SRA ビルディングブロック — AWS Organizations、アカウント、ガードレール - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SRA ビルディングブロック — AWS Organizations、アカウント、ガードレール

簡単なアンケートを実施して、AWSセキュリティリファレンスアーキテクチャ (AWSSRA) のfuture に影響を与えましょう。

AWS のセキュリティサービス、その制御、およびインタラクションは、AWS のマルチアカウント戦略と ID とアクセス管理のガードレールを基盤として採用するのが最適です。これらのガードレールは、最小権限、職務分離、プライバシーの実装を可能にし、必要な統制の種類、各セキュリティサービスの管理場所、AWS SRA でのデータや権限の共有方法に関する決定をサポートします。 

AWS アカウントは、AWS リソースのセキュリティ、アクセス、請求範囲を提供し、リソースの独立性と分離を実現できるようにします。複数の AWS アカウントを使用することは、セキュリティ要件を満たす上で重要な役割を果たします。これは、「複数のアカウントを使用して AWS 環境を整理する」ホワイトペーパーの「複数の AWS アカウントを使用する利点」セクションで説明されています。たとえば、企業の報告構造を反映させるのではなく、機能、コンプライアンス要件、または共通の統制に基づいて、ワークロードを組織単位 (OU) 内の個別のアカウントやグループアカウントに整理できます。セキュリティとインフラストラクチャを念頭に置いて、ワークロードの拡大に合わせて企業が共通のガードレールを設定できるようにします。このアプローチでは、ワークロード間の明確な境界と制御が可能になります。アカウントレベルの分離を AWS Organizations と組み合わせて使用することで、本番環境を開発環境やテスト環境から分離したり、クレジットカード業界データセキュリティ基準 (PCI DSS) やHealth 保険の相互運用性と説明責任に関する法律 (HIPAA) などの異なる分類のデータを処理するワークロードを強固に論理的に区別したりします。AWS への移行は 1 つのアカウントから始めることもできますが、ワークロードの規模と複雑さが増すにつれて、複数のアカウントを設定することをお勧めします。 

権限により、AWS リソースへのアクセスを指定できます。アクセス許可は、プリンシパル (ユーザー、グループ、ロール) として知られる IAM エンティティに付与されます。デフォルトでは、プリンシパルはアクセス許可なしで始まります。IAM エンティティは、アクセス権限を付与するまで AWS では何もできません。また、AWS 組織全体に適用されるガードレールを設定することも、プリンシパル、アクション、リソース、条件の個々の組み合わせのようにきめ細かく適用することもできます。