AWS
enterprise

AWSマルチアカウント運用におけるアカウント初期設定

はじめに

前投稿 企業内AWS運営におけるマルチアカウント管理 の続きです。
本投稿では、上記にある「監査モニタリング用AWSアカウント」運用の初期設定を整理してみます。

AWSアカウントの例

■アカウントA(監査モニタリング用/IAMユーザーログイン用)
 └◇アカウントB(開発用)
 └◇アカウントC(本番用)
 └◇アカウントD(DMZ用)
 └◇アカウントE(サンドボックス用)

前投稿の管理上のメリットから上記のとおり分割した場合を例とします。(その他にも課金管理用のアカウントが考えられますがここでは省略)

全アカウント基本設定

No 設定項目 設定値
01 CloudTrail ON(全リージョン必須、バケットはアカウントAを指定 ※1)
02 Config ON(可能であれば全リージョン、バケットはアカウントAを指定 ※1)
03 VPC Flowlog ON(デフォルトVPCは使用せず、新規作成VPCを用いる)

※1 アカウントAに各アカウント用のバケットを作成し、バケットポリシーでアクセスを許可する

アカウントA 個別設定

No 設定項目 設定値
01 GuardDuty ON(アカウントAで設定し他アカウントも登録)
02 IAM IAMユーザー作成アカウント(他アカウントにはスイッチロールを用いる)

※アカウントAはログ保管やDirect Connectのポート契約(各アカウントはVIF設定)等、共通系の設定を集約する。