AWS re:Invent 2024 re:Cap - Declarative policies & GameDay

Transcript

1. SLIDESMANIA.COM AWS re:Invent 2024 re:Cap Hiroshi Hayakawa 2024-12-17 AWS re:Invent

   2024 re:Cap LT大会 Declarative policies & GameDay

2. SLIDESMANIA.COM 早川裕志 (Hiroshi Hayakawa) Senior Cloud Architect AWS Ambassadors AWS

   Community Builders (Security & Identity) Japan AWS Top Engineers (Services) Japan AWS All Certifications Engineers 好きなサービス: GuardDuty, Step Functions GameDay中毒: x4 x1 x3 2 Photo from AWS Blog (2024/11末時点)

3. GameDayに明け暮れた初re:Invent 3 6:00am 8:00am 12:00pm 17:00pm 12:00am GameDay 自社業務 Expo

   Keynote AI A m b C B GameDay Jam GameDay GameDay Keynote re:Play 列待機 GameDay GameDay 列待機 Mon Tue Thu Wed 自社業務 移動 移動 移動 移動 移動 移動 移動

4. 参加したGameDay & Jam 4 開催日 セッション名 メンバー 結果 2024/12/02 AWS

   GameDay: Security and networking (Sponsored by Fortinet) 自社x4 6位 2024/12/02 AWS GameDay: NFL digital experience 自社x2 1位 2024/12/03 AWS GameDay: Cloud operations (Sponsored by Dynatrace) 自社x4 9位 2024/12/04 AWS GameDay: Developer experience (Sponsored by New Relic) 自社x4 3位 2024/12/04 AWS Jam: DevOps and modernization (Sponsored by Palo Alto Networks and LaunchDarkly) 柴田さん+藤巻さん+自社x2 9位 2024/12/05 AWS GameDay: Winning the DDoS game 自社x4 19位 2024/12/05 AWS Graviton GameDay: Optimize your Amazon EC2 workload with Graviton 自社x4 1位

5. 5

6. Security関連のUpdates 1. Amazon Guard DutyのExtended Threat Detectionを発表 2. AWS Security

   Incident Responseが一般利用開始に 3. AWS Organizationsで宣言型ポリシーの一般利用開始を発表 4. AWS Control Towerで宣言型ポリシーによる予防的コントロールが可能に 5. AWS Verified Accessが非HTTP(S)のセキュアアクセスに対応 6. Amazon OpenSearch ServiceとAmazon Security LakeのZero-ETLによる統 合を発表 6

7. 宣言型ポリシー APIアクセスの認可処理ではなく、サービスのコントロールプレーンに適用されるポリシー ◦ リソースの属性を指定して予防的統制を実現（ 発見/補完的統制 by Config） ◦ 新機能やAPIが導入されても常にベースラインを維持可能 ◦

   拒否時のエラーメッセージをカスタマイズ可能 ◦ OrganizationsまたはControl Towerで設定 ◦ Organization全体、特定OU、または特定アカウントに適用可能 7 Control Plane API SCP/RCP による統制 宣言型ポリシー による統制 特徴

8. ステータスレポート S3バケットはOregonだと失敗、N.Virginiaだと成功 8 { "Version": "2012-10-17", "Statement": [ { "Sid":

   "DeclarativePoliciesReportBucket", "Effect": "Allow", "Principal": { "Service": [ "report.declarative-policies-ec2.amazonaws.com" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::<bucketName>/*", "Condition": { "StringEquals": { "aws:SourceArn": "arn:<partition>:declarative-policies- ec2:<region>:<accountId>:*" } } } ] } レポートバケット用ポリシー

9. サポートされているポリシー 9 Service Organizations - Service Attribute Control Tower -

   Control (参考) Config - Managed Rules EC2 Allowed Images Settings N/A EC2 Instance Metadata Defaults N/A ec2-imdsv2-check EC2 Serial Console Access [CT.EC2.PV.9] Disallow access to the EC2 serial console for all EC2 instances EC2 Image Block Public Access [CT.EC2.PV.11] Disallow public sharing of Amazon Machine Images (AMIs) approved-amis-by-id, approved-amis-by-tag VPC VPC Block Public Access [CT.EC2.PV.8] Disallow inbound and outbound internet connections to your VPCs through an internet gateway (IGW) or egress-only internet gateway (EIGW) EBS Snapshot Block Public Access [CT.EC2.PV.7] Disallow all public sharing of Amazon EBS snapshots ebs-snapshot-public-restorable- check

10. Organizations or Control Tower Organizationsではより柔軟なポリシーを作成可能 10 Organizations Control Tower

11. SLIDESMANIA.COM Thank you!