Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
Search
Morita
December 22, 2024
1
120
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
JAWS-UG東京 ランチタイムLT会 #18
https://jawsug.connpass.com/event/337253/
Morita
December 22, 2024
Tweet
Share
More Decks by Morita
See All by Morita
新機能 Bedrock Model Distillation 基礎〜実践まで #regrowth_fuk
ch6noota
0
160
AWS を使った生成AIの活用
ch6noota
0
630
AWS初めての方必見!初学者でも入りやすいAWSサービス3選 #devio2022
ch6noota
0
1.1k
Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる
ch6noota
0
3.4k
NITKハッカソン クラウド入門
ch6noota
0
880
Featured
See All Featured
Navigating Team Friction
lara
183
15k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
For a Future-Friendly Web
brad_frost
175
9.4k
We Have a Design System, Now What?
morganepeng
51
7.3k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
Automating Front-end Workflow
addyosmani
1366
200k
Building Your Own Lightsaber
phodgson
103
6.1k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.2k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.9k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.5k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
Transcript
2024/12/23 AWS事業本部コンサルティング部 森⽥⼒ 5分で学ぶ! 宣⾔型ポリシーの基礎からベストプラクティスまで
⾃⼰紹介 森⽥ ⼒ • 所属 : AWS事業本部コンサルティング部 • 好きなサービス :
AWS Lambda • re:Invent 2024 初参加! ◦ 現地 Keynoteが良かった
• 宣⾔型ポリシーとは • SCP/RCPとの違い • 宣⾔型ポリシーのベストプラクティス ⽬次
宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース SCP, RCP でできるよね🤔
SCP/RCPとの違い
SCP/RCPとの違い 宣⾔型ポリシー AWSサービスの設定状態を定義できる機能 SCP/RCP サービス‧リソースのアクセス制御が できる機能 AWSサービスの設定状態 AMI へのパブリックアクセスをブロック {
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:DisableImageBlockPublicAccess" ], "Resource": "*" } ] }
今までは SCP/RCPを使って、AWSサービスのベースラインを構成 →ベースラインから逆算して、APIを拒否‧許可 →新しいAPIが公開された場合には、アクセス制御の⾒直しが必要
これからは 宣⾔型ポリシーを使って、AWSサービスのベースラインを選択して適⽤させる →APIを意識する必要がない →AWSサービスのベースライン構成に集中できる🔥
現状は EC2 • シリアルコンソールアクセス • AMI のブロックパブリックアクセス • 許可されたAMI の利⽤
• IMDS のデフォルト設定 EBS • EBS スナップショットのブロックパブリックアクセス VPC • VPC のブロックパブリックアクセス
ベストプラクティス
ベストプラクティス Leverage readiness assessments(準備状況評価を活⽤する) 組織全体の現状を確認するために、アカウントステータスレポートの作成が可能
ベストプラクティス Start small and then scale(⼩さく始めて規模を拡⼤する) まずは、宣⾔型ポリシーをテスト環境などの1アカウントから導⼊ 問題なければ、OU単位に適⽤する
ベストプラクティス Establish review processes(レビュープロセスを確⽴する) 新しい宣⾔型ポリシーのレビュー 組織のセキュリティと実運⽤との乖離がないかを確認 特に、宣⾔型ポリシーの例外設定を多⽤していないか等
ベストプラクティス Validate changes using 「DescribeEffectivePolicy」 (DescribeEffectivePolicyを使⽤した変更の検証) 宣⾔型ポリシーの変更時には、変更の検証を「DescribeEffectivePolicy API」で⾏う 意図した変更が正しく反映されているか確認 $
aws organizations describe-effective-policy --policy-type DECLARATIVE_POLICY_EC2 --target-id アカウントID { "EffectivePolicy": { "PolicyContent": "{\"ec2_attributes\":{\"snapshot_block_public_access\":{\"state\":\"block_all_sharing\"}}}", "LastUpdatedTimestamp": "2024-12-22T11:21:11.313000+00:00", "TargetId": "アカウントID", "PolicyType": "DECLARATIVE_POLICY_EC2" } }
ベストプラクティス Communicate and train(コミュニケーションとトレーニング) 組織全体に宣⾔的ポリシーの⽬的と影響を周知 期待される動作と障害時の対応について明確なガイダンスを提供
None