Slide 1
Slide 1 text
2024/12/23
AWS事業本部コンサルティング部
森⽥⼒
5分で学ぶ!
宣⾔型ポリシーの基礎からベストプラクティスまで
Slide 2
Slide 2 text
⾃⼰紹介
森⽥ ⼒
● 所属 : AWS事業本部コンサルティング部
● 好きなサービス : AWS Lambda
● re:Invent 2024 初参加!
○ 現地 Keynoteが良かった
Slide 3
Slide 3 text
● 宣⾔型ポリシーとは
● SCP/RCPとの違い
● 宣⾔型ポリシーのベストプラクティス
⽬次
Slide 4
Slide 4 text
宣⾔型ポリシーとは
Slide 5
Slide 5 text
AWSサービスの設定状態を定義できる機能
● ⾮準拠のアクションを組織全体で防⽌
● エラーメッセージがカスタマイズ可能
● AWS Organizations, AWS Control Towerから利⽤可能
宣⾔型ポリシーとは
Slide 6
Slide 6 text
AWSサービスの設定状態を定義できる機能
● ⾮準拠のアクションを組織全体で防⽌
● エラーメッセージがカスタマイズ可能
● AWS Organizations, AWS Control Towerから利⽤可能
宣⾔型ポリシーとは
Slide 7
Slide 7 text
⾮準拠のアクションを組織全体で防⽌
AMI へのパブリックアクセスをブロックするケース
Slide 8
Slide 8 text
⾮準拠のアクションを組織全体で防⽌
AMI へのパブリックアクセスをブロックするケース
SCP, RCP でできるよね🤔
Slide 9
Slide 9 text
SCP/RCPとの違い
Slide 10
Slide 10 text
SCP/RCPとの違い
宣⾔型ポリシー
AWSサービスの設定状態を定義できる機能
SCP/RCP
サービス‧リソースのアクセス制御が
できる機能
AWSサービスの設定状態
AMI へのパブリックアクセスをブロック
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"ec2:DisableImageBlockPublicAccess"
],
"Resource": "*"
}
]
}
Slide 11
Slide 11 text
今までは
SCP/RCPを使って、AWSサービスのベースラインを構成
→ベースラインから逆算して、APIを拒否‧許可
→新しいAPIが公開された場合には、アクセス制御の⾒直しが必要
Slide 12
Slide 12 text
これからは
宣⾔型ポリシーを使って、AWSサービスのベースラインを選択して適⽤させる
→APIを意識する必要がない
→AWSサービスのベースライン構成に集中できる🔥
Slide 13
Slide 13 text
現状は
EC2
● シリアルコンソールアクセス
● AMI のブロックパブリックアクセス
● 許可されたAMI の利⽤
● IMDS のデフォルト設定
EBS
● EBS スナップショットのブロックパブリックアクセス
VPC
● VPC のブロックパブリックアクセス
Slide 14
Slide 14 text
ベストプラクティス
Slide 15
Slide 15 text
ベストプラクティス
Leverage readiness assessments(準備状況評価を活⽤する)
組織全体の現状を確認するために、アカウントステータスレポートの作成が可能
Slide 16
Slide 16 text
ベストプラクティス
Start small and then scale(⼩さく始めて規模を拡⼤する)
まずは、宣⾔型ポリシーをテスト環境などの1アカウントから導⼊
問題なければ、OU単位に適⽤する
Slide 17
Slide 17 text
ベストプラクティス
Establish review processes(レビュープロセスを確⽴する)
新しい宣⾔型ポリシーのレビュー
組織のセキュリティと実運⽤との乖離がないかを確認
特に、宣⾔型ポリシーの例外設定を多⽤していないか等
Slide 18
Slide 18 text
ベストプラクティス
Validate changes using 「DescribeEffectivePolicy」
(DescribeEffectivePolicyを使⽤した変更の検証)
宣⾔型ポリシーの変更時には、変更の検証を「DescribeEffectivePolicy API」で⾏う
意図した変更が正しく反映されているか確認
$ aws organizations describe-effective-policy --policy-type DECLARATIVE_POLICY_EC2 --target-id アカウントID
{
"EffectivePolicy": {
"PolicyContent": "{\"ec2_attributes\":{\"snapshot_block_public_access\":{\"state\":\"block_all_sharing\"}}}",
"LastUpdatedTimestamp": "2024-12-22T11:21:11.313000+00:00",
"TargetId": "アカウントID",
"PolicyType": "DECLARATIVE_POLICY_EC2"
}
}
Slide 19
Slide 19 text
ベストプラクティス
Communicate and train(コミュニケーションとトレーニング)
組織全体に宣⾔的ポリシーの⽬的と影響を周知
期待される動作と障害時の対応について明確なガイダンスを提供
Slide 20
Slide 20 text
No content