複数の AWS アカウントを使用する利点 - AWS アカウント管理
複数の AWS アカウント の管理

複数の AWS アカウントを使用する利点

AWS アカウントは、AWS クラウドにおける基本的なセキュリティ境界を形成します。これらはリソースのコンテナとして機能し、安全で適切に管理された環境を作成するために不可欠な重要な分離レイヤーを提供します。詳細については、「AWS アカウント とは」を参照してください。

リソースを個別の AWS アカウント に分離することは、クラウド環境で以下の原則をサポートするのに役立ちます。

  • セキュリティコントロール - アプリケーションごとに異なるセキュリティプロファイルがあり、それらの周りに異なるコントロールポリシーとメカニズムが必要になる場合があります。例えば、PCI セキュリティ基準の対象となるワークロードのすべての要素のホストが単一の AWS アカウント であることを示せれば、監査担当者と話がしやすくなります。

  • 分離 — AWS アカウント は、セキュリティ保護の単位です。潜在的なリスクとセキュリティの脅威は、他のユーザーに影響を与えずに、AWS アカウント 内に含める必要があります。チームやセキュリティプロファイルが異なるため、セキュリティニーズが異なる場合があります。

  • 多数のチーム - チームごとに異なる責任とリソースニーズがあります。チームを個別の AWS アカウント に移動することで、チーム同士の干渉を防ぐことができます。

  • データの分離 — チームの分離に加えて、データストアをアカウントに分離することが重要です。これにより、そのデータストアにアクセスして管理できるユーザーの数を制限できます。これには、高度にプライベートなデータへの暴露が含まれており、一般データ保護規則 (GDPR) への適合に役立ちます。

  • 業務プロセス - 事業単位や製品によって目的やプロセスが異なる場合があります。複数の AWS アカウント を用意すると、事業単位固有のニーズに対応できます。

  • 請求 — アカウントは、請求レベルで項目を分ける唯一の真の方法です。複数のアカウントは、ビジネスユニット、機能チーム、または個々のユーザー間で課金レベルでアイテムを分離するのに役立ちます。明細項目を AWS アカウント で分けながら、(AWS Organizations と一括請求を使用して) すべての請求を単一の支払者に集約することができます。

  • クォータ割り当て – AWS サービスクォータは AWS アカウント ごとに個別に適用されます。ワークロードを異なる AWS アカウント に分けることで、互いのクォータを消費し合うのを防止できます。

このドキュメントで説明しているすべての推奨事項と手順は、AWS Well-Architected フレームワークに適合するものです。このフレームワークは、柔軟性、耐障害性、スケーラブルなクラウドインフラストラクチャの設計を支援することを目的としています。小規模から始める場合でも、フレームワークにおけるこのガイダンスを守りながら進めることをお勧めします。そうすることで、成長に伴う継続的な運用に影響を与えることなく、環境を安全に拡張できます。

複数の AWS アカウント の管理

複数のアカウントを追加する前に、アカウントの管理計画を策してください。そのためには、組織内の AWS アカウント のすべてを管理する無料の AWS サービスである AWS Organizations を使用することをお勧めします。

AWS は AWS Control Tower も提供し、これは AWS マネージドオートメーションのレイヤーを組織に追加し、それを AWS CloudTrail、AWS Config、Amazon CloudWatch、AWS Service Catalog などの他の AWS サービスと自動的に統合します。これらのサービスには追加料金が発生する可能性があります。詳細については、「AWS Control Tower 料金表」を参照してください。

関連情報