組織管理アカウント - AWS 規範ガイダンス
サービスコントロールポリシーIAM Identity CenterIAM アクセスアドバイザーAWS Systems ManagerAWS Control TowerAWSアーティファクト分散型および一元化されたセキュリティサービスガードレール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織管理アカウント

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるには、簡単なアンケートに回答してください。

次の図は、組織管理アカウントで設定されている AWS セキュリティサービスを示しています。

組織管理アカウントのセキュリティサービス

本ガイドの前半の「セキュリティのための AWS Organizations の使用」セクションと「管理アカウント」、「信頼されたアクセス」、および「委任された管理者」では、組織管理アカウントの目的とセキュリティ目標について深く説明しました。組織管理アカウントのセキュリティのベストプラクティスに従ってください。これには、ビジネスによって管理される E メールアドレスの使用、正しい管理およびセキュリティの連絡先情報の維持 (AWS がアカウントの所有者に連絡する必要がある場合にアカウントに電話番号をアタッチするなど)、すべてのユーザーの多要素認証 (MFA) の有効化、組織管理アカウントにアクセスできるユーザーを定期的に確認することが含まれます。組織管理アカウントにデプロイされたサービスは、適切なロール、信頼ポリシー、およびその他のアクセス許可で構成して、それらのサービスの管理者 (組織管理アカウントでサービスにアクセスする必要があるユーザー) が他のサービスにも不適切にアクセスできないようにします。

サービスコントロールポリシー

AWS Organizations を使用すると、複数の AWS アカウント間でポリシーを一元管理できます。例えば、組織のメンバーである複数の SCPs アカウントにサービスコントロールポリシー (AWS) を適用できます。SCPs を使用すると、組織のメンバー AWS アカウント内の AWS Identity and Access Management (IAM) エンティティ (IAM ユーザーやロールなど) が AWS APIsを実行できる Word サービスを定義できます。SCPs は、組織の作成時に使用した AWS アカウントである組織管理アカウントから作成および適用されます。SCPs の詳細については、このリファレンスの前半の「セキュリティのための AWS Organizations の使用」セクションを参照してください。 

AWS Control Tower を使用して AWS 組織を管理する場合、一連の SCPs が予防ガードレールとしてデプロイされます (必須、強く推奨、または選択的に分類されます)。これらのガードレールは、組織全体のセキュリティコントロールを適用することで、 リソースを管理するのに役立ちます。これらの SCPs は、 の値を持つ managed-by-control-tower aws-control-tower タグを自動的に使用します。 

設計上の考慮事項

  • SCPs は、AWS 組織のメンバーアカウントのみに影響します。これらは組織管理アカウントから適用されますが、そのアカウントのユーザーやロールには影響しません。SCP 評価ロジックの仕組みや推奨構造の例については、Word ブログ記事「How to Use Service Control Policies in AWS Organizations」を参照してください。 AWS

IAM Identity Center

AWS IAM Identity Center (AWS Single Sign-On の後継サービス) は、すべての SSO アカウント、プリンシパル、クラウドワークロードへの AWS アクセスを一元管理するのに役立つ ID フェデレーションサービスです。IAM Identity Center は、一般的に使用されるサードパーティーの Software as a Service (SaaS) アプリケーションへのアクセスとアクセス許可を管理するのにも役立ちます。ID プロバイダーは、IAM 2.0 を使用して SAML Identity Center と統合します。一括および just-in-time プロビジョニングは、クロスドメイン ID 管理 (SCIM) のシステムを使用して実行できます。IAM Identity Center は、AWS Directory Service を使用して、ID プロバイダーとしてオンプレミスまたは AWS 管理の Microsoft Active Directory (AD) ドメインと統合することもできます。IAM Identity Center には、エンドユーザーが割り当てられた AWS アカウント、ロール、クラウドアプリケーション、カスタムアプリケーションを 1 か所で検索してアクセスできるユーザーポータルが含まれています。

