アカウント構成説明(AWS編)

ガバメントクラウド開発・運用する上で、セキュリティや運用の設計をする際に必要となる、AWSアカウント構成や手法を理解する。

利用者環境の全体像

ガバメントクラウドでは、全体管理のためのOU(Organization root)と利用システム向けOUが存在する。
利用申請に基づき払い出されるOUは、デジタル庁の保有するOUより払い出され、各利用組織に付与される。これらにはサービスコントロールポリシー (SCP)により管理されている。

図01:利用者環境の全体像

提供する環境

ガバメントクラウド(AWS)ではCSPごとに全体管理のための「共通領域（全体管理機能）」と「利用システム向け領域」が存在する。各利用システムは、利用システム向け領域に払い出された分離された環境のなかにシステムを構成する。
各環境は、独立した管理機能を保持しており、環境ごとの管理画面や管理機能を有し、利用システムが操作できる。また、許可しない限り他環境とネットワーク的に接続されることはない。
環境は本番と検証のリソース混在防止、課金単位の分離のため、本番環境と検証環境を分けて利用すること。
またCI/CDによるインフラリリース（アプリケーションリリースもCI/CDであることが望ましい）を実施する利用組織においては開発環境とCI/CDパイプライン環境を提供可能である。

図02:提供環境の全体像

共通領域（全体管理機能）

• システム共通の管理機能を保持。
• 利用システムのシステム管理者の払い出しや監査ログの収集管理、セキュリティアラート情報の収集などを想定。
• デジタル庁内にて構築・運用され、利用システムに必要機能が連携される。

利用システム向け領域

• 利用システムの各環境が（本番環境・検証環境などの単位）テンプレートで払い出され、その環境内に利用者側で利用システムを構築する。
• 利用者側でアプリケーションや関連サービス・実行環境を配置・構築が可能。その際、基本アーキテクチャのテンプレート/IaCファイルや利用ガイドはデジタル庁より提供される。
• 利用システムの各環境用の、構成ルール、セキュリティ監視等の一部の基本的なセキュリティ機能は、環境払い出し時に基本設定済み。
• システムごとの追加運用機能（アプリ監視やログ出力監視、アラート設定など）やシステムとして必要なセキュリティ対策機能は、ガイドを見ながら利用側で設定する。

改訂履歴