ランディングゾーンを作成する - AWS 規範ガイダンス
ベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ランディングゾーンを作成する

ランディングゾーンは、ワークロードとアプリケーションをデプロイするための出発点となる、適切に設計されたマルチアカウント AWS 環境です。マルチアカウントアーキテクチャ、ID とアクセスの管理、ガバナンス、データセキュリティ、ネットワーク設計、ログ記録を開始するためのベースラインとなります。AWS Control Tower は、自動化されたガードレールを提供することで、マルチアカウント環境の保守とガバナンスを簡素化するサービスです。通常、アカウント AWS のサービス 内の他の をオーケストレーションすることで、all AWS リージョン. AWS Control Tower works 全体で環境を管理する単一の AWS Control Tower ランディングゾーンをプロビジョニングします。詳細については、「ランディングゾーンをセットアップするとどうなるか (AWS Control Tower ドキュメント)」を参照してください。

でランディングゾーンを設定するときは AWS Control Tower、管理アカウント、ログアーカイブアカウント、監査アカウントの 3 つの共有アカウントを識別します。詳細については、「共有アカウントとは (AWS Control Tower ドキュメント)」を参照してください。管理アカウントの場合、ワークロードをホストしていない既存のアカウントを使用してランディングゾーンをセットアップする必要があります。ログアーカイブアカウントと監査アカウントでは、既存のアカウントを再利用するか AWS アカウント、自分で作成 AWS Control Tower するかを選択できます。

AWS Control Tower ランディングゾーンを設定する方法については、「開始方法 (AWS Control Tower ドキュメント)」を参照してください。

ベストプラクティス

  • マルチアカウント戦略の設計原則 (AWS ホワイトペーパー) のベストプラクティスに従ってください。

  • 管理者向けの AWS Control Tower ベストプラクティス (AWS Control Tower ドキュメント) に従ってください。

  • ワークロードの大部分をホスト AWS リージョン する にランディングゾーンを作成します。

    重要

    ランディングゾーンをデプロイした後にこのリージョンを変更する場合は、 のサポートが必要であり AWS サポート、ランディングゾーンを廃止する必要があります。この方法は推奨されません。

  • 管理するリージョンを決定するときは AWS Control Tower 、ワークロードをすぐにデプロイすることが予想されるリージョンのみを選択します。このリージョンは後で変更または追加することができます。がリージョン AWS Control Tower を管理する場合、検出ガードレールは としてそのリージョンにデプロイされますAWS Config ルール

  • 管理するリージョンを決定したら AWS Control Tower 、管理対象外のすべてのリージョンへのアクセスを拒否します。これにより、ワークロードと開発者は承認された AWS リージョンしか使用できないようになります。これは組織内のサービスコントロールポリシー (SCP) として実装されます。詳細については、AWS リージョン 「拒否コントロールの設定 (AWS Control Tower ドキュメント)」を参照してください。

  • でランディングゾーンを設定するときは AWS Control Tower、次の OUsとアカウントの名前を変更することをお勧めします。

    • セキュリティ OU を Security_Prod に変更することをお勧めします。この OU が本番稼働用セキュリティ関連 AWS アカウントに使用されることを示すためです。

    • AWS Control Tower 追加の OU を作成し、サンドボックスからワークロードに名前を変更することを に許可することをお勧めします。次のセクションでは、ワークロード OU 内部に追加の OU を作成し、これを AWS アカウントの整理に使用します。

    • 集中ログの名前を Log Archive AWS アカウント から log-archive-prod に変更することをお勧めします。

    • 監査アカウントの名前は、監査から security-tooling-prod に変更することをお勧めします。

  • 不正を防ぐために、 は、 AWS Control Tower ランディングゾーンに追加する前に、使用履歴 AWS アカウント がある AWS を必要とします。使用履歴 AWS アカウント のない新しい を使用している場合は、新しいアカウントで、 AWS 無料利用枠にない Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを起動できます。インスタンスを数分間実行してから終了します。