翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS SRA の AWS 組織とアカウント構造
| 簡単なアンケートを実施して |
以下の図は、特定のサービスを示さずに AWS SRA の大まかな構造をキャプチャしたものです。この図表は、前のセクションで説明した専用アカウント構造を反映しており、ここではアーキテクチャの主要コンポーネントを中心に議論を進めるために、この図を掲載しています。
-
図に示されているすべてのアカウントは、単一の AWS 組織の一部です。
-
図の左上には、AWS 組織の作成に使用される組織管理アカウントがあります。
-
組織管理アカウントの下には、セキュリティ OU があり、セキュリティツール用とログアーカイブ用の 2 つのアカウントがあります。
-
右側には、ネットワークアカウントと共有サービスアカウントを持つインフラストラクチャ OU があります。
-
図表の下部には、ワークロード OU があり、エンタープライズアプリケーションを格納するアプリケーションアカウントに関連付けられています。
このガイダンスでは、すべてのアカウントは単一の AWS リージョンで動作するプロダクション (prod) アカウントとみなされます。ほとんどの AWS サービス (グローバルサービスを除く) はリージョンを対象としています。つまり、サービスのコントロールプレーンとデータプレーンは各 AWS リージョンに独立して存在します。このため、使用する予定のすべての AWS リージョンにこのアーキテクチャを複製して、AWS ランドスケープ全体をカバーできるようにする必要があります。特定の AWS リージョンにワークロードがない場合は、SCP を使用するか、ロギングおよびモニタリングメカニズムを使用してリージョンを無効にする必要があります。AWS Security Hub を使用すると、複数の AWS リージョンの結果とセキュリティスコアを 1 つの集約リージョンに集約し、一元的に把握できます。
多数のアカウントを持つ AWS 組織をホストする場合、アカウントのデプロイとアカウントガバナンスを容易にするオーケストレーションレイヤーがあると便利です。AWS Control Tower では、AWS マルチアカウント環境を簡単にセットアップして管理できます。GitHubリポジトリ内の
