翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ネットワークアカウントアーキテクチャ
<a name="malz-network-arch"></a>

次の図は、AMS マルチアカウントランディングゾーン環境を示し、アカウント間のネットワークトラフィックフローを示し、可用性の高いセットアップの例です。

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between AWS アカウント, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/userguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS は、標準テンプレートとオンボーディング中に提供された選択したオプションに基づいて、ネットワーキングのあらゆる側面を設定します。標準の AWS ネットワーク設計が AWS アカウントに適用され、VPC が自動的に作成され、VPN または Direct Connect によって AMS に接続されます。Direct Connect の詳細については、[「AWS Direct Connect](https://aws.amazon.com/directconnect/)」を参照してください。標準 VPCs には、DMZ、共有サービス、アプリケーションサブネットが含まれます。オンボーディングプロセス中に、ニーズ (顧客部門、パートナーなど) に合わせて追加の VPCs がリクエストおよび作成される場合があります。オンボーディング後、ネットワーク図が提供されます。これは、ネットワークの設定方法を説明する環境ドキュメントです。

**注記**  
すべてのアクティブなサービスのデフォルトのサービス制限と制約については、[AWS Service Limits](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) ドキュメントを参照してください。

当社のネットワーク設計は、Amazon の[「最小特権の原則](https://en.wikipedia.org/wiki/Principle_of_least_privilege)」を中心に構築されています。これを実現するために、信頼できるネットワークからのトラフィックを除くすべてのトラフィックを DMZ 経由でルーティングします。唯一の信頼されたネットワークは、VPN や AWS Direct Connect (DX) を使用してオンプレミス環境と VPC 間で設定されるネットワークです。アクセスは踏み台インスタンスを使用して付与されるため、本番稼働用リソースに直接アクセスできなくなります。すべてのアプリケーションとリソースは、パブリックロードバランサーを介して到達可能なプライベートサブネット内に存在します。パブリックエグレストラフィックは、エグレス VPC (ネットワークアカウント) の NAT ゲートウェイを介してインターネットゲートウェイに、次にインターネットに流れます。または、トラフィックが VPN または Direct Connect 経由でオンプレミス環境に流れることもあります。