AWS ソリューションライブラリ

Landing Zone Accelerator on AWS

この AWS ソリューションの内容

Landing Zone Accelerator on AWS ソリューションは、AWS のベストプラクティスと複数のグローバルコンプライアンスフレームワークに合わせて設計されたクラウド基盤をデプロイします。このソリューションを使用すると、厳しい規制の対象となっているワークロードを処理し、複雑なコンプライアンス要件を満たす必要があるお客様は、マルチアカウント環境をより適切に管理および統制できます。他の AWS のサービスと連携して使用すると、35 以上の AWS のサービスで包括的なローコードソリューションを提供します。現在、このソリューションの使用に関する具体的な注意事項が記載されており、次の整合性をサポートしています。

米国 (US) 連邦政府および国防総省 (DoD) ガイダンス
英国 (UK) ナショナルサイバーセキュリティセンター (NCSC) ガイダンス
各地域のヘルスケアに関するガイダンス (例えば、1996 年医療保険の携行性と責任に関する法律 [HIPAA] など)

注: このソリューションだけで、コンプライアンスに準拠できるわけではありません。追加の無料ソリューションを統合できる基本的なインフラストラクチャを提供します。

利点

サポート

サポートプランに基づいて AWS サポートによってサポートされます。

オートメーション

安全なワークロードをホストするのに適したクラウド環境を自動的にセットアップします。このソリューションは、すべての AWS リージョンにデプロイすることができます。これは、AWS 標準リージョン、AWS GovCloud (米国)、および AWS の他の非標準パーティション全体でオペレーションとガバナンスの一貫性を維持するのに役立ちます。

データセキュリティ

データ分類に適した AWS リージョンにソリューションをデプロイし、Amazon Macie を使用して Amazon S3 内の機密データ検出を提供します。また、このソリューションは、AWS KMS を使用して一元管理された暗号化戦略をデプロイ、運用、および統制するのに役立ちます。

コンプライアンスの基盤

一元管理されたマルチアカウント環境において、ミッションクリティカルなワークロードをデプロイするための基盤インフラストラクチャを活用します。

AWS ソリューションの概要

下の図表は、このソリューションの実装ガイドと付属の AWS CloudFormation テンプレートを使用して、自動的にデプロイできるアーキテクチャを示しています。

Landing Zone Accelerator on AWS のアーキテクチャ

このソリューションには、マルチアカウント環境の管理アカウントとして使用するアカウントにデプロイする AWS CloudFormation テンプレートが含まれています。

AWS CloudFormation を使用して、ソリューションを環境にインストールします。お客様の環境は、ソリューションをデプロイする前に前提条件を満たしている必要があります。提供されている CloudFormation テンプレートは、Landing Zone Accelerator on AWS インストールエンジンを含む AWS CodePipeline をデプロイします。
インストーラーパイプラインは、ソリューションの Core 機能をデプロイします。このインストーラーは Core ソリューションのインフラストラクチャとは別に機能するため、AWS CloudFormation コンソールから 1 つのパラメータでソリューションの将来のバージョンに更新できます。
AWS CodeBuild プロジェクトは、Core AWSAccelerator-PipelineStack テンプレートとその関連する依存関係をデプロイするソリューションの AWS CDK アプリケーションを構築および実行するオーケストレーションエンジンとして機能します。
このソリューションでは、Amazon Simple Notification Service (Amazon SNS) トピックをデプロイし、コアパイプラインイベントに関するアラートを購読することができ、Core パイプラインの運用の観測性を向上させることができます。さらに、このソリューションでは、2 つの AWS Key Management Service (AWS KMS) 顧客管理キーをデプロイし、インストーラーパイプラインおよび Core パイプラインの依存関係の保存データの暗号化を管理します。
Core パイプラインは、入力を検証および合成し、AWS CDK で追加の CloudFormation スタックをデプロイします。aws-accelerator-config という名の AWS CodeCommit リポジトリには、このソリューションが使用する設定ファイルが保存されています。これらの設定ファイルは、ソリューションの設定と管理のための主要なメカニズムです。
AWS CodeBuild プロジェクトは、ソリューションの AWS CDK アプリケーションの設定をコンパイルし、検証します。
複数の AWS CodeBuild のデプロイステージが、ソリューション設定ファイルで定義されたリソースをマルチアカウント環境にデプロイします。オプションの手動レビューステージが含まれる場合があり、これらのステージが適用するすべての変更を表示することができます。
このソリューションでは、AWS Control Tower のライフサイクルイベントをモニタリングして、既知の良好な状態に対する潜在的なドリフト (言い換えれば、インフラストラクチャーリソースの実際の設定がその期待される設定と異なる場合) を検出するリソースをデプロイします。また、このソリューションでは、マルチアカウント環境への新しい AWS アカウントの登録を自動化することができるリソースがデプロイされています。このソリューションで AWS Control Tower を使用する場合、AWS Control Tower 環境内のアカウントと組織単位 (OU) が適切に登録されていることを確認します。AWS Control Tower のコンソールで管理できます。
このソリューションでは、マルチアカウント環境の Log Archive アカウントに集中型ロギングリソースがデプロイされます。これには、ログのストリームと取り込みを行う Amazon Kinesis リソース、保存データの暗号化を促進する AWS KMS キー、ログストレージ先としての Amazon Simple Storage Service (AmazonS3) バケットなどが含まれます。
ソリューションの設定ファイルを通じて、インフラストラクチャを追加したマルチアカウント環境にワークロードアカウントを登録し、プロビジョニングすることができます。最低限、新しいアカウントには、Amazon CloudWatch のロググループを Log Archive アカウントの集中型ロギングインフラストラクチャにストリーミングすることを容易にするリソースがプロビジョニングされます。