立されるマルチアカウント環境への入口です。Control Tower には、AWS Organizations と比較していくつかの利点があります。アカウントガバナンスを改善する 3 つの利点には次のようなものがあります。

  • 組織に対して承認されたアカウントに自動適用される、統合された必須のセキュリティガードレール。

  • 所定の OU セットに対してオン/オフと切り替えられるオプションのガードレール。

  • AWS Control Tower Account Factory では、事前承認されたベースラインと組織内の構成オプションを含むアカウントを自動的にデプロイできます。

実装手順

  1. 組織単位構造を設計する: 組織単位を適切に設計することにより、サービスコントロールポリシーやその他のセキュリティコントロールの作成と保守に必要な管理負担を軽減できます。組織単位構造は、貴社のビジネスニーズ、データ重要度、およびワークロード構造に合致したものである必要があります

  2. マルチアカウント環境向けのランディングゾーンを作成する: ランディングゾーンは一貫したセキュリティとインフラストラクチャ基盤を提供します。そこから組織はワークロードを迅速に開発、立ち上げ、デプロイできます。カスタムビルドのランディングゾーンまたは AWS Control Tower を使用して、環境のオーケストレーションを実行できます。

  3. ガードレールを確立する: ランディングゾーンを通して環境に一貫性のあるセキュリティガードレールを実装します。AWS Control Tower は、必須オプションのコントロールのリストを提供します。必須コントロールは、Control Tower 実装時に自動的にデプロイされます。強く推奨されたコントロールとオプションのコントロールのリストを確認し、ニーズに適したコントロールを実装します。

  4. 新しく追加されたリージョンへのアクセスを制限する: 新しい AWS リージョン について、ユーザーやロールなどの IAM リソースは、指定したリージョンのみに伝播されます。このアクションは、Control Tower 使用時はコンソール経由で、または AWS Organizations で IAM アクセス許可を調整することにより実行できます

  5. AWSCloudFormation StackSets を検討する: StackSets を使用すると、IAM ポリシー、ロール、グループなどのリソースをさまざまな AWS アカウント とリージョンに承認されたテンプレートからデプロイしやすくなります。

リソース

関連するベストプラクティス:

関連するドキュメント:

関連動画:

関連ワークショップ: