ストーリー
田
田中VPoE
ポリシーが策定できた。次はそのポリシーを技術的に実装する「ランディングゾーン」を設計する
あなた
ランディングゾーンとは何ですか?
あ
田
田中VPoE
簡単に言えば「クラウドの安全な着陸地点」だ。新しいワークロードをクラウドにデプロイする際に、セキュリティ、ネットワーク、アカウント構造、ガードレールがすべてセットアップ済みの環境のことだ。ランディングゾーンがなければ、毎回ゼロから環境を構築する羽目になり、品質もバラバラになる
あなた
いわば「クラウドの土台」ですね。この上にワークロードを乗せていく
あ
田
田中VPoE
その通りだ。ランディングゾーンの品質が、その上に載るすべてのワークロードの品質を決める
ランディングゾーンの全体像
ランディングゾーンのコンポーネント
ランディングゾーンの構成:
┌─────────────────────────────────────────────┐
│ ガバナンスレイヤー │
│ ├── SCP/Organizations Policy │
│ ├── Config Rules / ガードレール │
│ └── 監査ログ / CloudTrail │
├─────────────────────────────────────────────┤
│ アイデンティティレイヤー │
│ ├── SSO / IdP連携 │
│ ├── IAM ベースライン │
│ └── 特権アクセス管理 │
├─────────────────────────────────────────────┤
│ ネットワークレイヤー │
│ ├── Transit Gateway / VPC設計 │
│ ├── DNS / Route 53 │
│ └── オンプレミス接続(Direct Connect等) │
├─────────────────────────────────────────────┤
│ セキュリティレイヤー │
│ ├── 暗号化キー管理(KMS) │
│ ├── セキュリティハブ / SIEM │
│ └── 脆弱性管理 │
├─────────────────────────────────────────────┤
│ ログ・モニタリングレイヤー │
│ ├── 集中ログ管理 │
│ ├── モニタリング / アラート │
│ └── ダッシュボード │
└─────────────────────────────────────────────┘マルチアカウント戦略
アカウント設計パターン
| アカウント | 目的 | 所有者 |
|---|---|---|
| Management | Organizations管理、請求統合 | クラウド戦略統括 |
| Security | セキュリティツール、ログ集約 | セキュリティチーム |
| Logging | 全アカウントの監査ログ集約 | CoE |
| Shared Services | 共通サービス(CI/CD、DNS等) | CoE |
| Network | Transit Gateway、VPN接続 | ネットワークチーム |
| Sandbox | 実験・検証用 | 開発チーム(個人) |
| Dev-{部門} | 開発環境 | 各開発チーム |
| Staging-{部門} | ステージング環境 | 各開発チーム |
| Prod-{部門} | 本番環境 | 各開発チーム |
OU(Organizational Unit)構造
Root
├── Security OU
│ ├── Security Account
│ └── Logging Account
├── Infrastructure OU
│ ├── Network Account
│ └── Shared Services Account
├── Sandbox OU
│ └── Sandbox Accounts (個人/チーム)
├── Workloads OU
│ ├── Development OU
│ │ ├── Dev-Engineering
│ │ ├── Dev-IoT
│ │ └── Dev-Data
│ ├── Staging OU
│ │ ├── Stg-Engineering
│ │ ├── Stg-IoT
│ │ └── Stg-Data
│ └── Production OU
│ ├── Prod-Engineering
│ ├── Prod-IoT
│ └── Prod-Data
└── Suspended OU
└── (閉鎖予定アカウント)ネットワーク設計
ハブ&スポーク型ネットワーク
| 構成要素 | 説明 | 配置先 |
|---|---|---|
| Transit Gateway | 全VPCの接続ハブ | Network Account |
| Egress VPC | インターネット接続の集約 | Network Account |
| Inspection VPC | トラフィック検査(IDS/IPS) | Security Account |
| Shared Services VPC | DNS、NTPなど共通サービス | Shared Services Account |
| Workload VPC | 各ワークロード用VPC | 各Workload Account |
VPC設計標準
| 環境 | CIDR | サブネット構成 |
|---|---|---|
| Production | /16 | Public(/24) × 3AZ + Private(/22) × 3AZ + DB(/24) × 3AZ |
| Staging | /18 | Public(/26) × 2AZ + Private(/24) × 2AZ + DB(/26) × 2AZ |
| Development | /20 | Public(/26) × 2AZ + Private(/24) × 2AZ |
| Sandbox | /22 | Public(/26) × 1AZ + Private(/26) × 1AZ |
セキュリティベースライン
全アカウント共通セキュリティ設定
| 設定項目 | 内容 | 実装方法 |
|---|---|---|
| CloudTrail | 全リージョンで有効化 | Organizations連携 |
| Config | 全リージョンで有効化 | Conformance Packs |
| GuardDuty | 全アカウントで有効化 | Organizations連携 |
| Security Hub | セキュリティ標準の自動チェック | CIS Benchmark有効化 |
| IAM Access Analyzer | 外部アクセスの検出 | 全アカウントで有効化 |
| S3 Block Public Access | パブリックアクセスのブロック | アカウントレベルで有効化 |
| EBS Default Encryption | デフォルト暗号化 | 全リージョンで有効化 |
SCP(Service Control Policy)の設計
| SCP | 適用OU | 制御内容 |
|---|---|---|
| リージョン制限 | Root | 承認リージョン以外の利用を禁止 |
| ルートユーザー制限 | 全OU | ルートユーザーでの操作を禁止 |
| ログ保護 | Security/Logging OU | CloudTrail/Configの無効化を禁止 |
| 暗号化強制 | Workloads OU | 未暗号化リソースの作成を禁止 |
| サービス制限 | Sandbox OU | 高コストサービス(GPU等)の利用制限 |
ランディングゾーンの自動化
IaC(Infrastructure as Code)によるプロビジョニング
| ツール | 用途 | メリット |
|---|---|---|
| AWS Control Tower | ランディングゾーンの標準構築 | AWSベストプラクティスに準拠 |
| Terraform | マルチクラウド対応のIaC | ベンダー非依存 |
| AWS CDK | プログラマブルなIaC | TypeScript/Pythonで記述可能 |
| CloudFormation StackSets | 複数アカウントへの展開 | Organizations連携 |
アカウントファクトリー
新規アカウントの自動プロビジョニングパイプラインです。
アカウント申請フロー:
申請(セルフサービスポータル)
↓
自動承認チェック
├── 予算確認
├── 目的の妥当性
└── 命名規則の確認
↓
アカウント作成(自動)
├── Organizations でアカウント作成
├── 適切なOUに配置
├── SCP適用
├── セキュリティベースライン展開
├── VPC作成
├── SSO設定
└── タグ付け
↓
完了通知(申請者にアクセス情報を通知)
所要時間: 申請から30分以内まとめ
| ポイント | 内容 |
|---|---|
| 5つのレイヤー | ガバナンス、アイデンティティ、ネットワーク、セキュリティ、モニタリング |
| マルチアカウント | OU構造とアカウント分離で環境を隔離 |
| セキュリティベースライン | 全アカウント共通のセキュリティ設定を自動適用 |
| 自動化 | アカウントファクトリーで30分以内にセットアップ完了 |
チェックリスト
- ランディングゾーンの5レイヤーを理解した
- マルチアカウント戦略のOU構造を理解した
- ネットワーク設計のハブ&スポーク型を理解した
- アカウントファクトリーによる自動化を理解した
次のステップへ
次は「コンプライアンス自動化」を学びます。ポリシーへの準拠を継続的に自動チェックする仕組みを身につけましょう。
推定読了時間: 30分