View a markdown version of this page

OU 設計: フェーズ 1 - AWS 規範ガイダンス
アーキテクチャの設計セキュリティ OUインフラストラクチャプラットフォーム OU追加の OU

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

OU 設計: フェーズ 1

この例では、多国籍製薬企業の場合、 の組織と OUs の初期設計は、セットアップに関する AWS 推奨事項に AWS Organizations 厳密に従っていました AWS Control Tower。例については、ブログ記事「Best Practices for Organizational Units with AWS Organizations」で説明されている「Best Practices for Organizational Units, including the Security OU, the Platform Infrastructure OU, and company-specific OUs」で説明 OUs されているように、「Landing Zone Accelerator on AWS for healthcare. AWS Control Tower initially provisioned a simple OU structure with common foundational OUs」を参照してください。

アーキテクチャの設計

初期 OU アーキテクチャを次の図に示します。

OU 構造のフェーズ 1 のアーキテクチャ設計

セキュリティ OU

セキュリティ OU は、セキュリティ機能 AWS アカウント に関連する広範なグループをまとめ、2 つのアカウント (監査とログアーカイブ) を使用してセキュリティ運用データを保存し、環境への一元的なログ記録と監査アクセスを行います。Amazon GuardDuty や などの AWS コアセキュリティサービスは、監査アカウント AWS Security Hub CSPM にあります。

インフラストラクチャプラットフォーム OU

インフラストラクチャ基盤 AWS アカウント を提供するインフラストラクチャプラットフォーム OU グループ。この OU 内に最初にデプロイされたのは、中央ネットワークコンポーネント (ゲートウェイ、ファイアウォール、中央ネットワークハブ、および同様のサービス) AWS アカウント の です。 

追加の OU

その他の会社固有の OU (臨床 OU など) は、低レベルの階層内の基礎となる OU を強化します。ワークロードは、マルチアカウント構造と、それらの OU 内の個別の環境を使用して実装されます。

この初期設計は、いくつかの考慮事項に基づいて作成されました。

  • ネストされた OUs でその時点で使用できず AWS Control Tower 、広範なカスタマイズが必要でした。

  • クラウド用に指定された初期ワークロードは、臨床試験や製造装置の分析 (機能ビュー) など、会社の特定の側面に焦点を当てていました。

  • 同社は、5 つのワークロード環境 (開発、検証、統合、トレーニング、本番稼働) を区別しています。同社は、本番ワークロードに必要な AWS コントロールによる厳格なガバナンスなしでアプリケーションを開発するためのプレイグラウンドを必要としていました。この目的のために、製造開発 OU のような開発 OU が割り当てられました。

  • ワークロードの自動化は各アプリケーションのエコシステムの一部であり、分離は必要ありませんでした。

  • インフラストラクチャ認定 (IQ) と GxP コンプライアンスプロセスでは、OU レベルで AWS コントロールを区別する必要がありませんでした。