Upgrade to Pro — share decks privately, control downloads, hide ads and more …

第27回クラウド女子会 ~re:Invent 振り返りLT会~ 宣言型ポリシー、使ってみたらこ...

いたくら
January 25, 2025
Technology
0
190

第27回クラウド女子会 ~re:Invent 振り返りLT会~ 宣言型ポリシー、使ってみたらこうだった!

2025/01/25 第27回クラウド女子会 ~re:Invent 振り返りLT会~
宣言型ポリシー、使ってみたらこうだった!
https://jawsug-cloudgirl.connpass.com/event/338908/

いたくら

January 25, 2025
Tweet

Other Decks in Technology

See All in Technology
reinvent2024を起点に振り返るサーバーレスアップデート
mihonda
1
110
第27回クラウド女子会 ~re:Invent 振り返りLT会~ 私の周辺で反響のあった re:Invent 2024 アップデートつれづれ/reinvent-2024-update-reverberated-around-me
emiki
1
470
[SRE kaigi 2025] ガバメントクラウドに向けた開発と変化するSRE組織のあり方 / Development for Government Cloud and the Evolving Role of SRE Teams
kazeburo
3
610
SIEMによるセキュリティログの可視化と分析を通じた信頼性向上プロセスと実践
coconala_engineer
1
270
MicrosoftのOSSだけでAIによるブラウザテストを構成する
ymd65536
1
140
インシデントキーメトリクスによるインシデント対応の改善 / Improving Incident Response using Incident Key Metrics
nari_ex
0
400
Godot Engineについて調べてみた
unsoluble_sugar
0
460
「隙間家具OSS」に至る道/Fujiwara Tech Conference 2025
fujiwara3
7
6.9k
Git scrapingで始める継続的なデータ追跡 / Git Scraping
ohbarye
5
620
メンバーがオーナーシップを発揮しやすいチームづくり
ham0215
2
300
JuliaTokaiとJuliaLangJaの紹介 for NGK2025S
antimon2
1
150
サーバレスの未来〜The Key to Simplifying Everything〜
kawaji_scratch
1
260

Featured

See All Featured
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
39
1.9k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.8k
Producing Creativity
orderedlist
PRO
343
39k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
174
51k
Practical Orchestrator
shlominoach
186
10k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.2k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
44
9.4k
Building Better People: How to give real-time feedback that sticks.
wjessup
366
19k
Building Adaptive Systems
keathley
39
2.4k
GraphQLとの向き合い方2022年版
quramy
44
13k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
3k

Transcript

  1. 宣言型ポリシー、使ってみたらこうだった! 2025/01/25 第27回クラウド女子会 ~re:Invent 振り返りLT会~

  2. 目次 ⚫ 宣言型ポリシーとは? ⚫ 実際に触ってみた ◯ Allowed Image Settings ◯

    EC2 シリアルコンソール ◯ EBS ブロックパブリックアクセス ⚫ カスタムエラーメッセージを表示してみる ◯ 不思議な挙動 ⚫ 結果を元に宣言型ポリシーの設計を考えてみた ⚫ おわりに 2

  3. 宣言型ポリシーとは?

  4. 宣言型ポリシーとは? 4 ➢ AWS Organizations で提供する新しいポリシー ➢ 既存ポリシー:SCP(Service Control Policy)など

    ➢ Organizations もしくは Control Tower で設定が可能 ➢ サービスレベルでベースライン構成の定義・適用が可能 ➢ 新しい機能や API が追加されたときのメンテナンスが不要になる!

  5. 宣言型ポリシーとは? 5 Organizations 内で、アカウント A で作成した AMI しか使わせたくない! 従来 これから

    ec2:RunInstances と… ec2:StartInstances と… あと何を制限すればいいんだ? さくっと宣言型ポリシーを作って、 OU / アカウントにアタッチするだけ! 簡単!

