MALZ ネットワークアーキテクチャ - AMS Advanced ユーザーガイド
マルチアカウントランディングゾーンのネットワークアーキテクチャについて

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

MALZ ネットワークアーキテクチャ

マルチアカウントランディングゾーンのネットワークアーキテクチャについて

AWS Managed Services (AMS) マルチアカウントランディングゾーン (MALZ) へのオンボーディングプロセスを開始する前に、AMS がユーザーに代わって作成するベースラインアーキテクチャまたはランディングゾーン、そのコンポーネント、および関数を理解することが重要です。

AMS マルチアカウントランディングゾーンは、認証、セキュリティ、ネットワーク、ログ記録を容易にするために インフラストラクチャで事前設定されたマルチアカウントアーキテクチャです。

注記

コストの見積もりについては、「AMS マルチアカウントランディングゾーン環境の基本コンポーネント」を参照してください。

次の図は、アカウント構造の概要と、インフラストラクチャを各アカウントに分離する方法を示しています。

AWS アカウント structure diagram showing management, shared services, network, security, and log archive accounts.

サービスリージョン

AMS マルチアカウントランディングゾーン内のすべてのリソースは、Active Directory と Transit Gateway の現在のクロスリージョン制限により、選択した 1 つの AWS リージョン内にデプロイされます。

組織単位

一般的な AMS マルチアカウントランディングゾーンは、4 つの最上位組織単位 (OUs) で構成されます。

  • コア組織単位 (OU) (アカウントをグループ化して 1 つの単位として管理するために使用します)

  • アプリケーション OU

  • カスタマー管理の OU

  • 高速化 OU

AMS マネージドマルチアカウントランディングゾーンでは、AWS アカウントのグループ化と整理のためのカスタム OUs を作成し、カスタム SCPsOUs」をそれぞれ参照してください。 https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.htmlAMS は、新しい OUs とアカウントをリクエストできる 4 つの既存の OUs を提供します。高速化、アプリケーション > マネージド、アプリケーション > 開発、カスタマーマネージドです。

  • OU の高速化:

    これは、AMS マルチアカウントランディングゾーン (MALZ) の最上位 OU です。この OU の下にあるアカウントは、RFC を使用して AMS によってプロビジョニングされます (デプロイ | マネージドランディングゾーン | 管理アカウント | Create Accelerate アカウント、変更タイプ ID: ct-2p93tyd5angmi)。アプリケーションアカウントを高速化することで、モニタリングとアラート、インシデント管理、セキュリティ管理、バックアップ管理などの運用サービスを加速できます。詳細については、「AMS Accelerate アカウント」を参照してください。

  • アプリケーション > マネージド OU:

    アプリケーション OU のこのサブ組織単位では、アカウントはすべての運用タスクを含む AMS によって完全に管理されます。運用タスクには、サービスリクエスト管理、インシデント管理、セキュリティ管理、継続管理、パッチ管理、コスト最適化、モニタリング、イベント管理が含まれます。これらのタスクは、インフラストラクチャの管理のために実行されます。AWS 組織でネストされた OUs の最大数に達するまで、必要に応じて複数の子 OUs を作成できます。詳細については、AWS Organizations」を参照してください。

  • アプリケーション > 開発 OU:

    AMS マネージドランディングゾーンのアプリケーション OU のこのサブ OU では、アカウントは、AMS 変更管理プロセス外で AWS リソースをプロビジョニングおよび更新するための昇格されたアクセス許可を提供するデベロッパーモードアカウントです。この OU は、必要に応じて新しい子 OU の作成もサポートしています。

  • カスタマーマネージド OU:

    これは、AMS マルチアカウントランディングゾーンの最上位 OU です。この OU に基づくアカウントは、RFC を使用して AMS によってプロビジョニングされます。これらのアカウントでは、ワークロードと AWS リソースの運用はお客様の責任となります。この OU は、必要に応じて新しい子 OU の作成もサポートしています。

ベストプラクティスとして、これらの OUs およびカスタムリクエストされたサブ OUs の下にあるアカウントは、その機能とポリシーに基づいてグループ化することをお勧めします。

サービスコントロールポリシーと AWS Organization

AWS は、AWS Organization のアクセス許可管理のためのサービスコントロールポリシー (SCPs) を提供します。SCPs は、ユーザーがどの OUs で実行できるアクションに追加のガードレールを定義するために使用されます。デフォルトでは、AMS はさまざまなデフォルト OU レベルで保護を提供する一連の SCPs を管理アカウントにデプロイします。SCP の制限については、CSDM にお問い合わせください。

カスタム SCPs を作成して特定の OUs にアタッチすることもできます。これらは、変更タイプ ct-33ste5yc7hprs を使用して管理アカウントにリクエストできます。AMS は、リクエストSCPs を確認してから、ターゲット OUs。例については、「 管理アカウント | カスタム OUs」を参照してください。 https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-managed-management-account-create-custom-scp-review-required.html