コンテンツにスキップ

アカウント全体構成

本サイトは Classmethod Cloud Guidebook (CCG) のデモサイトです

デモサイトのため、実際の内容と相違がある点にご留意ください。
クラスメソッドメンバーズをご契約中のお客様は下記リンクからアクセスください。
Classmethod Cloud Guidebook

AWSアカウントの全体構成とアカウント分割方針を記載します。

リファレンスを参考に次の内容を検討します。

  • AWS Organizations、および、AWS Control Towerの利用有無
    • 利用する場合はOU設計方針
  • 共用アカウントの構成
    • Jumpアカウント、Log Archivesアカウント、Auditアカウント
  • クラスメソッドメンバーズの組織、プロジェクトの分割ルール

リファレンス

組織管理ガイド

(デモ版では閲覧できません)

クラスメソッドメンバーズポータルユーザーガイド

(デモ版では閲覧できません)

サンプル - 1

Note

AWS Organizations を利用している場合のサンプルです

AWSアカウントの管理は、AWS Organizationsを用いて次のOU構成で管理する。 Infrastructure OUおよびWorkloads OUは開発、ステージング、本番環境に分けてOUを作成し、異なるSCPで利用制限を行う。

AWS Organizationsの構成

第一階層OU 用途 AWSアカウント利用者
Security CloudTrail, Configのログ集約
Security Hub, GuardDutyのイベント集約
AWS全体管理者・担当者
セキュリティ担当者
Infrastructure 共通インフラの構築
開発、ステージング、本番環境でOUを分割
AWS全体管理者・担当者
Workload 個別システムの構築
開発、ステージング、本番環境でOUを分割
プロジェクト管理者・担当者

アカウント命名規則

AWS Organizationsで管理するアカウントの命名規則は次の通りとする。

  • Security OUの命名規則
    • {OU名}-{プロジェクト名}
    • 各要素において、先頭アルファベットを大文字として2文字目以降を小文字とする
  • Infrastructure, Workloads OUの命名規則
    • {OU名}-{環境 (Prod/Stg/Dev)}-{プロジェクト名}
    • 各要素において、先頭アルファベットを大文字として2文字目以降を小文字とする

アカウントの命名例を示す。

  • Security-Audit
  • Infrastructure-Prod-Network
  • Workloads-Dev-Alpha

サンプル - 2

Note

AWS Organizations を利用していない場合のサンプルです

AWS全体管理者が管理する共用アカウントと各プロジェクトのアカウントの構成を示す。

AWSアカウントの構成

アカウント名 管理責任者 用途
Project Account プロジェクト管理者 個別システムの構築
アカウント分割方針に従う
Jump Account AWS全体管理者 IAMユーザーを一元管理
Log Archive Account AWS全体管理者 ログ保管を目的として次のログを集約
・AWS CloudTrail イベントログ
・AWS Config Snapshot
・Amazon GuardDuty ログ
Security Account(Audit Account) AWS全体管理者 監査を目的として次のサービスを管理
・AWS Security Hub
・Amazon GuardDuty
・AWS Config Rules

アカウント分割方針

プロジェクト管理者が管理する各プロジェクトのAWSアカウントは次の単位で分割する。

  • 各システム単位でアカウントを分割すること
  • 本番、ステージング、開発/検証環境で分割すること