宣言型ポリシーと観る新しい景色

Slide 1

Slide 1 text

2025/1/20 クラスメソッド株式会社和⽥響宣⾔型ポリシーと観る新しい景⾊

Slide 2

Slide 2 text

⾃⼰紹介 2 ● 名前：和⽥響（わだひびき） ● 年齢：25歳 ● 趣味：筋トレ、テニス、飲酒 ● 表彰： ○ 2024 Japan AWS All Certiﬁcations Engineers ○ 2024 Japan AWS Jr. Champions ● 近況： ○ フルマラソンにエントリー ○ Control Tower と格闘中！

Slide 3

Slide 3 text

⽬次 3 ● 新機能「宣⾔型ポリシー」とは何か ● Organizations と Control Towerでの使い分け ● 今後に期待すること

Slide 4

Slide 4 text

⽬次 4 ● 新機能「宣⾔型ポリシー」とは何か ● Organizations と Control Towerでの使い分け ● 今後に期待すること

Slide 5

Slide 5 text

新機能「宣⾔型ポリシー」とは何か 5 ● AWS サービスの必要な設定を定義できる ● Organizations や Control Towerといったマルチアカウント環境で利⽤できる ● 現在サポートしている機能は計6つ ○ VPC ■ VPC のブロックパブリックアクセス ○ EC2 ■ シリアルコンソールアクセス ■ AMI のブロックパブリックアクセス ■ 許可されたAMI の利⽤ ■ IMDS のデフォルト設定 ○ EBS ■ EBS スナップショットのブロックパブリックアクセス

Slide 6

Slide 6 text

新機能「宣⾔型ポリシー」とは何か 6 AWS サービスの必要な設定を定義できる ● 設定の定義 ≠ 特定のAPI実⾏禁⽌

Slide 7

Slide 7 text

まだよくわからん！

Slide 8

Slide 8 text

EC2 IMDSで考える

Slide 9

Slide 9 text

新機能「宣⾔型ポリシー」とは何か 9 例：新しいEC2インスタンスのIMDS デフォルトをV2に定義する ×：デフォルト設定をV1を拒否する ⚪：デフォルト設定をV2に強制する仮にIMDS V3が登場しても柔軟に対応できる！！

Slide 10

Slide 10 text

許可されたAMI設定はもっとすごい！

Slide 11

Slide 11 text

新機能「宣⾔型ポリシー」とは何か 11 例：許可されたAMI の利⽤ ● こんな設定ができる ○ 「AWSが作ったAMI」か「AWS Marketplace で検証済みのプロバイダーによって作成された AMI」か「アカウントAが作ったAMI」は使っていいよ！

Slide 12

Slide 12 text

こういうやつがなくなる未来！

Slide 13

Slide 13 text

⽬次 13 ● 新機能「宣⾔型ポリシー」とは何か ● Organizations と Control Towerでの使い分け ● 今後に期待すること

Slide 14

Slide 14 text

Organizations と Control Towerでの使い分け 14 Organizations と Control Towerで使える宣⾔型ポリシーは異なるコントロール Organizations Control Tower VPC ：ブロックパブリックアクセス有効化 ⚪ ⚪ EC2：シリアルコンソールアクセス禁止 ⚪ ⚪ EC2：AMI のブロックパブリックアクセス有効化 ⚪ ⚪ EC2：許可されたAMIの利用設定 ⚪ × EC2：IMDSのデフォルト設定 ⚪ × EBS：EBS スナップショットのブロックパブリックアクセス有効化 ⚪ ⚪

Slide 15

Slide 15 text

どっちで使えばいいの〜？？

Slide 16

Slide 16 text

基本的には「Control Towerで使えるか？」で判断して良い！

Slide 17

Slide 17 text

Organizations と Control Towerでの使い分け 17 ● Control Towerを有効にしているか？ ○ Yes：Control Towerで使えるか検討 ○ No：Organizationsで使う ● ランディングゾーン外のOUにも適⽤したいポリシーか？ ○ Yes： ■ Control Towerで使いつつ、ランディングゾーン外のOUにはOrganizationsで使う ■ Organizationsを使い対象のOUに⼀括で設定する ○ No： ■ Control Towerで使う ● Control Towerでサポートされてるポリシーか？ ○ Yes：Control Towerで使う ○ No：Organizationsで使う

Slide 18

Slide 18 text

⽬次 18 ● 新機能「宣⾔型ポリシー」とは何か ● Organizations と Control Towerでの使い分け ● 今後に期待すること

Slide 19

Slide 19 text

宣⾔型ポリシー便利だけど...

Slide 20

Slide 20 text

まだ機能が少ない...

Slide 21

Slide 21 text

今後に期待すること 21 ● 現在サポートされている機能 ○ VPC ■ VPC のブロックパブリックアクセス ○ EC2 ■ シリアルコンソールアクセス ■ AMI のブロックパブリックアクセス ■ 許可されたAMI の利⽤ ■ IMDS のデフォルト設定 ○ EBS ■ EBS スナップショットのブロックパブリックアクセス

Slide 22

Slide 22 text

今後に期待すること 22 個⼈的にサポートしてほしい機能 ● 各種サービスのパブリックアクセス無効設定 ○ Security Hubのcriticalのコントロールの多くが「パブリックアクセス」を指摘するもの ○ 「VPC のブロックパブリックアクセス無効」が可能であれば理論上いけるはず！（知らんけど） ● 各種サービスのデフォルト暗号化設定 ● IAMパスワードポリシーの強制

Slide 23

Slide 23 text

まとめ 23 ● SCPやRCP,IAMポリシーのようなAPIレベルではなく、リソースレベルで設定できるのが良い！ ● Control Towerで使えるならそちの⽅がラク！ ● アカウント作成時にStep Function流す時代に終焉を！

Slide 24

Slide 24 text

No content