SEC03-BP08 組織内でリソースを安全に共有する - AWS Well-Architected フレームワーク
実装のガイダンスリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SEC03-BP08 組織内でリソースを安全に共有する

ワークロードが増えるにつれて、それらのワークロードのリソースへのアクセスを共有したり、複数のアカウントでリソースを複数回プロビジョニングしたりする必要が生じます。開発環境、テスト環境、本番環境などの環境を区分けするための構造があるかもしれません。ただし、分離構造があっても、安全に共有する能力は制限されるわけではありません。重複するコンポーネントを共有することにより、運用諸経費を削減し、同一リソースを複数回作成する間に見逃したものを推測しなくても、一貫したエクスペリエンスを実現できます。

期待される成果: 安全な方法を使用して組織内でリソースを共有し、データ損失防止イニシアチブを支援することで、意図しないアクセスを最小限に抑えます。個々のコンポーネントを管理するのと比較して、運用諸経費を削減し、同じコンポーネントを何度も手動で作成することによるエラーを減らし、ワークロードのスケーラビリティを向上させることができます。削減できた時間を活用して、マルチポイント障害シナリオを解決し、自信を持ってコンポーネントが不要になるときを判断できるようになります。外部共有リソースの分析に関する規範ガイダンスについては、「SEC03-BP07 パブリックアクセスとクロスアカウントアクセスを分析する」を参照してください。

一般的なアンチパターン:

  • 継続的にモニタリングして、予定外の外部共有が生じたときに自動的にアラートを発動するプロセスがない。

  • 共有すべき/すべきでない内容に関する基準がない。

  • 必要な時点で明示的に共有するのではなく、広く開かれたポリシーをデフォルトとしている。

  • 必要に応じて重複する基本的リソースを手動で作成する。

このベストプラクティスを活用しない場合のリスクレベル:

実装のガイダンス

アクセスコントロールとパターンを構築し、信頼できるエンティティとのみ共有リソースの消費を安全に管理します。共有リソースをモニタリングして、継続的に共有リソースアクセスをレビューし、不適切なまたは予想外の共有があればアラートを発動します。「パブリックおよびクロスアカウントアクセスの分析」を確認し、ガバナンスを確立して、外部アクセスを必要なリソースのみに減らします。また、継続的かつ自動的にアラートをモニタリングするプロセスを確立します。

内のクロスアカウント共有 AWS Organizations は、AWS Security HubAmazon GuardDuty 、 などの多数の AWS サービスでサポートされていますAWS Backup。これらのサービスを使用すると、中央アカウントでデータを共有し、中央アカウントからアクセス可能、あるいは中央アカウントからリソースとデータを管理できます。例えば、 AWS Security Hub は個々のアカウントから中央アカウントに検出結果を転送し、そこですべての検出結果を表示できます。 はリソースのバックアップを取り、アカウント間で共有 AWS Backup できます。AWS Resource Access Manager (AWS RAM) を使用して、VPCサブネットや Transit Gateway アタッチメントAWS Network FirewallAmazon SageMaker パイプライン などの他の一般的なリソースを共有できます。

アカウントが組織内のリソースのみを共有するように制限するには、サービスコントロールポリシー (SCPs) を使用して、外部プリンシパルへのアクセスを防止します。リソースを共有するときは、アイデンティティベースのコントロールとネットワークコントロールを組み合わせて組織のデータ境界を作成し、意図しないアクセスから保護します。データ境界とは、信頼できるアイデンティティのみが、期待されるネットワークから信頼できるリソースにアクセスするよう徹底するのに役立つ予防的な一連のガードレールです。これらのコントロールは、どのリソースが共有可能かについて適切な制限を設け、共有や公開が許可されるべきでないリソースについてはそれを禁止する必要があります。例えば、データ境界の一部として、VPCエンドポイントポリシーと AWS:PrincipalOrgId条件を使用して、Amazon S3 バケットにアクセスする ID が組織に属していることを確認することができます。SCPs サービスにリンクされたロールまたは AWS サービスプリンシパル には適用されないことに注意してください。

Amazon S3 を使用する場合は、Amazon S3 バケットACLsの をオフにし、IAMポリシーを使用してアクセスコントロールを定義します。Amazon CloudFront から Amazon S3 オリジンへのアクセスを制限するには、オリジンアクセスアイデンティティ (OAI) からオリジンアクセスコントロール (OAC) に移行します。これは、 によるサーバー側の暗号化などの追加機能をサポートしますAWS Key Management Service

場合によっては、組織外のリソースを共有したり、リソースにサードパーティーのアクセスを付与したりするかもしれません。外部でリソースを共有するアクセス許可を管理するための規範ガイダンスについては、「アクセス許可の管理」を参照してください。

