Upgrade to Pro — share decks privately, control downloads, hide ads and more …

実装先SCPのコントロールを全部有効化してみた! ~2025年 ver.~

いたくら
March 01, 2025
0
130

実装先SCPのコントロールを全部有効化してみた! ~2025年 ver.~

2025/03/01(土) JAWS DAYS 2025
Lv.100
DevelopersIO流!アマゾンの奥地で技術の限界に挑戦:LT7人衆、熱き戦い
Track:C

13:10 ~ 13:50
https://jawsdays2025.jaws-ug.jp/sessions/C-6

#jawsdays2025 #jawsug #jawsdays2025_c

いたくら

March 01, 2025
Tweet

More Decks by いたくら

See All by いたくら
第27回クラウド女子会 ~re:Invent 振り返りLT会~ 宣言型ポリシー、使ってみたらこうだった!
itkr2305
0
330

Featured

See All Featured
The Cost Of JavaScript in 2023
addyosmani
47
7.4k
It's Worth the Effort
3n
184
28k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k
Gamification - CAS2011
davidbonilla
80
5.2k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
How to train your dragon (web standard)
notwaldorf
91
5.9k
Become a Pro
speakerdeck
PRO
26
5.2k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
52k
Thoughts on Productivity
jonyablonski
69
4.5k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k

Transcript

  1. 実装先SCPのコントロールを全部有効化してみた! ~2025年 ver.~ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c いたくら Track C-6 DevelopersIO流!アマゾンの奥地で技術の限界に挑戦:LT7人衆、熱き戦い

  2. • AWS Control Tower のコントロールとは(超概要) • 実装先 SCP のコントロールをすべて有効化!SCP は何個になる?

    • まとめ 今日話す内容 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c

  3. AWS Control Tower のコントロールとは (超概要) ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c

  4. AWS Control Tower のコントロールとは(超概要) ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c AWS Control Tower

    とは • 複数 AWS アカウントをベストプラクティスに基づいて設定および管理して くれるサービス コントロール とは • 組織全体のガバナンス保護や逸脱を検知する機能 • コントロールの実装先は以下が存在する ◦ SCP ◦ AWS Config ルール ◦ CloudFormation フック

  5. 実装先 SCP のコントロールをすべて有効化! SCP は何個になる? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c

  6. 実装先 SCP のコントロールをすべて有効化!SCP は何個になる? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c 前提 • Control

    Tower ランディングゾーン設定後の OU 構成は以下 • ランディングゾーン設定時に以下 OU を作成 ◦ SecurityOU ◦ SandboxOU • SecurityOU 配下に Audit / LogArchive アカウントが存在 今回は SandboxOU に対して、 実装先 SCP のコントロールをすべて有効化

  7. 実装先 SCP のコントロールをすべて有効化!SCP は何個になる? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c ランディングゾーン設定直後 • SandboxOU

    で有効となっている実装先 SCP のコントロールは 15 個 • コントロール 15 個分は aws-guardrails-GSPNeG という SCP に実装

  8. 実装先 SCP のコントロールをすべて有効化!SCP は何個になる? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c 実装先 SCP のコントロールは現時点で何個存在するのか?

    ⇒ 54 個 54 個の内訳 • 必須  :20 個(5 個は SecurityOU のみに対して必須) • 強く推奨: 2 個 • 選択的 :32 個 (5 個はランディングゾーン設定で AWS Backup を設定した場合に有効化可能) ※ SandboxOU については必須の 15 個は既に有効化済み ⇒ 必須(15 個)+強く推奨(2 個)+選択的(27 個)の計 44 個を有効化!

  9. 実装先 SCP のコントロールをすべて有効化!SCP は何個になる? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c 実装先 SCP のコントロールを

    44 個有効化した場合、SCP は何個になる? ⇒ 3 個! ランディングゾーン設定直後にあった aws-guardrails-GSPNeG 以外に、新たに 2 個 SCP が作成された

  10. まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c • 実装先 SCP のコントロール 44 個を有効にした場合、SCP

    は 3 個となった ◦ 有効化しただけでオプション設定等は実施していないため、実施した場合は、 今回の結果よりも SCP のドキュメントサイズが大きくなる可能性あり • 独自の SCP を使用している場合は、コントロール有効化前に SCP アタッチ数の 上限に達しないか検証を実施した方が良さそう

  11. SCP アタッチ数の上限には気を付けながら コントロールを活用していきましょう! ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_c