AWS アカウントの管理と分離 - セキュリティの柱

AWS アカウントの管理と分離

当社では、組織のレポート構造を流用せずに、個別アカウントごとにワークロードを整理し、機能、コンプライアンス要件、共通のコントロールセットに基づいてアカウントをグループ化することを推奨しています。AWS では、アカウントが強固な境界となります。例えば、開発およびテストのワークロードと本番稼働ワークロードを切り離すために、アカウントレベルの分離を強くお勧めします。

アカウントを一元管理する: AWS Organizations は、AWS アカウントの作成と管理、および作成後のアカウントの制御を自動化します。AWS Organizations を使用してアカウントを作成する場合、使用する E メールアドレスを検討することが重要です。なぜならば、E メールアドレスがパスワードのリセットを許可するルートユーザーとなるためです。組織では、アカウントを組織単位 (OU) にグループ化し、ワークロードの要件と目的に基づいてさまざまな環境を表すことができます。

制御を一元的に設定する: 適切なレベルで特定のサービス、リージョン、サービスアクションのみを許可することで、AWS アカウントで実行できる内容を制御します。AWS Organizations では、サービスコントロールポリシー (SCP) を使用し、組織、組織単位、またはアカウント レベルで、すべての AWS Identity and Access Management (IAM) ユーザーとロールに適用する、アクセス許可ガードレールを適用できます。例えば、SCP を適用して、明示的に許可されていないリージョン内のユーザーがリソースを起動することを制限できます。AWS Control Tower では、複数アカウントの効率的な設定と管理が可能です。これにより、AWS 組織内のアカウントの設定、プロビジョニングを自動化し、ガードレール (予防と検出を含む) を適用し、可視性のためのダッシュボードを提供します。

サービスとリソースを一元的に設定する: AWS Organizations は、すべてのアカウントに適用される AWSのサービスを設定するのに役立ちます。例えば、AWS CloudTrail を使用して、組織全体で実行されるすべてのアクションの中央ロギングを設定し、メンバーアカウントがロギングを無効化しないようにします。また、AWS Config を使用して、定義したルールのデータを一元的に集約することもできるため、ワークロードのコンプライアンスを監査して、変更に迅速に対応できます。AWS CloudFormationStackSets を使用すると、組織内の複数のアカウントと OU にまたがる AWS CloudFormation スタックを一元管理できます。これにより、新しいアカウントを自動的にプロビジョニングして、セキュリティ要件を満たすことができます。

セキュリティサービスの委任管理機能を使用して、管理に使用されるアカウントを組織の請求 (管理) アカウントから分離します。GuardDuty、Security Hub、AWS Config などのいくつかの AWS のサービスでは、管理機能に特定のアカウントを指定するなど、AWS Organizations との統合をサポートしています。