この AWS ソリューション実装では、どのようなことが可能ですか?
AWS Landing Zone は、AWS のベストプラクティスに基づいて、セキュアなマルチアカウントの AWS 環境を顧客がより迅速に設定できるようにするソリューションです。設計の選択肢が数多くある場合、マルチアカウント環境を設定すると、時間がかかり、マルチアカウントとサービスの設定が必要となるだけでなく、AWS のサービスの深い理解が不可欠となる場合があります。
このソリューションでは、セキュアでスケーラブルなワークロードで実行する環境セットアップを自動化する一方で、コアアカウントとリソースの作成を介して初期セキュリティベースラインを実装します。さらに、マルチアカウントアーキテクチャ、ID およびアクセス管理、ガバナンス、データセキュリティ、ネットワーク設計、ログ作成を開始するためのベースライン環境も提供します。
このソリューションでは、最新の Node.js ランタイムを使用しています。バージョン 2.3 は、Node.js 8.10 ランタイムを使用していますが、2019 年 12 月 31 日にサポートが終了します。最新バージョンにアップグレードするには、スタックを更新できます。
AWS Landing Zone
バージョン 2.4
最終更新日: 2020 年 5 月
筆者: AWS
このソリューションは AWS ソリューションアーキテクトまたはプロフェッショナルサービスコンサルタントが提供するものです。これで、AWS アカウント、ネットワーク、セキュリティポリシーのカスタマイズ済みベースラインを作成します。
AWS ソリューション実装の概要
AWS Landing Zone は AWS Account Vending Machine (AVM) 製品をデプロイして、新規アカウントをプロビジョニングし自動的に設定します 。AVM は AWS Single Sign-On (SSO) を活用し、ユーザーアカウントアクセスを管理します。この環境はカスタマイズが可能で、顧客が Landing Zone の設定を通じて独自のアカウントベースラインを実装したり、パイプラインを更新したりが可能となります。
-
マルチアカウントの構造
-
Account Vending Machine
-
ユーザーアクセス
-
通知
-
マルチアカウントの構造
-
AWS Landing Zone ソリューションには、4 つのアカウントだけでなく、一元管理型ログソリューションや AWS SSO 用 AWS Managed AD および Directory Connector などの AWS Service Catalog を使用してデプロイできるアドオン製品が含まれています。
AWS Organization アカウント
AWS Landing Zone は AWS Organizations アカウントにデプロイされます。このアカウントは、AWS Landing Zone マネージドアカウントの設定とアクセスを管理するのに使用します。AWS Organizations アカウントには、メンバーアカウントを作成したり、財政的な管理を行う機能があります。機能の中には、AWS Landing Zone 設定の Amazon Simple Storage Service (Amazon S3) バケットとパイプライン、アカウント設定 StackSets、AWS Organizations サービスコントロールポリシー (SCPs)、AWS Single Sign-On (SSO) 設定が含まれます。
共有サービスアカウント
共有サービスアカウントは、ディレクトリサービスなどのインフラストラクチャ共有サービスを作成するためのリファレンスです。デフォルトでは、このアカウントは共有 Amazon Virtual Private Cloud (Amazon VPC) で AWS SSO 統合用 AWS Managed Active Directory をホストしています。そのため、Account Vending Machine (AVM) が作成した新しい AWS アカウントと自動的にピアリングさせることができます。
ログアーカイブアカウント
ログアーカイブアカウントで中央 Amazon S3 バケットを作成し、ログアーカイブアカウント内の AWS CloudTrail と AWS Config のすべてのログファイルのコピーを保存します。
セキュリティアカウント
セキュリティアカウントは、監査人 (読み取りのみ) と管理者 (フルアクセス) のクロスアカウントロールを、セキュリティアカウントから AWS Landing Zone が管理するすべてのアカウントに作成します。これらのロールは、会社のセキュリティとコンプライアンスチームが使用し、インシデント発生時の緊急セキュリティオペレーションを監査または実行するためのものです。
このアカウントは、マスター Amazon GuardDuty アカウントとしても指定されています。マスターアカウントのユーザーは、GuardDuty を設定したり、自分のアカウントとすべてのメンバーアカウントの GuardDuty の結果を表示および管理したりが可能です。
-
Account Vending Machine
-
Account Vending Machine (AVM) は AWS Landing Zone の主要なコンポーネントです。AVM は AWS Service Catalog 製品として提供されています。これで、アカウントのセキュリティベースラインと定義済みネットワークで事前に設定した組織単位 (OU) に、新しい AWS アカウントを作成できます。
AWS Landing Zone は AWS Service Catalog を活用して、AWS Landing Zone 製品を作成および管理するためのアクセス許可と、AVM 製品を起動および管理するためのエンドユーザーのアクセス許可を管理者に付与します。
AVM は起動制約を使うと、エンドユーザーはアカウント管理者のアクセス許可なしで、新しいアカウントを作成できます。
-
ユーザーアクセス
-
AWS アカウントへ個々のユーザーが最低限の特権でアクセスできることは、AWS アカウント管理において重要かつ基本的なコンポーネントの一つです。AWS Landing Zone ソリューションでは、ユーザーとグループを保存するための 2 つのオプションをユーザーに提供しています。
AWS SSO ディレクトリを使用した SSO
デフォルトの設定では、ユーザーとグループを SSO で管理できる AWS SSO ディレクトリを使用して、AWS Single Sign-On (SSO) をデプロイします。
これで、シングルサインオンエンドポイントが作成され、フェデレーションユーザーが AWS アカウントにアクセスできるようになります。
-
通知
-
AWS Landing Zone ソリューションは、Amazon CloudWatch のアラートとイベントを設定して、ルートアカウントログイン、コンソールサインインの失敗、API 認証の失敗、次のようなアカウント内の変更 (セキュリティグループ、ネットワーク ACL、Amazon VPC ゲートウェイ、ピアリング接続、ClassicLink、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの状態、大規模な Amazon EC2 インスタンスの状態、AWS CloudTrail、AWS Identity and Access Management (IAM) ポリシー、AWS Config ルールのコンプライアンスの状態) に関する通知を送信します。
このソリューションは各アカウントを設定して、ローカルの Amazon Simple Notification Service (Amazon SNS) トピックに通知を送信します。
すべての設定イベントのトピックでは、あらゆるマネージドアカウントからの AWS CloudTrail 通知と AWS Config 通知を集約します。
集約セキュリティ通知トピックでは、特定の Amazon CloudWatch イベント、AWS Config ルールのコンプライアンス状態の変更イベント、AWS GuardDuty の調査結果からセキュリティ通知を集約します。
AWS Lambda 機能はセキュリティ通知トピックに自動的にサブスクライブされ、すべての通知を AWS Organizations アカウントの Amazon SNS 集約トピックに転送します。
このアーキテクチャは、ローカル管理者が特定のアカウント通知を登録すると受信できるように設計されています。
セキュリティベースライン
AWS Landing Zone ソリューションには、初期セキュリティベースラインが含まれています。これは、組織のカスタマイズ済みアカウントのセキュリティベースラインを確立および実装するための最初の一歩として使用できます。デフォルトの初期セキュリティベースラインには、次の設定が含まれています。
