Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
宣言型ポリシーと観る新しい景色
Search
和田響
January 20, 2025
360
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
宣言型ポリシーと観る新しい景色
宣言型ポリシーと観る新しい景色
和田響
January 20, 2025
More Decks by 和田響
See All by 和田響
AWS BuilderCards セキュリティ拡張パック完全に理解した
wadahibiki
1
67
AWS BuilderCards アップデート解説
wadahibiki
0
1k
いざラスベガスへ! 〜re:Invent で必要だったもの・要らなかったもの〜
wadahibiki
0
1k
AWS Security Hub から AWSのベストプラクティスを学びたい
wadahibiki
0
1k
Trusted Advisorとちゃんと向き合いたい
wadahibiki
0
570
AWS環境におけるPCI-DSS準拠のポイント
wadahibiki
0
550
知られざるクラスメソッドの働き方 〜入社5ヶ月目から見るクラスメソッド〜
wadahibiki
0
3.8k
Featured
See All Featured
Game over? The fight for quality and originality in the time of robots
wayneb77
1
200
The Illustrated Guide to Node.js - THAT Conference 2024
reverentgeek
1
390
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
290
Believing is Seeing
oripsolob
1
150
The Cult of Friendly URLs
andyhume
79
6.9k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
201
75k
How STYLIGHT went responsive
nonsquared
100
6.2k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
How GitHub (no longer) Works
holman
316
150k
It's Worth the Effort
3n
188
29k
Technical Leadership for Architectural Decision Making
baasie
3
420
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.4k
Transcript
2025/1/20 クラスメソッド株式会社 和⽥響 宣⾔型ポリシーと観る新しい景⾊
⾃⼰紹介 2 • 名前:和⽥響(わだひびき) • 年齢:25歳 • 趣味:筋トレ、テニス、飲酒 • 表彰:
◦ 2024 Japan AWS All Certifications Engineers ◦ 2024 Japan AWS Jr. Champions • 近況: ◦ フルマラソンにエントリー ◦ Control Tower と格闘中!
⽬次 3 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •
今後に期待すること
⽬次 4 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •
今後に期待すること
新機能「宣⾔型ポリシー」とは何か 5 • AWS サービスの必要な設定を定義できる • Organizations や Control Towerといったマルチアカウント環境で利⽤できる
• 現在サポートしている機能は計6つ ◦ VPC ▪ VPC のブロックパブリックアクセス ◦ EC2 ▪ シリアルコンソールアクセス ▪ AMI のブロックパブリックアクセス ▪ 許可されたAMI の利⽤ ▪ IMDS のデフォルト設定 ◦ EBS ▪ EBS スナップショットのブロックパブリックアクセス
新機能「宣⾔型ポリシー」とは何か 6 AWS サービスの必要な設定を定義できる • 設定の定義 ≠ 特定のAPI実⾏禁⽌
まだよくわからん!
EC2 IMDSで考える
新機能「宣⾔型ポリシー」とは何か 9 例:新しいEC2インスタンスのIMDS デフォルトをV2に定義する ×:デフォルト設定をV1を拒否する ⚪:デフォルト設定をV2に強制する 仮にIMDS V3が登場しても柔軟に対応できる!!
許可されたAMI設定はもっとすごい!
新機能「宣⾔型ポリシー」とは何か 11 例:許可されたAMI の利⽤ • こんな設定ができる ◦ 「AWSが作ったAMI」か「AWS Marketplace で検証済みのプロバイダーによって作成さ
れた AMI」か「アカウントAが作ったAMI」は使っていいよ!
こういうやつがなくなる未来!
⽬次 13 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •
今後に期待すること
Organizations と Control Towerでの使い分け 14 Organizations と Control Towerで使える宣⾔型ポリシーは異なる コントロール
Organizations Control Tower VPC :ブロックパブリックアクセス有効化 ⚪ ⚪ EC2:シリアルコンソールアクセス禁止 ⚪ ⚪ EC2:AMI のブロックパブリックアクセス有効化 ⚪ ⚪ EC2:許可されたAMIの利用設定 ⚪ × EC2:IMDSのデフォルト設定 ⚪ × EBS:EBS スナップショットのブロックパブリックアクセス有効化 ⚪ ⚪
どっちで使えばいいの〜??
基本的には 「Control Towerで使えるか?」 で判断して良い!
Organizations と Control Towerでの使い分け 17 • Control Towerを有効にしているか? ◦ Yes:Control
Towerで使えるか検討 ◦ No:Organizationsで使う • ランディングゾーン外のOUにも適⽤したいポリシーか? ◦ Yes: ▪ Control Towerで使いつつ、ランディングゾーン外のOUにはOrganizationsで使う ▪ Organizationsを使い対象のOUに⼀括で設定する ◦ No: ▪ Control Towerで使う • Control Towerでサポートされてるポリシーか? ◦ Yes:Control Towerで使う ◦ No:Organizationsで使う
⽬次 18 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •
今後に期待すること
宣⾔型ポリシー便利だけど...
まだ機能が少ない...
今後に期待すること 21 • 現在サポートされている機能 ◦ VPC ▪ VPC のブロックパブリックアクセス ◦
EC2 ▪ シリアルコンソールアクセス ▪ AMI のブロックパブリックアクセス ▪ 許可されたAMI の利⽤ ▪ IMDS のデフォルト設定 ◦ EBS ▪ EBS スナップショットのブロックパブリックアクセス
今後に期待すること 22 個⼈的にサポートしてほしい機能 • 各種サービスのパブリックアクセス無効設定 ◦ Security Hubのcriticalのコントロールの多くが「パブリックアクセス」を指摘するもの ◦ 「VPC
のブロックパブリックアクセス無効」が可能であれば理論上いけるはず!(知ら んけど) • 各種サービスのデフォルト暗号化設定 • IAMパスワードポリシーの強制
まとめ 23 • SCPやRCP,IAMポリシーのようなAPIレベルではなく、リソースレベルで 設定できるのが良い! • Control Towerで使えるならそちの⽅がラク! • アカウント作成時にStep
Function流す時代に終焉を!
None