翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SEC01-BP01 アカウントを使用してワークロードを分離する
マルチアカウント戦略を取り、環境 (本番稼働、開発、テストなど) とワークロードの間に共通ガードレールを構成し、分離を確立します。アカウントレベルの分類は、セキュリティ、請求、アクセスのために強力な分離境界を提供するため、強く推奨されます。
期待される成果: クラウドオペレーション、関連しないワークロード、環境を別々のアカウントに分離し、クラウドインフラストラクチャ全体のセキュリティを強化するアカウント構造。
一般的なアンチパターン:
-
データ重要度レベルの異なる複数の無関係のワークロードを同一アカウントに配置する。
-
きちんと定義されていない組織単位 (OU) 構造。
このベストプラクティスを活用するメリット:
-
誤ってワークロードにアクセスした場合の影響範囲を軽減。
-
AWS サービス、リソース、リージョンへのアクセスの一元管理。
-
ポリシーとセキュリティサービスの一元管理により、クラウドインフラストラクチャのセキュリティを維持する。
-
アカウント作成とメンテナンスプロセスの自動化。
-
コンプライアンスや規制要件に対応した、インフラストラクチャの集中監査。
このベストプラクティスを活用しない場合のリスクレベル: 高
実装のガイダンス
AWS アカウント は、異なる機密性レベルで運用されるワークロードまたはリソース間のセキュリティ分離境界を提供します。 は、この分離境界を活用するためのマルチアカウント戦略を通じてクラウドワークロードを大規模に管理するためのツール AWS を提供します。でのマルチアカウント戦略の概念、パターン、実装に関するガイダンスについては AWS、「複数のアカウントを使用して AWS 環境を整理する」を参照してください。
複数の を一元管理 AWS アカウント している場合、アカウントは組織単位のレイヤー () で定義される階層に整理する必要がありますOUs。その後、セキュリティコントロールを整理して OUs およびメンバーアカウントに適用し、組織内のメンバーアカウントに対して一貫した予防的コントロールを確立できます。セキュリティ管理は継承されるため、OU 階層の下位レベルにあるメンバーアカウントに対するアクセス許可をフィルタリングすることができます。優れた設計では継承を利用して、各メンバーアカウントに対して望ましいセキュリティ管理を達成するのに必要なセキュリティポリシーの件数と複雑性を軽減します。
AWS Organizations と AWS Control Towerは、このマルチアカウント構造を AWS 環境に実装および管理するために使用できる 2 つのサービスです。 AWS Organizations では、アカウントを 1 つ以上のレイヤーで定義された階層に整理しOUs、各 OU に多数のメンバーアカウントを含めることができます。サービスコントロールポリシー (SCPs) を使用すると、組織管理者はメンバーアカウントに対してきめ細かな予防的コントロールを確立でき、メンバーアカウントに対してプロアクティブおよび検出的コントロールを確立AWS Configするために使用できます。多くの AWS サービスは と統合 AWS Organizationsされ、委任された管理コントロールを提供し、組織内のすべてのメンバーアカウントでサービス固有のタスクを実行します。
の上にレイヤー化され AWS Organizations、ランディングゾーン を持つマルチアカウント AWS 環境のワンクリックのベストプラクティスセットアップAWS Control Towerを提供します。ランディングゾーンは、Control Tower によって確立されるマルチアカウント環境への入口です。Control Tower には、 AWS Organizationsよりもいくつかの利点
-
組織に対して承認されたアカウントに自動適用される、統合された必須のセキュリティコントロール。
-
特定の のセットに対してオンまたはオフにできるオプションのコントロールOUs。
-
AWS Control Tower Account Factory は、組織内で事前に承認されたベースラインと設定オプションを含むアカウントの自動デプロイを提供します。
実装手順
-
組織単位構造の設計: 適切に設計された組織単位構造により、サービスコントロールポリシーやその他のセキュリティコントロールの作成と維持に必要な管理負担が軽減されます。組織単位の構造は、ビジネスニーズ、データ機密性、ワークロード構造と整合
させる必要があります。 -
マルチアカウント環境のランディングゾーンを作成する: ランディングゾーンは、組織がワークロードを迅速に開発、起動、デプロイできる一貫したセキュリティとインフラストラクチャの基盤を提供します。カスタム構築のランディングゾーンまたは AWS Control Tower を使用して、環境をオーケストレーションできます。
-
ガードレールの確立: ランディングゾーンを通して環境に一貫したセキュリティガードレールを実装します。 AWS Control Tower には、デプロイできる一連の必須およびオプションのコントロールが用意されています。必須コントロールは、Control Tower 実装時に自動的にデプロイされます。強く推奨されたコントロールとオプションのコントロールのリストを確認し、ニーズに適したコントロールを実装します。
-
新しく追加されたリージョンへのアクセスを制限する: 新しい の場合 AWS リージョン、ユーザーやロールなどのIAMリソースは、指定したリージョンにのみ伝達されます。このアクションは、Control Tower を使用する場合、または でアクセス許可ポリシーを調整することで、コンソールから実行できます。 IAM AWS Organizations
-
CloudFormation StackSets:ポリシー AWS IAM、ロール、グループなどのリソースを、承認されたテンプレートから異なる AWS アカウント および リージョンにデプロイする StackSets のに役立ちます。
リソース
関連するベストプラクティス:
関連ドキュメント:
関連動画:
関連するワークショップ: