アカウント全体構成
本サイトは Classmethod Cloud Guidebook (CCG) のデモサイトです
デモサイトのため、実際の内容と相違がある点にご留意ください。
クラスメソッドメンバーズをご契約中のお客様は下記リンクからアクセスください。
Classmethod Cloud Guidebook
AWSアカウントの全体構成とアカウント分割方針を記載します。
リファレンスを参考に次の内容を検討します。
- AWS Organizations、および、AWS Control Towerの利用有無
- 利用する場合はOU設計方針
- 共用アカウントの構成
- Jumpアカウント、Log Archivesアカウント、Auditアカウント
- クラスメソッドメンバーズの組織、プロジェクトの分割ルール
リファレンス
AWSアカウントベースラインTips
(デモ版では閲覧できません)
クラスメソッドメンバーズFAQ
サンプル - 1
Note
AWS Organizations を利用している場合のサンプルです
AWSアカウントの管理は、AWS Organizationsを用いて次のOU構成で管理する。 Infrastructure OUおよびWorkloads OUは開発、ステージング、本番環境に分けてOUを作成し、異なるSCPで利用制限を行う。
| 第一階層OU | 用途 | AWSアカウント利用者 |
|---|---|---|
| Security | CloudTrail, Configのログ集約 Security Hub, GuardDutyのイベント集約 |
AWS全体管理者・担当者 セキュリティ担当者 |
| Infrastructure | 共通インフラの構築 開発、ステージング、本番環境でOUを分割 |
AWS全体管理者・担当者 |
| Workload | 個別システムの構築 開発、ステージング、本番環境でOUを分割 |
プロジェクト管理者・担当者 |
アカウント命名規則
AWS Organizationsで管理するアカウントの命名規則は次の通りとする。
- Security OUの命名規則
{OU名}-{プロジェクト名}- 各要素において、先頭アルファベットを大文字として2文字目以降を小文字とする
- Infrastructure, Workload OUの命名規則
{OU名}-{環境 (Prod/Stg/Dev)}-{プロジェクト名}- 各要素において、先頭アルファベットを大文字として2文字目以降を小文字とする
アカウントの命名例を示す。
- Security-Audit
- Infrastructure-Prod-Network
- Workload-Dev-Alpha
サンプル - 2
Note
AWS Organizations を利用していない場合のサンプルです
AWS全体管理者が管理する共用アカウントと各プロジェクトのアカウントの構成を示す。
| アカウント名 | 管理責任者 | 用途 |
|---|---|---|
| Project Account | プロジェクト管理者 | 個別システムの構築 アカウント分割方針に従う |
| Jump Account | AWS全体管理者 | IAMユーザーを一元管理 |
| Log Archive Account | AWS全体管理者 | ログ保管を目的として次のログを集約 ・AWS CloudTrail イベントログ ・AWS Config Snapshot ・Amazon GuardDuty ログ |
| Security Account(Audit Account) | AWS全体管理者 | 監査を目的として次のサービスを管理 ・AWS Security Hub ・Amazon GuardDuty ・AWS Config Rules |
アカウント分割方針
プロジェクト管理者が管理する各プロジェクトのAWSアカウントは次の単位で分割する。
- 各システム単位でアカウントを分割すること
- 本番、ステージング、開発/検証環境で分割すること