実装手順

  1. を使用します AWS Organizations。

    AWS Organizations は、作成して一元管理している組織に複数の AWS アカウント を統合することができるアカウント管理サービスです。アカウントを組織単位 (OUs) にグループ化し、各 OU に異なるポリシーをアタッチすることで、予算、セキュリティ、コンプライアンスのニーズを満たすことができます。また、 AWS 人工知能 (AI) および機械学習 (ML) サービスがデータを収集および保存する方法を制御し、Organizations と統合された AWS サービスのマルチアカウント管理を使用することもできます。

  2. AWS サービスと統合 AWS Organizations します。

    AWS サービスを使用して組織のメンバーアカウントでユーザーに代わってタスクを実行すると、 は各メンバーアカウントにそのサービスのIAMサービスにリンクされたロール (SLR) AWS Organizations を作成します。信頼されたアクセスは、 AWS Management Console、、 AWS APIsまたは を使用して管理する必要があります AWS CLI。信頼されたアクセスを有効にするための規範的なガイダンスについては、「Organizations AWS Organizations で使用できる他の AWS のサービスおよび のサービスでの の使用」を参照してください。 AWS

  3. データ境界を確立する。

    AWS 境界は通常、 によって管理される組織として表されます AWS Organizations。オンプレミスのネットワークとシステムに加えて、 AWS リソースへのアクセスは、多くの人が My の境界と見なしています AWS。この境界の目標は、アイデンティティが信頼され、リソースが信頼され、そしてネットワークが予想されている場合にそのアクセスが許可されていることを検証することにあります。

    1. 境界を定義および実装します。

      各認可条件の AWS ホワイトペーパーの「境界の構築」の「境界実装」で説明されているステップに従います。ネットワークレイヤーの保護に関する規範ガイダンスについては、「ネットワークの保護」を参照してください。

    2. 継続的にモニタリングとアラートを行います。

      AWS Identity and Access Management Access Analyzer は、外部エンティティと共有されている組織とアカウントのリソースを識別するのに役立ちます。IAM Access Analyzer を と AWS Security Hub統合すると、リソースの検出結果を IAM Access Analyzer から Security Hub に送信して集計し、環境のセキュリティ体制の分析に役立てることができます。統合するには、各アカウントの各リージョンで IAM Access Analyzer と Security Hub の両方をオンにします。を使用して設定 AWS Config ルール を監査し、 AWS Chatbot を使用して AWS Security Hub適切な関係者に警告することもできます。その後、AWS Systems Manager オートメーションドキュメントを使用して、非準拠のリソースを修正できます。

    3. 外部で共有されているリソースを継続的にモニタリング、アラートするための規範ガイダンスについては、「パブリックおよびクロスアカウントアクセスの分析」を参照してください。

  4. AWS サービスでリソース共有を使用し、それに応じて制限します。

    多くの AWS サービスでは、リソースを別のアカウントと共有したり、Amazon Machine Images (AMIs)AWS Resource Access Manager (AWS RAM) などの別のアカウントのリソースをターゲットにしたりできます。を共有する信頼されたアカウントを指定するModifyImageAttributeAPIように を制限しますAMI。 AWS RAM を使用して組織への共有のみを制限し、信頼できない ID からのアクセスを防ぐ場合ram:RequestedAllowsExternalPrincipalsの条件を指定します。規範ガイダンスと考慮事項については、「リソース共有と外部ターゲット」を参照してください。

  5. を使用して AWS RAM 、アカウントまたは他の と安全に共有します AWS アカウント。

    AWS RAM は、作成したリソースをアカウント内のロールやユーザー、および他の AWS アカウントととも安全に共有することができます。マルチアカウント環境では、 AWS RAM によってリソースを 1 回作成し、他のアカウントと共有できます。このアプローチは、クロスアカウントアクセスを使用する場合に受信されない Amazon CloudWatch および との統合を通じて、運用上のオーバーヘッドを削減しながら、一貫性、可視性 AWS CloudTrail、監査可能性を提供します。

    リソースベースのポリシーを使用して以前に共有したリソースがある場合は、 PromoteResourceShareCreatedFromPolicyAPIまたは同等の を使用して、リソース共有を完全な AWS RAM リソース共有に昇格させることができます。

    場合によっては、リソースを共有するための追加ステップが必要かもしれません。例えば、暗号化されたスナップショットを共有するには、AWS KMS キー を共有する必要があります。

リソース

関連するベストプラクティス:

関連ドキュメント:

関連動画:

関連ツール: