AWS アカウントの管理と分離
当社では、組織のレポート構造を流用せずに、個別アカウントごとにワークロードを整理し、機能、コンプライアンス要件、共通のコントロールセットに基づいてアカウントをグループ化することを推奨しています。AWS では、アカウントが強固な境界となります。例えば、開発およびテストのワークロードと本番稼働ワークロードを切り離すために、アカウントレベルの分離を強くお勧めします。
アカウントを一元管理する: AWS Organizations は、AWS アカウントの作成と管理、および作成後のアカウントの制御を自動化します。AWS Organizations を使用してアカウントを作成する場合、使用する E メールアドレスを検討することが重要です。なぜならば、E メールアドレスがパスワードのリセットを許可するルートユーザーとなるためです。組織では、アカウントを組織単位 (OU) にグループ化し、ワークロードの要件と目的に基づいてさまざまな環境を表すことができます。
制御を一元的に設定する: 適切なレベルで特定のサービス、リージョン、サービスアクションのみを許可することで、AWS アカウントで実行できる内容を制御します。AWS Organizations では、サービスコントロールポリシー (SCP) を使用し、組織、組織単位、またはアカウント レベルで、すべての AWS Identity and Access Management
サービスとリソースを一元的に設定する: AWS Organizations は、すべてのアカウントに適用される AWSのサービス
セキュリティサービスの委任管理機能を使用して、管理に使用されるアカウントを組織の請求 (管理) アカウントから分離します。GuardDuty、Security Hub、AWS Config などのいくつかの AWS のサービスでは、管理機能に特定のアカウントを指定するなど、AWS Organizations との統合をサポートしています。