Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
Search
Morita
December 22, 2024
1
470
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
JAWS-UG東京 ランチタイムLT会 #18
https://jawsug.connpass.com/event/337253/
Morita
December 22, 2024
Tweet
Share
More Decks by Morita
See All by Morita
FSx for Lustreを使ったAIモデル開発の始め方
ch6noota
0
56
Dify で AWS を使い倒す!
ch6noota
0
510
DeepSeek for Amazon Bedrock
ch6noota
0
52
新機能 Bedrock Model Distillation 基礎〜実践まで #regrowth_fuk
ch6noota
0
520
AWS を使った生成AIの活用
ch6noota
0
770
AWS初めての方必見!初学者でも入りやすいAWSサービス3選 #devio2022
ch6noota
0
1.3k
Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる
ch6noota
0
3.6k
NITKハッカソン クラウド入門
ch6noota
0
940
Featured
See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
55
5.7k
It's Worth the Effort
3n
185
28k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
357
30k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Thoughts on Productivity
jonyablonski
69
4.7k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
The Cult of Friendly URLs
andyhume
79
6.5k
Unsuck your backbone
ammeep
671
58k
Designing for Performance
lara
610
69k
Become a Pro
speakerdeck
PRO
29
5.4k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Transcript
2024/12/23 AWS事業本部コンサルティング部 森⽥⼒ 5分で学ぶ! 宣⾔型ポリシーの基礎からベストプラクティスまで
⾃⼰紹介 森⽥ ⼒ • 所属 : AWS事業本部コンサルティング部 • 好きなサービス :
AWS Lambda • re:Invent 2024 初参加! ◦ 現地 Keynoteが良かった
• 宣⾔型ポリシーとは • SCP/RCPとの違い • 宣⾔型ポリシーのベストプラクティス ⽬次
宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース SCP, RCP でできるよね🤔
SCP/RCPとの違い
SCP/RCPとの違い 宣⾔型ポリシー AWSサービスの設定状態を定義できる機能 SCP/RCP サービス‧リソースのアクセス制御が できる機能 AWSサービスの設定状態 AMI へのパブリックアクセスをブロック {
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:DisableImageBlockPublicAccess" ], "Resource": "*" } ] }
今までは SCP/RCPを使って、AWSサービスのベースラインを構成 →ベースラインから逆算して、APIを拒否‧許可 →新しいAPIが公開された場合には、アクセス制御の⾒直しが必要
これからは 宣⾔型ポリシーを使って、AWSサービスのベースラインを選択して適⽤させる →APIを意識する必要がない →AWSサービスのベースライン構成に集中できる🔥
現状は EC2 • シリアルコンソールアクセス • AMI のブロックパブリックアクセス • 許可されたAMI の利⽤
• IMDS のデフォルト設定 EBS • EBS スナップショットのブロックパブリックアクセス VPC • VPC のブロックパブリックアクセス
ベストプラクティス
ベストプラクティス Leverage readiness assessments(準備状況評価を活⽤する) 組織全体の現状を確認するために、アカウントステータスレポートの作成が可能
ベストプラクティス Start small and then scale(⼩さく始めて規模を拡⼤する) まずは、宣⾔型ポリシーをテスト環境などの1アカウントから導⼊ 問題なければ、OU単位に適⽤する
ベストプラクティス Establish review processes(レビュープロセスを確⽴する) 新しい宣⾔型ポリシーのレビュー 組織のセキュリティと実運⽤との乖離がないかを確認 特に、宣⾔型ポリシーの例外設定を多⽤していないか等
ベストプラクティス Validate changes using 「DescribeEffectivePolicy」 (DescribeEffectivePolicyを使⽤した変更の検証) 宣⾔型ポリシーの変更時には、変更の検証を「DescribeEffectivePolicy API」で⾏う 意図した変更が正しく反映されているか確認 $
aws organizations describe-effective-policy --policy-type DECLARATIVE_POLICY_EC2 --target-id アカウントID { "EffectivePolicy": { "PolicyContent": "{\"ec2_attributes\":{\"snapshot_block_public_access\":{\"state\":\"block_all_sharing\"}}}", "LastUpdatedTimestamp": "2024-12-22T11:21:11.313000+00:00", "TargetId": "アカウントID", "PolicyType": "DECLARATIVE_POLICY_EC2" } }
ベストプラクティス Communicate and train(コミュニケーションとトレーニング) 組織全体に宣⾔的ポリシーの⽬的と影響を周知 期待される動作と障害時の対応について明確なガイダンスを提供
None