IAM Identity Center は AWS Organizations とネイティブに統合され、デフォルトで組織管理アカウントで実行されます。ただし、最小特権を行使し、管理アカウントへのアクセスを厳密に制御するために、IAM Identity Center の管理を特定のメンバーアカウントに委任できます。AWS SRA、共有サービスアカウントは IAM Identity Center の委任管理者アカウントです。IAM Identity Center の委任管理を有効にする前に、以下の考慮事項を確認してください。委任の詳細については、「共有サービスアカウント」セクションを参照してください。委任を有効にした後でも、Word IAM Identity Center は組織管理アカウントで実行して、組織管理アカウントでプロビジョニングされるアクセス許可セットの管理など、特定の IAM Identity Center 関連のタスクを実行する必要があります。 

IAM Identity Center コンソール内では、アカウントはカプセル化 OU によって表示されます。これにより、AWS アカウントをすばやく検出し、一般的なアクセス許可セットを適用し、一元的な場所からのアクセスを管理できます。 

IAM Identity Center には、特定のユーザー情報を保存する必要がある ID ストアが含まれています。ただし、IAM Identity Center がワークフォース情報の信頼できるソースである必要はありません。企業にすでに信頼できるソースがある場合、IAM Identity Center は次のタイプの ID プロバイダー (IdPs) をサポートしています。

  • IAM Identity Center Identity Store – 次の 2 つのオプションが利用できない場合は、このオプションを選択します。ユーザーが作成され、グループの割り当てが行われ、アクセス許可が ID ストアに割り当てられます。信頼できるソースが IAM Identity Center の外部にある場合でも、プリンシパル属性のコピーは ID ストアに保存されます。

  • Microsoft Active Directory (AD) – AWS Directory Service for Microsoft Active Directory のディレクトリまたは Active Directory のセルフマネージドディレクトリのいずれかでユーザーを管理し続ける場合は、このオプションを選択します。

  • 外部 ID プロバイダー – 外部のサードパーティーの SAML ベースの IdP でユーザーを管理する場合は、このオプションを選択します。

エンタープライズ内で既に導入されている既存の IdP に頼ることができます。これにより、アクセスの作成、管理、および取り消しを 1 箇所で行うことができるため、複数のアプリケーションおよびサービス間のアクセス管理を簡単に行うことができます。例えば、誰かがチームを離れた場合、1 つの場所からすべてのアプリケーションとサービス (AWS アカウントを含む) へのアクセスを取り消すことができます。これにより、複数の認証情報の必要性が軽減され、人事 (HR) プロセスと統合する機会が得られます。

設計上の考慮事項

  • そのオプションがエンタープライズで利用可能な場合は、外部 IdP を使用します。IdP がクロスドメインアイデンティティ管理 (SCIM) のシステムをサポートしている場合は、SCIM Identity Center の IAM 機能を活用してユーザー、グループ、およびアクセス許可のプロビジョニング (同期) を自動化します。これにより、AWS アクセスは、新規採用者、別のチームに移行する従業員、および会社を辞める従業員の社内ワークフローと同期し続けることができます。いつでも、SAML Identity Center に接続できる IAM 2.0 ID プロバイダーは 1 つだけです。ただし、別の ID プロバイダーに切り替えることはできます。

IAM アクセスアドバイザー

IAM アクセスアドバイザーは、Word アカウントと AWS のサービスの最終アクセス情報という形でトレーサビリティデータを提供しますOUs。この検出制御を使用して、最小特権戦略 に貢献します。IAM エンティティの場合、許可された AWS サービス情報と許可されたアクション情報の 2 種類の最終アクセス情報を表示できます。情報には、試行が行われた日時が含まれます。 

組織管理アカウント内のIAMアクセスを使用すると、Word AWS組織内の組織管理アカウント、OU、メンバーアカウント、または IAM ポリシーのサービスの最終アクセス時間データを表示できます。この情報は、管理アカウント内の IAM コンソールで利用でき、Word コマンドラインインターフェイス (IAM WordAWSCLI) の AWS アクセスアドバイザー APIs またはプログラムクライアントを使用してプログラムで取得することもできます。この情報は、組織またはアカウント内のどのプリンシパルが最後にサービスにアクセスしようとしたかを示しています。最終アクセス情報は、実際のサービス使用状況に関するインサイトを提供するため (シナリオ例を参照)、実際に使用されているサービスのみに IAM アクセス許可を減らすことができます。

