AWS re:Invent 2024 re:Cap - Declarative policies & GameDay

Slide 1

Slide 1 text

SLIDESMANIA.COM AWS re:Invent 2024 re:Cap Hiroshi Hayakawa 2024-12-17 AWS re:Invent 2024 re:Cap LT大会 Declarative policies & GameDay

Slide 2

Slide 2 text

SLIDESMANIA.COM 早川裕志 (Hiroshi Hayakawa) Senior Cloud Architect AWS Ambassadors AWS Community Builders (Security & Identity) Japan AWS Top Engineers (Services) Japan AWS All Certifications Engineers 好きなサービス: GuardDuty, Step Functions GameDay中毒: x4 x1 x3 2 Photo from AWS Blog (2024/11末時点)

Slide 3

Slide 3 text

GameDayに明け暮れた初re:Invent 3 6:00am 8:00am 12:00pm 17:00pm 12:00am GameDay 自社業務 Expo Keynote AI A m b C B GameDay Jam GameDay GameDay Keynote re:Play 列待機 GameDay GameDay 列待機 Mon Tue Thu Wed 自社業務移動移動移動移動移動移動移動

Slide 4

Slide 4 text

参加したGameDay & Jam 4 開催日セッション名メンバー結果 2024/12/02 AWS GameDay: Security and networking (Sponsored by Fortinet) 自社x4 6位 2024/12/02 AWS GameDay: NFL digital experience 自社x2 1位 2024/12/03 AWS GameDay: Cloud operations (Sponsored by Dynatrace) 自社x4 9位 2024/12/04 AWS GameDay: Developer experience (Sponsored by New Relic) 自社x4 3位 2024/12/04 AWS Jam: DevOps and modernization (Sponsored by Palo Alto Networks and LaunchDarkly) 柴田さん+藤巻さん+自社x2 9位 2024/12/05 AWS GameDay: Winning the DDoS game 自社x4 19位 2024/12/05 AWS Graviton GameDay: Optimize your Amazon EC2 workload with Graviton 自社x4 1位

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Security関連のUpdates 1. Amazon Guard DutyのExtended Threat Detectionを発表 2. AWS Security Incident Responseが一般利用開始に 3. AWS Organizationsで宣言型ポリシーの一般利用開始を発表 4. AWS Control Towerで宣言型ポリシーによる予防的コントロールが可能に 5. AWS Verified Accessが非HTTP(S)のセキュアアクセスに対応 6. Amazon OpenSearch ServiceとAmazon Security LakeのZero-ETLによる統合を発表 6

Slide 7

Slide 7 text

宣言型ポリシー APIアクセスの認可処理ではなく、サービスのコントロールプレーンに適用されるポリシー ○ リソースの属性を指定して予防的統制を実現（発見/補完的統制 by Config） ○ 新機能やAPIが導入されても常にベースラインを維持可能 ○ 拒否時のエラーメッセージをカスタマイズ可能 ○ OrganizationsまたはControl Towerで設定 ○ Organization全体、特定OU、または特定アカウントに適用可能 7 Control Plane API SCP/RCP による統制宣言型ポリシーによる統制特徴

Slide 8

Slide 8 text

ステータスレポート S3バケットはOregonだと失敗、N.Virginiaだと成功 8 { "Version": "2012-10-17", "Statement": [ { "Sid": "DeclarativePoliciesReportBucket", "Effect": "Allow", "Principal": { "Service": [ "report.declarative-policies-ec2.amazonaws.com" ] }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::/*", "Condition": { "StringEquals": { "aws:SourceArn": "arn::declarative-policies- ec2:::*" } } } ] } レポートバケット用ポリシー

Slide 9

Slide 9 text

サポートされているポリシー 9 Service Organizations - Service Attribute Control Tower - Control (参考) Config - Managed Rules EC2 Allowed Images Settings N/A EC2 Instance Metadata Defaults N/A ec2-imdsv2-check EC2 Serial Console Access [CT.EC2.PV.9] Disallow access to the EC2 serial console for all EC2 instances EC2 Image Block Public Access [CT.EC2.PV.11] Disallow public sharing of Amazon Machine Images (AMIs) approved-amis-by-id, approved-amis-by-tag VPC VPC Block Public Access [CT.EC2.PV.8] Disallow inbound and outbound internet connections to your VPCs through an internet gateway (IGW) or egress-only internet gateway (EIGW) EBS Snapshot Block Public Access [CT.EC2.PV.7] Disallow all public sharing of Amazon EBS snapshots ebs-snapshot-public-restorable- check

Slide 10

Slide 10 text

Organizations or Control Tower Organizationsではより柔軟なポリシーを作成可能 10 Organizations Control Tower

Slide 11

Slide 11 text

SLIDESMANIA.COM Thank you!