翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# テーマ 5: データ境界を確立する
<a name="theme-5"></a>

**Essential Eight 戦略の対象**  
管理者権限の制限

*データ境界* とは、 AWS 環境における予防的ガードレールのセットであり、これによって、想定ネットワークをアクセス元とする信頼できる ID のみ、信頼できるリソースにアクセスできるようにします。これらのガードレールは、 AWS アカウント および リソースの幅広いセットにわたってデータを保護するのに役立つ常時オンの境界として機能します。しかし、組織全体をカバーするこうしたガードレールは、既存のきめ細かなアクセスコントロールに代わるものではなく、代わりに、すべての AWS Identity and Access Management (IAM) ユーザー、ロール、リソースが定義された一連のセキュリティ標準に準拠していることを確認することで、セキュリティ戦略の改善に役立ちます。

データ境界は、組織境界外からのアクセスを防止するポリシー (一般的に、 AWS Organizationsで作成) を使用して確立できます。データ境界の確立に使用する主な境界認可条件には、以下の 3 つがあります。
+ **信頼できる ID – **内のプリンシパル (IAM ロールまたはユーザー) AWS アカウント、またはユーザーに代わって AWS のサービス 行動するプリンシパル。
+ **信頼できるリソース** – 内のリソース、 AWS アカウント またはユーザーに代わって AWS のサービス 管理されるリソース。
+ **予想されるネットワーク — **オンプレミスのデータセンターと仮想プライベートクラウド (VPCsまたはユーザーに代わって AWS のサービス 動作するネットワーク。

`OFFICIAL:SENSITIVE` または `PROTECTED` といった異なるデータ分類の環境間、あるいは、開発、テスト、本番といった異なるリスクレベルの環境間にデータ境界を実装することを検討してください。詳細については、[「 でのデータ境界 AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)の構築 (AWS ホワイトペーパー）」および[「 でのデータ境界の確立 AWS: 概要](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws/) (AWS ブログ記事）」を参照してください。

## AWS Well-Architected フレームワークの関連するベストプラクティス
<a name="theme-5-best-practices"></a>
+ [SEC03-BP05 組織のアクセス許可ガードレールを定義する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC07-BP02 データ機密性に基づいてデータ保護コントロールを適用する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html)

## このテーマの実装
<a name="theme-5-implementation"></a>

### ID コントロールを実装する
<a name="t5-identity-controls"></a>
+ **信頼できる ID にのみリソースへのアクセスを許可する** – 条件キー `aws:PrincipalOrgID` および `aws:PrincipalIsAWSService` を指定した[リソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)を使用します。これにより、 AWS 組織と のプリンシパルのみが AWS リソースにアクセスできるようになります。
+ **お客様ネットワークを送信元とする信頼できる ID にのみアクセスを許可する** – 条件キー `aws:PrincipalOrgID` および `aws:PrincipalIsAWSService` を指定した [VPC エンドポイントポリシー](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)を使用します。これにより、 AWS 組織と のプリンシパルのみが VPC AWS エンドポイントを介してサービスにアクセスできます。

### リソースコントロールを実装する
<a name="t5-resource-controls"></a>
+ **ID に、信頼できるリソースのみへのアクセスを許可する** – 条件キー `aws:ResourceOrgID` を指定した[サービスコントロールポリシー (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) を使用します。これにより、ID は AWS 組織内のリソースにのみアクセスできます。
+ **お客様ネットワークを送信元とする場合にのみ信頼できるリソースへのアクセスを許可する** – 条件キー `aws:ResourceOrgID` を指定した VPC エンドポイントポリシーを使用します。これにより、この ID は、 AWS 組織に属する VPC エンドポイントを介してのみサービスにアクセスできます。

### ネットワークコントロールを実装する
<a name="t5-network-controls"></a>
+ **想定ネットワークを送信元とする ID にのみリソースへのアクセスを許可する** – 条件キー `aws:SourceIp`、`aws:SourceVpc`、`aws:SourceVpce`、`aws:ViaAWSService` を指定した SCP を使用します。これにより、ID は、予想される IP アドレス、VPCs、VPC エンドポイントから、および を介してのみリソースにアクセスできます AWS のサービス。
+ **想定ネットワークを送信元とする場合にのみお客様リソースへのアクセスを許可する** – 条件キー `aws:SourceIp`、`aws:SourceVpc`、`aws:SourceVpce`、`aws:ViaAWSService`、`aws:PrincipalIsAWSService` を指定した、リソースベースのポリシーを使用します。これにより、リソースへのアクセスは、予想される IPs、予想される VPCs、予想される VPC エンドポイント、 から、 AWS のサービスまたは呼び出し元の ID が である場合にのみ許可されます AWS のサービス。

## このテーマのモニタリング
<a name="theme-5-monitoring"></a>

### ポリシーをモニタリング
<a name="t5-monitor-policies"></a>
+ SCP、IAM ポリシー、VPC エンドポイントポリシーを確認する仕組みを実装する

### 次の AWS Config ルールを実装する
<a name="t5-cc-rules"></a>
+ `SERVICE_VPC_ENDPOINT_ENABLED`