Slide 1

Slide 1 text

2025/1/20 クラスメソッド株式会社 和⽥響 宣⾔型ポリシーと観る新しい景⾊

Slide 2

Slide 2 text

⾃⼰紹介 2 ● 名前:和⽥響(わだひびき) ● 年齢:25歳 ● 趣味:筋トレ、テニス、飲酒 ● 表彰: ○ 2024 Japan AWS All Certifications Engineers ○ 2024 Japan AWS Jr. Champions ● 近況: ○ フルマラソンにエントリー ○ Control Tower と格闘中!

Slide 3

Slide 3 text

⽬次 3 ● 新機能「宣⾔型ポリシー」とは何か ● Organizations と Control Towerでの使い分け ● 今後に期待すること

Slide 4

Slide 4 text

⽬次 4 ● 新機能「宣⾔型ポリシー」とは何か ● Organizations と Control Towerでの使い分け ● 今後に期待すること

Slide 5

Slide 5 text

新機能「宣⾔型ポリシー」とは何か 5 ● AWS サービスの必要な設定を定義できる ● Organizations や Control Towerといったマルチアカウント環境で利⽤できる ● 現在サポートしている機能は計6つ ○ VPC ■ VPC のブロックパブリックアクセス ○ EC2 ■ シリアルコンソールアクセス ■ AMI のブロックパブリックアクセス ■ 許可されたAMI の利⽤ ■ IMDS のデフォルト設定 ○ EBS ■ EBS スナップショットのブロックパブリックアクセス

Slide 6

Slide 6 text

新機能「宣⾔型ポリシー」とは何か 6 AWS サービスの必要な設定を定義できる ● 設定の定義 ≠ 特定のAPI実⾏禁⽌

Slide 7

Slide 7 text

まだよくわからん!

Slide 8

Slide 8 text

EC2 IMDSで考える

Slide 9

Slide 9 text

新機能「宣⾔型ポリシー」とは何か 9 例:新しいEC2インスタンスのIMDS デフォルトをV2に定義する ×:デフォルト設定をV1を拒否する ⚪:デフォルト設定をV2に強制する 仮にIMDS V3が登場しても柔軟に対応できる!!

Slide 10

Slide 10 text

許可されたAMI設定はもっとすごい!

Slide 11

Slide 11 text

新機能「宣⾔型ポリシー」とは何か 11 例:許可されたAMI の利⽤ ● こんな設定ができる ○ 「AWSが作ったAMI」か「AWS Marketplace で検証済みのプロバイダーによって作成さ れた AMI」か「アカウントAが作ったAMI」は使っていいよ!

Slide 12

Slide 12 text

こういうやつがなくなる未来!

Slide 13

Slide 13 text

⽬次 13 ● 新機能「宣⾔型ポリシー」とは何か ● Organizations と Control Towerでの使い分け ● 今後に期待すること

Slide 14

Slide 14 text

Organizations と Control Towerでの使い分け 14 Organizations と Control Towerで使える宣⾔型ポリシーは異なる コントロール Organizations Control Tower VPC :ブロックパブリックアクセス有効化 ⚪ ⚪ EC2:シリアルコンソールアクセス禁止 ⚪ ⚪ EC2:AMI のブロックパブリックアクセス有効化 ⚪ ⚪ EC2:許可されたAMIの利用設定 ⚪ × EC2:IMDSのデフォルト設定 ⚪ × EBS:EBS スナップショットのブロックパブリックアクセス有効化 ⚪ ⚪

Slide 15

Slide 15 text

どっちで使えばいいの〜??

Slide 16

Slide 16 text

基本的には 「Control Towerで使えるか?」 で判断して良い!

Slide 17

Slide 17 text

Organizations と Control Towerでの使い分け 17 ● Control Towerを有効にしているか? ○ Yes:Control Towerで使えるか検討 ○ No:Organizationsで使う ● ランディングゾーン外のOUにも適⽤したいポリシーか? ○ Yes: ■ Control Towerで使いつつ、ランディングゾーン外のOUにはOrganizationsで使う ■ Organizationsを使い対象のOUに⼀括で設定する ○ No: ■ Control Towerで使う ● Control Towerでサポートされてるポリシーか? ○ Yes:Control Towerで使う ○ No:Organizationsで使う

Slide 18

Slide 18 text

⽬次 18 ● 新機能「宣⾔型ポリシー」とは何か ● Organizations と Control Towerでの使い分け ● 今後に期待すること

Slide 19

Slide 19 text

宣⾔型ポリシー便利だけど...

Slide 20

Slide 20 text

まだ機能が少ない...

Slide 21

Slide 21 text

今後に期待すること 21 ● 現在サポートされている機能 ○ VPC ■ VPC のブロックパブリックアクセス ○ EC2 ■ シリアルコンソールアクセス ■ AMI のブロックパブリックアクセス ■ 許可されたAMI の利⽤ ■ IMDS のデフォルト設定 ○ EBS ■ EBS スナップショットのブロックパブリックアクセス

Slide 22

Slide 22 text

今後に期待すること 22 個⼈的にサポートしてほしい機能 ● 各種サービスのパブリックアクセス無効設定 ○ Security Hubのcriticalのコントロールの多くが「パブリックアクセス」を指摘するもの ○ 「VPC のブロックパブリックアクセス無効」が可能であれば理論上いけるはず!(知ら んけど) ● 各種サービスのデフォルト暗号化設定 ● IAMパスワードポリシーの強制

Slide 23

Slide 23 text

まとめ 23 ● SCPやRCP,IAMポリシーのようなAPIレベルではなく、リソースレベルで 設定できるのが良い! ● Control Towerで使えるならそちの⽅がラク! ● アカウント作成時にStep Function流す時代に終焉を!

Slide 24

Slide 24 text

No content