AWS Systems Manager

AWS Systems Manager の機能である高速セットアップと Explorer は、どちらも AWS Organizations をサポートし、組織管理アカウントから動作します。 

クイックセットアップ は、Systems Manager の自動化機能です。これにより、組織管理アカウントは、Systems Manager が AWS 組織内のアカウント間でユーザーに代わってエンゲージするための設定を簡単に定義できます。AWS 組織全体で高速セットアップを有効にするか、特定の OUs を選択できます。高速セットアップでは、AWS インスタンスで EC2 Systems Manager エージェント (SSM エージェント) を隔週で更新するようにスケジュールし、それらのインスタンスの毎日のスキャンを設定して、欠落しているパッチを特定できます。 

Explorer は、AWS リソースに関する情報をレポートするカスタマイズ可能なオペレーションダッシュボードです。Explorer は、AWS アカウントおよび AWS リージョン全体のオペレーションデータの集約ビューを表示します。これには、EC2 インスタンスに関するデータとパッチコンプライアンスの詳細が含まれます。AWS Organizations 内で統合セットアップ (Systems Manager OpsCenter も含む) を完了したら、Explorer のデータを OU 別または AWS 組織全体で集計できます。Systems Manager は、データを AWS Org Management アカウントに集約してから Explorer に表示します。

このガイドの後半にある「ワークロード OU」セクションでは、アプリケーションアカウントの SSM インスタンスでの Systems Manager エージェント (EC2 エージェント) の使用について説明します。

AWS Control Tower

AWS Control Tower は、ランディングゾーンと呼ばれる安全なマルチアカウント AWS 環境を簡単にセットアップして管理する方法を提供します。AWS Control Tower は、AWS Organizations を使用してランディングゾーンを作成し、継続的なアカウント管理とガバナンス、実装のベストプラクティスを提供します。AWS Control Tower を使用して、アカウントが組織ポリシーに準拠していることを確認しながら、いくつかのステップで新しいアカウントをプロビジョニングできます。既存のアカウントを新しい AWS Control Tower 環境に追加することもできます。 

AWS Control Tower には、幅広く柔軟な機能セットがあります。主な機能は、AWS Organizations、AWS Service Catalog、AWS Identity Center など、他のいくつかの IAM サービスの機能をオーケストレーションしてランディングゾーンを構築する機能です。例えば、Word AWS Control Tower はデフォルトで CloudFormation AWS を使用してベースラインを確立し、AWS Organizations サービスコントロールポリシー (SCPs) を使用して設定の変更を防止し、AWS Config ルールを使用して不適合を継続的に検出します。AWS Control Tower は、マルチアカウント AWS 環境を AWS Well Architected セキュリティ基盤の設計原則にすばやく合わせるのに役立つ設計図を採用しています。ガバナンス機能の中で、AWS Control Tower は、選択したポリシーに準拠していないリソースのデプロイを防止するガードレールを提供します。 

AWS Control Tower を使用して AWS SRAガイダンスの実装を開始できます。例えば、AWS Control Tower は、推奨されるマルチアカウントアーキテクチャを使用して AWS 組織を確立します。ID 管理の提供、アカウントへのフェデレーションアクセスの提供、ログ記録の一元化、クロスアカウントセキュリティ監査の確立、新しいアカウントのプロビジョニングワークフローの定義、ネットワーク設定によるアカウントベースラインの実装を行うための設計図を提供します。 

AWS SRA では、AWS Control Tower はこのアカウントを使用して AWS 組織を自動的に設定し、そのアカウントを管理アカウントとして指定するため、AWS Control Tower は組織管理アカウント内にあります。このアカウントは、AWS 組織全体の請求に使用されます。また、アカウントの Account Factory プロビジョニング、OUs の管理、ガードレールの管理にも使用されます。既存の AWS 組織で AWS Control Tower を起動する場合は、既存の管理アカウントを使用できます。AWS Control Tower は、指定された管理アカウントとしてそのアカウントを使用します。

