ランディングゾーンとは何ですか? - AWS 規範ガイダンス
マルチアカウントフレームワーク

ランディングゾーンとは何ですか?

ランディングゾーンは、Well-Architected の、スケーラブルで安全なマルチアカウント AWS 環境です。これは、組織がセキュリティおよびインフラストラクチャ環境に自信を持ってワークロードとアプリケーションを迅速に起動してデプロイできる出発点です。ランディングゾーン構築には、組織の成長と将来のビジネス目標に応じて、アカウント構造、ネットワーク、セキュリティ、アクセス管理に関する技術的およびビジネス上の意思決定を行う必要があります。

AWS を大規模に使用し始める場合は、環境を確立するための規範的なガイダンスとアプローチとして AWS を参考にすることができます。この分野における AWS のベストプラクティスは、リソースとワークロードを複数の AWS アカウント ( リソースコンテナ ) に分離して、影響範囲を軽減する必要性を中心にしています。次のセクションでは、複数のアカウントを使用する理由について説明します。

マルチアカウントフレームワーク

必要な AWS アカウントの標準的な数はありませんが、複数の AWS アカウントを作成することをお勧めします。アカウントが複数あると、リソースとセキュリティを最高レベルで隔離できます。以下の質問のいずれかに「はい」と答えた場合は、追加の AWS アカウントを作成することを検討してください。

  • 貴社ビジネスでは、ワークロードを管理的に分離する必要がありますか?

  • 貴社ビジネスでは、ワークロードの可視性と検出可能性を制限したいとお考えですか?

  • 影響範囲を最小限に抑えるために、事業を隔離する必要はありませんか?

  • リカバリデータや監査データを強固に隔離する必要はありますか?

1 つのアカウントでは不十分な理由は他にもあります。

  • セキュリティコントロール - アプリケーションごとに異なるセキュリティプロファイルがあり、異なるコントロールポリシーとメカニズムが必要になる場合があります。例えば、監査人と話をして、ペイメントカード業界 (PCI) ワークロードをホストしている単一のアカウントを参照した方がはるかに簡単です。

  • 分離 - アカウントは、セキュリティ保護の単位です。潜在的なリスクとセキュリティの脅威は、他のアカウントに影響を与えることなく、アカウント内に封じ込める必要があります。さまざまなセキュリティニーズにより、複数のチームや異なるセキュリティプロファイルが原因で、1 つのアカウントを他から隔離する必要がある可能性があります。

  • データの分離 - データストアをアカウントに分離すると、そのデータストアにアクセスして管理できる人の数が制限されます。これにより機密性の高いデータのエクスポージャーが制限され、一般データ保護規則 (GDPR) への準拠に役立ちます。

  • 多数のチーム - チームごとに異なる責任とリソースニーズがあります。同じアカウントで互いの邪魔をしてはいけません。

  • 業務プロセス - 事業単位や製品によって目的やプロセスが異なる場合があります。ビジネス固有のニーズに合わせてさまざまなアカウントを確立する必要があります。

  • 請求 - 転送料金を分けるなど、請求レベルで項目を分けるには、アカウントが唯一の方法です。複数のアカウントは、ビジネスユニット、機能チーム、または個々のユーザー間で課金レベルで項目を分離するのに役立ちます。

  • 制限配分 — 制限はアカウントごとです。ワークロードを異なるアカウントに分けることで、制限を消費したり、リソースを過剰にプロビジョニングしたりして、他のアプリケーションが意図したとおりに動作しなくなることを防ぎます。