  6. 実際に触ってみた - Allowed Image Settings

  7. 実際に触ってみた - Allowed Image Settings 7 有効 :指定したプロバイダーのみ使用可能 無効 :制限しない

    監査モード:非準拠 AMI の識別だけ可能、 非準拠 AMI でも使用可能 管理アカウントで実施 アカウント A の AWS アカウント ID

  8. 実際に触ってみた - Allowed Image Settings 8 補足 検証時、メッセージを日本語で入力したら 以下のエラーが表示されたので、 英語で入力しています

  9. 実際に触ってみた - Allowed Image Settings 9 アカウント A 、アカウント B

    それぞれで作成した AMI を 組織内で共有している状態 ⇒ アカウント A で作成されたものだけ Allowed image : はい となっている アカウント A で確認

  10. 実際に触ってみた - Allowed Image Settings 10 Allowed Image Setting :

    有効 にすると・・・ ⇒ アカウント A で作成された AMI だけ表示され、 非準拠 AMI は一覧に表示されなくなる アカウント A で確認

  11. 実際に触ってみた - EC2 シリアルコンソール

  12. 実際に触ってみた - EC2 シリアルコンソール 12 管理アカウントで実施

  13. 実際に触ってみた - EC2 シリアルコンソール 13 アカウント A で確認

  14. 実際に触ってみた - EC2 シリアルコンソール 14 アカウント A で確認

  15. 実際に触ってみた - EBS ブロックパブリックアクセス

  16. 実際に触ってみた - EBS ブロックパブリックアクセス 16 管理アカウントで実施

  17. 実際に触ってみた - EBS ブロックパブリックアクセス 17 アカウント A で確認 アカウント B

    で確認 宣言型ポリシーアタッチ前

  18. 実際に触ってみた - EBS ブロックパブリックアクセス 18 アカウント A で確認 宣言型ポリシーアタッチ後 アカウント

    B で確認

  19. 実際に触ってみた - EBS ブロックパブリックアクセス 19 新規パブリック共有をブロックに変更すると… アカウント B で確認

  20. カスタムエラーメッセージを表示してみる

  21. カスタムエラーメッセージを表示してみる 21 カスタムエラーメッセージが表示されるタイミングは? ⇒ メンバーアカウントで、宣言型ポリシーを有効・無効・もしくはオプションを変更しようとしたとき ⇒ アカウント A で「すべてのパブリック共有をブロック」に変更しようとして、怒られよう! $

    aws ec2 get-snapshot-block-public-access-state { "State": "block-new-sharing", "ManagedBy": "declarative-policy" } $ aws ec2 enable-snapshot-block-public-access --state block-all-sharing An error occurred (DeclarativePolicyViolation) when calling the EnableSnapshotBlockPublicAccess operation: This functionality has been disabled by a Declarative Policy. Custom Message: This action was denied by the declarative policy: test-allowed-image-dp. $ ⇒ カスタムメッセージ違うな…???

  22. カスタムエラーメッセージを表示してみる - 不思議な挙動

  23. カスタムエラーメッセージを表示してみる - 不思議な挙動 23 【状況整理】 ➢ SandboxOU に以下の宣言型ポリシーをアタッチしている ➢ 各ポリシーごとにカスタムエラーメッセージを設定している

    ➢ This action was denied by the declarative policy: test-allowed-image-dp ➢ This action was denied by the declarative policy: test-ec2-serial-console-dp ➢ This action was denied by the declarative policy: test-block-public-access-for-EBS-snapshots-dp

  24. カスタムエラーメッセージを表示してみる - 不思議な挙動 24 【不思議な挙動の原因】 ➢ アタッチされた日時が最も古いポリシーのカスタムエラーメッセージが採用されるため ➢ 1. test-allowed-image-dp、2.

    test-ec2-serial-console-dp、3. test-block-public-access-for-EBS-snapshots- dp の順でアタッチしたとき ➢ 表示メッセージ:This action was denied by the declarative policy: test-allowed-image-dp ➢ 1. test-ec2-serial-console-dp、2. test-block-public-access-for-EBS-snapshots-dp、3. test-allowed-image- dp の順でアタッチしたとき ➢ 表示メッセージ:This action was denied by the declarative policy: test-ec2-serial-console-dp ➢ 1. test-block-public-access-for-EBS-snapshots-dp、2. test-allowed-image-dp、 3. test-ec2-serial-console- dp の順でアタッチしたとき ➢ 表示メッセージ:This action was denied by the declarative policy: test-block-public-access-for-EBS- snapshots-dp

