5分で学ぶ！宣言型ポリシーの基礎からベストプラクティスまで

2024/12/23 AWS事業本部コンサルティング部森⽥⼒ 5分で学ぶ！宣⾔型ポリシーの基礎からベストプラクティスまで

⾃⼰紹介森⽥⼒ • 所属 : AWS事業本部コンサルティング部 • 好きなサービス :
AWS Lambda • re:Invent 2024 初参加！ ◦ 現地 Keynoteが良かった

• 宣⾔型ポリシーとは • SCP/RCPとの違い • 宣⾔型ポリシーのベストプラクティス⽬次

宣⾔型ポリシーとは

AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能宣⾔型ポリシーとは

⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース

⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース SCP, RCP でできるよね🤔

SCP/RCPとの違い

SCP/RCPとの違い宣⾔型ポリシー AWSサービスの設定状態を定義できる機能 SCP/RCP サービス‧リソースのアクセス制御ができる機能 AWSサービスの設定状態 AMI へのパブリックアクセスをブロック {
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Eﬀect": "Deny", "Action": [ "ec2:DisableImageBlockPublicAccess" ], "Resource": "*" } ] }

今までは SCP/RCPを使って、AWSサービスのベースラインを構成 →ベースラインから逆算して、APIを拒否‧許可 →新しいAPIが公開された場合には、アクセス制御の⾒直しが必要

これからは宣⾔型ポリシーを使って、AWSサービスのベースラインを選択して適⽤させる →APIを意識する必要がない →AWSサービスのベースライン構成に集中できる🔥

現状は EC2 • シリアルコンソールアクセス • AMI のブロックパブリックアクセス • 許可されたAMI の利⽤
• IMDS のデフォルト設定 EBS • EBS スナップショットのブロックパブリックアクセス VPC • VPC のブロックパブリックアクセス

ベストプラクティス

ベストプラクティス Leverage readiness assessments（準備状況評価を活⽤する）組織全体の現状を確認するために、アカウントステータスレポートの作成が可能

ベストプラクティス Start small and then scale（⼩さく始めて規模を拡⼤する）まずは、宣⾔型ポリシーをテスト環境などの1アカウントから導⼊問題なければ、OU単位に適⽤する

ベストプラクティス Establish review processes（レビュープロセスを確⽴する）新しい宣⾔型ポリシーのレビュー組織のセキュリティと実運⽤との乖離がないかを確認特に、宣⾔型ポリシーの例外設定を多⽤していないか等

ベストプラクティス Validate changes using 「DescribeEffectivePolicy」（DescribeEffectivePolicyを使⽤した変更の検証）宣⾔型ポリシーの変更時には、変更の検証を「DescribeEffectivePolicy API」で⾏う意図した変更が正しく反映されているか確認 $
aws organizations describe-effective-policy --policy-type DECLARATIVE_POLICY_EC2 --target-id アカウントID { "EffectivePolicy": { "PolicyContent": "{\"ec2_attributes\":{\"snapshot_block_public_access\":{\"state\":\"block_all_sharing\"}}}", "LastUpdatedTimestamp": "2024-12-22T11:21:11.313000+00:00", "TargetId": "アカウントID", "PolicyType": "DECLARATIVE_POLICY_EC2" } }

ベストプラクティス Communicate and train（コミュニケーションとトレーニング）組織全体に宣⾔的ポリシーの⽬的と影響を周知期待される動作と障害時の対応について明確なガイダンスを提供

5分で学ぶ！宣言型ポリシーの基礎からベストプラクティスまで

5分で学ぶ！宣言型ポリシーの基礎からベストプラクティスまで

Morita

More Decks by Morita

Featured

Transcript

2024/12/23 AWS事業本部コンサルティング部森⽥⼒ 5分で学ぶ！宣⾔型ポリシーの基礎からベストプラクティスまで

⾃⼰紹介森⽥⼒ • 所属 : AWS事業本部コンサルティング部 • 好きなサービス :

• 宣⾔型ポリシーとは • SCP/RCPとの違い • 宣⾔型ポリシーのベストプラクティス⽬次

宣⾔型ポリシーとは

AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control

AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control

⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース

⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース SCP, RCP でできるよね🤔

SCP/RCPとの違い

SCP/RCPとの違い宣⾔型ポリシー AWSサービスの設定状態を定義できる機能 SCP/RCP サービス‧リソースのアクセス制御ができる機能 AWSサービスの設定状態 AMI へのパブリックアクセスをブロック {

今までは SCP/RCPを使って、AWSサービスのベースラインを構成 →ベースラインから逆算して、APIを拒否‧許可 →新しいAPIが公開された場合には、アクセス制御の⾒直しが必要

これからは宣⾔型ポリシーを使って、AWSサービスのベースラインを選択して適⽤させる →APIを意識する必要がない →AWSサービスのベースライン構成に集中できる🔥

現状は EC2 • シリアルコンソールアクセス • AMI のブロックパブリックアクセス • 許可されたAMI の利⽤

ベストプラクティス

ベストプラクティス Leverage readiness assessments（準備状況評価を活⽤する）組織全体の現状を確認するために、アカウントステータスレポートの作成が可能

ベストプラクティス Start small and then scale（⼩さく始めて規模を拡⼤する）まずは、宣⾔型ポリシーをテスト環境などの1アカウントから導⼊問題なければ、OU単位に適⽤する

ベストプラクティス Establish review processes（レビュープロセスを確⽴する）新しい宣⾔型ポリシーのレビュー組織のセキュリティと実運⽤との乖離がないかを確認特に、宣⾔型ポリシーの例外設定を多⽤していないか等

ベストプラクティス Communicate and train（コミュニケーションとトレーニング）組織全体に宣⾔的ポリシーの⽬的と影響を周知期待される動作と障害時の対応について明確なガイダンスを提供

5分で学ぶ！ 宣言型ポリシーの基礎からベストプラクティスまで

5分で学ぶ！ 宣言型ポリシーの基礎からベストプラクティスまで

More Decks by Morita

Featured

Transcript

5分で学ぶ！宣言型ポリシーの基礎からベストプラクティスまで

5分で学ぶ！宣言型ポリシーの基礎からベストプラクティスまで