Slide 9
Slide 9 text
設定 (SCP) を⾒てみよう 9
● リージョン拒否設定は SCP で実装
○ Deny access to AWS based on the requested AWS Region - AWS Control
Tower
{
(中略)
"Effect": "Deny",
"NotAction": [
"a4b:*",
"access-analyzer:*",
"account:*",
"acm:*",
"activate:*",
"artifact:*",
(中略)
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": []
},
"ArnNotLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/AWSControlTowerExecution"
]
}
}
}
NotAction に記載がないアクションについて、
CT 管理対象リージョン外 かつ CT 管理ロール
(AWSControlTowerExecution)以外だった場合に拒否する
例:東京リージョンが CT 管理対象リージョンの場合
● オレゴンリージョンで⼀般ユーザーが EC2 起動
○ 拒否
● 東京リージョンで⼀般ユーザーが EC2 起動
○ 拒否されない
● CT 管理ロールを使⽤して IAM ユーザー作成
○ 拒否されない(NotAction に含まれるため)
● ⼀般ユーザーが IAM ユーザー作成
○ 拒否されない(NotAction に含まれるため)