翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
専用アカウント構造
| 簡単なアンケート |
AWS アカウント は、リソースのセキュリティ、アクセス、請求の AWS 境界を提供し、リソースの独立性と分離を実現します。デフォルトでは、アカウント間のアクセスは許可されていません。
OU とアカウント構造を設計するときは、セキュリティとインフラストラクチャを考慮した上でスタートします。これらの特定の機能のために、インフラストラクチャとセキュリティ OU に分かれて、一連の基礎的なOUを作成することをお勧めします。これらの OU およびアカウントレコメンデーションは、 AWS Organizations およびマルチアカウント構造設計に関するより広範で包括的なガイドラインのサブセットをキャプチャします。推奨事項の完全なセットについては、 ドキュメントの AWS 「複数のアカウントを使用した AWS 環境の整理」とブログ記事「 を使用した組織単位のベストプラクティス AWS Organizations
AWS SRA は、以下のアカウントを使用して、効果的なセキュリティオペレーションを実現します AWS。これらの専用アカウントは、職務の分離を確実にし、アプリケーションやデータの機密性に応じて異なるガバナンスとアクセスポリシーをサポートし、セキュリティイベントの影響を軽減するのに役立ちます。続く議論では、本番用 (製品) アカウントとそれに関連するワークロードに焦点を当てます。ソフトウェア開発ライフサイクル (SDLC) アカウント (しばしば dev および テスト アカウントと呼ばれる) は、成果物をステージングにあげることを目的としており、本番用アカウントとは異なるセキュリティポリシーセットで運用することが可能です。
アカウント |
OU |
セキュリティロール |
|---|---|---|
管理
|
— |
すべての アカウントと アカウントの一元的なガバナンス AWS リージョン と管理。組織のルート AWS をホスト AWS アカウント する 。 |
セキュリティツール |
セキュリティ |
幅広く適用可能なセキュリティサービス (GuardDuty、Security Hub CSPM、Audit Manager、Detective、Amazon Inspector など AWS Config) の運用、セキュリティアラート AWS アカウントと対応のモニタリングと自動化 AWS アカウント に専念しています。(セキュリティ OU のアカウントの AWS Control Towerデフォルト名は監査アカウントです)。 |
ログアーカイブ |
セキュリティ |
すべての と AWS アカウント のすべてのログ記録とバックアップの取り込みとアーカイブ専用です AWS リージョン AWS アカウント。これは、イミュータブルストレージとして設計する必要があります。 |
Network |
インフラストラクチャ |
アプリケーションとより広範なインターネット間のゲートウェイ。Network アカウントは、個々のアプリケーションワークロード、セキュリティ、およびその他のインフラストラクチャから広範なネットワークサービス、構成、およびオペレーションを分離します。 |
共有サービス |
インフラストラクチャ |
このアカウントは、複数のアプリケーションやチームが成果をあげるために利用するサービスをサポートしています。例としては、Identity Center ディレクトリサービス (Active Directory)、メッセージングサービス、メタデータサービスなどがあります。 |
アプリケーション |
ワークロード |
AWS アカウント AWS 組織のアプリケーションをホストし、ワークロードを実行する 。(これらはワークロードアカウントと呼ばれることもあります)。アプリケーションアカウントは、チームにマッピングされるのではなく、ソフトウェアサービスを分離するために作成する必要があります。これにより、デプロイされたアプリケーションは、組織の変化に強くなります。 |
