この AWS ソリューション実装では、どのようなことが可能ですか?

AWS Landing Zone は、AWS のベストプラクティスに基づいて、セキュアなマルチアカウントの AWS 環境を顧客がより迅速に設定できるようにするソリューションです。設計の選択肢が数多くある場合、マルチアカウント環境を設定すると、時間がかかり、マルチアカウントとサービスの設定が必要となるだけでなく、AWS のサービスの深い理解が不可欠となる場合があります。

このソリューションでは、セキュアでスケーラブルなワークロードで実行する環境セットアップを自動化する一方で、コアアカウントとリソースの作成を介して初期セキュリティベースラインを実装します。さらに、マルチアカウントアーキテクチャ、ID およびアクセス管理、ガバナンス、データセキュリティ、ネットワーク設計、ログ作成を開始するためのベースライン環境も提供します。

このソリューションでは、最新の Node.js ランタイムを使用しています。バージョン 2.3 は、Node.js 8.10 ランタイムを使用していますが、2019 年 12 月 31 日にサポートが終了します。最新バージョンにアップグレードするには、スタックを更新できます。 

AWS Landing Zone

バージョン 2.4
最終更新日: 2020 年 5 月
筆者: AWS

このソリューションは AWS ソリューションアーキテクトまたはプロフェッショナルサービスコンサルタントが提供するものです。これで、AWS アカウント、ネットワーク、セキュリティポリシーのカスタマイズ済みベースラインを作成します。

下のボタンをクリックして、ソリューションの更新を登録してください。

注: RSS 更新を購読するには、使用しているブラウザで RSS プラグインを有効にする必要があります。 

AWS ソリューション実装の概要

AWS Landing Zone は AWS Account Vending Machine (AVM) 製品をデプロイして、新規アカウントをプロビジョニングし自動的に設定します 。AVM は AWS Single Sign-On (SSO) を活用し、ユーザーアカウントアクセスを管理します。この環境はカスタマイズが可能で、顧客が Landing Zone の設定を通じて独自のアカウントベースラインを実装したり、パイプラインを更新したりが可能となります。

  • マルチアカウントの構造
  • Account Vending Machine
  • ユーザーアクセス
  • 通知
  • マルチアカウントの構造
  • AWS Landing Zone ソリューションには、4 つのアカウントだけでなく、一元管理型ログソリューションや AWS SSO 用 AWS Managed AD および Directory Connector などの AWS Service Catalog を使用してデプロイできるアドオン製品が含まれています。

    aws-landing-zone-architecture
     クリックして拡大する
    AWS Organization アカウント

    AWS Landing Zone は AWS Organizations アカウントにデプロイされます。このアカウントは、AWS Landing Zone マネージドアカウントの設定とアクセスを管理するのに使用します。AWS Organizations アカウントには、メンバーアカウントを作成したり、財政的な管理を行う機能があります。機能の中には、AWS Landing Zone 設定の Amazon Simple Storage Service (Amazon S3) バケットとパイプライン、アカウント設定 StackSets、AWS Organizations サービスコントロールポリシー (SCPs)、AWS Single Sign-On (SSO) 設定が含まれます。

    共有サービスアカウント

    共有サービスアカウントは、ディレクトリサービスなどのインフラストラクチャ共有サービスを作成するためのリファレンスです。デフォルトでは、このアカウントは共有 Amazon Virtual Private Cloud (Amazon VPC) で AWS SSO 統合用 AWS Managed Active Directory をホストしています。そのため、Account Vending Machine (AVM) が作成した新しい AWS アカウントと自動的にピアリングさせることができます。

    ログアーカイブアカウント

    ログアーカイブアカウントで中央 Amazon S3 バケットを作成し、ログアーカイブアカウント内の AWS CloudTrail と AWS Config のすべてのログファイルのコピーを保存します。

    セキュリティアカウント

    セキュリティアカウントは、監査人 (読み取りのみ) と管理者 (フルアクセス) のクロスアカウントロールを、セキュリティアカウントから AWS Landing Zone が管理するすべてのアカウントに作成します。これらのロールは、会社のセキュリティとコンプライアンスチームが使用し、インシデント発生時の緊急セキュリティオペレーションを監査または実行するためのものです。

    このアカウントは、マスター Amazon GuardDuty アカウントとしても指定されています。マスターアカウントのユーザーは、GuardDuty を設定したり、自分のアカウントとすべてのメンバーアカウントの GuardDuty の結果を表示および管理したりが可能です。

  • Account Vending Machine
  • Account Vending Machine (AVM) は AWS Landing Zone の主要なコンポーネントです。AVM は AWS Service Catalog 製品として提供されています。これで、アカウントのセキュリティベースラインと定義済みネットワークで事前に設定した組織単位 (OU) に、新しい AWS アカウントを作成できます。

    aws-landing-zone-account-vending-machine
     クリックして拡大する

    AWS Landing Zone は AWS Service Catalog を活用して、AWS Landing Zone 製品を作成および管理するためのアクセス許可と、AVM 製品を起動および管理するためのエンドユーザーのアクセス許可を管理者に付与します。

