ネットワークアカウントアーキテクチャ - AMS Advanced ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ネットワークアカウントアーキテクチャ

次の図は、AMS マルチアカウントランディングゾーン環境を示し、アカウント間のネットワークトラフィックフローを示し、可用性の高いセットアップの例です。

 

AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.
Diagram showing network traffic flow between AWS アカウント, VPCs, and internet gateways.

AMS は、標準テンプレートとオンボーディング中に提供された選択したオプションに基づいて、ネットワーキングのあらゆる側面を設定します。標準の AWS ネットワーク設計が AWS アカウントに適用され、VPC が自動的に作成され、VPN または Direct Connect によって AMS に接続されます。Direct Connect の詳細については、「AWS Direct Connect」を参照してください。標準 VPCs には、DMZ、共有サービス、アプリケーションサブネットが含まれます。オンボーディングプロセス中に、ニーズ (顧客部門、パートナーなど) に合わせて追加の VPCs がリクエストおよび作成される場合があります。オンボーディング後、ネットワーク図が提供されます。これは、ネットワークの設定方法を説明する環境ドキュメントです。

注記

すべてのアクティブなサービスのデフォルトのサービス制限と制約については、AWS Service Limits ドキュメントを参照してください。

当社のネットワーク設計は、Amazon の「最小特権の原則」を中心に構築されています。これを実現するために、信頼できるネットワークからのトラフィックを除くすべてのトラフィックを DMZ 経由でルーティングします。唯一の信頼されたネットワークは、VPN や AWS Direct Connect (DX) を使用してオンプレミス環境と VPC 間で設定されるネットワークです。アクセスは踏み台インスタンスを使用して付与されるため、本番稼働用リソースへの直接アクセスは防止されます。すべてのアプリケーションとリソースは、パブリックロードバランサーを介して到達可能なプライベートサブネット内に存在します。パブリックエグレストラフィックは、エグレス VPC (ネットワークアカウント) の NAT ゲートウェイを介してインターネットゲートウェイに、次にインターネットに流れます。または、トラフィックが VPN または Direct Connect 経由でオンプレミス環境に流れることもあります。