View a markdown version of this page

ランディングゾーン構築 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ランディングゾーン構築

ランディングゾーンを作成するには、いくつかのオプションがあります AWS。マネージドサービスを選択して環境をオーケストレーションするかAWS Control Tower、パートナーと協力してマネージドサービスである独自の. AWS offers を構築できます。すべてのユーザーが で始めることをお勧めします AWS Control Tower。ただし、それぞれのアプローチの違いと機能を理解して、組織にとって最善の決定を下せるようにすることが重要です。

ランディングゾーンのオプション AWS:

  • AWS Control Tower

  • カスタムビルドのランディングゾーン

配信メカニズム:

AWS Control Tower とカスタマイズされたランディングゾーンの違い。

各アプローチの利点とトレードオフ:

ソリューション 利点 トレードオフ

AWS Control Tower

  • フルマネージド型サービス。

  • AWSが提供するコントロールとコンプライアンスポリシーがデフォルトで適用されます。

  • モニタリングとコンプライアンス状況を一元管理できるダッシュボードが用意されます。

  • 新しいアカウントをプロビジョニングするためのアカウントファクトリが提供されます。

  • 一部のカスタマイズ (リージョンの選択やオプションの制御など) は、 コンソールで使用できます。

AWS Organizations 顧客またはパートナーが作成したカスタムソリューションを使用

  • カスタムビルドのソリューション。

  • 開発とコーディングはすべてお客様またはパートナーが所有します。

  • お客様またはパートナーは、統合と実装に責任を負います。

すべてのマルチアカウント環境オファリングは、 を利用しています AWS Organizations。 は、 AWS 環境を構築および管理するための基盤となるインフラストラクチャと機能 AWS Organizations を提供します。を使用すると AWS Organizations、 が提供するマルチアカウント戦略ガイダンスに従い AWS 、ビジネスニーズに最適な環境を自分でカスタマイズできます。既存の顧客で、現在の AWS Organizations 実装に満足している場合は、現在の AWS 環境を引き続き運用する必要があります。

AWS Control Tower

AWS Control Tower は AWS マネージドサービスとして実行されます。すぐに使えるパッケージ化された環境ソリューションをお探しの場合は、 AWS Control Tower を使用して規範的なガイダンスとフルマネージド環境を作成できます。このサービスは、マルチアカウントのベストプラクティスに基づいてランディングゾーンを設定し、ID とアクセスの管理を一元化し、セキュリティとコンプライアンスに関する事前設定されたガバナンスルールを確立します。

AWS AWS Control Tower セットアップに含まれる サービス。

AWS Control Tower は、ベストプラクティス、アイデンティティの設計図、フェデレーティッドアクセス、アカウント構造を使用して、新しいランディングゾーンのセットアップを自動化します。 AWS Control Tower に実装されているブループリントには次のようなものがあります。

  • を使用するマルチアカウント環境 AWS Organizations

  • AWS Identity and Access Management (IAM) と を使用したクロスアカウントセキュリティ監査 AWS IAM アイデンティティセンター

  • Identity Center のデフォルトディレクトリを使用した ID 管理

  • Amazon Simple Storage Service (Amazon S3) からの集中ログ記録 AWS CloudTrailと Amazon Simple Storage Service への AWS Config 保存

コントロールは、 AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。コントロールは予防的または検出的です。予防コントロールは、 の一部であるサービスコントロールポリシー (SCPs) を使用して実装されます AWS Organizations。検出コントロールは を使用して実装されます AWS Config。 AWS Control Tower コントロールの例は次のとおりです。

  • ルートユーザーのアクセスキーの作成を許可しない

  • RDP を介したインターネット接続を禁止する

  • S3 バケットへのパブリック書き込みアクセスを禁止する

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされていない Amazon Elastic Block Store (Amazon EBS) ボリュームを許可しない

注記

AWS Control Tower はランディングゾーンの開始点です。ランディングゾーンを構築する際には、独自の要件に基づいて、ネットワーク、アクセス管理、およびセキュリティの戦略を決定する必要があります。

カスタムビルドのランディングゾーン

独自のカスタマイズされたランディングゾーンソリューションを構築することもできます。この場合、ID とアクセス管理、ガバナンス、データセキュリティ、ネットワーク設計、ロギングを始めるためのベースライン環境を導入します。環境コンポーネントをすべてゼロから構築したい場合や、カスタムソリューションでしかサポートできない要件がある場合は、このアプローチをお勧めします。ソリューションがデプロイされたら、それを管理、アップグレード、保守、運用 AWS するための十分な専門知識が必要です。

から始め AWS Control Tower てランディングゾーンを構築することをお勧めします。 AWS Control Tower これにより、初期の規範的なランディングゾーン設定を構築し、out-of-the-boxコントロールとブループリントを使用し、AWS Control Tower Account Factory を使用して新しいアカウントを作成できます。

セットアップ中に、 AWS Control Tower コンソールからランディングゾーンをカスタマイズできます。詳細については、AWS Control Tower ドキュメントを参照してください。基本的なランディングゾーンを設定したら、次のいずれかのオプションを使用して、ランディングゾーンをさらに強化およびカスタマイズできます。

  • テンプレート CloudFormation とサービスコントロールポリシー AWS Control Tower (SCP) を通じて広範なカスタマイズオプションを提供する (CfCT) のカスタマイズを使用します。 SCPs 詳細については、AWS Control Tower のドキュメントを参照してください。

  • Landing Zone Accelerator (LZA) を使用して、コンプライアンスフレームワークに合わせてランディングゾーンを強化します。詳細については、LZA 実装ガイドを参照してください。