Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
Search
Morita
December 22, 2024
1
480
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
JAWS-UG東京 ランチタイムLT会 #18
https://jawsug.connpass.com/event/337253/
Morita
December 22, 2024
Tweet
Share
More Decks by Morita
See All by Morita
FSx for Lustreを使ったAIモデル開発の始め方
ch6noota
0
56
Dify で AWS を使い倒す!
ch6noota
0
520
DeepSeek for Amazon Bedrock
ch6noota
0
54
新機能 Bedrock Model Distillation 基礎〜実践まで #regrowth_fuk
ch6noota
0
530
AWS を使った生成AIの活用
ch6noota
0
780
AWS初めての方必見!初学者でも入りやすいAWSサービス3選 #devio2022
ch6noota
0
1.3k
Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる
ch6noota
0
3.7k
NITKハッカソン クラウド入門
ch6noota
0
940
Featured
See All Featured
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
21
1.3k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
53
2.9k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
31
1.3k
Automating Front-end Workflow
addyosmani
1370
200k
The Straight Up "How To Draw Better" Workshop
denniskardys
235
140k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2.2k
A better future with KSS
kneath
238
17k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
The Cost Of JavaScript in 2023
addyosmani
51
8.6k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.7k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Transcript
2024/12/23 AWS事業本部コンサルティング部 森⽥⼒ 5分で学ぶ! 宣⾔型ポリシーの基礎からベストプラクティスまで
⾃⼰紹介 森⽥ ⼒ • 所属 : AWS事業本部コンサルティング部 • 好きなサービス :
AWS Lambda • re:Invent 2024 初参加! ◦ 現地 Keynoteが良かった
• 宣⾔型ポリシーとは • SCP/RCPとの違い • 宣⾔型ポリシーのベストプラクティス ⽬次
宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース SCP, RCP でできるよね🤔
SCP/RCPとの違い
SCP/RCPとの違い 宣⾔型ポリシー AWSサービスの設定状態を定義できる機能 SCP/RCP サービス‧リソースのアクセス制御が できる機能 AWSサービスの設定状態 AMI へのパブリックアクセスをブロック {
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:DisableImageBlockPublicAccess" ], "Resource": "*" } ] }
今までは SCP/RCPを使って、AWSサービスのベースラインを構成 →ベースラインから逆算して、APIを拒否‧許可 →新しいAPIが公開された場合には、アクセス制御の⾒直しが必要
これからは 宣⾔型ポリシーを使って、AWSサービスのベースラインを選択して適⽤させる →APIを意識する必要がない →AWSサービスのベースライン構成に集中できる🔥
現状は EC2 • シリアルコンソールアクセス • AMI のブロックパブリックアクセス • 許可されたAMI の利⽤
• IMDS のデフォルト設定 EBS • EBS スナップショットのブロックパブリックアクセス VPC • VPC のブロックパブリックアクセス
ベストプラクティス
ベストプラクティス Leverage readiness assessments(準備状況評価を活⽤する) 組織全体の現状を確認するために、アカウントステータスレポートの作成が可能
ベストプラクティス Start small and then scale(⼩さく始めて規模を拡⼤する) まずは、宣⾔型ポリシーをテスト環境などの1アカウントから導⼊ 問題なければ、OU単位に適⽤する
ベストプラクティス Establish review processes(レビュープロセスを確⽴する) 新しい宣⾔型ポリシーのレビュー 組織のセキュリティと実運⽤との乖離がないかを確認 特に、宣⾔型ポリシーの例外設定を多⽤していないか等
ベストプラクティス Validate changes using 「DescribeEffectivePolicy」 (DescribeEffectivePolicyを使⽤した変更の検証) 宣⾔型ポリシーの変更時には、変更の検証を「DescribeEffectivePolicy API」で⾏う 意図した変更が正しく反映されているか確認 $
aws organizations describe-effective-policy --policy-type DECLARATIVE_POLICY_EC2 --target-id アカウントID { "EffectivePolicy": { "PolicyContent": "{\"ec2_attributes\":{\"snapshot_block_public_access\":{\"state\":\"block_all_sharing\"}}}", "LastUpdatedTimestamp": "2024-12-22T11:21:11.313000+00:00", "TargetId": "アカウントID", "PolicyType": "DECLARATIVE_POLICY_EC2" } }
ベストプラクティス Communicate and train(コミュニケーションとトレーニング) 組織全体に宣⾔的ポリシーの⽬的と影響を周知 期待される動作と障害時の対応について明確なガイダンスを提供
None