Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
Search
Morita
December 22, 2024
1
500
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
JAWS-UG東京 ランチタイムLT会 #18
https://jawsug.connpass.com/event/337253/
Morita
December 22, 2024
Tweet
Share
More Decks by Morita
See All by Morita
FSx for Lustreを使ったAIモデル開発の始め方
ch6noota
0
61
Dify で AWS を使い倒す!
ch6noota
0
550
DeepSeek for Amazon Bedrock
ch6noota
0
56
新機能 Bedrock Model Distillation 基礎〜実践まで #regrowth_fuk
ch6noota
0
560
AWS を使った生成AIの活用
ch6noota
0
800
AWS初めての方必見!初学者でも入りやすいAWSサービス3選 #devio2022
ch6noota
0
1.3k
Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる
ch6noota
0
3.7k
NITKハッカソン クラウド入門
ch6noota
0
950
Featured
See All Featured
Typedesign – Prime Four
hannesfritz
42
2.7k
Designing Experiences People Love
moore
142
24k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
60k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
Become a Pro
speakerdeck
PRO
29
5.5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
161
15k
Balancing Empowerment & Direction
lara
1
530
How GitHub (no longer) Works
holman
314
140k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
6k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Designing for Performance
lara
610
69k
RailsConf 2023
tenderlove
30
1.2k
Transcript
2024/12/23 AWS事業本部コンサルティング部 森⽥⼒ 5分で学ぶ! 宣⾔型ポリシーの基礎からベストプラクティスまで
⾃⼰紹介 森⽥ ⼒ • 所属 : AWS事業本部コンサルティング部 • 好きなサービス :
AWS Lambda • re:Invent 2024 初参加! ◦ 現地 Keynoteが良かった
• 宣⾔型ポリシーとは • SCP/RCPとの違い • 宣⾔型ポリシーのベストプラクティス ⽬次
宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース SCP, RCP でできるよね🤔
SCP/RCPとの違い
SCP/RCPとの違い 宣⾔型ポリシー AWSサービスの設定状態を定義できる機能 SCP/RCP サービス‧リソースのアクセス制御が できる機能 AWSサービスの設定状態 AMI へのパブリックアクセスをブロック {
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:DisableImageBlockPublicAccess" ], "Resource": "*" } ] }
今までは SCP/RCPを使って、AWSサービスのベースラインを構成 →ベースラインから逆算して、APIを拒否‧許可 →新しいAPIが公開された場合には、アクセス制御の⾒直しが必要
これからは 宣⾔型ポリシーを使って、AWSサービスのベースラインを選択して適⽤させる →APIを意識する必要がない →AWSサービスのベースライン構成に集中できる🔥
現状は EC2 • シリアルコンソールアクセス • AMI のブロックパブリックアクセス • 許可されたAMI の利⽤
• IMDS のデフォルト設定 EBS • EBS スナップショットのブロックパブリックアクセス VPC • VPC のブロックパブリックアクセス
ベストプラクティス
ベストプラクティス Leverage readiness assessments(準備状況評価を活⽤する) 組織全体の現状を確認するために、アカウントステータスレポートの作成が可能
ベストプラクティス Start small and then scale(⼩さく始めて規模を拡⼤する) まずは、宣⾔型ポリシーをテスト環境などの1アカウントから導⼊ 問題なければ、OU単位に適⽤する
ベストプラクティス Establish review processes(レビュープロセスを確⽴する) 新しい宣⾔型ポリシーのレビュー 組織のセキュリティと実運⽤との乖離がないかを確認 特に、宣⾔型ポリシーの例外設定を多⽤していないか等
ベストプラクティス Validate changes using 「DescribeEffectivePolicy」 (DescribeEffectivePolicyを使⽤した変更の検証) 宣⾔型ポリシーの変更時には、変更の検証を「DescribeEffectivePolicy API」で⾏う 意図した変更が正しく反映されているか確認 $
aws organizations describe-effective-policy --policy-type DECLARATIVE_POLICY_EC2 --target-id アカウントID { "EffectivePolicy": { "PolicyContent": "{\"ec2_attributes\":{\"snapshot_block_public_access\":{\"state\":\"block_all_sharing\"}}}", "LastUpdatedTimestamp": "2024-12-22T11:21:11.313000+00:00", "TargetId": "アカウントID", "PolicyType": "DECLARATIVE_POLICY_EC2" } }
ベストプラクティス Communicate and train(コミュニケーションとトレーニング) 組織全体に宣⾔的ポリシーの⽬的と影響を周知 期待される動作と障害時の対応について明確なガイダンスを提供
None