Upgrade to Pro — share decks privately, control downloads, hide ads and more …

宣言型ポリシーと観る新しい景色

和田響
January 20, 2025
0
0

 宣言型ポリシーと観る新しい景色

宣言型ポリシーと観る新しい景色

和田響

January 20, 2025
Tweet

More Decks by 和田響

See All by 和田響
AWS BuilderCards アップデート解説
wadahibiki
0
470
いざラスベガスへ! 〜re:Invent で必要だったもの・要らなかったもの〜
wadahibiki
0
710
AWS Security Hub から AWSのベストプラクティスを学びたい
wadahibiki
0
530
Trusted Advisorとちゃんと向き合いたい
wadahibiki
0
320
AWS環境におけるPCI-DSS準拠のポイント
wadahibiki
0
300
知られざるクラスメソッドの働き方 〜入社5ヶ月目から見るクラスメソッド〜
wadahibiki
0
3.2k

Featured

See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Agile that works and the tools we love
rasmusluckow
328
21k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Building Adaptive Systems
keathley
38
2.4k
YesSQL, Process and Tooling at Scale
rocio
170
14k
Code Reviewing Like a Champion
maltzj
521
39k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
7k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
230
52k
Automating Front-end Workflow
addyosmani
1366
200k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.2k
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
Building Your Own Lightsaber
phodgson
104
6.2k

Transcript

  1. 2025/1/20 クラスメソッド株式会社 和⽥響 宣⾔型ポリシーと観る新しい景⾊

  2. ⾃⼰紹介 2 • 名前:和⽥響(わだひびき) • 年齢:25歳 • 趣味:筋トレ、テニス、飲酒 • 表彰:

    ◦ 2024 Japan AWS All Certifications Engineers ◦ 2024 Japan AWS Jr. Champions • 近況: ◦ フルマラソンにエントリー ◦ Control Tower と格闘中!

  3. ⽬次 3 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •

    今後に期待すること

  4. ⽬次 4 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •

    今後に期待すること

  5. 新機能「宣⾔型ポリシー」とは何か 5 • AWS サービスの必要な設定を定義できる • Organizations や Control Towerといったマルチアカウント環境で利⽤できる

    • 現在サポートしている機能は計6つ ◦ VPC ▪ VPC のブロックパブリックアクセス ◦ EC2 ▪ シリアルコンソールアクセス ▪ AMI のブロックパブリックアクセス ▪ 許可されたAMI の利⽤ ▪ IMDS のデフォルト設定 ◦ EBS ▪ EBS スナップショットのブロックパブリックアクセス

  6. 新機能「宣⾔型ポリシー」とは何か 6 AWS サービスの必要な設定を定義できる • 設定の定義 ≠ 特定のAPI実⾏禁⽌

  7. まだよくわからん!

  8. EC2 IMDSで考える

  9. 新機能「宣⾔型ポリシー」とは何か 9 例:新しいEC2インスタンスのIMDS デフォルトをV2に定義する ×:デフォルト設定をV1を拒否する ⚪:デフォルト設定をV2に強制する 仮にIMDS V3が登場しても柔軟に対応できる!!

  10. 許可されたAMI設定はもっとすごい!

  11. 新機能「宣⾔型ポリシー」とは何か 11 例:許可されたAMI の利⽤ • こんな設定ができる ◦ 「AWSが作ったAMI」か「AWS Marketplace で検証済みのプロバイダーによって作成さ

    れた AMI」か「アカウントAが作ったAMI」は使っていいよ!

  12. こういうやつがなくなる未来!

  13. ⽬次 13 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •

    今後に期待すること

  14. Organizations と Control Towerでの使い分け 14 Organizations と Control Towerで使える宣⾔型ポリシーは異なる コントロール

    Organizations Control Tower VPC :ブロックパブリックアクセス有効化 ⚪ ⚪ EC2:シリアルコンソールアクセス禁止 ⚪ ⚪ EC2:AMI のブロックパブリックアクセス有効化 ⚪ ⚪ EC2:許可されたAMIの利用設定 ⚪ × EC2:IMDSのデフォルト設定 ⚪ × EBS:EBS スナップショットのブロックパブリックアクセス有効化 ⚪ ⚪

  15. どっちで使えばいいの〜??

  16. 基本的には 「Control Towerで使えるか?」 で判断して良い!

  17. Organizations と Control Towerでの使い分け 17 • Control Towerを有効にしているか? ◦ Yes:Control

    Towerで使えるか検討 ◦ No:Organizationsで使う • ランディングゾーン外のOUにも適⽤したいポリシーか? ◦ Yes: ▪ Control Towerで使いつつ、ランディングゾーン外のOUにはOrganizationsで使う ▪ Organizationsを使い対象のOUに⼀括で設定する ◦ No: ▪ Control Towerで使う • Control Towerでサポートされてるポリシーか? ◦ Yes:Control Towerで使う ◦ No:Organizationsで使う

  18. ⽬次 18 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •

    今後に期待すること

  19. 宣⾔型ポリシー便利だけど...

  20. まだ機能が少ない...

  21. 今後に期待すること 21 • 現在サポートされている機能 ◦ VPC ▪ VPC のブロックパブリックアクセス ◦

    EC2 ▪ シリアルコンソールアクセス ▪ AMI のブロックパブリックアクセス ▪ 許可されたAMI の利⽤ ▪ IMDS のデフォルト設定 ◦ EBS ▪ EBS スナップショットのブロックパブリックアクセス

  22. 今後に期待すること 22 個⼈的にサポートしてほしい機能 • 各種サービスのパブリックアクセス無効設定 ◦ Security Hubのcriticalのコントロールの多くが「パブリックアクセス」を指摘するもの ◦ 「VPC

    のブロックパブリックアクセス無効」が可能であれば理論上いけるはず!(知ら んけど) • 各種サービスのデフォルト暗号化設定 • IAMパスワードポリシーの強制

  23. まとめ 23 • SCPやRCP,IAMポリシーのようなAPIレベルではなく、リソースレベルで 設定できるのが良い! • Control Towerで使えるならそちの⽅がラク! • アカウント作成時にStep

    Function流す時代に終焉を!
  24. None