Slide 25
Slide 25 text
SCPの運用
25
○ 絶対に使わないものを拒否
○ 最小限にしておく
■ 変更はOrganizationsに対する権限がないとできない
■ アカウント側で拒否されたときに問題がよく分からない
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"StringNotEquals": {
"aws:RequestedRegion": [
"ap-northeast-1",
"us-east-1",
"us-east-2",
"us-west-1",
...
},
{
"Effect": "Deny",
"Action": [
"workspaces:*",
"workspaces-web:*",
"robomaker:*",
"mediatailor:*",
...
● 例
○ 不要なリージョンに対する操作
○ 不要なサービスに対する操作
○ 絶対に削除してはいけないS3バケット/オブ
ジェクトの削除の拒否