SRA 構成要素 – AWS Organizations、アカウント、ガードレール

AWS セキュリティサービス、そのコントロール、およびインタラクションは、 AWSマルチアカウント戦略とアイデンティティおよびアクセス管理ガードレールの基盤に最適です。これらのガードレールは、最小特権、職務の分離、プライバシーを実装する機能を設定し、必要なコントロールの種類、各セキュリティサービスが管理される場所、 AWS SRA でデータとアクセス許可を共有する方法に関する決定をサポートします。

AWS アカウント は、リソースのセキュリティ、アクセス、請求の AWS 境界を提供し、リソースの独立性と分離を実現します。「複数のアカウントを使用して環境を整理する」ホワイトペーパーの「複数の を使用する利点 AWS アカウント」セクションで説明されているように、複数の を使用すること AWS アカウント は、セキュリティ要件を満たす方法において重要な役割を果たします。 AWS たとえば、企業のレポート構造をミラーリングするのではなく、機能、コンプライアンス要件、または一般的な一連のコントロールに基づいて、組織単位 (OU) 内の別々のアカウントとグループアカウントにワークロードを整理できます。セキュリティとインフラストラクチャを念頭に置いて、ワークロードの拡大に合わせて企業が共通のガードレールを設定できるようにします。このアプローチは、ワークロード間の堅牢な境界と制御を提供します。アカウントレベルの分離は、 と組み合わせて AWS Organizations、開発環境やテスト環境から本番環境を分離したり、Payment Card Industry Data Security Standard (PCI DSS) や Health Insurance Portability and Accountability Act (HIPAA) などの異なる分類のデータを処理するワークロード間の強力な論理境界を提供するために使用されます。1 つのアカウントから AWS ジャーニーを開始することもできますが、 では、ワークロードのサイズと複雑さが大きくなるにつれて、複数のアカウントを設定する AWS ことをお勧めします。

アクセス許可を使用すると、 AWS リソースへのアクセスを指定できます。アクセス許可は、プリンシパル (ユーザー、グループ、ロール) として知られる IAM エンティティに付与されます。デフォルトでは、プリンシパルはアクセス許可なしで始まります。IAM プリンシパルは、アクセス許可を付与 AWS するまで で何も実行できません。また、 AWS 組織全体と同様に広範に適用されるガードレールを設定したり、プリンシパル、アクション、リソース、条件を個別に組み合わせてきめ細かく適用したりできます。