    AVM は起動制約を使うと、エンドユーザーはアカウント管理者のアクセス許可なしで、新しいアカウントを作成できます。

  • ユーザーアクセス
  • AWS アカウントへ個々のユーザーが最低限の特権でアクセスできることは、AWS アカウント管理において重要かつ基本的なコンポーネントの一つです。AWS Landing Zone ソリューションでは、ユーザーとグループを保存するための 2 つのオプションをユーザーに提供しています。

    aws-landing-zone-user-access
     クリックして拡大する
    AWS SSO ディレクトリを使用した SSO

    デフォルトの設定では、ユーザーとグループを SSO で管理できる AWS SSO ディレクトリを使用して、AWS Single Sign-On (SSO) をデプロイします。

    これで、シングルサインオンエンドポイントが作成され、フェデレーションユーザーが AWS アカウントにアクセスできるようになります。

  • 通知
  • AWS Landing Zone ソリューションは、Amazon CloudWatch のアラートとイベントを設定して、ルートアカウントログイン、コンソールサインインの失敗、API 認証の失敗、次のようなアカウント内の変更 (セキュリティグループ、ネットワーク ACL、Amazon VPC ゲートウェイ、ピアリング接続、ClassicLink、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの状態、大規模な Amazon EC2 インスタンスの状態、AWS CloudTrail、AWS Identity and Access Management (IAM) ポリシー、AWS Config ルールのコンプライアンスの状態) に関する通知を送信します。

    aws-landing-zone-notifications
     クリックして拡大する

    このソリューションは各アカウントを設定して、ローカルの Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信します。

    すべての設定イベントのトピックでは、あらゆるマネージドアカウントからの AWS CloudTrail 通知と AWS Config 通知を集約します。

    集約セキュリティ通知トピックでは、特定の Amazon CloudWatch イベント、AWS Config ルールのコンプライアンス状態の変更イベント、AWS GuardDuty の調査結果からセキュリティ通知を集約します。

    AWS Lambda 機能はセキュリティ通知トピックに自動的にサブスクライブされ、すべての通知を AWS Organizations アカウントの Amazon SNS 集約トピックに転送します。

    このアーキテクチャは、ローカル管理者が特定のアカウント通知を登録すると受信できるように設計されています。

セキュリティベースライン

AWS Landing Zone ソリューションには、初期セキュリティベースラインが含まれています。これは、組織のカスタマイズ済みアカウントのセキュリティベースラインを確立および実装するための最初の一歩として使用できます。デフォルトの初期セキュリティベースラインには、次の設定が含まれています。

AWS CloudTrail

各アカウントで 1 つの CloudTrail 証跡を作成し、ログアーカイブアカウントの一元管理型 Amazon Simple Storage Service (Amazon S3) バケットにログを送信し、ローカルオペレーションにはローカルアカウントの AWS CloudWatch Logs にログを送信するように (14 日間ロググループ保持ポリシーで) 設定します。

AWS Config

AWS Config が有効になると、アカウント設定ログファイルはログアーカイブアカウントの一元管理型の Amazon S3 バケットに保存されます。

AWS Config ルール

AWS Config ルールは、ストレージ暗号化 (Amazon Elastic Block Store、Amazon S3、Amazon Relational Database Service)、AWS Identity and Access Management (IAM) パスワードポリシー、ルートアカウント多要素認証 (MFA)、Amazon S3 のパブリックでの読み書き、安全でないセキュリティグループルールのモニタリングに対応しています。

AWS Identity and Access Management

AWS Identity and Access Management (IAM) は、IAM パスワードポリシーの設定に使用します。

クロスアカウントアクセス

クロスアカウントアクセスは、監査やセキュリティアカウントから AWS Landing Zone アカウントへの緊急セキュリティ管理アクセスの設定に使用します。

Amazon Virtual Private Cloud (VPC)

Amazon VPC で、アカウントの初期ネットワークを設定します。これには、すべてのリージョンでのデフォルトの VPC の削除、AVM リクエスト済みネットワークタイプのデプロイ、該当する場合での共有サービス VPC とのネットワークピアリングが含まれます。

AWS Landing Zone 通知

Amazon CloudWatch のアラームとイベントは、ルートアカウントログイン、コンソールサインインの失敗、アカウント内の API 認証の失敗時に通知を送信するように設定されています。

Amazon GuardDuty

Amazon GuardDuty はメンバーアカウントの GuardDuty の結果を表示および管理するように設定されています。
アイコンを作成する
自分でソリューションをデプロイする

よくみられるアーキテクチャ上の問題に関して答えを知るため、AWS ソリューション実装のライブラリを閲覧する。

詳細はこちら 
APN パートナーを見つける
APN パートナーを見つける

サービスの開始をサポートする AWS 認定コンサルティングパートナーとテクノロジーパートナーを見つけましょう。

詳細はこちら 
アイコンについて調べる
ソリューションコンサルティングサービスについて調べる

ソリューションをデプロイし、AWS により審査済みのサポートを受けるため、コンサルティングサービスのポートフォリオを閲覧する。

詳細はこちら