マルチアカウント環境におけるベストプラクティス - AWS Organizations
アカウントと認証情報組織構造とワークロードサービスとコスト管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチアカウント環境におけるベストプラクティス

AWS Organizations でマルチアカウント環境を設定および管理する手順は、以下の事項に従って行うことをおすすめします。

アカウントと認証情報

ルートアクセス管理の有効化による、メンバーアカウントのルートユーザー認証情報の管理の簡素化

メンバーアカウントのルートユーザー認証情報のモニタリングと削除を簡素化するため、ルートアクセス管理を有効にすることをお勧めします。ルートアクセス管理は、ルートユーザー認証情報のリカバリを防ぎ、組織内のアカウントセキュリティを向上させます。

  • ルートユーザーへのサインインを防ぐには、メンバーアカウントのルートユーザー認証情報を削除します。これにより、メンバーアカウントによるルートユーザーのリカバリも防ぐことができます。

  • 特権セッションを引き受けて、メンバーアカウントに対して以下のタスクを実行します。

    • すべてのプリンシパルが Amazon S3 バケットにアクセスすることを拒否する、誤って設定されたバケットポリシーを削除します。

    • すべてのプリンシパルによる Amazon SQS キューへのアクセスを拒否する Amazon Simple Queue Service リソースベースのポリシーを削除します。

    • メンバーアカウントにルートユーザー認証情報のリカバリを許可します。メンバーアカウントのルートユーザー E メール 受信トレイにアクセスできるユーザーは、ルートユーザーパスワードをリセットし、メンバーアカウントのルートユーザーにサインインすることができます。

ルートアクセス管理を有効にすることで、新しく作成されるメンバーアカウントはルートユーザー認証情報がないため「セキュアバイデフォルト」となり、プロビジョニング後の MFA などの追加のセキュリティが不要になります。

詳細については、「AWS Identity and Access Management ユーザーガイド」の「メンバーアカウントのルートアクセスを一元化する」を参照してください。

連絡先の電話番号を最新の状態に保つ

AWS アカウント へのアクセスを回復するには、連絡先電話番号が有効で、テキストメッセージや電話を受信できることが重要です。AWS がアカウントのサポートや復旧のために連絡が取れるように、専用の電話番号を使用することをおすすめします。アカウントの電話番号は、AWS マネジメントコンソール またはアカウント管理 API を使用して簡単に表示、管理できます。

AWS が連絡が取れるようにするための専用電話番号を取得するには、さまざまな方法があります。専用の SIM カードと電話機を入手することを強くおすすめします。電話番号をアカウントの復旧に使用できるように、電話機と SIM を長期間安全に保管します。また、携帯電話料金の請求処理を担当するチームが、この番号が長期間使用されない場合でも重要な番号であることを理解していることを確認してください。この電話番号は、さらなる保護のために、組織内で秘密にしておくことが不可欠です。

AWS 連絡先情報のコンソールページに電話番号を記録し、その詳細を組織内で知っておく必要のある特定のチームと共有します。このアプローチは、電話番号を別の SIM に転送する際に生じるリスクを最小限に抑えるのに役立ちます。電話は、既存の情報セキュリティポリシーに従って保管します。ただし、保管場所は、関連する他の認証情報と同じにしてはなりません。電話機とその保存場所へのアクセスはすべてログに記録し、モニタリングする必要があります。アカウントに関連付けられている電話番号が変更された場合は、既存のドキュメントに記載の電話番号を更新するプロセスを実施してください。

ルートアカウントにグループメールアドレスを使用する

会社が管理するメールアドレスを使用します。受信したメッセージをユーザーのグループに直接転送するメールアドレスを使用します。アクセス権の確認など、AWS からアカウントの所有者に連絡する必要が生じる事象では、メールのメッセージは複数の当事者に送信されます。こうすることで、誰かが休暇中や病欠であるか、あるいはすでに退職している場合でも、応答の遅延のリスクを軽減できます。

組織構造とワークロード

アカウントを 1 つの組織内で管理する

1 つの組織を作成し、その組織内ですべてのアカウントを管理することをおすすめします。組織は、環境のアカウント間の一貫性を維持するためのセキュリティ境界です。組織のアカウントに対し、ポリシーやサービスレベルの設定を一元的に適用できます。マルチアカウント環境全体で一貫したポリシー、一元的な可視性、プログラムによる制御を実現したい場合は、単一の組織内で実現するのが最適です。

報告体制ではなく、ビジネス目的に基づいてワークロードをグループ化する

本番環境のワークロード環境とデータを、最上位のワークロード指向の OU に分離することをおすすめします。OU は、会社の報告体制を反映するのではなく、共通のコントロールセットに基づいて作成する必要があります。本番環境の OU とは別に、ワークロードの開発とテストに使用されるアカウントとワークロード環境を含む非本番環境の OU を 1 つ以上定義することがおすすめです。追加のガイダンスについては、「ワークロード指向の OU を構成する」を参照してください。

複数のアカウントを使用してワークロードを整理する

AWS アカウント ではデフォルトで、AWS リソースのセキュリティ、アクセス、請求境界が提供されます。複数のアカウントを使用することには、アカウントレベルのクォータと API リクエストレートの制限を分散できるというメリットがあります。その他にも、こちらに記載されているようなメリットがあります。セキュリティ、ログ、インフラストラクチャ用のアカウントなど、組織全体の基本アカウントを複数使用することをおすすめします。ワークロードアカウントの場合、本番用ワークロードとテスト/開発用ワークロードを別々のアカウントに分ける必要があります

サービスとコスト管理

サービスコンソールまたは API/CLI 操作を使用して組織レベルで AWS サービスを有効にする

ベストプラクティスとして、AWS Organizations 全体で統合したいサービスを有効または無効にするには、そのサービスのコンソール、または API 操作/CLI コマンドを使用してことをおすすめします。この方法により、必要なリソースの作成やサービスを無効にしたときのリソースのクリーンアップなど、組織に必要なすべての初期化手順を AWS サービスで実行できます。 AWS アカウント管理 は唯一、AWS Organizations コンソールまたは API を使用して有効にする必要があるサービスです。AWS Organizations と統合されているサービスのリストを確認するには、AWS のサービス で使用できる AWS Organizations を参照してください。

請求ツールを使用してコストを追跡し、リソースの使用を最適化する

組織を管理する場合、組織内のアカウントのすべての料金が網羅的にまとめられた一括請求書が届きます。コストを可視化する必要のあるビジネスユーザーには、請求ツールやコストツールを確認するために、読み取り専用の制限つき権限ロールを管理アカウントに割り当てることができます。たとえば、請求レポートへのアクセスを許可する権限セットを作成したり、AWS Cost Explorer Service (経時的なコスト傾向を表示するツール)を使用したり、Amazon S3 ストレージレンズAWS Compute Optimizer などのコスト効率化サービスを使用したりできます。

組織リソース全体でのタグ付け戦略とタグの適用を計画する

アカウントやワークロードがスケールしてくると、コスト追跡、アクセス制御、リソースの整理にタグが役立ちます。タグ付けの命名方法については、「AWS リソースにタグを付ける」のガイダンスに従ってください。リソースの他にも、組織のルート、アカウント、OU、およびポリシーにタグを作成することができます。詳しくは、「タグ付け戦略の構築」を参照してください。