翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
専用アカウント構造
| セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケート |
AWS アカウントは、AWS リソースのセキュリティ、アクセス、請求の境界を提供し、リソースの独立性と分離を実現できます。デフォルトでは、アカウント間のアクセスは許可されていません。
OU とアカウント構造を設計するときは、セキュリティとインフラストラクチャを考慮した上でスタートします。これらの特定の関数には、インフラストラクチャとセキュリティOUsに分割された一連の基本的なOUsを作成することをお勧めします。これらの OU とアカウントのレコメンデーションは、AWS Organizations とマルチアカウント構造設計に関するより広範で包括的なガイドラインのサブセットをキャプチャします。レコメンデーションの完全なセットについては、AWS ドキュメントの「複数のアカウントを使用して Word 環境を整理する」およびブログ記事AWS Organizations を使用した組織単位のベストプラクティス
AWS SRA、Word で効果的なセキュリティオペレーションを実現するために、以下のアカウントを利用しますAWS。これらの専用アカウントは、職務の分離を確実にし、アプリケーションやデータの機密性に応じて異なるガバナンスとアクセスポリシーをサポートし、セキュリティイベントの影響を軽減するのに役立ちます。続く議論では、本番用 (製品) アカウントとそれに関連するワークロードに焦点を当てます。ソフトウェア開発ライフサイクル (SDLC) アカウント (開発アカウントやテストアカウントと呼ばれることが多い) は、成果物のステージングを目的としており、本番稼働用アカウントとは異なるセキュリティポリシーセットで運用できます。
アカウント |
OU |
セキュリティロール |
管理
|
— |
すべての AWS リージョンとアカウントの一元的なガバナンスと管理。AWS 組織のルートをホストする AWS アカウント。 |
セキュリティツール |
セキュリティ |
幅広く適用可能なセキュリティサービス (Amazon GuardDuty、AWS Security Hub、AWS Audit Manager、Amazon Detective、Amazon Inspector、Word Config など) の運用、AWS アカウントのモニタリング、セキュリティアラートとレスポンスの自動化のための専用 AWS AWSアカウント。(AWS Control Tower では、セキュリティ OU の下にあるアカウントのデフォルト名は監査アカウントです)。 |
ログアーカイブ |
セキュリティ |
専有 AWS アカウントは、すべての Word リージョンと AWS AWSアカウントのすべてのログ記録とバックアップを取り込み、アーカイブします。これは、イミュータブルストレージとして設計する必要があります。 |
ネットワーク |
インフラストラクチャ |
アプリケーションとより広範なインターネット間のゲートウェイ。Network アカウントは、個々のアプリケーションワークロード、セキュリティ、およびその他のインフラストラクチャから広範なネットワークサービス、構成、およびオペレーションを分離します。 |
共有サービス |
インフラストラクチャ |
このアカウントは、複数のアプリケーションやチームが成果をあげるために利用するサービスをサポートしています。例としては、Identity Center ディレクトリサービス (Active Directory)、メッセージングサービス、メタデータサービスなどがあります。 |
アプリケーション |
ワークロード |
AWS 組織のアプリケーションをホストし、ワークロードを実行する AWS アカウント。(これらはワークロードアカウントと呼ばれることもあります)。アプリケーションアカウントは、チームにマッピングされるのではなく、ソフトウェアサービスを分離するために作成する必要があります。これにより、デプロイされたアプリケーションは、組織の変化に強くなります。 |