  25. 結果を元に宣言型ポリシーの設計を考えてみた

  26. 結果を元に宣言型ポリシーの設計を考えてみた 26 ➢ もしかして、ベストプラクティスに「OU ごとに 1 つの宣言型ポリシーにしましょう」って 書いてあるのかな…!? ➢ 書いてありませんでした。

    参考:Best practices for using declarative policies - AWS Organizations なんならルート / OU / アカウントに対してそれぞれ最大 10 個アタッチ可能でした。 引用:Quotas and service limits for AWS Organizations - AWS Organizations

  27. 結果を元に宣言型ポリシーの設計を考えてみた 27 Root SandboxOU Management account SecurityOU WorkloadsOU Account A

    Account B Declarative Policy 設計方針 ➢ (他のポリシーもだけど)できるだけ 1 つのポリシーにまとめる ➢ ポリシーアタッチ先 OU を判別できるようなカスタムエラーメッセージ を設定する ➢ 今後宣言型ポリシーの種類が増えて 1 つのポリシーに収まらなくなった 場合を想定して、ポリシー名も連番にしておく

  28. 結果を元に宣言型ポリシーの設計を考えてみた 28 改善点 ➢ ポリシーは1つにまとめる ➢ ポリシー名にアタッチ先 OU を含める ➢

    カスタムエラーメッセージにはポリシー名を含める ➢ トラブルシュートのときにポリシー名が分かる方が 調査がしやすいため

  29. 結果を元に宣言型ポリシーの設計を考えてみた 29 $ aws ec2 enable-snapshot-block-public-access --state block-all-sharing An error

    occurred (DeclarativePolicyViolation) when calling the EnableSnapshotBlockPublicAccess operation: This functionality has been disabled by a Declarative Policy. Custom Message: This action was denied by the declarative policy for the SandboxOU. $ $ aws ec2 enable-serial-console-access An error occurred (DeclarativePolicyViolation) when calling the EnableSerialConsoleAccess operation: This control is managed by your organizations administrator. This functionality has been disabled by a Declarative Policy. Custom Message: This action was denied by the declarative policy for the SandboxOU. $ $ aws ec2 disable-allowed-images-settings An error occurred (DeclarativePolicyViolation) when calling the DisableAllowedImagesSettings operation: This functionality has been disabled by a Declarative Policy. Custom Message: This action was denied by the declarative policy for the SandboxOU. $

  30. おわりに

  31. おわりに 31 ➢ 宣言型ポリシーは AWS Organizations で提供する新しいポリシー ➢ サービスレベルでベースライン構成の定義・適用が可能 ➢

    現在使えるのは 6 種類のみ ➢ 設定・適用はとても簡単 ➢ ポリシーはできるだけまとめて作成 ➢ 複数の宣言型ポリシーをアタッチする場合は、アタッチされた日時が最も古 いポリシーのカスタムエラーメッセージが採用されるため、メッセージ内容 は要検討 ➢ 宣言型ポリシーの理解を深める一歩になれば幸いです

  32. ありがとうございました!

  33. 参考 33 ➢ [アップデート] AWS Organizations で宣言型ポリシー(declarative policies) が利用可能になりました #AWSreInvent

    | DevelopersIO https://dev.classmethod.jp/articles/aws-organizations-declarative-policies-available/ ➢ セキュリティ系アップデート全体像と AWS Organizations 新ポリシー「宣言型ポリシー」を紹介 #AWSreInvent #regrowth_osaka | DevelopersIO https://dev.classmethod.jp/articles/aws-organizations-awsreinvent-regrowth-osaka/ ➢ Declarative policies - AWS Organizations https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html ➢ ec2 — AWS CLI 1.37.6 Command Reference https://docs.aws.amazon.com/cli/latest/reference/ec2/#cli-aws-ec2
  34. None