AWS Organizations と専用のアカウント構造

アンケート

皆様からのご意見をお待ちしています。簡単なアンケートに回答し、AWS PRA に関するフィードバックをお寄せください。

AWS Organizations は、複数の AWS アカウントを一元管理および統制するのに役立つアカウント管理サービスです。AWS Organizations の使用は、適切に設計されたマルチアカウント AWS 環境の基礎となります。詳細については、「ベストプラクティスの AWS 環境を確立する」を参照してください。

次の図は、AWS PRA のアカウントの概要と組織単位 (OU) 構造について示しています。ほとんどの場合、AWS PRA の組織構造は AWS SRA の組織構造と一致します。

AWS Organizations の AWS プライバシーリファレンスアーキテクチャのアカウント構造。

AWS SRA 組織からの逸脱には以下が含まれます。

AWS PRA は、個人データの収集、保存、処理を専門に行う個人データ (PD) OU を追加します。意図しない開示から個人データを保護するのに役立つ具体的かつきめ細かなコントロールを定義できるよう、この構造的な分離によって柔軟に対応します。
インフラストラクチャ OU では、現在 AWS PRA に、AWS SRA で説明されている共有サービスアカウントに関する追加のガイダンスは含まれていません。
AWS PRA には現在、AWS SRA で説明されているワークロード OU に関する追加のガイダンスは含まれていません。個人データを収集または処理するアプリケーションは、PD OU の専用アカウントにあります。

AWS Control Tower は、組織全体のセキュリティコントロールとプライバシーコントロールの、全体的な基盤ガバナンスおよび自動デプロイに使用できます。AWS Control Tower が現在組織で使用されていない場合でも、サービスコントロールポリシーや AWS Config ルールなど、AWS Control Tower のセキュリティコントロールおよびプライバシーコントロールの多くをそれぞれのサービスにデプロイできます。

アカウントと OU 構造をプラン作成するときは、アカウントセグメンテーション戦略など個人データの処理について検討すると役立つ場合があります。独自のユースケースや適用可能な法規制に対して、処理するデータの種類を検討する必要が生じる場合があります。例えば、カード所有者データは Payment Card Industry Data Security Standard (PCI DSS) で保護されており、保護された医療情報は医療保険の相互運用性と説明責任に関する法令 (HIPAA) の対象となる場合があります。個人データを含む環境を確認し、それに関するセグメンテーション戦略を綿密に計画することが必要になる場合があります。一般的なアカウントセグメンテーション戦略には、開発、ステージング、品質保証 (QA)、および本番稼働に対する専用アカウントなど、ソフトウェア開発ライフサイクル (SDLC) に沿った専用の AWS アカウントを含めることができます。このようなセグメンテーション戦略は、設計に関する全体的な議論において重要な要素となる場合があり、OU では特定の規制要件に合わせる必要が生じる可能性があります。

一部のマルチアカウント AWS 環境では、AWS リージョンごとに専用のアプリケーションアカウントが必要です。または、マルチアカウントランディングゾーンが必要になる場合があります。この場合、顧客や規制当局の一意のデータ主権要件を満たすには、追加のセグメンテーションが必要です。詳細については、このガイドの「グローバル展開の戦略」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS PRA と AWS SRA の使用

AWS プライバシーサービスの運用