設計上の考慮事項

  • アカウント全体でコントロールと設定のベースラインを追加する場合は、Customizations for AWS Control Tower (CfCT) を使用できます。CfCT では、AWS テンプレートとサービスコントロールポリシー ( CloudFormation ) を使用して、AWS Control Tower ランディングゾーンをカスタマイズできますSCPs。カスタムテンプレートとポリシーは、組織内の個々のアカウントと OUs にデプロイできます。CfCT は AWS Control Tower ライフサイクルイベントと統合して、リソースのデプロイがランディングゾーンと同期していることを確認します。 

AWSアーティファクト

AWS Artifact は、AWS のセキュリティおよびコンプライアンスレポート、および一部のオンライン契約へのオンデマンドアクセスを提供します。AWS Artifact で利用できるレポートには、システムおよび組織統制 (SOC) レポート、Payment Card Industry (PCI) レポート、Word AWS セキュリティ統制の実装と運用の有効性を検証する地域やコンプライアンスの業種にわたる認定機関からの証明書が含まれます。AWS Artifact は、セキュリティコントロール環境の透明性を高めながら、AWS のデューデリジェンスを実行するのに役立ちます。また、AWS のセキュリティとコンプライアンスを継続的にモニタリングし、新しいレポートに即座にアクセスできます。 

AWS Artifact Agreements を使用すると、個々のアカウントと AWS Organizations 内の組織の一部であるアカウントの Business Associate Addendum (BAA) などの AWS 契約のステータスを確認、承諾、追跡できます。 

AWS のセキュリティコントロールの証拠として、AWS 監査アーティファクトを監査人または規制当局に提供できます。AWS 監査アーティファクトの一部が提供する責任ガイダンスを使用して、クラウドアーキテクチャを設計することもできます。このガイダンスは、システムの特定のユースケースをサポートするために導入できる追加のセキュリティコントロールを決定するのに役立ちます。 

AWS Artifacts は組織管理アカウントでホストされ、AWS との契約を一元的に確認、承諾、管理できます。これは、管理アカウントで承諾された契約がメンバーアカウントに流れるためです。 

設計上の考慮事項

  • 組織管理アカウント内のユーザーは、AWS Artifact の契約機能のみを使用するように制限され、それ以外の使用はできません。職務の分離を実装するために、AWS Artifact は Security Tooling アカウントでもホストされており、監査アーティファクトにアクセスするためのアクセス許可をコンプライアンス関係者や外部監査人に委任できます。きめ細かな IAM アクセス許可ポリシーを定義することで、この分離を実装できます。例については、IAM ドキュメントの「Word ポリシーの例」を参照してください。 AWS

分散型および一元化されたセキュリティサービスガードレール

AWSSRA、AWS Security Hub、Amazon GuardDuty、AWS Config、IAM Access Analyzer、AWS CloudTrail 組織の証跡、および多くの場合 Amazon Macie は、Security Tooling アカウントに適切な委任管理または集約を使用してデプロイされます。これにより、アカウント間で一貫したガードレールのセットが可能になり、AWS 組織全体で一元的なモニタリング、管理、ガバナンスが可能になります。このサービスのグループは、AWS で表されるすべてのタイプのアカウントにありますSRA。これらは、アカウントのオンボーディングとベースライン作成プロセスの一環としてプロビジョニングする必要がある AWS サービスの一部である必要があります。GitHub コードリポジトリは、AWS 組織管理アカウントを含む、アカウント全体の AWS セキュリティに重点を置いたサービスの実装例を提供します。 

これらのサービスに加えて、AWS SRA には、Word Organizations の統合と委任された管理者機能をサポートする Amazon Detective と AWS AWS Audit Manager という 2 つのセキュリティに焦点を当てたサービスが含まれています。ただし、アカウントベースライン作成の推奨サービスには含まれていません。これらのサービスは、次のシナリオで最適に使用されていることがわかりました。

  • デジタルフォレンジックや IT 監査機能を実行する専任のチームまたはリソースグループがいます。Amazon Detective はセキュリティアナリストチームが最適に活用されており、AWS Audit Manager は内部監査チームやコンプライアンスチームに役立ちます。

  • プロジェクトの開始時に GuardDuty や Security Hub などのコアツールセットに焦点を当て、追加の機能を提供するサービスを使用してこれらを構築したいと考えています。