セキュリティのための AWS Organizations の使用 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティのための AWS Organizations の使用

セキュリティ AWS リファレンスアーキテクチャ (AWS SRA) の未来に影響を与えるために、簡単なアンケートを行います。

AWS Organizations は、AWSリソースの拡大とスケーリングに合わせて環境を一元管理するために役立ちます。AWS Organizations を使用すると、プログラムで新しいAWSアカウントを作成し、リソースを割り当て、アカウントをグループ化してワークロードを整理し、ガバナンスのためにアカウントまたはアカウントのグループにポリシーを適用できます。AWS 組織は、AWS アカウントを統合し、1つの単位として管理できるようにするものです。1 つの管理アカウントと、ゼロ以上のメンバーアカウントを含みます。ほとんどのワークロードはメンバーアカウントにありますが、管理アカウントまたは特定のAWSサービスの委任管理者として割り当てられたアカウントのいずれかに存在する必要がある、一元管理されたプロセスもあります。セキュリティチームが AWS 組織に代わって、セキュリティニーズを管理するためのツールとアクセスを一元的に提供することができます。AWS 組織内で重要なリソースを共有することで、リソースの重複を減らすことができます。アカウントをAWS組織単位 (OUs) にグループ化できます。組織単位は、ワークロードの要件と目的に基づいて異なる環境を表すことができます。

AWS Organizations では、サービスコントロールポリシー (SCPs) を使用して、AWS組織、OU、またはアカウントレベルでアクセス許可ガードレールを適用できます。これらのガードレールは、管理アカウント (このアカウントでワークロードを実行しない理由の 1 つ) を除き、組織のアカウント内のプリンシパルに適用されます。を OU SCPにアタッチすると、OU の子アカウントOUsとアカウントによって継承されます。 はアクセス許可を付与SCPsしません。代わりに、AWS組織、OU、またはアカウントの最大アクセス許可SCPsを指定します。AWS アカウントのプリンシパルやリソースに実際にアクセス許可を付与するには、依然として アイデンティティベースのポリシーまたはリソースベースのポリシー をアタッチする必要があります。例えば、 がすべての Amazon S3 へのアクセスSCPを拒否した場合、 の影響を受けるプリンシパルSCPは、 IAMポリシーを通じて明示的にアクセスが許可されていても Amazon S3 にアクセスできません。IAM ポリシーの評価方法、 のロールSCPs、およびアクセスが最終的に許可または拒否される方法の詳細については、 IAMドキュメントの「 ポリシーの評価ロジック」を参照してください。 

AWS Control Tower では、複数のアカウントを簡単に設定および管理できます。これにより、AWS 組織でのアカウント設定、プロビジョニングの自動化、ガードレール (予防・検出制御を含む) の適用、可視化のためのダッシュボードを提供します。追加のIAM管理ポリシーであるアクセス許可の境界は、特定のIAMエンティティ (ユーザーまたはロール) にアタッチされ、アイデンティティベースのポリシーがIAMエンティティに付与できるアクセス許可の上限を設定します。

AWS Organizations は、すべてのアカウントに適用されるAWSサービスを設定するのに役立ちます。たとえば、AWS CloudTrailを使用して AWS 組織全体で実行されるすべてのアクションの中央ロギングを設定し、メンバーアカウントがログを無効化しないようにします。また、AWSConfig を使用して定義したルールのデータを一元的に集約できるため、ワークロードのコンプライアンスを監査し、変更に迅速に対応できます。AWS CloudFormation StackSets を使用して、アカウント間およびAWS組織OUs内のAWS CloudFormation スタックを一元管理できるため、セキュリティ要件を満たすために新しいアカウントを自動的にプロビジョニングできます。 

AWS Organizations のデフォルト設定では、拒否リストSCPsとしての の使用がサポートされています。拒否リスト戦略を使用することで、メンバーアカウント管理者は、特定のサービスまたは一連のアクションを拒否SCPする を作成してアタッチするまで、すべてのサービスとアクションを委任できます。拒否ステートメントは、AWS が新しいサービスを追加するときに更新する必要がないため、許可リストよりもメンテナンスが少なくて済みます。拒否ステートメントは通常、文字長が短いため、 の最大サイズ内に収まる方が簡単ですSCPs。Effect 要素の値が であるステートメントではDeny、特定のリソースへのアクセスを制限したり、 が有効SCPsになる条件を定義したりすることもできます。対照的に、 の Allow ステートメントはすべてのリソース ("*") SCPに適用され、条件によって制限することはできません。詳細と例については、AWSOrganizations ドキュメントの「 を使用する戦略SCPs」を参照してください。

設計上の考慮事項

  • または、許可リストSCPsとして を使用するには、 AWS管理の を、許可するサービスとアクションのみをFullAWSAccessSCPSCP明示的に許可する に置き換える必要があります。指定されたアカウントに対してアクセス許可を有効にするには、すべての SCP (ルートからアカウントへの直接パス内の各 OU を経由し、アカウント自体にアタッチする) がそのアクセス許可を許可する必要があります。このモデルは本質的により制限的であり、規制が厳しく機密性の高いワークロードに適している可能性があります。このアプローチでは、AWSアカウントから OU へのパス内のすべてのIAMサービスまたはアクションを明示的に許可する必要があります。

  • 理想的には、拒否リストと許可リスト戦略の組み合わせを使用します。許可リストを使用して、AWS組織内で使用が承認された許可されたAWSサービスのリストを定義し、AWSこれを組織のルートSCPにアタッチします。開発環境ごとに異なる一連のサービスが許可されている場合は、各 OU SCPs にそれぞれの をアタッチします。その後、拒否リストを使用して、特定のIAMアクションを明示的に拒否することで、エンタープライズガードレールを定義できます。